Wavestone était présent à l’édition 2017 de la conférence BSides Las Vegas où Thomas DEBIZE et Mahdi BRAIK de la practice Cybersecurity & Digital Trust ont eu l’honneur de présenter leurs travaux autour de la sécurité du framework Hadoop (https://www.peerlyst.com/posts/bsideslv-2017-hadoop-safari-hunting-for-vulnerabilities-thomas-debize).
Nous vous proposons ci-dessous un compte-rendu d’une sélection de talks, les supports de présentations et vidéos étant pour la plupart déjà disponibles sur Peerlyst (https://www.peerlyst.com/users/bsides-las-vegas) et Sched (https://bsideslv2017.sched.com/)
Nous tenons à remercier les organisateurs pour leur accueil chaleureux, l’ambiance détendue et l’esprit de communauté qui ont régné durant cette conférence.
Maor Bin - Google Apps Scripts Kill Chain
À travers ce court talk, le chercheur a souhaité démontrer que la suite Google Apps Scripts, permettant d’automatiser des actions avec les services Google (GMail, GDrive etc.), pouvait constituer une manière innovante et efficace d’infecter des victimes dans une attaque de spear-phishing :
- Envoi d’un lien vers un Google Document: un attaquant pourrait facilement utiliser le service GMail afin d’envoyer en masses une invitation à accéder à un document partagé sur un espace GDrive. Le mail provenant ainsi des infrastructures Google, les filtres anti-spam de GMail seraient ainsi facilement contournés
- Téléchargement automatique d’un programme malveillant : en accédant au fichier Google Document pointé par l’invitation, le chercheur a montré qu’il était possible de forcer le téléchargement automatique du programme sur le poste de la victime (attaque par « drive-by-download »).
L’auteur a également indiqué que ces méthodes ont déjà été utilisées lors d’une véritable attaque, à savoir « Carbanak ».
Myron Dewey and Lisha Sterling - IMSI Catchers And The Happy Yellow Helicopter: Security Challenges At Standing Rock
En 2016 l’association Geeks Without Bounds est intervenue afin de fournir des moyens de télécommunication auprès des manifestants présents dans la réserve indienne de Standing Rock, luttant contre le passage d’un pipeline de gaz dans la réserve. Ce talk, qui n’a pas pu dépasser l’introduction pour des problèmes logistiques de la part des intervenants, visait à évoquer les techniques d’interception des communications des manifestants par les forces de l’ordre, dont entre autre l’utilisation d’IMSI catchers.
Gabriel Ryan - The Black Art of Wireless Post-Exploitation: Bypassing Port-Based Access Controls Using Indirect Wireless Pivots
Le chercheur a tout d’abord présenté un état des lieux des attaques possibles sur les infrastructures Wi-Fi, dont notamment l’attaque « evil twin », et l’intérêt de mettre en œuvre une authentification EAP-TLS. Puis différentes attaques ont été présentées, mettant chacune en œuvre l’outil « eaphammer » (https://github.com/s0lst1c3/eaphammer) qu’il a développé, permettant par exemple le vol d’authentifiant Active Directory via un portail captif malveillant interceptant les requêtes LLMNR/NBT-NS et SMB avec l’outil Responder.
underflow – Modern Internet-Scale Network Reconnaissance
L’auteur de ce talk a eu pour objectif de détailler les étapes et écueils à éviter lors de la construction d’une plateforme d’agrégation, d’indexation et de consultation de données de cartographie de l’intégralité du réseau Internet (IPs, ports et services exposés, zones DNS etc.).
De telles informations sont à la fois utiles aux attaquants et aux défenseurs cherchant à évaluer l’exposition de leurs infrastructures sur Internet, à travers les cas d’usages suivants :
De nombreux services tiers proposent de telles informations, tel que domaintools, shodan, zoomeye etc. ; mais utiliser uniquement ces services fait apparaitre des limitations importantes :
- Il n’existe pas de service offrant un accès total aux données sans payer
- Les informations recherchées par les utilisateurs de ces services fuitent auprès des sociétés qui les opèrent
- Il est rare de pouvoir effectuer des recherches complexes sur ces services tiers
- Il n’est pas possible de croiser dynamiquement plusieurs sources de données via une seule et même plateforme
La construction d’une plateforme en propre répond ainsi à ces limitations et est facilitée par l’existence de nombreuses sources proposent gratuitement des informations « brutes », qu’il faut agréger :
Des recommandations très concrètes ont été évoquées par l’auteur dont entre autres :
- Les caractéristiques techniques du serveur : 4 cœurs, 16 Go RAM, 1 To de stockage
- Le choix du format des données après ingestion, à savoir « MTBL » (https://github.com/farsightsec/mtbl), permettant d’obtenir « instantanément » le résultat d’une requête dans un volume d’1 Go avec seulement 8 Go de RAM
- Le choix du format de compression « gzip » et de la suite d’outil « pigz » permettant l’utilisation d’outils UNIX de traitement de texte au sein de données compressées
- Le volume de stockage récurrent des données
L’auteur a développé et publié plusieurs scripts et outils afin d’automatiser le téléchargement et la conversion en MTBL des données brutes.
Enfin, différents cas d’usages ont été illustrés dont notamment la recherche de sites Wordpress fraichement installés et exposés sur Internet, dont l’accès est généralement possible avec des authentifiants par défaut.
Jean-Philippe Aumasson & Yolan Romailler - Automating Crypto Bugs Discovery
Après avoir évoqué les limitations liées aux méthodes classiques de fuzzing, les deux chercheurs en cryptologie ont présenté l’outil « CDF » (https://github.com/kudelskisecurity/cdf) qu’ils ont développé permettant le fuzzing différentiel de bibliothèques cryptographiques : le principe est de comparer l’implémentation d’une même primitive cryptographique par deux bibliothèques pour des cas au limites, contrairement à un fuzzing « bête » (« dumb ») visant à mettre en défaut la cible en provoquant un crash.
Différentes bibliothèques cryptographiques populaires (OpenSSL, PyCrypto, CryptoPP etc.) ont été évaluées avec cet outil et ont permis d’identifier plusieurs faiblesses (boucles infinies, attaques temporelles etc.) dans la gestion des algorithmes OAEP, ECDSA et DSA ; ces failles ont pour la plupart été corrigées.
Thomas DEBIZE