Skip to main content

Microsoft BlueHat Security Briefings : Sessions et entretiens - Printemps 2006

 

 

Etat de la recherche contre les vulnérabilités de base de données

Description de la sessionIntervenant
Dans cette présentation, David aborde ses recherches les plus récentes sur les bases de données et les futures tendances observées dans les vulnérabilités des bases de données. Cet exposé a été présenté pour la première fois lors des Microsoft BlueHat Security Briefings.

David Litchfield
Next Generation Security Software (NGS)

David Litchfield, directeur général et principal chercheur scientifique chez NGSSoftware, est considéré comme la personne ayant découvert le plus de vulnérabilités de sécurité logicielles au monde. Ce titre lui a été attribué en 2004 lorsque le magazine « Information Security » l'a nommé « Best Bug Hunter » (meilleur chasseur de bogues) conjointement avec son frère, Mark. Ancien chercheur scientifique et directeur d'architecture de sécurité chez @stake, il poursuit désormais ses activités de recherche et développement chez NGS et travaille en tant que conseiller auprès du CESG et NISCC, les deux services britanniques responsables de la sécurité informatique du gouvernement de sa Majesté et de l'infrastructure critique nationale du Royaume-Uni.

David Litchfield est spécialisé dans la recherche de nouvelles menaces contre les systèmes de bases de données et les applications Web. Il est coauteur des livres suivants : The Database Hacker's Handbook, The Shellcoder's Handbook, SQL Server Security et Special Ops.

 

Exploitation des applications Web

Description de la sessionIntervenant
Cet exposé aborde la défense contre les attaques courantes sur la couche d'applications Web, avec des exemples couvrant les méthodes de piratage des applications Web, telles que l'injection SQL, l'attaque de script entre sites, la manipulation de paramètres, le piratage de session et l'injection du protocole LDAP. De plus, la session couvre les techniques et processus pouvant être implémentés pour garantir la protection contre ces attaques courantes.

Caleb Sima
SPI Dynamics

Caleb Sima est le cofondateur et principal responsable technologique chez SPI Dynamics, une entreprise spécialisée dans la sécurité des applications Web. Il dirige le cycle de vie des solutions de sécurité pour les applications Web de l'entreprise. Il dirige également l'équipe de recherche et développement des laboratoires SPI au sein de SPI Dynamics. Il est également impliqué dans la sécurité Internet depuis 1996. Il est aujourd'hui largement reconnu en tant qu'expert de tests de pénétration et d'identification des menaces de sécurité émergeantes. Avant de cofonder SPI Dynamics en 2000, Caleb Sima a travaillé pour l'équipe de recherche et de développement X-Force d'Internet Systems Security et comme ingénieur de sécurité pour S1 Corporation. Il est fréquemment sollicité par la presse en tant qu'intervenant et expert en matière d'attaques Internet. Il est membre de l'association Internet Security Systems Association (ISSA) et l'un des visionnaires fondateurs de la norme AVDL (Application Vulnerability Description Language) au sein d'OASIS (Organization for the Advancement of Structured Information Standards), ainsi que membre fondateur du WASC (Web Application Security Consortium).

 

Peut-on créer des solutions sécurisées à partir des principales technologies Microsoft ?

Description de la sessionIntervenant

Les développeurs Windows dépendent du système d'exploitation de base pour fournir une plate-forme où les assertions de sécurité de leurs applications peuvent être satisfaites. Cependant, très souvent, les développeurs s'attendent à ce qu'une technologie de base fournisse une seule assertion de sécurité, alors qu'elle en fournit plusieurs, sans rapport les unes avec les autres. Alex et Scott ont découvert que de nombreuses failles de sécurité identifiées lors des tests de pénétration des applications Windows effectués en interne et en externe chez Microsoft sont le résultat de la mauvaise compréhension d'une technologie de sécurité de base.

Cet exposé aborde les technologies de sécurité de Windows qu'Alex et Scott ont couramment utilisées et, presque sans exception, mal utilisées ! À partir d'interrogations diverses telles que « Savez-vous vraiment si l'ordinateur auquel vous vous adressez est bien votre serveur ? » ou « Votre paquet de données est-il protégé contre les falsifications sur le réseau ? », Alex et Scott vous permettent de voir si votre application émet des suppositions de sécurité ridicules ou si vous avez vraiment atténué les risques auxquels elle est exposée.

Alex Stamos et Scott Stender
iSEC Partners

Alex Stamos est l'un des partenaires fondateurs d'iSEC Partners, une entreprise de sécurité numérique stratégique forte de plusieurs années d'expérience en matière de sécurité et de technologie informatique. C'est un spécialiste de la sécurité des applications et de la sécurisation des infrastructures de grande taille. Il a donné de nombreux cours consacrés à la sécurité des réseaux et des applications. Avant iSEC, il a travaillé deux ans en tant qu'architecte de sécurité chez @stake, où il était le responsable technique de nombreuses tâches complexes, notamment d'un test de pénétration approfondi et de l'évaluation architecturale d'un système de gestion d'entreprise de six millions de lignes. Avant @stake, Alex Stamos a travaillé chez Loudcloud, Inc où il était responsable de la sécurité opérationnelle de plus de 50 applications Web d'entreprises du classement Fortune 500. Il a également travaillé en tant que responsable de sécurité au Department of Energy National Laboratory et détient un BSEE de l'University of California, Berkeley.

Scott Stender est l'un des partenaires fondateurs d'ISEC Partners. Il possède plusieurs années d'expérience en matière de développement de logiciels de grande ampleur et de conseil en sécurité. Avant iSEC, il a travaillé en tant qu'analyste de sécurité des applications chez @stake, où il conseillait et aidait de nombreux clients de premier plan. Avant de rejoindre @stake, Scott a travaillé chez Microsoft, où il était responsable de l'analyse de la sécurité et de la fiabilité pour l'une des applications d'entreprise distribuées de Microsoft. Dans le cadre de ses recherches, Scott Stender se consacre essentiellement à la méthodologie d'ingénierie logicielle sécurisée et à l'analyse de la sécurité des technologies de base. Plus récemment, il a été publié dans le numéro de Janvier-Février 2005 du magazine « IEEE Security & Privacy », pour lequel il a coécrit un article intitulé « Software Penetration Testing ». Il a également présenté un exposé sur les attaques de services Web lors de la conférence BlackHat USA 2005. Il détient un BS en ingénierie informatique de l'University of Notre Dame.

 

Analyse BinDiff

Description de la sessionIntervenant

La comparaison de deux objets exécutables possède plusieurs applications différentes et intéressantes, allant de la sécurité « offensive » (telle que les systèmes d'attaque) et de la sécurité « défensive » (analyse des logiciels malveillants) aux questions légales, telles que la détection de vol de code sans accès au code source d'aucune des parties. Le processus réel de comparaison d'exécutables est compliqué par différents paramètres d'optimisation sur différents exécutables ou même différents compilateurs.

Il est souvent bénéfique de traiter l'exécutable non pas comme un code informatique mais comme un graphique dirigé, et d'appliquer des algorithmes issus de la théorie des graphes sur le graphique sans prendre en compte les instructions réelles. Cet exposé explique les concepts qui sous-tendent SABRE BinDiff, un outil qui utilise une approche issue de la théorie des graphes pour comparer deux objets exécutables. Différentes applications de ce type de technique de comparaison y sont abordées, qui vont de l'analyse des correctifs de sécurité lors du portage d'informations de débogage d'un exécutable à l'autre, à l'identification de code extrêmement similaire dans deux exécutables différents.

Halvar Flake
SABRE Security

Halvar Flake est le PDG et responsable de la recherche de SABRE Security. Il travaille sur des sujets liés à la rétroconception (et la recherche sur les vulnérabilités) depuis huit ans. Il a de nombreuses fois présenté des recherches innovantes dans le domaine de la rétroconception et de l'analyse du code à diverses conférences renommées sur la sécurité (Blackhat Briefings, CanSecWest, SSTIC, DIMVA).

Outre ses activités de recherche, il a enseigné l'analyse du code, la rétroconception et la recherche sur les vulnérabilités aux employés de diverses organisations gouvernementales et de grands fournisseurs de logiciels.

Halvar a créé SABRE en 2004 dans le but de se consacrer davantage à l'automatisation de la rétroconception et de l'analyse du code.

 

Mordu d'ASP (comment ne PAS déployer d'applications ASP.NET)

Description de la sessionIntervenant
Cet exposé examine les failles de sécurité présentes dans les déploiements ASP.NET courants. HD Moore analyse les améliorations de sécurité clés dans ASP.NET v2.0 et s'intéresse aux nombreuses défaillances architecturales présentes dans ASP.NET v1.1. Des sites Web et les applications développés avec MSFT sont utilisés comme études de cas tout au long de cette présentation.

HD Moore

HD Moore est un ingénieur de sécurité professionnel, un contributeur fréquent à la base de données de vulnérabilités Open Source (OSVDB). Il est également coauteur de Metasploit.

 

Piratage de moteurs de recherche

Description de la sessionIntervenant
Cet exposé décrit les diverses façons dont les technologies de recherche sont utilisées par les utilisateurs mal intentionné. Les implications de cette activité vont loin et sont souvent étonnantes. Rempli d'exemples concrets et réels, cet exposé décrit les différentes techniques qui sous-tendent cette forme de fuite d'informations dangereuse et souvent mal comprise. Allant bien au delà des « questions intéressantes », cet exposé passe à un niveau supérieur et révèle la puissance impressionnante d'une campagne de collecte d'informations de grande ampleur bien pensée et bien exécutée, basée uniquement sur les technologies de recherche « Open Source ».

Johnny Long

Johnny Long est un père de famille adepte d'une vie saine et pirate d'applications à ses heures. Récemment, Johnny a pris beaucoup de plaisir à écrire, lire, éditer et présenter des articles lors de conférences, ce qui l'a une nouvelle fois détourné d'un emploi sérieux (et rémunérateur) en tant que pirate informatique professionnel et chercheur en sécurité pour Computer Sciences Corporation. Johnny aime passer du temps avec sa famille et le personnel de sécurité beaucoup trop sérieux le considère souvent bizarrement ou se met à rire de manière incontrôlée. Johnny a écrit plusieurs livres et a contribué à de nombreux autres, notamment Google Hacking for Penetration Testers, de Syngress Publishing, qui a bénéficié de critiques dithyrambiques et contenant de très jolies photos.

 

Rootkits de base de données

Description de la sessionIntervenant
Cet exposé décrit les nouvelles tendances en matière de sécurité de bases de données. Alexander Kornbrust démontre comment transférer des concepts de logiciels malveillants courants tels que les rootkits et les virus dans le monde des bases de données. Il explique le fonctionnement d'un rootkit de base de données et les différentes façons d'implémenter les virus de bases de données (par exemple, en infectant les affichages des bases de données).

Alexander Kornbrust
Red-Database-Security

Alexander Kornbrust est le fondateur et PDG de Red-Database-Security GmbH, une entreprise spécialisée dans la sécurité Oracle. Il est responsable des audits de sécurité d'Oracle et des formations anti- piratage informatique d'Oracle. Avant cela, il a travaillé pendant plusieurs années pour Oracle Allemagne, Oracle Suisse et IBM Global Services en tant que consultant.

Alexander Kornbrust travaille avec les produits Oracle en tant qu'administrateur de base de données et développeur depuis 1992. Au cours des six dernières années, il a isolé plus de 220 bogues de sécurité dans différents produits Oracle.

 

Piratage des systèmes de base de données : présent, passé et avenir

Description de la sessionIntervenant

La sécurité des systèmes de base de données ne fait pas l'objet d'une surveillance aussi attentive que les systèmes d'exploitation sur lesquels ils s'exécutent. Toutefois, les failles présentes dans les logiciels de base de données et les choix de configuration faits par les administrateurs de base de données peuvent permettre à un attaquant malveillant de compromettre entièrement les données et l'hôte.

Cet exposé aborde les faiblesses des bases de données dans les systèmes déployés dans les environnements d'entreprise. Les produits Oracle, Sybase, Microsoft, IBM et de la communauté Open Source sont couramment utilisés pour répondre aux exigences de magasins de données. Malheureusement, tous peuvent être exploités et compromis très facilement avec des scénarios bien trop familiers. Quelques étapes à peine suffisent pour accéder aux données, au serveur et attaquer le réseau hôte. Des exemples des problèmes les plus courants rencontrés dans le cadre des activités de recherche et de conseil de NGS Software sont utilisés pour illustrer les principaux pièges associés aux systèmes de bases de données d'entreprise.

L'exposé comprend également des commentaires sur la façon dont les fournisseurs de bases de données doivent modifier leurs produits à l'avenir, et sur la façon dont s'est comporté SQL Server 2005 lorsque Microsoft a demandé à NGS d'essayer de le pirater.

Kev Dunn
Next Generation Security Software (NGS)

Kev Dunn est consultant senior pour NGS Software, responsable des tests de pénétration et des évaluations de sécurité des réseaux clients dans différents environnements d'exploitation. Grâce aux conseils qu'il a fournis à toute une série de clients de premier plan, l'analyse approfondie de l'exposition aux risques et l'évaluation de l'architecture des réseaux et des bases de données font maintenant partie des processus courants dans les entreprises des secteurs technologique et financier du monde entier. Sa connaissance approfondie et son expérience pratique des systèmes de bases de données principaux et de l'infrastructure réseau lui ont valu une invitation à concevoir, rédiger et présenter une liste complète de cours de formation pour NGS. Il enseigne actuellement la première et seule formation en piratage de bases de données proposée lors des BlackHat Security Briefings.

 

Metasploit 3.0

Description de la sessionIntervenant
L'infrastructure Metasploit est une plate-forme avancée de recherche en sécurité et de développement de code malveillant exploitant des failles de sécurité. L'équipe de développement de Metasploit a passé l'année dernière à réécrire la totalité de la base de code pour étendre les fonctionnalités du système et fournir une API de développement riche. Cette présentation se concentre sur les multiples améliorations de fonctionnalités et les possibilités de développement disponibles dans la dernière version de l'infrastructure.

HD Moore

HD Moore est un ingénieur de sécurité professionnel, un contributeur fréquent à OSVDB et le coauteur de Metasploit.

 

Microsoft réalise une enquête en ligne pour comprendre votre opinion sur le site Web de. Si vous choisissez de participer, l’enquête en ligne vous sera présentée lorsque vous quitterez le site Web de.

Souhaitez-vous y participer ?