SlideShare une entreprise Scribd logo

ASFWS 2011 - Malware: quelles limites pour les applications ebanking?

Cyber Security Alliance
Cyber Security Alliance

Application Security Forum 2011 27.10.2011 - Yverdon-les-Bains (Switzerland) Speakers: Jean-Marc Bost et Sébastien Bischof

Technologie
1  sur  48
Télécharger pour lire hors ligne
Quelles limites pour les applications de eBanking? (Avez-vous peur des fantômes?) présentation pour APPSEC Sébastien Bischof Jean-Marc Bost 27.10.2011 Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les-Bains http://appsec-forum.ch
Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser 27.10.2011 Application Security Forum - Western Switzerland - 2011 2
ETH(ical) Hacking sur SF1 Impossible de dissocier les données de la transaction et l’OTP! GC5 6 NN 7W 4 EZ 7 8 9 Selon la déclaration de spécialistes de l’EPF sur la sécurité de ****** e-banking: "Le système de ****** avec son lecteur de carte est à considérer comme sûr, parce qu’il exige une confirmation de transaction pour effectuer un virement vers un compte inconnu." 27.10.2011 Application Security Forum - Western Switzerland - 2011 3
L’ETH(ical) MITC = Man Inside The Computer 27.10.2011 Application Security Forum - Western Switzerland - 2011 4
Seule, la victime peut confirmer la transaction Confirmation? 27.10.2011 Application Security Forum - Western Switzerland - 2011 5
Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser 27.10.2011 Application Security Forum - Western Switzerland - 2011 6
L’infection par «troyens» est une réalité Selon Microsoft, 5% des PC Windows sont infectés (source «Safety Scanner», May 2011) Au moins 25%, selon Pandalab, avec une majorité de Troyens (source «ActiveScan», Q2 2011) La Suisse affiche le 2ème taux d’infection le plus bas… … mais à presque 30% Le troyen est plébiscité par les hackers “42 new malware strains created every minute» 27.10.2011 Application Security Forum - Western Switzerland - 2011 7
Au début, il y a eu le MITM (Man In The Middle)… 2006 MITM • site intermédiaire • pollution DNS • etc … 2007 27.10.2011 Application Security Forum - Western Switzerland - 2011 8
… puis le MITB (Malware In the Browser)… 2007 MITB • Anserin • Mebroot • Silentbanker 2008 27.10.2011 Application Security Forum - Western Switzerland - 2011 9
… puis le MI (Malware Inside) 2009 MI • Zeus • Ares • SpyEye 2011 27.10.2011 Application Security Forum - Western Switzerland - 2011 10
L’efficacité de Zeus et SpyEye en chiffres – 2009: 1.5 Millions de Spam d’infection vers facebook – Juin 2009: 74’000 comptes FTP détournés par Zeus – 2010: au moins 6 millions de £ on été détournées par un gang de 19 personnes en Angleterre – Oct. 2010: 70 millions US $ par Zeus – 3.6 millions de PC infectés aux USA par Zeus – 2011: 3,2 millions US $ détournés par un jeune russe en 6 mois avec Zeus et SpyEye 27.10.2011 Application Security Forum - Western Switzerland - 2011 11
Le eBanking n’est pas la seule cible D’autres sites web peuvent faire l’objet de vols de: - mots de passe - adresses emails - cookies - cartes de crédit - … et même sans les cibler! 27.10.2011 Application Security Forum - Western Switzerland - 2011 12
Le eBanking n’est pas la seule cible Facebook Google mail Jeu en ligne Microsoft Hot mail Windows live McAfee 27.10.2011 Application Security Forum - Western Switzerland - 2011 13
Le eBanking n’est pas la seule cible Les copies d’écran et même les captures vidéos permettent de : - espionner les claviers virtuels - se tenir au courant des modifications - espionner la vie privée - … toujours sans cibler un site particulier! 27.10.2011 Application Security Forum - Western Switzerland - 2011 14
Le eBanking n’est pas la seule cible … et les connexions ftp 27.10.2011 Application Security Forum - Western Switzerland - 2011 15
Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser 27.10.2011 Application Security Forum - Western Switzerland - 2011 16
MI = Man (ou Malware) Inside 27.10.2011 Application Security Forum - Western Switzerland - 2011 17
Une transaction dans un formulaire 27.10.2011 Application Security Forum - Western Switzerland - 2011 18
La transaction détournée par le MI What You Sign Is Not-) What You See ? 456 FRA 666 666 Merci, parfait pour ma transaction! -) 27.10.2011 Application Security Forum - Western Switzerland - 2011 19
Ce qui devrait se passer… Memory GUI POST CPT0123456789 TCP9876543210 5000 27.10.2011 Application Security Forum - Western Switzerland - 2011 20
Ce qui se passe! Memory GUI POST CPT0123456789 456FRA666666 5000 27.10.2011 Application Security Forum - Western Switzerland - 2011 21
Ce qui devrait se passer… Memory GUI FORM CPT0123456789 456FRA666666 5000 27.10.2011 Application Security Forum - Western Switzerland - 2011 22
Ce qui se passe! Memory GUI FORM CPT0123456789 456FRA666666 5000 27.10.2011 Application Security Forum - Western Switzerland - 2011 23
Zeus contrôle le browser par injection Le malware contrôle le PC requête DLL réponse MI DLL 27.10.2011 Application Security Forum - Western Switzerland - 2011 24
… et pas que le browser Firefox Firefox crash reporter Mise à jour Java 27.10.2011 Application Security Forum - Western Switzerland - 2011 25
Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser 27.10.2011 Application Security Forum - Western Switzerland - 2011 26
Une conception très « professionnelle » Injection Je suis: • Multifonctions • Configurable Commander & Controller • Evolutif • Furtif • Résilient Collection Configuration Le taux de détection de SpyEye par les antivirus de 25% [abuse.ch] Victime Maintenance 27.10.2011 Application Security Forum - Western Switzerland - 2011 27
Il n’est pas toujours facile de les trouver Propriétés d’un Rootkit: La furtivité – Stabilité – Pas de traces La persistance pour survivre aux redémarrages La prise de contrôle d’un ordinateur Peut cacher ses canaux de communication 27.10.2011 Application Security Forum - Western Switzerland - 2011 28
Ils peuvent se manifester à tout moment Vue du disque Vue globale 27.10.2011 Application Security Forum - Western Switzerland - 2011 29
Exemple: Bootkit Vue du disque Vue globale Il existe des utilitaires pour flasher le bios depuis un système en cours d’exécution Altération 27.10.2011 Application Security Forum - Western Switzerland - 2011 30
Et n’importe où! Le système travaille avec une représentation virtuelle du hardware sur lequel il est exécuté Les programmes exécutés se fient aux informations que leur donne le système. Vision du système Représentation en mémoire Process1 Process2 Process Réalité physique Et si l’on changeait la vision du système ? 27.10.2011 Application Security Forum - Western Switzerland - 2011 31
Exemple: DKOM Les processus sont représentés en mémoire par une structure (EPROCESS) DKOM peut, par exemple, cacher un processus de cette liste Process1 Process2 Process (idem pour les autres ressources système) 27.10.2011 Application Security Forum - Western Switzerland - 2011 32
Et si on les combinait ? Malware exécuté avant le système d’exploitation Le système peut être démarré avec le plus bas niveau de sécurité Les routines malicieuses sont démarrées avant le système Le malware contrôle la vision du système Difficile à détecter et à s’en débarrasser Le système est littéralement hanté 27.10.2011 Application Security Forum - Western Switzerland - 2011 33
Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser 27.10.2011 Application Security Forum - Western Switzerland - 2011 34
Démonstration Token USB : – Lecteur de carte à puce intégré – Authentification mutuelle – Système de mises à jour – … + browser intégré (safeBrowser): – Évite les injections « à la Zeus » en fournissant ses propres librairies – Empêche l’exécution du browser normal et des librairies système correspondantes Mais… 27.10.2011 Application Security Forum - Western Switzerland - 2011 35
Tunnel entre les 2 browsers MS API? safeBrowser Browser du PC FORM CPT0123456789 456FRA666666 5000 Parsing output remoteThread 27.10.2011 Application Security Forum - Western Switzerland - 2011 36
Tunnel entre les 2 browsers MS API? safeBrowser Browser du PC POST CPT0123456789 456FRA666666 5000 Windows API remoteThread 27.10.2011 Application Security Forum - Western Switzerland - 2011 37
Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser 27.10.2011 Application Security Forum - Western Switzerland - 2011 38
Une pincée de «Social Engineering» en plus On peut faire faire ce qu’on veut si on contrôle la vision de l’internaute 27.10.2011 Application Security Forum - Western Switzerland - 2011 39
ZITMO = Zeus + “Social Engineering” (SPITMO avec SpyEye) 2008: OWASP recommande le SMS …the use of a second factor such as a mobile phone is an excellent low cost alternative… …is actually stronger than most two factor authentication fobs… …a single weakness in this model - mobile phone registration and updating 2010: Zeus attaque le SMS #2 Origine incertaine #3 #1 Texte en Numéro clair publique 27.10.2011 Application Security Forum - Western Switzerland - 2011 40
Revenons aux conclusions de l’ETH(ical) hacking Impossible de dissocier les données de la transaction et l’OTP! GC5 6 NN 7W 4 EZ 7 8 9 « Selon la déclaration de spécialistes de l’EPF sur la sécurité de ****** e-banking: "Le système de ****** avec son lecteur de carte est à considérer comme sûr, parce qu’il exige une confirmation de transaction pour effectuer un virement vers un compte inconnu." » 27.10.2011 Application Security Forum - Western Switzerland - 2011 41
Ce cas est-il à l’abris du «Social Engineering»? !? GC5 6 NN 7W 4 EZ 7 8 9 « Ne répondez en aucun cas à une demande de confirmation d’une série de numéros ou de signes – même si la demande semble provenir de ****** » 27.10.2011 Application Security Forum - Western Switzerland - 2011 42
Probablement pas… What You Sign Is What You See Le compte à créditer est enregistré sous la But… référence 456 FRA 666 666 par la banque du destinataire. Nous vous prions de rentrer les 6 derniers chiffres de ce numéro de référence dans votre calculette puis de rentrer le code de sécurité que vous obtenez ci-dessous pour définitivement valider votre transaction. « Ne répondez en aucun cas à une demande de confirmation d’une série de numéros ou de signes – même si la demande semble provenir de ****** » 27.10.2011 Application Security Forum - Western Switzerland - 2011 43
WYSIWYS or not WYSIWYS That is the Question 27.10.2011 Application Security Forum - Western Switzerland - 2011 44
… des questions? Pour nous contacter: Sébastien Bischof Jean-Marc Bost sebastien.bischof@elca.ch Jean-marc.bost@elca.ch Lausanne I Zürich I Bern I Genf I London I Paris I Ho Chi Minh City Lausanne I Zürich I Bern I Genf I London I Paris I Ho Chi Minh City SLIDES A TELECHARGER PROCHAINEMENT: http://slideshare.net/ASF-WS
Explications de la démo - Architecture 27.10.2011 Application Security Forum - Western Switzerland - 2011 46
Exemple: SpyEye SpyEye est une boîte à outils – Avec un kit de génération de chevaux de Troie – Et une interface de contrôle Web Mais il utilise aussi des mécanismes de rootkit. • Pour se cacher – Il cache ses fichiers en altérant les fonctions du système • Pour persister – Il ajoute une entrée dans le registre Le taux de détection de SpyEye par les antivirus de 25% selon www.abuse.ch 27.10.2011 Application Security Forum - Western Switzerland - 2011 47
Ce qui devrait se passer… SafeBrowser Firefox du PC 27.10.2011 Application Security Forum - Western Switzerland - 2011 48

Recommandé

OPENPRO : GUIDE DES PAIEMENTS SECURISES
OPENPRO : GUIDE DES PAIEMENTS SECURISESOPENPRO : GUIDE DES PAIEMENTS SECURISES
OPENPRO : GUIDE DES PAIEMENTS SECURISESSandrine Resayonne
 
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational_France
 
Komunote juillet 2015
Komunote juillet 2015Komunote juillet 2015
Komunote juillet 2015Benoit Pain
 
2010 - Intégration de l'authentification: les mesures proposées par OWASP
2010 - Intégration de l'authentification: les mesures proposées par OWASP2010 - Intégration de l'authentification: les mesures proposées par OWASP
2010 - Intégration de l'authentification: les mesures proposées par OWASPCyber Security Alliance
 
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...Cyber Security Alliance
 
Guide du promoteur de projets de e-commerce
Guide du promoteur de projets de e-commerceGuide du promoteur de projets de e-commerce
Guide du promoteur de projets de e-commerceKhabbab HADHRI
 
ASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r ReloadedASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r ReloadedCyber Security Alliance
 
Cci octobre 2014
Cci octobre 2014Cci octobre 2014
Cci octobre 2014Jean-Robert Bos
 

Recommandé

OPENPRO : GUIDE DES PAIEMENTS SECURISES
OPENPRO : GUIDE DES PAIEMENTS SECURISESOPENPRO : GUIDE DES PAIEMENTS SECURISES
OPENPRO : GUIDE DES PAIEMENTS SECURISESSandrine Resayonne
 
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational_France
 
Komunote juillet 2015
Komunote juillet 2015Komunote juillet 2015
Komunote juillet 2015Benoit Pain
 
2010 - Intégration de l'authentification: les mesures proposées par OWASP
2010 - Intégration de l'authentification: les mesures proposées par OWASP2010 - Intégration de l'authentification: les mesures proposées par OWASP
2010 - Intégration de l'authentification: les mesures proposées par OWASPCyber Security Alliance
 
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...Cyber Security Alliance
 
Guide du promoteur de projets de e-commerce
Guide du promoteur de projets de e-commerceGuide du promoteur de projets de e-commerce
Guide du promoteur de projets de e-commerceKhabbab HADHRI
 
ASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r ReloadedASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r ReloadedCyber Security Alliance
 
Cci octobre 2014
Cci octobre 2014Cci octobre 2014
Cci octobre 2014Jean-Robert Bos
 
Veille sans video
Veille sans videoVeille sans video
Veille sans videoequipe-virus
 
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursCyber Security Alliance
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesCyber Security Alliance
 
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM France Lab
 
Tour d’horizon des méthodes de vol d’information
Tour d’horizon des méthodes de vol d’informationTour d’horizon des méthodes de vol d’information
Tour d’horizon des méthodes de vol d’informationISSA France Security Tuesday
 
Black Hat Europe 2008
Black Hat Europe 2008Black Hat Europe 2008
Black Hat Europe 2008fropert
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Oxalide
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Oxalide
 
Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Aref Jdey
 
Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011Cyber Security Alliance
 
Mobilegov Février 09
Mobilegov Février 09Mobilegov Février 09
Mobilegov Février 09FinancialVideo
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiquemichelcusin
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgiSébastien GIORIA
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrDavid Girard
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréNormandie Web Xperts
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Sylvain Maret
 
Coursinfo s4
Coursinfo s4Coursinfo s4
Coursinfo s4ousalabrahim
 
Bug Bounty @ Swisscom
Bug Bounty @ SwisscomBug Bounty @ Swisscom
Bug Bounty @ SwisscomCyber Security Alliance
 
Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Cyber Security Alliance
 

Contenu connexe

Similaire à ASFWS 2011 - Malware: quelles limites pour les applications ebanking?

ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursCyber Security Alliance
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesCyber Security Alliance
 
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM France Lab
 
Tour d’horizon des méthodes de vol d’information
Tour d’horizon des méthodes de vol d’informationTour d’horizon des méthodes de vol d’information
Tour d’horizon des méthodes de vol d’informationISSA France Security Tuesday
 
Black Hat Europe 2008
Black Hat Europe 2008Black Hat Europe 2008
Black Hat Europe 2008fropert
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Oxalide
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Oxalide
 
Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Aref Jdey
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiquemichelcusin
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrDavid Girard
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréNormandie Web Xperts
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Sylvain Maret
 

Similaire à ASFWS 2011 - Malware: quelles limites pour les applications ebanking? (20)

Veille sans video
Veille sans videoVeille sans video
Veille sans video
 
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
 
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
 
Tour d’horizon des méthodes de vol d’information
Tour d’horizon des méthodes de vol d’informationTour d’horizon des méthodes de vol d’information
Tour d’horizon des méthodes de vol d’information
 
Black Hat Europe 2008
Black Hat Europe 2008Black Hat Europe 2008
Black Hat Europe 2008
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009
 
Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009
 
Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011
 
Mobilegov Février 09
Mobilegov Février 09Mobilegov Février 09
Mobilegov Février 09
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg Fr
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
 
Coursinfo s4
Coursinfo s4Coursinfo s4
Coursinfo s4
 

Plus de Cyber Security Alliance

Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Cyber Security Alliance
 
iOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itiOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itCyber Security Alliance
 
Why huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksWhy huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksCyber Security Alliance
 
Corporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCorporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCyber Security Alliance
 
Introducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsIntroducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsCyber Security Alliance
 
Understanding the fundamentals of attacks
Understanding the fundamentals of attacksUnderstanding the fundamentals of attacks
Understanding the fundamentals of attacksCyber Security Alliance
 
Reverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemReverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemCyber Security Alliance
 
Easy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fEasy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fCyber Security Alliance
 
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Cyber Security Alliance
 
Offline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupOffline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupCyber Security Alliance
 
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...Cyber Security Alliance
 
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptWarning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptCyber Security Alliance
 
Killing any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureKilling any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureCyber Security Alliance
 

Plus de Cyber Security Alliance (20)

Bug Bounty @ Swisscom
Bug Bounty @ SwisscomBug Bounty @ Swisscom
Bug Bounty @ Swisscom
 
Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?
 
iOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itiOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce it
 
Why huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksWhy huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacks
 
Corporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCorporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomware
 
Blockchain for Beginners
Blockchain for Beginners Blockchain for Beginners
Blockchain for Beginners
 
Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16
 
Introducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsIntroducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging apps
 
Understanding the fundamentals of attacks
Understanding the fundamentals of attacksUnderstanding the fundamentals of attacks
Understanding the fundamentals of attacks
 
Rump : iOS patch diffing
Rump : iOS patch diffingRump : iOS patch diffing
Rump : iOS patch diffing
 
An easy way into your sap systems v3.0
An easy way into your sap systems v3.0An easy way into your sap systems v3.0
An easy way into your sap systems v3.0
 
Reverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemReverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande Modem
 
Easy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fEasy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 f
 
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
 
Offline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupOffline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setup
 
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
 
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptWarning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
 
Killing any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureKilling any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented feature
 
Rump attaque usb_caralinda_fabrice
Rump attaque usb_caralinda_fabriceRump attaque usb_caralinda_fabrice
Rump attaque usb_caralinda_fabrice
 
Operation emmental appsec
Operation emmental appsecOperation emmental appsec
Operation emmental appsec
 

ASFWS 2011 - Malware: quelles limites pour les applications ebanking?

  • 1. Quelles limites pour les applications de eBanking? (Avez-vous peur des fantômes?) présentation pour APPSEC Sébastien Bischof Jean-Marc Bost 27.10.2011 Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les-Bains http://appsec-forum.ch
  • 2. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser 27.10.2011 Application Security Forum - Western Switzerland - 2011 2
  • 3. ETH(ical) Hacking sur SF1 Impossible de dissocier les données de la transaction et l’OTP! GC5 6 NN 7W 4 EZ 7 8 9 Selon la déclaration de spécialistes de l’EPF sur la sécurité de ****** e-banking: "Le système de ****** avec son lecteur de carte est à considérer comme sûr, parce qu’il exige une confirmation de transaction pour effectuer un virement vers un compte inconnu." 27.10.2011 Application Security Forum - Western Switzerland - 2011 3
  • 4. L’ETH(ical) MITC = Man Inside The Computer 27.10.2011 Application Security Forum - Western Switzerland - 2011 4
  • 5. Seule, la victime peut confirmer la transaction Confirmation? 27.10.2011 Application Security Forum - Western Switzerland - 2011 5
  • 6. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser 27.10.2011 Application Security Forum - Western Switzerland - 2011 6
  • 7. L’infection par «troyens» est une réalité Selon Microsoft, 5% des PC Windows sont infectés (source «Safety Scanner», May 2011) Au moins 25%, selon Pandalab, avec une majorité de Troyens (source «ActiveScan», Q2 2011) La Suisse affiche le 2ème taux d’infection le plus bas… … mais à presque 30% Le troyen est plébiscité par les hackers “42 new malware strains created every minute» 27.10.2011 Application Security Forum - Western Switzerland - 2011 7
  • 8. Au début, il y a eu le MITM (Man In The Middle)… 2006 MITM • site intermédiaire • pollution DNS • etc … 2007 27.10.2011 Application Security Forum - Western Switzerland - 2011 8
  • 9. … puis le MITB (Malware In the Browser)… 2007 MITB • Anserin • Mebroot • Silentbanker 2008 27.10.2011 Application Security Forum - Western Switzerland - 2011 9
  • 10. … puis le MI (Malware Inside) 2009 MI • Zeus • Ares • SpyEye 2011 27.10.2011 Application Security Forum - Western Switzerland - 2011 10
  • 11. L’efficacité de Zeus et SpyEye en chiffres – 2009: 1.5 Millions de Spam d’infection vers facebook – Juin 2009: 74’000 comptes FTP détournés par Zeus – 2010: au moins 6 millions de £ on été détournées par un gang de 19 personnes en Angleterre – Oct. 2010: 70 millions US $ par Zeus – 3.6 millions de PC infectés aux USA par Zeus – 2011: 3,2 millions US $ détournés par un jeune russe en 6 mois avec Zeus et SpyEye 27.10.2011 Application Security Forum - Western Switzerland - 2011 11
  • 12. Le eBanking n’est pas la seule cible D’autres sites web peuvent faire l’objet de vols de: - mots de passe - adresses emails - cookies - cartes de crédit - … et même sans les cibler! 27.10.2011 Application Security Forum - Western Switzerland - 2011 12
  • 13. Le eBanking n’est pas la seule cible Facebook Google mail Jeu en ligne Microsoft Hot mail Windows live McAfee 27.10.2011 Application Security Forum - Western Switzerland - 2011 13
  • 14. Le eBanking n’est pas la seule cible Les copies d’écran et même les captures vidéos permettent de : - espionner les claviers virtuels - se tenir au courant des modifications - espionner la vie privée - … toujours sans cibler un site particulier! 27.10.2011 Application Security Forum - Western Switzerland - 2011 14
  • 15. Le eBanking n’est pas la seule cible … et les connexions ftp 27.10.2011 Application Security Forum - Western Switzerland - 2011 15
  • 16. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser 27.10.2011 Application Security Forum - Western Switzerland - 2011 16
  • 17. MI = Man (ou Malware) Inside 27.10.2011 Application Security Forum - Western Switzerland - 2011 17
  • 18. Une transaction dans un formulaire 27.10.2011 Application Security Forum - Western Switzerland - 2011 18
  • 19. La transaction détournée par le MI What You Sign Is Not-) What You See ? 456 FRA 666 666 Merci, parfait pour ma transaction! -) 27.10.2011 Application Security Forum - Western Switzerland - 2011 19
  • 20. Ce qui devrait se passer… Memory GUI POST CPT0123456789 TCP9876543210 5000 27.10.2011 Application Security Forum - Western Switzerland - 2011 20
  • 21. Ce qui se passe! Memory GUI POST CPT0123456789 456FRA666666 5000 27.10.2011 Application Security Forum - Western Switzerland - 2011 21
  • 22. Ce qui devrait se passer… Memory GUI FORM CPT0123456789 456FRA666666 5000 27.10.2011 Application Security Forum - Western Switzerland - 2011 22
  • 23. Ce qui se passe! Memory GUI FORM CPT0123456789 456FRA666666 5000 27.10.2011 Application Security Forum - Western Switzerland - 2011 23
  • 24. Zeus contrôle le browser par injection Le malware contrôle le PC requête DLL réponse MI DLL 27.10.2011 Application Security Forum - Western Switzerland - 2011 24
  • 25. … et pas que le browser Firefox Firefox crash reporter Mise à jour Java 27.10.2011 Application Security Forum - Western Switzerland - 2011 25
  • 26. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser 27.10.2011 Application Security Forum - Western Switzerland - 2011 26
  • 27. Une conception très « professionnelle » Injection Je suis: • Multifonctions • Configurable Commander & Controller • Evolutif • Furtif • Résilient Collection Configuration Le taux de détection de SpyEye par les antivirus de 25% [abuse.ch] Victime Maintenance 27.10.2011 Application Security Forum - Western Switzerland - 2011 27
  • 28. Il n’est pas toujours facile de les trouver Propriétés d’un Rootkit: La furtivité – Stabilité – Pas de traces La persistance pour survivre aux redémarrages La prise de contrôle d’un ordinateur Peut cacher ses canaux de communication 27.10.2011 Application Security Forum - Western Switzerland - 2011 28
  • 29. Ils peuvent se manifester à tout moment Vue du disque Vue globale 27.10.2011 Application Security Forum - Western Switzerland - 2011 29
  • 30. Exemple: Bootkit Vue du disque Vue globale Il existe des utilitaires pour flasher le bios depuis un système en cours d’exécution Altération 27.10.2011 Application Security Forum - Western Switzerland - 2011 30
  • 31. Et n’importe où! Le système travaille avec une représentation virtuelle du hardware sur lequel il est exécuté Les programmes exécutés se fient aux informations que leur donne le système. Vision du système Représentation en mémoire Process1 Process2 Process Réalité physique Et si l’on changeait la vision du système ? 27.10.2011 Application Security Forum - Western Switzerland - 2011 31
  • 32. Exemple: DKOM Les processus sont représentés en mémoire par une structure (EPROCESS) DKOM peut, par exemple, cacher un processus de cette liste Process1 Process2 Process (idem pour les autres ressources système) 27.10.2011 Application Security Forum - Western Switzerland - 2011 32
  • 33. Et si on les combinait ? Malware exécuté avant le système d’exploitation Le système peut être démarré avec le plus bas niveau de sécurité Les routines malicieuses sont démarrées avant le système Le malware contrôle la vision du système Difficile à détecter et à s’en débarrasser Le système est littéralement hanté 27.10.2011 Application Security Forum - Western Switzerland - 2011 33
  • 34. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser 27.10.2011 Application Security Forum - Western Switzerland - 2011 34
  • 35. Démonstration Token USB : – Lecteur de carte à puce intégré – Authentification mutuelle – Système de mises à jour – … + browser intégré (safeBrowser): – Évite les injections « à la Zeus » en fournissant ses propres librairies – Empêche l’exécution du browser normal et des librairies système correspondantes Mais… 27.10.2011 Application Security Forum - Western Switzerland - 2011 35
  • 36. Tunnel entre les 2 browsers MS API? safeBrowser Browser du PC FORM CPT0123456789 456FRA666666 5000 Parsing output remoteThread 27.10.2011 Application Security Forum - Western Switzerland - 2011 36
  • 37. Tunnel entre les 2 browsers MS API? safeBrowser Browser du PC POST CPT0123456789 456FRA666666 5000 Windows API remoteThread 27.10.2011 Application Security Forum - Western Switzerland - 2011 37
  • 38. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser 27.10.2011 Application Security Forum - Western Switzerland - 2011 38
  • 39. Une pincée de «Social Engineering» en plus On peut faire faire ce qu’on veut si on contrôle la vision de l’internaute 27.10.2011 Application Security Forum - Western Switzerland - 2011 39
  • 40. ZITMO = Zeus + “Social Engineering” (SPITMO avec SpyEye) 2008: OWASP recommande le SMS …the use of a second factor such as a mobile phone is an excellent low cost alternative… …is actually stronger than most two factor authentication fobs… …a single weakness in this model - mobile phone registration and updating 2010: Zeus attaque le SMS #2 Origine incertaine #3 #1 Texte en Numéro clair publique 27.10.2011 Application Security Forum - Western Switzerland - 2011 40
  • 41. Revenons aux conclusions de l’ETH(ical) hacking Impossible de dissocier les données de la transaction et l’OTP! GC5 6 NN 7W 4 EZ 7 8 9 « Selon la déclaration de spécialistes de l’EPF sur la sécurité de ****** e-banking: "Le système de ****** avec son lecteur de carte est à considérer comme sûr, parce qu’il exige une confirmation de transaction pour effectuer un virement vers un compte inconnu." » 27.10.2011 Application Security Forum - Western Switzerland - 2011 41
  • 42. Ce cas est-il à l’abris du «Social Engineering»? !? GC5 6 NN 7W 4 EZ 7 8 9 « Ne répondez en aucun cas à une demande de confirmation d’une série de numéros ou de signes – même si la demande semble provenir de ****** » 27.10.2011 Application Security Forum - Western Switzerland - 2011 42
  • 43. Probablement pas… What You Sign Is What You See Le compte à créditer est enregistré sous la But… référence 456 FRA 666 666 par la banque du destinataire. Nous vous prions de rentrer les 6 derniers chiffres de ce numéro de référence dans votre calculette puis de rentrer le code de sécurité que vous obtenez ci-dessous pour définitivement valider votre transaction. « Ne répondez en aucun cas à une demande de confirmation d’une série de numéros ou de signes – même si la demande semble provenir de ****** » 27.10.2011 Application Security Forum - Western Switzerland - 2011 43
  • 44. WYSIWYS or not WYSIWYS That is the Question 27.10.2011 Application Security Forum - Western Switzerland - 2011 44
  • 45. … des questions? Pour nous contacter: Sébastien Bischof Jean-Marc Bost sebastien.bischof@elca.ch Jean-marc.bost@elca.ch Lausanne I Zürich I Bern I Genf I London I Paris I Ho Chi Minh City Lausanne I Zürich I Bern I Genf I London I Paris I Ho Chi Minh City SLIDES A TELECHARGER PROCHAINEMENT: http://slideshare.net/ASF-WS
  • 46. Explications de la démo - Architecture 27.10.2011 Application Security Forum - Western Switzerland - 2011 46
  • 47. Exemple: SpyEye SpyEye est une boîte à outils – Avec un kit de génération de chevaux de Troie – Et une interface de contrôle Web Mais il utilise aussi des mécanismes de rootkit. • Pour se cacher – Il cache ses fichiers en altérant les fonctions du système • Pour persister – Il ajoute une entrée dans le registre Le taux de détection de SpyEye par les antivirus de 25% selon www.abuse.ch 27.10.2011 Application Security Forum - Western Switzerland - 2011 47
  • 48. Ce qui devrait se passer… SafeBrowser Firefox du PC 27.10.2011 Application Security Forum - Western Switzerland - 2011 48