SSTIC 2009 : Jour 1

Mon 08 June 2009 by christophe

Bandeau_SSTIC_2009.small.png

Résumé des conférences de la 1ère journée du SSTIC 2009.

ÉVALUATION DE L’INJECTION DE CODE MALICIEUX DANS UNE JAVA CARD

Jean-Louis LANET, Julien IGUCHI-CARTIGNY

La première conférence du SSTIC est une conférence invitée sur les Java Cards. Alors que la spécification Java Card 3.0 propose d'intégrer un serveur Web sur les cartes à puce, il est intéressant de faire un point sur la sécurité actuelle. Jean Louis Lanet, après avoir expliqué comment des travaux menés avaient permis de contourner les mécanismes de séparation offerts par le pare-feu Java Card, aborde les limites des vérificateurs de byte code présents lors du chargement des applets ; grâce à des erreurs d'implémentation, notamment dans la gestion des transactions, il est possible de générer des confusions de types lors de l'exécution.

L'évolution des attaques sur cartes à puce est intéressante. En effet, l'attention s'est initialement concentrée sur les attaques physiques, puis sur un mélange d'attaques physiques/logiques, pour enfin s'intéresser à des attaques uniquement logicielles. Suite à la présentation, on peut se demander si l'intégration d'un serveur Web dans les cartes à puce est réellement une bonne idée.

thumb_img_0821.jpg

UTILISATION DU DATA TAINTING POUR L'ANALYSE DE LOGICIELS MALVEILLANTS

Florent MARCEAU (CERT-LEXSI)

thumb_img_0823.jpg

DÉSOBFUSCATION AUTOMATIQUE DE BINAIRE - THE BARBARIAN SUBLIMATION

Alexandre GAZET, Yoann GUILLOT (Sogeti ESEC)

Nos deux collègues présentent leurs travaux sur la désobfuscation de binaires, dans la lignée de ceux de l'année dernière. Le cas d'étude choisi cette fois est une protection logicielle qui virtualise du code natif x86 puis l'obfusque. La nouveauté réside dans l'utilisation d'un module générique développé pour metasm qui va utiliser des techniques d'optimisation (classiques dans le domaine de la compilation) afin de gommer toute la couche d'obfuscation présente : constant expansion, operation folding... Cette phase de l'analyse, traditionnellement assez fastidieuse, est ainsi énormément accélérée (instantanée dans ce cas), ce qui permet de se concentrer sur les phases plus intéressantes comme la dévirtualisation. La démonstration continue avec la totale dissolution de la protection à l'aide d'un script dédié, et se termine par une représentation du binaire original ou les sections de code protégées ont été toutes détectées, analysées, et remplacées à la volée par le code original reconstruit. Le module d'optimisation automatique devrait être publié prochainement sous forme d'un plugin pour le framework, utilisable pour tout binaire.

La dernière partie de la présentation est consacrée à l'introduction et à la démonstration de la dernière feature ajoutée à metasm, le décompilateur C. Celui-ci est accessible depuis l'interface standard de désassemblage, et réimplémente certaines des techniques d'optimisations (dans un scope plus global), ce qui permet la génération de C très synthétique. Ces optimisations peuvent être désactivées si l'on souhaite garder une correspondance plus nette avec le code assembleur. L'utilisation de ce module dans le domaine de la désobfuscation pourrait amener des résultats intéressants, mais reste dans le domaine prospectif faute de temps.

thumb_img_0827.jpg

LE POINT DE VUE D'UN WOMBAT SUR LES ATTAQUES INTERNET

Marc DACIER

thumb_img_0836.jpg

thumb_img_0837.jpg

ACPI ET ROUTINE DE TRAITEMENT DE LA SMI: DES LIMITES À L'INFORMATIQUE DE CONFIANCE ?

Loic DUFLOT (DCSSI), Olivier LEVILLAIN

Loïc Duflot présente les résultats de ses travaux qu’il a effectués avec Olivier Levillain sur les limites à l’informatique de confiance. La présentation commence fort par une démo très percutante, qui permet de passer root depuis un compte non privilégié en branchant-débranchant 5 fois le câble d’alimentation du laptop… Il enchaîne sur l’informatique de confiance, et présente les limites que représentent ces initiatives (notamment Intel® TxT et AMD Presidio). Il explique ensuite les mécanismes utilisés pour mener l’escalade de privilèges, en s’appuyant sur les routines de traitement de la SMI (System Management Interface) et les tables ACPI (Advanced Configuration and Power Interface). La méthode consiste à modifier la routine de traitement de la SMI, dissimuler des fonctions cachées dans les tables ACPI puis déclencher l’attaque en utilisant le câble d’alimentation comme stimulus externe. Un compteur permet de déclencher l’attaque lorsque le stimulus est déclenché cinq fois de suite, ce qui nous offre un résultat très opérationnel et très convaincant !

thumb_img_0841.jpg

COMPROMISSION PHYSIQUE PAR LE BUS PCI

Christophe DEVINE, Guillaume VISSIAN (Thales Security Systems)

thumb_img_0844.jpg

CINQ QUESTIONS SUR LA VRAIE UTILITÉ DE L'ISO 27001

Alexandre FERNANDEZ-TORO (HSC)

Voici la trame de présentation adoptée :

  • A quoi ça sert l'ISO 27001 ?
  • Est-ce que ça améliore vraiment la sécurité des systèmes d'information ?
  • Comment reconnaitre les compagnies qui veulent être certifiées pour le tampon et celles qui le souhaitent pour s'assurer qu'elles appliquent les bonnes pratiques en termes de SSI ?
  • Quels sont les domaines impactés ?
  • A quoi ça sert vraiment l'ISO 27001 ?

Il est intéressant d'avoir un tel retour sur le sujet par un des lead-auditors qui participe le plus à des programmes de certification en France. Après une revue des objectifs et du fonctionnement d'ISO 27001, le speaker nous détaille les limites d'applications de la norme dans la vraie vie. A savoir :

  • réduction du périmètre de certification,
  • pas de réel motivation/investissement pour l'application de la sécurité au sein du SI - l'audité essaye d'obtenir le label au dernier moment avec des rustines -,
  • croire à tort qu'en appliquant les mesures de la norme fera que le SI est complètement sécurisé.

Dans la suite de la présentation, l'auteur confirme intrinsèquement que 27001 et les mesures associées (27002) sont là pour guider la gestion de la sécurité au sein du SI et non en assurer directement la sécurité. Les failles qu'on peut trouver lors d'un test d'intrusion ont presque toujours une cause organisationnelle derrière. Bref, il apparait évident que 27001 est un fil directeur largement complémentaire aux mesures techniques.

thumb_img_0848.jpg