Talk #1 : Investigating Mobile Phones for Malware and Spying Tools

Nous démarrons la matinée de cette seconde journée avec le talk 'Investigating Mobile Phones for Malware and Spying Tools' de Jarno Niemelä (F-Secure). Un talk sympathique sur un sujet particulièrement à la mode qu'est la téléphonie mobile. C'est l'occasion d'en apprendre un peu plus sur l'interne de systèmes d'exploitation embarqués tels que Windows Mobile et autres Symbian. En effet, ces systèmes sont devenus de véritables "usines à gaz" puisqu'on peut y voir installés pêle-mêle MUAs, browsers, python ... et autres applications. Nous retiendrons ici que si des virus existent sur ces plateformes, ils sont encore très peu propagés et représentent donc un risque très limité; en revanche les outils espions installés par un collègue peu scrupuleux ou par les forces de l'ordre par exemple (si si, y'en a ! ) sont tout à fait envisageables, et ce type d'outil n'est pas bien difficile à trouver (mobile-spy.com par exemple) ... Il n'est donc pas superflu de s'intéresser au problème.

Talk #2 : Sockstress - The Saga Continues...

Vient alors 'Sockstress - The Saga Continues...' de Jack C. Louis et Robert Lee (Outpost24 AB), ou la mort annoncée du net ! Ce talk sur cette faille TCP qui défraye la chronique en ce moment s'est tout de même clôturé sur cette conclusion fulgurante : "de nos jours vous pouvez encore faire "binder" un serveur Web sur Internet mais il vous faut faire des accès par listes blanches" (o_O).

Malheureusement (ou pas), absolument aucun détail technique n'a filtré et il n'est toujours pas possible de comprendre le mécanisme exact mis en œuvre ici. Simplement, il s'agit de réussir à consommer énormément de ressources noyau en très peu de sockets par une astuce magique... La démonstration assez violente a consisté à littéralement exploser un Windows/IIS en quelques paquets.

Talk #3 : Now you see it, Now you dont - Obfuscation for fun and profit!

Nous finirons cette seconde journée avec le talk de Nishad Herath de chez Novologica (l'auteur du challenge) 'Now you see it, Now you dont - Obfuscation for fun and profit!' qui nous présente un état de l'art de l'obfuscation de code. Talk intéressant qui se conclut sur l'idée d'une obfuscation par parallélisme à l'aide de threads par exemple, le tout combiné à du depacking "on-demand" en fonction des parties de code requises et de multiples techniques plus classiques elles, qui pourraient rendre l'analyse extrêmement ardue (et pire encore pour des systèmes d'analyse automatique).

Ainsi se termine ce bien bel événement; intéressant et dans une bonne ambiance, le T2 de cette année aura été une réussite Espérons renouveller l'événement !