hack.lu

Hack.lu 2011 - Steal Everything

g4l4drim

g4l4drim

2 min read

Steal Everything, Kill Everyone, Cause Total Financial Ruin. » (Or how I walked in & misbehaved)

par Jayson E. Street

L’auteur tient à préciser qu’il est sympa (comme les chatons) et qu’il est potentiellement dangereux (mostly harmless style 😉 ).

Pourquoi ce talk ? Parce que la sécurité est mal implémentée, et que les gens en charge de la sécurité ne se sentent pas tellement concernés par leur rôle (particulièrement aux US apparemment). Le jeu favori de l’auteur était de rentrer dans divers établissements « sécurisés » en portant des t-shirts et des chemises qui auraient du mettre la puce à l’oreille aux agents de sécurité.

L’auteur à déjà présenté à la defcon les diverses techniques utilisables pour rentrer dans un bâtiment. Après ce talk, il a eu des retours lui indiquant qu’il lui manquait beaucoup de techniques en Social Engeneering, et c’est justement pour ça qu’il trouve que c’est grave de pouvoir en arriver aussi loin en étant un débutant ! L’auteur dénonce inefficacité des services de sécurité aux US et la négligence caractérisée de certains services de sécurité dans les Hôpitaux.

Autre fait intéressant, quand on regarde les digicodes des portes, on se rend compte qu’ils sont particulièrement usés, et que c’est toujours le même code qui est employé. Un autre exemple tragi-comique : les codes de lancement des armes nucléaires US était composé uniquement du chiffre 0 (doh!).

« Management is reactive, not proactive » : donc le plus simplement du monde, si vous voulez que des managers s’intéressent à la sécurité incendie, mettez le feu au batiment…

Pendant un exercice, l’auteur à réussi à voler une trentaine de laptops parce qu’ils n’étaient pas attachés, en plus il suffit d’un post-it et d’un crayon pour les ouvrir, d’entrer le code 0000, ou encore le cas d’une docking station correctement attachée… mais pas le laptop !! L’auteur enchaîne ainsi un nombre impressionnant de FAIL en sécurité physique. L’exemple le plus impressionnant, c’est l’utilisation d’un fauteuil roulant pour passer outre les contrôles de sécurité… Il faudra que je demande à un ami agent de sécurité, si c’est aussi pourri en France 😉

Pour ceux qui seraient pris sur le fait, demandez au personnel rencontré comment ça va ? 🙂 Les méchants ne demandent jamais comment vont les gens après tout…

L’ensemble du talk s’enchaine ainsi, avec une série d’exemple plus affligeants que les autres.

Read more