Retour sur la conférence DEFCON 2015

Sécurité des applications
Retour sur la conférence DEFCON 2015

Las Vegas (du 6 au 9 aout 2015) – Hôtels Paris & Bally's.

Nous voici de retour de la DEFCON 23 qui a lieu comme chaque année à Las Vegas sur une période de 4 jours. Cette conférence très technique est considérée comme l’une des plus importantes dans le domaine de la sécurité. Elle a réuni cette année environ 20.000 participants (chiffre non officiel) de milieux très différents et de tous âges : chercheurs en sécurité, pentester, responsables sécurité, hackers, membres du gouvernement américain, presse,… Un mélange de population surprenant, donc, dans lequel on trouve des familles venues avec leurs nourrissons ou des personnes au visage masqué.

Cet événement offre l’avantage de proposer de nombreuses conférences en parallèle dans 5 salles, mais aussi et surtout des villages spécifiques dédiés à de multiples sujets liés à la sécurité : crochetage de serrure, objets connectés, ingénierie sociale, analyse de trames réseaux, réseaux wifi, réseaux industriels, voitures connectées,… Chaque village propose ses propres conférences et ateliers pratiques. Il est aussi possible de participer à de nombreux concours - comme le très réputé « Capture The Flag ». Une salle est même spécialement dédiée à ce type d’activité, dans une ambiance très « geek ».

Enfin, pour certaines conférences, il est totalement interdit de filmer et de prendre des photos (avec un contrôle strict à l’entrée). D’ailleurs, un journaliste s’est même fait exclure de la conférence en 2007 pour cette raison . Ces présentations ont eu lieu cette année au 26ème étage de l’hôtel Bally’s (appelées « Skytalk »).

Capture The Flag (Contest Area)

 

Salle 101 – Introduction to SDR and Wireless Village

Ces différents espaces sont disponibles à tous après avoir obtenu le badge d’entrée d’une valeur de $230 (un prix plus que raisonnable si on le compare aux $1795 demandés pour participer à la Black Hat, par exemple).

Les organisateurs de la DEFCON souhaitent que toute personne le souhaitant puisse avoir accès à la conférence, tout en garantissant l’anonymat des participants. Pour cette raison, seul un paiement à l’entrée et en espèce est accepté : Il faut donc s’armer de beaucoup de courage et de patience le premier jour avant le début des conférences. (Nous avons attendu 2h30 en arrivant à 6h00 du matin).

File d'attente

Conférences

Si vous voulez vous faire une idée sur le nombre de conférences, je vous invite à consulter le site de la defcon.

Voici ci-dessous un retour sur les différentes conférences qui nous ont marqués :

Hacking the tesla Model S - Marc Rogers et Kevin Mahaffey

Après une brève présentation du fonctionnement interne de la Tesla (IC / Gateway / CID), Marc Rogers et Kevin Mahaffey nous ont présenté le résultat de leurs recherches afin d’obtenir des accès privilégiés sur la voiture.

Architecture interne de la Tesla S

Bien que les vulnérabilités identifiées nécessitent un accès physique, elles n’en sont pas moins impressionnantes. Après la découverte d’un port mystérieux qui s’avérait être un simple câble Ethernet caché sous le volant, ils ont été en mesure de récupérer le firmware et de procéder à son analyse. Ils ont ensuite pu découvrir la présence d’un mot de passe d’une faible complexité permettant un accès à l’instrument cluster (IC) mais également un autre accès pour le CID (center information display / Ecran de contrôle) à partir d’un jeton renouvelé toutes les 24h. Cela a permis au final d’ouvrir et fermer la voiture à distance, ou encore démarrer et arrêter la voiture.

Points d'entrée possibles sur la Tesla S

Un outil a par ailleurs été développé pour l’analyse du trafic de la Tesla.

Les différentes vulnérabilités ont été rapidement colmatées en OTA par Tesla suite à leur publication. La conférence s’est terminée par quelques mots du directeur technique de Tesla qui a chaleureusement remercié les deux chercheurs.

Si vous souhaitez plus d’informations techniques je vous invite à lire cet article de blog

When IoT attacks: “hacking a Linux-powered rifle”

Michael Auger et Runa Sandvik nous présentent leurs récentes découvertes sur le fusil connecté TrackingPoint. Celui-ci embarque un système d’exploitation Linux permettant d’améliorer l’expérience utilisateur (aide au tir). Une application mobile est également disponible afin de visualiser à distance le contenu du viseur si le wifi est activé sur le fusil (désactivé par défaut).

C’est justement depuis ce point d’entrée qu’ils sont parvenus à compromettre l’arme. Bien que le WiFi soit protégé par le protocole WPA2, la clé est la même pour l’ensemble des modèles et il n’est pas possible de la modifier. Une fois connecté en WiFi au fusil, les chercheurs ont découvert que l’ensemble des API du fusil est accessible de manière anonyme. Ils sont ainsi en mesure de récupérer et de modifier sa configuration à distance. Par ce biais, ils nous ont démontré comment il était possible d’altérer les données du viseur numérique afin de modifier la cible du tireur. Le résultat est impressionnant et remet en cause l’utilité d’un système connecté sur ce type d’équipement…

Toutefois, les chercheurs ont souligné la mise en place de plusieurs bonnes pratiques de sécurité limitant les attaques menées localement sur le fusil : désactivation du port USB lors du démarrage, console d’administration protégée par authentification utilisateur, signature et contrôle des mises à jour,…

Voici ci-dessous une démonstration de l'attaque en vidéo:

 

Pour en savoir plus cliquez-ici.

Stagefright Android - Joshua J Drake

Nous voici à l’une des conférences les plus attendues présentée par Joshua J. Drake de Zimperium sur ses récentes découvertes de vulnérabilités sur le système d’exploitation Android. Celui-ci s’est focalisé dans le cadre de ses recherches sur la bibliothèque Multimedia d’Android, libStagefright. Elle est utilisée sur environ 95% des mobiles pour la lecture de fichiers audio et vidéo (toutes les versions d’Android supérieures ou égales à 2.2 sont vulnérables).

Architecture Android

Le processus mediaserver, qui utilise la bibliothèque Stagefright, est exécuté avec des permissions très élevées permettant notamment l’enregistrement des conversations téléphoniques, l’accès à la caméra, la connexion à un site distant, voire l’exécution de commandes sur le système.

Partant de ce constat, Joshua Drake a analysé les appels à cette bibliothèque lors du chargement d’une vidéo au format MPEG4. Il identifia rapidement une fonction vulnérable à un dépassement d’entier. Il a ensuite utilisé une vidéo exploitant cette vulnérabilité afin de mettre en évidence la présence de la faille et ainsi exécuter des commandes avec les droits du processus mediaserver.

Démonstration de l'attaque StageFright

Par la suite, en s’intéressant au service MediaScanner utilisant la bibliothèque Stagefright afin d’extraire les métadonnées des photos et vidéos, le chercheur a découvert de nombreux vecteurs d’attaques :

  • MMS
  • Navigateur web
  • Emails
  • Fonctionnalités de téléchargement
  • NFC, Bluetooth, vCard
  • Local (Carte SD, USB, …)

Le risque est particulièrement élevé dans le cas des MMS car le média est directement traité par le service MediaScanner lors de sa réception. Par ce biais, un attaquant est donc en mesure de compromettre le téléphone portable d’une victime par la simple transmission d’un MMS. En effet, dans leur configuration par défaut, les applications Hangouts et Messenger téléchargent automatiquement les MMS, engendrant l’exécution automatique du code malveillant de manière transparente pour la victime.

Compromission d'un téléphone suite à l'envoi d'un MMS exploitant la faille Stagefright

Pour conclure, cette présentation fut l’une des plus impressionnantes car elle met en avant de nombreuses vulnérabilités permettant d’exécuter du code malveillant sur une grande majorité des téléphones portables. Pour en savoir plus cliquez-ici

Remote Exploitation of an Unaltered Passenger Vehicle

Présenté comme un véritable show et agrémenté de nombreuses vidéos, Charlie Miller et Chris Valasek nous ont démontré comment attaquer une Jeep Cherokee 2014, exploit ayant fortement été relayé dans la presse. Au programme, découverte automatisée de véhicules, modification du firmware à distance et prise de contrôle.

Sans doute l’une des meilleures conférences à laquelle nous avons participé. Nous vous invitons à lire le livre blanc qui a été publié suite à la présentation

Further Adventures in Mainframe Hacking

Philip Young revient sur l’architecture Mainframe un peu délaissée par les chercheurs en sécurité mais qui pourtant est encore utilisée par de nombreuses entreprises dans le monde (gestion des paiements bancaires, standards d’appels téléphoniques, etc…).

Ce chercheur s’est donc focalisé sur le système d’exploitation z/OS d’IBM dont aucune faille n’a été publiée. Le fabricant affirme ne pas vouloir fournir d’information sur la sécurité de son système afin de ne pas permettre aux attaquants de compromettre les données sensibles des entreprises (sécurité par l’obscurité).

Le protocole utilisé pour communiquer avec z/OS est dénommé TN3270. Philip Young a développé un script pour le scanner de ports NMAP afin d’identifier ce protocole et de tester les comptes par défaut présents sur le système. Après avoir obtenu un accès simple utilisateur, il démontre par des exemples concrets la présence de plusieurs vulnérabilités par dépassement de tampon lui permettant d’élever ses privilèges et ainsi d’obtenir les droits administrateurs sur le système. Vous pouvez télécharger les différents outils à l’adresse suivante

En résumé, une présentation instructive sur les faiblesses d’un système méconnu. Certains de ces équipements étant accessibles depuis Internet, le risque de vol d’informations critiques est inquiétant, notamment dans les secteurs bancaires et de la distribution. Pour en savoir plus cliquez-ici.

Abusing Adobe Reader’s JavaScript API.

Les chercheurs en sécurité du programme Zero Day Initiative de chez HP reviennent sur les multiples vulnérabilités qu’ils ont découvertes dans l’API JavaScript d’Adobe Reader. Cette dernière permet d’ajouter de nombreuses fonctionnalités à un document PDF comme par exemple le contrôle des événements multimédia ou la communication avec une base de données.

La présentation souligne le manque de contrôle sur les fonctions potentiellement dangereuses qui en théorie peuvent uniquement être appelées dans un contexte privilégié contenant des restrictions de sécurité. Ils ont ainsi été en mesure de développer une preuve de concept permettant de récupérer à distance un fichier présent sur le disque dur d’une victime ayant préalablement ouvert le PDF malveillant.

Une présentation très intéressante sur le fonctionnement des API JavaScript dont une partie n’est tout simplement pas documentée par Adobe. Bien que l’ensemble des vulnérabilités présentées ait été corrigé par l’éditeur, cela laisse supposer la présence d’autres vecteurs d’attaques sur les fichiers PDF… Pour en savoir plus cliquez-ici.

AS400 – Bart Kulach

Bart Kulach nous présente ses recherches sur la sécurité des AS400. Ce système d’exploitation d’IBM est encore très présent dans le milieu de l’industrie en backoffice. De nombreux équipements AS/400 sont accessibles sur Internet et peu sécurisés.

Son analyse se focalise sur l’utilisation de la Toolbox Java/JTOpen fournie par le fabriquant qui permet de réaliser des appels systèmes à distance. Cette API est très utile dans le cadre d’un test d’intrusion car elle permet d’accéder à d’autres fonctionnalités normalement restreintes lors d’une connexion classique en Telnet. Elle souffre de plusieurs défauts permettant à un simple utilisateur d’élever ses privilèges en inversant les droits de son profil avec ceux d’un administrateur.

Il évoque également la sécurité du stockage des mots de passe utilisateurs qui peuvent être récupérés via l’API. Ces derniers sont stockés sous un format propriétaire non documenté. Toutefois, après analyse, Bart Kulack s’est rendu compte qu’ils sont basés sur des formats connus de faible complexité (DES 56-bit, Hash LM, HMAC-SHA1).

Bart Kulach a publié un outil, Hack400Tool, permettant d’exploiter ces failles de sécurité. Pour en savoir plus cliquez-ici.

Medical Devices : Pwnage and Honeypots

Scott Erven, directeur associé de la société de consulting Protiviti, souhaite à travers sa présentation alerter l’opinion publique sur les failles de sécurité des appareils médicaux. Il met en avant les risques d’atteinte à la vie des patients en cas de compromission d’un équipement durant une opération chirurgicale par exemple. Son analyse montre de manière générale le manque de mise à jour et de durcissement de configuration de ces appareils dans les hôpitaux avec notamment l’utilisation systématique de mots de passe d’administration de faible complexité. Ces derniers sont bien souvent ceux définis à l’origine par les fabriquants.

Par ailleurs, nous découvrons que certains d’entre-eux recommandent dans leur documentation de ne pas les modifier au risque de provoquer un dysfonctionnement de l’appareil. Cela laisse supposer un stockage en dur du mot de passe dans les fichiers de configuration…

Partant de ce constat, la société a décidé de mettre en place une dizaine de « honeypots » sur Internet reproduisant l’architecture type d’appareils médicaux connectés (Stations pacemaker, Machines d’IRM, …). L’objectif est d’évaluer si des attaques ciblées sur ce type d’équipements sont menées actuellement sur Internet.

Afin d’obtenir une configuration la plus réaliste possible, ils ont reproduit les interfaces (Web et SSH) d’équipements médicaux couramment présents dans les hôpitaux en restreignant leur accès avec les mots de passe par défaut.

Les résultats de l’étude montrent ainsi plus de 55.000 connexions réussies sur ces interfaces. Une fois connectés, les attaquants ont déployé 299 malwares et exécuté 24 commandes. Fait intéressant, 8 authentifications réussies ont été effectuées sur une interface dont le mot de passe spécifique avait été déposé auparavant par les chercheurs sur le site Pastebin.

Cependant, bien que les attaquants aient eu accès aux consoles d’administration des appareils médicaux, aucune action malveillante n’a été menée sur ces derniers. Les chercheurs pensent qu’ils n’ont probablement pas eu conscience d’avoir ce type de privilège.

Pour en savoir plus cliquez-ici.

Insteon’s false security and deceptive documentation - Peter Shipley

Peter Shipley nous a présenté le fonctionnement du protocole Insteon utilisé pour la domotique (très peu déployé en Europe). Il évoque principalement les erreurs flagrantes inscrites dans la documentation du protocole que ce soit sur ses spécificités propres ou encore sur le chiffrement, évoqué mais totalement inexistant.

Une présentation globalement intéressante qui prouve à nouveau que l’implémentation de la sécurité dans les protocoles domotiques n’est pas une priorité et que les attaques à l’encontre de ce type de réseau risquent fort d’augmenter dans les prochaines années.

DRIVE IT LIKE YOU HACKED IT – Samy Kamkar

Après un bref rappel sur la manière d’écouter et d’attaquer des signaux radios via un SDR (software defined radio), Samy Kamkar nous a présenté une façon originale d’ouvrir des portes de garage avec un jouet de type Mattel IM-ME et un adaptateur GoodFet. Il a ensuite démontré le faible niveau de sécurité de l’application mobile de Chevrolet (aucun contrôle de certificat) pour terminer sa présentation sur la façon d’ouvrir les portes de voitures à code tournant en utilisant sa propre solution RollJam (basée sur deux cartes CC1101 et une Teensy).

L’attaque est simple et très bien pensée :

  • Le propriétaire utilise sa télécommande. Le rolljam bloque le signal et capture le code.
  • Voyant que le signal n’est pas passé, le propriétaire utilise à nouveau sa télécommande pour tenter d’ouvrir sa voiture. Le rolljam bloque à nouveau le signal et capture le second code.
  • L’attaquant est donc en possession de deux codes valides. Il suffit ensuite de rejouer le premier code et de garder le second pour ouvrir la voiture ultérieurement (sans contrainte de temps).

Pour en savoir plus cliquez-ici.

Separating Bots from Humans – Ryan Michelle

Une conférence plutôt bien animée ou Ryan Michelle nous a exposé la manière de différencier un humain d’un bot (représentant 56% du trafic mondial en 2014) ainsi que son outil basé sur l’OCR tesseract permettant de contourner une majorité des captcha présents sur le marché. La solution de Google « RECaptcha » reste l’une des seules solutions robustes du Marché.

Pour en savoir plus cliquez-ici.

Dissecting the design of SCADA - Aditya K Sood

Aditya K Sood nous a exposé le résultat de ses recherches sur certains équipements SCADA tels que Siemens Simatic, Rockwell Automation, Prisma Web et BMX P34. Nous avons ainsi pu découvrir au travers de sa présentation un nombre impressionnant de vulnérabilités Web affectant ces solutions (Défauts d’implémentation SSL, CSRF, inclusion de fichiers, défauts dans l’implémentation de l’authentification, mots de passe en dur dans des applets Java et JavaScript,….). Malheureusement les différentes démonstrations étaient trop simplistes et il était difficile d’avoir une vision claire sur le risque réel de plusieurs de ces vulnérabilités, surtout pour un public non averti.

I hunt penetration testers - Wesley McGrew

Wesley McGrew nous a fait un retour d’expérience sur les méthodes de travail des « pentesters » qui selon lui ne pensent pas suffisamment à leurs propre sécurité durant les missions en clientèle et peuvent ainsi être la source de fuite d’information pour leurs clients. Plusieurs exemples sont également donnés sur les différentes attaques possibles à l’encontre du « pentester » dont certaines semblent être plus du domaine de la fiction (altération d’un exploit lors de son téléchargement sur une page en HTTP par exemple). Il termine sa présentation par une qualification de différents outils de sécurité et sur la sécurité du « Pwnie Express Pwn Plug » et du « Hak5 WiFi Pineapple Mark ».

Dernière ce sujet accrocheur nous sommes cependant restés sur notre faim, les exemples n’étant pas forcément très pertinents.

Pour en savoir plus cliquez-ici.

Ateliers et villages

Nous avons constaté la forte valeur ajoutée des workshops qui permettent de se former sur des sujets très intéressants pour notre métier de consultant. A titre d’exemple, le village SCADA permettait aux participants de se former aux techniques d’intrusion sur un réseau industriel avec des automates de test. L’ensemble des outils nécessaires au workshop est fourni gratuitement mais les places sont limitées. Il est donc nécessaire de s’inscrire plusieurs semaines au préalable.

Social Engineering village

 

ICS Village – Présentation d’attaques sur le protocole Modbus

Pour conclure

Une conférence très riche qui mérite amplement le déplacement. L’avantage majeur par rapport aux autres événements sécurité est de pouvoir vivre une conférence à la carte. Les participants peuvent ainsi cibler les présentations qui les intéressent le plus et alterner avec les activités des différents villages.

Toutefois, il est nécessaire de planifier un minimum son séjour afin de limiter la perte de temps et de pouvoir en tirer un maximum d’enseignements. En effet, le nombre important de participants rend l’accès à certaines présentations difficiles voire impossible pour les plus attendues. Il n’est ainsi pas judicieux de passer d’une salle à une autre, notamment le premier jour où seulement deux salles sur cinq sont ouvertes.

Enfin, si vous souhaitez vous y rendre, plusieurs règles élémentaires doivent être appliquées afin d’éviter toute compromission :

  • Laissez votre passeport biométrique à l’hôtel pour éviter toute duplication non souhaitée
  • Désactivez la puce NFC sur votre carte bancaire si votre banque vous en offre la possibilité, ou achetez un portefeuille contenant un insert en aluminium (pour simuler l’effet d’une cage de faraday).
  • Ne vous connectez pas au Wifi de l’hôtel hébergeant la conférence (ni à ceux aux alentours)
  • Désactivez toute émission radio sur votre smartphone et ordinateur portable (Bluetooth, Wifi, … et même GSM idéalement). Nous avons pu voir avec quelle facilité déconcertante il est possible de modifier un femtocell pour capturer du trafic mobile. En outre, à plusieurs reprises des personnes se faufilaient entre les participants avec des antennes imposantes.
  • Evitez de retirer de l’argent dans les distributeurs autour de l’hôtel. En 2009, un faux distributeur a été positionné au centre de conférence, capturant au passage de nombreuses données de carte bancaires.

 

Sebastien Calba, Consultant Sécurité, Advens
 
Kévin Bontems, Consultant Sécurité Senior, Advens