Black Hat Tokyo 2005 : Le Japon s’éveille à la sécurité informatique

Par Xavier Poli, secuobs.com
Le 21/10/2005

---

Résumé : La dernière conférence BlackHat qui s’est tenue à Tokyo a rassemblé de nombreux experts nippons et internationaux.



La dernière conférence BlackHat qui s’est tenue à Tokyo a rassemblé de nombreux experts nippons et du monde entier. Au menu, entres autres : Sécurité des réseaux sans fil, contournement d'IDS et retour sur les premiers virus informatiques.

Le Keio Plaza Hotel accueillait cette année la conférence Blackhat (lien http externe url:[click] mondialement connue, qui s'est tenue du 17 au 18 octobre 2005 au Japon et plus précisement à Tokyo dans le quartier d'affaire très moderne de Shinjuku. Nous y étions pour vous à notre plus grand plaisir. Cette conférence aura été la dernière de l’année 2005 pour l'équipe Blackhat.

Deux jours pour 12 présentations, une keynote & un discours de clôture de Jeff Moss (foundateur de Blackhat Inc.) qui n'aura pas oublié de remercier les sponsors & partenaires Sumisho Computer Systems Corporation, Mitsubishi, HitachiJoho International System & le média Scan ainsi que l'ensemble des personnes qui rendent possible l'organisation d'un tel événement (speakers & traducteurs à la tâche ardue vu le niveau technique de certaines présentations).

La keynote du professeur Katsuya Uchida, membre du CSI (Computer Security Institute - lien http externe url:[click] a été placée sous le signe de la nostalgie ; cela ne rajeunira pas certains d'entre vous, avec un rappel historique des premiers virus de type "distribué" ("I am the Creeper, catch me if you can" sur Arpanet en 1971 & le Xerox Worm) aux plus récents (Nimda, Code red ) en passant par CHRISTMA exec (Bitnet). Mais aussi les directives Sarbannes-Oxley (Sox -lien http externe url:[click] & la première présentation "Meet the Enemy" par Ray Kaplan au CSI en 1994 devenue depuis très populaire car permettant de rencontrer les hackers les plus populaires.

Le titre de la keynote "The day after ..." est une référence à un blockbuster américain dans la catégorie film catastrophe ; pour ceux qui l'ont vu ils apprécieront l'humour de Katsuya, impression renforcée par cette citation (ndlr : de Bismark, ancien premier ministre de Prussie) présente sur le slide de sa présentation " Fools say they learn from experience ; i prefer to learn from the experience of others" ;)

Au contraire de certains de évènements communautaires comme What The Hack ou encore les conférences du CCC, l’hacktivisme est ici mis de coté. Les conférences BlackHat s'adressent plutôt aux Responsables de la Sécurité des Systèmes d'Informations (RSSI), Directeurs des Systèmes d'informations (DSI) & autres Directeurs Informatiques (DI). Cependant, l’ambiance reste détendue et l’organisation sans failles (ce qui serait un comble pour une conférence de sécurité ;) ).

La plupart des participants souhaitent qu'on leur propose des solutions clés en mains (appliances & autres). On remarquera ainsi par exemple que dans la conférence de Chris Hurley aka Roamer
(lien http externe url:[click] "Identifiying & Responding to wireless attack" (Identifier et répondre aux attaques sur les réseaux sans fil), les solutions hostapd/freeradius n’étaient pas traitées. Pour information, Roamer est l'organisateur du challenge de Wardriving de la conférence DEFCON qui se tient en Juillet à Las Vegas.

L'aspect technique ne fut cependant pas négligé :TKIP, EAP-TLS, LEAP, WPA2 & WPA-Radius furent traités. Si vous gardiez un doute, la présentation de Dan Kaminsky (lien http externe url:[click] - Black Ops TCP/IP 2005) sur les contournements d'IPS/IDS par fragmentation IP & autres attaques temporales ainsi que celle de David Maynor (lien http externe url:[click] - Architecture Flaw in Common Security
Tools) avec notamment le contournement d'une virtualisation par sandbox afin de compromettre un système qu'elle est censée protéger, vous feraient de toutes facons rapidement changer d'avis, elles seront traitées prochainement sur Secuobs.com.

Un des moments les plus intenses de cette conférence fut d'ailleurs l'échange par micro interposé entre ces deux speakers à la fin de la conférence du second pour soulever l'épineux problème d'honnêteté des fabricants de solutions IPS/IDS sur les techniques d'évasion connues à ces solutions (shellcodes polymorphiques, obfuscation & fragmentation IP). La conclusion n'est pas à l'honneur de celles-çi.

Seul ombre au tableau, l'annulation de la conférence très attendue (par nous notamment) de The Grugq (habituellement expert dans le domaine de recherche Forensic/Anti-Forensic) sur "VoIP Phreaking : How to make Free Phone Calls and Influence People".

Elle fut néanmoins remplacée par une très bonne présentation de Ejovi Nuwere sur "The art of SIP fuzzing and Vulnerabilities found in VoIP" où l'on a notamment appris que l'ensemble des applications SIP étaient basées sur le même code d'origine & donc logiquement soumises aux mêmes failles. Pour rappel, SIP (Session Initialisation Protocol) est un protocol de communication utilisé pour la voix sur IP, il est actuellement entrain de remplacer le protocol historique H323 des
passerelles de communication.

La conférence de Tokyo sera reconduite l'année prochaine selon les déclarations Jeff Moss lors de la session de clôture. Au final, on retiendra une conférence bien organisée avec des présentations intéressantes.

Mini-Tagwall des articles publiés sur SecuObs :
sécurité, windows, exploit, réseau, vulnérabilité, système, attaque, microsoft, virus, audit, internet, données, fonction, présentation, outil, linux, bluetooth, vista, gestion, shell, trames, wishmaster, sysun, metasploit, engineering, paquets, téléphone, fonctions + de mots clés avec l'annuaire des articles publiés sur SecuObs

Archives Failles Secunia :
- SA32943 jailer updatejail Insecure Temporary Files - SA32794 Cain & Abel RDP Processing Buffer Overflow Vulnerability - SA32951 Slackware update for samba - SA32949 Debian update for imlib2 - SA32849 cpCommerce _functions.php Variable Overwrite Vulnerability + d'archives failles avec Secunia et SecuMail

Archives Mailing Full Disclosure :
- Re: Full-disclosure Security industry software license - Re: Full-disclosure Lazy bum approach to security - Re: Full-disclosure More proof that Microsoft products are probably backdoored - Re: Full-disclosure Security industry software license - Re: Full-disclosure Project Chroma: A color code for the state ofcyber security + d'archives Full Disclosure avec SecuMail

Archives Mailing Bugtraq :
- Dates for SyScan'09 - Cpanel fantastico Privilege Escalation ModSec and PHP restriction Bypass - SECURITY DSA 1676-1 New flamethrower packages fix denial of service - USN-682-1 libvorbis vulnerabilities - USN-681-1 ImageMagick vulnerability + d'archives Bugtraq avec SecuMail

Mini-Tagwall de l'annuaire video :
virus, spyware, vmware, firmware, biometric, lockpicking, wimax, password, spammer, kernel, malware, windows, iphone, symantec, phish, knoppix, adware, security, botnet, linux, tutorial, cryptography, internet, attack, server, wireshark, virtual, metasploit, intel, protect, openbsd, hitbsecconf2006, jailbreak, rootkit, ubuntu, norton, exploit, hijackthis, ettercap, samsung, screen, fingerprint, vista, flash, desktop + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :
security, microsoft, windows, vulnérabilité, network, google, vulnerability, hacker, attack, inject, remote, mobile, server, exploit, apple, internet, iphone, black, yahoo, sécurité, malware, vista, intel, patch, crypt, drive, access, protect, virtual, laptop, linux, source, biometric, research, ebook, business, virus, office, phish, adobe, chine, facebook, opera, flash, wireless + de mots clés avec l'annuaire de la revue de presse