Adacis clusira cybercriminalité_2012

42
Présentation CLUSIR Aquitaine François Sopin, Consultant SSI ADACIS vendredi 30/11/2012

description

Présentation par ADACIS donnée au CLUSIR AQUITAINE sur la cybercriminalité en 2012.

Transcript of Adacis clusira cybercriminalité_2012

Page 1: Adacis clusira cybercriminalité_2012

Présentation CLUSIR Aquitaine

François Sopin, Consultant SSI

ADACIS

vendredi 30/11/2012

Page 2: Adacis clusira cybercriminalité_2012

Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources

2 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 3: Adacis clusira cybercriminalité_2012

Définition de la cybercriminalité : « Ensemble des infractions pénales commises sur les réseaux de

télécommunication, en particulier Internet » (Larousse)

Compte tenu des article 323-x du Code Pénal, de nombreuses catégories d’attaquants sont concernées par cette définition :

▪ Organisations cybercriminelles dont l’objectif est purement financier … ▪ … mais aussi organisations dont la motivation est éthique (Anonymous) … ▪ … les organisations terroristes et enfin … ▪ … que dire des gouvernements ? (voir par ex. le piratage de l’Elysée).

Nous parlerons ici principalement de la première catégorie …

3 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 4: Adacis clusira cybercriminalité_2012

Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources

4 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 5: Adacis clusira cybercriminalité_2012

Slide 5

les chiffres

Augmentation sensible du coût de la cybercriminalité pour l’économie mondiale … (110 milliards $ en 2011 selon Norton voir même jusqu’à 750millards d’€ rien que pour l’Europe selon Interpol)

5 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Kaspersky Lab a

estimé que 60% des

contenus malveillants

étaient hébergés

dans trois pays

principalement : la

Russie, les USA et

les Pays-Bas. Source

Page 6: Adacis clusira cybercriminalité_2012

Slide 6

les chiffres Les banques américaines ont perdu 900 millions de dollars suite à

des vols classiques en 2011 ….

…. Et 12 milliards $ du fait des cyberattaques !

Israël est la cible de 1000 cyberattaques chaque minute !

Les chiffres varient … une chose est sûre : le cybercrime coûte cher !

6 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 7: Adacis clusira cybercriminalité_2012

Slide 7

Au niveau juridique … Pas de lois universelles sur l’Internet

Problèmes des juridictions

▪ Un attaquant d’un pays W utilise des serveurs malveillants dans plusieurs pays X et Y et cible des victime dans un pays Z

Problèmes des vides juridiques ▪ Pays comme l’Algérie n’ont aucune règlementation réelle en la matière

Démarches lentes et complexes (quand elles aboutissent…) ▪ Débranchement de l’hébergeur Bulletproof McColo (San José) crée par

« Kolya McColo », sur le sol américain a pris 4 mois … mais a fonctionné notamment grâce au travail de Brian Krebs (Washington Post).

7 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 8: Adacis clusira cybercriminalité_2012

Slide 8

Effet du démantèlement de McColo sur le SPAM mondial

François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

http://en.wikipedia.org/wiki/McColo

Page 9: Adacis clusira cybercriminalité_2012

Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources

9 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 10: Adacis clusira cybercriminalité_2012

Etat de la menace :

Quels profils d’attaquants ? Quelles motivations ?

Autrefois, les pirates étaient des personnes isolées (ex : Ver Morris en 1988), amateurs, qui recherchaient principalement la notoriété ou la vengeance en développant des preuves de concept (script kiddies),

Aujourd’hui, il s’agit de véritables organisations cybercriminelles professionnelles (Russian Business Network etc.), servant leurs propres objectifs (financiers, éthiques comme LulzSec ou Anonymous etc.). Elles travaillent comme des MAFIAS sans forcément avoir de liens directs avec elles.

Certains estiment que la Russie et les pays voisins sont les pays les plus dangereux en termes de cybercrime … car ils seraient à l’origine de 60% des infections par contenu malveillant -- Effet de la pénurie d’emploi et de la crise financière ? --

10 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 11: Adacis clusira cybercriminalité_2012

11 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Etat de la menace : Quels profils d’attaquants ? Présentation de François Paget, McAfee, CLUSIF 2009

Page 12: Adacis clusira cybercriminalité_2012

Etat de la menace : Quels profils d’attaquants ? Quelles motivations ?

… mais peut-être aussi ceux de gouvernements ! (ex : incident Russie/Estonie, la NSA, opération Aurora, virus Stuxnet/Duqu/Flame etc.) on parle de Guerre de l’Information ou GI et de Lutte Informatique Offensive ou LIO,

Le gouvernement français précise dans le Livre blanc sur la défense et la sécurité nationale le renforcement des moyens de lutte,

Tous n’ont pas les mêmes moyens François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 13: Adacis clusira cybercriminalité_2012

Etat de la menace :

Quels profils d’attaquants ? Quelles motivations ?

http://blog.zoller.lu/

http://blog.zoller.lu/

13 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 14: Adacis clusira cybercriminalité_2012

Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources

14 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 15: Adacis clusira cybercriminalité_2012

Certaines attaques ne sont généralement* pas ciblées : Scan en masse de plages IP « au hasard » sur l’Internet avec des outils classiques comme scanners

de ports et/ou de vulnérabilités à la recherche de cibles vulnérables (beaucoup de discussions autour des attaques WEB type injections SQL, failles des CMS etc. et des logiciels tierces type Adobe Flash/Reader ou Java),

Envoi de mails en masse pour les attaques de type Phishing.

Chaque attaque réalisée à grande échelle connaît un certain taux de succès (Pierre Caron, MISCMag)

Quand d’autres le sont beaucoup plus … Par exemple le chantage au déni de service distribué

Botnets Bankers type Zeus, SpyEeye

L’objectif : avoir un retour sur investissement important et rapidement (donc les techniques d’attaques ne sont généralement pas très sophistiquées, on ne parle pas d’APT voir même de 0days)

Tout le monde est concerné ! 15 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

* Quoique possible de choisir ces cibles avec les kits d’exploits par ex.

Page 16: Adacis clusira cybercriminalité_2012

Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources

16 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 17: Adacis clusira cybercriminalité_2012

Etat de la menace : Quels services disponibles ?

Réseaux sous-terrain C2C composés de forums et de chan IRC (RBN,CBN etc.) sur

lesquels sont commercialisés différents « produits » et « services » : Carding (vente de données carte bancaire) Nuisibles Pack d’exploits* type Firepack, Icepack etc. Vente d’identités réelles ou virtuelles (ex: jeux vidéos comme Diablo III, Facebook), Fraude au clic Kit de Phishing, Location de Botnets, Warez : contrefaçons de logiciels et films (avec une forte proportion pour le pornographique) Services d’anonymisation Etc.

Entreprises spécialisées : Hébergement d’activités malveillantes « BULLETPROOF » (Bot Herders, relais de spam, sites

compromis …), par ex McColo et Troyak.org (25% C&C Zeus), Vente de faux produits (scarewares etc.) ou compromis (produits légitimes qui embarquent

d’autres produits type spywares etc.

* exploit : code utilisé pour exploiter une vulnérabilité

17 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 18: Adacis clusira cybercriminalité_2012

Les tarifs selon Undernews ▪ Chiffreur standard (Pour cacher du code malicieux dans un fichier inoffensif): $10-$30 ▪ Bot SOCKS (Pour contourner les firewalls): $100 ▪ Une attaque DDoS : $30-$70 pour la journée, $1,200 pour le mois ▪ Spam Email : $10 par tranche de 1 million d’emails ▪ Spam email en utilisant une base client : $50-$500 par tranche de 1 million d’emails ▪ Spam par SMS spam: $3-$150 pour 100 à 100 000 messages. ▪ Bots pour un botnet: $200 pour 2 000 bots ▪ Botnet DDoS : $700 ▪ Code source du célèbre ZeuS : $200-$500 ▪ Rootkit pour Windows (pour installer des drivers vérolés): $292 ▪ Piratage de compte Facebook ou Twitter : $130 ▪ Piratage de compte Gmail : $162 ▪ Piratage de boite mail pro : $500 ▪ Scans de vrais passeports : $5 pièce ▪ Ransomeware (logiciel qui verrouille l’accès à vos fichiers et qui demande une rançon pour les libérer) : $10-20 ▪ Pack d’exploits non ciblés : $25 ▪ Pack d’exploits ciblés : $10-$3000 ▪ Trafic web : $7-$15 pour 1 000 visiteurs en provenance des États-Unis et d’Europe.

Moralité : on peut pratiquement tout acheter sur les réseaux alternatifs …. Autre constat : l’attaquant n’est pas obligé d’être un expert en informatique

18 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 19: Adacis clusira cybercriminalité_2012

Autre exemple :

Ces prix varient … En effet, selon Krebs, la société Group-IB a découvert un nouvel exploit fonctionnel sous Adobe Reader 10 et 11 et qui serait vendus sur les réseaux sous-terrains pour 50,000$ !! (en même temps l’exploit fonctionnerait avec Javascript désactivé + Enhanced Mode Security Actif) ..

Même peut-être jusqu’à 100k$ pour un exploit sur Java !

C’est quand même plus intéressant que les bug bounty ?? Ci-après les chiffres issus du blog Exploitability :

▪ 500$ pour facebook

▪ de 500$ à 3000$ pour firefox

▪ de 500$ à 3133.7$ pour Google

▪ de 500$ à 3133.7$ pour Barracuda Networks

19 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 20: Adacis clusira cybercriminalité_2012

Phénomène de SPECIALISATION des attaquants : chacun participe à un écosystème global sans forcément en maîtriser la totalité.

20 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 21: Adacis clusira cybercriminalité_2012

Bot

Bot

Bot

Machine infectée

Ex:Conficker

Infectée

Infectée

La spécialisation illustrée

21 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 22: Adacis clusira cybercriminalité_2012

Constat : évolution des Exploits depuis 2006.

Détournement de Windows vers des

logiciels tiers comme Flash, Adobe Reader

et Java

Marché lucratif pour les 0-days ! (même si

la majorité des attaques n’en utilisent

pas)

Exploits Kits : Automatisation des attaques

22 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 23: Adacis clusira cybercriminalité_2012

L’exploit Kit est

déployé sur un serveur Web (généralement chez un hébergeur

« BulletProof » ou sur un serveur

compromis)

Il fonctionne de manière autonome.

Les victimes s’y

connectent suite à une attaque drive-by-dl, attaques iframes ou encore Black-Seo.

Le kit embarque une interface de pilotage intuitive qui permet par exemple de sélectionner des cibles en

fonction de leur provenance géographique.

Exploits Kits : Automatisation des attaques

23 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 24: Adacis clusira cybercriminalité_2012

Botnets : attaques DDOS / réplication / SPAM / Vols de données / fraude au clic / etc. Plusieurs types : utilisation par le « owner », location, vente des bot codes (ex: Zeus)

En chiffres (wikipedia) : Concerne aussi les mobiles ! (voir présentation Summercon Jon Oberheide 2010)

24 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 25: Adacis clusira cybercriminalité_2012

Botnets En chiffres (Krebs, Kaspersky)

25 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 26: Adacis clusira cybercriminalité_2012

Offre de location de botnet

Constat : le prix est très faible, 120$ pour une journée

Exemple de chantage au DDOS http://www.net-

security.org/secworld.php?id=11174 Ou

Paul Ferguson et l’affaire de la Banque Estonienne

Botnets : attaques DDOS et extorsion de fonds

26 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 27: Adacis clusira cybercriminalité_2012

Carding : vente de carte bancaire • Phénomène d’industrialisation du processus de vente (plus besoin d’être en relation directe avec le vendeur), • Touche de nombreux pays, dont la France, • Méthodes de compromission multiples : -Intrusions -Bankers -Skimming -Etc.

27 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

CERT XMCO

Page 28: Adacis clusira cybercriminalité_2012

Source : Krebs

Carding : vente de n° de carte bancaire skimming

Imprimante MSR206

Intrusions : exemple de Sony pour le vol de données CB

28 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 29: Adacis clusira cybercriminalité_2012

Hébergement bulletproof Aujourd’hui, les malwares ne sont plus diffusés en pièces jointes de mails … il faut donc pouvoir les stocker/héberger quelque part! Une solution : les hébergeurs Bulletproof (autre solution -> machines compromises mais moins fiable) Hébergeurs plus ou moins laxistes et regardants sur les requêtes des autorités judiciaires. Généralement, plus cher que de l’hébergement classique Différent des hébergeurs actifs : les hébergeurs n’agissent pas pour eux-mêmes mais pour leurs clients C’est le cas du Russian Business Network, démantelé suite au travail notamment de

David Bizeul (CERT Société Générale) 29 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 30: Adacis clusira cybercriminalité_2012

Hébergement bulletproof

http://hostexploit.com/

Source : Krebs 30 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 31: Adacis clusira cybercriminalité_2012

Les autres : Malwares et rogue softwares

Croissance continue (15K nouveaux malwares répertoriés par Kaspersky sur le T2 2012)

Utilisation du mécanisme d’affiliation : acquisition d’un malware par une personne X et campagne d’infection lancée par des « affiliés » rémunérés en fonction du nombre de machines compromises. Très difficile à contrôler la rémunération étant basée sur le volume.

Vol d’identité (virtuelle ou réelle) SPAM Phishing Mule-as-a-service Etc.

31 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 32: Adacis clusira cybercriminalité_2012

Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources

32 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 33: Adacis clusira cybercriminalité_2012

Les relations entre groupes cybercriminels ▪ Communication

▪ Avec des forums

▪ Par IRC

▪ Service Après Vente via un n° ICQ

▪ Transfert de compétences ▪ Rédaction de tutoriels

▪ Aide en ligne (beaucoup de questions actuellement sur les SQLi)

▪ Sur un forum, l’attitude est la méfiance permanente : un membre actif qui aide les « nouveaux venus » verra son profil monter en crédibilité et il pourra ainsi accéder à des forums plus « intéressants » (accessibles sur invitation seulement)

Ex de UpLevel, développeur de Zeus connus pour ses défauts de paiement

33 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 34: Adacis clusira cybercriminalité_2012

Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources

34 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 35: Adacis clusira cybercriminalité_2012

Coopération entre autorités et ISP/IXP (échangeurs)

« Débranchement » de DNS Changer par le FBI …. Après l’arrestation de 6 personnes en Estonie.

Travail des CERT Etude des menaces, travail d’alertes

Sensibilisation et éducation du public (Long Run)

Problème : la plupart des initiatives sont d’ordre privé

Exemple de McColo, RBN, Atrivo

Renforcement du dispositif juridique ?

35 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 36: Adacis clusira cybercriminalité_2012

Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources

36 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 37: Adacis clusira cybercriminalité_2012

Nous vivons dans un monde dangereux …

Le cybercrime augmente et surtout se professionalise

Tout le monde est concerné, administrations, entreprise, particuliers

Moralité : faites de la veille, sensibilisez et prenez le en compte dans vos analyses de risques …

37 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 38: Adacis clusira cybercriminalité_2012

Problématique soulevée par Jart Armin (suite au démantèlement d’Atrivo) et reprise par Gabriel Campana, MISC Magazine 41 :

« Soit les acteurs de l’Internet seront capables de

s’autoréguler ; soit un renforcement du contrôle par les Etats

sur Internet est à prévoir, pour le meilleur ou pour le pire ».

38 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 39: Adacis clusira cybercriminalité_2012

Merci de votre attention.

Des questions ?

39

http://www.clusir-aquitaine.fr/

François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 40: Adacis clusira cybercriminalité_2012

Définitions Constat Criminologie Victimologie Produits, services et SAV Communication Solutions ? Conclusion Annexe : ressources

40 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

Page 41: Adacis clusira cybercriminalité_2012

Ressources principales utilisées pour cette présentation : Panoramas de la cybercriminalité, CLUSIF Blog de Brian Krebs MISC Magazine n°41 Etude Russian Underground, Trend Micro 2012 Sex, Lies and Cybercrime Surveys, Microsoft Undernews Net-Security.org Blog de Thierry Zoller Blog de Cédric Blancher « Sid » Blog Dancho Danchev Blog Pseudonyme Blog Exploitability Analyse du RBN par David Bizeul (CERT Société Générale)

41 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.