Area 41

Après une année d’absence, les Hashdays reviennent avec un nouveau nom, une nouvelle localisation et des nouvelles dates.

La conférence se passait les 2 et 3 juin 2014 au Komplex 457 de Zurich.

Fini le Radisson et les berges du lac des quatre cantons et direction les salles de concert dans le noir.

Les organisateurs proposaient deux tracks en parallèle, un dans la plus grand salle avec caméra, projecteur et canon à fumée et l’autre plus discrète dans un ancien strip club.

Keynote: Halvar Flake

Slide

Halvar Flake nous parle des tests à faire afin d’être sûr que notre ordinateur n’est pas compromis. Il propose divers tests dont la vérification des signatures des binaires dans le userspace, des binaires dans le kernelspace, des éléments du BIOS, des firmwares des différents composants et management engine des cartes mères et la possibilité de vérifier que les CAs sont bien la source des certificats délivrés.

Malheureusement, à l’heure actuelle, il n’est pas possible de valider ces points. Très peu d’exécutables sont signés et même s’ils le sont leurs extensions ne le sont pas forcément. Pour les éléments du BIOS, les firmwares et les management engine, il n’est même pas possible de connaitre les binaires et les signatures.

De plus, même si un élément a été signé, il est difficile d’être sûr que la CA en soit bien la source.

Il termine sa présentation en précisant qu’il reste encore beaucoup de travail pour améliorer la signature des binaires. Les fabricants doivent faire pression pour avoir accès aux contenus des éléments embarqués et il faudrait mettre en place une liste publique des certificats signés par chaque CA afin de garantir que les signatures de proviennent pas d’une version corrompue.

Ange Albertini and Gynvael Coldwind: Schizophrenic Files – A file that thinks it’s many

Slide

Possibilité pour moi de voir cette présentation que j’avais ratée à Insomni’hack 2014 et en plus cette fois, Ange était accompagné de Gynvael.

Première bonne surprise , Gynvael portait son tshirt Insomni’hack 🙂

Ce talk parle de la possibilité d’abuser les parser de différents logiciels afin d’obtenir un résultat différent en ouvrant le même fichier.

Les premiers exemples concernent les archives zip  et ce procédé a même été déjà utilisé par Jeff Forristal pour abuser le mécanisme de signature des APK pour android (présentation à Blackhat 2013).

Vient ensuite le tour du format PDF qui en plus d’ouvrir un document différent en fonction du lecteur permet d’obtenir un fichier différent lors de l’impression. Cette partie n’étant même pas un bug mais une fonctionnalité offerte par le format.

Les formats BMP et PNG permettent aussi ce comportement en jouant avec les headers du fichier ou avec les palettes de couleurs utilisées.

Ange a aussi joué avec les PE et s’est même offert le luxe d’avoir des fichiers exécutables compatibles avec toutes les versions de Windows de XP à Windows 8 64 bit.

Chris Nickerson – 50 Shades of RED: Stories from the “Playroom”

Slide (venant de Confidence mais identique)

Place à un grand show à l’américaine rempli de lolcats et de blagues en tout genre!

Malgré une présentation sur le ton du deuxième (voir troisième) degré, Chris a quand même un message à faire passer.

Son constat principal est le rapport entre l’argent dépensé dans la sécurité de l’information et l’argent perdu suite à des attaques. Plus les années avancent et plus le montant des deux augmente.

Il proposes quelques idées pour essayer d’améliorer ce constat sous forme de retour d’expérience et d’exemple de sensibilisation d’utilisateur.

On retiendra surtout son explication du terme APT et la citation de Mike Tyson “everyone has a plan until they get punched in the mouth”

Chris John Riley – REDACTED

Ce talk au nom peu indicateur parlait en fait des attaques faites sur les smartphones android au travers de l’ADB.

Deux attaques ont été présentées.

La première concerne l’application mobile de LastPass. Au travers de l’ADB, il est possible de faire un backup de l’application, d’ouvrir l’archive, de modifier un fichier xml de configuration et de supprimer la demande du code PIN permettant la connexion automatique au coffre-fort. Il suffit ensuite de refaire l’archive et de faire un restore au travers de l’ADB pour accéder aux mots de passe.

Même si l’attaque semble dangereuse, elle ne me semble pas vraiment exploitable compte tenu du nombre de prérequis. (téléphone non chiffré, mode debug USB activé et surtout, la pire configuration de lastpass possible)

La deuxième attaque concerne les containers Good. Un mécanisme de wipe du container rend le brute.force de clé impossible. Grâce à l’ADB, il est possible de faire un backup du container, de tester neuf possibilités de clés ( dix essais étant autorisés avant le wipe) et de restaurer le container pour faire passer le compteur à zéro avant de continuer.

En conclusion, très bonne conférence au niveau des Hasdays. et j’attends avec impatience les vidéos des talks que je n’ai pas eu l’occasion de voir.