Article mc secus_10_10

776 vues

Publié le

Que sont les client-side attacks et en quoi sont-elles différentes?

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
776
Sur SlideShare
0
Issues des intégrations
0
Intégrations
57
Actions
Partages
0
Téléchargements
7
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Article mc secus_10_10

  1. 1. E X PE RTIS E S Que sont les client-side attacks et en quoi sont-elles différentes ? PAR MICHEL CUSIN, architecte de sécurité – Bell Les attaques traditionnelles consistent notamment à trouver des failles de serveurs internes et visibles de l’extérieur (serveurs Web, FTP, SMTP, DNS, etc.). Jusqu’à tout récemment, elles constituaient la majorité des menaces. Les temps changent. ATTAQUES CLASSIQUES Lors d’attaques extérieures, le « Un vrai pirate ne s’arrête jamais au premier système qu’il réussit à pirate trouve d’abord toute l’informa- tion publique disponible sur sa cible en infiltrer. Bien au contraire. Ce premier cherchant sur Internet (adresses IP, pas lui sert souvent de relais pour aller noms de domaine, coordonnées de liens techniques, communiqués de plus loin dans l’infrastructure. » presse, informations diverses sur les coupe-feu, antivirus, mécanismes de détection d’in- forums de discussion et de soutien, trusion et toutes les solutions de sécurité offertes, la etc.). tâche du pirate est devenue plus compliquée et il a Michel Cusin œuvre dans dû s’adapter à sa nouvelle réalité. le domaine de la sécurité Ensuite, il effectue des balayages depuis plus d’une décennie. Il de ports sur les systèmes cibles avec est actuellement architecte en des outils comme Nmap1 afin de déter- NOUVELLES ATTAQUES sécurité de l’information chez miner le système d’exploitation des Comme une grande majorité des attaques du Bell. Dans le passé, il a été côté serveur ne fonctionnent plus, le modèle d’attaque instructeur et consultant en systèmes cibles et de trouver les ports qui sont ouverts sur chacun d’eux. s’est transformé afin de s’orienter vers une nouvelle sécurité (secteurs privés et publics). Il détient des certifi- Puis, vient la phase de balayage façon de faire, soit les attaques du côté client (client- cations telles que CISSP GCIH, des vulnérabilités. Celle-ci se fait à , side attacks). CEH, OPST, ITIL et plusieurs l’aide d’outils comme Nessus2 et a pour Ces dernières utilisent un principe qui rappelle autres relatives à divers un peu celui des chevaux de Troie. Elles exploitent des manufacturiers de solutions but de trouver les failles et vulnérabi- de sécurité. Il collabore avec lités des systèmes ciblés. failles de clients (postes de travail) se trouvant « à le SANS depuis plusieurs Une fois les failles et vulnéra- l’interne » pour éventuellement attaquer le reste de années, notamment à titre bilités découvertes, il faut ensuite l’infrastructure de l’intérieur. de mentor et d’instructeur. Il Elles fournissent aussi généralement une participe également à divers tenter de les exploiter en utilisant événements de sécurité diverses méthodes et outils comme porte dérobée (backdoor) au pirate afin de lui fournir comme conférencier et Core Impact3, Immunity Canvas4 ou un accès permanent au réseau par la suite. organisateur. Metasploit5. Ces outils sont spécialisés Suite en page 31 en exploitation de vulnérabilités. Cette attaque est communément appelée « attaque du côté serveur » (server-side attacks). Le pirate attaque directement les serveurs afin de s’y introduire pour éventuellement réussir à « pivoter » et à attaquer le reste de l’infrastructure réseau à par- tir du serveur initialement compromis. Avec l’utilisation de plus en plus répandue et l’efficacité accrue des systèmes de défense tels que Octobre 2010 SÉCUS | 30 |
  2. 2. Suite de la page 30 « La différence avecfait que ce sont les attaques réside dans le ces nouvelles un fichier exécutable caché à l’intérieur même du document PDF. Or, lorsque l’utilisateur clique sur le fichier PDF pour failles des applications installées sur les l’ouvrir, le système d’exploitation invoque l’application Adobe postes de travail qui sont exploitées, et pas Acrobat Reader (qui est vulnérable) et affiche le contenu du nécessairement celles du système document tout en exécutant, à l’insu de l’utilisateur, le fichier d’exploitation lui-même. » exécutable qui est en fait un logiciel malveillant ayant été caché à l’intérieur du document PDF. Par exemple, un utilisateur clique sur un lien pointant Le fichier exécutable en question peut être n’importe vers un document PDF et télécharge ce dernier. Il l’ouvre sur quoi. Imaginons un instant qu’il s’agisse d’un cheval de Troie son poste de travail, le consulte et le ferme une fois qu’il a ter- (porte dérobée) et que ce dernier ait été spécialement conçu miné. Rien de plus banal. En fait, ce qui s’est réellement pour contourner les antivirus afin de ne pas se faire détecter. passé est plus complexe. Comment est-ce possible ? C’est assez simple. Les antivirus D’abord, il faut faire un retour dans le temps. Au cours ne sont efficaces que s’ils ont une signature pour un logiciel des trois dernières années seulement, plus de trois cents malveillant donné, comme un virus ou un cheval de Troie. Donc, vulnérabilités ont été publiquement rapportées et documen- si le pirate utilise un logiciel permettant de compresser des tées concernant les produits d’Adobe selon le National fichiers exécutables (packer) comme UPX10 ou le module Vulnerability Database6 du National Institute of Standards msfencode de Metasploit pour modifier le cheval de Troie de and Technology (NIST)7. façon à ce que sa signature soit unique, aucun antivirus n’aura Un nombre similaire de vulnérabilités a également été de signature pour le détecter. Afin de s’assurer qu’aucune signa- répertorié par d’autres bases de données du même genre, ture d’antivirus n’existe, le pirate peut télécharger son nouveau comme l’Open Source Vulnerability Database (OSVDB)8. De logiciel malveillant fraîchement encodé sur le site Web ce nombre, plus d’une centaine de ces vulnérabilités sont www.virustotal.com. Ce site l’analysera en se basant sur les reliées au logiciel Acrobat Reader d’Adobe. Certaines de ces signatures de plus d’une quarantaine de manufacturiers vulnérabilités étaient des attaques du jour zéro (Zero Day d’antivirus. Si aucun ne le détecte comme étant malicieux, le Attack9). Ces dernières surviennent lorsqu’un « exploit » tour est joué. (programme permettant d’exploiter une faille de sécurité) Une fois que le cheval de Troie est rendu « indétectable» est disponible avant la protection adéquate. par l’antivirus (même s’il est à jour), il lui sera possible de s’ins- Comme plusieurs de ces vulnérabilités permettent taller sur un poste sans se faire détecter. Il pourra par la suite d’exécuter le « code arbitraire » sur le poste de travail par amorcer une connexion renversée (reverse shell) à partir du l’application, il devient possible d’inclure ou d’imbriquer poste ayant été compromis de l’intérieur vers l’extérieur en Suite en page 32 Octobre 2010 SÉCUS | 31 |
  3. 3. des systèmes d’exploitation, mais également sur le plan des On ne vous promet applications qui sont installées sur les postes de travail. Les vulnérabilités pouvant mener à des attaques du que la tranquillité d’esprit côté client peuvent également découler de vulnérabilités d’applications d’Adobe (Reader, Dreamweaver, Photoshop), de Microsoft (Word, Excel) ou même d’Apple (QuickTime). Si, par exemple, quelqu’un ouvre une vidéo avec l’extension « .mov » à travers un fureteur Internet, peu importe qu’il s’agisse de Firefox, Internet Explorer, Opera, Safari, Chrome ou autre, le fureteur invoquera un logiciel pour la faire jouer, et ce sera fort probablement QuickTime dans le cas présent. Si QuickTime a une vulnérabilité dont le correctif n’a pas été appliqué (ou que ce dernier n’existe tout simplement pas encore comme dans le cas d’un Zero Day Attack), la vidéo qui a spécialement été conçue pour exploiter cette faille pourrait Orientations stratégiques en sécurité de l’information 600, avenue Belvédère, bureau 200 faire en sorte que le poste entier soit compromis. Québec (Québec) G1S 3E5 Il est donc très important d’intégrer l’application des cor- www.agrmpi.ca rectifs de sécurité des applications au même titre que l’applica- tion des rustines du système d’exploitation des postes de tra- vail et des serveurs. Il faut également continuer à sensibiliser Suite de la page 31 les utilisateurs aux bonnes pratiques telles que la prudence destination du poste du pirate en utilisant un port de communi- lorsque vient le temps d’ouvrir un fichier joint ou de cliquer sur cation qui est normalement permis en sortie à travers le coupe- un lien. Il est primordial pour les administrateurs de systèmes feu, comme le port 80 (HTTP) ou le port 443 (HTTPS). Une de bien connaître leur réseau et d’analyser le trafic qui y tran- connexion renversée reverse shell permet au pirate d’exécuter site afin d’être en mesure de déceler toute activité suspecte. sur le poste distant les commandes qu’il tape sur sont propre poste. Cette méthode permet donc de contourner le coupe-feu. De plus, l’utilisation d’un canal chiffré qui passe par le « Celui qui excelle avant qu’elles ne difficultés les résout à résoudre les port 443 (HTTPS) rend les connexions du cheval de Troie très surgissent. Celui qui excelle à vaincre ses difficiles, voire presque impossibles à intercepter et à détecter. ennemis triomphe avant que les menaces Les connexions HTTPS (SSL) ne sont donc pas nécessaire- ment toujours une bonne chose et peuvent parfois créées un de ceux-ci ne se concrétisent. » Sun Tzu, stratège militaire chinois du VIe siècle avant Jésus Christ faux sentiment de sécurité, juste parce qu’elles sont chiffrées. Dans ce scénario, la vulnérabilité qui est exploitée Le savoir, c’est le pouvoir. Les connaissances et l’édu- n’est pas dans le système d’exploitation (Windows, Mac, cation adéquate s’avèrent les meilleures armes contre ces Linux, etc.), mais dans l’application Adobe Acrobat Reader attaques. Le SANS Institute11 propose plusieurs formations qui, soit dit en passant, est multiplateforme. Cela signifie en sécurité. Certaines sont offertes en français au Québec. qu’une attaque pourrait avoir du succès sur plusieurs sys- Pour de plus amples renseignements, visitez le http://cusin.ca. tèmes d’exploitation à la fois. Alors ceux qui se croient à l’abri Lors du CQSI 201012, Michel Cusin présentera «Maîtriser des attaques parce qu’ils utilisent un Mac ou Linux devraient l’art du kung-fu » et fournira des solutions à des probléma- peut-être considérer ce fait dans leur stratégie de défense. tiques similaires à celles de ce texte. C’est donc la vulnérabilité présente dans Adobe Acrobat Reader qui a causé la perte du poste de travail en 1. http://nmap.org/. entier, même si le système d’exploitation et l’antivirus étaient 2. http://www.nessus.org/nessus/. 3. http://www.coresecurity.com/. à jour et n’avait aucune vulnérabilité connue ou exploitable. 4. http://www.immunitysec.com/. 5. http://www.metasploit.com/. QUE FAIRE ? 6. http://nvd.nist.gov/home.cfm. Les attaques du côté serveur sont toujours présentes et 7. http://csrc.nist.gov/. existeront toujours. Il ne faut donc pas baisser la garde en ce 8. http://osvdb.org/. 9. http://fr.wikipedia.org/wiki/Zero_day. qui concerne la protection du périmètre des infrastructures. 10. http://upx.sourceforge.net/. L’application de rustines (patch) est plus importante que 11. http://www.sans.org/security-training.php. jamais. Cependant, elle doit non seulement se faire au niveau 12. http://www.asiq.org/cqsi/. Octobre 2010 SÉCUS | 32 |

×