Les évolutions du risque : la cible : le poste de travail et les

outils communiquant

Vincent SalacroupKaspersky Lab France

L’évolution des Codes Malicieux de 1990 à 2003

Virus de secteur de boot

Poste de travail

Génération 1

Virus

Poste de travail

Génération 2

Virus d’envoi en masse

Internet

Génération 3

Virus réseau

Génération 4

Poste de travail

Poste de travail

Poste de travail

Serveur LAN

Poste de travail

Portable

Firewall

Serveur de messagerie

Internet

Firewall

Portable Serveur ServeurPoste de travail

ServeurPoste de travail

ServeurPoste de travail

Réseau surchargé

Machines protégées

L’évolution des Codes Malicieux de 2003 à 2008 :

la génération qui change la donne• Spyware

– Les codes malicieux ont une durée de vie de plus en plus courte.– Le nombre de ce type de code est en pleine explosion.

• Rootkit – Devenus l’élément hybride indispensable pour un réseau ZOMBIE pouvant transporter des :

• backdoors : portes dérobées installées à l’insu de l’utilisateur par des modifications des règles des pare-feux

• botnets : renvoient l’adresse IP internet au pirate pour pouvoir accéder à la machine victime via la backdoor

• BotNet (la machine devient Zombie)- Sur un plan technique le Spyware est appelé botnet.- Le nombre de réseaux de machines piloté par des communautés de pirates utilisant des BotNet est en

pleine explosion. Estimation : Environ 400 000 réseaux Zombies sont en production en Europe.

Pourquoi cela change la donne ?

• Les recherches épidémiologiques des laboratoire des Editeurs Antivirus changent car ils sont confrontés à plusieurs types de techniques comme :– La publication des eGènes malicieux sur une période courte :

• Ne pas être détectés par les antivirus

– L’exploitation des réseaux Zombies• sont maintenant très nombreux

– Les ‘advanced’ worms (vers évolués)• réplications émergentes utilisant des techniques de multi-threading

• Toutes ces techniques ont pour seul objectif, pour le Cyber-criminel : être efficace malgré la surveillance de l’antivirus, de l’utilisateur et de l’administrateur des machines concernées.

Parallélisme d’un advanced worm

Worm à technologie séquentielle Worm à technologie Multithread

>500 min parallélisme >35 sec

Tom Vogt Simulation

17:24 17:33 17:38 17:41

Antidote en téléchargement pour tous !

Temps de Traitement – 3 minutes

Temps de Traitement TOTAL avec vérificationTemps de Traitement TOTAL avec vérificationdes virus dumpers – 17 minutesdes virus dumpers – 17 minutes

La réactivité en question ?

• 17 minutes est une valeur se rapprochant du ZeroDAY MAIS pas suffisante.

• Les réseaux zombies sont toujours là !

• Sachant que les keyloggers et rootkits actuels changent leurs codes en moyenne toutes les 30 minutes, pour entretenir les réseaux zombies.

Nombre de Codes Malicieux par Jour

020406080

100120140160180200220

1998 1999 2000 2001 2002 2003 2004 2005 2006

vir

us s

ign

atu

res a

dd

ed

daily

Statitiques des Labs Kaspersky

• Les attaques en masse ne sont plus d’actualité

• Entre 200 et 1200 codes malicieux sont ajoutés chaque 24 heures

• Mai 2007, stats de nos Labs :– Adware 14 815

   Malware   13 628   PornWare 35 692   RiskWare 1 825  TrojWare    TrojWare  200 415200 415   VirWare   37 296   X-Files     2 347   ---------------------------------   Total: 306 018

• 200 415 Rootkits, Keyloggers, 200 415 Rootkits, Keyloggers, Downloader, Exploits, BotNets ! Rien Downloader, Exploits, BotNets ! Rien que pour le mois de mai 2007!que pour le mois de mai 2007!

Fréquence des mises à jours

Signature Updates per MonthSignature Updates per Month

La mesure du risque

Protection Probability of infection

Great Antivirus 99,9% 1%

Bad Bad AntivirusAntivirus 90% 65%

Very Bad Antivirus 50% 99,9%

There is no such thing as 100% protectionThere is no such thing as 100% protection

L’Evolution du profil des Cyber-criminels et de leur Organisation

0

10

20

30

40

50

60

70

80

90

100

1980-1995 1995-2000 2000-2003 2004 2005

Délinquants Petits Escrocs Orginisations Criminelles

De 1990 à 2003

• Objectifs pour le Pirate :– L’exploit technologique ou d’estime. Le pirate est souvent un Etudiant.– Détruire des machines ou des données.– Bloquer la production des outils informatiques.

• Conséquences pour les Entreprises :– Financières.– Perte de productivité.– Problème d’image pour les entreprises.– Destruction d’information.

De 2003 à 2008

• Objectifs pour le Pirate :– Gagner de l’argent– Etre le plus invisible possible avec ses codes Malicieux de l’utilisateur et de l’administrateur.– Exploiter la puissance de calcul des machines à leur disposition.– Récupérer un maximum de données personnelles ou professionnels– Communiquer des informations entre les pirates sans être identifié (Terrorisme)

• Conséquences pour les Entreprises :– Financières– Perte de productivité– Fuite d’information vers l’extérieur– Problème juridique lié à l’exploitation pirate des machines d’une entreprise à des fins

malicieux (Espionnage industriel, etc….)– Les administrateurs informatiques peu informés des sujets liés à la sécurité pensent

encore que s’ils n’ont pas de problème, c’est qu’ils n’ont effectivement pas de problème. C’est plus forcement vrai.

Les Editeurs Antivirus pensent eux qu’ils ont potentiellement des problèmes mais qu’ils ne le savent pas.

Aujourd’hui le poste client, outil de production de l’entreprise, richesse pour le Cyber-

Criminel

• La réelle production d’une entreprise s’effectue au plus proche de l’utilisateur = Le pirate va chercher à l’atteindre.

• Les utilisateurs ont de plus en plus soif de libertés (postes nomades, protocoles peer to peer, accès Internet) = Les vecteurs de contaminations changent.

• Les Enjeux de la sécurité et les investissements des entreprises étaient réalisé sur les passerelles de messagerie. Aujourd’hui l’ensemble de la communauté des entreprises se refocalise sur la protection des postes de travail et sur la sécurisation des nouveaux vecteurs de propagation.

• Le nombre de Pc dans les entreprises et chez les particuliers ont augmenté avec la démocratisation de l’utilisation d’applications métiers dans les entreprises et avec la démocratisation des accès Internet. C’est une augmentation a deux chiffres.

Le poste client, de plus en plus victime des attaques.

• Fort de ces constatations, les pirates focalisent leur attaques en ciblant directement les postes utilisateurs.

• Les technologies d’infection serveurs telles que slammer (SQL server) ou CodeRed (linux apache) sont devenues obsolètes.

• La mobilité des postes de travail (télétravail, postes nomades) complique la tâche de surveillances et de préventions des équipes informatiques des entreprises. Elles sont obligées de s’adapter à ces nouveaux vecteurs de propagation.

• De nouveaux équipements communiquant échangent des informations avec les stations de travail (fixes ou mobiles). Les portables téléphoniques se transforment en équipement « intelligents » contenant parfois plus d’informations critiques que l’ordinateur traditionnel (agendas, carnet d’adresses, informations personnelles, répondeur téléphonique…)

Smartphones un réseau cible

Les portables téléphoniques « intelligents » offrent de meilleurs capacités que les ordinateurs traditionnels

Ils touchent avec assurance les personnes ciblées.

Ils sont toujours allumés.

Les capacités de stockage sont de plus en plus importantes.

Ils sont 100 fois plus nombreux que les ordinateurs.

Ils sont « hyper communiquant » (Wifi, Bluetooth, 3G, ….)

Ils contiennent des données personnelles et professionnels.

Ils offrent les capacités de géo localisations de l’appareil.

Les équipes informatiques se préoccupent pas réellement de la sécurité de ces équipements.

Le taux de renouvellement des matériels est deux fois plus important.

Codes Malicieux spécifiques Mobilité

De quoi ces virus sont-ils capables ?Ces Virus peuvent faire ...

• Paralyser totalement le mobile• Destruction ou Encryption des données

utilisateurs• Donner des appels et envoyer des SMS• Décharger la batterie• Diffusion de son code aux autres Mobiles• Infection du PC pendant la synchronisation

Média TRES exposé aux prochaines attaques et prochainement un élément clef des BotNets.

PhB, Mars 2006 20

– Infection des files (Virus.WinCE.Duts)

– Ouvrir un accès distant vers Internet (Backdoor.WinCE.Brador)

– Envoyer des SMS (Trojan-SMS.J2ME.RedBrowser)

– Bloquer le fonctionnement du téléphone (Trojan.SymbOS.Skuller, Rommwar)

– Bloquer les fonctions d'anti-virus après infection

– Déposer d'autres viruses (Trojan.SymbOS.Doombot avec ComWar)

– Effacer des données (Trojan.SymbOS.Cardblock, Worm.MSIL.Cxover)

– Vol des données (Worm.SymbOS.StealWar, Trojan-Spy.SymbOS.Flexispy)

– Utilisation frauduleuse du PC (Worm.MSIL.Cxover)

Quelques exemples de virus

PhB, Mars 2006 21

Très tôt matin dans le métro Un utilisateur reçoit un fichier via Bluetooth

(Cabir.a) La batterie se vide beaucoup plus rapidement que

d'habitude Le résultat: un appel au support technique de 3

heures et 50 euros plus tard, l'utilisateur à installé un nouveau “firmware“

Une infection typique

PhB, Mars 2006 22

Une infection typique (2)

Eté 2006 en Grèce sur un yacht en pleine mer. Un portable reçoit une notification d'envois de MMS

raté. Le résultat: l'utilisateur a payé pour un grand nombre

de MMS envoyés.

Cette attaque arrive très fréquemment, mais la pluspart des utilisateurs ne s'en apperçoivent jamais ...

Comment se prémunir ?Installer une solution antivirus et l’administrer est nécessaire mais pas

suffisant. L’Antivirus n’est que 75% de la solution pour votre sécurité du poste.

La mise en place d’outils de sécurité complémentaires et de politiques de sécurité minimaliste permettront de limiter les risques.

Les politiques de Filtrage URL, Antivirus HTTP ou de Filtrage AntiSpam sur les passerelles sont à ce jour des éléments permettant de limiter les effets de bords lié au comportement du Maillon Faible de la sécurité dans l’Entreprise : le facteur Humain

Pourquoi ?

Les attaques sont plus complexes

• Le spam existe car des utilisateurs y répondent et achètent !

• Le phishing existe car il est difficile pour un utilisateur de voir si il est bel et bien sur le serveur de sa banque !

• Les serveurs WEB, serveurs de mails et serveurs DNS furtifs continuent de se propager dans des rootkits installés sur les postes des utilisateurs

• L’usurpation VoIP arrive…Qui s’en méfiera?

Facteur aggravant : les utilisateurs ne changent pas !

• Les utilisateurs continueront d’utiliser des petits utilitaires, des cracks… car sur un pc on ne peut pas tout acheter !– Utiliser que les gratuits reconnus. Les autres peuvent être eux

même le code malicieux.• Ils continueront de répondre à des offres

promotionnelles ou à redonner leurs identités bancaires !

• Ils continueront de payer en ligne sans pour autant se soucier de la sécurité

• Ils accepteront que des sites sécurisés ne possèdent pas de certificats valides !

Les utilisateurs ne changent pas !

• Les sécurités des OS se font par rapport à une demande auprès de l’utilisateur de façon plus directe et explicite

• Mais cela ne changera pas la démarche d’infection, car si l’utilisateur accepte que l’application s’installe, c’est pour l’utiliser

Pour les entreprises quelques mesures simples et peu coûteuses

Sécurité anti-incendie/antivirusmême stratégie

Si on fait l’analogie entre la sécurité antivirale (propagation, infection, destruction) et la sécurité anti-incendie on peut mettre en parallèle les éléments suivants :

L’antivirus (élément curatif) n’est que l’extincteur.

Est-ce suffisant ?

Il manque (en analogie) :

• Les détecteurs de fumées et le central d’appel (Console d’administration et administrateur de la solution)

• Les pompiers eux-mêmes qui effectuent un travail de prévention et d’enquêtes.(équipes informatiques coordonnées)

• Les affiches qui informent des directions à prendre en cas d’incendie (procédures écrites en cas d’infection : Comment réagir ? Ce qu’il faut faire…Ce qu’il est strictement interdit de faire…Avec qui communiquer en interne ? Définition des champs d’intervention)

• Des utilisateurs capables de prendre des initiatives pour éviter les paniques (chef de services formés)

Ce qu’il faut retenir– Les pirates ont grandi. Les étudiants sont devenu des professionnels offrant leurs services

au plus offrant. (Société privé, Gouvernements (Cyber Guerre : Irak, Yougoslavie..), Mafias, autres…)

– Les comportement des utilisateurs eux ne changent pas.– La majorité des codes malveillants découverts sont des codes à but lucratifs dont l’objectif

est d’utiliser la machine victime en tant que hôte confortable pour des actions Internet (SPAM, Attaques de sites web)

– Certains codes malicieux ont des pouvoirs émergeant extrêmement fulgurant– Sur le principe du projet SETI, les pirates vont exploiter les postes de travail à leur

disposition pour réaliser des actions choisies. Emergence de réseaux Zombie basé sur le principe de fonctionnement du Peer to Peer.

– Les infections Virales transites maintenant via le Surf Internet. Les infections Virales transitant via les messageries ont été remplacé par les Spams. Les Pirates utilisent les Spams pour inviter les utilisateurs des machines à aller visiter des sites Web infectés (Sites Web événementiels (ex : Jeux olympiques….) = Maintenir et croître le réseau de machines Zombie

– Les vecteurs de propagation ont changé ces dernières années (telephonie etc…)– La durée de vie programmé par les pirates des codes malicieux sur une machine est passé

des plusieurs semaines, plusieurs mois à quelques minutes.– Le nombre de codes malicieux à référencer dans les bases Antivirus est passé de 25 à 50

codes par jour à 200 à 1200 codes par jour.– Le techniques de détections historiques (Pattern Matching) sont mises en difficultés.

• Poids et consommation des bases de connaissance deviennent très consommatrices.• Le principe de fonctionnement de cette technique de détection est rendue obsolète.

Conséquence : Emergence de nouveaux Editeurs exploitant des techniques de détections complémentaires ou alternatives.

Ne faites plus confiance à vos fichiers!

La vérité n’est pas toujours au bout de l’hameçon !La vérité n’est pas toujours au bout de l’hameçon !

Questions ?