Attaques Informatiques

62
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 [email protected] | www.e-xpertsolutions.com La citadelle électronique risques et menaces Sylvain Maret Février 2002 Version 1.21

description

Formation à la sécurité informatique

Transcript of Attaques Informatiques

Page 1: Attaques Informatiques

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

[email protected] | www.e-xpertsolutions.com

La citadelle électroniquerisques et menaces

Sylvain MaretFévrier 2002Version 1.21

Page 2: Attaques Informatiques

Solutions à la clef

Effets possibles d’une attaque du SI

Déni de services (perte de productivité) Usage non autorisé des systèmes Perte ou altération des données ou

programmes Perte financière Perte de confiance dans les systèmes Atteinte à l’image de l’entreprise Etc.

Page 3: Attaques Informatiques

Solutions à la clef

Les nouvelles menaces

Les « intruders » sont préparés et organisés Sites Web Conférences (DefCon, etc.)

Attaques sur Internet sont faciles et difficilement tracables

Outils d’intrusion sont très évolués et faciles d’accès

Page 4: Attaques Informatiques

Solutions à la clef

Augmentation des « intruders »

Page 5: Attaques Informatiques

Solutions à la clef

Qui sont les « intruders » ?

Page 6: Attaques Informatiques

Solutions à la clef

Leurs motivations ?

Le profit et l’argent Avantage compétitif Espionnage Vengeance Revendication Curiosité La gloire Etc.

Page 7: Attaques Informatiques

Solutions à la clef

Evolution des attaques

Page 8: Attaques Informatiques

Solutions à la clef

Pyramide des Menaces

Page 9: Attaques Informatiques

Solutions à la clef

Les vulnérabilités

Augmentation significative des vulnérabilités Pas de « design » pensé sécurité Complexité du système d’information Besoins Marketing (Software) Evolution très (trop) rapide des technologies Etc.

Page 10: Attaques Informatiques

Solutions à la clef

Comment gérer ces données ? ou le calcul du risque !

1) Evaluation des coûts2) Pas d’influence sur les menaces3) Baisse des vulnérabilités (tendre vers zéro)

(Processus permanent)

Risque = Coûts * Menaces * Vulnérabilités

Page 11: Attaques Informatiques

Solutions à la clef

Influence du temps ?

La sécurité est un processus permanent Et non pas un produit…

L’idée: Maintenir en permanence les vulnérabilités

au plus bas Suivre les recommendations des

constructeurs (patchs, update, etc.) Amélioration de l’architecture de sécurité

Page 12: Attaques Informatiques

Solutions à la clef

Cycle d’une vulnérabilité

TimeGap

Page 13: Attaques Informatiques

Solutions à la clef

Evolution dans le temps

Time

Ideal Gap

Growing Gap

Page 14: Attaques Informatiques

Solutions à la clef

Peut-on prévenir les intrusions ?

Page 15: Attaques Informatiques

Solutions à la clef

Comment gérer cette évolution ?

Page 16: Attaques Informatiques

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

[email protected] | www.e-xpertsolutions.com

Les attaques

Page 17: Attaques Informatiques

Solutions à la clef

Les attaques des systèmes d’informations

Scanners Déni de services Network sniffing Password Guessing Virus, cheval de troie, Backdoor BoF Code mobile Etc.

Page 18: Attaques Informatiques

Solutions à la clef

Les Scanners

Outils pour découvrir très rapidement les services offerts sur un système ou sur un réseau Scan Range

Scan TCP ou UDP voir ICMP Liste les ports ouverts (ftp, http, ssh, etc.)

Possibilité de scanner de façon invisible Changement de port source Half Syn

Page 19: Attaques Informatiques

Solutions à la clef

Les Scanners

Certains scanners détermineent le type d’OS OS Finger Print Prédiction de trame

Plus considéré comme une attaque Eventuel prémice d’une attaque

Outils Open Source Nmap Strobe Queso Yasp Etc.

Page 20: Attaques Informatiques

Solutions à la clef

Les Scanners: recommendations

Interdire les ICMP echo et reply (ping) Découverte moins rapide des services

Bloquer la source par un système IDS Système automatique de blocage

Laisser uniquement les « ports » utiles sur les systèmes

Page 21: Attaques Informatiques

Solutions à la clef

Denial of Service (DoS)

Atteinte au bon fonctionnement d’un système Imobilisation ou « gel » Utilisation massive des ressources CPU Utilisation massive de la bande passante Crash du système

Voir perte de données

Page 22: Attaques Informatiques

Solutions à la clef

Denial of Service (DoS)

4 grandes familles Les Floodings Les Mails Bombs Les « dévoreurs » de bande passante ou

ressources CPU Les « destructeurs » de système

Page 23: Attaques Informatiques

Solutions à la clef

Flooding

Litéralement « l’inondation » d’un système

Attaques de type Syn-Flood Log-Flood Data-Flood Etc.

Page 24: Attaques Informatiques

Solutions à la clef

Attaque Syn-Flood

Exploitation du méchanisme de l’établisement d’une connexion TCP

Immobilisation du système Peut dans certain cas « crasher » le

système Pratiquement anonyme

Spoofing d’adresse IP source

Page 25: Attaques Informatiques

Solutions à la clef

Connexion TCP

1. Client initiates a request to the server,

“I want to talk.” (SYN)

SYN/ACK 2. Server replies, “I’m ready.” (SYN/ACK)

ACK

Client Server

Client Server

Client Server

I wantto talk

Let’sgo!

I’m ready

SYN

3. Client sends acknowledgment toestablish connection, “Let’s go!” (ACK)

Page 26: Attaques Informatiques

Solutions à la clef

Attaque Syn-Flood

Client SYNSYN

SYNSYN

SYN/ACK

SYN/ACK

IP?IP?IP?

IP?

Server

Page 27: Attaques Informatiques

Solutions à la clef

Les Mails Bombs

Programme qui envoie des mails en quantité massive Mails obscènes Abonement à des mailling list Fichiers attachés gigantesques Etc.

Très difficile à stopper

Page 28: Attaques Informatiques

Solutions à la clef

Les dévoreurs de ressources

Attaque qui utilise de manière massive de la bande passante ou des ressources CPU

La plus connue est Smurf

Page 29: Attaques Informatiques

Solutions à la clef

Smurf

Broadcast echo

address

Source address is spoofed to be

target’s address

Réseauintermédiaire

Attaquant

Cible

Many echo replies arereceived by the target,since most machines

on the intermediary networkrespond to the broadcast

Page 30: Attaques Informatiques

Solutions à la clef

Les destructeurs de système

Attaques qui « crash » les systèmes Pratiquement invisible

Exploite les vulnérabilités des systèmes d’exploitation ou des applications Beaucoup de problèmes avec Windows NT

Attaques de type Ping of death Teardrop Land Targa Etc.

Page 31: Attaques Informatiques

Solutions à la clef

Distributed Denial of Service (DDoS)

Amplification des attaques D0S Attaques très dangereuses Peut impliquer jusqu’à une centaine de

machines attaquantes Outils Open Source

Trin00 Tribe Flood Stacheldraht Etc.

Page 32: Attaques Informatiques

Solutions à la clef

DDoS

Page 33: Attaques Informatiques

Solutions à la clef

Network Sniffing

Utiliser pour « monitorer » le trafic sur un réseau

Crackers les utilisent pour: Examiner le trafic entre plusieurs machines Obtenir les « username et password » Examiner les emails Etc.

Pratiquement indétectable

Page 34: Attaques Informatiques

Solutions à la clef

Network Sniffing…

Page 35: Attaques Informatiques

Solutions à la clef

Network Sniffing…

Page 36: Attaques Informatiques

Solutions à la clef

Sniffer et les environnements Switchés

Possibilité de « sniffer » dans un environnement switché

Technique utilisée ARP Poisoning ou spoofing ARP

Outils Open Source Dsniff, Hunt, etc.

Possibilité de «hijacking »

Page 37: Attaques Informatiques

Solutions à la clef

Sniffing: Relay Configuration

Alice Bob

0:c:3b:9:4d:8- 10.1.1.70:c:3b:1c:2f:1b- 10.1.1.2

0:c:3b:1a:7c:ef- 10.1.1.7 0:c:3b:1a:7c:ef- 10.1.1.2

0:c:3b:1a:7c:ef- 10.1.1.10

Attacker

Page 38: Attaques Informatiques

Solutions à la clef

Démonstration Sniffing

Sniffer

Network

Original TCP Packet

Login: dupont

Password: abc123

Unix HostUnix Host

Telnet to Unix HostTelnet to Unix Host

Page 39: Attaques Informatiques

Solutions à la clef

Sniffing: recommendations

Utilisation de l’authentification forte Tokens, SmartCard, SecurID, etc.

Utilisation du chiffrement (si nécessaire) (SSH, IPSEC, SSL, etc.)

Détection de sniffer Port Security sur les Switchs

Mac address

Page 40: Attaques Informatiques

Solutions à la clef

Brute Force-Password Guessing

But: deviner les mots de passe Attaques par dictionnaire

L0phtCracks (Windows NT) Cracks (Unix /etc/shadow) Etc.

Attaques par brute force L0phtCrack Brutus Etc.

Attaques hybride

Page 41: Attaques Informatiques

Solutions à la clef

Démonstration: LC3

Page 42: Attaques Informatiques

Solutions à la clef

Virus informatique: définition

Un virus est un programme qui se réplique en s’attachant à un autre objet

Un vers (Worm) est un programme qui se réplique de façon indépendante Messagerie par exemple

Page 43: Attaques Informatiques

Solutions à la clef

Mécanisme de réplication et Payload

Pour être considéré comme un virus ou un vers, il FAUT un mécanisme de réplication

Le Payload est une partie optionnel qui contient l’action du virus ou du vers Destruction Vol de données Quelque chose de drôle (Hoax) Etc.

Page 44: Attaques Informatiques

Solutions à la clef

Type de virus

Boot Sector Virus 1er forme de virus Form, Parity Boot, etc.

Parasitic Virus (file virus) Attaché à un fichier exécutable Jerusalem, CIH

Macro Viruses Word, Excel, etc Melissa

Page 45: Attaques Informatiques

Solutions à la clef

Evolution des virus

1988: Less than 10 known viruses 1990: New virus found every day 1993: 10-30 new viruses per week 1999: 45,000 viruses and variants

Source: McAfee

Virus Growth

0

10000

20000

30000

40000

50000

60000

1988 1990 1993 1999

Page 46: Attaques Informatiques

Solutions à la clef

Cheval de Troie - Back Door

Dans la famille des virus Cheval de Troie

Programme dissimulé derrière un autre programme

Back Door Porte dérobée Connexion par réseau

Netbus, Back Orifice, SubSeven, etc

Page 47: Attaques Informatiques

Solutions à la clef

Virus: recommendation

Contrôle de contenu (flux externes) Messagerie SMTP Surf Internet (http, ftp, etc.) Codes mobiles (Java, ActiveX)

Anti Virus poste local Sécurisation du poste client Système de détection d’intrusion réseau Mise à jour « heure par heure »

Page 48: Attaques Informatiques

Solutions à la clef

Web Servers

Crackers exploitent des vulnérabilités pour compromettre le serveur

Les Web Servers sont des cibles très visibles

Crackers peuvent utiliser ces resources pour publier des revendications Politique, vengeance, etc.

Page 49: Attaques Informatiques

Solutions à la clef

« Defacements »

Changement des pages « Web » FTP Compromise Etc.

Changement du « code source » DNS redirection ou « poisoning » Piratage de domaine Corruption des « proxy caches »

Page 50: Attaques Informatiques

Solutions à la clef

Defacements: évolution dans le temps

Page 51: Attaques Informatiques

Solutions à la clef

Exemple de « Defacement » !

Page 52: Attaques Informatiques

Solutions à la clef

Microsoft IIS

Beaucoup de problème de sécurité 60% des defacements

Année 2001 ISAPI Overflow Generic « root.exe » IIS Directory Traversal (Unicode) Etc.

Code Red et Nimda 13 Juillet 2001 et 18 septembre 2001

Page 53: Attaques Informatiques

Solutions à la clef

Microsoft IIS

Octobre 2001: Gartner Group recommande de trouver une alternative à IIS…

Microsoft promet une nouvelle version IIS ?

Page 54: Attaques Informatiques

Solutions à la clef

CGI and WWW Services

Interface entre un serveur Web et un langage Perl, C-C++, TCL, etc.

Problèmes de sécurité Exécution de commande shell Vol de données Back door Etc.

Page 55: Attaques Informatiques

Solutions à la clef

Scanner CGI

Scanner spécialisé Nikto Whisker Retina Cgi Scann Etc.

Page 56: Attaques Informatiques

Solutions à la clef

Risques des codes mobiles

Problèmes liés à l’utilisation du browser Java ou ActiveX

Déni de services Vol d’informations Ouverture de connexions réseau Etc.

Page 57: Attaques Informatiques

Solutions à la clef

Compromises

Accès non autorisé à un système « Root Compromise »

L’accès permet: Examiner des informations confidentielles Altérer ou dédruire des données Utiliser des ressources système Lancer des attaques vers d’autres systèmes Etc.

Page 58: Attaques Informatiques

Solutions à la clef

Compromises

Crackers utilisent des « toolkits » pour: Root Kit Sniffer Etc.

La plus part des systèmes compromis sont: Mal configurés N’ont pas les patchs nécessaires

Page 59: Attaques Informatiques

Solutions à la clef

Scénario d’une attaque de type « compromise »

Page 60: Attaques Informatiques

Solutions à la clef

Buffer Overflow (BoF)

Ou débordement de pile Vulnérabilités des systèmes

d’exploitation ou des applications Permet généralement d’effectuer un

« Root Compromise » Recommendation

Appliquer les patchs des constructeurs

Page 61: Attaques Informatiques

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

[email protected] | www.e-xpertsolutions.com

Questions?

Page 62: Attaques Informatiques

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

[email protected] | www.e-xpertsolutions.com

Pour plus d’informations

e-Xpert Solutions SASylvain Maret

Route de Pré-Marais 29CH-1233 Bernex / Genève

+41 22 727 05 [email protected]