A l’entrée du hack.lu chaque personne recevait un package comprenant un Teeshirt, un pass et le mensuel MISC.

Donc le jeudi après midi était composé de trois sessions et d’un lightning talk de 5 minutes sur les faiblesses de la communication wifi qui permet de piloter le drone Parrot. Le premier à prendre la parole devant une salle quasi pleine est Mayank Aggarwal de Juniper avec une présentation des différents spyware disponible sur Blackberry. A la clé une petite démo live pour nous montrer à quel point il est facile d’obtenir des informations sur un blackberry une fois le spyware installé. Ce que j’ai retenu :

- Une fois installé, l’application peut obtenir un accès complet de l’appareil
- Absence de détection en temps réel
- Les applications gratuites ne le sont pas toujours (méfiance)
- Activer le mot de passe de votre mobile
- Activer l’encryption et le pare feu
- Et enfin ne laissez personne d’autre que vous utiliser votre mobile -> Celle ci est valable pour tous les téléphones

Les suivants s’amènent avec un drone AR Parrot et un iPhone 4. Bizarrement ils ont eu toute l’attention de l’auditoire et ce sans se présenter. L’idée était de montrer qu’il existe une faille sur le serveur du drone AR Parrot. En effet, il suffit de flooder un port spécifique pour perturber le drone. Malheureusement, ils dévoilent la faille avant la démo, résultat le drone est piraté par une personne de l’auditoire et la démo se termine sur : “désolé on a plus de batterie !”. Dommage …

La dernière session que j’ai suivi était présenté par Fabian Mihailowitsch sur la détection des Keylogger Hardware. J’étais assez intéressé de savoir comment il procédait pour détecter les keylogger PS/2. Donc ses études l’on conduit sur plusieurs pistes, mais aucune n’est assez précise pour la généraliser. La première méthode consiste à mesure le courant utilisé par le port PS/2, il y aurait une variation de quelques mA lorsque l’on branche un keylogger PS/2. Mais son test a était effectué sur un type de clavier avec un type de carte de mère et de keylogger. Trop peu de valeur pour dire avec certitude que sa méthode fonctionne. Cependant, c’est un bon début de recherche.
La deuxième méthode consiste à établir une base de valeur sur les temps de réponse du clavier. Une fois cette base constituée, il est facile de comparer les temps obtenu avec un keylogger branché. Visiblement le traitement du keylogger ralenti les temps de réponse. Une fois encore la méthode est contraignante et non universel.

Pour résumé, le peu de temps que j’ai passé au hack.lu était très sympa et visiblement je ne suis pas le seul à en penser du bien vu le nombre de personne présentes. Vivement l’année prochaine …

A croire que la journée était dédiée aux GSM, car le talk suivant présenté par Karsten Nohl, nous expliquait comment il était facile de décrypter l’encryption des communications GSM. Dans un premier temps, la méthode dite active consiste à proposer au téléphone un relai avec un très bon signal afin de le forcer à se connecter dessus (nécessite de la proximité). Une fois connecté, toutes les communications du téléphone peuvent être écoutées. La seconde méthode dite passive, n’est pas encore au point face à l’encryption A5/1. Le principe est similaire à du brute force à l’aide de rainbows tables. D’ailleurs si vous souhaitez les aider dans leurs travaux, vous pouvez toujours proposer vos services en contactant Karsten Nohl. Ils possédent une mailing list pour rester au courant de leur progession et aussi un site web qui donne un peu plus d’explications sur leur recherche.

Le talk suivant présenté par Thorsten Schröder de Remote-Exploit.org portait sur l’écoute des communications de clavier Bluetooth. La présentation était très intéressant, notamment on y apprends que les claviers Bluetooth de Microsoft sont composés de puces AES qui leurs permettraient d’assurer une meilleure sécurité de la communication mais ils continuent d’utiliser une méthode basée sur des contrôles XOR. Il nous démontre, à l’aide d’un petit émetteur Bluetooth fait maison, comment il arrive envoyer une série de commandes sur un récepteur Bluetooth Microsoft. Vous trouverez en ligne la démo ainsi que des explications sur la méthode utilisée.

Le dernier talk de la matinée présenté par deux italiens a définitivement clôturé les présentations intéressantes (du moins pour ma part). En effet, l’après midi n’était pas aussi intéressante en termes de sujet (les sujets abordés m’intéressais moins). Revenons à la présentation des italiens, qui reprenait en grande partie les travaux de Zane et Luis mais d’une manière différente. Ils ont montré comment ils arrivent à changer à distance, via un SMS, l’APN du téléphone cible. Une fois l’APN changé (un APN proxy), ils arrivent à voir toutes les trames HTTP et HTTPS du client. Le téléphone cible n’a plus aucun secret pour eux. Assez terrifiant …

La conférence DeepSec édition 2009 s’est clôturée sur une soirée au Metalab ou tout le monde étaient conviés. C’était l’occasion pour lancer quelques lightening talk (des présentations de courte durée). Le sujet principal était le recensement des pirateries effectués durant la conférence à l’hôtel :

• Connexion internet pour 1 euros en utilisant un champ caché
• La capture des trames TCP des caméras de surveillance sur un réseau sans fils non protégé
• L’accès au menu de la TV payante de l’hôtel via un code disponible chez le constructeur

Pour en revenir au Workshop, la dernière journée a été très intéressante, nous avons pu nous exercer sur différentes vulnérabilités comme les failles XSS/XSRF, les injections SQL ou encore les manipulations JSON. Nous avons vu également comment décompiler du Flash et comment obtenir le code source d’application réalisée avec Silverlight. Pendant une bonne partie de la journée les deux sites Web (un site de commerce de DVDs et une application bancaire) mis à disposition ont subi toutes les attaques possibles. Nous avons fait la connaissance du Framework BeEF qui s’est révélé très utile pour concrétiser des attaques de type XSS.

Entre temps, en discutant avec d’autres personnes, nous avons obtenu la connexion internet de l’hôtel pour 1 euros en exploitant un champ caché . D’autres se sont amusés à capturer les trames TCP des caméras de surveillance isolées sur un réseau sans fil sans protection.

Aujourd’hui, c’était la première journée de conférence. Il y a deux salles soit deux sessions simultanées. Comme d’habitude, il faut bien choisir son talk sous peine de subir 50 minutes de …
Je ne sais pas si j’ai bien choisi mes talks ou si tous les speakers étaient bon (à quelques exceptions près…) mais je n’ai pas été déçu par la qualité des speakers.

La première session que j’ai suivi fut le Top 10 des problèmes de sécurité dont les développeurs ne se doutent pas. Présenté par Neelay S. Shah de chez Foundstone, la présentation était accès sur des attaques dont la plus part nécessite un accès à la machine. Petite anomalie, la présentation contenait 9 et pas 10 attaques (j’en ai peut être raté une, faut dire qu’il était 10h… non faut pas le dire). Voici la liste que j’ai recensé peut être que quelqu’un me dira si j’en ai oublié :

• Socket Hijacking
• Using named pipes
• Mutex/Events
• Insecure Process Creation
• Cipher modes
• Insecure Integrity Checking
• ActiveX Controls
• Third Party Components
• Thick Client Applications

Dans l’ensemble la présentation était bien mais loin d’être la meilleure.

Le speech suivant était présenté par Saumil Shah qui travaille pour net-square dont il est le fondateur. Sa présentation, intitulé Ownage 2.0, portait sur les différentes menaces du Web 2.0. Très humoristique, on sent qu’il est à l’aise avec l’auditoire. Il commence à introduire son speech par l’évolution des applications web, qui en résumé sont de plus en plus complexe avec des utilisateurs de moins en moins informés. Il avait un joli slide pour montrer que les attaques prennent de plus en plus la route du port 80. Il nous démontre avec facilité comment nous pouvons être vulnérable avec des fichiers PDF (installation d’une barre d’outil dans le navigateur à l’ouverture du PDF).

Felix Gröbert nous présente son Proof of Concept d’une attaque basé sur un smart card reader de classe 1 utilisé par une application bancaire de la CommerzBank. La technique utilisée repose sur la condition d’utiliser une vieille version de FireFox (1.5).

Cloud Services – still too cloudy for take off? est l’intitulé de la présentation de Kurt Kammerer. Il travaille pour Regify. Il explique les comportements des différents acteurs d’un service informatique par rapport aux coûts et aux projets. Le sujet me semble pas coller avec la sécurité mais bon sa présentation illustrée de photos comique a provoqué plus d’une question. La dernière image de sa présentation que je garde à l’esprit c’est la photo d’un renard avec une cicatrice qui représente l’IT manager, un chien enragé qui représente le CEO et un chien de race Husky avec le regard vide représentant le CFO. Voici l’image de son dernier slide qui résume bien sa présentation.

Get Your head out of the clouds : Security in software-plus-services
Ce talk était digne d’un commercial. John Walton de chez Microsoft nous a présenté les différents services revendu par Microsoft et surtout leurs intérêts. Un peu trop de marketing pour moi … mais bon il en faut pour tous les GÜ .

Pendant la pause, nous avons profité du stand de Lockpicking pour s’exercer un peu. J’ai enfin pu m’essayer au bumping. Pour information, le bumping est une technique de lockpicking qui permet d’ouvrir des serrures en frappant la clé.

Morgan Mayhem connu sous le pseudonyme headhntr nous a présenté les vulnérabilités de mac OSX (The Kingdom of the blind: OSX Incident Response). Cet américain, qui travaille pour Google dans leur bureau de Zurich, est venu sur l’estrade avec des airs de Jack Sparrow. Pendant sa présentation, une bière à la main, il a sensibilisé les personnes aux risques d’utilisation de Mac OSX. Il a surtout cassé le mythe en montrant les différents malware développé pour OSX.

Le dernier talk que j’ai suivi était sur les risques de Twitter. Ben Fenstein nous a montré les différents risque que comporte Twitter en commençant par les failles XSS jusqu’au Bot C&C. Présentation intéressante.

Concernant les Workshops, ce n’est pas moins de huit training qui sont proposés. Pour ma part j’ai suivi le workshop Web 2.0 Security – Advanced Attacks and Defense présenté par Vimal Patel & Prashant Thakar (Blueinfy Solutions Pvt. Ltd.). Les deux indiens connaissent bien le sujet et leur présentation est rodée. Les travaux pratiques sur le protocole AMF pour les applications Flex sont prometteurs, nous verront ça demain. Pour le reste, la plus part du temps, le contenu a pris des airs de refrain, mais la soirée fut très original.

Après une petit heure de piscine, nous avons été manger la célèbre Wiener Shnitzel dans un petit restaurant du centre. Accompagné d’un des organisateurs de la conférence, nous avons eu droit a une visite guidé quelque peu spéciale. En effet, nous nous sommes rendu dans le quartier 21 ou se loge une organisation connu sous le nom de quintessenz qui lutte pour la restauration des droits civils en termes d’informatique.

Ils décernent chaque 25 Octobre des Big Brother Awards à chaque organisation, société qui ne respectent pas les droits civils et la vie privée des gens. Autant vous le dire tout de suite ce sont des passionnés qui ne comptent pas leurs heures.

Autre endroit, autre style, nous nous sommes rendu dans un Hackerspaces. Nous avons eu le droit à un petit tour du propriétaire et surtout à une démonstration de la découpeuse au Laser. Ce lieu appelé le club-metalab, regorge d’appareil fait maison. Que ce soit un mur de verre illuminé programmable via une interface web, ou encore une mallette contenant trois hot spot wifi disséqués et inter connectés, ce ne sont pas les idées qui manquent. Les installations ont un style un peu underground assumé. Chaque personne que nous avons croisé avait une bouteille de Club-Mate à la main, un breuvage qui apparemment les maintiens en éveille. Notre petit groupe de visiteur nocturne était bien content de rentrer après cette escapade.

Le fil conducteur entre ces deux événements s’appelle Nils, un jeune étudiant Allemand. Il a réussi à mettre à mal la sécurité des trois navigateurs web les plus utilisés (dont Internet Explorer 8), et ceci sur une machine à jour.

“A toute chose, malheur est bon” dit l’adage. C’est ce que les personnes de Microsoft ont dû se dire lorsque Nils a fait son show. A peine sorti, une faille critique permettant de prendre le contrôle à distance de la machine est trouvée sur leur bébé. Point positif, cet événement aura été révélateur de talent.

Suite à son interview avec Ryan Naraine, Nils a déclaré qu’il voulait voir les failles de sécurité résolues. C’est pourquoi les détails techniques de la vulnérabilité ne seront pas communiqués jusqu’à ce qu’un correctif soit prêt.

On imagine la déception du département QA (quality assurance) qui a dû passer quelques mois à tester le soft. Il est difficile de rendre coupable telle ou telle équipe surtout lorsqu’on voit les délais imposés pour tester le produit dans les différents environnements ainsi que les tests de coexistence. Les tests de sécurité sont souvent la 5ème roue du carrosse. Dans un but d’amélioration de processus, j’imagine que chez Microsoft, les responsables du projet vont faire leur enquête pour trouver pourquoi une telle faille est passée à travers les mailles du filet.

Un jour après avoir publié l’interview de Nils, Ryan Naraine écrit un nouvel article dont l’intitulé est “No more free bugs”. Cet article est intéressant car il soulève un problème critique au sein des entreprises qui dévéloppent des logiciels : La chasse aux Bugs.

Dans la “chaîne alimentaire” d’un logiciel, nous rencontrons trois étapes majeures :

Une fois que le produit est testable (tests unitaires effectués suivant les requis de la fonctionnalité et validés par le développement), l’équipe de développement (souvent découpé en plusieurs petites équipes) délivre le produit à l’équipe de test (elle aussi découpé en plusieurs équipes). Ces dernières vont travailler main dans la main.

La chasse aux bugs est ouverte.

Il est utopique de penser qu’une application est délivrée sans bug. L’objectif est d’avoir un produit le plus stable  possible. La majorité des tests est fait en suivant des procédures types (suivant le standard international Common Criteria), ce qui rend assez stérile le fait de trouver de nouvelles failles surtout lorsqu’il y a de nouvelles fonctionnalités, car les cas de tests n’ont pas encore été tournés. Sachant que l’ordre des tests ne peut pas être inter changé dans le processus et que le temps est incompressible, vous comprenez maintenant pourquoi il existe un commerce underground d’achat de bugs. Il faut savoir que plus le defect est trouvé tôt, moins il coûte.

Les personnes comme Nils sont très utiles car elles ramènent du sang neuf dans le processus. Les départements de tests/QA sont comme des régulateurs que l’on ajuste en fonction des données en entrée. On interagit sur le PID en espérant obtenir la meilleure régulation, mais tant que la valeur d’entrée change, il est difficile de trouver le bon coefficient. Ce qui m’amène à dire que les départements de tests ont encore de beaux jours devant eux.

Avec ce petit boitier, vous pouvez voir les noms des autres participants qui sont près de vous et à combien de mètres sont elles. Vous pouvez également échanger vos cartes de visites ou encore dialoguer avec les personnes à proximité.

Je trouve le concept assez fun, mais je doute que nous puissions voir ce genre de boitier l’année prochaine à la Defcon.

Vous trouverez plus d’informations sur le site du constructeur spotme.