SSTIC 2008, deuxième journée

Par Sylvain SARMEJEANNE, vendredi 6 juin 2008 à 16:31 :: General :: #241 :: rss

Suite au billet précédent, voici un aperçu des conférences de la deuxième journée au SSTIC 2008.

Sécurisation des Green Data Centers

Conférence présentée par Christophe WEISS (APL). Une conférence qui sort de l'ordinaire puisqu'elle concerne la sécurité physique des datacenters d'un point de vue de la disponibilité, du refroidissement et de la consommation électrique.

Déprotection semi-automatique de binaire

Conférence proposée par Alexandre GAZET et Yoann GUILLOT (SOGETI/ESEC), montrant l'utilisation de Metasm (déjà présenté au SSTIC 2007) pour déprotéger de manière entièrement statique un binaire. Après avoir rappelé les faiblesses de la plupart des désassembleurs comme IDA Pro sur du code un tant soit peu obfusqué, la suite commence par la résolution d'un des challenges de Securitech 2006. Les principales techniques utilisées sont les prédicats biaisés et les éléments neutres. Suit la résolution du challenge T2. Ce challenge implémente une machine virtuelle et Metasm est utilisé, en plus du nettoyage de code comme pour le challenge Securitech, pour décrypter les handlers d'opcodes, puis pour générer un code C et un binaire déprotégé. Metasm possède aussi une interface permettant de réaliser des graphes de flot.

ERESI : une plate-forme d’analyse binaire au niveau noyau

Conférence présentée par l'équipe du projet ERESI. Il s'agit de la suite du projet ELFsh. Celui-ci a été amélioré au fil du temps par des bibliothèques de scripting et d'analyse dynamique. Kernsh propose un framework pour la lecture et l'écriture au niveau du noyau. Une démonstration propose de calculer un hash de certaines parties du noyau afin de vérifier son intégrité face aux rootkits. La deuxième démonstration montre le dump d'un processus lorsque celui-ci se ptrace lui-même.

Cryptographie : attaques tous azimuts

Conférence présentée par Jean-Baptiste Bédrune (SOGETI/ESEC). Il existe déjà certains plugins (Kanal pour PEiD, FindCrypt pour IDA Pro, etc) permettant la recherche de patterns en mémoire, correspondant typiquement aux tables d'initialisation des algorithmes cryptographiques. Est ici présenté, entre autres, un plugin pour IDA permettant en plus une analyse dynamique afin de repérer les fonctions d'initialisation, de mises à jour, etc, qui apportent encore plus d'informations pour la cryptanalyse. La méthode peut aussi être appliquée aux flux chiffrés.

Sécurité dans les réseaux de capteurs

Conférence présentée par Claude CASTELLUCCIA (INRIA). Les réseaux de capteurs peuvent être utilisés dans un contexte militaire, mais aussi pour la sécurité routière (état des routes, etc) ou par exemple la défense contre les feux de forêts. Leur faiblesse provient de leur mode d'alimentation : lorsque la batterie est épuisée, le capteur est perdu. Le premier exemple déroulé concerne les applications médicales, principalement pour les implants comme les pacemakers. La sécurité n'a pas vraiment été intégrée dans ces produits (jugée inutile par les fabricants car son exploitation nécessite d'être physiquement très proche de la victime). Un compromis doit être trouvé entre "sécurité" et "sûreté" : typiquement, l'accès aux données ou la désactivation ne doivent pas être possibles... sauf en cas d'urgence. Une solution pourrait être d'intégrer du RFID pour gérer la partie contrôle d'accès. Le dernier exemple discuté concerne les capteurs en environnement militaire, et les problématiques de chiffrement et d'authentification entre capteurs, et avec l'agrétateur de données. Sur ce dernier, il est possible d'utiliser des fonctions homomorphes afin de garantir que les données ne seront pas compromises, même en cas de perte.

Dépérimétrisation : futur de la sécurité réseau ou pis aller passager ?

Conférence présentée par Cédric Blancher (EADS). Faut-il supprimer le firewall de l'entreprise ? Le forum Jericho répond "oui" à cette question plutôt provocatrice. Effectivement, un pare-feu n'est pas une barrière absolue (ne protège par contre l'envoi d'un mail piégé, etc) mais la dépérimétrisation n'est pas clairement définie et n'apporte pas de réponse technique claire. D'un point de vue réseau, ceux-ci seraient de plus en plus à plat (à mettre en parallèle avec le déploiement, ou pas, d'IPv6) ; au niveau système, les mêmes moyens sont utilisés (tunnels SSL/TLS). Sans parler des failles au niveau client et du fait que de nombreuses données confidentielles ne circulent pas sur les réseaux (clé USB, vols dans les camions de transport des sauvegardes, etc). Une notion pas encore vraiment convaincante, donc.

Pentests : "Réveillez-moi, je suis en plein cauchemar !"

Conférence présentée par Marie BAREL (Orange Business Services). Les risques juridiques autour des test d'intrusion ont été discutés. Ce sont des problématiques bien connues chez Lexsi au sein de notre pôle audit.

Rump Sessions

Les fameuses rump sessions du SSTIC sont l'occasion de présenter en 4 minutes un sujet sérieux (ou pas) en rapport (ou pas) avec la sécurité. Des images valant mieux qu'un long discours, voici quelques photos :