Black Hat Europe 2016 – Deuxième Journée

Liens vers les comptes-rendus des autres jours :

JOUR 2

 

« Backslash Powered Scanning : Hunting Unknow Vulnerability Classes »

 

La conférence présentée par James Kettle, directeur de recherche chez PortSwigger, avait pour but d’introduire une nouvelle approche des outils d’analyse de vulnérabilités lors des audits de sécurité.

 

Le constat de départ est que les scanners de vulnérabilités sont pratiques pour la découverte de failles rapides à déceler, mais s’avèrent être inefficaces pour les scénarios plus complexes. De plus, James a comparé la recherche de vulnérabilités par scanner à la recherche de virus par les solutions antivirales afin de démontrer l’inefficacité d’une telle démarche.

 

Afin de répondre à ce problème, l’auteur a donc proposé une approche non pas basée sur des vulnérabilités, mais sur l’analyse heuristique des comportements suspicieux.

 

3

 

Très vite, le problème de recherche de schéma (« pattern« ) dans les réponses couplées aux ajouts successifs des différents systèmes de sécurité, fausse les résultats et rend l’approche automatique très complexe. L’auteur a alors présenté un plug-in « Burp Extender » pour simplifier les requêtes au maximum et passer outre les éléments sujets à erreur comme ceux liés à l’horodatage.

 

En conclusion, la nouvelle approche permet d’identifier de nombreux défauts de comportement pouvant signifier potentiellement la présence de vulnérabilité, mais une exploitation manuelle reste tout de même nécessaire.

 

4

 

« Breaking Big Data : Evading Analysis of the Metadata Of Your Life »

 

Cette conférence a dressé un état des lieux du « Big Data » en mettant en avant l’ensemble des informations pouvant être récupérées et en expliquant comment, via les métadonnées, un scénario ou des habitudes peuvent être identifiés.

 

5

 

Ces métadonnées peuvent ensuite être associées à une personne, représentée par ses actions, ses centres d’intérêt, ses amis, etc. Cette approche consiste à démontrer que chaque activité peut être reliée à une personne grâce au « Big Data ».

 

En conclusion, l’auteur explique que le seul moyen d’échapper à cette analyse est d’assumer que tous les équipements sont compromis et d’agir en changeant nos habitudes de vie.

 

« (Pen)Testing Vehicles with CANTools »

 

Comme le nom l’indique, cette conférence a traité de la sécurité des véhicules équipés de bus CAN. L’auteur explique qu’ODB2 est un point d’accès externe, mais non discret si l’on souhaite installer une porte dérobée alors que la connexion au bus CAN peut être relativement discrète.

 

De plus, l’auteur précise que communiquer avec un bus CAN n’est pas extrêmement difficile du fait que seulement 8 bits de données sont utilisés.

 

6

 

L’outil YACHT (Yet Another Car Hacking Tool), développé par l’auteur, a ensuite été présenté.

 

7

 

Le point intéressant de cet outil est la présence de divers ECU (Electronic Unit Control) en modules permettant de tester des commandes en simulant la connexion avec une voiture. Cela permet notamment de tester de nouveaux outils et d’identifier d’éventuels effets de bords qui pourraient s’avérer désastreux si réalisés sur une voiture en circulation.

Une présentation des diverses fonctionnalités de l’outil laisse apercevoir des attaques UDS (Unified Diagnostic Services) pouvant être utilisées pour effectuer de l’interception de paquet, de la manipulation du trafic, ou encore pour analyser les services accessibles sur les différents équipements de la voiture avec un scanner similaire à « Nmap ».

 

Le conférencier a ensuite présenté sa démarche pour détecter « rapidement » les trames envoyées lors des diverses actions effectuées sur la voiture (par exemple lors de l’ouverture des portes).

 

« Locknote »

 

Pas de keynote pour cette édition de la Black Hat Europe, mais une discussion intéressante entre Jeff Moss, fondateur de la Black Hat, et plusieurs membres du jury de revue des soumissions sur les évènements récents de la sécurité informatique. De nombreux sujets ont été abordés comme la sécurité des objets connectés, les systèmes industriels ou encore les problématiques concernant les gouvernements qui essayent de plus en plus de contrôler Internet et son utilisation.

 

Cette entrée en matière a ensuite été suivie d’une séance de questions-réponses avec l’assistance afin d’échanger leur avis et poser des questions aux intéressés.