Retour sur le Black Hat

  • Article

Live from Las Vegas ! Le Black Hat USA 2008 vient de se terminer au Caesars Palace de Las Vegas, où l'on oublierait presque qu'il fait plus de 40°C à l'extérieur de l'hôtel-casino... Voici quelques mots sur les sessions qui m'ont le plus intéressé. Pour plus de détails sur le contenu, vous pouvez consulter le programme ou les centaines de sites et comptes-rendus publiés sur le web.

Bien entendu la présentation la plus attendue était celle de Dan Kaminsky sur la vulnérabilité DNS. Je n'ai pas pu y assister, faute de place, mais sa présentation est sur son site. Les échos que j'en ai eus sont tous élogieux sur le contenu et le ton. S'il fallait résumer : patchez sans attendre !

Nmap: Scanning the Internet, Fyodor Vaskovich. Excellente présentation de Fyodor, auteur de Nmap, qui a scanné des millions d'adresses IP et en a tiré des améliorations significatives pour Nmap en termes de performances et d'efficacité. Nouvelle version 4.68 à essayer aujourd'hui et suivantes à surveiller. A voir également, son livre Nmap Network Scanning qui sort actuellement.

A new Breed of Rootkit: The System Management Mode (SMM) Rootkit, Shawn Embleton, Sherri Sparks. Ce type de rootkit utilise le mode SMM des processeurs Intel. A connaître, même si dans la pratique ce type de rootkit assez peu probable du fait de ses contraintes : mode SMM accessible par défaut uniquement sur les systèmes anciens (< 2005) et dépendance importante au matériel (cartes réseaux en particulier). La démonstration incluait un keylogger avec transmission sur le réseau.

Protocols and Encryption of the Storm Botnet, Joe Stewart. Voir également l'article de CNET avec une interview vidéo de Joe Stewart. Cette présentation était la plus précise et complète sur le botnet Storm que j'ai eu l'occasion de suivre. Architecture du réseau, structure du malware, méthodes de communication entre les systèmes, utilisation d'Overnet, méthodes cryptographiques utilisées : tout cela était abordé dans le détail. Exceptionnel !

Malware Detection Through Network Flow Analysis, Bruce Potter. Intéressant pour le personnage, toujours agréable et fun à écouter. Pour ce qui est du contenu, rien de nouveau, mais l'analyse statistique des flux réseau est effectivement un moyen simple et efficace de détecter des situations anormales sur un réseau.

Predictable RNG in the Vulnerable Debian OpenSSL Package, the What and the How , Luciano Bello, Maximiliano Bertacchini. On connait la vulnérabilité d'OpenSSL dans Debian, mais l'intérêt de cette présentation était dans l'explication claire des causes et conséquences de cette vulnérabilité. Pour résumer, l'exploitation est si triviale que l'on peut craindre le pire, et la combinaison avec les attaques DNS est redoutable pour les communications SSL. Les connexions SSH avec clés publiques et privées sont également virtuellement ouvertes à tout le monde.. Patchez et regénérez vos clés ! Pour ce qui est des serveurs SSL auxquels on doit se connecter, croisons les doigts !

Braving the Cold: New Methods for Preventing Cold Boot Attacks on Encryption Keys, Patrick McGregor (BitArmor). Voilà qui est intéressant : des méthodes logicielles pour protéger les clés des solutions de chiffrement de disques telles que BitLocker. Quelques idées étonnantes, mais pourquoi pas ? Par exemple : surveiller les capteurs de température de la carte mère pour détecter un refroidissement brutal, et, dans ce cas, supprimer la clé de la mémoire. Autre idée : stocker les clés à l'adresse physique 0x7c00 pour faire en sorte qu'au boot sur un autre système, les clés soient systématiquement écrasées lors du chargement du MBR en mémoire par le BIOS... Plus complexe et pour couvrir le cas des machines allumées : un système de protection en mémoire qui diminue significativement les chances de reconstruire les clés sans trop pénaliser les performances. Ces méthodes sont mises en œuvre dans le produit de BitArmor.

Je ne manquerai pas de compléter si les présentations ou des détails sont publiés. En route pour le DEFCON !

Mise à jour 8/8/2008 - Je n'ai pas assisté aux présentations de Joanna Rutkowska et son équipe sur les attaques contre l'hyperviseur de Xen, mais les présentations sont ici. Pour le DefCon, voir le site defcon.org.