Le social-event ayant eu raison de moi (je n'allais pas me mettre à résumer la journée passée à 1H du matin après un social event), je vais m'atteler au résumé des deux derniers jours de SSTIC le lendemain de sa clôture.
Le premier talk du second jour, bon je l'ai à peine suivi (un peu à tort, la sécurité physique et l'urbanisme informatique c'est toujours intéressant), il portait sur les data-centers, leur sécurité (physique), comment ils sont conçus, leur consommation électrique, leur refroidissement, leur organisation (au sens comment les baies sont installées pour une climatisation efficace), et pourquoi il a fallu changer un peu tout ça quand on a commencé à utiliser des serveurs un peu plus petits en taille.
Ensuite, un talk très intéressant de reverse engineering, expliquant comment avec metasm il était possible de simplifier certaines étapes de reversing habituellement chiantes à contourner (une sorte de false disassembly, et l'ajout de code inutile voire même redondant (le cas typique de deux fonctions identiques, l'une d'entre elles étant appellées si un rand() renvoie un nombre pair, la seconde étant appellée si le nombre est impair, qui font perdre du temps lorsqu'on reverse un binaire ainsi obscurci) , avec deux challenges de reverse résolus avec cet outil pour illustrer.
Seb Roy et Anthony Desnos ont ensuite présenté le framework de reverse ERESI, long long long travail (travaux ? car il s'agit d'un merge entre elfsh commencé par Julien Vanegue en 2001 à l'epitech, et Kernsh commencé à peu près à la même époque par Samuel Dralet et Nicolas Brito, mort, puis repris très récemment par Anthony Desnos) qui a depuis énormément évolué et compte des dizaines de contributeurs. Bon c'était une présentation d'un outil sympa, suivie d'une démo, mais les fonctionnalités sont bien plus importantes.
Juste avant la bouffe, il y a eu un talk sur les attaques cryptographiques sans nécéssairement s'appeller la NSA, ni forcément être un Bruce Schneier (enfin si, un peu), en partant du principe que généralement, les failles en crypto viennent dans l'implémentation (ou alors de libs tierces qui ont été modifiées à la sauvage hein, tant qu'on y est). Donc on nous a aussi présenté un ptit tool pour accélérer un peu la recherche de fonctions de crypto dans des binaires avec IDA. Bon, tout cela m'a un peu rappellé un article de kostya kortchinsky dans un ancien MISC (d'il y a 3 ou 4 ans) en deux parties sous forme de mini challenge sur une faille dans le rng de Java pour des clés DSA. Bref, talk très intéressant, dont il faudra que je lise les actes une fois mon retour terminé (oui, quand on rentre chez soi, on aimerait bien lire les actes, mais on se rend compte qu'on a plus rien à bouffer et que la douche fuit, donc on fait un compte rendu du SSTIC avant d'aller faire des courses et faire du bricolage)
D'ailleurs, en parlant de bouffe, ça a été le dernier talk de la matinée. Après ça, nous avons eu droit à un talk sur la sécurité des réseaux de capteurs, bon là encore, digestion oblige, je n'ai pas tout tout suivi, juste vite fait le passage sur les pacemaker dont il a été question récemment (bon je retrouve plus le paper d'origine, mais j'imagine que les gens qui me lisent l'avaient fait), et donc se posait la question de la sécurisation de ces appareils qui sont donc reprogrammables à distance, notamment de leur accès par un médecin en cas d'urgence, etc. Bon ensuite y'a eu un truc sur les capteurs genre la détection de l'invasion d'un pays par des chars, mais j'ai pas tout suivi, je pense que je me rabattai sur les slides ou l'article.
Ensuite, Cedric Blancher a parlé de la dépérimétrisation, et de pourquoi c'est pas bien (en gros, chaque entité du réseau est responsable de sa propre sécurité, tout ça tout ça). Le tout avec des gens qui le soir rentrent chez eux du boulot avec leur laptop qu'ils refilent à leur gamin qui va choper toutes les saloperies possibles, et le brave employé revient le lendemain au boulot avec son laptop uber infecté. Bref.
Puis pour cloturer les talks, avant les rump sessions, Marie Barel a exposé quelques ennuis qui peuvent arriver lors de pen-tests, pourquoi c'est pas cool du point de vue juridique si ça arrive, et surtout qui est responsable (donc: comment s'en sortir). Talk intéressant quand on est pentester (enfin société de pentest) ou client qui veut se faire tester (et aussi les autres gens que ça intéresserait)
Je m'attaquerai à un bref résumé de quelques rumps par la suite, genre plus tard, idem pour le jour 3.
Le premier talk du second jour, bon je l'ai à peine suivi (un peu à tort, la sécurité physique et l'urbanisme informatique c'est toujours intéressant), il portait sur les data-centers, leur sécurité (physique), comment ils sont conçus, leur consommation électrique, leur refroidissement, leur organisation (au sens comment les baies sont installées pour une climatisation efficace), et pourquoi il a fallu changer un peu tout ça quand on a commencé à utiliser des serveurs un peu plus petits en taille.
Ensuite, un talk très intéressant de reverse engineering, expliquant comment avec metasm il était possible de simplifier certaines étapes de reversing habituellement chiantes à contourner (une sorte de false disassembly, et l'ajout de code inutile voire même redondant (le cas typique de deux fonctions identiques, l'une d'entre elles étant appellées si un rand() renvoie un nombre pair, la seconde étant appellée si le nombre est impair, qui font perdre du temps lorsqu'on reverse un binaire ainsi obscurci) , avec deux challenges de reverse résolus avec cet outil pour illustrer.
Seb Roy et Anthony Desnos ont ensuite présenté le framework de reverse ERESI, long long long travail (travaux ? car il s'agit d'un merge entre elfsh commencé par Julien Vanegue en 2001 à l'epitech, et Kernsh commencé à peu près à la même époque par Samuel Dralet et Nicolas Brito, mort, puis repris très récemment par Anthony Desnos) qui a depuis énormément évolué et compte des dizaines de contributeurs. Bon c'était une présentation d'un outil sympa, suivie d'une démo, mais les fonctionnalités sont bien plus importantes.
Juste avant la bouffe, il y a eu un talk sur les attaques cryptographiques sans nécéssairement s'appeller la NSA, ni forcément être un Bruce Schneier (enfin si, un peu), en partant du principe que généralement, les failles en crypto viennent dans l'implémentation (ou alors de libs tierces qui ont été modifiées à la sauvage hein, tant qu'on y est). Donc on nous a aussi présenté un ptit tool pour accélérer un peu la recherche de fonctions de crypto dans des binaires avec IDA. Bon, tout cela m'a un peu rappellé un article de kostya kortchinsky dans un ancien MISC (d'il y a 3 ou 4 ans) en deux parties sous forme de mini challenge sur une faille dans le rng de Java pour des clés DSA. Bref, talk très intéressant, dont il faudra que je lise les actes une fois mon retour terminé (oui, quand on rentre chez soi, on aimerait bien lire les actes, mais on se rend compte qu'on a plus rien à bouffer et que la douche fuit, donc on fait un compte rendu du SSTIC avant d'aller faire des courses et faire du bricolage)
D'ailleurs, en parlant de bouffe, ça a été le dernier talk de la matinée. Après ça, nous avons eu droit à un talk sur la sécurité des réseaux de capteurs, bon là encore, digestion oblige, je n'ai pas tout tout suivi, juste vite fait le passage sur les pacemaker dont il a été question récemment (bon je retrouve plus le paper d'origine, mais j'imagine que les gens qui me lisent l'avaient fait), et donc se posait la question de la sécurisation de ces appareils qui sont donc reprogrammables à distance, notamment de leur accès par un médecin en cas d'urgence, etc. Bon ensuite y'a eu un truc sur les capteurs genre la détection de l'invasion d'un pays par des chars, mais j'ai pas tout suivi, je pense que je me rabattai sur les slides ou l'article.
Ensuite, Cedric Blancher a parlé de la dépérimétrisation, et de pourquoi c'est pas bien (en gros, chaque entité du réseau est responsable de sa propre sécurité, tout ça tout ça). Le tout avec des gens qui le soir rentrent chez eux du boulot avec leur laptop qu'ils refilent à leur gamin qui va choper toutes les saloperies possibles, et le brave employé revient le lendemain au boulot avec son laptop uber infecté. Bref.
Puis pour cloturer les talks, avant les rump sessions, Marie Barel a exposé quelques ennuis qui peuvent arriver lors de pen-tests, pourquoi c'est pas cool du point de vue juridique si ça arrive, et surtout qui est responsable (donc: comment s'en sortir). Talk intéressant quand on est pentester (enfin société de pentest) ou client qui veut se faire tester (et aussi les autres gens que ça intéresserait)
Je m'attaquerai à un bref résumé de quelques rumps par la suite, genre plus tard, idem pour le jour 3.
1 commentaire:
Sans vouloir critiquer (1 an apres le poste..), ERESI n'est pas un merge entre elfsh et kernsh. Cest une framework qui contient 6 projets differents, utilisant un langage de script commun pour faciliter la communication entre les composants. A noter que la version de kernsh dans ERESI a ete reecrite from scratch par Anthony Desnos, et n'a donc rien a voir avec un merge de la version de Samuel Dralet et Nicolas Brito, si ce n'est le nom, en accord avec Samuel et Nicolas a l'epoque, qui ont discontinue le projet kernsh original.
Enregistrer un commentaire