Les 2 et 3 mai 2017, Wavestone a participé à l'Open-Source-Security Software Hackathon (O3S), événement mis en place pour la première année par l’équipe organisatrice de la conférence Hack.lu.
Le hackathon s’est tenu dans les locaux de l’université du Luxembourg, et de nombreux projets étaient présents pour cet événement.
Présentation
L’objectif de l’O3S était de rassembler les équipes en charges de projets open-source liés à la sécurité, afin de collaborer sur les thèmes suivants :
- Évolutions des outils existants ;
- Interfaçage des projets existants ;
- Réflexions autour de nouveaux outils.
L’O3S a eu lieu sur 2 jours et a permis aux différentes équipes de découvrir les projets en cours de développement et d’interagir sur les thématiques liées à la sécurité.
Principaux projets représentés
Les projets suivants ont été représentés durant le hackathon :
MISP |  |
Le projet « Malware Information Sharing Platform», ou MISP, est un projet initialement développé par l’OTAN, puis par le CIRCL. Il a pour but la collection, le stockage et le partage d’indicateurs de compromission (IOC) liés aux incidents de sécurité gérés par une entité.
Une instance MISP permet notamment :
- Le stockage des IOC en base, qu’ils soient d’ordre techniques ou non ;
- La corrélation automatique des IOC afin de rapprocher des incidents de sécurité similaire ;
- Le partage des IOC avec d’autres instances MISP, en respectant des niveaux de partages permettant de garantir la confidentialité de données sensibles ;
- L’accès aux données au travers d’une interface web et d’une API ;
- Le développement de modules complémentaires en Python.
MONARC |  |
Method for an Optimised aNAlysis of Risks by CASES, ou MONARC, est un outil développé par le Cyberworld Awareness and Security Enhancement Services (CASES).
L’outil est développé à destination des PME, pour lesquels les formalisations classiques d’analyses de risques sont des processus longs et parfois coûteux. MONARC propose une gestion automatisée et simplifiée de l’analyse, construite autour de la norme ISO 27005:2011 et divisée en 4 étapes :
- Définition du contexte
- Modélisation des risques
- Évaluation et traitement des risques
- Surveillance et contrôle
CVE-Search |  |
CVE-Search est un outil permettant l’import, la recherche et le traitement des éléments suivants :
- Common Vulnerabilities and Exposures (CVE) : alias désignant par un nom unique une vulnérabilité sur un produit
- Common Platform Enumeration (CPE) : standardisation sous un format unique des noms, éditeur et versions des produits affectés par les CVE
L’objectif principal de l’outil est d’accélérer les recherches de CVE / CPE parfois longues sur les plateformes publiques.
ICC Analysis – JSMF-Android |
JSMF Android est un outil qui repose sur la bibliothèque JSMF pour l’analyse des communications inter-composants sur Android.
Le format d’entrée est un fichier APK, et l’outil permet différents types de visualisation pour observer les liens entre les différents composants de l’application (activités, instructions, points de sorties, etc).
Une démonstration en ligne est disponible à cette adresse : http://jsmf-android-visualization.list.lu
VIPER |  |
Viper est un framework d’analyse et de gestion de binaires. Il permet de stocker efficacement un ensemble de fichiers malveillants.
Tel Metasploit, Viper permet ensuite d’exécuter un ensemble de scripts sur ces binaires, adaptés à chaque format :
- Exécutables
- Fichiers Office (OLE)
- Fichiers email
- Documents HTML
- Images…
Shotovuln |
Shotovuln est un outil récent (mars 2017) permettant d’automatiser la recherche de possibilités d’élévation de privilèges.
CERTitude |  |
CERTitude est un outil du CERT-Wavestone visant à aider les investigateurs dans leur tâche d’évaluation du périmètre compromis en cas d’attaque.
La particularité de CERTitude est qu’il s’agit d’un outil agissant à distance sur les postes de travail, sans agent, et offrant un vue centralisée des résultats.
La participation au Hackathon nous a permis entre autres de :
- Corriger un certain nombre de bugs / erreurs présents ;
- Planifier des évolutions futures ayant pour but d’améliorer de manière signifiante les performances ;
- Introduire de nouvelles fonctionnalités, en accord avec les besoins actuels :
- Recherche de mutex
- Évaluation de règles Yara (en cours de développement)
Jean MARSAULT