User Rating: 5 / 5

Star ActiveStar ActiveStar ActiveStar ActiveStar Active
 
Details

Formats de fichiers décisions et conséquences

 

L'equipe RIP, 0 day de google zero, pour trouver les failles en interne; Ce n'est pas une Red Team publique qui fuzz depuis l'exterieur. C'est une équipe interne, il n'y a donc pas de publications des 0 days, mais des corrections en interne.

 

En 1989, virus

CP/M

|cmp, il n'y avait pas de notion de répertoire

On crée un fichier vide; est-ce que fichier est valide, oui, c'est une commande transitoire. La seule chose de validée est l'extension;

C'est copié en mémoire, pas de validation;

La mémoire transitoire n'est pas nettoyée. Le fichier vide repete les commandes précédantes! Il est valide, utile, fiable

 

La sécurité, on fuzz, on fail, on recommence; il y a plein de nouveau formats de fichiers qui sortent tous les jours.

 

Meme chez Google les développeurs ne développent pas forcement bien.

 

Problème de base: on ne crée que des nouveaux formats que quand on en a besoin.

Les gens commencent à coder quand on a bien lu les specs...

 

Avoir un agic offset à à ce n'est pas facile.

 

Des fois on a comme source, un binaire avec son .h, sans doc.

 

les specs ne sont pas implémentées.

 

Spec du gif dans les années 80; 80x25 ; On peut implementer des sous titre, mais cette spec n'est pas implémentée.

 

Les mauvais parseurs sont nés. Les parseurs robustes ont une vision complètement différente.

 

Si on prend un fichier source javascript que l'on modifie l'en-tête, il peut etre considéré comme un .exe

 

Les fichiers polyglotes dans la nature; C'est sympa comme les hybrides DEBIAN: ISO + MBR, c'est un ISO qui boot aussi en live CD

 

Google science importe des tas de fichiers, en chimie par exemple, et ces fichiers 

 

Quel format de fichier commence par 00 00 00 00 00 00 00 00 00 00 00 00 00 ? Ce sont les Isos qui commencent par 32000 isos.

 

Le format DICOM est une monstruosité, car les médecins s'en fichent de l'infosec. On peut pivoter avec ces fichiers.

Idem dans les fichiers base de donnée, SQLITE3, on peut modifier la magic .

 

Les PDFs malformés, les polices sans noms.

 

LEs collisions, les techniques existent avec Sha1 et MD5. On peut combiner les collisions avec d'autres fichiers. 

On a toujours une zone d'entropie bourrée de rien, des commentaires d'aléas, c'est louche.

 

Il faut donc arrêter de faire des mauavis formats de fichiers

 

Magic at offset zero: s'il n'y en n'a pas, en mettre un.

Souvenez vous de l'exemple de la base de donnée transformée en système de fichier.

 

Obsolescence

Il faudrait que les specs se mettent à jour pour expliquer les problemes de sécurité.

 

http://corkami.com

This email address is being protected from spambots. You need JavaScript enabled to view it. avec son associé Philippe Teuwen

 

 

 

 

Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit. J'espère que ça vous a plu. Vos commentaires/remarques sont les bienvenus: