L’édition 2015 de la Brucon, la conférence Belge de référence en matière de sécurité des SI, s’est déroulée à Gand les 8 et 9 octobre derniers. Cet événement offrait un éventail d’activités destiné aussi bien aux professionnels qu’aux amateurs passionnés par la Sécurité des Systèmes d’Information.
La BruCon a mis à disposition les conférences filmées sur Youtube, accessibles via le lien suivant : https://www.youtube.com/user/brucontalks. De plus, les supports des présentations sont consultables sur le site officiel de la conférence : http://files.brucon.org/2015/
Cet article ne présente que quelques-unes des conférences. L’intégralité des résumés et détails sera disponible au sein de l’Actusécu #42.
Looking Forward – Finding the right balance for INFOSEC, par David Kennedy
Cette conférence a été présentée par David Kennedy, fondateur et Président de la société TrustedSec. David est revenu sur l’évolution des techniques de hacking qui, en dépit des évolutions technologiques demeurent encore trop souvent basiques (pour ne pas dire simplistes). Agrémentée de plusieurs références à la série Mr. Robot, il était également question de la popularisation et d’accessibilité des attaques qui se veulent aujourd’hui à la portée du premier Script Kiddie sachant démarrer une machine. À titre d’exemple, l’outil SET (Social Engineering Toolkit) permet en quelques étapes de prendre le contrôle d’une machine à distance à partir de la copie d’un site (phishing inside !).
David a également démontré avec quelle facilité un attaquant pouvait contourner les solutions de sandboxing. Pour faire simple, la majeure partie des machines virtuelles dédiées à ces contrôles dispose de réglages qu’il est facile de détecter afin de savoir ou non si le programme exécuté est sur une vraie machine ou au sein d’une sandbox.
La conclusion se veut sans équivoque. Bien que les mentalités évoluent, les boîtiers magiques et tous les outils facilitant à l’extrême les contrôles réalisés ne pourront jamais remplacer la technique, le talent et les connaissances d’utilisateurs sensibilisés et d’experts un minimum consciencieux.
Brain Waves Surfing – (In)Security in EEG (Electroencephalography) Technologies, par Alejandro Hernandez
Ce conférencier s’est intéressé aux données (signaux) que peut émettre le cerveau et ce que l’on peut en faire. Tout d’abord il rappelé quelques prérequis (différentes localisations des lobes du cerveau) ainsi que le fonctionnement des neurones et des synapses. Il existe deux types d’exploration cérébrale (invasive et non-invasive). La première consiste à implanter une puce dans le cerveau. Celle-ci se charge de décoder les signaux électriques des synapses. La seconde exploration est la plus courante et consiste à poser des électrodes sur le crâne (EEG = Électroencéphalographie). Ces électrodes mesurent l’activité électrique du cerveau au cours du temps.
Quelques exemples applicatifs :
- Contrôler des objets par la pensée (mouvements d’un bras artificiel) ;
- Authentification par la pensée (biométrie) ;
- Communication par la pensée (Brain to Brain – B2B).
Cependant, des scénarios d’attaques existent, notamment celui du rejeu a posteriori des données capturées. En effet, rien n’empêche de rejouer une activité cérébrale émise quelques heures plutôt. De plus, les données ne sont pas chiffrées ce qui rend les attaques du milieu (MITM) réalisables.
Alejandro a notamment démontré des attaques MITM réalisées lors de l’authentification (changement de nom – NeuroServer), mais aussi des attaques de type déni de service sur les serveurs EEG (OpenVIBE, Neuroelectrics NIC, NeuroServer). Une partie de ses recherches a consisté à comprendre comment sont structurés les fichiers au format EEG.
Desired state: compromise, par Ryan Kazanciyan et Matt Hastings
PowerShell était au coeur de cette présentation. Ryan et Matt de chez Tanium ont ainsi voulu démontrer comment PowerShell pouvait être utilisé par un attaquant afin de réaliser des attaques persistantes en se focalisant sur la fonctionnalité “Desired State Configuration” (DSC). Le mécanisme permet de déployer une configuration identique sur toutes les machines d’un environnement. En outre, il est possible de vérifier l’état d’un service, d’exécuter un script, de gérer des utilisateurs, le registre, etc.
DSC fonctionne à l’aide de 3 composants :
- un script PowerShell pour décrire la configuration ;
- un langage intermédiaire (MOF: Managed Object Format) ;
- et un composant d’exécution (LCM: Local Configuration Manager).
Pour illustrer leurs propos, les deux orateurs ont décrit un scénario d’attaque utilisant DSC. L’objectif de l’attaquant est ici de déployer une charge malveillante contenant une backdoor sur un poste de travail. En prenant quelques raccourcis, à chaque suppression de la charge, DSC fera en sorte de la redéployer, assurant ainsi cette notion de persistance.
La preuve de concept est disponible ici : https://github.com/matthastings/DSCompromised
Nous attendons avec impatience la prochaine édition de cette conférence de qualité. En attendant, rendez-vous dans le prochain numéro de l’ActuSécu pour un résumé complet et détaillé de cette dernière !
