SecurityInsider
Le blog des experts sécurité Wavestone

Compte-rendu de la Rooted Con 2015 : Journée #1




La conférence de sécurité RootedCon a eu lieu les 5, 6 et 7 mars 2015 à Madrid et cette année, Solucom était présent. Voici un compte-rendu des conférences auxquelles nous avons assisté.

Keynote






10:00 – 10:30 par staff Rooted CON



Roman Ramirez, fondateur de Rooted Con, ouvre cette 6ème édition en saluant et remerciant les participants tout en insistant sur le fait qu'il est normal, dans le petit monde de l'infosec comme dans les autres domaines, de se déplacer parfois loin et de dépenser un peu d'argent pour assister à des conférences.





Il présente ensuite quelques chiffres clés sur la précédente édition, notamment le nombre de vues :
  • Des supports de présentation diffusés sur Slideshare. Il relève qu’étonnamment, l'Ukraine est le pays ayant visionné le plus de présentation ;
  • Des enregistrements vidéo des présentations sur Youtube avec plus de 600 000 vues toutes vidéos confondues.

Il remercie ensuite les partenaires de l'évènement, s'excuse pour les problèmes d'impression des logos du CCN-CERT et de Deloitte et informe des activités en marge des présentations :
  • Rooted Labs, correspondant aux différents trainings payants ;
  • Rooted Warfare, consistant en la présentation et à l'initiation d'outils techniques, en fin de journée ;
  • Rooted Call for Research, consistant en un brainstorming autour de projets, lors des pauses.

Moment rare pour une keynote, Roman évoque ensuite les différentes critiques qu'il a pu lire çà et là sur l'augmentation du ticket d'entrée au fur et à mesure des éditions.
Apparemment affecté par ces échos, il présente ensuite toute une partie visant à apporter le maximum de transparence sur le budget de l'évènement et sa répartition, en rappelant notamment le tarif horaire assez bas (4,80€, billet 100 € / 3 jours * 7 heures de conférence).
Poussant la réflexion au bout, il décrit plusieurs scénarios pour tenter de faire baisser le prix du billet d'entrée :
  • Plus de sponsors ? Non, dans la mesure où il souhaite que cette conférence reste la moins "marketing" possible ;
  • Plus aucun goodie (ndlr : alors qu'il n'y en a déjà pas énormément...) ? Non, ce n'est pas cool ;
  • Louer une salle moins coûteuse ? Celle-ci représente en effet 40% des dépenses, mais elle est spacieuse (ndlr : l'hôtel auditorium est le plus vaste hôtel en Europe), bien équipée et l'hôtel fait de très bonnes remises pour les participants (ndlr : c'est plutôt vrai).

Enfin et pour clore ce débat sur le prix du billet, il propose de supprimer les réductions étudiantes...massivement utilisées par des 'fraudeurs', qui se déclarent étudiants mais prennent le soin de demander une facture...



Infection BIOS, UEFI et autres : du mythe à la réalité





Titre original : Infección en BIOS, UEFI y derivados: desde el mito a la realidad
10:30 – 11:30 par David Barroso



Cette présentation avait pour objectif de rappeler l'historique des vulnérabilités et exploits visant le BIOS et plus généralement les modules physiques (SMM, PCI) ainsi que les contremesures mises en place au fil du temps.
Après avoir rapidement énoncé les récents buzz autour du BIOS : #badBIOS et les révélations d'Edward. Snowden sur les différents projets relatifs au piégeage du BIOS par la NSA (IRONCHEF, Bersekr etc.), l'auteur a pris le soin de rappeler les niveaux d'exécution de code, appelés "Rings", sur un système informatique :
  • Ring 3, correspondant à l'environnement utilisateur (user-land) ;
  • Ring 2, correspondant aux entrées/sorties ;
  • Ring 1, correspondant aux drivers ;
  • Ring 0, correspondant au noyau (Kernel).

La classification 'traditionnelle' des niveaux s'arrête au niveau 0, mais les nouveautés en termes d'architecture matérielle (permise par la virtualisation) et la récente connaissance (ou confirmation) d'attaques à des niveaux plus bas permet l'ajout de nouveaux rings :
  • Ring -1, correspondant à une attaque de l'hyperviseur ;
  • Ring - 1,5, correspondant aux attaques via bootkits ;
  • Ring -2, correspondant aux attaques de la SMM (System Managed Mode) ;
  • Ring -2,5, correspondant au BIOS/UEFI ;
  • Ring -3, correspondant aux attaques matérielles directement les chipsets (PCB).


1)     BIOS

L'intérêt de compromettre le BIOS d'un système est justifié par les observations suivantes :
  • Avant sa standardisation par le consortium UEFI, les BIOS étaient spécifiques à chaque constructeurs, permettant ainsi un ciblage précis des équipements à compromettre ;
  • La détection et récupération du code malveillant injecté n'est pas simple, de même que son analyse/débogage ;
  • Le code malveillant survit au reboot et à la réinstallation de l'OS ;
  • Il ne laisse aucune trace sur le disque, compliquant ainsi les analyses inforensiques.


Les attaques marquantes sur le BIOS ont été évoquées :
  • 1994 : le BIOS du constructeur AMI est 'trojanisé' par la Corée du Sud, qui fait jouer l'air de "joyeux anniversaire" tous les 13 novembre ;
  • 1998 - CMOS DEAD : un virus infecte les fichiers .com de MS-DOS ;
  • 1998 - CIH : un virus infecte les fichiers exécutables PE de Windows. 60 Millions de victimes ;
  • 2009 - Legacy BIOS : un virus attaque les BIOS AWARD et Phoénix et altère la routine de décompression LZH dans le but de :
    • Modifier le fichier /etc/shadow ;
    • Injecter du code dans les binaires Windows.
  • 2011 - Mebromi/MyBIOS : un virus injecte le driver 'bios.sys', qui flash ensuite le BIOS.


Entre temps les constructeurs ont tenté d'empêcher ces attaques. En 2006, les constructeurs décident de positionner 2 BIOS sur la même carte mère. Le code du principal est vérifié contre le code du second, qui doit être le même :
  • Les attaquants ont simplement mis à jour leurs méthodes pour compromettre ces 2 BIOS ;
  • Les constructeurs sont passés à 4 BIOS ;
  • Les attaquants ont mis à jour leur méthodes pour compromettre ces 4 BIOS ;
  •   ...

En 2009, l'UEFI apparait avec les protections que l'on connait : signature avec différentes clés PK (Platform Key) et KEK (Key Exchange Key) et vérification de ces signatures à chaque étape du boot.
Des vulnérabilités sont recensées mais ciblent spécifiquement les implémentations constructeurs : par exemple le BIOS Dell vulnérable à un integer-overflow permettant une injection de code depuis le user-land (Ring 3).
L'auteur rappelle que des guides de sécurisation du BIOS, bien que très théoriques, ont été rédigés par le NIST et sont accessibles publiquement et que quelques outils existent pour tester la sécurité :
  • USRT ;
  • Copernicus, du MITRE ;
  • Subzero ;
  • CHIPSEC ;
  • RDFU.


2)     SMM

Ce type de module gère les évènements hardware (température, puissance etc.) et dispose d'un espace SMRAM qui est invisible des modes d'adressage courants mais qui peut accéder à toute la mémoire. Contrairement au BIOS le code injecté en SMRAM ne survit pas au reboot.

3)     ACPI

Le BIOS peut être compromis via le module ACPI dans la mesure où ce module permet, en fonctionnement normal, de reflasher un BIOS.

4)     PCI

Enfin, l'auteur a indiqué que cette interface pouvait également être utilisée pour compromettre le BIOS dans la mesure où l'appel d'une interruption spéciale au démarrage permet de prendre le contrôle de la suite du boot. C'est notamment la méthode qui a été utilisée en 2014 par l'exploit 'Thunderstrike' qui réécrit la clé RSA impliquée dans les vérifications de signature UEFI. .









Criminal Procedure Act: service Pack 2





Titre original : Ley de Enjuiciamiento Criminal (LECr) service Pack 2
12:00 – 13:00 par Jorge Bemúdez



Cette conférence faisait écho à la mise à jour d'une loi espagnole relative à l'utilisation de traces de communication comme preuves judiciaires.
Dans les grandes lignes, la première version autorisait uniquement les courriers postaux et télégrammes comme élément de preuves, c'est-à-dire interceptables et faisant foi dans le cadre d'enquêtes ; la seconde version inclue désormais les communications électroniques et permet ainsi d'investiguer sur les cybercrimes et cyberdélits, affaires pour lesquelles la justice espagnole ne pouvait pas "officiellement" investiguer jusqu'à maintenant.
Jorge Bermudez, avocat de profession, a ensuite évoqué les problématiques inhérentes à l'utilisation de preuves numériques, notamment sur en termes "d’imputabilité des traces et données numériques à une personne physique".
En énonçant les principales limites techniques face à cette mise à jour, l'auteur a rappelé que de nombreuses situations litigieuses sont à prévoir concernant ce type de preuve et a ainsi finalement posé plus de questions qu'apporté de réponses.







 Bug Bounties 101





13:00 – 14:00 par Christian Lopez
Speaker malade, présentation annulée.




 

Turla:Development & Operations – the bigger picture





15:30 – 16:30 par Andrzej Dereszowski



Cette présentation a eu pour objectif de détailler les opérations et outils de la campagne APT "TURLA", qualifiée par l'auteur comme étant "la campagne d'espionnage la plus efficace jusqu'à présent".
Après avoir rappelé l'historique des publications sur cette campagne, la première datant de 2008, Andrzej a également souhaité clarifier le fait que les malwares utilisés ont pu être nommés différemment selon les éditeurs AV :
  • Agent.BTZ ;
  • PFinet;
  • Snake.



Tous ces malwares comprennent des similitudes et se rapportent au "groupe TURLA" : certains ont une méthode de configuration plus user-friendly que d'autres, témoignant ainsi de la vente d'une version repackagée pour une utilisation purement cybercriminelle.
Bien que l'attribution de ce groupe n'est pas sure à 100%, quelques traces pointent un groupe de cybermercenaire russe, apparemment non lié à l'état (pour preuve, Kaspersky a documenté sur cette attaque) :
  • Les pays les plus touchés sont les pays de l'Est, et notamment l'Ukraine ;
  • Des fichiers comprennent un nom russe ;
  • Un webshell utilisé est configuré par défaut avec le codepage cyrillique;



Au niveau de la méthode d'infection, c'est encore une fois du classique : mail de spearphishing embarquant un malware "simple" (ne représentant ainsi pas une grande perte de savoir-faire en cas de détection), puis utilisation de malwares plus sophistiqués, utilisant entre autres l'injection de drivers.
Sur ce point, l'auteur a insisté sur le fait que la protection système actuelle 'Driver Signature Enforcement' de Windows est inutile : comme Equation Group, TURLA utilise une vulnérabilité publique liée à une DLL VirtualBox, signée par Microsoft, pour injecter un driver. Tant que la signature de ce fichier DLL ne sera pas révoquée, la vulnérabilité pourra être utilisée.
L'auteur a enfin évoqué la manière dont cette campagne avait pu être détectée : les malwares ont des fuites mémoires qui ont fait crasher ou engendrer une utilisation à 100% du CPU. Pire, Andrzej révèle qu'un de ses clients avait remonté un problème d'incompatibilité entre une solution antivirale qui faisait crasher le serveur...et le malware lui-même (non détecté à ce moment) : ironie du sort, l'éditeur AV en question a même été jusqu'à fournir un patch permettant la coexistence de son produit et d'un malware TURLA sur un système.











How I met your eWallet





16:30 – 17:00 par Yaiza Rubio y Felix Brezo



Les deux étudiants ont présentés les différents types de portefeuilles existants pour les monnaies électroniques, comme le bitcoin, et les différentes attaques possibles.
Il était notamment question de :
  • Mots de passe triviaux permettant de vérifier les transactions. À des fins de PoC, les auteurs ont créé 3 comptes en les créditant de sommes infinitésimales de bitcoins,  chacun de ces comptes possédant un mot de passe faible.
    • Les deux premiers ont été dérobés en 10 secondes ;
    •  Le dernier, disposant d’un mot de passe un plus robuste que les deux autres, a été dérobé 3 heures après sa création ;
  • Et d'observations statistiques concernant les attaques passées et futures :
    • Les attaques les plus importantes contre des marchés ont eu lieu quand le bitcoin était au plus haut taux de conversion ;

En conclusion, les auteurs ont indiqué que les exploit-kits et autres malwares intègrent de plus en plus le vol de e-portefeuille :










Rooted Panel I – Does someone have to give a hacker license?





17:30 – 19:00



Cette première journée s'est achevée par une table ronde portant sur un sujet visiblement très controversé en ce moment en Espagne : la réglementation du marché privé de la sécurité de l'information.
À l'image de PASSI en France, mais cette fois-ci apparemment à l'initiative des sociétés de sécurité privée espagnoles elle-même, une loi pénale est en cours de préparation et vise à requérir une accréditation spécifique, un "permis hacker", pour toute personne souhaitant en faire son métier.
Le principal problème, confirmé après discussion directe avec certains protagonistes de la table ronde, est que cette proposition de loi est actuellement très floue et laisse les questions suivantes sans réponse : qui des individus ou des entreprises va être concerné par cette loi ? Dans le cas d'individus, absolument toute personne manifestant un intérêt dans la sécurité de l'information va devoir s'enregistrer, payer et devoir être accrédité ? D'ailleurs, ce permis va être payant ?
Nageant dans ce flou, les thèmes suivants ont été abordés :
  • Qui peut se considérer comme étant un hacker ?
  • Comment reconnaitre les talents ?
  • Quelles qualités doit avoir un hacker ? Sur ce point le capitaine de la Garde Civile affirme qu'il ne souhaite pas travailler avec le meilleur des hackers, si celui-ci ne sait pas s'intégrer et travailler en groupe. Cette remarque n'est pas totalement gratuite dans un pays où il y a peu de sociétés privées et que beaucoup de professionnels travaillent en tant que freelancers indépendants.
  • Est-ce qu'un outil tel que nmap est ou va être considéré comme une cyberarme selon cette nouvelle loi pénale ?
  • Pourquoi n'existe-t-il pas de formation universitaire dans le domaine de la sécurité de l'information ?
  • Est-ce que les attaquants sont aussi de bons défenseurs ? Pays et ville à religion footballistique oblige, cette question a rapidement été reformulée en remplaçant "attaquant" par "Cristiano Ronaldo" et "défenseur" par "Sergio Ramos".

En guise de conclusion, le phénomène de la « fuite des cerveaux » vers des pays plus attractifs et offrant plus d'opportunités aux chercheurs de sécurité, tels les États-Unis, a été évoqué.








Thomas DEBIZE

Aucun commentaire:

Enregistrer un commentaire