SecurityInsider
Le blog des experts sécurité Wavestone

Compte-rendu de la conférence BSides Las Vegas 2015



Les 5 et 6 août 2015 se tenait la conférence de sécurité BSides à Las Vegas, Nevada. Cette conférence a lieu la même semaine que les BlackHat et DEFCON. Sa particularité est son côté communautaire, et sa totale gratuité (même pour les bières !). Voici notre compte-rendu résumant les interventions qui nous ont marqués.
Cette année, les conférences se déroulaient sur plusieurs "pistes" en parallèle, dans le centre de conférence de l’hôtel/casino Tuscany :
  • Breaking ground : conférences sur les sujets novateurs.
  • Common ground : pour l’ensemble des sujets habituellement présentés lors de ce type d'événement.
  • Ground truth : dédié aux avancées mathématiques et scientifiques applicables à la sécurité informatique.
  • Underground : conférences non enregistrées, pour lesquels les participants ne sont pas autorisés à avoir d’équipement électronique dans la salle.
  • Proving ground : dédié aux intervenants débutants, dont la présentation a été réalisée sous la supervision d’un mentor expérimenté, et d’une durée de 20 minutes.
  • Passwords : dédié à l’ensemble des sujets portant sur les mots de passe, l’authentification, etc. Il s’agissait les années précédentes d’une conférence à part entière, qui fait désormais partie des BSidesLV.
  • I am the Cavalry : une piste dédiée au projet I am the cavalry qui promeut la sécurité dans l’ensemble des domaines IT qui peuvent avoir un impact sur la vie humaine (automobile, équipements médicaux, infrastructures publiques, etc.).
A l’exception des workshops et de la piste "underground", l’intégralité des conférences ont été filmées et certaines sont déjà accessibles en ligne : http://www.irongeek.com/i.php?page=videos/bsideslasvegas2015/mainlist

Pentesting PLCs 101

La premiere journée démarrait par le workshop animé par notre expert Solucom, Arnaud SOULLIE, sur la sécurité des systèmes industriels : Pentesting PLCs 101.
Lors de cette intervention de 4 heures, les spécificités des systèmes industriels ont été présentées, ainsi que les vulnérabilités les plus fréquentes.
Dans un second temps, les participants ont pu utiliser la machine virtuelle fournie afin de tester et de mener des attaques sur de vrais automates.

Machine virtuelle Kali Linux fournie aux participants

Le but était de capturer un drapeau en envoyant des commandes Modbus à un automate :

Capture The Flag !

The state of medical devices security

Durant l’après-midi, nous avons assisté à la conférence "The state of medical devices security", dans la piste "I am the cavalry". De manière intéressante, cette présentation s’est faite en partenariat avec la FDA, Food and Drugs Administration. Le docteur Schwartz, la représentait par téléphone. L’implication de la FDA dans les aspects cyber-sécurité des équipements médicaux est une nouveauté, qui va clairement dans le bon sens ; favoriser les échanges entre les chercheurs, les fabricants et le régulateur permettra d’avancer plus rapidement.
On peut se demander ce qu’il en est en France, pays concepteur/producteur de nombreux équipements médicaux, mais où pour le moment aucune communication officielle du ministère de la santé ou de l’ANSM n’a été faite.
Cette présentation était suivie d’un débat / workshop lors duquel chacun pouvait participer et définir des étapes / projets pour assurer une meilleure sécurité des équipements médicaux.

What would fix passwords? Some weekly password audits. Pretty graphs to prove it! (A Haiku)

Rick Redman, consultant sénior chez KoreLogic, et responsable de la compétition de "cassage" de mot de passe à la DEFCON, présentait ses travaux sur l’amélioration du niveau de sécurité des mots de passe. Pour cela, il préconise de mener un travail de cassage de mot de passe régulier afin d’obtenir des métriques fidèles et de pouvoir évaluer l’impact des actions qui sont menées.
Pour ce type de prestation, un audit des mots de passe est réalisé chaque semaine afin de présenter des résultats au management. Pour cela, les étapes suivantes sont mises en oeuvre :
  • Récupération, de manière sécurisée, du fichier "ntdis.dit" qui contient l’ensemble des condensats de mot de passe des utilisateurs d’un domaine Windows Active Directory.
  • Analyse de ce fichier et extraction des informations (un processus très long) ; insertion de ces informations dans une base de données SQLite.
  • Suppression des comptes dont le mot de passe n’a pas changé.
  • Cassage de ces mots de passe sur un système comprenant une dizaine de cartes graphiques
Ensuite, les statistiques suivantes sont présentées :
  • Nombre total de comptes.
  • Nombre de comptes désactivés.
  • Nombre de comptes dont le mot de passe a pu être cassé.
  • Nombre de comptes désactivés dont le mot de passe a pu être cassé.
  • Nombre d’occurrences des 10 mots de passe les plus courants.
Ce type d’analyse permet d’avoir des métriques précises sur le niveau de complexité des mots de passe. On peut ainsi mesurer l’efficacité de certaines mesures (campagnes de sensibilisation, changement des mots de passe par défaut de certains comptes, etc.).
On peut cependant regretter que cette approche soit uniquement passive ; on pourrait facilement utiliser ces éléments couplés à un "passwordfilter", de manière à empêcher l’utilisation des mots de passe les plus faibles ou les plus courants, et ainsi intervenir en amont du problème.

Breachego

Lors de cette présentation, l’intervenant présentait un certain nombre de "transformations" développées pour Maltego.
Maltego est un outil permettant de représenter les liens et les relations au sein de données telles que des personnes, des adresses IP, etc. C’est un outil souvent utilisé dans les phases de reconnaissance et d’OSINT (Open Source INTelligence) pour automatiser des actions.
Les transformations développées par l'intervenant permettent de réaliser des requêtes vers trois services permettant de vérifier si son identité a été compromise lors d’une fuite de données :
On peut ainsi facilement, à partir d’une adresse email, vérifier si le mot de passe associé à été compromis et déterminer lors de quelle fuite de données. On peut également coupler cela à une recherche des mots de passe ou des emails sur pastebin ou d’autres services en ligne.


Ces transformations sont disponibles sur le dépôt Github de l’auteur :

Poppin’ digital locks (Devin Egan)

Lors de cette conférence, la sécurité des applications mobiles de type "coffre-fort" a été évaluée sur un échantillon d’environ 30 applications. Au total, c’est plus de 66% des applications qui ont été identifiées comme vulnérables. Plusieurs techniques d’attaques ont été employées, toutes partant d’un iPhone jailbreaké :
  • Attaque sur les "vues" : l’instrumentation permet de modifier dynamiquement les vues et ainsi de passer directement de la vue demandant à entrer le code à celle affichant les informations.
  • Attaques sur les méthodes : là encore, l’instrumentation permet d’appeler directement les routines qui vont récupérer les informations sensibles stockées.
  • Mise à zéro du compteur : il est également possible de réaliser des attaques par brute-force en remettant à zéro le compteur d’essais infructueux.
  • Export du keychain : le keychain est un élément faisant partie du système iOS et qui permet de stocker des informations sensibles. En revanche, dans le cas d’un système compromis, il est facile d’exporter ces informations.

Biohacking

Cette conférence se déroulait dans la piste "underground", dans laquelle aucun appareil électronique n’est autorisé durant les conférences ; seules les notes papier sont autorisées.
La discussion a porté sur les risques associés aux modifications corporelles, notamment l’implant de puces RFID ou NFC.
Un aspect important à prendre en compte est l’aspect sanitaire ; la plupart des substances utilisées dans ces puces sont toxiques et la solidité de l’implant au cours du temps et donc primordiale. De même, en fonction du lieu d’implantation, les risques de rejet ou d’infection peuvent être importants.
Un des intervenants disposait d’une puce NFC implantée dans la main, entre le pouce et l’index. Ce type d’implant n’est pour le moment pas détecté par les détecteurs de métaux, ni les "full body scanners" que l’on peut rencontrer dans les aéroports.
Un scénario et une démonstration d’attaque, très alambiquée, ont été réalisée. Celle-ci visait à utiliser l'ingénierie sociale pour télécharger une application malveillante sur un smartphone en utilisation la puce NFC pour entrer l’URL malveillante.

Building an Empire with Powershell (Will Schroeder aka @harmj0y & Justin Warner aka @sixdub)

Le langage Powershell, présent par défaut sur les systèmes Windows depuis Windows 7, est de plus en plus utilisé à des fins malveillantes par les attaquants de toute sortes.
Afin de pouvoir répondre aux besoins de leurs clients, déjà matures en termes de sécurité opérationnelle et de détection d’attaque, les pentesters du Veris Group ont décidé de développer un outil de post-exploitation en Powershell. Pour cela, ils se sont basés sur les travaux de code offensif Powershell déjà existants de Obscuresec, Carlos Perez et bien d’autres.
Empire, nom de cet outil, est publié aujourd’hui sur Github.


Cet outil se compose d’un agent, développé en Powershell, ainsi qu’une infrastructure d’administration développée elle en Python.
Le fonctionnement est celui d’un RAT classique, et il est comparable au Meterpreter. Un "stub" est envoyé à la cible qui va ensuite télécharger et exécuter la vraie payload. L’ensemble des échanges sont chiffrés :


Un effort particulier a été fait sur la journalisation des événements, très complète ; une empreinte de tout fichier uploadé sur un système sera calculée et stockée. De la même manière, en exploitant les capacités de Powershell, il est possible de mener la plupart des actions sans laisser aucune trace sur le disque, ce qui permet d’éviter la détection antivirale.
Grâce à leurs travaux précédents, il est même possible d’utiliser cet outil si Powershell n’est pas installé sur la cible, en utilisant un fichier exécutable capable de faire le lien avec les bibliothèques .NET.
Environ 90 modules sont déjà disponibles pour l’agent (collecte d’informations, extraction de mots de passe à la Mimikatz, etc.).

Remote Access, the APT

Cette intervention fut sans doute la plus impressionnante de toute la conférence. Ian Latter a exposé son projet d’infiltration et d’exfiltration de données sans connexion réseau, via des accès distants (Citrix, Bureau à Distance, etc).
Le postulat de base pris ici est le fait que n’importe quelle information échangée pourrait contenir des données à exfiltrer, comme par exemple l’image affichée à l’écran.
Afin de bénéficier d’une technologie déjà éprouvée, et qui contient un code de correction d’erreur, ce sont les QRCodes qui ont été choisis comme support pour cet outil. Ainsi, sur la machine contenant les données à exfiltrer, un programme va afficher, à intervalle régulier, des QRCodes à l’écran. Sur la machine distante, l’image va être capturée (soit via une capture d’écran, soit par un boitier physique dédié, plus fiable) puis analysée pour retranscrire les données.
On obtient ainsi un canal de communication, unidirectionnel pour le moment, qui permet d’exfiltrer des données dès lors que l’on bénéficie d’un accès distant.
L’exfiltration peut se faire depuis un simple terminal Linux :


L’exfiltration peut également se faire via une application web, à un débit plus important (12Mbps).


 Afin d’introduire ces programmes sur l’ordinateur distant, dans le cas où l’utilisateur ne peut pas copier de fichier, c’est l’interface clavier qui est utilisée. Un équipement externe de type Arduino, émulant un périphérique clavier HID, permet de transférer un programme via l’envoi de frappes clavier à haute vitesse :


L’auteur va même plus loin en combinant ces deux techniques (infiltration USB et exfiltration vidéo), permettant d’obtenir une réelle communication TCP entre les deux machines :


L’ensemble du code et des éléments matériels utilisés sont indiqués sur le site dédié : http://thruglassxfer.com.
Un projet très intéressant, qui permet de démontrer très clairement qu’un accès distant, même en visualisation seule, ne permet absolument pas de se protéger du vol de données.

Crash the IoT Train yourself, projet initié par Paul Asadoorian et Nick Curran

Cette présentation a commencé par une revue des vulnérabilité les plus fréquentes dans les firmware d’objets connectés :
  • Présence de portes dérobées (backdoors).
  • Utilisation de mots de passe par défaut.
  • Gestion à distance non-sécurisée.
  • Utilisation de drivers propriétaires dont le niveau de sécurité ne peut pas être évalué.
  • Fonctions vulnérables au dépassement de tampon.
  • Absence de signature du firmware.
  • Procédure de mise à jour du firmware complexe.
  • Utilisation de protocoles non-sécurisés.
Afin de sensibiliser à ces vulnérabilités, les auteurs ont décidé de créer un firmware intentionnellement vulnérable, à l’instar de ce qui existe déjà pour les applications web (gruyère, webgoat, etc.).
Le projet est disponible sur Github, et peut facilement être lancé depuis un poste de travail standard via l’utilisation d’un émulateur comme Qemu.


Prochain compte-rendu, la DEFCON !


Arnaud SOULLIE

1 commentaire: