Quelles limites pourles applications de eBanking? (Avez-vous peur des fantômes?)         présentation pour APPSEC         ...
Avez-vous peur des fantômes?                                               Fantômes ETHiques sur SF1                      ...
ETH(ical) Hacking sur SF1                            Impossible de                            dissocier les               ...
L’ETH(ical) MITC = Man Inside The Computer 27.10.2011    Application Security Forum - Western Switzerland - 2011   4
Seule, la victime peut confirmer la transaction                           Confirmation? 27.10.2011     Application Securit...
Avez-vous peur des fantômes?                                               Fantômes ETHiques sur SF1                      ...
L’infection par «troyens» est une réalitéSelon Microsoft, 5% des PC Windows sont infectés(source «Safety Scanner», May 201...
Au début, il y a eu le MITM (Man In The Middle)…    2006                     MITM                     • site intermédiaire...
… puis le MITB (Malware In the Browser)…    2007                                        MITB                              ...
… puis le MI (Malware Inside)    2009                                                      MI                             ...
L’efficacité de Zeus et SpyEye en chiffres   – 2009: 1.5 Millions de Spam d’infection vers facebook   – Juin 2009: 74’000 ...
Le eBanking n’est pas la seule cible                                                              D’autres sites web peuve...
Le eBanking n’est pas la seule cible                                                                                      ...
Le eBanking n’est pas la seule cible                                                                         Les copies d’...
Le eBanking n’est pas la seule cible              … et les connexions ftp 27.10.2011               Application Security Fo...
Avez-vous peur des fantômes?                                               Fantômes ETHiques sur SF1                      ...
MI = Man (ou Malware) Inside 27.10.2011   Application Security Forum - Western Switzerland - 2011   17
Une transaction dans un formulaire 27.10.2011   Application Security Forum - Western Switzerland - 2011   18
La transaction détournée par le MI                                                                What You Sign           ...
Ce qui devrait se passer…                                Memory              GUI                                          ...
Ce qui se passe!                                Memory              GUI                                                   ...
Ce qui devrait se passer…                                Memory              GUI                                          ...
Ce qui se passe!                                Memory              GUI                                                   ...
Zeus contrôle le browser par injection                        Le malware                        contrôle le PC            ...
… et pas que le browser                                                                           Firefox                 ...
Avez-vous peur des fantômes?                                               Fantômes ETHiques sur SF1                      ...
Une conception très « professionnelle »             Injection             Je suis:                                   • Mul...
Il n’est pas toujours facile de les trouver Propriétés d’un Rootkit:   La furtivité        – Stabilité        – Pas de tra...
Ils peuvent se manifester à tout moment  Vue du disque                                                 Vue globale 27.10.2...
Exemple: Bootkit        Vue du disque                                                 Vue globale                         ...
Et n’importe où!  Le système travaille avec une représentation virtuelle du hardware sur lequel il  est exécuté  Les progr...
Exemple: DKOM     Les processus sont     représentés en mémoire par     une structure (EPROCESS)     DKOM peut, par exempl...
Et si on les combinait ?      Malware exécuté avant le système      d’exploitation      Le système peut être démarré avec ...
Avez-vous peur des fantômes?                                               Fantômes ETHiques sur SF1                      ...
DémonstrationToken USB :    –    Lecteur de carte à puce intégré    –    Authentification mutuelle    –    Système de mise...
Tunnel entre les 2 browsers MS API?                                 safeBrowser     Browser du PC                         ...
Tunnel entre les 2 browsers MS API?                                 safeBrowser     Browser du PC                         ...
Avez-vous peur des fantômes?                                               Fantômes ETHiques sur SF1                      ...
Une pincée de «Social Engineering» en plusOn peut faire faire ce qu’on veut si on contrôle la vision de l’internaute  27.1...
ZITMO = Zeus + “Social Engineering”                                   (SPITMO avec SpyEye)2008: OWASP recommande le SMS   ...
Revenons aux conclusions de l’ETH(ical) hacking                             Impossible de                             diss...
Ce cas est-il à l’abris du «Social Engineering»?                               !?              GC5 6 NN 7W               4...
Probablement pas…                      What You Sign                      Is                      What You See          Le...
WYSIWYS or not WYSIWYSThat is the Question   27.10.2011          Application Security Forum - Western Switzerland - 2011  ...
… des questions?                                                    Pour nous contacter:                          Sébastie...
Explications de la démo - Architecture 27.10.2011   Application Security Forum - Western Switzerland - 2011   46
Exemple: SpyEye      SpyEye est une boîte à outils        – Avec un kit de génération de chevaux de Troie        – Et une ...
Ce qui devrait se passer…                                    SafeBrowser        Firefox du PC 27.10.2011             Appli...
Prochain SlideShare
Chargement dans…5
×

ASFWS 2011 - Malware: quelles limites pour les applications ebanking?

897 vues

Publié le

Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Switzerland)
Speakers: Jean-Marc Bost et Sébastien Bischof

Publié dans : Technologie
1 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
897
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
28
Commentaires
1
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

ASFWS 2011 - Malware: quelles limites pour les applications ebanking?

  1. 1. Quelles limites pourles applications de eBanking? (Avez-vous peur des fantômes?) présentation pour APPSEC Sébastien Bischof Jean-Marc Bost 27.10.2011 Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les-Bains http://appsec-forum.ch
  2. 2. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser27.10.2011 Application Security Forum - Western Switzerland - 2011 2
  3. 3. ETH(ical) Hacking sur SF1 Impossible de dissocier les données de la transaction et l’OTP! GC5 6 NN 7W 4 EZ 7 8 9 Selon la déclaration de spécialistes de l’EPF sur la sécurité de ****** e-banking: "Le système de ****** avec son lecteur de carte est à considérer comme sûr, parce qu’il exige une confirmation de transaction pour effectuer un virement vers un compte inconnu." 27.10.2011 Application Security Forum - Western Switzerland - 2011 3
  4. 4. L’ETH(ical) MITC = Man Inside The Computer 27.10.2011 Application Security Forum - Western Switzerland - 2011 4
  5. 5. Seule, la victime peut confirmer la transaction Confirmation? 27.10.2011 Application Security Forum - Western Switzerland - 2011 5
  6. 6. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser27.10.2011 Application Security Forum - Western Switzerland - 2011 6
  7. 7. L’infection par «troyens» est une réalitéSelon Microsoft, 5% des PC Windows sont infectés(source «Safety Scanner», May 2011)Au moins 25%, selon Pandalab, avec une majorité de Troyens(source «ActiveScan», Q2 2011) La Suisse affiche le 2ème taux d’infection le plus bas… … mais à presque 30% Le troyen est plébiscité par les hackers “42 new malware strains created every minute» 27.10.2011 Application Security Forum - Western Switzerland - 2011 7
  8. 8. Au début, il y a eu le MITM (Man In The Middle)… 2006 MITM • site intermédiaire • pollution DNS • etc … 2007 27.10.2011 Application Security Forum - Western Switzerland - 2011 8
  9. 9. … puis le MITB (Malware In the Browser)… 2007 MITB • Anserin • Mebroot • Silentbanker 2008 27.10.2011 Application Security Forum - Western Switzerland - 2011 9
  10. 10. … puis le MI (Malware Inside) 2009 MI • Zeus • Ares • SpyEye 2011 27.10.2011 Application Security Forum - Western Switzerland - 2011 10
  11. 11. L’efficacité de Zeus et SpyEye en chiffres – 2009: 1.5 Millions de Spam d’infection vers facebook – Juin 2009: 74’000 comptes FTP détournés par Zeus – 2010: au moins 6 millions de £ on été détournées par un gang de 19 personnes en Angleterre – Oct. 2010: 70 millions US $ par Zeus – 3.6 millions de PC infectés aux USA par Zeus – 2011: 3,2 millions US $ détournés par un jeune russe en 6 mois avec Zeus et SpyEye 27.10.2011 Application Security Forum - Western Switzerland - 2011 11
  12. 12. Le eBanking n’est pas la seule cible D’autres sites web peuvent faire l’objet de vols de: - mots de passe - adresses emails - cookies - cartes de crédit - … et même sans les cibler! 27.10.2011 Application Security Forum - Western Switzerland - 2011 12
  13. 13. Le eBanking n’est pas la seule cible Facebook Google mail Jeu en ligne Microsoft Hot mail Windows live McAfee 27.10.2011 Application Security Forum - Western Switzerland - 2011 13
  14. 14. Le eBanking n’est pas la seule cible Les copies d’écran et même les captures vidéos permettent de : - espionner les claviers virtuels - se tenir au courant des modifications - espionner la vie privée - … toujours sans cibler un site particulier! 27.10.2011 Application Security Forum - Western Switzerland - 2011 14
  15. 15. Le eBanking n’est pas la seule cible … et les connexions ftp 27.10.2011 Application Security Forum - Western Switzerland - 2011 15
  16. 16. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser27.10.2011 Application Security Forum - Western Switzerland - 2011 16
  17. 17. MI = Man (ou Malware) Inside 27.10.2011 Application Security Forum - Western Switzerland - 2011 17
  18. 18. Une transaction dans un formulaire 27.10.2011 Application Security Forum - Western Switzerland - 2011 18
  19. 19. La transaction détournée par le MI What You Sign Is Not-) What You See ? 456 FRA 666 666 Merci, parfait pour ma transaction! -) 27.10.2011 Application Security Forum - Western Switzerland - 2011 19
  20. 20. Ce qui devrait se passer… Memory GUI POST CPT0123456789 TCP9876543210 5000 27.10.2011 Application Security Forum - Western Switzerland - 2011 20
  21. 21. Ce qui se passe! Memory GUI POST CPT0123456789 456FRA666666 5000 27.10.2011 Application Security Forum - Western Switzerland - 2011 21
  22. 22. Ce qui devrait se passer… Memory GUI FORM CPT0123456789 456FRA666666 5000 27.10.2011 Application Security Forum - Western Switzerland - 2011 22
  23. 23. Ce qui se passe! Memory GUI FORM CPT0123456789 456FRA666666 5000 27.10.2011 Application Security Forum - Western Switzerland - 2011 23
  24. 24. Zeus contrôle le browser par injection Le malware contrôle le PC requête DLL réponse MI DLL 27.10.2011 Application Security Forum - Western Switzerland - 2011 24
  25. 25. … et pas que le browser Firefox Firefox crash reporter Mise à jour Java 27.10.2011 Application Security Forum - Western Switzerland - 2011 25
  26. 26. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser27.10.2011 Application Security Forum - Western Switzerland - 2011 26
  27. 27. Une conception très « professionnelle » Injection Je suis: • Multifonctions • Configurable Commander & Controller • Evolutif • Furtif • RésilientCollection Configuration Le taux de détection de SpyEye par les antivirus de 25% [abuse.ch] VictimeMaintenance 27.10.2011 Application Security Forum - Western Switzerland - 2011 27
  28. 28. Il n’est pas toujours facile de les trouver Propriétés d’un Rootkit: La furtivité – Stabilité – Pas de traces La persistance pour survivre aux redémarrages La prise de contrôle d’un ordinateur Peut cacher ses canaux de communication 27.10.2011 Application Security Forum - Western Switzerland - 2011 28
  29. 29. Ils peuvent se manifester à tout moment Vue du disque Vue globale 27.10.2011 Application Security Forum - Western Switzerland - 2011 29
  30. 30. Exemple: Bootkit Vue du disque Vue globale Il existe des utilitaires pour flasher le bios depuis un système en cours d’exécution Altération 27.10.2011 Application Security Forum - Western Switzerland - 2011 30
  31. 31. Et n’importe où! Le système travaille avec une représentation virtuelle du hardware sur lequel il est exécuté Les programmes exécutés se fient aux informations que leur donne le système. Vision du système Représentation en mémoire Process1 Process2 Process Réalité physique Et si l’on changeait la vision du système ? 27.10.2011 Application Security Forum - Western Switzerland - 2011 31
  32. 32. Exemple: DKOM Les processus sont représentés en mémoire par une structure (EPROCESS) DKOM peut, par exemple, cacher un processus de cette liste Process1 Process2 Process (idem pour les autres ressources système)27.10.2011 Application Security Forum - Western Switzerland - 2011 32
  33. 33. Et si on les combinait ? Malware exécuté avant le système d’exploitation Le système peut être démarré avec le plus bas niveau de sécurité Les routines malicieuses sont démarrées avant le système Le malware contrôle la vision du système Difficile à détecter et à s’en débarrasser Le système est littéralement hanté 27.10.2011 Application Security Forum - Western Switzerland - 2011 33
  34. 34. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser27.10.2011 Application Security Forum - Western Switzerland - 2011 34
  35. 35. DémonstrationToken USB : – Lecteur de carte à puce intégré – Authentification mutuelle – Système de mises à jour – …+ browser intégré (safeBrowser): – Évite les injections « à la Zeus » en fournissant ses propres librairies – Empêche l’exécution du browser normal et des librairies système correspondantesMais… 27.10.2011 Application Security Forum - Western Switzerland - 2011 35
  36. 36. Tunnel entre les 2 browsers MS API? safeBrowser Browser du PC FORM CPT0123456789 456FRA666666 5000 Parsing output remoteThread 27.10.2011 Application Security Forum - Western Switzerland - 2011 36
  37. 37. Tunnel entre les 2 browsers MS API? safeBrowser Browser du PC POST CPT0123456789 456FRA666666 5000 Windows API remoteThread 27.10.2011 Application Security Forum - Western Switzerland - 2011 37
  38. 38. Avez-vous peur des fantômes? Fantômes ETHiques sur SF1 Ils existent en vrai Mais ils sont invisibles Même pour « Ghostbusters » La preuve Ils peuvent vous hypnotiser27.10.2011 Application Security Forum - Western Switzerland - 2011 38
  39. 39. Une pincée de «Social Engineering» en plusOn peut faire faire ce qu’on veut si on contrôle la vision de l’internaute 27.10.2011 Application Security Forum - Western Switzerland - 2011 39
  40. 40. ZITMO = Zeus + “Social Engineering” (SPITMO avec SpyEye)2008: OWASP recommande le SMS …the use of a second factor such as a mobile phone is an excellent low cost alternative… …is actually stronger than most two factor authentication fobs… …a single weakness in this model - mobile phone registration and updating2010: Zeus attaque le SMS #2 Origine incertaine #3 #1 Texte en Numéro clair publique 27.10.2011 Application Security Forum - Western Switzerland - 2011 40
  41. 41. Revenons aux conclusions de l’ETH(ical) hacking Impossible de dissocier les données de la transaction et l’OTP! GC5 6 NN 7W 4 EZ 7 8 9 « Selon la déclaration de spécialistes de l’EPF sur la sécurité de ****** e-banking: "Le système de ****** avec son lecteur de carte est à considérer comme sûr, parce qu’il exige une confirmation de transaction pour effectuer un virement vers un compte inconnu." » 27.10.2011 Application Security Forum - Western Switzerland - 2011 41
  42. 42. Ce cas est-il à l’abris du «Social Engineering»? !? GC5 6 NN 7W 4 EZ 7 8 9 « Ne répondez en aucun cas à une demande de confirmation d’une série de numéros ou de signes – même si la demande semble provenir de ****** » 27.10.2011 Application Security Forum - Western Switzerland - 2011 42
  43. 43. Probablement pas… What You Sign Is What You See Le compte à créditer est enregistré sous la But… référence 456 FRA 666 666 par la banque du destinataire. Nous vous prions de rentrer les 6 derniers chiffres de ce numéro de référence dans votre calculette puis de rentrer le code de sécurité que vous obtenez ci-dessous pour définitivement valider votre transaction.« Ne répondez en aucun cas à une demande de confirmation d’une série denuméros ou de signes – même si la demande semble provenir de ****** » 27.10.2011 Application Security Forum - Western Switzerland - 2011 43
  44. 44. WYSIWYS or not WYSIWYSThat is the Question 27.10.2011 Application Security Forum - Western Switzerland - 2011 44
  45. 45. … des questions? Pour nous contacter: Sébastien Bischof Jean-Marc Bost sebastien.bischof@elca.ch Jean-marc.bost@elca.chLausanne I Zürich I Bern I Genf I London I Paris I Ho Chi Minh City Lausanne I Zürich I Bern I Genf I London I Paris I Ho Chi Minh City SLIDES A TELECHARGER PROCHAINEMENT: http://slideshare.net/ASF-WS
  46. 46. Explications de la démo - Architecture 27.10.2011 Application Security Forum - Western Switzerland - 2011 46
  47. 47. Exemple: SpyEye SpyEye est une boîte à outils – Avec un kit de génération de chevaux de Troie – Et une interface de contrôle Web Mais il utilise aussi des mécanismes de rootkit. • Pour se cacher – Il cache ses fichiers en altérant les fonctions du système • Pour persister – Il ajoute une entrée dans le registre Le taux de détection de SpyEye par les antivirus de 25% selon www.abuse.ch 27.10.2011 Application Security Forum - Western Switzerland - 2011 47
  48. 48. Ce qui devrait se passer… SafeBrowser Firefox du PC 27.10.2011 Application Security Forum - Western Switzerland - 2011 48

×