area41

Convention de sécurité, Zurich, 2-3.06.2014
Organisée par DEFCON Switzerland
~300 participants

J’y a travaillé comme volontaire, je n’ai donc pas pu tout voir. Ci-dessous les notes de ce à quoi j’ai assisté, avec les présentations en lien (si disponibles – @ZaiLynch en a compilé une liste).

Keynote: Why Johnny Can’t Tell If He Is Compromised

Halvar Flake | Présentation

Chaque Etat essaie de dominer / compromettre les autres. Tout le monde investit dans l’attaque et peu dans la défense. On se retrouve avec un « Internet des Choses Compromises », avec 2-3 acteurs qui compromettent tout (tel la NSA).

Distinction: compromission = contrôle des machines, pas possession – hack != pwn

Il est pratiquement impossible de déterminer si le hardware d’une machine a été compromis.

Attacker Ghost Stories: Mostly Free Defenses That Gives Attackers Nightmares

Rob Fuller | Présentation

Microsoft EMET est un « videur de mémoire », un bon outil, mais facile à détourner.

50 Shades of RED: Stories From The Playroom

Chris Nickerson | Présentation

80% des intrusions réussies sont dues au phishing (ingénierie sociale), et donc à une faille humaine.

Le point le plus faible d’une organisation se situe toujours à la convergence de 3 domaines: social, physique et électronique.

Exemple: physique + électronique: badges d’accès

REDACTED

Chris Riley

Craquer des apps utilisant des containers « sécurisés » sur Android (par exemple: gestionnaire de mots de passe):

  1. obtenir Android Debug Bridge (ADB)
  2. faire une sauvegarde de l’appareil avec ADB
  3. changer les préferences et fichiers de configurations des apps – par exemple,
    enlever les lignes de codes qui contrôlent la nécessité d’un PIN ou des compteurs
    (« encore trois essais de logins avant l’effacement des données », etc.)
  4. restaurer la sauvegarde
  5. PROFIT!

Pas besoin d’être root pour réaliser cela.

Au passage: forcer l’utilisateur à utiliser un PIN à 4 chiffres en excluant 1234 ou 1111, 2222, nnnn, réduit considérablement le nombre de possibilités et facilite ainsi le travail d’un attaquant…

Painting A Company Red And Blue

Ian Amit (IOActive) | Présentation

Red Teaming (simuler une attaque du point de vue de l’attaquant) ne concerne pas seulement l’électronique – la sécurité n’est pas (qu’)une question d’IT.

A lire:

  • How a Business Works: What Every Businessperson, Citizen, Consumer, and Employee Needs to Know About Business – William C. Haeberle – ISBN: 978-1434392145
  • Threat Modeling: Designing for Security – Adam Shostack – ISBN: 978-1118809990

Chaque cas nécessite une simulation adverse (!= hacking):

  • choisir l’équipe selon les compétences sociales, physiques et électroniques de ses membres;
  • nécessite un modèle de menaces adapté à la cible

Le risque ne se cache pas que dans les vulnérabilités! Il est à chercher:

  • dans les procédés
  • chez les gens
  • dans les technologies

Chercher les données plutôt que la base de données, chercher les failles dans les procédés plutôt que dans la production. Exemple: des menaces non prises en compte durant une phase de test peuvent devenir persistantes durant la production.

Les solutions de sauvegardes peuvent être des nids de problèmes de sécurité!

Threat Modeling? It’s Not Out Of Fashion!

Wim Remes

Inclure la sécurité dans le développement de systèmes dès le début – mais aussi pour les systèmes existants.

Se demander:

  • qu’est-ce qu’on construit?
  • qu’est-ce qui peut mal tourner?
  • que peut-on faire à propos de ce qui peut mal tourner?
  • quelle qualité a notre analyse?

« Représenter les attaques contre un système dans une structure en arbre, où le but est le tronc et les branches différentes possibilités d’attaque. » – Bruce Schneier

Les collections d’attaques peuvent être utiles pour ceux qui ne sont pas familiers avec les stratégies d’attaque.

Protéger ce qui est critique pour les ressources (asset-centric) ET ce qui est intéressant pour l’attaquant (attacker-centric). Les deux ne sont pas forcément la même chose.

Completely Destroying Education And Awareness Programs

Dave Kennedy (Trusted SecSocial-Engineer Toolkit)

Connaître sa cible:

  • « Les entreprises SUENT de l’information » <– exploitable
  • Les collaborateurs en vente, ressources, communication sont de bonnes cibles pour l’ingénierie sociale.

30e Chaos Communication Congress

27-30.12.2013
CCH Hambourg
~9000 participants

Merry Crisis

Généralités

* L’étendue et le spectre des moyens d’espionnage de NSA/QCHG sont vastes. Exemples:

  • copie et sauvegarde du trafic en masse des câbles sous-marins et de toute l’infrastructure des fournisseurs d’accès internet (ISPs) US
  • accès aux serveurs de services internet de toutes les compagnies américaines comme Google, Facebook, Yahoo, … (webmail, cloud)
  • portes dérobées dans tous les softwares possibles
  • écoute et/ou transmission par radio (keylogging, CPU?)
  • manipulation du hardware (par exemple en détournant les ordinateurs achetés via Amazon pour leur injecter du malware avant leur réception par les acheteurs)
  • émetteurs WIFI cachés dans les prises USB (contourner l’air gap == espionnage de machines non-reliées à internet)

Sans Snowden, on ne saurait rien de cela – d’où sa victoire incontestée du Balls Of Steels Award 2013.

* Au-delà de la surveillance de masse, les individus que NSA/GCHQ ciblent précisément n’ont pratiquement pas de moyen de leur échapper. Pour ce qui est des ordinateurs, cela nécessiterait une connaissance parfaite et un contrôle régulier de tout le hardware et software des machines utilisées par la cible. Les injections de hardware sont pratiquement indétectables.

* La NSA prétend que la surveillance de toute machine utilisant iOS est fiable à 100%. Est-ce que Apple a contribué directement à cette situation?

* La NSA conserve tous les mails chiffrés par défaut, « pour plus tard » (ce qui tend à prouver qu’elle ne peut pas en casser (tout) le chiffrement pour l’instant).

* L’essentiel des softwares de surveillance de la NSA se basent sur de l’open source.

* Avantage de la NSA: moyens énormes. Défaut: trop de gens impliqués → risque humain (whistle blowing, accidents, non-respect des consignes de sécurité interne (volontaire ou non)).

* Les services comme Google, Facebook, etc., ne sont pas enthousiasmés par leur obligation de collaborer avec les autorités US dans le cadre de la surveillance de masse. Ils ne veulent surtout pas que des tiers (privés ou publiques) accèdent aux données de leurs utilisateurs/clients et – lorsque obligés – préfèrent fournir les données demandées par eux-mêmes plutôt que de laisser entrer quelqu’un dans leurs fermes de serveurs. Par contre, pas de problème avec la collaboration dans des cas individuels. Ces services ne peuvent pas être considérés comme sûrs.

* Entre 2009 et maintenant, plusieurs grands services (Google en premier) sont passés à HTTPS par défaut, ce qui est positif.

* Les grands fournisseurs d’accès à internet US (AT&T, Verizon, comcast) collaborent pleinement avec la NSA et continueront à le faire.

* En compromettant des technologies qui sont à la base d’internet et de la confiance des utilisateurs (et qui donc profitent à tous, y compris aux services de renseignements), la NSA se tire une balle dans le pied et compromet sa propre mission à long terme.

* L’attitude à l’égard des hackers « white hats » a changé, en tout cas aux USA. Au lieu de collaborer avec les hackers, les firmes auxquelles sont communiqué des failles de sécurité ont tendance à leur envoyer des injonctions de leurs avocats afin d’en empêcher la publication. D’où la frustration des hackers, dont certains se tournent vers les marchés noirs ou les agences de renseignements pour vendre leurs découvertes, et/ou rejoignent des firmes qui vendent des exploits, comme VUPEN et Hacker Team.

* Les applications open source demeurent préférables au reste en général, spécialement pour tout ce qui concerne la sécurité. La possibilité de considérer le code source rend l’introduction de porte dérobées vite repérable.

* Tor n’a pas été compromis. Les utilisateurs de Tor arrêtés ces derniers temps l’ont été à cause d’imprudences et de mauvaise OPSEC, pas à cause de Tor. Tor n’aura jamais de porte dérobée, disent ses principaux programmeurs. Les exploits utilisant Tor sont rendus possibles par une mauvais implémentation du Tor Browser (=> Firefox), pas par Tor en tant que tel.

* Au même titre et dans l’ensemble, la cryptographie n’est pas cassée si elle est implémentée de manière correcte (« Trust the math » – Bruce Schneier). La solution: math + open source = cryptomagie. Un maillon faible semble être les générateurs d’aléatoire utilisés pour créer des clés de chiffrement – certains sont apparemment trop prévisibles.

* Des compagnies de sécurité occidentales continuent de vendre des techniques de surveillance a des régimes de non-droit et participent ainsi activement à la militarisation de l’internet.

* Il y a une forte pression des autorités US et autres sur les producteurs de hardware. Les solutions à la « Trusted Computing » de Microsoft sont un rêve pour la NSA.

* La protection des données personnelles est un droit de l’Homme. Elle est inscrite dans les conventions UN et EU. Bien qu’il existe des autorités de protection des données dans tous les pays de l’UE, il reste des problèmes liés à leur moyens d’action et à leur indépendance. Il est remarquable que les avancées dans ce domaine sont dues à l’UE, particulièrement à la Cour européenne de Justice qui a par exemple condamné l’Allemagne et l’Autriche pour leur mauvaise mise en œuvre du droit européen en la matière. Il est nécessaire de développer et d’harmoniser la protection des données au niveau international.

* Définition des données personnelles au niveau EU (à venir dans la prochaine révision de la loi sur la protection des données): « everything that can identify and/or single out a person » .

Détails qui mettent de mauvaise humeur

* L’État surveillance en Inde est gigantesque. Il mélange biométrie et surveillance complète de toutes les télécommunications. L’Inde copie de manière aveugle ce qu’elle voit à l’Ouest. Elle n’est pas la seule – d’où la nécessité et l’opportunité pour l’UE de développer un autre modèle sur son propre territoire et d’établir ainsi un standard.

* Les cartes d’ID chinoises, obligatoires, contiennent de nombreuses données personnelles et sont de véritables mouchards en temps réels. L’appartenance à un « groupe à risque » (avocat, défenseur des droits de l’homme, prostituée, séropositif, …) y est inscrit, limitant drastiquement la liberté d’action. Par exemple: il n’est pas possible de prendre un billet de train sans montrer sa carte ID – le faire sera observé en temps réel.

Détails qui mettent de bonne humeur

* Les imprimantes 3D se répandent et se démocratisent.

* Les travaux ± artistiques de Julian Oliver et Adam Bartholl

* Reverse-enginnering du software des tamagotchis → environnement de développement open source

* Hack des signaux RDS en Finlande → permet théoriquement de créer son propre panneau d’attente de transport public personnel

Recommandations

* Les supports utilisant flash (cartes SD, USB sticks, SSD) contiennent tous un microprocesseur exploitable. –> préférer les supports statiques tels que DVD pour la sauvegarde de données.

* RSA 2048 ne peut plus être considéré sûr → créer de nouvelles clés openPGP à minimum 4096 bits.

* Le firmware est un point négligé → nécessité de blinder le BIOS, désactiver toutes les interfaces qui ne sont pas essentielles + évaluer des alternatives de firmware open source comme coreboot.

* exploit contre LUKS → trouver une alternative de chiffrement de disque dur en mode XTS,

* détecter une modification du hardware est très difficile → limiter au maximum l’éventualité d’un accès physique à la machine par un attaquant. L’accès physique est un cas de figure plus probable que d’autres (vol, Evil Maid Attack). Les attaques qui peuvent en découler sont variées et peuvent être durables et sérieuses.

* RC4 compromis (après que son créateur (RSA) a admis y avoir programmé une backdoor pour la NSA pour 10 mio USD) → s’en débarrasser partout. [Problème: RC4 est nécessaire pour regarder YouTube via HTTPS – utiliser l’option enable RC4 de l’extension CypherFox pour Firefox.]

* HTTPS (même cassé), Tor et openGPG restent sûrs (si configurés correctement) → à utiliser le plus possible et en faire la promotion.

* Certificats SSL de plus en plus manipulés → considérer CAcert

Conférenciers + (sans surprise)

  • Jacob Applebaum, Tor
  • Peter Schaar, ancien préposé à la protection des données allemand
  • Christophe Soghoian, ACLU

Conférenciers + (découverts)

  • Claudio Guarnieri & Morgan Marquis-Boire
  • Maria Xynou, CIS
  • windoona, hackeuse amateure

Conférenciers –

  • evacide, EFF
  • Philipp Brennan, SecondMuse

Vidéos de toutes les conférences