Retour sur l’édition 2014 de la conférence Hack In The Box qui se déroulait il y a peu à Amsterdam.
Cette année, et pour la deuxième année consécutive, XMCO était partenaire de la conférence Hack In The Box Europe.
La conférence avait lieu, comme d’habitude, à Amsterdam sur deux jours, précédés de deux jours de workshops. Une nouveauté notable cependant, la conférence était suivie en parallèle par un forum sur lequel les principaux sponsors de l’évènement avaient leur stand. Il y avait également quelques ateliers pratiques (électronique, lockpicking, rétrogaming) ainsi que l’inévitable CTF.
Petit retour rapide de ces deux jours de présentations passionnantes et souvent très techniques.
Jour 1
KEYNOTE 1 – Security at the End of the Universe, par Katie Moussouris (Microsoft Security Response Center)
Pour cette 5e édition de HITB, c’est Kate Moussouris, à l’origine du nouveau « bounty-program » de Microsoft lancé en 26 juin 2013 qui a inauguré la conférence. Elle est partie d’un constat assez simple : il existe un énorme fossé entre les développeurs et les chercheurs en sécurité. Pour améliorer et réduire l’écart entre ces deux mondes, il est important que tous les partis parlent le même langage. Il est donc nécessaire de formaliser et de démocratiser de nouvelles normes ISO sur la divulgation des vulnérabilités par exemple.
Un autre concept intéressant a également été introduit : « Fuzzing the chain of influence ». La sécurité ne s’arrête pas aux lignes de codes produites par les développeurs. Il est important de familiariser les politiques qui régissent les règles liées à ces nouvelles technologies et aux risques associés.
Cette présentation sans slides, ponctuée d’exemples concrets et d’anecdotes, conclue sur une idée d’altruisme simple : chacun doit sortir de sa zone de confort afin de mieux comprendre les problématiques d’autrui.
Setup for Failure: More Ways to Defeat SecureBoot, par Corey Kallenberg, Sam Cornwell, Xeno Kovah & John Butterworth (The MITRE Corporation)
Corey Kallenberg, chercheur au MITRE, a présenté différentes techniques permettant de contourner les protections implémentées au sein de l’UEFI : « Secure Boot ». La première technique, nommée « relax policy », dépend de la configuration faite par le constructeur. La deuxième nommée « the setup variable », implique la modification d’une variable EFI afin de désactiver le « secure boot ». Puis il a expliqué comment contourner les mécanismes qui protègent en écriture la mémoire flash de la carte mère et les bénéfices qu’on peut en tirer. Pour l’anecdote, lors de ces travaux il a découvert, un peu par hasard et à ses dépens (son Dell Latitude s’en souvient encore), une attaque relativement simple qui permet de détruire (« bricker ») n’importe quel PC Windows 8.
Malgré tous les détails techniques présentés, cette conférence fut très didactique. L’orateur fit un travail admirable et captiva l’ensemble de l’auditoire. Ce fut une conférence des plus intéressantes. Nous vous conseillons fortement de regarder cette conférence (lorsqu’elle sera mise en ligne par les équipes de la HITB), si vous avez envie de creuser le monde obscur de l’UEFI.
Harder, Better, Faster Fuzzer: Advances in BlackBox Evolutionary Fuzzing, par Fabien Duchene (PhD Candidate, University of Grenoble)
Le français Fabien Duchene nous a présenté le résultat de ses recherches concernant la détection automatisée des failles de Cross-Site Scripting au sein d’application Web. En effet, F. Duchene a présenté une approche qui a le mérite d’être originale : l’utilisation d’algorithmes habituellement mis en oeuvre dans la conception d’intelligences artificielles pour détecter des failles de sécurité. Le principe n’est pas nouveau et a déjà été appliqué, notamment avec des réseaux neuronaux, mais il s’agissait ici d’utiliser les principes de l’algorithmique génétique afin d’évaluer avec la plus grande précision possible la présence de failles XSS. On notera toutefois qu’il ne s’agit encore que d’un travail théorique difficilement applicable en conditions réelles. En effet, l’exhaustivité et la précision de la grammaire impactent fortement les capacités de détection du fuzzer. De plus, 3000 requêtes pour détecter une faille XSS, c’est encore beaucoup comparé aux outils de détection automatique (propriétaires et open source) actuellement présents sur le marché.
The NSA Playset, par Michael Ossmann (Great Scott Gadgets)
Michael Ossmann nous a gâté lors d’une présentation au ton léger et humoristique, qui tranchait avec le sujet abordé. En effet, le fondateur de Great Scott Gadgets, qui tenait également un stand à la Haxpo, nous a expliqué comment se fabriquer pour un budget réduit et avec du matériel accessible au grand public, une bonne partie des gadgets développés par la NSA et mentionnés dans le rapport ANT.
Boîtier d’interception radio, GSM, implants hardware et software, il y en avait pour tous les goûts et à budget réduit. Le présentateur a conclu en disant que ces gadgets d’espion restaient à la portée de tous, qu’en général seule la miniaturisation, parfois impressionnante, de ces appareils restait encore impossible à réaliser chez soi.
Reloading Java Exploits: Long Live Old JRE!, par Donato Ferrante (Founder, ReVuln) & Luigi Auriemma (Co-Founder, ReVuln)
Les chercheurs et fondateurs de la société REVuln sont partis d’un constat assez simple. Les utilisateurs ne peuvent pas être considérés comme des personnes de confiance, surtout quand il s’agit de Java. La seule et unique barrière pour pallier les faiblesses des utilisateurs est l’utilisation d’antivirus et d’HIDS ((HostBased Intrusion Detection System). Les chercheurs nous ont donc présenté des techniques pour contourner les antivirus et ainsi exécuter des codes d’exploitation connus. La majorité des techniques se basent sur une distribution du code d’exploitation à travers différents JVM ou applet. De cette manière, les antivirus sont obligés d’analyser de manière simultanée ce qui est impossible à l’heure actuelle. D’autres techniques se focalisent sur l’obfuscation du bytecode Java.
Tout comme la présentation réalisée par Corey Kallenberg, il faut souligner la très bonne prestation des conférenciers. Ils ont d’ailleurs terminé leur conférence sur une anecdote assez troublante : un antivirius peut détecter une vulnérabilité sans en bloquer son exécution…
REboot: Bootkits Revisited, par Samuel Chevet (Security Researcher, Sogeti ESEC)
Samuel Chevet, chercheur du lab Sogeti ESEC présenta ses travaux concernant les rootkits, et plus particulièrement les bootkits qui infectent les ordinateurs lors du processus de démarrage. Sa présentation fut découpée en deux parties. La première aborda chaque étape réalisée lors du démarrage d’un ordinateur (avant que le système d’exploitation soit initialisé). Il énonça notamment tous les mécanismes de protection en place. La deuxième partie se concentra sur le contournement de toutes ces protections de manière stable : pas d’utilisation de hook ou d’offset hardcodé ou de recherche de pattern en mémoire. Il présenta ainsi son propre bootkit nommé ReBoot qui repose sur l’utilisation de processeurs en mode V8086 et l’utilisation de breakpoint matériel. Le principal intérêt de cette technique est sa compatibilité avec tous les systèmes d’exploitation Windows. ReBoot est également fonctionnel sur un disque chiffré car aucune modification de code n’est réalisée. Une rapide démonstration fut réalisée à la fin de la présentation.
Jour 2
KEYNOTE 3 – Behind the Crosswire, par Pamela Fusco (CISO, Apollo Group)
La particularité de cette keynote est que Pamela Fusco ne s’est jamais présentée. Aucune explication officielle… N’aurait-elle pas supporté la vie nocturne et les spécialités locales d’Amsterdam ?
https://twitter.com/l33tdawg/status/472275801229238272
KEYNOTE 4 – Building a Strategic Defense Against the Global Threat Landscape, par Jennifer Steffens (Chief Executive Officer, IOActive)
Cette keynote fut axée sur la passion liée au monde de la sécurité informatique. La conférence démarra par une citation de Confucius : « Choisissez un travail que vous aimez et vous n’aurez pas à travailler un seul jour de votre vie. » C’est souvent le cas pour les chercheurs en sécurité, comme Barnaby Jack ou Charlie Miller, qui ont dédié leur vie à des travaux qui leur tiennent à coeur. Il est important d’oser, de partager ses connaissances, de penser différemment ou encore de communiquer de manière responsable sur les vulnérabilités découvertes. La conférence se termina sur un message à destination de l’ensemble des personnes présentes : « I hope that you’ll leave HITB with many great ideas ».
Scalable Network Recon: Why Port Scans are for Pussies, par Fred Raynal (Founder, QUARKSLAB) & Adrien Guinet (R&D Researcher, Quarkslab)
Cette conférence, au nom pour le moins provocateur, présenta le nouvel outil de QuarksLab : libleeloo. Cette librairie C++ permet de réaliser des scans à grande échelle (scan de tout un pays comme l’Espagne par exemple) en fonction du besoin. À l’inverse des outils existants (zmap, masscan ou nmap), libleeloo se veut personnalisable pour répondre à tout besoin de scan. Libleeloo dispose également de fonctionnalités inédites comme l’ajout de serveurs cibles à la volée (pendant un scan).
La présentation fut axée sur la conception de l’outil et aux problèmes rencontrés. Pour l’anecdote, afin de récupérer tous les noms de domaines du gouvernement français, ils ont réalisé un lookup de DNS sur l’ensemble des 97 millions d’adresses IP françaises. Le pire est que cette démarche ne leur a pris que 15 heures. Si vous avez envie de tester libleeloo, sachez que son code source a été publié sur le github de QuarksLab : https://github.com/quarkslab/libleeloo.
Breaking Cloud Isolation, par Ivan Novikov (Lead Security Expert, Wallarm)
Nous étions pris d’un sentiment partagé en sortant de la présentation d’Ivan Novikov. En effet le thème abordé et les exemples concrets des vulnérabilités affectant les infrastructures Cloud (sujet dans l’air du temps, si l’en est) étaient passionnants, mais le plan et le déroulement de la présentation semblent avoir un peu déçu le public. De nombreux spectateurs ont en effet quitté la salle à la moitié du temps imparti. Dommage pour la forme, car le fond apportait une vision sur des vulnérabilités, souvent peu connues, que les professionnels de la sécurité vont être amenés à rencontrer de plus en plus souvent…
Exploiting Passbook to Fly For Free, par Anthony Hariton (Student, University of Crete)
Encore une fois, une présentation sur le ton de l’humour avec Anthony Hariton, qui a détaillé toutes les étapes permettant de frauder l’embarquement en avion à l’aide des billets Passbook. En effet, il a démontré qu’il était possible de forger ces tickets virtuels et qu’avec une goutte de social engineering et beaucoup de culot, il était possible de voyager sans débourser un sou. Toutes ces découvertes ont été présentées à titre éducatif bien sûr ;-).
G-Jacking AppEngine-based Applications, par Nicolas Collignon & Samir Megueddem (Synacktiv)
Les fondateurs de Synacktiv, Nicolas Collignon et Samir Megueddem ont présenté des attaques à l’encontre du service « Cloud » nommé Google Cloud Engine (GAE). Pour rappel, GAE est une plate-forme en tant que service (PaaS) supportant de nombreux langages, dont Python. Après une brève introduction de l’architecture sur laquelle repose la plateforme, les deux chercheurs ont montré diverses vulnérabilités au sein de l’API mise à disposition par Google. Ils ont notamment réussi à réaliser des exécutions de code à distance (RCE) à travers le protocole XMPP.
Ensuite ils se sont concentrés sur le contournement de la sandbox Python mise en place par Google. Cette tâche fut assez simple. La librairie os généralement utilisée pour l’exécution de commande en Python était filtrée. Ils ont donc utilisé la librairie posix qui n’est qu’un wrapper de la librairie os. D’autres moyens plus complexes furent également abordés.
CLOSING KEYNOTE: A Clear and Present Danger, Security vs Net Neutrality: Tales from a Telco, par Jaya Baloo, (CISO, KPN Telecom)
Pour la keynote de fermeture de la conférence, c’est Jaya Baloo, CISO de KPN Telecom, qui est venu défendre les opérateurs dans la guerre actuelle entre la neutralité du net et les obligations légales auxquelles ils sont confrontés. Lors d’une présentation amusante et sur un ton décalé par rapport au formalisme habituel des speakers de keynotes, elle a tenté de nous faire part des efforts mis en oeuvre par son entreprise pour tenter de garder un équilibre entre neutralité des réseaux, sécurité et vie privée. Des exemples concrets nous ont permis de mieux comprendre le grand écart qu’ils doivent parfois réaliser et l’absurdité de certaines situations face aux cadres légaux actuels.
Rendez-vous dans l’ActuSécu 38 pour un résumé complet et détaillé de chaque conférence.
