DEFCON 24

Anthony, Jean-Christophe, Julien, Pierre, Saskia
du 3 au 8 août 2016.

Las Vegas

Notre équipe, composée de 4 consultants en sécurité informatique et d'une responsable de communication a eu la chance de pouvoir participer à la DEFCON 2016 cet été.
Voici le compte rendu de notre voyage à Las Vegas.

Mercredi

L'équipe de Sysdream s'est retrouvée pour un long voyage de quasiment 27h vers les États-Unis en partance de Paris.
10h de vol vers Dallas, 4h d'escale (merci American Airline) puis 2h vers Las Vegas !
Une fois arrivés, après un petit tour en taxi, début de #hallwaycon à la réception ! Clés en poche, première soirée!
Bienvenu à l'hôtel Paris!

NB: Non, ce ne sont pas des empreintes digitales pour entrer dans les chambres comme le disait la rumeur, mais bien des cartes !

Jeudi

C'est à 7:30am que l'équipe expérimente la réelle définition de #hallwaycon. Une file d'attente impressionnante pour récupérer les badges.
Des gens campent et dorment encore dans la file pour être sûrs d'avoir le précieux badge de la DEFCON.
Après avoir eu les badges, il fallait courir pour avoir une place dans la file de la seule track de la journée: la 101 !

Team + badge

Impossible pour notre équipe, qui se fait rejeter par un Goon. Elle entreprend alors de visiter un peu, de découvrir la DEFCON. Elle reviendra en force dans l'après-midi !
Plusieurs villages sont en train d'ouvrir ou sont déjà ouverts (IoT Village, SE Village, car hacking village, etc.)
Le casino ne s'arrête pas de vivre. Il continue de tourner à plein régime !

Matt Blaze - @mattblaze
"Defcon is the week when Las Vegas replaces many of it's drunk people who don't understand math with drunk people who do understand math."


14:00 - "realtime bluetooth device detection with blue hydra"

Jeudi 7/08/2016 14:00 - Salle DC101
Zero_Chaos & Granolocks
Twitter: @granolocks
Slides: Blue Hydra
Code source: https://github.com/pwnieexpress/blue_hydra

L'outil proposé se focalise sur la découverte de dispositifs Bluetooth.
L'auteur a mis en évidence certains manques dans ce secteur (notamment le manque de gestion du Low Energy) ou l'obsolescence d'autres outils.
En se basant autant que possible sur l'existant, Blue Hydra vise à combler ces manques, tout en proposant un bon niveau d'intégration entre les différents modules de découverte.
Grâce au multi-threading, la découverte est également accélérée.
La persistance des données de la découverte est gérée au sein d'une base de données.


15:00 - Hacker Fundamentals and Cutting Through Abstraction

Jeudi 7/08/2016 15:00 - Salle DC101
LosT
Twitter : @1o57

Concepteur du challenge du badge DEFCON, LosT a des opinions tranchées sur la culture et la philosophie hackers, qu'il rappelle sans détour dans un talk au titre initialement mystérieux.

En quelques minutes et illustré par sa propre expérience à la DEFCON, il rappelle à la communauté l'état d'esprit et les valeurs qui font les hackers : parler, être curieux, humble, partager systématiquement et sans retenue. Il déplore le comportement de ceux, travaillant avec les interfaces haut niveau, qui se moquent du fonctionnement interne. Il s'attriste du comportement de ceux, connaissant les rouages, qui refusent souvent de s'abaisser à une explication.

« If someone is too high-minded to speak with you, just tell him to f*** off. »

S'aventurant à des expériences amusantes, il invite chacun à se présenter à son voisin rapidement, échanger quelques mots sur son sujet favori, découvrir de nouvelles pistes à approfondir.

En poursuivant la démarche de partage et en incitant à creuser la question, il fournit en 10 minutes les grandes lignes et les pistes menant à la conception d'un CPU. Depuis la logique booléenne simplifiée à du câblage, jusqu'au fonctionnement complet d'une unité arithmétique et au décodage des instructions, il enchaîne les abstractions et relève le défi en 9:55 minutes avec une certitude : la moitié de l'assemblée passera quelques soirées à s'informer et échanger pour comprendre en détail son explication.

« If you already knew about it, great. If you didn't, Google it! »


Nous décidons de sortir un peu. Découvrir la ville, ses décors, ses habitants. Quelle surprise de se retrouver au milieu de tous ces monuments! Une impression d'être sur un grand espace de cinéma. Ici la tour Eiffel, là les étoiles de Los Angeles. C'est incroyable!
Nous prenons le temps de nous détendre pour enfin revenir découvrir le CGC, Darpa Challenge.


20:00 - DARPA Cyber Grand challenge (CGC)

Résultats : https://www.cybergrandchallenge.com/event#results
Dépôt : http://repo.cybergrandchallenge.com/

CGC Darpa

L'un des évènements phare de cette année était le Cyber Grand Challenge (CGC) organisé par le DARPA.
Suite à des qualifications, 7 équipes avaient eu un an afin de développer une intelligence artificielle dans le but de participer à un CTF (ou Capture The flag) sans intervention humaine.

Nous avons ainsi pu voir s'affronter ces intelligences artificielles au cours des 96 manches qui les ont opposées.
Il faut garder à l'esprit qu'il s'agit là du tout premier événement de ce type et des progrès conséquents peuvent et vont encore être effectués.
Les résultats sont néanmoins encourageants, car il faut rappeler que le vainqueur de cette compétition (Mayhem de ForAllSecure) a également participé au CTF de la Defcon et que l'IA n'a pas fini dernière face aux 14 autres équipes qui faisaient partie des meilleures de la planète.

Cyber Grand Shellphish

Dimanche 10/08/2016 15:00 Shellphish
Twitter: @shellphish & @ShellphishCTF
Slides: Mecaphish
Dépôt Git: Mechaphish

Lors de cette conférence, l'équipe Shellphish est revenue sur leur participation au Cyber Grand challenge du DARPA.
Ils y ont décrit leur aventure, de l'inscription aux qualifications puis de la sélection à la compétition finale où ils ont fini 3ème.

Ils y ont également décrit le fonctionnement de leur IA. Comment cette dernière cherche des vulnérabilités dans des logiciels, trouve un patch et exploite ces mêmes vulnérabilités chez les autres équipes.

Ils ont également pu faire un retour sur les performances de "Mechanical Phish" (leur IA développée pour le CGC) durant le CGC, mais aussi durant le CTF de la Defcon (Shellphish était qualifié pour la compétition).
Il s'avère que l'utilisation de leur IA leur a permis de découvrir et exploiter plusieurs épreuves du CTF.

Cerise sur le gâteau, "Mechanical Phish" est open source et l'ouverture au public du dépôt git a été faite en live durant la conférence.


Vendredi

08:00am, café en main, dans la file d'attente, notre équipe ne se fera pas avoir deux fois !
Dispatchés sur les tracks, nous sommes tous plutôt bien placés.
Tous rentrés ! Let's go !


10:00 - Feds and 0Days: From Before Heartbleed to After FBI-Apple

Vendredi 8/08/2016 10:00 - Track DC1
Jason Healy
Twitter : @Jason_Healey
Slides: Feds and 0days

En plus d'enseigner la politique internationale, Jason Healy s'intéresse particulièrement au hacking et aux intérêts défendus par les hackers. Dans une démarche de démystification d'un côté comme de l'autre, il se veut l'interface entre DC (Washington) et DC (DefCon) sur plusieurs sujets dont celui des vulnérabilités 0day conservées et utilisées par le gouvernement américain.

Employées à des fins militaires (DoD), de renseignement (NSA, CIA) ou bien dans le cadre d'enquêtes (FBI, DHS), les vulnérabilités 0day susceptibles d'intéresser les gouvernements tels que celui des États-Unis sont de trois types : celles touchant matériel et logiciel défense (communications, appui au commandement, etc.) celles affectant les produits propriétaires spécifiques à des secteurs industriels (côté SCADA par exemple) et les dernières touchant du logiciel grand public connecté à Internet.

Lorsqu'une vulnérabilité est découverte, la question de la rétention se pose depuis longtemps et les premiers exemples remontent aux années 90. Le sujet est resté très secret et peu coordonné entre les agences jusqu'en 2002 et la publication de la note présidentielle NSPD-16 : « To Develop Guidelines for Offensive Cyber-Warfare ». La communication entre agences sur le sujet s'est intensifiée avec la mise en oeuvre d'un processus standard en 2010, sous la supervision du directeur de la sûreté nationale : chaque vulnérabilité en question fait l'objet d'étude par un panel d'experts et la décision de rétention n'est plus sous la seule responsabilité d'une agence.

Enchaînant les exemples : le cas d'école Stuxnet, les révélations Snowden, l'affaire Bloomberg, les publications de 2016 par l'EFF, Jason Healy accumule les arguments pour appuyer son estimation du nombre de vulnérabilités considérées et de celles réellement retenues. Malgré les quelques contournements (le FBI qui n'a pas eu officiellement connaissance de la vulnérabilité concernant iOS, mais a seulement utilisé un exploit), les statistiques publiées par la NSA en 2015 semblent plausibles : plus de 9 vulnérabilités sur 10 seraient publiées et non conservées.

Faisant plusieurs hypothèses sur la base des budgets alloués aux activités cyber des agences, il avance même finalement que les vulnérabilités conservées les dernières années se compteraient sur les doigts des mains et qu'il est vraisemblable que le gouvernement possède un arsenal d'une cinquantaine de vulnérabilités exploitables aujourd'hui.


10:00 - BSODomizer

Vendredi 8/08/2016 10:00 - Track DC101
Joe Grand (Kingpin)&Zoz
Twitter: @joegrand
Slides: BSODmizer

Les deux présentateurs nous ont montré les suites d'un projet initié en 2008 et déjà présenté à la DEFCON.
Initialement, le projet consistait en un module matériel d'interception pour connecteur VGA. Inséré entre deux dispositifs, le faux connecteur était capable d'injecter des images, par exemple un écran bleu d'erreur Windows.

Au travers de leur nouveau projet, ils se sont attaqués au port HDMI, qui a présenté des défis bien plus importants.
En effet, le HDMI génère un signal trop rapide (bitrate = 3.6 Go, pixel clock = 148.5 Mhz) pour les microcontrôleurs du marché.

Les chercheurs ont donc dû employer une carte programmable de type FPGA (Cyclone V pour 180$), qui s'est avérée complexe à programmer (spécificités de la programmation FPGA par rapport à la programmation classique).
Pour répondre aux autres contraintes, les chercheurs ont employé une batterie pour l'alimentation électrique, une carte MicroSD pour précharger les images à injecter, une télécommande Apple IR pour le pilotage à distance et enfin une interface C5G/HDMI.

Pour finir, plusieurs vidéos de démonstration amusantes ont été présentées, avec différents types d'écran d'erreur sur une TV (écran bleu, image, animation type neige).
Un scénario a été présenté, dans lequel une tentative d'hameçonnage avec un faux lien de support technique est réalisée.


12:00 - 411 : a framework for managing security alerts

Vendredi 8/08/2016 12:00 - Track DC101 Kai Zhong
Twitter: @sixhundredns
Slides: 411 framework
Outil: fouroneone.io.

Les deux conférenciers nous ont présenté leur retour d'expérience sur une migration d'un SIEM Splunk vers un SIEM ELK.

Au cours de cette migration, ils ont été confrontés à certains manques dans ELK, notamment avec l'absence de taches de recherche planifiées. Il s'agit d'un manque important, car les réponses à incident automatisées dépendent du résultat de telles requêtes.

Par ailleurs, le langage SPL de Splunk pour effectuer les recherches est plus fonctionnellement beaucoup plus riche que celui d'Elastic Search.

Leur outil, Slogstash, est un module avec une interface Web pour ELK qui vise à répondre à ces besoins : * gestion et exécution automatique de requêtes ; * gestion des notifications (e-mail, push) ; * gestion de seuils avec des graphes dynamiques basés sur la bibliothèque graphique ; * système de gestion et d'acquittement des notifications ; * etc.


13:00 - Sentient storage : do SSD have a mind of their own ?

Vendredi 8/08/2016 13:00 - Track DC101
Tom Kopchak
Twitter: @tomkopchak
Slides: Sentient Storage

Le chercheur nous a présenté le résultat de ses tests comparatifs quant à l'analyse inforensique sur les disques SSD, versus les disques durs classiques à plateaux.

Les disques classiques sont bien maîtrisés et gérés par les outils. Leur comportement est prévisible :

  • un fichier n'est pas réellement effacé avant une réécriture ;
  • ils ne disposent pas d'optimisation ou d'intelligence particulière ;
  • pas de déplacement physique de la donnée indépendamment de l'OS ;
  • comportements consistants pour tous les fabricants, modèles, etc.

Les SSD changent toutes ces règles, car la mémoire flash gérée par le contrôleur, qui ne fait que présenter une vue au système d'exploitation.

Après des rappels sur le fonctionnement d'un SSD, l'auteur nous a présenté sa méthode de test :

  • tentative de récupération de fichier suite à un effacement et un formatage rapide ;
  • disque dur témoin pour la validation du test ;
  • 12 SSD en test, avec des logiciels embarqués différents et des fabricants différents (et parfois le même logiciel entre différents fabricants).

Au final, les résultats sont très hétéroclites selon les fabricants, et parfois des différences sont observées avec le même logiciel (seul le fabricant diffère).
De base, certains modèles permettent un niveau de récupération équivalent au disque dur, alors que sur d'autres la récupération est presque impossible.
Dans tous les cas, mais sans changer l'ordre précédent, l'activation de la fonctionnalité TRIM provoque une baisse significative de la probabilité de récupération de fichiers.
L'auteur espère ainsi avoir posé les bases d'un modèle de test de référence pour la mesure du taux de récupération de fichiers effacés.
Ces résultats, par fabricant et contrôleur, seront de précieuses références au cours d'une analyse inforensique.


À midi, notre équipe découvre une multitude de petits restaurants à l'intérieur du Casino. Un réel village en intérieur:
restaurants, boutiques de vêtements, de souvenirs, un caviste, tout pour que vous n'ayez pas besoin de sortir. Le faux plafond bleu ciel avec l'éclairage donne une constante ambiance de soirée fraiche sur la côte d'azur en plein été.


15:00 - BTLEJuice

Vendredi 8/08/2016 15:00 - Salle Br1
Damien Cauquil
Twitter : @virtualabs
Repo Git : BTLEJuice

Le BLE (Bluetooth Low Energy ou Bluetooth Smart, protocole à faible consommation faisant partie de la norme Blutooth 4.0) est particulièrement difficile à écouter en passif, d'une part parce que pour éviter les interférences il implémente un channel hopping plusieurs centaines de fois par secondes, d'autre part parce que la couche SMP de la pile Blutooth spécifie des opérations pour le chiffrement des échanges.

L'autre approche envisagée consiste à intercepter les communications à la façon d'un man in the middle. En disposant de deux machines, chacune attachée à une interface Bluetooth, il est possible de mimer un périphérique sur la première et de se connecter à un second sur l'autre en relayant les trames afin d'écouter les communications d'une part, et de pouvoir les modifier ou les rejouer d'autre part.

L'attaque est rendue possible par une implémentation très partielle du protocole SMP par la plupart des périphériques : certains ne pratiquent pas de pairing et ceux qui le font n'utilisent que très peu les opérations cryptographiques. Il est ainsi aisé, en mimant les propriétés, les services et les caractéristiques (primitives exposées par une interface Bluetooth), de créer un dummy device, mimant parfaitement le véritable, et de se connecter par ailleurs au périphérique légitime (qui cesse par ailleurs d'annoncer sa présence).

BTLEJuice est construit comme un framework d'une part, proposant au plus bas niveau un démon simulant un périphérique et opérant l'interception et le relai des trames, au niveau supérieur un démon de contrôle exposant sur un Websocket des opérations d'écoute, d'interception, de rejeu, etc. Finalement, l'interface Web distribuée avec l'outil permet à un pentester habitué des proxy Web pour le test d'intrusion (type Burp) de s'attaquer facilement à des périphériques Bluetooth. Les API en Python et en Node permettent également d'étendre les fonctionnalités ou d'automatiser des tests.

Plusieurs démonstrations sont proposées : falsification des données renvoyées par un tracker Bluetooth, interception de la télécommande Bluetooth d'un robot, finalement analyse de communication et récupération du code PIN d'un cadenas connecté.


Le hacker Jeorpardy Challenge.

Hacker Jeopardy Challenge

Il faut le voir pour croire !
Le principe est simple:

  • 3 équipes
  • des bières
  • des femmes
  • et des réponses

Le Hacker Jeopardy est issu du jeu télévisé très prisé aux États unis, Jeopardy. Il s'agit de retrouver la réponse à partir de la question.
Pour le Hacker Jeopardy, le concept est repris, avec des questions plus techniques, autour du hacking et avec une difficulté en plus.
Chaque équipe peut gagner des points supplémentaires en buvant un maximum de bière durant la manche. Et des femmes ravissantes sont là pour les déconcentrer.

Samedi

08:00am, nous répétons la chorégraphie. Café, puis file d'attente. Notre équipe commence à avoir des compétences dans le placement en file DECON : #hallwaycon Master !
Journée de conférence, notre équipe se disperse pour apprendre chacun dans son domaine et vous rapporter un maximum d'informations.


10:00 - Developing managed code rootkits for the java runtime environment

Samedi 9/08/2016 10:00 - Salle DC3
Benjamin Holland (daedared)
Twitter : @daedared
Slides: Developing managed code rootkits

Le conférencier nous présente un cadriciel Java permettant de développer des rootkits en mode utilisateur.

Trois approches sont possibles : * manipuler le bytecode est efficace, mais complexe (langage machine), * changer le code décompilé est idéal, mais le processus n'est pas fiable, * le langage intermédiaire présente un bon compromis.

JReFramework prend donc le parti de modifier le comportement du runtime Java, c'est-à-dire la machine virtuelle.

Ainsi, le code est multi-plateforme et tous les logiciels Java sont touchés.
De plus, les runtimes sont rarement audités lors d'une analyse inforensique.

Comme tout rootkit en mode utilisateur, l'avantage pour l'attaquant est de bénéficier des API du langage.
Le rootkit dépend des droits de l'utilisateur (permissions root ou administrateur nécessaires).
L'architecture est inspirée du cadriciel ReFrameworker pour .NET (livre Managed code rootkits).
Le cadriciel est intégré sous forme de modules pour l'IDE Éclipse.

Quelques exemples de la modification du comportement des applications ont été montrés (affichage, frappes sur le clavier, etc.). L'autre a aussi montré comment faire de l'évasion antivirale complètement efficace, sans utiliser la moindre technique d'obfuscation de code (CVE-2012-4681).

Le présentateur a cité quelques pistes de protections :

  • à la décompilation (JD-Gui), des incohérences peuvent apparaître, comme dans la numérotation non séquentielle des lignes correspondantes aux classes rajoutées ;
  • comparer les empreintes des fichiers modifiés, leur taille, etc.
  • vérifier le renommage des classes avec des préfixes jref_ ;
  • nombre de classes méthodes, champs ;
  • métriques de code (complexité).

L'efficacité du rootkit ne se limite pas à Java : scala, Jruby, Jython, etc.


12:30 - pin2pown : how to root an embedded Linux box with a sewing needle

Samedi 9/08/2016 12:30 - Salle DC2
Brad Dixon
Twitter : @daedared
Slides: pin2pown

Brad Dixon nous a présenté une technique nommée "pin2pwn" consistant à obtenir un accès root sur de multiples équipements, et ceci avec une aiguille !

L'idée derrière cette attaque est d'exploiter le comportement de certains bootloaders.
Lors du boot, le contenu d'une mémoire (flash, etc.) externe au CPU est alors chargé.
Or, dans certains cas, si une erreur survient lors du chargement du contenu de cette mémoire externe, un shell uboot est alors affiché.

Brad Dixon a découvert qu'en utilisant une aiguille afin de créer des courts circuits spécifiques au bon timing, le chargement de la mémoire externe échoue. Et c'est dans une présentation riche en vidéos qu'il a mis en pratique cette attaque.


13:00 - MouseJack: Injecting Keystrokes into Wireless Mice

Samedi 9/08/2016 13:00 - Salle DC2
Marc Newlin
Twitter : @marcnewlin
Slides: MouseJack
Technical details : https://www.bastille.net/technical-details
Sniffing git : https://github.com/BastilleResearch/mousejack

Le conférencier nous présente la possibilité de faire passer un clavier pour une souris auprès d'une machine afin d'injecter des commandes.
Pour cela il se base sur le protocole Logitech Unifying utilisé sur la plupart des souris et claviers sans-fil Logitech.
L'astuce est que n'importe quel dongle Unifying peut s'appairer avec n'importe quel device Unifying.
Les claviers utilisent des sécurités relativement robustes pour la transmission d'informations (chiffrement en AES 128 bits).
Ce qui n'est pas le cas des souris. Rien n'est chiffré sur les souris, car elle ne semble pas "dangereuse".

Une démonstration est faite avec la souris Logitech M510. Le conférencier fait passer son clavier pour cette souris et injecte ensuite des saisies pour notamment ouvrir une invite de commandes sur une machine Windows.


15:00 - Exploiting and attacking seismological networks.. remotely

Samedi 9/08/2016 15:00 - Salle DC2
Bertin Bervis Bonilla & James Jara
Twitter : @bertinjoseb
Slides: Seismological

Les conférenciers présentent une attaque d'un genre assez nouveau, du moins vis-à-vis de la cible : l’attaque de réseaux séismologiques.
Plus précisément, il s'agit d'attaquer des machines présentent au fond des océans et permettant de récupérer des informations séismologiques.
Les conférenciers déroulent toutes les étapes qu'ils ont mises en place pour compromettre ce type d'équipement.
On découvre qu'il est possible de trouver ce type d'équipements sur netdb.io ou encore sur shodan.io.
Ils découvrent tout d'abord qu'il s'agit d'un équipement nommé "TAURUS" qui est un sismographe portable numérique.
Ils remontent ensuite à la société qui développe les logiciels pour ces équipements et parviennent à en obtenir une version par une simple demande par e-mail.
En analysant le code de l'application, ils découvrent des informations en dur dans le code, comme des mots de passe de connexion.
Ils montrent ensuite qu'ils ont localisé un équipement en plein océan avec les données GPS via une interface Web.

Cet équipement dispose de services SSH, Telnet, etc.
Il consomme très peu avec une autonomie de 8 mois.

Avec toutes les informations récupérées, ils sont finalement parvenus à obtenir un shell root sur l'équipement.
De plus, ces équipements sont rarement mis à jour et sont sujets à de nombreuses vulnérabilités comme Shellshock par exemple.

Las Vegas view

Dimanche

08:00am, sur le pont, notre équipe se tiens prête à affronter la foule, avec les valises !
Mais au vue de la soirée de la veille, cette précipitation n'était pas nécessaire. Les files sont désertées, les sièges sont disponibles.
09:50am, quelle surprise ! Même les Goons n'en reviennent pas ! Ils se sont levés. Les participants aux différentes soirées se sont levés pour venir assister aux conférences. Quelle Con magique !


11:00 - Use Their Machines Against Them: Loading Code with a Copier

Dimanche 10/08/2016 11:00 - Salle D3
Mike
Twitter : @MikeTofet
Slides: Use their machines

La présentation de Michael Rich s'est portée sur les systèmes fermés sans accès direct à internet et monitorés.
L'auteur s'est interrogé sur comment faire entrer des outils tels que burp ou mimikatz dans de tels environnements sans se faire repérer.

L'environnement étant restrictif, l'auteur a commencé par faire un tour d'horizon des outils à sa disposition (MS Office, Adobe Acrobat OCR, imprimantes et scanners) puis à lister les possibilités offertes par ces derniers.

Il s'avère que la suite MS Office contient le logiciel Excel et que ce dernier contient un mode développeur.
Ce mode offre un environnement de développement complet et peut s'avérer très utile à un attaquant.

Muni de cet environnement de développement, l'auteur a ensuite cherché un moyen de passer des objets à l'aspect inoffensif.
La solution retenue par ce dernier correspond à des feuilles de papier sur lesquels des outils comme mimikatz ont été encodés puis imprimés.

Au final, les essais de Michael Rich ont donné lieu à des feuilles de papier sur lesquelles étaient imprimés des codes barre imposants.
Le tout étant fait de manière à contenir le maximum de données tout en restant récupérable avec le scanner et l'OCR à sa disposition.
Parmi les exemples fournis par l'auteur, on notera qu'il a réussi à faire tenir Mimikatz sur 12 pages imprimées.

Que ce soit dans le cadre d'un audit en milieu restreint ou dans un cadre défensif, les recherches de Michael Rich apportent un début de réponse quant à la dangerosité de documents papier ou d'outils tels que Excel.


11:00 - Discovering and triangulating rogue cell towers

Dimanche 10/08/2016 11:00 - Salle DC2
JusticeBeaver
Slides: Use their machines

Les "rogue cell towers" ou "IMSI catchers" sont des dispositifs d'écoute des réseaux cellulaires utilisés par certaines entreprises et les gouvernements pour mettre leurs cibles sur écoute.
L'IMSI est un identificateur unique, mais qu'il est facile d'usurper en émettant un signal plus fort, lequel sera automatiquement capté par les clients.

Le chercheur a ainsi souhaité réaliser un dispositif de détection.
Se baser sur les informations techniques fournies par les stations de base (antennes BTS) n'est pas suffisant, car celles-ci peuvent changer légitimement au cours d'une opération de maintenance : fréquence, code pays, localisation, etc.
Une observation supplémentaire, plus fine, est nécessaire pour comparer sur le terrain la véritable localisation de l'antenne.

Pour ce faire, le chercheur a réalisé pour 50$ un dispositif capable de faire de la trilatération (au minimum deux mesures successives en déplacement, contrairement à la triangulation qui nécessite trois sondes) pour localiser l'antenne.

Les outils utilisés sont les suivants :

  • Rasp Pi 3 (ou zero) ;
  • SIM900 GSM module ;
  • Adafruit Ultimate GPS ;
  • SDR (optionnel, mais pour avoir plus d'informations);
  • QGIS pour la cartographie.

13:00 - Can You Trust Autonomous Vehicles: Contactless Attacks ...

Dimanche 10/08/2016 13:00 - Salle DC1
Jianhao Liu,Wenyuan Xu,Chen Yan
Abstract: Contactless Attacks
Slides: Contactless Attacks

Présentation des dangers liés aux véhicules autonomes.

Les véhicules autonomes permettent d'automatiquement : garder la distance, garder la ligne droite, doubler, garer, etc.
Cela utilise des caméras, sondes ultrasons, radars, LiDAR (détection par laser).
Une démo de hacking sur un modèle Tesla via des interférences est faite, cela permet de duper le radar de recul.
Sont ensuite présentés des attaques sur les sondes ultrasons (utilisées pour le parking assistance par ex).
Différentes méthodes sont utilisées : jamming (injection de bruit ultrason), spoofing (fake ultrasons) , quieting (diminutions des ultrasons originaux)
Démo faite sur une audi : On met un brouilleur (éteint) près de la voiture, que celle-i détecte correctement puis quand on l'active il n'est plus détecté.
Ceci peut s'avérer très dangereux, la voiture ne détecte plus l'obstacle et frappe l'obstacle.
Démo de spoofing faite sur une Tesla : possibilité de faire croire à la voiture que la distance est plus ou moins grande que ce qu'elle est vraiment.
Attaque par atténuation des ultrasons : possibilité de faire disparaitre un obstacle du radar avec une simple mousse acoustique.

Ils mettent également en place des attaques sur les caméras du véhicule via l'utilisation de lasers pour aveugler les caméras :
Le danger est que la voiture ne tourne pas quand elle le devrait.

Les contre-mesures possibles présentées sont les suivantes : - Préférer le zéro distance au max distance : en effet lors d'anomalies certains véhicules affichent la distance maximale. Il est préférable d'afficher une valeur nulle pour ne pas laisser la voiture continuer à rouler. - Détection d'anomalies


From Paris to Paris

19:30, il est temps de rentrer à la maison. On grimpe dans un taxi, nous voilà en route pour Paris.
À l'aéroport, nous faisons une dernière rencontre. 10h de vol plus tard, nous voilà chacun de retour à la réalité.

On espère revenir vite !
À bientôt !

Hack it, Love it, Share it


Black badge : https://www.youtube.com/watch?v=t8mLCnhMSqA
Solution Badge oO : http://co9.io/post/148716614744/defcon-24-badge-challenge