Making network protocols go crazy

Aller au contenu | Aller au menu | Aller à la recherche

SSTIC 2012, matinée du troisième jour

Pas de compte-rendu pour les trois premières conf (pour cause de social event).

Utilisation malveillante des suivis de connexions

Eric Leblond

Slides : https://home.regit.org/2012/06/transparents-de-ma-presentation-au-sstic/ Blog : https://home.regit.org/2012/06/opensvp-a-new-tool-to-analyse-the-security-of-firewalls-using-algs/.

Présentations courtes

Clément Lecigne - Google

Netusse, un kernel fuzzer (de socket) qui existe depuis 2006. Google SoC de 2006 pour tester la solidité de la pile FreeBSD.

Développement pour tester sur les failles déjà existantes pour voir si l'outil les détecte. FreeBSD :

  • REDZONE pour détecter les buffer overflows
  • il y a aussi d'autres protections contre les heap overflow (voir présentation)

Note : Récupérer le lien de cette présentation (qui n'est pas dans les actes).

Description de l'exploitation des failles heap overflow sous FreeBSD.

Démo : un beau 0day sur kernel FreeBSD 8.2 et 8.3.

Outil : https://code.google.com/p/netusse/.

Etienne Millon - EADS Innovation Works

Vérification de code système par typage statique. Donc, une conf sur l'analyse statique ^^ Le typage des variables est fait lors de la compilation.

Outil : http://penjili.org/.

Ronan Mouchoux - CERT La Poste - @yenos

Détection de domaines malveillants par analyse sémantique et mathématique.

Spoofing des réponses DNS pour rediriger le trafic vers une machine (firewall) de contrôle. Les requêtes DNS sont analysées afin de détecter l'utilisation de noms de domaines aléatoires (cas des botnets). Utilisation du filtrage bayésien pour classer les noms de domaines comme malveillant ou non.

Limitations :

  • certains noms d'hôtes officiels ressemblent à des noms malicieux (cas serveur d'update TrendMicro)
  • certains noms de domaines malicieux utilisent la concaténation de mots, et coutournent ce contrôle

Ces noms de domaines sont générés par un DGA (Domain Generation Algorithm). Ils correspondent aux serveurs de Command & Control utilisés dans le botnet. Merci à Kevin pour cette information que j'avais ratée.

Successes (and limitations) of (static) binary analysis

Halvar Flake - Google

De plus en plus d'entreprises investissent dans l'analyse statique. Probablement des millions de bugs ont été corrigés grâce à cela. Ce sont les hackers qui ont poussé les entreprises dans cette direction.

Explication de la faille CrackAddr() de Sendmail datant de 2003. Une attaque sur la machine à état du parsing des adresses emails. Un état n'était pas correctement géré, et une suite de () permettait d'écrire au delà de la taille d'un buffer local (stack overflow). Une simple décrémentation était manquante dans le code.

Comment l'analyse statique peut détecter ce genre de bug ? les outils actuels n'y arrivent pas.

Les navigateurs sont déplacés dans des sandboxes aujourd'hui. Comme ça, la compromission du navigateur n'entraîne pas la compromission des données de la machine. Mais comme toutes ces données sont de plus en plus déplacées dans le Cloud ...

La complexité des programmes a maintenant dépassé notre capacité à les comprendre.

Note : version originale : Our ability to construct software has exponentially outpaced our ability to understand software

Nos outils d'analyse ne permettent de comprendre qu'une petite île dans un énorme océan. Nous devrions considérer que l'ouverture de n'importe quel document est l'équivalent à l'ouverture d'un exécutable (page web, PDF, Word, ...) et se protéger contre ça.

Commentaires

1. Le vendredi, juin 8 2012, 15:34 par Kevin

DGA: Domain Generation Algorithm qui permet de créer le nom des serveurs de CC des botnets

2. Le vendredi, juin 8 2012, 16:52 par GR

Parfait, j'ai mis à jour. Merci,