La 12ème édition de la conférence Luxembourgeoise Hack.lu vient de se terminer et a encore une fois rempli ses objectifs en terme de contenu technique vis-à-vis des présentations et des ateliers proposés.
Comme chaque année cette conférence a accueilli près de 400 personnes sur 3 jours consécutifs (du 18 au 20 Octobre 2016) et s’est tenue au Parc Hotel Alvisse.
Les présentations et les ateliers ayant eu lieu parallèlement, nous n’avons pas pu assister à toutes les présentations. Nous avons donc réalisé une petite sélection, en espérant que celle-ci vous plaise !
Note : l’ensemble des présentations a été filmé et mis en ligne (voir annexe).
Liens vers les comptes-rendus des autres jours :
- Hack.lu 2016 – première journée
- Hack.lu 2016 – deuxième journée
- Hack.lu 2016 – troisième journée
Jour 1
Keynote: Stressed out? Denial of service attacks from the providers’ perspective
Alice Hutchings, de l’université de Cambridge, a ouvert cette 12ème édition en présentant les résultats de sa thèse sur la criminologie et plus particulièrement sur les services de « booter » ou « stresser » utilisés pour mener des campagnes de déni de services distribués (DDoS) sur des sites internet.
Un des groupes de pirates les plus connus et proposant ce genre de service est le « Lizard squad » dont l’ensemble des membres à maintenant été arrêté après que l’agence nationale de la criminalité du Royaume-Uni leur ait rendu visite.
Le site « vdos-s[.]com », comptant plus de 10.000 utilisateurs actifs et ayant fait les titres suite à sa compromission et à l’arrestation de ses deux jeunes propriétaires en septembre 2016, fait également partie de cette catégorie de plateforme. Suite à ces révélations, le site KrebsOnSecurity.com a subi une attaque par déni de service avortée grâce au service d’Akamai qui, pour la petite histoire a arrêté de protéger ce site suite à cette attaque.
Un mois plus tard, le code source de « Mirai », le Botnet utilisant massivement des objets connectés compromis et ayant servi contre le site KrebsOnSecurity ou encore l’hébergeur OVH, a été rendu public.
D’après Alice, le cycle de vie des activités criminelles en ligne suit plusieurs phases : l’initiation, la maintenance et le désistement :
Afin d’en apprendre plus sur les motivations pouvant pousser des personnes à pratiquer ce genre d’activité, Alice s’est intéressée à l’aspect social de la vie d’un cybercriminel.
Elle a donc invité 51 fournisseurs de service « booter » sur les 63 identifiés initialement (12 étant hors ligne pendant la durée de 3 mois de son enquête) en leur proposant de répondre à une enquête anonyme en ligne ou de participer à un entretien interactif.
Sur l’ensemble des invitations envoyées, seulement 25% lui ont répondu avec une préférence pour le formulaire en ligne.
Les conclusions de ses recherches dressent le portrait des cybercriminels suivant :
- Ce sont dans l’ensemble des hommes âgé de 16-24 ans et vivant pour la plupart aux États-Unis
- Dans la majeure partie des cas, la phase d’initiation est dû à l’influence de leur entourage ou leur fréquentation
- La plupart des attaques ont été orchestrées contre des sites de jeu en ligne
- Le gain financier a souvent été une des motivations principales
- Un déni de responsabilité est souvent opéré par ces acteurs qui ne se sentent pas concernés par les lois en place et les actions en justice possibles à leur égard
Alice a conclu sa présentation en indiquant qu’elle allait poursuivre ses recherches, mais cette fois-ci sur le versant défensif afin de comprendre pourquoi certaines personnes choisissent de lutter contre le crime sur internet.
Advanced exploitation: ROP and protections bypass under Linux
Cet atelier a été présenté par Julien Bachmann alias @milkmix_, travaillant chez Kudelski Security, sur le thème de l’exploitation avancée de vulnérabilités et plus particulièrement sur la technique d’exploitation ROP (Return-Oriented Programming).
Après un bref retour sur les techniques simples de débordement de tampon, les différents concepts de ret2libc (permettant le contournement de la pile non-exécutable) et la méthodologie de recherche de gadgets pour la constitution de la « ROP chain » ont été présentés. L’atelier s’est terminé sur les techniques de contournement de l’ASLR (Address Space Layout Randomization) utilisée afin de distribuer de façon aléatoire les données dans la mémoire.
Pour ceux souhaitant réaliser les différents exercices de cet atelier, l’ensemble des binaires peuvent être récupérés sur le dépôt Github suivant :
https://github.com/0xmilkmix/training
Le support de cet atelier est également disponible à l’adresse suivante :
https://speakerdeck.com/milkmix/advanced-exploitation-on-linux-rop-and-infoleaks
Cyber Grand Shellphish: Shellphish and the DARPA Cyber Grand Challenge
Kevin Borgolte, un des membres de l’équipe ShellPhish, nous a présenté le projet de recherche en défense « Cyber Grand_Challenge » organisé par l’agence pour les projets de recherche avancée de défense (DARPA).
Pour rappel, ShellPhish est une équipe qui participe à de nombreux CTF (Capture The Flag) et qui est classée 8ème sur CTFtime, au moment de l’écriture de cet article.
Le but de ce challenge était de construire un système totalement automatisé afin d’analyser, d’exploiter et de développer des correctifs (patchs) pour les différents binaires proposés tout au long de la compétition avec à la clé une récompense de 2 millions de dollars pour l’équipe gagnante.
Comme indiqué par Kévin, les débuts de la compétition ont été très éprouvants et ont nécessité beaucoup d’heures de travail et d’effort. Malgré un retard apparent dans la compétition, dû à une inscription tardive, ils ont quand même réussi à se qualifier pour les finales.
Pour celles-ci, ShellPhish a construit le « Mechanical Phish » donc l’architecture est la suivante :
La plus grande difficulté de ce challenge était d’anticiper les comportements et décisions des différents adversaires, et d’éviter les points de pénalité attribués aux différentes équipes en cas d’indisponibilité de service ou de dégradation de performance.
Une des techniques employées par ShellPhish a été d’insérer une porte dérobée (backdoor) dans les correctifs déployés. Cette technique leur a permis de récupérer un grand nombre de points puisque certaines équipes ont préféré utiliser les correctifs récupérés sur le réseau et donc de s’exposer potentiellement à une équipe plutôt que d’être globalement vulnérable.
96 tours ont composé cette finale qui a eu lieu le 4 août 2016 à Las Vegas, et au cours de laquelle plus de 2400 exploits ont été générés par la machine de ShellPhish, qui termine à la 3ème position derrière Xandra et Mayhem :
L’ensemble de la finale peut être visionné via le lien suivant :
https://www.youtube.com/watch?v=n0kn4mDXY6I
Annexes
Les différents supports de présentations seront bientôt disponibles à l’adresse suivante :
En attendant, voici quelques liens pour visionner les différentes conférences :
- Jour 1
- Stressed out? Denial of service attacks from the providers’ perspective
- Lightning Talk – Metabrik Meets CVE-Search by GomoR
- Lightning Talk – When Your Firewall Turns Against You by Rene Freingruber
- Lightning Talk – Cracking An Egg And Cooking The Chicken by Jacob Torrey
- Exploiting and attacking seismological networks… remotely by James Jara
- Secrets in Soft Token: A security study of HID Global Soft Token by Mouad Abouhali
- KillTheHashes 30 million Malware DNA profiling exercise by Luciano Martins
- Unveiling the attack chain of Russian-speaking cybercriminals
- Of Mice and Keyboards: On the Security of Modern Wireless Desktop Sets
- Windows systems & code signing protection by Paul Rascagnères
- Cyber Grand Shellphish: Shellphish and the DARPA Cyber Grand Challenge