Skip to main content

Microsoft BlueHat Security Briefings : Sessions et entretiens - Automne 2007

L'événement Microsoft BlueHat Security Briefings de cet automne s'est tenu les 27 et 28 septembre 2007. Écoutez les entretiens avec les présentateurs sur podcast et consultez les descriptions des sessions et les biographies des intervenants ci-dessous.

Sur cette page

 

Cercle de vie de Microsoft : du correctif au code malveillant

Description de la sessionIntervenant
Cet exposé présente une procédure simple et reproductible permettant de transformer les publications de correctifs de Microsoft du mardi en code malveillant pouvant servir de validation technique en seulement quelques heures. Nous examinerons chaque étape, en commençant par le recueil d'informations et le désassemblage de correctif, et nous verrons comment la connaissance des systèmes et des pratiques de correction alliée à quelques connaissances de base en rétro-ingénierie peuvent contribuer à la découverte rapide de vulnérabilités. Une fois les conditions de déclenchement découvertes, nous verrons comment les pirates informatiques choisissent les vulnérabilités qu'ils vont exploiter, et la rapidité avec laquelle ils peuvent le faire grâce à la plate-forme Metasploit.

Lurene Grenier
Sourcefire

Lurene Grenier est chercheuse en sécurité senior chez Sourcefire et travaille actuellement sur la plate-forme Metasploit 3, principalement dans les domaines de codage de shellcode et de développement de code malveillant exploitant des failles de sécurité. Elle a publié des articles sur toute une variété de sujets, notamment l'audit de code C, les désassembleurs frustrants et une première analyse de la faille non corrigée liée à l'épuisement de la mémoire de Microsoft RPC. Dans le cadre de ses activités quotidiennes, elle s'intéresse essentiellement aux produits Microsoft, à la rétro-ingénierie et aux binaires d'espace de noyau à des fins de recherche et de développement en relation avec les vulnérabilités. Sa recherche actuelle vise à réunir les fuzzers et les débogueurs pour automatiser le processus de développement de code malveillant exploitant des failles de sécurité.

Écouter le podcast

Écouter l'entretien avec Lurene Grenier sur podcast.

 

Opérations spéciales 2007 : attaques de reliaison DNS

Description de la sessionIntervenant
Une partie de la conception du Web permet aux navigateurs de recueillir et d'afficher des ressources au-delà des limites de sécurité. Cette possibilité comporte plusieurs problèmes, mais ils ont été historiquement atténués par ce que l'on appelle la Stratégie de même origine (Same Origin Policy), qui tente de limiter les scripts et autres formes d'accès amélioré aux sites portant le même nom. Toutefois, les scripts ne sont pas acquis à partir des noms ; ils proviennent des adresses. Comme l'on fait remarquer RSnake de ha.ckers.org et Dan Boneh de l'université de Stanford, les attaques dites de « reliaison DNS » peuvent rompre le lien entre les noms de confiance et les adresses auxquelles ils étaient reliés, ce qui permet à un attaquant de créer une connectivité par proxy à partir d'un client. Je démontrerai une extension du travail de RSnake et Boneh qui, par conception, accorde une connectivité IP complète à tout attaquant qui peut convaincre un navigateur Web d'afficher sa page.

Dan Kaminsky
IO Active

Dan Kaminsky est directeur des tests de pénétration pour l'entreprise IOActive, située à Seattle, où il apprécie énormément d'être entouré de subalternes qui ne cherchent qu'à lui plaire. Ayant auparavant travaillé chez Cisco et d'Avaya, Dan était récemment l'un des « pirates Blue Hat » chargés de l'audit des systèmes d'exploitation Vista client et Windows Server 2008 de Microsoft. Il se spécialise dans les balayages de réseaux de très grande envergure, les astuces de paquets et les bogues de conception.

Écouter le podcast

Écouter l'entretien avec Dan Kaminsky sur podcast.

 

Le fuzzing, c'est nul !

Description de la sessionIntervenant

Admettons-le : le fuzzing, c'est nul. Même les suites de test à données aléatoires (fuzzing) commerciales les plus chères laissent à désirer au niveau de l'automatisation. C'est peut-être parce que même les modules de test à données aléatoires les plus rudimentaires sont remarquablement efficaces. Toutefois, si les tests aléatoires sont pour vous un véritable processus scientifique, vous avez probablement été déçu... Jusqu'à présent !

Cet exposé est consacré à Sulley, une plate-forme de test à données aléatoires Open Source riche en fonctionnalités, extensible et disponible gratuitement publiée en août 2007. Les modules de test à données aléatoires (fuzzers) modernes se concentrent généralement sur la seule génération de données. Sulley va bien au-delà. Sulley surveille le réseau et gère les enregistrements de manière méthodique. Sulley maintient et surveille l'intégrité de la cible, et est capable de restaurer un état correct à l'aide de plusieurs méthodes. Sulley détecte, suit et classe les erreurs détectées. Sulley peut effectuer des tests à données aléatoires en parallèle, ce qui permet d'augmenter considérablement leur rapidité. Sulley peut déterminer automatiquement la séquence de scénarios de tests qui déclenche des erreurs. Sulley fait tout cela, et bien plus encore, automatiquement et sans assistance.

Pedram Amini
Tipping Point

Pedram Amini dirige actuellement l'équipe de d'évaluation de la sécurité des produits et de recherche sur la sécurité chez TippingPoint, une division de 3Com. Avant de rejoindre TippingPoint, il était directeur adjoint et l'un des membres fondateurs d'iDEFENSE Labs. Malgré ses titres ronflants, il est avant tout technicien en rétroconception et développe des outils d'automatisation, des plug-ins et des scripts. Ses projets les plus récents (qu'il appelle également ses « bébés ») incluent l'infrastructure de rétroconception PaiMei et la plate-forme de test à données aléatoires Sulley.

Parallèlement à sa passion pour ce domaine, il a lancé OpenRCE.org, un site Web de communauté dédié à l'art et à la science de la rétroconception. Il est intervenu lors de nombreuses conférences telles que DefCon, RECon et ToorCon et a donné de nombreux cours de rétroconception qui ont connu un énorme succès. Pedram possède une licence en informatique de l'université de Tulane, trouve que son supérieur direct est plutôt amusant et a récemment coécrit un livre sur les tests à données aléatoires intitulé « Fuzzing: Brute Force Vulnerability Discovery ».

Écouter le podcast

Écouter l'entretien avec Pedram Amini sur podcast.


Aaron Portnoy
Tipping Point

Aaron Portnoy, alias Deft, est chercheur au sein du groupe de recherche sur la sécurité de TippingPoint. Il est responsable de la rétroconception, de la découverte de vulnérabilités et du développement d'outils. Aaron a découvert des vulnérabilités critiques affectant un large éventail de fournisseurs d'entreprise, notamment : RSA, Citrix, Symantec, Hewlett-Packard, IBM, et bien d'autres. En outre, Aaron a contribué et fourni du code à OpenRCE, PaiMei et Sulley, et a collaboré à de nombreux livres blancs et ouvrages divers.

 

Compromis et pièges de sécurité dans les plates-formes virtualisées

Description de la sessionIntervenant
Suivant la personne interrogée, la virtualisation de plate-forme (à la manière de Virtual Server, VMware ou Xen) est considérée comme utile, économique, sexy ou les trois à la fois. Il n'est donc pas surprenant que tout le monde migre vers les environnements virtualisés ; ce faisant, toutefois, quelqu'un a-t-il vraiment pensé à la sécurité ? Les ordinateurs virtuels invités sont-ils bien compartimentés et séparés les uns des autres ? Au-delà des vulnérabilités ponctuelles isolées (et elles existent !), cet exposé explorera divers problèmes souvent ignorés et liés au fait que la virtualisation actuelle et les implémentations du partitionnement ne sont pas aussi rigides et sécurisées qu'elles devraient l'être. Dans certains cas, le passage aux plates-formes virtualisées nous expose à de nombreuses insécurités que l'on considérait comme résolues ou atténuées depuis longtemps dans les composants non virtuels équivalents. Cet exposé abordera plusieurs produits de virtualisation et se concentrera sur des domaines de préoccupation simples et pratiques (problèmes de réseau, abus de fonctionnalités de produits, etc.). Des connaissances de base dans le domaine de la mise en réseau Ethernet sont recommandées pour cette discussion ; les sujets sur le matériel de bas niveau liés à la virtualisation (capacités/abus de processeur, gestion de la mémoire) ne seront pas abordés.

Jeff Forristal
SPI Dynamics

Jeff Forristal est ingénieur en recherche et développement pour SPI Dynamics (désormais appelé HP). Avant de rejoindre SPI Dynamics, Jeff a travaillé pendant 7 ans chez Neohapsis, une entreprise de services de sécurité établie à Chicago. Durant ses années chez Neohapsis, Jeff a cassé tout ce qui lui est tombé entre les mains, notamment du matériel de sécurité sans fil et USB, des produits de gestion de la sécurité/SSO, des sites Web de clients et des applications propriétaires, etc. Il est également un auteur accompli et a écrit plusieurs articles pour les magazines Network Computing et Secure Enterprise sur bon nombre de sujets tels que la sécurité physique, les produits d'analyse statiques de code source et les scanneurs de vulnérabilités sur réseau ; il a également contribué à l'écriture de plusieurs chapitres du livre « Hack Proofing Your Web Applications ».

Écouter le podcast

Écouter l'entretien avec Jeff Forristal sur podcast.

 

Subversion du noyau Windows CE pour le plaisir et le profit

Description de la sessionIntervenant
Au cours de cet exposé, l'auteur présente diverses façons de corrompre le noyau de Windows CE pour cacher certains objets à l'utilisateur. L'architecture et les mécanismes internes du noyau Windows CE sont abordés en premier, avec une attention particulière portée sur la gestion de la mémoire, la gestion des processus, le traitement des appels système et la sécurité. L'auteur explique ensuite les méthodes employées pour masquer des processus, des fichiers et des clés de Registre en utilisant le raccordement d'appels système basés et non basés sur les descripteurs, les manipulations directes d'objets de noyau, l'injection de code de filtrage dans divers processus serveur et des mesures servant à maintenir l'état de chargement même après un redémarrage à froid. Un rootkit prototype entièrement fonctionnel est présenté.

Petr Matousek
Coseinc

Petr Matousek est chercheur en sécurité et s'intéresse à la sécurité informatique en général. Il se spécialise dans les rootkits, les virus, les vers et autres logiciels malveillants qui affectent les plates-formes Microsoft. Il possède une grande expérience dans la programmation de bas niveau et a créé plusieurs technologies de sécurité de validation technique. Récemment, son intérêt s'est porté sur la sécurité des périphériques mobiles.

Écouter le podcast

Écouter l'entretien avec Petr Matousek sur podcast.

 

Sécurité mobile et intégrée : l'éléphant sous le tapis

Description de la sessionIntervenant
Ollie Whitehouse de Symantec présentera une description objective de la sécurité dans Windows Mobile 5 et 6 et expliquera en quoi elle lui semble dérisoire comparée à la sécurité d'autres produits Microsoft en termes d'investissement et de divulgation. Le but de cette présentation est d'articuler les types de vecteurs et d'attaques qui sont à la fois courants et uniques aux plates-formes mobiles, ainsi que les problèmes dont l'auteur a déjà discuté avec Microsoft. La présentation abordera également une partie des résultats de la recherche avancée sur les rootkits effectuée par Ollie pour exposer les conséquences d'une attaque ciblée sur Windows Mobile.

Ollie Whitehouse
Symantec

Ollie Whitehouse a travaillé dans la sécurité des informations en tant que consultant et chercheur. Il a, entre autres, été employé par des entreprises dans divers secteurs allant des services financiers aux télécommunications. Ollie Whitehouse a été à l'origine de la création de l'entreprise de sécurité Delphis Consulting en 1999 alors qu'il était consultant. Il a rejoint @stake Inc en 2000 en tant que directeur-architecte de sécurité avant de devenir directeur technique européen en 2004. Après l'acquisition d'@stake Inc par Symantec en 2004, il a continué de remplir la fonction de directeur technique pour sa division Services professionnels de Londres jusqu'en 2005. Vers le milieu de l'année 2005, il est devenu chercheur à plein temps chez Symantec Research Labs, dans la filière de recherche gouvernementale. Il est ensuite passé à la division Response de Symantec et a intégré l'équipe Advanced Threats Research, spécialisée dans les plates-formes mobiles et les technologies apparentées.

Ollie Whitehouse a précédemment publié les résultats de sa recherche sur la sécurité des réseaux de télécommunication mobiles, des périphériques mobiles et de Bluetooth. Il a en outre découvert plusieurs failles de sécurité dans toute une série d'applications serveur et de bureau. Ses précédentes recherches l'ont conduit à participer à des conférences telles que Blackhat, CanSecWest, RuxCON, UNCON et Chaos Communication Camp, entre autres.

Écouter le podcast

Écouter l'entretien avec Ollie Whitehouse sur podcast.

 

WABISABILABI : le projet Exploit Marketplace

Description de la sessionIntervenant
Trois jours après son lancement, le projet Wabisabilabi a attiré l'attention du monde entier. La presse a couvert le projet sous tous ses aspects, bons ou mauvais, ce qui a généré une énorme quantité de threads de commentaires sur les forums spécialisés. Le projet a attiré l'attention de la presse financière, notamment The Economist et Forbes. Cet exposé vous permet d'entendre le directeur de la stratégie de WABISABILABI évoquer la philosophie du projet, du modèle métier et des jalons, ainsi que des défis que le projet doit relever à l'avenir.

Roberto Preatoni
Directeur de la stratégie, WabiSabiLabi

Roberto Preatoni (alias Sys64738), À 40 ans, il est le directeur de la stratégie de WabiSabiLabi, principal marché de la recherche sur la sécurité et la propriété intellectuelle. Il est également le fondateur de Zone-H, les archives de la cybercriminalité (http://www.zone-h.org). En outre, il est PDG d'une entreprise internationale ITsec, Domina Security, très active au sein des pays européens et dans les pays de l'ancienne Union Soviétique. Il a fait de nombreux voyages à travers le monde et a participé à plusieurs conférences sur la sécurité ITsec, notamment Defcon aux États-Unis, HITB en Malaisie, Paranoia en Norvège et Chaos Communication Congress en Allemagne. Il a accordé des entretiens à plusieurs journaux (papier et en ligne) où il partage ses expériences concernant la cyberguerre et les cybercrimes.

Écouter le podcast

Écouter l'entretien avec Roberto Preatoni sur podcast.

 

Logiciels malveillants, isolation et limites de sécurité : plus difficile que ça n'en a l'air

Description de la sessionIntervenant
Nombreux sont ceux qui affirment connaître la solution au problème des logiciels malveillants, qu'il s'agisse des ordinateurs virtuels, de la virtualisation légère, des comptes utilisateur intégrés ou des nouveaux niveaux d'intégrité. Malheureusement, l'expérience utilisateur, la compatibilité des applications et le désir des utilisateurs finaux de placer des données dans un environnement sandbox et de les en retirer constamment contribuent à ébranler le bien-fondé de ces approches. Au cours de cette session, vous apprendrez ce qui constitue une limite de sécurité, vous suivrez une visite guidée des technologies de base de Windows, notamment les sessions utilisateur, l'intégrité du code, PatchGuard, le renforcement de la sécurité des services et le contrôle de compte utilisateur, pour savoir où Windows définit actuellement ces limites et découvrirez les opportunités et les défis qui sous-tendent la stratégie à long terme des applications et des systèmes d'exploitation Windows en matière de sécurité et d'isolation.

Mark Russinovich
Technicien, Microsoft

Mark Russinovich est technicien au sein de la division Platforms and Services de Microsoft et travaille sur les futures versions Windows. Il s'intéresse notamment à la sécurité, aux performances et à la virtualisation. Mark est coauteur de Windows Internals, 4th Edition (Microsoft Press) et il a déjà écrit des dizaines d'articles sur les programmes internes de Windows. Il est fréquemment invité à intervenir dans les grandes conférences du secteur informatique, notamment TechEd, IT Forum, WinHec et PDC de Microsoft et crée également des outils de dépannage et d'administration très appréciés et publiés dans le TechCenter TechNet Sysinternals de Microsoft (http://www.microsoft.com/technet/sysinternals). Avant de rejoindre à Microsoft en 2006, il était architecte logiciels principal et cofondateur de Winternals Software que Microsoft a acquis avec Sysinternals.

Écouter le podcast

Écouter l'entretien avec Mark Russinovich sur podcast.

 

Attaques « zéro jour » Office et les gens qui aiment ça !

Description de la sessionIntervenant

En 2006, MSRC a reçu un nombre sans précédent de rapports de vulnérabilités pour Office 2003. Certaines de ces vulnérabilités ont été utilisées dans des attaques « zéro jour » ciblées contre nos clients.

Dans cette présentation, nous verrons les conséquences subies après ce type d'attaque, suite à l'exécution d'un fichier PowerPoint malveillant envoyé à un client, tout en examinant ses effets sur le système avec Process Monitor et Process Explorer. Ensuite, nous verrons comment les clients peuvent agir pour réduire le risque de ces types d'attaques en ouvrant à nouveau le document avec Microsoft Office Isolated Conversion Environment et FileBlock configurés.

Robert Hensing
Ingénieur en logiciels de sécurité, Microsoft

Robert Hensing est ingénieur en logiciels de sécurité au sein de l'équipe Secure Windows Initiative et est chargé de proposer des conseils sur les atténuations et les solutions de contournement à MSRC (Microsoft Response Center).

 

Une perspective externe sur l'extension de l'infrastructure Phoenix de Microsoft

Description de la sessionIntervenant

La connaissance de l'infrastructure Phoenix de Microsoft sera bientôt incontournable pour tous ceux qui s'intéressent à l'analyse et à l'optimisation des logiciels. Phoenix facilite le développement d'outils pouvant être utilisés durant la compilation ou l'analyse de logiciels. Bien que Phoenix ait été utilisé à cet effet chez Microsoft depuis quelque temps, son utilisation ne s'est répandue auprès de tiers qu'au cours de cette dernière année.

L'infrastructure Cthulhu, essentiellement construite au-dessus de Phoenix, est un exemple d'outil de fournisseur tiers en développement. Le but de Cthulhu est de fournir une couche d'abstraction qui prend en charge la représentation transparente et cohérente d'éléments logiciels concrets (méthode, type de données, instruction, etc.). Cette couche d'abstraction facilite la création d'outils dont l'API sera conforme à différentes infrastructures d'analyse binaires fondamentales telles que Phoenix. Grâce à l'abstraction, il est possible de normaliser les informations obtenues avec Phoenix sur une base de données dans un format pouvant être facilement indexé ultérieurement. L'enregistrement de ces informations dans une base de données peut permettre l'analyse d'ensembles de données beaucoup plus grands qui pourraient être représentés immédiatement dans la mémoire physique. Cet exposé aura pour but d'illustrer une façon d'étendre et d'abstraire Phoenix. Cette méthode sera décrite d'un point de vue de l'architecture générale de Cthulhu et de certaines des fonctionnalités intéressantes qu'elle prend en charge. Le choix du nom de la direction devrait être évidente ; après tout, la seule chose qui pourrait contenir et finalement dévorer un Phoenix est Cthulhu lui-même, non ?

Matt Miller
Leviathan

Matt Miller est membre actif de la communauté de recherche et développement en sécurité où il se concentre principalement sur les domaines liés à la technologie d'exploitation et à la rétroconception. Matt a rejoint le projet Metasploit en 2004 et a contribué à l'amélioration de l'infrastructure Metasploit. Parmi ces améliorations, nous pouvons citer le Meterpreter, l'injection VNC et son travail de développeur de base sur Metasploit 3.0. Matt est également l'un des rédacteurs en chef et collaborateurs du magazine Uninformed Journal. Ce magazine est un instrument gratuit et communautaire dédié à la nouvelle recherche. Les contributions de Matt au journal incluent des articles sur le contournement de PatchGuard et DEP, ainsi que d'autres techniques pouvant être utilisées pour améliorer la fiabilité du code malveillant dans différentes circonstances. En plus de son travail avec Metasploit et Uninformed, Matt a également développé une implémentation fonctionnelle de la randomisation du format d'espace d'adresse (ASLR) pour Windows 2000, XP et 2003 avant l'intégration par Microsoft d'ASLR dans Vista. Matt travaille actuellement comme consultant auprès de Leviathan Security Group, Inc.

Écouter le podcast

Écouter l'entretien avec Matt Miller sur podcast.

 

Modèles de test de la sécurité des applications automatisés avec des visualisations WPF impressionnantes

Description de la sessionIntervenant
Cet exposé démontre la visualisation de sécurité au niveau de la couche des systèmes pour illustrer un contexte d'application instrumentalisée. Le but initial de ce travail était de visualiser la représentation de l'interaction entre le code et les données sur un plan topographique 3D (3 axes pour illustrer le degré de signification). Mon objectif est de fournir des représentations pertinentes de fonctionnalités d'application de base.

Shane Macaulay

Shane Macaulay est un spécialiste de la sécurité informatique de niveau international. Shane a une connaissance approfondie de la sécurité de systèmes, qu'il s'agisse de l'une des principales variantes des systèmes d'exploitation UNIX, Microsoft et réseau. Il a apporté de nombreuses contributions à la communauté de la sécurité par le biais de divers articles, ouvrages et applications techniques révolutionnaires. Shane Macaulay a audité du code source propriétaire pour les failles de sécurité. Expert dans la découverte de vulnérabilités inconnues dans les applications logicielles personnalisées, Shane a dirigé plusieurs équipes au sein de Microsoft dans pratiquement chaque division de produits. Il est membre du groupe de sécurité international appelé « projet Honeynet ». Il est également coauteur d'un livre sur l'état d'esprit des pirates informatiques intitulé « Know your Enemy », publié par Addison-Wesley, et de « Hack Proofing Your Network : Second Edition », publié par Syngress. Shane a participé à plusieurs conférences du secteur informatique : Microsoft Bluehat, CanSecWest, Blackhat Briefings, DefCon et SANS.23. Au cours de sa carrière, Shane Macaulay a notamment travaillé chez : IBM, Bloomberg, @stake / Symantec, Core Security et LGS.

Écouter le podcast

Écouter l'entretien avec Shane Macaulay sur podcast.

 

Sécurité cellulaire !

Description de la sessionIntervenant
Les technologies cellulaires et mobiles ont connu une croissance phénoménale durant ces deux dernières années, ce qui a contribué à créer des cibles d'attaque très différentes, à la fois sur les périphériques eux-mêmes et sur les services auxquels ils se connectent. Au cours de cet exposé, je tenterai de mettre en lumière certaines considérations liées à la sécurité des périphériques mobiles et vous montrerai, d'une part, comment ces dernières ont, par le passé, différé des considérations liées à la sécurité des postes de travail et de l'entreprise ; et d'autre part, comment les problèmes de sécurité des périphériques mobiles actuels influencent le développement de fonctionnalités de sécurité, comment nous fournissons des mises à jour logicielles et pourquoi nous devons collaborer de manière beaucoup plus étroite avec les fabricants de périphériques mobiles et les fournisseurs de services.

Sean Hunt
SDE II, Microsoft

Sean Hunt a été ingénieur logiciel pendant plus de 15 ans et possède une grande expérience dans les systèmes informatiques mobiles et intégrés. Il travaille pour Microsoft depuis maintenant plus de 6 ans, et a consacré 5 de ces 6 années à la sécurité de Windows CE et des produits Windows Mobile. Il consacre son travail à l'étude et la résolution des problèmes de sécurité liés aux périphériques mobiles.

 

Classification structurelle des logiciels malveillants

Description de la sessionIntervenant

Les auteurs de logiciels malveillants évoluent. Par le passé, ils étaient motivés par la renommée, mais aujourd'hui, c'est surtout l'argent qui les intéresse. Cette évolution s'est accompagnée d'un changement des pratiques de développement de logiciels malveillants : Le code d'assembly polymorphique manuel est relégué aux oubliettes et le code C/C++, peu onéreux et facile à maintenir, est privilégié. Le « polymorphisme hors ligne » simple (par exemple, une recompilation astucieuse avec de petites modifications) et les attaques ciblées permettent d'éviter les signatures AV traditionnelles sans renoncer à une réutilisation de code de grande ampleur. Pour traiter automatiquement la vague de logiciels malveillants, plusieurs méthodes de classification ont été proposées. Elles vont de l'examen des instructions n-grams et n-perms et d'autres « fonctionnalités » servant à produire des vecteurs hautes dimensions à des techniques comportementales. Ces techniques ont l'inconvénient d'être « fragiles » en ce sens qu'elles peuvent être facilement contournées, sans compétences particulières ou perte de temps de la part de l'auteur des logiciels malveillants.

Cet exposé abordera l'utilisation de mesures structurelles (basées, par exemple, sur callgraph et flowgraph) pour la classification automatisée des logiciels malveillants. L'avantage de cette approche réside dans sa « souplesse » relative : elle peut résister à des mesures draconiennes telles que « la recompilation d'un virus pour des architectures différentes ». Les auteurs de logiciels malveillants doivent alors déployer de gros efforts pour interrompre l'analyse. Nous aborderons un exemple d'implémentation d'un système de classification de logiciels malveillants entièrement automatisé (VxClass) qui décompresse, désassemble et compare automatiquement le nouveau logiciel malveillant à une base de données existante. Plusieurs prédictions plus ou moins délirantes sur l'avenir seront évoquées.

Halvar Flake
PDG de SABRE Security

Halvar travaille sur des sujets liés à la rétroconception (et la recherche sur les vulnérabilités) depuis 9 ans. À de nombreuses reprises, il a présenté des recherches innovantes dans le domaine de la rétroconception et de l'analyse du code à diverses conférences sur la sécurité (Blackhat Briefings, CanSecWest, SSTIC, DIMVA). Outre ses activités de recherche, il a enseigné l'analyse du code, la rétroconception et la recherche sur les vulnérabilités aux employés de diverses organisations gouvernementales et de grands fournisseurs de logiciels. Halvar a créé SABRE en 2004 dans le but de se consacrer davantage à l'automatisation de la rétroconception et de l'analyse du code.

Écouter le podcast

Écouter l'entretien avec Halvar Flake sur podcast.

 

MSRC - Hier et aujourd'hui

Description de la sessionIntervenant
MSRC existe depuis près de 10 ans. Cet exposé examinera le MSRC d'hier et d'aujourd'hui pour comprendre le but de notre démarche. Il s'agira d'une formidable introduction à MSRC pour les équipes qui n'ont encore jamais eu le plaisir de participer à une publication MSRC, et d'une bonne piqûre de rappel pour les équipes qui ont déjà vécu cette expérience plusieurs fois.

Mike Reavey
Responsable de groupe, MSRC

En tant que responsable de groupe de MSRC (Microsoft Security Response Center) chez Microsoft Corp., Mike Reavey travaille avec les équipes de sécurité pour anticiper, identifier et communiquer les vulnérabilités logicielles critiques aux clients. Dans le cadre de l'engagement de Microsoft en faveur de l'initiative Trustworthy Computing, les responsabilités de Mike consistent, entre autres, à réagir aux rapports sur les vulnérabilités, à entrer en liaison avec la communauté des spécialistes de la sécurité et à collaborer avec les groupes de produit internes pour fournir des mises à jour aux clients et les protéger contre les menaces liées à la sécurité informatique.

En tant que membre d'une initiative collective visant à mieux protéger les utilisateurs de logiciels contre de telles menaces, l'équipe de Mike Reavey développe constamment ses capacités d'action. Mike Reavey a été profondément impliqué dans le combat de Microsoft contre les virus Zotob, Sasser et Blaster et a aidé MSRC à renforcer sa capacité à répondre aux attaques et aux menaces. Son objectif pour le groupe est de continuer à évoluer afin de faire face aux nouvelles menaces et d'être la première source d'informations fiable pour les clients et les équipes internes.

Mike Reavey a rejoint Microsoft en juin 2003 en tant que membre de l'équipe MSRC qui se concentre sur les initiatives de réponse aux vulnérabilités liées à Microsoft Internet Explorer. Auparavant, il a servi dans l'armée de l'air américaine en tant que chef d'équipe pour la Air Force Communications Agency et le 92ème Information Warfare Squadron, avec pour mission de sécuriser et d'optimiser les réseaux de l'armée de l'air.

 

Microsoft réalise une enquête en ligne pour comprendre votre opinion sur le site Web de. Si vous choisissez de participer, l’enquête en ligne vous sera présentée lorsque vous quitterez le site Web de.

Souhaitez-vous y participer ?