DC25 était-il mon dernier DEF CON ?

20 000 passionnés de sécurité et moi-même revenons tout juste du Caesar’s Palace, qui a accueilli pour la première fois (?) la plus ancienne et, selon certains, la meilleure conférence de hackers au monde, DEF CON. Cette année, comme chaque année, les participants ont dit la même chose : « Oh mon Dieu, il y a trop de monde ici ! » Ils le disaient même au DEF CON 7 (mon premier), qui avait peut-être 1 000 participants entassés dans des tentes sur la pelouse de l'ancien hôtel Alexis Park.

DEF CON a eu 25 ans cette année et pour la première fois, je me suis demandé si ce serait mon dernier. J’ai manqué la plupart des anniversaires de mon enfant en raison du calendrier cohérent de la conférence. Le pauvre gars est assez compréhensif à ce sujet, surtout depuis que je l'ai emmené à DC22.

Et même si cette année nous avons eu droit à des conférences plutôt intéressantes, j'avais le sentiment d' avoir déjà vu cela auparavant . Car à combien de conférences de hackers pouvez-vous assister en deux décennies avant de commencer à perdre votre sens de l'émerveillement enfantin ? J'envisage donc activement de laisser DC26 aux plus jeunes.

Pendant que je réfléchis à mes options pour DC26, récapitulons certaines des discussions, événements et sous-communautés les plus intéressants de DC25. Nous vous encourageons également vivement à écouter ces conférences si elles sont disponibles sur le serveur multimédia DEF CON (ou YouTube, selon la première éventualité).

Le tout nouveau pillage électoral, oups je veux dire le village électoral

Compte tenu de toutes les nouvelles concernant l'ingérence électorale au cours des six derniers mois, les organisateurs de DC ont eu l'intelligence d'inclure un nouveau village de vote où les passionnés pouvaient tester les différentes machines de vote utilisées aux États-Unis. Le buzz du premier jour était que la plupart des machines étaient tombées aux mains de pirates dans les 90 minutes suivant l'ouverture. À la fin de la conférence, toutes les machines à voter étaient tombées aux mains des pirates informatiques. Personne ne devrait vraiment être surpris par cela ; avoir un accès physique à un appareil garantit presque une pause à condition d'avoir suffisamment de temps et de talent, et il y en avait beaucoup des deux à DC25.

L’appel à l’action qui a suivi le Voting Village était généralement que nous, en tant que nation, devrions revenir aux bulletins de vote papier. Mais des experts raisonnables et compétents suggèrent une combinaison de bulletins de vote électroniques et papier pour une meilleure sécurité, comme en témoigne cette excellente discussion du NPR Science Friday .

Thème: De nombreux intervenants s’appuient sur des sources de données publiques (telles que le projet Certificate Transparency) et sur le projet Sonar comme base de leurs recherches.

Intervenants notables
 

• L'auteur célèbre et rédacteur en chef de Boing Boing, Cory Doctorow, a prononcé un discours passionné sur la gestion des droits numériques.
• Le grand maître d'échecs Garry Kasparov a parlé de l'impact probable de l'intelligence artificielle sur l'emploi.
• Richard Thieme s'est exprimé lors du tout premier Blackhat Briefings il y a vingt ans et parle encore aujourd'hui de la vie privée.
   

Présentations remarquables

► Abuser des journaux de transparence des certificats - Hanno Böck (@hanno)

J'ai écrit sur le très intéressant projet Certificate Transparency (CT) il y a près de trois ans pour SecurityWeek.com. Depuis lors, le projet CT collecte les journaux des autorités de certification. En théorie, les navigateurs comparent les certificats dans la nature avec les journaux afin de repérer les certificats mal émis. En fait, selon l'orateur Hanno Böck, Symantec participe finalement au projet CT après avoir été menacé par Google. Note: Symantec vient de quitter l'entreprise et vend son autorité de certification à DigitCert.

Le jardin de certificats communautaire, Let’s Encrypt, a participé au projet CT, et maintenant Cloud Flare aussi.

Autre remarque : Le projet CT dispose d'un excellent petit portail sur crt.sh où les chercheurs peuvent consulter l'ensemble des journaux via une interface Web (ou même Postgres, mon préféré).

De toute façon! Le chercheur Hanno Böck formule une idée d'attaque intéressante : Surveillez les journaux du projet CT pour les nouveaux noms de domaine. Au fur et à mesure que de nouveaux noms sont trouvés, vérifiez les sites pour voir si quelqu'un crée un site Web WordPress ou Joomla. Il existe une petite fenêtre de temps pendant laquelle quelqu'un démarre une installation mais ne la termine pas, où un attaquant intelligent pourrait insérer un plug-in malveillant pour obtenir une porte dérobée vers le site.

L’opérateur du site n’aurait aucune idée que vous avez fait cela. Böck a montré une démonstration de la façon dont cela fonctionnerait, puis a essayé de déterminer si quelqu'un le faisait déjà (aucun signe de cela pour l'instant). Il a pratiqué une divulgation responsable et a alerté WordPress et Joomla à ce sujet, et a même proposé certaines mesures d'atténuation. L’un des frameworks a mis en œuvre sa suggestion, mais plus tard, ils ont tous deux réalisé qu’il s’agissait d’une solution imparfaite et que l’attaque fonctionnerait probablement toujours.

Emporter: Si vous enregistrez un nouveau domaine et obtenez un certificat pour celui-ci, assurez-vous de terminer votre installation WordPress le plus rapidement possible. Si vous laissez le programme d’installation tel quel, vous risquez de vous retrouver à héberger quelque chose que vous n’aviez pas prévu.

► Les aventures d'AV et du bac à sable qui fuit - Itzik Kotler (@itzikkotler) et Amit Klein

Imaginez que vous êtes un agent d’espionnage dans un environnement hautement sécurisé ; pensez à l’armée, à un sous-traitant de technologie secrète ou autre. Imaginez maintenant que vous ayez besoin d’exfiltrer des données, mais que vous ne puissiez pas utiliser les canaux habituels (Google Drive, clé USB, etc.). Tout est surveillé, sauf que le réseau utilise l'une des nombreuses solutions antivirus dotées d'un détonateur cloud.

Les chercheurs Itzik Kotler et Amit Klein ont démontré une nouvelle technique d'exfiltration de données dans des environnements cloud-AV. Ils ont créé deux binaires : un extérieur (la fusée) et un intérieur (le satellite). Ils ont codé leurs données dans le binaire du satellite, puis ont codé ce binaire dans le binaire de la fusée. Le binaire fusée qu'ils ont introduit sur le réseau.

La fusée écrit le binaire du satellite sur le disque où l'AV peut le voir. L'AV, méfiant à l'égard du binaire satellite, l'envoie en dehors du réseau vers son détonateur cloud, où il est exécuté. Le satellite communique ensuite les données du détonateur de nuage à une zone de largage.

Si mignon! Parmi les 10 scanners AV cloud testés par Kotler et Klein, quatre ont permis au satellite de communiquer avec la zone de largage.

► DNS – Services de noms sournois : Détruire la vie privée et l'anonymat sans votre consentement - Jim Nitterauer (@jnitterauer)

Jim Nitterauer a pris la parole pour la première fois à DEF CON. Comme le veut la tradition, il a pris un verre (de whisky ?) au début de son discours. Comme il y avait tellement de nouveaux intervenants cette année, les gars de DEF CON ont dû acheter du Wild Turkey en gros.

Selon Nitteraur, les requêtes DNS ont un nouveau champ « sous-réseau client » (voir RFC 7871 ). Les clients sont censés y insérer leur adresse LAN réelle. Les résolveurs DNS tout au long du chemin peuvent utiliser cette adresse pour décider comment mettre en cache la réponse. Cela semble assez logique, n'est-ce pas ?

Mais Nitteraur craint que « les observateurs » utilisent les informations du sous-réseau client pour suivre les gens. Pour la surveillance de masse ou d’autres services néfastes.

Il existe peu de preuves que le champ du sous-réseau client soit réellement utilisé pour la surveillance de masse à large spectre. Si quoi que ce soit, il sera utilisé pour le suivi des publicités (les auteurs de la RFC incluent Google et Akamai), mais félicitations à Nitteraur pour avoir soulevé le drapeau de la confidentialité au sujet de ce possible cauchemar de confidentialité. Mais d’un autre côté, le DNS est un cauchemar en matière de confidentialité et il est probable que cela reste ainsi pendant longtemps.

► Sécurité du matériel et de la chaîne d'approvisionnement tolérants aux chevaux de Troie dans la pratique - Vasilios Mavroudis et Dan Cvrcek (@dancvrcek)

Problème : que se passerait-il si votre module de sécurité matériel (HSM) FIPS 140 était malveillant ? Comme s'il contenait des puces malveillantes qui compromettaient vos clés RSA sacrées. Le saurais-tu seulement ? Et comment ?

C’est la prémisse d’une conférence intéressante donnée par deux chercheurs basés à Londres, Mavroudis et Cvrcek. L’idée peut paraître farfelue, mais certaines organisations doivent se contenter de mettre en place des scénarios de films d’espionnage technologique comme celui-ci. Imaginez par exemple que la NSA ou les services secrets américains lorgnent avec méfiance les circuits intégrés de leurs ordinateurs fabriqués en Chine ?

Mavroudis et Cvrcek proposent une solution empruntée à l’avionique des avions : la redondance de la chaîne d’approvisionnement. L'avion Boeing 777, par exemple, utilise des contrôleurs triplement redondants provenant de 3 chaînes d'approvisionnement différentes sur une seule carte. Pour l'avionique, la préoccupation est la fiabilité, mais Mavroudis et Cvrcek appliquent cette redondance à la place pour la sécurité.

Ils ont construit des HSM faits maison (trop cool !) et les ont distribués sur Internet. Chaque HSM participe à un ensemble de protocoles de cryptage distribués où il a un accès partiel aux données secrètes. Le réseau HSM peut détecter si l’un de ses membres tombe en panne ou tente de corrompre la cryptographie. Je soupçonne qu’il y a des mathématiques compliquées impliquées ici pour lesquelles ils n’ont pas montré leur travail, mais ce n’est pas grave, nous pouvons attendre le livre blanc.

Ils ont également inclus des instructions et des images sur la façon de construire votre propre HSM maison à partir d'un ancien concentrateur USB, de quelques circuits intégrés, de leur applet et de chewing-gum. Génial !

► CâbleTap : Exploitation sans fil de votre réseau domestique

La conférence la plus cool de la DEF CON 25 dont personne n’a parlé était « CableTap : « Exploitation sans fil de votre réseau domestique. »

Deux chercheurs de Bastille Networks ont commencé à s'intéresser aux déploiements de réseaux grand public de Comcast et de Time Warner. L'un des chercheurs connaissait à peine Linux ou les réseaux lorsqu'il a commencé en janvier, mais en mars, il avait compris comment obtenir un accès à distance à des millions de routeurs et de décodeurs domestiques. Leur chaîne d’attaque était impressionnante et leur présentation était drôle et inspirante.

Pour en savoir plus, lisez mon article sur SecurityWeek.com : La conférence la plus cool de la Defcon 25 dont personne n'a parlé

Serai-je au DC26 ?

Bon, après avoir écrit tout ça, j’ai décidé que OUI, je serai probablement au DC26. Il y a tout simplement trop de choses cool qui se passent à DEF CON ; six jours à Vegas (à cause de Blackhat aussi) m'ont tout simplement épuisé, mais ce n'est pas la faute de DEF CON, n'est-ce pas ?

Voici mon plan pour l’année prochaine.

• Transfert des hôtels de Mandalay à Caesar's. Se déplacer à travers le Strip plusieurs fois par jour vous épuise. Alors inscrivez-vous tôt pour votre chambre.
• Découvrez d'autres conférences de Google. J'ai entendu de très bonnes choses à propos de leurs intervenants cette année.
• Buvez moins (Ha! On verra bien !).
• Passez plus de temps dans les villages. Les événements les plus en vogue cette année semblent avoir été le Voting Village, le Packet Hacking et je suis particulièrement intéressé par l'IoT Hacking Village. L'organisateur de cette dernière a déclaré, lors de la cérémonie de clôture : « Nous tenons à remercier le botnet Mirai , pour avoir mis la sécurité de l'IoT au premier plan des préoccupations des gens ! »

Et bien, bravo à vous, et à bientôt au DC26.