cananalyze
Bon c’est parti pour une édition « streaming » du SSTIC 🙂 et c’est pas parce que tout est streamé que je vais me priver de le liveblogguer 😉 Pursuing Durable Safety for Systems Software L’insécurité trouve souvent ses origines dans des langages peu sûrs comme C / C++ (php ?) etc… et
sstic
Après une (très) courte nuit, nous voici reparti pour cette dernière journée de SSTIC. Russian style (lack of) Randomness L’aléatoire à la russe, et les standards crypto russes. Lorsqu’on crée un nouvel algo crypto, on fait un papier avec les specs de design de l’algo, et ensuite
sstic
Journey to a RTE-free X.509 parser Un parser « safe » à coup de méthode formelle (ouch). X.509 c’est un format d’encodage des certificats en Type, Longueur, Valeur, avec une complexité horrible. C’est de vrais poupées russes, et c’est une source d’erreurs de programmation et
sstic
Bon bah, c’est parti pour un nouveau SSTIC au couvent des Jacobins. L’amphi est bien rempli comme à l’habitude. Alex Ionescu – La mort du génie logiciel Vice-président des stratégies de détection chez Crowdstrike. Auteur de Windows Internals et reverser de Windows NT depuis 2000. En NT4, Mark
sstic
Social facile, réveil difficile 😉 Edit: retours & blogs du SSTIC sur: * le comptoir sécu * @xme: J1, J2, J3 A practical guide to DPA Milenage est un algo qui sert à dériver les authentifiants dans les cartes SIM. C’est grâce à ca que le téléphone peut s’authentifier sur le
sstic
Audit de sécurité d’un environement Docker Docker est un outil de virtualisation légère pour packager des applications et automatiser le cycle de dev / déploiement. Chaque brique applicative est un conteneur. Chaque conteneur dispose de l’ensemble des fichiers dont il dépend. Docker fonctionne sous windows & linux. Pour les
sstic
C’est parti pour cette nouvelle édition du SSTIC, avec comme nouvautée cette année un amphi de 800 places dans le couvent des Jacobins. Les barbus & sweat à capuches sont venu en nombre, et je n’ai croisé que deux personnes en costard perdu dans l’assemblée. Keynote d’
sstic
(edit: wrap-up J3 en anglais sur le blog de @xme) Réutilisez vos scripts d’audit avec PacketWeaver — Florian Maury,Sébastien Mainand A la fin des audits, il faut souvent faire des démonstrations pour convaincre les audités des faiblesses découvertes dans les protocoles. Ces démos se font souvent en gluant du
sstic
Après une excellente journée hier, on est reparti dans un amphi blindé ! (wrapup j2 par @xme ici) CrashOS : Recherche de vulnérabilités système dans les hyperviseurs — Anaïs Gantet Travaux initiés par l’auteur de Ramouflax, et repris par l’orateur. En bref, la virtualisation c’est une technique permettant de faire
sstic
Bon bah on est reparti pour le XVème SSTIC dans un amphi plus grand, aux sièges plus larges, mais avec très peu de prises électriques (on peut pas tout avoir hein 😉 ). J’ai quand même pu trouver une prise o/ La nouveauté c’est l’amphi super-grand avec des sièges
sstic
Le vendredi matin, c’est toujours plus clairsemé. C’est d’ailleurs souvent les CR SSTIC du vendredi qui sont les plus populaire sur n0secure en nombre de visites (étrange…). MacOS : System Integrity Protection SIP un mécanisme de protection dit « rootless » qui vise à réduire les privilèges d’administration sur
sstic
Bon, yen a 24, 3min par rump, va falloir s’accrocher. Comme à l’habitude, un petit mot du président du SSTIC qui fait le bilan de cette mouture. 1 Trump Il s’agit cette année d’une Trump Session, avec une perruque blonde sur la tête du président. Comme