De retour de Genève, où j'ai participé avec le reste de la team HZV à Insomni'hack 2010. Insomni'hack est un concours d'ethical hacking qui regroupe divers hackers (espagnols, français, suisses, et autres) autour de challenges concernant divers domaines de la sécurité informatique.

Nous sommes allé à Genève en train, où nous avons retrouvé les gars de Maubeuge (FaSm, Koreth, TiteFleur, Shatter) et Nagual. Après un bref passage à l'hotel, histoire de poser les bagages, nous sommes partis en direction de l'Hepia. On salue, s'installe, et là on subit le classique problème des prises: en effet, la Suisse a des prises bien particulières (on le savait avant de venir), mais nous n'avions pas trouvé d'adaptateur(s) entre le départ et l'arrivée à l'Hepia. Un autre challenger français a partagé son adaptateur, et on a pu brancher notre série de rallonges dessus, ouf.

Petit discours du directeur avec un bon accent suisse, puis début du challenge. On boit, on bouffe, on code, et on cherche. Au programme: analyse par rétro-conception, attaques web par rejeu, vulnérabilités web "classiques" (htaccess avec limit get, CAPTCHA, ...), un peu de crypto, et puis du forensics (pcap et pdf). C'était bien fun. 1h du mat, fin du contest, et le résultat: Trance premier (représentant HZV), suivi de Samsa, de Nagual et d'Acissi (les gars de Maubeuge). Remise des lots: Trance reçoit une panoplie de tshirts, une suite av offerte par kaspersky (je suis sur que Heurs va adorer travailler dessus), et un boitier fortinet anti-virus, pare-feu, etc ...

Nous saluons nos challengers, et puis grande séance de tentative de discussion avec Samsa, le second du contest, qui est d'origine espagnole. Mais il parle français, sous la torture. Un gars super simple, très sympa, et qui nous a convié à passer à Madrid en mars. On va essayer de pas manquer le rendez-vous. On salue ensuite tout le monde, et on termine la soirée à l'Ibis, avec 1l de vodka, 4 cannettes de redbull, et plein de trolls. Quelques heures plus tard, on se lève et on joue les touristes, histoire de pas partir sans avoir vu le lac et son jet d'eau de malade (qui doit faire mal au cul si on s'assoit dessus, comme le dit F|UxIuS). Puis rentrage en TGV, dodo, et de retour sur Paris.

Un évènement bien sympa, quoique court (à 1h du mat ils ont tout fermé, et nous ont mis à la porte, c'était moyen ^^). De même, les épreuves étaient de qualité (quoique parfois irréalistes, et kikoololz) Mais on reviendra peut-être. Néanmoins, il y a de bonnes idées et quelques erreurs qui sont formatrices (réseau saturé, notamment lors des phases de bruteforce nécessaires pour réussir certaines épreuves).

Petit bonux: on a retrouvé l'hotel de Billou à Genève. Il y a même garé sa voiture devant ...

<center><embed type="application/x-shockwave-flash" src="http://picasaweb.google.fr/s/c/bin/slideshow.swf" width="288" height="192" flashvars="host=picasaweb.google.fr&hl=fr&feat=flashalbum&RGB=0x000000&feed=http%3A%2F%2Fpicasaweb.google.fr%2Fdata%2Ffeed%2Fapi%2Fuser%2Fvirtualabs%2Falbumid%2F5430576548463802369%3Falt%3Drss%26kind%3Dphoto%26authkey%3DGv1sRgCKmIq6aVvqSu2wE%26hl%3Dfr" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></center>

Liens connexes

http://www.tdg.ch/actu/hi-tech/hacking-defient-geneve-2010-01-24

Intro

La protection SEHOP (qui signifie “Structured Exception Handling Overwrite Protection”) est implémentée dans les versions Windows 7, Vista SP1 et Windows 2008. Elle empêche théoriquement l'exploitation de “buffer overflow” par écrasement de gestionnaire d'exception.

En théorie.

Il existe toutefois une manière de contourner cette seule protection SEHOP, moyennant quelques conditions et un peu d'astuce, comme le montre le papier suivant, Bypassing SEHOP.

Principe

Le principe du contournement de SEHOP est trivial: Windows vérifiant si l'enchaînement des structures SEH (gestionnaires d'exception) est valide, il s'agit de créer une fausse chaîne de gestionnaires d'exception en prenant soin de mettre des adresses valides sur la pile, tout en maquillant du code exécutable en adresse de pile valide.

L'ensemble est décrit dans le papier, avec une preuve de concept qui exploite une vulnérabilité (un buffer overflow) locale. L'exploit n'a été testé que sous Windows 7, mais devrait a priori fonctionner sous Windows Vista avec un shellcode approprié.

Outro

L'exploitation via le contournement de SEHOP est tout de même à nuancer, la protection SEHOP ne se présentant généralement pas seule, mais couplée au DEP ou à l'espace d'adressage aléatoire (“Adress Space Layout Randomization”). La protection reste donc efficace, principalement contre les attaques distantes. A noter que cet ensemble de nouvelles protections intégrées à Microsoft Windows n'empêchent pas les dénis de service.

En sortant du métro ligne 13 à la gare St Lazare, je suis tombé sur un petit coin bien sympa ... Un pakistanais avait posé à même le sol un drap blanc, et avait mis sur ce drap un petit magot: des dizaines de DivX honteusement copiés de films récents (Twilight Temptation, 2012, etc ...) à prix modiques. Les pochettes sont plutôt rustiques: de simples pochettes transparentes agrémentées d'affiche de films réimprimés sur du papier de piètre qualité.

J'ai hésité à prendre une photo, me doutant que l'individu n'aimerait pas cela (et puis je voulais pas taper un sprint, crevé après une journée de boulot harassant), mais bon, j'ai indiqué l'adresse, suffit d'y aller (et vlan, l'OCLCTIC va lui tomber dessus, bien fait, na). Voici donc l'avenir du "Pétoupé" (cf. "le pétoupé tue !", jaimelesautistes.fr): le Pakistanese To People ! Un système de distribution massif (si si, ceux qui prennent la ligne 13 savent de quoi je parle), peu couteux, et à prix défiant toute concurrence (même celle de Fnac.com). Bon question qualité, faut pas être très pointilleux, AMHA. Je n'en ai pas acheté, mais au vu de la qualité de la pochette, c'est la simple déduction que j'en fais (et aussi parce qu'il n'existe que des screeners au son tout pourri des films présentés). Ah, et je ne peux pas confirmer qu'il s'agit bien des films réels et pas de remakes made in Bollywood.

Ce qui est merveilleux avec ce procédé (identique à celui employé à la braderie de Lille, la brigade de répression des fraudes en moins) est qu'il est très efficace. Les pakistanais vendeurs à la sauvette ont d'ailleurs une technique de fuite infaillible: ce n'est pas pour rien qu'ils posent leur objets sur un drap, c'est plus facile à plier quand le danger guette. Et il y a certainement des filières d'approvisionnement pour ce marché parallèle, mais je n'ai pas trop cherché dans cette direction ...

Mais que fait HADOPI !?! Rien ? Ah, ben tant pis. (On le savait que ca allait servir à rien l'HADOPI ...)