ASFWS 2011 - Malware: quelles limites pour les applications ebanking?

712 views
640 views

Published on

Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Switzerland)
Speakers: Jean-Marc Bost et Sébastien Bischof

Published in: Technology
1 Comment
0 Likes
Statistics
Notes
  • Be the first to like this

No Downloads
Views
Total views
712
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
26
Comments
1
Likes
0
Embeds 0
No embeds

No notes for slide

ASFWS 2011 - Malware: quelles limites pour les applications ebanking?

  1. 1. Quelles limites pourles applications de eBanking? (Avez-vous peur des fantômes?) présentation pour APPSEC Sébastien Bischof Jean-Marc Bost 27.10.2011 Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les-Bains http://appsec-forum.ch
  2. 2. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser27.10.2011 Application Security Forum - Western Switzerland - 2011 2
  3. 3. ETH(ical) Hacking sur SF1 Impossible de dissocier les données de la transaction et l’OTP! GC5 6 NN 7W 4 EZ 7 8 9 Selon la déclaration de spécialistes de l’EPF sur la sécurité de ****** e-banking: "Le système de ****** avec son lecteur de carte est à considérer comme sûr, parce qu’il exige une confirmation de transaction pour effectuer un virement vers un compte inconnu." 27.10.2011 Application Security Forum - Western Switzerland - 2011 3
  4. 4. L’ETH(ical) MITC = Man Inside The Computer 27.10.2011 Application Security Forum - Western Switzerland - 2011 4
  5. 5. Seule, la victime peut confirmer la transaction Confirmation? 27.10.2011 Application Security Forum - Western Switzerland - 2011 5
  6. 6. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser27.10.2011 Application Security Forum - Western Switzerland - 2011 6
  7. 7. L’infection par «troyens» est une réalitéSelon Microsoft, 5% des PC Windows sont infectés(source «Safety Scanner», May 2011)Au moins 25%, selon Pandalab, avec une majorité de Troyens(source «ActiveScan», Q2 2011) La Suisse affiche le 2ème taux d’infection le plus bas… … mais à presque 30% Le troyen est plébiscité par les hackers “42 new malware strains created every minute» 27.10.2011 Application Security Forum - Western Switzerland - 2011 7
  8. 8. Au début, il y a eu le MITM (Man In The Middle)… 2006 MITM • site intermédiaire • pollution DNS • etc … 2007 27.10.2011 Application Security Forum - Western Switzerland - 2011 8
  9. 9. … puis le MITB (Malware In the Browser)… 2007 MITB • Anserin • Mebroot • Silentbanker 2008 27.10.2011 Application Security Forum - Western Switzerland - 2011 9
  10. 10. … puis le MI (Malware Inside) 2009 MI • Zeus • Ares • SpyEye 2011 27.10.2011 Application Security Forum - Western Switzerland - 2011 10
  11. 11. L’efficacité de Zeus et SpyEye en chiffres – 2009: 1.5 Millions de Spam d’infection vers facebook – Juin 2009: 74’000 comptes FTP détournés par Zeus – 2010: au moins 6 millions de £ on été détournées par un gang de 19 personnes en Angleterre – Oct. 2010: 70 millions US $ par Zeus – 3.6 millions de PC infectés aux USA par Zeus – 2011: 3,2 millions US $ détournés par un jeune russe en 6 mois avec Zeus et SpyEye 27.10.2011 Application Security Forum - Western Switzerland - 2011 11
  12. 12. Le eBanking n’est pas la seule cible D’autres sites web peuvent faire l’objet de vols de: - mots de passe - adresses emails - cookies - cartes de crédit - … et même sans les cibler! 27.10.2011 Application Security Forum - Western Switzerland - 2011 12
  13. 13. Le eBanking n’est pas la seule cible Facebook Google mail Jeu en ligne Microsoft Hot mail Windows live McAfee 27.10.2011 Application Security Forum - Western Switzerland - 2011 13
  14. 14. Le eBanking n’est pas la seule cible Les copies d’écran et même les captures vidéos permettent de : - espionner les claviers virtuels - se tenir au courant des modifications - espionner la vie privée - … toujours sans cibler un site particulier! 27.10.2011 Application Security Forum - Western Switzerland - 2011 14
  15. 15. Le eBanking n’est pas la seule cible … et les connexions ftp 27.10.2011 Application Security Forum - Western Switzerland - 2011 15
  16. 16. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser27.10.2011 Application Security Forum - Western Switzerland - 2011 16
  17. 17. MI = Man (ou Malware) Inside 27.10.2011 Application Security Forum - Western Switzerland - 2011 17
  18. 18. Une transaction dans un formulaire 27.10.2011 Application Security Forum - Western Switzerland - 2011 18
  19. 19. La transaction détournée par le MI What You Sign Is Not-) What You See ? 456 FRA 666 666 Merci, parfait pour ma transaction! -) 27.10.2011 Application Security Forum - Western Switzerland - 2011 19
  20. 20. Ce qui devrait se passer… Memory GUI POST CPT0123456789 TCP9876543210 5000 27.10.2011 Application Security Forum - Western Switzerland - 2011 20
  21. 21. Ce qui se passe! Memory GUI POST CPT0123456789 456FRA666666 5000 27.10.2011 Application Security Forum - Western Switzerland - 2011 21
  22. 22. Ce qui devrait se passer… Memory GUI FORM CPT0123456789 456FRA666666 5000 27.10.2011 Application Security Forum - Western Switzerland - 2011 22
  23. 23. Ce qui se passe! Memory GUI FORM CPT0123456789 456FRA666666 5000 27.10.2011 Application Security Forum - Western Switzerland - 2011 23
  24. 24. Zeus contrôle le browser par injection Le malware contrôle le PC requête DLL réponse MI DLL 27.10.2011 Application Security Forum - Western Switzerland - 2011 24
  25. 25. … et pas que le browser Firefox Firefox crash reporter Mise à jour Java 27.10.2011 Application Security Forum - Western Switzerland - 2011 25
  26. 26. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser27.10.2011 Application Security Forum - Western Switzerland - 2011 26
  27. 27. Une conception très « professionnelle » Injection Je suis: • Multifonctions • Configurable Commander & Controller • Evolutif • Furtif • RésilientCollection Configuration Le taux de détection de SpyEye par les antivirus de 25% [abuse.ch] VictimeMaintenance 27.10.2011 Application Security Forum - Western Switzerland - 2011 27
  28. 28. Il n’est pas toujours facile de les trouver Propriétés d’un Rootkit: La furtivité – Stabilité – Pas de traces La persistance pour survivre aux redémarrages La prise de contrôle d’un ordinateur Peut cacher ses canaux de communication 27.10.2011 Application Security Forum - Western Switzerland - 2011 28
  29. 29. Ils peuvent se manifester à tout moment Vue du disque Vue globale 27.10.2011 Application Security Forum - Western Switzerland - 2011 29
  30. 30. Exemple: Bootkit Vue du disque Vue globale Il existe des utilitaires pour flasher le bios depuis un système en cours d’exécution Altération 27.10.2011 Application Security Forum - Western Switzerland - 2011 30
  31. 31. Et n’importe où! Le système travaille avec une représentation virtuelle du hardware sur lequel il est exécuté Les programmes exécutés se fient aux informations que leur donne le système. Vision du système Représentation en mémoire Process1 Process2 Process Réalité physique Et si l’on changeait la vision du système ? 27.10.2011 Application Security Forum - Western Switzerland - 2011 31
  32. 32. Exemple: DKOM Les processus sont représentés en mémoire par une structure (EPROCESS) DKOM peut, par exemple, cacher un processus de cette liste Process1 Process2 Process (idem pour les autres ressources système)27.10.2011 Application Security Forum - Western Switzerland - 2011 32
  33. 33. Et si on les combinait ? Malware exécuté avant le système d’exploitation Le système peut être démarré avec le plus bas niveau de sécurité Les routines malicieuses sont démarrées avant le système Le malware contrôle la vision du système Difficile à détecter et à s’en débarrasser Le système est littéralement hanté 27.10.2011 Application Security Forum - Western Switzerland - 2011 33
  34. 34. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser27.10.2011 Application Security Forum - Western Switzerland - 2011 34
  35. 35. DémonstrationToken USB : – Lecteur de carte à puce intégré – Authentification mutuelle – Système de mises à jour – …+ browser intégré (safeBrowser): – Évite les injections « à la Zeus » en fournissant ses propres librairies – Empêche l’exécution du browser normal et des librairies système correspondantesMais… 27.10.2011 Application Security Forum - Western Switzerland - 2011 35
  36. 36. Tunnel entre les 2 browsers MS API? safeBrowser Browser du PC FORM CPT0123456789 456FRA666666 5000 Parsing output remoteThread 27.10.2011 Application Security Forum - Western Switzerland - 2011 36
  37. 37. Tunnel entre les 2 browsers MS API? safeBrowser Browser du PC POST CPT0123456789 456FRA666666 5000 Windows API remoteThread 27.10.2011 Application Security Forum - Western Switzerland - 2011 37
  38. 38. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser27.10.2011 Application Security Forum - Western Switzerland - 2011 38
  39. 39. Une pincée de «Social Engineering» en plusOn peut faire faire ce qu’on veut si on contrôle la vision de l’internaute 27.10.2011 Application Security Forum - Western Switzerland - 2011 39
  40. 40. ZITMO = Zeus + “Social Engineering” (SPITMO avec SpyEye)2008: OWASP recommande le SMS …the use of a second factor such as a mobile phone is an excellent low cost alternative… …is actually stronger than most two factor authentication fobs… …a single weakness in this model - mobile phone registration and updating2010: Zeus attaque le SMS #2 Origine incertaine #3 #1 Texte en Numéro clair publique 27.10.2011 Application Security Forum - Western Switzerland - 2011 40
  41. 41. Revenons aux conclusions de l’ETH(ical) hacking Impossible de dissocier les données de la transaction et l’OTP! GC5 6 NN 7W 4 EZ 7 8 9 « Selon la déclaration de spécialistes de l’EPF sur la sécurité de ****** e-banking: "Le système de ****** avec son lecteur de carte est à considérer comme sûr, parce qu’il exige une confirmation de transaction pour effectuer un virement vers un compte inconnu." » 27.10.2011 Application Security Forum - Western Switzerland - 2011 41
  42. 42. Ce cas est-il à l’abris du «Social Engineering»? !? GC5 6 NN 7W 4 EZ 7 8 9 « Ne répondez en aucun cas à une demande de confirmation d’une série de numéros ou de signes – même si la demande semble provenir de ****** » 27.10.2011 Application Security Forum - Western Switzerland - 2011 42
  43. 43. Probablement pas… What You Sign Is What You See Le compte à créditer est enregistré sous la But… référence 456 FRA 666 666 par la banque du destinataire. Nous vous prions de rentrer les 6 derniers chiffres de ce numéro de référence dans votre calculette puis de rentrer le code de sécurité que vous obtenez ci-dessous pour définitivement valider votre transaction.« Ne répondez en aucun cas à une demande de confirmation d’une série denuméros ou de signes – même si la demande semble provenir de ****** » 27.10.2011 Application Security Forum - Western Switzerland - 2011 43
  44. 44. WYSIWYS or not WYSIWYSThat is the Question 27.10.2011 Application Security Forum - Western Switzerland - 2011 44
  45. 45. … des questions? Pour nous contacter: Sébastien Bischof Jean-Marc Bost sebastien.bischof@elca.ch Jean-marc.bost@elca.chLausanne I Zürich I Bern I Genf I London I Paris I Ho Chi Minh City Lausanne I Zürich I Bern I Genf I London I Paris I Ho Chi Minh City SLIDES A TELECHARGER PROCHAINEMENT: http://slideshare.net/ASF-WS
  46. 46. Explications de la démo - Architecture 27.10.2011 Application Security Forum - Western Switzerland - 2011 46
  47. 47. Exemple: SpyEye SpyEye est une boîte à outils – Avec un kit de génération de chevaux de Troie – Et une interface de contrôle Web Mais il utilise aussi des mécanismes de rootkit. • Pour se cacher – Il cache ses fichiers en altérant les fonctions du système • Pour persister – Il ajoute une entrée dans le registre Le taux de détection de SpyEye par les antivirus de 25% selon www.abuse.ch 27.10.2011 Application Security Forum - Western Switzerland - 2011 47
  48. 48. Ce qui devrait se passer… SafeBrowser Firefox du PC 27.10.2011 Application Security Forum - Western Switzerland - 2011 48

×