Intrinsec s’est rendu à la 7ème édition de la conférence Hack In Paris, précédant la Nuit du Hack, au centre de conférence de l’hôtel Newport Bay Club à Disneyland Paris.
L’intégralité des supports de conférence devrait prochainement être mise à disposition sur le site de la conférence : https://hackinparis.com/archives/2017/
Les vidéos des présentations sont disponibles sur Youtube : https://www.youtube.com/playlist?list=PLaS1tu_LcHA8yOrGuyvBIJjEO87-vXQG2
Strategies on Securing banks & enterprises – Jayson E. Street
Jayson E. Street est un expert en sécurité chez Pwnie Express réalisant de nombreuses conférences à travers le monde.
Pendant sa présentation, il a montré à quel point il était aisé d’effectuer de la reconnaissance (à la fois passive et active) pour mettre au point des attaques de type ingénierie sociale sur des employés de grandes entreprises.
Tout au long de son exposé, il a détaillé la façon d’obtenir des informations très précises en naviguant sur les différentes bases de données externes (DNS, whois, shodan, etc.) et réseaux sociaux. (professionnels ou non). En quelques recherches, Jayson a mis au point un scénario très vraisemblable de phishing ciblé.
Sa présentation a également été l’occasion de rediscuter des problématiques de gestion de risques au sein des entreprises. La plupart des dirigeants se pense à l’abri de tous risques : « It’s never going to happen to me [when it comes to security] », ce qui porte à réfléchir.
Ventrilock exploring : voice-based authentication systems – Chaouki Kasmi & José Lopes Esteves
Chaouki Kasmi et José Lopes Esteves sont deux agents de l’ANSSI. Ils ont présenté leurs travaux sur les méthodes d’authentification basées sur la voix (avec un point d’attention sur Siri, Google Now et S-Voice).
Après nous avoir introduit les risques et les impacts que pouvait avoir le détournement de tels systèmes, les deux chercheurs ont détaillé les méthodes d’analyse physiques et mathématiques qu’ils ont utilisées pour effectuer de la reconnaissance vocale (modélisation de la voix, extraction de paramètres, non-linéarité de la voix, méthode d’analyse fréquentielle, etc.).
Ils ont ensuite présenté 3 scénarios d’attaques (en boîte noire) sur ces systèmes :
- « Speaker impersonation » : l’attaquant entend la voix de sa cible, l’enregistre puis la soumet plusieurs fois au service d’authentification du téléphone pour faire évoluer le modèle à son avantage. Ils ont fait l’étrange constat que le modèle de Siri évoluait avant l’authentification, permettant donc de faire évoluer le modèle jusqu’à ce que ce le téléphone authentifie l’extrait en le soumettant un grand nombre de fois.
- « Reconstruction » : l’attaquant connaît le mot clé (ex. « Ok Google ») et dispose d’un extrait de la voix de la victime. Il est ainsi en mesure de reconstruire le mot clé à partir des phonèmes de la voix de la victime. La démonstration montre le déverrouillage du téléphone malgré un son inaudible pour un être humain.
- « Keyword composition » : l’attaquant possède des extraits de la voix de personnes énonçant le mot clé. Il est en mesure de mélanger (mixer) ces extraits afin de s’authentifier sur le téléphone. Le plus intéressant dans ce cas est le fait que la voix légitime n’a pas à être dans cet ensemble. Ils n’ont en revanche pas su expliquer cette observation.
Enfin, ils ont rappelé que ces résultats devaient être pris avec des pincettes et qu’ils ne sont pas généralisables compte tenu de la méthode d’analyse en boite noire.
Après avoir présenté certaines contre-mesures (empêcher le bruteforce, ajouter de l’entropie avec un mécanisme de challenge/response, renforcer le modèle, etc.), ils ont conclu que les avancées sur la reconnaissance vocale ne sont pas encore assez matures. Il n’est donc pas recommandé d’utiliser la voix comme unique méthode d’authentification sur vos téléphones !
Internet of compromised things : methodology and tools – Damien Cauquil
Damien Cauquil est un chercheur en sécurité chez Econocom – Digital Security. Dans le cadre de ses recherches, il est souvent amené à investiguer sur des objets (IoT) propriétaires, dont les protocoles ne sont pas ou peu connus et dont la documentation est souvent très limitée voire inexistante. Effectuer du reverse engineering sur ces objets est long et coûteux, surtout s’ils disposent de mécanisme de protection complexe (« military grade encryption », etc.). C’est pourquoi il a présenté une plateforme collaborative dédiée au partage et au rassemblement d’informations et de techniques (TTP) sur ces objets : Hardware Forensic Database (HFDB).
Le partage et les collaborations sont les bienvenus !
The forgotten interface: Windows named pipes – Gil Cohen
Gil Cohen, CTO de Comsec Global a présenté les canaux de communication nommés sur Windows (Windows Named Pipes) et leurs caractéristiques. Il a présenté l’outil IONinja permettant de lire les données qui transitent par les canaux nommés. Ces informations étant accessibles par défaut à tout utilisateur anonyme sur le réseau (ce n’est pas uniquement accessible en local !) et n’étant pas chiffrées, elles peuvent être exploitées par un attaquant.
En effectuant du fuzzing sur certains canaux nommés, Gil Cohen a montré qu’il pouvait provoquer un crash au sein de deux applications utilisant les canaux nommés : qBitTorrent et SugarSync. La démonstration n’a malheureusement pas montré s’il était possible d’effectuer de l’exécution de code distante par le biais de ce mécanisme.
Beyond OWASP Top 10 – Aaron Hnatiw
Aaron Hnatiw est chercheur en sécurité chez Security Compass.
Dans sa conférence, il évoque la nécessité d’aller plus loin que l’OWASP Top 10 quand il s’agit d’évaluer la sécurité d’applications Web. Pour cela, il a présenté 3 autres types de vulnérabilités avec des exemple concrets d’exploitation :
- HTTP Parameter Polution (CWE 235)
- Overly Permissive Regex (CWE 625)
- Server-Side Request Forgery (CWE 918)
Pour conclure sa présentation, Aaron a évoqué les futures évolutions de l’OWASP Top 10 (avec la version 2017 actuellement en release candidate). Il a rappelé qu’il s’agissait d’un bon point de départ pour qualifier la sécurité d’une application Web, mais qu’il fallait aller plus loin pour obtenir un gage de sécurité satisfaisant.
Dissecting a ransomware-infected MBR – Raul Alvarez
Raoul Alvarez, chercheur en sécurité chez Fortinet, a analysé le fonctionnement du malware Petya.
Retrouvez notre compte-rendu détaillé dans un article à part : [HIP2017] – Dissecting A Ransomware-infected MBR – PETYA
Are you watching TV now ? Is it real ? Hacking of smart TV with 0-day – Lee Jong Ho & Kim MinGeun
Lee Jong Ho et Kim MinGeun sont deux étudiants en MASTER sécurité en Corée du Sud. Ils ont présenté leurs travaux sur les smarts TV et plus spécifiquement sur le système d’exploitation WebOS présent sur la plupart des télévisions connectées à ce jour.
Après avoir détaillé les mécanismes internes de WebOS, ils ont réalisé une démonstration où ils prennent le contrôle d’une télévision connectée, à distance, en :
- Forçant l’installation du mode de développement
- Redémarrant la télévision
- Installant une application malveillante
- Redémarrant la télévision une seconde fois
- Exploitant une vulnérabilité permettant d’élever leurs privilèges sur le système
802.1X Network Access Control and Bypass Techniques – Valérian Legrand
Cette conférence est détaillée en profondeur dans un article dédié : [HIP2017] Bypass 802.1x – FENRIR
Hackers! Do we shoot or do we hug? – Edwin Van Andel
Edwin Van Andel a parlé de la relation complexe entre les hackers et les entreprises dans le cadre des processus de remontée de vulnérabilités. Par défaut, les personnes qui remontent des vulnérabilités sont mal vues et considérées comme malveillantes par les entreprises. Malgré des remontées responsables (responsible disclosure), les hackers sont encore trop souvent poursuivis en justice.
En décrivant leurs méthodes et leurs façons de pensée, il a essayé de montrer que les hackers étaient bienveillants et qu’il fallait les traiter correctement pour encourager ces démarches.
Pour conclure sa présentation, l’orateur affirme clairement : « We hug ! »
Popping a shell on a mainframe, is that even possible? – Ayoub Elaassal
Ayoub Elaassal, consultant sécurité chez Wavestone, a abordé le sujet de la sécurité des mainframes. Ces machines, possédant une grande puissance de traitement, sont très utilisées dans les grandes entreprises, par exemple dans les banques ou dans les compagnies d’assurances. Y ayant été confronté durant certaines missions, Ayoub a continué ses recherches, et sa présentation décrit différents mécanismes permettant de contourner la sécurité de ces machines.
Les applications disponibles sur les mainframes sont accessibles via une connexion Telnet et reposent sur le système CICS (Customer Information Control System). La première étape proposée par Ayoub est de s’échapper de l’environnement de l’application présentée lors de l’accès au système. Cela peut être réalisé en effectuant une certaine combinaison de touches, pouvant varier selon l’application ou le système. Il est alors possible d’exécuter des transactions arbitraires. Certaines de ces transactions peuvent avoir un impact fort sur la confidentialité des données stockées sur le mainframe. C’est le cas de la transaction CECI (Live interpreter debugger), qui permet d’exécuter des commandes API de CICS. Grâce à elle, il est possible de lire le contenu des fichiers contenus dans le mainframe, et ainsi d’accéder à de potentielles données clients.
L’étape suivante décrite par Ayoub est l’obtention d’un reverse shell sur le mainframe. Il réalise cela grâce à une fonctionnalité de CICS appelée « Spool functions ». En utilisant cette fonction, il est capable d’écrire un programme dans la file d’attente du planificateur de tâches (JES) qui se chargera de l’exécuter.
Ayoub Elaassal termine en montrant la possibilité d’élévation de privilèges afin d’obtenir des droits administrateur sur le système, rendue possible par deux caractéristiques : d’une part, il existe une catégorie de bibliothèque (APF) pour laquelle chaque programme peut demander des droits plus élevés. D’autre part, les droits d’accès sur ces bibliothèques ne sont pas assez restrictifs, ce qui permet d’y écrire du code arbitraire.
Les outils développés durant cette recherche sont disponibles sur son Github, et en particulier cicspwn, qui automatise certaines des tâches évoquées plus haut.
25 Techniques to gather threat Intel and Track actors – Wayne Huang & Sun Huang
Wayne Huang et Sun Huang ont présenté 25 méthodes qu’ils utilisaient au sein de Proofpoint afin d’obtenir des informations sur les divers acteurs malveillants du marché.
Parmi les 25 méthodes présentées, bon nombre d’entre elles sont issues des méthodologies standard de tests d’intrusion :
- Reconnaissance (fuzzing de fichiers connus, etc.)
- Exploitation de défaut de configuration (Apache Status, Directory Listing, etc.)
- Exploitation de vulnérabilités connues (Shellshock, etc.)
- Etc.
Ces méthodes ont tout de même levé le doute dans l’audience quant à la légitimité des actions réalisées.