{"id":1300,"date":"2012-04-12T21:58:07","date_gmt":"2012-04-12T19:58:07","guid":{"rendered":"https:\/\/www.digdeo.fr\/?p=1300"},"modified":"2022-03-16T12:17:28","modified_gmt":"2022-03-16T11:17:28","slug":"hackito-ergo-sum-2012-premiere-journee","status":"publish","type":"post","link":"https:\/\/www.digdeo.fr\/articles\/actualite\/hackito-ergo-sum-2012-premiere-journee","title":{"rendered":"Hackito Ergo Sum 2012 premi\u00e8re journ\u00e9e"},"content":{"rendered":"

C’est dans le cadre exceptionnel du Si\u00e8ge du Parti Communiste fran\u00e7ais que la 3\u00e8me conf\u00e9rence Hackito Ergo Sum s’ouvre \u00e0 Paris.<\/p>\n

<\/p>\n

\"Hackito<\/p>\n

Keynote d’ouverture par C\u00e9dric Blancher \u00ab\u00a0Sid\u00a0\u00bb<\/h2>\n

#HES2012 2012-04-12 11h-12h<\/p>\n

La keynote d’ouverture de la conf\u00e9rence rappel les raisons qui nous regroupent \u00e0 Paris pour ces trois jours. En premier lieu un rappel de ce qu’est la v\u00e9ritable signification du mot hacking et hacker. Un exemple tr\u00e8s explicite est donn\u00e9, C\u00e9dric fait des sauts en chute libre et a besoin de fabriquer une attache solide pour sa cam\u00e9ra. L’acte de hacking est le fait de bricoler et de modifier les attaches originales de la cam\u00e9ra pour qu’elles r\u00e9pondent \u00e0 un autre besoin. Changer la destination et les fonctionnalit\u00e9 d’un objet c’est cela \u00eatre hacker.<\/p>\n

\"Hackito<\/p>\n

Cela s’applique \u00e9galement \u00e0 l’informatique o\u00f9 le terme hacker est plus souvent utilis\u00e9. Un rappel des diff\u00e9rentes pratiques possibles et leurs enjeux est \u00e9nonc\u00e9. C\u00e9dric appel \u00e0 une meilleure communication, une meilleure unit\u00e9 pour gagner en efficacit\u00e9 et en notori\u00e9t\u00e9.Pour lui le hacking est la vraie source de l’innovation et il faut que cela soit un moteur de nos vies et de nos activit\u00e9s. Il pr\u00e9conise aussi de rester \u00e0 l’\u00e9cart de la politique, le m\u00e9lange n’est pas bon. Le hacking est d’int\u00e9r\u00eat public et nous avons besoin d’apprendre pour nous et nos enfants, il pr\u00e9cise que nous avons perdu la capacit\u00e9 d’apprendre par nous m\u00eame. Essayer, t\u00e2tonner, c’est apprendre de ces erreurs.<\/p>\n

Revisiting Baseband Attacks par Ralf Philipp Weinmann<\/h2>\n

#HES2012 2012-04-12 13h30-14h30<\/p>\n

Ralf Philipp nous pr\u00e9sente le concept des attaques des r\u00e9seaux cellulaires en se positionnant entre le t\u00e9l\u00e9phone cible et l’antenne relais en utilisant un relais gsm contr\u00f4l\u00e9 par l’attaquant. Une vid\u00e9o de d\u00e9monstration est projet\u00e9e, on y voit un iPhone perdre l’acc\u00e8s \u00e0 son r\u00e9seau gsm puis se reconnecter \u00e0 la nouvelle balise. Un deuxi\u00e8me t\u00e9l\u00e9phone appel l’iPhone et ce dernier d\u00e9croche tout seul.<\/p>\n

\"Hackito<\/p>\n

Les constructeurs de t\u00e9l\u00e9phone prennent au s\u00e9rieux ces probl\u00e8mes de s\u00e9curit\u00e9 mais il reste encore des bugs qui ne sont pas corrig\u00e9s. Un autre souci c’est la chaine de mise \u00e0 jour, notamment quand les t\u00e9l\u00e9phones sont vendus en OEM o\u00f9 les mises \u00e0 jour sont propos\u00e9es que tardivement et o\u00f9 les utilisateurs ne voient pas ou ne sont pas au courant des b\u00e9n\u00e9fices des mises \u00e0 jours.<\/p>\n

Du c\u00f4t\u00e9 des attaquants, l’acc\u00e8s aux informations des piles des puces Qualcomm permet des modifications des informations par l’acc\u00e8s JTAG. De nombreux t\u00e9l\u00e9phones notamment produit en 2010 sont vuln\u00e9rables. Avec une RIFF box, un boitier d’une valeur de 150$ l’acc\u00e8s JTAG est facile, il est possible de se connecter \u00e0 un t\u00e9l\u00e9phone et de modifier tout le contenu applicatif du t\u00e9l\u00e9phone.<\/p>\n

\"Hackito<\/p>\n

Ralf Philipp fait un \u00e9nonc\u00e9 des diff\u00e9rentes r\u00e9f\u00e9rences de puces du march\u00e9 utilis\u00e9e ainsi que des nouveaut\u00e9s tendant \u00e0 se r\u00e9pendre rapidement sur le march\u00e9 notamment les puces Mediatek pour le support dual sim, les puces Broadcom et ST-Ericsson. Toutes ces puces ont des m\u00e9moires APP\/BB partag\u00e9es les rendant vuln\u00e9rables. Dans son universit\u00e9, Ralf Philipp a pu tester le sc\u00e9nario d’une attaque avec du mat\u00e9riel 3G Siemens \u00e0 disposition et non utilis\u00e9.<\/p>\n

Ralf Philipp sortira en mai un livre \u00ab\u00a0iOS Hacker’s Handbook\u00a0\u00bb dans lequel il parle notamment des attaques des baseband, il fournit aussi une image Virtualbox d’OpenBTS pr\u00e9configur\u00e9e pour pouvoir suivre les exemples du livre.<\/p>\n

Strange and Radiant Machines in the physical Layer par Travis Goodspeed & Sergey Bratus<\/h2>\n

#HES2012 14h30-15h30<\/p>\n

Les machines sont comme les logiciels ils ont des failles. A l’inverse des logiciels ces failles sont dures \u00e0 comprendre. Aussi toute d\u00e9couverte doit \u00eatre document\u00e9e m\u00eame si elle ne sert pas tout de suite. Au moment opportun elle servira dans une \u00e9tape d’une attaque pr\u00e9cise. En documentant toutes les sp\u00e9cificit\u00e9s d’un mat\u00e9riel on en fait son empreinte unique \u00ab\u00a0fingerprint\u00a0\u00bb. Par le mod\u00e8le OSI, en modificant un paquet, typiquement un bit dans un fichier zip, on change l’onde \u00e9mise sur un r\u00e9seau wifi pouvant g\u00e9n\u00e9rer des faux positifs ou des faux n\u00e9gatifs sur l’\u00e9quipement qui le re\u00e7oit. On peut tirer aussi avantage de certains comportement comme le fait que les instructions ont toujours la fr\u00e9quence d’horloge la plus rapide ou que les m\u00e9moires flash ont diff\u00e9rentes tol\u00e9rance de voltage par rapport \u00e0 la ram ou une rom. Une autre possibilit\u00e9 est de d\u00e9sactiver certaines alimentations dans une puce pour isoler certains comportements.<\/p>\n

\"hackito<\/p>\n

Le mat\u00e9riel ne peut jamais \u00eatre patch\u00e9, si vous pouvez contr\u00f4ler et acc\u00e9der \u00e0 diff\u00e9rents composants dans la partie radio d’une borne wifi par exemple, vous avez acc\u00e9s au buffer des informations \u00e0 transmettre, \u00e0 un r\u00e9cepteur et \u00e0 un \u00e9metteur. Les v\u00e9rifications faites par le module sont limit\u00e9es et concernent le fait de trouver le d\u00e9but et la fin d’un paquet. On peut donc modifier le contenu d’un paquet et le faire transmettre sans restriction.<\/p>\n

Autre exemple cette fois-ci de faux positif, les claviers wireless Microsoft avec l’accroche \u00ab\u00a0Kiss your security goodbye\u00a0\u00bb. La communication du clavier lorsqu’une touche est tap\u00e9e envoie une s\u00e9quence hexad\u00e9cimale puis lorsque la touche est rel\u00e2ch\u00e9e, une s\u00e9quence de m\u00eame taille est envoy\u00e9e avec que des z\u00e9ros. Le principe de communication est aussi identifiable que les tonalit\u00e9s du t\u00e9l\u00e9phone. Travis nous montre un module \u00e0 deux antennes capable de capter les signaux de ces claviers. Les r\u00e9cepteurs radios ont des longueurs d’adresses arbitraires, le checksum d’un paquet peut \u00eatre d\u00e9sactiv\u00e9 et le pr\u00e9ambule d’un paquet peut \u00eatre pr\u00e9dit.<\/p>\n

\"Hackito<\/p>\n

Travis nous pr\u00e9sente un exemple concret d’attaque des alimentations des puces d’un module. En se construisant un module identique mais avec des rang\u00e9es de connecteurs pin, il est possible de rapidement d\u00e9sactiver l’alimentation de diff\u00e9rents composants internes de la puce Freescale MC13224 en les connectant au neutre. Les cavaliers pouvant \u00eatre cumul\u00e9s, on peu d\u00e9sactiver toute ou partie de la puce du module radio.<\/p>\n

Plus d’information sur le Packets in Packets Orsen Welles In-Band Signaling Attack for Digital Radios http:\/\/packetsinpackets.org\/<\/p>\n

Hardware backdooring is practical par Jonathan Brossard \/ Florentin Demetrescu<\/h2>\n

#HES2012 2012-04-12 15h30-16h30<\/p>\n

La pr\u00e9sentation commence par un disclaimer expliqu\u00e9 par Jonathan, pr\u00e9cisant qu’ils ne d\u00e9voileront pas leur concept de backdoor, qu’ils ne sont pas des terroristes, que l’architecture x86 a un pass\u00e9 trop pr\u00e9sent, que les gouvernements le savent bien. Une premi\u00e8re question est pos\u00e9e, est ce qu’un gouvernement au hasard la Chine ne pourrait pas mettre des backdoor dans tous les nouveaux ordinateurs produits?<\/p>\n

\"hackito-ergo-sum-2012-8542\"<\/a><\/p>\n

N’importe quel fabriquant de composant peut dans la chaine de fabrication d’un module ajouter un backdoor, il faut donc partir du principe que le mat\u00e9riel n’est pas s\u00e9curis\u00e9. Florentin reprend la parole et nous fait un point sur l’architecture x86 et son h\u00e9ritage trop important des premi\u00e8res versions de l’architecture. A pr\u00e9sent une d\u00e9monstration de coreboot par port s\u00e9rie. La carte m\u00e8re pos\u00e9e \u00e0 nue sur la table boot et on voit une s\u00e9rie de message d\u00e9taill\u00e9s du bios gr\u00e2ce au reverse engineering. Un r\u00e9capitulatif des failles trouv\u00e9es dans la s\u00e9quence de boot des bios depuis les ann\u00e9es 1980 jusqu’\u00e0 nos jours.<\/p>\n

\"hackito-ergo-sum-2012-8537\"<\/p>\n

Jonathan nous fait une d\u00e9monstration de backdoor d’un windows 2008 server, le but est d’atteindre le backdoor parfait. Il doit \u00eatre persistant, ne pas \u00eatre d\u00e9tectable, portable (os ind\u00e9pendant), permettre l’acc\u00e8s \u00e0 distance et se mettre \u00e0 jour \u00e0 distance. Pour cela il va utiliser Rakshasa qui se base sur coreboot, seabios, iPXE et du refactoring payload. Pour cela on flash le bios coreboot et pci roms notamment avec iPXE, on flash les cartes r\u00e9seaux, on boot un payload sur le r\u00e9seau qui si il est sur un r\u00e9seau sans fil va sortir du p\u00e9rim\u00e8tre du r\u00e9seau bypassant toute d\u00e9tection IPS \/ IDS, enfin si n\u00e9cessaire une mise \u00e0 jour pourra \u00eatre appliqu\u00e9e \u00e0 distance. Enfin il faut param\u00e9trer certains \u00e9l\u00e9ments comme le bit NX pour rendre executable les heap et stack. Il faut enlever les mises \u00e0 jour CPU et l’anti SMM. Pour la communication r\u00e9seau, on peut utiliser le protocole que l’on souhaite et l’adapter mais pourquoi pas du tcp over dns ou over ntp? La d\u00e9monstration commence et on voit que l’on peut se loguer sur windows avec n’importe quel mot de passe (ici un windows 7 64bits). D’autres d\u00e9monstrations ont lieu mais trop vite pour que je puisse ne parler.<\/p>\n

A pr\u00e9sent on aborde comment concevoir proprement un botnet. Utilisation de https avec cryptage asym\u00e9trique, des adresses ip pr\u00e9 configur\u00e9es qui pourront \u00eatre mises \u00e0 jour comme Microsoft le fait pour les mises \u00e0 jour de s\u00e9curit\u00e9. La totalit\u00e9 des anti virus sont dans les couches hautes du syst\u00e8me et prot\u00e9ger enti\u00e8rem son infrastructure avec cela est utopique. Avec un acc\u00e8s physique et une clef usb programm\u00e9 pour faire l’ensemble des mises \u00e0 jour, il ne faut que 3 secondes pour effectuer tous les flash n\u00e9cessaires. Autant dire qu’un simple reboot anodin que l’on pourrait attribuer \u00e0 un d\u00e9faut \u00e9lectrique peut \u00eatre une tentative de mettre un backdoor. Enfin comment distribuer un backdoor facilement? Proposer sur eBay des cartes r\u00e9seaux pr\u00e9par\u00e9e avec le backdoor et vous aurez autant de botnet \u00e0 votre disposition sous peu. Un hyperviseur comme VMWare peut aussi est compromis par une carte r\u00e9seau avec backdoor.<\/p>\n

Les conseils sont de flasher tout mat\u00e9riel que vous recevez avant de les installer. Faire des v\u00e9rifications de checksums des firmwares, inclure les mises \u00e0 jour des firmwares dans votre plan de mise \u00e0 jour global et prot\u00e9ger l’acc\u00e8s physiques des serveurs. Mais cependant une mise \u00e0 jour de firmwares \u00e0 distance est parfois possible, il n’y a donc pas de parade parfaite. La mise \u00e0 jour \u00e0 distance peut \u00eatre script\u00e9e par un iPXE pour envoyer la mac adresse sur un serveur, qui renverra le firmware avec le backdoor le plus adapt\u00e9 apr\u00e8s avoir d\u00e9tect\u00e9 le mod\u00e8le et le fabriquant.<\/p>\n

Cryptographic Function Identification in Obfuscated Binary Programs par Joan Calvet<\/h2>\n

#HES2012 2012-04-12 16h30-17h30<\/p>\n

Ayant eu un petit souci de batterie, j’ai rat\u00e9 le d\u00e9but de l’intervention, aussi je ne ferais pas de retour sur cette intervention. N\u00e9anmoins apr\u00e8s avoir raccroch\u00e9 le fil, le contenu est tr\u00e8s int\u00e9ressant pour trouver les boucles servant \u00e0 offusquer le code.<\/p>\n

\"hackito-ergo-sum-2012-8544\"<\/p>\n

\"hackito-ergo-sum-2012-8545\"<\/p>\n

Lockpicking par Walter Belgers<\/h2>\n

#HES2012 2012-04-12 17h30-18h30<\/p>\n

Walter nous fait une pr\u00e9sentation des diff\u00e9rentes techniques d’ouverture d’une serrure, technique normale avec une clef, technique destructive avec une pince monseigneur ou discr\u00e8te avec le lockpicking. Une vid\u00e9o d’ouverture de porte d’h\u00f4tel avec un c\u00e2ble m\u00e9tallique est montr\u00e9e. Le c\u00e2ble est gliss\u00e9 sous la porte puis remont\u00e9 pour accrocher la clenche pour ouvrir la porte. Walter pr\u00e9sente diff\u00e9rents outils, crochets, pompe \u00e0 air, fils m\u00e9talliques. Dans les m\u00e9thodes destructives, on peut plastiquer de fa\u00e7on tr\u00e8s cibl\u00e9e un canon de serrure. Autre m\u00e9thode, la perceuse qui permet de casser le canon. Walter montre les protections que les constructeurs ont mis en place.<\/p>\n

Le lockpicking consiste a ouvrir sans conna\u00eetre le code ou avoir la clef, laisser la serrure intacte et ne laisser aucune trace de l’action d’ouverture. Walter pr\u00e9cise qu’il a les autorisations de faire ces d\u00e9monstrations avec l’accord de diff\u00e9rents constructeurs. Premi\u00e8re technique la copie de clef au niveau du profil et au niveau des pics. Autre technique la copie par empreinte et du m\u00e9tal coul\u00e9 dans le moule. Walter explique avec des sch\u00e9mas anim\u00e9s comment fonctionnent les pistons d’une serrure, les diff\u00e9rentes contraintes de forces, de forme.<\/p>\n

\"hackito-ergo-sum-2012-8547\"<\/p>\n

A pr\u00e9sent explication de la technique de base du crochetage, il faut un outil de contrainte et un crochet pour pousser de fa\u00e7on s\u00e9lective chaque piston. Il faut faire attention \u00e0 ne pas remonter trop haut le piston sinon la partie basse en contact avec la clef sera coinc\u00e9e en position haute. Il faut aussi composer avec la mauvaise qualit\u00e9 des tubes contenant les pistons qui peuvent avoir des \u00e9carts de taille. Dans ce cas il faut utiliser un crochet combin\u00e9.<\/p>\n

\"hackito-ergo-sum-2012-8551\"<\/p>\n

Une autre technique avec les outils de raking qui consiste en un outil en forme de vague, le but est de retirer l’outil rapidement pour cr\u00e9er des vibrations qui avec un peu de chance vont aligner et coincer les diff\u00e9rents pistons. Pour les cadenas, une technique simple avec un bout de m\u00e9tal arrondi qui s’ins\u00e8re entre le U et le corps du cadenas.<\/p>\n

\"hackito-ergo-sum-2012-8553\"<\/p>\n

Les contres mesures consistent \u00e0 utiliser des mat\u00e9riaux plus r\u00e9sistants, des pistons sp\u00e9ciaux, des certificats pour les clefs, des clefs aux formats originaux comme des profils al\u00e9atoires ou emp\u00eachant l’insertion des outils de lockpicking. Les pistons peuvent aussi avoir des formes de champignons qui lorsqu’ils sont bloqu\u00e9s en position haute bloquent le canon de la serrure. Il faut donc pouvoir les pousser et les maintenir coinc\u00e9 \u00e0 la verticale et seul la clef peut permettre cela. Mais il est possible avec un peu d’habitude de rel\u00e2cher la tension sur le canon pour repousser le piston en forme de champignon. Les pistons en forme de champignon ne sont que tr\u00e8s rarement pr\u00e9sent sur tous les pistons, seulement un ou deux pistons ont cette forme. D’autres canons ont des doubles cylindres o\u00f9 il faut aligner la partie ext\u00e9rieure et la partie int\u00e9rieure, rien d’impossible mais il faut un peu plus de temps.<\/p>\n

Autre outil le gun pick qui g\u00e9n\u00e8re des vibrations aux pistions inf\u00e9rieurs qui ne bougent pas et renvoie l’\u00e9nergie aux parties sup\u00e9rieures qui alors vont s’aligner correctement. Une autre technique consiste \u00e0 faire du bumping en utilisant une clef avec le bon profil mais avec les pics les plus bas possibles. Cela consiste \u00e0 faire comme le gun pick. On frame la clef qui renvoie l’\u00e9nergie dans les pistons. La protection pour les bump key consiste \u00e0 \u00e9viter que certains pistons de la serrure ne descendent jusqu’en bas, ne touchant pas la clef ils n’ont pas de vibrations \u00e0 transmettre.<\/p>\n

\"hackito-ergo-sum-2012-8555\"<\/p>\n

Pour les serrures \u00e0 protection magn\u00e9tique, Walter a fabriqu\u00e9 un outil \u00e9lectronique qui mesure la combinaison magn\u00e9tique n\u00e9cessaire pour ouvrir la serrure, il suffit de faire une clef avec la m\u00eame combinaison par la suite. Walter revient sur les r\u00e9v\u00e9lations des serrures de s\u00e9curit\u00e9 gouvernementale avec code \u00e9lectronique qui ont \u00e9t\u00e9 montr\u00e9es comme faillible \u00e0 la derni\u00e8re DefCon.<\/p>\n

On peut aussi deviner les crans d’une clef en partant d’une clef vierge et en exer\u00e7ant une pression verticale successive les pistons qui ne sont pas bien align\u00e9s vont faire des marques dans la clef, il suffit de les poncer jusqu’\u00e0 ce qu’il n’y ait plus de marques. Une variante consiste pour les clefs \u00e0 marques rondes \u00e0 les recouvrir d’aluminium qui va s’\u00e9craser sous la pression des pistons, il faut exercer une force assez \u00e9lev\u00e9e, par la suite la copie de la clef est totalement fonctionnelle.<\/p>\n","protected":false},"excerpt":{"rendered":"

R\u00e9sum\u00e9 de la premi\u00e8re journ\u00e9e de la conf\u00e9rence Hackito Ergo Sum 2012 \u00e0 Paris.<\/p>\n","protected":false},"author":2,"featured_media":3041,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[31],"tags":[32,33,34,35,36],"class_list":["post-1300","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualite","tag-conference","tag-hacker","tag-hacking","tag-hackito-ergo-sum","tag-securite"],"_links":{"self":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/1300","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/comments?post=1300"}],"version-history":[{"count":1,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/1300\/revisions"}],"predecessor-version":[{"id":3042,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/1300\/revisions\/3042"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/media\/3041"}],"wp:attachment":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/media?parent=1300"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/categories?post=1300"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/tags?post=1300"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}