Attaques Informatiques

4,826 views
4,528 views

Published on

Formation à la sécurité informatique

Published in: Technology
1 Comment
1 Like
Statistics
Notes
  • intéressant, vous pouvez aussi jeter un coup d'oeil sur le site AKAOMA pour les attaques informatique! @+
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total views
4,826
On SlideShare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
334
Comments
1
Likes
1
Embeds 0
No embeds

No notes for slide

Attaques Informatiques

  1. 1. La citadelle électronique risques et menaces Sylvain Maret Février 2002 Version 1.21
  2. 2. Effets possibles d’une attaque du SI <ul><li>Déni de services (perte de productivité) </li></ul><ul><li>Usage non autorisé des systèmes </li></ul><ul><li>Perte ou altération des données ou programmes </li></ul><ul><li>Perte financière </li></ul><ul><li>Perte de confiance dans les systèmes </li></ul><ul><li>Atteinte à l’image de l’entreprise </li></ul><ul><li>Etc. </li></ul>
  3. 3. Les nouvelles menaces <ul><li>Les « intruders » sont préparés et organisés </li></ul><ul><ul><li>Sites Web </li></ul></ul><ul><ul><li>Conférences (DefCon, etc.) </li></ul></ul><ul><li>Attaques sur Internet sont faciles et difficilement tracables </li></ul><ul><li>Outils d’intrusion sont très évolués et faciles d’accès </li></ul>
  4. 4. Augmentation des « intruders »
  5. 5. Qui sont les « intruders » ?
  6. 6. Leurs motivations ? <ul><li>Le profit et l’argent </li></ul><ul><li>Avantage compétitif </li></ul><ul><li>Espionnage </li></ul><ul><li>Vengeance </li></ul><ul><li>Revendication </li></ul><ul><li>Curiosité </li></ul><ul><li>La gloire </li></ul><ul><li>Etc. </li></ul>
  7. 7. Evolution des attaques
  8. 8. Pyramide des Menaces
  9. 9. Les vulnérabilités <ul><li>Augmentation significative des vulnérabilités </li></ul><ul><ul><li>Pas de « design » pensé sécurité </li></ul></ul><ul><ul><li>Complexité du système d’information </li></ul></ul><ul><ul><li>Besoins Marketing (Software) </li></ul></ul><ul><ul><li>Evolution très (trop) rapide des technologies </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
  10. 10. Comment gérer ces données ? ou le calcul du risque ! <ul><li>Evaluation des coûts </li></ul><ul><li>Pas d’influence sur les menaces </li></ul><ul><li>Baisse des vulnérabilités (tendre vers zéro) </li></ul><ul><ul><ul><li>(Processus permanent) </li></ul></ul></ul>Risque = Coûts * Menaces * Vulnérabilités
  11. 11. Influence du temps ? <ul><li>La sécurité est un processus permanent </li></ul><ul><ul><li>Et non pas un produit… </li></ul></ul><ul><li>L’idée: </li></ul><ul><ul><li>Maintenir en permanence les vulnérabilités au plus bas </li></ul></ul><ul><ul><li>Suivre les recommendations des constructeurs (patchs, update, etc.) </li></ul></ul><ul><ul><li>Amélioration de l’architecture de sécurité </li></ul></ul>
  12. 12. Cycle d’une vulnérabilité Time Gap
  13. 13. Evolution dans le temps Time Ideal Gap Growing Gap
  14. 14. Peut-on prévenir les intrusions ?
  15. 15. Comment gérer cette évolution ?
  16. 16. Les attaques
  17. 17. Les attaques des systèmes d’informations <ul><li>Scanners </li></ul><ul><li>Déni de services </li></ul><ul><li>Network sniffing </li></ul><ul><li>Password Guessing </li></ul><ul><li>Virus, cheval de troie, Backdoor </li></ul><ul><li>BoF </li></ul><ul><li>Code mobile </li></ul><ul><li>Etc. </li></ul>
  18. 18. Les Scanners <ul><li>Outils pour découvrir très rapidement les services offerts sur un système ou sur un réseau </li></ul><ul><ul><li>Scan Range </li></ul></ul><ul><li>Scan TCP ou UDP voir ICMP </li></ul><ul><ul><li>Liste les ports ouverts (ftp, http, ssh, etc.) </li></ul></ul><ul><li>Possibilité de scanner de façon invisible </li></ul><ul><ul><li>Changement de port source </li></ul></ul><ul><ul><li>Half Syn </li></ul></ul>
  19. 19. Les Scanners <ul><li>Certains scanners détermineent le type d’OS </li></ul><ul><ul><li>OS Finger Print </li></ul></ul><ul><ul><li>Prédiction de trame </li></ul></ul><ul><li>Plus considéré comme une attaque </li></ul><ul><ul><li>Eventuel prémice d’une attaque </li></ul></ul><ul><li>Outils Open Source </li></ul><ul><ul><li>Nmap </li></ul></ul><ul><ul><li>Strobe </li></ul></ul><ul><ul><li>Queso </li></ul></ul><ul><ul><li>Yasp </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
  20. 20. Les Scanners: recommendations <ul><li>Interdire les ICMP echo et reply (ping) </li></ul><ul><ul><li>Découverte moins rapide des services </li></ul></ul><ul><li>Bloquer la source par un système IDS </li></ul><ul><ul><li>Système automatique de blocage </li></ul></ul><ul><li>Laisser uniquement les « ports » utiles sur les systèmes </li></ul>
  21. 21. Denial of Service (DoS) <ul><li>Atteinte au bon fonctionnement d’un système </li></ul><ul><ul><li>Imobilisation ou « gel » </li></ul></ul><ul><ul><li>Utilisation massive des ressources CPU </li></ul></ul><ul><ul><li>Utilisation massive de la bande passante </li></ul></ul><ul><ul><li>Crash du système </li></ul></ul><ul><ul><ul><li>Voir perte de données </li></ul></ul></ul>
  22. 22. Denial of Service (DoS) <ul><li>4 grandes familles </li></ul><ul><ul><li>Les Floodings </li></ul></ul><ul><ul><li>Les Mails Bombs </li></ul></ul><ul><ul><li>Les « dévoreurs » de bande passante ou ressources CPU </li></ul></ul><ul><ul><li>Les « destructeurs » de système </li></ul></ul>
  23. 23. Flooding <ul><li>Litéralement « l’inondation » d’un système </li></ul><ul><li>Attaques de type </li></ul><ul><ul><li>Syn-Flood </li></ul></ul><ul><ul><li>Log-Flood </li></ul></ul><ul><ul><li>Data-Flood </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
  24. 24. Attaque Syn-Flood <ul><li>Exploitation du méchanisme de l’établisement d’une connexion TCP </li></ul><ul><li>Immobilisation du système </li></ul><ul><li>Peut dans certain cas « crasher » le système </li></ul><ul><li>Pratiquement anonyme </li></ul><ul><ul><li>Spoofing d’adresse IP source </li></ul></ul>
  25. 25. Connexion TCP 1. Client initiates a request to the server, “I want to talk.” (SYN) SYN/ACK 2. Server replies, “I’m ready.” (SYN/ACK) ACK Client Server Client Server Client Server I want to talk Let’s go! I’m ready SYN 3. Client sends acknowledgment to establish connection, “ Let’s go!” (ACK)
  26. 26. Attaque Syn-Flood Client SYN SYN SYN SYN SYN/ACK SYN/ACK IP? IP? IP? IP? Server
  27. 27. Les Mails Bombs <ul><li>Programme qui envoie des mails en quantité massive </li></ul><ul><ul><li>Mails obscènes </li></ul></ul><ul><ul><li>Abonement à des mailling list </li></ul></ul><ul><ul><li>Fichiers attachés gigantesques </li></ul></ul><ul><ul><li>Etc. </li></ul></ul><ul><li>Très difficile à stopper </li></ul>
  28. 28. Les dévoreurs de ressources <ul><li>Attaque qui utilise de manière massive de la bande passante ou des ressources CPU </li></ul><ul><li>La plus connue est Smurf </li></ul>
  29. 29. Smurf Broadcast echo address Source address is spoofed to be target’s address Réseau intermédiaire Attaquant Cible Many echo replies are received by the target, since most machines on the intermediary network respond to the broadcast
  30. 30. Les destructeurs de système <ul><li>Attaques qui « crash » les systèmes </li></ul><ul><ul><li>Pratiquement invisible </li></ul></ul><ul><li>Exploite les vulnérabilités des systèmes d’exploitation ou des applications </li></ul><ul><ul><li>Beaucoup de problèmes avec Windows NT </li></ul></ul><ul><li>Attaques de type </li></ul><ul><ul><li>Ping of death </li></ul></ul><ul><ul><li>Teardrop </li></ul></ul><ul><ul><li>Land </li></ul></ul><ul><ul><li>Targa </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
  31. 31. Distributed Denial of Service (DDoS) <ul><li>Amplification des attaques D0S </li></ul><ul><li>Attaques très dangereuses </li></ul><ul><li>Peut impliquer jusqu’à une centaine de machines attaquantes </li></ul><ul><li>Outils Open Source </li></ul><ul><ul><li>Trin00 </li></ul></ul><ul><ul><li>Tribe Flood </li></ul></ul><ul><ul><li>Stacheldraht </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
  32. 32. DDoS
  33. 33. Network Sniffing <ul><li>Utiliser pour « monitorer » le trafic sur un réseau </li></ul><ul><li>Crackers les utilisent pour: </li></ul><ul><ul><li>Examiner le trafic entre plusieurs machines </li></ul></ul><ul><ul><li>Obtenir les « username et password » </li></ul></ul><ul><ul><li>Examiner les emails </li></ul></ul><ul><ul><li>Etc. </li></ul></ul><ul><li>Pratiquement indétectable </li></ul>
  34. 34. Network Sniffing…
  35. 35. Network Sniffing…
  36. 36. Sniffer et les environnements Switchés <ul><li>Possibilité de « sniffer » dans un environnement switché </li></ul><ul><li>Technique utilisée </li></ul><ul><ul><li>ARP Poisoning ou spoofing ARP </li></ul></ul><ul><li>Outils Open Source </li></ul><ul><ul><li>Dsniff, Hunt, etc. </li></ul></ul><ul><li>Possibilité de « hijacking  » </li></ul>
  37. 37. Sniffing: Relay Configuration
  38. 38. Démonstration Sniffing Sniffer Network Original TCP Packet Login: dupont Password: abc123 Unix Host Telnet to Unix Host
  39. 39. Sniffing: recommendations <ul><li>Utilisation de l’authentification forte </li></ul><ul><ul><li>Tokens, SmartCard, SecurID, etc. </li></ul></ul><ul><li>Utilisation du chiffrement (si nécessaire) </li></ul><ul><ul><li>(SSH, IPSEC, SSL, etc.) </li></ul></ul><ul><li>Détection de sniffer </li></ul><ul><li>Port Security sur les Switchs </li></ul><ul><ul><li>Mac address </li></ul></ul>
  40. 40. Brute Force-Password Guessing <ul><li>But: deviner les mots de passe </li></ul><ul><li>Attaques par dictionnaire </li></ul><ul><ul><li>L0phtCracks (Windows NT) </li></ul></ul><ul><ul><li>Cracks (Unix /etc/shadow) </li></ul></ul><ul><ul><li>Etc. </li></ul></ul><ul><li>Attaques par brute force </li></ul><ul><ul><li>L0phtCrack </li></ul></ul><ul><ul><li>Brutus </li></ul></ul><ul><ul><li>Etc. </li></ul></ul><ul><li>Attaques hybride </li></ul>
  41. 41. Démonstration: LC3
  42. 42. Virus informatique: définition <ul><li>Un virus est un programme qui se réplique en s’attachant à un autre objet </li></ul><ul><li>Un vers (Worm) est un programme qui se réplique de façon indépendante </li></ul><ul><ul><li>Messagerie par exemple </li></ul></ul>
  43. 43. Mécanisme de réplication et Payload <ul><li>Pour être considéré comme un virus ou un vers, il FAUT un mécanisme de réplication </li></ul><ul><li>Le Payload est une partie optionnel qui contient l’action du virus ou du vers </li></ul><ul><ul><li>Destruction </li></ul></ul><ul><ul><li>Vol de données </li></ul></ul><ul><ul><li>Quelque chose de drôle (Hoax) </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
  44. 44. Type de virus <ul><li>Boot Sector Virus </li></ul><ul><ul><li>1er forme de virus </li></ul></ul><ul><ul><li>Form, Parity Boot, etc. </li></ul></ul><ul><li>Parasitic Virus (file virus) </li></ul><ul><ul><li>Attaché à un fichier exécutable </li></ul></ul><ul><ul><li>Jerusalem, CIH </li></ul></ul><ul><li>Macro Viruses </li></ul><ul><ul><li>Word, Excel, etc </li></ul></ul><ul><ul><li>Melissa </li></ul></ul>
  45. 45. Evolution des virus <ul><li>1988: Less than 10 known viruses </li></ul><ul><li>1990: New virus found every day </li></ul><ul><li>1993: 10-30 new viruses per week </li></ul><ul><li>1999: 45,000 viruses and variants </li></ul><ul><li>Source: McAfee </li></ul>
  46. 46. Cheval de Troie - Back Door <ul><li>Dans la famille des virus </li></ul><ul><li>Cheval de Troie </li></ul><ul><ul><li>Programme dissimulé derrière un autre programme </li></ul></ul><ul><li>Back Door </li></ul><ul><ul><li>Porte dérobée </li></ul></ul><ul><ul><li>Connexion par réseau </li></ul></ul><ul><li>Netbus, Back Orifice, SubSeven, etc </li></ul>
  47. 47. Virus: recommendation <ul><li>Contrôle de contenu (flux externes) </li></ul><ul><ul><li>Messagerie SMTP </li></ul></ul><ul><ul><li>Surf Internet (http, ftp, etc.) </li></ul></ul><ul><ul><li>Codes mobiles (Java, ActiveX) </li></ul></ul><ul><li>Anti Virus poste local </li></ul><ul><li>Sécurisation du poste client </li></ul><ul><li>Système de détection d’intrusion réseau </li></ul><ul><li>Mise à jour « heure par heure » </li></ul>
  48. 48. Web Servers <ul><li>Crackers exploitent des vulnérabilités pour compromettre le serveur </li></ul><ul><li>Les Web Servers sont des cibles très visibles </li></ul><ul><li>Crackers peuvent utiliser ces resources pour publier des revendications </li></ul><ul><ul><li>Politique, vengeance, etc. </li></ul></ul>
  49. 49. « Defacements » <ul><li>Changement des pages « Web » </li></ul><ul><ul><li>FTP </li></ul></ul><ul><ul><li>Compromise </li></ul></ul><ul><ul><li>Etc. </li></ul></ul><ul><li>Changement du « code source » </li></ul><ul><li>DNS redirection ou « poisoning » </li></ul><ul><li>Piratage de domaine </li></ul><ul><li>Corruption des « proxy caches » </li></ul>
  50. 50. Defacements: évolution dans le temps
  51. 51. Exemple de « Defacement » !
  52. 52. Microsoft IIS <ul><li>Beaucoup de problème de sécurité </li></ul><ul><ul><li>60% des defacements </li></ul></ul><ul><li>Année 2001 </li></ul><ul><ul><li>ISAPI Overflow </li></ul></ul><ul><ul><li>Generic « root.exe » </li></ul></ul><ul><ul><li>IIS Directory Traversal (Unicode) </li></ul></ul><ul><ul><li>Etc. </li></ul></ul><ul><li>Code Red et Nimda </li></ul><ul><ul><li>13 Juillet 2001 et 18 septembre 2001 </li></ul></ul>
  53. 53. Microsoft IIS <ul><li>Octobre 2001: Gartner Group recommande de trouver une alternative à IIS… </li></ul><ul><li>Microsoft promet une nouvelle version IIS ? </li></ul>
  54. 54. CGI and WWW Services <ul><li>Interface entre un serveur Web et un langage </li></ul><ul><ul><li>Perl, C-C++, TCL, etc. </li></ul></ul><ul><li>Problèmes de sécurité </li></ul><ul><ul><li>Exécution de commande shell </li></ul></ul><ul><ul><li>Vol de données </li></ul></ul><ul><ul><li>Back door </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
  55. 55. Scanner CGI <ul><li>Scanner spécialisé </li></ul><ul><ul><li>Nikto </li></ul></ul><ul><ul><li>Whisker </li></ul></ul><ul><ul><li>Retina </li></ul></ul><ul><ul><li>Cgi Scann </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
  56. 56. Risques des codes mobiles <ul><li>Problèmes liés à l’utilisation du browser </li></ul><ul><li>Java ou ActiveX </li></ul><ul><ul><li>Déni de services </li></ul></ul><ul><ul><li>Vol d’informations </li></ul></ul><ul><ul><li>Ouverture de connexions réseau </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
  57. 57. Compromises <ul><li>Accès non autorisé à un système </li></ul><ul><ul><li>« Root Compromise » </li></ul></ul><ul><li>L’accès permet: </li></ul><ul><ul><li>Examiner des informations confidentielles </li></ul></ul><ul><ul><li>Altérer ou dédruire des données </li></ul></ul><ul><ul><li>Utiliser des ressources système </li></ul></ul><ul><ul><li>Lancer des attaques vers d’autres systèmes </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
  58. 58. Compromises <ul><li>Crackers utilisent des « toolkits » pour: </li></ul><ul><ul><li>Root Kit </li></ul></ul><ul><ul><li>Sniffer </li></ul></ul><ul><ul><li>Etc. </li></ul></ul><ul><li>La plus part des systèmes compromis sont: </li></ul><ul><ul><li>Mal configurés </li></ul></ul><ul><ul><li>N’ont pas les patchs nécessaires </li></ul></ul>
  59. 59. Scénario d’une attaque de type « compromise »
  60. 60. Buffer Overflow (BoF) <ul><li>Ou débordement de pile </li></ul><ul><li>Vulnérabilités des systèmes d’exploitation ou des applications </li></ul><ul><li>Permet généralement d’effectuer un « Root Compromise » </li></ul><ul><li>Recommendation </li></ul><ul><ul><li>Appliquer les patchs des constructeurs </li></ul></ul>
  61. 61. Questions?
  62. 62. Pour plus d’informations e-Xpert Solutions SA Sylvain Maret Route de Pré-Marais 29 CH-1233 Bernex / Genève +41 22 727 05 55 [email_address]

×