Présentation menaces web2.0_cqsi_2008
-
Upload
michelcusin -
Category
Technology
-
view
1.217 -
download
0
Transcript of Présentation menaces web2.0_cqsi_2008
© Bell Canada, 2008. Tous droits réservés
UneUneUneUne dimension dimension dimension dimension
parallparallparallparallèèèèlelelele qui qui qui qui peutpeutpeutpeut briserbriserbriserbriser
votrevotrevotrevotre universuniversuniversunivers....
Le hacking:Le hacking:Le hacking:Le hacking:
Michel CusinColloque québécois de la sécurité de l’information
29 septembre 2008
____
© Bell Canada, 2008. Tous droits réservés
UneUneUneUne dimensiondimensiondimensiondimension
parallparallparallparallèèèèlelelele qui qui qui qui peutpeutpeutpeut briserbriserbriserbriser
votrevotrevotrevotre universuniversuniversunivers....
Le hacking:Le hacking:Le hacking:Le hacking:
Michel CusinColloque québécois de la sécurité de l’information
29 septembre 2008
© Bell Canada, 2008. Tous droits réservés
Le hacking:Le hacking:Le hacking:Le hacking:
Michel CusinColloque québécois de la sécurité de l’information
29 septembre 2008
UneUneUneUne dimension dimension dimension dimension
parallparallparallparallèèèèlelelele qui qui qui qui peutpeutpeutpeut briserbriserbriserbriser
votrevotrevotrevotre universuniversuniversunivers....
© Bell Canada, 2008. Tous droits réservés
ItinItinééraireraire du voyagedu voyage……
• Évolution du Web 1.0 -> 2.0- AJAX, Javascripts, XSS…
- Nouvelles possibilités (pour tout le monde, bons ou méchants…)
- Menaces plus sournoises, invisibles, volatiles…
© Bell Canada, 2008. Tous droits réservés
ItinItinééraireraire du voyagedu voyage……
• Démonstration1) Scan d’un Intranet à partir d’Internet sans scanner…
2) Vous serez mes complice$ dans l’attaque d’une banque … !
© Bell Canada, 2008. Tous droits réservés
Question :Question :
Y a-t-il des policiers dans la salle ?
© Bell Canada, 2008. Tous droits réservés
ItinItinééraireraire du voyagedu voyage……
• Démonstrations1) Scan d’un Intranet à partir d’Internet sans scanner…
• Quelques solutions…
2) Vous serez mes complice$ dans l’attaque d’une banque … !
- N’utilisent pas de vulnérabilité dû à un système qui ne serait pas àjour au niveau des anti-virus et des rustines.
- Seulement du Javascript et PHP via du HTTP sont utilisés.
Nous arriverons à destination malgré la présence de:- Logiciel antivirus et de postes de travail à jours;
- Serveur Proxy;
- Sonde de détection d’intrusion (IDS);- Coupe-feu.
© Bell Canada, 2008. Tous droits réservés
Audience visée
� Les gens d'informatique, de réseautique et de sécurité de l’information;
� Les policiers / enquêteurs;
�Ceux qui utilisent un ordinateur = Tout le monde;
� Les Psy…!
© Bell Canada, 2008. Tous droits réservés
Tout Tout estest Web de Web de nosnos joursjours ::
� Routeurs
� Coupes-feu
� Imprimantes
� Téléphones
� Caméras Web
� Services transactionnels
� Etc.
© Bell Canada, 2008. Tous droits réservés
WEB 1.0 versus WEB 2.0WEB 1.0 versus WEB 2.0
© Bell Canada, 2008. Tous droits réservés
WEB 2.0 WEB 2.0 ““BuzzwordsBuzzwords””
� N’est pas un standard mais plutôt une série de principes d'utilisation de technologies existantes;
� N'est pas un « big bang » mais une succession de « small bang »;
� Révolution dans l'utilisation des technologies et non une révolution des technologies elles-mêmes;
� Fait appel à des technologies classiques qui sont désormais mûres et mieux maîtrisées (HTTP, (X)HTML, CSS, XML, ...) suivant une combinaison connue sous le nom d'Ajax;
© Bell Canada, 2008. Tous droits réservés
AJAXAJAX
© Bell Canada, 2008. Tous droits réservés
AJAXAJAX
� AJAX : Asynchronous JavaScript And XML
� AJAX n'est pas une technologie en elle-même, mais un terme qui évoque l'utilisation conjointe d'un ensemble de technologies libres couramment utilisées sur le Web :
� HTML (ou XHTML) pour la structure sémantique des informations
� CSS pour la présentation des informations� DOM et JavaScript pour afficher et interagir dynamiquement
avec l'information présentée� XML… La tour de Babelle… plusieurs langages dans le même
script !!!
© Bell Canada, 2008. Tous droits réservés
SSéécuritcuritéé AJAXAJAX
� Augmente les attaques
� Donne accès aux API directement
� Plus simple pour le “reverse engineer”
� Les attaques de demain passeront par ces nouvelles technologies.
© Bell Canada, 2008. Tous droits réservés
JavascriptJavascript : : UneUne force force malmalééfiquefique ??
� Langage de programmation de script principalement utilisé pour les pages web interactives.
� Pouvons-nous vivre sur Internet avec javascriptdésactivé sur nos fureteurs ?
� Ces scripts sont indépendants des systèmesd’exploitation et des fureteurs.
© Bell Canada, 2008. Tous droits réservés
JavascriptJavascript : Avec: Avec……
© Bell Canada, 2008. Tous droits réservés
JavascriptJavascript : Sans: Sans……
© Bell Canada, 2008. Tous droits réservés
XSSXSS
Le Cross Site Scripting (XSS) est une attaque exploitant une faiblesse d'un site web qui ne valide pas ses paramètres en entrée. Un malfaiteur envoie du code non voulu à l'application, celle-ci envoie ensuite ce code à un autre utilisateur.
Voici un exemple…
© Bell Canada, 2008. Tous droits réservés
Site Web (très populaire)
Site Web (vulnérable au XSS)
Internaute
Exemple de XSS
© Bell Canada, 2008. Tous droits réservés
Site Web (vulnérable au XSS)
Exemple de XSS
Internaute
Site Web (très populaire)
© Bell Canada, 2008. Tous droits réservés
XSSXSS
Le Cross Site Scripting (XSS) est une attaque exploitant une faiblesse d'un site web qui ne valide pas ses paramètres en entrée. Un malfaiteur envoie du code non voulu à l'application, celle-ci envoie ensuite ce code à un autre utilisateur.
�Afficher du contenu subversif�Rediriger l'utilisateur vers un autre site�Voler l'information du client accessible par le site Web�Télécharger un fichier à l’insu de l’internaute
© Bell Canada, 2008. Tous droits réservés
XSSXSS
� En fait, tous les sites web sont potentiellement vulnérables au XSS. Des failles XSS ont été trouvées dans les pages d'erreurs de serveurs Web (Apache Tomcat).
� Le balayage personnel fait par un ami a trouvé en une soirée via google 234 sites vulnérables au XSS.
� Selon Gartner, 70 % des sites transactionnels sontvulnérables à un XSS.
© Bell Canada, 2008. Tous droits réservés
Info +Info +
� Une firme de sécurité a identifié plus de 10 000 pages Web qui ont été piratées via des failles XSS par le même groupede pirates informatiques. - www.itnews.com.au (mars 2008)
� Nous entendons souvent des avertissements de ne pas allersur les sites auquels vous ne faites pas confiance :
C’est une excellente idée, mais aujourd’hui même les sites auquels vous avez confiance peuvent être compromis sans que vous le sachiez.
© Bell Canada, 2008. Tous droits réservés
www.xssed.comwww.xssed.com
� “Citibank's critical cross-site scripting vulnerabilities” - Août 2008
� “HSBC web sites are open to critical XSS attacks” - Juin 2008
� “Verisign, McAfee and Symantec sites can be used for phishing due to XSS” - Juin 2008
� “New XSS flaws within eBay sites” - Mai 2008
� “Facebook vulnerable to XSS. Over 70 million users are at risk.”- Mai 2008
© Bell Canada, 2008. Tous droits réservés
DDéémonstrationmonstration
� L’attaque théorique: Scan d’un Intranet à partir d’Internet sans scanner…
© Bell Canada, 2008. Tous droits réservés
Réseau Corporatif
PosteWindows
PosteLinux
PosteMacintosh
Proxy IDS Coupe-feu Routeur
© Bell Canada, 2008. Tous droits réservés
Hacker
www.michelcusin.com
Code PHP <iframe>
© Bell Canada, 2008. Tous droits réservés
OK
011101001010101000101010
www.michelcusin.com
Hacker
© Bell Canada, 2008. Tous droits réservés
ET maintenant la banque $$$...
© Bell Canada, 2008. Tous droits réservés
Code HTML <iframe>
www.michelcusin.com
Hacker
© Bell Canada, 2008. Tous droits réservés
OK Code HTML <iframe>
www.michelcusin.com
© Bell Canada, 2008. Tous droits réservés
OK
Serveur de dépôt de fichiers
Proxy Anonyme
1) Code HTML 2) Javascript
www.michelcusin.com
© Bell Canada, 2008. Tous droits réservés
OK
Serveur de dépôt de fichiers
Proxy Anonyme
Serveur Web Victime du scan
2) Javascript
www.michelcusin.com
© Bell Canada, 2008. Tous droits réservés
OK
Serveur de dépôt de fichiers
Proxy Anonyme
www.michelcusin.com
© Bell Canada, 2008. Tous droits réservés
QuelquesQuelques pistespistes de solutionsde solutions……
� Facteur humain;
� Valider toujours les paramètres en entrée et n'accepter que ce qui est explicitement autorisé;
� Auditer les applications Web à l'interne et à l'externe;
� Porter attention à la réutilisation de composantes qui n'ont pas étédéveloppées avec la sécurité en tête ou encore qui ont ététéléchargées du net;
� Pares-feu: les mettre à jour, certaines techniques aideront à éviter ce genre d’attaque;
� Bloquer le traffic vers le RBN (russian business network).
© Bell Canada, 2008. Tous droits réservés
ConclusionConclusion
© Bell Canada, 2008. Tous droits réservés
MerciMerci !!!!!!
© Bell Canada, 2008. Tous droits réservés