Questions au sujet de la cybercriminalit©, le crime .Questions au sujet de la cybercriminalit©,
Adacis clusira cybercriminalité_2012
-
Upload
francois-sopin-cissp -
Category
Technology
-
view
1.142 -
download
0
description
Transcript of Adacis clusira cybercriminalité_2012
Présentation CLUSIR Aquitaine
François Sopin, Consultant SSI
ADACIS
vendredi 30/11/2012
Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources
2 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Définition de la cybercriminalité : « Ensemble des infractions pénales commises sur les réseaux de
télécommunication, en particulier Internet » (Larousse)
Compte tenu des article 323-x du Code Pénal, de nombreuses catégories d’attaquants sont concernées par cette définition :
▪ Organisations cybercriminelles dont l’objectif est purement financier … ▪ … mais aussi organisations dont la motivation est éthique (Anonymous) … ▪ … les organisations terroristes et enfin … ▪ … que dire des gouvernements ? (voir par ex. le piratage de l’Elysée).
Nous parlerons ici principalement de la première catégorie …
3 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources
4 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Slide 5
les chiffres
Augmentation sensible du coût de la cybercriminalité pour l’économie mondiale … (110 milliards $ en 2011 selon Norton voir même jusqu’à 750millards d’€ rien que pour l’Europe selon Interpol)
5 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Kaspersky Lab a
estimé que 60% des
contenus malveillants
étaient hébergés
dans trois pays
principalement : la
Russie, les USA et
les Pays-Bas. Source
Slide 6
les chiffres Les banques américaines ont perdu 900 millions de dollars suite à
des vols classiques en 2011 ….
…. Et 12 milliards $ du fait des cyberattaques !
Israël est la cible de 1000 cyberattaques chaque minute !
Les chiffres varient … une chose est sûre : le cybercrime coûte cher !
6 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Slide 7
Au niveau juridique … Pas de lois universelles sur l’Internet
Problèmes des juridictions
▪ Un attaquant d’un pays W utilise des serveurs malveillants dans plusieurs pays X et Y et cible des victime dans un pays Z
Problèmes des vides juridiques ▪ Pays comme l’Algérie n’ont aucune règlementation réelle en la matière
Démarches lentes et complexes (quand elles aboutissent…) ▪ Débranchement de l’hébergeur Bulletproof McColo (San José) crée par
« Kolya McColo », sur le sol américain a pris 4 mois … mais a fonctionné notamment grâce au travail de Brian Krebs (Washington Post).
7 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Slide 8
Effet du démantèlement de McColo sur le SPAM mondial
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
http://en.wikipedia.org/wiki/McColo
Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources
9 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Etat de la menace :
Quels profils d’attaquants ? Quelles motivations ?
Autrefois, les pirates étaient des personnes isolées (ex : Ver Morris en 1988), amateurs, qui recherchaient principalement la notoriété ou la vengeance en développant des preuves de concept (script kiddies),
Aujourd’hui, il s’agit de véritables organisations cybercriminelles professionnelles (Russian Business Network etc.), servant leurs propres objectifs (financiers, éthiques comme LulzSec ou Anonymous etc.). Elles travaillent comme des MAFIAS sans forcément avoir de liens directs avec elles.
Certains estiment que la Russie et les pays voisins sont les pays les plus dangereux en termes de cybercrime … car ils seraient à l’origine de 60% des infections par contenu malveillant -- Effet de la pénurie d’emploi et de la crise financière ? --
10 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
11 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Etat de la menace : Quels profils d’attaquants ? Présentation de François Paget, McAfee, CLUSIF 2009
Etat de la menace : Quels profils d’attaquants ? Quelles motivations ?
… mais peut-être aussi ceux de gouvernements ! (ex : incident Russie/Estonie, la NSA, opération Aurora, virus Stuxnet/Duqu/Flame etc.) on parle de Guerre de l’Information ou GI et de Lutte Informatique Offensive ou LIO,
Le gouvernement français précise dans le Livre blanc sur la défense et la sécurité nationale le renforcement des moyens de lutte,
Tous n’ont pas les mêmes moyens François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Etat de la menace :
Quels profils d’attaquants ? Quelles motivations ?
http://blog.zoller.lu/
http://blog.zoller.lu/
13 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources
14 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Certaines attaques ne sont généralement* pas ciblées : Scan en masse de plages IP « au hasard » sur l’Internet avec des outils classiques comme scanners
de ports et/ou de vulnérabilités à la recherche de cibles vulnérables (beaucoup de discussions autour des attaques WEB type injections SQL, failles des CMS etc. et des logiciels tierces type Adobe Flash/Reader ou Java),
Envoi de mails en masse pour les attaques de type Phishing.
Chaque attaque réalisée à grande échelle connaît un certain taux de succès (Pierre Caron, MISCMag)
Quand d’autres le sont beaucoup plus … Par exemple le chantage au déni de service distribué
Botnets Bankers type Zeus, SpyEeye
L’objectif : avoir un retour sur investissement important et rapidement (donc les techniques d’attaques ne sont généralement pas très sophistiquées, on ne parle pas d’APT voir même de 0days)
Tout le monde est concerné ! 15 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
* Quoique possible de choisir ces cibles avec les kits d’exploits par ex.
Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources
16 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Etat de la menace : Quels services disponibles ?
Réseaux sous-terrain C2C composés de forums et de chan IRC (RBN,CBN etc.) sur
lesquels sont commercialisés différents « produits » et « services » : Carding (vente de données carte bancaire) Nuisibles Pack d’exploits* type Firepack, Icepack etc. Vente d’identités réelles ou virtuelles (ex: jeux vidéos comme Diablo III, Facebook), Fraude au clic Kit de Phishing, Location de Botnets, Warez : contrefaçons de logiciels et films (avec une forte proportion pour le pornographique) Services d’anonymisation Etc.
Entreprises spécialisées : Hébergement d’activités malveillantes « BULLETPROOF » (Bot Herders, relais de spam, sites
compromis …), par ex McColo et Troyak.org (25% C&C Zeus), Vente de faux produits (scarewares etc.) ou compromis (produits légitimes qui embarquent
d’autres produits type spywares etc.
* exploit : code utilisé pour exploiter une vulnérabilité
17 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Les tarifs selon Undernews ▪ Chiffreur standard (Pour cacher du code malicieux dans un fichier inoffensif): $10-$30 ▪ Bot SOCKS (Pour contourner les firewalls): $100 ▪ Une attaque DDoS : $30-$70 pour la journée, $1,200 pour le mois ▪ Spam Email : $10 par tranche de 1 million d’emails ▪ Spam email en utilisant une base client : $50-$500 par tranche de 1 million d’emails ▪ Spam par SMS spam: $3-$150 pour 100 à 100 000 messages. ▪ Bots pour un botnet: $200 pour 2 000 bots ▪ Botnet DDoS : $700 ▪ Code source du célèbre ZeuS : $200-$500 ▪ Rootkit pour Windows (pour installer des drivers vérolés): $292 ▪ Piratage de compte Facebook ou Twitter : $130 ▪ Piratage de compte Gmail : $162 ▪ Piratage de boite mail pro : $500 ▪ Scans de vrais passeports : $5 pièce ▪ Ransomeware (logiciel qui verrouille l’accès à vos fichiers et qui demande une rançon pour les libérer) : $10-20 ▪ Pack d’exploits non ciblés : $25 ▪ Pack d’exploits ciblés : $10-$3000 ▪ Trafic web : $7-$15 pour 1 000 visiteurs en provenance des États-Unis et d’Europe.
Moralité : on peut pratiquement tout acheter sur les réseaux alternatifs …. Autre constat : l’attaquant n’est pas obligé d’être un expert en informatique
18 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Autre exemple :
Ces prix varient … En effet, selon Krebs, la société Group-IB a découvert un nouvel exploit fonctionnel sous Adobe Reader 10 et 11 et qui serait vendus sur les réseaux sous-terrains pour 50,000$ !! (en même temps l’exploit fonctionnerait avec Javascript désactivé + Enhanced Mode Security Actif) ..
Même peut-être jusqu’à 100k$ pour un exploit sur Java !
C’est quand même plus intéressant que les bug bounty ?? Ci-après les chiffres issus du blog Exploitability :
▪ 500$ pour facebook
▪ de 500$ à 3000$ pour firefox
▪ de 500$ à 3133.7$ pour Google
▪ de 500$ à 3133.7$ pour Barracuda Networks
19 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Phénomène de SPECIALISATION des attaquants : chacun participe à un écosystème global sans forcément en maîtriser la totalité.
20 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Bot
Bot
Bot
Machine infectée
Ex:Conficker
Infectée
Infectée
La spécialisation illustrée
21 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Constat : évolution des Exploits depuis 2006.
Détournement de Windows vers des
logiciels tiers comme Flash, Adobe Reader
et Java
Marché lucratif pour les 0-days ! (même si
la majorité des attaques n’en utilisent
pas)
Exploits Kits : Automatisation des attaques
22 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
L’exploit Kit est
déployé sur un serveur Web (généralement chez un hébergeur
« BulletProof » ou sur un serveur
compromis)
Il fonctionne de manière autonome.
Les victimes s’y
connectent suite à une attaque drive-by-dl, attaques iframes ou encore Black-Seo.
Le kit embarque une interface de pilotage intuitive qui permet par exemple de sélectionner des cibles en
fonction de leur provenance géographique.
Exploits Kits : Automatisation des attaques
23 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Botnets : attaques DDOS / réplication / SPAM / Vols de données / fraude au clic / etc. Plusieurs types : utilisation par le « owner », location, vente des bot codes (ex: Zeus)
En chiffres (wikipedia) : Concerne aussi les mobiles ! (voir présentation Summercon Jon Oberheide 2010)
24 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Botnets En chiffres (Krebs, Kaspersky)
25 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Offre de location de botnet
Constat : le prix est très faible, 120$ pour une journée
Exemple de chantage au DDOS http://www.net-
security.org/secworld.php?id=11174 Ou
Paul Ferguson et l’affaire de la Banque Estonienne
Botnets : attaques DDOS et extorsion de fonds
26 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Carding : vente de carte bancaire • Phénomène d’industrialisation du processus de vente (plus besoin d’être en relation directe avec le vendeur), • Touche de nombreux pays, dont la France, • Méthodes de compromission multiples : -Intrusions -Bankers -Skimming -Etc.
27 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
CERT XMCO
Source : Krebs
Carding : vente de n° de carte bancaire skimming
Imprimante MSR206
Intrusions : exemple de Sony pour le vol de données CB
28 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Hébergement bulletproof Aujourd’hui, les malwares ne sont plus diffusés en pièces jointes de mails … il faut donc pouvoir les stocker/héberger quelque part! Une solution : les hébergeurs Bulletproof (autre solution -> machines compromises mais moins fiable) Hébergeurs plus ou moins laxistes et regardants sur les requêtes des autorités judiciaires. Généralement, plus cher que de l’hébergement classique Différent des hébergeurs actifs : les hébergeurs n’agissent pas pour eux-mêmes mais pour leurs clients C’est le cas du Russian Business Network, démantelé suite au travail notamment de
David Bizeul (CERT Société Générale) 29 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Hébergement bulletproof
http://hostexploit.com/
Source : Krebs 30 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Les autres : Malwares et rogue softwares
Croissance continue (15K nouveaux malwares répertoriés par Kaspersky sur le T2 2012)
Utilisation du mécanisme d’affiliation : acquisition d’un malware par une personne X et campagne d’infection lancée par des « affiliés » rémunérés en fonction du nombre de machines compromises. Très difficile à contrôler la rémunération étant basée sur le volume.
Vol d’identité (virtuelle ou réelle) SPAM Phishing Mule-as-a-service Etc.
31 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources
32 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Les relations entre groupes cybercriminels ▪ Communication
▪ Avec des forums
▪ Par IRC
▪ Service Après Vente via un n° ICQ
▪ Transfert de compétences ▪ Rédaction de tutoriels
▪ Aide en ligne (beaucoup de questions actuellement sur les SQLi)
▪ Sur un forum, l’attitude est la méfiance permanente : un membre actif qui aide les « nouveaux venus » verra son profil monter en crédibilité et il pourra ainsi accéder à des forums plus « intéressants » (accessibles sur invitation seulement)
Ex de UpLevel, développeur de Zeus connus pour ses défauts de paiement
33 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources
34 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Coopération entre autorités et ISP/IXP (échangeurs)
« Débranchement » de DNS Changer par le FBI …. Après l’arrestation de 6 personnes en Estonie.
Travail des CERT Etude des menaces, travail d’alertes
Sensibilisation et éducation du public (Long Run)
Problème : la plupart des initiatives sont d’ordre privé
Exemple de McColo, RBN, Atrivo
Renforcement du dispositif juridique ?
35 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources
36 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Nous vivons dans un monde dangereux …
Le cybercrime augmente et surtout se professionalise
Tout le monde est concerné, administrations, entreprise, particuliers
Moralité : faites de la veille, sensibilisez et prenez le en compte dans vos analyses de risques …
37 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Problématique soulevée par Jart Armin (suite au démantèlement d’Atrivo) et reprise par Gabriel Campana, MISC Magazine 41 :
« Soit les acteurs de l’Internet seront capables de
s’autoréguler ; soit un renforcement du contrôle par les Etats
sur Internet est à prévoir, pour le meilleur ou pour le pire ».
38 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Merci de votre attention.
Des questions ?
39
http://www.clusir-aquitaine.fr/
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources
40 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Ressources principales utilisées pour cette présentation : Panoramas de la cybercriminalité, CLUSIF Blog de Brian Krebs MISC Magazine n°41 Etude Russian Underground, Trend Micro 2012 Sex, Lies and Cybercrime Surveys, Microsoft Undernews Net-Security.org Blog de Thierry Zoller Blog de Cédric Blancher « Sid » Blog Dancho Danchev Blog Pseudonyme Blog Exploitability Analyse du RBN par David Bizeul (CERT Société Générale)
41 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Outils de travail :
Malware Domain List
Robtex
Domaintools.com
PhishTank
SpamHaus
ShadowServer