La prochaine édition de la Hack.Lu se déroulera du 20 au 22 octobre prochain à l’hôtel Alvisse au Luxembourg. Cette célèbre conférence de sécurité informatique fêtera cette année sa 11ème édition. Au programme, près de trois jours de conférences techniques sur différents sujets (audits de sécurité et tests d’intrusion, analyse de malware, détection d’incidents, forensics, etc.) traités par des experts reconnus de la sécurité des SI. Voici les présentations retenues par XMCO :
- Attila Marosi revient cette année et nous propose une analyse du fameux Remote Control System (RCS), de la société italienne Hacking Team. Son analyse très détaillée n’est pas sans rappeler sa présentation de la hack.lu 2013 détaillant le fonctionnement de FinFisher, malware Android éditée par la société Gamma International (voir http://blog.xmco.fr/index.php?post/2014/10/24/Retour-sur-l-%C3%A9dition-2014-de-la-Hack.lu). Concernant RCS, il reviendra notamment sur le concept et l’environnement mis en place par Hacking Team présentant le processus de déploiement et les vecteurs d’infection, l’utilisation de faux stores d’applications, comment les applications étaient délivrées aux victimes finales ; et comment les terminaux infectés communiquaient au travers une chaine de proxies. Attila reviendra également sur les exploits de type 0days utilisés par Hacking Team pour infecter les terminaux Android en proposant une analyse détaillée de ces derniers.
- De plus en plus présents dans notre quotidien, les objets connectés permettent la collecte d’une multitude de données sur notre activité: pas quotidien, rythme cardiaque, position géographique, données alimentaires, calories brûlées, etc. Axelle Apvrille s’est intéressée aux bracelets Fitness Flex et reviendra sur leur sécurité. Ces bracelets sont notamment connus pour révéler les données et activités de leur utilisateur, dont notamment la divulgation de l’activité sexuelle de certains utilisateurs et cela accessible directement via les résultats des moteurs de recherche.
- Netanel Rubin, chercheur en sécurité chez CheckPoint reviendra sur quelques une des vulnérabilités que lui et ses équipes ont été amenés à découvrir ces dernières années. Il détaillera notamment la vulnérabilité MediaWiki dont l’exploitation permettait l’exécution de commandes système sur wikipedia.org, mais également d’autres vulnérabilités donnant lieu à des récompenses pécuniaires allant jusqu’à 10.000$.
Voici la liste des autres conférences proposées :
- Security Design and High-Risk Users (Eleanor Saitta)
- Totally Spies! (Marion Marschalek, Paul Rascagnères, Joan Calvet)
- HackingTeam – how they infected your Android device by 0days (Attila Marosi)
- How digital forensics met threat intelligence (Ronan Mouchoux, Thomas Chopitea)
- Scrutinizing WPA2 Password Generating Algorithms in Wireless Routers (Eduardo Novella)
- Stegosploit – Delivering Drive-By Exploits With Only Images (Saumil Shah)
- Draw me a Local Kernel Debugger (Samuel Chevet, Clément Rouault)
- Security of Virtual Desktop Infrastructures: from great concepts to bad surprises (Maxime Clementz, Simon Petitjean)
- Advances in Secure Messaging Protocols (Frederic Jacobs)
- How not to build an electronic voting system (Quentin Kaiser)
- Keynote – Unpatchable: Living with a Vulnerable Implanted Device (Marie Moe)
- Trusting Files Formats: Illusions or Reality? (Ange Albertini)
- How Mobile Applications Are Redefining Information Controls Inside of Iran (Mahsa Alimardani)
- Geek usages for your Fitbit Flex tracker (Axelle Apvrille)
- Key-Logger, Video, Mouse – How to turn your KVM into a raging key-logging monster (Yaniv Balmas, Lior Oppenheim)
- Keys? Where we’re going, we don’t need keys (Damien Cauquil)
- Why Johnny Can’t Unpack: Toward One Click Unpacking (Shift)
- Forging the USB armory (Andrea Barisani, Daniele Bianco)
- Binary Constraint Solving with LLVM (Sophia D’Antoine)
- They Hate Us ‘Cause They Ain’t Us – How We Broke the Internet (Netanel Rubin)
- A Collective View of Current Trends in Criminal Hosting Infrastructures (Dhia Mahjoub)
- Crema: A LangSec-Inspired Programming Language (Jacob Torrey, Mark Bridgman)
- No Need for Black Chambers: Testing TLS in the E-mail Ecosystem at Large (Aaron Zauner)
- Improving Flash Exploits Analysis (Tillmann Werner)
De nombreux workshops gratuits seront également proposés tout au long de cette 11ème édition :
- Hack, brute, root, crash… and start again! 100% hands-on workshop
- Analyzing Malicious Office Documents
- Malcom Workshop
- Radare2 – a framework for reverse engineering
- BTA: an open-source Active Directory security audit framework (Joffrey Czarny)
- Crowdsourced Malware Triage! (Sergei Frankoff, Sean Wilson)
- Dr. Honeypots or: How I Learned to Stop Worrying and Love My Enemies
- Radare2 – a framework for reverse engineering
- TrustZone on the USB armory (Andrea Barisani, Daniele Bianco)
- CryptoParty4Kids
Par ailleurs, un CTF sous forme de challenge sera disponible sur site et en ligne durant la durée de la conférence.
Toutes les informations sur la conférence sont disponibles à cette adresse : http://2015.hack.lu
La liste des conférences et workshops est disponible à l’adresse suivante : http://2015.hack.lu/talks/ Inscriptions : http://2015.hack.lu/info/ Twitter : @hack_lu
XMCO sera partenaire média et proposera un résumé des conférences au sein du numéro #42 de l’ActuSécu