57 Membres 1316 Contributions

Open Community

Hack In Paris 2013

Publiée par Nicolas H. - Stormshield dans technique

 

Hack In Paris est un évènement organisé par Sysdream depuis 2011. De nombreux acteurs du monde de la sécurité informatique se rejoignent pour y effectuer des conférences autour de leurs recherches et découvertes. Mais Hack In Paris offre aussi des trainings sur divers sujets relatifs à la sécurité et ce sont ces derniers qui nous ont attiré cette année.

Cest à Disneyland Paris plus précisément à Marne-La-Vallée que Hack In Paris sinstalle tous les ans. Cette année 2013 ne faisant pas exception, lévènement se découpe en 3 étapes : 3 jours dédiés aux différents trainings, 2 jours de conférences suivis de La Nuit Du Hack.

Arkoon a participé aux trainings et plus précisément à « Corelan Live », effectué par le fondateur du blog Corelan et de lentité Corelan CVG : Peter « corelanc0d3r » Van Eeckhoutte ainsi que « Digital Forensics with Open Source Tools Training » réalisé par Frédéric Baguelin, lun des fondateurs dArxSys et développeur de DFF.

Les trainings se déroulaient du Lundi 17 au Mercredi 19 Juin 2013.

 

Corelan Live

Au cours de ces trois jours, Peter nous aura montré la manière décrire des exploits de manière fiable et avec une précision digne dun horloger suisse. Aussi, ont été abordés les
sujets suivants:

 

  • Larchitecture x86
  • Lexploitation de stack buffer overflow
  • Lutilisation des SEH pour lexécution de code
  • Lutilisation de ROP
  • Lécriture de modules metasploit
  • Le bypass dASLR et de DEP
  • Le heap spraying et le Use After Free

Au final, cest une formation dense au timing serré, et il ny a pas eu de temps mort ! Lorsque lon nest pas en train décrire un exploit, Peter nous détaille les méandres de la mémoire ou de Windows. La formation est tellement compressée que Peter nous demanda de venir à 9h00 plutôt que les 9h30 annoncés, et de finir à 19h au lieu de 17h30. Par exemple, il nous est même arrivé de sortir à 20h et de continuer lexercice le soir, dans notre chambre dhôtel, après une pause diné bien méritée. Autant dire que si lon est pas prêt à manger de lassembleur 10 heures par jour, cette formation nest pas faite pour vous. Nous ne saurions dailleurs la recommander quaux personnes ayant un minimum de bagage dans les buffers overflow, la lecture dassembleur et lutilisation de debugger avant de se rendre à ce type de training, sans quoi les participants risqueraient à sy noyer avant la fin de la première matinée.

Mais lun des gros avantages du training de Peter, cest la quantité de techniques, tricks, et petites astuces quil vous fournit pour lécriture dexploits ou le bypass de certaines protections. Ses années dexpérience dans le domaine ont fait de lui une mine dor de conseils utiles. Sans compter lapprentissage des différents tools quil utilise comme « mona » (quil a lui-même développé). Cet outil, qui nous était jusquà lors inconnu, est devenu incontournable pour nous désormais et je ne saurais que trop le recommander à tout développeur dexploit. Enfin, Peter est une personne pédagogue qui sait prendre le temps de répondre précisément à toutes les questions.

Au bout de ces trois jours de trainings, mélangeant théorie et pratique, on en ressort un peu fatigué, mais finalement très heureux dy avoir participé. Et la somme demandée (relativement modique comparée à dautre trainings) est on-ne-peut-mieux dépensée à la vue de la qualité de cette formation. On sent que Peter est bien préparé et maitrise parfaitement son timing.

 

Digital forensics with open source tools

Cette formation était une introduction aux bases du digital forensics. Voici les sujets qui ont été abordés pendant les trois jours :

  • Définition du "digital forensics".
  • Passage en revue doutils permettant de faire des acquisitions de données.
  • Analyse du MBR.
  • Analyse du système de fichier FAT16 et NTFS
  • Analyse de la base de registre Windows
  • Analyse dun dump mémoire dune machine Windows XP
  • Introduction à lutilisation de DFF (digital forensics framework, http://www.digital-forensic.org/)

Au cours de la formation, nous avons utilisé une distribution Linux : "deft 7" (http://www.deftlinux.net/).

Cette distribution fournit les outils permettant deffectuer les relevés de preuve sur un volume ou une machine donnée. Nous avons vu les différentes méthodes dacquisition des données sur de la mémoire non volatile. Une fois lacquisition des données effectuées, nous avons procédé à lanalyse du dump de divers volume en guise dexercice. Ce travail a tout dabord été effectué "à la main" (hexdump a été notre ami !), puis en réalisant un script python.

Après avoir étudié les différents systèmes de fichiers, nous avons vu différentes techniques pour extraire des informations des différentes ruches relatives au registre de Windows. Nous avons aussi fait un tour rapide sur les traces que peuvent laisser les navigateurs sur une machine, et nous avons enfin terminé sur une description sommaire du fonctionnement de la mémoire sous Windows avec toujours comme objectif lextraction de "preuves" dans la cadre du digital forensics. Pour ces derniers sujets, nous avons utilisé DFF qui est un excellent outil doté dun moteur de recherche très puissant capable dextraire des informations à partir de beaucoup de sources de données.

Le plan du formateur mettait en évidence que dans ce milieu, les outils sont la clef de tout : les premières analyses que nous avons effectuées ont été longues et fastidieuses, tandis quen fin de formation, DFF nous permettait de faire des recherches très facilement en quelques clics !

La formation était très bien, elle ma permis de rafraichir mes connaissances "linuxiennes" et dapprendre des choses sur le MBR. Au final, je ne regrette quune chose au sujet de cette formation : jaurai aimé aller plus loin dans la technique (notamment sur la mémoire volatile), même si il est vrai que ce nétait quune introduction sur le sujet.

 

Autour des trainings

Le cadre dans lequel se déroulaient les formations était très agréable. En dehors du fait que nous étions à quelques pas du parc Disney (non, les places pour y rentrer nétaient pas incluses dans le forfait), les hôtels sur place sont sympathiques (bon, le prix aussi) et parfaits pour y dormir quelques nuits. LHôtel New-York, où se déroulent les formations, est aussi très propre, ce qui offre un cadre agréable pour le peu que vous en profiterez en dehors du training. Vous seront fourni, tout le long du training, des boissons fraiches de tous types (Sodas, eaux plates/gazeuses, jus de fruits, café, etc.) ainsi que des fruits et autres douceurs sucrées (minis muffins, cookies, etc.) vraiment excellentes. Tout ceci étant bien frais, dans des bacs glacés, chose appréciable par ces températures, le tout deux fois par jour.

 

Le seul défaut étant les restaurants, souvent très chers pour la qualité de la nourriture quon y trouve. Entre les pizzas simples à quasiment 20 et les menus composés dun sandwich jambon/beurre + boisson à presque 11, vous aurez du mal à manger quelque chose le soir pour moins de 25.

Pour finir, la salle où se déroulait le training Corelan était un peu petite pour le nombre de personnes (une vingtaine environ), ce qui nous laissait a peine la place de poser le PC portable et une souris sans gêner notre voisin.

Pour publier un commentaire, merci de vous authentifier.

Messages d'alerte