HackInTheBox and the Cisco Wlans

Cette année je n’irai pas au SSTIC (et de toute manière toutes les places ont été vendues en moins de 2 jours après l’annonce, comme d’hab). J’ai en revanche apprécié les présentations mises en ligne dans le cadre de la conférence HackInTheBox qui vient de se terminer à Dubaï. Quelques français connus y étaient représentés (les chanceux !) malgré les soucis d’avions encore latents.

Il semble que certaines publications sont

déjà en ligne. Je me suis empressé de lire celles des personnes sus-mentionnées, et de jeter un oeil aux autres. Sympathique et de bonne facture !

J’ai aimé :

  • Laurent Oudot présente une technique pour mettre en place des shells web de manière furtive. Le souci majeur est de ne pas se faire détecter par l’antivirus local, ou par un IDS de type Snort capable de détecter que les flux en transit ressemblent à des commandes Unix… La présentation se termine par une démo de comment transformer le webmail Horde IMP en un scanner de ports. Et quelques 0day pour faire bonne figure !
  • Fred Raynal s’attaque aux recherches d’info sur la toile, avant de terminer sur un exemple concret… Et allons-y que je vous dévoile la vie privée d’un gars de la NSA (national scrabble association, bien entendu), ses feuilles d’impôt et ses passions. Tiens, il aime le scrabble et a un profil sur Facebook ? Mitonnons-lui un petit cheval de troie sous la forme d’une appli Facebook de scrabble. Et hop, le tour est joué !
  • Daniel Mende s’intéresse aux réseaux sans fil Cisco. Belle démonstration de comment l’infrastructure peut être cassée sous certaines conditions. Il faut dire que l’architecture Wlan Cisco est tout de même plus lourde d’un char d’assaut, tellement il y a de couches, de protocoles, de serveurs et j’en passe. Pas étonnant qu’il y ait quelques soucis.
  • Pour Dimitri Petropoulos, c’est l’argent qui compte ! Une belle présentation de comment les distributeurs de billets de banque peuvent être vulnérables à différentes attaques, physiques mais également crypto ou protocolaires. Intéressant, mais je vous vois venir… tss tss, pas touche !
  • Gynvael Coldwin s’intéresse aux méthodes pour aller bricoler la base de registre Windows malgré certaines protections… C’est assez utile parfois, non ?
  • Marc Schonefeld nous fait un coup de reverse-engineering sur plateforme Androïd. Et d’expliquer que Dalvik, le système permettant de faire tourner les applications Androïd est assez similaire sur le principe à une JVM. Ca marche avec du bytecode, donc c’est décompilable. A suivre avec une prochaine version d’IDA Pro ?
  • Pour nous SAPer le moral, Mariano di Croce explique comment faire un pentest sur du SAP+Oracle… et propose outre quelques mesures de sécurisation, sa plateforme et les services offerts par sa société. J’aime cependant le fait que la démarche est bien expliquée, ainsi que les corrections à apporter. Utile, même si vous n’avez pas SAP, juste Oracle chez vous !
  • Le second keynote parle du nouveau système d’IDS de sourcefire, capable de mieux gérer les flux de données complexe incluant javascript et obfuscation. A creuser !

J’ai moins aimé

  • Les botnets, c’est chez Dino Covotsos que ça se passe. Explications sur un botnet. J’ai été moins emballé que sur les sujets précédents lorsque j’ai lu les slides. C’est certes toujours intéressant mais c’est maintenant assez connu. A moins que j’aie raté quelque chose ?
  • The Grugq nous montre en photos qui peuvent bien être ces fameux « hackers » qui hantent nos réseaux, et notamment pourquoi les pays en cours de développement sont plus motivés que d’autres. Mouais… ça manque de vraie recherche, ça pourrait passer en Rump à la rigueur.
  • D’après ce qu’explique Saumil Shah, on retrouve le fameux Security Fail « Pourquoi la sécurité est un échec » © News0ft, appliqué au web. Sans prétention, on s’en doutait un peu !
  • Une présentation rapide d’un des deux Keynote Speakers : John Viefa dit que les vendeurs d’antivirus ne sont pas si mauvais qu’on le dit, c’est juste qu’ils ont un peu de mal à traiter le sujet… c’est vrai que ça devient complexe, un malware de nos jours ! Merci de nous l’avoir rappelé.

Mon impression en lisant les slides de la première journée : des choses intéresssantes, mais pas tout. Pas au point de vouloir me payer un billet A/R Bâle-Dubaï avec la suite royale de 780M2 au Burj Al Arab !

Je vous laisse… ce soir c’est pompiers !

Comments

Comment by Cédric Pernet on 2010-04-23 12:21:00 +0200

Dommage que tu ne puisses pas venir au SSTIC, mon ptit Bruno… Je boirais un verre de rhum à ta santé, promis ! 😉

Comment by Philippe on 2010-05-11 17:56:10 +0200

un petit coucou en passant a bruno, vraiment très bien ton blog bruno

A+

philippe