CoPS2013

CoPS2013Le 30 septembre dernier a eu lieu le « Congress on Privacy & Surveillance » (CoPS) organisé et hébergé par l’Ecole Polytechnique Fédérale de Lausanne. Dans le sillage de « l’affaire Snowden » et ses nombreuses révélations quant à la surveillance globale d’Internet par la NSA et d’autres agences gouvernementales, cet événement avait visiblement pour but d’amener à la discussion et au débat sur le sujet. A en juger par le nombre de personnes présentes, le thème semble bien être au coeur de l’attention.

La première demi-journée était (volontairement ou non) orientée vers les aspects légaux de cette surveillance ainsi que – de manière plus générale – de la protection des données personnelles. Durant celle-ci, Casper Bowen et Axel Arnbak ont, tour à tour, présenté les implications de la section 702 du FISA (Foreign Intelligence Surveillance Act) américain dans le contexte de cette surveillance. N’étant pas féru de droit, certains aspects de la discussion ont très certainement échappé à votre humble auteur néanmoins ce qui paraît clair c’est que, du point de vue de américain, s’il peut y avoir matière à discussion quant à la légalité de la surveillance de citoyens américains (protégés par le 4ème amendement de la Constitution Américaine) cette discussion n’a pas lieu d’être lorsqu’il s’agit de nous autres « étrangers ». Presque en réponse à cela, la présentation de Nikolaus Forgó rappelait que, en Europe, nous sommes historiquement sensibles à la protection des données privées (encore faut-il définir clairement le terme) et que pour cette raison nous disposions – sur la papier – de nombreuses lois pour aider à l’assurer… lois qui bien souvent ne parviennent pas à l’étape de la mise en pratique. Mais, à nouveau, étant hors du sujet, il vaut mieux laisser ce débat à des spécialistes.

L’après-midi a démarré avec celui qui était probablement une des « têtes d’affiche » de la journée : Bruce Schneier. Au cours d’une présentation orale d’une heure – qui telle une keynote abordait beaucoup de sujets sans réellement dire quoi que ce soit de concret sur chacun d’entre-eux – il a entrouvert la porte à un avenir lointain (une génération selon lui) dans lequel notre rapport à la sphère privée et à la surveillance aura complètement changé. Encore faudra-t-il d’ici là que ces questions commencent à être abordées et traitées par des personnes qui en connaissent les mécanismes et non par des politiques ou des dirigeants qui se targuent de ne pas savoir envoyer un e-mail…

La fin de journée a été rythmée par le discours de Bill Binney, un ancien haut-placé de la NSA elle-même – qu’il a quittée après plus de 30 ans de service suite à de sérieux différents sur la question de la surveillance – suivie par le dernier intervenant de la journée : Jacob Appelbaum. Celui-ci a livré une présentation en deux parties visant à démontrer, d’une part pourquoi nous avons déjà tous perdu face à la surveillance des institutions gouvernementales et d’autre part pourquoi cela vaut néanmoins la peine de continuer à résister. Bien que très pessimiste (vous avez dit réaliste?) quant aux possibilités de surveillance des « adversaires », l’hacktiviste a néanmoins affirmé qu’il continuait à avoir confiance dans la robustesse des mathématiques (affirmation qui avait par ailleurs été également faite plus tôt par Bruce Schneier) en rappelant le fait (ou du moins l’hypothèse) que les possibilités d’attaque contre les algorithmes cryptographies reposent bien plus souvent sur des problèmes logiciels que purement mathématiques. Venant de la part de Appelbaum et Schneier cette affirmation est rassurante mais semble toutefois une maigre consolations face aux questions de “back-doors” dans les logiciels et à son étendue encore largement méconnue.

Au final de cette journée il faut bien avouer que peu de réponses ont été apportées quant aux questions de la surveillance globale d’Internet mais ce n’était bien évidemment pas là le but non plus. S’il semble d’ores et déjà qu’il y aura – dans l’histoire d’Internet – un avant et un après « Snowden » ce type d’événements contribuent à soulever le débat et à combattre une certaine « naïveté » dont nous avons peut-être fait preuve jusqu’à maintenant…

Confidence – Deuxième jour

Ce deuxième (et dernier) jour de Confidence 2012 commence tranquillement, l’esprit visiblement encore “embrummé” de la veille au soir, pour certains. Néanmoins, après un café et quelques pâtisseries locales, nous revoici d’attaque et prêts à découvrir de nouvelles menaces.

Look for Cleartext : Practical insecurity in encrypted radio [Sandy “Mouse” Clark]

L’une des premières présentations de la journée se focalise sur les nouveaux systèmes de radio utilisés par les forces de l’ordre, et autres agences gouvernementales, principalement aux USA. Elle est donnée par Sandy Clarke mais repose également sur le travail d’autres chercheurs tels que Travis Goodspeed et une partie des résultats avaient d’ailleurs déjà été abordés par ce dernier lors de la dernière édition de PH-Neutral.

On y apprend notamment comment ces radios digitales, prévues pour fournir un moyen de communication sécurisé (à l’inverse des anciens systèmes analogiques qu’elles remplacent) sont largement utilisées de manière erronée, avec pour résultat l’émission de communications très sensibles de manière non chiffrée.

Le thème est intéressant mais le système n’étant pas utilisé en Europe (où un autre système du nom de TETRA est en vigueur) les implications directes des résultats présentés y sont certainement limités.

Something wicked this way comes [Krzysztof Kotowicz]

Sous ce nom pour le moins énigmatique se cache en réalité une présentation des plus intéressantes sur de nouvelles attaques web, et autres attaques visant à contourner les restrictions de navigateurs.

Si certaines de ces attaques étaient tellement spécifiques qu’elles n’étaient applicables qu’à un navigateur bien précis (par exemple le détournement d’une fonctionnalité spéciale de Chrome apparemment prévue pour supporter Google Drive) les démonstrations étaient suffisamment explicites pour causer certaines craintes. D’ailleurs, des tests plus approfondis sont au programme, dès notre retour à Préverenges.

Hacker + Airplanes = No good can come of this [Brad “Renderman” Haines]

Comme le nom le suggère, ce talk de “Renderman” soulevait quelques questions très intéressantes sur les “nouveaux” mécanismes utilisés dans le contrôle aérien (ADS-B). Bien que s’agissant d’un travail en cours, les points soulevés sont suffisants pour nous donner envie de rentrer en Suisse en train.

En effet, bien que reposant surtout sur des aspects théoriques (il faut comprendre par là que Renderman n’est visiblement pas suffisamment fou pour mener des attaques pouvant avoir un effet réel sur le contrôle aérien) les éléments qu’il présente ne laissent aucun doute, non seulement sur la faisabilité apparente de telles attaques, mais également sur les moyens dérisoires nécessaires à leur mise en oeuvre.

Il promet, en guise de conclusion, de présenter la suite de son travail à Defcon et invite quiconque pouvant lui apporter de l’information sur le sujet à le faire et, si possible, à lui prouver qu’il se trompe… Malheureusement nous en doutons.

Ladies and Gentlemen, here’s *your* cyber army! [Raoul Chiesa]

Raoul Chiesa nous parle de son travail au sujet de la Cyberwar. Il commence par un historique des attaques effectuées à partir des années 2000 en identifiant les différents pays actifs dans ce domaine.

La suite de la conférence concerne la mise en place d’une équipe de cyber sécurité et son intégration dans les forces armées et dans la politique d’un pays. Il insiste sur le fait que nous, les hackers, sommes l’avenir à ce niveau et que les gouvernements doivent en prendre la mesure.

La présentation a pour principal thème les différentes étapes nécessaires à la constitution d’une cyber-milice privée. Si le thème peut prêter à sourire, le profile de Raoul Chiesa ainsi que ses références dans le domaine laissent largement à réfléchir sur la pertinence de ces propos.

Conclusion

La conclusion de cette première participation à la Confidence est simple : le niveau des présentations, la qualité de l’organisation ainsi que la ville de Cracovie font que nous avons bien l’intention d’être à nouveau de la partie l’année prochaine.

Confidence 2012 – Premier jour

Confidence 2012 – Premier jour

Après avoir traversé en avion (avec escale) la moitié de l’Europe sans jamais avoir à présenter une seule pièce d’identité, nous voici à Krakovie pour l’édition 2012 de Confidence. Au programme, conférences, concours divers et, bien entendu, quelques activités récréatives. D’ailleurs le cadre de la conférence (une ancienne usine), l’excellente organisation et la météo estivale semblent indiquer que le séjour sera agréable.

History of Hacking [John “Captain Crunch” Draper]

Les formalités d’enregistrement réglées (de manière fort charmante d’ailleurs) la conférence démarre par une présentation “historique” du hacking, depuis le début des années 1970 jusqu’à maintenant. Les éléments présentés ne sont pas nouveaux (loin s’en faut) ni même applicables depuis bien des années mais ce n’est pas tant ce qui est présenté qui attire le public que le présentateur lui-même. En effet, il n’est autre que le très célèbre John “Captain Crunch” Draper, figure bien connue de l’histoire du hacking, notamment pour ses attaques, menées dans les années 70, à l’encontre des réseaux téléphoniques américain, armé d’un … sifflet pour enfant. En en sortant on n’a rien appris de nouveau mais entendre ce “vieux pirate” raconter ces annecdotes était amusant et de loin pas dénué d’intêret.

Alarmed about your alarm system yet ? [Keith Howell, Babak Javadi]

Si, en milieu de matinée l’ambiance est encore tranquille et que le café coule à flots, les choses sérieuses arrivent avec une présentation donnée par un mistérieux groupe nommée “The Core Group”, arrivé sur scène en treillis militaire et rangers. Leur talk dédié aux vulnérabilités affectant les systèmes d’alarmes modernes est intéressant et très bien présenté mais ce qui met réellement le feu à la salle c’est l’énoncé des règles et détails du challenge organisé par le groupe pour Confidence 2012 : X-traction Point.

Sous ce non accrocheur se cache une épreuve qui ferait passer le Gringo Warrior de Defcon pour un jeu d’enfants. Le principe est simple et présenté au travers d’un mini-film digne de Hollywood: lors d’une opération, une “collaboratrice” de l’organisation a été capturée et est actuellement retenue en otage dans un bunker. Le but du “jeu” est, bien entendu, de s’infiltrer dans le bunker et de la libérer. Néanmoins, à l’opposé d’autres challenges du type, pas de sens figuré ici. En effet le tout se passe dans un véritable bunker, agrémenté de systèmes d’alarme, caméras de surveillance, tourelles automatiques (si si) et autre équipement militaire. Le défi doit être relevé par des équipes de deux personnes, incluant un agent de terrain, en charge de l’exfiltration en elle-même, et un agent de soutien, en charge du hacking des systèmes de surveillance. Au vu de l’opération, la sélection est rude, et les équipes sont sélectionnées par des épreuves aussi diverses que du lock-picking, du tir au fusil à lunette ou le hacking d’une machine Windows. Après avoir assisté aux qualifications (le nombre de places restreint nous ayant empeché d’y participer), nous ne cachons pas notre intêret vis-à-vis de l’épreuve elle-même, prévue pour ce soir.

Got your Nose! How to Steal Your Precious Data Without Using Scripts
[Mario Heiderich]

Comme l’année dernière à Hack in Paris, la présentation de Mario répond à toutes nos attentes. Malgré quelques soucis techniques, les exploits présentés sont toujours aussi impressionants. On retiendra le keylogueur sous forme d’image SVG envoyé par mail qui s’exécute directement depuis Thunderbird.

La conférence présente différentes façon de voler des données depuis le navigateur alors que des outils tel que noScript sont utilisés. Les moyens utilisés sont les images SVG, les fichiers CSS et les différentes fonctionnalités de HTML5.

All your Clouds are belong to us – security analysis of cloud management interfaces
[Juraj Somorovsky]

Le but de cette conférence est de mettre en avant les vulnérabilités des interfaces de management du Cloud public et plus précisément celle fournie par Amazon (EC2). Les recherches effectuées par Juraj portent sur la partie SOAP de l’interface et sur les échanges de fichier XML. Les résultats obtenus sont pour le moins inquiétants. On apprend entre autre que le cookie du shop Amazon est le même que celui de l’interface de EC2. La conférence se termine par l’utilisation des mêmes attaques mais cette fois sur les fichiers utilisés par le langage SAML.

Herding RATs
[Andreas Bogk]

Résultats de l’investigation menée par Andreas suite à la demande d’un client qui avait des soupçons de traffic non autorisé sur son réseau. Il détaille les différentes étapes de son travail ainsi que les résultats obtenus.

A suivre …

Voilà pour notre petit compte-rendu de cette première journée. Il est maintenant temps d’aller essayer l’espace “jeux vidéo” et de profiter des activité prévues pour la soirée en attendant le début de X-traction Point.

Manoé et Sergio

Altération de résultats Google

A l’heure où tous les regards sont (encore plus que d’habitude) tournés vers Google et leur tout nouveau Google+, il est intéressant de noter que, parfois, même les meilleurs semblent commettre des erreurs improbables….

Ainsi, en bricolant avec les Google Webmaster Tools, James Breckenridge a découvert – par accident – qu’il avait la possibilité de supprimer n’importe quel site des résultats retournés par les recherches Google.

Nous faisons confiance à Google pour que cela soit corrigé au plus vite mais l’incident ne manque pas d’humour. On peut toutefois se demander comment cette personne peut (d’après son post) ne pas avoir trouvé comment remonter le problème à Google au vu du Vulnerability Reward Program et de la médiatisation dont il a bénéficié.

HackInTheBox Amsterdam 2011

Introduction

En fin de semaine passée – les 19 et 20 mai – s’est déroulée l’édition européenne de la conférence HackInTheBox, à Amsterdam. Comme c’est souvent le cas pour ce type d’événements, de nombreux professionnels du milieu font le déplacement afin d’assister aux présentations, se tenir au courant des nouveautés et aussi … enfin … cela se passe à Amsterdam donc aussi profiter de la ville.

Quelques ingénieurs SCRT faisant partie de ceux-là, nous vous livrons ici un petit compte rendu de cette édition 2011.

Ambiance

Arrivés sur place quelques minutes avant le lancement de la Keynote – officiée par, non moins, que le CSO de Facebook – nous constatons que les choses se mettent en place gentiment et que, bien que les participants semblent arriver petit à petit, la foule reste à échelle humaine, permettant de circuler aisément d’une salle à l’autre sans devoir jouer des coudes.

Du coup, quelques petites minutes après, l’enregistrement est effectué et nous nous retrouvons assis dans la salle principale à écouter Joe Sullivan argumenter au sujet d’innovation et des challenges engendrés par celle-ci : discussion, bien évidemment, illustrée de nombreux exemple issus de l’évolution de la plate-forme Facebook.

Une fois celle-ci terminée, la pause café prévue au programme permet de prendre mieux connaissance de ce qui semble être le point central de la conférence : installé dans le jardin d’hiver du l’hôtel, un espace ou les stands d’exposants tels que Google ou OWASP côtoient les espaces réservés aux différents hackerspaces prenant part à un challenge de robotique ainsi qu’à l’emplacement prévu pour la traditionnelle CTF. Au milieu de cet espace, un buffet de boissons et de nourriture – omniprésent au long des deux jours – est appréciable et visiblement appréciée des participants qui s’y retrouvent entre deux présentations, tenues dans une des trois salles dédiées à cela.

Vous l’aurez compris, l’ambiance est donc celle d’une conférence à relativement petite échelle – loin de ses consœurs telles que Defcon (USA) – ce qui a ses avantages et ses inconvénients.

Présentations

L’ambiance étant posée, venons-en au vif du sujet à savoir les présentations en elle-mêmes. Pour cela, HackInTheBox Amsterdam disposait de trois tracks en parallèle, proposant au total une trentaine de présentations.

Comme c’est généralement le cas, de nombreux sujets étaient abordés au fil des tendances du moment. Parmi ceux-ci, diverses présentations d’outils ou de projets en cours (Netglub, OpenDLP, etc…), des présentations de nouvelles attaques – génériques ou ciblant des produits en particulier – ou encore des présentations tournant autour des cartes à puce et autres systèmes plus spécialisés.

Toutefois, et c’est certainement là une tendance durable pour l’avenir, si un thème de présentation ressortait du lot c’était certainement celui des systèmes pour appareil mobiles. En effet, qu’il s’agisse de iOS ou de Android, de nombreuses présentations s’articulaient autour de la recherche de vulnérabilités ou de l’exploitation de ses systèmes, désormais omniprésents et très populaires.

Ceci étant dit, le catalogue des présentations – bien que assez varié – pêchait peut-être un peu par son manque de fraîcheur générale. En effet, quelques présentations avaient tendance à aborder des thèmes déjà largement discutés et revus sans apporter de nouveauté (par exemple, Stuxnet) ou encore avaient déjà fait l’objet de précédentes présentations à d’autres conférence (ce qui – néanmoins – ne remet pas en cause l’intérêt du sujet traité).

En marge des présentations « classiques » il probablement intéressant de relever la discussion d’ouverture du deuxième jour, intitulée « The Economics of Vulnerabilities » et permettant au public d’interagir avec quelques invités choisis, et non des moindres : parmi eux le directeur de la sécurité de Mozilla (Lucas Adamski), le dirigeant du Tipping Point Research Team (Aaron Portnoy), par ailleurs à la tête de la célèbre Zero Day Initiative, Chris Evans (Google) ainsi que des émissaires de la sécurité de grandes compagnies (Microsoft, Adobe, BlackBerry).

Ce panel de une heure et demi à donné lieu à d’intéressants débats sur les aspects économiques et étiques de la recherche et revente de vulnérabilités, notamment dans le contexte de divers programmes de récompense, petit à petit mis en place par certaines corporations afin d’inciter la recherche de vulnérabilités sur leur systèmes (ou des systèmes tiers dans le cas du ZDI).

Challenges

En parallèle des présentations, HackInTheBox Amsterdam était également le théâtre de divers ateliers et challenges. Parmi ceux-ci relevons le « Hackerspaces Challenge» ainsi que la CTF (Capture The Flag).

Le premier était un concours de robotique au cours duquel les équipes participantes (des représentants de différents hackerspaces hollandais ou de pays voisins) recevaient un kit de LEGO Mindstorm et avaient pour mission de construire un robot capable de suivre un source lumineuse. Ces robots étaient ensuite opposés lors de duels et départagés par le vote du public (effectué grâce à un tag RFID dissimulé dans les bracelets qui faisaient office de laisser-passer pour la conférence). Résultat assez drôle et plutôt original !

Le second était une traditionnelle CTF opposant différentes équipes préalablement qualifiées au travers d’épreuves de hacking diverses. Après deux jours en tête du classement, ce challenge a finalement été remporté par la team C.o.P : une équipe française, dont les membres sont des habitués des podiums dans ce type d’événements.

Conclusion

Au final, s’il est vrai qu’une conférence de ce type est toujours intéressante, il n’en demeure pas moins que l’impression générale sur cette édition de HackInTheBox Amsterdam était, de notre point de vue, dans l’ensemble assez mitigée.

Certaines présentations étaient certes intéressantes et ludiques mais elles faisaient toutefois plutôt figure d’exception dans un programme, dans l’ensemble, assez peu étoffé et ayant, de plus, subi plusieurs annulations à la dernière minute.

Toutefois, il est évident que ce constat et clairement dépendant des intérêts personnels de chacun et nous ne doutons pas que cette même conférence à apporté entière satisfaction à d’autres participants.