SecurityInsider
Le blog des experts sécurité Wavestone

Compte-rendu de la conférence DEFCON 23



La DEFCON est l’une des plus anciennes conférences de sécurité. Existant depuis 1993, elle en était donc cette année à sa 23ème édition, et se déroulait à Las Vegas, dans les centres de conférences des hôtels Paris et Bally’s. Bien qu’aucun chiffre officiel ne soit publié, ce serait plus de 18 000 personnes qui y auraient assisté, ce qui en fait de loin la conférence de sécurité la plus fréquentée.

Immense. Difficile de qualifier autrement cet événement. Voici une liste, non exhaustive, des différents événements : 
  • 5 tracks de conférences en parallèle
  • Les “skytalks”, conférences non filmées et pour lesquelles l’usage d’appareils électroniques est interdit
  • Les villages
    • ICS  : systèmes industriels
    • SE : Ingénierie sociale
    • IoT : objets connectés
    • Hardware hacking
    • Car hacking
    • Tamper evident
    • Wall of Sheep / Packet capture
    • ...
  • Les concours
    • Capture The Flag privé
    • Capture The Flag publique
    • Crash & Compile
    • Scavenger Hunt
    • et bien d’autres …


Voici un résumé des conférences auxquelles nous avons assisté. La quasi-totalité des présentations sont disponibles sur le serveur media de la DEFCON.

NSM for ICS 101
La première conférence à laquelle nous avons assisté portait sur la supervision sécurité réseau pour les SI industriels, présentée par Chris Systrunk.
Après avoir brièvement introduit la notion de supervision réseau sécurité, l’intervenant a listé les défis principaux devant être relevés lors de la mise en place d’une supervision : 
  • Chiffrement des données
  • Utilisation répandue de NAT
  • Équipements se connectant à différents réseaux
  • Volume de données élevé
  • Inquiétude sur les atteintes à la vie privée

Dans le cas des SI industriels, la plupart de ces sujets n’ont pas besoin d’être traités. On est souvent sur des réseaux à l’architecture figée, utilisant des protocoles non chiffrés, à faible volume de données et des besoins en confidentialité faibles. La mise en place d’une supervision sécurité pourrait donc se faire de manière plus simple et plus fiable que sur un SI bureautique.

La suite de la présentation s’éloigne un peu de la définition stricte de NSM (Network Security Monitoring) pour adresser la supervision sécurité dans son ensemble.
Quels sont les éléments recherchés ?
  • Des écarts vis-à-vis d’un état standard
  • Les équipements échangeant le plus d’information
  • IPs et noms de domaine malveillants
  • Mises à jour non planifiées
  • etc… 
Vient ensuite l’analyse de ces éléments pour identifier s’ils sont réellement malveillants.
La plupart des outils de détection réseau (IDS/IPS) disposent de modules dédiés aux protocoles industriels :  

De même, certains équipements industriels supportent des fonctions de journalisation par SYSLOG, un élément à prendre en compte dans la rédaction d’un cahier des charges :  


Red vs. Blue: Modern Active Directory Attacks & Defense

Dans cette présentation, Sean Metcalf nous détaille les dernières techniques d’attaque et de persistence sur les domaines Windows Active Directory, ainsi que les possibilités de défense et de détection.

Techniques d’attaque

SPN Spanning 
Cette technique d’énumération des services permet d’éviter de réaliser un scan de port (qui peut être facilement détecté par des équipements de sécurité réseau). Pour cela, il suffit de connaître un compte Active Directory non-privilégié pour pouvoir envoyer des requêtes d’énumération  au contrôleur de domaine, qui va retourner des informations concernant les services accessibles (serveurs SQL, Exchange, services RDP). On peut ainsi obtenir la liste des services accessibles ainsi que certaines informations comme les versions, ce qui permet de cibler plus facilement les systèmes obsolètes (Windows XP, 2000, et désormais 2003).

Cassage de mot de passe de comptes de services
Cette technique, aussi appelée Kerberoast, consiste à demander un ticket de service (TGS) au contrôleur de domaine pour un service auquel l’utilisateur n’a pas accès. Le protocole Kerberos spécifie que ce ticket sera chiffré avec le secret correspondant au service de destination (chez Microsoft, il s’agit du hash NTLM). Au lieu d’envoyer ce ticket au serveur de destination pour s’authentifier, l’attaque va tenter de casser le hash NTLM ayant servi à chiffrer le ticket, pour ainsi récupérer un compte à privilège. Pour que la technique soit efficace, il faut cibler les comptes qui ont des mots de passe faibles. On élimine ainsi de suite les comptes machine, dont le mot de passe est défini aléatoirement, et on cible par exemple les comptes présents dans une unité d’organisation (OU) correspondant aux utilisateurs.
Il faut néanmoins préciser qu’actuellement, les outils disponibles pour cracker les TGS ne sont pas aussi optimisés que ceux permettant de cracker directement un hash NTLM, et une approche par wordlist est la seule possible.
Cette technique ne nécessite qu’un compte Active Directory à faible privilèges, et n’envoie aucun paquet vers le serveur cible, uniquement du trafic Kerberos vers le contrôleur de domaine. Il est également possible de récupérer ces informations à l’aide d’une capture réseau, technique encore plus discrète que d’envoyer des requêtes au contrôleur de domaine.

Autres outils et techniques
Les techniques plus classiques ont également été rapidement passées en revue : 
  • Récupération des mots de passe admin locaux par GPP ;
  • Extraction d’authentifiants à l’aide de Mimikatz ;
  • Exploitation des bases NTDS.dit .

Mécanismes de persistance
Les mécanismes de persistance suivants, permettant à un attaquant de conserver des privilèges élevés de manière discrète, ont été détaillés : 
  • Utilisation du compte DSRM (Directory Services Restore Mode). Ce mot de passe est défini lors de la “promotion” d’un serveur en tant que contrôleur de domaine, et n’est jamais changé. Il est administrateur local du contrôleur de domaine et par conséquent administrateur du domaine. L’utilisation de ce compte nécessitait un redémarrage avant Windows Server 2008.
  • Fournisseurs SSP (Security Service Provider) malveillants : l’installation d’un SSP malveillant permet de modifier la séquence d’authentification sur un serveur, par exemple en enregistrant dans un fichier l’ensemble des mots de passe des utilisateurs qui s’authentifient. Mimikatz permet l’installation de ce type de fournisseur, directement en mémoire.
  • Skeleton key : technique utilisée récemment par certains malwares. Le déploiement d’un “patch” pour le processus lsass.exe, directement en mémoire, permet de définir un mot de passe qui sera valide pour tous les comptes, en plus du mot de passe légitime. Ainsi, cette technique sera transparente. En revanche, la modification se faisant directement en mémoire, elle ne survivra pas à un redémarrage.
  • SID History : Afin de faciliter les migrations en environnement Active Directory, il est possible de préciser un attribut “SID History” pour un utilisateur. Mimikatz permet, si on dispose de privilèges suffisants, d’ajouter n’importe quel SID dans ce paramètre. On peut alors disposer d’un compte à faibles privilèges qui pourra en réalité se faire passer pour un administrateur du domaine.
  • MS14-068 : Vulnérabilité couverte dans un article de ce blog [http://www.securityinsider-solucom.fr/2015/03/ms14-068-comment-kerberos-permis-la.html], pour laquelle Sylvain Monné avait développé le premier POC disponible, PyKEK. Cette attaque permet, sur un système non-patché, à tout utilisateur du domaine de devenir administrateur du domaine.
  • Golden Ticket : Création d’un TGT, valable 10 ans, permettant de s’authentifier sur n’importe quel service en tant que n’importe quel utilisateur, tant que le mot de passe associé au compte krbtgt n’aura pas été changé deux fois. De plus, en combinant cette technique et celle de l’historique des SID, il est désormais possible de créer un golden ticket qui sera valable dans l’ensemble des domaines Active Directory d’une même forêt.


Défense
Détection de l’exploitation de MS14-068 et des Silver & Golden tickets
Certains attributs des requêtes Kerberos sont différents entre des requêtes légitimes et celles forgées par les outils (PyKEK, kékéo). Néanmoins, ces différences pourraient être corrigées par les auteurs des différents outils.

Sécurité de Powershell
Certains mécanismes de sécurité spécifiques à PowerShell peuvent également être utilisés : 
  • Limitation des fonctions WinRM ;
  • Utilisation d’Applocker pour auditer/restreindre l’exécution de scripts ;
  • Activation de la journalisation dans PowerShell 3+ et recherche de mots clés ;
  • Analyse de l’usage de PowerShell (vision quantitative) ;
  • Améliorations sécurité dans PowerShell 5 : journalisation, intégration à l’anti-malware, ….
Niveaux de protection

Niveau 1
  • Limitation des groupes et des utilisateurs disposant de rôles Admins de domaine
  • Séparer les comptes utilisateurs des comptes d’administration
  • Pas de compte utilisateur dans les groupes d’administration
  • Définir tous les comptes comme “sensibles et ne pouvant être délégués”
  • Déployer les correctifs de sécurité KB2871997 & KB2871997
  • Utiliser des mots de passe complexe et longs (+ de 25 caractères) pour les comptes de services
  • Supprimer les GPO définissant des mots de passe locaux
  • Appliquer l’ensemble des correctifs avant de promouvoir un serveur comme contrôleur de domaine
  • Implémenter le mode restreint sur Bureau à Distance
Niveau 2
  • Changement régulier des mots de passe des comptes admins locaux (utilisation de la solution LAPS de Microsoft par exemple)
  • Comptes de service : utiliser les politiques avancés de mot de passe, ne pas partager les comptes de service entre machines de niveau de sécurité différents
  • Élimination des serveurs Windows 2003 (fin de support)
  • Utilisation de poste d’administration dédiés, non-connectés à Internet
  • Journalisation de PowerShell
Niveau 3
  • Aucun utilisateur dans le groupe “Admins de domaine”
  • Les admins de domaine sont ajoutés dans le groupe uniquement en cas de besoin, se connectent uniquement aux contrôleurs de domaine. Ils utilisent une authentification par carte à puce et une rotation régulière des mots de passe
  • Aucun compte de service Admin de domaine sur un serveur qui n’est pas contrôleur de domaine
  • Désactivation et/ou suppression de l’ensemble des comptes admins locaux
  • Mise en place d’un filtrage réseau
  • Journalisation des actions CMD
Cette présentation constitue un récapitulatif efficace des techniques d’attaque. Les recommandations formulées sont en phase avec celles mises en place par nos clients, dont certains ont déjà implémenté la plupart des mesures du niveau 3. Malheureusement, l’implémentation de ces recommandations n’est pas simple et peut impacter de manière importante l’organisation des équipes.

Hack your way out of home detention
Lors de cette présentation, William Turner nous présente ses travaux sur la sécurité d’un équipement de “home detention” (bracelet électronique). Cet équipement a été acquis directement auprès du fabricant; aucune information sur les institutions l’utilisant n’est connue. Il est important de préciser qu’aux Etats-Unis, chaque état/force de l’ordre peut utiliser un équipement différent.
Aux Etats-Unis, ce sont plus de 200 000 personnes qui disposent d’un bracelet de ce type, qui est beaucoup moins couteux qu’une incarcération. Les systèmes d’ancienne génération utilisaient la ligne téléphonique et une liaison radio, tandis que les systèmes plus récents se basent sur des liaisons mobiles, et un GPS.

L’équipement étudié utilise le GPS pour localiser la personne, une station de base avec liaison radio vers le bracelet et dispose d’un système de détection d’ouverture. Les communications se font via SMS ou directement via un socket TCP sur liaison GPRS. Les commandes sont authentifiées via login/ mot de passe.


Unité de base


Bracelet

Liste des commandes et fonctionnalités disponibles : 
  • username
  • password
  • network APN
  • SMS-TCP mode
  • SMS numbers
  • status report interval 
  • Geo-Fence coords 
  • buzzer 
  • vibration alert 
  • log to file settings
  •  clear log 
  • fiber optic break detection 
  • reed switch detection


En utilisant un équipement SDR (BladeRF), couplé au logiciel YatesBTS, il est possible de créer un faux réseau.En isolant l’équipement avec une cage de Faraday (ou du papier aluminium tout simplement), on peut forcer l’équipement à se connecter sur le faux réseau et ainsi créer et intercepter les données échangées. Le socket TCP n’est pas chiffré.

Pour usurper l’identité de l’expéditeur via SMS, le plus simple est de faire appel à un fournisseur tiers, pour un coût d’environ 30 centimes par message; il faut cependant connaître le numéro expéditeur.

Espérons donc que cet équipement ne soit pas utilisé tel quel par les agences gouvernementales, et que ceux utilisés en France aient bénéficié d’un audit de sécurité officiel avant leur utilisation :)

How to secure the keyboard chain ?

Une présentation par deux étudiants de l’école d’ingénieur ESIEA sur la sécurisation des frappes clavier à l’encontre des “keyloggers”, logiciels visant à intercepter les frappes clavier et notamment les mots de passe.

Ces keyloggers peuvent opérer à plusieurs niveaux : 
Espace utilisateur : facile à mettre en oeuvre, efficace, mais également facile à détecter et à contourner
Espace noyau : difficile à mettre en oeuvre, très efficace, difficile à détecter et à contourner
Solutions matérielles : nécessitent un accès à l’ordinateur mais sont les plus efficaces techniquement

La solution proposée pour s’affranchir de la menace des keyloggers est le chiffrement des frappes clavier, au plus près du matériel.
Pour cela, les étudiants ont développé un driver spécifique.

Premier problème, seul un faible nombre de touches sont broadcastées par Windows, les autres sont inhibées; il n’est donc pas possible de simplement chiffrer les touches, il faut définir une liste blanche de touches à chiffrer.
Ce problème est contourné par une technique de mélangeage, comme celle utilisée avec les jeux de cartes.


Côté application cliente, une API est utilisée pour déchiffrer les frappes clavier.


Pour s’assurer de l’intégrité de ce système, il est possible de superviser la pile du driver du clavier, de protéger contre l’injection de dll dans l’API, et de superviser les changements de la base de registre.

Une preuve de concept a été développée par les deux étudiants, qui permet de vérifier la validité d’un mot de passe en environnement noyau, rendant ainsi le mot de passe inaccessible en espace utilisateur : 



Le code de ce projet très intéressant est disponible sous licence libre : https://bitbucket.org/WhiteKernel/gostxboard


When IoT Attacks: Hacking A Linux-Powered Rifle

Voici encore une conférence ayant fait l’objet d’une attention poussée de la presse à quelques jours de la BlackHat. L’objet était d’évaluer le niveau de sécurité d’un fusil connecté (oui, oui, cela existe).
La particularité de ce fusil est d’être équipé d’un système de “visée automatique”, qui permet de désigner la cible sur un écran, puis de déclencher le tir automatiquement dès que la cible est en ligne de mir. On limite ainsi les tirs ratés. Ce système, qui peut s’adapter sur plusieurs types de fusils, repose sur un système Linux embarqué, dont le niveau de sécurité a été évalué par les deux chercheurs.

Une fois connecté au réseau WiFi, chiffré en WPA2, seuls deux ports sont accessibles :
  • 80, correspondant à une API web utilisée par l’appli mobile;
  • 554, pour le streaming vidéo de l’image du viseur.

Par ailleurs, le mot de passe du WiFi est semblable sur tous les modèles et ne peut pas être modifié. De plus,  l’API n’est pas authentifiée. Les données envoyées sont cependant validées côté serveur et il n’a pas été possible d’effectuer d’injection de commande. De plus, les mises à jour sont signées via GPG.

Dans un second temps, le fusil a été démonté afin d’identifier les possibilités d’accéder à une console bas niveaux. L’accès UART a été facilement identifié, mais une authentification est nécessaire. Cependant, un accès eMMC, permettant de lire directement dans le stockage flash a été identifié. Il a alors été possible d’identifier dans le code une API d’administration, qui était absente dans l’application mobile : 


L’analyse du système de fichiers du fusil a également permis d’identifier une clé privée GPG, qui est acceptée pour la signature de mises à jour; il est donc possible de déployer une mise à jour malveillante.

Les impacts possibles restent limités; bien que le fusil dispose d’une forme de visée automatique, il faut le pointer dans la bonne direction : c’est uniquement le déclenchement du tir qui est automatique, pas la visée. Il est donc impossible de tirer arbitrairement sur une cible. Les impacts potentiels sont plutôt dans l’exploitation d’une mauvaise configuration (mauvais type de munition) qui aurait pour effet de faire échouer systématiquement les tirs.

Pour se rassurer, on pourra se dire que ce type d’équipement est actuellement interdit à l’utilisation pour la chasse en France.

On peut également se rassurer en lisant le bandeau d’information qui est présent sur le site web du constructeur : 


Si vous êtes confiants dans l’absence d’un hacker dans un rayon de 30m, vous pouvez y aller :)

Rocking the Pocket Book: Hacking Chemical Plants for Competition and Extortion

Cette présentation était orientée sur les impacts potentiels d’une attaque sur les systèmes industriels utilisés dans les procédés chimiques industriels, et des motivations de l’attaquant.
On peut identifier trois objectifs intéressants pour une attaque sur les SI industriels : 
  • Porter atteinte aux équipements industriels (sortie des conditions normales de fonctionnement);
  • Porter atteinte à ce qui est produit (diminution de la qualité, de la quantité produite);
  • Engendrer une non-conformité règlementaire (pollution, engagements contractuels, ..).
Dans un but lucratif, c’est l’atteinte à la production qui paraît la plus intéressante, que ce soit pour gagner un avantage par rapport à un concurrent ou dans un but de chantage (qui serait un peu l’équivalent d’un rançongiciel sur le SI de gestion).
Dans le contrôle d’un procédé industriel, ce sont les automates qui sont en charge de la boucle de contrôle locale la plupart du temps. Ils sont
Les besoins de “sécurité” sont très différents entre le SI de gestion et un SI industriel : 


Malgré le contrôle et le rétro-contrôle effectués par le système de contrôle du procédé, il est possible, notamment en utilisant des algorithmes multi-adaptatifs, de le faire sortir de son état normal voire de rendre inopérantes les boucles de contrôle.

Les différentes étapes d’une attaque de ce type sont les suivantes : 
  • Obtention d’un accès
  • Observation
  • Contrôle
  • Dommages
  • Nettoyage




Afin de mener à bien une attaque de ce type, il est préférable de se faire accompagner d’un expert sur le sujet. La liste des accidents et incidents passés peut constituer une bonne base documentaire. Il faut également définir des métriques pour évaluer la pertinence de l’attaque.
Afin de dissimuler ses traces, il est possible de mener des attaques lors des heures de présence d’un employé en particulier, ou après les phases de calibration des capteurs. Ainsi, il semblera s’agir d’une erreur humaine.

Cette démonstration a été complétée, plus tard, par une mise en pratique à l’ICS Village, au cours de laquelle une attaque sur des systèmes industriels a permis de faire imploser un tonneau métallique.


Hacking an unaltered passenger vehicle

Charlie Miller et Chris Valasek ont présenté leurs travaux sur les attaques distantes de véhicules. Cette recherche s’inscrit directement dans la lignée de leur présentation à la BlackHat l’an passé.

Il se sont intéressés aux possibilités de compromission, à distance, d’un véhicule du commerce. Leur cible était une Jeep, équipée de système d’infotainment “UConnect” du constructeur Harman Kardon.

Pour cela, la surface d’attaque a été étudiée. En particulier, la voiture dispose d’une fonctionnalité de point d’accès Wifi. Celui-ci est sécurisé via WPA2, avec un mot de passe défini automatiquement, de 8 à 12 caractères. La rétro-ingénierie du système a permis d’identifier que ce mot de passe était en fait fonction de la date de mise en service du véhicule, et pouvait donc se bruteforcer assez facilement. Néanmoins, cette option WiFi est payante et n’est pas activée par défaut.

Une fois connecté sur le même réseau, les chercheurs ont identifié un service en écoute sur le port 6667, qui correspond habituellement à IRC. Cependant, il s’agit du service Dbus, qui permet l’envoi de commandes au système. Bien que ce type d’interface puisse être protégé par une authentification, ce n’est pas le cas sur la Jeep. Il est ainsi possible d’accéder à de nombreuses interfaces dbsu, permettant d’effectuer toutes sortes d’actions sur le système UConnect. Par ailleurs, un des services DBus exposé permet l’exécution de code. On peut ainsi, par exemple, augmenter le volume du système audio par l’utilisation du script suivant : 


Ce type d’attaque peut également être mené via la connexion cellulaire du système; la seule contrainte est d’être sur le réseau de l’opérateur Sprint. On peut alors tenter de scanner ce réseau pour identifier les véhicules équipés du système UConnect. Au cours du scan partiel, un peu moins de 3000 véhicules ont été identifiés, et les chercheurs ont effectué des projections portant le nombre de véhicules concernés entre 300 000 et 500 000. Il s’avère qu’il s’agit au total de près d’1,4 millions de véhicules, d’après le rappel effectué par Fiat-Chrysler.
Disposant ainsi d’un accès distant au système, ils ont souhaité obtenir un accès au bus CAN, sur lequel circulent l’ensemble des messages relatifs au véhicule et notamment à la conduite (freinage, accélération, direction, etc..). Ce bus n’est pas directement connecté depuis l’infotainment, les accès sont gérés par un processeur dédié, et seule une liaison SPI relie ces deux éléments. Les chercheurs ont alors entamé une phase de rétro-ingénierie du firmware de ce second processeur, et l’ont modifié afin de pouvoir transmettre des messages sur le bus CAN via la liaison SPI. Ils ont notamment exploité le fait qu’aucune vérification cryptographique n’est faite lors de la mise à jour du firmware.
À partir de ce moment, en assemblant toutes les étapes, les chercheurs peuvent effectuer toutes sortes d’actions, à distance, sur l’ensemble des véhicules accessibles. Une vidéo de démonstration a été réalisée avec un journaliste de Wired : https://youtu.be/MK0SrxBC1xs .

Suite à cette démonstration vidéo, Fiat-Chrysler a mis à disposition une mise à jour, qui ferme l’accès à l’ensemble des ports TCP auparavant accessibles depuis le réseau Wifi ou cellulaire. De même, l’opérateur Sprint filtre désormais le trafic réseau à destination du port 6667. Il est donc nécessaire de se connecter au WiFi, ou de disposer d’une antenne mobile malveillante pour mener cette attaque (difficile dans le cas d’une voiture en mouvement).


Security necromancy : further adventures in mainframe hacking

Cette présentation s’intéressait à la sécurité des systèmes mainframes. Présents partout, dans la très grande majorité (+ de 90%) des grandes entreprises, ces systèmes hébergent souvent les applications & données les plus sensibles du SI. Pourtant, très peu d’informations sur les vulnérabilités sont publiées. Effectivement, IBM ne communique pas de manière publique sur les vulnérabilités identifiées mais directement aux clients concernés, qui n’ont d’autres alternative que de faire confiance à cette information.

La conférence s’articulait en deux parties, chacune prise en charge par l’un des chercheurs. La première partie concernait la partie réseau.

La plupart des transactions avec un mainframe se font via le protocole TN3270,  qui est construit sur TELNET. Des fonctions complémentaires sont présentes, comme l’existence de champs invisibles, ainsi que de champs non-modifiables.
Une bibliothèque TN3270 a été développée par l’auteur pour nmap. Celle-ci permet de se connecter, d’afficher l’écran, d’envoyer des commandes et de faire apparaître les champs cachés.


De même, il est possible d’énumérer les identifiants des transactions CICS et des applications sur VTAM :


De plus, l’auteur a développé une bibliothèque similaire en Python, permettant d’effectuer des attaques de type Man in the Middle. En effet, les consoles TN3270 ne proposent pas de facto le chiffrement TLS, malgré le fait que les clients actuels (Quick3270, x3270, etc.) supportent pleinement son utilisation. Cependant, la majorité des clients 3270 n’effectuent aucune vérification sur l’identité du serveur distant...

C’est ensuite la fonctionnalité NJE (Network Job Entry) qui a été présentée. Celle-ci permet de faire exécuter des tâches sur un système mainframe distant. Les utilisateurs n’ont pas besoin de se ré-authentifier, il suffit que le compte existe pour que la tâche soit exécutée par le système distant. Les informations nécessaires sont uniquement : le nom du noeud distant, le nom du mainframe que l’on souhaite prétendre être, et l’adresse IP du mainframe distant. Il est alors possible d’envoyer des commandes à l’aide du script injector.py développé par l’auteur.

La deuxième partie était consacrée au développement d’exploits pour les systèmes mainframes.
Cette partie n’est pas triviale car l’architecture est fondamentalement différente des systèmes x86/64 que l’on rencontre couramment.
L’auteur s’est concentré sur l’environnement USS (Unix System Services), car il pouvait capitaliser sur ses connaissances en C. USS est un environnement UNIX intégré dans le système d’exploitation Z/OS afin de gérer les communications avec le monde non Mainframe (TCPIP, FPT, HTTP, JAVA, etc.)
Plusieurs démonstrations d’exploitation de vulnérabilités dans un programme volontairement vulnérable ont été faites.
L’auteur nous promet également une intégration dans Metasploit d’exploits dédiés aux systèmes mainframes dans les prochaines années.

ICS Village

Le “village” dédié aux SI industriels a encore eu beaucoup de succès cette année. Plusieurs conférences y ont été présentées, et beaucoup étaient accessibles aux participants. On retrouvait notamment un système complet de traitement de l’eau : 


https://twitter.com/ICS_Village/status/630460579786813441

Ainsi que des PLCs permettant de jouer à Tetris : 

https://twitter.com/chrissistrunk/status/630077608210776064

J’ai à cette occasion développé un script permettant de monitorer en direct les modifications de valeurs des registres Modbus d’un automate. Il est disponible ici : https://github.com/arnaudsoullie/modbus-scanner



Ce n’est pas tout ...

Evidemment, de nombreuses autres interventions mériteraient d’être mentionnées, notamment “I will kill you”. Cette conférence s’intéressait aux processus associés à la déclaration de décès d’individus en Australie et aux Etats-Unis. L’auteur démontrait comment on pouvait, sans vérification, se déclarer directeur de funérarium et déclarer des personnes décédées. Une fois cette information enregistrée auprès du gouvernement, il n’existe plus de démarche inverse : plus de carte d’identifié, plus de sécurité sociale, bref aucune existence officielle.

Au final, la DEFCON, ce sont 4 jours bien chargés, qui ne se limitent pas (loin de là !) aux conférences. Les événements annexes tels que les villages, les workshops ou les différents concours sont bien entendu de tout premier choix; Alors, forcément, on regrette que ce soit déjà fini et on pense déjà à l’année prochaine. Ce sera du 4 au 7 août 2016, et les réservations pour les chambres d’hôtel sont ouvertes !

Vous pouvez également retrouver des informations sur la BlackHat et la DEFCON dans le dernier épisode du podcast NoLimitsecu
Le sujet sera également brièvement abordé lors de la prochaine réunion de l’OSSIR, le 8 septembre.

Arnaud.

Aucun commentaire:

Enregistrer un commentaire