mercredi 17 juin 2009

Un (petit) pas en avant

Google ne devrait pas tarder à généraliser l'utilisation du SSL pour une grande partie de ses services, dont le mail (gmail, qui propose une option permettant d'activer le ssl en permanence, au lieu de n'avoir qu'une authentification chiffrée[1]) et sa "suite bureautique" (ça fait tache d'ouvrir un document dans google docs, et de se faire sniffer la connexion parce qu'on est sur un réseau wifi public [ensuite, si on a des documents vraiment confidentiels, on utilise pas google, mais ça c'est un autre débat])
Ce qui les a poussés à avancer de la sorte, c'est une lettre (ouverte ?) adressée au CEO de Google, rédigée par des stars dans le domaine de la sécurité et de la cryptographie, avec entre autres Bruce Schneier, Steven Bellovin, Jeff Moss, Ron Rivest et plein d'autres.
Dans un premier temps, la feature sera testée sur un certain nombre d'utilisateurs afin d'évaluer la charge CPU (car mine de rien, la crypto, ça pompe des ressources), avant d'être ensuite généralisée pour de bon.
Alors ensuite je ne sais pas comment ils envisagent de faire pour se conformer aux lois de certains pays, vis à vis de la crypto. Je n'ai pas pu trouver d'info à ce sujet.

[1] à la différence de services comme msn/hotmail. et c'est tâche pour ces derniers dans la mesure où si quelqu'un sniffe le trafic, même si il n'arrive pas à obtenir les identifiants parce que chiffrés dans un échange SSL, le reste circulera en clair et il sera plus ou moins facile de lire une partie des mails de l'utilisateur (au moins ceux qu'il ouvre)

lundi 15 juin 2009

jeudi 11 juin 2009

Mozinor

Faisons un peu de hors sujet avec une vidéo de Mozinor bien bien amusante, basée sur une pub récente de La Poste (j'ignorais qu'il s'agissait d'une vraie pub à l'origine avant que l'on me le dise ce soir, vu que je n'ai pas de télé)

mercredi 10 juin 2009

Documents Corrompus

Surfons sur la vague, continuons dans la lignée des posts inutiles et parlons de cette grande trouvaille (LoLoLoL) qu'est le site "corrupted-files". Ce site vend des documents Microsoft Office corrompus, c'est à dire que lorsque l'on en ouvre un, cela génère une erreur disant que le document est corrompu et ne peut pas être ouvert. Cool. Intérêt ? Envoyer un document qui semble correct à un prof/patron (typiquement le rapport du commercial hein) alors qu'on a rien foutu et qu'on veut gagner du temps ("oh comme c'est dommage, le document ne s'ouvre pas sur ton pc...")
En ouvrant un .docx avec un éditeur hexa, et en supprimant quelques octets, j'ai réussi à obtenir un message me disant que le document était corrompu:



Suivi, lorsque je clique sur OK, d'un message me disant que des données sont manquantes (j'ai peut-être été trop brutal lors de mon hexedit):


Et j'ai même réussi à obtenir un crash de Microsoft Word comme ça. Par contre je n'ai pas pensé à faire de screenshot, et vu que je n'arrive plus à le reproduire, c'est bien balot.
Je sens que je vais m'y mettre moi aussi à vendre des documents office corrompus pour 1 euro.
Plus sérieusement, je n'ai pas encore regardé comment OpenOffice ou AntiWord gèrent mon document corrompu (s'ils l'ouvrent quand même en essayant de se passer des infos manquantes en fonction de leur nature, ou s'ils échouent lamentablement comme Microsoft Word).
Puis faudrait aussi savoir quel est le contenu de ces fichiers Microsoft Office vendus sur ce site, car quand j'ouvre un .doc dans un hexedit, je vois quand même le texte apparaitre dedans. Et si l'étudiant paresseux envoie un tel document à son prof, et que ce dernier, en étudiant le contenu du fichier, découvre le "Lorem Ipsum blablabla", il risque de faire la tronche.

lundi 8 juin 2009

Challenge SSTIC

Il semblerait même que les diverses solutions du challenge SSTIC aient été mises en ligne (bon ça fait peut-être même quelques jours, mais je n'ai pas pensé à regarder ça ce week-end à vrai dire).
Ca me fera un peu de lecture pour les soirées à venir.

IRCFAIL

[mickou] hier je suis allé voir le film milenieum au ciné il est genial conseil allé le voir car la meuf qui joue le role de hackers pour un journaliste et tros baleze meme si sa reste qun film
Je pense que je vais grepper mes logs (quelle idée aussi d'idler sur ce chan irc) et faire un fichier de quotes de ce type.

Image du Challenge Securitech

Conformément à ce qui a été dit lors d'une rump session du SSTIC par Benjamin Caillat, une image vmware permettant de re-jouer une bonne partie des épreuves des différents challenges securitech a été mise à disposition via bit torrent (comme quoi, bittorrent ne permet pas QUE le partage des mp3 de johnny ou la filmographie complète de besson). Tout est décrit sur le site. Du coup j'en profite pour rendre ma bande passante chez OVH utile et je seed à une bonne vitesse pour permettre aux prochains téléchargeurs de la récupérer rapidement.

dimanche 7 juin 2009

CR SSTIC 09

Contrairement à l'an dernier, je n'ai pas fait de compte rendu de chaque journée le soir même. Cette année j'ai à peine commencé à rédiger un compte rendu, je le mettrai en ligne au fur et à mesure (je pense que ça me fera une bonne activité pour mes trajets dans le métro dans les deux jours à venir).
Mais pour faire court, quelques impressions en vrac:
- La keynote de Pascal Andrei, qui travaille à la sécurité et la sûreté des avions Airbus, et nous a expliqué en quoi ces deux domaines sont différents, en citant des exemples de chacun (instruments de vol et leur fiabilité en cas de problème, cas des gilets de sauvetage avant décollage, le cas de l'isolation des réseaux passagers des réseaux de pilotage (point dont il avait été question à propos du prochain avion de chez Boeing, avec une notice de la FAA))
- La backdoor ACPI qui se déclenche après une succession de branchements/débranchements d'un laptop d'une source d'alimentation électrique m'a bien plue. L'objectif était de démontrer que certains composants d'un ordinateur ne faisant pas partie des architectures de confiance à la TxT d'Intel (comme un BIOS) peuvent quand même piloter (enfin, "influencer") la protection offerte par ces mêmes architectures de sécurité, le tout en modifiant les tables ACPI. Edifiant. On dira même "du grand Loic Duflot".
- La conf sur l'ISO 27001, ça m'a sensiblement éclairé sur certains points. Ca ne va pas révolutionner la sécurité informatique (sinon ça se saurait), et son utilité reste quand même discutable (bien que le speaker nous a dit que la majorité des boites qui se font certifier le font par réel souci de bien gérer les événements de sécurité et les moyens de réponse, et le reste le fait juste pour avoir le label rouge)
- Une présentation de fuzzgrind, outil de fuzzing basé sur la recherche (et la résolution) de contraintes dans un programme (trouver ce qui fait qu'un if() retourne vrai/faux, ou dans quels cas un while() sort par exemple) à l'aide de valgrind (enfin, un module de valgrind, au même titre que le célèbre memcheck, sauf que ce module permet de représenter des conditions sous une forme symbolique) et STP (un solveur de contraintes) et générer des saisies qui peuvent faire que ces contraintes sont résolues. On a eu un exemple sur un crackme, résolu en très peu de temps avec fuzzgrind (bon, en même temps la solution du crackme consistait à sortir une serie de chiffres dont la valeur etait égale à 15). Mais la démo était vraiment convaincante. On a aussi eu un début de démo (mais qui n'a pas pu aboutir faute de temps) d'un fuzzing de "readelf". Le speaker aurait trouvé un problème là dedans avec son fuzzer. Dès que j'aurai plus de temps, je m'y intéresserai.
- Mon trollomètre a pas mal bougé pendant la conf de Nicolas Ruff ("Pourquoi la sécurité est un echec ...") mais je m'y attendais. Beaucoup de choses ont été dites, et il fallait qu'elles le soient. Ce talk mériterait un post entier (ou une série de posts entiers) pour en parler. Le top, c'est que tout ça sentait le vécu, et les exemples étaient vraiment géniaux, au point que j'aurais bien aimé en avoir d'autres.
- J'ai été un peu largué pendant la conf sur "le traçage de traitres en multimédia". En gros c'est la présentation d'une variante du watermarking avec une dose de théorie des jeux afin de dire qui est à l'origine d'une fuite du prochain film de luc besson en intégrant des bits par ci par là dans la vidéo, de la manière la moins visible possible, tout en étant un max résistant aux dégradations dues au ré-encodage dans un format différent et de moins bonne qualité. Il y avait des maths d'un niveau tout autre que le mien (n'oubliez pas que j'ai passé un bac Littéraire et que je n'ai quasiment pas fait de maths après le bac (epitech, tout ça))
- Un talk sur les XSS, là aussi, même si c'était assez généraliste, on a eu quelques ouvertures intéressantes (botnet basé sur du xss) et des démos amusantes (la démo du xss sur le site du sstic était pas mal, et le xss sur myspace (qui demande de ne pas utiliser la balise script) aussi). Je ne suis pas pentester, mais c'est un talk comme celui ci que j'attendais pour changer d'avis sur ce type de failles.
- Maitre Raynal nous a montré quelques contournements de la sécurité d'acrobat reader avec des PDF spécialement craftés, avec par exemple un PDF qui exécute un binaire embarqué dans le fichier PDF une fois ouvert. Pas mal. Je m'intéressais à ce type d'attaques depuis un moment (pas forcément PDF, mais aussi les documents office par exemple), je pense que les actes vont bien m'occuper (le truc bien, c'est que les siens sont déjà en ligne pour ceux qui n'ont pas eu l'honneur d'y assister)
- Le talk sur la récupération des frappes claviers (filaires et sans-fils !!) était vraiment génial. Même si le concept est bien vieux (sur cryptome.org on trouve des documents déclassifiés de la NSA (grace au FOIA aux états unis) parlant de ce type d'écoutes et qui datent des années 50 ou 60), c'était captivant. Le speaker a bien réussi à intéresser tout le monde.

Concernant les rump sessions, là aussi je développerai dans les jours à venir, mais j'ai également fait une vidéo d'environ 25 minutes, correspondant aux 25 premières minutes de rumps. La qualité est moyenne, mais on arrive à entendre ce qui est dit, et on distingue quelques trucs au projecteur. La mauvaise nouvelle, c'est que j'ai pas trouvé de truc de compression pour conserver la meme qualité (enfin, si on peut dire ...) d'image et de son. Donc je vous uploaderai le fichier quelque part, qui fait dans les 1,5gb. Si quelqu'un parvient à en faire un fichier plus petit et utile (moi j'ai juste obtenu des fichiers inaudibles comme ça), je suis preneur.

J'ai aussi commencé à uploader une partie de mes photos. Du moins celles qui ne sont pas trop ratées (j'ai voulu éviter d'utiliser le flash, afin de ne pas perturber les speakers, du coup dans un amphi sombre, c'est pas super le résultat). Là aussi je mettrai le lien une fois l'upload terminé (ceux qui me suivent sur twitter ont peut être déjà vu celles que j'ai déjà pu uploader)

Je développerai tout ça au fur et à mesure en ajoutant mes commentaires sur les autres talks de ces trois jours un peu plus tard. De même, j'uploaderai mes photos et vidéos très prochainement et j'agrémenterai cet article de liens, so stay tuned. En attendant, vous pouvez vous rabattre sur le compte rendu fait en quasi direct par Sid. Il faudra aussi que je pense à remplir le sondage.