{"id":147,"date":"2013-11-28T01:18:19","date_gmt":"2013-11-27T23:18:19","guid":{"rendered":"http:\/\/calypt.com\/blog\/?p=147"},"modified":"2013-11-28T01:18:19","modified_gmt":"2013-11-27T23:18:19","slug":"grehack-2013-resume-part-1","status":"publish","type":"post","link":"https:\/\/www.calypt.com\/blog\/index.php\/grehack-2013-resume-part-1\/","title":{"rendered":"Grehack 2013 r\u00e9sum\u00e9 – partie #1"},"content":{"rendered":"

\"Grehack\"<\/a><\/p>\n

Le 15 novembre se d\u00e9roulait la seconde \u00e9dition de la Grehack<\/a>, conf\u00e9rence en s\u00e9curit\u00e9 prenant place \u00e0 Grenoble, au c\u0153ur des Alpes. Calypt \u00e9tait sur place au milieu de 250 participants pour une douzaine de talks dispens\u00e9s par des chercheurs du monde entier, ainsi que pour son CTF r\u00e9unissant 37 teams et environ 140 personnes pr\u00eates \u00e0 en d\u00e9coudre sur des challenges plus ou moins cors\u00e9s.<\/p>\n

 <\/p>\n

Les conf\u00e9rences ont pris place tout au long de la journ\u00e9e du vendredi, apr\u00e8s un accueil matinal appuy\u00e9 \u00e0 grands renforts de viennoiseries et de caf\u00e9s les invit\u00e9s ont \u00e9t\u00e9 pri\u00e9s de se d\u00e9placer dans l’amphith\u00e9\u00e2tre. Apr\u00e8s une minute de silence \u00e0 la m\u00e9moire de C\u00e9dric Blancher chercheur en s\u00e9curit\u00e9 disparu r\u00e9cemment,\u00a0\u00a0JP Aumasson<\/a>\u00a0a fait une courte introduction. Introduction durant laquelle il a \u00e9t\u00e9 mis en avant le nombre de papiers soumis (32) et le nombre d’accept\u00e9s (9) pour un taux d’acceptation de 28,1%.<\/p>\n

Apr\u00e8s cette petite pr\u00e9sentation d’accueil, c’est parti pour la keynote, ou pas.<\/p>\n

 <\/p>\n

Herbert Bos<\/a><\/strong>\u00a0d\u00e9marre cette keynote en expliquant que la sienne ne sera pas tr\u00e8s conventionnelle, et qu’il va plus faire \u00e9tat des erreurs m\u00e9moire pass\u00e9es, pr\u00e9sente et futures pour faire un constat : malgr\u00e9 le fait que la plupart de ces erreurs aient plusieurs d\u00e9cennies, elles restent encore \u00e0 l’heure actuelle un probl\u00e8me majeur. Et pour ce talk, il va se concentrer sur les buffer overflows,\u00a0<\/strong>tr\u00e8s souvent pr\u00e9sents dans les top 3 annuels des failles les plus dangereuses, et bien que beaucoup de recherches aient \u00e9t\u00e9 faites pour s’en prot\u00e9ger (NX bit\/DEP, Canaries and cookies, ASLR), ils ont toujours \u00e9t\u00e9 contourn\u00e9s.<\/p>\n

Il a \u00e9galement parl\u00e9 du dowsing,\u00a0<\/strong>technique consistant \u00e0 faire du fuzzing cibl\u00e9 afin d’identifier des vuln\u00e9rabilit\u00e9s dans du code. Les m\u00e9thodes classiques de testing automatique ne scale pas tr\u00e8s bien et le nombre d’\u00e9tats augmente de fa\u00e7on exponentielle et le temps de test peut prendre un temps bien trop grand (Aucune vuln\u00e9rabilit\u00e9 trouv\u00e9 dans Nginx en 8h).<\/p>\n

L’id\u00e9e serait donc de faire du\u00a0dowsing,\u00a0<\/strong>en ciblant des petits et potentiellement suspicieux morceaux de code : on utilise une strat\u00e9gie bas\u00e9e sur l’analyse du flow d’ex\u00e9cution en classant les portions de codes selon plusieurs crit\u00e8res : instructions, casts, … Avec \u00e7a on devrait pouvoir analyser du code dans des temps raisonnable afin de trouver des vuln\u00e9rabilit\u00e9 avant la release.<\/p>\n

 <\/p>\n

Ensuite c’est Juan Caballero<\/a><\/strong>\u00a0qui nous a parl\u00e9 de\u00a0Specialization in the malware distribution ecosystem.\u00a0<\/strong>Talk tr\u00e8s int\u00e9ressant bas\u00e9e sur une r\u00e9alit\u00e9 : le cybercrime est la pour faire de l’argent, et cet argent est g\u00e9n\u00e9r\u00e9 par plusieurs m\u00e9thodes : vols de num\u00e9ros de cartes bleues, spam, DDoS, Click fraud, minage de bitcoin sur des syst\u00e8mes compromis, ransomware<\/a>, VPN.<\/p>\n

Les organisations criminelles vont donc chercher \u00e0 mon\u00e9tiser une machine avec un malware, diff\u00e9rents moyens de distributions sont recens\u00e9s :<\/p>\n