SSTIC 2013 – Troisième journée

Le réveil fût difficile… mais voici le compte-rendu de cette dernière journée du SSTIC.

« Fuzzing Intelligent de XSS Type-2 Filtrés selon Darwin: KameleonFuzz » – Fabien Duchene

Le social event étant passé par là, nous avions décidé à l’avance de rater (à contrecœur) la première conférence du matin sur le fuzzing intelligent de XSS Type 2. Nous arrivons quand même avant la fin de la conférence, et attrapons au vol quelques bribes de la conclusion. Il semble que l’outil développé arrive à instancier des filtres de détections assez puissants et permet d’améliorer la découverte des XSS en parallèle d’autres scanners de vulnérabilités tels que w3af…

 

« Fingerprinting de navigateurs » – Erwan Abgrall

Pour continuer dans les XSS, Erwan nous présente une partie des résultats de sa thèse sur le fingerprinting de navigateurs. On commence par un rappel sur les usages de cette technique sur Internet (profiling utilisateur, ciblage d’exploits…), puis on enchaine sur les différents types d’identifications existantes.

Erwan nous amène sur son choix : l’utilisation des XSS en analysant le comportement des navigateurs. Il nous explique les choix qu’il a fait, l’implémentation de ses tests, et ponctue la présentation par différents tests illustrant ses propos.

En conclusion, le fingerprinting a de l’avenir, et il ne sert à rien d’essayer de lutter contre ça, tant les évolutions futures des navigateurs permettent d’accéder au plus près du système.

« Duqu contre Duqu » — Aurelien Thierry

10h30, on enchaine avec une présentation au contenu technique bien corsé, mais très intéressante. L’orateur nous raconte l’analyse qu’ils ont effectuée sur Duqu.

La présentation se centre sur le driver implémenté au sein de Duqu et on découvre pas à pas le travail de rétro conception qui a été effectué afin de recréer un driver identique en C++. Une petite anecdote nous montre qu’un défaut de conception empêche l’utilisation de cette version du driver sur les systèmes 64 bits.

À partir de ce driver recréé, l’équipe était à même de comprendre la manière dont le virus s’installait et se lançait. Ainsi, ils étaient en mesure de trouver une contre-mesure afin d’éviter l’infection du poste de travail.

Une démonstration de leur travail conclut cette présentation très intéressante.

 

« La réponse aux incidents ou quelques recommandations pratiques pour les auteurs de malware » – Alexandre Dulaunoy

Après un entracte de pub de 45 minutes offerts par Hervé Sibert nous présentant leur solution de TEE et des processeurs ARM équipés des mécanismes TrustZone, le CERT Luxembourg nous offre certainement une des meilleures présentations de ces trois jours.

Alexandre nous propose une présentation un peu différente basée sur des retours d’expériences. Il décide de fournir les bonnes pratiques aux développeurs de malware pour leur éviter de se faire détecter, et également afin de rajouter un peu de piquant aux analystes malware.

Une série d’anecdotes et de blagues bien placées maintiennent l’assemblée en émoi durant cette conférence précédant l’heure du déjeuner.

 

Présentation courte : « Le rôle des hébergeurs dans la détection de sites web compromis » – David  Canali (Eurecom)

Après la pause déjeuner, on reprend avec des présentations courtes. La première revient sur une étude partant de l’observation que l’hébergement mutualisé s’est largement démocratisé et est aujourd’hui utilisé par des millions de personnes. Qu’il s’agisse de sites web personnels ou de sites de PME, les utilisateurs sont en général non sensibilisés à la sécurité informatique et manque de visibilité. En conséquence, la surface d’attaque potentielle est très importante.

La conférence se propose de répondre aux questions suivantes : les hébergeurs jouent-ils leur rôle ? La sécurité est-elle renforcée sur  ces plateformes mutualisées ?  Les systèmes de détection (s’ils existent…) fonctionnent-ils vraiment ?

22 hébergeurs (régionaux et des internationaux) ont été choisis afin de mener cette étude. 5 scénarios d’intrusion ont été appliqués :

  • Infection par un botnet ;
  • Vol de données via une injection SQL ;
  • Kit de Phising ;
  • Inclusion de code malveillant ;
  • Vol d’identifiants.

Soit au total 5 (tests) * 22 (hébergeurs) = 110 tests.

L’étude montre que certains hébergeurs ont des mesures de prévention (par ex. listes noires d’URLs, patterns de sqli et xss, etc.). Environ 30% des attaques auraient été bloquées.

Plus amusant, un seul hébergeur a été capable de détecter une attaque et a émis à l’équipe d’Eurecom une alerte… 17jours après les tests.

1 détection pour 110 attaques. La conclusion est claire,  aucun effort n’est fait du côté des hébergeurs pour identifier des signes de compromission pourtant évidents.

 

Présentation courte : « Détection comportementale de malware P2P dans un réseau » – Xiao Han

Le conférencier commence par revenir sur les architectures décentralisées sans DNS et sur les problématiques liées à leur analyse et à leur détection (par exemple :  il n’est pas possible de fonctionner sur des listes noires de domaines).

Après un nettoyage des flux non P2P (par exemple : flux précédés par une requête DNS résolue ou nombre insuffisant de tentatives de connexion échouée), leur outil procède à une classification comportementale par type d’application, puis procède à une nouvelle élimination des applications non P2P.

Les tests semblent  concluants : sur 100 000 échantillons de malware  (P2P ou non), l’outil a détecté 556 malwares P2P, avec un faux positif de seulement 0.014%.

En conclusion, leur outil semble performant et présente les avantages de fonctionner même si un seul nœud est infecté et même si aucune attaque n’est observée.

 

Faire face aux cybermenaces => détecter (les attaques) et former (des experts en SSI) – Ludovic Mé

Le SSTIC 2013 se termine par une conférence présentée par Ludovic Mé sur la détection des attaques, et la formation en SSI.

Une longue présentation sur les défauts de la détection et de la réponse sur incident s’enchaine. L’orateur sait de quoi il parle et nous embarque dans son flot de paroles. On retiendra qu’il faut travailler sur l’amélioration des faux positifs si on veut augmenter sa capacité de détection. Quelques remarques de nos voisins ponctuent de manière discrète cette présentation.

Le temps manque, et le sujet dérive vite aux formations à la sécurité. Le constat est clair et sans équivoque, le système scolaire français est vieux et ne forme pas assez les jeunes générations à l’informatique en général, et encore moins à la sécurité.

Ludovic nous expose son point de vue et sa vision d’une scolarité post bac (voire même pré bac) qui enseignerait de manière plus profonde le vaste monde des systèmes d’information.

Pour conclure cette présentation, la session de question-réponse se transforme en série de remarques et d’ajouts d’éminents membres de la communauté de la sécurité. Aucun temps n’était alloué pour un débat ; ces remarques en resteront là.

 

Il est 16h30, le SSTIC est officiellement terminé, nous quittons le campus de Beaulieu. Après 3 jours d’un grand soleil, un orage éclate déversant un mur de pluie sur Rennes alors que nous nous dirigeons vers la gare. Merci de nous avoir lu, merci aux organisateurs et aux orateurs… et à l’année prochaine !

Par Maxime Le Metayer & Antoine David