BlackHat 2010 : Suite et Fin
La conférence BlackHat 2010 se termine aujourd'hui. Synthèse des dernières heures de cet événement incontournable.
La dernière journée de la conférence BlackHat à Las Vegas met traditionnellement en évidence le sadisme des organisateurs. Alors que la plupart des soirées organisées par les sponsors ont eu lieu la veille au soir (et souvent jusqu'au matin) les conférences les plus intéressantes sont souvent prévues à la première heure. Cette année n'échappe pas à la règle...
La journée commence donc avec la très attendue présentation de Craig Heffner. Une conférence sur l'utilisation des techniques de DNS Rebinding pour accéder aux interfaces d'administration des routeurs grand public. Si la technique date de 1996, son application à des équipements disposant d'adresses IP privées et publiques est assez bien trouvée. Efficace sur la majorité des routeurs et automatisée avec l'outil Rebind la technique permet effectivement de mener une attaque de grande envergure. Simple et efficace. Encore fallait-il y penser.
Nous enchainons directement avec une conférence très dense portant sur de nouvelles attaques autour des implémentations de SSL/TLS. Analyse temporelle, réécriture de cookies, abus de certificats, XSS et double-rebinding, autant d'attaques techniquement complexes à mettre en oeuvre dans un environnement réel. Elles restent cependant théoriquement possibles; et un scénario donnant un shell sur un serveur web "grâce" à SSL a même été décrit, sans pour autant avoir été démontré. Assez improbable, mais intellectuellement amusant.
Intéressant également, la conférence de Claudio Criscione concernant les techniques d'audit des environnements virtualisés. Selon un cycle Client - Hyperviseur - Support - Management - Internals, il présente de nombreuses attaques, vulnérabilités et faiblesses de VMWare. Nous sommes là au coeur des technologies du Cloud : virtualisation et Web Services. Et nous somme une nouvelle fois témoins de ce qui est devenu une habitude : les erreurs du passé sont systématiquement reproduites dans les technologies émergentes. Ce seront donc des "path traversal", des cross-site-scripting, de l'URL forwarding à foison ou des absences de verrouillage de comptes en cas d'échecs d'authentification trop nombreux qui constituent la majeure partie des attaques. On hésite entre résignation, inquiétude ou déception, car au final il n'y a pas grand-chose de nouveau.
Nous sommes toutefois loin du pwnie award de la plus mauvaise (lamest) réponse d'un vendeur à une alerte de sécurité. Décerné cette année à Absolute Software, ce prix récompense la réponse du VP R&D de l'entreprise concernant une vulnérabilité permettant de prendre le contrôle de tous les systèmes d'un réseau faisant tourner le logiciel incriminé: "Est-il possible théoriquement d'exploiter ce bug ? [...] Mais nous n'avons pas connaissance de clients qui ont eu un problème avec çà". Un award bien mérité...
La journée se termine par la réception du "meet the Feds". Pour l'occasion les hommes du FBI ont troqué leur costume noir pour des tenues qui pourraient presque les faire passer pour des individus normaux. Mais pas encore assez puisque l'individu normal à la BlackHat est souvent barbu, parfois en tong et toujours en short et t-shirt. Mais c'est quand même un bel essai.
Et comme toujours la conférence se termine d'un coup, sans au revoir ni speech de clôture. Peu importe, les esprits sont maintenant tournés vers le Riviera, l'hôtel miteux à l'autre bout du strip qui attend les 8.000 participants à la DEFCON.