Making network protocols go crazy

Aller au contenu | Aller au menu | Aller à la recherche

SSTIC 2012, après midi du premier jour

Windows Run Time

S. Renaud - Quarkslab K. Szkuldlapski - Quarkslab

Ca commence par un diff binaraire entre Windows 7 RTM et Windows 8 CP (kernel). Une fonction intéressante en est sortie: ()''. Interface Metro. Il existe des applications (App). Il faut absolument passer par le Windows Store. Les App :

  • Sont sandboxées
  • Ont un accès limité aux resources (permissions explictement données)
  • Utilisent un sous-ensemble des APIs Win32
  • Sont packagées (*.appx == *.zip) et signées
  • Ont un fichier .xml définissant les permissions

Tout passe toujours par la base de registre (HKCU pour des modifications par utilisateur).

Capacités :

  • accès réseau
  • accès système de fichiers
  • ...

Microsoft donne un certain nombre de requirements pour les App:

  • SAFESEH, DYNAMICBASE et NXCOMPAT
  • Pas d'applications Win32 natives

Même si on peut exécuter des applications natives depuis une App, ces applications seront sandboxées (héritage). La sandbox est basée sur un mécanisme de jeton pour l'attribution de permissions d'accès aux ressources de la machine. Mais impossible d'empêcher l'appel à des syscall(), et pas possible de sécuriser l'accès à des partitions FAT. Les données de communication transitent sur le port ALPC.

Conclusion : la fonction NtCreateLowBoxToken() permet une bonne isolation des App.

L'information, capital immatériel de l'entreprise

Garance Mathias - Avocate

La présentation juridique du SSTIC.

Le droit ne connait pas la notion d'information ni de système d'information. Il connait uniquement la notion de donnée, ou la notion de secret des affaires. Il existe aussi le droit à l'information du public et à la vie privée et au respect des correspondances (également appelé droit à l'intimité). Le droit à la vie privée des entreprises est un droit en construction (exemple : le bulletin de paie du patron de l'entreprise n'a pas le droit d'être divulgué). Question : qui est responsable de l'information ? Qui est responsable des BYOD ? Si mon bien est volé sur mon lieu de travail (si je m'en sers pour réaliser ma mission), ce sera l'employeur qui sera responsable. Nécessité de protéger son système information (mesures physiques, techniques, formation, sensibilisation) pour pallier le risque d'insécurité juridique.

"Celui à qui vous dites votre secret devient maitre de votre liberté". La Rochefoucault

Audit des permissions en environnement Active Directory

Géraud de Drouas - ANSSI Pierre Capillon - ANSSI

Rôle de serveur de contrôle d'accès au système d'information et d'annuaire global.

Difficile d'auditer des objets dans un annuaire de grande taille (1_000_000+ objets). Problème : les données resterons compromises lors du transfert d'un serveur attaqué vers un serveur sain.

L'objet intéressant : le DACL qui décrit les permissions d'un utilisateur. Comment récupérer ces données sans :

  • éteindre le serveur
  • le charger
  • être restreint ensuite.

Le fichier .dit dans le répertoire \\Windows\\NTDS ne peut être copié de manière simple. Mais une commande permet de l'exporter (toute la base). Un outil a été réalisé pour automatiser cette extraction. Cette base de donnée n'est malheureusement pas dans un format standard (genre SQL), il faut donc la convertir pour aider à l'analyse.

Ce format est horrible : un genre de matrice dans laquelle il faut faire de nombreuses déréférences pour trouver l'information souhaitée. Mais grâce à leur outil, ça devient facile : il suffit de cliquer pour ajouter des filtres et révéler les comptes en anomalie. Outil qui semble très efficace pour aider l'auditeur.

Note : les ACE des systèmes de fichiers ou autres SharePoint fonctionnent de la même manière.

L'outil ne sera disponible que sur la base de demandes individuelles (en gros). Mais tous les détails d'implémentation sont disponibles dans les actes.

Windows 8 et la sécurité : un aperçu des nouvelles fonctionnalités

Bernard Ourghanlian - Directeur Technique et Sécurité Microsoft France

Toutes les nouveautées ne seront pas présentées (pas assez de temps). Améliorer la protection de bout en bout afin de protéger le terminal.

  • intégration en standard d'un anti-malware
  • meilleure protection des accès aux ressources
  • sécurisation du processus de boot
    • utilisation d' UEFI et de TPM
  • des briques simplifiant la gestion de BYOD pour l' IT

Question : Qu'est-ce que ce mode multicast pour WDS ? L'orateur nous parle d'installation de programme en multicast :/ Note : WDS c'est Windows Deployment Service.

Boot sécurisé :

  • vérification de la signature de l' OS Loader depuis le boot d' UEFI
  • la couche ELAM se charge de bloquer les malware juste après l' OS Loader

Utilisation de cartes à puce virtuelles :

  • stockage de certificats (sur le disque dur) chiffrés avec une clé (contenue dans le TPM)
  • l'export de certificat est interdit (le TPM interdit l'export des clés contenues dans celui-ci)

Direct Access :

  • connecté à Internet c'est comme être connecté à son entreprise
  • chiffrement fort des communications
  • un check est fait (anti-virus, patches)

Authentification client :

  • Via SSL ou quelque chose de ressemblant. What?

Contrôle d'accès static (classique) et aussi dynamique :

  • refonte du modèle d' ACL (exemple : possibilité d'utiliser du AND et du OR, mais aussi des IF)
  • mise en place de permissions en fonctions de la localisation de la connexion source (exemple : hors entreprise ou en pays hostile).

Vraiment pas assez de détails techniques, une vraie présentation marketo-vendor-pitch.

10 ans de SSTIC

Fred Raynal Nicolas Fischbach Philippe Biondi