L’une des présentations les plus attendues ne s’est malheureusement pas déroulée comme prévu. En effet, David Litchfield (NGS Software) avait annoncé la présentation d’une vulnérabilité encore inconnue (0day) sur Oracle mais l’éditeur n’a pas eu le temps de développer et diffuser le correctif, David s’est refusé alors de présenter cette faille tant qu’un correctif n’était pas disponible. Il a finalement présenté diverses techniques relatives au  » SQL Injection  » et aux procédures PGsql. Rien de très innovant et excitant.

En revanche, la présentation de Halvar Flake  » Diff, Navigate, Audit  » tombe à point pour nous rassurer et remonter le niveau. Pour cette session, il valait mieux s’installer au premier rang, juste devant l’écran et s’accrocher à son siège. C’est parti pour 75 minutes de  » reverse engineering « . Halvar n’est pas un présentateur hors norme mais il est l’un des seuls au monde possédant une connaissance technique aussi pointue dans ce domaine très particulier. Sa présentation est orientée sur le  » diff  » d’update de sécurité. C’est-à-dire l’étude des différences notables entre un binaire  » patché  » et un binaire vulnérable. La problématique est d’identifier la partie du binaire qui a été modifie afin de comprendre comment exploiter la vulnérabilité. Ce  » process  » peut rapidement tourner au cauchemar sachant que parfois un infime changement dans le code va entraîner d’importantes modifications dans le binaire. Dans son analyse, Halvar adopte une approche visuelle. Muni d’un plugin IDA pro, Halvar visualise la Structure d’un binaire en mettant en évidence les relations entre les fonctions. En chargeant un binaire vulnérable et un binaire patché il nous explique comment rapidement trouver la partie du code a exploiter. Pour illustrer sa démonstration, Halvar a utilisé une des vulnérabilités Microsoft publiées cette année. Le sujet du  » timing advisory to exploit  » n’a pas été abordé mais en maîtrisant ces techniques il faut environ huit heures (après la publication d’une alerte de sécurité Microsoft) pour avoir un  » exploit  » fonctionnel.

En allant assister à la présentation de Saumil Shah  » Defeating Automated Web Assessment Tools  » nous pensions avoir un moment répit pour nos neurones. Il n’en est rien.

Précédemment Saumil avait publié un outil de prise d’empruntes  » fingerprinting  » de serveurs Web. Cette année, Saumil présentait son nouvel instrument qui permet justement d’éviter à un serveur Web de subir des  » scan  » et autres tentatives de prise d’empruntes. Son outil sera prochainement disponible. Les perspectives sont intéressantes dans ce domaine de la sécurité des applications web.

Toujours dans le domaine de l’intrusion et la protection, nous ne pouvions passer à coté de la présentation remarquée de Eugene Tsyrklevich sur les possibilités de contourner les IPS (Intrusion Prevention System). Très clair et simple dans ses explications, Eugene a démontré comment  » by-passer  » les hosts based IPS. Les techniques expliquées s’appliquent à tous les host IPS actuels et du marché. Voilà un bilan sévère pour cette industrie mais Eugene reste positifs :  » Je crois que ces produits ont un avenir brillant mais pour l’instant ils ne sont pas assez au point « . Pour illustrer ses théories, Eugene en a fait la démonstration sur le produit McAfee Entercept. Le représentant d’Entercept qui était dans l’assistance en a presque eu les larmes aux yeux et a rapidement quitté la salle.

Le premier jour s’est achevé sur une très bonne présentation et le cocktail dînatoire pouvait commencer. C’est le moment privilégié pour les contacts et échanges d’idées avec les acteurs du monde de la sécurité. On remarque également que la conférence BlackHat est un véritable terrain de chasse pour des entreprises comme Microsoft ou Symantec qui viennent y trouver leurs ingénieurs et experts.