Compte rendu SSTIC 2008 - journée du vendredi

Mon 09 June 2008 by alex

La journée du vendredi, c'est le lendemain du Social Event et c'est la dernière journée ... heureusement ! Et les conférences continuent ...

Une architecture de Bureaux Graphiques Distants Sécurisée et Distribuée J. ROUZAUD-CORNABAS

Cette première conférence faisant suite au « Social Event » (repas communautaire poursuivi pour beaucoup d'une virée « rue de la soif ») de la veille au soir a vu un auditoire plutôt bien réveillé ... Lespeaker J. Rouzaud-Cornabas, doctorant à l'université d'Orléans, aprésenté l'évolution du projet débuté il y a 2 ans et demi.

L'orateur a tout d'abord fait état des principaux axes d'évolution :le renforcement de la continuité de service et la mise en œuvre dedispositifs de surveillance des activités utilisateurs.

Parmi les problématiques abordées, il s'est surtout focalisé sur lagestion à chaud des machines virtuelles, des mécanismes de répartitionde charge et de la corrélation des nombreux événements de sécuritégénérés (jusqu'à plusieurs milliers par minutes).

Cette première présentation, d'un certain niveau technique a doncpermis de reprendre « doucement » le cycle des conférences pour latroisième et dernière journée.

P.S. : Petite info intéressante, l'ensemble du projet fait appel à desmodules issus du logiciels libres, adaptés ou développésspécifiquement, qui seront mis prochainement à disposition de lacommunauté.

Walk on the Wild Side G. ARCAS

G. Arcas nous présente une étude d'un botnet, « Storm Worm », apparufin 2006 début 2007 et qui est présent, aujourd'hui, sur plus de 10millions d'ordinateurs. L'approche utilisée ici est assez différentedes autres présentations. En effet, pour son analyse G. Arcas n'a pasemployé d'outil de désassemblage ou de débogage. Il nous présente iciune analyse en « boites noire » de ce malware.

Son analyse montre que ce malware a pour but principal le SPAM, maisqu'il possède également beaucoup d'autres fonctionnalités (DDOS, proxyweb et DNS). Sans rentrer dans le détail, ce malware continued'évoluer depuis sa création et ses auteurs, que G. Arcas suspected'être russe, mettent en œuvre d'énorme moyen pour que leurdéveloppement rapporte.

Cette analyse confirme l'idée que le développement de virus est rentrédans une phase d'industrialisation et que ce marché rapporte.

SinFP, unification de la prise d'empreinte active et passive des systèmes d'exploitation P. AUFFRET

P. Auffret présente un logiciel pouvant être une alternative à desoutils de fingerprinting d'OS comme nmap. Son intervention estdécoupée en 3 parties :

  • présentation de l'existant et récapitulatif des problèmes que rencontrent les logiciels existants ;
  • les problèmes que SinFP peut contourner ;
  • le fonctionnement de ce logiciel.

Comme la plus part de produits existants, SinFP fonctionne selon deuxmodes: "actif" et "passif" (ilutilise les mêmes empreintes que pour le mode actif et applique desmasques de déformations).P. Auffret présente SinFP comme un produit peu bruyant encomparaison de ce qui existe déjà. En effet, il n'envoie pour sonanalyse (et en mode actif) que trois paquets standards (SYN sansoption TCP, SYN avec option TCP, SYN+ACK) le rendant difficilementdétectable. Pour reconnaître les systèmes d'exploitation la plusefficacement possible, SinFP utilise des masques de déformation (lesempreintes d'un même système pouvant varier, ces masques donnent uneplus grande flexibilité). Aujourd'hui il y a plus de 150 entrées dansla base de données qui continue d'évoluer.

Au vu de son fonctionnement SinFP peut s'avérer très utile, notamment sur des réseaux encombrés. Là où nmap reste un couteau suisse pour tout (mal ?) faire, SinFP a opté pour spécialisation et discrétion.

Recueil et analyse de la preuve numérique dans le cadre d'une enquête pénale N. DUVINAGE

Une présentation rafraîchissante avec le chef du départementinformatique-électronique de l'Institut de Recherche Criminelle de laGendarmerie Nationale (IRCGN) Nicolas Duvinage.

Après avoir révélé son « image d'Epinal » - 90% des affaires traitéesau quotidien ne nécessitent pas des compétences techniques trèsavancées - il a défini et dressé un inventaire de (tout) ce qui peutconstituer une preuve numérique. Puces, mémoires de masses,micro-contrôleurs, fichiers de logs, SMS/MMS, e-mails ... et la listeest plutôt longue ! Un petit côté humoristique a pu être observélorsqu'il a évoqué les différentes « planques » utilisées par lessuspects : disques dur Wi-Fi au fin fond du jardin ou dans lefaux-plafond des toilettes. Il a ensuite fait état des différentesmanipulations et précautions à prendre lors de l'exploitation pour nepas altérer les données présentes sur l'élément de preuve. Il n'estpas toujours aisé de définir l'ordre des examens : faut-il d'abordrelever les empreintes digitales d'un CD (avec les possibilités dedégradations du support que cela consiste) ou examiner son contenu ?Enfin, il a fait état (toujours avec un certain humour), desdifférentes difficultés auxquelles ils sont confrontés : lamultiplicité des formats, le fait de savoir quoi chercher dans lecadre de l'enquête et ... les magistrat. En effet certains d'entre euxn'ont que peu de compétences en informatique ou sont un brinréfractaire aux outils informatiques.

Bref, vous l'aurez compris, il s'agit là d'une conférence intéressanteet bon enfant ou l'orateur a su, durant près d'une heure, intéresserson public sur une sujet peu technique.

Voyage au cœur de la mémoire D. AUMAITRE

Durant cette présentation, D. Aumaitre détaille à l'auditoire lesstructures des composants noyau de Windows et notamment le lien entrela mémoire physique et la mémoire virtuelle. Par des démonstrationstrès parlantes, il montre comment exploiter les fonctionnalités duport FireWire pour accéder directement à la mémoire physique etcomment exploiter cet accès.

Le port FireWire utilise un DMA (Direct Access Memory) pour accélérerles échanges de data entre les différents composants de l'ordinateur.Cette fonctionnalité est par défaut désactivée sous Windows,explique-t-il. Mais par une "astuce" consistant à faire passer sonpériphérique pour un iPod l'accès au DMA est autorisé. L'effet pervers(ou pas) de ce procédé est qu'il évite les contrôles de sécurité duprocesseur. Après un bref descriptif des structures du noyau Windowsla démonstration commence.

L'outil que D. Aumaitre a développé permet de lire et de modifier lamémoire de l'ordinateur attaqué. Ainsi, il récupère une partie decette mémoire et obtient, après analyse, une liste complète desprocessus ouverts (nous venons de voir l'accès en lecture à latotalité de la mémoire). Dans un deuxième temps, et toujours avec cemême outil, il change un octet dans la base de registres pourdésactiver le système d'authentification Windows (nous venons de voirl'accès en écriture). Ce début de démonstration montre comment grâceau port FireWire on peut avoir accès en lecture et en écriture à lamémoire physique. Mais le plus impressionnant reste à venir.

Le moment fort de la présentation arrive lorsque Damien nous montrecomment exécuter du code malveillant (ou pas). il nous expliquecomment choisir l'endroit où écrire le code à exécuter pour qu'il selance le plus rapidement possible. Ainsi, il choisit un pointeur KUSER_SHARE_DATA parce que cette partie de la mémoire est souventutilisée. Cette action a pour effet de lancer au-dessus de la mired'authentification Windows une fenêtre "cmd.exe" et finalement nouspouvons ouvrir "l'explorer" avec les droits système. Ainsi, sans mêmelancer le processus d'authentification il accède au contenu del'ordinateur.

Cette présentation "au cœur de la mémoire" est à la fois trèséloquente et très inquiétante. En effet, on pourra trouver denombreuses applications à ce "proof of concept": forensics, debug, ...mais il est plus probable que cette "fonctionnalité" (parce qu'on nepeut pas l'appeler faille) du FireWire servira plus à l'intrusionqu'autre chose et la seule parade est la désactivation du port et ladésinstallation des drivers.

Recherche et développement en sécurité des systèmes d'information Orientations et enjeux F. CHABAUD

Conférence menée par un responsable de la DCSSI en costume cravate... et en lunette de soleil ! M. Chabaud faisant directement référenceaux « Men in black » et nous promettant par ailleurs de ne pas noussoumettre à la petite lumière rouge ...

Passé cette petite mise en scène, il a commencé par nous présenter les6 idées les plus stupides publiées par Marcus Ranum en 2005. Pour ceuxqui ne les connaîtrait pas, je vous les rapporte à mon toursuccinctement : le principe de tout autoriser par défaut, lerecensement des vulnérabilités, l'application des correctifs àoutrance, l'adulation du hacking, la sensibilisation des utilisateurset le fait qui vaille mieux agir que de ne rien faire.

Il s'est attaché ensuite à nous faire part d'éléments de réflexionpersonnels sur l'approche de la sécurité par les différents acteursfrançais : recherche institutionnelle, experts du secteur privé,organismes étatiques, ...En bref, il s'est agit là d'une présentation plutôt (trop) théoriquequi s'adressait plus particulièrement aux services de R&D, auxchercheurs et aux enseignants en SSI.

Dynamic Malware Analysis for dummies P. LAGADEC

Pour clore ce SSTIC édition 2008 P. Lagadec nous propose une méthodepour l'analyse de malware accessible à tous. Ainsi, cette présentationest, comme le dit P. Lagadec lui-même, destinée aux personnes n'ayantaucune connaissance en assembleur et n'utilisant pas d'outils commeIDA (pour ne citer que lui).

Lors de la réception d'un fichier suspect voilà (très rapidement) laméthode proposée:

  • Analyser le fichier avec un éditeur hexadécimal (pour retrouver le plus d'information possible en claire). Trouver son format réel.
  • Test anti-virus, si le malware est déjà connu, le travail est déjà fait
  • Recherche des signatures d'en-tête de fichier pour retrouver des malwares cachés (Hachoir-Subfile)
  • Analyse runtime, qui est la partie à mon sens la plus intéressante. Cela consiste à faire tourner le virus dans un environnement clos pour en déterminer le fonctionnement grâce à des outils de monitoring.

Cette présentation, certes moins technique que la plupart, nous montrecomment créer son laboratoire personnel d'analyse viral à moindre coûtet sans connaissance approfondie (la méthode proposée peut aboutir àl'obtention de signature du malware). Et même si elle ne changera pasles méthodes de nombreux chercheurs, cette présentation a le mérited'introduire un panel d'outils très intéressants (Sandnet,SniffAnalyser, etc/) pour les personne débutant dans l'analyse desoftware.

En conclusion

Voilà donc que vers 16h30 ce vendredi 6 juin 08 s'achève la 6ème édition du SSTIC. Après avoir subi 3 journées de "stage" intensif 22conférences de 30 minutes à 1 heure, 1 séance de folie de rumpssession) et 3 soirées de cohésion, le retour sur Paris en TGV futplutôt calme ... (certains d'entre nous en ayant même profiter pours'assoupir ). Ces conférences ont sans doute pour beaucoup étél'occasion de découvrir ou redécouvrir certains domaines de lasécurité, et pourquoi leur donner l'envie d'aller un peu plus loin.Nous retiendrons donc de cet évènement un symposium très bienorganisé, des présentations de très bonne qualité et une ambiance desplus sympathiques. En bref, vivement la prochaine édition !