Intrusions et gestion d’incidents          informatique           © 2011 Michel Cusin      1
Agenda•  État de situation•  Qui sont nos adversaires•  Les types d’attaques et leurs cibles•  Les étapes d’une attaque•  ...
État de situation  © 2011 Michel Cusin   3
Quelques cas  Quand              Cible                   Qui                                Quoi 2010 (+)          Wikilea...
Quelques cas (suite)    Quand                   Cible                Qui                              Quoi   Juin 2011    ...
Plus près de chez nous  Quand                Cible                 Qui                                QuoiFévrier 2007    ...
Anonymous© 2011 Michel Cusin   7
LulzSec© 2011 Michel Cusin   8
th3j35t3r (The Jester)     © 2011 Michel Cusin   9
Commander XAccording to a CBS News report, "Commander X" told their reporter thathe had no fear about being caught:"Were n...
Stuxnet•  Ver ciblant Windows         (4 attaques dont 3 zero-day & MS08-067)•  Attaque très spécifique:       •  Windows ...
Récapitulons (ne capitulons pas)Nous ne faisons pas face à des individus, mais à un mouvementqui n’obéit qu’à ses propres ...
Sun TzuJe dis que si tu te connais toi-même et que tu connaiston ennemi, tu n’auras pas à craindre le résultat decent bata...
Qui sont les attaquants•  Script Kiddies•  Pirates professionnels / mercenaires (espions/compétiteurs)  - PotashCorp - En ...
Motivations•  Argent (espionnage, avantage concurrentiel, mercenaire, etc…)•  Notoriété, gloire, réputation, etc…•  Politi...
Les types d’attaques•  Server-side Attacks (de l’externe)•  Client-side Attacks (de l’interne)•  Ingénierie Sociale (les g...
Cibles d’attaques•  Postes de travail (OS, applications, physique)•  Serveurs (DHCP, DNS, DC, fichiers, courriels, auth, W...
Étapes d’une attaque•  Reconnaissance (ramasser de l’information)•  Scanning (découvrir les failles)•  Attaque (exploiter ...
Reconnaissance•  Site Web de la “cible”:   •  Mission   •  Postes disponibles   •  Communiqués de presse   •  Adresses cou...
Reconnaissance                   (2)•  Google:   •  Requêtes (intitile, inurl, type, link, etc...)   •  Google Hacking Dat...
Reconnaissance             (3)•  Outils   •  CeWL   •  BiDiBLAH   •  BiLE   •  Gpscan (Profils Google)   •  Gloodin   •  L...
© 2011 Michel Cusin   22
Scanning•  Balayage de ports   •  Nmap*   •  Découverte des ports ouverts (0 à 65535 - TCP & UDP)   •  Différents types de...
BackTack© 2011 Michel Cusin   24
MetasploitLe “framework” Metasploit est un outil pour le développementet lexécution dexploits contre une machine distante....
Metasploit / Meterpreter•  Metasploit*   •  Creation et encodage d’un “payload” malicieux (Meterpreter)   •  Serveur écout...
Social-Engineer Toolkit (SET)1)   Spear-Phishing Attack Vectors2)   Website Attack Vectors3)   Infectious Media Generator4...
Attaques de mots de passe•  Guessing: THC Hydra, Medusa;•  Cracking: John the Ripper (JtR), Rainbow Tables;   (LANMAN, NTL...
Attaques de réseaux sans fil•  Simple à sniffer (Netstumbler, Wireshark, Kismet, etc…)•  Filtrer par adresses MAC et cache...
Attaques de réseaux sans fil•  Aircrack-ng   •  Crack: WEP, WPA, WPA2 -> Preshared Key (PSK)•  Airpwn (Sniff le trafic WiF...
PwnPlug: Hardware•    CPU (1.2 GHz)•    RAM (512 MB SDRAM)•    HDD Flash (512 MB)•    Prise(s) réseau Ethernet•    Port US...
PwnPlug: Software•  Système d’exploitation: Linux•  Outils:   •    Metasploit                     •    SET (Social Enginee...
Réseau sans fil “sécurisé”     Réseau local     (filaire)    Point d’accès    sans-fil                                    ...
Réseau sans fil “non sécurisé”                          Point d’accès sans-fil                              non sécurisé  ...
Attaques de sites Web•  Cross-Site Scripting (XSS)•  Cross-Site Request Forgery (XSRF)•  Command Injection•  DDoS•  Inject...
Garder un accèsBackdoors (Poison Ivy)          Rootkits:                                (Applicatif & Kernel)             ...
Garder un accès•  Telnet, SSH, netcat•  Désactiver ou reconfigurer le coupe-feu de Windows:  (C:netsh firewall set opmode=...
Effacer les traces  © 2011 Michel Cusin   38
La sécurité au quotidien•  Restez informé de ce qui se passe•  Les FW, IDS, antivirus ainsi que la gouvernance c’est bien,...
Honeypot (Honeynet)•  Un honeypot, ou “pot de miel”, est un ordinateur ou un   programme volontairement vulnérable destiné...
Analyse de vulnérabilité vs Test d’intrusion  AV      •  Reconnaissance (ramasser de l’information)Pentest   •  Scanning (...
Professionnel de la sécurité vs Pirate •  Planification:     •  Type de test et contexte     •  Portée (quoi)     •  Règle...
La gestion des incidents en 6 étapes  Préparation         Identification                     Contenir                     ...
Conclusion•  La menace est bien réelle et elle est là pour rester!•  Une grenouille ne peut avaler un bœuf! Il faut y alle...
En terminant…http://cusin.ca ou michel@cusin.ca         © 2011 Michel Cusin         45
Prochain SlideShare
Chargement dans…5
×

Intrusions et gestion d’incidents informatique

5 788 vues

Publié le

Avec le nombre croissant d’attaques informatique faisant rage à l’échelle mondiale, les gouvernements ainsi que les petites comme les grandes entreprises n’y échappent pas. Les groupes de pirates informatiques tels que Anonymous et LulzSec, pour ne nommer que ceux-ci, font la loi dans le cyber espace. Ils sont très bien organisés et revendiquent des attaques très dévastatrices qui figurent parmi les plus médiatisées. Ils défient publiquement les autorités, les gouvernements et tous ceux qui semblent se mettre en travers de leur chemin. Rien ne semble les arrêter. Une fois introduits dans les systèmes de leurs victimes, ils s’adonnent notamment au pillage d’information confidentielle et la publient ensuite sur Internet.

Les gouvernements étrangers sont, eux aussi, très actifs. Que ce soit à des fins stratégiques, politiques ou économiques, ces derniers ne ménagent aucun efforts pour parvenir à leurs fins. Contrairement à certains groupes de pirates informatiques, ils travaillent dans l’ombre. Ils ne cherchent pas à faire de coup d’éclat, mais plutôt à obtenir des résultats.

Mais peu importe qui ils sont et ce qu’ils cherchent à faire, les mêmes questions se posent: comment font-ils pour s’introduire dans nos systèmes? Comment pouvons-nous protéger nos infrastructures contre ces attaques qui sont souvent invisibles et qui surviennent la plupart du temps à notre insu?

Certaines pistes de solutions à ce fleau s’offrent à nous. Nous devons réagir, mais surtout, agir de façon proactive si nous ne voulons pas perdre la guerre. Il est crucial de découvrir nos failles avant que les pirates ne le fassent. Mais malgré tous nos efforts, il est clair que tôt ou tard, nous aurons à faire face à de multiples scenarios d’attaques et d’intrusions. La question n’est pas “si” mais plutôt “quand” cela arrivera. Nous devons donc nous préparer à y faire face.

Voici donc la présentation que j’ai fait lors du séminaire sur les intrusions et gestion d’incidents informatique à ActionTI le 23 novembre 2011. Elle explore diverses techniques employées par les pirates ainsi que certains outils qu’ils utilisent. Elle explique comment les pirates s’y prennent pour trouver les failles de sécurité et comment ils les exploitent afin de prendre le contrôle de nos infrastructures. Nous verrons également comment ils réussissent à garder l’accès aux systèmes qu’ils ont compromis et comment ils tentent de cacher leurs traces.

Publié dans : Technologie
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
5 788
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2 341
Actions
Partages
0
Téléchargements
207
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Intrusions et gestion d’incidents informatique

  1. 1. Intrusions et gestion d’incidents informatique © 2011 Michel Cusin 1
  2. 2. Agenda•  État de situation•  Qui sont nos adversaires•  Les types d’attaques et leurs cibles•  Les étapes d’une attaque•  Parce qu’un “hack” vaut 1000 mots… Des démos !!!•  Comment (tenter) de se protéger © 2011 Michel Cusin 2
  3. 3. État de situation © 2011 Michel Cusin 3
  4. 4. Quelques cas Quand Cible Qui Quoi 2010 (+) Wikileaks Anonymous DDoS - Services non disponibles Operation: Payback Mastercard, Visa Amazon, PayPalFévrier 2011 HBGary Anonymous Vol et Publication d’info confidentielle Mars 2011 RSA Inconnu APT - Vol des “Seeds” SecurID Mars 2011 Comodo Iranien de 21 ans Vol de certificats numériques 2011 (+) Sony (+) Multiple #opsony, PSN Down, vol d’information Mai 2011 Lockheed Martin Espionnage Réplication des clés SecurID, vol Mai 2011 L-3 Communications Espionnage “tentative” de vol d’information Juin 2011 Northrop Grumman ? Incident en lien avec les clés SecurID Juin 2011 Google (Gmail) Chine Vol de mot de passe, interception de courriels Juin 2011 Citigroup ? Vol d’information de clients © 2011 Michel Cusin 4
  5. 5. Quelques cas (suite) Quand Cible Qui Quoi Juin 2011 Sénat américain LulzSec Publication de la structure du site Web Juin 2011 Police nationale espagnole Anonymous Site Web temporairement inaccessible Juin 2011 CIA LulzSec Site Web temporairement inaccessible Juin (+) OTAN Anonymous ? Vol de 1GB d’info 2011 (+) PBS.org Warv0x Site Web défiguré, admin uname/passwd volés/exposés Juillet 2011 Apple Antisec Admin uname/passwd volés/exposés 2011 (+) Fox ? Fox annonce la mort du président Obama via Twitter Août 2011 72 organisations publiques Chine? McAfee Operation Shady RAT: Vol de secrets gouv, et privées dans 14 pays info corpo sensible, propriété intélectuelle Août 2011 RIM (BlackBerry) Team Poison Blogue attaqué / émeutes à LondresSource: CNET Hacker Chart © 2011 Michel Cusin 5
  6. 6. Plus près de chez nous Quand Cible Qui QuoiFévrier 2007 RTSS ? Ver, botnet2006 - 2008 Opération Basique 19 Québécois BotnetFévrier 2011 Gouvernement canadien Chine Contrôle de systèmes clés du ministère des Finances et du Conseil du trésor.Juillet 2011 Canada, USA, France, Joseph Mercier Botnet opéré à partir de Laval Russie, Émirats Arabes Unis © 2011 Michel Cusin 6
  7. 7. Anonymous© 2011 Michel Cusin 7
  8. 8. LulzSec© 2011 Michel Cusin 8
  9. 9. th3j35t3r (The Jester) © 2011 Michel Cusin 9
  10. 10. Commander XAccording to a CBS News report, "Commander X" told their reporter thathe had no fear about being caught:"Were not going to turn ourselves in. They can come and get us is what Isay. Bring it on. Until then, we run... We will remain free and at libertyand at large for as long as we can, and when the time comes that each andevery one of us eventually will be brought to justice, we will hold ourhead high in any court of law and we will defend our actions."Doyon is scheduled to appear on September 29th for a bail hearing. © 2011 Michel Cusin 10
  11. 11. Stuxnet•  Ver ciblant Windows (4 attaques dont 3 zero-day & MS08-067)•  Attaque très spécifique: •  Windows •  Step 7 (Logiciel de contrôle SCADA – Human-Machine Interface) Seimens •  PLC (Programmable Logic Controler) - Monitor la vitesse des moteurs (entre 807 Hz & 1210 Hz) normalement rattachés à certaines pompes et centrifugeuses•  Modifie périodiquement la vitesse des moteurs de la centrifuge, causant des dommages.•  Cyber arme industrielle possiblement déployée par Israël visant a déstabiliser le programme nucléaire Iranien•  Et alors? © 2011 Michel Cusin 11
  12. 12. Récapitulons (ne capitulons pas)Nous ne faisons pas face à des individus, mais à un mouvementqui n’obéit qu’à ses propres règles. Nous devons penser et agir enfonction de cette réalité.Il ne suffit plus de se protéger, en tentant de bloquer l’ennemi. Ilfaut savoir le traquer, le trouver et l’expulser.Afin de nous défendre, nous devons savoir qui ils sont et commentils procèdent. Nous devons apprendre à mieux les connaitre et àsavoir comment ils pensent. © 2011 Michel Cusin 12
  13. 13. Sun TzuJe dis que si tu te connais toi-même et que tu connaiston ennemi, tu n’auras pas à craindre le résultat decent batailles. Si tu te connais toi-même sansconnaître ton ennemi tes chances de victoires et dedéfaites seront égales. Si tu ne connais ni ton ennemini toi-même, tu perdras toutes les batailles.–Sun Tzu, l’art de la guerre © 2011 Michel Cusin 13
  14. 14. Qui sont les attaquants•  Script Kiddies•  Pirates professionnels / mercenaires (espions/compétiteurs) - PotashCorp - En 2010, elle répond à 30 % de la demande mondiale de potasse - OPA de BHP Billiton de 40 G$•  Terroristes / Crime organisé (Ex.:RBN ~60% du SPAM mondial)•  Employés (volontairement ou à leur insu) – Parfois les plus dangereux © 2011 Michel Cusin 14
  15. 15. Motivations•  Argent (espionnage, avantage concurrentiel, mercenaire, etc…)•  Notoriété, gloire, réputation, etc…•  Politique / Activisme•  Parce que je peux… (opportunisme, apprentissage/découverte)•  Terrorisme (attaques et financement)•  Militaires © 2011 Michel Cusin 15
  16. 16. Les types d’attaques•  Server-side Attacks (de l’externe)•  Client-side Attacks (de l’interne)•  Ingénierie Sociale (les gens)•  Sans-fil (interne et externe)•  Médias amovibles (Clés USB et autres) © 2011 Michel Cusin 16
  17. 17. Cibles d’attaques•  Postes de travail (OS, applications, physique)•  Serveurs (DHCP, DNS, DC, fichiers, courriels, auth, Web, BD, etc…)•  Équipements réseau (routeur, commutateur, concentrateur?)•  Téléphonie IP•  Sans-fil (Wi-Fi – 802.1X), Mobilité, Bluetooth © 2011 Michel Cusin 17
  18. 18. Étapes d’une attaque•  Reconnaissance (ramasser de l’information)•  Scanning (découvrir les failles)•  Attaque (exploiter les failles et vulnérabilités)•  Garder un accès (backdoor, porte dérobée, Rootkit)•  Effacer les traces (effacer/modifier les logs) © 2011 Michel Cusin 18
  19. 19. Reconnaissance•  Site Web de la “cible”: •  Mission •  Postes disponibles •  Communiqués de presse •  Adresses courriel •  Et plus…•  Adresses IP et autres informations •  American Registry for Internet Numbers (ARIN) •  Whois (Qui) •  Nslookup (Quoi) •  www.centralops.net, Sam Spade © 2011 Michel Cusin 19
  20. 20. Reconnaissance (2)•  Google: •  Requêtes (intitile, inurl, type, link, etc...) •  Google Hacking DataBase (GHDB) – Johnny Long •  Google Maps, Street View, Picassa, Cache, Groups, Blog•  Réseaux sociaux (Facebook, Twitter, LinkedIn) •  (CeWL) -> Liste de mots (uname/passwd)•  www.123people.ca, www.pipl.com•  www.archives.org (Wayback machine) © 2011 Michel Cusin 20
  21. 21. Reconnaissance (3)•  Outils •  CeWL •  BiDiBLAH •  BiLE •  Gpscan (Profils Google) •  Gloodin •  Lazy Champ •  Sam Spade •  Foca (Metadata) •  Maltego* •  Etc… © 2011 Michel Cusin 21
  22. 22. © 2011 Michel Cusin 22
  23. 23. Scanning•  Balayage de ports •  Nmap* •  Découverte des ports ouverts (0 à 65535 - TCP & UDP) •  Différents types de scans (connect, syn, etc…)•  « OS Fingerprinting » - Déterminer la version du OS •  actif: Nmap, Xprobe •  Passif: p0f•  Balayage de vulnérabilités •  Nessus*, OpenVAS •  Découverte des vulnérabilités dans le bût de les exploiter © 2011 Michel Cusin 23
  24. 24. BackTack© 2011 Michel Cusin 24
  25. 25. MetasploitLe “framework” Metasploit est un outil pour le développementet lexécution dexploits contre une machine distante. Interface Utilisateur Exploit 1 Payload 1 Exploit 2 Choix Payload 2 Exploit N Payload N Exploit 2 Payload 1 Stager Launcher Vers la cible © 2011 Michel Cusin 25
  26. 26. Metasploit / Meterpreter•  Metasploit* •  Creation et encodage d’un “payload” malicieux (Meterpreter) •  Serveur écoutant les requêtes entrantes des victimes•  Meterpreter* (backdoor résident en mémoire injecté dans un dll) •  Donne un plein accès au poste de la victime •  Communications cryptées •  Lister contenue du poste, les ps, Hashdump, pivot, etc… •  “Shell is just the beginning…” © 2011 Michel Cusin 26
  27. 27. Social-Engineer Toolkit (SET)1) Spear-Phishing Attack Vectors2) Website Attack Vectors3) Infectious Media Generator4) Create a Payload and Listener5) Mass Mailer Attack6) Arduino-Based Attack Vector7) SMS Spoofing Attack Vector8) Wireless Access Point Attack Vector9) Third Party Modules ! © 2011 Michel Cusin 27
  28. 28. Attaques de mots de passe•  Guessing: THC Hydra, Medusa;•  Cracking: John the Ripper (JtR), Rainbow Tables; (LANMAN, NTLM, MD5, SHA-1, Salt)•  Sniffing: Cain, tcpdump, Wireshark;•  Pass-the-Hash (PtH): Metasploit, Pass the Hash Toolkit; © 2011 Michel Cusin 28
  29. 29. Attaques de réseaux sans fil•  Simple à sniffer (Netstumbler, Wireshark, Kismet, etc…)•  Filtrer par adresses MAC et cacher le SSID = inutile !•  WEP, WPA, WPA2 -> Tous “crackables” •  Faiblesse au niveau des initialization vector (IV) •  Une authentification robuste est nécessaire •  PEAP (Protected Extensible Authentication Protocol)•  Lorsque bien implanté, un réseau WiFi peut-être aussi sécuritaire ou même plus qu’un réseau filaire. © 2011 Michel Cusin 29
  30. 30. Attaques de réseaux sans fil•  Aircrack-ng •  Crack: WEP, WPA, WPA2 -> Preshared Key (PSK)•  Airpwn (Sniff le trafic WiFi) •  Injecte du “faux” trafic (HTTP) - “Race condition”•  AirJack (MITM) •  Désauthentifie, sniff, devient un AP, MITM•  Karma (deviens tout ce que vous demandez) •  DHCP, DNS, HTTP, FTP, POP3, SMB•  Karmetaploit (Karma + Metasploit)•  PwnPlug © 2011 Michel Cusin 30
  31. 31. PwnPlug: Hardware•  CPU (1.2 GHz)•  RAM (512 MB SDRAM)•  HDD Flash (512 MB)•  Prise(s) réseau Ethernet•  Port USB 2.0•  Expension SDHC (flash) © 2011 Michel Cusin 31
  32. 32. PwnPlug: Software•  Système d’exploitation: Linux•  Outils: •  Metasploit •  SET (Social Engineer Toolkit) •  Ignuma & Fast-Track •  JTR (John the Ripper) •  Nikto •  Medusa •  Dsniff •  Scapy •  Ettercap •  Kismet •  SSLstrip •  Karma •  Nmap •  Karmetasploit •  Nbtscan •  Aircrack-NG •  Netcat •  WEPbuster © 2011 Michel Cusin 32
  33. 33. Réseau sans fil “sécurisé” Réseau local (filaire) Point d’accès sans-fil Serveur d’authentification Chiffrement & authentification (WPA2 - PEAP)Poste Assistant personnel(sans-fil) (iPhone, Blackberry, etc..) © 2011 Michel Cusin 33
  34. 34. Réseau sans fil “non sécurisé” Point d’accès sans-fil non sécurisé © 2011 Michel Cusin 34
  35. 35. Attaques de sites Web•  Cross-Site Scripting (XSS)•  Cross-Site Request Forgery (XSRF)•  Command Injection•  DDoS•  Injection SQL: sqlmap* © 2011 Michel Cusin 35
  36. 36. Garder un accèsBackdoors (Poison Ivy) Rootkits: (Applicatif & Kernel) © 2011 Michel Cusin 36
  37. 37. Garder un accès•  Telnet, SSH, netcat•  Désactiver ou reconfigurer le coupe-feu de Windows: (C:netsh firewall set opmode=disable)•  VNC, Remote Desktop•  Partage SMB (X.X.X.XC$) © 2011 Michel Cusin 37
  38. 38. Effacer les traces © 2011 Michel Cusin 38
  39. 39. La sécurité au quotidien•  Restez informé de ce qui se passe•  Les FW, IDS, antivirus ainsi que la gouvernance c’est bien, mais… Il y a plus!•  Connaissez et maitrisez votre environnement•  La sécurité ne s’achète pas, elle se construit.•  Connaissez ce que vous ne connaissez pas: Ce qu’on ne sait pas FAIT mal ! © 2011 Michel Cusin 39
  40. 40. Honeypot (Honeynet)•  Un honeypot, ou “pot de miel”, est un ordinateur ou un programme volontairement vulnérable destiné à attirer et à piéger les hackers.•  Un honeynet est un réseau de honeypots. Surveillance Faible interaction Collecte dinformation Haute interaction Analyse dinformation http://www.honeynet.org/ © 2011 Michel Cusin 40
  41. 41. Analyse de vulnérabilité vs Test d’intrusion AV •  Reconnaissance (ramasser de l’information)Pentest •  Scanning (découvrir les failles)Pentest •  Attaque (exploiter les failles et vulnérabilités) AVPentest •  Rapports, explications, solutions © 2011 Michel Cusin 41
  42. 42. Professionnel de la sécurité vs Pirate •  Planification: •  Type de test et contexte •  Portée (quoi) •  Règles d’engagement (comment) •  Tests: •  Les facteurs temps, portée et règles d’engagement •  La méthodologie •  Maintiens de la stabilité de la cible •  Outils •  Rapports: •  Exécutif, technique •  Explications, solutions, personnalisation © 2011 Michel Cusin 42
  43. 43. La gestion des incidents en 6 étapes Préparation Identification Contenir Éradication Rétablissement Leçons apprises © 2011 Michel Cusin 43
  44. 44. Conclusion•  La menace est bien réelle et elle est là pour rester!•  Une grenouille ne peut avaler un bœuf! Il faut y aller par petites bouchées.•  Testez votre sécurité avant que quelqu’un ne le fasse à votre place…•  Soyez prêt à gérer les incidents AVANT qu’ils ne surviennent.•  Pensez différemment, sortez des paradigmes.•  La sécurité est un mode de vie, qui se vie au quotidien•  Nous ne devrions pas combattre les pirates, mais plutôt lignorance. Le reste viendra avec… © 2011 Michel Cusin 44
  45. 45. En terminant…http://cusin.ca ou michel@cusin.ca © 2011 Michel Cusin 45

×