Black Hat 2012 : Day 1, piqûre de rappel
Une première journée comme une piqûre de rappel. Rien de très nouveau aujourd'hui, et la journée a été essentiellement consacrée à des revues, synthèses et autres rappels de travaux antérieurs.
Les « confessions d’un développeur » ne révolutionne pas les techniques d’évasions utilisées contre les Web Application Firewall, « Torturing SSL » n’est qu’un remake fonctionnellement limité de l’excellente série de « Comment récupérer sa clef privée RSA avec… » de Georges Bart. Et quand ce dernier proposait comme moyen de récupération un chronomètre, un marteau ou une prise de courant, Valeria Bertacco ne nous offre que cette dernière option.
Un peu d’innovation avec le turbo talk de Nick Galbreath sur libinjection, une librairie de détection des injections SQL basée sur l’analyse syntaxique. Une nouvelle approche qui va dans le sens de l’histoire et qui reste néanmoins unique aujourd’hui.
Enfin un soupçon d’expérimentation avec le portage de ModSecurity sur les « autres » serveurs web du marché : IIS et nginx.
Le meilleur pour la fin
Pour finir, les pwnie awards, dont le verdict est attendu chaque année avec crainte et impatience. Récompensant les plus grands échecs de l’année les pwnie ont cette année F5 comme grand favori, nominé pour la fuite de sa clef privée ouvrant l’accès à tous ses répartisseurs de charge déployés dans le monde… Bravo les gars !
Sous couvert de plaisanterie, ce pwnie award sonne comme un coup de semonce à l’industrie de la sécurité. Au même titre que cette journée, presque entièrement consacrée à des revues d’attaques datant de plusieurs années, et toujours pas bloquées…