Reprenez le contrôle de votre sécurité
et chassez les pirates de votre réseau.
Michel Cusin
5 mai 2014
© Cusin Sécurité In...
Parlons des vraies affaires…!
Peu importe ce que nous faisons, les mécanismes
de sécurité sont contournés et les systèmes
...
http://datalossdb.org/
© Cusin Sécurité Inc., 2014. Tous droits réservés.
http://www.databreaches.net
© Cusin Sécurité Inc., 2014. Tous droits réservés.
http://map.ipviking.com/ (Chrome)
© Cusin Sécurité Inc., 2014. Tous droits réservés.
1) Reconnaissance (Recherche d’informations)
Hacking 101 – Phases d’une attaque
© Cusin Sécurité Inc., 2014. Tous droits r...
Hacking 101 – Reconnaissance
•  Site Web:
•  Postes disponibles
•  Communiqués de presse
•  Adresses courriel
•  Etc...
• ...
1) Reconnaissance (Recherche d’informations)
Hacking 101 – Phases d’une attaque
2) Balayage “Scanning” (Découverte des vul...
Hacking 101 – Scanning
•  Balayage de ports
•  Nmap
•  Découverte des ports ouverts (0 à 65535 - TCP & UDP)
•  Différents ...
1) Reconnaissance (Recherche d’informations)
Hacking 101 – Phases d’une attaque
2) Balayage “Scanning” (Découverte des vul...
Hacking 101 – Exploitation
Le “framework” Metasploit est un outil pour le développement et
l'exécution d'exploits contre u...
Hacking 101 – Types d’attaques
1) Reconnaissance (Recherche d’informations)
2) Balayage “Scanning” (Découverte des vulnéra...
Hacking 101 – Garder l’accès (Backdoor)
© Cusin Sécurité Inc., 2014. Tous droits réservés.
Hacking 101 – Garder l’accès (Rootkit)
Source: http://www.pegase-secure.com/images/def/rootkit.jpg
© Cusin Sécurité Inc., ...
Hacking 101 – Types d’attaques
1) Reconnaissance (Recherche d’informations)
2) Balayage “Scanning” (Découverte des vulnéra...
Hacking 101 – Couvrir les traces
© Cusin Sécurité Inc., 2014. Tous droits réservés.
•  Server-side Attacks (Externe)
Hacking 101 – Types d’attaques
• Client-side Attacks (Interne)
• Ingénierie sociale (les ...
« Server-Side Attack »
Port Scan + OS Fingerprinting
(Nmap)
Scan de vulnérabilités
(Nessus)
Exploitation d’une vulnérabili...
« Client-Side Attack »
Connexion en sortie:
Ex.: Port TCP 80 (HTTP)
ou 443 (HTTPS)
Coupe-feuAttaquant
Réseau interne
Base ...
Évasion d’antivirus avec Veil
Metasploit + Meterpreter + MSFVenom (MSFPayload + MSFEncode) = Veil
© Cusin Sécurité Inc., 2...
Autres vecteurs d’attaques
© Cusin Sécurité Inc., 2014. Tous droits réservés.
http://globe.cyberfeed.net/
© Cusin Sécurité Inc., 2014. Tous droits réservés.
Darknet: Le Web invisible
http://wikitjerrta4qgz4.onion/
http://www.google.com
© Cusin Sécurité Inc., 2014. Tous droits ré...
Darknet
•  TOR: The Onion Router
•  I2P: The Invisible Internet Project
(le projet internet invisible)
•  Freenet: The Fre...
•  http://www.torproject.org/
TOR: The Onion Router
© Cusin Sécurité Inc., 2014. Tous droits réservés.
•  Élévation de privilèges (obtenir l’accès complet)
« Shell is just the beginning »
• Voler les “hashes” (Pass-the-Hash, ...
Ø  Seulement 6% des organisations ont découvert les brèches elles-mêmes et 94% sont avisés par l’externe;
Rapport Mandian...
Alors? Quel est le problème?
© Cusin Sécurité Inc., 2014. Tous droits réservés.
Nous regardons la sécurité de la même façon qu’il
y a 10 ans…
Alors? Quel est le problème?
…en focusant principalement sur...
Que pouvons-nous faire?
© Cusin Sécurité Inc., 2014. Tous droits réservés.
•  Analyser le trafic en sortie (Data)
Voici un bon début
•  Regarder ce qui compte vraiment
• Arrêter d’avoir confiance d...
L’approche « TASER »
*Bilan de sécurité
*Gestion de la sécurité
© Cusin Sécurité Inc., 2014. Tous droits réservés.
Tester
...
Mécanismes de défense
© Cusin Sécurité Inc., 2014. Tous droits réservés.
Surveillance
© Cusin Sécurité Inc., 2014. Tous droits réservés.
Processus de réponse aux incidents
© Cusin Sécurité Inc., 2014. Tous droits réservés.
!
Conclusion
Comme le portrait de la sécurité a beaucoup
évolué, nous devons penser différemment.
Les solutions “traditionne...
Cusin Sécurité Inc. | Michel Cusin |418 431-9932| michel@cusin.ca | cusin.ca
© Cusin Sécurité Inc., 2014. Tous droits rése...
Prochain SlideShare
Chargement dans…5
×

Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau

4 861 vues

Publié le

Publié dans : Technologie
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
4 861
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3 881
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau

  1. 1. Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau. Michel Cusin 5 mai 2014 © Cusin Sécurité Inc., 2014. Tous droits réservés.
  2. 2. Parlons des vraies affaires…! Peu importe ce que nous faisons, les mécanismes de sécurité sont contournés et les systèmes informatiques se font systématiquement pirater. La question n’est pas “si” cela arrivera, mais plutôt: C’est un fait: Vous vous FEREZ “hacker”. Quand? Comment? Combien de fois? Pendant combien de temps? © Cusin Sécurité Inc., 2014. Tous droits réservés.
  3. 3. http://datalossdb.org/ © Cusin Sécurité Inc., 2014. Tous droits réservés.
  4. 4. http://www.databreaches.net © Cusin Sécurité Inc., 2014. Tous droits réservés.
  5. 5. http://map.ipviking.com/ (Chrome) © Cusin Sécurité Inc., 2014. Tous droits réservés.
  6. 6. 1) Reconnaissance (Recherche d’informations) Hacking 101 – Phases d’une attaque © Cusin Sécurité Inc., 2014. Tous droits réservés.
  7. 7. Hacking 101 – Reconnaissance •  Site Web: •  Postes disponibles •  Communiqués de presse •  Adresses courriel •  Etc... • Adresses IP et autres informations: • American Registry for Internet Numbers (ARIN) • Whois (Qui) • Nslookup (Quoi) • Médias sociaux: • Facebook • LinkedIn • Etc... • Outils et sites spécialisés: • Maltego, Lazy Champ • centralops.net, mxtoolbox.com/ • inteltechniques.com/ © Cusin Sécurité Inc., 2014. Tous droits réservés.
  8. 8. 1) Reconnaissance (Recherche d’informations) Hacking 101 – Phases d’une attaque 2) Balayage “Scanning” (Découverte des vulnérabilités) © Cusin Sécurité Inc., 2014. Tous droits réservés.
  9. 9. Hacking 101 – Scanning •  Balayage de ports •  Nmap •  Découverte des ports ouverts (0 à 65535 - TCP & UDP) •  Différents types de scans (connect, syn, etc…) • « OS Fingerprinting » - Déterminer la version du OS • Actif: Nmap, Xprobe • Passif: p0f • Balayage de vulnérabilités • Nessus • Découverte des vulnérabilités dans le bût de les exploiter © Cusin Sécurité Inc., 2014. Tous droits réservés.
  10. 10. 1) Reconnaissance (Recherche d’informations) Hacking 101 – Phases d’une attaque 2) Balayage “Scanning” (Découverte des vulnérabilités) 3) Exploitation (Exploitation des vulnérabilités) © Cusin Sécurité Inc., 2014. Tous droits réservés.
  11. 11. Hacking 101 – Exploitation Le “framework” Metasploit est un outil pour le développement et l'exécution d'exploits contre une machine distante. Exploit 1 Payload 1 Exploit 2 Payload 1 Stager Launcher Vers la cible Interface utilisateur Choix Exploit 2 Exploit N Payload 2 Payload N © Cusin Sécurité Inc., 2014. Tous droits réservés.
  12. 12. Hacking 101 – Types d’attaques 1) Reconnaissance (Recherche d’informations) 2) Balayage “Scanning” (Découverte des vulnérabilités) 3) Exploitation (Exploitation des vulnérabilités) 4) Garder l’accès (Backdoors, Rootkits) © Cusin Sécurité Inc., 2014. Tous droits réservés.
  13. 13. Hacking 101 – Garder l’accès (Backdoor) © Cusin Sécurité Inc., 2014. Tous droits réservés.
  14. 14. Hacking 101 – Garder l’accès (Rootkit) Source: http://www.pegase-secure.com/images/def/rootkit.jpg © Cusin Sécurité Inc., 2014. Tous droits réservés.
  15. 15. Hacking 101 – Types d’attaques 1) Reconnaissance (Recherche d’informations) 2) Balayage “Scanning” (Découverte des vulnérabilités) 3) Exploitation (Exploitation des vulnérabilités) 4) Garder l’access (Backdoors, Rootkits) 5) Couvrir les traces (effacer/modifier les logs) © Cusin Sécurité Inc., 2014. Tous droits réservés.
  16. 16. Hacking 101 – Couvrir les traces © Cusin Sécurité Inc., 2014. Tous droits réservés.
  17. 17. •  Server-side Attacks (Externe) Hacking 101 – Types d’attaques • Client-side Attacks (Interne) • Ingénierie sociale (les gens) • Sans fil (Interne et externe) • Medias amovible (clée USB, Teensy, etc.) • Combination de plusieurs types d’attaque © Cusin Sécurité Inc., 2014. Tous droits réservés.
  18. 18. « Server-Side Attack » Port Scan + OS Fingerprinting (Nmap) Scan de vulnérabilités (Nessus) Exploitation d’une vulnérabilité (Metasploit) 1 2 3 © Cusin Sécurité Inc., 2014. Tous droits réservés.
  19. 19. « Client-Side Attack » Connexion en sortie: Ex.: Port TCP 80 (HTTP) ou 443 (HTTPS) Coupe-feuAttaquant Réseau interne Base de données Contrôleur de domaine Poste de travail IDS / IPS AntivirusInternet Commutateur © Cusin Sécurité Inc., 2014. Tous droits réservés. Darknet
  20. 20. Évasion d’antivirus avec Veil Metasploit + Meterpreter + MSFVenom (MSFPayload + MSFEncode) = Veil © Cusin Sécurité Inc., 2014. Tous droits réservés.
  21. 21. Autres vecteurs d’attaques © Cusin Sécurité Inc., 2014. Tous droits réservés.
  22. 22. http://globe.cyberfeed.net/ © Cusin Sécurité Inc., 2014. Tous droits réservés.
  23. 23. Darknet: Le Web invisible http://wikitjerrta4qgz4.onion/ http://www.google.com © Cusin Sécurité Inc., 2014. Tous droits réservés.
  24. 24. Darknet •  TOR: The Onion Router •  I2P: The Invisible Internet Project (le projet internet invisible) •  Freenet: The Free Network © Cusin Sécurité Inc., 2014. Tous droits réservés.
  25. 25. •  http://www.torproject.org/ TOR: The Onion Router © Cusin Sécurité Inc., 2014. Tous droits réservés.
  26. 26. •  Élévation de privilèges (obtenir l’accès complet) « Shell is just the beginning » • Voler les “hashes” (Pass-the-Hash, craquer les mots de passe) • Installer des “backdoors” & des “rootkits” • Exfiltrer & manipuler l’information (data) • Obtenir l’accès à d’autres systèmes sur le réseau • Recommencer encore et encore… © Cusin Sécurité Inc., 2014. Tous droits réservés.
  27. 27. Ø  Seulement 6% des organisations ont découvert les brèches elles-mêmes et 94% sont avisés par l’externe; Rapport Mandiant 2012: Les faits saillants Ø L’attaque ciblée ou avancée typique passe inaperçue pendant plus d'un an; Ø Les brèches sont souvent découvertes lors du processus de fusions et d’acquisitions; Ø Les attaques avancées visent plusieurs maillons de la « chaîne »; Ø Les logiciels malveillants (malware) racontent seulement la moitié (54%) de l'histoire; Ø L'utilisation d’outils publics ajoute de la complexité dans l’identification des acteurs derrière les menaces; Ø  Les attaquants diversifient leurs mécanismes de persistance; Ø  Les attaquants motivés par des objectifs financiers sont de plus en plus persistants. © Cusin Sécurité Inc., 2014. Tous droits réservés.
  28. 28. Alors? Quel est le problème? © Cusin Sécurité Inc., 2014. Tous droits réservés.
  29. 29. Nous regardons la sécurité de la même façon qu’il y a 10 ans… Alors? Quel est le problème? …en focusant principalement sur ce qui ne fonctionne pas… …et nous concentrons nos efforts sur la protection au détriment de la détection et la réaction. © Cusin Sécurité Inc., 2014. Tous droits réservés.
  30. 30. Que pouvons-nous faire? © Cusin Sécurité Inc., 2014. Tous droits réservés.
  31. 31. •  Analyser le trafic en sortie (Data) Voici un bon début •  Regarder ce qui compte vraiment • Arrêter d’avoir confiance de facto à l’interne • Développer une meilleure réponse aux incidents • Appliquer les correctifs de sécurité (systèmes et applications) • Rincer et répéter •  Arrêter de se fier uniquement aux moyens de protection (FW, IDS, AV, etc.) •  Utiliser les “Indicators Of Compromise” (IOC) •  Essayer de savoir ce que nous ne savons pas © Cusin Sécurité Inc., 2014. Tous droits réservés.
  32. 32. L’approche « TASER » *Bilan de sécurité *Gestion de la sécurité © Cusin Sécurité Inc., 2014. Tous droits réservés. Tester -  Balayages de vulnérabilités -  Analyses de vulnérabilités -  Tests d’intrusion Analyser Trafic malicieux -  Vers, bots, backdoors, C&C, etc. -  Exfiltration de données sensibles. Surveiller -  Détection d’intrusion (IDS/IPS) -  Détection de brèches (BDS) -  Surveillance des journaux (SIEM) Éradiquer -  Gestion de vulnérabilités -  Réponse aux incidents Recommencer
  33. 33. Mécanismes de défense © Cusin Sécurité Inc., 2014. Tous droits réservés.
  34. 34. Surveillance © Cusin Sécurité Inc., 2014. Tous droits réservés.
  35. 35. Processus de réponse aux incidents © Cusin Sécurité Inc., 2014. Tous droits réservés. !
  36. 36. Conclusion Comme le portrait de la sécurité a beaucoup évolué, nous devons penser différemment. Les solutions “traditionnelles” sont encore nécessaires, mais ne sont plus suffisantes. Les attaquants ont évolué. Nous devons évoluer nous aussi. © Cusin Sécurité Inc., 2014. Tous droits réservés.
  37. 37. Cusin Sécurité Inc. | Michel Cusin |418 431-9932| michel@cusin.ca | cusin.ca © Cusin Sécurité Inc., 2014. Tous droits réservés. Questions?

×