hashdays 2010 – Lucerne, Suisse

Les 6 et 7 novembre dernier nous avons pu assister à la première édition de la conférence hashdays. Les organisateurs avaient mis la barre assez haut avec des speakers internationaux et un badge dans le style de celui de la defcon.

Dale Pearson – Head hacking, The magic of suggestion and perception: Bonne introduction aux concepts qui se cachent derrière le social engineering (comme l’hypnose ou le “neuro linguistic programming”) sous la forme de retour d’expérience.

Philipp Schroedel & Max Moser – CARAT, Configuration And Risk Assessment Toolkit, Metasploit within the enterprise : L’équipe de Remote Exploit a décrit les détails d’implémentation de l’outil CARAT. Ce dernier utilise le meterpreter comme agent pour exécuter des tâches sur des machines, à la façon d’un botnet (pour administrateurs). Une surcouche au shell de metasploit a été développée afin d’écrire des scripts réalisant des actions telles que:

  • vérification de clefs de registre
  • vérification des permissions des fichiers
  • calculs d’intégrité

Pascal Junod – OpenSource Cryptographic Libraries and Embedded Platforms : Cette présentation a débutée par un rappel sur différentes vulnérabilités liées à de mauvais choix dans l’utilisation d’algorithmes de chiffrement. La discussion s’est ensuite orientée sur les vulnérabilités crées au moment de l’implémentation d’un algorithme, comme les timing attacks, les caches attacks, les fuites d’informations ou encore l’injection de fautes. Les résultats de ses recherches sur la présence de protections contre de telles attaques dans des bibliothèques cryptographiques opensource ont été présentés. Ces derniers démontrent que l’utilisation de ces implémentations dans des périphériques embarqués est encore très risquée à l’heure actuelle.

Philippe Oechslin – Testing the limits of EV certificates : Malgré le nom, cette présentation n’avait pas pour thème la cryptographie, mais la gestion des certificats par Windows et le navigateur Firefox. Il a été démontré qu’il était assez facilement possible d’insérer un certificat EV sur un poste Windows, même sans les droits d’administrateur local.

Emmanuel Bouillon – Stealing credentials for fun and impersonation : Version mise à jour de la présentation donnée à Blackhat-eu’09 ayant pour thème une mauvaise implémentation de Kerberos dans Windows qui permet, en combinant les attaques KDCspoof et TGS-req, d’obtenir un accès à une machine Windows faisant partie d’un domaine MS-Windows. Une démonstration mettant en scène un contrôleur 2008-r2 et un client 7 a été effectuée. Bien que l’accès à la machine puisse être obtenu, il n’est en revanche pas possible d’obtenir l’accès à de nouveaux services du fait que le ticket n’est pas valide. A noter que cette vulnérabilité n’est pas encore corrigée du fait que Microsoft ne la considère pas comme tel…

Stefan Bühlmann – Helios a fast, portable and transparent instruction tracer : Helios est un driver Windows qui permet de tracer les instructions exécutées pas un programme en utilisant le mode single-step du processeur. Lors du lancement du programme, des points d’arrêts sont placés sur les instructions modifiants la valeur d’EIP (call, jmp, ret, …) et le single-step est activé entre ces instructions. En cas de packer, Helios marque les pages mémoire ayant un grand nombre de hit comme page principale et désactive toutes les autres en supprimant le flag execute (“mode chicken” implémenté dans BluePill). Une fois que le packer passe la main au code protégé, l’exception est rattrapée par Helios qui réactive le flag execute et commence à tracer les instructions. Le but de ce traceur est de permettre de détecter l’exploitation de vulnérabilités dans des outils tels qu’Adobe Reader après une phase d’apprentissage. Le projet en est encore à ses débuts et un passage en hyperviseur (comme virtdbg) est actuellement à l’étude.

Pour plus d’informations, les slides devraient bientôt être disponibles sur le site de l’évènement: www.hashdays.ch

Introduction aux méthodes de forensics

A partir de la rentrée de septembre SCRT inaugure une nouvelle formation ayant pour thème les analyses forensics.

Cette formation a pour but de donner les bons reflexes à avoir en cas d’incident et d’initier aux différentes techniques et outils utilisés lors d’une analyse post-incident.

Les points suivants seront abordés:

  • les premières étapes
  • la collecte de preuves
  • l’analyse (online, offline, réseau)
  • les techniques de base lors de l’analyse d’un code malveillant

Pour plus d’informations: info@scrt.ch