Defcon 2012
Le but de ce CR n’est pas de commenter telle ou telle conférence sur le niveau technique ou sur la pertinence des sujets abordés mais sur la vision de la sécurité qu’il y a outre atlantique qui me semble fort interessante et de la différence avec notre cher pays (surtout quand on lit le fameux rapport Bockel) au travers de quelques exemples de conférences mais aussi de l’organisation de l’évènement.
Pour ceux qui veulent se faire leur propre idée et commenter les confs voici le programme et le DVD de l’ensemble des conférences.
Tout d’abord sur l’affluence, c’est juste monstrueux. Il y a eu 20 000 visiteurs sur les quatres jours. La defcon s’organise autour de quatre grands axes: les conférences, le CTF, les contests et la partie vendors avec livres, matos, gadget…
Coté publique pareil, c’est très hétéroclite entre les proféssionnels privés, les agents de l’état (comprendre NSA,CIA,FBI), les passionnés, les bidouilleurs, les militants et Hacktivistes. Et tout ce beau monde se cottoie, discute , débat et partage leurs connaissances en sécurité. Coté thématique des workshop et contest, une grande place est donné au hacking de hardware, au Lockpiking et au social engineering en plus de thèmes auxquels on a l’habitude. Les contests sont aussi nombreux que variés allant du cracking au sniffing en passant par le lockpicking. (Je n’aurai pas assez d’un article pour faire la liste 😉 )
Une chose est sûre: il y en avait pour tout le monde.
Pour les conférences, il y a en quatre et cinq en parallèle ce qui fait que c’est toujours un peu compliqué de choisir ce qu’on veut voir. Plusieurs choses m’ont frappé :
La première est,comme les contests, son hétérogénéïté: une grande part est consacré au réseaux industriels et leur sécurité que ce soit aussi bien sur les standards, les vulnérabilités des systèmes,des protocoles, des matériels utilisés qui ammennent des choses assez effrayantes. (Conférence sur la sureté aérienne)
Une chose interessante est que la sureté et la sécurité vont de pair de l’autre coté de l’Atlantique et tout le long de la Defcon. Il y a aussi un coté militant citoyen dans la dénonciation du manque de sécurité des systèmes que l’on ne retrouve pas chez nous. Cela va plus loin que la simple démonstration se limitant à la prouesse technique mais à une demande de prise de conscience des industries et des autorités souffrant de ces vulnérabilités.
Deux exemples des conférences que j’ai suivi sont frappantes: la conférence sur le protocole p25 qui permet aux forces de police de communiquer entre elles et celle sur la protection des donnés confidentielles. Le résultat est évidemment effrayant puisque pour le premier les chercheurs pouvaient écouter les communications et le second on se rendait compte que les audits manquaient cruellement de pragmatisme (pas de vérification des droits sur certains fichiers, pas de vérification des droits admins…)
Beaucoup de conférences sur la sécurité aérienne qui aussi faisaient froid dans le dos. Les intervenants n’hésitent pas à montrer les déficiences des différents systèmes et cela est largement apprécié. Les attaques sont pragmatiques, reproduisibles et on est loin du FUD européen.
Seconde chose que j’ai trouvé intéressante : le pragmatisme. Cela les conduit à étendre des solutions déjà existantes. Cela a pour résultat l’utilisation massive de Metasploit et de l’utilisation de meterpreter, des outils codés en JAVA comme cortega extension d’armitage pour faciliter les pentests des redteam et notamment leur coordination (j’entends déjà des hurlements « quoiiii Javaaaaaa »). L’idée est simple: on veut rapidement résoudre un problème donc on ne réinvente pas la roue. On utilise suivant les problématiques les langages les plus pertinents, les outils aussi. Et uniquement lorsqu’on n’a pas plus de solution, on code de zéro un outil. C’est le cas de Dan Zulla pour se faciliter la vie sur des audits web en mode authentifié et sur les environnements riches ou encore Anch et Omega qui veulent créer un darknet à partir d’un nouveau board (un peu comme celui d’Arduino) utilisant IPv6.
Sur la réutilisation de l’existant, j’ai trouvé la conférence d’OpenDLP super pertinante et une utilisation de metasploit pour faire des audits PCI-DSS bien plus poussé de ce qu’on peut voir de par chez nous, ou les auditeurs font uniquement du log review… Il utilise les fonctionnalités de meterpreter après exploitation pour diffuser OpenDLP et checker sur les disques s’il y a la présence en clair de numéro de CB ou de sécurité sociale, où par sniffing réseau lorsque la machine sert de pivot.
Et après il y a les conférences un peu OVNI, qu’on n’a pas tellement l’habitude de voir dans nos contrées:
La première est celle de Thor, sur l’utilisation de Facebook comme mule, ou les criminels se font passer des messages au travers de vidéos. Pour celà , Thor montre que les messages sont le signal en fréquence du son dans la vidéo. Technique plus que maline, puisque de prime à bord, on y voit que du feu, sauf un son brouillé de la vidéo. L’utilisateur lambda passera son chemin alors que l’interessé n’aura plus qu’à récuperer les infos qui vont bien.
La seconde, présentée par Chris Slimmer et Randall Wald, avait pour but de montrer les limites de determination de profils psychopathes d’utilisateurs de réseaux sociaux comme twitter. Ces logiciels déterminent en analysant les intéractions d’un utilisateurs par rapport aux autres utilisateurs si il a un profil ou non de psychopathe. Après avoir montré les faiblesses de ces logiciels, ils montrent où ils en sont sur ce type de recherche et comment ils ont implémenté des algorithmes se basant sur la psychologie et les outils d’analyse qu’elle fournit pour améliorer les manques décrits ci dessus. Ca fait un peu Minority Report mais il y a bien des gens qui travaillent dans ce genre de domaine.
La troisième, par Chema Alonso et Manu « the sur » est la constitution d’un botnet en utilisant les fonctionnalités des javascripts des navigateurs et un proxy avec une vulnérabilité XSS. L’auteur montre comment il est simple de constituer un botnet sans poser de charge active sur la machine et de garder la connectivité entre les zombies et le serveur au travers de C&C HTTP/Jquery.
Et enfin, celle qui a cloturé les conférences du dimanche présenté par Alberto Garcia Illera, qui a montré comment il avait powné l’ensemble du réseau de transport ferrovière de l’Espagne. Ca va de la contre façon de billet, en passant par la sécurité physique d’accès au réseaux, le wifi et les accès aux console de pilotage des transports. En plus du coté fun de la présentation, l’auteur avait beaucoup d’humour. Il a powné le réseau de métro, mais aussi le réseau des grandes lignes. Bref, je pense qu’ils peuvent l’embaucher pour améliorer la sécurité de leur système. Mais je pense qu’il en ai de même chez nous quand on voit l’état de nos réseaux 😉
Comme je l’avais annoncé au début, un compte rendu pas réellement technique mais plus un overview de ce qu’on peut voir à la Defcon et pour un peu demystifier tout ça. Car avant d’arriver à Las Vegas, j’avais plein d’étoiles dans les yeux, et comme beaucoup de personnes bossant et/ou passionné en/de sécu, c’est un rêve d’aller là bas. Mais finalement je prefère nos conférences européennes plus familiale comme hack.lu ou Hackito Ergo Sum. D’ailleurs; je vous invite à l’hack.lu le 23,24 et 25 Octobre, le programme est plus qu’alléchant.
