Vous êtes sur la page 1sur 28
HERVÉ HERVÉ SCHAUER SCHAUER CONSULTANTS CONSULTANTS Cabinet Cabinet de de Consultants Consultants en en Sécurité

HERVÉHERVÉ SCHAUERSCHAUER CONSULTANTSCONSULTANTS

CabinetCabinet dede ConsultantsConsultants enen SécuritéSécurité InformatiqueInformatique depuisdepuis 19891989 SpécialiséSpécialisé sursur Unix,Unix, Windows,Windows, TCP/IPTCP/IP etet InternetInternet

OSSIROSSIR CompteCompte rendurendu 27C327C3

BerlinBerlin 27-3027-30 décembredécembre 20102010

-- MardiMardi 88 févrierfévrier 20112011 --

BenjaminBenjamin ArnaultArnault <Benjamin.Arnault@hsc.fr><Benjamin.Arnault@hsc.fr> GuillaumeGuillaume LehembreLehembre <Guillaume.Lehembre@hsc.fr><Guillaume.Lehembre@hsc.fr>

Plan

Présentation de la conférencePlan Faits marquants Résumé des conférences intéressantes 2 / 2 8 Copyright Hervé Schauer Consultants 2011

Faits marquantsPlan Présentation de la conférence Résumé des conférences intéressantes 2 / 2 8 Copyright Hervé Schauer

Résumé des conférences intéressantesPlan Présentation de la conférence Faits marquants 2 / 2 8 Copyright Hervé Schauer Consultants 2011

Faits marquants Résumé des conférences intéressantes 2 / 2 8 Copyright Hervé Schauer Consultants 2011 -

2/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

Résumé des conférences intéressantes 2 / 2 8 Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

27C3

CCC = Chaos Computer Club27C3 27 è m e édition de la conférence depuis 1984 ! « We come in

27 è m e édition de la conférence depuis 1984 ! ème édition de la conférence depuis 1984 !

« We come in peace »27 è m e édition de la conférence depuis 1984 ! Berlin (Alexanderplatz – Berliner Congress

Berlin (Alexanderplatz – Berliner Congress Center) du 27 au 30 décembre 2010de la conférence depuis 1984 ! « We come in peace » Droit d'entrée très raisonnable

Droit d'entrée très raisonnable (70€ pour les 4j)– Berliner Congress Center) du 27 au 30 décembre 2010 Système de pré-vente depuis cette année

Système de pré-vente depuis cette année pour le ticket 4jDroit d'entrée très raisonnable (70€ pour les 4j) Possibilité d'acheter des places à la journée (ou

Possibilité d'acheter des places à la journée (ou à la soirée)Système de pré-vente depuis cette année pour le ticket 4j Conférences de midi à minuit passé

Conférences de midi à minuit passé :-)d'acheter des places à la journée (ou à la soirée) ~100 conférences, ~75% en anglais, programme

~100 conférences, ~75% en anglais, programme évolutif !(ou à la soirée) Conférences de midi à minuit passé :-) 3 salles en simultané +

3 salles en simultané + streaming, DECT et écrans LCD~100 conférences, ~75% en anglais, programme évolutif ! 3 / 2 8 Copyright Hervé Schauer Consultants

3/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

simultané + streaming, DECT et écrans LCD 3 / 2 8 Copyright Hervé Schauer Consultants 2011
simultané + streaming, DECT et écrans LCD 3 / 2 8 Copyright Hervé Schauer Consultants 2011

27C3

Conférence « Underground », plus que Defcon27C3 De nombreuses activités parallèles Crochetage de serrure Construction de robots en Lego Création de

De nombreuses activités parallèles27C3 Conférence « Underground », plus que Defcon Crochetage de serrure Construction de robots en Lego

Crochetage de serrure

Crochetage de serrure

Construction de robots en Lego

Construction de robots en Lego

Création de circuits électroniques (télécommande universelle)

Création de circuits électroniques (télécommande universelle)

Réseau GSM alternatif

Réseau GSM alternatif

Vols d'hélicoptères à 4 hélices

Vols d'hélicoptères à 4 hélices

Impression en 3D

Impression en 3D

Jeux de lumière

Jeux de lumière

universelle) Réseau GSM alternatif Vols d'hélicoptères à 4 hélices Impression en 3D Jeux de lumière

4/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

Impression en 3D Jeux de lumière 4 / 2 8 Copyright Hervé Schauer Consultants 2011 -

Faits marquants 2010

Conférences GSMFaits marquants 2010 Cassage d'une communication voix GSM en direct avec deux téléphones à $10 Les

Cassage d'une communication voix GSM en direct avec deux téléphones à $10Faits marquants 2010 Conférences GSM Les avancées du projet OsmocomBB Exploitation de vulnérabilités au niveau «

Les avancées du projet OsmocomBBvoix GSM en direct avec deux téléphones à $10 Exploitation de vulnérabilités au niveau « baseband

Exploitation de vulnérabilités au niveau « baseband »deux téléphones à $10 Les avancées du projet OsmocomBB Géolocalisation Android RFID SAP « Epic FAIL

Géolocalisation AndroidExploitation de vulnérabilités au niveau « baseband » RFID SAP « Epic FAIL PS3 » 5

RFIDau niveau « baseband » Géolocalisation Android SAP « Epic FAIL PS3 » 5 / 2

SAPau niveau « baseband » Géolocalisation Android RFID « Epic FAIL PS3 » 5 / 2

« Epic FAIL PS3 »au niveau « baseband » Géolocalisation Android RFID SAP 5 / 2 8 Copyright Hervé Schauer

5/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

Android RFID SAP « Epic FAIL PS3 » 5 / 2 8 Copyright Hervé Schauer Consultants

GSM Sniffing Karsten Nohl & Sylvain Munaut

Démonstration en direct de l'interception d'une communication voix sur l'un des réseaux mobile allemandGSM Sniffing Karsten Nohl & Sylvain Munaut Plusieurs étapes Identification de la victime à la cellule

Plusieurs étapescommunication voix sur l'un des réseaux mobile allemand Identification de la victime à la cellule près

Identification de la victime à la cellule prèssur l'un des réseaux mobile allemand Plusieurs étapes Interrogation publique de HLR (  IMSI et

Interrogation publique de HLR (  IMSI et ville) IMSI et ville)

SMS silencieux (  LAC & TMSI) LAC & TMSI)

Utilisation de deux téléphones à $10 modifiés utilisant OsmocomBB (interception d'appel & suivi des sauts de fréquence) IMSI et ville) SMS silencieux (  LAC & TMSI) Chiffrement A5/1 cassé à l'aide

Chiffrement A5/1 cassé à l'aide de « Rainbow Tables » (Kraken)d'appel & suivi des sauts de fréquence) Récupération de la clé de session 6 / 2

Récupération de la clé de sessionA5/1 cassé à l'aide de « Rainbow Tables » (Kraken) 6 / 2 8 Extraction de

6/28

Extraction de la voix !» (Kraken) Récupération de la clé de session 6 / 2 8 Copyright Hervé Schauer Consultants

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

la clé de session 6 / 2 8 Extraction de la voix ! Copyright Hervé Schauer

GSM Sniffing Karsten Nohl & Sylvain Munaut

Principaux problèmes :GSM Sniffing Karsten Nohl & Sylvain Munaut Non changement des clés de sessions avant un appel

Non changement des clés de sessions avant un appel ou un SMS (configuration dépendant de l'opérateur)Karsten Nohl & Sylvain Munaut Principaux problèmes : Bourrage prédictible dans les trames GSM Changements peu

Bourrage prédictible dans les trames GSMou un SMS (configuration dépendant de l'opérateur) Changements peu fréquents des TMSI Interception de données

Changements peu fréquents des TMSIl'opérateur) Bourrage prédictible dans les trames GSM Interception de données GPRS/Edge pas encore possible

Interception de données GPRS/Edge pas encore possible suivredans les trames GSM Changements peu fréquents des TMSI 7 / 2 8 Copyright Hervé Schauer

7/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

à

GPRS/Edge pas encore possible suivre 7 / 2 8 Copyright Hervé Schauer Consultants 2011 - Reproduction

OsmocomBB Harald Welte & Steve Markgraf

OsmocomBB = Open Source Mobile Communication BaseBandOsmocomBB Harald Welte & Steve Markgraf Projet né en Janvier 2010 Actuellement, quatre implémentations fermées sont

Projet né en Janvier 2010OsmocomBB = Open Source Mobile Communication BaseBand Actuellement, quatre implémentations fermées sont

Actuellement, quatre implémentations fermées sont utilisées par les fondeurs de puce « baseband » baseband »

Approche adoptée :sont utilisées par les fondeurs de puce « baseband » Utiliser des puces « baseband »

Utiliser des puces « baseband » largement répandues, bon marché, aussi simple que possible et dont certaines informations ont baseband » largement répandues, bon marché, aussi simple que possible et dont certaines informations ont fuité

Ex : Texas Instrument Calypso, Mediatek MT622xque possible et dont certaines informations ont fuité OsmocomBB implémente les couches 1 à 3, les

OsmocomBB implémente les couches 1 à 3, les pilotes matériels pour la puce « baseband », une GUI simpliste (téléphone & PC) baseband », une GUI simpliste (téléphone & PC)

Couche 1 sur le téléphone, couche 2 & 3 sur le PC« baseband », une GUI simpliste (téléphone & PC) 8 / 2 8 Copyright Hervé Schauer

8/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

le téléphone, couche 2 & 3 sur le PC 8 / 2 8 Copyright Hervé Schauer

OsmocomBB Harald Welte & Steve Markgraf

Ça fonctionne ! Démonstration d'un appel sur l'un des réseaux mobile allemandOsmocomBB Harald Welte & Steve Markgraf Implémentation permettant d'envoyer des trames arbitraires aux

Implémentation permettant d'envoyer des trames arbitraires aux équipements opérateurs (BSC, MSC, SMSC, etc.)d'un appel sur l'un des réseaux mobile allemand Limitations actuelles : pas de mesure de cellules

Limitations actuelles : pas de mesure de cellules adjacentes, pas de handover , pas de trafic données (GPRS) handover, pas de trafic données (GPRS)

« La sécurité TCP/IP devient ennuyeuse autre chose »adjacentes, pas de handover , pas de trafic données (GPRS) il faut passer à 9 /

il faut passer à

9/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

ennuyeuse autre chose » il faut passer à 9 / 2 8 Copyright Hervé Schauer Consultants

SMS-O-Death Nico Golde & Collin Mulliner

SMS : vecteur d'attaque privilégiéSMS-O-Death Nico Golde & Collin Mulliner Injection de SMS pré-encodés au format PDU (OpenBTS) DoS sur

Injection de SMS pré-encodés au format PDU (OpenBTS)Collin Mulliner SMS : vecteur d'attaque privilégié DoS sur la plupart des téléphones testés « Feature

DoS sur la plupart des téléphones testésInjection de SMS pré-encodés au format PDU (OpenBTS) « Feature phone » : Nokia, LG, Samsung,

« Feature phone » : Nokia, LG, Samsung, Motorola, Sony Ericson, Micromax [Inde] Feature phone » : Nokia, LG, Samsung, Motorola, Sony Ericson, Micromax [Inde]

Certains n'acquittent pas à la SMSC les SMS piégés reçus  DoS à répétition !! DoS à répétition !!

Quid d'une attaque de masse entraînant la reconnexion de centaines de milliers de téléphones en simultané ?la SMSC les SMS piégés reçus  DoS à répétition !! Solution : MAJ firmware ordiphones

Solution : MAJ firmware ordiphones ( smartphone ) ? firmware ordiphones (smartphone) ?

ça existait avant l'avènement des

10/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

? ça existait avant l'avènement des 1 0 / 2 8 Copyright Hervé Schauer Consultants 2011

The baseband apocalypse Ralf Philipp Weinmann

Travaux sur les corruptions de mémoire dans les piles des téléphones : possibilité d'exécution de code au niveau des processeurs « baseband » ? baseband » ?

La sécurité logicielle de la partie « baseband » date des années 90. baseband » date des années 90.

Pas de canaris, NX, ASLR, etc.de la partie « baseband » date des années 90. Plusieurs vulnérabilités découvertes par ingénierie

Plusieurs vulnérabilités découvertes par ingénierie inverse au niveau 3 des piles GSM en analysant les firmware ou en extrayant la mémoire firmware ou en extrayant la mémoire

Débordement de tampon dans le défi/réponse GSM/UMTS chez QualcommGSM en analysant les firmware ou en extrayant la mémoire Débordement de tas dans le TMSI

Débordement de tas dans le TMSI chez Infineon (CVE-2010-3838 – exploitable sur iPhone)de tampon dans le défi/réponse GSM/UMTS chez Qualcomm 1 1 / 2 8 Copyright Hervé Schauer

11/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

– exploitable sur iPhone) 1 1 / 2 8 Copyright Hervé Schauer Consultants 2011 - Reproduction

Android geolocalisation using GSM network – Renaud Lifchitz

Géolocalisation sur Android : 2 méthodesAndroid geolocalisation using GSM network – Renaud Lifchitz API Google utilisée par Maps, peu documentée

API Google utilisée par Maps, peu documentéeRenaud Lifchitz Géolocalisation sur Android : 2 méthodes GeolocationAPI utilisée par Google Gears ← la meilleure

GeolocationAPI utilisée par Google Gears ← la meilleure: 2 méthodes API Google utilisée par Maps, peu documentée Accès à la longitude, latitude et

Accès à la longitude, latitude et adresse complèteGeolocationAPI utilisée par Google Gears ← la meilleure Informations intéressantes Appels : numéros et durée SMS

Informations intéressantesAccès à la longitude, latitude et adresse complète Appels : numéros et durée SMS : format

Appels : numéros et duréelatitude et adresse complète Informations intéressantes SMS : format PDU :-) Moyens pour accéder à

SMS : format PDU :-)Informations intéressantes Appels : numéros et durée Moyens pour accéder à l'information 1 2 / 2

Moyens pour accéder à l'informationAppels : numéros et durée SMS : format PDU :-) 1 2 / 2 8 Permissions

12/28

Permissions applicatives:-) Moyens pour accéder à l'information 1 2 / 2 8 Lecture des journaux Android /dev/log/system

Lecture des journaux Androidà l'information 1 2 / 2 8 Permissions applicatives /dev/log/system /dev/log/radio (position) Copyright Hervé

/dev/log/system2 8 Permissions applicatives Lecture des journaux Android /dev/log/radio (position) Copyright Hervé Schauer

/dev/log/radio (position)applicatives Lecture des journaux Android /dev/log/system Copyright Hervé Schauer Consultants 2011 - Reproduction

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

Android /dev/log/system /dev/log/radio (position) Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

Android geolocalisation using GSM network – Renaud Lifchitz

Scénarios d'attaqueAndroid geolocalisation using GSM network – Renaud Lifchitz Accès physique, utilisation du mode de debug USB

Accès physique, utilisation du mode de debug USB et lecture des logsGSM network – Renaud Lifchitz Scénarios d'attaque Installer une application Disposant des bons privilèges

Installer une applicationutilisation du mode de debug USB et lecture des logs Disposant des bons privilèges ACCESS_COARSE_LOCATION ou

Disposant des bons privilègesde debug USB et lecture des logs Installer une application ACCESS_COARSE_LOCATION ou ACCESS_FINE_LOCATION + INTERNET

Installer une application Disposant des bons privilèges ACCESS_COARSE_LOCATION ou ACCESS_FINE_LOCATION + INTERNET

ACCESS_COARSE_LOCATION ou ACCESS_FINE_LOCATION + INTERNET Envoi direct de la position

READ_LOGS + INTERNET Copie des données de /dev/log/radio vers /dev/log/system Crash de l'application puis envoi du rapport au développeur :-)

puis envoi du rapport au développeur :-) Qui utilise l'Android NDK (Native Developement Kit)
puis envoi du rapport au développeur :-) Qui utilise l'Android NDK (Native Developement Kit)
puis envoi du rapport au développeur :-) Qui utilise l'Android NDK (Native Developement Kit)

Qui utilise l'Android NDK (Native Developement Kit)puis envoi du rapport au développeur :-) Appel de fonctions natives (C/C++) qui s'exécutent hors

Appel de fonctions natives (C/C++) qui s'exécutent hors de la sandbox sandbox

Annonce une application permettant de dresser la carte Gmaps du parcours du téléphone avec appels et SMSnatives (C/C++) qui s'exécutent hors de la sandbox 1 3 / 2 8 Copyright Hervé Schauer

13/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

du téléphone avec appels et SMS 1 3 / 2 8 Copyright Hervé Schauer Consultants 2011

Is the SSLiverse a safe place ? Peter Eckerslay & Jesse Burns

Test de tous les sites IPv4 accessibles sur le port 443/TCPSSLiverse a safe place ? Peter Eckerslay & Jesse Burns Cartographie de tous les CA 52

Cartographie de tous les CATest de tous les sites IPv4 accessibles sur le port 443/TCP 52 pays Plusieurs problèmes Clés

52 paysaccessibles sur le port 443/TCP Cartographie de tous les CA Plusieurs problèmes Clés erronées (30000) Mauvaises

Plusieurs problèmessur le port 443/TCP Cartographie de tous les CA 52 pays Clés erronées (30000) Mauvaises signatures

Clés erronées (30000)

Clés erronées (30000)

Mauvaises signatures (500 dont diplomatie.be)

Mauvaises signatures (500 dont diplomatie.be)

Certificat pour localhost, mail ou des adresses de réseaux internes

Certificat pour localhost, mail ou des adresses de réseaux internes

Extended Validation non respecté

Extended Validation non respecté

dont diplomatie.be) Certificat pour localhost, mail ou des adresses de réseaux internes Extended Validation non respecté

Prolifération : 252 sous-CA pour Deutsche Telecom !de réseaux internes Extended Validation non respecté Firefox et IE gardent en cache des CA intermédiaires

Firefox et IE gardent en cache des CA intermédiaires !Prolifération : 252 sous-CA pour Deutsche Telecom ! Base de données (12Go) et cartographie des CA

Base de données (12Go) et cartographie des CA disponibles! Firefox et IE gardent en cache des CA intermédiaires ! 1 4 / 2 8

14/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

(12Go) et cartographie des CA disponibles 1 4 / 2 8 Copyright Hervé Schauer Consultants 2011

Data Recovery Techniques Peter Franck

Pré-requis à la récupération de donnéesData Recovery Techniques Peter Franck Atmosphère saine, microscopes, beaucoup d'ordinateurs, de disques et de câbles

Atmosphère saine, microscopes, beaucoup d'ordinateurs, de disques et de câblesPeter Franck Pré-requis à la récupération de données Difficultés Dégâts physiques, corruption des parties

Difficultésbeaucoup d'ordinateurs, de disques et de câbles Dégâts physiques, corruption des parties logicielles,

Dégâts physiques, corruption des parties logicielles, défauts du contrôleurd'ordinateurs, de disques et de câbles Difficultés En fonction de l'ampleur des dommages, Matériel

En fonction de l'ampleur des dommages,corruption des parties logicielles, défauts du contrôleur Matériel spécifique peut être nécessaire En dernier

Matériel spécifique peut être nécessairedu contrôleur En fonction de l'ampleur des dommages, En dernier recours l'imagerie à force atomique Accés

En dernier recours l'imagerie à force atomiquedes dommages, Matériel spécifique peut être nécessaire Accés au firmware du contrôleur d'un disque

Accés au firmware du contrôleur d'un disque firmware du contrôleur d'un disque

Connexion des câbles aux PIN utilisées pour définir l'état du disqueatomique Accés au firmware du contrôleur d'un disque Invite de commande permet alors de lire/écrire des

Invite de commande permet alors de lire/écrire des informationsaux PIN utilisées pour définir l'état du disque 15/28 Ex : Lire les températures ou modifier

15/28

commande permet alors de lire/écrire des informations 15/28 Ex : Lire les températures ou modifier le

Ex : Lire les températures ou modifier le numéro de série !

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

les températures ou modifier le numéro de série ! Copyright Hervé Schauer Consultants 2011 - Reproduction

Frozen Cache Jürgen Pabel

La RAM contient des données sensibles (clés cryptographiques, mots de passe, etc.)Frozen Cache Jürgen Pabel Récupération d'informations pendant quelques minutes (Cold Boot Attack) Idée : stocker

Récupération d'informations pendant quelques minutes (Cold Boot Attack)sensibles (clés cryptographiques, mots de passe, etc.) Idée : stocker ces informations dans le cache du

Idée : stocker ces informations dans le cache du processeurpendant quelques minutes (Cold Boot Attack) Registre CR0 (x86) contrôle la mise en cache Étapes :

Registre CR0 (x86) contrôle la mise en cacheIdée : stocker ces informations dans le cache du processeur Étapes : Inscrire les données sensibles

Étapes : Inscrire les données sensibles dans les registres du processeur, effacer les données en RAM, geler le cache CPU, écrire les données des registres dans le cachedu processeur Registre CR0 (x86) contrôle la mise en cache Protection à activer lors d'évènements précis

Protection à activer lors d'évènements précis (mise en veille, verrouillage de l'écran) car les performances du système sans cache processeur sont assez catastrophiques !cache CPU, écrire les données des registres dans le cache 1 6 / 2 8 Copyright

16/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

processeur sont assez catastrophiques ! 1 6 / 2 8 Copyright Hervé Schauer Consultants 2011 -

The Hidden Nemesis Ralf Philipp Weinmann

Attaque physique sur des ordinateurs portablesThe Hidden Nemesis Ralf Philipp Weinmann via le contrôleur embarqué (contrôleur de clavier amélioré) activé dès

via le contrôleur embarqué (contrôleur de clavier amélioré)Weinmann Attaque physique sur des ordinateurs portables activé dès qu'un poste est alimenté, même si

activé dès qu'un poste est alimenté, même si celui-ci est éteint !le contrôleur embarqué (contrôleur de clavier amélioré) Accès physique court et dépôt d'une porte dérobée

Accès physique court et dépôt d'une porte dérobéeposte est alimenté, même si celui-ci est éteint ! Porte dérobée permettra d'enregistrer des données

Porte dérobée permettra! Accès physique court et dépôt d'une porte dérobée d'enregistrer des données dans la mémoire de

d'enregistrer des données dans la mémoiredépôt d'une porte dérobée Porte dérobée permettra de les communiquer par CPU via l'ACPI, LED ou

de les communiquer parpermettra d'enregistrer des données dans la mémoire CPU via l'ACPI, LED ou Lampe veilleuse qui dispose

CPU via l'ACPI, LED oudes données dans la mémoire de les communiquer par Lampe veilleuse qui dispose d'une ligne à

Lampe veilleuse qui dispose d'une ligne à 10Mhz et ainsi peut servir d'antenne !mémoire de les communiquer par CPU via l'ACPI, LED ou Pour ce protéger d'une modification de

Pour ce protéger d'une modification de firmware firmware

base de donnée fiable des bonnes versions et de leurs empreintes! Pour ce protéger d'une modification de firmware 1 7 / 2 8 Copyright Hervé Schauer

17/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

bonnes versions et de leurs empreintes 1 7 / 2 8 Copyright Hervé Schauer Consultants 2011

Rootkits and Troyans on your SAP landscape – Ertunga Arsal

Rootkits and Troyans on your SAP landscape – Ertunga Arsal Panorama des attaques Enregistrement d'un serveur

Panorama des attaques

Enregistrement d'un serveur au niveau du répartiteur de charge :your SAP landscape – Ertunga Arsal Panorama des attaques MiTM Exécution de commande distante sur système

MiTM

Exécution de commande distante sur système sous-jacent viad'un serveur au niveau du répartiteur de charge : MiTM RFC directement SDK et programme de

RFC directementExécution de commande distante sur système sous-jacent via SDK et programme de test startrfc Commandes intéressantes

SDK et programme de test startrfcdistante sur système sous-jacent via RFC directement Commandes intéressantes Lectures de tables Création ou

Commandes intéressantesvia RFC directement SDK et programme de test startrfc Lectures de tables Création ou modification de

Lectures de tablesSDK et programme de test startrfc Commandes intéressantes Création ou modification de la table des utilisateurs

Création ou modification de la table des utilisateursde test startrfc Commandes intéressantes Lectures de tables Exécution de code ABAP Récupération de la clé

Exécution de code ABAPCréation ou modification de la table des utilisateurs Récupération de la clé privée utilisée pour créer

Récupération de la clé privée utilisée pour créer des tickets SSOde la table des utilisateurs Exécution de code ABAP Injection de code ABAP et de requêtes

Injection de code ABAP et de requêtes SQLde la clé privée utilisée pour créer des tickets SSO Compromission du client via SAPGUI 1

Compromission du client via SAPGUIdes tickets SSO Injection de code ABAP et de requêtes SQL 1 8 / 2 8

18/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

SQL Compromission du client via SAPGUI 1 8 / 2 8 Copyright Hervé Schauer Consultants 2011

Distributed FPGA Number for the masses – Felix Domke

Objectif : Casser le chiffrement DES des firmware utilisés sur la « Triforce Arcade System Board » (SEGA) à moindre coût en firmware utilisés sur la « Triforce Arcade System Board » (SEGA) à moindre coût en moins d'une semaine.

Coût :Board » (SEGA) à moindre coût en moins d'une semaine. +300 processeurs Intel X5460 à 3,16Ghz

+300 processeurs Intel X5460 à 3,16Ghz : ~$150k(SEGA) à moindre coût en moins d'une semaine. Coût : +300 PS3 : ~$93k + dev

+300 PS3 : ~$93k + devCoût : +300 processeurs Intel X5460 à 3,16Ghz : ~$150k 150GPU : ~$45k 20 groupes de

150GPU : ~$45kIntel X5460 à 3,16Ghz : ~$150k +300 PS3 : ~$93k + dev 20 groupes de 3

20 groupes de 3 FPGA Xilinx : ~1k d'occasion sur Ebay :-) + devà 3,16Ghz : ~$150k +300 PS3 : ~$93k + dev 150GPU : ~$45k Outil Crunchy permettant

Outil Crunchy permettant de distribuer les tâches sur les FPGA.de 3 FPGA Xilinx : ~1k d'occasion sur Ebay :-) + dev 1 9 / 2

19/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

de distribuer les tâches sur les FPGA. 1 9 / 2 8 Copyright Hervé Schauer Consultants

Analysing a modern cryptographic RFID system – Milosh Meriac & Henrick Plötz

HID iClassRFID system – Milosh Meriac & Henrick Plötz Dans le mode de sécurité standard : deux

Dans le mode de sécurité standard : deux clés partagéessystem – Milosh Meriac & Henrick Plötz HID iClass une pour l'authentification (DES) une pour le

une pour l'authentification (DES)Dans le mode de sécurité standard : deux clés partagées une pour le chiffrement (3DES) Achat

une pour le chiffrement (3DES)deux clés partagées une pour l'authentification (DES) Achat d'un lecteur RW400 Découverte d'une interface

Achat d'un lecteur RW400l'authentification (DES) une pour le chiffrement (3DES) Découverte d'une interface de programmation PIC sur un

Découverte d'une interface de programmation PIC sur un connecteur 6 PINune pour le chiffrement (3DES) Achat d'un lecteur RW400 Contournement du dispositif anti-copie  extraction des

Contournement du dispositif anti-copie  extraction des mémoires FLASH et EEPROM. extraction des mémoires FLASH et EEPROM.

Découverte des deux clésanti-copie  extraction des mémoires FLASH et EEPROM. RFID : encodage de la norme ISO15693 avec

RFID : encodage de la norme ISO15693 avec des commandes spécifiques (lecture, écriture, authentification, etc.) qui ont pu être découvertesdes mémoires FLASH et EEPROM. Découverte des deux clés Copyright Hervé Schauer Consultants 2011 - Reproduction

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

etc.) qui ont pu être découvertes Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite 2 0

20/28

Reverse Engineering a real-world RFID payment system - Harald Welte

Système EasyCard == NXP MiFAREEngineering a real-world RFID payment system - Harald Welte Utilisé pour les transports et le paiement

Utilisé pour les transports et le paiement en magasins (MAX 240€)system - Harald Welte Système EasyCard == NXP MiFARE Faille Stockage du crédit de l'utilisateur dans

Faillepour les transports et le paiement en magasins (MAX 240€) Stockage du crédit de l'utilisateur dans

Stockage du crédit de l'utilisateur dans la cartetransports et le paiement en magasins (MAX 240€) Faille Démarche Récupération des clés (méthode Dark Side

DémarcheStockage du crédit de l'utilisateur dans la carte Récupération des clés (méthode Dark Side avec kit

Récupération des clés (méthode Dark Side avec kit MFCUK)du crédit de l'utilisateur dans la carte Démarche Réalisation de nombreuses transactions légitimes

Réalisation de nombreuses transactions légitimesRécupération des clés (méthode Dark Side avec kit MFCUK) Identification de la signification des champs de

Identification de la signification des champs de la carteMFCUK) Réalisation de nombreuses transactions légitimes Modification du contenu Réduire le crédit Augmenter le

Modification du contenuIdentification de la signification des champs de la carte Réduire le crédit Augmenter le crédit Passer

Réduire le créditsignification des champs de la carte Modification du contenu Augmenter le crédit Passer outre la limite

Augmenter le créditde la carte Modification du contenu Réduire le crédit Passer outre la limite journalière de dépense

Passer outre la limite journalière de dépensedu contenu Réduire le crédit Augmenter le crédit 2 1 / 2 8 Copyright Hervé Schauer

21/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

outre la limite journalière de dépense 2 1 / 2 8 Copyright Hervé Schauer Consultants 2011

Embedded reverse engineering tools & techniques – N. Fain & V. Vygonets

Introduction didactique au hacking matérieltools & techniques – N. Fain & V. Vygonets Interface série : analyser les tensions sur

Interface série : analyser les tensions sur chaque PINV. Vygonets Introduction didactique au hacking matériel Outil : RS232Enum (basé sur Arduino) Interface JTAG :

Interface série : analyser les tensions sur chaque PIN Outil : RS232Enum (basé sur Arduino) Interface

Outil : RS232Enum (basé sur Arduino)

Interface JTAG : proche de résistance de tirage de 4.7ksur chaque PIN Outil : RS232Enum (basé sur Arduino) Outil : JTAGEnum (basé sur Arduino) Extraction

Outil : JTAGEnum (basé sur Arduino)Interface JTAG : proche de résistance de tirage de 4.7k Extraction des informations directement d'une puce

Extraction des informations directement d'une pucede tirage de 4.7k Outil : JTAGEnum (basé sur Arduino) Avec un peu de documentation Découvrir

Extraction des informations directement d'une puce Avec un peu de documentation Découvrir la logique derrière

Avec un peu de documentation

Découvrir la logique derrière les circuits imprimésdirectement d'une puce Avec un peu de documentation 2 2 / 2 8 Outil DePCB basé

Découvrir la logique derrière les circuits imprimés 2 2 / 2 8 Outil DePCB basé sur

22/28

Outil DePCB basé sur DeGate

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

imprimés 2 2 / 2 8 Outil DePCB basé sur DeGate Copyright Hervé Schauer Consultants 2011

OMG WTF PDF Julia Wolf

Adobe Reader = 15 millions de lignes de codeOMG WTF PDF Julia Wolf PDF = format normalisé par une norme ISO Mais aucune méthode

PDF = format normalisé par une norme ISOPDF Julia Wolf Adobe Reader = 15 millions de lignes de code Mais aucune méthode de

Mais aucune méthode de validation du format !de lignes de code PDF = format normalisé par une norme ISO Nombreuses fonctionnalités OpenGL, ADBC,

Nombreuses fonctionnalitésune norme ISO Mais aucune méthode de validation du format ! OpenGL, ADBC, exécution flash, jouer

OpenGL, ADBC, exécution flash, jouer des sons ou des vidéos et exécuter du javascriptde validation du format ! Nombreuses fonctionnalités Exécution de code javascript dans le navigateur à partir

Exécution de code javascript dans le navigateur à partir du javascript du PDFjouer des sons ou des vidéos et exécuter du javascript Ensemble des références présentes dans un

Ensemble des références présentes dans un ficher PDF ne sont pas évaluées à l'analyse du fichier !javascript dans le navigateur à partir du javascript du PDF Idée : inclure du code malveillant

Idée : inclure du code malveillant dans un fichuer PDFPDF ne sont pas évaluées à l'analyse du fichier ! 2 3 / 2 8 Copyright

23/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

du code malveillant dans un fichuer PDF 2 3 / 2 8 Copyright Hervé Schauer Consultants

OMG WTF PDF Julia Wolf

FaillesOMG WTF PDF Julia Wolf Aucune règle ne définit qui va prévaloir définition de la longueur

Aucune règle ne définit qui va prévaloirOMG WTF PDF Julia Wolf Failles définition de la longueur délimiteurs 1024 premiers octets peuvent être

définition de la longueurWolf Failles Aucune règle ne définit qui va prévaloir délimiteurs 1024 premiers octets peuvent être de

délimiteursne définit qui va prévaloir définition de la longueur 1024 premiers octets peuvent être de tout

1024 premiers octets peuvent être de tout typequi va prévaloir définition de la longueur délimiteurs gif, jpeg, zip, exe PDF peuvent facilement s'inclure

gif, jpeg, zip, exedélimiteurs 1024 premiers octets peuvent être de tout type PDF peuvent facilement s'inclure dans un fichier

PDF peuvent facilement s'inclure dans un fichier GIF ou HTMLoctets peuvent être de tout type gif, jpeg, zip, exe Résultat d'évasion vis à vis des

Résultat d'évasion vis à vis des solutions antiviruspeuvent facilement s'inclure dans un fichier GIF ou HTML Solutions antivirus ne sont pas encore matures

Solutions antivirus ne sont pas encore matures pour détecter tous les fichiers PDF forgésRésultat d'évasion vis à vis des solutions antivirus 2 4 / 2 8 Copyright Hervé Schauer

24/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

détecter tous les fichiers PDF forgés 2 4 / 2 8 Copyright Hervé Schauer Consultants 2011

Sony cat iz Happy !

Sony cat iz Happy ! 2 5 / 2 8 Copyright Hervé Schauer Consultants 2011 -

25/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

Sony cat iz Happy ! 2 5 / 2 8 Copyright Hervé Schauer Consultants 2011 -

Console Hacking 2010 – PS3 Epic Fail

Fail0verflow

Objectif : exécuter du code et installer LinuxConsole Hacking 2010 – PS3 Epic Fail Fail0verflow Annonce du système d'exploitation AbestOS Se charge en

Annonce du système d'exploitation AbestOSFail0verflow Objectif : exécuter du code et installer Linux Se charge en mémoire à la place

Se charge en mémoire à la place du GameOSLinux Annonce du système d'exploitation AbestOS Faille critique == EPIC FAIL Dans l'utilisation des

Faille critique == EPIC FAILAbestOS Se charge en mémoire à la place du GameOS Dans l'utilisation des courbes elliptiques pour

Dans l'utilisation des courbes elliptiques pour la signature des programmesmémoire à la place du GameOS Faille critique == EPIC FAIL Des paramètres sont publics, 2

Des paramètres sont publics, 2 ne doivent pas l'être m et k (la clé privée)des courbes elliptiques pour la signature des programmes m est doit être une valeur aléatoire à

m est doit être une valeur aléatoire à chaque signature2 ne doivent pas l'être m et k (la clé privée) Sony n'a pas utilisé /dev/random

Sony n'a pas utilisé /dev/random mais une constante !m est doit être une valeur aléatoire à chaque signature Fail0verflow a eu ainsi accès à

Fail0verflow a eu ainsi accès à la clé privée k permettant de signer tout programmeSony n'a pas utilisé /dev/random mais une constante ! Copyright Hervé Schauer Consultants 2011 - Reproduction

à la clé privée k permettant de signer tout programme Copyright Hervé Schauer Consultants 2011 -

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

k permettant de signer tout programme Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite 2 6

26/28

Console Hacking 2010 – PS3 Epic Fail

Fail0verflow

Console Hacking 2010 – PS3 Epic Fail Fail0verflow 2 7 / 2 8 Copyright Hervé Schauer

27/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

2010 – PS3 Epic Fail Fail0verflow 2 7 / 2 8 Copyright Hervé Schauer Consultants 2011

Conclusion

Conférences très intéressantesConclusion Comme d'habitude, du très bon et du très mauvais Bonne ambiance Vidéos (MP4) et/ou audio

Conclusion Conférences très intéressantes Comme d'habitude, du très bon et du très mauvais Bonne ambiance Vidéos

Comme d'habitude, du très bon et du très mauvais

Bonne ambianceComme d'habitude, du très bon et du très mauvais Vidéos (MP4) et/ou audio (MP3/OGG) disponibles

Vidéos (MP4) et/ou audio (MP3/OGG) disponiblesdu très bon et du très mauvais Bonne ambiance

Présentations et documentshttp://events.ccc.de/congress/2010/Fahrplan/ 2 8 / 2 8

28/28

Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite

2 8 / 2 8 Copyright Hervé Schauer Consultants 2011 - Reproduction Interdite