Voici notre compte rendu de la première journée de l’édition 2012 de la conférence CanSecWest se tenant à Vancouver, Canada.
Deep Boot – Nicholas Economou & Andres Lopez Luksenberg, Core
Présentation du MBR rootkit de Core. Plutôt que de se baser un hook du handler de l’interruption 0x13 qui permet d’intéragir avec avec le disque dur en mode réél, l’équipe de Core a choisi de baser son rootkit sur l’activation du trap flag. A l’inverse de la modification du handler qui ne permet d’avoir une vue sur l’exécution qu’en cas d’utilisation du disque par le système d’exploitation, l’activation du trap flag permet
d’intéragir lors de l’exécution de toutes les instructions, à la manière d’un hyperviseur.
La technique n’est pas nouvelle en soit, mais la présentation a permis de passer (un peu trop rapidement) sur les problèmes rencontrés lors du développement de ce rootkit et en général l’utilisation de cette technique se fait depuis le ring3 et n’a donc pas à gérer les passages ‘mode réel’/’mode protégé’ que doit gérer DeepBoot. L’aspect performances a été évoqué assez rapidement et les démonstrations dans les machines virtuelles ne semblaient pas être ralenties, mais l’utilisateur risque de resentir les effets du trap flag…
Mapping The Penetration Tester’s Mind: 0 to Root in 60 min – Kizz
MyAnthia (Nick D.), Rapid7
Bonne présentation de la partie technique du métier de pentester avec les différentes phases et outils utilisés. On pourra néanmoins reprocher que le but présenté était d’être administrateur du domaine, ce qui n’est pas une fin en soit.
La présentation a résumé les actions entreprises par un pentesteur pour une grosse majorité de pentests internes en s’appuyant grandement sur Metasploit. Pas étonnant venant d’un membre de Rapid7.
Social Authentication – Alex Rice, Facebook
Le pourquoi et comment de la validation d’identité de Facebook. Explication des mesures de protection en place contre le mass phishing. Facebook passe désormais par une validation “sociale” de l’accès à un compte depuis un endroit suspect. L’utilisateur doit reconnaitre certains de ses amis au travers de différentes images tirées de leurs profiles. Les différents problèmes abordés lors de la mise en service de cette validation ont été abordés, notamment le fait que beaucoup d’utilisateurs sont taggués sur des photos sans qu’on puisse forcément les reconnaitre, ou alors les utilisateurs ayant un nombre important d’amis qui sont plus des connaissances lointaines que des amis, dont ils ne connaissent pas forcément le visage.
La présentation en soit n’apporte pas grand chose de nouveau, mais un aperçu des actions entreprises par Facebook pour tenter de protéger ses utilisateurs.
Advanced Persistent Responses – Peleus Uhley, Adobe
La plus intéressante de l’après-midi: point de vue d’un éditeur sur la gestion des correctifs suite aux attaques ciblées exploitants des 0day. Pour répondre à la prise de compétences des attaquants (qui suivent aussi les conférences de sécurité), Adobe a développé un programme de sécurité sur différents axes:
- partenariats avec d’autres acteurs du marché pour la mise en place de techniques telles que la sandbox de ReaderX
- fuzzing de leurs applications
- formation en interne des développeurs avec mise à disposition d’une base de connaissances, le tout sous la forme de quizz, jeux…
Peleus a part ailleurs récément mis à disposition un outil permettant
l’analyse de fichiers SWF: Adobe SWF Investigator.
Inside the Duqu Command & Control Servers Roel Schouwenberg Kaspersky Labs
Spécificités du C&C de Duqu et mention spéciale pour la Suisse qui est le pays pour lequel il leur a été le plus difficile d’obtenir des informations de la part des hébergeurs 😉
Rendez-vous demain pour le compte-rendu des conférences du jeudi qui s’annoncent plus techniques 🙂
Julien & Alain