Insomni’hack est une conférence de sécurité organisée par SCRT et qui a lieu à Genève en Suisse. Cette année, il s’agissait de la 8ème édition qui s’est déroulée les 19 et 20 mars 2015.
La journée du 19 mars était réservée aux workshops :
- Exploitation Linux, par SCRT
- Analyse forensic de systèmes Windows avec des outils gratuits, par SCRT
- Understanding malwares, reverse engineering 101 applied to malicious code, par Julien Bachmann
- Hacking web applications, par Alain Mowat
Tandis que la journée du 20 mars était réservée aux conférences et au CTF.
Cette année Intrinsec était représenté par Guillaume Lopes et Luc Roudé, qui ont assisté aux conférences.
Voici un résumé des conférences auxquelles, nous avons assisté.
Keynote: CYCO – Fighting cybercrime in Switzerland par Tobias Bulliger et Gilles Zürcher
Slides de la présentation : https://insomnihackdotme.files.wordpress.com/2015/03/20150320-insomnihackv2.pptx
Cette présentation avait pour objectif de présenter le travail du SCOCI suisse (Service national de COordination de la lutte contre la Criminalité sur Internet), également appelé CYCO en anglais (CYbercrime COordination unit) et KOBIK en allemand.
Comme son nom l’indique, ce service a pour but de lutter contre la cybercriminalité sur Internet et plus particulièrement sur les domaines suivants :
- La pédopornographie
- La fraude
- Le harcèlement
Les crimes « classiques » utilisant les technologies de l’information et de la communication sont également pris en compte. En revanche, il ne s’occupe pas des aspects cyberguerre, cybersécurité ou cyberintelligence.
Le SCOCI a été fondé en 2003 et résulte d’un groupe de travail sur les TIC. En 2009, le SCOCI se sépare de la section « renseignements » pour rejoindre une branche policière. Il travaille tant au niveau national que cantonal.
Différents projets du SCOCI ont été présentés afin d’identifier et de contenir la propagation de contenus pédopornographiques :
- Collection Nationale de Fichiers et Valeurs Hash (CNFVH): L’idée est de mettre en place une base de données des images et vidéos pédopornographiques et d’attribuer pour chaque média une empreinte digitale unique. L’objectif est de diminuer le travail de recherche, ainsi que la charge psychologique des enquêteurs lors de la visualisation de ce type de fichiers.
- DNS Blacklist : Blocage volontaire de pages à contenu pédopornographique hébergées à l’étranger. L’objectif est de bloquer et supprimer les contenus illicites.
- P2PSCan : Surveillance de plusieurs protocoles P2P et recherche d’utilisateurs suisses partageant du contenu pédopornographique.
- Investigations sous couverture : Les enquêteurs du SCOCI se font passer pour un enfant, un pédocriminel ou un cyberpolicier afin d’identifier les pédophiles. Des exemples réels de conversation ont été présentés.
An overview of all security programs run by Google for bringing more security to the Interwebs par Nicolas Ruff
Slides de la présentation : https://insomnihackdotme.files.wordpress.com/2015/03/nicolas-ruff.pdf
Comme l’indique son titre, cette présentation avait pour but de présenter les actions mises en place par Google afin d’assurer la sécurité de leurs produits, et plus généralement pour protéger les utilisateurs.
Tout d’abord, Nicolas Ruff a commencé directement par nous dire que les mots de passe étaient obsolètes ! Il est important et nécessaire de généraliser les solutions d’authentification forte, processus engagé par exemple par la FIDO Alliance. L’accès à un service sensible ne peut pas reposer uniquement sur la connaissance d’un mot de passe. Pour les utilisateurs Windows, il est à noter que Windows 10 supportera les standards FIDO.
Ensuite, il est important de chiffrer l’ensemble des communications (projet HTTPS Everywhere de l’EFF). Mais, il est nécessaire de respecter certaines bonnes pratiques afin d’assurer la confidentialité et l’intégrité des données :
- Utiliser des implémentations sûres ; par exemple BoringSSL
- Désactiver l’utilisation d’algorithmes non sûrs (MD5, SHA-1, etc.)
- Utiliser les options de sécurité comme la Perfect Forward Secrecy (PFS) ou la HTTP Strict Transport Security (HSTS)
- Implémenter le Certificate Pinning
- Auditer les certificats avec Certificate Transparency, en cours de développement
Il est également important d’utiliser des produits de qualité et d’identifier les failles de sécurité dans les produits. En exemple, Nicolas a parlé du « Google Project Zero », du scanner de vulnérabilités Web de Google, ainsi que du « Vulnerability Reward Program » mis en place par Google afin d’identifier des failles dans leurs produits ou de récompenser l’implémentation de fonctions de sécurité dans les produits Open Source.
Bien entendu, il n’est pas possible de corriger l’ensemble des failles de sécurité d’un produit, d’où l’importance de durcir la configuration des équipements et des applications (sandboxing, fonctionnalités du noyau Linux, options de compilation, etc.).
Malgré toutes ces bonnes pratiques, une compromission est toujours possible, il est donc nécessaire d’avoir mis en place un processus de réponse à incident.
En conclusion, la sécurité est un processus et non un produit (Bruce Schneier).
Mimikatz, de sekurlsa à la compromission Active Directory par Benjamin Delpy et Sylvain Monné
La présentation effectuée par Benjamin était similaire à celle effectuée lors de CoRIIN. Nous vous invitons à vous reporter au compte-rendu Intrinsec de CoRIIN.
Une démonstration concernant la vulnérabilité MS14-068 par Sylvain Monné a également été réalisée.
Automotive Security par Chris Valasek
L’objet de cette présentation était de présenter un projet de recherche de vulnérabilités sur des voitures modernes : les résultats, les difficultés rencontrées et les possibilités de réduire le coût de ce type de travaux.
Avant de rentrer dans le vif du sujet, Chris a rappelé les prérequis pour se lancer :
- Avoir des bases en électronique
- Étudier l’architecture CAN : il s’agit du bus mis en place pour que les différents composants d’une voiture puissent communiquer
- Savoir lire des schémas réseau
- Ne pas avoir peur de désassembler une voiture
- et… de la patience !
Tout d’abord, le premier frein à ce type de recherche est le prix. Pour leurs travaux, Chris Valasek et Charlie Miller ont commencé par l’achat de deux voitures, pour une note totale de $ 50 000. Dans leur cas, le financement a été assuré par la DARPA.
Afin de minimiser le coût des recherches, ils ont eu l’idée d’acheter uniquement les composants électroniques (ECU : Electronic Communication Unit) dont ils avaient besoin.
L’avantage d’acheter les pièces séparément est bien sûr le prix, mais également de pouvoir tester les éléments individuellement.
Néanmoins, il apparaît que certains éléments ont besoin d’informations collectées par d’autres équipements ou sondes. Afin de résoudre ce problème, ils ont décidé de créer : THE CART !
Pour le moment, il s’agit uniquement d’un prototype qui ressemble à une voiture de kart contenant l’ensemble des éléments intéressants à tester et permettant de reproduire le comportement d’une voiture.
En conclusion, il est possible de faire de la recherche sans avoir de voiture ! Et Chris espère que cela donnera envie à d’autres personnes de participer à l’amélioration de la sécurité des automobiles.
Pwning (sometimes) with style – Dragons’ notes on CTFs par Gynvael Coldwind et Mateusz “j00ru” Jurczyk
Slides de la présentation : http://j00ru.vexillium.org/blog/24_03_15/dragons_ctf.pdf
Cette présentation était l’occasion pour l’équipe Dragon Sector de faire un retour d’expérience sur les différents challenges CTF (Capture The Flag) auxquels ils ont participé. Pour rappel, Dragon Sector est une équipe de CTF composée d’environ une dizaine de personnes. Ils étaient premiers en 2014 sur le site CTFTime.org, qui recense les résultats des différents CTF réalisés à travers le monde. Pour l’anecdote, Dragon Sector a remporté le CTF d’Insomni’hack en 2014 et… 2015.
Nous invitons fortement à lire les slides qui peuvent être difficilement résumées 🙂
Setting-up a cool Infosec Lab at home, tips and tricks,
for your eyes only! par Bruno Kerouanton
Pour la dernière conférence de la journée, nous avons assisté à celle de Bruno Kerouanton, qui nous avait gratifié d’une très belle présentation l’année précédente sur les Alternate Reality Game, notamment ceux présents dans la série « The IT Crowd » (vous pouvez relire notre compte-rendu de l’année dernière à l’OSSIR).
Cette présentation était l’occasion pour Bruno de nous montrer son petit laboratoire informatique mis en place chez lui. En plus, des photos de sa baie de serveurs qu’il a construite lui-même et que sa femme a décorée, il nous a présenté également quelques outils qu’il utilisait sur son ordinateur.
Cette conférence était également l’occasion de faire gagner quelques goodies (principalement des t-shirts) aux participants.
Voici une liste de quelques outils utilisés par Bruno :
- True launch bar : utilitaire permettant de remplacer la barre de tâche de Windows
- Proxys Web : Fiddler / ZAP Proxy / Burp Suite
- Scrapbook : il s’agit d’une extension Firefox permettant de sauvegarder et gérer facilement des pages Web
- Sandboxie : outil permettant d’exécuter un programme dans une sandbox
- Virtualisation : VMWare et VirtualBox
- MalwareBuster
- Process Hacker : outil permettant de lister les processus en exécution
- X-Ways Forensics
- Cryptool
- Outpost Security : Pare-feu logiciel
- USBtrace / USBShare Client & Server
- Reflector / EasyPythonDecompiler / AndroChef Java Decompiler / jd
- OllyDBG / IDAPro
- Cerbero Profiler / PEStudio
Challenge
Le challenge a débuté vers 18h30 et s’est terminé à 4h. Il y avait 200 participants et chaque équipe pouvait être composée au maximum de 8 personnes.
Comme chaque année, les thématiques des challenges étaient diverses et variées : Web, reverse, exploitation, hardware, etc. Il fallait trouver un flag pour chaque épreuve.
Comme l’année dernière, Dragon Sector a remporté l’épreuve !
Vous pourrez trouver ici des solutions aux challenges proposés :
https://github.com/ctfs/write-ups-2015/tree/master/insomni-hack-ctf-2015