Comme annoncé précédemment, XMCO est partenaire pour la première fois de la conférence Hack In The Box (HITB). Celle-ci se déroulera du lundi 8 avril au jeudi 11 avril 2013 dans l’hôtel Okura situé en plein coeur d’Amsterdam. Les deux premiers jours sont consacrés exclusivement aux formations techniques qui seront suivies des conférences le mercredi 10 avril et le jeudi 11 avril. Deux tracks de conférence seront proposées simultanément.
Trois keynotes, présentées par des personnalités renommées comme Edward Schwartz (chef de la sécurité RSA) ou encore Winn Schwartau (fondateur de la société SecurityExperts.com), viendront ponctuer les conférences tout au long de la manifestation.
Sélection des ateliers et des conférences retenus par XMCO :
Windows x64: The Essentials (Didier Steven)
Pendant un workshop de 2 heures, les principales différences entre un système 32bits et 64bits du point de vue de la sécurité du système seront abordées. Les personnes attenantes à ce workshop pourront réaliser l’injection de dll 64bit ou encore développer et signer un driver 64bit.
Exploiting Hardcore Pool Corruptions in Microsoft Windows Kernel (Nikita Tarakanov)
Le noyau devient le vecteur le plus fréquemment utilisé pour contourner les mécanismes de sécurité (utilisé notamment pour contourner la sandbox incluse au sein de Google Chrome). Nikita Tarakanov expliquera en détail ces nouvelles méthodes employées. Il présentera notamment une méthode fiable permettant de compromettre l’ensemble des systèmes d’exploitation Windows à l’aide d’un pilote.
LTE Pwnage: Hacking HLR/HSS and MME Core Network Elements (Philippe Langlois)
Les technologies employées au sein du coeur de réseaux des télécoms bénéficient d’une opacité la plus totale. Malheureusement, cela cache souvent des vulnérabilités critiques. Philippe Langlois présentera un état des lieux de la sécurité sur ces équipements et des protocoles employés. Il réalisera une démonstration de l’exploitation des vulnérabilités trouvées lors de leur recherche au sein des équipements réseau Huawei.
Aircraft Hacking: Practical Aero Series (Hugo Teso)
Cette présentation sera surement l’une des plus attendues avec une démonstration de prise de contrôle à distance d’un avion. De plus, l’ensemble des vulnérabilités employées au cours de cette démo ne nécessite aucun accès physique à l’aéronef.
Defeating the Intercepting Web Proxy – A Glimpse Into the Next Generation of Web Security Tools (Petko D. Petkov)
Lors des tests d’intrusion, les consultants en sécurité utilisent constamment des proxys applicatifs afin de pouvoir contrôler l’ensemble des requêtes échangées. Une nouvelle approche serait présentée afin de pouvoir s’affranchir de l’utilisation des proxys. Des nouveaux outils seront également dévoilés lors de la présentation.
How I Met Your Modem: Advanced Exploitation & Trojan Development for Consumer DSL Devices (Peter “blasty” Geissler & Steven Ketelaar)
La sécurité des éléments réseau comme les modems ASDL est bien trop souvent négligée. Or, leur compromission entraine des dommages conséquents. Les deux chercheurs Peter Geissler et Steven Ketelaar dévoileront leur exploit permettant de compromettre ces équipements à distance sans aucune interaction des utilisateurs.
OAuth 2.0 and the Road to XSS (Andrey Labunets & Egor Homakov)
OAuth est un protocole libre permettant de réaliser une authentification sécurisée à l’aide d’une API dédiée. Il a été récemment adopté par les principaux acteurs d’internet (Google, Facebook, Twitter …). Néanmoins, cette nouvelle technologie souffre de plusieurs vulnérabilités qui seront dévoilées et analysées lors de la présentation.
Swiping Through Modern Security Features (Evad3rs)
L’équipe Evad3rs présentera le résultat de ses recherches sur le jailbreak systèmes d’exploitation iOS. Ces derniers détailleront les 8 vulnérabilités et leur outil evasi0n qui a permis de jailbreaker une des dernières versions publiées par Apple (6.1).
iNalyzer: An End to Blackbox iOS Analysis (Chilik Tamir)
Chilik Tamir dévoilera une nouvelle plateforme nommée iNalyzer permettant de tester la sécurité d’une application iOS. Cet outil « open source » est destiné aux consultants en sécurité réalisant des tests d’intrusion sur des applications iPhone.
Dreamboot: A UEFI Bootkit (Sébastien Kaczmarek)
La nouvelle norme Unified Extensible Firmware Interface (UEFI) offre de nombreux avantages par rapport au BIOS traditionnel, mais apporte également son lot de nouvelles vulnérabilités. Elles sont exploitées à travers un firmware nommé Dreamboot développé par les chercheurs de QuarksLab. Il permet de réaliser des élévations de privilèges et de contourner l’authentification de Windows 8 localement.
Dernières informations complémentaires
Pour finir, voici la liste des autres conférences:
- Security Response in the Age of Mass Customized Attacks (Peleus Uhley et Karthik Raman)
- Papparazi Over IP (Daniel Mende)
- SSRF PWNs: New Techniques and Stories (Vladimir Vorontsov)
- Orchestrating a Fire Sale: Bringing Dutch Alarm Systems to Their Knees (Wilco Baan Hofman)
- Nifty Tricks and Sage Advice for Shellcode on Embedded Systems (Travis Goodspeed)
- Virtually Secure: Analysis to Remote Root 0day in an Industry Leading SSL-VPN Appliance (Tal Zeltzer)
- Page Fault Liberation Army or Better Security Through Creative x86 Trapping (Sergey Bratus et Julian Bangert)
- Abusing Twitter’s API and OAuth Implementation (Nicolas Seriot)
- Abusing Browser User Interfaces for Fun and Profit (Rosario Valotta)
- Who Can Hack a Plug? The Infosec Risks of Charging Electric Cars (Ofer Shezaf)
- You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Banking Apps (Andrew Petukhov, George Noseevich et Dennis Gamayunov)
- To Watch or Be Watched: Turning Your Surveillance Camera Against You (Sergey Shekyan et Artem Harutyunyan)
- System Shock: The Shodan Computer Search Engine (Dan Tentler)
Et les workshops proposés :
- Attacking Ruby on Rails Applications (Joernchen)
- Secure Coding: Web & Mobile (Jim Manico)
- Terminal Cornucopia (Evan Booth)
Pour rappel, toutes les informations sur la conférence sont disponibles à cette adresse : http://conference.hitb.org/hitbsecconf2013ams/
Le programme est disponible à l’adresse suivante : http://conference.hitb.org/hitbsecconf2013ams/agenda.pdf
Inscriptions : http://conference.hitb.org/hitbsecconf2013ams/register/
Twitter : @HITBSecConf
À bientôt dans l’ActuSécu pour les résumés des conférences auxquelles XMCO assistera.
