samedi 14 juin 2008

gpcode & lolz

Bon, tout le monde a forcément déjà entendu parler de ces malwares qui, lorsqu'on se les chope, chiffrent tous les fichiers .doc, .xls, .jpg, ... enfin tous les documents qui ont de très fortes chances d'être des fichiers perso de l'utilisateur, le tout avec du RSA 1024 bits. Du coup, kaspersky s'est mis en tête de péter cette clé privée! Tout simplement hallucinant.
Même Bruce "Norris" Schneier se marre de cette idée de Kaspersky estimant qu'obtenir la clé privée est envisageable en moins d'un an. Bon, heureusement, l'idée d'exploiter une "faiblesse" de gpcode avec photorec est apparue, du coup il y aura peut-être bientôt des malwares qui font un shred sur les fichiers originaux après les avoir chiffrés avec un truc à base de courbes elliptiques (en fait, ne pas shredder un fichier après l'avoir chiffré, c'est méchament minable). Puis de toutes façons, vaut mieux toujours avoir des backups des données importantes (ouais pour un particulier, c'est dommage de paumer ses photos de vacances, mais pour une entreprise, ça peut couter plein de pognon tout ça)

dimanche 8 juin 2008

SSTIC (rump sessions)

Dernier post pour mon pseudo compte-rendu du SSTIC; post qui sera d'ailleurs un peu court, dans la mesure où je ne me rappelle pas de toutes les rump-sessions (il y en a eu une bonne vingtaine), mais en vrac, le SSTIC-Canal Historique nous a présenté son site :), puis on a eu droit à une annonce pour la conférence C&ESAR du CELAR qui aura lieu courant décembre 2008, Cédric Blancher a fait un truc à la nikoteen du SSTIC 2006 avec un faux script shell permettant de faire croire que les signatures DSA utilisées par le site permettant la télédéclaration des revenus étaient faibles (à cause du fameux problème de sécurité causé par un package maintainer debian, enfin n'entrons plus dans les détails), des gens de FT R&D ont présenté un outil de leur conception permettant justement de retrouver une clé de session SSH vulnérable en environ 5 minutes max (!) et accessoirement de déchiffrer des connexions SSH capturées dans des traces pcap, un appel à contribution pour qui possèderait de telles traces des deux dernières années a été lancé :), des gens du CEA (je crois) ont présenté un outil de représentation graphique du traffic réseau (en particulier le traffic offensif, genre port 135, etc) sous forme de cube, même si j'ai pas tout compris, l'ESL (à ne pas confondre avec le LSE, fin du troll) a présenté une nouvelle manière de faire des blind injections sql en utilisant des retardateurs dans les requêtes, le tout permettant de faire une sorte de mini botnet pour ne pas laisser de traces, nikoteen, le fameux, a montré comment, une fois qu'on a une connerie dans la tête, il est difficile de passer à côté, en illustrant ça avec "Still Loving You" de Scorpions (une chance que je connaisse les paroles originales, sinon ça en était fini de moi) et le passage où on *peut* entendre "ce soir j'ai les pieds qui puent" en lieu et place de "[...] so strong that I can't get through" (ceux qui ont déjà écouté Cradle of Filth connaissent le passage où Dani donne l'impression de crier "j'aime le saucisson!" (à la place de "that obsesses the heart") dans le morceau Lustmord and Wargasm de l'album Cruelty and The Beast, vers 1:50), puis une présentation d'un firewall qui fait du filtrage aussi en fonction de la météo, mais ce n'était qu'une couverture pour présenter des bindings à netfilter :), Christophe Grenier nous a parlé de son outil Photorec (dont j'avais déjà pu lire un exemple typique d'utilisation sur le site de Cedric Blancher), Nicolas Ruff a raconté quelques déboires avec des serveurs HP pour utiliser la virtualisation dessus, et comment en lisant juste un listing assembleur dans une doc, il était possible de trouver un mot de passe permettant de l'activer...puis une petite présentation de la gestion des risques dans un datacenter je crois, dans le canton du jura en suisse, un jour d'inondation, un truc assez amusant :) puis j'en oublie plein d'autres je pense, cf commentaires (:p) avec un plugin IDA permettant le repérage de failles applicatives (stack overflows pour le moment). Dommage que ma vidéo de 1h18 de rumps soit d'une qualité assez pourrie. Je pense que ça va me motiver à me prendre un vrai appareil photo, ou un camescope numérique l'an prochain...

samedi 7 juin 2008

SSTIC Jour 3 (le dernier !)

* Bon, je vais maintenant tenter de résumer le jour 3 du SSTIC, qui a commencé par un talk que je n'ai pas suivi dans son intégralité (le social event cause de gros dégats), qui avait cependant l'air très intéressant, dont la thématique tournait autour des environnements graphiques à distance (ou comment faire en sorte que 7 utilisateurs simultanés puissent utiliser une seule machine via le réseau en simultané de manière graphique sans trop se nuire en raison des ressources, et le tout, de manière sécurisée). Un article qui méritera que j'y jette un oeil plus poussé dès que j'aurai un peu de temps (temps que j'aurais si je ne prenais pas la peine d'écrire un compte rendu un peu fade comparé à d'autres :))
* Ensuite, Yom a présenté le fonctionnement du botnet de Storm; botnet décrit d'un point de vue purement fonctionnel, le reverse des binaires (plus de 500, avis aux amateurs de reverse (enfin j'ai discuté avec certains gens l'ayant déjà reversé pendant ce SSTIC, donc j'imagine que personne n'en apprendra plus rien)) ainsi que ses techniques de dissimulation n'étant pas abordés ici: juste les techniques utilisées pour que le "commandant" du botnet communique avec les pc zombies (sachant qu'il était également très facile de prendre le contrôle de tout ou partie de ce botnet de manière relativement simple). Bref, talk là aussi très intéressant.
* Avant la pause, c'est GomoR qui nous a présenté son outil d'OS fingerprinting SinFP, en nous expliquant en quoi les outils tels que nmap & co ne sont pas forcément fiables dans certains cas (machine derrière un NAT par exemple, dont les en-têtes sont modifiés), et en apportant une solution intéressante à ce problème. Là aussi, une présentation intéressante au final, alors que je pensais que cela ne serait pas intéressant au début.
* Juste après la pause, c'est un gendarme de l'IRCGN qui nous a fait une présentation de leur labo de forensics dans le cadre de crimes touchant de près ou de loin à l'informatique (rarement du pwnage de serveur (chiffre noir, entreprises qui n'osent pas porter plainte), plutôt les tristement célèbres affaires de pédopornographie). Il se trouve que ce dimanche, en revenant d'Aix-en-Provence, j'ai lu dans le TGV un pdf sur les recommandations faites aux enquêteurs lors du prélèvement de matériel informatique (que ça soit pc, imprimantes, pda, etc). J'ai même appris qu'ils étaient capables, lorsqu'une machine est allumée, de l'embarquer encore en marche (vital pour le prélèvement d'indices pour éviter leur perte en mémoire) sans avoir à la débrancher. Le pire c'est que j'arrive à peine à imaginer comment :-). Ensuite, quelques recommandations pour les gens qui dirigent les entreprises où quelqu'un serait suspecté, du style éviter de propager la nouvelle inutilement à toute l'entreprise, surtout dans des cas de pédophilie, dans la mesure où même si la personne est innocente, une réputation est vite faite et peut engendrer des problèmes graves (perte d'emploi, famille, suicide, ...), dans ces cas là il vaut mieux parler de problèmes moins graves, comme suspecter un traffic de mp3, beaucoup plus répandu et moins enclin à faire une sale réputation. Bref, là encore une conférence super intéréssante. Lorsque j'étais à l'Epitech, j'avais déjà pu constater l'intérêt de l'IRCGN dans l'informatique (utilisation de l'informatique pour traitement du signal (par exemple il y a un bracage, un enregistrement sonore est examiné, il y a une sirène d'alarme, et par derrière on entend de types hurler; en isolant certains sons, on arrive à peu près à entendre ce qu'ils racontent, et il se trouvent qu'ils s'appellent par des prénoms))
* Juste avant d'aller à la soupe, on a eu droit à un bel exemple de l'utilisation du firewire pour un accès à la mémoire physique de la machine, en partant du constat que MS Windows, par défaut, interdit l'accès DMA pour tous les outils Firewire, sauf pour les IPod afin de gagner un peu en performance. L'idée étant alors de se faire passer pour un ipod. 3 démos pour illustrer tout ça, pour la lecture de données en mémoire, l'écriture de données (une variable qui par défaut est à 14 pour le login sous windows, permettant de spécifier que le login manager doit chercher le hash LM ou NTLM, qui une fois passé à 04 dit de ne pas chercher de hash, faisant que si on tape n'importe quoi comme mot de passe, on est loggué sur le système), et un accès en exécution (la démo consistant à faire exécuter un cmd.exe avant d'être loggué...cmd.exe exécuté en tant que SYSTEM !! permettant donc l'exécution d'un explorer.exe). Bref, une démo très amusante sur un sujet assez intéressant.
* Juste après la bouffe, c'est Florent Chabaud de la DCSSI qui nous a fait un talk sur le pourquoi du comment en France, au niveau gouvernemental, rien n'est vraiment pris comme décision utile dans le domaine de la sécurité informatique, malgré le fait que nous disposons de compétences assez pointues dans certains domaines (crypto, méthodes formelles (exemple de METEOR sur la ligne 14, et je crois du projet ASTREE mais je n'en suis plus certain)). Niveau retard décisionnel, un exemple a été donné pour les clés DSA du gouvernement, le projet a débuté au début des années 2000 (je dirais 2002) et les clés ont été publiées au journal officiel 5 ans plus tard, alors que les critères de sécurité ont changé en 5 ans. D'ailleurs, il y aura un passage à un système basé sur les courbes elliptiques d'ici 2 ou 3 ans (travaillant moi même depuis peu sur des technologies basées là dessus, ça fait plaisir de voir que les gens y voient un intérêt). Un talk intéressant quoi. Le speaker ayant en plus mis des lunettes noires le faisant passer pour un homme en noir (c'était également le seul en trois jours à parler en costard-cravate)).
* Le dernier talk de la journée (et du SSTIC 2008) quant à lui, expliquait comment, sans avoir de grandes grandes compétences en analyse de binaires, il était possible d'examiner un malware sans toutesfois participer à un pourrissage de l'internet multimédia interactif (par exemple en faisant tourner le malware dans une machine virtuelle sur un réseau privé n'ayant aucun accès à internet, avec une pseudo passerelle qui répond pour chaque ip (afin que l'ip réelle ne soit jamais vraiment contactée). Une démo sur un fichier office contenant des exploits connus a été faite également, mais je n'ai pas tout suivi, avec l'outil hachoir je crois bien (ah ah, si je ne me rappelle déjà plus de ça ...). Bref, un talk là aussi intéressant pour les "débutants" en analyse de malware (que ça soient des particuliers s'y intéressant, ou des entreprises qui n'ont pas les moyens de se payer des reversers :))
Puis ce fût la clôture du SSTIC cuvée 2008, direction le Surcouf devant la gare sncf de Rennes avec des gens de l'EPITECH Security Laboratory puis un train vers Paris à 18h05. J'espère pouvoir prendre mes places à temps l'an prochain! Peut-être même avec une conf' si je trouve le soutien adéquat (sinon ça sera juste une rump) En attendant, je vais envisager de finir de répondre au sondage.

Photos SSTIC'08

Bon, avant de m'attaquer à une partie du résumé des rump sessions, du social event (aaaah le social event) et le 3e jour du SSTIC, j'en ai profité pour uploader mes quelques photos. Bon, à un 2600 (halala ces meets de h4x0rz) il a été dit que les gens qui allaient au SSTIC (et ceux qui bossent dans des sociétés qui font dans la défense, ce qui est un peu (un peu) mon cas) roulaient en BM et tuaient des enfants. Du coup, je roule en BM ce qui fait que j'ai pas les moyens pour m'acheter un appareil photo potable, (ou simplement correct, qui se cotise ?) vous m'excuserez donc la piètre qualité des photos :((((
Vous lez trouverez sur mon album google picasa (je les mettrai sur moulinette[.]org plus tard je pense)

SSTIC Jour 2 (sans les rumps)

Le social-event ayant eu raison de moi (je n'allais pas me mettre à résumer la journée passée à 1H du matin après un social event), je vais m'atteler au résumé des deux derniers jours de SSTIC le lendemain de sa clôture.
Le premier talk du second jour, bon je l'ai à peine suivi (un peu à tort, la sécurité physique et l'urbanisme informatique c'est toujours intéressant), il portait sur les data-centers, leur sécurité (physique), comment ils sont conçus, leur consommation électrique, leur refroidissement, leur organisation (au sens comment les baies sont installées pour une climatisation efficace), et pourquoi il a fallu changer un peu tout ça quand on a commencé à utiliser des serveurs un peu plus petits en taille.
Ensuite, un talk très intéressant de reverse engineering, expliquant comment avec metasm il était possible de simplifier certaines étapes de reversing habituellement chiantes à contourner (une sorte de false disassembly, et l'ajout de code inutile voire même redondant (le cas typique de deux fonctions identiques, l'une d'entre elles étant appellées si un rand() renvoie un nombre pair, la seconde étant appellée si le nombre est impair, qui font perdre du temps lorsqu'on reverse un binaire ainsi obscurci) , avec deux challenges de reverse résolus avec cet outil pour illustrer.
Seb Roy et Anthony Desnos ont ensuite présenté le framework de reverse ERESI, long long long travail (travaux ? car il s'agit d'un merge entre elfsh commencé par Julien Vanegue en 2001 à l'epitech, et Kernsh commencé à peu près à la même époque par Samuel Dralet et Nicolas Brito, mort, puis repris très récemment par Anthony Desnos) qui a depuis énormément évolué et compte des dizaines de contributeurs. Bon c'était une présentation d'un outil sympa, suivie d'une démo, mais les fonctionnalités sont bien plus importantes.
Juste avant la bouffe, il y a eu un talk sur les attaques cryptographiques sans nécéssairement s'appeller la NSA, ni forcément être un Bruce Schneier (enfin si, un peu), en partant du principe que généralement, les failles en crypto viennent dans l'implémentation (ou alors de libs tierces qui ont été modifiées à la sauvage hein, tant qu'on y est). Donc on nous a aussi présenté un ptit tool pour accélérer un peu la recherche de fonctions de crypto dans des binaires avec IDA. Bon, tout cela m'a un peu rappellé un article de kostya kortchinsky dans un ancien MISC (d'il y a 3 ou 4 ans) en deux parties sous forme de mini challenge sur une faille dans le rng de Java pour des clés DSA. Bref, talk très intéressant, dont il faudra que je lise les actes une fois mon retour terminé (oui, quand on rentre chez soi, on aimerait bien lire les actes, mais on se rend compte qu'on a plus rien à bouffer et que la douche fuit, donc on fait un compte rendu du SSTIC avant d'aller faire des courses et faire du bricolage)
D'ailleurs, en parlant de bouffe, ça a été le dernier talk de la matinée. Après ça, nous avons eu droit à un talk sur la sécurité des réseaux de capteurs, bon là encore, digestion oblige, je n'ai pas tout tout suivi, juste vite fait le passage sur les pacemaker dont il a été question récemment (bon je retrouve plus le paper d'origine, mais j'imagine que les gens qui me lisent l'avaient fait), et donc se posait la question de la sécurisation de ces appareils qui sont donc reprogrammables à distance, notamment de leur accès par un médecin en cas d'urgence, etc. Bon ensuite y'a eu un truc sur les capteurs genre la détection de l'invasion d'un pays par des chars, mais j'ai pas tout suivi, je pense que je me rabattai sur les slides ou l'article.
Ensuite, Cedric Blancher a parlé de la dépérimétrisation, et de pourquoi c'est pas bien (en gros, chaque entité du réseau est responsable de sa propre sécurité, tout ça tout ça). Le tout avec des gens qui le soir rentrent chez eux du boulot avec leur laptop qu'ils refilent à leur gamin qui va choper toutes les saloperies possibles, et le brave employé revient le lendemain au boulot avec son laptop uber infecté. Bref.
Puis pour cloturer les talks, avant les rump sessions, Marie Barel a exposé quelques ennuis qui peuvent arriver lors de pen-tests, pourquoi c'est pas cool du point de vue juridique si ça arrive, et surtout qui est responsable (donc: comment s'en sortir). Talk intéressant quand on est pentester (enfin société de pentest) ou client qui veut se faire tester (et aussi les autres gens que ça intéresserait)
Je m'attaquerai à un bref résumé de quelques rumps par la suite, genre plus tard, idem pour le jour 3.

mercredi 4 juin 2008

SSTIC jour 1

Pendant que certains deux rangs devant moi, pour avoir l'exclusivité de la conf', blogguent en quasi-direct pour faire leur compte rendu, se déroulait...la conf! Bon je vais pas faire de compte rendu détaillé justement, juste balancer à peu près en vrac mes impressions sur ce premier jour qui ma foi, a été fort intéressant. La keynote de Marcus Ranum, bien que dans un français très hésitant (il est américain) mais comportant néanmoins quelques notes d'humour pour commencer, pour un ptit jeune comme moi qui connais vaaaaguement le milieu de la sécu depuis une ptite dizaine d'année, est instructive sur l'échec des "politiques" de sécurité depuis toujours, parce que finalement personne n'y croit ou tout le monde s'en fout, et ce brave Marcus d'ajouter qu'il y a déjà 20 ans il disait qu'on fonçait droit dans le mur, tout le monde le montrait du doigt en faisant "hahaha", et maintenant il le dit toujours, on ne ricanne plus, mais on ne change toujours rien.
A suivi ensuite un excellent talk tournant autour de l'utilisation du social engineering dans des cas de pentests, ou de véritables pwnages d'entreprises. Etant fasciné par le renseignement humain en général, j'avais déjà lu un peu de documentation à ce sujet auparavant (Le renseignement humain de Gérard Desmaretz, le Petit traité de manipulation à l'usage des honnêtes gens (énoncé pendant ce talk), ...) avec quelques détails sur le profil même des usagers de ces techniques, pour différencier le pro, le hacker du dimanche, ... bon, il aurait été amusant de parler des techniques d'obtention de mots de passe telles que la promesse de chocolat au téléphone :)
Puis il y a eu un talk sur les attaques de cartes à puce à distance (le même genre de bouzin qu'on a dans nos belles cartes navigo quoi) que je n'ai pas trop suivi, cela m'a rappellé un truc lu sur le blog de Trifinite ces derniers jours et releasé pendant EUSecWest fin mai, qui a d'ailleurs été évoqué à la fin. Mais mes connaissances en électronique étant ce qu'elles sont, cela ne m'a pas plus attiré que ça.
Bon y'a eu ensuite la petite bouffe au resto-u, avec un ptit verre de rosé sucré, pas mauvais, puis une bouteille de piquette :) et on est repartis pour une après midi de folie vers 14h30...David Naccache nous a présenté ce que l'on a tous pensé être un talk sur les forensics sur téléphone mobile, avec une présentation rapide du cadre légal, quelques techniques pour accéder aux données de la SIM, etc etc...soudain, c'est le drame: il nous a parlé d'un truc qui s'apparente à un covert channel sur la température. Enfin un truc totalement hallucinant, vraiment excellent, en gros, en jouant sur des variations de température, pouvoir faire passer un message, le tout avec un thermobug pour capter ça. Enfin, purement génial. Si quelqu'un a saisi comment il est passé des forensics gsm à ça, ça m'intéresse d'ailleurs.
Bon, ensuite, talk de Matthieu Blanc sur les outils de pentest automatiques; donc forcément tout le monde pense à Metasploit, Canvas et Core Inpact, bref les 3 plus connus. Le sujet tournait autour de leur détection et leur mise en échec, voire même contre attaque; tout cela m'a rappellé de très loin un article dans un vieux MISC expliquant comment il était possible de feinter un SK qui tente une connexion avec un vieux trojan (je ne me rappelle plus, ça devait être netbus) qui était totalement déformé quand il se recevait des données particulières, avec faux serveur en perl pour illustrer. Intéressant, mais c'était plus un comparatif avec une présentation d'un outil de détection qu'autre chose.
A suivi un talk que je n'ai pas totalement suivi mais qui avait l'air très intéressant, sur les bugs et backdoors dans les cpu, avec quelques instructions qui, quand utilisées d'une manière précise, permettent de faire des choses amusantes, comme le changement du securelevel sous bsd, etc (enfin ça c'était la démo, qui tournait dans un xen émulé dans un bochs en fait)
L'analyse du malware dans la conf qui a suivi, qui interceptait les données bancaires de clients, était super instructive, et apportait un certain éclairage sur certains mécanismes du business qui s'est développé dans la "cybercriminalité" qui rapporte plus que le traffic de prostiputes ou de drogue. L'analyse en elle même expliquait comment des mecs parfaitement professionnels entretenaient une sorte de "botnet" (notez les " ") qui leur permettait, grace au RBN etc etc de s'enrichir, comment les banques (même en france) étaient quand même relativement larguées contre ces gens qui trouvent toujours un moyen d'exploiter la niaiserie de l'utilisateur lambda qu'on laisse circuler sur internet (banques qui à priori s'en foutent), et comment les FAI n'ont pas vraiment de possibilités de réaction sans ouvrir la porte à des dérives telles que le filtrage de l'internet multimédia interactif. Bref une très bonne analyse.
Puis là ... là ... bah, le clou de la journée je crois. Un ptit groupe de gens du CELAR venu présenter leur debugger multi OS, multi plateformes, etc etc super modulaire. En fait j'en suis un peu resté sans voix? Et je suis pas le seul. Un bien bel exemple du "bah on avait besoin de ça ça ça et ça, tel outil en faisait une partie mais il n'existe plus, celui ci ne convenait pas entièrement, et lui non plus ... donc on a codé le notre quand on avait un peu de temps libre". Le tout pour un résultat à couper le souffle. Puis les speakers avaient eux aussi un bon sens de l'humour, comme par exemple, en parlant de la doc de leur SDK (un des seuls trucs publics de cet outil), "bah pour la doc...heu bah le .h c'est de la doc" :)
Ensuite, cocktail où on a bu vite fait un truc puis rentrage à l'hotel avec quelques connaissances de l'epitech logés à la même enseigne.
Bref, une fort bien bonne première journée.

EDIT: bon en fait, pour le coup du covert channel over température du cpu, le rapport avec les analyses forensics, c'est que tout doit être fait dans un environnement totalement "hermétique" (cage de faraday coulée dans du béton armé etc etc), et du coup à priori, si les ondes electromagnétiques ne passent pas, il faut se méfier des variations de température, voilà voilà (j'ai pigé ça en lisant les actes)