Attaque & protection des systèmes informatiques
Ecole supérieure des services en informatique
13 bd du Maréchal Juin • 14000 Caentél. 02 31 53 30 30 / fax 02 31 53 30 30
e-mail : [email protected]
35 rue des Chantiers • 78000 Versaillestél. 01 39 53 00 07 / fax 01 39 53 13 41e-mail : [email protected]
cs2i 1ère année v.3.0 23 avril 2003 • Damien ALBERT
Sécurité informatiqueSécurité informatique
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
PlanAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
IntroductionTechniques d'attaquesAnatomie d'une attaqueProtection contre les attaquesAnnexes
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
IntroductionAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
L'évolution des risques
Croissance de l'Internet
Croissance des attaques
Failles des technologies
Failles des configurations
Failles des politiques de sécurité
Changement de profil des pirates
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
IntroductionAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
"Avantages" d'Internet
Anonymat
Coût minime
Échange de fichiers de tout type
Pas de frontière spatiale et temporelle
Plus de 350 millions d'internautes
Présence policière encore limitée
Relativité des normes
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
IntroductionAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Usage problématique d'Internet
Diffusion de contenus problématiques
Communication entre criminels
Cryptographie et stéganographie
Spamming
Non respect des droits d'auteurs
Diffusion de pornographie légale
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
IntroductionAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Usage criminel d'Internet
Pédophilie
Propos haineux
Divulgation d'informations confidentielles
Sites diffamatoires
Jeux illégaux
Escroquerie (CB)
Etc.
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
IntroductionAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Phénomènes techniques
Explosion de la technologie des transferts de données
Grande complexité des architectures de systèmes
Ouverture (pas toujours maîtrisée) des réseaux de communication
Débits des communication de plus en plus importants
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
IntroductionAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Phénomènes organisationnels
Besoin de plus en plus d'informations
Grande diversité dans la nature des informations:
données financières données techniquesdonnées médicales…
Ces données constituent les biens de l'entreprise et peuvent être très convoitées.
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
IntroductionAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Motivations des attaques
Vol d’informations
Modifications d’informations
Vengeance/rancune
Politique/religion
Défis intellectuels
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
IntroductionAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
La sécurité: une nécessité
Stratégie de sécuritéStratégie de sécuritéLégislationLégislation
InformaticiensInformaticiens UtilisateursUtilisateurs
LogicielsLogiciels
MatérielsMatériels
ContratsContrats
RéseauxRéseaux
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
IntroductionAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Qui sont les pirates ?
Peut être n'importe qui avec l'évolution et la vulgarisation des connaissances.
Beaucoup d'outils sont disponibles sur Internet (toolkits).
Un "hacker" n'est pas nécessairement un "cracker":
hacker: celui qui a la connaissance. cracker: celui qui exploite la connaissance.
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
Techniques d'attaquesAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Techniques d'attaques
Social Engineering
Dumpster diving
Shoulder surfing
Scannings
Sniffing
etc.
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
Techniques d'attaquesAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Cibles des pirates
Banques
Organismes de crédit
Serveurs militaires
Universités
Fournisseurs d'Accès Internet
Tout le monde
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
Techniques d'attaquesAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Dissimulation d'informations
L'information peut être dissimulée dans un but de protection (mot de passe, …) ou dans des buts moins légaux.
Différentes méthodes pour s'échanger de l'information de manière sûre:
cryptographie (symétrique,asymétrique); aspect abordé dans des enseignements spécifiques.
Stéganographie (vu plus loin)
Tout n'est pas autorisé par la loi.
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
Techniques d'attaquesAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Stéganographie
Procédé ancien de dissimulation d'informationssensibles parmi d'autres informations moins importantes
Fichiers graphiques ou sons assez adaptés comme support
Cas particulier du watermarking.
Exemples de logiciels:
Steganos Security Suite http://www.steganography.comoutguess http://www.outguess.orgMP3Stego http://munitions.vipul.net/software/steganography
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
Techniques d'attaquesAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Menaces liées aux réseaux
Menaces actives Panne, mauvaise utilisation, pertes d'informations Contamination (virus, vers) Chevaux de troie (backdoors) Dénis de services Intrusions Bombes logiques …
Menaces passives Écoute des lignesAnalyse de trafic …
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
Techniques d'attaquesAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Virus
Portion de code inoffensive ou destructrice capable de se reproduire et de se propager.
Différents types de virus: Virus boot Virus dissimulé dans les exécutables Macro virus
Différentes contaminations possibles: Échange de disquettes Pièces jointes au courrier électronique Exécutables récupérés sur Internet Etc.
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
Techniques d'attaquesAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Vers
Proches des virus mais capables de se propager sur d'autres ordinateurs à travers le réseau.
Un moyen courant de propagation: le carnet d'adresses d'outlook (ex: "I Love you").
L'an dernier: Code Red, SirCam, Nidam
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
Techniques d'attaquesAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Chevaux de Troie
Très répandu
Quelques exemples pour Windows
Back OrificePermet de la "remote administration"
Sockets23 (Socket de Troie) Signale la présence des ordinateurs infectés sur des serveurs de discussion en direct de type irc
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
Techniques d'attaquesAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Sécurité des réseaux
Exploitation des failles dans les implémentations des piles TPC/IP
Exploitation des services réseaux ouverts sur une machine
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
Techniques d'attaquesAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Rappel d'une connexion TCP
Connexion en 3 temps (Three Way Handshake)
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
Techniques d'attaquesAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Sniffer
Outil de base indispensable.
Permet de visualiser les trames sur un segment de réseau.
Nécessite des droits administrateurs.
Attention au problème juridique.
Utilise des sockets en mode "promiscuous". socket (AF_INET,SOCK_RAW,IPPROTO_RAW)
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
Techniques d'attaquesAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Sniffer
Beaucoup de logiciels sniffers existantsListe sur http://packetstormsecurity.org/sniffersLe sniffer de base pour unix: tcpdumpDisponible sur http://www.tcpdump.orgGrammaire très évoluéeAffiche les entêtes de paquets répondant au critère spécifiéD’autres sniffers permettent de recueillir des informations sensibles (Exemple: sniffit)
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
Techniques d'attaquesAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
tcpdump: Exemple d'utilisation
tcpdump host e450 and port 25
11:41:46.783567 e450.ensicaen.ismra.fr.63842 > sdn.ismra.fr.smtp: S 3390960877:3 390960877(0) win 8760 <mss 1460> (DF)11:41:46.784714 sdn.ismra.fr.smtp > e450.ensicaen.ismra.fr.63842: S 662708920:66 2708920(0) ack 3390960878 win 33580 <mss 1460> (DF)11:41:46.784976 e450.ensicaen.ismra.fr.63842 > sdn.ismra.fr.smtp: . ack 1 win 87 60 (DF)11:41:47.002410 sdn.ismra.fr.smtp > e450.ensicaen.ismra.fr.63842: P 273:320(47) ack 80 win 33580 (DF)
Sécu
rité
info
rmat
ique
Sécu
rité
info
rmat
ique
© 2
002-
2003
●e2
siC
aen
●To
us d
roits
rése
rvés
● R
epro
duct
ion
inte
rdite
san
s l’a
ccor
d éc
rit p
réal
able
de
l’e2s
i–D
.A.
Techniques d'attaquesAttaque & protection des systèmes informatiquesAttaque & protection des systèmes informatiques
Sniffer pour Windows™
Spynet (shareware) Disponible sur http://packetstormsecurity.org/sniffers/spynetComprend CaptureNet (sniffer) et PeepNet (reconstitue les sessions à partir des données capturées)