tag:linuxfr.org,2005:/tags/hacklu/publicLinuxFr.org : les contenus étiquetés avec « hacklu »2014-10-26T20:56:05+01:00/favicon.pngtag:linuxfr.org,2005:Diary/353652014-10-25T16:46:54+02:002014-10-25T16:46:54+02:00Hack.lu 2014Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Cher journal,</p>
<p><a href="http://hack.lu">Hack.lu</a>, c'est fini, c'était la semaine passée. Alors, je vais te faire un résumé rapide des conférences que j'ai ou dont j'ai entendu parlées qui étaient particulièrement intéressantes. Vous pouvez retrouver une partie des supports de présentation dans <a href="http://archive.hack.lu/2014/">les archives</a>, elles n'étaient cependant pas filmées. Je ne vais pas détailler plus que ça parce que je n'ai pas forcément vu les conférences et puis, avec Google et le titre, vous trouverez plein d'informations si le sujet vous intéresse, si vous avez des questions, n'hésitez pas à utiliser le bouton carré avec écrit « Envoyer un commentaire ». Premièrement, les lightning talks de mardi. Elles commencent avec une démonstration par Philippe Teuwen pour montrer, à ceux qui en doutait encore, que <a href="http://2014.hack.lu/index.php/LightningTalks#Philippe_Teuwen.2C_Electronic_Coloring_Book">le chiffrement ECB</a> ne cache pas grand chose et que le CBC n'est pas forcément sûr non plus. Ensuite une démonstration d'Axelle Apvrille pour <a href="http://2014.hack.lu/index.php/LightningTalks#Axelle_Apvrille_and_Ange_Albertini.2C_hide_apk_in_images">cacher un apk dans une image</a> (développé avec Ange Albertini) et contourner ainsi beaucoup de systèmes de détection.</p>
<p><a href="http://2014.hack.lu/index.php/List#Filippo_Valsorda_-_The_Heartbleed_test_adventure">La première conférence de mardi</a> était faite par Filippo Valsorda qui a développé l'outil de test d'Heartbleed juste pour tester et qui s'est retrouvé submergé par les requêtes qui ne faisaient qu'augmenter au cours du temps. Il a notamment évoquer les extensions des navigateurs qui testaient les site pour vérifier s'ils étaient impactées qui, au final, lui envoyaient toute l'historique de navigation de ceux qui l'avaient installé. Ensuite, <a href="http://2014.hack.lu/index.php/List#Attila_Marosi_-_Inside_spying_-_Stripping_the_controversial_FinFisher_application_for_Android_phones">une explication sur le fonctionnement de l'application Android FinFisher</a> par Attila Marosi, si jamais vous êtes infecté, vous pourrez la reconfigurer pour qu'elle s'autodétruise et être tranquille. <a href="http://2014.hack.lu/index.php/List#Paul_Jung_-_Bypassing_Sandboxes_for_fun.E2.80.A6_Profit_will_be_realized_by_sandbox_vendors.">Paul Jung nous a ensuite montré</a> <a href="http://archive.hack.lu/2014/Bypasss_sandboxes_for_fun.pdf">comment détecter l'exécution dans une machine virtuelle ou une sanbox</a>, très utile si vous écrivez un malware ;) La conclusion est que pour éviter les virus, il vaut mieux avoir son système qui tourne en permanence dans ces environnement. <a href="//linuxfr.org/users/serge_ss_paille">Serge "sans paille" Guelton</a> nous a parlé d'<a href="http://2014.hack.lu/index.php/List#Serge_Guelton_-_Python_Code_Obfuscation:_Improving_Existing_Techniques">obfuscation de code Python</a>. L'obfuscation de source n'est pas très utile dans ce langage, par contre, il existe d'autre technique pour éviter qu'on ne lise votre code trop simplement. La plus simple/efficace est de livrer un interpréteur modifié. Enfin, la journée s'est terminée avec une (longue) conférence de Xeno Kovah du MITRE explicant <a href="http://2014.hack.lu/index.php/List#Corey_Kallenberg.2C_Xeno_Kovah.2C_John_Butterworth.2C_Sam_Cornwell_-_Extreme_Privilege_Escalation_On_Windows_8.2FUEFI_Systems">comment faire tourner un code en infectant l'UEFI</a> et ayant le contrôle sur tout le système. L'exemple donnée est un programme qui scanne la mémoire en permanence à la recherche d'une signature particulière et qui exécute le code suivant cette signature. Cela veut dire qu'avec cela actif, il vous suffit d'un simple ping pour briquer le PC cible.</p>
<p>Dans les lightning talks du mercredi, j'ai retenu celle de Philippe Teuwen sur les <a href="http://2014.hack.lu/index.php/LightningTalks#Philippe_Teuwen.2C_25.2F05.2F2014_Belgian_elections:_a_nice_electronic_voting_bug_and_its_port_under_Linux">élection électronique belges</a>, quelle était le bug et le portage sous Linux du système de vote pour le vérifier. Serge Guelton nous a encore parler d'obfuscation, il s'agissait ici d'<a href="http://2014.hack.lu/index.php/LightningTalks#Serge_Guelton.2C_Epona.2C_an_LLVM_bytecode_obfuscator">une démonstration d'Epona</a>, un outil de d'obfuscation basé sur LLVM. Il parait aussi que la conférence sur <a href="http://2014.hack.lu/index.php/List#Shahar_Tal_-_I_hunt_TR-069_admins_-_pwning_ISPs_like_a_boss">TR-069</a> était intéressante. Il s'agit un protocole utilisés par les routeurs domestiques (les box des FAI) pour se mettre à jour. Beaucoup d'implémentations sont très mauvaise au point de vue de la sécurité et il facile de pousser un firmware personnel sans accès physique. Xeno Kovah est aussi revenu <a href="http://2014.hack.lu/index.php/List#Xeno_Kovah.2C_Corey_Kallenberg.2C_John_Butterworth.2C_Sam_Cornwell_-_SENTER_Sandman:_Using_Intel_TXT_to_Attack_BIOSes">pour nous parler de la suite la veille</a>, et comment éviter la détection d'un BIOS modifié et comment éviter l'évitage de détection et… j'ai fais un stack overflow :). Au final, vos PC sont destinés à être hacké et vous ne pouvez pas faire grand chose pour contrer cela. La journée s'est terminée avec <a href="http://2014.hack.lu/index.php/List#Enno_Rey.2C_Antonios_Atlasis.2C_Rafael_-_Evasion_of_High-End_IDPS_Devices_at_the_IPv6_Era">la fragmentation des paquets IPv6 et comment l'utiliser pour contourner les IDS</a> (<a href="http://archive.hack.lu/2014/HACKlu_2014_Atlasis_Rey_Schaefer_Evasion_of_HighEnd_IPS_Devices.pdf">slides</a>) par Enno Rey, les failles ont été rapportés aux différents dévelopeurs de ceux, mais comme chez Sourcefire, ils étaient trop occupés à compter leur stock options, plutôt qu'à répondre aux failles de sécurité, on a pu assisté à un beau 0day en direct. La conclusion est que les RFC sur IPv6 sont beaucoup trop <s>bordéliques</s> laxistes pour avoir une pile sûre (ou même respectant la norme).</p>
<p>Je n'ai pas assisté aux conférences du jeudi mais il y en avait une sur <a href="http://2014.hack.lu/index.php/List#Francisco_Falcon_-_Breaking_Out_of_VirtualBox_through_3D_Acceleration">Virtualbox et comment utiliser les instructions 3D pour en sortir des machines virtuelles</a>. Saumil Shah a aussi <a href="http://2014.hack.lu/index.php/List#Saumil_Shah_-_Hacking_with_Images_-_Evil_Pictures">jouer avec les images</a> et <a href="http://2014.hack.lu/archive/2014/hacking_with_pictures.pdf">a montré</a> des exemples d'images qui sont aussi un fichier JavaScript valide ou même un JPEG qui est aussi du HTML et du JavaScript, une catastrophe pour la détection de comportement anormaux et le forensic d'une attaque.</p>
<p>Je sais c'est un peu décousu mais moi je vous retranscris ça pèle-mêle aussi.</p><div><a href="https://linuxfr.org/users/claudex/journaux/hack-lu-2014.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/103737/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/claudex/journaux/hack-lu-2014#comments">ouvrir dans le navigateur</a>
</p>
claudexhttps://linuxfr.org/nodes/103737/comments.atom