Conférence francophone sur le thème de la sécurité de
l'information.
Elle a eu lieu
à Rennes du 4 au 6 juin 2014.
Conférence invitée.
Le lien "article complet" pointe vers le troisième numéro de PoC||GTFO, dont Travis Goodspeed est un fondateur. Pour rappel, le PDF est également un fichier ZIP qui contient le(s) numéro(s) précédent(s).
La plupart des entreprises, petites ou grosses, utilisent les technologies Microsoft pour fonctionner. L'Active Directory est au cœur de ces systèmes d'information.
Lorsqu'il est question de la sécurité du système d'information, les contrôleurs de domaine Active Directory sont, ou devraient être, au centre des préoccupations, en temps normal pour s'assurer du respect des bonnes pratiques et, lors d'une compromission avérée, pour explorer la possibilité d'un nettoyage du système d'information sans avoir à reconstruire l'Active Directory. Hors, peu d'outils permettent de mettre en œuvre cette démarche.
Nous présentons ici BTA, un outil d'audit de bases Active Directory ainsi que notre méthodologie permettant de vérifier l'application des bonnes pratiques et l'absence de modifications malveillantes dans ces bases.
Cet article présente une méthode d'analyse de la sécurité des environnements Active Directory fondée sur l'établissement de relations entre les différents éléments composant un domaine et traduisant la maîtrise d'un objet sur un autre. Ces relations sont issues de sources multiples : analyse des permissions, appartenances aux groupes de sécurité, propriétés et hiérarchie des objets de l'annuaire, fichiers de GPO, mais aussi propriétés liées aux machines locales. La finalité de cette analyse est d'agréger ces relations sous forme de graphes afin de mettre en évidence des chemins de contrôle mettant en jeu des enchaînements non triviaux de relations et d'objets. En fournissant des outils permettant de mieux appréhender un domaine complexe, cette méthode peut servir à vérifier la bonne isolation d'un groupe d'administration du reste du domaine ou à mesurer l'étendue effective du pouvoir d'un compte. Toutes les étapes de notre méthode seront abordées : définition d'un ensemble de relations de contrôle, méthodes de relevés possibles, représentation et agrégation dans une base de données orientée graphe, puis exploitation et interprétation au travers de scénarios d'analyse.
L'outillage est disponible à l'adresse suivante : https://github.com/ANSSI-FR/AD-control-paths
Cet article a deux objectifs.
Le premier est d’étudier quelques spécificités du protocole Kerberos dans les environnements Active Directory (délégation, relation inter-domaines, autorisation, etc.) et les impacts en matière de sécurité.
Le second est de démontrer qu'en cas de compromission d'une base de comptes Active Directory (récupération par un attaquant de toutes les empreintes des mots de passe), les conséquences sont graves et que la remédiation est bien plus lourde qu'un simple changement des mots de passe de quelques utilisateurs.
Cet article introduit le fonctionnement de base des réseaux mobiles 2G, 3G et LTE, ainsi que la manière dont les modems mobiles modernes implémentent ces technologies ; la démarche ayant permis la mise en place d'un banc de tests radio est présentée ; enfin, des problèmes et vulnérabilités de sécurité concernant les interfaces 3G et LTE, mis en lumière grâce aux tests, sont détaillés.
Android est aujourd'hui le système d'exploitation sur mobiles le plus répandu du marché, ce qui en a fait une cible de choix pour les applications malveillantes. Afin de parer celles-ci, l'OS de Google se base principalement sur un système de permissions: un utilisateur doit valider les permissions demandées par une application avant son installation. Ce modèle présente cependant une faiblesse particulièrement gênante : le besoin de l'utilisateur. En effet, il est difficile de refuser l'installation d'une application à partir du moment où l'utilisateur en a besoin, même si celle-ci demande des droits injustifiés.
Il existe donc a priori le besoin d'une base de connaissances publique permettant de comprendre si l'application que l'on souhaite installer pose un problème de sécurité. Dans cet article, nous proposons une solution d'analyse automatisée de markets Android : Hooker. Celle-ci permet d'identifier les événements sensibles intervenants sur un système Android et de les centraliser au sein d’une base de données dédiée. Le traitement de ces informations et la présentation des résultats effectuée de manière intelligente permet, au final, de réaliser des analyses tant microscopiques que macroscopiques. La première se concentre sur le fonctionnement d'une application en particulier; la seconde sur la recherche de comportements similaires à un ensemble d’applications et donc potentiellement à un market entier.
Terme adapté de l'anglais «computer forensics», l'expression «investigation numérique» représente l'utilisation de techniques spécialisées dans la collecte, l'analyse, l'interprétation et l'explication de l'information numérique. Ces techniques sont mises en œuvre quand une affaire comporte des questions relatives à l'usage d'un ordinateur, et de tout autre support d'information.
De nos jours l’investigation numérique se généralise à l’analyse de tout équipement informatique, incluant les ordiphones (smartphones) de toutes marques. À l’opposé des systèmes ouverts comme Android, il n’existe aujourd’hui aucun outil public permettant d’acquérir le contenu du système de fichier d’un terminal Apple récent. Or, cette étape est incontournable lors de la recherche de preuve informatique visant à infirmer ou confirmer une compromission. Afin de répondre à cette problématique, ce document décrit succinctement l’architecture et les mécanismes de sécurité du système iOS d’Apple avant de revenir sur les méthodes d’acquisitions de données existantes et d’en présenter les limites. Enfin, cet article présente deux techniques d’acquisitions logiques : acquisition logique non intrusive et acquisition logique intrusive. Cette dernière résulte de l'analyse et de la mise en œuvre des méthodes initialement utilisées par les logiciels de débridage, plus connus sous le nom de «Jailbreak».
Malware versus analyst is an ongoing war for about more than a decade. In a time where persistance is a vital part of any advanced threat the art of evasion from detection, analysis and dissection is crucial. This talk aims to provide insight in some of the latest techniques spotted in in-the-wild malware of the everyday battle field, including Upatre, Miuref and Citadel. Presented techniques vary from breakpoint detection, heap structure abuse to full blown Visual Basic crypters and adequate countermeasures to aid the analyst's chances in the combat.
La majorité des abonnements à Internet proposés par les fournisseurs français incluent une box permettant à l'utilisateur de bénéficier pleinement de tous les services proposés dans leur offre. Ces équipements permettent de réduire considérablement les connaissances techniques nécessaires à l'installation d'Internet au domicile. A notre connaissance, relativement peu d'études ont analysé la sécurité de ces BOX ADSL. Cet article présente une méthodologie innovante d'analyse de sécurité ainsi que des premiers résultats.
Dans un premier temps, nous proposons une méthode permettant d'intercepter et d'analyser tous les protocoles réseaux mis en oeuvre lors du démarrage d'une BOX ADSL. Cette méthode nous a permis de réaliser une étude comparative de différentes BOX utilisées par les opérateurs français. L'application de cette méthode a permis de révéler un problème de sécurité potentiel pour deux d'entre elles. Nous présentons ensuite une plateforme d'expérimentation permettant d'exploiter les faiblesses identifiées.
Exploration de la sécurité des SmartTV
L'entreprise Norvégienne « Nordic Semiconductor » est un fondeur spécialiste des puces de communications radio. La famille des « Nordic Radio Frequency 24 » (NRF24), en particulier, regroupe plusieurs puces du constructeur qui communiquent dans la bande de fréquence des 2.4GHz (bande de fréquence libre d'utilisation dans la plupart des pays du monde). Dans cette famille, le chipset NRF24L01+ connaît un succès important, et on peut considérer aujourd'hui qu'il domine son secteur de marché. Depuis 2010, ce composant intéresse la communauté des Hackers, entre autre parce qu'il est embarqué dans la plupart des clavier et souris sans fils qui inondent le marché grand public.
A l'heure actuelle, on dénombre trois méthodes d'écoute des communications de ce chipset (ainsi qu'un type d'utilisation détourné). Nous proposons de reproduire chacune de ces attaques et de tester leurs limites, tant en fiabilité dans des environnements bruités qu'en gravité de conséquences.
La carte à puce est aujourd'hui considérée comme étant un système sécurisé. Toutefois, il est possible, via certains types d'attaques, d'obtenir de l'information. Dans cet article, nous présentons comment ces informations ont permis de découvrir l'implémentation utilisée par une carte à puce pour appeler du code natif depuis le monde Java Card. Une fois ce mécanisme appréhendé, nous l'avons exploité pour exécuter notre propre code natif. Ce code, exécuté avec les droits du système d'exploitation, nous a permis de lire la mémoire ROM et ainsi obtenir tous les codes de la carte attaquée. Une évaluation de cette attaque sur des cartes de modèles différents est présentée en conclusion.
La norme USB est aujourd'hui adoptée à grande échelle et son interface tend à se généraliser rapidement. En effet, il n'est pas rare de trouver des ports ou des connectiques USB sur les objets que nous utilisons quotidiennement (ordinateurs, smartphones, etc.). L'USB est entrée dans les habitudes des utilisateurs de l'informatique et constitue souvent un moyen d'attaque privilégié. Les clés USB, par exemple, sont parfois plébiscités par les attaquants pour s'introduire avec succès dans les systèmes informatiques d'organisations, même lorsqu'elles ont un niveau de sécurité élevé. Par ailleurs, l'USB constitue également un excellent vecteur d'attaque. En eet, étant simplement un protocole de transport pour d'autres protocoles spéciques (SCSI, SATA, etc.), l'USB permet de couvrir une surface d'attaque large dans les couches basses des systèmes d'exploitation. Pour ces raisons, il paraît intéressant de rechercher des vulnérabilités dans les piles USB dans diérents systèmes. Étant donné que la majorité des systèmes sont fermés et que leurs sources ne sont pas disponibles, la recherche de vulnérabilités liées à l'USB par fuzzing s'avère être la plus appropriée pour une analyse menée souvent en boîte noire. Cet article constitue un retour d'expérience quand à la mise en oeuvre d'un fuzzer USB pour les plates-formes Windows (XP et 7) et présente quelques idées que nous avons commencé à implémenter pour étendre ce fuzzer à d'autres versions de Windows (notamment la pile USB 3.x de Windows 8) et puis à d'autres systèmes, aussi bien dans leurs rôles d'hôte ou de périphérique.
La première preuve de concept de Bootkit a été présentée à BlackHat en 2005 par Derek Soeder. C’était un simple infecteur de Master Boot Record (MBR) permettant de s’authentifier sur une machine sans en connaitre le mot de passe. En 2007, les auteurs de malwares ont décidé d’utiliser cette technique sur les plateformes Windows x64 pour outrepasser le mécanisme de signature des drivers. Depuis 2005 plusieurs projets ont vu le jour, mais les techniques utilisées pour reproduire ce genre d’attaque sont restées les mêmes : mise en place de Hook et utilisation de signature pour patcher en mémoire les binaires. Cet article va décrire une nouvelle technique, ne se basant pas sur les anciens projets connus. La technique présentée nous permet de contrôler le processus de boot de toutes les versions de Windows, avec ou sans systèmes de chiffrement de disques, car nous ne nous ne réalisons aucune modification du code de démarrage en mémoire. Il est à noter que cette solution ne fonctionne pas avec Secureboot ou équivalent. Les techniques décrites dans cet article reposent sur des fonctionnalités offertes par le processeur comme le mode v8086, les breakpoints de type matériel et l’isolation de privilèges, technique qui fût utilisée par VMware pour faire de la virtualisation dans les années 2000. L’intérêt de cette techniques est qu’aucune signature mémoire est nécessaire, ni la mise en place de Hook. Nous proposons un exemple qui se trouve sous la forme d’une image ISO bootable sur clef USB permettant de charger n’importe quel driver non signé.
Les gestionnaires de machines virtuelles (ou VMM) sont de plus en plus utilisés dans le monde de l’informatique aujourd’hui (notamment, depuis l’engouement pour le Cloud Computing). Du point de vue de la sécurité, ces VMM peuvent constituer une cible de choix pour les attaquants, étant donné leur installation dans des couches logicielles très privilégiées. Afin de les sécuriser, de multiples solutions ont été proposées mais beaucoup de vulnérabilités ont été recensées également. Ces vulnérabilités peuvent cibler le logiciel, mais aussi les couches matérielles sous-jacentes. Nous proposons dans cet article une nouvelle méthode de tests d’intégrité à distance permettant de s’assurer efficacement de l’intégrité d’un logiciel tel qu’un VMM. Ce test ne reposant sur aucun logiciel exécuté directement sur le processeur de la machine, il ne peut être victime de vulnérabilités incluses dans les couches logicielles ou matérielles de la machine. Nous détaillons le principe de cette méthode, son fonctionnement ainsi qu’une implémentation en cours basée sur l’utilisation d’une carte PCI-Expresss dédiée.
Souvent au coeur des SI de grands groupes (banque, industrie, etc.), le mainframe reste méconnu des RSSI et des équipes techniques des autres plateformes.
Ce travail propose donc d'évaluer avec un oeil objectif leur sécurité et de présenter certaines de leurs spécificités afin de mieux le prendre en compte dans la sécurité des SI.
Depuis que les réseaux existent, les gens regardent le voisinage de leur propre machine à la recherche de tout et n'importe quoi. On a vu ainsi émerger différentes techniques dont la plus fameuse et toujours d'actualité reste le scan de ports.
Historiquement, l'outil de référence, nmap, proposait une puis des techniques pour tester qu'un service était accessible sur un réseau, en TCP, puis UDP. Il ajouta de nombreuses autres options, de l'OS fingerprinting via la reconnaissance de la pile IP au banner grabbing en passant par des scripts en LUA.
Toute personne qui s'intéresse à la sécurité est un jour confronté à ce couteau suisse du scan de ports, et s'amuse à scanner son voisin, Google, et quelques autres domaines plus ou moins avouables. Vient ensuite le temps de la maturité où, en tant que pentesteur, cet outil devient le quotidien marquant le début de chaque nouveau test.
Cependant, la reconnaissance réseau va beaucoup plus loin que scanner 2-3 machines. Les réseaux supportent aujourd'hui des débits bien plus importants, et on voit apparaître des outils comme zmap ou massscan permettant de scanner de très grands réseaux très rapidement.
La présentation s'articulera autour de ces questions :
- Comment définir une cible précise sur Internet ? (une entreprise, un organisme, un gouvernement...)
- Quels résultats acquérir ?
- Comment scanner rapidement et de manière fiable ces cibles ?
- Comment stocker et analyser ces résultats ?
Plusieurs cas d'études seront présentés :
- Ciblage d'une entité
- Recherche de services vulnérables
- Récupération de clés publiques
- "Monitoring" de réseaux
La cryptographie est difficile à implémenter correctement; nous en avons récemment eu l'exemple avec "Heartbleed" et "goto fail". Nous essaierons d'abord de comprendre la source de ces problèmes, notamment en discutant les qualités de la librairie OpenSSL. Enfin, nous donnerons quelques exemples de recommandations aux développeurs pour éviter des problèmes propres à la cryptographie, tels que les "timing attacks".
Les cartes à puce et les ressources cryptographiques dédiées sont des outils précieux pour renforcer la sécurité des systèmes d'information.
Ces périphériques peuvent êtres vus comme un cœur de confiance dans lequel des opérations cryptographiques vont êtres réalisées. L'interface de programmation PKCS#11 est un standard répandu pour dialoguer avec de telles ressources: il est devenu de facto le standard préféré de l'industrie.
Cependant, des publications récentes ont mis en évidence plusieurs attaques logiques et cryptographiques exploitant des faiblesses de l'interface PKCS#11 pour porter atteinte à la confidentialité ou à l'intégrité des clés cryptographiques stockées dans les ressources concernées.
Nous présentons dans cet article une architecture client/serveur ainsi qu'un moteur de filtrage configurable et extensible. La mise en œuvre d'un tel outil pour analyser des commandes PKCS#11 avant de les transmettre à une ressource cryptographique permet de réduire l'exposition de cette ressource à des attaques exploitant des faiblesses de son implémentation de PKCS#11.
Bien que de plus en plus de CERT existent, sa communauté, dans son ensemble, reste toujours assez fermée.
Cette présentation a pour espoir de montrer une note de transparence sur la vie d'un CERT, et plus précisemment de sa partie réponse à incident.
Nous ferons un retour d'expérience sur ce qui a marché ou non.
Mêlant aspects techniques et organisationnels, nous espérons être intéressant à lire aussi bien pour la filière management que la filière experte.
- Let's rump! video
- Tuto Miasm
- Cloud ISO 14001 - Take 2 video
- Let's talk about SELKS video
- Kerby@Parsifal video
- SSTICY video
- J'ai cru voir un grosminet video
- L'obfuscation dont vous êtes le héros video
- Mind your languages video
- Sécurité des ADSL... ailleurs video
- Private meeting
- From NAND till dump
- x86 anti-decoders (PoC)
- Stopper l'attaque DDos de Bryan... video
- jpg or mov, pourquoi choisir? video
- TCP Fast Open video
- Rebus video
- BNew - Outil de classification de malwares
- La résolution du fameux challenge web100 video
- IRMA video
- Android 0dayz hunting, again video
- Les actes SSTIC en ebook video
- Raadio sur canapé
- Nodescan
- Promo : No Such Con video
- Do not make your own crypto
- A Large Scale Analysis of the Security of Embedded Firmwares video
Alors que sous GNU/Linux, Valgrind off?re une représentation intermédiaire de code binaire, il n'existe pas d'outil aussi complet sur les OS Microsoft. Cette problématique a été rencontrée lors de la tentative de portage sous Windows du fuzzer Fuzzgrind (cf SSTIC 2009), qui est basé sur une exécution concolique. Le projet de portage, baptisé FuzzWin, a ainsi nécessité l'écriture d'un langage intermédiaire et un ensemble de fonctions spécifi?quement développées par l'auteur pour le marquage de données et détaillées dans cet article.
Le langage Python a connu un essor certain ces dix dernières années. Pour faciliter le déploiement ou rendre plus difficile l'accès au code source, des «~packeurs~» d'application ont vu le jour. Ces outils ne se contentent pas d'archiver le code source de l'application accompagné d'un interpréteur Python dans un unique fichier, ils appliquent aussi plusieurs transformation du code ou de l'interpréteur pour rendre plus difficile le travail de rétro-ingénierie.
Cet article étudie les mesures d'obfuscation existantes dans le contexte du langage Python et les contre-mesures qui ont été adoptées. Il propose également plusieurs techniques d'obfuscation reposant sur la modification conjointe du code Python et de l'interpréteur, rendant les stratégies de décompilation pure Python inutilisables.
Cette présentation porte sur l’analyse d’une DRM (“Digital Right Management”) très répandue et présentant des fonctionnalités assez avancées en matière d’obfuscation. Afin de comprendre son fonctionnement, les méthodes de rétro-ingénierie (ou reverse engineering) classiques s’étant avérées peu efficaces, le choix a été fait d’une approche centrée sur l’analyse de trace. À cette fin, le framework “pTra” a été développé. Au travers de la présentation, nous montrons comment cette approche a facilité l’analyse de portions de code lourdement obscurcies, entrelaçant plusieurs protections. Nous présenterons les mécanismes mis en oeuvre par ces protections, ainsi que les méthodes utilisées pour les contourner.
Conférence invitée
De nouvelles vulnérabilités liées au partage des ressources apparaissent avec les infrastructures cloud multi-locataires. Dans cet article, nous examinons comment le partage des ressources peut être exploité par simple manipulation des quantités de ressources consommées par les machines virtuelles, pour amener le système de gestion dynamique des ressources à déclencher des migrations de machines virtuelles. De telles migrations intempestives consomment inutilement des ressources de l'infrastructure et impactent les performances des machines virtuelles migrées. Pour démontrer cette attaque cross-machines virtuelles, nous utilisons une plate-forme VMware qui met en oeuvre un algorithme de gestion des migrations automatiques de machines virtuelles, i.e. Distributed Resource Scheduling (DRS). Nous analysons dans le détail le déroulement de nos expérimentations en supervisant le fonctionnement de DRS pendant toute la durée de l'attaque. Nous examinons dans divers contextes la quantité minimum de ressources nécessaire au succès de l'attaque. Dans nos expérimentations réalisées sur des petits clusters, nous observons que la vulnérabilité d'un cluster vis-à-vis de cette attaque augmente avec la taille du cluster et avec le niveau d'agressivité de DRS. Enfin?, nous montrons que le schéma de base de l'attaque peut être reproduit successivement plusieurs fois pour engendrer une série de migrations.
RpcView est un outil d'exploration des MS RPC, capable d'énumérer toutes les interfaces locales sur un système d'exploitation, qu'elles soient enregistrées auprès de "Endpoint Mapper" ou qu'elles ne le soient pas. L'outil supporte tous les OS à partir de XP et jusqu'à Windows 8.1 en version 32 et 64 bits. Il est muni d'un plugin de décompilation permettant la reconstruction des interfaces exprimées en MIDL, premier pas vers la conception d'un client permettant d'interagir avec le serveur ciblé.
Nous proposons dans cet article un framework permettant de définir et d’appliquer des politiques de sécurité sur un trafic réseau. L’objectif étant d’offrir un langage à la fois simple, performant et expressif, et permettant d’implémenter rapidement des politiques de filtrage tout en simplifiant à l’utilisateur les tâches liées à l’extraction de données, au réassemblage des flux ou bien à la gestion de la mémoire.