Skip to main content

Briefings de sécurité BlueHat : Sessions et interviews Automne 2009

BlueHat v9 : À travers le miroir, 22 et 23 octobre 2009 au siège social de Microsoft.

Le principal objectif de la série de conférences BlueHat est de construire une passerelle entre les dirigeants et développeurs Microsoft, les partenaires des programmes de sécurité et les membres de la communauté de recherche en sécurité, tout en éduquant la population Microsoft dans son ensemble concernant les menaces de sécurité et solutions d'atténuation.

Cette année, la conférence approfondit le travail effectué lors des conférences de ces dernières années en illustrant la façon dont des stratégies individuelles peuvent intersecter de manière à offrir des avantages substantiels et des résultats positifs. Nous souhaitons démystifier les menaces de sécurité globales et régionales, et créer des canaux d'échange d'informations productifs sur les menaces courantes qui affectent tous les acteurs de l'écosystème de sécurité.

BlueHat v9 rassemble les principaux chercheurs en sécurité externes pour de nombreuses présentations illustrant les recherches les plus récentes, les outils et techniques de piratage dernier cri, et les menaces de sécurité d'urgence. Les thèmes principaux de BlueHat v9 sont les attaques d'e-crime, l'économie d'exploitation, le paysage de menaces global, les services en ligne, la sécurité dans le Nuage, la sécurité (ou insécurité) mobile, et des outils et solutions d'atténuation performants.

Les vidéos de la session et des interviews sont indiquées par l'icône ci-dessous.

Jour 1 : jeudi 22 octobre – Sessions générales BlueHat v9

Matinée : Hyper réalité : qui a peint mes roses en rouge ?

 Remarques d'ouvertureVinny Gullotto, Directeur général, MMPC, Informatique de confiance, Microsoft
 Attaques de déni de service à motivation politiqueJose Nazario, Directeur de la recherche en sécurité, Arbor Network
 Sécurité RIA : Leçons du monde réel avec Flash et SilverlightPeleus Uhley, Responsable de la recherche en sécurité, Adobe & Jesse Collins, Ingénieur en sécurité logicielle, Microsoft
 La langue de l'approbation : exploitation des relations d'approbation dans le contenu actif– Ryan Smith, Chercheur en sécurité - Accuvant, David Dewey, Chercheur X-Force - IBM Internet Security Systems

 

Après-midi : (In)Sécurité des ordinateurs mobiles : de plus en plus curieux

 Attaque de SMSZane Lackey, Conseiller en sécurité, iSEC Partners & Luis Miras, Chercheur indépendant en sécurité
Sécurité mobile et radio logicielleJosh Lackey, Responsable du développement de la sécurité, Microsoft
Piratage de SMS sur iPhone, avec quelques mots sur les charges utilesCharlie Miller, Analyste principal, Independent Security Evaluators
Sécurité des opérateurs mobiles : défis en matière de sécurité pour les réseaux globaux pour les périphériques de pochePatrick McCanna, Architecte de sécurité, AT&T Mobility

Jour 2 : vendredi 23 octobre – Sessions générales BlueHat v9

Matinée : Services de nuage & virtualisation : comme un oiseau, tout là haut dans le ciel…

 Remarques d'ouvertureAndrew Cushman, Directeur, TwC Security - Microsoft
 Cloudifornication : échange d'informations aveugle impliquant l'infrastructure InternetChris Hoff, Directeur des solutions de nuage et virtualisation, Cisco
 Sortez la tête des nuages : sécurité dans Software-plus-ServicesJohn Walton, Responsable de la sécurité, Microsoft
 Création de nuages : comment éviter la pluie lors de la transition du Sur site aux ServicesRobert Fly, Directeur de la sécurité des produits, Salesforce.com
 Partager le nuage avec l'ennemiBilly Rios, Ingénieur en sécurité, Microsoft & Nate McFeters, Conseiller en sécurité, Ernst and Young

 

Après-midi : Outils de fuzzing & atténuations : la chasse au lapin blanc

 Comment rendre un logiciel stupideTavis Ormandy, Ingénieur en sécurité, Google & Neel Mehta, Ingénieur logiciel, Sécurité des informations, Google
 Ingénierie en sécurité de bureauTom Gallagher, Responsable des tests de sécurité, Microsoft & David Conger, SDET II, Microsoft
 Transformations de caractères : à la recherche des vulnérabilités cachéesChris Weber, cofondateur, Casaba Security

BlueHat v9 : Jour 1

Présentation du programme par le conférencier

Description de la sessionConférencier
 

Vinny Gullotto
Directeur du MMPC, Microsoft

En sa qualité de Directeur général du Centre de protection contre les logiciels malveillants de Microsoft, Vinny Gullotto dirige les stratégies à court et à long terme de la société en ce qui concerne la protection des clients contre les virus, logiciels malveillants et autres menaces de sécurité.

Gullotto et son équipe sont responsables de la recherche des menaces et attaques à caractère malveillant contre les utilisateurs informatiques. Grâce à ces recherches, ils développent des solutions et collaborent avec le Microsoft Security Response Center afin de fournir aux clients une assistance et une protection contre ces menaces. Le centre de protection contre les logiciels malveillants de Microsoft fournit la technologie de base qui sert à combattre les logiciels malveillants dans Windows Live OneCare, Microsoft Windows Defender, l'Outil de suppression des logiciels malveillants et les produits de sécurité Forefront. La mission de Gullotto consiste à s'assurer que le savoir-faire de Microsoft dans le combat contre les menaces de sécurité contribue à protéger les utilisateurs de PC dans le monde entier.

Avant de rejoindre Microsoft, Gullotto a travaillé pendant plusieurs années chez McAfee, Inc., où il a assumé la fonction de Vice-Président de l'équipe AVERT (Anti-virus Research and Vulnerability Emergency Response Team). Outre ses nombreuses participations à des conférences sur la sécurité dans le monde entier, Gullotto a témoigné devant un sous-comité du Congrès sur la réponse du gouvernement fédéral aux menaces de sécurité faisant face aux systèmes informatiques aux États-Unis.

Gullotto a été membre du conseil d'administration d'une société privée ayant développé des systèmes de messagerie vocale basés sur PC. Il est titulaire d'une Licence d'administration des entreprises délivrée par l'Université de Phoenix.

 

Attaques de déni de service à motivation politique

Description de la sessionConférencier
La croissance rapide d'Internet a engendré un nombre croissant d'attaques d'inondation de paquets dans le monde entier, associées à des motivations politiques. L'Estonie, la Géorgie, CNN, l'Ukraine et de nombreuses autres cibles ont fait l'objet d'attaques de ce genre ces dix dernières années. Cette présentation explore le monde des attaques de déni de service et leur rôle croissant comme arme politique en ligne. Elle décrit également la façon dont Arbor Networks a mesuré les attaques dont l'Estonie et la Géorgie ont fait l'objet, comment les autres attaques sont mesurées, et la signification de ces attaques pour Internet en général.

Dr. Jose Nazario
Responsable de la recherche en sécurité, Arbor Networks

Le Dr. Jose Nazario est Responsable de la recherche en sécurité chez Arbor Networks. En tant que tel, il est responsable de l'analyse des menaces de sécurité Internet émergentes, du code malveillant de reconstitution de la logique des produits et du développement de mécanismes de sécurité qui sont par la suite distribués sur les plateformes Peakflow d'Arbor via le service de détection des menaces ATF (Active Threat Feed). Les sujets de recherche du Dr. Nazario portent sur les tendances Internet à grande échelle telles que les mesures de topologie et d'accessibilité, les événements à l'échelle d'Internet tels que les attaques de déni de service, les botnets et les vers, les outils d'analyse de code source et l'exploration des données. Il est l'auteur des ouvrages Defense and Detection Strategies against Internet Worms et Secure Architectures with OpenBSD. Il est titulaire d'un Doctorat en biochimie délivré en 2002 par la Case Western Reserve University. Avant de rejoindre Arbor Networks, le Dr. Nazario travaillait en tant que conseiller indépendant en sécurité. Il participe régulièrement à des conférences dans le monde entier, notamment FIRST, CanSecWest, PacSec, Black Hat et NANOG. Il assure également la maintenance de WormBlog.com, un site dédié à l'étude de la détection et de la défense contre les vers informatiques.

Voir une interview avec Jose Nazario

 

Sécurité RIA : Leçons du monde réel avec Flash et Silverlight

Description de la sessionConférencier

La puissance entraîne la responsabilité. De riches infrastructures d'applications Internet telles qu'Adobe Flash et Flex et Microsoft Silverlight permettent aux développeurs de créer des applications Web uniques et formidables ; mais en cas d'utilisation incorrecte, ces technologies peuvent également permettre aux développeurs de créer des vulnérabilités d'applications Web uniques et formidables. De plus, certaines personnes peu scrupuleuses ont par le passé créé des applications Flash et Silverlight malveillantes avec l'intention de tromper des gens honnêtes en faisant en sorte que ces derniers hébergent leurs applications malveillantes sur leurs propres sites Web.

Cette session traitera de ces problèmes du point de vue de Flash et de Silverlight. Apprenez à créer des applications RIA plus sûres, à identifier des RIA potentiellement malveillants avant de les héberger sur votre site et découvrez ce que les équipes Flash et Silverlight font pour participer à la protection de nos clients.

  Voir la présentation Sécurité RIA : Leçons du monde réel avec Flash et Silverlight

Peleus Uhley
Responsable de la recherche en sécurité, Adobe

Peleus Uhley est Responsable de la recherche en sécurité au sein de l'équipe d'Ingénierie logicielle chez Adobe. Sa principale mission consiste à aider à la sécurisation des technologies de la plateforme Adobe, y compris Flash Player et AIR. Avant de rejoindre Adobe, Peleus a commencé sa carrière dans l'industrie de la sécurité en tant que développeur chez Anonymizer, Inc., puis a assumé la fonction de conseiller en sécurité pour des sociétés telles que @stake and Symantec.

Jesse Collins
Ingénieur en sécurité logicielle, Microsoft

Jesse Collins est Ingénieur en sécurité logicielle au sein de l'équipe Silverlight. Il a commencé sa carrière dans l'industrie de la sécurité en 2005 par une formation auprès de David Ross et ses chercheurs MSRC, avant de travailler par la suite sur WPF. Aujourd'hui, il contribue à la sécurisation de la plateforme Silverlight grâce à ses travaux de fuzzing et de piratage, et en faisant tout pour que les développeurs exécutent OACR. Jesse aide également les clients et les équipes de produits Microsoft à écrire des applications Silverlight sécurisées.

Voir une interview avec Peleus Uhley & Jesse Collins

 

La langue de l'approbation : exploitation des relations d'approbation dans le contenu actif

Description de la sessionConférencier

Le contenu interactif est devenu ces dernières années de plus en plus puissant et flexible, et de nouvelles fonctionnalités sont apparues dans plusieurs technologies Web telles que Javascript ou .NET et par le biais des plug-ins de navigateur. Ces modifications de fonctionnalités, associées à des couches d'intercommunication de plus en plus complexes, ont créé une couche d'approbation fragile et tout en nuances entre de nombreux composants auparavant non connectés.

Cette présentation traite de la question de l'approbation dans le contexte du contenu actif et démontre qu'elle est plus compliquée qu'à première vue. Nous illustrerons l'exploitation de ces relations d'approbation à différents niveaux d'application, de la subversion des contrôles de sécurité architecturaux jusqu'aux vulnérabilités d'endommagement de la mémoire qui provoquent une exécution arbitraire.

Ryan Smith
Chercheur en sécurité, Accuvant

Le travail de Ryan Smith, qui assure la maintenance du site Web www.hustlelabs.com, est principalement axé sur la découverte des vulnérabilités logicielles, le développement de stratégies d'exploitation, la reconstitution de la logique des produits et la conception d'algorithmes pour faciliter l'analyse de programme. Son travail a été reconnu par de nombreux éditeurs de logiciels dans le cadre de la découverte de vulnérabilités dans les logiciels serveurs, applications P2P, technologies de navigateurs Web, logiciels antivirus et programmes de compression.

  Voir une interview avec Ryan Smith

David Dewey
Chercheur X-Force, IBM Internet Security Systems

David Dewey travaille comme chercheur au sein de l'équipe X-Force d'IBM Internet Security Systems. Il a découvert de nombreuses vulnérabilités dans des serveurs d'applications, applications antivirus et technologies de navigateurs. Ses recherches durant ces dernières années ont été axées principalement sur l'exploitation des navigateurs. David a participé à de nombreuses conférences, notamment Black Hat.

 

Attaque de SMS

Description de la sessionConférencier

Avec l'utilisation sans cesse croissante de la messagerie textuelle dans le monde entier, le système SMS procure une surface d'attaque de plus en plus étendue sur les téléphones portables. Offrant maintenant des services comme les mises à jour en directe ou les messages multimédia au contenu enrichi, SMS ne constitue plus de nos jours un simple service de remise de petits messages textuels. Outre sa gamme étendue de fonctionnalités prises en charge, SMS est également l'une des seules surfaces d'attaques de téléphone portable activées par défaut et dont l'exploitation n'exige presque aucune interaction de la part de l'utilisateur.

Cette présentation a pour objectif d'informer le public des menaces présentées par le trafic SMS hostile pour les téléphones portables actuels. Nous traiterons de l'attaque des implémentations principales SMS et MMS proprement dites, ainsi que des fonctionnalités tierces qui sont accessibles via SMS. Nous examinerons les résultats de tests effectués sur des plateformes mobiles dans des situations réelles.

Outre nos propres résultats, nous présenterons et publierons différents outils destinés à aider les utilisateurs à tester la sécurité de leurs périphériques mobiles. Pour finir, nous illustrerons et publierons une application d'attaque SMS basée sur iPhone qui facilite certaines des attaques que nous aurons décrites.

Luis Miras
Chercheur indépendant en sécurité

Luis Miras est chercheur indépendant en sécurité. Il a travaillé par le passé pour des fournisseurs de produits de sécurité et pour des sociétés de conseil. Ses champs d'intérêt comprennent la recherche de vulnérabilités, l'analyse binaire et la reconstitution de la logique matérielle et logicielle des produits. Il a autrefois travaillé dans les domaines de la conception numérique et de la programmation intégrée. Il a participé à des conférences dans le monde entier, parmi lesquelles CanSecWest, Black Hat, CCC Congress, XCon, REcon, DefCon. Il est le co-auteur d'un ouvrage récent intitulé Reverse Engineering Code with IDA Pro (Syngress, 2008).

Zane Lackey
Conseiller en sécurité, iSEC Partners, Inc.

Zane Lackey est Conseiller en sécurité chez iSEC Partners, Inc. Ses domaines de recherche comprennent la sécurité des téléphones portables, les applications Web AJAX et la technologie VoIP (Voice Over IP). Zane a participé à de nombreuses conférences de sécurité, telles que Black Hat, Toorcon, MEITSEC, YSTS et l'iSEC Open Forum. Il est également le co-auteur d'un ouvrage intitulé Hacking Exposed: Web 2.0 (McGraw-Hill) et auteur/rédacteur technique de Hacking VoIP (No Starch Press). Il est titulaire d'une Licence d'Économie et de Sciences informatiques délivrée par l'Université de Californie, Davis.

 

Sécurité mobile et radio logicielle

Description de la sessionConférencier
La recherche dans le domaine de la sécurité des téléphones mobiles est en pleine expansion. Les chercheurs examinent la surface d'attaque et disséminent leurs connaissances. Il existe des projets ayant pour but de pirater le chiffrement, de découvrir des vulnérabilités d'implémentation, ou encore d'attaquer l'infrastructure proprement dite. La radio logicielle, en permettant aux chercheurs de contrôler les niveaux les plus faibles des protocoles applicables, facilite, et dans certains cas permet, ces attaques. Cette section explorera les attaques publiques actuelles contre la sécurité des téléphones mobiles.

Josh Lackey
Responsable du développement de la sécurité, Microsoft

Josh Lackey est responsable de l'équipe de tests de pénétration TwC MSEC. Son équipe est chargée d'attaquer les produits Microsoft avant que des pirates externes n'en aient l'opportunité. Josh est titulaire d'un Doctorat en Mathématiques et passe son temps à rechercher des vulnérabilités de sécurité. Il aime démonter les choses et est particulièrement content de lui quand il y parvient à l'aide de la radio logicielle.

  Voir une interview avec Josh Lackey

 

Piratage de SMS sur iPhone, avec quelques mots sur les charges utiles

Description de la sessionConférencier

Cette présentation constitue une brève introduction à l'architecture de sécurité de l'iPhone. Nous illustrerons comment effectuer un fuzzing automatisé sur le périphérique, y compris un fuzzing SMS. Nous décrirons ensuite la vulnérabilité SMS découverte par Charlie Miller et comment l'exploiter. Pour finir, nous discuterons des charges utiles d'exploitation et de ce que les agresseurs peuvent faire une fois qu'ils ont obtenu le contrôle.

  Voir la présentation Piratage de SMS sur iPhone, avec quelques mots sur les charges utiles

Charlie Miller
Analyste principal, Independent Security Evaluators

Charlie Miller a été le premier à exploiter publiquement l'iPhone d'Apple et le téléphone G1 de Google. Il a remporté la compétition Pwn2Own ces deux dernières années. Il a été classé comme l'un des dix meilleurs pirates de l'année 2008 par le magazine Popular Mechanics. Il est titulaire d'une Doctorat de l'Université de Notre Dame et assume actuellement la fonction d'Analyste principal chez Independent Security Evaluators.

 

Sécurité des opérateurs mobiles : défis en matière de sécurité pour les réseaux globaux pour les périphériques de poche

Description de la sessionConférencier

Qu'est-ce que cela signifie d'implémenter la sécurité sur un réseau d'opérateur mobile ? Ne pourrait-on pas simplement implémenter quelques pare-feu par-ci et quelques systèmes de prévention d'intrusion (IPS) par-là ?

Cette présentation traite des défis uniques auxquels font face les opérateurs mobiles dans l'implémentation de la sécurité et des scénarios dans lesquels des solutions évidentes telles que les pare-feu, le filtrage et la prévention d'intrusion échouent d'une manière qui est loin d'être évidente. Nous examinerons les fonctions d'un réseau mobile et détaillerons les défis en matière de sécurité auxquels font face les opérateurs dans la mise en œuvre d'un réseau mobile et dans l'intégration de nouvelles plateformes à ce réseau.

Patrick McCanna
Architecte de sécurité, AT&T Mobility

Patrick McCanna est l'un des responsables du personnel technique de l'Organisation de sécurité principale d'AT&T, où il est responsable de la sécurité des produits grand public et des services de mobilité AT&T. Bien qu'il ait cessé aujourd'hui tout travail de développement, son portefeuille de développement logiciel inclut des logiciels de mise en réseau pour les cockpits d'avions, des applications Web de commerce électronique, ainsi que des outils de métriques de centre de données. Patrick est titulaire d'une Licence en Sciences informatiques et en Mathématiques délivrée par Linfield College. Il possède également le titre de CISSP (Certified Information Systems Security Professional).

  Voir une interview avec Patrick McCanna

 

BlueHat v9 : 2e jour

Présentation du programme par le conférencier

Description de la sessionConférencier
 

Andrew Cushman
Directeur, TwC Security - Microsoft Corporation

En tant que Directeur de la stratégie pour le groupe Informatique de confiance chez Microsoft Corporation, la fonction de Cushman concerne principalement « End to End Trust », une initiative lancée par Microsoft en vue d'accroître le niveau de confiance sur Internet et qui a pour mission de transposer dans le cybermonde la fiabilité et la confiance applicables au monde physique. Responsable du programme «  End to End Trust Outreach », Cushman collabore avec différentes équipes Microsoft chargées de la formulation et de la remise d'une Expérience de confiance, de la Confidentialité, de la Sécurité et de la Fiabilité.

Cushman a rejoint le MSRC en 2004 en tant que membre de l'équipe de direction du Groupe d'ingénierie de sécurité qui a fait des processus de sécurité une partie intégrante de la culture d'ingénierie de Microsoft. Depuis lors, il a été à la base de la stratégie de l'entreprise en matière de recherche en sécurité et de ses efforts d'exécution, formulant la stratégie Responsible Disclosure Initiative et initiant la franchise de conférence BlueHat.

Cushman était auparavant Directeur du Microsoft Security Response Center (MSRC). Le MSRC dirige les réponses d'urgence envers les menaces de sécurité, définit et applique les stratégies de réponse, et contrôle la qualité et l'opportunité des mises à jour mensuelles. Cushman a étendu les programmes de recherche du MSRC de façon à englober les chercheurs en sécurité et les organisations de sécurité traditionnelles, ainsi que les entreprises et équipes de réponse d'urgence.

Depuis qu'il a rejoint Microsoft en janvier 1990, Cushman a détenu différents postes auprès du Microsoft International Product Group, de l'équipe Microsoft Money et de l'équipe Internet Information Services (IIS). Il a dirigé l'équipe de produit IIS durant le développement d'IIS 6.0 dans Windows Server® 2003. IIS 6.0 a été l'un des premiers produits Microsoft à adopter en intégralité les processus d'ingénierie de sécurité aujourd'hui intégrés au SDL et fait toujours figure de produit « phare » quant à l'engagement de Microsoft envers l'ingénierie de sécurité et l'Informatique de confiance.

Cushman est titulaire d'une Licence d'Études internationales délivrée par l'Université de Washington et d'une Maîtrise de Commerce internationale délivrée par Seattle University. En dehors des heures de bureau, il adore skier.

 

Cloudifornication : échange d'informations aveugle impliquant l'infrastructure Internet

Description de la sessionConférencier

Ce qui était jadis à la mode ne l'est plus aujourd'hui.

Cette phrase pourrait servir non seulement d'analyse précise des tendances d'adoption des technologies perturbatrices et de l'innovation en entreprise, mais également de parallèle pour la rapidité exceptionnelle avec laquelle nos centres de données sont repérimétrés et totalement retournés sens dessus dessous grâce à l'informatique de nuage et à la virtualisation.

L'un des effets les plus effrayants de la convergence massive de la virtualisation et de l'informatique de nuage concerne les modèles de sécurité et les informations qu'ils sont censés protéger. Où et comment nos données sont-elles créées, traitées, accédées, stockées, sauvegardées et détruites dans ce qui deviendra à coup sûr des services de nuage à forte superposition - Par qui et à l'aide de quelle infrastructure ? Tout ceci ne peut que soulever de nombreuses questions concernant la sécurité, la confidentialité, la conformité et la survivabilité. 

Qui plus est, le problème de la « tortue empilée » devient de plus en plus effrayant à mesure que la notion abstraite de nuages empilés se transforme en réalité : des fournisseurs SaaS de nuage qui reposent sur des fournisseurs SaaS de nuage qui reposent sur des fournisseurs de réseau de nuage. Tout ceci prend rapidement l'apparence d'un amoncellement de…tortues.

Nous illustrerons plusieurs niveaux de défaillance en cascade associés à la dépendance envers des services et une infrastructure nuage-sur-nuage, et nous exposerons au passage certaines suppositions erronées et théories non testées dans leur rapport avec la sécurité et la confidentialité dans le nuage, avec quelques vecteurs d'attaques uniques.

  Voir la présentation Cloudifornication : échange d'informations aveugle impliquant l'infrastructure Internet

Chris Hoff
Directeur des solutions de nuage et virtualisation, Solutions de centres de données Cisco Systems

Chris Hoff possède plus de quinze années d'expérience dans des rôles de prestige dans les domaines de l'architecture de sécurité des informations et des réseaux, de l'ingénierie, des opérations et de la gestion, avec une passion particulière pour la virtualisation et tout ce qui touche aux nuages. Hoff est actuellement Directeur des solutions de nuage et virtualisation pour les Solutions de centres de données Cisco Systems. Avant de rejoindre Cisco, il assumait la fonction de Principal architecte de sécurité pour la division Systèmes & Technologie de Unisys Corporation. Il a également été Principal stratège de sécurité pour Crossbeam Systems, Responsable de la sécurité des informations pour une société de services financiers pesant 25 milliards de dollars, Fondateur/Responsable des technologies d'un cabinet de conseil de sécurité national, et il dispense aujourd'hui ses conseils à plusieurs sociétés d'investissement en capital risque. Il possède un blog à l'adresse http://www.rationalsurvivability.com et est co-présentateur du Cloud Security Podcast.

  Voir une interview avec Chris Hoff

 

Sortez la tête des nuages : sécurité dans Software-plus-Services

Description de la sessionConférencier
Software-plus-Services (S+S) est une approche pour la prochaine génération informatique qui gagne sans cesse en popularité. Il s'agit d'une convergence de plusieurs phénomènes tels que SaaS, SOA et Web 2.0. Software-plus-Services combine ces approches afin de tirer le meilleur parti des services de nuage et des logiciels qui résident sur une large gamme de périphériques. La puissance des logiciels sur site et/ou clients locaux, combinée à la portée et à la nature toujours à jour des services dans le nuage, permet de bénéficier d'une flexibilité supérieure aux offres de services-uniquement ou logiciels-uniquement. Cette présentation examinera à la fois les défis et les avantages offerts par la conception et l'exploitation de S+S de confiance. De plus, nous comparerons et contrasterons la sécurité fournie par les pratiques de développement traditionnelles et agiles. Les entreprises et les particuliers envisageant d'adopter ce nouveau modèle informatique pourront tirer parti des fondations posées par cette présentation pour leur évaluation des risques et attentes liés à la sécurité dans S+S.

John Walton
Responsable de la sécurité chez Microsoft

L'équipe OSSLT (Online Services Security Leadership Team) est une équipe virtuelle composée de SME de sécurité au sein de Microsoft et dont le travail est axé sur la résolution des défis liés à la sécurité des services en ligne. Cette équipe développe et partage des meilleures pratiques de sécurité, des outils, des processus, des modèles et des compétences liés aux nouveaux vecteurs d'attaque et aux nouvelles vulnérabilités. L'OSSLT a été formée afin d'avoir un impact stratégique sur la façon dont Microsoft traite la sécurité de Software-plus-Services (S+S). John Walton est Responsable de la sécurité chez Microsoft, où son rôle consiste à gérer l'équipe de sécurité d'ingénierie responsable de l'activation et de la progression du développement sécurisé des services en ligne Microsoft de confiance. Son équipe et lui ont fondé l'OSSLT (Online Services Security Leadership Team) afin de promouvoir et de collaborer au développement de meilleures pratiques de sécurité au sein de la communauté élargie des services en ligne de Microsoft. Le travail de cette équipe porte entre autres sur la recherche en matière de sécurité, la modélisation des menaces, l'audit de code, le développement d'outils et les tests de pénétration de software-plus-services développés et hébergés par Microsoft pour les entreprises.

  Voir une interview avec John Walton

 

Création de nuages : comment éviter la pluie lors de la transition du Sur site aux Services

Description de la sessionConférencier
Une quantité de plus en plus importante de projets logiciels traditionnels évoluant aujourd'hui vers le nuage et étant délivrés en tant que services, les entreprises doivent reconnaître que les mécanismes de sécurité sur lesquels elles reposaient autrefois ne suffiront pas à faire face aux menaces Internet élargies et aux plus grandes attentes des clients dans les services basés sur nuage. Nous étudierons quelques aspects uniques liés à la conception de services de nuage adaptés à l'entreprise et à la mise en œuvre d'une approbation, qui contribueront à créer le succès d'un fournisseur de nuage en termes de sécurité et à éviter tous les pièges et problèmes inattendus.

Robert Fly
Directeur de la sécurité des produits, Salesforce.com

Robert Fly dirige l'équipe de sécurité des produits chez Salesforce.com. Entre autres choses, son équipe gère les efforts en matière de cycle de vie du développement de la sécurité qui garantissent qu'une attention toute particulière est portée à la sécurisation des données des clients. Grâce à l'automation, à des outils, à des points de contrôle et à des normes de sécurité, Salesforce.com est parvenu à établir et maintenir un programme qui démontre son engagement envers la confiance de ses clients.

Avant de rejoindre Salesforce.com, Robert a passé huit ans chez Microsoft, où il dirigeait encore récemment l'équipe de sécurité logicielle de l'entité qui porte aujourd'hui le nom de Services en ligne Microsoft. Auparavant, il était membre de l'équipe de sécurité Office, où il a contribué à sécuriser des produits tels qu'Outlook et SharePoint. Il est co-auteur d'un ouvrage intitulé Open Source Fuzzing, membre fondateur de la Cloud Security Alliance, titulaire de la certification CISSP, et propriétaire de plusieurs brevets en instance dans les domaines de la sécurité et des tests de logiciels.

 

Partager le nuage avec l'ennemi

Description de la sessionConférencier

Grâce à l'abondance des offres de services de nuage émergentes, la puissance de calcul aujourd'hui accessible à presque toute personne disposant d'une carte bleue (volée) est tout simplement exceptionnelle. Cette présentation ne traitera pas des implications juridiques et de conformité de la consommation de services de nuage ; laissons cela aux auditeurs et à leurs listes de vérification. Au lieu de cela, nous traiterons des sujets suivants :

  • Examen de la manière dont la « pile de sécurité » du nuage augmente ou réduit les expositions de sécurité.
  • Démonstration de la façon dont l'impact de vecteurs d'attaque bien connus peut avoir un effet dévastateur sur les plateformes de nuage et les clients qui les consomment.
  • Description détaillée de vulnérabilités découvertes qui ont affecté des fournisseurs de nuage bien connus.
  • Nouveaux vecteurs d'attaque qui ciblent les modèles professionnels des fournisseurs de services de nuage et qui sont susceptibles d'introduire un abus perpétuel et inévitable en l'absence de déviation des modèles professionnels des fournisseurs de nuage.

L'objectif de cette présentation est de lancer une discussion au sein de la communauté technologique, avec comme sincère espoir qu'elle mènera à la réalisation des implications en matière de sécurité des modifications qui affecteront probablement les plateformes de nuage et leurs clients dans un avenir proche.

Billy Rios
Ingénieur en sécurité, Microsoft

Billy Rios travaille actuellement comme Ingénieur en sécurité pour le groupe Business Online Services de Microsoft. Avant cela, il était testeur de pénétration pour VeriSign et Ernst and Young. En cette qualité, il a collaboré avec de nombreuses organisations du Fortune 500 afin d'évaluer l'efficacité de leur position en matière de sécurité. Billy est réputé pour ses compétences et sa capacité à surpasser en finesse les équipes de sécurité, outrepasser les mesures de sécurité et illustrer le risque professionnel lié aux expositions de sécurité aux dirigeants et décideurs d'entreprise. Avant d'être testeur de pénétration, Billy a travaillé comme Analyste d'assurance des informations pour la DISA (Defense Information Systems Agency). Durant cette période, il a aidé à protéger les systèmes d'informations du Ministère de la Défense en effectuant des travaux de détection d'intrusion de réseau, d'analyse de vulnérabilité, de gestion d'incident et de signalement d'incident concernant des événements liés à la sécurité. Avant d'attaquer et de défendre les systèmes d'informations, Billy était officier en service actif dans la Marine nationale des États-Unis. Billy a participé à de nombreuses conférences sur la sécurité, notamment : les briefings Black Hat, BlueHat, RSA, Hack in the Box et PACSEC. Il est titulaire d'une Licence d'Administration des entreprises, d'une Maîtrise en Systèmes des informations, et étudie actuellement en vue d'obtenir un Master of Business Administration.

Nathan McFeters
Conseiller en sécurité, Ernst and Young

Nathan McFeters travaille comme conseiller en sécurité pour le Centre de sécurité avancée de Ernst & Young basé à Houston, au Texas. Il a rempli plusieurs missions dans des domaines tels que les applications Web, le code source profond, Internet, les intranets, la technologie sans fil, l'accès à distance et l'ingénierie sociale pour plusieurs clients du Fortune 500 durant sa carrière chez Ernst & Young, et a assumé la fonction de Gestionnaire de mission pour le plus grand client de l'ASC, menant plusieurs centaines d'études d'applications Web rien que durant cette année.

Avant de rejoindre Ernst & Young, Nathan travaillait comme conseiller auprès de Solstice Network Securities, une société qu'il a cofondée avec Bryon Gloden d'Arxan et dont la mission consistait à conseiller des clients dans la région Ouest du Michigan. Ceci lui a permis de payer ses études menées à l'Université du Western Michigan.

Nathan est titulaire d'une Licence en Théorie et analyse informatiques et d'une Maîtrise en Informatique avec spécialisation en sécurité informatique.

  Voir une interview avec Billy Rios & Nate McFeters

 

Comment rendre un logiciel stupide

Description de la sessionConférencier

Nous décrirons notre expérience avec un système conçu pour sélectionner des candidats d'entrée initiale optimaux pour des tests de fuzzing logiciel parmi de gros échantillons de corpus avec un investissement initial minimal en termes d'effort. Le fuzzing assisté par inférence de modèle s'est révélé être très performant pour l'identification des vulnérabilités dans l'analyse logicielle de données d'entrée hautement structurées ; nous décrirons comment obtenir des résultats comparables sans la grammaire requise et pour un coût de mise en œuvre nettement réduit. Notre technique applique une minimisation de couverture fixe aux échantillons de corpus, combinée à une mutation pilotée par feedback à l'aide d'une nouvelle technique que nous appelons profilage de sous-instruction. Nous démontrerons comment nous avons utilisé cette technique pour découvrir plusieurs vulnérabilités dans Windows.

(Le titre de cette présentation est dérivé de l'observation selon laquelle les recherches les plus poussées en matière de fuzzing tendent à rendre les fuzzers plus intelligents et à leur procurer une meilleure compréhension du protocole et de la cible qu'ils attaquent. Nous sommes de l'avis qu'il s'agit d'une approche erronée et illustrons comment rendre les logiciels « plus stupides » de manière générique et rendre le fuzzing très naïf aussi efficace que les fuzzers plus onéreux [en termes d'efforts de développement]).

Tavis Ormandy
Ingénieur en sécurité, Google

Tavis Ormandy travaille comme chercheur en sécurité UNIX et est un participant actif en matière de sécurité Open Source. En sa qualité d'Ingénieur en sécurité des informations au sein de l'équipe de sécurité de Google, il est responsable de l'identification et de l'analyse des vulnérabilités et des exploitations dans une large gamme de logiciels. Il est le co-auteur des récentes publications Exposing Application Internals et Hostile Virtualized Environments.

Neel Mehta
Ingénieur logiciel, Sécurité des informations, Google

Neel Mehta travaille comme chercheur en sécurité chez Google, avec comme domaine d'expertise la reconstitution de la logique des produits. La plus grande partie de sa carrière a été vouée à la recherche de vulnérabilités majeures dans les logiciels et matériels réseau. Il est le co-auteur d'un ouvrage intitulé The Shellcoder's Handbook et a participé à de nombreuses conférences académiques et conférences appliquées sur la sécurité des informations. Par-dessus tout, l'objectif de Neel est d'être sur le devant de la scène en matière de recherche de vulnérabilités et de reconstitution de la logique des produits, qui sont ses vraies centres d'intérêt. Il apprécie tout particulièrement les travaux d'audit de logiciels Microsoft.

 

Ingénierie de sécurité de bureau

Description de la sessionConférencier

Il s'agit d'une présentation en plusieurs parties délivrée par des ingénieurs travaillant à la sécurité de Microsoft Office. La première partie décrira en détail une infrastructure de fuzzing distribuée. La seconde partie décrira en détail les défenses d'ingénierie contre les attaques de fuzzing dans la prochaine version d'Office (Office 2010).

Les chercheurs en sécurité et attaques « zéro » continuent de nos jours d'exploiter les bogues de fuzzing dans les produits Microsoft. Que faisons-nous pour assurer la défense de nos produits ? Comme il a été mentionné dans la conférence Blue Hat de l'an passé, plus le nombre d'itérations de fuzzing effectuées est élevé, plus vous avez de chances de trouver des bogues. Le cycle de développement de sécurité (SDL, Security Development Lifecycle) requiert aujourd'hui une série d'un demi million d'itérations sans fuzz avant d'autoriser la publication. Cela semble une cible raisonnable et judicieuse, mais que se passe-t-il si votre application analyse plus de 200 formats ? Il faut alors penser à exploiter la puissance d'un botnet pour effectuer tout le travail, tout ceci avec commandes de fuzzing et serveurs de contrôle afin de déléguer le travail aux robots de fuzzing.

Cette présentation traite d'une infrastructure conçue par l'équipe Office en vue de fuzzer de manière efficace tout analyseur de format de fichier. Cette infrastructure, qui peut être utilisée par toute équipe de produit interne qui analyse des entrées de fichiers, réduit sensiblement les difficultés liées au fuzzing de fichier. Elle ne constitue pas en elle-même un fuzzer. Vous n'aurez pas besoin de réécrire vos fuzzers. Au lieu de cela, elle permet à vos fuzzers existants de s'enficher et de s'exécuter de manière distribuée. L'équipe Office utilise ce système pour effectuer plusieurs millions d'itérations par jour sans acheter de matériel supplémentaire. Elle a en effet converti des ordinateurs de bureau et des ordinateurs de laboratoire en un botnet à des fins de fuzzing durant les temps morts. Cette présentation traitera également d'autres défis résolus par l'infrastructure de fuzzing distribuée : la gestion centralisée des exécutions, la planification des travaux périodiques, la détection des doublons parmi les ordinateurs et les séries d'exécution, les passes de régression automatisées, ainsi que l'archivage automatisé des bogues.

Il est probable que certains bogues ne seront pas détectés, même avec des millions d'itérations de fuzz et en respectant les meilleures pratiques du cycle de développement de sécurité. C'est pourquoi l'équipe de sécurité d'Office a également conçu une série de défenses en couche afin de renforcer la protection des analyseurs. Cette présentation traitera également de deux de ces couches. La première couche, nommée Opérateur de contrôle d'appels, aide à confirmer si les données doivent être chargées par l'application cible. L'architecture Opérateur de contrôle d'appels peut être utilisée par d'autres applications et décrit des formats binaires supplémentaires. La seconde couche exploite les niveaux d'intégrité de Windows et porte le nom de Mode protégé. Même exécuté à l'intérieur du Mode protégé, du code malveillant ne devrait pas être en mesure de modifier l'ordinateur hôte. Nous démontrerons comment de récents cas du MSRC ont tiré parti du Mode protégé et de l'Opérateur de contrôle d'appels.

  Voir la présentation sur l'ingénierie de sécurité de bureau

Tom Gallagher
Responsable des tests de sécurité, Microsoft

Tom Gallagher est depuis un très jeune âge passionné par la sécurité, à la fois physique et informatique. Il est actuellement Responsable de l'équipe de Tests de sécurité de Microsoft Office. Il est le co-auteur d'un ouvrage publié chez Microsoft Press intitulé Hunting Security Bugs et a participé à des conférences Open Web Application Security Project (OWASP), Black Hat et TechEd.

David Conger
SDET II, Microsoft

David Conger a commencé sa carrière chez Microsoft en 2005 après des études menées à l'Université de Puget Sound. Il travaille comme Ingénieur en développement logiciel (Test II) dans l'équipe Microsoft Access et a conçu l'Infrastructure de fuzzing distribuée dans le but de mieux exploiter les ressources de fuzzing de son équipe.

  Voir une interview avec David Conger & Tom Gallagher

 

Transformations de caractères : à la recherche des vulnérabilités cachées

Description de la sessionConférencier

Les applications Web subissent chaque jour de nouvelles attaques, à mesure que les agresseurs trouvent de nouveaux vecteurs pour mener des attaques de scripts inter-sites. Nous décrirons dans cette présentation comment une gestion latente des caractères et des chaînes peut transformer des entrées intelligentes en sorties malveillantes. De nombreuses infrastructures d'applications, telles que Microsoft .NET et ICU, autorisent ce comportement sans que le développeur en ait conscience. Nous discuterons des transformations de chaînes par le biais de mappages de meilleure correspondance, d'opérations de casse, de normalisation, de sur-consommation et autres moyens, avec des entrées utiles pour effectuer des tests. La publication d'un outil de test est également prévue dans un proche avenir.

Nous traiterons également de l'état actuel des attaques de tromperie visuelle. Les attaques par hameçonnage sont très répandues sur le web, et des URL bien conçues peuvent améliorer les chances de succès d'une attaque. Il est très révélateur de constater la vulnérabilité des navigateurs Web modernes envers de nombreuses formes d'attaques de tromperie visuelle.

Chris Weber
Cofondateur, Casaba Security

Chris Weber est le cofondateur de Casaba Security, société pour laquelle il dirige le développement de produit pour de nouveaux outils de sécurité des applications Web et Unicode. Il a travaillé pendant de nombreuses années dans le domaine des tests de sécurité logicielle pour certaines des plus grandes sociétés de développement logiciel au monde. Il a publié plusieurs articles et ouvrages sur la sécurité, et donne régulièrement des présentations lors de conférences. Il travaille depuis plus de dix ans en tant que conseiller et chercheur en sécurité, et a identifié des centaines de vulnérabilités de sécurité dans de nombreux produits d'usage courant.

  Voir une interview avec Chris Weber

 

Microsoft réalise une enquête en ligne pour comprendre votre opinion sur le site Web de. Si vous choisissez de participer, l’enquête en ligne vous sera présentée lorsque vous quitterez le site Web de.

Souhaitez-vous y participer ?