![\"Fernando](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8595.jpg\")
<\/figure>\n\n\n\nA pr\u00e9sent nous abordons l’adressage standard ipv6 bas\u00e9 sur l’adresse mac. L’autoconfiguration pour se cacher dans un range d’ip tr\u00e8s grand est une mauvaise id\u00e9e, le scan d’un range en ipv6 sera aussi facile qu’en ipv4 puisqu’il ne reste que 24 bits \u00e0 la fin de l’adresse \u00e0 chercher et qui correspondra \u00e0 l’adresse mac de la carte r\u00e9seau. Aussi on peut pr\u00e9dire le d\u00e9but en fonction des constructeurs des cartes (Intel, Broadcom, \u2026). Le fait de pouvoir savoir quel constructeur de carte est sur une machine, c’est d\u00e9j\u00e0 donner un peu trop d’informations. Autre probl\u00e8me en utilisant l’adresse automatique ipv6, on peut effectuer un tracking de machines. Quand on change de r\u00e9seau, la fin de l’adresse correspondant \u00e0 l’adresse mac ne change pas, seul le pr\u00e9fixe change. Le IID d’une machine devient alors un super cookie persistant. Un d\u00e9but de solution c’est de changer de mani\u00e8re al\u00e9atoire l’IID mais cela devient compliqu\u00e9 \u00e0 g\u00e9rer \u00e0 grande \u00e9chelle et n’emp\u00eache pas le scan d’un range ip et ne r\u00e9sous pas enti\u00e8rement la traque d’une machine. Microsoft remplace l’adresse mac par une IID al\u00e9atoire mais cet IID va rester statique par la suite, aussi cela ne r\u00e9sous pas le tracking de machine. Une solution stable pour g\u00e9n\u00e9rer une adresse al\u00e9atoire serait de faire une fonction qui prendrait en param\u00e8tre, le pr\u00e9fix, l’EUI64 modifi\u00e9, le network id et une clef secr\u00e8te. Le r\u00e9sultat serait une adresse stable et identique tant que l’on est sur le m\u00eame r\u00e9seau, l’adresse change \u00e0 chaque changement de r\u00e9seau. Cela conf\u00e9rerait la meilleure des solutions pour contrer le host tracking et le host scanning. Ce concept a \u00e9t\u00e9 propos\u00e9 \u00e0 l’IETF 83 \u00e0 Paris en mars 2012, le 6man est en train de voir comment adopter ce principe. Si ce principe passe le scan de r\u00e9seau deviendrait plus compliqu\u00e9 voir quasi infaisable tandis que le tracking de machine perd son int\u00e9r\u00eat.<\/p>\n\n\n\n
Fernando nous parle de la fragmentation des r\u00e9seaux ipv6. La fragmentation se fait toujours sur les machines et non par les routeurs. Le souci c’est en fonction des OS, on peut pr\u00e9dire l’ID de fragmentation comme sur Linux 3.0, Solaris 10 et Windows 7. Linux et Solaris ont patch\u00e9s une partie de la g\u00e9n\u00e9ration mais pas tout. Lorsqu’il s’agit de rassembl\u00e9 les paquets, il y a plusieurs impl\u00e9mentations avec des r\u00e9sultats diff\u00e9rents, la RFC-5722 a interdit les fragments en overlap. La plupart des impl\u00e9mentations actuelles refl\u00e8tent les standards mis \u00e0 jour. L’enjeu de la s\u00e9curit\u00e9 en ipv6 se situe principalement sur le premier saut r\u00e9seau. C’est sur ce point que le maximum de s\u00e9curit\u00e9 doit \u00eatre mis, filtrage, protections diverses.<\/p>\n\n\n\n
Le firewalling de l’ipv6 est aussi un enjeu important. Un filtrage state less en ipv6 est impossible car on ne peut pas fragmenter le chain header. Le 6man tente de faire am\u00e9liorer les choses et c’est en cours de travaux, pr\u00e9sent\u00e9 \u00e0 l’IETF en mars 2012. Il y a un tr\u00e8s gros travail pour r\u00e9aliser cette impl\u00e9mentation, on suppose donc que ce travaille ne sera pas accomplie avant plusieurs ann\u00e9es.<\/p>\n\n\n\n
Que donne ipv6 vis \u00e0 vis des DDOS? IPv6 ne r\u00e9pond pas aux adresses multicast. On lutte donc contre les smurf-like mais des options de type permettent de g\u00e9n\u00e9rer des paquets d’erreur ICMP en v6 et ce type de paquet est destin\u00e9 aux adresses multicast. Cela ne devrait pas poser de probl\u00e8me si le multicast n’est pas utilis\u00e9 \u00e0 grande \u00e9chelle comme il peut l’\u00eatre en ipv4. Mais si beaucoup de r\u00e9seaux connect\u00e9s d\u00e9ploient le routage multicast on peut s’attendre \u00e0 un nouveau type d’attaque DDOS. Le 6man s’occupe du probl\u00e8me et recommande que les paquets multicast ne doit pas susciter d’erreur ICMPv6.<\/p>\n\n\n\n
En conclusion il faut garder \u00e0 l’esprit que la plupart des vuln\u00e9rabilit\u00e9s en ipv4 ont \u00e9t\u00e9 r\u00e9-impl\u00e9ment\u00e9e en ipv6 surtout sur la pression des entreprises qui souhaitent garder leurs mod\u00e8les de s\u00e9curit\u00e9s. Il faut donc encore faire beaucoup de travail sur ipv6 mais pour cela il faut n\u00e9anmoins le mettre en production pour l’am\u00e9liorer par le retour de production.<\/p>\n\n\n\n
Decomposing the Network to perform Attack par Carlos Sarraute<\/h2>\n\n\n\n
#HES2012 2012-04-14 11h-12h<\/p>\n\n\n\n
Carlos nous pr\u00e9sente les m\u00e9thodes habituelles de pentesting et les outils associ\u00e9s comme Nessus, Retina, Core Impact, Metasploit. Ces outils limitent les actions humaines et le temps n\u00e9cessaire. Ils permettent de faire des tests de grandes envergures de fa\u00e7on plus rapproch\u00e9es. De nouveaux exploits sont int\u00e9gr\u00e9s et de nouveaux vecteurs sont ajout\u00e9s. Sur un sc\u00e9nario d’exemple, un attaquant prend la main sur un serveur web en dmz puis rebondit sur les postes utilisateurs pour pouvoir enfin attaquer les serveurs sensibles dans un autre lan. A pr\u00e9sent Carlos reprend les diff\u00e9rents termes comme vuln\u00e9rabilit\u00e9, exploit, Proof of Concept exploit, Exploit code pour montrer les diff\u00e9rents niveaux de criticit\u00e9 que l’on peut rencontrer. On peut mesurer la probabilit\u00e9 de r\u00e9sistance \u00e0 un brut force, la probabilit\u00e9 de succ\u00e8s d’une attaque, la quantit\u00e9 de trafic g\u00e9n\u00e9r\u00e9 par un exploit et le niveau d’implication d’actions humaines par les utilisateurs ou par l’attaquant. On mesure aussi l’int\u00e9r\u00eat des machines cibles, typiquement des Windows non patch\u00e9s. Ces donn\u00e9es en fonction des failles possibles donnent des indicateurs de pertinence vis \u00e0 vis du risque. Dans son entreprise il dispose de 748 machines virtuelles avec un large panel d’OS diff\u00e9rent sous diff\u00e9rentes versions. Son \u00e9quipe peut ainsi lancer les outils de d\u00e9tection de mani\u00e8re r\u00e9currente avec les nouvelles failles d\u00e9couvertes et d\u00e9terminer le risque de chaque. En fonction des probabilit\u00e9s entre deux exploits qui auraient plus ou moins de chances \u00e0 \u00eatre r\u00e9alis\u00e9e en fonction du temps. Une formule simple est de mettre le temps pour un exploit sur ses chances de succ\u00e8s, le taux sera faible d\u00e9terminera l’exploit le plus pertinent \u00e0 ex\u00e9cuter. Comme les chances de r\u00e9ussites ne sont pas \u00e0 100% il faut lancer les exploits dans l’ordre croissant de l’indicateur temps\/chance. Carlos nous pr\u00e9sente le cas o\u00f9 il faut combiner plusieurs exploits de mani\u00e8res parall\u00e8les et o\u00f9 il faut minimiser le temps pass\u00e9. Lorsque les combinaisons sont \u00e9tendues \u00e0 tout un r\u00e9seau, on parle d’attack tree, il faut alors trouver un chemin le plus efficace de mani\u00e8re math\u00e9matique. Le plus important est de pouvoir piloter des outils de pentesting \u00e0 partir de l’arbre et des chemins choisis et de pouvoir r\u00e9cup\u00e9rer les r\u00e9sultats pour les r\u00e9injecter dans l’arbre qui \u00e0 nouveau choisira les prochains chemins.<\/p>\n\n\n\n Le souci de ce mod\u00e8le c’est qu’un attaquant doit conna\u00eetre de mani\u00e8re parfaite chaque machine \u00e0 attaquer (version, patchs install\u00e9s) sinon les probabilit\u00e9s sont fausses. Lorsque l’on ne connait pas exactement tous les composants d’une machine, les applications install\u00e9es, cela ajoute un taux d’incertitude trop grand. La solution classique c’est de collecter un maximum d’informations par remote scan, r\u00e9cup\u00e9ration d’informations gr\u00e2ce \u00e0 un complice. Sa solution est le mod\u00e8le POMDP qui fait un mix intelligent de plans. La partie MDP pour Markov Decision Process qui se compose d’un \u00e9tat, d’une espace d’action, d’une fonction de transition et une fonction reverse. La partie PO pour Partially Observable consiste en un espace d’observation, la fonction d’observation et la croyance initiale. Le mod\u00e8le parait compliqu\u00e9 mais il est solvable en faisant des approximations sur certaines connaissance des cibles. Les \u00e9tats peuvent \u00eatre connus comme la structure du r\u00e9seau qui ne bouge pas beaucoup dans le temps, les actions sont les exploits et leurs r\u00e9sultats succ\u00e8s ou \u00e9chec, les scans qui rendent compte des \u00e9tats. Les retours des humains qui peuvent impacter les d\u00e9cisions du mod\u00e8le. Les exploits sur une famille d’os permettent d’affiner la d\u00e9tection parfaite d’une version d’os ainsi que de son service pack car m\u00eame un exploit pour un OS A d’une m\u00eame famille retournera des r\u00e9sultats diff\u00e9rents sur les OS B et C. Il faut ensuite d\u00e9terminer le chemin d’attaque pour atteindre la cible. Les r\u00e9sultats du mod\u00e8le math\u00e9matique en version graphique permettent d’appr\u00e9cier l’attaque ayant la meilleure qualit\u00e9 et le meilleur taux de probabilit\u00e9 d’\u00eatre effectu\u00e9e.<\/p>\n\n\n\n Les avantages de cette approche est clairement un gain de temps, un taux de r\u00e9ussite plus \u00e9lev\u00e9 mais aussi le fait de mener des scans et des exploits uniquement sur les cibles n\u00e9cessaires limitant ainsi consid\u00e9rablement la d\u00e9tection d’attaque.<\/p>\n\n\n\n #HES2012 2012-04-14 13h30-14h30<\/p>\n\n\n\n Itzhak commence la pr\u00e9sentation en parlant des motivations pour chercher des failles dans les webapps : l’argent et pour la honte que pourrait r\u00e9colter certaines entreprises. Entre 1995 et 2011 on est pass\u00e9 de bug d’applicatifs clients \u00e0 des bugs applicatifs des services (Google, Facebook). La premi\u00e8re \u00e9tape d’une recherche c’est de conna\u00eetre sa cible. Pour cela il faut s’int\u00e9resser aux d\u00e9veloppeurs et aux chef d’\u00e9quipes des entreprises qui souvent laissent des pistes de recherches sur leurs blogs. En suivant l’actualit\u00e9 de l’entreprise on peut exploiter des acquisitions externes qui n’auraient pas le m\u00eame niveau de s\u00e9curit\u00e9. En prenant l’exemple de Google, des nouveaux sous-domaines apparaissent r\u00e9guli\u00e8rement, wikipedia tient \u00e0 jour une liste des acquisitions. Google acquiert une nouvelle entreprise toute les semaines depuis 2010!<\/p>\n\n\n\n Itzhak parle \u00e0 pr\u00e9sent de Google Calendar et d’une faille XSS dans le nom du calendrier. Le but est de chercher comment supprimer \u00e0 distance un calendrier d’un compte utilisateur. Le but va \u00eatre de partager un calendrier avec notre utilisateur cible. L’approbation des calendriers partag\u00e9e n’est pas n\u00e9cessaire. L’utilisateur envoie un mail \u00e0 l’utilisateur avec une url vers le calendrier partag\u00e9. Il faut apr\u00e8s spammer la victime par le partage r\u00e9p\u00e9t\u00e9 du calendrier. A chaque partage un mail est envoy\u00e9. L’utilisateur va donc devoir supprimer plein de calendrier et lancer le xss tant convoit\u00e9.<\/p>\n\n\n\n Nir aborde Google Feedburner o\u00f9 deux m\u00e9thodes existent pour exploiter une faille xss dans le champs title d’un rss. Il faut envoyer une url de d\u00e9sabonnement \u00e0 un utilisateur pour qu’en un seul clic sans confirmation la faille se r\u00e9v\u00e8le. Itzhak parle de Google FriendConnect o\u00f9 l’on peut forcer un utilisateur \u00e0 supprimer un ami ou \u00e0 changer son nom. Nir parle de Google Analytics qui n’\u00e9chappe pas les requ\u00eates entrantes dans le mode in-page. Ce qui fait que l’on peut envoyer un xss un administrateur de Google Analytics et lancer l’installation de ce que l’on souhaite sur son poste. Une des m\u00e9thodes pour entrer en contact c’est de partager ses stats analytics.<\/p>\n\n\n\n On assiste \u00e0 pr\u00e9sent \u00e0 diff\u00e9rentes d\u00e9monstrations vid\u00e9os. Toutes les fonctions de partage sont des vecteurs d’attaques et comme le contexte des webapps actuel fait un usage tr\u00e8s cons\u00e9quent de la fonction partage cela devient inqui\u00e9tant.<\/p>\n\n\n\n #HES2012 2012-04-14 14h30-15h30<\/p>\n\n\n\n Les failles exploitables sur les kernels windows sont tr\u00e8s rares et ne sont pas durables entre les versions. Les techniques d’exploitations ne sont pas les m\u00eames en fonction des versions de Windows. Les m\u00e9thodes ne sont pas simples \u00e0 utiliser. Les zones de m\u00e9moires que l’on arrive \u00e0 toucher ne concernent que de petites parties, quelques bits dans le meilleur des cas, ou l’on a juste la possibilit\u00e9 d’incr\u00e9menter ou d\u00e9cr\u00e9menter une valeur. Par contre l’avantage c’est que dans tous les cas on peut faire ex\u00e9cuter du code par le kernel.<\/p>\n\n\n\n Son id\u00e9e est partie d’une publication en janvier 2010 de Matthew Jurczyk et Gynvael Coldwind sur l’exploit GDT et LDT Windows kernel. Ils utilisent la fonction NtQuerySystemInformation pour r\u00e9cup\u00e9rer l’adresse kernel de processus du kernel. Ces adresses pointent vers des treads, des objets, des valeurs diverses. Cesar se pose alors la question de savoir si il n’y a pas moyen d’enlever les protections ACL de la plupart des objets de Windows faisant alors sauter toute protection de ces objets. L’autre but serait de pouvoir modifier les privil\u00e8ges du token d’un processus. Pourrait on remplacer le token du precessus? Pourrait on faire cela sans ex\u00e9cuter de code par le kernel et donc ne pas avoir besoin d’acc\u00e8s shell syst\u00e8me.<\/p>\n\n\n\n Cesar nous commente une d\u00e9monstration enregistr\u00e9e. Il r\u00e9cup\u00e8re l’adresse du pointeur kernel qui l’int\u00e9resse. Il remplace la valeur pr\u00e9sente par un NULL et cela a pour effet de faire sauter les ACL du processus vis\u00e9. Cesar nous pr\u00e9sente les variations d’exploitation dans les diff\u00e9rentes versions de Windows notamment sur les diff\u00e9rences d’attribut et les modes 32bits\/64bits. Une fois qu’un processus obtient des privil\u00e8ges plus \u00e9lev\u00e9, on peut facilement le debugger, prendre le contr\u00f4le, restaurer des fichiers\/r\u00e9pertoires, anonymiser un client apr\u00e8s authentification, charger ou d\u00e9charger des drivers, cr\u00e9er de nouveaux token d’objets, devenir une partie de l’OS.<\/p>\n\n\n\n Cesar montre diff\u00e9rents exploits permettant d’obtenir les param\u00e8tres dont il a besoin et ceux lui permettant de les modifier. Si l’on remplace un token ou plusieurs token l’approche n’est pas la m\u00eame. Sa conclusion est qu’exploiter les vuln\u00e9rabilit\u00e9s des kernel Windows est tr\u00e8s simple avec l’aide de NtQuerySystemInformation.<\/p>\n\n\n\n #HES2012 2012-04-14 15h30-16h30<\/p>\n\n\n\n Aaron et Brandon nous pr\u00e9sentent leurs m\u00e9thodes pour faire des recherches par reverse engineering. Je ne ferais pas de note sur ce sujet, ils sont tr\u00e8s rapide dans leurs explications.<\/p>\n\n\n\n Nous avons eu un debriefing sur le wargame qui se d\u00e9roulait pendant la conf\u00e9rence, quelques pr\u00e9sentation de 0days tr\u00e8s courtes et tr\u00e8s bien pr\u00e9sent\u00e9es. A pr\u00e9sent la conf\u00e9rence se termine sur une table ronde sur l’\u00e9thique hacker vis \u00e0 vis du full disclosure ou du limited disclosure des 0days, les black markets. Les points de vues viennent des hackers comme des parties plus l\u00e9gales avec un repr\u00e9sentant de la Gendarmerie Eric Freyssinet.<\/p>\n\n\n\n Un merci aux organisateurs b\u00e9n\u00e9voles pour ces trois jours forts sympathiques.<\/p>\n","protected":false},"excerpt":{"rendered":" R\u00e9sum\u00e9 de la troisi\u00e8me journ\u00e9e de la conf\u00e9rence Hackito Ergo Sum 2012 \u00e0 Paris.<\/p>\n","protected":false},"author":2,"featured_media":3045,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[31],"tags":[32,33,34,35,36],"class_list":["post-1416","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualite","tag-conference","tag-hacker","tag-hacking","tag-hackito-ergo-sum","tag-securite"],"_links":{"self":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/1416","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/comments?post=1416"}],"version-history":[{"count":1,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/1416\/revisions"}],"predecessor-version":[{"id":3046,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/1416\/revisions\/3046"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/media\/3045"}],"wp:attachment":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/media?parent=1416"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/categories?post=1416"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/tags?post=1416"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"hackito-ergo-sum-2012-8598\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8598.jpg\")
<\/figure>\n\n\n\nModern webapp hacking or how to kill a bounty program : Itzhak (Zuk) Avraham, Nir Goldshlagere<\/h2>\n\n\n\n
![\"hackito-ergo-sum-2012-8599\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8599.jpg\")
<\/figure>\n\n\n\n![\"hackito-ergo-sum-2012-86011\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-86011.jpg\")
<\/figure>\n\n\n\nEasy Local Windows Kernel Exploitation : Cesar Cerrudo<\/h2>\n\n\n\n
![\"hackito-ergo-sum-2012-8603\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8603.jpg\")
<\/figure>\n\n\n\n![\"hackito-ergo-sum-2012-8605\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8605.jpg\")
<\/figure>\n\n\n\n![\"hackito-ergo-sum-2012-8604\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8604.jpg\")
<\/figure>\n\n\n\nYo Dawg, I Heard You Like Reversing\u2026 : Aaron Portnoy, Brandon Edwards<\/h2>\n\n\n\n
![\"hackito-ergo-sum-2012-8608\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8608.jpg\")
<\/figure>\n\n\n\n![\"hackito-ergo-sum-2012-8610\"](\"https:\/\/www.digdeo.fr\/articles\/wp-content\/uploads\/2012\/04\/hackito-ergo-sum-2012-8610.jpg\")
<\/figure>\n\n\n\nFin de la conf\u00e9rence<\/h2>\n\n\n\n