Parallèlement à Confidence (voir les articles précédents) se tenait la conférence Hack in the Box Amsterdam (HiTB) à l’hôtel Okura. Pendant deux jours, de nombreuses conférences et workshops étaient présentés aux participants :
Getting ahead of the Security Poverty Line
slidesAndy Ellis, CSO d’Akamai a présenté son point de vue sur la gestion de la sécurité informatique dans l’entreprise. De nombreux points intéressants ont été relevés, comme cette fameuse “Poverty Line” qui peut se traduire comme la limite basse à ne pas franchir sous peine de voir tous les efforts placés dans la sécurité anéantis par divers autres facteurs.
Un exemple de cette “Poverty Line” est donné dans le choix d’une solution technique commanditée par l’entreprise, qui est schématisé comme suit :
- Définition des besoins
- Évaluation des fournisseurs / produits
- Évaluation du/des produit(s) retenu(s)
- Implémentation du produit.
L’implication de l’aspect sécurité dans le projet détermine l’efficacité du travail accompli par les membres de l’équipe sécurité de l’entreprise. Plus la sécurité est prise en compte tôt dans le projet, moins celui-ci induira de nouveaux risques dans l’entreprise. Dans ce schéma, cette “Poverty Line” s’inscrit entre les points 3 et 4, qui impliquerait la sécurité après le choix du fournisseur, mettant entre guillemets l’équipe sécurité devant un fait accompli, induisant probablement plus de risques.
L’ensemble de la présentation consistait en divers exemples de ce type, avec dans l’ensemble une schématisation et une analyse très pertinente de la relation entre la partie sécurité et le reste du service informatique, qui est souvent conduit par le business. La conclusion étant que les responsables de la sécurité de l’entreprise ne devraient jamais se trouver sous cette ligne, sous peine de voir leurs efforts invariablement réduits à néant et n’apportant finalement qu’un faux sentiment de sécurité aux dirigeants de l’entreprise.
Killing a bug bounty program – Twice
slidesItzak Avraham et Nir Goldschlager ont présenté les résultats de leur traque aux vulnérabilités sur les applications web d’entreprises proposant des programmes de type “Bug Bounty Reward”. Le principe de ce programme étant de payer les personnes remontant des vulnérabilités sur les services concernés par le programme.
La présentation se concentrait sur Google. Leur principe de travail est de surveiller l’acquisition par Google de nouvelles entreprises et de découvrir des vulnérabilités sur ces nouvelles applications avant que l’équipe sécurité de Google n’en fasse autant. Cela leur offre une surface d’attaque vraiment énorme puisque, selon wikipedia, Google à racheté presque une entreprise par semaine les deux dernières années ! (source)
La suite de la présentation n’a malheureusement pas été des plus intéressantes. La plupart des vulnérabilités présentées étaient des XSS “relativement” simples, c’est à dire sans obfuscation ni évasion de filtres. Toute la subtilité des attaques consistait à découvrir ou certains champs n’étaient pas validés correctement, ce qui est normalement testé lors d’un test d’intrusion classique ciblant une telle application.
Toutefois, les orateurs ont pu exploiter avec succès une application de gestion de mailing list vulnérable car elle n’était pas à jour et que le mot de passe par défaut n’était pas modifié. Cet exploit leur à permis d’obtenir un shell sur le serveur. Deux choses sont intéressantes ici :
- Même des entreprises comme Google peuvent laisser de vieux serveurs avec des applications pas à jour sur leur réseau.
- Lorsque cette vulnérabilité a été remontée et validée par Google, ces derniers leur ont offert la mirifique somme de… 3133.70$ ! Une telle vulnérabilité offrant un accès a une partie du réseau de Google se monnayerait très certainement beaucoup plus sur le marché noir.
Security threats in the world of digital satellite television
slidesSecurity vulnerabilities of digital video broadcast chipsets
slidesAdam Gowak a animé les deux présentations les plus intéressantes que j’aie vues ici.
La première partie présentait le fonctionnement d’un récepteur satellite moderne puis, en exploitant une première vulnérabilité de type XSS dans un service de galerie de photos, le présentateur à pu passer outre les différentes couches de protection du récepteur jusqu’à obtenir un accès complet au système embarqué. Cross-Site Scripting, injection de code Java, dé-obfuscation de code, corruption de mémoire, reverse engineering de code Java, exécution de code natif via JNI, … tout y est passé pour une conférence passionnante et des résultats impressionnant en pensant que le système est totalement verrouillé pour qu’il ne soit pas modifié
Mais ce n’est pas tout ! La seconde présente la suite de l’analyse du récepteur. Avec l’accès complet au système (GNU/Linux), Adam a pu récupérer les modules noyau utilisés par le système pour contrôler la puce permettant le décodage des flux vidéo. A nouveau, un festival de trouvailles et de techniques comme la possibilité de modifier le firmware du chipset utilisé en live, le reverse-engineering quasi-complet du processeur utilisé dans le chipset (processeur inconnu et dont il a fallu créer un décompilateur spécifique – tout cela sans aucune information au préalable) et qui, au final, ont permis de pouvoir récupérer les clés de chiffrement des flux vidéo et de pouvoir les envoyer à d’autres terminaux ne possédant normalement pas les accès pour lire ces flux.
Au final, la quantité impressionnante de travail fournie par Adam (plus d’un an et demi en tout) montre encore une fois que la sécurité par l’obscurantisme n’est pas une solution en soi et ne permet que de de ralentir la progression des chercheurs en sécurité.
Smashing VMDK files for fun and profit
slidesL’équipe de ERNW (quatre personnes !) est venue présenter l’avancée de leurs travaux sur la sécurité des fichiers VMDK, fichiers de disque dur virtuel utilisés par VMWare. Ces fichiers, dans certaines configurations de disque, sont de simples fichiers texte qui contiennent entre autres la liste des fichiers à réassembler lorsque par exemple le disque de la machine virtuelle doit être séparé en plusieurs fichiers sur l’hyperviseur. La présentation a permis de démontrer qu’il est possible de lire des fichiers de l’hyperviseur depuis une machine virtuelle. La dernière démonstration consistait même à monter en lecture seule l’entier du disque de l’hyperviseur et permet ainsi à l’administrateur de la machine virtuelle d’accéder à l’ensemble des données stockées sur les volumes VMFS, y compris les autres machines virtuelles hébergées sur le serveur physique.
L’utilisation de ces vulnérabilités prend tout son sens si elles sont exploitées sur des services de type Infrastructure as a Service (IaaS) utilisant VMWare. Certains hébergeurs proposent de déployer sa propre machine virtuelle sur des serveurs hébergés dans le Cloud, et permettraient à un attaquant de récupérer l’entier des informations des autres clients du service, y compris les serveurs.
Cette présentation montre encore une fois l’étendue des problèmes que posent l’utilisation du Cloud. Il est maintenant possible de voler le serveur d’une entreprise. Cela laisse à réfléchir…
Conclusion
Cette édition de Hack in the Box Amsterdam a été selon moi très inégale en termes de contenu. Certaines conférences étaient vraiment excellentes, alors que d’autres étaient très moyennes.
En revanche, la présence de nombreux stands tenus par des hackerspaces de Hollande et de Belgique était un vrai “plus”, chaque stand rivalisant d’ingéniosité pour attirer des curieux avec diverses réalisations comme des générateurs de sons, des imprimantes 3D etc.
L’ensemble des slides de présentation peut être trouvée à cette adresse : http://conference.hitb.org/hitbsecconf2012ams/materials/