Comment les administrateurs de
systèmes peuvent-ils détecter les
     pirates informatiques?




         © 2010 Michel Cu...
Mise en contexte
Pourquoi perdons-nous la bataille?
• Les attaquants ont un net avantage sur nous:
   o Ils ne suivent auc...
Heartland

•   Conforme à la norme PCI
•   Plus de 130 millions de cartes de crédit compromises
•   Averti par les compagn...
Exemple de logiciel malveillant
         (Conficker)
• Ver dévastateur ayant infecté au-delà de 15M de machines
• Infectio...
Donc…

• Nous sommes à la remorque des attaquants (désavantage)

• La conformité quoi que nécessaire, donne parfois un fau...
Objectifs de la présentation
• Découvrir des outils et les techniques afin de mieux
  connaître nos systèmes
  o C’est le ...
Ce qu’une architecture de
          sécurité n’est pas
• Un diagramme réseau
• Une solution “universelle” réplicable parto...
Ce qu’une architecture de
       sécurité devrait être
• Structure ou organisation des éléments d’un ensemble
  complexe.
...
Vous devez connaître votre réseau

• La sécurité se concentre trop souvent sur ce qui est
  “mauvais”
• Nous devons nous c...
Si vous n’en avez pas besoin…
          Désactivez-le!
• Plusieurs organisations se font “hacker” via des applications
  o...
La sécurité en plusieurs couches
      = sécurité en profondeur
• Plusieurs croient que le fait d’avoir des IDS, IPS, FW, ...
Sécurité en profondeur

• La sécurité en profondeur ne réside pas dans le fait d’avoir
  plusieurs technologies différente...
Segmentation

• Un facteur clé d’une défense en profondeur est la
  segmentation réseau
• Le réseau tout entier n’est pas ...
Durcissement de système
        (System Hardening)
• Les guides - Utilisez ce qui convient le plus à votre
  environnement...
Référence de base des systèmes
      (System Baselines)
• Ce qu’il peut être utile de savoir
  o Performance matérielle (H...
Ce que vous ne savez pas
       peut être dangereux
• Le vecteur d’attaque le plus utilisé dans votre
  environnement est ...
Savoir ce qui est normal
       Windows, Unix, Linux
• Quand un problème survient, il faut être prêt!
• Les références de ...
Chercher ce qui est inhabituel
          Windows – Cheat Sheet
•   Commandes simple “C:>taskmgr.exe” ou “C:>tasklist”
•   ...
Chercher ce qui est inhabituel
      Windows – Cheat Sheet
• net view -> Voir le réseau
• net session -> Voir les sessions...
Chercher ce qui est inhabituel
    Windows – Cheat Sheet
• msconfig




             © 2010 Michel Cusin & SANS   20
Chercher ce qui est inhabituel
        Unix, Linux – Cheat Sheet
•   ps -aux -> Liste les processus
•   lsof –p [pid] -> L...
Gestion des incidents
              (six étapes)
• Un Incident constitue une déviation de la norme
• Les six étapes du pro...
Surveillance
                   (Monitoring)
• Le but de la surveillance est de détecter ce qui constitue
  une déviation ...
Trafic réseau

• Tcpdump / windump
• Snort – IDS gratuit
• Ntop
  o Interface Web – très graphique
  o Comme “top” pour le...
Nagios

• Gratuit – Logiciel libre
• Configuration simple via des scripts
  o Plugins (services, utilisateurs, disques, pr...
© 2010 Michel Cusin & SANS   26
Intégrité des fichiers

• Plusieurs attaques modifient des fichiers systèmes
  critiques
• Les signatures uniques générées...
Quelques exemples d’outils pour
  vérifier l’intégrité des fichiers
• Tripwire
  o Produit commercial
  o Windows, Linux, ...
Fichiers ayant été modifiés




© 2010 Michel Cusin & SANS             29
OSSIM
    Open Source Security Information Management

•   Relie Snort (IDS) et Nessus (Analyse de vulnérabilités)
•   Osi...
© 2010 Michel Cusin & SANS   31
Conclusion

• Une architecture c’est plus que juste un design
• C’est un design et les processus le supportant
• Avoir des...
Formation - SANS

• SANS Security 564 - Hacker Detection for System Administrator
  “Détection de pirates informatiques po...
Prochain SlideShare
Chargement dans…5
×

Comment les administrateurs de systèmes peuvent ils détecter les pirates informatiques

2 742 vues

Publié le

Publié dans : Business
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
2 742
Sur SlideShare
0
Issues des intégrations
0
Intégrations
634
Actions
Partages
0
Téléchargements
88
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Comment les administrateurs de systèmes peuvent ils détecter les pirates informatiques

  1. 1. Comment les administrateurs de systèmes peuvent-ils détecter les pirates informatiques? © 2010 Michel Cusin & SANS 1
  2. 2. Mise en contexte Pourquoi perdons-nous la bataille? • Les attaquants ont un net avantage sur nous: o Ils ne suivent aucunes règles o Nous oui… o Ils ont une structure d’apprentissage différente o Ils ont très peu ou aucun scrupule • Plusieurs personnes croient que: conformité = sécurité o C’est faux! o Conformité et réglementation = Lignes directrices o Ils sont une série d’objectifs • Souvent, nous n'avons pas le temps de «connaître» nos réseaux et systèmes © 2010 Michel Cusin & SANS 2
  3. 3. Heartland • Conforme à la norme PCI • Plus de 130 millions de cartes de crédit compromises • Averti par les compagnies de cartes de crédit • Les pirates avaient des accès persistants à long terme • Attaque possiblement via un point d’accès sans fil ouvert • Conforme à la norme PCI !!! • Actions en justice © 2010 Michel Cusin & SANS 3
  4. 4. Exemple de logiciel malveillant (Conficker) • Ver dévastateur ayant infecté au-delà de 15M de machines • Infection via MS08_067 (partage de fichiers et médias amovibles) o Microsoft a désactivé la fonction “autorun” • Système de défense très efficace o Tente de désactiver l’AV à chaque seconde o Bloque certaines requête DNS o Désactive la mise à jour automatique o Désactive le “safe mode” • Capacité de se mettre à jour • Utilise du chiffrement pour se cacher • De plus en plus sofistiqué © 2010 Michel Cusin & SANS 4
  5. 5. Donc… • Nous sommes à la remorque des attaquants (désavantage) • La conformité quoi que nécessaire, donne parfois un faux sentiment de sécurité • Les “malware” sont de plus en plus efficace et sophistiqué • Mais que pouvons-nous faire !? © 2010 Michel Cusin & SANS 5
  6. 6. Objectifs de la présentation • Découvrir des outils et les techniques afin de mieux connaître nos systèmes o C’est le but de la sécurité o C’est aussi très difficile à faire • Vous aider à comprendre le point de vue de votre équipe de sécurité o Souvent, ils n’ont aucune idée o Vous pouvez les “aider” • Vous préparer à survivre aux audits et “test” de sécurité • Vous apprendre quelques bons trucs qui vous aideront dans vos tâches quotidiennes • Vous faire peur! © 2010 Michel Cusin & SANS 6
  7. 7. Ce qu’une architecture de sécurité n’est pas • Un diagramme réseau • Une solution “universelle” réplicable partout (cookie cutter) • Une collection de dispositifs de sécurité o Détection d’intrusion (IDS, IPS) o Coupe-feu (Firewall) o Antivirus • Quelque chose pour contenir une menace spécifique • Article intéressant de Bruce Schneier sur le sujet http://www.schneier.com/blog/archives/2006/10/architecture_an.html © 2010 Michel Cusin & SANS 7
  8. 8. Ce qu’une architecture de sécurité devrait être • Structure ou organisation des éléments d’un ensemble complexe. • Un processus supportant les objectifs organisationnels • Un processus orienté vers la compréhension et la visibilité • Un processus qui oriente la conception • Non basé sur un produit ou à un manufacturier spécifique © 2010 Michel Cusin & SANS 8
  9. 9. Vous devez connaître votre réseau • La sécurité se concentre trop souvent sur ce qui est “mauvais” • Nous devons nous concentrer sur ce qui est normal et sur ce qui ne l’est pas • Comment pouvons-nous identifier ce qui est anormal si nous ne savons pas ce qui est normal? • Quelques questions simples: o Quels services sont requis? o Quel trafic est généré à partir de mes systèmes? o Ou mes utilisateurs vont-ils sur Internet? © 2010 Michel Cusin & SANS 9
  10. 10. Si vous n’en avez pas besoin… Désactivez-le! • Plusieurs organisations se font “hacker” via des applications ou des services dont ils ne connaissaient pas l’existence o Serveur Web clandestin (rogue) o Serveur FTP anonyme o Serveur Windows 2000 clandestin et/ou pas à jour • Le tout s’applique également aux applications côté client o Quicktime o Adobe Acrobat o Word, Excel, etc… © 2010 Michel Cusin & SANS 10
  11. 11. La sécurité en plusieurs couches = sécurité en profondeur • Plusieurs croient que le fait d’avoir des IDS, IPS, FW, AV procure ou constitue une sécurité en profondeur • C’est faux! • C’est plutôt ce que nous appelons une sécurité de type “poteau de métal” o “J’espère que l’attaque sera bloquée par le poteau de métal“ • Tout dispositif de sécurité est contournable (et le sera!) o IDS – Utilisation de SSL o IPS – Fragmentation et encodage o AV – UPX, Metasploit o FW – Contournement à l’aide netcat © 2010 Michel Cusin & SANS 11
  12. 12. Sécurité en profondeur • La sécurité en profondeur ne réside pas dans le fait d’avoir plusieurs technologies différentes, mais plutôt dans l’inter- relation et dans la complémentarité qu’elles ont entre elles • Un point de défaillance ne devrait pas permettre que le réseau soit compromis en entier • Par exemple: o Le routeur ne permet que les ports 80, 443, 22 o Le coupe-feu ne permet que les mêmes ports et génère une alerte pour tous les autres ports o Le IDS vérifie pour les attaques dans le trafic (80, 443, 22) et aussi pour autre trafic © 2010 Michel Cusin & SANS 12
  13. 13. Segmentation • Un facteur clé d’une défense en profondeur est la segmentation réseau • Le réseau tout entier n’est pas nécessairement compromis si une portion ou une composante l’est • Posez-vous les questions suivantes o Est-ce que les postes de travail doivent absolument se parler entre eux? o Est-ce que vos systèmes de gestion doivent être accessibles aux utilisateurs? o Est-ce que le protocole STP doit être diffusé sur tous les ports des commutateurs? -> www.yersinia.net © 2010 Michel Cusin & SANS 13
  14. 14. Durcissement de système (System Hardening) • Les guides - Utilisez ce qui convient le plus à votre environnement o The Center For Internet Security (CIS) o The National Security Agency (NSA) o The Defense Information Systems Agency (DISA) o National Institute of Standards and Technology (NIST) • Bastille Linux (~30 paramètres) o Désactivation SUID (programmes, mount, etc…) o Restriction d’accès distant (root, tty, etc…) o Désactivation de protocoles (r, telnet, FTP, etc…) o Désinstallation du compilateur (GCC) © 2010 Michel Cusin & SANS 14
  15. 15. Référence de base des systèmes (System Baselines) • Ce qu’il peut être utile de savoir o Performance matérielle (Hardware) o Utilisateurs et groupes o Logiciels (installation/configuration) o Paramètres et réglages de sécurité o Membre – Domaine / Groupe de travail (workgroup) o Partages © 2010 Michel Cusin & SANS 15
  16. 16. Ce que vous ne savez pas peut être dangereux • Le vecteur d’attaque le plus utilisé dans votre environnement est le fureteur Web o Où sont les journaux de votre fureteur? o À quoi ressemble une attaque? o Comment les IDS réussiraient-ils à intercepter une attaque sur du trafic SSL? • Parfois notre sécurité technologique nous rend aveugles o Avez-vous un IDS? o Utilisez-vous SSL? o Est-ce que votre IDS déchiffre le trafic SSL? o Avez-vous une zone non couverte (blind spot)? © 2010 Michel Cusin & SANS 16
  17. 17. Savoir ce qui est normal Windows, Unix, Linux • Quand un problème survient, il faut être prêt! • Les références de bases ne servent pas uniquement à rendre les gens de sécurité heureux o Impressionnent les auditeurs o Aident grandement lors du diagnostique de problème o Peuvent permettre certaines automatisations o Permettent d’effectuer une surveillance proactive • Comprendre ce qui est normal permet de se concentrer sur les “zones de problèmes”. © 2010 Michel Cusin & SANS 17
  18. 18. Chercher ce qui est inhabituel Windows – Cheat Sheet • Commandes simple “C:>taskmgr.exe” ou “C:>tasklist” • wmic process list full -> Référence de base des systèmes • services.exe – Invoque le panneau de contrôle des services • net start – Liste les services démarrés ou “sc query | more” • dir c: - Chercher les gros fichiers (ex:15MB+) • Clés de registre -> C:reg query o HKLMSoftwareMicrosoftWindowsCurrentVersionRun o HKLMSoftwareMicrosoftWindowsCurrentVersionRunonce o HKLMSoftwareMicrosoftWindowsCurrentVersionRunonceEx © 2010 Michel Cusin & SANS 18
  19. 19. Chercher ce qui est inhabituel Windows – Cheat Sheet • net view -> Voir le réseau • net session -> Voir les sessions ouvertes vers votre système • net use -> Voir les sessions ouvertes de votre système • nbtstat -> Voir les sessions NetBIOS over TCP/IP • netstat –nao 5 -> Affiche les ports TCP et UDP & PID (5 sec) • netsh firewall show config o netsh firewall set opmode disable • schtasks – Affiche les tâches cédulées © 2010 Michel Cusin & SANS 19
  20. 20. Chercher ce qui est inhabituel Windows – Cheat Sheet • msconfig © 2010 Michel Cusin & SANS 20
  21. 21. Chercher ce qui est inhabituel Unix, Linux – Cheat Sheet • ps -aux -> Liste les processus • lsof –p [pid] -> Liste les fichiers ouverts basé sur leur PID • find / -uid 0 –perm -4000 -print -> Fichiers avec SUID 0 • find / -size +10000k –print -> Trouve des fichiers de taille X • find / -name “ “ –print -> Trouve les fichiers avec les noms: • (“...”, “..”, “.” et “ “) • ip link | grep PROMISC -> Indication d’un “sniffer” • “lsof –i” et “netstat –nap” -> Liste les ports ouverts • arp –a -> Liste les associations des adresses MAC et IP • grep :0: /etc/passwd -> Liste les comptes avec le UID 0 © 2010 Michel Cusin & SANS 21
  22. 22. Gestion des incidents (six étapes) • Un Incident constitue une déviation de la norme • Les six étapes du processus de gestion des incidents o 1) Péparation o 2) Identification o 3) Contenir o 4) Éradiquer o 5) Recouvrement o 6) Leçon apprise © 2010 Michel Cusin & SANS 22
  23. 23. Surveillance (Monitoring) • Le but de la surveillance est de détecter ce qui constitue une déviation de la norme o Principe qui s’applique à la sécurité o S’applique également aux opérations o Syslogs • Les solutions “plug-and-play” ça n’existe pas o Elles doivent être ajustées o Il n’y a pas deux environnements identiques • Il ne s’agit pas d’une question de sécurité uniquement • Requis pour la plupart (ou tous) les standards d’audits © 2010 Michel Cusin & SANS 23
  24. 24. Trafic réseau • Tcpdump / windump • Snort – IDS gratuit • Ntop o Interface Web – très graphique o Comme “top” pour le trafic réseau • Wireshark o Sniffer et analyseur de protocoles o Supporte ~500 protocoles o Option “Follow TCP Stream” et plus… o Utilisation facile des filtres • Many times we don't have time to "know" our networks and systems © 2010 Michel Cusin & SANS 24
  25. 25. Nagios • Gratuit – Logiciel libre • Configuration simple via des scripts o Plugins (services, utilisateurs, disques, proc, mémoire) o Alertes (courriel, pagette, signaux de fumée ;-) o Grande variété de plugins pour plus de possibilités © 2010 Michel Cusin & SANS 25
  26. 26. © 2010 Michel Cusin & SANS 26
  27. 27. Intégrité des fichiers • Plusieurs attaques modifient des fichiers systèmes critiques • Les signatures uniques générées par des outils comme AIDE et Tripwire sont modifiées • Parfois difficile de cibler exactement ce qui a été modifié • Les fichiers modifiés constituent un indice • Les références de base des systèmes prennent alors toute leur importance © 2010 Michel Cusin & SANS 27
  28. 28. Quelques exemples d’outils pour vérifier l’intégrité des fichiers • Tripwire o Produit commercial o Windows, Linux, Solaris • AIDE (Advanced Intrusion Detection Environment) o Gratuit (en replacement de Tripwire) o Versions modernes de *NIX • OSSEC (Open Source Security) o Gratuit o Windows et Linux © 2010 Michel Cusin & SANS 28
  29. 29. Fichiers ayant été modifiés © 2010 Michel Cusin & SANS 29
  30. 30. OSSIM Open Source Security Information Management • Relie Snort (IDS) et Nessus (Analyse de vulnérabilités) • Osiris (HIDS) • Intégration avec OSSEC • Très orienté vers la détection des anomalies o SPADE – Plugin d’anomalies réseau pour Snort o NTOP – Historique d’utilisation réseau o Algorithme de détection d’anomalie probable © 2010 Michel Cusin & SANS 30
  31. 31. © 2010 Michel Cusin & SANS 31
  32. 32. Conclusion • Une architecture c’est plus que juste un design • C’est un design et les processus le supportant • Avoir des références pour nos systèmes et savoir ce qui est normal est essentiel • Plusieurs outils puissants sont disponibles pour les administrateurs systèmes Utilisez les !!! • Connaissez votre environnement • Le pire temps pour se pratiquer est durant un incident • Les outils ne sont que des outils. La sécurité repose sur des gens et non sur des technologies. © 2010 Michel Cusin & SANS 32
  33. 33. Formation - SANS • SANS Security 564 - Hacker Detection for System Administrator “Détection de pirates informatiques pour administrateurs de systèmes” • Montréal 19 – 20 mai 2010 • Québec 16 – 17 juin 2010 • Info: http://cusin.ca ou michel@cusin.ca © 2010 Michel Cusin & SANS 33

×