mardi 15 juin 2010
FantaSSTIC 2010
Par Daniel LUNGHI, mardi 15 juin 2010 à 16:58 :: General
L'édition 2010 du SSTIC est (déjà ) terminée, et nous voilà de retour après un week-end de repos bien mérité (voire nécessaire).
Sans faire de compte-rendu exhaustif, on peut tout de même noter quelques points : Il n'a échappé à personne qu'il y a un fort besoin de main d'œuvre en ce moment dans le domaine de la sécurité informatique. Le problème vient-il d'un manque de formation dans le domaine, des étudiants qui se détournent du milieu une fois démystifié le cliché du hacker « opération espadon », de la trop grande exigence des recruteurs... ? Nous ne sommes en tout cas pas les seuls à nous poser la question.
Par ailleurs, les conférences ont une fois de plus été variées, destinées à un public hétérogène.
Certaines au contenu technique pointu :
- remote root via une carte réseau en passant par un buffer overflow dans une fonctionnalité d'administration à distance (heureusement non activée par défaut) puis écriture en RAM en passant par le DMA. Cela a nécessité l'implémentation d'un debugger spécifique .. bizarrement, les registres du cpu embarqué dans la carte réseau étaient mappés en RAM (apparemment, pour faciliter le debug ... par le constructeur
). - contournement de la fonctionnalité IOMMU visant justement à contrer les attaques en passant par le DMA, en restreignant les zones mémoires accessibles par chaque périphérique. Le contournement utilise le fait que certains périphériques utilisent un id-source commun. Sympathique démonstration où le flux d'une vidéo en streaming est détourné suite au branchement d'un iPod malveillant sur le port firewire (encore lui!).
- VirtDBG : debugger au niveau "ring -1" afin de se trouver un niveau en-dessous des rootkits noyau
D'autres plus généralistes, présentant notamment le travail de la DGSE et de l'ANSSI, ou encore le projet Honeynet.
Certaines conférences étaient également sympathiques, comme celle présentant des statistiques sur le taux de propagation d'une application facebook malveillante, et comment optimiser cette propagation.
Enfin, les deux conférences passionnantes de Harald Welte concernant le GSM montrent qu'il s'agit bien là d'un domaine où tout reste à faire. Il nous invite d'ailleurs à tester et à contribuer à ses différents projets, dont les deux outils qu'il a présenté, OpenBSC et OsmocomBB.
En résumé de cette liste non exhaustive, il y en avait pour tous les goûts. Pour plus de détails, les actes, slides, ainsi que différents comptes-rendus sont en ligne.
Pour finir, un challenge de reverse engineering était organisé pour la 2e année consécutive, concernant cette fois-ci une image mémoire Android. La solution présentée était intéressante, sachant que pratiquement aucun participant n'a procédé de la même manière. Après plusieurs discussions lors du social event, la plupart semblent s'être cassé les dents sur la cryptographie (la découverte de la faiblesse de la clé El-Gamal n'était pas évidente). Cela n'a pas arrêté notre collègue Florent qui a fini deuxième en utilisant, d'après le comité d'organisation, des « techniques de ninja » à base de hexdump, grep et dd. Les solutions sont également en ligne.
Félicitations à Raphaël Rigo pour la réalisation de ce challenge « touffu », ainsi qu'aux participants.
Ce fût donc une très bonne édition du SSTIC, et on attend avec impatience celle de l'année prochaine.