SSTIC 2009 : Jour 3

Mon 08 June 2009 by christophe

Bandeau_SSTIC_2009.small.png

Résumé des conférences de la 3ème journée du SSTIC 2009.

"<SCRIPT>ALERT('XSS');</SCRIPT> -- XSS : DE LA BRISE À L'OURAGAN

Pierre GARDENAT (Académie de Rennes)

Pierre GARDENAT commence par nous rappeler rapidement les utilisations des failles XSS (JavaScript, redirections, prise de contrôle du navigateur...), bien connu dans le monde de la sécurité, et pourtant aux impacts souvent sous-estimés. Il ne se contente pas de nous expliquer, il nous le démontre ! En l'occurrence, nous avons eu le droit a un beau défacement du site du SSTIC. Aussi, il a mis en avant l'exploitation de ces failles sur les réseaux sociaux bien connus du grand public : Facebook, MySpace... tous étaient vulnérables à ces attaques. Ces énormes réseaux, du fait du nombre très important d'utilisateurs, peuvent devenir des vecteurs d'attaques similaires aux plus gros réseaux de botnet ou de virus... Comme quoi, les réseaux sociaux ne sont pas uniquement dangereux pour la productivité des employés.

LES ORIGAMIS MALICIEUX EN PDF CONTRE-ATTAQUENT

Fred RAYNAL, Guillaume DELUGRÉ, Damien AUMAITRE (Sogeti ESEC)

Cette présentation est dans la continuité de celle faite à PacSec en novembre dernier. Quelques rappels sont faits sur le modèle de sécurité du format PDF et d'Adobe Reader, illustrés notamment par une démonstration d'une preuve de concept de virus au format PDF. S'en suit une analyse des interactions entre le Web et les PDF à travers le plug-in Adobe Reader pour navigateur. Le contexte d'exécution du code PDF (et du JavaScript au sein d'un document) dans le navigateur est plus laxiste, et permet ainsi d'établir des connexions réseau sans intervention de l'utilisateur, pouvant ainsi déboucher sur du vol de cookies. La démonstration finale présente une attaque par SMB relay effectuée en toute transparence pour l'utilisateur dès l'ouverture d'un document PDF malicieux.

MACARON, UNE PORTE DÉROBÉE POUR TOUTES LES APPLICATIONS JAVAEE

Philippe PRADOS (Atos Origin)

Le projet MACARON de Philippe PRADOS est un programme malicieux (module *.war) qui s'utilise en tant que backdoor dans une application J2EE (ex ; JBOss, JoNAS, etc ...). Ces plates-formes ont déjà fait parler d'elles pour leurs vulnérabilités et on en entendra sans doute encore parler prochainement et dans le futur. En effet, elles sont largement déployées et étant exposées directement ou indirectement sur Internet, elles représentent des points d'attaques de choix pour les attaquants. Concernant le projet lui-même, nous avons surtout aimé :

  • sa furtivité (c'est surtout ainsi que cet outil se démarque) ;
  • les commandes proposées nativement par la backdoor sont nombreuses ;
  • les fonctions d'audits ont l'air intéressantes. En tout cas, l'idée est bonne.

A noter que l'auteur propose des patchs personnels pour les failles qu'il a trouvées.

IPMORPH : UNIFICATION DE LA MYSTIFICATION DE PRISE D’EMPREINTE

Guillaume PRIGENT (DIATEAM), Fabrice HARROUET, Florian VICHOT

Guillaume PRIGENT nous présente son projet de sécurité par l'obscurité... ou plus précisément par une clarté mystifié. Suite à la multiplication des outils d'identification de pile TCP/IP distantes (OS finger printing actif et/ou passif), permettant de cibler les attaques en fonction des types de cibles, Guillaume présente (avec des jolies slides plein d'animations) un outil de mystification des empreintes réseau : IPmorph (GPLv3). Il s'agit d'un outil de suivi de session et de réécriture de paquets à la volée. Face à des outils de type Nmap, Ring ou SinFP, IPmorph fait passer des systèmes Linux pour des Windows (pour attirer les attaques ?) et des Windows pour du Linux... un moyen de faire croire à une infra 100 % Linux ?

ANALYSE DYNAMIQUE DEPUIS L’ESPACE NOYAU AVEC KOLUMBO

Julien DESFOSSEZ (Révolution Linux)

CALCUL SUR CARTES GRAPHIQUES, CRYPTOGRAPHIE ET SÉCURITÉ

Antoine JOUX

Antoine JOUX est intervenu pour une présentation sur le calcul sur cartes graphiques. Récemment, nous avons pu voir qu'il était intéressant financièrement d'utiliser des PlayStations 3 pour effectuer du calcul parallèle ; il devient également possible de profiter de la puissance de calcul des dernières cartes graphiques (GPU) en supplément de la puissance du CPU.

Antoine présente les possibilités d'utiliser la technologie CUDA (Compute Unified Device Architecture) permettant le développement en un langage proche du C pour déporter une partie du calcul sur la ou les cartes graphiques NVIDIA. Le but est de profiter du parallélisme possible sur la carte graphique, tout en minimisant l'impact du temps de transfert des donnéesentre le CPU et le GPU. Il met ensuite en évidence le fait que déporter du calcul n'implique pas forcément un gain en temps de calcul car la carte graphique impose ses propres contraintes. Ainsi, les algorithmes optimaux sur un CPU ne sont pas forcément les mêmes que sur un GPU. Antoine présente enfin un code élémentaire de multiplications de matrices qui peut être plus rapide sur GPU que sur CPU, mais ceci n'est plus forcément vrai si l'on change l'algorithme.

ÉMANATIONS COMPROMETTANTES ÉLECTROMAGNÉTIQUES DES CLAVIERS FILAIRES ET SANS-FIL

Martin VUAGNOUX (EPFL), Sylvain PASINI

Martin Vuagnoux détaille les résultats des recherches qu'il a menées avec Sylvain Pasini sur les émanations électromagnétiques des claviers filaires et sans-fil. L’approche originale des deux chercheurs consiste non pas à concentrer le récepteur sur la fréquence principale mais à s’intéresser au spectre global afin de minimiser la perte d’information. L'analyse des signaux électromagnétiques concerne les claviers PS/2 et les claviers d’ordinateurs portables et leur permet de recouvrer 95% des touches frappées, jusqu'à une distance de 20 mètres, même si plusieurs claviers sont utilisés dans le périmètre. La conférence s'est démarquée par sa forme (présentation graphique soignée) et la manière -empirique- avec laquelle le sujet nous a été présenté. Le risque engendré par de telles interceptions nous pousse à améliorer les méthodes d'authentification pour ne plus se fonder uniquement sur un couple utilisateur/mot de passe, mais plutôt sur une authentification forte avec une carte à puce, un jeton ou un élément biométrique.

thumb_img_0963.jpg

L'HUMAIN, LE MAILLON FORT

Dominique Chandesris (DCSSI)

thumb_img_0964.jpg