a neuvième édition de Pacsec s'est tenue la semaine dernière à Tokyo. Une petite conférence sur deux jours avec une dizaine de présentations au programme qui abordaient des thèmes aussi variés que les attaques ciblées, la sécurité des applications iOS, le social engineering ou encore la sécurité du réseau TOR. Fait rare, toutes ces présentations se sont révélées d'un excellent niveau.
On pourra certes déplorer le faible nombre d'interventions, ou encore discuter les conclusions de certains auteurs, mais force est de constater que le contenu était au rendez-vous et souvent bien présenté qui plus est. Ce qui suffit à rendre, en tout cas en ce qui me concerne, ce déplacement bien plus productif que le temps passé au milieu du Nevada cet été, à la grand messe de la sécurité...
Mercredi 9 novembre 2011
- "Targeted Espionage Attacks", par Mikko Hypponen, F-Secure.
Dans le même style que l'excellente présentation qu'il avait faite à TED Global cet été, Mikko Hypponen nous a livré un intéressant panorama des attaques ciblées, des APT et leur niveau, et de l'espionnage sur le net. Le discours est clair, très bien documenté et, chose remarquable, fournit des éléments concrets quand il s'agit de taper sur les chinois. - "Black Box Auditing Adobe Shockwave", par Aaron Portnoy et Logan Brown, TippingPoint DVLabs/Zero Day Initiative.
Description des méthodes et outils utilisés pour un audit assez poussé de Shockwave. Déjà vu à Cansec en ce qui me concerne, mais aller lire leurs slides, c'est loin d'être inintéressant... - "Cracking the perimeter through the weakest link", par Marat Vyshegorodtsev, InformZaschita JSC.
L'auteur propose une méthodologie d'utilisation du social engineering dans le cadre de tests d'intrusions. Si le sujet est intéressant, la conception sous-jacente du pentest comme une prestation dont l'objet résiderait dans la pénétration du réseau ciblé me laisse un peu perplexe... - "Rapid and Massive monitoring of DHT: crawling 10 millions of nodes in 24 hours", par Ruo Ando, National Institute of Information and Communications Technology, et Takayuki Sugiura, NetAgent.
Un travail intéressant sur l'utilisation de l'analyse des tables de hashes distribuées de BitTorrent pour la découverte et l'analyse d'une dizaine de millions de machines. - "Dynamic cryptographic trapdoors to take over the TOR network", par Éric Filiol, ESIEA.
Des détails techniques supplémentaires sur une polémique qui court depuis quelques temps déjà. L'attaque se fait en deux temps. D'abord en compromettant certains nœuds de routage[1] mal sécurisés et en y perturbant les mécanismes cryptographiques. Ensuite en opérant des dénis de service ciblés sur les nœuds restant pour forcer le passage du trafic à travers les nœuds contrôlés. Ce qui correspond aux hypothèses émises çà et là et semble, en effet, déboucher sur des résultats tangibles. On peut largement discuter la manière dont ces résultats ont été publiés. Personnellement, je ne trouve pas que cette démarche qui privilégie la polémique aux faits soit digne d'un établissement de recherche, même privé. Par contre, force est de constater que ces travaux ont un impact sur la sécurité d'un réseau conçu pour offrir une meilleur résistance à la compromission d'un plus grand nombre de ses nœuds de routage.
Jeudi 10 novembre 2011
- "Secure Development on iOS", par David Thiel, iSEC Partners.
Pleins d'informations sur les points clé du développement d'applications iOS sécurisées, de la protection des données à la manipulation des types en passant par les APIs réseau. La présentation sera aussi utile aux développeurs qu'aux pentesteurs. Un bon point de départ sur le sujet. Je vous laisse approfondir avec la lecture des slides. - "How Security Broken? Android Internals and Malware Infection Possibility", par Tsukasa Oi, Fourteenforty Research Institute.
Un rapide panorama de ce que peuvent faire des malwares sur Android et comment s'en protéger. L'auteur aborde les protections applicatives disponibles (ou pas[2]) au niveau noyau et applications, décrit différents malwares connus et/ou en circulation sur la plate-forme et donne sa vision sur les antivirus disponibles. - "Ramooflax, pre-boot virtualization", par Stephane Duverger, EADS Innovation Works.
Je vous renvoie à ce qu'il a raconté au SSTIC, pas trop de différences. - "A New Approach to Automated JavaScript De-obfuscation", par Ulysses Wang et Nick Guo, Websense.
Les auteurs présentent une solution pour faire de la déobfuscation de Javascript, en passant évidemment par un rapide tour des techniques d'obfuscation, d'anti-déobfuscation, des solutions actuelles et de leurs limitations. Leur outil s'appelle JDOE et est basée sur Chrome. Dans l'ensemble, leur approche consiste à s'appuyer au maximum sur le moteur d'exécution d'un navigateur, ici Chrome, et récupérer un résultat le plus tard possible, donc le plus pertinent possible. Je ne sais pas si on peut qualifier cette approche de réellement nouvelle, mais elle fait sens et semble donner des très bons résultats, comparativement à d'autres outils. Par contre, l'outil ne semble pas devoir être publié un jour... - "ARM Exploitation ROPmap", par Thanh Le Nguyen et Long Dinh Le, VNSECURITY.
Les auteurs présentent un outil de génération de shellcodes ROP sur ARM avec "langage" intermédiaire. L'outil est une évolution d'un toolkit ROP pour x86, aussi le langage intermédiaire est en fait surtout un traducteur permettant de passer aux gadgets qui vont bien en ARM. Les slides de leur présentation à BlackHat vous en diront plus.
Bref, un bon cru parmi les Pacsec. Et comme cette conférence a le bon goût de se dérouler au Japon, c'est également l'occasion de découvrir une culture infiniment différente. Et ça encore, c'est quand même vachement mieux que les machines à sous au milieu du désert...
Les photos ne devraient pas tarder à arriver ;)
Notes
[1] Les fameux OR, ou Onion Routers.
[2] DEP a priori sur 2.3 et ASLR pour 4.0.
Jeu de briques
Snake
Pacman
Bubble