Your SlideShare is downloading. ×
Attaques Informatiques
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Attaques Informatiques

3,791

Published on

Formation à la sécurité informatique

Formation à la sécurité informatique

Published in: Technology
1 Comment
1 Like
Statistics
Notes
  • intéressant, vous pouvez aussi jeter un coup d'oeil sur le site AKAOMA pour les attaques informatique! @+
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total Views
3,791
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
316
Comments
1
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. La citadelle électronique risques et menaces Sylvain Maret Février 2002 Version 1.21
  • 2. Effets possibles d’une attaque du SI
    • Déni de services (perte de productivité)
    • Usage non autorisé des systèmes
    • Perte ou altération des données ou programmes
    • Perte financière
    • Perte de confiance dans les systèmes
    • Atteinte à l’image de l’entreprise
    • Etc.
  • 3. Les nouvelles menaces
    • Les « intruders » sont préparés et organisés
      • Sites Web
      • Conférences (DefCon, etc.)
    • Attaques sur Internet sont faciles et difficilement tracables
    • Outils d’intrusion sont très évolués et faciles d’accès
  • 4. Augmentation des « intruders »
  • 5. Qui sont les « intruders » ?
  • 6. Leurs motivations ?
    • Le profit et l’argent
    • Avantage compétitif
    • Espionnage
    • Vengeance
    • Revendication
    • Curiosité
    • La gloire
    • Etc.
  • 7. Evolution des attaques
  • 8. Pyramide des Menaces
  • 9. Les vulnérabilités
    • Augmentation significative des vulnérabilités
      • Pas de « design » pensé sécurité
      • Complexité du système d’information
      • Besoins Marketing (Software)
      • Evolution très (trop) rapide des technologies
      • Etc.
  • 10. Comment gérer ces données ? ou le calcul du risque !
    • Evaluation des coûts
    • Pas d’influence sur les menaces
    • Baisse des vulnérabilités (tendre vers zéro)
        • (Processus permanent)
    Risque = Coûts * Menaces * Vulnérabilités
  • 11. Influence du temps ?
    • La sécurité est un processus permanent
      • Et non pas un produit…
    • L’idée:
      • Maintenir en permanence les vulnérabilités au plus bas
      • Suivre les recommendations des constructeurs (patchs, update, etc.)
      • Amélioration de l’architecture de sécurité
  • 12. Cycle d’une vulnérabilité Time Gap
  • 13. Evolution dans le temps Time Ideal Gap Growing Gap
  • 14. Peut-on prévenir les intrusions ?
  • 15. Comment gérer cette évolution ?
  • 16. Les attaques
  • 17. Les attaques des systèmes d’informations
    • Scanners
    • Déni de services
    • Network sniffing
    • Password Guessing
    • Virus, cheval de troie, Backdoor
    • BoF
    • Code mobile
    • Etc.
  • 18. Les Scanners
    • Outils pour découvrir très rapidement les services offerts sur un système ou sur un réseau
      • Scan Range
    • Scan TCP ou UDP voir ICMP
      • Liste les ports ouverts (ftp, http, ssh, etc.)
    • Possibilité de scanner de façon invisible
      • Changement de port source
      • Half Syn
  • 19. Les Scanners
    • Certains scanners détermineent le type d’OS
      • OS Finger Print
      • Prédiction de trame
    • Plus considéré comme une attaque
      • Eventuel prémice d’une attaque
    • Outils Open Source
      • Nmap
      • Strobe
      • Queso
      • Yasp
      • Etc.
  • 20. Les Scanners: recommendations
    • Interdire les ICMP echo et reply (ping)
      • Découverte moins rapide des services
    • Bloquer la source par un système IDS
      • Système automatique de blocage
    • Laisser uniquement les « ports » utiles sur les systèmes
  • 21. Denial of Service (DoS)
    • Atteinte au bon fonctionnement d’un système
      • Imobilisation ou « gel »
      • Utilisation massive des ressources CPU
      • Utilisation massive de la bande passante
      • Crash du système
        • Voir perte de données
  • 22. Denial of Service (DoS)
    • 4 grandes familles
      • Les Floodings
      • Les Mails Bombs
      • Les « dévoreurs » de bande passante ou ressources CPU
      • Les « destructeurs » de système
  • 23. Flooding
    • Litéralement « l’inondation » d’un système
    • Attaques de type
      • Syn-Flood
      • Log-Flood
      • Data-Flood
      • Etc.
  • 24. Attaque Syn-Flood
    • Exploitation du méchanisme de l’établisement d’une connexion TCP
    • Immobilisation du système
    • Peut dans certain cas « crasher » le système
    • Pratiquement anonyme
      • Spoofing d’adresse IP source
  • 25. Connexion TCP 1. Client initiates a request to the server, “I want to talk.” (SYN) SYN/ACK 2. Server replies, “I’m ready.” (SYN/ACK) ACK Client Server Client Server Client Server I want to talk Let’s go! I’m ready SYN 3. Client sends acknowledgment to establish connection, “ Let’s go!” (ACK)
  • 26. Attaque Syn-Flood Client SYN SYN SYN SYN SYN/ACK SYN/ACK IP? IP? IP? IP? Server
  • 27. Les Mails Bombs
    • Programme qui envoie des mails en quantité massive
      • Mails obscènes
      • Abonement à des mailling list
      • Fichiers attachés gigantesques
      • Etc.
    • Très difficile à stopper
  • 28. Les dévoreurs de ressources
    • Attaque qui utilise de manière massive de la bande passante ou des ressources CPU
    • La plus connue est Smurf
  • 29. Smurf Broadcast echo address Source address is spoofed to be target’s address Réseau intermédiaire Attaquant Cible Many echo replies are received by the target, since most machines on the intermediary network respond to the broadcast
  • 30. Les destructeurs de système
    • Attaques qui « crash » les systèmes
      • Pratiquement invisible
    • Exploite les vulnérabilités des systèmes d’exploitation ou des applications
      • Beaucoup de problèmes avec Windows NT
    • Attaques de type
      • Ping of death
      • Teardrop
      • Land
      • Targa
      • Etc.
  • 31. Distributed Denial of Service (DDoS)
    • Amplification des attaques D0S
    • Attaques très dangereuses
    • Peut impliquer jusqu’à une centaine de machines attaquantes
    • Outils Open Source
      • Trin00
      • Tribe Flood
      • Stacheldraht
      • Etc.
  • 32. DDoS
  • 33. Network Sniffing
    • Utiliser pour « monitorer » le trafic sur un réseau
    • Crackers les utilisent pour:
      • Examiner le trafic entre plusieurs machines
      • Obtenir les « username et password »
      • Examiner les emails
      • Etc.
    • Pratiquement indétectable
  • 34. Network Sniffing…
  • 35. Network Sniffing…
  • 36. Sniffer et les environnements Switchés
    • Possibilité de « sniffer » dans un environnement switché
    • Technique utilisée
      • ARP Poisoning ou spoofing ARP
    • Outils Open Source
      • Dsniff, Hunt, etc.
    • Possibilité de « hijacking  »
  • 37. Sniffing: Relay Configuration
  • 38. Démonstration Sniffing Sniffer Network Original TCP Packet Login: dupont Password: abc123 Unix Host Telnet to Unix Host
  • 39. Sniffing: recommendations
    • Utilisation de l’authentification forte
      • Tokens, SmartCard, SecurID, etc.
    • Utilisation du chiffrement (si nécessaire)
      • (SSH, IPSEC, SSL, etc.)
    • Détection de sniffer
    • Port Security sur les Switchs
      • Mac address
  • 40. Brute Force-Password Guessing
    • But: deviner les mots de passe
    • Attaques par dictionnaire
      • L0phtCracks (Windows NT)
      • Cracks (Unix /etc/shadow)
      • Etc.
    • Attaques par brute force
      • L0phtCrack
      • Brutus
      • Etc.
    • Attaques hybride
  • 41. Démonstration: LC3
  • 42. Virus informatique: définition
    • Un virus est un programme qui se réplique en s’attachant à un autre objet
    • Un vers (Worm) est un programme qui se réplique de façon indépendante
      • Messagerie par exemple
  • 43. Mécanisme de réplication et Payload
    • Pour être considéré comme un virus ou un vers, il FAUT un mécanisme de réplication
    • Le Payload est une partie optionnel qui contient l’action du virus ou du vers
      • Destruction
      • Vol de données
      • Quelque chose de drôle (Hoax)
      • Etc.
  • 44. Type de virus
    • Boot Sector Virus
      • 1er forme de virus
      • Form, Parity Boot, etc.
    • Parasitic Virus (file virus)
      • Attaché à un fichier exécutable
      • Jerusalem, CIH
    • Macro Viruses
      • Word, Excel, etc
      • Melissa
  • 45. Evolution des virus
    • 1988: Less than 10 known viruses
    • 1990: New virus found every day
    • 1993: 10-30 new viruses per week
    • 1999: 45,000 viruses and variants
    • Source: McAfee
  • 46. Cheval de Troie - Back Door
    • Dans la famille des virus
    • Cheval de Troie
      • Programme dissimulé derrière un autre programme
    • Back Door
      • Porte dérobée
      • Connexion par réseau
    • Netbus, Back Orifice, SubSeven, etc
  • 47. Virus: recommendation
    • Contrôle de contenu (flux externes)
      • Messagerie SMTP
      • Surf Internet (http, ftp, etc.)
      • Codes mobiles (Java, ActiveX)
    • Anti Virus poste local
    • Sécurisation du poste client
    • Système de détection d’intrusion réseau
    • Mise à jour « heure par heure »
  • 48. Web Servers
    • Crackers exploitent des vulnérabilités pour compromettre le serveur
    • Les Web Servers sont des cibles très visibles
    • Crackers peuvent utiliser ces resources pour publier des revendications
      • Politique, vengeance, etc.
  • 49. « Defacements »
    • Changement des pages « Web »
      • FTP
      • Compromise
      • Etc.
    • Changement du « code source »
    • DNS redirection ou « poisoning »
    • Piratage de domaine
    • Corruption des « proxy caches »
  • 50. Defacements: évolution dans le temps
  • 51. Exemple de « Defacement » !
  • 52. Microsoft IIS
    • Beaucoup de problème de sécurité
      • 60% des defacements
    • Année 2001
      • ISAPI Overflow
      • Generic « root.exe »
      • IIS Directory Traversal (Unicode)
      • Etc.
    • Code Red et Nimda
      • 13 Juillet 2001 et 18 septembre 2001
  • 53. Microsoft IIS
    • Octobre 2001: Gartner Group recommande de trouver une alternative à IIS…
    • Microsoft promet une nouvelle version IIS ?
  • 54. CGI and WWW Services
    • Interface entre un serveur Web et un langage
      • Perl, C-C++, TCL, etc.
    • Problèmes de sécurité
      • Exécution de commande shell
      • Vol de données
      • Back door
      • Etc.
  • 55. Scanner CGI
    • Scanner spécialisé
      • Nikto
      • Whisker
      • Retina
      • Cgi Scann
      • Etc.
  • 56. Risques des codes mobiles
    • Problèmes liés à l’utilisation du browser
    • Java ou ActiveX
      • Déni de services
      • Vol d’informations
      • Ouverture de connexions réseau
      • Etc.
  • 57. Compromises
    • Accès non autorisé à un système
      • « Root Compromise »
    • L’accès permet:
      • Examiner des informations confidentielles
      • Altérer ou dédruire des données
      • Utiliser des ressources système
      • Lancer des attaques vers d’autres systèmes
      • Etc.
  • 58. Compromises
    • Crackers utilisent des « toolkits » pour:
      • Root Kit
      • Sniffer
      • Etc.
    • La plus part des systèmes compromis sont:
      • Mal configurés
      • N’ont pas les patchs nécessaires
  • 59. Scénario d’une attaque de type « compromise »
  • 60. Buffer Overflow (BoF)
    • Ou débordement de pile
    • Vulnérabilités des systèmes d’exploitation ou des applications
    • Permet généralement d’effectuer un « Root Compromise »
    • Recommendation
      • Appliquer les patchs des constructeurs
  • 61. Questions?
  • 62. Pour plus d’informations e-Xpert Solutions SA Sylvain Maret Route de Pré-Marais 29 CH-1233 Bernex / Genève +41 22 727 05 55 [email_address]

×