EUSecWest 2012 : compte-rendu

Introduction

L’édition Européenne des conférences SecWest s’achève en ce moment même. Cette année, le programme d’EUSecWest aura été orienté vers le monde des technologies mobiles car comme l’a dit, l’organisateur, Dragos Ruiu, cet aspect de l’informatique prend une part de plus en plus importante dans nos vies et représente un changement dans notre façon d’utiliser une machine.

Mobile Pwn2Own

La conférence CanSecWest à Vancouver est connue en partie pour la compétition Pwn2Own, mais elle devrait très vite être rejoind par EUSecWest qui a hébergée la première édition de Mobile Pwn2Own où les participants pouvaient montrer leurs attaques, recherchées en amont pendant une période non-négligeable, sur les plateformes iOS, Android et BlackBerry. iOS et Android ont chacun fait l’objet d’un enchainement de vulnérabilités permettant de s’affranchir des sandbox respectives et d’exécuter du code sur les terminaux. Concernant BlackBerry, la question se pose si la plateforme est plus sécurisée ou si cela était du à un désintêret de la part des participants. L’équipe sécurité de la société était néanmoins bien présente et affirme une volonté de répondre au plus vite aux vulnérabilités pouvant impacter leurs terminaux.

Conférence

Les présentations ouvrant le bal n’étaient pas limitées au monde des mobiles mais leur contenu est tout à fait transposable sur ces plateformes. Patrice Auffret a commencé par une présentation de la dernière version de son outil SinFP3. Le but est de permettre une détection des systèmes d’exploitation en fonction de spécificités dans l’implémentation des piles TCP/IP, le tout en prenant en compte des limitations présentes au sein des outils NMAP et p0f.

Michele Orru nous a ensuite présenté une partie des dernières améliorations de du framework BeEF, notamment l’intégration simplifiée avec Metasploit, la création de tunnels permettant d’utiliser le navigateur de la victime comme proxy ou encore des techniques d’évasion. Cette présentation a également pu servir de piqure de rappel concernant les possibilités offertes par l’exploitation d’une vulnérabilité de type cross-site scripting.

Deux chercheurs de Core ont présenté une nouvelle méthode permettant d’utiliser le heap afin de placer du code utilisable dans l’exploitation de vulnérabilités de type user-after-free par exemple. Plusieurs méthodes existent allant du javascript à l’utilisation de plug-ins des navigateurs comme ActionScript. Leur technique repose sur les objects Canvas et WebWorker introduits par HTML5. Le premier leur permet d’allouer de larges plages mémoire sous la forme de bitmaps alors que le second va être utilisé pour remplir ces zones avec le nop-pad, le tout en utilisant plusieurs threads pour accélérer le processus (avec une limitation: la méthode n’est pas utilisable dans tous les navigateurs). Une démonstration de l’outil heappie, apportant une aide précieuse lors du dévelopement de tels exploits, a également été faite. On notera au passage que le heap-spray peut être réalisé de façon assez inattendue en fonction des environnements. Par exemple via l’envoi de paquets CDC sur les équipements Cisco du fait que ces derniers stockent le contenu des paquets de manière contiguë dans la heap.

Bien que la technique même de la présentation de Bogdan Alecu portant sur l’injection d’entêtes HTTP n’a rien de nouveau, son utilisation dans ce cas et les impacts étaient intéressant. Lors de la connexion aux portails WAP les opérateurs ajoutent des entêtes utilisées pour identifier l’utilisateur et ainsi facturer le bon compte. Certains opérateurs se basaient uniquement sur ces informations et il était alors possible d’accéder aux achats d’un autre client ou encore de faire facturer son compte.

Nikhil Mittal nous a présenté son outil Kautilya qui permet d’automatiser les attaques basées sur la plateforme Teensy, à la manière du module dédié dans The Social Engineer Toolkit.

La présentation sur l’infection des archives APK par du code malveillant sur terminaux Android a laissée plusieurs personnes de l’assemblée perplexes. Lors de la démonstration, une application réalisant l’infection a été démontrée, mais les sécurités misent en place par le système Android (isolation des applications via des utilisateurs différents et les droits UNIX) ne permettent pas une telle manipulation. Il semble fortement probable que le terminal avait été rooté au préalable (ce qui n’a pas été abordé par le présentateur), ce qui rend l’infection à large échelle moins probable sans une élévation de privilèges au préalable… On retiendra, comme David Sancho de Trend Micro l’a rappelé, que la plateforme Android reste la cible de choix pour les auteurs de codes malveillants du fait de son système plus ouvert et accessible (Java/Linux). La mise en place de Boucer par Google au court de l’année devrait néanmoins réduire le nombre de malwares sur Android.

La présentation sur les tags NFC par Corey Benninger et Max Sobell(i) était l’une des plus intéressantes et rythmée que l’on ait pu voir. Faisant suite à leur présentation donnée à CanSecWest, celle-ci portait sur la sécurité des tags utilisés dans les transports en communs de plusieurs villes ou encore dans des serrures de certains hôtels. Ils ont pu démontrer qu’il est facilement possible de cloner le tag, l’utiliser pour voyager et ensuite d’y réécrire la sauvegarde et revenir à un état de carte vierge. Dans le cadre des serrures la technique est un peu plus complexe du fait que le champ UID du tag est validé et ce dernier est codé en dur, empêchant sa manipulation. Pour contourner cette vérification, ils se sont procuré un tag disponible uniquement en Chine et autorisant la réécriture de l’UID.

Il est maintenant temps d’aller rejoindre le social-event d’EUSecWest, qui est en dehors des présentations, une conférence qui aura permis de rencontrer et d’échanger des idées avec un grand nombre de personnes intéressées par le domaine de la sécurité des plateformes mobiles.