Making network protocols go crazy

Aller au contenu | Aller au menu | Aller à la recherche

SSTIC 2012, matinée du deuxième jour

Compromission d'une application bancaire JavaCard par attaque logicielle

Julien Lancia

Je n'ai pas suivi cette conf, je vous renvoie chez n0secure : http://www.n0secure.org/2012/06/sstic-2012-compromission-dune.html

IronHide : Plate-forme d'attaques par entrées-sorties

Fernand Lone Sang - LAAS-CNRS Vincent Nicomette Yves Deswarte

Complexité croissante de la protection des systèmes d'exploitation. Etude des attaques hybrides (logiciels + matériels). Focus principal sur les attaques par entrées/sorties des composants matériels.

Pour étudier ces attaques et avoir un grand contrôle sur les tests, ils ont développé leur contrôleur en utilisant un FPGA. Ce contrôleur d'entrées/sorties se nomme IronHide.

Rappels sur l'architecture matériel et la gestion de la mémoire (espace mémoire, port I/O, PCI, PCI-Express). Focus sur PCI-Express. C'est un modèle en couches (physique, liaison, transaction et logique du contrôleur). Dans la couche transaction, nous avons les I/O, la configuration, les accès mémoire ainsi le message "applicatif".

Détails d'architecture d' IronHide.

Cet outil permet de générer tout type de paquets (valides, invalides). Le firmware est écrit en langage C. Il souffre actuellement de problèmes de performance (5 Mo/s).

Expérimentations :

  • la carte IronHide est connectée sur la carte mère cible
  • une connexion depuis la machine d'analyse avec un cable RS-232 sur l' IronHide pour le reporting
  • et un autre cable RJ45 pour le command & control

Dans les tests, des dénis de service sont possibles sur l' I/O MMU, même avec des paquets valides lors de certains accès mémoire.

Démonstration d'une attaque : interception à distance des frappes claviers (accès arbitraire à la mémoire). Les paquets sont construits en utilisant Scapy. Leur méthode d'accès mémoire contourne les protections de l' IO/MMU, puisqu'ils utilisent directement les ports I/O.

Travaux futurs :

  • Création d'un IDS/NIDS pour contrôleurs

La qualité d'hébergeur en 2012

Romain Beeckman - Directeur Juridique - OVH

Conférence invitée.

Pas de slides, donc pas de compte-rendu. Na ! Et puis c'est une conf juridique ;)

Je note quand même des trucs ; réponses à des questions comme :

  • notions d'éditeur, d'hébergeur et de courtier (eBay)
  • un courtier doit être uniquement passif (pas d'optimisation des résultats de recherche, par exemple)
  • on devient éditeur si on a la capacité de modifier un contenu
  • les responsabilités et obligations d'un hébergeur
  • comment réagir lorsqu'on est hébergeur et notifié d'un contenu illicite
  • l'hébergeur doit mettre en place des moyens pour les utilisateurs de notifier de la découverte de ces contenus
  • le stockage des logs doit être d'au moins 12 mois

Résultats du challenge

Axel Tillequin Fabien Perigaud Florent Marceau

Par Julien Perrot (le grand gagnant du challenge). Un très bon travail de reverse.

Présentations courtes

Anthony Desnos - VirusTotal

Elsim + Androguard = Androsim Analyse automatique de programmes pour détecter les similarités entre codes et/ou bibliothèques. Le but est de trouver si un programme non-malicieux a été patché pour des fins malicieuses et/ou publicitaires. Détection à base de signatures, et surtout d'algorithmes de recherche de similarité. Tests sur le top des jeux Android : une majorité de code publicitaire (17% de code utile pour AngryBirds).

http://code.google.com/p/elsim/ http://code.google.com/p/androguard/

Davide Canali - EURECOM

Analyse des attaques Web par l'utilisation de Honeypots. Très peu d'études sur le début des attaques et sur ce que font les pirates ensuite. Setup : 500 sites Web avec 7 CMS (+ Web shells) chacun et 100 noms de domaines. Redirection via un proxy vers 7 VMs.

Outils permettant de voir :

  • si les attaquants automatisent l'exploration (suivi des liens)

3 mois de collecte :

  • 9.5 Go de requêtes HTTP
  • 73 000 IP sources
  • 178 pays
  • 11 000 User agents

Attaques les plus fréquentes (69 000 attaques détectées) :

  • Shells
  • OsCommerce (vulnérabilités file upload)

Les classes d'attaquants, analyse basée sur les fichiers uploadés :

  • Phishing
  • Spam
  • Défiguration
  • Link farming (Blackhat SEO)
  • Drive-by-download, botnets

Pierre Karpman - ENS Cachan / Supélec

Durcissement de programmes C avec SIDAN.

But : détecter :

  • les flots illégaux de contrôle du programme
  • les écritures dans la mémoire depuis des endroits illégaux

Des listes d'invariants :

  • une variable X ne doit être que entre telle ou telle valeur
  • on lance l'analyse
  • si la variable X n'est pas comprise dans ce range durant l'analyse, on peut éventuellement trouver une faille.

SIDAN est implémenté comme plugin dans Frama-C.

Ces travaux se rapprochent de ceux d' endrazine présentés au CCC de décembre 2012. http://www.slideshare.net/endrazine/ccc28c3-post-memory-corruption-memory-analysis

Contrôle d’accès mandataire pour Windows 7

Damien Gros - thésard - CEA

Le modèle DAC est limité. Difficile à mettre en place de manière globale dans le cadre d'une politique globale. Confidentialité et intégrité sont également manquants dans ce modèle. La solution est le Controle d'Accès Mandataire (MAC). Pour Linux : SELinux, SMACK, TOMOYO, RSBAC.

Implémentation d'un équivalent à SELinux (de type Type Enforcement) sous Windows 7 en utilisant l' API hooking sur la SSDT (32-bits). L'outil permet aussi de créer automatiquement une politique de base par l'analyse d'un processus s'exécutant.