BSides London, on y était !

Bsides London se tient généralement au “Kensington and Chelsea Town Hall” et ce depuis 3 années maintenant. Le staff étant composé d’un « core » staff et de volontaires changeant chaque année.

The place to be (sides)

L’événement occupe les 3 étages du bâtiment dont principalement le hall d’entrée permettant d’accueillir les participants avec quelques collations.

Le déroulement des conférences se faisait sur deux tracks, la track #1 ayant lieu dans la salle de conférence et la track #2 à l’étage supérieur où une série de speakers interviennent les uns à la suite des autres.

Notre première activité en tant que sponsor communautaire fut le remplissage des “swag bag“ destinés aux participants de Bsides. Heureusement que Gwladys était là pour donner un coup de main dans cette tâche finalement très rébarbative.

Première présentation de la journée

« Pentest as a GrandMaster »

L’idée de la présentation effectuée par Abraham Aranguren_ qui part ailleurs ne se présente pas comme un « Grand Master » du pentestcomme le sont _H. D. Moore et Dan Kaminski, est de montrer qu’avec un peu de pratique, du bon sens et aussi beaucoup de travail et de persévérance qu’il est tout à fait possible de pouvoir devenir un bon pentester. Ce dernier a donc présenté par la même occasion son outil _owtf.py _(https://github.com/ilektrojohn/owtf/blob/master/owtf.py) permettant de rapidement faire un état des lieux et ce via une interface web de l’ensemble des vulnérabilités trouvées.

Seconde présentation

« The Evolution of Rootkits into the mobile ecosystems » par Rorie Hood dont c’était la première intervention à une conférence et qui était un petit peu nerveu. L’idée de sa présentation était de faire un rapide état des lieux des rootkits Linux et de transposer cette connaissance aux développements des rootkits sous android. Montrant par la même occasion les différences existantes entre les deux systèmes à base Linux.

Troisième présentation

« HTML 5 : attack and defense » par Ksenia Dmitrieva, une russe ayant fait ses études aux Etats-Unis et travaillant pour Cdigital, une société évoluant dans le secteur de la sécurité informatique. Malheureusement, je n’ai pas fait de photos. L’idée de sa présentation était de montrer les attaques ainsi que la configuration des mécanismes de protection (CORS : utilisation des mécanismes de cross-origin , cross-messaging) associés au HTML 5. En effet, dans le cas du mécanisme de « cross-origin », il est possible d’outre-passer les règles du « same origin policy » en vérifiant l’éligibilité du site effectuant une requête via l’utilisation de l’entête « Access-Control-Allow-Origin ».

Elle a notamment fait un rapide état des lieux de la sécurité des notions de : LocalStorage et SessionStorage où dans le premier cas le navigateur stocke l’information indéfiniment et dans le second cas l’information est active tant que la session (l’onglet du site web) est ouverte. Cette dernière est appelée « tab storage ». Enfin, elle a notamment montré la possibilité d’outre-passer certaines notions de sécurité visant à contrer les attaques de type « clickjacking » ou « frame jacking » (utilisation d’une frame transparente) via la directive de sécurité sandbox. L’utilisation de cette dernière permet notamment de bypasser certains contrôles effectués en javascript.

Quatrième présentation

Une fois le repas englouti, c’est reparti pour l’après midi avec la conférence très théâtrale et animée, « Make Cyber-Love, not Cyber-war » de _Stephen Bonner _consultant pour KPMG.

Du peu que j’ai compris c’est qu’il a tenté de faire un plaidoyer et mettre en réflexion les méfaits que font d’une manière générale les recherches dans le domaine IT et qui contribuent au final à un système de destruction beaucoup plus global mené à une bien plus grande échelle. Il a voulu ainsi mettre en lumière l’exemple des États qui bien des fois bafouent les libertés et la vie humaine comme l’ont montré et le montrent encore les nombreuses guerres qui marquent notre histoire.

Cinquième Présentation

« PenTest Automation – Helping you get the pub on time » de Rory McCune qui est un consultant sécurité de la NCC Group PLC (https://www.owasp.org/index.php/Rory_McCune)et le mainteneur du chapitre Ecossais de l’OWASP, qui ne se définie pas comme un développeur sachant scripter afin d’automatiser les différentes phases d’un pentest. Cependant, il a fait lors de sa présentation un rapide état de l’importance dulangage du script à utiliser (Il requière d’un choisir qu’un). Pour sa part, il a choisi le langage rubyet conseil activement de toujours rechercher un outil existant pouvant faire la tâche désiréeou possèdantla fonctionnalité recherchée mais aussi et surtout de contribuer à sonévolution (Il a fait un rapide rappel des outils SVN et GitHub) ou dans une dernière mesure de le forker.

Il a fait une présentation du framework Mechanize (http://mechanize.rubyforge.org/)lors du scan des machines.

Sixième Présentation

« Going Stealth : Staying off the Anti-Virus RADAR » de Alex Polychronopoulos consultant sécurité de Cdigital était pour la dernière conférence du « track 1 » que j’ai suivi. J’ai été un peu dessus car je m’attendais à une présentation théorique et pratique de quelques bypass d’anti-virus vu que dans le cadre de cette conférence cette dernière n’avait pas le droit d’être filmée. Donc, il a énuméré uniquement les possibilités de bypass d’anti-virus  dont voici quelques unes que j’ai réussi à noter :

→ Utilisation d’instructions CPU non communes

→ Causer un « timeout » de l’antivirus

→ Utilisation du GPU

→ Imiter le comportement de logiciel bénin

→ Utilisation des Transformations de Fourier

→ Utilisation de Registres processeur en mode randomisé

→ Ajout automatique de « junk » code ( Pas de PUSH/POP)

→ Virtualisation du code (Red October)

…

Conclusion

En conclusion, on peut dire que ce fut une conférence intéressante, le niveau des présentations montrent notamment la maturité des Bsides de London qui est assez jeune: 3 ans maintenant. Cependant, l’idée est lancée et elle est là, l’échange de l’information et c’est bien l’essentiel, et je remercie encore Bsides et Sysdream de nous avoir permis d’y participer.