18th EICAR Conference
Par Mickaël le 23 mai 2009, 19h58 - Commentaires - Lien permanent
La semaine dernière se déroulait la 18e édition de la conférence EICAR à Berlin. Cet évènement à rassemblé des universitaires et des industriels qui ont pu déballer leur découvertes et/ou perspectives autour de la sécurité informatique.
La rencontre à démarré doucement avec, en guise d'échauffement, deux jours de pré-conférence. On a eu droit dans un premier temps à un état de l'art assez large sur les malwares et un point de vue de leur vie partant de leur création jusqu'à leur utilisation.
Le samedi a été consacré à deux tutoriaux. Le premier sur l'analyse forensic sous Linux à partir de la mémoire volatile récupérée de manière quelconque (/dev/{k,}mem ou fichier de dump). À la clé, un premier outil est disponible : Draugr (traduisible par revenant ou mort-vivant). Une deuxième partie était consacré à l'utilisation des langages de scripts utilisés par les navigateurs, ce qui incluais les différentes attaques existantes et également une approche plus théorique.
Lundi, la conférence à été ouverte par un des acteurs qui a mis à la lumière la science des virus informatique : Fred Cohen. Il nous a présenté sont point de vu sur les malwares et leur monde, incluant de facto toute l'industrie qui tourne autour, ce qui a eu pour conséquence de froisser une partie des spectateurs et de faire plus ou moins sourire l'autre partie. Il a par ailleurs donné quelques-uns de ses documents parmi lesquels j'ai eu la chance de recevoir ça thèse.
À suivi une présentation du projet WebPatrol de l'Allemagne et un état de l'art d'une nouvelle utilisation des malwares avec notamment le chantage aux données chiffrées. J'ai ensuite fait une erreur en assistant à une présentation (qui a dû se perdre) sur l'« avenir » de l'informatique et des menaces qui y sont associées. Comme quoi il ne faut pas se fier au titre qui peut être trompeur (mot « virtuel » : rien à voir avec la virtualisation)... Changement de salle ensuite pour une explication très intéressante sur les malwares métamorphiques et leur détection par les solutions antivirus actuelles : il y a du travail sur la planche !
Une approche innovante à été apportée avec la recherche/détection de contenus stéganographiques dans la solution Migale antivirus fraichement disponible en GPL ! J'ai ensuite présenté une approche pratique d'un canal caché dans le virtualiseur Xen : XenCC. Par la suite, une petite présentation a été donné par un psychologue concernant la psychologie dans le contexte des dangers d'Internet pour l'utilisateur final. Un débat mené par les grand acteurs antivirus et par le corps académique a permis de mettre en avant de nouvelles procédures de test centré sur la pertinence des solutions de protection. Les tests actuelles étant casi inexploitables, non reproductibles et (pour certains) dépassés.
Mardi a commencé par le meilleur papier comprenant une approche théorique et pratique. C'est en utilisant et complétant les maths des coordonnés parallèles qu'a été créé un logiciel de visualisation multidimensionnel. Picviz est un outil indépendant (à la manière de Graphviz) qui peut être utilisé en sécurité pour la corrélation visuelle de logs. Son utilisation peut également être étendue, en particuliers dans les domaines scientifiques qui ont un besoin important de mesures et surtout d'extraction de données visuelles. Bref, une présentation qui méritait sa nomination !
C'est ensuite une présentation sur un hyperviseur nommé Hytux, inspiré de BluePill, ayant pour but de vérifier/contrôler l'accès à certaines zones mémoire du noyau Linux à partir du ring -1. De cette façon même en cas de compromission du noyau, le contrôle est toujours possible. La prochaine séance aura lieu (en français cette fois-ci) lors du SSTIC09. Continuant sur la voie de la virtualisation, a été expliqué la détection de rootkit HVM (BluePill-like) grâce au temps que prend l'exécution du malware. Le problème étant que le logiciel de test est lui-même (partiellement) sur la machine infectée.
Une présentation a ensuite décrit l'investigation sur un botnet et son fonctionnement au niveau technique et économique. Enfin, la dernière page de cette conférence à mis en évidence des techniques permettant de faire changer le PageRank d'une page pour des moteurs de recherches, les conséquences que cela peut avoir, et ce qui peut être entrepris afin de l'éviter.
De bonnes découvertes donc, même s'il était impossible de tout suivre du fait des doubles conférences. La prochaine étape étant sans doute iAWACS !