BlackHat

Description

BlackHat est un groupement de conférences concernant la sécurité des systèmes d'informations, et est présidé par Jeff Moss. Elles se déroulent cinq fois par an: deux fois aux Etats-Unis, deux fois en Asie, et une fois en Europe.

Les manifestions BlackHat se déroulent en deux fois deux jours. Les deux premiers sont en fait des cours dans des cessions d'une trentaine de personnes. Les sujets sont en général les techniques d'intrusions, et comment s'en protéger (cette année les cours étaient dispensés par Foundstone Inc., entre autres). Puis les deux jours suivants sont consacrés aux conférences.

Amsterdam 2001:

  • 19, 20 Novembre: Training Courses
  • 21, 22 Novembre: Briefings

Public présent

Ces conférences sont ouvertes à tout public (possédant quelques 1000 à 1500 dollars pour l'inscription). On peut donc y rencontrer toute sorte d'experts en sécurité informatique, du white hat au black hat. En raison du prix de l'inscription, on y rencontre pas autant de black hats qu'à une manifestation du genre de HAL (Hackers At Large).

En général, les personnes présentes ne donnent pas leur nom, puisque des rumeurs circulent comme quoi il y aurait des personnes de la CIA dans ce genre de réunion. Cette année à Amsterdam, environ trois-cents personnes se sont réunis, dont environ une trentaine de Français.

Les sujets

Tous les sujets en rapport avec la sécurité des systèmes d'informations sont abordés: cela va de la compromission d'un serveur Web à la modification de Smart Cards, en passant par des techniques de programmation d'exploits. Les orateurs sont en général des professionnels de la sécurité, mais aussi assez souvent des 'hackers', au sens médiatique du terme.

Plus d'informations

Pour connaitre les lieux et dates des prochaines manifestations, vous pouvez consulter le site suivant: http://www.blackhat.com/. On y retrouve également les vidéos des précédentes conférences au format RealPlayer.

Les conférences d'Amsterdam 2001

Conférences vues

Voici les conférences auxquelles nous avons assisté cette année à Amsterdam (nous étions à BlackHat les jours 21 et 22):

  • The Other Side of Information Security, Wilco van Ginkel (Ubizen)
  • Routing Protocol Attacks, FX (Phenoelit)
  • Protecting Your IP Network Infrastructure, Nicolas Fischbach (COLT Telecom)
  • Decoding and Understanding Internet Worms, Dale Coddington & Ryan Permeh (eEye Digital Security)
  • Active Directory and Group Policy, Raymond Forbes
  • Politics of Vulnerability Reporting, Scott Blake (Bindview Corporation)
  • Modifying and Spying on Running Processes Under Linux and Solaris, Shaun Clowes (SecureReality)
  • Kernel Level Vulnerabilities Exploitation: Behind the Scenes of the 5th Argus Hacking Contest (Last Stage of Delirium)
  • Hackproofing Lotus Domino, David Litchfield (Next Generation Security Software)
  • IDS Evasion Design Tricks for Buffer Overflow Exploits, Anders Ingeborn (iXsecurity)

Conférences non-vues

Et les conférences auxquelles nous n'avons pu assister (puisque plusieurs conférences se déroulaient en même temps):

  • Third Generation Exploits on NT/Win2k Platforms, Halvar Flake (Black Hat Consulting)
  • Mobile Security: SMS and WAP, Job de Haas (ITSX)
  • One-Way SQL Hacking: Futility of Firewalls in Web Hacking, JD Glaser & Saumil Udayan Shah (Foundstone, Inc.)
  • Xprobe: Remote ICMP Based OS Fingerprinting Techniques, Ofir Arkin (@stake)
  • Web Application Security: The Land that Information Security Forgot, Jeremiah Grossman (WhiteHat Security)
  • Web Vulnerability & SQL Injection Countermeasures: Securing Your Servers From the Most Insidious Attacks, Tim Mullen (AnchorIS.com)
  • Smart Card Security, Marc Witteman

Détail des conférences

The Other Side of Information Security

Orateur

Wilco van Ginkel travaille pour Ubizen.

Sujet

Cette présentation était principalement accée sur les politiques de sécurité. L'orateur à résumé la sécurité en trois gros points:

  • Assessment and Policies
  • Security Awareness
  • Cryptography

Il a ajouté que la sécurité, c'est 80% de management, et 20% de technique.

Liens

http://www.sse-cmm.org/

Routing Protocol Attacks

Orateur

FX du groupe Allemand de hackers Phenoelit. Ce groupe s'intéresse principalement aux implications en terme de sécurité des protocoles standardisés, ou les moins connus de ces protocoles.

Sujet

Le sujet de cette présentation était de mettre en avant les attaques possibles sur les protocoles de routage. De telles attaques peuvent permettre de modifier le chemin que va emprunter les paquets, permettant ainsi d'intercepter, de capturer ou même de modifier les informations pendant leur transit. Inutile de dire les effets catastrophiques que cela peut avoir dans une entreprise hautement dépéndante des réseaux. De plus, les attaques à ces niveaux (2 et 3 du modèle OSI) peuvent être très transparantes, dans le sens ou très peu d'IDS s'occupent de ces couches (ils s'occupent plutôt des couches 3 et 4). Certains protocoles de routages ne sont utilisés que dans les réseaux locaux, mais ce n'est pas pour cela qu'il faut négliger l'impact que des attaques sur ceux-ci peuvent avoir. Ces attaques peuvent permettre à un attaquant de se dissimiler une fois qu'il a pris le contrôle d'une machine par Internet. Les procoles attaquables sont les suivants: CDP, STP, HSRP, ARP, 802.1q.

Mais des attaques sur des procotoles de routages utilisés sur Internet sont aussi possibles. La première étape de telles attaques est la découverte des routeurs utilisant les protocoles vulnérables. Des outils sont disponibles pour rechercher ces systèmes, ils sont appelés des Autonomous System Scanner. Une fois ces routeurs trouvés, on utilise les messages que ces routeurs utilisent pour, par exemple, injecter une nouvelle entrée dans la table de routage de la victime. Cette nouvelle route passe, par exemple, par la machine de l'attaquant, lui permettant ainsi de faire ce qu'il veut avec le flux de données. Les protocoles attaquables sont les suivants: ICMP, IGRP, RIP, EIGRP, OSPF, BGP.

Un autre type d'attaque est possible: l'attaque des protocoles de tunnelage. De telles attaques permettent d'expédier des paquets, même à des cibles n'utilisant pas d'adresses IP routables. Il suffit pour cela d'encapsuler les paquets IP dans des protocoles de tunnelage, tels que GRE par exemple. Un même type d'attaque est possible en utilisant une encapsulation IPv4 dans IPv4, ou encore IPv6 dans IPv4. Il est possible de se protéger contre ce type d'attaques, ou plutôt contre les effets que peuvent avoir ce type d'attaques. On peut utiliser IPSec, de manière à ce que si une route est modifiée pour passer sur la machine d'un attaquant, il doive tenter de déchiffrer son contenu. On peut également protéger les protocoles utilisés en employant leur fonctionnalité d'authentification, comme par exemple les IP Authentication Headers de VRRP.

Récemment, une étude concernant l'utilisation des adresses IP non-alouées sur Internet a révélé que certaines attaques étaient menée à partir de ces addresses, alors qu'aucune route ne pouvait conduire à celles-ci. On dit que ces adresses font partie du 'dark address space'. Cette étude à été menée pendant trois années par Arbor Networks, et amène à la conclusion que certains groupes, ou organisations, exploitent les problèmes des protocoles de routage de manière importante, et ce, depuis bien longtemps.

Liens

Protecting Your IP Network Infrastructure

Orateurs

Nicolas Fischbach et Sébastien Lacost-Séris. Nicolas travail en tant que Senior IP et Security Engineer. Il travail sur les architectures réseau pour de grands pontes telles que des agences financières (les banques Suisses), des compagnies d'assurance et des sites d'hébergements. Il a travaillé précédemment pour des FAI Français, et a enseigné dans des universités Françaises. Sébastien est en charge de la sécurité des réseaux pour la Suisse et travail pour COLT Telecom. Il travail sur l'évaluation et l'intégration des nouvelles technologies. Il a également travaillé pour des FAI Français. Ils sont les fondateurs du site Sécurité.org, et travaillent tous les deux pour COLT Telecom.

Sujet

Cette conférence à été réalisée en colaboration avec celle de FX, et est donc la suite logique de cette dernière. Elle se concentre plus sur l'aspect protection des infrastructures réseau (tandis que la conférence de FX était plutôt orientée attaque). Les aspects protection d'architectures réseau abordés étaient les suivants:

Securité réseaux:

  • les couches 2 et 3
  • détection d'attaques DDoS (Distributed Denial of Service)
  • les vers (worms)
  • analyse de traffic

Sécurité des routeurs:

  • SNMP et l'administration distante
  • AAA et ACLs
  • vérification de l'intégrité des données

Les attaques sur les couches 2 et 3 ont été vues dans la section précédente, nous ne reviendrons donc pas sur les détails. Nous allons juste citer quelques outils: dsniff, hunt, qui servent pour les attaques sur ARP. La détection d'attaques DDoS se fait principalement sur l'analyse du traffic sur les routeurs en périphérie du réseau à protéger. Le protocole le plus utilisé pour effectuer ce genre d'attaque est TCP (en utilisant HTTP, FTP, et autre P2P programmes). Les routeurs Cisco sont équipés pour se prévenir de telles attaques. Les méthodes que ces routeurs utilisent pour accomplir cette tâche sont les suivantes:

  • Unicast RPF (Reverse-Path Forwarding); le principe est de vérifier l'existence de la machine ayant expédié le paquet d'information
  • limiter le traffic; par exemple en n'autorisant qu'un certain débit sur une certaine période de temps pour une certaine source
  • le filtrage IP est aussi une excellente méthode de protection; par exemple en n'autorisant que certains messages ICMP, également en bloquant toutes les adresses IP dites non-routables
  • Toutes les méthodes de protection décrites dans cette conférence ne sont pas listées ici (pour plus d'informations voir dans la section Liens).

La détection de nouveaux vers se fait en étudiant les logs des machines reliées directement à Internet. Il suffit de regarder des traces non-usuelles, telles que des requêtes HTTP GET non-standards (possédant des shellcodes dans la méthode GET, par exemple). Pour se protéger une fois détectée la signature d'un vers, il suffit de bloquer les requêtes de ce genre dans les règles de filtrage des routeurs (Les NBAR des Ciscos).

Cette présentation s'est ensuite orientée sur les méthodes d'administration des routeurs et des switches, pour se rendre compte le plus rapidement possible qu'une attaque est en cours. Les méthodes étudiées était les suivantes:

  • les bases de la configuration des routeurs Cisco
  • administration SNMP; les problèmes de sécurité, les solutions
  • administration par SSH
  • administration IPSec; les bonnes pratiques
  • AAA: Authentication, Accounting, Authorization; RADIUS, TACACS+, Kerberos
  • Les ACLs (Access Control Lists); filtrage IP, filtrage MAC, au niveau des switches et des routeurs
  • intégrité des données au niveau des routeurs; se rendre compte des changement au niveau des routeurs (à l'aide d'outils ala tripwire), utilisation des logs des routeurs

Ceci est un résumé des thèmes abordés, pour plus d'informations, consulter la présentation complète.

Liens

Cette présentation, version complète:

Le site de Nicolas et Sébastien:

Decoding and Understanding Internet Worms

Orateurs

Dale Coddington & Ryan Permeh, de eEye Digital Security. Dale est un Ingénieur des systèmes de sécurité. Il a déjà enseigné dans de nombreux centres de la NASA dans l'Etat de Washington, le Naval Justice Center, et également pour le Département de la Justice Américaine (DoJ). Ryan est un développeur et un chercheur. Il est expert en désassemblage et travail sur le scanneur de failles Retina et également sur SecureIIS.

Sujet

Cette conférence était très technique. C'était une reconstitution de la méthode utilisée pour analyser Code Red I. Les orateurs ont d'abord commencé par un historique sur les vers, en commençant par le vers Morris, et en expliquant ce qu'est exactement un vers (par rapport à un virus). Ils se sont ensuite tournés vers les étapes d'une analyse de vers. Voici une récapitulation de ces étapes:

  • capture du vers, différentes méthodes
  • désassemblage du vers, reconstitution du code
  • observation de l'évolution du vers dans un environnement isolé (goatnets)

Les outils utilisés pour accomplir cette tâche sont les suivants:

  • serveurs spécialisés, NetCat (pour la capture du vers)
  • IDA Pro (désassembleur commercial)
  • filemon, regmon, TCPView Pro, procdump (pour l'observation de l'évolution)

Suite à cette introduction sur les méthodes d'analyse, les orateurs ont fait une démonstration de désassemblage et d'analyse de Code Red I, et ont terminé sur une extrapolation sur le futur des vers (nouvelles méthodes de propagation ...). La conclusion de cette présentation était que jusqu'à présent, aucun vers réellement méchant, ni puissant, n'a été lâché sur Internet. Tous les vers jusqu'à maintenant n'ont rien fait de bien dangereux. A tel point que certains experts considèrent ces vers comme uniquement des essais, visant à prouver que les personnes derière Code Red ou Nimda sont capables de réaliser des vers potentiellement dangereux. Mais, d'autres s'intérrogent sur quelles peuvent être les personnes qui souhaitent de telles preuvent.

Liens

Active Directory and Group Policy

Orateur

Raymond Forbes.

Sujet

Le but de cette conférence était de présenter les possibilités qu'offre Active Directory en terme de gestion de grands réseaux. L'orateur à d'abord présenté les bases d'Active Directory, puis les différentes structures qu'il est possible de mettre en place.

Active Directory fonctionne avec LDAP, nécessite un serveur DNS. Il est directement incorporé dans Windows 2000 et XP. Il permet une gestion centralisée, il est extensible et intéropérable.

Politics of Vulnerability Reporting

Orateur

Scott Blake, directeur de la stratégie sécurité de BindView Corporation. Il est reconnu en tant qu'expert en sécurité de manière mondiale. Il est surtout connu pour avoir développer des politiques de sécurité pour de nombreuses grandes entreprises comme des leaders en matière de finances, ou de télécommunication.

Sujet

Suite à la polémique autour du 'full disclosure' relancée par Scott Culp de Microsoft, Scott Blake à exposé de différents angles de vue les possibilités de divulgation des nouvelles vulnérabilités. Il y a trois grandes politiques de divulgation:

  • 'full disclosure' - révéler de manière complète une faille, comment l'exploiter, et donner le code source de l'exploit.
  • 'zero disclosure' - laisser les vendeurs rechercher et divulguer les failles.
  • 'responsible disclosure' - révéler de manière partielle l'existence d'une vulnérabilité, et ce, dans un délai raisonnable, de manière à ce qu'un patch soit disponible.

Les inconvénients du 'full disclosure':

  • arme les scripts kiddies
Les avantages:
  • force les vendeurs à corriger rapidement une faille
  • met tout le monde au courant d'une faille, pour pouvoir patcher le plus vite possible

Les inconvénients du 'zero disclosure':

  • laisser les vendeurs s'occuper de corriger le problème
Les avantages:
  • les script kiddies ne sont pas armés
  • moins de monde à être au courant, donc moins de personne à écrire des exploits

Les inconvénients du 'responsible disclosure':

  • pas d'exploit fonctionnel, donc les vendeurs peuvent nier l'existence d'une faille
  • ne sortir les détails que quand un patch est disponible
Les avantages:
  • les vendeurs sont informés d'une faille, et ils ont un certain temps pour sortir un patch
  • les 'script kiddies' ne sont pas armés, ou en tout cas pas avant que le patch ne soit sortis

Les différents acteurs dans la divulgation des failles de sécurité sont les vendeurs, les chercheurs, le gouvernement, les media, et le public. Chaque acteur a ses propres motivations. Différentes initiatives sont en cours pour standardiser le protocole de divulgation:

  • Council of Europe Cybercrime Treaty
  • US Anti-Terrorism legislation
  • les forums sur le 'disclosure'
  • Coalition for Internet Safety

Il y a de nombreuses implications sur la manière de divulger les failles de sécurité, et c'est pour cette raison que ce débat sur le 'full disclosure' existe depuis si longtemps sans réelle solution. Mais la situation est en train de changer depuis que Microsoft s'y intéresse. Grâce à la puissance commerciale qu'il possède, il est possible que le débat trouve enfin une fin, mais ce ne sera peut-être pas la meilleure.

Modifying and Spying on Running Processes Under Linux and Solaris

Orateur

Shaun Clowes, directeur IT (Information Technology) pour SecureReality. Il est le coordinateur de la section recherche en sécurité de cette petite société basée à Sydney, en Australie.

Sujet

La présentation avait pour but d'exposer les différentes techniques permettant de modifier des programmes binaires. Les modifications de binaires permettent par exemple d'appliquer des patches pour corriger des trous de sécurité, ou bien, du point de vue malicieux, d'inclure des backdoors.

Deux méthodes pour patcher un programme:

  • patcher un programme binaire, sur le disque dur
  • patcher un processus pendant qu'il est exécuté

Un programme peut être patché plus facilement lorsqu'il n'est pas exécuté. Il existe plusieurs méthodes pour patcher un programme:

  • ajout de code dans le binaire (et modification des en-têtes ELF)
  • insertion de code dans les zones non-utilisées des binaires (et modifications des en-têtes ELF également)
  • ajout de liens dans les en-têtes ELF vers des librairies partagées contenant des fonctions corrigées

Patcher un programme pendant son exécution est nettement plus difficile, mais est obligatoire dans le cas d'un serveur (SMTP par exemple) qui ne doit pas être arrêté. Mais cette méthode, que le programme injectso présenté utilise, peut être utilisé pour le bien, comme pour le mal. Par exemple, une démonstration d'inclusion d'une backdoor (un keylogger dans la démonstration) dans le daemon SSH a prouvé que même si les données transitent chiffrées sur le réseau, une vulnérabilité du côté du serveur peut être très dangereuse. De plus, patcher un processus qui tourne ne laisse aucune trace, et d'un point de vue d'attaquant, cela peut être très interessant. Bien sûr, patcher un programme lors de son exécution ne modifie pas son code binaire, donc il faut quand même le patcher sur le disque dur.

Liens

SecureReality Web site: http://www.securereality.com.au/

Kernel Level Vulnerabilities Exploitation: Behind the Scenes of the 5th Argus Hacking Contest

Orateurs

Le groupe de hackers Polonais LSD (Last Stage of Delirium). Les quatres membres de ce groupe travaillent tous dans la même société de sécurité, et font également des recherches de vulnérabilités sur leur temps libre. Leur domaine principal est l'étude des méthodes d'intrusion dans les systèmes.

Sujet

Le Argus Hacking Contest est un concours ouvert à tous. Le but de ce concours est de montrer que le système Argus est un système très sécurisé. Il permet donc aux hackers de la planète d'exercer leurs talents de manière autorisée, et de gagner une somme d'argent pour les récompenser en cas de succès. Cette conférence est l'exposé de la réussite du groupe LSD à compremettre le serveur qui a été exposé à Internet dans le cadre de ce concours.

La machine à compromettre était une machine sous Solaris 7 (Intel), sécurisée avec l'environnement développé par Pitbull Foundation. Cet environnement est de niveau B1 sur le critère ITSec, et est approuvé par la NSA et le DoD Américain. Tout cela n'a pas empêché LSD de contrôler la machine en exploitant une faille de sécurité dans la version Intel de Solaris, et cela dans le premier jour d'ouverture du concours qui en comprenait cinq.

Liens

LSD Research Group Website: http://www.lsd-pl.net/

Hackproofing Lotus Domino

Orateur

David Litchfield, directeur de management et co-fondateur de Next Generation Security Software.

Sujet

Le but de cette démonstration technique était de mettre en avant les faiblesses de la configuration par défaut des serveurs Lotus Domino. D'anciennes techniques d'exploitation ont été présentées, ainsi que des méthodes non encore divulguées. Bien sûr, l'orateur a également montré comment configurer de manière plus sécurisée les serveurs Lotus Domino. Les méthodes qui ont été exposées ont permis de lister les différentes tables dans la base de données, d'acquérir des droits administrateurs, et donc de modifier le contenu des tables; le tout sans avoir de compte sur le serveur.

Liens

Next Generation Security Software Website: http://www.nextgenss.com/

IDS Evasion Design Tricks for Buffer Overflow Exploits

Orateur

Anders Ingeborn conduit des audits de sécurité ainsi que des tests d'intrusions pour la société iXsecurity en Suède. Parmis leurs clients: des agences gouvernementales, des banques, des centrales nucléaires et de nombreuses autres entreprises majeurs dans toute la Scandinavie.

Sujet

L'orateur à exposé ici des méthodes pour écrire des exploits qui ont deux buts:

  • contourner les IDS
  • ne pas faire crasher le programme qui va être exploité

Pour cela, il utilise la technique de la double injection. Le principe est d'expédier un shellcode le plus petit possible, qui créera un socket en écoute de datagrammes UDP. Il suffit ensuite d'expédier un shellcode de taille quelconque, avec comme destination le port 0 (par exemple). Le plus difficile dans cette méthode est de ne pas laisser le programme cible se crasher, c'est pour cela que le shellcode doit être le plus petit possible, pour ne pas sortir de la frame dans laquelle le débordement de tampon intervient. L'orateur expose ensuite les méthodes de contre mesure qu'un NIDS peut mettre en place pour détecter de telles tentatives d'exploits.

Liens

Rumeurs

Dans ce genre de conférence, on apprends des choses que l'on ne trouve pas sur Internet. Voici quelques rumeurs que l'on a pu entendre dans la soirée organisée par BlackHat.

Banque Australienne piratée

Le site Web d'une banque Australienne aurait été copié, de manière à ce qu'un utilisateur voulant consulter son compte, et effectuer des transactions ne voit aucune difféerence. L'étape suivante aurait été la modification des tables de routages pour rediriger tout le traffic destiné à cette banque Australienne vers un site situé en Asie qui était devenu la copie conforme du site originel. Les pirates derrières cela aurait laissé les tables de routages modifiées uniquement pendant quelques heures, avant de tout remettre en ordre, et de disparaître. Cette opération rondement menée aurait été démentie par la banque Australienne en question.

Divulgation des failles

Des failles ne seraient divulguées que des mois, voir des années après leur découverte. Ces failles sont découvertes par de réels hackers, le genre de hackers qui vivent dans un cercle Underground très fermé, et qui préférent garder pour eux ce genre de découverte. Certaines de ces failles (comme par exemple celle de telnetd qui existe depuis des années et divulguée il y a seulement quelques mois) permettent l'accès à quasiment tous les systèmes Unix. Elles ne sont révélées bien souvent que par accident. Il existe certainement d'autres failles de cette ampleur. Peut-être même que nous n'apprendrons jamais leur existance.

Underground

La rumeur précédente nous amène à parler des cercles privés. Des groupes Underground possèderaient des outils si puissant, qu'il suffirait d'un simple clique pour obtenir un shell sur un cible. Une telle puissance soulève la question suivante: Comment ces groupes sont-ils financés ? Pour faire des recherches de failles, ou bien sur les faiblesses de protocoles, il faut du temps. Certains organismes de recherches pensent que ces groupes Underground seraient financés par des agences gouvernementales, ou bien pire encore, des organisations terroristes.

Problèmes de routages

Certains ISP (Internet Service Provider) Américains auraient constaté d'étranges problèmes au niveau de leurs tables de routages. De nouvelles routes seraient apparues pendant quelques heures, avant de disparaître sans raisons.

Conclusion

De plus en plus de sociétés, d'organisations, de groupes de hackers s'intéressent de près à la sécurité et à ses implications. Cette année, à BlackHat, on a pu constater que les recherches en matières de sécurité font apparaître de graves problèmes au niveau du design des protocoles standardisés. Ces problèmes atteignent tous les réseaux reliés à Internet, et font donc craindre le pire pour l'avenir.

Présentation faite à GrafoTech

Compte-rendu BlackHat 2001

Last update: 17 Apr 2008 at 21:21:03 (r1)

 
"Study from the past to learn about the future."
--GomoR

Copyright © 2000-2008 www.GomoR.org.
Top left logo is Copyright © 2008 Mikael Auffret.
All rights reserved.