Compte rendu Hack.lu : dernière journée

Fri 31 October 2008 by christophe

Et pour terminer le compte-rendu de cette conférence, cet article couvre la troisième et dernière journée. En ce qui concerne les conférences en elles-même, le rapport sera court, le Capture The Flag ayant capté toute notre attention. Nous nous excusons donc pour les conférences qui n'ont pas de compte-rendu.

Immersed network discovery and attacks, specifics of telecom Core networks (CN SS7/SIGTRAN) insider atacks - Philippe Langlois

Cracking into embedded devices and beyond - Adrian Pastor

How to make smartcards resistant to hackers' lightsabers? - Philippe Teuwen

A little journey inside Windows memory - Damien Aumaître

Après un rappel instructif de la manière dont fonctionne la mémoire sur les systèmes d'exploitation modernes, Damien nous explique comment il reconstitue la mémoire virtuelle sous Windows, et nous présente les outils qu'il a développés pour la manipuler. Pour cela il utilise différentes sources pour accéder à la mémoire, comme par exemple une fichier mémoire VMWare, un dump d'un système, ou un accès FireWire (ou tout autre périphérique ayant accès au DMA, Direct Memory Access). La présentation se fait in crescendo, en commençant par la lecture avec des outils reconstituant les processus ou la base de registre d'un Windows virtualisé par VMWare. Vient ensuite l'écriture : Damien nous montrant la possibilité de se connecter sans mot de passe au système en modifiant seulement 2 octets en mémoire. Et enfin l'exécution de code, Damien fait sensation en faisait apparaître un shell système (ie avec tous les droits) avant même la connexion d'un utilisateur, en passant par le bus FireWire et en faisant croire à Windows que son portable est un iPod.

Browser Rootkits - Julien Lenoir, Christophe Devaux

Julien et Christophe nous présentent leurs travaux concernant la création de rootkit affectant les navigateurs Web, respectivement Internet Explorer et Firefox. Si à l'heure actuelle on peut comparer un navigateur Web à un système d'exploitation, alors on peut facilement imaginer des nouvelles menaces de ce type. Concernant Firefox, Christophe nous montre comment on peut facilement créer une extension invisible et utiliser les fonctionnalités du navigateur pour implémenter facilement des payloads. Pour Internet Explorer, Julien nous présente les mécanismes de sécurité du navigateur, et comment les contourner à l'aide d'une exploitation tout en mémoire. Ces deux attaques visent à la prise de contrôle complète de l'utilisation du navigateur et des données qu'il fait transiter.

Various Ways of Classifying Malware - Halvar Flake, Sebastian Porst

Halvar et Sebastian présentent leur méthodologie de classification des malwares, utilisée dans VxClass. L'idée de départ est que les signatures utilisées dans les anti-virus ne marchent pas : la taille des bases de signatures croit, et il est très simple de les outrepasser, très souvent en modifiant un simple octet dans un virus existant. La communauté des vxers a beaucoup changé ces dernières années. On passe d'une confection artisanale, souvent pour la notoriété, à une approche industrielle : copycats, code sale dans des langages de haut niveau, innombrables versions d'un même virus.

Trois approches de classification sont présentées : une classification comportementale, une autre reposant sur n-grams ou n-perms, et une classification structurelle. Ils présentent les avantages, et surtout les inconvénients des deux premières méthodes, avant de proposer la leur. Les travaux reposent sur une comparaison structurelle entre un exécutable suspect et une base de virus connus, afin de retrouver des parties de code déjà utilisées dans d'autres virus. Les méthodes de comparaison reposent largement sur celles utilisées dans BinDiff, et présentées au SSTIC en 2005. Évidemment, cette méthode n'est pas parfaite : leur but n'est pas de détecter tous les codes malveillants (c'est impossible), mais plutôt de forcer les développeurs de virus à créer des codes plus intelligemment. Les développeurs de virus étant aujourd'hui en majorité "salariés", et les bons codeurs étant difficiles à trouver, la création de "beaux" virus deviendrait alors à la fois plus complexe et plus chère.

Ce fut un très bon talk, difficile à résumer tant il y avait d'idées à creuser. A notre avis un des meilleurs talks de la conférence.

Egregious use of TOR servers - F.W.J. Geelkerken

Capture The Flag

Comme chaque année, un membre des Kenshoto, HackerJoe, est venu organiser le Capture The Flag de la Hack.lu. Cette année, celui-ci a regroupé plusieurs épreuves des qualifications aux Capture The Flag des années 2006, 2007 et 2008 de la DEFCON.

Le CTF de la Hack.lu se présente sous la forme d'une grille de 25 épreuves réparties sur 5 catégories. La première catégorie, Trivia, regroupe en fait 5 questions d'ordre général, avec un lien plus ou moins proche de la culture hackeur. La seconde, Web Hacking, concerne des applications Web sur lesquelles il faut trouver des failles de sécurité. Les épreuves de Forensics ont pour but de nous faire retrouver une information cachée dans divers fichiers. Viennent enfin les deux catégories les plus intéressantes : Binary Leetness, qui nous fait sortir IDA et gdb pour comprendre comment communiquer avec un service sur un serveur pour en obtenir l'information souhaitée en utilisant une faille de conception, et enfin Potent Pwnables qui reprend l'idée de Binary Leetness, en rajoutant le coté exploitation, avec l'écriture de shellcodes.Pour chaque catégorie on trouve 5 épreuves, la plus simple rapportant 100 points et la plus difficile 500.

Nous n'avons pas pris de capture d'écran du tableau, alors en voici une tirée du CTF 2007, pour donner une idée :

ctf_board.jpg

crédits : http://security4all.blogspot.com

Ainsi Damien, Jean-Baptiste, Julien et moi-même avons formé une équipe pour relever le défi. L'équipe a terminé avec 5200 points, se classant ainsi 1ère, et remportant le robot SPYKEE et une Soekris Net5501.

Une démo du robot suivra sans doute prochainement :)

Nous remercions bien évidemment toute l'équipe de la conférence, ainsi que HackerJoe, pour toute l'organisation nécessaire.

Le CTF de la hack.lu dans la presse : http://www.eco.public.lu/salle_de_presse/com_presse_et_art_actu/2008/10/24_hack_lu/index.html