SSTIC Live Blogging – Jour 1 Aprés-midi

WOMBAT:

Les conférences de l’après-midi commencent par une présentation de l’architecture WOMBAT, utilisée par Symantec pour la veille et l’analyse de malware.

La présentation est peu technique et semble avoir surtout comme objectif plus ou moins avoué d’utiliser le SSTIC pour recruter quelques talents présents au SSTIC.

Les technos utilisés sont:

  • Anubis pour l’analyse comportementale de malware
  • VirusTotal pour évaluer la qualité de la réponse antivirale face à la menace identifiée
  • SGNET (développé par symantec) pour la collecte et la diffusion entre les différents noeuds du honeynet.
  • Argos pour la détection de corruption mémoire (par memory tainting)

L’analyse des malware est faite de 2 manières:

  • Une machine à haute interaction qui utilise Argos pour détecter le malware

Cette machine va générer une machine à état de l’exécution du malware

  • Une machine à état, plus rapide, qui va exécuter les malware connus.

Si le malware prend un branchement inattendu, le malware est renvoyé vers la machine à haute interaction.

Les machines à état sont distribuées automatiquement entre les différents noeuds du réseau.

Limites de l’informatique de confiance:

La deuxième conférence de l’après-midi est faite par Loic Duflot de la DCSII, sous le titre « Limites de l’informatique de confiance ».

La notion centrale est celle du socle de confiance.

Le socle de confiance est l’ensemble des composants d’une plateforme dont on doit avoir le contrôle pour assurer la sécurité du système globale.

Dans l’informatique de confiance, toutes compromissions d’un composant en dehors de ce socle ne doivent pas impacter la sécurité du système.

Le Trusted Computing Group (TCG) est le principal vendeur de solutions d’informatique de confiance.

Loic nous fait donc une démonstration utilisant en détournant mode de management du système (SMM) de l’ACPI,  ou plus exactement  les routines de traitements d’interruption ACPI (SMI) présent en mémoire pour aller modifier la mémoire du noyau.
Il place une backdoor sur le traitement de la déconnexion/reconnexion de l’alimentation électrique sur un portable.
Celle-ci va modifier l’appel système setuid pour obtenir les droits root (0).

Voilà, c’est clairement la présentation la plus intéressante jusqu’ici (très claire et détaillé).

Le sujet est trop complexe pour être abordé totalement dans ce billet, je vous invite à aller consulter les actes pour aller plus loin (ou peut-être un prochain post).

Backdoor PCI

Ces deux personnes de Thales ont réalisé un portage de l’attaque type winlockpwn avec une carte PCI Card BUS ( elle était à l’origine sous Firewire).

Le principe de base est l’utilisation du DMA pour l’accès complet à la mémoire.

Cette attaque est, selon les auteurs, difficile à bloquer ou a détecté, a moins de mettre de la colle dans ces ports PCI.
L’arrivée de la technologie IOMMU (Intel VT-d) va cependant peut-être changer les choses.

La présentation était assez fouillis, donc difficile de vous en dire plus. Il faudra aller voir le paper pour approfondir.

ISO27001

Alexandre Fernandez-Toro, une référence sur le sujet ISO 27001 en France nous fait présentation orientée sur 2 axes:

  • Introduction à ISO 27001
  • Retour d’expérience sur ces audits ISO 27001

Si vous n’êtes pas familier avec la norme, je vous invite à consulter ces slides qui sont bien faites (ou à acheter son bouquin).

Sur la partie retour d’expérience, Alexandre Fernandez-Toro lance un sacré pavé dans la mare en affirmant que
l’ISO 27001 n’apporte pas de réel gain de sécurité s’il n’y pas de volonté de sécurisation en dehors du respect de la norme.

Pour lui, il faut désormais lire « entre les lignes » du certificat ISO 27001.

En dehors de cette déclaration, son retour d’expérience nous indique que les domaines principalement impactés par le process ISO 27001 sont:

  • Sécurité physique
  • PCA
  • IAM
  • Prise en compte de la sécu dans la démarche projet

Les gains réels en terme de sécurité de la mise en place de l’ISO 27001 pour les organismes « sérieux » sont:

  • Rationaliser la sécurité
  • Mutualisation des efforts pour les autres normes : PCI , SAS 70 (SOX), RGS (secteur public)
  • Intégration de la sécu dans la gouvernance de l’entreprise