samedi 7 juin 2008

SSTIC Jour 3 (le dernier !)

* Bon, je vais maintenant tenter de résumer le jour 3 du SSTIC, qui a commencé par un talk que je n'ai pas suivi dans son intégralité (le social event cause de gros dégats), qui avait cependant l'air très intéressant, dont la thématique tournait autour des environnements graphiques à distance (ou comment faire en sorte que 7 utilisateurs simultanés puissent utiliser une seule machine via le réseau en simultané de manière graphique sans trop se nuire en raison des ressources, et le tout, de manière sécurisée). Un article qui méritera que j'y jette un oeil plus poussé dès que j'aurai un peu de temps (temps que j'aurais si je ne prenais pas la peine d'écrire un compte rendu un peu fade comparé à d'autres :))
* Ensuite, Yom a présenté le fonctionnement du botnet de Storm; botnet décrit d'un point de vue purement fonctionnel, le reverse des binaires (plus de 500, avis aux amateurs de reverse (enfin j'ai discuté avec certains gens l'ayant déjà reversé pendant ce SSTIC, donc j'imagine que personne n'en apprendra plus rien)) ainsi que ses techniques de dissimulation n'étant pas abordés ici: juste les techniques utilisées pour que le "commandant" du botnet communique avec les pc zombies (sachant qu'il était également très facile de prendre le contrôle de tout ou partie de ce botnet de manière relativement simple). Bref, talk là aussi très intéressant.
* Avant la pause, c'est GomoR qui nous a présenté son outil d'OS fingerprinting SinFP, en nous expliquant en quoi les outils tels que nmap & co ne sont pas forcément fiables dans certains cas (machine derrière un NAT par exemple, dont les en-têtes sont modifiés), et en apportant une solution intéressante à ce problème. Là aussi, une présentation intéressante au final, alors que je pensais que cela ne serait pas intéressant au début.
* Juste après la pause, c'est un gendarme de l'IRCGN qui nous a fait une présentation de leur labo de forensics dans le cadre de crimes touchant de près ou de loin à l'informatique (rarement du pwnage de serveur (chiffre noir, entreprises qui n'osent pas porter plainte), plutôt les tristement célèbres affaires de pédopornographie). Il se trouve que ce dimanche, en revenant d'Aix-en-Provence, j'ai lu dans le TGV un pdf sur les recommandations faites aux enquêteurs lors du prélèvement de matériel informatique (que ça soit pc, imprimantes, pda, etc). J'ai même appris qu'ils étaient capables, lorsqu'une machine est allumée, de l'embarquer encore en marche (vital pour le prélèvement d'indices pour éviter leur perte en mémoire) sans avoir à la débrancher. Le pire c'est que j'arrive à peine à imaginer comment :-). Ensuite, quelques recommandations pour les gens qui dirigent les entreprises où quelqu'un serait suspecté, du style éviter de propager la nouvelle inutilement à toute l'entreprise, surtout dans des cas de pédophilie, dans la mesure où même si la personne est innocente, une réputation est vite faite et peut engendrer des problèmes graves (perte d'emploi, famille, suicide, ...), dans ces cas là il vaut mieux parler de problèmes moins graves, comme suspecter un traffic de mp3, beaucoup plus répandu et moins enclin à faire une sale réputation. Bref, là encore une conférence super intéréssante. Lorsque j'étais à l'Epitech, j'avais déjà pu constater l'intérêt de l'IRCGN dans l'informatique (utilisation de l'informatique pour traitement du signal (par exemple il y a un bracage, un enregistrement sonore est examiné, il y a une sirène d'alarme, et par derrière on entend de types hurler; en isolant certains sons, on arrive à peu près à entendre ce qu'ils racontent, et il se trouvent qu'ils s'appellent par des prénoms))
* Juste avant d'aller à la soupe, on a eu droit à un bel exemple de l'utilisation du firewire pour un accès à la mémoire physique de la machine, en partant du constat que MS Windows, par défaut, interdit l'accès DMA pour tous les outils Firewire, sauf pour les IPod afin de gagner un peu en performance. L'idée étant alors de se faire passer pour un ipod. 3 démos pour illustrer tout ça, pour la lecture de données en mémoire, l'écriture de données (une variable qui par défaut est à 14 pour le login sous windows, permettant de spécifier que le login manager doit chercher le hash LM ou NTLM, qui une fois passé à 04 dit de ne pas chercher de hash, faisant que si on tape n'importe quoi comme mot de passe, on est loggué sur le système), et un accès en exécution (la démo consistant à faire exécuter un cmd.exe avant d'être loggué...cmd.exe exécuté en tant que SYSTEM !! permettant donc l'exécution d'un explorer.exe). Bref, une démo très amusante sur un sujet assez intéressant.
* Juste après la bouffe, c'est Florent Chabaud de la DCSSI qui nous a fait un talk sur le pourquoi du comment en France, au niveau gouvernemental, rien n'est vraiment pris comme décision utile dans le domaine de la sécurité informatique, malgré le fait que nous disposons de compétences assez pointues dans certains domaines (crypto, méthodes formelles (exemple de METEOR sur la ligne 14, et je crois du projet ASTREE mais je n'en suis plus certain)). Niveau retard décisionnel, un exemple a été donné pour les clés DSA du gouvernement, le projet a débuté au début des années 2000 (je dirais 2002) et les clés ont été publiées au journal officiel 5 ans plus tard, alors que les critères de sécurité ont changé en 5 ans. D'ailleurs, il y aura un passage à un système basé sur les courbes elliptiques d'ici 2 ou 3 ans (travaillant moi même depuis peu sur des technologies basées là dessus, ça fait plaisir de voir que les gens y voient un intérêt). Un talk intéressant quoi. Le speaker ayant en plus mis des lunettes noires le faisant passer pour un homme en noir (c'était également le seul en trois jours à parler en costard-cravate)).
* Le dernier talk de la journée (et du SSTIC 2008) quant à lui, expliquait comment, sans avoir de grandes grandes compétences en analyse de binaires, il était possible d'examiner un malware sans toutesfois participer à un pourrissage de l'internet multimédia interactif (par exemple en faisant tourner le malware dans une machine virtuelle sur un réseau privé n'ayant aucun accès à internet, avec une pseudo passerelle qui répond pour chaque ip (afin que l'ip réelle ne soit jamais vraiment contactée). Une démo sur un fichier office contenant des exploits connus a été faite également, mais je n'ai pas tout suivi, avec l'outil hachoir je crois bien (ah ah, si je ne me rappelle déjà plus de ça ...). Bref, un talk là aussi intéressant pour les "débutants" en analyse de malware (que ça soient des particuliers s'y intéressant, ou des entreprises qui n'ont pas les moyens de se payer des reversers :))
Puis ce fût la clôture du SSTIC cuvée 2008, direction le Surcouf devant la gare sncf de Rennes avec des gens de l'EPITECH Security Laboratory puis un train vers Paris à 18h05. J'espère pouvoir prendre mes places à temps l'an prochain! Peut-être même avec une conf' si je trouve le soutien adéquat (sinon ça sera juste une rump) En attendant, je vais envisager de finir de répondre au sondage.

2 commentaires:

admin a dit…

Putain faut vraiment qu'on fasse le site. :)

MeiK a dit…

Mettez au moins un lien vers votre rump depuis la mainpage :)