area41

Convention de sécurité, Zurich, 2-3.06.2014
Organisée par DEFCON Switzerland
~300 participants

J’y a travaillé comme volontaire, je n’ai donc pas pu tout voir. Ci-dessous les notes de ce à quoi j’ai assisté, avec les présentations en lien (si disponibles – @ZaiLynch en a compilé une liste).

Keynote: Why Johnny Can’t Tell If He Is Compromised

Halvar Flake | Présentation

Chaque Etat essaie de dominer / compromettre les autres. Tout le monde investit dans l’attaque et peu dans la défense. On se retrouve avec un « Internet des Choses Compromises », avec 2-3 acteurs qui compromettent tout (tel la NSA).

Distinction: compromission = contrôle des machines, pas possession – hack != pwn

Il est pratiquement impossible de déterminer si le hardware d’une machine a été compromis.

Attacker Ghost Stories: Mostly Free Defenses That Gives Attackers Nightmares

Rob Fuller | Présentation

Microsoft EMET est un « videur de mémoire », un bon outil, mais facile à détourner.

50 Shades of RED: Stories From The Playroom

Chris Nickerson | Présentation

80% des intrusions réussies sont dues au phishing (ingénierie sociale), et donc à une faille humaine.

Le point le plus faible d’une organisation se situe toujours à la convergence de 3 domaines: social, physique et électronique.

Exemple: physique + électronique: badges d’accès

REDACTED

Chris Riley

Craquer des apps utilisant des containers « sécurisés » sur Android (par exemple: gestionnaire de mots de passe):

  1. obtenir Android Debug Bridge (ADB)
  2. faire une sauvegarde de l’appareil avec ADB
  3. changer les préferences et fichiers de configurations des apps – par exemple,
    enlever les lignes de codes qui contrôlent la nécessité d’un PIN ou des compteurs
    (« encore trois essais de logins avant l’effacement des données », etc.)
  4. restaurer la sauvegarde
  5. PROFIT!

Pas besoin d’être root pour réaliser cela.

Au passage: forcer l’utilisateur à utiliser un PIN à 4 chiffres en excluant 1234 ou 1111, 2222, nnnn, réduit considérablement le nombre de possibilités et facilite ainsi le travail d’un attaquant…

Painting A Company Red And Blue

Ian Amit (IOActive) | Présentation

Red Teaming (simuler une attaque du point de vue de l’attaquant) ne concerne pas seulement l’électronique – la sécurité n’est pas (qu’)une question d’IT.

A lire:

  • How a Business Works: What Every Businessperson, Citizen, Consumer, and Employee Needs to Know About Business – William C. Haeberle – ISBN: 978-1434392145
  • Threat Modeling: Designing for Security – Adam Shostack – ISBN: 978-1118809990

Chaque cas nécessite une simulation adverse (!= hacking):

  • choisir l’équipe selon les compétences sociales, physiques et électroniques de ses membres;
  • nécessite un modèle de menaces adapté à la cible

Le risque ne se cache pas que dans les vulnérabilités! Il est à chercher:

  • dans les procédés
  • chez les gens
  • dans les technologies

Chercher les données plutôt que la base de données, chercher les failles dans les procédés plutôt que dans la production. Exemple: des menaces non prises en compte durant une phase de test peuvent devenir persistantes durant la production.

Les solutions de sauvegardes peuvent être des nids de problèmes de sécurité!

Threat Modeling? It’s Not Out Of Fashion!

Wim Remes

Inclure la sécurité dans le développement de systèmes dès le début – mais aussi pour les systèmes existants.

Se demander:

  • qu’est-ce qu’on construit?
  • qu’est-ce qui peut mal tourner?
  • que peut-on faire à propos de ce qui peut mal tourner?
  • quelle qualité a notre analyse?

« Représenter les attaques contre un système dans une structure en arbre, où le but est le tronc et les branches différentes possibilités d’attaque. » – Bruce Schneier

Les collections d’attaques peuvent être utiles pour ceux qui ne sont pas familiers avec les stratégies d’attaque.

Protéger ce qui est critique pour les ressources (asset-centric) ET ce qui est intéressant pour l’attaquant (attacker-centric). Les deux ne sont pas forcément la même chose.

Completely Destroying Education And Awareness Programs

Dave Kennedy (Trusted SecSocial-Engineer Toolkit)

Connaître sa cible:

  • « Les entreprises SUENT de l’information » <– exploitable
  • Les collaborateurs en vente, ressources, communication sont de bonnes cibles pour l’ingénierie sociale.