mercredi 4 juin 2008

SSTIC jour 1

Pendant que certains deux rangs devant moi, pour avoir l'exclusivité de la conf', blogguent en quasi-direct pour faire leur compte rendu, se déroulait...la conf! Bon je vais pas faire de compte rendu détaillé justement, juste balancer à peu près en vrac mes impressions sur ce premier jour qui ma foi, a été fort intéressant. La keynote de Marcus Ranum, bien que dans un français très hésitant (il est américain) mais comportant néanmoins quelques notes d'humour pour commencer, pour un ptit jeune comme moi qui connais vaaaaguement le milieu de la sécu depuis une ptite dizaine d'année, est instructive sur l'échec des "politiques" de sécurité depuis toujours, parce que finalement personne n'y croit ou tout le monde s'en fout, et ce brave Marcus d'ajouter qu'il y a déjà 20 ans il disait qu'on fonçait droit dans le mur, tout le monde le montrait du doigt en faisant "hahaha", et maintenant il le dit toujours, on ne ricanne plus, mais on ne change toujours rien.
A suivi ensuite un excellent talk tournant autour de l'utilisation du social engineering dans des cas de pentests, ou de véritables pwnages d'entreprises. Etant fasciné par le renseignement humain en général, j'avais déjà lu un peu de documentation à ce sujet auparavant (Le renseignement humain de Gérard Desmaretz, le Petit traité de manipulation à l'usage des honnêtes gens (énoncé pendant ce talk), ...) avec quelques détails sur le profil même des usagers de ces techniques, pour différencier le pro, le hacker du dimanche, ... bon, il aurait été amusant de parler des techniques d'obtention de mots de passe telles que la promesse de chocolat au téléphone :)
Puis il y a eu un talk sur les attaques de cartes à puce à distance (le même genre de bouzin qu'on a dans nos belles cartes navigo quoi) que je n'ai pas trop suivi, cela m'a rappellé un truc lu sur le blog de Trifinite ces derniers jours et releasé pendant EUSecWest fin mai, qui a d'ailleurs été évoqué à la fin. Mais mes connaissances en électronique étant ce qu'elles sont, cela ne m'a pas plus attiré que ça.
Bon y'a eu ensuite la petite bouffe au resto-u, avec un ptit verre de rosé sucré, pas mauvais, puis une bouteille de piquette :) et on est repartis pour une après midi de folie vers 14h30...David Naccache nous a présenté ce que l'on a tous pensé être un talk sur les forensics sur téléphone mobile, avec une présentation rapide du cadre légal, quelques techniques pour accéder aux données de la SIM, etc etc...soudain, c'est le drame: il nous a parlé d'un truc qui s'apparente à un covert channel sur la température. Enfin un truc totalement hallucinant, vraiment excellent, en gros, en jouant sur des variations de température, pouvoir faire passer un message, le tout avec un thermobug pour capter ça. Enfin, purement génial. Si quelqu'un a saisi comment il est passé des forensics gsm à ça, ça m'intéresse d'ailleurs.
Bon, ensuite, talk de Matthieu Blanc sur les outils de pentest automatiques; donc forcément tout le monde pense à Metasploit, Canvas et Core Inpact, bref les 3 plus connus. Le sujet tournait autour de leur détection et leur mise en échec, voire même contre attaque; tout cela m'a rappellé de très loin un article dans un vieux MISC expliquant comment il était possible de feinter un SK qui tente une connexion avec un vieux trojan (je ne me rappelle plus, ça devait être netbus) qui était totalement déformé quand il se recevait des données particulières, avec faux serveur en perl pour illustrer. Intéressant, mais c'était plus un comparatif avec une présentation d'un outil de détection qu'autre chose.
A suivi un talk que je n'ai pas totalement suivi mais qui avait l'air très intéressant, sur les bugs et backdoors dans les cpu, avec quelques instructions qui, quand utilisées d'une manière précise, permettent de faire des choses amusantes, comme le changement du securelevel sous bsd, etc (enfin ça c'était la démo, qui tournait dans un xen émulé dans un bochs en fait)
L'analyse du malware dans la conf qui a suivi, qui interceptait les données bancaires de clients, était super instructive, et apportait un certain éclairage sur certains mécanismes du business qui s'est développé dans la "cybercriminalité" qui rapporte plus que le traffic de prostiputes ou de drogue. L'analyse en elle même expliquait comment des mecs parfaitement professionnels entretenaient une sorte de "botnet" (notez les " ") qui leur permettait, grace au RBN etc etc de s'enrichir, comment les banques (même en france) étaient quand même relativement larguées contre ces gens qui trouvent toujours un moyen d'exploiter la niaiserie de l'utilisateur lambda qu'on laisse circuler sur internet (banques qui à priori s'en foutent), et comment les FAI n'ont pas vraiment de possibilités de réaction sans ouvrir la porte à des dérives telles que le filtrage de l'internet multimédia interactif. Bref une très bonne analyse.
Puis là ... là ... bah, le clou de la journée je crois. Un ptit groupe de gens du CELAR venu présenter leur debugger multi OS, multi plateformes, etc etc super modulaire. En fait j'en suis un peu resté sans voix? Et je suis pas le seul. Un bien bel exemple du "bah on avait besoin de ça ça ça et ça, tel outil en faisait une partie mais il n'existe plus, celui ci ne convenait pas entièrement, et lui non plus ... donc on a codé le notre quand on avait un peu de temps libre". Le tout pour un résultat à couper le souffle. Puis les speakers avaient eux aussi un bon sens de l'humour, comme par exemple, en parlant de la doc de leur SDK (un des seuls trucs publics de cet outil), "bah pour la doc...heu bah le .h c'est de la doc" :)
Ensuite, cocktail où on a bu vite fait un truc puis rentrage à l'hotel avec quelques connaissances de l'epitech logés à la même enseigne.
Bref, une fort bien bonne première journée.

EDIT: bon en fait, pour le coup du covert channel over température du cpu, le rapport avec les analyses forensics, c'est que tout doit être fait dans un environnement totalement "hermétique" (cage de faraday coulée dans du béton armé etc etc), et du coup à priori, si les ondes electromagnétiques ne passent pas, il faut se méfier des variations de température, voilà voilà (j'ai pigé ça en lisant les actes)

Aucun commentaire: