Le malware rode à Belfort
Un post signé Stéphane (nouveau membre très actif de Technistub) !
Mercredi soir (12/12/12), je me suis rendu à Belfort pour assister à la conférence organisée par le hackerspace de Belfort : Hackgyver.
Elle avait lieu dans un des amphi de l’IUT à l’UTBM. le speaker invité était Paul Rascagnères (aka r00tBSD) qui travaille au Luxembourg dans une société de consulting en sécurité informatique. En plus de cela, il gère malware.lu qui vise à mettre à disposition de la communauté une base de données de samples pour l’analyse de vulnérabilités et de malwares. On peut donc s’y procurer des signatures de fichiers malveillants et pour certains d’entre eux une analyse et un article sur leur fonctionnement/architecture.
La conférence est diffusée en live sur internet par sur Hackgyver/live. Les webcams sont installés dans l’amphi, c’est plutôt sympa à voir. Côté organisation, RAS. Les gars de Belfort ont assuré. On peut d’ailleurs revoir la présentation en différé sur le lien du live.
Paul Rascagnères se propose donc pour cette conférence de nous parler d’un cas pratique d’analyse et pownage d’un botnet puis de parler des smartcards et de leurs vulnérabilités. Il en profite aussi pour nous faire part de son expérience en sécurité informatique et des contraintes légales liées au pentest (penetration testing), notamment au niveau des différences entre les différents pays. Par exemple, en France le simple fait de posséder le binaire d’un keylogger est passible de prison !
La conférence se passe fort bien avec des discussions plus ou moins techniques sur l’analyse d’un botnet répondant au doux nom de Herpesnet… Le début est assez facile d’accès pour le geek même non spécialiste des questions de sécurité et de réseaux.
En même temps, Paul a prévenu qu’il passerait assez vite sur les slides avec de l’assembleur. Bref, tout ça pour dire qu’il y avait aussi du contenu pour les plus velus d’entre nous… 🙂
Il nous expliquera ensuite comment il est remonté jusqu’à l’auteur du botnet et a réussi à le démasquer. Bref, il ne faut pas jouer sinon on se brule les doigts !
On passe ensuite à la smartcard. Après quelques considérations sur le matériel et la façon dont les cartes fonctionnent, Paul nous explique comment on peut contourner les protections d’une smartcard en particulier : eID, la carte d’identité belge.
On peut assez facilement signer des documents officiels sans avoir la carte connectée à son ordinateur (un superbe laptop Alienware 🙂 ). En substance, on fait croire à son système qu’elle est connectée physiquement à l’ordinateur de l’attaquant mais il faut seulement qu’elle le soit sur le PC attaqué. Histoire d’éviter l’effet Bonaldi, Paul nous montre une vidéo qui met en scène ce genre d’attaque et permet dans ce cas de signer un document word avec la smartcard de qq1 d’autre… Paul donne finalement quelques pistes pour éviter ce genre d’attaque, comme l’utilisation de lecteur de smartcard un peu plus évolué (mais cher) ou bien en regardant le temps de latence qui est quand même bien plus long en passant par de Ethernet over USB…
La conférence se termine après 1 heure et nous sommes invités par le président de Hackgyver, Maxime Morin, à les rejoindre à l’usine à Belfort où les membres du hackerspace peuvent se réunir tous les mercredis soir à partir de 20h (avis aux Belfortains…).
Sur place, les volontaires pourront participer à un challenge préparé par Paul. En fait 2 challenges. Un sous Windows et l’autre sous Linux. Paul donne le lien pour télécharger les binaires vers 2030 et le challenge est ouvert. En substance, il faut trouver le code PIN pour un binaire sous windows et faire un keygen pour le binaire sous linux. Quelques courageux s’y essayent (pas moi… 🙂 )
Comme c’est le jour de réunion du hackerspace de toute façon, d’autres gens sont là aussi. Certains bidouillent un peu d’électronique ou des bouts d’imprimante 3D.
Le lieu est vraiment sympa (L’usine à Belfort). Il s’agit de bureau collaboratifs où les entrepreneurs locaux et les associations peuvent venir trouver des bureaux, salles de réunion, etc pour pas cher et pas mal de convivialité en prime. Des âmes charitables ont d’ailleurs apporté du snack et une caisse de bières belges, c’est cool. La déco est aussi assez sympa avec notamment des affiches un peu geeks et des œuvres d’art moderne. Il y a des planches de skate peintes accrochées au mur et l’endroit pour mettre les flyers est en fait une grande tôle ondulée retravaillée et stylisée.
Un très bonne soirée en. fin de compte. J’ai appris des choses même si ça volait quand même un peu haut pour moi. Les qq photos que j’ai prises avec mon téléphone sont dispos ici et librement utilisables.
PS: FYI, qq1 est parvenu à venir à bout des 2 challenges. Il a expliqué comment sur son blog.
Le site de Hackgyver prépare également un petit feedback sur la soirée. Ils mettront également un lien vers les slides de Paul Rascagnères et aussi une petite bafouille sur comment Paul avait conçu ses challenges. Vous pouvez aussi revoir la conférence en différé en suivant ce lien.
Liens utiles :
Hackerspace de Belfort, Hackgyver. http://www.hackgyver.org/
Université Technologique de Belfort-Montbelliard (UTBM), http://www.utbm.fr/
Site/projet dont le but est de fournir des echantillons de malware ainsi que des analyses techniques, http://www.Malware.lu/
Site de Paul Rascagnères, http://www.r00ted.com/
L’usine à Belfort, Un espace de travail partagé pour les entrepreneurs, créateurs d’entreprises, associations, étudiants de l’aire urbaine. http://www.lusineabelfort.fr/
Le retour du gagnant des challenges de reverse sur son blog, https://dustri.org/b/?p=674
Photos prises lors de la conférence et soirée (Album sur Picasa), https://picasaweb.google.com/115799579128907064720/HackGyverConferenceReverseEngineering