Cette année encore, XMCO était partenaire de la conférence Hack In Paris. Cette 7ème édition 2017 s’est déroulée du 19 au 23 juin. Regroupant des formations et des conférences exclusivement en anglais, HIP a réuni les professionnels de la sécurité informatique (DSI, RSSI, RSI) ainsi que les experts techniques.
Cette conférence a été divisée en deux temps :
- 19 au 21 juin : 3 jours d’entrainement et de pratique avec de multiples experts sécurité (Responsables de la sécurité des systèmes d’information et Directeurs des systèmes d’information) ;
- 22 au 23 juin : 2 jours de conférences par des experts techniques internationaux.
Nous avons eu la chance d’assister aux deux jours de conférences qui étaient particulièrement intéressantes. Cependant, au vu du nombre de présentations (15 au total), nous ne décrirons ici que les six qui nous ont le plus intéressés au cours de ces deux jours de briefing. L’ensemble des conférences auxquelles nous avons assistés seront disponibles dans le prochain numéro de l’ActuSécu.
JOUR 1
Strategies on Securing you banks & enterprises. (From someone who robs banks & enterprises for a living!), Jayson E. Street (@jaysonstreet)
Cette première conférence, pragmatique et riche en humour, a été présentée par Jayson E. Street, un habitué de la Hack In Paris. L’objet de la conférence était la prise d’empreinte et la reconnaissance sur le web, dans un contexte de sensibilisation.
La présentation a été introduite par deux exemples :
- Premier exemple : La sécurité de l’événement américain : le Super Bowl 2017
Jayson Street expliquait les mesures de sécurité drastiques mises en place, de par la présence du président américain : 5000 policiers déployés, barrages de sécurité, fouilles, etc. Malgré tout, il met en avant la facilité avec laquelle 3 adolescents ont réussi à s’introduire au sein de l’événement. Ils ont en effet, contourné tous les barrages et mesures de sécurité, avec la seule aide d’une échelle trouvée sur les lieux. Celle-ci leur a servi à se faire passer pour une équipe d’entretien.
- Second exemple : Le nombre de décès dû au virus Ebola aux États-Unis :
Pour cet exemple, le conférencier relate la forte couverture médiatique qu’a connue le virus Ebola aux États-Unis, créant ainsi un effet de panique. Puis il met en relief le nombre de décès causé par le virus aux États-Unis comparé aux autres causes recensées : il en résulte qu’aux États-Unis, 2 morts ont été causés par le virus, alors que 55 000 personnes sont décédées d’une simple fièvre.
Via ces deux exemples, il conclut que le schéma est exactement le même dans le domaine de la sécurité : les entreprises se concentrent sur les mauvaises menaces !
Selon lui, les entreprises se concentrent sur les menaces hautement médiatisées (ex : 0day, Anonymous, attaques Étatiques, etc.) alors que 99% des compromissions proviennent de vulnérabilités connues et pour lesquelles des correctifs sont disponibles. Pour lui la seule réelle menace reste les criminels.
Après cette entrée en matière, le conférencier démontre à quel point il est simple de réaliser une attaque de type social engineering, tellement la quantité d’informations disponible sur internet est élevée.
Pour cette démonstration, réalisée quelques jours avant la conférence, il cible une banque française : BNP Paribas, basée à Paris.
Grâce à des recoupements d’informations sur Linkedin, Facebook, Shodan et via les enregistrements DNS, Jayson est en mesure de choisir 2 employés cibles et de préparer son scénario de phishing par email. La phase finale de la démonstration a été l’élaboration de l’email de phishing. Dans celui-ci Jayson introduit des liens malveillant et persuade la cible d’y accéder en jouant sur le contexte émotionnel autour du récent attentat sur l’avenue des Champs-Élysées à Paris.
Enfin, la conférence s’est terminée par une liste de recommandations et de bonnes pratiques afin de réduire l’exposition des entreprises sur internet.
Beyond OWASP Top 10, Aaron Hnatiw (@insp3ctre)
Extrêmement intéressante et très bien présentée, cette conférence réalisée par Aaron Hnatiw, de chez Security Compass, avait pour but de sensibiliser les acteurs de la sécurité à l’insuffisance du Top 10 OWASP.
Le projet « Top 10 OWASP » consiste à fournir, tous les 3 ans environ, une liste des 10 risques les plus critiques concernant la sécurité des applications web. Cité et utilisé par de nombreux organismes d’audit et de sécurisation, ce classement est une référence dans le domaine.
Aaron Hnatiw fait l’éloge du projet, mais constate que beaucoup d’acteurs utilisent ce référentiel sans prendre en compte les autres risques moins connus. Il illustre et démontre d’autres types de risques importants, souvent laissés de côté, car non présents dans le classement.
Enfin, il conclut en proposant des améliorations concernant la prochaine version du Top 10 OWASP et annonce qu’il espère pouvoir y apporter sa contribution.
The Internet of Vulnerabilities, Deral Heiland (@Percent_X)
Présentée par Deral Heiland, responsable de l’équipe de recherche au sein de la célèbre société Rapid7 (détenant Metasploit), cette conférence avait pour but de sensibiliser aux dangers de l’internet des objets.
Dans un premier temps, Deral Heiland présente le contexte global de l’internet des objets. Celui-ci fait intervenir plusieurs domaines :
- Le Cloud
- L’électronique (hardware)
- L’embarqué
- Et le tout relié par le réseau.
Puis le chercheur présente les résultats désastreux d’audits effectués au sein de Rapid7 à l’encontre d’objets connectés. Le conférencier nous a présenté ses résultats concernant :
- Système d’éclairage automatique (domotique) pour lequel il était localement possible de prendre le contrôle
- « Bluetooth Low Energy tracking dongle » : attaché à un trousseau de clés ou sac à main, cet appareil a pour but de localiser et d’alerter l’utilisateur en cas de vol ou perte de l’objet. Les chercheurs ont réussi à traquer en temps réel le porteur de l’objet, et à prendre le contrôle du système.
- Robots de surveillance et téléprésence : les équipes de Rapid7 ont notamment réussi à prendre le contrôle du robot à distance via l’API de développement.
- « Panic GPS button » : cet appareil est conçu afin d’appeler automatiquement un service de sécurité ou la police en cas de danger par pression sur l’interrupteur. Sensé assurer la sécurité de personnalités importantes, l’appareil pouvait être détourné de son utilisation afin de localiser à distance et en temps réel le porteur du système.
JOUR 2
Are you watching TV now? Is it real?: Hacking of smart TV with 0-day, Lee JongHo , Kim MinGeun
Dans cette conférence, les deux présentateurs coréens (Lee JongHo , Kim MinGeun) ont mis en avant la facilité de pirater les appareils connectés tels que les Smart TV. Ce marché se développe de plus en plus à l’échelle mondiale. Ce nouvel équipement, largement utilisé par les ménages, mais aussi dans les installations publiques ou les sites événementiels (panneaux électriques / informations routières, etc.), permet de transmettre des informations facilement et rapidement (mise à jour d’informations instantanées).
Les deux conférenciers ont montré que malgré cette émergence de ces nouveaux équipements, la sécurité en était encore trop sous-considérée. Par conséquent, ils ont décidé d’analyser la sécurité d’une Smart TV basée sur WebOS de la marque LG.
La télévision fait partie des moyens les plus populaires pour diffuser l’état de la société ainsi que les problèmes sociaux actuels. C’est pourquoi prendre le contrôle de ce genre d’équipement pourrait mener à la propagation de fausses informations et potentiellement générer des inquiétudes généralisées.
Tout au long de leur présentation, ils ont expliqué le processus de recherche de vulnérabilités sur cet équipement. Ils ont découvert plusieurs failles de sécurité (RCE, Path traversal, memory tampering, dirtyCow, buffer overflows et des injections de commandes).
Enfin, trois scénarios d’attaques ont été présentés :
- Attaque déni de service (DDoS) via l’installation d’une application malveillante. Un attaquant pourrait faire de la Smart TV un zombie, afin de causer des dommages financiers par exemple sur des entités financières / de communications / aviations, etc.
- Modification des flux vidéo via l’accès à distance à la Smart TV. Ceci est réalisable par l’élévation de privilèges ROOT en accédant au « Frame Buffer » qui permet l’affichage des pixels sur l’écran. Par conséquent, le pirate sera en mesure de distribuer des émissions qu’il contrôlera afin de générer de l’anxiété au sein de la société (ou de manipuler le peuple).
- Vols d’informations via la collecte de fichiers de journalisation et la fonctionnalité de capture d’écran en temps réel. Un attaquant peut récupérer les informations de l’utilisateur, ce qu’il regarde, etc. afin de réaliser une attaque plus ciblée sur sa victime.
Popping a shell on a mainframe, is that even possible?, Ayoub Elaassal (@ayoul3_)
L’objectif de cette conférence était de présenter le fonctionnement d’un Mainframe et plus précisément de présenter un outil pour réaliser des tests d’intrusion sur cet environnement. C’est la première conférence présentant le sujet de Mainframes à la HIP. Concernant le conférencier, Ayoub Elaassal est un pentester de chez Wavestone spécialisé dans les tests d’intrusion de système Mainframe.
Dans un premier temps, il a rappelé l’utilisation massive de ces ordinateurs centraux qui desservent une grande puissance de traitement. Ceux-ci sont utilisés dans les très grandes entreprises telles que les banques, les compagnies d’assurances ou encore les compagnies aériennes. Ils sont également très fiables (quelques secondes d’arrêt par an en moyenne).
Il a présenté dans cette conférence les différentes techniques de pentest permettant de déployer des shells et d’élever ses privilèges sur le système z/OS (pour IBM), le tout sans authentification. Pour ce faire, il s’est focalisé sur l’un des principaux composants du mainframe, CICS (Customer Information Control System), afin d’exécuter des commandes arbitraires et d’obtenir un shell.
Certaines protections ont été implémentées nativement au sein de ces Mainframes, néanmoins celles-ci peuvent être contournées (renommage des programmes, etc.). L’idée principale pour exécuter du code arbitraire est de chercher les bonnes touches pour quitter l’application, afin de retrouver la console interactive CICS. Celle-ci permet de récupérer des informations, d’accéder aux fichiers, etc. En général, il est nécessaire d’avoir les privilèges ‘Protected Account’ pour exécuter du code. Néanmoins, il existe un autre moyen. Pour cela, il faut chercher des bibliothèques non protégées du noyau (APF). En effet, tout programme qui s’exécute depuis ces répertoires accède le noyau. Ainsi, en compilant un programme assembleur (ASM) au sein d’une de ces bibliothèques et en modifiant certains bits de privilèges, un attaquant est en mesure d’avoir tous les droits !
Afin d’optimiser le temps d’exploitation, l’ensemble des commandes et la méthodologie ont été retranscrits au sein d’un outil écrit en Python CICSPwn (https://github.com/ayoul3/cicspwn) par l’auditeur. Durant la présentation plusieurs démonstrations ont été faites (entre cet outil et un émulateur de mainframe).
Injecting Security into Web apps with Runtime Patching and Context Learning, Ajin Abraham (@ajinabraham)
Le présentateur, Ajin Abraham, est un ingénieur en sécurité chez IMMUNIO avec plus de 7 ans d’expérience dans le domaine. L’objectif de sa présentation était de présenter une nouvelle approche pour sécuriser les applications Web. Lors de son introduction, il a rappelé qu’implémenter une application sécurisée n’était pas une tâche insurmontable, que cela nécessitait le suivi de règles simples. Il est en effet assez difficile de prédire le comportement d’une partie de code (ex : effets de bord, etc.).
C’est la raison pour laquelle les entreprises se reposent aujourd’hui sur des pare-feu applicatifs (WAF). Ces pare-feu agissent en interceptant les requêtes HTTP en amont de l’application. Si une requête parait illégitime (via la comparaison de signatures/règles prédéfinies), le WAF bloque la requête vers l’application Web.
De ce fait, la performance d’un WAF repose uniquement sur la liste prédéfinie de schémas potentiellement dangereux. Si un attaquant est en mesure de contourner une règle prédéfinie, alors il sera en mesure d’exploiter la vulnérabilité si elle est présente sur l’application Web en aval du pare-feu.
L’approche d’Ajin Abraham est d’implémenter un algorithme de correction à l’exécution de l’application (runtime application patching algorithm) afin d’amener une brique supplémentaire à l’application vulnérable. Cette brique est nommée RASP (Runtime Application Self Protection). L’avantage est que celle-ci n’ajoute pas de code supplémentaire vis-à-vis du code original de l’application Web. Sa recherche s’est concentrée essentiellement sur les vulnérabilités Web de type : injections SQL, XSS, RCE, HTTP Verb Tampering, injections d’en-tête, etc.
Le principe utilisé pour se prémunir des vulnérabilités de type injection de code :
- Extraction des requêtes SQL/commandes Shell pour les tokeniser et ainsi générer des règles dynamiques ;
- Pour les injections XSS, identification du contexte et de ses échappements (rupture d’une balise, etc.).
Enfin, il a conclu sur le fait que ce type de protection permettrait de se protéger également contre les attaques que les WAF ne savent pas détecter, telles que l’upload de fichier arbitraire, l’injection d’en-tête, le session Hijacking ou encore les 0days affectant les composants des frameworks.
