Hack In Paris 2011

24 juin 2011 – 17:39

Oui je sais, c’est mal, je n’ai pas fait de compte-rendu du SSTIC… En partie parce que j’ai été un peu débordé ces derniers temps, notamment avec mon arrivée chez Sogeti ESEC. Je tenterai de le faire dès que j’aurais eu le courage de fouiller dans mes notes.

Comme certains l’auront sans doute remarqué, j’ai participé à l’élaboration du programme des conférences de l’événement Hack In Paris, qui s’est déroulé la semaine dernière au centre de conférences de Disneyland Paris. N’ayant pas trop participé à l’organisation le jour J, je dois dire que pour une première édition, je suis très satisfait du résultat !

Comme HES, et contrairement au SSTIC, HIP se veut international et est donc exclusivement anglophone. L’événement était composé de 2 jours de formations – Win32 exploit development par Peter Van Eeckhoutte et IPv6 Security par Fernando Gontt – et 2 jours de conférences. Étant donné qu’il avait lieu en pleine semaine, je n’ai pu assister qu’aux conférences. Voici un petit résumé de la plupart d’entre elles pour ceux qui n’ont pas suivi le live-tweet

  • Cyberwar-4G aka The Coming Smart Phone Wars, par Winn Schwartau. Bonne keynote où l’on fait le tour de tous les problèmes et menaces représentées par les smartphones et autres tablettes, vis à vis de la volonté des constructeurs de préserver le cool factor de leur produit. Bref, tout ce qu’il faut pour considérer ces devices comme un security nightmare
  • Locking the Throne Room – ECMA Script 5, a frozen DOM and the eradication of XSS, où Mario Heiderich revisite le Cross-Site Scripting, et plus particulièrement les DOM XSS, qui restent méconnues. Il s’intéresse en particulier aux bugs des derniers moteurs de parsing des navigateurs, et à leur exploitation pour trouver des vecteurs XSS assez atypiques. Après avoir exposé sa vision assez novatrice (du moins à mon avis) selon laquelle le problème des XSS ne se situe non pas du côté du serveur mais du client, il expose sa solution pour éradiquer les XSS côté client : l’utilisation des fonctionnalités d’ECMAScript 5. En effet, cette version propose une méthode (Object.defineProperty()) permettant de surcharger toute propriété JavaScript et ce de façon définitive, pouvant être utilisée pour rendre les objets DOM tamper-resistant. Ce genre de protection pourrait être appliquée dans les cas où la présence d’une DOM XSS serait catastrophique, comme pour la Stanford JS Crypto Library, ou encore… BeEF (et même XeeK !). Bref, un super talk agrémenté de pas mal de démos de XSS en utilisant une astucieuse page Web permettant de tester rapidement de nouveaux vecteurs. Les slides sont dispos ici.
  • Be a smart CISO, learn about people, par Bruno Kerouanton. Conférence à l’intention des RSSI, qui dresse un petit tour d’horizon des différentes techniques permettant de mettre toutes les chances de son côté pour convaincre ses collègues de l’importance de la sécurité. Qui a dit que le Social Engineering était inutile ? ;)
  • « Project Quebec » and win32 exploit development with pvefindaddr : Peter Van Eekhoutte annonce officiellement la sortie du nouveau remplaçant de pvefindaddr : mona. Pour ceux qui ne connaissent pas, il s’agit d’un plugin pour Immunity Debugger permettant d’automatiser la conception d’exploits pour Windows. Excellente présentation, liant technique et humour, dosées comme il se doit. Voici les slides.
  • Offensive XSLT, où Nicolas Grégoire démontre les « fonctionnalités » dangereuses de XSLT permettant d’accéder au système de fichiers de la cible, voire l’exécution de code. Quelques démos de pwning en règle viennent agrémenter la théorie. Ce qui fait peur, c’est que ces moteurs sont utilisés dans de gros produits, tels que Liferay, Webkit, PHP5 et Gnome. Et ce qui fait encore plus peur, c’est la réaction des équipes des projets en question suite à l’annonce (responsable) des vulnérabilités. It’s not a bug, it’s a feature
  • Agnitio: the security code review Swiss army knife. David Rook expose sa vision de la revue de code : il ne s’agit pas de lire le maximum de lignes de code en un minimum de temps, mais d’éduquer les développeurs pour leur éviter de commettre les mêmes erreurs à l’avenir. Il présente alors Agnitio, un outil libre permettant de générer des checklists à suivre lors de la revue de code. Plutôt sympa. Slides dispos ici.
  • Pentesting iPhone and iPad Applications. Sébastien Andrivet et Flora Bottaccio présentent les techniques et outils d’analyse d’applications iPhone & iPad, et en particulier le reverse-engineering et l’analyse de trafic réseau. Ils dressent un état de l’art, proposent une méthodologie d’audit applicatif, et présentent deux outils réalisés par leur soin : ADVsock2pipe et ADVInterceptor. Quelques démos de vulnérabilités touchant des applications réelles sont présentées, et on retrouve les usual suspects traditionnels : mots de passe stockés en clair sur disque (ou mieux, en base64…), communications non chiffrées, etc. État de l’art très intéressant quand on n’a jamais touché ce genre de plateforme, et qui confirme ce que disait Winn dans sa keynote : la sécurité actuelle des mobiles est un énorme #fail.
  • Skyrack : ROP for masses. Jean-Baptiste Aviat présente son outil de conception assistée d’exploits utilisant le Return Oriented Programming pour contourner les protections du style NX/XD (DEP sous Windows). Skyrack est basé sur Metasm et supporte à la fois les binaires PE, ELF et Mach-O, ainsi que les architectures Intel 32 et 64 bits pour le moment. Le fonctionnement de l’outil a l’air assez similaire à Ropme, avec en plus des opérateurs de recherche avancés sont également disponible afin d’imposer par exemple la préservation de certains registres. Skyrack étant scriptable, il ressemble plus à un framework de conception d’exploit qu’à un outil de génération purement automatique.
  • The forbidden image – Security impact of SVF on the WWW. Dans sa deuxième conférence, Mario Heiderich présente les dangers dus à l’utilisation du format  Scalable Vector Graphics intégré aux pages Web. Et comme il l’a si bien dit, les SVG ne devraient pas être considérés comme des images, mais plutôt des minis applications ! En effet, ceux-ci supportent entre autres l’inclusion d’objets arbitraires, tels que des PDF, applets Java ou Flash… et bien entendu, les traditionnels scripts JavaScript. De quoi rallonger la liste des vecteurs XSS de sa précédente conf :) . Plusieurs démos sont faites, dont une assez impressionnante où il parvient à ouvrir une vidéo Youtube par l’intermédiaire d’un PDF embarqué dans une favicon en SVG. Il aborde aussi le problème des local SVG, qui consistent à embarquer dans une page Web une image SVG comportant du JS faisant référence à des fichiers locaux. Si le visiteur enregistre l’image sur son disque et l’ouvre, le code JS a alors accès aux fichiers de tous les sous-dossiers… Sans parler des bugs de parsing propres à chaque navigateur. Aucune librairie de filtrage n’étant disponible à l’heure actuelle, l’auteur termine par exposer son projet SVGPurifier dont le nom est assez explicite.
  • Escaping Windows Sandboxes. Tom Keetch présente les méthodes utilisées pour contourner les sandboxes en mode utilisateur, et s’intéresse plus particulièrement au mode protégé d’IE9, ainsi qu’à Adobe Reader X et Chromium. Au programme : BNO namespace squatting, exploitation de l’interface NPAPI, des fuites de handles et attaques sur les presse-papiers.
  • Proactive Network Security through Vulnerability Management, par Gary Miliefsky. Je n’ai malheureusement pas suivi cette conférence, trop occupé à revoir des amis de longue date…

En ce qui concerne l’organisation, il ne fait nulle doute que Disney était un bon choix. Cadre sympa, buffet à volonté, free coca, bonne salle (quoique l’isolation sonore était parfois limite), sans oublier les goodies. Bref, un retour plutôt positif pour une première édition. J’ai pris quelques photos qui sont disponibles sur ma galerie Picasa.

Je tiens à remercier toute l’équipe, et plus particulièrement les personnes du comité de programme qui ont permis de sélectionner des conférences de qualité. Espérons que ce soit encore mieux en 2012 ;)

  1. Une réponse à “Hack In Paris 2011”

  2. Merci pour le compte rendu ;)

    Par H00R18LE le 1 juillet 2011

Désolé, les commentaires sont fermés pour le moment.