Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Article mc secus_10_10
1. E X PE RTIS E S
Que sont les client-side attacks
et en quoi sont-elles différentes ?
PAR MICHEL CUSIN,
architecte de sécurité – Bell Les attaques traditionnelles consistent notamment à trouver des failles
de serveurs internes et visibles de l’extérieur (serveurs Web, FTP,
SMTP, DNS, etc.). Jusqu’à tout récemment, elles constituaient la majorité
des menaces. Les temps changent.
ATTAQUES CLASSIQUES
Lors d’attaques extérieures, le « Un vrai pirate ne s’arrête jamais
au premier système qu’il réussit à
pirate trouve d’abord toute l’informa-
tion publique disponible sur sa cible en infiltrer. Bien au contraire. Ce premier
cherchant sur Internet (adresses IP, pas lui sert souvent de relais pour aller
noms de domaine, coordonnées de
liens techniques, communiqués de
plus loin dans l’infrastructure. »
presse, informations diverses sur les coupe-feu, antivirus, mécanismes de détection d’in-
forums de discussion et de soutien, trusion et toutes les solutions de sécurité offertes, la
etc.). tâche du pirate est devenue plus compliquée et il a
Michel Cusin œuvre dans dû s’adapter à sa nouvelle réalité.
le domaine de la sécurité Ensuite, il effectue des balayages
depuis plus d’une décennie. Il de ports sur les systèmes cibles avec
est actuellement architecte en des outils comme Nmap1 afin de déter- NOUVELLES ATTAQUES
sécurité de l’information chez miner le système d’exploitation des Comme une grande majorité des attaques du
Bell. Dans le passé, il a été côté serveur ne fonctionnent plus, le modèle d’attaque
instructeur et consultant en
systèmes cibles et de trouver les ports
qui sont ouverts sur chacun d’eux. s’est transformé afin de s’orienter vers une nouvelle
sécurité (secteurs privés et
publics). Il détient des certifi- Puis, vient la phase de balayage façon de faire, soit les attaques du côté client (client-
cations telles que CISSP GCIH, des vulnérabilités. Celle-ci se fait à
, side attacks).
CEH, OPST, ITIL et plusieurs l’aide d’outils comme Nessus2 et a pour Ces dernières utilisent un principe qui rappelle
autres relatives à divers un peu celui des chevaux de Troie. Elles exploitent des
manufacturiers de solutions but de trouver les failles et vulnérabi-
de sécurité. Il collabore avec lités des systèmes ciblés. failles de clients (postes de travail) se trouvant « à
le SANS depuis plusieurs Une fois les failles et vulnéra- l’interne » pour éventuellement attaquer le reste de
années, notamment à titre bilités découvertes, il faut ensuite l’infrastructure de l’intérieur.
de mentor et d’instructeur. Il Elles fournissent aussi généralement une
participe également à divers tenter de les exploiter en utilisant
événements de sécurité diverses méthodes et outils comme porte dérobée (backdoor) au pirate afin de lui fournir
comme conférencier et Core Impact3, Immunity Canvas4 ou un accès permanent au réseau par la suite.
organisateur. Metasploit5. Ces outils sont spécialisés Suite en page 31
en exploitation de vulnérabilités. Cette
attaque est communément appelée
« attaque du côté serveur » (server-side attacks). Le
pirate attaque directement les serveurs afin de s’y
introduire pour éventuellement réussir à « pivoter »
et à attaquer le reste de l’infrastructure réseau à par-
tir du serveur initialement compromis.
Avec l’utilisation de plus en plus répandue et
l’efficacité accrue des systèmes de défense tels que
Octobre 2010 SÉCUS | 30 |
2. Suite de la page 30
« La différence avecfait que ce sont les
attaques réside dans le
ces nouvelles un fichier exécutable caché à l’intérieur même du document
PDF.
Or, lorsque l’utilisateur clique sur le fichier PDF pour
failles des applications installées sur les l’ouvrir, le système d’exploitation invoque l’application Adobe
postes de travail qui sont exploitées, et pas Acrobat Reader (qui est vulnérable) et affiche le contenu du
nécessairement celles du système document tout en exécutant, à l’insu de l’utilisateur, le fichier
d’exploitation lui-même. » exécutable qui est en fait un logiciel malveillant ayant été
caché à l’intérieur du document PDF.
Par exemple, un utilisateur clique sur un lien pointant Le fichier exécutable en question peut être n’importe
vers un document PDF et télécharge ce dernier. Il l’ouvre sur quoi. Imaginons un instant qu’il s’agisse d’un cheval de Troie
son poste de travail, le consulte et le ferme une fois qu’il a ter- (porte dérobée) et que ce dernier ait été spécialement conçu
miné. Rien de plus banal. En fait, ce qui s’est réellement pour contourner les antivirus afin de ne pas se faire détecter.
passé est plus complexe. Comment est-ce possible ? C’est assez simple. Les antivirus
D’abord, il faut faire un retour dans le temps. Au cours ne sont efficaces que s’ils ont une signature pour un logiciel
des trois dernières années seulement, plus de trois cents malveillant donné, comme un virus ou un cheval de Troie. Donc,
vulnérabilités ont été publiquement rapportées et documen- si le pirate utilise un logiciel permettant de compresser des
tées concernant les produits d’Adobe selon le National fichiers exécutables (packer) comme UPX10 ou le module
Vulnerability Database6 du National Institute of Standards msfencode de Metasploit pour modifier le cheval de Troie de
and Technology (NIST)7. façon à ce que sa signature soit unique, aucun antivirus n’aura
Un nombre similaire de vulnérabilités a également été de signature pour le détecter. Afin de s’assurer qu’aucune signa-
répertorié par d’autres bases de données du même genre, ture d’antivirus n’existe, le pirate peut télécharger son nouveau
comme l’Open Source Vulnerability Database (OSVDB)8. De logiciel malveillant fraîchement encodé sur le site Web
ce nombre, plus d’une centaine de ces vulnérabilités sont www.virustotal.com. Ce site l’analysera en se basant sur les
reliées au logiciel Acrobat Reader d’Adobe. Certaines de ces signatures de plus d’une quarantaine de manufacturiers
vulnérabilités étaient des attaques du jour zéro (Zero Day d’antivirus. Si aucun ne le détecte comme étant malicieux, le
Attack9). Ces dernières surviennent lorsqu’un « exploit » tour est joué.
(programme permettant d’exploiter une faille de sécurité) Une fois que le cheval de Troie est rendu « indétectable»
est disponible avant la protection adéquate. par l’antivirus (même s’il est à jour), il lui sera possible de s’ins-
Comme plusieurs de ces vulnérabilités permettent taller sur un poste sans se faire détecter. Il pourra par la suite
d’exécuter le « code arbitraire » sur le poste de travail par amorcer une connexion renversée (reverse shell) à partir du
l’application, il devient possible d’inclure ou d’imbriquer poste ayant été compromis de l’intérieur vers l’extérieur en
Suite en page 32
Octobre 2010 SÉCUS | 31 |
3. des systèmes d’exploitation, mais également sur le plan des
On ne vous promet applications qui sont installées sur les postes de travail.
Les vulnérabilités pouvant mener à des attaques du
que la tranquillité d’esprit côté client peuvent également découler de vulnérabilités
d’applications d’Adobe (Reader, Dreamweaver, Photoshop),
de Microsoft (Word, Excel) ou même d’Apple (QuickTime). Si,
par exemple, quelqu’un ouvre une vidéo avec l’extension
« .mov » à travers un fureteur Internet, peu importe qu’il
s’agisse de Firefox, Internet Explorer, Opera, Safari, Chrome
ou autre, le fureteur invoquera un logiciel pour la faire jouer, et
ce sera fort probablement QuickTime dans le cas présent. Si
QuickTime a une vulnérabilité dont le correctif n’a pas été
appliqué (ou que ce dernier n’existe tout simplement pas
encore comme dans le cas d’un Zero Day Attack), la vidéo qui
a spécialement été conçue pour exploiter cette faille pourrait
Orientations stratégiques en sécurité de l’information
600, avenue Belvédère, bureau 200 faire en sorte que le poste entier soit compromis.
Québec (Québec) G1S 3E5 Il est donc très important d’intégrer l’application des cor-
www.agrmpi.ca rectifs de sécurité des applications au même titre que l’applica-
tion des rustines du système d’exploitation des postes de tra-
vail et des serveurs. Il faut également continuer à sensibiliser
Suite de la page 31 les utilisateurs aux bonnes pratiques telles que la prudence
destination du poste du pirate en utilisant un port de communi- lorsque vient le temps d’ouvrir un fichier joint ou de cliquer sur
cation qui est normalement permis en sortie à travers le coupe- un lien. Il est primordial pour les administrateurs de systèmes
feu, comme le port 80 (HTTP) ou le port 443 (HTTPS). Une de bien connaître leur réseau et d’analyser le trafic qui y tran-
connexion renversée reverse shell permet au pirate d’exécuter site afin d’être en mesure de déceler toute activité suspecte.
sur le poste distant les commandes qu’il tape sur sont propre
poste. Cette méthode permet donc de contourner le coupe-feu.
De plus, l’utilisation d’un canal chiffré qui passe par le
« Celui qui excelle avant qu’elles ne
difficultés les résout
à résoudre les
port 443 (HTTPS) rend les connexions du cheval de Troie très surgissent. Celui qui excelle à vaincre ses
difficiles, voire presque impossibles à intercepter et à détecter. ennemis triomphe avant que les menaces
Les connexions HTTPS (SSL) ne sont donc pas nécessaire-
ment toujours une bonne chose et peuvent parfois créées un de ceux-ci ne se concrétisent. »
Sun Tzu, stratège militaire chinois du VIe siècle avant Jésus Christ
faux sentiment de sécurité, juste parce qu’elles sont chiffrées.
Dans ce scénario, la vulnérabilité qui est exploitée Le savoir, c’est le pouvoir. Les connaissances et l’édu-
n’est pas dans le système d’exploitation (Windows, Mac, cation adéquate s’avèrent les meilleures armes contre ces
Linux, etc.), mais dans l’application Adobe Acrobat Reader attaques. Le SANS Institute11 propose plusieurs formations
qui, soit dit en passant, est multiplateforme. Cela signifie en sécurité. Certaines sont offertes en français au Québec.
qu’une attaque pourrait avoir du succès sur plusieurs sys- Pour de plus amples renseignements, visitez le http://cusin.ca.
tèmes d’exploitation à la fois. Alors ceux qui se croient à l’abri Lors du CQSI 201012, Michel Cusin présentera «Maîtriser
des attaques parce qu’ils utilisent un Mac ou Linux devraient l’art du kung-fu » et fournira des solutions à des probléma-
peut-être considérer ce fait dans leur stratégie de défense. tiques similaires à celles de ce texte.
C’est donc la vulnérabilité présente dans Adobe
Acrobat Reader qui a causé la perte du poste de travail en 1. http://nmap.org/.
entier, même si le système d’exploitation et l’antivirus étaient 2. http://www.nessus.org/nessus/.
3. http://www.coresecurity.com/.
à jour et n’avait aucune vulnérabilité connue ou exploitable. 4. http://www.immunitysec.com/.
5. http://www.metasploit.com/.
QUE FAIRE ? 6. http://nvd.nist.gov/home.cfm.
Les attaques du côté serveur sont toujours présentes et 7. http://csrc.nist.gov/.
existeront toujours. Il ne faut donc pas baisser la garde en ce 8. http://osvdb.org/.
9. http://fr.wikipedia.org/wiki/Zero_day.
qui concerne la protection du périmètre des infrastructures. 10. http://upx.sourceforge.net/.
L’application de rustines (patch) est plus importante que 11. http://www.sans.org/security-training.php.
jamais. Cependant, elle doit non seulement se faire au niveau 12. http://www.asiq.org/cqsi/.
Octobre 2010 SÉCUS | 32 |