Making network protocols go crazy

Aller au contenu | Aller au menu | Aller à la recherche

SSTIC 2013 - jour 3

Premières conférences

Je n'ai malheureusement pas assisté aux premières conférences. Je vous invite à regarder les comptes-rendus disponibles aux liens suivants :

La réponse aux incidents ou quelques recommandations

Alexandre Dulaunoy

CIRCL : 6 personnes qui opèrent en mode autonome pour le Luxembourg.

Les CERT fournissent des recommandations sous forme de rapport. Cette présentation humoristique propose un rapport de recommandation à destination des auteurs de malware.

Intéressant : en téléchargeant les CRL pendant 1 an, ils ont fait des stats sur les raisons de la révocation. Par exemple, 230 CA compromisent (code 2).

Cas du malware PlugX qui embarque une DLL déjà signée (McAfee par exemple) qui possède la fonction LoadLibrary() et l'utilise pour loader une DLL non-signé. Le tout uniquement en mémoire, et ça passe. C'est la solution ultime, plus besoin de trouver une solution pour signer son malware.

Un malware furtif communiquant sur HTTP devrait instrumenter le browser (et ne pas utiliser de User-Agent spécifique et facilement détectable).

A noter que la plupart des malware ne donnent pas lieu à un article à cause du très faible niveau technique du développeur.

Détection comportementale de malware P2P

Xiao Han

De plus en plus de malwares utilisent du P2P pour leurs communications. L'orateur présente une architecture afin d'extraire le trafic P2P only d'un flux réseau. Ensuite, un outil automatise la séparation entre les flux P2P "classiques" de ceux des malwares connus. Taux de détection annoncé : 97,2% de précision.

Ça fonctionne plus ou moins par prise d'empreinte du comportement des malwares connus, et à l'ajout dans une base de connaissance de ces comportements. C'est l'apprentissage supervisé qui permet ce bon taux de détection.

Attestation distante d'intégrité sous Android

Mimitri Kirchner

Lorsqu'on démarre son ordinateur qui utilise TrueCrypt (ou un mot de passe BIOS), comment être sur que la demande de mot de passe affichée n'est pas liée à un programme malicieux qui va voler notre mot de passe ? (attaque de type evil maid).

L'idée est d'utiliser un smartphone comme Verifier TPM de confiance pour interroger le Collector TPM du PC. Utilisation d'OpenPTS (implémentation de référence du TCG). Une application pour Android utilisant le Verifier d'OpenPTS a été développée : elle se connecte en SSH sur USB tethering pour interroger le Collector.

Sauf que pour que le serveur SSH soit actif sur le PC, il faut déjà avoir entré sa passphrase, et être tombé dans le piège de l'evil maid. On peut juste savoir qu'on vient de se faire avoir. Dommage.

Le rôle des hébergeurs dans la détection de site Web compromis

Davide Canali

Installation d'applications Web vulnérables dans des environnement Web mutualisés. Choix de failles facilement détectables. Le but est de tester le comportement des principaux hébergeurs face aux intrusions.

Les résultats de ces tests sont à voir dans les slides (c'est trop compliqué de noter ici). Mais en gros, quasiment personne ne détecte et ne rapporte ces attaques à leurs clients.

Faire face aux cybermenaces => détecter (les attaques) et former (des experts en SSI)

Ludovic Mé

Conférence de clôture. Une analyse de texte intéressante du livre blanc 2013 sur les cybermenaces, lors de l'intro. Puis, une partie sur la détection d'intrusion et sur la formation, les deux piliers supports de ce livre blanc (selon l'orateur). En version courte, aujourd'hui, les IDS c'est l'échec, comment les améliorer ? Exemple d'utilisation de Blare comme HIDS noyau pour aider à la corrélation. Ensuite, comment modifier la société afin qu'elle que les différents intervenants soient mieux formés aux risques informatiques.

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

Fil des commentaires de ce billet