BruCon 2016, Hacking for B33r : retour sur l’événement belge

BruCon 2016, Hacking for B33r : retour sur l’événement belge

BruCON 2015L’édition 2016 de la BruCON, la conférence belge de référence en matière de sécurité des Systèmes d’Information, s’est déroulée à Gand les 27 et 28 octobre derniers. Cet événement offrait un éventail d’activités destiné aussi bien aux professionnels qu’aux amateurs passionnés par la Sécurité des Systèmes d’Information.

La BruCon a mis à disposition sur YouTube les conférences filmées, accessibles à l’adresse suivante : https://www.youtube.com/user/brucontalks. De plus, les supports des présentations sont consultables sur le site officiel de la conférence : http://files.brucon.org/2016/

Cet article ne présente que quelques-unes des conférences. L’intégralité des résumés sera disponible au sein du prochain numéro de notre ActuSécu.

Building a Successful Internal Adversarial Simulation Team, par Chris Gates et Chris Nickerson

SLIDES

Cette conférence était présentée par deux experts techniques, l’un travaillant coté Blue team et l’autre côté Red team. Leurs expériences et les problèmes qu’ils rencontrent les ont amené à développer une réflexion sur une méthode nouvelle.

Le principe de départ de leur idée est que les équipes d’attaquants (Red team) et de défenseurs (Blue team), ne doivent pas travailler l’un contre l’autre, mais plutôt de concert. Ils doivent partager leurs connaissances, documentations, et expériences, au profit de la sécurité de l’entreprise.

Leur méthodologie se base sur la Kill Chain. Celle-ci détaille le déroulement d’une attaque, depuis la phase de reconnaissance jusqu’à la réalisation des objectifs de l’attaquant une fois sur le réseau/système.

Leur modèle générique suit le cheminement suivant :

  1. Définition du problème à résoudre (analyser, détecter, prévenir, répondre et anticiper les menaces) ;
  2. Définition des moyens permettant de le résoudre ;
  3. Créer un processus pour l’exécution des moyens mis en oeuvre ;
  4. Créer une plateforme pour le partage d’informations ;
  5. Rassembler les équipes défensives et offensives ainsi que leurs outils respectifs ;
  6. Créer des règles pour unir les équipes ;
  7. Définir la couverture des produits/services utilisés face à la Kill Chain ;
  8. Développer des métriques pour évaluer les TTP (Tactics, Techniques and Procedures) d’un point de vue de protection, détection et réponse ;
  9. Évaluer les compétences de l’adversaire pour déterminer l’urgence de la situation ;
  10. Mettre à jour les priorités de l’équipe en se basant sur les dates de tests des TTPs ou sur d’autres données ;
  11. Mesurer les défenses (couverture, temps de détection/remédiation/éradication, etc.).

L’idée finale est de pouvoir apporter beaucoup plus de visibilité sur les moyens de défense de l’entreprise et d’être en mesure de pouvoir prédire les futures attaques via la Threat Intelligence. Par ailleurs, ces éléments doivent donner des outils d’aide à la prise de décision pour l’achat de nouveaux produits/services.

Physical Security: Ideal Doors & Padlocks, par Deviant Ollam

SLIDES

Deviant Ollam est un expert de l’intrusion physique. Il a, dans cette présentation, cherché à montrer les failles simples et très courantes qu’il a pu rencontrer. Ces dernières sont pourtant très simples à corriger.

Il a ainsi pu évoquer les failles ou méthodes suivantes :

  • Le lockpicking pour ouvrir une serrure sans la clé ;
  • Les charnières qui peuvent être enlevées afin d’ouvrir la porte ;
  • Le loquet qui peut être contourné à l’aide de quelques outils ;
  • La poignée présente à l’intérieur qui peut être actionnée si un espace permet d’y accéder ;
  • L’espace présent entre la porte et le mur pouvant permettre de contourner des capteurs de mouvement ;
  • L’espace sous la porte qui peut être utilisé pour actionner la poignée et ouvrir la porte ;
  • Le cadre de la porte peut être agrandi afin que la pêne sorte de l’espace de sa gâche et laisse la porte s’ouvrir.

Pour chacune de ces failles, le conférencier a pu indiquer des moyens simples permettant de les corriger. Il indiquait que malheureusement le risque d’intrusion physique était négligé alors que des données/objets sensibles étaient facilement accessibles.

Active Defense, par John Strand

SLIDES

John Strand a participé au développement d’une distribution Linux dédiée à la défense. Celle-ci s’appelle ADHD : Active Defense Harbinger Distribution. Elle contient un ensemble d’outils permettant de compliquer les phases de préparation et d’attaques.

Une documentation très détaillée est disponible à l’adresse : https://github.com/adhdproject/adhdproject.github.io/blob/master/index.md.

Il a présenté divers outils lors de sa présentation :

  • WebLabirinth : il s’agit d’un ensemble de pages aléatoires permettant de rendre confus un scanner web ou un attaquant cherchant à aspirer le contenu du site web.
  • HoneyPort : il s’agit d’un honeypot spécifique pour un port. Dès qu’un utilisateur se connecte au port, il sera remercié et blacklisté. Ainsi, un attaquant cherchant à se connecter à tous les services pourra facilement être identifié et bloqué ;
  • Word Web Bugs : ce projet a pour but de piéger l’attaquant en l’invitant à ouvrir un fichier utilisant un nom intéressant pour un attaquant tel que « passwords.docx ». En ouvrant le fichier, l’attaquant va sans le savoir envoyer son adresse IP au défenseur.
  • Honey Badger : un outil similaire basé sur un applet Java qui va géolocaliser un attaquant à 20m près en utilisant les réseaux Wi-Fi autour de l’attaquant.
  • Jar combiner : un outil permettant de rendre géocalisable de la même façon n’importe quelle application quelle qu’elle soit.

Cette conférence passionnante pleine de bonnes idées a donné des pistes sur ce que pourrait être le futur de la défense en entreprise, avec des pièges pour attaquants parsemés au sein du SI.

Nous attendons avec impatience la prochaine édition de cette conférence de qualité. En attendant, rendez-vous dans le prochain numéro de l’ActuSécu pour un résumé complet et détaillé de cette dernière !


Etienne Baudin

Consultant Cert-XMCO