Area41 : compte-rendu sur notre participation à la conférence des 2 et 3 juin 2014

Area41

Des conférences de sécurité telles que la Defcon regroupent des experts mondiaux, afin de présenter l’état de la recherche en sécurité ainsi que les dernières failles. Ces événements sont aussi l’occasion de rencontrer d’autres confrères et d’échanger nos expériences. La popularité de cet événement a fait fleurir un grand nombre de groupes locaux dans le monde affiliés à la Defcon.

Area41 et une conférence sœur de la Defcon organisée par le chapter suisse (DC4131). Successeur des conférences Hashdays qui étaient précédemment organisées à Lucerne, Area41 se tenait cette année à Zurich pas très loin du centre ville, dans le club Komplex 457.

Nous vous proposons un compte-rendu non-exhaustif de la conférence :

Rob Fuller – Attacker Ghost Stories: Mostly Free Defenses That Gives Attackers Nightmares

Nous avons bien apprécié la conférence de @mubix qui nous a présenté des techniques pour compliquer la vie des attaquants. Il s’agit de bloquer une majorité d’attaques qui ne sont pas très complexes forçant ainsi un attaquant à investir plus de temps pour contourner les sécurités. C’est ce qu’il appelle du « 90% security solution », dont voici quelques exemples :

  • Utiliser l’outil EMET de Microsoft,
  • Bloquer sur les firewall le User-Agent Java,
  • Mettre en place des alertes si certains utilisateurs leurres sont utilisés,
  • Mettre une entrée DNS wpad et wpadwpadwpad (résolution IPv6) qui pointent sur localhost.

Le reste des recommandations consistait à généraliser l’utilisation de leurres ou honeypot, détournant ainsi l’attaquant des systèmes vraiment critiques.

Alexandre Herzog – Why .NET needs MACs and other serial(-ization) tales

Alexandre Herzog nous a expliqué pourquoi il est essentiel d’activer le contrôle d’intégrité sur le ViewState dans les applications .NET. Sa démonstration, montrait un objet qui était injecté en mémoire, et qui lors de sa destruction effaçait le fichier de configuration web.config.

Ensuite, le conférencier nous a expliqué les allers-retours qu’il a eu avec Microsoft, jusqu’à la sortie de la version 4.5.2 du framework .NET qui corrige la faille. Néanmoins, vu l’omniprésence de versions anciennes sur les serveurs en production, la faille à encore de beaux jours devant elle.

Ange Albertini and Gynvael Coldwind – Schizophrenic Files — A file that thinks it’s many

Ces deux conférenciers sont un peu des ovnis. Leur but: faire des mélanges improbables entre plusieurs formats binaires et voir comment les lecteurs respectifs réagissent. Mais ils ont aussi essayé de pousser des formats connus jusque dans leurs derniers retranchements. On retiendra le fichier zip qui peut être décompressé en donnant trois résultats différents. On imagine aisément, l’intérêt de cette recherche pour les audits de sécurité.

Adventures in a Decade of Tracking and Consolidating Security Vulnerabilities

Marc Ruef nous a présenté les problèmes liés à la corrélation d’information sur les failles de sécurité. Premièrement il n’y a pas d’autorité centrale de référencement des failles. Ensuite, chaque autorité analyse une faille selon ses propres critères. Ainsi la même faille pourra donner lieu entre 1 et 3 enregistrements par exemple. Il n ‘y a pas de consensus non plus sur la date de publication d’une faille. Lorsque certains se basent sur la date du CVE, d’autre utilise la date du premier email référençant la faille et d’autre encore la date du premier patch fourni par l’éditeur. Ainsi il peut y avoir jusqu’à un mois de différence entre deux autorités !

Chris John Riley

Chris John Riley s’est attaqué à la problématique des conteneurs sécurisés sur Android. Devant les nombreuses attaques existantes sur ce genre de plateforme tout éditeur de logiciel doit partir du principe qu’un smartphone est compromis par défaut. Les données sensibles sont alors enregistrées dans des conteneurs sécurisés pour protéger les données en cas de vol du smartphone. Mais voilà, en utilisant l’outil de développement adb (Android Debug Bridge) il est possible de faire des backups des applications. De plus, si l’on possède une ancienne version d’un logiciel qui était vulnérable il est alors possible de « downgrader » l’application et d’exploiter la faille.

Comment mitiger ces risques ? Si vous êtes développeurs, interdisez le backup. Pour les utilisateurs, mettez en place le chiffrement de la mémoire persistante.

Raffael Marty – The Heatmap – Why is Security Visualization so Hard ?

Un expert qui regarde une scène de piratage dans un film reste souvent perplexe. Si le cinéma peut se permettre des représentations jolies mais absolument pas factuelles, est-il possible d’utiliser des techniques de visualisation qui soient cohérentes et utilisables au jour le jour ? En général nous utilisons toujours des logs texte ou des graphiques simpl(istes).

Le champ de la visualisation des données de sécurité informatique n’est pas très connu et encore au stade expérimental. Raffael Marty nous a présenté un état des lieux de la recherche avec quelques modèles avancés de représentation. Néanmoins chaque modèle semble être limité, et l’essentiel du travail consiste à trouver le bon modèle pour le niveau d’information voulu.

La présentation pose plus de questions qu’elle ne donne de solution, mais donne une bonne introduction à la problématique.

Raul Siles – iOS: Back to the Future

Raul Siles s’est amusé à jouer avec le système de mise à jour des iPhones « On The Air » (OTA). En analysant de près le trafic, il a pu découvrir comment tromper un iPhone sur l’état des mises à jour. Il lui a été alors possible de geler les mises à jour d’un iPhone de manière permanente. Cette attaque peut être menée à l’insu du propriétaire de L’iPhone. On peut alors imaginer le scénario suivant : un attaquant vise l’iPhone d’un VIP et gèle ses mises à jour. Bien qu’il n’ait pas d’exploit utilisable sur le moment, il attendra le prochain patch de sécurité pour découvrir s’il existe des failles exploitables. Pendant ce temps l’iPhone ne se met pas à jour.

Sa technique consiste à jouer sur les dates de mise à jour et les versions proposées. En effet comme une partie de l’échange se fait en https, il est alors possible de modifier la requête ou la réponse https pour leurrer le serveur de mise à jour ou l’iPhone.

Finalement Apple a corrigé une partie de la faille, empêchant l’attaque d’être permanente. De plus, si l’iPhone tente une mise à jour sur un réseau non contrôlé par l’attaquant alors le blocage n’est plus effectif.

Shahar Tal – I Hunt TR-069 Admins: Pwning ISPs Like a Boss

Shahar Tal nous a fait une présentation du travail en cours de son équipe de recherche. TR-069 est un protocole qui a été développé par l’industrie des télécommunications pour administrer à distance les modems-routeur qui sont installés chez les particuliers. Ce protocole donne un accès complet à l’administration mais aussi au trafic de ses périphériques.

Son premier reflexe à été de chercher à désactiver ce contrôle, mais son ISP à réagit en poussant un nouveau firmware qui bloque cette possibilité. Il s’est alors attaqué à la partie serveur de ce protocole. Après recherche il se trouve que les implémentations de serveurs TR-069 sont rares et assez confidentielles.

Il a notamment trouvé des erreurs de configurations sur de nombreux serveurs (écoute sur 0.0.0.0 sans acl et en https). Mais après quelques jours de reverse engineering il a mis à jour des failles de Remote Code Execution sur ceux-ci. Lui donnant un accès complet à l’interface de management. Son équipe est entrain en ce moment de faire une revue de code de l’une de ces implémentations.

Ses conclusions finales seront présentées plus tard dans l’année.

Conclusion

Cette première édition d’area41 était un succès. Nous avons particulièrement apprécié le barbecue le premier soir qui nous a permis de faire des rencontres intéressantes. Les sujets abordés par les conférenciers étaient variés et l’ambiance excellente.

Nos coups de cœur vont pour les conférenciers qui n’avaient pas une réputation établie dans le monde de la sécurité. Leur message était clair et ne cherchaient pas blâmer des éditeurs ou un autre groupe, à contrario des plus connus qui étaient plus polémiques et moins techniques.

Au retour de cette conférence, il s’agit pour nous maintenant d’appliquer ce savoir acquis dans notre travail de tous les jours.

Merci encore a toute l’équipe d’area41 et on se réjouit de revenir l’année prochaine !

 

Eric LEDERREY, Expert Sécurité et Systèmes


Quelques liens utiles :