Your SlideShare is downloading. ×
[Projet] Sécurité Androïd
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

[Projet] Sécurité Androïd

478
views

Published on

Diaporama de soutenance de projet de fin de Master 2 Sécurité des Systèmes d'Information. Le nom du projet était "Sécurité Androïd" et le but de celui-ci était le portage de l'HIDS Stide sur le …

Diaporama de soutenance de projet de fin de Master 2 Sécurité des Systèmes d'Information. Le nom du projet était "Sécurité Androïd" et le but de celui-ci était le portage de l'HIDS Stide sur le système Androïd de Google ainsi que le développement de modules kernels afin de "hooker" les appels systèmes dans le but des tracer puis analyser avec l'HIDS. Pour plus d'informations, regarder le diapo. Pour encore plus d'informations, n'hésitez pas à me contacter...

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
478
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013Encadrant: P-A Fouque Bassem – Belkacem – Guillaume – Romain – Thierry
  • 2. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Contexte du projetContexte  Nombreux projets de rechercheContenu  Très spécifiquesApprentissageExploitation  Notre projet:Conclusion  HIDS généralBilan  Basé sur des séquences d’appel Bassem – Belkacem – Guillaume – Romain – Thierry 11
  • 3. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Contenu  ApprentissageContexte  Module LKMContenu  Module ptraceApprentissage  Exploit AndroïdExploitationConclusion  ExploitationBilan  Fonctionnement de Stide  Stide en action Bassem – Belkacem – Guillaume – Romain – Thierry 21
  • 4. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Apprentissage  Modélise le comportement normalContexte  La précision dépend de la duréeContenuApprentissage  Surveillance des appels systèmesExploitation  Liste d’enchainement “normaux”ConclusionBilan  Module LKM de “hook”  “ptrace” sous Androïd Bassem – Belkacem – Guillaume – Romain – Thierry 31
  • 5. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Apprentissage: Module LKM  Basé sur un module de furtivitéContexte  Corruption des affichages sous UnixContenuApprentissage  Brute force sur la table des symbolesExploitation  Modification:Conclusion  @ légitime -> @ corrompueBilan  Appel de la fonction corrompue  Retour vers la fonction légitime Bassem – Belkacem – Guillaume – Romain – Thierry 41
  • 6. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Apprentissage: Module LKM  Phase de nettoyage possibleContexteContenu  En sortie:Apprentissage  1401 16Exploitation  1401 64Conclusion  1401 51Bilan  1401 69  -1 Bassem – Belkacem – Guillaume – Romain – Thierry 51
  • 7. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Apprentissage: Module ptraceContexte  Utilise la librairie ptraceContenuApprentissage  Un démon qui tourne en fondExploitationConclusionBilan  syscalltrace –p <pid> [-o out] Bassem – Belkacem – Guillaume – Romain – Thierry 61
  • 8. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Apprentissage: Module ptrace  Attache du PIDContexte  ptrace(PTRACE_ATTACH, target_pid, null, null)ContenuApprentissage  Attend l’arrivé d’un appel systèmeExploitation  ptrace (PTRACE_SYSCALL, target_pid, 0, 0);ConclusionBilan  Récupération de l’id  ptrace(PTRACE_PEEKUSER, target_pid, PT_SYSCALL_NR_OFFSET, 0); Bassem – Belkacem – Guillaume – Romain – Thierry 71
  • 9. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Apprentissage: Bilan  Module LKMContexte  Nécessite les droits rootContenu  Fonctionne en KernelLandApprentissage  Dégrade la stabilité du systèmeExploitationConclusion  Module ptraceBilan  Nécessite les droits root  Dépendant de la lib ptrace  Fonctionne en userland Bassem – Belkacem – Guillaume – Romain – Thierry 91
  • 10. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Apprentissage: Exploit  BesoinsContexte  Etudier le système lors d’une attaqueContenu  Vérifier le fonctionnement de l’IDSApprentissageExploitation  ProblèmesConclusion  Peu d’exploit dans le domaine publicBilan  Faible taux de succès  « Use-after-free »: CVE-2010-1119 Bassem – Belkacem – Guillaume – Romain – Thierry 81
  • 11. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Exploitation  Configuration de l’HIDSContexteContenu  BDD des séquences autoriséesApprentissageExploitationConclusion  Flux d’entréeBilan  Fonctionnement Bassem – Belkacem – Guillaume – Romain – Thierry 1 10
  • 12. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Exploitation: Configuration  Ligne de commandeContexte  Nom complet “- -” ou en raccourci “-”Contenu  Ex: -d nom.db ou --db_name nom.dbApprentissageExploitation  Fichier de configurationConclusion  2 formats: ancien ou nouveauBilan  “#ConfigFileRev” pour le nouveau  Sinon l’ancien Bassem – Belkacem – Guillaume – Romain – Thierry 1 11
  • 13. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Exploitation: ConfigurationContexteContenuApprentissageExploitationConclusionBilan Bassem – Belkacem – Guillaume – Romain – Thierry 1 12
  • 14. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Exploitation: Configuration  Structure de sauvegarde: opt_infosContexte ElementContenu i 0Apprentissage long_name db_nameExploitation short_name dConclusion set true type sBilan Type ==i ==f !=f Type !=i ==s ==s int_val str_val bool_val NULL default_db NULL Bassem – Belkacem – Guillaume – Romain – Thierry 1 13
  • 15. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Exploitation: ConfigurationContexte  Vérification des erreursContenu  Flags lors de leur lectureApprentissage  Format de sortieExploitation  Constantes pour définir les valeursConclusion  Validité des valeurs entièresBilan Bassem – Belkacem – Guillaume – Romain – Thierry 1 14
  • 16. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Exploitation: Base de donnéesContexte  Vecteur d’arbresContenuApprentissage  Stocker les séquences d’appelsExploitationConclusionBilan  Référence pour la comparaison Bassem – Belkacem – Guillaume – Romain – Thierry 1 15
  • 17. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Exploitation: Base de donnéesContexte  SeqForestContenu  BDD des séquences validesApprentissageExploitationConclusion  FlexiTreeBilan  On connait la racine  Contient les appels systèmes suivant Bassem – Belkacem – Guillaume – Romain – Thierry 1 16
  • 18. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Exploitation: Base de données  Appels systèmes:Contexte  24, 13, 5 13, 5, 81 4, 24, 4  24, 4, 13 4, 13, 5 13, 5, 18Contenu  24, 13, 2ApprentissageExploitationConclusionBilan Bassem – Belkacem – Guillaume – Romain – Thierry 1 17
  • 19. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Exploitation: Base de donnéesContexte  Utilisation de vecteursContenuApprentissage  Simule une architecture en arbreExploitation  Taille dynamiqueConclusionBilan  Flexibilité de manipulation (get, set) Bassem – Belkacem – Guillaume – Romain – Thierry 1 18
  • 20. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Exploitation: Les flux  “current_seq”  vecteur d’appels systèmeContexteContenu  NombreApprentissage  d’appels systèmes dans la séquenceExploitation  de pairesConclusion  d’anomaliesBilan  “streams”: vecteur de flux  Répertorie tous les flux Bassem – Belkacem – Guillaume – Romain – Thierry 1 19
  • 21. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Exploitation: Stide en action  Lecture du fichier d’entréeContexte  Remplissage deContenu  sid_tableApprentissage  streamsExploitationConclusion  Comparaison du fluxBilan  Comptage des anomalies Bassem – Belkacem – Guillaume – Romain – Thierry 1 20
  • 22. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Exploitation: Stide en action  Pour tous les flux de streamsContexte  Comptage des anomalies des fluxContenu  Comptage du nombre de paires luesApprentissageExploitation  Puis… affichage du rapportConclusion  Nombre de paires luesBilan  Nombre d’anomalies  Pourcentage de séquences anormales Bassem – Belkacem – Guillaume – Romain – Thierry 1 21
  • 23. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Conclusion technique  Module ptraceContexte  Résultats incohérents sous AndroïdContenuApprentissage  Module LKMExploitation  Passer à AndroïdConclusionBilan  HIDS Stide  Testé et résultats concluants Bassem – Belkacem – Guillaume – Romain – Thierry 1 22
  • 24. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013 Bilan du projet  Découverte de la sécurité AndroïdContexteContenu  Développement systèmeApprentissageExploitationConclusion  Mise en pratique d’un HIDSBilan  Autonomie durant le projet Bassem – Belkacem – Guillaume – Romain – Thierry 1 23
  • 25. Master 2 Sécurité des Systèmes d’Information : 2012 - 2013Merci de votre attention Des questions ? Bassem – Belkacem – Guillaume – Romain – Thierry 24