a y est, je suis à Rennes pour assister aux deux derniers jours du SSTIC. D'aucuns pourraient penser que je vais donc me lancer dans un live blogging effréné, mais il n'en sera rien, Twitter ayant fait de cette pratique un usage d'un autre temps, et ce d'autant plus que pas mal de gens s'en donne à cœur joie.
Ajouté à ceci que les actes seront bientôt disponibles en ligne, il ne sert pas à grand chose de s'étaler plus que ça en commentaires. Live blogging il y aura bien, mais réduit au strict minimum...
- Attaques DMA peer-to-peer et contremesures, par Fernand Lone Sang, Loic Duflot, Vincent Nicomette et Yves Deswarte (ANSSI et LAAS). Prolongement de travaux sur les attaques exploitant les échanges DMA. La présentation se focalise sur des attaques dites peer-to-peer, à destination d'un contrôleur d'entrée/sortie depuis un autre. La démo présente une capture d'écran via FireWire : un laptop va lire la mémoire du framebuffer de la carte vidéo. Des contremesures sont présentées, basée sur les l'utilisation d'un ou plusieurs I/O MMU et de leurs capacité de filtrage des accès DMA. Excellente présentation d'une clarté impressionnante considérant le sujet.
- Sticky fingers & KBC Custom Shop, par Alexandre Gazet (Sogeti ESEC). On part d'un étude visant à résoudre un problème relativement classique : la perte de son mot de passe BIOS. Constatant que les mots de passe maître pour son laptop en vente sur le net sont générés à partie du numéro de série, il s'attaque au reverse d'une update de BIOS pour retrouver l'algorithme de dérivation, avec une grosse partie sur l'analyse du code du contrôleur clavier. Fort de ses découverte sur ce contrôleur, il implémente un outil permettant d'y injecter et exécuter du code. Lequel permet, via une faille dans le handler SMI, au userland d'accéder au mode SMM pour y faire exécuter pleins de trucs en mode furtif. Très intéressant, travail impressionnant. Comme quoi, résoudre version overkill un problème relativement simple, ça permet d'apprendre pleins de trucs :)
- Virtualisation d'un poste physique depuis le boot, par Stéphane Duverger (EADS Innovation Works). Présentation de Ramooflax, das pre-boot übervisor, un outil permettant de booter un hyperviseur minimal permettant de virtualiser un OS quelconque afin de l'étudier sans l'impacter. La première (grosse) partie décrit les mécanismes de virtualisation matérielle, fournissant au passage une idée du vague bordel que constitue la virtualisation matérielle, chez Intel en particulier, mais aussi chez AMD évidemment. La seconde partie est consacrée au fonctionnement de l'outil, avec un passage sur le Debug Port USB, et au stub gdb qu'il exporte pour le debugging de l'OS qu'il virtualise. Et enfin, l'inévitable démo[1] pour conclure. On va me taxer de parti pris, mais honnêtement, c'était très bien. Par contre, faudrait penser à lever le nez de ses slides de temps à autre[2] ;)
- Résultats du challenge, par Jean-Baptiste Bédrune et Gabriel Campana (Sogeti ESEC), et présentation par Axel Tillequin (EADS Innovation Works) de sa solution arrivée en tête du classement qualité.
- Attacking and Fixing PKCS#11 Security Tokens with Tookan, par Graham Steel (LSV et INRIA). La présentation commence avec une description du standard PKCS#11, ses mécanismes de gestion des clés stockées sur les tokens ainsi que des limitations. Tookan est l'outil conçu pour analyser un token donné, construire un modèle associé dans un langage de haut niveau, y découvrir des chemins d'attaque possibles et les soumettre directement au token après traduction en jeux de commandes PKCS#11. Le tout pour vérifier la sécurité de divers produits du marché, et y découvrir des vulnérabilités[3]. Superbe présentation, démo et résultats impressionnants[4]. Le tout en français. Chapeau.
- Peut-on éteindre l'Internet ?, par Stéphane Bortzmeyer (AFNIC). Partant des exagérations courantes sur l'impact potentiel d'une attaque sur le réseau Internet lui-même, Stéphane Bortzmeyer part dans une réflexion sur les moyens disponibles qu'on pourrait utiliser si on voulait couper Internet ou du moins une majeure partie, ainsi que leur efficacité : attaques physiques, 0days pour des failles sur des équipements ou, mieux, un protocole, DDoS sur des points critiques et volonté politique. Des choses qui peuvent perturber le réseau, mais pas à grande échelle. On passe ensuite à des idées pour améliorer la résilience du réseau : redondance physique des accès, des logiciels de meilleure qualité, meilleure coordination des acteurs, action politique. Présentation globalement pas technique, mais bien conduite et bien argumentée avec un zeste d'humour. Ceci dit, devant un public globalement acquis à la conclusion, c'est plus facile[5] ;)
- Architectures DNS sécurisées, par Guillaume Valadon et Yves-Alexis Perez (ANSSI). la première partie est consacrée aux principes de DNS et des soucis de sécurité associés. On passe ensuite aux principes de DNSSEC, i.e. "DNS avec des signatures et des clés" comme la hiérarchie de clés, la distribution des informations, la signature des zones, etc. Le constat est fait que DNSSEC est adapté pour la protection des échanges de données entre serveurs, mais pas entre un client et un serveur. Pour cela, on a le standard TSIG qui ajoute un contrôle d'intégrité HMAC au message DNS, mais qui n'est globalement pas très utilisé. DNSCurve de D.J.Bernstein est décrit et serait une alternative à TSIG, mais pas à DNSSEC. Une dernière partie sur la résolution DNS à base de serveur LDAP sur le dernier lien et des mécanismes de sécurité disponibles, principalement TLS. Bonne présentation : simple, claire et didactique. La publicité pour les offres d'emploi de l'ANSSI en enregistrement TXT dans leurs zones était bien vue. Un regret : ça manquait de perspectives et de données sur l'état du déploiement du protocole dans la vraie vie.
- Rumps Session
- Faire un SSTIC, par Benjamin Morin au nom du CO. LE SSTIC en chiffres, comme l'an dernier, mais sur Prezi. Le SSTIC cherche un nouveau logo, et lance un appel.
- Système de billetterie du SSTIC, par Nicolas Bareil et Fabrice Desclaux. Sur la création des badges, leur QR code et le système qui les gère.
- XSS Test Driver, par Erwan Abgrall (Kereval). Outil permettant de tester le comportement des navigateurs face aux XSS.
- Digital Forensics XML, par Christophe Grenier. Format de données pour contenir des preuves numériques.
- IWKBULKS, par Aurélien Bordes. Réalisation d'un keylogger USB à base de fonctionnalités de tracing intégrées dans Windows.
- Génération de graphes, par Guillaume Prigent. Un outil, Glubby, qui tourne sur CPU/GPU en s'appuyant sur Ubigraph.
- Audits techniques et analyse de risque, par Vincent Forest. Retour d'expérience sur la conduite d'audits et d'analyses de risques à l'Éducation Nationale.
- Référentiels d'exigences applicables aux prestataires d'audit de la SSI, par l'ANSSI[6]. En gros, le document récemment publié sur lequel s'est lâché Ruff et les procédures qui l'entourent.
- AirScan, par Raphaël Rigo. Outil de wardriving pour Nintendo DS.
- Et si j'ai pas un PC de gamer ?, par Nicolas Prigent. Statistiques sur les mots de passe publiés par Lulzsec.
- Visualiser en sécurité, par Christopher Humphries (Supélec Rennes). Réflexions sur la visualisation de grosses masses de données et exemples de systèmes permettant de les grapher quand elles ont pleins de dimensions (genre plus de 10)...
- Pas vu... Pris, par Denis Ducamp. Retour d'expérience sur une analyse forensics.
- Sécurité de l'implémentation de référence Java Card 2.2.2, par Julien Lancia. Pas sûr d'avoir compris, mais apparemment la démonstration qu'on peut exploiter l'implémentation de référence avec du bytecode pourri.
- Skyrack, par quelqu'un de chez HSC. Outil pour faire du ROP.
- PANBuster, par Florent Hochwelker. Outil qui permet de faire des recherches de numéros de carte de crédit en clair sur un disque.
Les autres compte-rendus disponibles en ligne[7] :
- n0secure.org, à raison d'un billet par présentation ;
- Éric Freyssinet.
Notes
[1] Sans, je cite, "crapuler" l'audience :)
[2] Histoire que je puisse prendre de bonnes photos, par exemple...
[3] Jolie quenelle à destination de RSA : "300 dollars pour un token qui permet d'extraire les clés privées".
[4] Cf. la page du projet en attendant la mise en ligne des actes.
[5] D'où, probablement, le nombre important de tweets...
[6] Qui recrute...
[7] Liste non exhaustive et limitée à ceux dont j'ai connaissance ;)