Comment les administrateurs de systèmes peuvent ils détecter les pirates informatiques

© 2010 Michel Cusin & SANS 1

Comment les administrateurs de systèmes peuvent-ils détecter les

pirates informatiques?


Mise en contextePourquoi perdons-nous la bataille?

• Les attaquants ont un net avantage sur nous:o Ils ne suivent aucunes règleso Nous oui…o Ils ont une structure d’apprentissage différenteo Ils ont très peu ou aucun scrupule

• Plusieurs personnes croient que: conformité = sécuritéo C’est faux!o Conformité et réglementation = Lignes directriceso Ils sont une série d’objectifs

• Souvent, nous n'avons pas le temps de «connaître» nosréseaux et systèmes


Heartland

• Conforme à la norme PCI• Plus de 130 millions de cartes de crédit compromises• Averti par les compagnies de cartes de crédit• Les pirates avaient des accès persistants à long terme• Attaque possiblement via un point d’accès sans fil ouvert• Conforme à la norme PCI !!!• Actions en justice


Exemple de logiciel malveillant(Conficker)

• Ver dévastateur ayant infecté au-delà de 15M de machines• Infection via MS08_067 (partage de fichiers et médias amovibles)

o Microsoft a désactivé la fonction “autorun”• Système de défense très efficace

o Tente de désactiver l’AV à chaque secondeo Bloque certaines requête DNSo Désactive la mise à jour automatiqueo Désactive le “safe mode”

• Capacité de se mettre à jour• Utilise du chiffrement pour se cacher• De plus en plus sofistiqué


Donc…

• Nous sommes à la remorque des attaquants (désavantage)

• La conformité quoi que nécessaire, donne parfois un faux sentiment de sécurité

• Les “malware” sont de plus en plus efficace et sophistiqué

• Mais que pouvons-nous faire !?


Objectifs de la présentation

• Découvrir des outils et les techniques afin de mieuxconnaître nos systèmeso C’est le but de la sécuritéo C’est aussi très difficile à faire

• Vous aider à comprendre le point de vue de votre équipede sécuritéo Souvent, ils n’ont aucune idéeo Vous pouvez les “aider”

• Vous préparer à survivre aux audits et “test” de sécurité• Vous apprendre quelques bons trucs qui vous aideront

dans vos tâches quotidiennes• Vous faire peur!


Ce qu’une architecture de sécurité n’est pas

• Un diagramme réseau• Une solution “universelle” réplicable partout (cookie cutter)• Une collection de dispositifs de sécurité

o Détection d’intrusion (IDS, IPS)o Coupe-feu (Firewall)o Antivirus

• Quelque chose pour contenir une menace spécifique• Article intéressant de Bruce Schneier sur le sujet

http://www.schneier.com/blog/archives/2006/10/architecture_an.html


Ce qu’une architecture de sécurité devrait être

• Structure ou organisation des éléments d’un ensemble complexe.

• Un processus supportant les objectifs organisationnels• Un processus orienté vers la compréhension et la visibilité• Un processus qui oriente la conception • Non basé sur un produit ou à un manufacturier spécifique


Vous devez connaître votre réseau

• La sécurité se concentre trop souvent sur ce qui est“mauvais”

• Nous devons nous concentrer sur ce qui est normal et surce qui ne l’est pas

• Comment pouvons-nous identifier ce qui est anormal sinous ne savons pas ce qui est normal?

• Quelques questions simples:o Quels services sont requis?o Quel trafic est généré à partir de mes systèmes?o Ou mes utilisateurs vont-ils sur Internet?


Si vous n’en avez pas besoin…Désactivez-le!

• Plusieurs organisations se font “hacker” via des applications ou des services dont ils ne connaissaient pas l’existenceo Serveur Web clandestin (rogue) o Serveur FTP anonymeo Serveur Windows 2000 clandestin et/ou pas à jour

• Le tout s’applique également aux applications côté cliento Quicktimeo Adobe Acrobat o Word, Excel, etc…


La sécurité en plusieurs couches = sécurité en profondeur

• Plusieurs croient que le fait d’avoir des IDS, IPS, FW, AV procure ou constitue une sécurité en profondeur

• C’est faux!• C’est plutôt ce que nous appelons une sécurité de type

“poteau de métal”o “J’espère que l’attaque sera bloquée par le poteau de métal“

• Tout dispositif de sécurité est contournable (et le sera!)o IDS – Utilisation de SSLo IPS – Fragmentation et encodageo AV – UPX, Metasploito FW – Contournement à l’aide netcat


Sécurité en profondeur

• La sécurité en profondeur ne réside pas dans le fait d’avoirplusieurs technologies différentes, mais plutôt dans l’inter-relation et dans la complémentarité qu’elles ont entre elles

• Un point de défaillance ne devrait pas permettre que le réseau soit compromis en entier

• Par exemple:o Le routeur ne permet que les ports 80, 443, 22 o Le coupe-feu ne permet que les mêmes ports et génère

une alerte pour tous les autres portso Le IDS vérifie pour les attaques dans le trafic (80, 443, 22)

et aussi pour autre trafic


Segmentation

• Un facteur clé d’une défense en profondeur est la segmentation réseau

• Le réseau tout entier n’est pas nécessairementcompromis si une portion ou une composante l’est

• Posez-vous les questions suivanteso Est-ce que les postes de travail doivent absolument

se parler entre eux?o Est-ce que vos systèmes de gestion doivent être

accessibles aux utilisateurs?o Est-ce que le protocole STP doit être diffusé sur tous

les ports des commutateurs? -> www.yersinia.net


Durcissement de système(System Hardening)

• Les guides - Utilisez ce qui convient le plus à votreenvironnemento The Center For Internet Security (CIS)o The National Security Agency (NSA)o The Defense Information Systems Agency (DISA)o National Institute of Standards and Technology (NIST)

• Bastille Linux (~30 paramètres)o Désactivation SUID (programmes, mount, etc…) o Restriction d’accès distant (root, tty, etc…) o Désactivation de protocoles (r, telnet, FTP, etc…)o Désinstallation du compilateur (GCC)


Référence de base des systèmes(System Baselines)

• Ce qu’il peut être utile de savoir o Performance matérielle (Hardware)o Utilisateurs et groupeso Logiciels (installation/configuration)o Paramètres et réglages de sécuritéo Membre – Domaine / Groupe de travail (workgroup)o Partages


Ce que vous ne savez pas peut être dangereux

• Le vecteur d’attaque le plus utilisé dans votreenvironnement est le fureteur Webo Où sont les journaux de votre fureteur? o À quoi ressemble une attaque?o Comment les IDS réussiraient-ils à intercepter une

attaque sur du trafic SSL?• Parfois notre sécurité technologique nous rend aveugles

o Avez-vous un IDS?o Utilisez-vous SSL?o Est-ce que votre IDS déchiffre le trafic SSL?o Avez-vous une zone non couverte (blind spot)?


Savoir ce qui est normalWindows, Unix, Linux

• Quand un problème survient, il faut être prêt!• Les références de bases ne servent pas uniquement à

rendre les gens de sécurité heureuxo Impressionnent les auditeurso Aident grandement lors du diagnostique de problèmeo Peuvent permettre certaines automatisationso Permettent d’effectuer une surveillance proactive

• Comprendre ce qui est normal permet de se concentrersur les “zones de problèmes”.


Chercher ce qui est inhabituelWindows – Cheat Sheet

• Commandes simple “C:\>taskmgr.exe” ou “C:\>tasklist”• wmic process list full -> Référence de base des systèmes• services.exe – Invoque le panneau de contrôle des services• net start – Liste les services démarrés ou “sc query | more”• dir c:\ - Chercher les gros fichiers (ex:15MB+)• Clés de registre -> C:\reg query

o HKLM\Software\Microsoft\Windows\CurrentVersion\Runo HKLM\Software\Microsoft\Windows\CurrentVersion\Runonceo HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx



• net view -> Voir le réseau• net session -> Voir les sessions ouvertes vers votre système• net use -> Voir les sessions ouvertes de votre système• nbtstat -> Voir les sessions NetBIOS over TCP/IP• netstat –nao 5 -> Affiche les ports TCP et UDP & PID (5 sec)• netsh firewall show config

o netsh firewall set opmode disable• schtasks – Affiche les tâches cédulées



• msconfig


Chercher ce qui est inhabituelUnix, Linux – Cheat Sheet

• ps -aux -> Liste les processus• lsof –p [pid] -> Liste les fichiers ouverts basé sur leur PID• find / -uid 0 –perm -4000 -print -> Fichiers avec SUID 0• find / -size +10000k –print -> Trouve des fichiers de taille X• find / -name “ “ –print -> Trouve les fichiers avec les noms:

• (“...”, “..”, “.” et “ “)• ip link | grep PROMISC -> Indication d’un “sniffer”• “lsof –i” et “netstat –nap” -> Liste les ports ouverts• arp –a -> Liste les associations des adresses MAC et IP• grep :0: /etc/passwd -> Liste les comptes avec le UID 0


Gestion des incidents (six étapes)

• Un Incident constitue une déviation de la norme• Les six étapes du processus de gestion des incidents

o 1) Péparationo 2) Identificationo 3) Conteniro 4) Éradiquero 5) Recouvremento 6) Leçon apprise


Surveillance(Monitoring)

• Le but de la surveillance est de détecter ce qui constitueune déviation de la normeo Principe qui s’applique à la sécuritéo S’applique également aux opérationso Syslogs

• Les solutions “plug-and-play” ça n’existe paso Elles doivent être ajustéeso Il n’y a pas deux environnements identiques

• Il ne s’agit pas d’une question de sécurité uniquement• Requis pour la plupart (ou tous) les standards d’audits


Trafic réseau

• Tcpdump / windump• Snort – IDS gratuit• Ntop

o Interface Web – très graphiqueo Comme “top” pour le trafic réseau

• Wiresharko Sniffer et analyseur de protocoleso Supporte ~500 protocoleso Option “Follow TCP Stream” et plus…o Utilisation facile des filtres

• Many times we don't have time to "know" our networks and systems


Nagios

• Gratuit – Logiciel libre• Configuration simple via des scripts

o Plugins (services, utilisateurs, disques, proc, mémoire)o Alertes (courriel, pagette, signaux de fumée ;-)o Grande variété de plugins pour plus de possibilités


Intégrité des fichiers

• Plusieurs attaques modifient des fichiers systèmescritiques

• Les signatures uniques générées par des outils commeAIDE et Tripwire sont modifiées

• Parfois difficile de cibler exactement ce qui a été modifié• Les fichiers modifiés constituent un indice• Les références de base des systèmes prennent alors

toute leur importance


Quelques exemples d’outils pour vérifier l’intégrité des fichiers

• Tripwireo Produit commercial o Windows, Linux, Solaris

• AIDE (Advanced Intrusion Detection Environment) o Gratuit (en replacement de Tripwire)o Versions modernes de *NIX

• OSSEC (Open Source Security)o Gratuito Windows et Linux


Fichiers ayant été modifiésFichiers ayant été modifiés


OSSIMOpen Source Security Information Management

• Relie Snort (IDS) et Nessus (Analyse de vulnérabilités) • Osiris (HIDS)• Intégration avec OSSEC• Très orienté vers la détection des anomalies

o SPADE – Plugin d’anomalies réseau pour Snorto NTOP – Historique d’utilisation réseauo Algorithme de détection d’anomalie probable


Conclusion

• Une architecture c’est plus que juste un design• C’est un design et les processus le supportant• Avoir des références pour nos systèmes et savoir ce qui

est normal est essentiel• Plusieurs outils puissants sont disponibles pour les

administrateurs systèmes Utilisez les !!!• Connaissez votre environnement• Le pire temps pour se pratiquer est durant un incident• Les outils ne sont que des outils. La sécurité repose sur

des gens et non sur des technologies.


Formation - SANS

• SANS Security 564 - Hacker Detection for System Administrator“Détection de pirates informatiques pour administrateurs de systèmes”

• Montréal 19 – 20 mai 2010• Québec 16 – 17 juin 2010• Info: http://cusin.ca ou [email protected]

Comment les administrateurs de systèmes peuvent ils détecter les pirates informatiques

Business

Transcript of Comment les administrateurs de systèmes peuvent ils détecter les pirates informatiques