 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| Black Hat 2007 : une conférence sous le signe de la suspicion |
| Nouveau mode de dissimulation de rootkits, sécurité des bases de données Oracle, et vieille histoire sur le Wi-Fi d'Apple ont animé les travées de la Black Hat.
(06/03/2007) |
|
La Black Hat, ce rendez-vous des spécialistes de la sécurité informatique a fermé ses portes la semaine dernière. L'annulation d'une conférence consacrée à la démonstration des faiblesses des technologies RFID figure assurément au sommaire des temps forts de l'événement. L'incartade entre une firme et un chercheur dont la démonstration devait porter sur les vulnérabilités des produits de la première n'aura pas manqué de rappeler à nombre d'observateurs, la querelle qui avait opposé Cisco et Michael Lynn, alors salarié d'ISS.
L'équipementier avait en 2005 menacé le chercheur de le poursuivre en justice pour violation de propriété intellectuelle s'il maintenait la démonstration d'une faille affectant Internetwork Operating System (IOS). On se souvient alors de la démission de Michael Lynn et de l'armée d'intérimaires payés par Cisco pour arracher les pages relatives à l'exposé des programmes de la Black Hat. Chris Paget aura lui dû renoncer face à HID Global, un constructeur de cartes de proximité (lire l'article Black Hat : la preuve du clonage des puces RFID attendra du 01/03/2007).
Sa présentation à la Black Hat devait inclure en outre des schémas et du code source pour permettre aux conférenciers de concevoir leur propre outil de clonage RFID. Un débat sur les vulnérabilités des différentes implémentations de cette technologie devait également se tenir à cette occasion. Mais face aux risques de poursuites, la petite entreprise de sécurité a préféré renoncer.
Déjà conviée lors de précédentes éditions, la spécialiste des codes furtifs, Joanna Rutkowska, est de nouveau montée à la tribune (lire l'article La sécurité de Vista mise en question du 08/08/2006). Elle y a présenté un PoC (proof-of-concept) permettant de dissimuler un code d'attaque, son utilisation de la mémoire, même aux outils de détection des rootkits les plus performants.
La méthode de détection des rootkits consiste à inspecter le canal d'accès direct à la mémoire, appelé DMA (Direct Memory Access). Celui-ci désigne un accès à un emplacement de la mémoire vive (RAM), avec une adresse de début et une adresse de fin. Le code furtif mis au point par Joanna Rutkowska n'interdit pas de découvrir l'infection du système, mais il empêche d'obtenir l'image de la mémoire où il se dissimule.
| Un audit live d'Oracle 10g révèle un bug par minute |
John Heasman a quant à lui démontré la possibilité de cacher des programmes malveillants dans n'importe quels composants PC (carte graphique, lecteur DVD, batterie) en utilisant l'espace mémoire dont ils disposent. Changer le disque dur ou réinstaller le système d'exploitation ne permettrait pas conséquent pas de se défaire de la menace. Début 2006, John Heasman avait déjà présenté des travaux sur la conception d'un rootkit résidant au sein du BIOS (Basic Input Output System).
On avait pu être tenté de croire qu'après son projet avorté sur les bugs de base de données Oracle, Cesar Cerrudo avait décidé de renoncer à toute divulgation de failles. Il n'en est rien. Ce dernier a même conduit un audit de 10 minutes en direct durant la Black Hat, parvenant presque à identifier un bug par minute dans Oracle version 10g R2 sous Windows. Un autre expert, David Litchfield, a lui aussi malmené l'éditeur en exposant une technique permettant de réaliser de l'injection SQL.
La première session de la Black Hat 2007 fut également l'occasion pour David Maynor de revenir sur une vulnérabilité du Wi-Fi d'Apple déjà présentée en 2006 et très largement critiquée par la communauté Mac. Code, logs et emails échangés avec l'éditeur, qui a toujours refusé de créditer Maynor et son acolyte Jon Ellch, seront publiés prochainement.
Depuis la démonstration controversée, plusieurs constructeurs (Broadcom, D-Link, Toshiba and Apple) ont publié des mises à jour de sécurité pour corriger des vulnérabilités telles que celles identifiées par les deux hackers.
|
| |
| |
|
|
|
|
|
|
Dossier 