Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

SSTIC 2018

Retour sur le SSTIC 2018

Du 13 au 15 juin,  s’est déroulée la 16ème édition du SSTIC au Couvent des Jacobins à Rennes, avec une capacité d’accueil de 800 personnes. Cette année CONIX était présent pour assister aux différentes présentations. Dans cet article nous allons parler de quelques conférences qui ont attiré notre attention.

Tout d’abord, quelques chiffres sur le SSTIC 2018 :

  • 550 places vendues en 8 min environ
  • le nombre de soumissions d’articles est de 39 dont 24 sont acceptés
  • 0 sponsor
  • Plus de 57 500 € dépensés dans le social event

Comme les années précédentes, le SSTIC 2018 a connu une forte participation des acteurs de la cyber-sécurité française, dont l’ANSSI et la DGA sur différents sujets. Cet article n’a pas pour but de décrire précisément chaque présentation. Vous pouvez toutes les retrouver en version PDF et vidéo sur le site du SSTIC .

1er jour – SSTIC 2018

La conférence d’ouverture du SSTIC 2018 : « Closed, heterogenous platforms and the (defensive) reverse engineers dilemma »

Présentée par Halvar Flake, le thème portait sur les plateformes fermées et hétérogènes et le dilemme de la retro engineering. L’orateur nous a fait une rétrospective du reverse-engineering tirée de ses expériences, ainsi que du défi auquel la communauté de reverse-engineering est confrontée car beaucoup de choses ont évolué : les solveurs et  les outils de reverse. En théorie ça devrait suffire pour faciliter le reverse engineering sur du code en C++ par exemple. Mais en réalité c’est toujours difficile de le faire.

Par la suite, Alexandre Gazet (Synactiv) et Fabien Perigaud (Airbus) ont présenté une conférence orientée réseau et reverse engineering, axée sur les chipsets iLO4 : « Backdooring your server through its BMC: the HPE iLO4 case »

Il s’agit d’une solution de gestion de serveurs intégrée dans presque tous les serveurs HP depuis plus de 10 ans. Cela fournit les fonctionnalités requises par un administrateur système pour gérer à distance un serveur sans avoir à l’atteindre physiquement. Le chipset iLO4 (connu pour être utilisé sur la famille de serveurs HP ProLiant Gen8 et ProLiant Gen9) fonctionne sur un microprocesseur ARM dédié, intégré au serveur, totalement indépendant du processeur principal. Retrouvez les résultats de leurs travaux ici :  la découverte d’une vulnérabilité critique sur les serveurs HP avec le chipset iLO4.

Cette vulnérabilité permet à un attaquant de compromettre le serveur sans une interaction directe avec ce dernier. Ils ont présenté une démonstration sur la façon dont ils ont réussi à exploiter cette vulnérabilité. Le but de leurs travaux était de réussir à compromettre le serveur, et d’obtenir la persistance même après la réinstallation totale du serveur, ainsi que la furtivité.

« T-Brop: Taint-Based Return Oriented Programming » présentée par Colas Le Guernic (DGA). C’est une nouvelle approche de recherche de gadgets (une séquence de codes) sur des binaires et sur un outil pour faciliter la génération de la ROP chain . Le tout dans un contexte d’audit de code lors d’une découverte de la vulnérabilité d’un débordement de tampon. La recherche de gadget utilise une méthode qui se base sur la sémantique de teinte, qui prend en compte correctement les registres, la pile et la mémoire. Cette approche est plus rapide que les outils symboliques et permet des requêtes plus expressives que les outils syntaxiques. Cette méthode a été implémentée dans un outil open source .

S’ensuit après, une présentation d’Emmanuel Duponchelle et de Pierre-Michel Ricordel de (ANSSI) sur les « Risques associés aux signaux parasites compromettants : le cas des câbles DVI et HDMI ». Les orateurs nous ont expliqué le monde du TEMPEST  (mesure de protection contre le risque d’interception des signaux parasites compromettants). Par la suite, ils ont réalisé une démonstration en temps réel d’une interception d’un signal vidéo émis par un câble HDMI relié à un ordinateur, en utilisant une antenne log-périodique  et une SDR (Software-Defined Radio) avec un outil open source TEMPEST SDR. Le résultat a été stupéfiant car l’image vidéo interceptée  était reconstruite de façon efficace, la partie texte sur l’image vidéo était claire et lisible. Cette technique d’interception ne demande pas beaucoup de moyens de réalisation. Les présentateurs ont voulu marquer le point sur les risques d’une utilisation de câblages bas de gamme avec peu de protection (blindage).

« WooKey: USB Devices Strike Back »: Arnauld Michelizza, Jérémy Lefaure, Mathieu Renard, Philippe Thierry, Philippe Trebuchet, Ryad Benadjila (ANSSI) ont présenté une conférence sur la sécurisation d’une clé USB pour répondre à la menace de Bad USB . Leur projet, intitulé WooKey, est basé sur de l’open source hardware et sur de l’open source code. Le but de WooKey  est de créer un périphérique qui répond à la norme USB sécurisé, qui permet de répondre à la menace Bad USB. Pour cela, ils ont sécurisé les données en utilisant des algorithmes de chiffrement fort, une double authentification pour le déchiffrement des données avec un code pin pour la java carte et un token extractible déchiffré par le code PIN, un cloisonnement des modules et applications, utilisation de brique modulaires/réutilisable et  un coût raisonnable. La WooKey résiste à la menace Bad USB, aux attaques logicielles et aux attaques matérielles basiques. Cependant, elle ne répond pas pour le moment aux attaques matérielles avancées et complexes.

2eme jour – SSTIC 2018

Cette deuxième journée à commencé avec une intervention de Julien Raeis et Matthieu Buffet (ANSSI) sur « Audit de sécurité d’un environnement Docker ». Lors de cette présentation ils ont abordé le sujet docker sur Linux et Windows, la méthodologie d’audit. Ils ont ensuite abordé les menaces d’escalade de privilège d’un docker vers le host ou l’inverse, ainsi que sur les isolations système. Les orateurs ont présenté quelques outils d’audit qu’ils ont utilisé, capable de lister les capabilities  utilisés par un programme lors de son lancement :  seccomp-bpf pour politique seccomp .

« YaDiff: Corrélation de binaires, méthodes empiriques et machine learning » de Benoît Amiaux, Eric Renault, Frédéric Grelot, Jérémy Bouétard, Martin Tourneboeuf et Valérian Comiti (DGA-MI) :

YaDiff permet facilement la propagation d’informations (symbole) d’une base IDA à une autre. C’est la suite des outils « YaTools » (avec YaCo, présenté au SSTIC 2017). Le but de cet outil est de commencer l’analyse du binaire sur une base d’informations récupérées d’une analyse précédente. Ça permet de gagner du temps car l’analyse ne démarre pas de zéro. L’outil permet d’analyser des binaires lourds allant jusqu’à 1 Giga octets et de propager le maximum d’informations en supportant plusieurs architectures.

Deux méthodes sont utilisées pour le traitement et la propagation des symboles. La première est en utilisant Yadiff « legacy »  qui est une méthode pragmatique. Elle associe un maximum d’objets de manière fiable et une tolérance aux changements mineurs, ainsi qu’un temps d’exécution rapide. La deuxième  méthode se base sur un algorithme d’intelligence artificielle en utilisant de l’apprentissage supervisé avec réseau de neurones, ainsi qu’un vecteur de caractéristiques.

L’outil Yadiff est en open source et présent sur le git de la DGA-MI-SSI .

« Sandbagility : un framework d’introspection en mode hyperviseur pour Microsoft Windows » présentée par Eddy Deligne, Francois Khourbiga. Le framework est développé en Python et est destiné à fournir une API haut-niveau pour automatiser et instrumenter un système virtuel invité, fonctionnant sous Microsoft Windows. N’ayant subi aucune modification, ce framework est en mode hyperviseur. Il communique avec une VirtualBox modifiée grâce à un protocole de communication appelé FDP (Fast Debugging Protocol) de Nicolas Couffin. Déjà présenté au SSTIC en 2017, l’outil a été développé pour effectuer des analyses de malware en mode hyperviseur. Sandbagility permet à tout moment de faire un débug système sans qu’il soit activé sur ce dernier. L’outil utilise le protocole FDP ainsi que les symbole Windows pour effectuer l’analyse. L’objectif de ce framework est d’être furtif, hybride (l’analyse est entre la dynamique et l’automatique) et simple.

Les auteurs ont mis le framework à disposition en open source sur github .

Comme l’année dernière, des armes (Nerfs) sont utilisées pour virer les orateurs qui ne veulent pas quitter la scène après les applaudissements du public dans le Rumps. Cette année, le temps est limité à quatre minutes par  présentation. Au cours des Rumps, un script python intéressant a été présenté, qui permet d’aider sur des missions de forensique sur les dockers. Ce script permet de récupérer les noms d’images et les informations importantes sur les dockers avant l’arrêt des conteneurs. Puis il permet de monter le volume docker et d’effectuer du forensique sur l’image.  Le script est en open source présent sur le git .

Comme chaque année, un social event a été organisé dans la soirée. Cette fois ci, c’était pour  la 16éme édition du SSTIC au Couvent des Jacobins.

3eme jour – SSTIC 2018

« WireGuard ­– Next Generation Secure Network Tunnel » présentée par Jason Donenfeld, a retenu notre attention ! C’est un VPN simple et rapide à mettre en place. Il utilise le protocole de communication Secure Network  Tunnel, et permet d’établir un tunnel chiffré et sécurisé d’un point à un autre. Il utilise un protocole de communication 1-RTT  basé sur du NoiseIK  pour fournir une parfaite confidentialité, une dissimulation d’identité et une résistance aux attaques par usurpation d’identité ainsi qu’un transport haute performance utilisant ChaCha20 & Poly1305 . WireGuard est implémenté directement dans le kernel linux. Simple à mettre en place et facile d’utilisation, il ne demande pas une configuration fastidieuse et longue.

WireGuard est en open source sur le git de l’auteur .

« Ca sent le SAPin ! » : Présentée par Yvan Genuer, cette intervention est axée sur le logiciel SAP qui est le leader mondial des solutions ERP (Enterprise resource planning). De nombreuses vulnérabilités de sécurité sont déjà détectées dans plusieurs outils et modules. Cette présentation est concentrée sur un module, plus précisément le SAP IGS «Internet Graphic Services ». Après quelques investigations et recherches dans le code source du SAP présent dans la base de données, il trouve une commande intéressante : c’est ADM :INSTALL. Il a exploité cette dernière pour découvrir deux vulnérabilités. La première permet à un attaquant de créer des fichiers sur le système de fichiers. La deuxième permet de faire un DoS lorsqu’un fichier est créé avec un nom de plus de 256 caractères.

Cette édition du SSTIC 2018  fut clôturée par un invité spécial : le directeur technique de la DGSE, Patrick Pailloux.

 

By | 2018-06-27T12:00:17+00:00 26/06/2018|Non classé|