Compte rendu Hack.lu : deuxième journée

Tue 28 October 2008 by christophe

Voici la suite du compte rendu de la conférence hack.lu, couvrant cette fois-ci la deuxième journée.

Rustock.C - When a myth comes true - Frank Boldewin

Frank ouvre la journée du jeudi en nous montrant l'analyse d'un rootkitnoyau appelé Rustock.C. Après un rappel sur l'origine dece rootkit, il explique comment les différentes parties du rootkitinteragissent ensemble (loader, driver, botnet userland). Rustock,agissant en mode noyau, combine du chiffrement, de l'obfuscation et desprotections anti-debug qui rendent son analyse non triviale. Le loadergénère une clé unique dépendant du matériel du poste infecté (heuresystème, identifiants du bus PCI). Cette clé est envoyée à un serveurpour récupérer une version chiffrée du driver. Tout cela fait qu'il esttrès difficile de faire l'analyse sur une machine différente, étantdonné qu'il faut bruteforcer la clé de chiffrement et que chaque échecse solde par un écran bleu ... Cette présentation effectue une analysedétaillée et intéressante d'un rootkit souvent qualifié de mythe.

Hacking Internet Kiosks - Paul Craig

Paul nous montre de quelle manière il est facile de sortir del'environnement que nous impose un kiosque internet, à savoir unnavigateur web très restreint. A travers un suite d'outils qu'il adéveloppé et mis sur son site, il est possible d'accéder aux ressourcesdu système d'exploitation, en passant à travers les restrictions, quandelles existent. Tout ceci ce fait en quelques clics sur son site (http://ikat.ha.cked.net/), ou sur n'importe quel site qui dispose dece toolkit qu'il met à disposition.

Présentation efficace, utile aux personnes coincées quelques heures dansun aéroport :)

gFuzz: An Instrumental Web Application Fuzzing Environment - Ezequiel David Gutesman

Ezequiel présente un framework de fuzzing d'applications Web, reposantsur un fuzzer basique et un outil de protection contre les injectionsprécédemment développé, CORE GRASP. La possibilité d'utiliser son propremoteur de fuzzing est une bonne idée. La "colorisation" des variablescontrôlées par l'utilisateur, et leur suivi au cours de l'exécutionjusqu'à l'obtention d'une erreur est très intuitive. Bonne conférence,manquant d'exemples un peu solides.

Browser Exploits - A new model for Browser security - Saumil Shah

Saumil Shah effectue d'abord une analogie entre les navigateurs Web et lessystèmes d'exploitation. Il présente ensuite des exemples d'exploitspour le navigateur Firefox ainsi qu'une technique appelée "Heapspraying" permettant de contourner certaines protections fournies parle système d'exploitation notamment la randomisation du tas.Il montreensuite comment obfusquer les exploits navigateurs pour les rendreindétectables par les anti-virus. Finalement, il nous présente uneextension développée par ses soins protégeant le navigateur desexploits utilisant la technologie JavaScript. Présentation intéressanteavec un intervenant pédagogue qui permet de voir les navigateursinternet avec un œil nouveau.

Lightning talks

NF3D and associates, firewalls get fun - Eric Leblond

Eric montre rapidement plusieurs applications gravitant autour desnouvelles bibliothèques de gestion des connexions d'iptables(wolfotrack, nf3d).

Picviz - Sébastien Tricaud

Sébastien présente Picviz, programme permettant d'afficher N-dimensionssur une surface en 2D. Les applications sont nombreuses surtout lorsquele nombre de données devient trop importantes.

The Moth Trojan - Paul Craig

Paul présente un trojan original. Plutôt que de se cacher dans lescouches basses du système (noyau, matériel), il préfère se cacher dansles couches applicatives hautes de Windows en utilisant unefonctionnalité de wmi. Talk marrant et bien présenté.

Fin des Lightning talks

Server side virus scanning - Dumitru Codreanu

Dumitru part du postulat que la taille des signatures dans les anti-virusactuels explose, et que les mises à jour poseront un problème au niveaude la bande passante nécessaire pour chaque client. Il propose alors defaire scanner les binaires par des serveurs. Ceci présente égalementplusieurs contraintes, en particulier la bande passante nécessaire pourenvoyer tous ses fichiers au serveur. Les méthodes palliant cescontraintes sont présentées : envoi de l'empreinte des fichiersau serveur, pour éviter qu'il les scanne plusieurs fois; ou encore scanrapide, le client n'envoyant que les programmes en cours d'exécution.Présentation intéressante, notamment l'architecture de BitDefender, quimontre que la recherche par signatures, bien que largement dépassée, estloin d'être abandonnée ...

"The end of the internet" aka " Self-replicating malware on home routers" - naxxatoe

Un titre bien racoleur ... le présentateur était à l'aise, mais il n'apas montré grand-chose au final. Beaucoup de blabla.

Bridging the Gap between the Enterprise and You - or - Who's the JBoss now? - Jens Liebchen, Patrick Hof

JBoss est largement utilisé dans les entreprises mais très peu d'études ont été publiées à ce jour concernant la sécurité de ce serveur d'applications ; Jens et Patrick nous présentent leurs travaux sur la sécurité de JBoss, en allant des problèmes de configuration jusqu'à de l'exécution de code à distance.

Beaucoup de démonstrations (et de redémarrage du serveur JBoss...), une étude intéressante, que nous n'avons malheureusement pas pu réellement suivre à cause du CTF qui se déroulait en même temps, et qui fera l'objet d'un futur article sur ce blog.