SecurityInsider
Le blog des experts sécurité Wavestone

Compte-rendu des Bsides Las Vegas 2016



La conférence de sécurité BSides Las Vegas se tenait cette année les 2 et 3 août, en même temps que la BlackHat et juste avant la DEFCON, dans le centre de conférence de l’hôtel-casino Tuscany. 

Un contenu très varié était présenté, sous forme de formation et de présentations, réparties dans plusieurs “tracks” :
  • Breaking ground : conférences sur les sujets novateurs.
  • Common ground : pour l’ensemble des sujets habituellement présentés lors de ce type d'événement.
  • Ground truth : dédié aux avancées mathématiques et scientifiques applicables à la sécurité informatique.
  • Underground : conférences non enregistrées, pour lesquels les participants ne sont pas autorisés à avoir d’équipement électronique dans la salle.
  • Proving ground : dédié aux intervenants débutants, dont la présentation a été réalisée sous la supervision d’un mentor expérimenté, et d’une durée de 20 minutes.
  • Passwords : dédié à l’ensemble des sujets portant sur les mots de passe, l’authentification, etc. Il s’agissait les années précédentes d’une conférence à part entière, qui fait désormais partie des BSidesLV.
  • I am the Cavalry : une piste dédiée au projet I am the cavalry qui promeut la sécurité dans l’ensemble des domaines IT qui peuvent avoir un impact sur la vie humaine (automobile, équipements médicaux, infrastructures publiques, etc.).
Voici un bref compte-rendu des conférences auxquelles nous avons assisté :

Data Science or Data Pseudo-Science? Applying Data Science Concepts to Infosec without a PhD

Lors de cette intervention, Ken Westin a introduit les concepts basiques de la data science et leur application à la sécurité informatique.
On retiendra notamment la différence entre la machine learning supervisé (travail à partir de données labellisées) et non-supervisé (consistant à découvrir des inférences), ainsi que les différentes étapes de l’application de machine learning :
  1. Supervision
  2. Regression
  3. Classification
  4. Anomaly detection
L’intervenant a également recommandé la bibliothèque Python scikit-learn (http://scikit-learn.org), qui permet de s’initier facilement au machine learning.

Automation of Penetration Testing and the future

Haydn Johnson présentait lors de cette intervention son point de vue sur l’évolution des tests d’intrusion. Selon lui, une très nette tendance à la baisse des coûts, et par conséquent de la qualité de ces prestations se faisait sentir.
Le recours aux tests d’intrusion devenait plus fréquent certes, mais se traduisait souvent par un simple scan de vulnérabilité, n’utilisant que des outils automatisés. Haydn en déduisait une difficulté pour les prestataires à maintenir des compétences pointues dans le domaine, ainsi que des talents. Il appelait donc à une prise de conscience sur le sujet, et à bien faire une différence entre un tests d’intrusion et un scan de vulnérabilités.

Cette analyse, bien que trop simpliste, est néanmoins valide sur le flou qui peut exister sur les prestations délivrées en tant que “tests d’intrusion”. Ce compte-rendu n’est pas le lieu idéal pour une longue digression sur le sujet, mais il semble important de soulever les points suivants : 
  • Quelle est l’influence de la réglementation et des exigences de conformité sur la multiplication des tests d’intrusion ?
  • N’existe-t-il pas un niveau de maturité minimal pour que la réalisation de tests d’intrusion ait un réel intérêt pour l’entreprise ?
  • Comment devons-noius agir en tant que prestataires pour valoriser la réalisation de véritables tests d’intrusion ?
  • Le ratio d’investissement entre la réalisation de tests d’intrusion et l’application des recommandations n’est-il pas souvent mal proportionné ?

Cruise Line Security Assessment OR Hacking the High Seas

Cette intervention présentait les constats relatifs à la sécurité des croisières, par un habitué de ce genre de vacances. L’intervention a commencé par quelques “tuyaux” permettant d’obtenir des cadeaux lors d’une croisières, comme le fait de déclarer qu’il s’agit d’un anniversaire ou d’un anniversaire de mariage. La conférence continuait sur le niveau de sécurité des réseaux WiFi et les possibilités d’y accéder gratuitement, du fait de mécanismes d’authentification faibles. Il est également possible d’obtenir des avantages réservés aux clients fidèles, en déclarant des voyages fictifs sur le site de la compagnie de croisière, les informations n’étant pas vérifiées.
La dernière partie de la conférence était dédiée à l’exposition sur Internet des paquebots de croisière. En effet, de simples recherches d’informations publiques (OSINT) ont permis à Chad M. Dewey, l’intervenant, d’identifier une plage IP réservée au Maritime Telecommunication Network (https://en.wikipedia.org/wiki/Maritime_Telecommunications_Network). Il a alors pu identifier, en utilisant le moteur de recherche Shodan, les bâtiments exposés sur Internet : 



Les services exposés sur Internet comprennent des services d’administration à distance : 


Cependant, aucune information concernant quels type d’équipements étaient concernés (télécommunication, vidéo, automatismes des bateaux) n’a pu être obtenue.

Six degrees of domain admin (bloodhound)


Cette année encore, l’équipe APD (Adaptive threat Division) du Veris Group remporte la palme de la présentation la plus intéressante des Bsides. Après la présentation d’Empire Powershell l’an dernier, trois membres de l’équipe présentaient cette année un nouvel outil, Blood Hound.
BloodHound est un outil d’audit / d’attaque de l’Active Directory. A l’aide de théorie des grapghes, il permet d’identifier les possibilités d’élévation de privilèges dans un environnement Active Directory. Cet outil possède une approche similaire à AD-Control-Path, outil publié il y a deux ans par l’ANSSI.
Cet outil va dans un premier temps récupérer des informations dans l’annuaire Active Directory, comme l’ensemble des groupes, les utilisateurs membres de ces groupes, etc.
Dans un second temps, il va créer une liste de relations entre les utilisateurs, les groupes les machines. Enfin, la dernière étape consiste à identifier les chemins les plus courts permettant de passer d’un compte standard à un compte privilégié, voire administrateur du domaine.
On peut ainsi obtenir le graphique suivant, montrant les chemins possibles d’élévation de privilèges :



Building an Empyre with Python

C’est à nouveau l’équipe APD de Veris à qui l’on doit cette conférence. Basé sur le travail réalisé pour le framework de post-exploitation Empire PowerShell, Will Schroeder et ses collègues se sont attelés à la création d’une version Python de cet outil, permettant de cibler les machines Linux ou Mac.
Plusieurs vecteurs d’infection initiaux sont disponibles : 
Macros Office, fonctionnelles jusqu’à la version 2011, les suivantes étant exécutées dans un bac à sable
Possibilité d’insérer une porte dérobée dans un fichier exécutable standard (mach-o)
Exploitation de vulnérabilités dans l’ordre de traitement des bibliothèques (dylib)

De même, de nombreuses fonctionnalités de post-exploitation, dont des fonctions spécifiques aux machines membres d’un domaine Windows sont déjà disponibles.


Wavestone

Wavestone intervenait également lors de cette conférence, par la présentation :
  • Du projet DYODE, initialement présenté lors de la conférence SSTIC, et qui fera l’objet d’un article détaillé
  • D’un atelier introductif à la sécurité des SI Industriels


Certaines vidéos sont disponibles sur la chaîne Youtube de la conférence : https://www.youtube.com/channel/UCpNGmljppAJbTIA5Msms1Pw/videos

Arnaud SOULLIE

Aucun commentaire:

Enregistrer un commentaire