Conférence BruCON 2013 (1ère partie)

Date : 18 Novembre 2013

En septembre, le Cert-IST a assisté à la conférence BruCON, qui s’est déroulée près de Bruxelles. C’est la première fois que le Cert-IST assiste à cette conférence (c’était cette année la 5ème  édition). Brucon n’est pas très connue, mais est néanmoins une très bonne conférence : 350 personnes, de bons orateurs (7 venant d’Europe, et 4 venant des USA), et une atmosphère très conviviale.

Les présentations sont disponibles sur le site de la conférence (à cet emplacement). Pour chaque présentation, nous indiquons le lien vers l’enregistrement vidéo de la présentation et le lien vers le support de présentation lorsque celui-ci a été rendu public.

Le présent compte rendu complet est découpé en 2 parties. Nous publions ce mois-ci la première partie. La seconde sera publiée le mois prochain. 

Keynote par Amelia Andersdotter (video, slides)
L’ouverture de la conférence a été faite par Amelia Andersdotter, une députée européenne membre du parti pirate suédois. Elle a présenté les difficultés qu’il y a à réglementer sur des sujets technologiques, en prenant comme exemple les travaux sur l’identité électronique réalisés en 2012 par la communauté européenne. Outre les difficultés à s’abstraire de la technologie, la présentation a insisté sur la difficulté à définir un équilibre entre les besoins de traçabilité et de fiabilité de l’identité (nécessaires par exemple quand un citoyen accède à un service gouvernemental en ligne) avec le besoin de protéger la vie privée des citoyens.
 

HTTP Time Bandit (video, slides)
Présenté par : Vaagn Toukharian (Qualys)

« Time Bandit » est un outil de diagnostic sur le DDOS pour les serveurs web. Il recherche les pages critiques d’un site web en analysant le temps de réponse de chaque page : les pages les plus lentes sont celles qui seront le plus sensibles aux attaques DDOS, et il faut donc particulièrement les protéger. L’outil peut être utilisé par un attaquant ou par le propriétaire du site pour identifier les ressources critiques. Il est disponible sur GitHub.

L’orateur présente ensuite différents moyens de protection contre le DDOS :

  • Ajout d’un load-balancer pour pouvoir facilement augmenter la puissance du serveur web.
  • Souscription à un service commercial anti-DDOS. Ces services sont cependant souvent chers et ne sont pas forcement invulnérables (voir par exemple la présentation Blackhat 2013 : Universal DDoS Mitigation Bypass).
  • Utilisation de modules Apache anti-DDOS. L’orateur mentionne de nombreux modules de ce type et recommande d’utiliser « mod_evasive » en complément des directives standards d’Apache (du type « MaxConnPerIP »).
     
Taking the BDSM out of PCI-DSS through open-source solutions (video, slides)
Présenté par : Erin Jacobs et Zack Fasel (UrbaneSecurity.com)

Les orateurs présentent un retour d’expérience à propos de la certification PCI-DSS, et expliquent en particulier comment les outils open-source peuvent aider à atteindre la conformité. Tout d’abord, les orateurs insistent sur la difficulté à interpréter les exigences PCI : celles-ci sont souvent ambigües, et la réponse la plus fréquente des experts PCI lorsqu’on les interroge sur la signification de telle ou telle exigence est souvent : « Cela dépend du contexte ! ».

Sur l’ensemble des 12 domaines d’exigence de PCI-DSS, 6 posent problèmes :

  • Journalisation (domaine PCI-10) : c’est le domaine qui pose le plus de problème lors de la mise en place de PCI-DSS. Les orateurs recommandent ici les outils fluentd  (pour le stockage des logs) et Ossec (pour le contrôle d’intégrité).
  • Gestion des patches de sécurité (domaine PCI-6) : les orateurs constatent la difficulté, mais ne proposent pas de solution spécifique.
  • Authentification 2-facteurs (domaine PCI-8) : plusieurs solutions sont présentées : accès par certificat (VPN, JumpBox), authentification par SMS, OAUTH et Yubikey.
  • Antivirus (domaine PCI-5) : la difficulté ici est que PCI demande la mise en place d’un antivirus sur tous les systèmes. Comme il n’y a pas d’exigence sur la technologie antivirus utilisée, on peut satisfaire cette exigence en mettant en place, sur certains systèmes, une solution de type « application whitelisting » qui interdit l’exécution de code inconnu.
  • Tests de sécurité (domaine PCI-11) : PCI-DSS demande que les scans de vulnérabilités externes soient réalisés par des organismes agréés. Il n’est donc pas possible de les réaliser soit même au moyen d’outils open-sources.
  • Politique de sécurité (domaine PCI-12) : il n’a pas été fait de commentaire particulier sur ce domaine.

CobraDroid (videoslides)
Présenté par : Jake Valletta (Mandiant)

Plusieurs outils existent déjà pour analyser les applications Android, mais la grande majorité procède par analyse statique. Pour sa part, l’orateur a réalisé un outil d’analyse dynamique baptisé CobraDroid. Le principe de fonctionnement consiste à créer un environnement d’exécution sur PC, pour les applications Android. Cet environnement est une version modifiée du noyau Android. La présentation passe en revue les principales fonctionnalités de cet environnement :

  • Extraction de la mémoire au moyen d’une version modifié de LiME,
  • Interception des communications SSL,
  • Interception d’API (technique de « Hooking ») paramétrable.

Le projet est basé sur une version ancienne d’Android (version 2.3), mais l’auteur envisage de développer une nouvelle version prenant en compte Android 4.0.
 

Realtime analysis and visualization of internet status : from malware to compromised machines. (video, slides)
Présenté par : Tiago Balgan Henriques, Tiago Martins, João Gouveia (PtCoreSec.eu et AnubisNetworks.com)

AnubisNetworks a présenté tout d’abord son produit phare, baptisé « Stream Force ». Il s’agit d’une interface permettant d’interroger et visualiser en temps réel l’ensemble des données collectées par AnubisNetworks sur Internet (comme par exemple la liste des machines infectées par des botnets). StreamForce est conçu pour gérer des très gros volumes de données (par exemple les 6000 événements générés par seconde par le feed « Cyberfeed ») et utilise pour cela des technologies comme Node.js (pour la création d’applications web communicantes ultra-rapides en JavaScript), ou MongoDB et Redis (bases de données dé-structurées de type NoSQL). AnubisNetworks a enfin présenté une visualisation 3D très impressionnante qui montre les infections détectées sur un globe terrestre animé.

PtCoreSec a présenté ensuite un modèle d’architecture répartie dans lequel la tâche à réaliser (par exemple, scanner tout Internet) est répartie entre de multiples acteurs autonomes baptisés les Minions. Au titre de démonstrateur, des Minions spécialisés dans le scan de ports ont été réalisés au moyen de micro serveurs RaspberryPi.

Nota : Le fait de scanner tout Internet, avec des systèmes de scan répartis (comme les Minions) ou via des scanners ultra-rapides (comme zmap ou masscan) est visiblement devenu une activité très courante…

Pour plus d’information :

 

Précedent Précedent Suivant Suivant Imprimer Imprimer