Adacis clusira cybercriminalité_2012

1. François Sopin, Consultant SSI ADACIS Présentation CLUSIR Aquitaine vendredi 30/11/2012

2.  Définitions  Constat  Criminologie  Victimologie  Produits, services et SAV  Communication  Solutions ?  Conclusion  Annexe : ressources François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 2

3.  Définition de la cybercriminalité : « Ensemble des infractions pénales commises sur les réseaux de télécommunication, en particulier Internet » (Larousse)  Compte tenu des article 323-x du Code Pénal, de nombreuses catégories d’attaquants sont concernées par cette définition : ▪ Organisations cybercriminelles dont l’objectif est purement financier … ▪ … mais aussi organisations dont la motivation est éthique (Anonymous) … ▪ … les organisations terroristes et enfin … ▪ … que dire des gouvernements ? (voir par ex. le piratage de l’Elysée).  Nous parlerons ici principalement de la première catégorie … François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 3

5. Slide 5  les chiffres Kaspersky Lab a estimé que 60% des contenus malveillants étaient hébergés dans trois pays principalement : la Russie, les USA et Source les Pays-Bas.  Augmentation sensible du coût de la cybercriminalité pour l’économie mondiale … (110 milliards $ en 2011 selon Norton voir même jusqu’à 750millards d’€ rien que pour l’Europe selon Interpol) François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 5

6. Slide 6  les chiffres  Les banques américaines ont perdu 900 millions de dollars suite à des vols classiques en 2011 ….  …. Et 12 milliards $ du fait des cyberattaques !  Israël est la cible de 1000 cyberattaques chaque minute !  Les chiffres varient … une chose est sûre : le cybercrime coûte cher ! François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 6

7. Slide 7  Au niveau juridique …  Pas de lois universelles sur l’Internet  Problèmes des juridictions ▪ Un attaquant d’un pays W utilise des serveurs malveillants dans plusieurs pays X et Y et cible des victime dans un pays Z  Problèmes des vides juridiques ▪ Pays comme l’Algérie n’ont aucune règlementation réelle en la matière  Démarches lentes et complexes (quand elles aboutissent…) ▪ Débranchement de l’hébergeur Bulletproof McColo (San José) crée par « Kolya McColo », sur le sol américain a pris 4 mois … mais a fonctionné notamment grâce au travail de Brian Krebs (Washington Post). François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 7

8. Slide 8  Effet du démantèlement de McColo sur le SPAM mondial http://en.wikipedia.org/wiki/McColo François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

10. Etat de la menace : Quels profils d’attaquants ? Quelles motivations ? Autrefois, les pirates étaient des personnes isolées (ex : Ver Morris en 1988), amateurs, qui recherchaient principalement la notoriété ou la vengeance en développant des preuves de concept (script kiddies), Aujourd’hui, il s’agit de véritables organisations cybercriminelles professionnelles (Russian Business Network etc.), servant leurs propres objectifs (financiers, éthiques comme LulzSec ou Anonymous etc.). Elles travaillent comme des MAFIAS sans forcément avoir de liens directs avec elles. Certains estiment que la Russie et les pays voisins sont les pays les plus dangereux en termes de cybercrime … car ils seraient à l’origine de 60% des infections par contenu malveillant -- Effet de la pénurie d’emploi et de la crise financière ? -- François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 10

11. Etat de la menace : Quels profils d’attaquants ? Présentation de François Paget, McAfee, CLUSIF 2009 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 11

12. Etat de la menace : Quels profils d’attaquants ? Quelles motivations ?  … mais peut-être aussi ceux de gouvernements ! (ex : incident Russie/Estonie, la NSA, opération Aurora, virus Stuxnet/Duqu/Flame etc.)  on parle de Guerre de l’Information ou GI et de Lutte Informatique Offensive ou LIO,  Le gouvernement français précise dans le Livre blanc sur la défense et la sécurité nationale le renforcement des moyens de lutte,  Tous n’ont pas les mêmes moyens François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.

13. Etat de la menace : Quels profils d’attaquants ? Quelles motivations ? http://blog.zoller.lu/ http://blog.zoller.lu/ François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 13

15.  Certaines attaques ne sont généralement* pas ciblées :  Scan en masse de plages IP « au hasard » sur l’Internet avec des outils classiques comme scanners de ports et/ou de vulnérabilités à la recherche de cibles vulnérables (beaucoup de discussions autour des attaques WEB type injections SQL, failles des CMS etc. et des logiciels tierces type Adobe Flash/Reader ou Java),  Envoi de mails en masse pour les attaques de type Phishing.  Chaque attaque réalisée à grande échelle connaît un certain taux de succès (Pierre Caron, MISCMag)  Quand d’autres le sont beaucoup plus … * Quoique possible de choisir ces cibles avec les kits d’exploits par ex.  Par exemple le chantage au déni de service distribué  Botnets Bankers type Zeus, SpyEeye  L’objectif : avoir un retour sur investissement important et rapidement (donc les techniques d’attaques ne sont généralement pas très sophistiquées, on ne parle pas d’APT voir même de 0days)  Tout le monde est concerné ! François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 15

17. Etat de la menace : Quels services disponibles ?  Réseaux sous-terrain C2C composés de forums et de chan IRC (RBN,CBN etc.) sur lesquels sont commercialisés différents « produits » et « services » :  Carding (vente de données carte bancaire)  Nuisibles * exploit : code utilisé pour exploiter une vulnérabilité  Pack d’exploits* type Firepack, Icepack etc.  Vente d’identités réelles ou virtuelles (ex: jeux vidéos comme Diablo III, Facebook),  Fraude au clic  Kit de Phishing,  Location de Botnets,  Warez : contrefaçons de logiciels et films (avec une forte proportion pour le pornographique)  Services d’anonymisation  Etc.  Entreprises spécialisées :  Hébergement d’activités malveillantes « BULLETPROOF » (Bot Herders, relais de spam, sites compromis …), par ex McColo et Troyak.org (25% C&C Zeus),  Vente de faux produits (scarewares etc.) ou compromis (produits légitimes qui embarquent d’autres produits type spywares etc. François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 17

18.  Les tarifs selon Undernews ▪ Chiffreur standard (Pour cacher du code malicieux dans un fichier inoffensif): $10-$30 ▪ Bot SOCKS (Pour contourner les firewalls): $100 ▪ Une attaque DDoS : $30-$70 pour la journée, $1,200 pour le mois ▪ Spam Email : $10 par tranche de 1 million d’emails ▪ Spam email en utilisant une base client : $50-$500 par tranche de 1 million d’emails ▪ Spam par SMS spam: $3-$150 pour 100 à 100 000 messages. ▪ Bots pour un botnet: $200 pour 2 000 bots ▪ Botnet DDoS : $700 ▪ Code source du célèbre ZeuS : $200-$500 ▪ Rootkit pour Windows (pour installer des drivers vérolés): $292 ▪ Piratage de compte Facebook ou Twitter : $130 ▪ Piratage de compte Gmail : $162 ▪ Piratage de boite mail pro : $500 ▪ Scans de vrais passeports : $5 pièce ▪ Ransomeware (logiciel qui verrouille l’accès à vos fichiers et qui demande une rançon pour les libérer) : $10-20 ▪ Pack d’exploits non ciblés : $25 ▪ Pack d’exploits ciblés : $10-$3000 ▪ Trafic web : $7-$15 pour 1 000 visiteurs en provenance des États-Unis et d’Europe.  Moralité : on peut pratiquement tout acheter sur les réseaux alternatifs ….  Autre constat : l’attaquant n’est pas obligé d’être un expert en informatique François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 18

19.  Autre exemple :  Ces prix varient … En effet, selon Krebs, la société Group-IB a découvert un nouvel exploit fonctionnel sous Adobe Reader 10 et 11 et qui serait vendus sur les réseaux sous-terrains pour 50,000$ !! (en même temps l’exploit fonctionnerait avec Javascript désactivé + Enhanced Mode Security Actif) ..  Même peut-être jusqu’à 100k$ pour un exploit sur Java !  C’est quand même plus intéressant que les bug bounty ?? Ci-après les chiffres issus du blog Exploitability : ▪ 500$ pour facebook ▪ de 500$ à 3000$ pour firefox ▪ de 500$ à 3133.7$ pour Google ▪ de 500$ à 3133.7$ pour Barracuda Networks François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 19

20.  Phénomène de SPECIALISATION des attaquants : chacun participe à un écosystème global sans forcément en maîtriser la totalité. François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 20

21. La spécialisation illustrée Machine infectée Ex:Conficker Bot Infectée Bot Infectée Bot François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 21

22. Exploits Kits : Automatisation des attaques Constat : évolution des Exploits depuis 2006. Détournement de Windows vers des logiciels tiers comme Flash, Adobe Reader et Java Marché lucratif pour les 0-days ! (même si la majorité des attaques n’en utilisent pas) François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 22

23. Exploits Kits : Automatisation des attaques L’exploit Kit est déployé sur un serveur Web (généralement chez un hébergeur « BulletProof » ou sur un serveur compromis) Il fonctionne de manière autonome. Les victimes s’y connectent suite à une attaque drive-by-dl, Le kit embarque une interface de pilotage intuitive qui attaques iframes ou permet par exemple de sélectionner des cibles en encore Black-Seo. fonction de leur provenance géographique. François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 23

24. Botnets : attaques DDOS / réplication / SPAM / Vols de données / fraude au clic / etc. Plusieurs types : utilisation par le « owner », location, vente des bot codes (ex: Zeus) En chiffres (wikipedia) : Concerne aussi les mobiles ! (voir présentation Summercon Jon Oberheide 2010) François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 24

25. Botnets En chiffres (Krebs, Kaspersky) François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 25

26. Botnets : attaques DDOS et extorsion de fonds Offre de location de botnet Constat : le prix est très faible, 120$ pour une journée Exemple de chantage au DDOS http://www.net- security.org/secworld.php?id=11174 Ou Paul Ferguson et l’affaire de la Banque Estonienne François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 26

27. Carding : vente de carte bancaire • Phénomène d’industrialisation du processus de vente (plus besoin d’être en relation directe avec le vendeur), • Touche de nombreux pays, dont la France, CERT XMCO • Méthodes de compromission multiples : -Intrusions -Bankers -Skimming -Etc. François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 27

28. Carding : vente de n° de carte bancaire  skimming  Imprimante MSR206  Intrusions : exemple de Sony pour le vol de données CB Source : Krebs François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 28

29. Hébergement bulletproof Aujourd’hui, les malwares ne sont plus diffusés en pièces jointes de mails … il faut donc pouvoir les stocker/héberger quelque part! Une solution : les hébergeurs Bulletproof (autre solution -> machines compromises mais moins fiable) Hébergeurs plus ou moins laxistes et regardants sur les requêtes des autorités judiciaires. Généralement, plus cher que de l’hébergement classique Différent des hébergeurs actifs : les hébergeurs n’agissent pas pour eux-mêmes mais pour leurs clients  C’est le cas du Russian Business Network, démantelé suite au travail notamment de David Bizeul (CERT Société Générale) François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 29

30. Hébergement bulletproof http://hostexploit.com/ Source : Krebs François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 30

31. Les autres : Malwares et rogue softwares  Croissance continue (15K nouveaux malwares répertoriés par Kaspersky sur le T2 2012)  Utilisation du mécanisme d’affiliation : acquisition d’un malware par une personne X et campagne d’infection lancée par des « affiliés » rémunérés en fonction du nombre de machines compromises. Très difficile à contrôler la rémunération étant basée sur le volume. Vol d’identité (virtuelle ou réelle) SPAM Phishing Mule-as-a-service Etc. François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 31

33.  Les relations entre groupes cybercriminels ▪ Communication ▪ Avec des forums ▪ Par IRC ▪ Service Après Vente via un n° ICQ ▪ Transfert de compétences ▪ Rédaction de tutoriels ▪ Aide en ligne (beaucoup de questions actuellement sur les SQLi) ▪ Sur un forum, l’attitude est la méfiance permanente : un membre actif qui aide les « nouveaux venus » verra son profil monter en crédibilité et il pourra ainsi accéder à des forums plus « intéressants » (accessibles sur invitation seulement)  Ex de UpLevel, développeur de Zeus connus pour ses défauts de paiement François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 33

35.  Coopération entre autorités et ISP/IXP (échangeurs)  « Débranchement » de DNS Changer par le FBI …. Après l’arrestation de 6 personnes en Estonie.  Travail des CERT  Etude des menaces, travail d’alertes  Sensibilisation et éducation du public (Long Run)  Problème : la plupart des initiatives sont d’ordre privé  Exemple de McColo, RBN, Atrivo  Renforcement du dispositif juridique ? François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 35

37.  Nous vivons dans un monde dangereux …  Le cybercrime augmente et surtout se professionalise  Tout le monde est concerné, administrations, entreprise, particuliers  Moralité : faites de la veille, sensibilisez et prenez le en compte dans vos analyses de risques …  François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 37

38.  Problématique soulevée par Jart Armin (suite au démantèlement d’Atrivo) et reprise par Gabriel Campana, MISC Magazine 41 : « Soit les acteurs de l’Internet seront capables de s’autoréguler ; soit un renforcement du contrôle par les Etats sur Internet est à prévoir, pour le meilleur ou pour le pire ». François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 38

39.  Merci de votre attention.  Des questions ? http://www.clusir-aquitaine.fr/ François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 39

41.  Ressources principales utilisées pour cette présentation :  Panoramas de la cybercriminalité, CLUSIF  Blog de Brian Krebs  MISC Magazine n°41  Etude Russian Underground, Trend Micro 2012  Sex, Lies and Cybercrime Surveys, Microsoft  Undernews  Net-Security.org  Blog de Thierry Zoller  Blog de Cédric Blancher « Sid »  Blog Dancho Danchev  Blog Pseudonyme  Blog Exploitability  Analyse du RBN par David Bizeul (CERT Société Générale) François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 41

42.  Outils de travail :  Malware Domain List  Robtex  Domaintools.com  PhishTank  SpamHaus  ShadowServer

Adacis clusira cybercriminalité_2012

You are reading a preview.

Check these out next

Adacis clusira cybercriminalité_2012

More Related Content

Slideshows for you (20)

Viewers also liked (20)

Similar to Adacis clusira cybercriminalité_2012 (20)

Recently uploaded (20)