Résumé de la réunion du groupe Paris de l'OSSIR du 9 avril 2013

logo_ossir.pngLa dernière réunion de l’OSSIR s’est déroulée le 9 avril 2013 dans les locaux de l’INRIA. Les sujets suivants y ont été présentés :

  • BackTrack Linux par Giovanni Rattaro et Renaud Leroy du projet BackTrack
  • CerberHost, l'hébergement haute sécurité par Thibault Koechlin de NBS
  • Revue d’actualité par Nicolas Ruff

BackTrack Linux (Giovanni Rattaro & Renaud Leroy / coordinateurs du projet BackTrack)

Giovanni Rattaro et Renaud Leroy, les deux coordinateurs en France du projet BackTrack sont venus présenter dans les grandes lignes les origines et l'histoire du projet, ainsi que son état actuel.

BackTrack est né suite à la distinction proposée par Dan Farmer en 1993 entre la sécurité défensive et la sécurité offensive. Lorsque la première version de la distribution Linux est née, il n'existait pas, selon ses auteurs, d'outil dédié à ce concept de sécurité offensive. Le projet qui a continuellement cherché à adhérer à plusieurs standards tels que le PTES, OSSTMM, l'OWASP ou encore OSSINT, a beaucoup évolué depuis ses débuts passant d'une base Slackware à Ubuntu, et enfin, plus récemment, à Debian.

Les deux présentateurs ont rapaillé plusieurs caractéristiques importantes du projet, comme le support de plusieurs architectures matérielles particulièrement prisées dans le monde de la sécurité telles que les Teensy device, les RaspbrryPi. La distribution supporte aussi nativement diverses technologies exotiques, telles que les lecteurs de carte RFID. Enfin, le projet est soutenu par un prestigieux sponsor. En effet, Rapid7, la société éditrice du célèbre framework d'exploitation Metasploit soutient les développeurs du projet.

Ils ont enfin présenté les motivations qui ont poussé les auteurs de BackTrack à délaisser Ubuntu pour migrer vers l'écosystème Debian et renommer à cette occasion leur outil Kali. A l'origine, un simple problème de propriété intellectuelle : en effet, le nom BackTrack appartient déjà à une société concevant des "montres". Cependant, cette transformation aura été bénéfique à Kali puisque de nombreux points bloquants ont été abordés à cette occasion : - nettoyage dans la base d'outils embarqués ; - support officiel de nouvelles architectures matérielles telles que l'ARM ; - construction d'un écosystème de développement à la Debian, permettant aux utilisateurs de télécharger facilement les sources d'un logiciel et d'y apporter les patchs souhaiter pour travailler avec des outils les plus adaptés à leurs besoins.

Enfin, la présentation s’est conclue par une interview "Skype" de l'un des principaux développeurs de Kali : Crossbower.

SLIDES

CerberHost, l'hébergement haute sécurité (Thibault Koechlin / NBS)

Thibault Koechlin, consultant chez NBS, est venu présenter l'offre d'hébergement sécurisé CerberHost.

Après avoir rappelé les impacts importants de l'exploitation des failles de sécurité, le spécialiste a précisé que les problématiques en matière de développement sont connues, tout comme les solutions permettant d'y remédier. Pour illustrer ses propos, il a donc détaillé les menaces existantes associées à chacune des couches de l'architecture d'un service d'hébergement :

  • l'utilisateur
  • le site Internet
  • la base de données
  • la couche applicative
  • le réseau
  • le système d'exploitation
  • et enfin la couche physique

Thibault a ensuite détaillé les solutions techniques existantes pour protéger chacune des couches contre les menaces précédemment présentées. Il a ainsi détaillé en particulier les différentes solutions développées en interne pour les besoins spécifiques de Cerberhost, par exemple le WAF Naxsi, MySQL Sniffer, InodeMon, ou encore ExecvKiller. NBS n'a cependant pas cherché à réinventer la roue, et tire parti de bon nombre de solutions techniques ayant fait leur preuve, par exemple le patch Grsec/PAX du noyau Linux ou encore le logiciel fail2ban. Mais l'offre Cerberhost ne concerne pas uniquement la partie technique, mais aussi la partie procédurale liée à la gestion d'un service d'hébergement sécurisé.

Enfin, le consultant a présenté le challenge proposé par NBS aux internautes. En effet, pour éprouver la sécurité de son offre, et en plus des habituels audits/Pentest, la société a proposé une prime de 5 000€ aux internautes réussissant à contourner les différentes solutions techniques mises en place pour protéger un site développé spécifiquement pour contenir des failles de sécurité (un site du type DVWA). Le challenge a pris fin, sans qu'aucun internaute ne parvienne à exploiter entièrement l'application vulnérable.

SLIDES

Revue d'actualité (Nicolas Ruff)

La réunion s'est enfin terminée par la revue de l'actualité du mois écoulé par Nicolas Ruff avec comme toujours, la publication de correctifs, les découvertes de failles de sécurité et les informations diverses autour de la sécurité.

  • Windows 7 SP0 n'est plus supporté depuis le 9 avril
  • L'April saisit la Commission d'accès aux documents administratifs (CADA) pour obtenir plus de transparence concernant l'accord entre Microsoft et le Ministère de la Défense
  • Les équipements d'HP et d'Huawei comportent la même faiblesse permettant de récupérer des mots de passe via de simples requêtes SNMP
  • Un opérateur intègre des bandeaux publicitaires dans les pages web consultées par ses internautes
  • La loi américaine empêche les internautes iraniens d'appliquer les mises à jour de Java
  • La National Vulnerability Database (NVD) a été mise hors ligne quelques jours suite à la présence d'un malware sur les serveurs du NIST
  • Le groupe de hackers "TeamSpy" utilise TeamViewer, le logiciel de contrôle à distance, comme porte dérobée
  • L'ANSSI publie plusieurs guides de sécurisation et de recommandations concernant le WiFi, les dispositifs de vidéoprojection et les pare-feu
  • Phishing Initiative publie ses statistiques : plus de 80 000 sites ont été dénoncés pour hameçonnage en 2 ans par les 18 000 utilisateurs français
  • Selon la HADOPI, Sony "devrait" fournir les clés de déchiffrement à VLC pour la lecture de Blu-Ray
  • Un radar automatique installé en pleine ville sur un axe très fréquenté a été découpé à la disqueuse et volé
  • Le projet de directive européenne serait dangereux pour la sécurité informatique
  • L'authentification Google à 2 facteurs pourrait être contournée via l'API Android
  • Un chercheur extrait les clés HDCP
  • Lors de la conférence RSA, le cryptographe Adi Shamir déclare que l'intérêt de la crypto diminue lorsque ce sont les postes clients qui sont pris pour cible. La meilleure solution pour éviter les fuites de données est donc d'avoir des fichiers énormes
  • CrowdStrike prend le contrôle d'un botnet lors d'une conférence
  • Le challenge SSTIC était "trop facile" cette année !
  • ZeroBay, une nouvelle plateforme de trading de code d'exploitation vient de faire son apparition
  • RSF publie la liste des sociétés "ennemies d'Internet" – Gamma, Trovicor, Hacking Team, Amesys et Blue Coat
  • France vs Skype : Skype est-il un opérateur télécom ?

SLIDES

Rendez-vous le mardi 14 mai prochain pour la prochaine réunion du groupe Paris de l'OSSIR.

En route pour Amsterdam : détails des conférences de la HITB

Web Comme annoncé précédemment, XMCO est partenaire pour la première fois de la conférence Hack In The Box (HITB). Celle-ci se déroulera du lundi 8 avril au jeudi 11 avril 2013 dans l'hôtel Okura situé en plein coeur d'Amsterdam. Les deux premiers jours sont consacrés exclusivement aux formations techniques qui seront suivies des conférences le mercredi 10 avril et le jeudi 11 avril. Deux tracks de conférence seront proposées simultanément.

Trois keynotes, présentées par des personnalités renommées comme Edward Schwartz (chef de la sécurité RSA) ou encore Winn Schwartau (fondateur de la société SecurityExperts.com), viendront ponctuer les conférences tout au long de la manifestation.

Sélection des ateliers et des conférences retenus par XMCO :

Windows x64: The Essentials (Didier Steven)

Pendant un workshop de 2 heures, les principales différences entre un système 32bits et 64bits du point de vue de la sécurité du système seront abordées. Les personnes attenantes à ce workshop pourront réaliser l'injection de dll 64bit ou encore développer et signer un driver 64bit.

Exploiting Hardcore Pool Corruptions in Microsoft Windows Kernel (Nikita Tarakanov)

Le noyau devient le vecteur le plus fréquemment utilisé pour contourner les mécanismes de sécurité (utilisé notamment pour contourner la sandbox incluse au sein de Google Chrome). Nikita Tarakanov expliquera en détail ces nouvelles méthodes employées. Il présentera notamment une méthode fiable permettant de compromettre l'ensemble des systèmes d'exploitation Windows à l'aide d'un pilote.

LTE Pwnage: Hacking HLR/HSS and MME Core Network Elements (Philippe Langlois)

Les technologies employées au sein du coeur de réseaux des télécoms bénéficient d'une opacité la plus totale. Malheureusement, cela cache souvent des vulnérabilités critiques. Philippe Langlois présentera un état des lieux de la sécurité sur ces équipements et des protocoles employés. Il réalisera une démonstration de l'exploitation des vulnérabilités trouvées lors de leur recherche au sein des équipements réseau Huawei.

Aircraft Hacking: Practical Aero Series (Hugo Teso)

Cette présentation sera surement l'une des plus attendues avec une démonstration de prise de contrôle à distance d'un avion. De plus, l'ensemble des vulnérabilités employées au cours de cette démo ne nécessite aucun accès physique à l'aéronef.

Defeating the Intercepting Web Proxy – A Glimpse Into the Next Generation of Web Security Tools (Petko D. Petkov)

Lors des tests d'intrusion, les consultants en sécurité utilisent constamment des proxys applicatifs afin de pouvoir contrôler l'ensemble des requêtes échangées. Une nouvelle approche serait présentée afin de pouvoir s'affranchir de l'utilisation des proxys. Des nouveaux outils seront également dévoilés lors de la présentation.

How I Met Your Modem: Advanced Exploitation & Trojan Development for Consumer DSL Devices (Peter “blasty” Geissler & Steven Ketelaar)

La sécurité des éléments réseau comme les modems ASDL est bien trop souvent négligée. Or, leur compromission entraine des dommages conséquents. Les deux chercheurs Peter Geissler et Steven Ketelaar dévoileront leur exploit permettant de compromettre ces équipements à distance sans aucune interaction des utilisateurs.

OAuth 2.0 and the Road to XSS (Andrey Labunets & Egor Homakov)

OAuth est un protocole libre permettant de réaliser une authentification sécurisée à l'aide d'une API dédiée. Il a été récemment adopté par les principaux acteurs d'internet (Google, Facebook, Twitter ...). Néanmoins, cette nouvelle technologie souffre de plusieurs vulnérabilités qui seront dévoilées et analysées lors de la présentation.

Swiping Through Modern Security Features (Evad3rs)

L'équipe Evad3rs présentera le résultat de ses recherches sur le jailbreak systèmes d'exploitation iOS. Ces derniers détailleront les 8 vulnérabilités et leur outil evasi0n qui a permis de jailbreaker une des dernières versions publiées par Apple (6.1).

iNalyzer: An End to Blackbox iOS Analysis (Chilik Tamir)

Chilik Tamir dévoilera une nouvelle plateforme nommée iNalyzer permettant de tester la sécurité d'une application iOS. Cet outil "open source" est destiné aux consultants en sécurité réalisant des tests d'intrusion sur des applications iPhone.

Dreamboot: A UEFI Bootkit (Sébastien Kaczmarek)

La nouvelle norme Unified Extensible Firmware Interface (UEFI) offre de nombreux avantages par rapport au BIOS traditionnel, mais apporte également son lot de nouvelles vulnérabilités. Elles sont exploitées à travers un firmware nommé Dreamboot développé par les chercheurs de QuarksLab. Il permet de réaliser des élévations de privilèges et de contourner l'authentification de Windows 8 localement.

Dernières informations complémentaires

Pour finir, voici la liste des autres conférences:

  • Security Response in the Age of Mass Customized Attacks (Peleus Uhley et Karthik Raman)
  • Papparazi Over IP (Daniel Mende)
  • SSRF PWNs: New Techniques and Stories (Vladimir Vorontsov)
  • Orchestrating a Fire Sale: Bringing Dutch Alarm Systems to Their Knees (Wilco Baan Hofman)
  • Nifty Tricks and Sage Advice for Shellcode on Embedded Systems (Travis Goodspeed)
  • Virtually Secure: Analysis to Remote Root 0day in an Industry Leading SSL-VPN Appliance (Tal Zeltzer)
  • Page Fault Liberation Army or Better Security Through Creative x86 Trapping (Sergey Bratus et Julian Bangert)
  • Abusing Twitter’s API and OAuth Implementation (Nicolas Seriot)
  • Abusing Browser User Interfaces for Fun and Profit (Rosario Valotta)
  • Who Can Hack a Plug? The Infosec Risks of Charging Electric Cars (Ofer Shezaf)
  • You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Banking Apps (Andrew Petukhov, George Noseevich et Dennis Gamayunov)
  • To Watch or Be Watched: Turning Your Surveillance Camera Against You (Sergey Shekyan et Artem Harutyunyan)
  • System Shock: The Shodan Computer Search Engine (Dan Tentler)

Et les workshops proposés :

  • Attacking Ruby on Rails Applications (Joernchen)
  • Secure Coding: Web & Mobile (Jim Manico)
  • Terminal Cornucopia (Evan Booth)


Pour rappel, toutes les informations sur la conférence sont disponibles à cette adresse : http://conference.hitb.org/hitbsecconf2013ams/

Le programme est disponible à l'adresse suivante : http://conference.hitb.org/hitbsecconf2013ams/agenda.pdf

Inscriptions : http://conference.hitb.org/hitbsecconf2013ams/register/

Twitter : @HITBSecConf

À bientôt dans l'ActuSécu pour les résumés des conférences auxquelles XMCO assistera.

«


Derniers bulletins CXA (CERT-XMCO Advisories)

Vulnérabilités/Correctifs/Codes d'exploitation

17/05 [CXA-2013-1452] [ownCloud] Multiples vulnérabilités au sein de Owncloud...
17/05 [CXA-2013-1451] [APPLE] Multiples vulnérabilités au sein d'iTunes...
16/05 [CXA-2013-1444] [EMC] Elévation de privilèges via une vulnérabilité au sein de EMC VNX et Celerra Control Stat...
16/05 [CXA-2013-1440] [MOZILLA] Multiples vulnérabilités au sein de Mozilla Firefox et Thunderbird...
16/05 [CXA-2013-1439] [CISCO] Déni de service via une vulnérabilité au sein de Cisco TelePresence Supervisor MSE 805...
16/05 [CXA-2013-1438] [RUBY] Contournement de sécurité via une vulnérabilité au sein de Ruby...

Actualité

16/05 [CXA-2013-1442] [CYBERCRIMINALITE] Quatre membres de LulzSec viennent d'être condamnés au Royaume-Uni...
16/05 [CXA-2013-1441] [CYBERCRIMINALITE] Les cyberattaques ne sont-elles pas assez prises au sérieux ?...
16/05 [CXA-2013-1437] [PUBLICATION] Contre toute attente, une étude montre qu'Internet Explorer 10 offre la meilleur...
16/05 [CXA-2013-1436] [ATTAQUE] Attaques ciblées : attention à qui vous parlez au téléphone...
14/05 [CXA-2013-1409] [ATTAQUE] La liste des victimes de l'attaque contre le ministère du travail américain s'allong...
14/05 [CXA-2013-1408] [INTERNATIONAL] La société Mobily demande de l'aide à des chercheurs pour espionner les intern...

Derniers bulletins CVE (Common Vulnerabilities and Exposures)

28/01 [CVE-2013-4696] ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2012-4696. Reason: This cand...
13/05 [CVE-2013-3538] Multiple cross-site scripting (XSS) vulnerabilities in todooforum.php in Todoo Forum 2.0 allow...
13/05 [CVE-2013-3537] Multiple SQL injection vulnerabilities in todooforum.php in Todoo Forum 2.0 allow remote attac...
13/05 [CVE-2013-3536] SQL injection vulnerability in the gp_LoadUserFromHash function in functions_hash.php in the G...
13/05 [CVE-2013-3535] Multiple cross-site scripting (XSS) vulnerabilities in CMSLogik 1.2.0 and 1.2.1 allow remote a...
13/05 [CVE-2013-3534] Cross-site scripting (XSS) vulnerability in the aiContactSafe component before 2.0.21 for Joom...