Attaques Informatiques
-
Upload
sylvain-maret -
Category
Technology
-
view
3.858 -
download
7
description
Transcript of Attaques Informatiques
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
La citadelle électroniquerisques et menaces
Sylvain MaretFévrier 2002Version 1.21
Solutions à la clef
Effets possibles d’une attaque du SI
Déni de services (perte de productivité) Usage non autorisé des systèmes Perte ou altération des données ou
programmes Perte financière Perte de confiance dans les systèmes Atteinte à l’image de l’entreprise Etc.
Solutions à la clef
Les nouvelles menaces
Les « intruders » sont préparés et organisés Sites Web Conférences (DefCon, etc.)
Attaques sur Internet sont faciles et difficilement tracables
Outils d’intrusion sont très évolués et faciles d’accès
Solutions à la clef
Augmentation des « intruders »
Solutions à la clef
Qui sont les « intruders » ?
Solutions à la clef
Leurs motivations ?
Le profit et l’argent Avantage compétitif Espionnage Vengeance Revendication Curiosité La gloire Etc.
Solutions à la clef
Evolution des attaques
Solutions à la clef
Pyramide des Menaces
Solutions à la clef
Les vulnérabilités
Augmentation significative des vulnérabilités Pas de « design » pensé sécurité Complexité du système d’information Besoins Marketing (Software) Evolution très (trop) rapide des technologies Etc.
Solutions à la clef
Comment gérer ces données ? ou le calcul du risque !
1) Evaluation des coûts2) Pas d’influence sur les menaces3) Baisse des vulnérabilités (tendre vers zéro)
(Processus permanent)
Risque = Coûts * Menaces * Vulnérabilités
Solutions à la clef
Influence du temps ?
La sécurité est un processus permanent Et non pas un produit…
L’idée: Maintenir en permanence les vulnérabilités
au plus bas Suivre les recommendations des
constructeurs (patchs, update, etc.) Amélioration de l’architecture de sécurité
Solutions à la clef
Cycle d’une vulnérabilité
TimeGap
Solutions à la clef
Evolution dans le temps
Time
Ideal Gap
Growing Gap
Solutions à la clef
Peut-on prévenir les intrusions ?
Solutions à la clef
Comment gérer cette évolution ?
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Les attaques
Solutions à la clef
Les attaques des systèmes d’informations
Scanners Déni de services Network sniffing Password Guessing Virus, cheval de troie, Backdoor BoF Code mobile Etc.
Solutions à la clef
Les Scanners
Outils pour découvrir très rapidement les services offerts sur un système ou sur un réseau Scan Range
Scan TCP ou UDP voir ICMP Liste les ports ouverts (ftp, http, ssh, etc.)
Possibilité de scanner de façon invisible Changement de port source Half Syn
Solutions à la clef
Les Scanners
Certains scanners détermineent le type d’OS OS Finger Print Prédiction de trame
Plus considéré comme une attaque Eventuel prémice d’une attaque
Outils Open Source Nmap Strobe Queso Yasp Etc.
Solutions à la clef
Les Scanners: recommendations
Interdire les ICMP echo et reply (ping) Découverte moins rapide des services
Bloquer la source par un système IDS Système automatique de blocage
Laisser uniquement les « ports » utiles sur les systèmes
Solutions à la clef
Denial of Service (DoS)
Atteinte au bon fonctionnement d’un système Imobilisation ou « gel » Utilisation massive des ressources CPU Utilisation massive de la bande passante Crash du système
Voir perte de données
Solutions à la clef
Denial of Service (DoS)
4 grandes familles Les Floodings Les Mails Bombs Les « dévoreurs » de bande passante ou
ressources CPU Les « destructeurs » de système
Solutions à la clef
Flooding
Litéralement « l’inondation » d’un système
Attaques de type Syn-Flood Log-Flood Data-Flood Etc.
Solutions à la clef
Attaque Syn-Flood
Exploitation du méchanisme de l’établisement d’une connexion TCP
Immobilisation du système Peut dans certain cas « crasher » le
système Pratiquement anonyme
Spoofing d’adresse IP source
Solutions à la clef
Connexion TCP
1. Client initiates a request to the server,
“I want to talk.” (SYN)
SYN/ACK 2. Server replies, “I’m ready.” (SYN/ACK)
ACK
Client Server
Client Server
Client Server
I wantto talk
Let’sgo!
I’m ready
SYN
3. Client sends acknowledgment toestablish connection, “Let’s go!” (ACK)
Solutions à la clef
Attaque Syn-Flood
Client SYNSYN
SYNSYN
SYN/ACK
SYN/ACK
IP?IP?IP?
IP?
Server
Solutions à la clef
Les Mails Bombs
Programme qui envoie des mails en quantité massive Mails obscènes Abonement à des mailling list Fichiers attachés gigantesques Etc.
Très difficile à stopper
Solutions à la clef
Les dévoreurs de ressources
Attaque qui utilise de manière massive de la bande passante ou des ressources CPU
La plus connue est Smurf
Solutions à la clef
Smurf
Broadcast echo
address
Source address is spoofed to be
target’s address
Réseauintermédiaire
Attaquant
Cible
Many echo replies arereceived by the target,since most machines
on the intermediary networkrespond to the broadcast
Solutions à la clef
Les destructeurs de système
Attaques qui « crash » les systèmes Pratiquement invisible
Exploite les vulnérabilités des systèmes d’exploitation ou des applications Beaucoup de problèmes avec Windows NT
Attaques de type Ping of death Teardrop Land Targa Etc.
Solutions à la clef
Distributed Denial of Service (DDoS)
Amplification des attaques D0S Attaques très dangereuses Peut impliquer jusqu’à une centaine de
machines attaquantes Outils Open Source
Trin00 Tribe Flood Stacheldraht Etc.
Solutions à la clef
DDoS
Solutions à la clef
Network Sniffing
Utiliser pour « monitorer » le trafic sur un réseau
Crackers les utilisent pour: Examiner le trafic entre plusieurs machines Obtenir les « username et password » Examiner les emails Etc.
Pratiquement indétectable
Solutions à la clef
Network Sniffing…
Solutions à la clef
Network Sniffing…
Solutions à la clef
Sniffer et les environnements Switchés
Possibilité de « sniffer » dans un environnement switché
Technique utilisée ARP Poisoning ou spoofing ARP
Outils Open Source Dsniff, Hunt, etc.
Possibilité de «hijacking »
Solutions à la clef
Sniffing: Relay Configuration
Alice Bob
0:c:3b:9:4d:8- 10.1.1.70:c:3b:1c:2f:1b- 10.1.1.2
0:c:3b:1a:7c:ef- 10.1.1.7 0:c:3b:1a:7c:ef- 10.1.1.2
0:c:3b:1a:7c:ef- 10.1.1.10
Attacker
Solutions à la clef
Démonstration Sniffing
Sniffer
Network
Original TCP Packet
Login: dupont
Password: abc123
Unix HostUnix Host
Telnet to Unix HostTelnet to Unix Host
Solutions à la clef
Sniffing: recommendations
Utilisation de l’authentification forte Tokens, SmartCard, SecurID, etc.
Utilisation du chiffrement (si nécessaire) (SSH, IPSEC, SSL, etc.)
Détection de sniffer Port Security sur les Switchs
Mac address
Solutions à la clef
Brute Force-Password Guessing
But: deviner les mots de passe Attaques par dictionnaire
L0phtCracks (Windows NT) Cracks (Unix /etc/shadow) Etc.
Attaques par brute force L0phtCrack Brutus Etc.
Attaques hybride
Solutions à la clef
Démonstration: LC3
Solutions à la clef
Virus informatique: définition
Un virus est un programme qui se réplique en s’attachant à un autre objet
Un vers (Worm) est un programme qui se réplique de façon indépendante Messagerie par exemple
Solutions à la clef
Mécanisme de réplication et Payload
Pour être considéré comme un virus ou un vers, il FAUT un mécanisme de réplication
Le Payload est une partie optionnel qui contient l’action du virus ou du vers Destruction Vol de données Quelque chose de drôle (Hoax) Etc.
Solutions à la clef
Type de virus
Boot Sector Virus 1er forme de virus Form, Parity Boot, etc.
Parasitic Virus (file virus) Attaché à un fichier exécutable Jerusalem, CIH
Macro Viruses Word, Excel, etc Melissa
Solutions à la clef
Evolution des virus
1988: Less than 10 known viruses 1990: New virus found every day 1993: 10-30 new viruses per week 1999: 45,000 viruses and variants
Source: McAfee
Virus Growth
0
10000
20000
30000
40000
50000
60000
1988 1990 1993 1999
Solutions à la clef
Cheval de Troie - Back Door
Dans la famille des virus Cheval de Troie
Programme dissimulé derrière un autre programme
Back Door Porte dérobée Connexion par réseau
Netbus, Back Orifice, SubSeven, etc
Solutions à la clef
Virus: recommendation
Contrôle de contenu (flux externes) Messagerie SMTP Surf Internet (http, ftp, etc.) Codes mobiles (Java, ActiveX)
Anti Virus poste local Sécurisation du poste client Système de détection d’intrusion réseau Mise à jour « heure par heure »
Solutions à la clef
Web Servers
Crackers exploitent des vulnérabilités pour compromettre le serveur
Les Web Servers sont des cibles très visibles
Crackers peuvent utiliser ces resources pour publier des revendications Politique, vengeance, etc.
Solutions à la clef
« Defacements »
Changement des pages « Web » FTP Compromise Etc.
Changement du « code source » DNS redirection ou « poisoning » Piratage de domaine Corruption des « proxy caches »
Solutions à la clef
Defacements: évolution dans le temps
Solutions à la clef
Exemple de « Defacement » !
Solutions à la clef
Microsoft IIS
Beaucoup de problème de sécurité 60% des defacements
Année 2001 ISAPI Overflow Generic « root.exe » IIS Directory Traversal (Unicode) Etc.
Code Red et Nimda 13 Juillet 2001 et 18 septembre 2001
Solutions à la clef
Microsoft IIS
Octobre 2001: Gartner Group recommande de trouver une alternative à IIS…
Microsoft promet une nouvelle version IIS ?
Solutions à la clef
CGI and WWW Services
Interface entre un serveur Web et un langage Perl, C-C++, TCL, etc.
Problèmes de sécurité Exécution de commande shell Vol de données Back door Etc.
Solutions à la clef
Scanner CGI
Scanner spécialisé Nikto Whisker Retina Cgi Scann Etc.
Solutions à la clef
Risques des codes mobiles
Problèmes liés à l’utilisation du browser Java ou ActiveX
Déni de services Vol d’informations Ouverture de connexions réseau Etc.
Solutions à la clef
Compromises
Accès non autorisé à un système « Root Compromise »
L’accès permet: Examiner des informations confidentielles Altérer ou dédruire des données Utiliser des ressources système Lancer des attaques vers d’autres systèmes Etc.
Solutions à la clef
Compromises
Crackers utilisent des « toolkits » pour: Root Kit Sniffer Etc.
La plus part des systèmes compromis sont: Mal configurés N’ont pas les patchs nécessaires
Solutions à la clef
Scénario d’une attaque de type « compromise »
Solutions à la clef
Buffer Overflow (BoF)
Ou débordement de pile Vulnérabilités des systèmes
d’exploitation ou des applications Permet généralement d’effectuer un
« Root Compromise » Recommendation
Appliquer les patchs des constructeurs
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Questions?
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Pour plus d’informations
e-Xpert Solutions SASylvain Maret
Route de Pré-Marais 29CH-1233 Bernex / Genève
+41 22 727 05 [email protected]