Post on 05-Aug-2015
1
LES ATTAQUES INFORMATIQUES
2
Les attaques informatiques
1Introduction et historique
2Les types
d’attaque
3Catégories
4Techniques
3
Introduction et historique1
• A l'aube du 3ème millénaire, toute entreprise, quelque soit sa taille, est informatisée.• Son informatique s'étend à tous ses
services :Production,Administration,Gestion,Recherche,Etc.
Système d'information communicantmise en réseau de ces services
L'informatique et l'entreprise
• L'informatique est un outil utilisé par : Le personnel sédentaire
Réseau local (si un seul site)Réseau distant (si plusieurs sites)
Le personnel itinérantOuverture du réseau interne vers l'extérieur
• Autant de risques pour les données
• Mise en place d'une politique de sécurité
L'informatique et l'entreprise
La sécurité des données se définit par :La disponibilité
Offrir à l'utilisateur un système qui lui permette de continuer ses travaux en tout temps.Peut être interrompue à la suite d'un sinistre tel que la panne, la rupture physique du réseau, l'erreur, la malveillance, etc.
L'intégritéGarantir la qualité de l'information dans le temps.Peut être détériorée suite à des erreurs telles que saisie d'information erronée voire illicite, destruction partielle ou totale de l'information, etc.
La confidentialitéSe prémunir contre l'accès illicite à l'information par des personnes non autorisées.Peut être piratée, détournée, etc.
La protection des données
• Simple accès au réseau, Destruction, dommages ou modificationdes données,
• Contrôle du système, en refusant l'accès aux utilisateurs privilégiés,
• Génération des messages dont le destinataire est le réseau piraté (spamming),
• Implémentation de procédures provocant la défaillance, le ré-amorçage, l'immobilisation… du réseau.
Actions des pirates
• Selon Computer Security Institute, sur 520 sites interrogés en 1998 :64% ont signalés des violations de sécurité,25% ont souffert d'attaque par déni de service,25% ont fait l'objet d'une intrusion à distance,54% ont indiqué qu'Internet constituait le point d'entrée pour les intrus.
• Selon un chercheur en sécurité : Dan FarmerLes sites, testés directement par le chercheur, sont ceux des banques, des organismes de crédit, etc.Plus de 65% des sites testés sont vulnérables aux attaques les plus connus,
Statistiques…
De nombreuses cibles possédaient des pare-feu.• Selon Ernst & Young :
Étude portant sur 4 000 directeurs informatiques interrogés sur une grande variété de points concernant la sécurité Internet et le e-commerce sécurisé.35% n'employaient pas de systèmes de détection d'intrusion,50% ne surveillaient pas les connexions Internet,60% ne possédaient aucune stratégie écrite pour répondre aux incidents de sécurité.
Statistiques…
Écoute passiveRôle du sniffer : vol de l'information, de mot de passe.
SubstitutionSpoofing : trucage de la source (se faire passer pour un autre).
Cheval de Troie ( trojan )Traitement frauduleux sous le couvert d'un programme autorisé.
Déni de serviceRendre impossible l'accès à un service en le neutralisant ou en le submergeant.
Un peu de vocabulaire…
Bombe logiqueTout programme qui provoque le plantage d'un système (en général malveillant).
FloodUn ou plusieurs outils qui permettent d'inonder la file d'attente de connexion d'un système exploitant TCP/IP et provoquant ainsi un déni de service.
Capture de frappeUtilitaire qui capture à l'insu de l'utilisateur sa frappe ; utilisé pour obtenir le nom et mot de passe d'un utilisateur.
Un peu de vocabulaire…
12
2 Types d’attaque
13
On distingue en général 4 types d’attaque
Attaques sur les systèmes :-Touche l’intégrité du système,-Exécution de processus non autorisés,-Exemple: Cheval de Troie…
Attaques sur les protocoles de communication: -Mène à une intrusion-Exploiter les failles des protocoles (ICMP, UDP, etc.),
Les différentes attaques possibles
Attaques sur l'information :-Propagation d'un virus dans l'entreprise,-Écoute des données échangées sur le réseau,-Modification des données pendant leur transport,
Attaques sur les applications :-Applications à risque (DNS, SNMP, HTTP, NFS, FTP, SMTP, etc.),-Attaquer des applications connues (Oracle, Office…),
Les différentes attaques possibles
3 Catégories
C'est la plus simple des attaques à réaliser :
• Le hacker attaque directement sa victime à partir de son ordinateur • Utilisation des scripts d’attaques faiblement paramétrables• les programmes de hack utilisés envoient directement les paquets à la victime.
• IL est possible en général de remonter à l'origine de l'attaque, identifiant par la même occasion l'identité de l'attaquant.
Les attaques directes
Cette attaque est très prisée des hackers.
• Deux avantages du rebon : -Masquer l'identité (l'adresse IP) du hacker. -Utiliser les ressources de l'ordinateur intermédiaire car il est plus puissant pour attaquer.
• Le principe est simple : -Les paquets d'attaque sont envoyés à l'ordinateur intermédiaire, qui répercute l'attaque vers la victime. D'où le terme de rebond. • Exemple : FTP Bounce, …
• Il n'est pas facile de remonter à la source. Au plus simple, on peut remonter à l'ordinateur intermédiaire.
Les attaques indirectes par rebond
-Cette attaque est un dérivé de l'attaque par rebond.
-Elle offre les même avantages, du point de vue du hacker.
-Au lieu d'envoyer une attaque à l'ordinateur intermédiaire pour qu'il la répercute, l'attaquant va lui envoyer une requête.
-Et c'est cette réponse à la requête qui va être envoyée à l'ordinateur victime.
Les attaques indirectes par réponse
20
4 Techniques
21
Classification selon:• Choix d’implémentation : buffer overflow, Ping of death,
land, TCP syn, Teardrop …
• Conception des protocoles : Smurf:, email (bombing, spamming), UDP-bombing, ftp bounce, prédiction des numéros de séquence de TCP, TCP connection killing …
• Usurpation ou modification: sniffing, ARP spoofing, IP spoofing, TCP hijacking, email spoofing, dns cache poisonning, web spoofing …
• Bugs :Volontaires (virus, cheval de troie …)Non volontaires (netscape server …)
Typologie
22
Description• Ping est basé sur icmp echo/reply• Taille maximum d ’un paquet IP 65536 octets• ICMP est encapsulé par IP• L ’attaque consiste à générer des paquets ICMP de
taille 65510 (8 octets pour le header icmp et 20 octets pour le header IP)
• Fragmentation à la source, le réassemblage provoque le crash du buffer de l ’émetteur
Effet : Crash ou reboot de la machine.
Parade: software (patches).
Attaques - Les choix d ’implémentations Ping of Death
23
• Les tailles de MTU différentes impliques la fragmentation des paquets
• Champ: identification, flags et fragment offset• Attaque par altération du fragment offset
Effet: Crach de la machine.
Parade : Patch.
Attaques - Les choix d ’implémentationsTeardrop
24
Forge des segments TCP syn avec l ’adresse source identique à l ’adresse de la machine victime
Effet : Crash de la machine.
Parade: Software ou filtrage.
Attaques - Les choix d ’implémentationsLand
25
L ’établissement d ’une connexion s ’effectue par un three-way handshake
Attaques - Les choix d ’implémentations TCP SYN Flooding
SYN x
SYNy, ACKx+1
ACK y+1
LISTEN
SYN_RECVD
CONNECTED
26
Allocation des structures: inpcb, tcpcb.Attente dans l ’état SYN_RECVD (75s).Nombre limité de connexions dans cet état.Effet:
Perte de connectivitéParade :
Réduction du timer. Augmentation du nombre de connexions semi-
ouvertes. Désactivations des ports inutiles. Filtrage, et proxy.
Attaques - Les choix d ’implémentations TCP SYN Flooding
27
Attaques sur les OS multitâches (unix, WNT)Pour obtenir des droits d ’accès privilégiésProcessus en exécution avec les droits suidProcessus en mémoire: zones (code ou texte, données, pile)La pile est alloué de façon dynamique:
variables locales et pointeur sur l ’adresse retour après exécution
Appel à une fonction qui fait déborder la pileAdresse retour réécrite par ce procédé
Attaques - Les choix d ’implémentations Buffer Overflow
28
Effet : Crash ou obtention d ’un accès privilégié.
Parades: Vérification du remplissage des tampons. Modifications des programmes et des
compilateurs (remplacement des fonctions vulnérables: copie et concaténation)
Modification du noyau pour marquer la pile non exécutable
Attaques - Les choix d ’implémentations Buffer Overflow
29
Saturation des ressources systèmes : Email-bombing /spamming, Smurf.
Saturation des ressources réseau : Smurf, UDP-bombing.
Attaques – Le design des protocoles
30
Envoi d ’un message répété à une même adresseSpamming variante du bombing : le message est envoyé à des centaines ou milliers d ’adressesFalsification de l ’adresse d ’origineEffets :
congestion du réseau crash du serveur de messagerie indisponibilité du serveur, des ressources
physique, et de l ’entrée syslogParades :
Supervision, filtrage, proxy
Attaques - Le design des protocolesEmail Bombing/Spamming
31
Envoi de ICMP echo vers une adresse broadcast dont l ’adresse source est celle de la victime
Effet : Congestion du réseau intermédiaire et de la
victime.
Parades : Filtrage (au niveau des trois réseaux). OS: ne pas répondre pour des adresses
broadcast.
Attaques - Le design des protocoles Smurf
32
Faire conserver deux ports qui génèrent du trafic (ex: chargen port 19, echo port 7)Mettre en relation le port 19 de la première victime avec le port 7 de la deuxième victime
Effets : Si les deux ports sont sur la même machine les
performances de celle-ci se dégradent. Si les deux ports sont sur des machines différentes
ceci provoque la congestion du réseau.Parades :
Filtrage de tous les services sur UDP à l’exception du port 53 (DNS).
Désactiver tous les ports UDP inutiles.
Attaques - Le design des protocoles UDP bombing
33
Deux ports TCP l ’un pour les commandes et l ’autre pour les donnéesLa commande PORT n1,n2,n3,n4,n5,n6 de FTP détournement des données en changeant les paramètres ni utilisé pour contourner un firewall.
Effets : Intrusion dans un réseau. Détournement du filtrage.
Parades : Bien étudier l ’usage des serveurs ftp. Architecture : isoler le serveur ftp . Software: contrôler l ’usage de la commande PORT ( package
wu-ftpd). Proxy : élimine les codes ports ayant comme origine un service
interne connu. Authentification forte.
Attaques - Le design des protocoles FTP bounce
34
Prédire le numéro de séquence initial.Etablissement d ’une connexion et mesure du RTT pour prédire l ’ISN.Substitution d ’une adresse reconnue.
Effet : Etablissement d ’une connexion non
autorisée.
Parade : Implémentation (un espace de numéro de
séquence séparé pour chaque connexion). Authentification (IPsec).
Attaques - Le design des protocoles Prédiction des numéros de séquence de TCP
35
Envoi d ’un segment TCP avec le bit RST : possible uniquement si le numéro de séquence est connu.
Effet :
Perte de connectivité.
Parade :
Authentification (Ipsec).
Attaques - Le design des protocoles TCP connection killing
36
Ecoute du trafic (sniffing ou eavesdropping)Se faire passer pour interlocuteur légitime aux niveaux:
Liaison des données (ARP spoofing). Réseau (IP spoofing, TCP hijacking). Applicatif (email spoofing, DNS spoofing, web
spoofing).
Attaques - Les détournements et interceptions
37
Ecoute indiscrète des données sur un réseauSur le chemin des communicantsAttaque passive, les informations recueillis peuvent servir pour une attaque active.Effet :
perte de confidentialité et donc d ’information sensible (mot de passe).
Parades : Chiffrement (Ipsec). Architecture de réseau.
Attaques - Les détournements et interceptions Sniffing ou eavesdropping
38
Répondre à une trame ARP request Par une trame ARP reply avec une adresse MAC qui ne correspond pas à l ’adresse IP.Possibilité de prendre en compte un ARP reply sans qu’i y ait eu auparavant de ARP request ARP est sans état,l ’attaquant peu anticipé sur les requêtes.
Effets : Perte de connectivité réseau. redirection du trafic.
Attaques - Les détournements et interceptions ARP spoofing
39
Utilisation du message ICMP-redirect :Un pirate envoie à une machine un ICMP-redirect lui indiquant un autre chemin à suivre
Utilisation du message ICMP-unreachable destination:Un pirate peut envoyer ce message vers une machine.La machine ne peut plus joindre ce réseau.
Attaques - Les détournements et interceptionsICMP redirect et destination unreable
40
Effets : Perte de connectivité. Déni de service.
Parades : Filtrage. authentification (Ipsec).
Attaques - Les détournements et interceptionsICMP redirect et destination unreable
41
IP spoofing correspond à l ’usurpation d ’adresse IP se S par A vers DDétournement du trafic si A n ’est pas sur le même chemin entre S et DNécessite de prédire le numéro de séquencePossibilité d ’utiliser :
Le routage par la source. ICMP redirect. Protocole de routage RIP.
Effet : prendre les privilèges de S.
Parades : Configuration pour ICMP redirect et RIP Filtrage (source routing, adresse IP) Authentification (Ipsec)
Attaques - Les détournements et interceptions IP spoofing
42
Connexion TCP entre S et DA se substitue à SUtilisation de plusieurs attaques :
IP spoofing.ICMP redirect.TCP connection killing.
Effets : Détournement d ’une communication autorisée Contourne les protections d ’authentification
forte de l ’utilisateur SKEY et Kerberos
Parade : Authentification (Ipsec)
Attaques - Les détournements et interceptions TCP hijacking
43
Absence d ’authentificationAucun mécanisme d ’authentification auprès des serveurs mails, de plus vous ne savez pas qui réellement vous écrit
Pas de garantie d ’intégrité de messageToute personne interceptant le message peut en modifier le contenu
Effets : Usurpation d ’adresse (demande de
changement d ’information sensible). cacher son identité pour une attaque.
Attaques - Les détournements et interceptions Email spoofing
44
Parades :
Architecture (utiliser un firewall comme frontal) Empêcher toute connexion directe sur le port
SMTP par configuration du mail delivery deamon.
Authentification (par signature : PGP, SSL, S/MIME).
Attaques - Les détournements et interceptions Email spoofing
45
Altérer directement les tables d ’un serveur de nomsCommuniquer de mauvaises cache poison ING.
Effets : Détourner le trafic vers l ’attaquant (applications
sensibles : messagerie et web). Connexions illicites par applets.
Parades : DNS sec une signature associée à chaque entrée. Pour les applets java vérifier les différents
adresses.
Attaques - Les détournements et interceptions DNS spoofing
46
Attaque de type man in middle : le serveur de l’attaquant détourne les requêtes HTTP de la victimeLa victime navigue dans un faux webInitialisation de l ’attaque:
L’attaquant amène la victime à visiter son site (par email ou par sa figuration dans une indexation d ’un moteur de recherche).
La victime télécharge un script java. Ce script java détourne toutes les requêtes de la
victime vers l ’attaquant.
Attaques - Les détournements et interceptions Web spoofing
47
Effets :surveillance de l ’activité de la victime, et vol de donnéesaltération des données,
Parades :désactivation de JavaScriptproxy : repère et refuse des échanges HTTP avec réécriture des URL
Attaques - Les détournements et interceptions Web spoofing
48
Système D ou "ingénierie sociale"Terme utilisé par les hackers pour une technique d’intrusion sur un système qui repose sur les points faibles des personnes qui sont en relation avec un système informatique.
• Piéger les gens en leur faisant révéler leur mot de passe ou toute autre information qui pourrait compromettre la sécurité du système informatique.
• Deviner le mot de passe d’un utilisateur. Les gens qui peuvent trouver des informations sur un utilisateur, peuvent utiliser ces informations pour deviner le mot de passe de ce dernier (le prénom de ses enfants, leur date de naissance ou bien encore la plaque d’immatriculation de sa voiture sont tout à fait candidats à être des mots de passe).
Système D
49
? MESURES PRATIQUES
50
• Mots de passe• Sauvegardes• Antivirus• Ports ouverts• Droits sur les serveurs ftp• Scripts CGI• SSL pour les données sensibles• Restriction IP
Mesures pratiques
Merci pour votre attentionLES ATTAQUES INFORMATIQUES
52
It’s not just about the visuals, but strengthening
Q&A