Les 6 Azure en Bizztalk
Hildo gaf een demo over Azure. Azure is de cloud oplossing van Microsoft. Op het moment dat men een virtual machine wilt hebben, dan krijgt men deze vrijwel direct (binnen een kwartier). Dit is een groot verschil met een hosting / beheer oplossingen. Azure is een zelfservice, on-demand oplossing. Hildo toonde in zijn demo de Azure Portal en de bijhorende componenten (bijvoorbeeld instance voor virtual machine, storage) die je kunt afnemen. Je betaalt voor het gebruik van de componenten die je afneemt. Vervolgens liet hij zien hoe je een MVC project kunt publishen naar Azure. Zelf was ik zeer onder de indruk over de Cloud mogelijkheden in Azure.
Michel heeft het over Bizztalk Server gehad. Bizztalk is een product van Microsoft. De doelen van Bizztalk zijn tweedelig:
- Functioneren als messagebroker om verschillende soorten applicaties aan elkaar te knopen/koppelen.
- Alle processervices kunnen worden gemoduleerd/ontwikkeld en worden opgeslagen in Bizztalk (namelijk alle bedrijfsregels opslaan op een centraal punt/plek)

Bizztalk Server bestaat uit een Messagedatabase. De Messagedatabase van Bizztalk is een SQL-server. Op het moment dat Bizztalk een bericht ontvangt, wordt het bericht eerst opgeslagen in de database. Het nadeel hiervan is dat er altijd latency aanwezig is.
Het voordeel is dat de berichten worden opgeslagen. Op het moment dat Bizztalk onderuit gaat, blijven de berichten wel bewaard in de Messagedatabase. Als de Messagedatabase weer online komt, dan worden de berichten weer verder geprocessed.
Michel liet zien hoe je een business service moduleert in Bizztalk. Ik vond Bizztalk heel erg op Oracle BPEL proceess Manager lijken.

Dit was tevens de laatste les van de Devoteam .NET training. Trainingen werden verzorgd door Hildo van Es en Michel de Wit. De trainingen heb ik zeer positief ervaren. Ik heb nu een veel duidelijker beeld over de mogelijkheden in .NET

Voici un résumé des présentations de la première journée de ce cycle de trois jours :

Keynote #1*

Andrea Barisani

Andrea Barisani est un chercheur en sécurité informatique fort d’une solide expérience dans ce domaine. Il est aussi connu pour être le fondateur de l’oCERT effort (the Open Source Computer Security Incident Response Team).

L’introduction de la keynote revient notamment sur ses premières conférences, comme celle sur le hack de l’informatique embarqué au sein d’une voiture. Il tient d’ailleurs à souligner le fait qu’il travaille aussi bien sur du hack logiciel que matériel. Il introduit alors la première No Such Con, en la présentant comme étant « the badass hardcore technical security conference of death » : un cycle de conférences techniques sans « bullshit ».

Andrea enchaîne ensuite sur les problèmes actuels que l’on rencontre lors des conférences sur la sécurité informatique : quand elles ne sont pas à des fins publicitaires, on y présente tout et n’importe quoi. Il tient à signaler qu’il faudrait envisager d’arrêter de « hacker tout ce qui bouge ».

Enfin, il revient sur un phénomène déviant et récurrent lié à la presse. Les articles de presse généralistes relatant les présentations des conférences déforment bien souvent les sujets évoqués. C’est comme cela que l’on passe d’une faille dans les firmwares des batteries des MacBook, à un article indiquant qu’un hacker peut faire exploser votre Mac…

Pour finir, il rappelle qu’il y a l’art et la manière. Certaines présentations manquent, selon lui, de style, et se contentent de présenter des aspects sans entrer dans le détail, sans attribuer le crédit des recherches aux bonnes personnes. Il s’étonne également que l’on ne montre que des conférences où le chercheur a réussi à « casser » un système mais très rarement des recherches ayant abouti à la conclusion que le système est sûr.

Abusing the Windows Kernel: How to Crash an Operating System with Two Instructions

Mateusz “j00ru” Jurczyk

Mateusz Jurczyk est un ingénieur en sécurité informatique qui travaille actuellement chez Google à Zurich. Ses sujets favoris concernent la sécurité des clients logiciels, l’exploitation de vulnérabilités, mais surtout les profondeurs des noyaux des OS, avec une préférence pour Microsoft Windows. Son blog reprend souvent ces sujets.

Sa présentation à la NSC s’intitule « Abusing the Windows Kernel: How to Crash an Operating System with Two Instructions ». Mateusz a en effet choisi un sujet très bas niveau , relevant par certains aspects du reverse engineering et a présenté des techniques récentes d’exploitation de vulnérabilités au sein de drivers Windows. Les exploitations présentées étaient d’autant plus intéressantes qu’elles étaient encore « 0-day », puisqu’elles seront patchées en juin 2013, après la conférence.

En particulier, Mateusz a démontré en quoi une mauvaise implémentation d’une fonction overlap(), utilisée par memcpy(), peut permettre une élévation de privilèges via un driver.

La fonction memcpy prend en paramètres une adresse mémoire source de destination et la taille de la zone à copier. La fonction overlap() utilisée par memcpy() est censée effectuer une série de contrôles pour vérifier la validité des adresses envoyées en paramètres. Pour des raisons d’optimisation, cette fonction a fait l’objet d’une nouvelle implémentation ne respectant pas l’intégralité des spécifications, en particulier en ce qui concerne les contrôles sur les adresses mémoire. Mateusz démontre alors qu’il est possible d’accéder à des zones mémoire en kernel-land, à partir d’une exécution en user-land, par un décalage d’offset sur des adresses mémoire, dans la mesure où une zone mémoire en kernel-land est toujours positionnée avant une zone mémoire en user-land.

La présentation est disponible ici.

Ninjas and Harry Potter: “Spell”unking in Apple SMC Land

Alex Ionescu

Alex Ionescu est chef architecte chez CrowdStrike. Il est spécialisé dans les systèmes bas-niveau, le développement Kernel et l’ingénierie inversée. Il est également co-auteur de Windows Internal Series avec M. Russinovich et D. Solomon. Son travail a permis de corriger de nombreuses failles de sécurité dans le kernel Windows. Il est également chef développeur du kernel du ReactOS, un système d’exploitation développé « from scratch » afin d’être une alternative à Windows.

Malgré son énorme bagage sous Windows, il a cette fois choisi d’analyser une puce présente sur les machines Apple. Celle-ci a la particularité de pouvoir être mise à jour par n’importe qui mais de ne pouvoir être lue par personne.

Cette puce a pour rôle :

• la gestion du capteur de luminosité ;
• la protection des disques durs contre les chocs ;
• la régulation du voltage de la machine ;
• la gestion des ventilateurs ;
• le stockage de la clé FileVault.

Cette puce est bien protégée, mais elle peut être en partie déverrouillée grâce à un sort d’Harry Potter. Il s’agit de la SMC ou System Management Controller.

Alex Ionescu s’est intéressé à la version présente dans les MacBook récents, la Renesas H8S/2117. Cette puce dispose d’une documentation incomplète donnant des spécifications globales mais lacunaires ainsi qu’un SDK. La puce ne pouvant pas être lue, il faut obtenir un update pour analyser le code. L’analyse de ce code a permis de découvrir un tableau de SMC_Keys, il s’agit en fait de fonctions et de variables qui peuvent être appelées. Parmi ces clés, il y a notamment :

• #NUM permettant d’obtenir le nombre de clés ;
• OSK0 (o u r h a r d w o r k b y t h e s e w o r d s g u a r d e d p l) et OSK1 (e a s e d o n t s t e a l ( c ) A p p l e C o m p u t e r I n c) utilisées par le système OS X pour vérifier qu’il est bien lancé sur une machine Apple ;
• Deux clés cachées car placées au-delà de la borne #NUM, soit KPPW (Kernel Protect PassWord) et KPST (Kernel Protect STatus).

En examinant la fonction KPPW, Alex s’est aperçu que le mot de passe était « SpecialisRevolio », le sort de révélation d’Harry Potter. Un appel correct à cette fonction permet de débrider la fonction de lecture mais pas suffisamment pour pouvoir lire le code de la puce.

Pour conclure, bien qu’Alex ait découvert de nombreux détails intéressants, il n’est pas encore possible d’obtenir le code contenu dans cette puce. N’importe qui peut donc en modifier le comportement sans qu’il soit possible de le contrôler.

La présentation est disponible ici.

Nifty Tricks and Sage Advice for Shellcode on Embedded Systems

Travis Goodspeed

Travis Goodspeed est un spécialiste des attaques sur le hardware, principalement dans l’embarqué.

Pour cette présentation, Travis commence par expliquer que la notion d’APT n’est, selon lui, qu’un nouveau moyen de blâmer les Chinois pour les cyber-attaques.

Il souligne que le plus gros problème dans les APT est le nombre de semaines nécessaires pour fabriquer des preuves qui incriminent les Chinois.

Pour remédier à ce problème, il a développé un outil qui permet d’extraire les caractères chinois des fichiers binaires.

Après cette première digression, la présentation continue par une explication sur la réelle fonction du badge fourni aux auditeurs de la conférence.

Il s’agit en fait du circuit imprimé d’un matériel programmable en Python pour permettre la simulation de périphériques et d’hôtes USB.

Pour mieux comprendre l’utilité d’un tel dispositif, Travis présente une attaque réalisée sur des télévisions. L’attaque exploite une vulnérabilité dans le système de mise à jour de ces postes. En effet, ceux-ci commencent par lire le nouveau firmware et vérifient sa signature, puis dans un second temps, le fichier est utilisé pour flasher le firmware de la télé. L’attaque est donc très simple, lors de la première lecture le dispositif présente le firmware signé par le constructeur et à la seconde lecture, il présente le firmware modifié par l’attaquant.

Après cette seconde digression, Travis nous explique que l’exploitation de vulnérabilités sur les systèmes embarqués, contrairement aux exploitations sur PC, ne vise généralement pas à obtenir l’exécution de code, mais à obtenir le code.

La suite de la présentation peut être qualifiée de « boîte à outils » pour l’extraction de code contenu dans des microcontrôleurs. Certaines des méthodes s’avèrent d’ailleurs très complexes, alors que certaines sont relativement élémentaires.

Un exemple de méthode simple est celle utilisée pour extraire les données de la majeure partie des microcontrôleurs de type PIC. Le code de ces microcontrôleurs est stocké dans différentes « banks » indépendantes les unes des autres. Par conséquent, il suffit généralement d’avoir deux puces identiques. Une première « bank » est alors flashée avec un code permettant de lire le code contenu dans les autres « banks ». Puis, une seconde « bank » est flashée pour lire le code de la première.

Parmi les méthodes très complexes, j’ai trouvé très astucieuse une méthode utilisée par Travis pour récupérer le code d’un microcontrôleur en faisant clignoter des LED, sans avoir à gérer l’horloge. Il suffit en fait de disposer de deux LED. La première est alternativement allumée puis éteinte en fonction de la parité du tour de boucle pour servir d’horloge. La seconde est allumée ou éteinte en fonction de la donnée lue.

Pour conclure, il faut être très créatif pour extraire le code d’un microcontrôleur. Il est donc préférable de se référer à la présentation de Travis.

Dumb fuzzing XSLT engines in a smart way

Nicolas Grégoire

Après 12 années passées dans le domaine des tests d’intrusion, Nicolas Grégoire a fondé sa propre société, Agarri, spécialisée dans la recherche de vulnérabilités. Son travail l’a amené à intervenir lors de conférences dans le monde entier (Hack In The Box, Hack In Paris, ZeroNights). Son blog est maintenu à jour régulièrement.

Après s’être présenté, il explique que ses recherches se concentrent sur XML, XSLT et XPath.

Contrairement à ce que l’on peut penser, les vecteurs d’attaques ne se résument pas seulement aux navigateurs Internet, mais incluent également les moteurs de bases de données (PostgreSQL, par exemple). Il est également possible d’utiliser du code XSLT dans Adobe Reader (Via JavaScript et/ou XFData) pour déclencher un exploit, entre autres.

Il précise qu’il n’a pas accès à des outils comme SAGE (outil Microsoft), LangFuzz ou encore ClusterFuzz, ce qui ne simplifie pas l’étape du fuzzing, mais le fait qu’il soit  motivé et qu’il connaisse assez bien XSLT contrebalance la donne.

Le fuzzing peut être long et peut coûter cher (sur une large gamme de produits). De plus, les vecteurs d’attaques sont relativement complexes (échappement des $ dans PostgreSQL, par exemple).

Le point positif est qu’une bibliothèque OpenSource existe : libXSLT. Elle dispose d’une interface en ligne de commande (CLI wrapper: xsltproc). L’idée est de fuzzer directement le wrapper ce qui permettrait d’avoir une aide considérable lors du fuzzing (performance, reproductivité…).

Il présente les étapes nécessaires pour la suite de l’étude pour :

• identifier l’engine XSLT pour les applications cibles.
  • Hacker Way : rechercher dans la doc, le code, string et comportement.
  • XSLT Way : introspection via system-property(). Des informations standards sont disponibles (xsl:vendor, xsl:vendor-url, xsl:version.) et d’autres sont des extensions propres à l’application.
• préparer les wrappers en ligne de commande (CLI wrapper).

Il en existe en OpenSource (libXSLT) et en code propriétaire (OraXSL).

Pour le fuzzing, il emploie Radamsa (déjà utilisé pour trouver des vulnérabilités dans Microsoft Excel et des applications bancaires) pour générer les tests sur des VM disponibles dans le Cloud (Amazon) pour quelques centaines d’euros.

Afin d’automatiser ses tests, il utilise un script Python pour gérer :

• la génération des tests ;
• le serveur X en parallèle pour les wrappers en ligne de commande ;
• l’attente du « plantage » de l’application ;
• le classement du « plantage » via des calculs heuristiques ;
• la génération d’un rapport et son envoi par email.

Quelques exemples de découvertes lors des tests avec « plantage » de l’application :

• Sur une application Intel, lors d’une division par 1.0 ;
• Sur Oracle, découverte d’un stack overflow qui pourrait peut-être permettre le contournement de l’ASLR sur Safari ;
• Une erreur de segmentation dans Adobe Reader.

Tous ces bugs ont été trouvés via le wrapper (en ligne de commande), Nicolas a donc testé ces bugs sur les applications elles-mêmes, comme Adobe Reader. Le résultat est sans appel : le bug est également présent.

Les tests ont parfois fait « planter » l’application, parfois non. Le fait que l’application se soit « plantée » signifie potentiellement un bug. Cependant, Nicolas souligne le fait que les tests sans « plantage » de l’application sont également importants et peuvent passer inaperçus lors de tests automatiques (mémoire non initialisée, use after free ou double free et quelques overflows).

Les résultats sont intéressants, globalement des bugs dans M$, Adobe Reader, Safari, Firefox, Oracle et Intel (pas patché et pas de CVE), allant d’un buffer overflow à des left/right heap overflow en passant par un use after free.

Il termine en faisant un appel afin de récupérer LangFuzz en échange d’un binaire vulnérable Intel (dorénavant introuvable sur le site officiel) qui lui permettrait d’utiliser un autre fuzzer pour ses recherches.

Les slides sont disponibles ici.

Deadly Pixels – Innovative (and pretty) exploit delivery

Saumil Shah

Saumil Shah (@therealsaumil, saumil[at]net-square.com) est le fondateur et PDG de Net-Square qui traite des domaines du reverse engineering, de la création d’exploit, mais aussi des test d’intrusion. Net-Square fournit des services de sécurité de l’information de pointe à des clients partout dans le monde. Saumil est conférencier et formateur reconnu internationalement, il a notamment participé à la BlackHat, RSA Conference,  CanSecWest, PacSec ou encore Hack.lu, Hack In The Box, entre autres conférences. Il est l’auteur de deux livres intitulés « Web Hacking: Attacks and Defense » et « The Anti-Virus Book ».

Son introduction présente le principe de l’attaque qui consiste à embarquer du code malveillant (JavaScript,…) dans une image.

La première démonstration présente une attaque appelée « Exploits as Grayscale Images » qui traite de la transformation d’un texte en image PNG. Saumil utilise d’ailleurs des pages PHP développées par lui-même, lui permettant de transformer du code malveillant en image, et inversement, à savoir une petite image carrée noire.

Le décodage de cette image est ensuite présenté. Par la suite, la même démonstration est faite avec un code JavaScript qui est transformé en image. Lors de l’affichage de l’image, le JavaScript est exécuté.

Une deuxième démonstration présente un shellcode qui est converti en image. L’exécution de ce payload se fait lors du clic sur l’image qui ouvre alors la calculatrice. Un nouveau test est effectué présentant une autre image utilisant le JavaScript « onmouseover » et écrivant du texte en boucle à chaque passage de la souris.

Saumil présente ensuite un tableau comparatif des exécutions en fonction des différents navigateurs.

Pour conclure, il  propose une solution qui consisterait à mettre en place sur le navigateur une fonctionnalité permettant d’avertir l’utilisateur de l’exécution d’un code ressemblant à une image et non à un JavaScript.

Les slides sont disponibles ici.

Pythonect-Fu: From Function to Language

Itzik Kotler

Itzik Kotler est devenu consultant en sécurité informatique indépendant après avoir travaillé chez Radware ou encore Security Art. Il a effectué de nombreuses présentations lors de conférences telles que la BlackHat, la DEFCON ou encore Hack In The Box. Par ailleurs, il est membre de l’autorité de standardisation israélienne (SII).

La présentation faite ici se concentre principalement sur une bibliothèque Pythonect qui a été développée en Python. Celle-ci permet de réaliser des DSL très facilement.

L’outil Pythonect est développé entièrement en Python 2.7, il est donc « cross-platform » et fonctionne avec JPython et CPython.

La procédure de récupération et d’installation est la suivante :

git clone git://github.com/ikotler/pythonect.git
cd pythonect
python setup.py install

Qu’est ce qu’un DSL ?

Un Domain Specific Language est un langage de programmation dont les spécifications sont dédiées à un domaine d’application précis. C’est une sorte de mini-langage regroupant quelques fonctions utiles dans un domaine, simplifiant grandement le travail du développeur par la suite, lorsque ces dernières sont utilisées régulièrement. Par conséquent, il est possible de faire évoluer ce langage facilement. On retrouve parmi les DSL : XSLT / awk / sed / make / yacc et les moteurs d’expressions régulières.

Quelles sont les particularités de Pythonect ?

Il permet le développement de DSL en utilisant un paradigme de développement en flot de données.

Les avantages de ce paradigme sont donc :

• Il a été choisi car il permet nativement le parallélisme et les accès concurrents ;
• La représentation en flot de données est naturelle pour représenter un processus ;
• Les programmes en flot de données sont plus facilement modulables, ils s’appliquent donc mieux au développement d’un DSL.

Les contraintes sont :

• Ce paradigme est peu connu des développeurs ;
• Cela peut s’avérer coûteux en ressources.

Afin de facilement se rendre compte  de la simplicité d’un tel paradigme voici quelques exemples de programmation qui ont été donnés lors de la présentation :

'Hello World' -> print

Quand on veut ajouter plusieurs actions en parallèle, il suffit d’utiliser les listes.

'Hello World' -> [print,print]  // La fonction print sera donc appliquée 2 fois à l'argument.

['Hello World', 'Test World'] -> print // Ici, on envoie les 2 arguments à la fonction print.

Ensuite, Itzik Kotler montre qu’il est facile d’ajouter un bloc à un programme :

'Hello World' -> string.split -> print

De plus, Pythonect inclut un auto-loader de modules, ainsi il n’est plus nécessaire de faire des “imports”, les modules seront directement chargés dans le DSL que l’on est en train de créer.

Quel est le rapport avec la sécurité ?

Par la suite, la présentation s’est focalisée sur le lien que pouvait avoir cet outil avec la sécurité. Itzik Kotler a donc développé deux DSL y ayant trait.

Le premier qui a été présenté est  SMALL : Simple Malware AnaLysis Language. Il regroupe 14 fonctions simples afin d’étudier des malwares, c’est un DSL développé à l’aide de Pythonect. Voici quelques-unes de ces fonctions :

• Extraction d’adresses IPv4 depuis un binaire ;
• Extraction de chaînes en Base64 depuis un binaire ;
• Calcul de MD5/SHA1/… ;
• Définition du type de fichier (/usr/bin/file) ;
• Création de rapports en XML.

Afin de le lancer, il suffit d’utiliser la commande suivante :

pythonect -m SMALL -i (m pour charger la bibliothèque SMALL, -i pour avoir une invite de commande interactive).

Ensuite, des exemples de traitement ont été proposés :

from_file('malware.exe') -> extract_base64_strings -> to_xml // Permet d'extraire les chaînes en Base64 du binaire et de présenter la sortie sous format XML.

from_file('malware.exe') -> extract_base64_strings -> to_xml  // La syntaxe très facile de cette bibliothèque présente d'elle-même les avantages d'un tel produit.

Le  deuxième DSL présenté est Hackersh. C’est un langage permettant l’interfaçage d’outils utilisés lors de tests d’intrusion  (par exemple Nmap, W3af…) et l’utilisation des fonctions de traitement (comme convertir en URL, convertir en adresse IPv4…) afin d’obtenir un shell utilisable par les pentesters très facilement.

Voici la procédure d’installation :

git clone git://github.com/ikotler/hackersh.git
cd hackersh
python setup.py install

Le plus simple est encore la démonstration par l’exemple :

"http://localhost" -> url -> nmap -> [_['PORT'] == '8080' and _['SERVICE'] == 'HTTP'] -> w3af -> print

Cette ligne récupère une URL qu’elle donne à Nmap, l’outil fait ensuite un scan. Si le port 8080 est ouvert avec un service HTTP, alors w3af effectue un scan sur l’URL, le rapport est ensuite affiché en sortie standard.

'192.168.1.0/24' -> ipv4_range -> ping  // Transformation de 192.168.1.0/24 en une plage d'adresses IP, puis une requête Ping est envoyée à chaque adresse IP.

'127.0.0.1' -> ipv4_address -> nmap -> nikto // Là encore, la syntaxe, très simple, parle d'elle-même.

En conclusion, Hackersh a besoin d’être développé par des pentesters afin que ceux-ci puissent ajouter tous les outils dont ils ont besoin (par exemple, Hydra, Burp, Metasploit…) ainsi que d’autres fonctions pouvant s’avérer nécessaires. Cet outil pourrait faire gagner énormément de temps lors d’un test d’intrusion.

Les slides sont disponibles ici.

Auteurs du billet : Antoine Cervoise, Jean Lacassagne, Romain Leonard, Grégory Charbonneau, Pierre Le Calvez, Geoffrey Bertoli, relu par Isabelle Feetz.

Je tenais à vous faire un retour succinct sur ma journée passée hier au Sénat, durant laquelle était présentée par monsieur le sénateur Bockel le livre blanc  publié récemment sur la cyberdéfense.

Le lien ci-dessous vous présente les différents intervenants de la journées :

http://www.senat.fr/fileadmin/Fichiers/Images/evenement/colloque/cyberdefense_20 13/Programme_du_colloque_cyberdefense_se…

Et celui-ci conduit vers le téléchargement du livre en format pdf :

http://www.elysee.fr/assets/pdf/Livre-Blanc.pdf

J’en retiens les points suivants :

- Tout au long de la journée, le terme sensibilisation a été repris dans de nombreux discours. Il apparaît clairement  selon les différents discours que les décideurs et dirigeants ont besoin de sensibilisation et d’accompagnement tant, en matière d’infrastructure critique, que dans les mécanismes de défense adaptés. Il convient de leurs proposer les leviers et directions possibles.

La sensibilisation doit également s’axer vers la définition de règles et l’instauration de bons réflexes en matière de S.I.

- On retiendra, fidèle au livre précédent, l’hygiène informatique de base (dixit M. Pailloux), la mise à niveau des entreprises prestataires et l’obligation (à venir) de signaler les incidents.

- La discussion autour des CERT a principalement été engagée par Alcatel Lucent (Cert-Ist), monsieur l’ambassadeur du Royaume-Uni en France et l’ANSSI.

- La commission de travail se penche également sur les problématiques à venir en matière de domotique, de numérisations croissantes…

ALCATEL parle de cyber-attaques quotidiennes. Il préconise des contrôles réguliers du S.I., tout en insistant sur l’analyse et la gestion de risques.

THALES précise qu’on a besoin de systèmes résistants et d’une relation de confiance entre les clients et l’entreprise

BULL : Discours basé sur la sensibilisation des décideurs, des managers. Ils évoquent l’erreur humaine, la méconnaissance, l’imprudence…

SOGETI : On croit qu’investir dans la cybersécurité n’apporte rien mais on se trompe et on s’en aperçoit trop tard. L’hygiène informatique est insuffisante dans les entreprises. Ils évoquent des certifications pour les entreprises (certification “Label” ANSSI)

CEIS : sont revenus sur les systèmes de payement dont aucun n’est européen ! Ils verraient bien un écosystème d’identité…

Tous parlent de formation. Toutes ces entreprises “tapent” dans le même vivier… Très peu de candidat pour la technique pure. Ils seraient bon d’envisager un déroulement de carrière pour ces personnes qui ne s’orientent pas forcément vers un poste de chef de projet.

Pardonnez ce mode de retransmission sous forme de points détaillés, mais l’écoute enrichissante de ces intervenants ne m’a pas permis de rédiger plus aisément.

Ook liet hij zien hoe je webservices (Webapp.config) moet creëren en de bijhorende endpoints moet configureren.
Endpoints in WCF bestaan uit de letters ABC en deze staan voor:
A = Adres
B = Binding
C = Contract

Michel gaf een voorbeeld van een webservice met MSMQ (Microsoft Message Queuing) communicatie.
In het voorbeeld werd het bericht tijdelijk in de messagepool van de webservice opgeslagen, namelijk in de memory van de server.
Het was grappig om te zien dat de message tijdelijk wordt bewaard. Het tijdelijk opgeslagen bericht werd verstuurd op het moment dat de client weer online kwam.

Les 4 Debugging, Tracing, WPF
In het eerste gedeelte van de presentatie heeft Michel het over debugging en tracing gehad. Tracing is zeer handig om applicaties te monitoren (bijv op performence) in een productieomgeving. Ook liet hij hier een voorbeeld van zien door middel van een performence counter.
Daarnaast liet hij zien hoe je een COM object kunt gebruiken in Visual Studio.

Het tweede gedeelte van de presentatie werd door Hildo gegeven.
Hij vertelde eerst wat het grote voordeel is van WPF vergeleken met window forms. Dat is door Databinding en Commandbinding te gebruiken. Door middel van Databinding en Commandbinding wordt de Code Behind van de Presentatielaag veel gestructureerder. En kan elk onderdeel / object goed getest worden (dmv unittesten).
In zijn voorbeeld liet hij zien hoe je een databinding en commandbinding aanmaakt in WPF.

note : un résumé plus détaillé est disponible sous forme de fichier PDF.

Après des soucis de transport dus à la neige, c’est sous la pluie que nous arrivons à Amsterdam la veille des conférences.Cependant un ciel bleu nous acceuil le lendemain sur le chemin vers l’hôtel (Grand Hotel Krasnapolsky) où aurons lieu toutes les conférences.

Retour de BlackHat Jour #1

La keynote est présentée par Rick Falkvinge, qui se décrit lui même comme un ancien codeur en jean basket, devenu politicien. Il nous livre ses pensées sur le fait que le contrôle de l’information est de plus en plus prisé, que ce soit par les grandes sociétés ou par les gouvernements.

Il a fini en rendant hommage à Aaron Swartz, un hacker décédé le 11 janvier 2013.

*Windows powershell

Un workshop sur le powershell, par Nikhil Mittal, qui nous présente les principales fonctionnalités et comment débuter avec le powershell. Un workshop qui aurait mériter d’être un peu plus préparé, mais il faut dire que c’était sa première séance…

Il ne fait aucun doute de la puissance de powershell, et de son utilité pour les tests d’intrusion, l’audit de configuration ou le post exploitation d’un poste de travail ou un serveur Windows.

*Hacking appliances: ironic exploitation of security products

Une très bonne présentation de Ben Williams NCC group, sur l’état de l’art du test d’intrusion basé sur leurs propres audits. Majoritairement, toutes les applications qui sont passés entre leurs mains comportaient des vulnérabilités leur donnant un accès shell au final. Les quelques applications sont Sophos Email Appliance, Symantec Email Appliance, Trend Micro Appliance.

*Building a defensive framework for medical device security

Par Jay Radcliff, diabétique de type I, il a cherché à se renseigner sur la sécurité des pompes à insuline puisqu’il est concerné. Certains dispositifs sont directement accessible depuis Internet sans authentification par exemple.

Les dispositifs médicaux doivent être approuvés par les autorités compétentes (FDA, FCC et CE Marking), ce qui prend du temps (au moins 1 an en Europe). Chaque ajout de fonctionnalité nécessite une re-validation.

*Huawei: from China with Love

Par Nikita Tarakanov. Après une présentation des différentes clefs 3G/4G testées ainsi que la gestion des mises à jour, l’orateur nous livre ses conclusions : des mots passe en clair, des binaires lancés en root/system, un mode debug extrèmement nerveux.

Une conférence un peu décevante au vu du buzz qui en avait été fait sur Internet.

*To dock or not to dock

Par Andy Davis NCC group. L’idée est de modifier une station de travail pour ordinateur portable Dell afin d’intercepter un maximum d’information. Un dock Dell E-Port PR02X a été choisi grâce à la place de disponible. Un très gros travail de réalisé et une excellente présentation dans laquelle l’orateur a présenté les différents objectifs ainsi que les obstacles et les échecs associés.

Au final un rasberry Pi est implenté dans le dock avec un adaptateur éthernet pour avoir deux interfaces, ainsi qu’une clef USB 3G pour l’exfiltration des données.

*What Google and waze know about you and how hackers can control traffic

Depuis 2011, Google utilise les données GPS des téléphones Android afin de déterminer le trafic routier en temps réel. Apple a créé une application similiaire dénommée Waze.

Tobias Jeske, de l’université de Hambourd, a détaillé le protocole utilisé par Google pour la transmission des données. Il a tenté d’envoyer de fausses informations au serveur de Google pour faire croire à un embouteillage, en routant les informations du téléphone vers son serveur, puis vers le serveur de Google. Ce qui a eu pour conséquence la modification des itinéraires conseillés en temps réel des autres utilisateurs.

Retour de BlackHat Jour #2

*Hacking video conferencing systems

Par Moritz Jodeit de N-Runs. Une belle présentation sur le pwnage d’un HDX-7000HD avec des détails techniques comme il se doit. De l’analyse de l’interface Web à l’étude du firmware, les outils de Polycom leur ont été bien utile pour trouver les vulnérabilités qu’ils ont su exploiter.

Quelques perles ont été présentées comme un secret partagé “weAREtheCHAMPIONS”, la présence d’un debuggeur sur le serveur, l’affichage du HMAC valide dans le message d’erreur etc.

La vidéo de l’exploitation a conclu la présentation.

*Honeypot that can bite: reverse penetration

Alexey Sintsov, ingénieur sécurité chez Nokia expose un concept de pot de miel aggressif. Son site est vulnérable et une fois l’accès obtenu (via une injection SQL), un applet Java est proposé à l’attaquant pour lui donner accès à l’interface d’administration. L’applet permettant d’obtenir des informations sur la machine de l’attaquant. S’étalant du deuxième trimestre 2011 au troisième trimestre 2012, 484 attaques par injection SQL, 16 emails récupérés ont été trouvés via le pot de miel présenté.

*Who’s really attacking your ICS devices?

Après une rapide présentation sur les cas typiques d’ICS, Kyle Wilhoit rappelle à quel point il est aisé de rouver des ICS sur Internet via Google ou des outils comme Shodan ou Pastebin.

Il a mis en place un honeynet pendant une trentaine de jours sur un modèle basic d’ICS. Son analyse des attaques lui permet d’affirmer que la majorité des attaques proviennent de Chine, des Etats-Unis et que les malwares sont présents sous la forme de fichier .doc.

Il termine en nous livrant les recommandations (séparation des BLAN, WLAN, mise en place d’un SIEM, contrôle d’accès par des périphériques de confiance).

Il aurait fallu un temps d’étude un peu plus important pour que les résultats aient plus de poids.

*Harnessing GP2US – building better browser based botnets

L’idée est d’utiliser le navigateur des visiteurs pour leur faire faire du calcul de hash via leur GPU. Certains services louent leur puissances de calculs tel que Amazon EC2, mais qu’en est-il si un particulier veut le faire par soit même.

Marc Blanchou (iSec partners) expose les diverses bibliothèques qui ont été étudiées (OpenGL, OpenCL, WebGL) ainsi que leur limitation respective.

OpenGL (ES 3.0) a été choisie suite aux dernières mises à jours. Les résultats sont intéressants 1000GHash/s MD5 avec 100K clients.

*Multiplayer oneline games insecurity

Les italiens de [re]Vuln (Donato Ferrante et Luigi Auriemma) ont rapidement rappelé pourquoi l’industrie du jeu était ciblée et le pourquoi des cibles (clients / serveurs).

De l’exécution à distance sur le serveur steam à une démonstration sur Battlefield Play4Free où il est possible d’exécuter n’importe quel binaire sur la machine cliente ou sur un répertoire partagée via Samba, jusqu’a Crysis 3 (!!), les orateurs présentent un cadre de recherche intéressante, et pas forcément pour faire du level-up dans les jeux, mais bien pour impacter les clients et ou serveur de l’industrie : “Games are not longer for kids”.

Très bonne conférence avec des slides forts sympathiques.

*DropSmack: How Cloud Synchronization Services Render Your Corporate Firewall Worthless

Après une rapide présentation de DropBox, Jack Williams (CSR Group) nous présente un retour d’expérience sur un audit RedTeam dans lequel le CEO de la société utilisait DropBox. Au lieu de chercher à casser DropBox, ils ont infecté la machine du CEO pour utiliser le service du Cloud à leur fin.

DropSmack est développé pour l’occasion est présenté et permet de donner des commandes (GET, PUT, DEL, MOVE) du portable du CEO à son poste dans la société permettant l’exfiltration de données relativement aisément.

La conférence se termine par une démo live de l’outil.

Un retour d’expérience intéressant sur un audit qui partait très mal, vu que peu de vulnérabilités ont été remontées dans un premier temps.

En conclusion, une majorité de conférences prenantes et bien portées par les speakers, quelques-unes un peu décevantes, mais dans l’ensemble une bonne expérience et le tout dans une très bonne ambiance.

L’organisation des conférences étaient irréprochables et les horaires respectés (ce qui était un peu malheureux par moment lors du plein de caféine).

As you have probably already read my previous blog on Devoteam Netherlands entering the Windows Azure Circle Group recently, we have been invited by MIcrosoft to attend the first Western Europe Azure Circle Partner Summit in Dublin, Ireland. On behalf of Devoteam Netherlands, Hildo van Es, Lead Practice Windows Azure and Sales Manager Microsoft Solutions Jean-Claude Chan will participate with this summit.

This summit will take place from Thursday May 23rd and Friday May 24th.

The summit on May 23 + 24 in Dublin, Ireland is exclusively for Azure Circle Partners.

The summit is all about learning and sharing experiences on how to be successful
in the Windows Azure business.
In these two days we will get a lot of networking opportunities with other Azure Circle
partner from Western Europe and participants from Microsoft Corporation and
Western Europe.
On Day two we will have the chance to visit the Microsoft Datacenter in Dublin.
The two days will be a mix of presentations and learning working groups, where
Microsoft will ask us to actively participate to learn and share.

For an update, I will frequently twitter the updates on the workshops. You can follow me on @jeanclaudechan twitter

If you have any question on Windows Azure, let me know

Jean-Claude Chan
Sales Manager Microsoft Solutions
Devoteam Netherlands

De keynote van Donald Brinkman over gaming en badges in het onderwijs was de inspirerende sessie van de dag (voor wie de man en zijn werk niet kent, het is aardig om op zijn naam te googlen). Achtergrond van zijn verhaal: games hebben met hun enorme populariteit het unieke vermogen om jongeren te betrekken en gaan daarmee een bijzondere rol vervullen binnen het onderwijs. Het probleem met de huidige aanpak is dat er weinig bewijs is van kennisoverdracht, dat de ervaring te veel op het individu is gericht en dat de duizenden games over alle platformen moeilijk zijn te onderhouden en lastig te verbinden.

ICT wordt dus momenteel met name ingezet als doel, en niet als middel om beweging te creëren. Tijdens mijn gesprekken op het congres werd voorgaande bevestigd (ook al was de intentie van het inzetten van ICT middelen oorspronkelijk anders). Een goed voorbeeld hiervan is de aanschaf van Tablets zoals de iPad. Eenmaal aangeschaft ontbreekt het inzicht in hoe de techniek, of de daarop geïnstalleerde App daadwerkelijk van meerwaarde is. Dit is opmerkelijk omdat de kosten van ICT en onderhoud op ICT hiermee verder toenemen. ICT wordt daarmee steeds meer een last terwijl de investering veel meer gericht zou moeten zijn op het betrekken van leerlingen en studenten bij het onderwijs. In feite: werk het ‘business’ vraagstuk uit en kijk vervolgens naar hoe ICT als middel ondersteuning kan bieden (zoals Tablets, Apps, social media, document sharing, et cetera).

In die zin is het aardig te verwijzen naar interactieve tijdlijn van http://www.chronozoomproject.org (een ander, en zeer fraai project van Donald Brinkman). In de overtuiging dat de juiste stappen binnen het onderwijs gezet gaan worden, ben ik benieuwd waar onderwijs zichzelf momenteel op een ‘ICT tijdslijn’ zou plaatsen.

Er werden enkele voorbeelden gepresenteerd hoe je met .NET data kan vast leggen in een database.

Voorbeelden hiervan zijn:
- dmv Datasets
- LinQ2SQL
- Entity Framework

Er werd medegedeeld dat Entity Framework 5 een goed, stabiel product is geworden.
Oudere versie waren namelijk minder stabiel en er zaten meer bugs in.

Met betrekking tot Entity Framework werd het volgende uitgelegd:
Entity Framework kan op de volgende drie methodes worden geïmplementeerd, namelijk:
- Model First
- Database First
- Code First
Bij elk methode werd er uitgelegd wat de voor- en nadelen zijn. En hoe je deze kan toepassen in je eigen .NET omgeving. Er werd aangeraden om één methode toe te passen. Daarnaast werd er verteld welke methode je moet toepassen bij welke type situatie.

De training was goed te volgen. Dat heeft deels te maken met de vele ervaringen die ik heb opgedaan door te werken met databases.
Het was een leuke les.

We begonnen met de terugkoppeling van de les van vorige week (die ik niet had bijgewoond) en de bespreking van de opdracht. Daarna gelijk door naar de theorie voor deze avond: data. Elke applicatie maakt op een bepaalde manier gebruik van data, eventueel gepersisteerd in een database. Als eerste kwam ADO.NET aan bod, uitgelegd door Michel. Connected vs disconnected, connectionstrings, DbConnection/DbCommand (en alle afgeleiden hiervan), transacties en SqlBulkCopy kwamen allemaal voorbij. Conclusie was dat ADO.NET zeer breed ingezet kan worden (van Excel bestand tot MS SQL server) maar dat het ook vrij veel ontwikkeltijd kost.

Hildo nam ons daarna mee naar de wereld van Linq2SQL en Entity Framework. Voor- en nadelen van beiden zijn benoemd en vooral EF is een behoorlijk volwassen product dat op het gebied van ontwikkeltijd de moeite waard is. De voorkeur om code first toe te passen (in plaats van database first) bij EF was voornamelijk voor de Oracle mensen even wennen.

Wat mij opviel tijdens de training was het enthousiasme waarmee de stof behandeld werd en de goede interactie met de deelnemers. De deelnemers zelf stelden de nodige goede vragen en konden vanuit hun expertise veel concepten herkennen.

Ik heb zelf veel .NET trainingen gevolgd en kan zeggen dat ik van deze training op het gebied van studie materiaal, opdrachten en presentatie erg onder de indruk ben!