SlideShare une entreprise Scribd logo
L’importance du web et du
protocole HTTP dans les
Advanced Persistent Threat
(APT)
Matthieu Estrade
CTO
Bee Ware

                                Application Security Forum
                                     Western Switzerland

                     27 octobre 2011 - HEIGVD Yverdon-les-Bains
                     http://appsec-forum.ch
Agenda
 Historique du protocole HTTP
 Anatomie d’une APT
 Comment faire face à ces menaces
Speaker
   Matthieu Estrade
   CTO Bee Ware
   Co-fondateur d’Axiliance en 2001
   Expert en sécurité Web
   Membre du chapitre Français de l’OWASP
   WASC Officer
   Committer Apache HTTPd
Un peu d’histoire !
Le protocole HTTP
 Inventé par Tim Berners-Lee (CERN) en même temps
  que le HTML pour créer le World Wide Web
 HTTP 0.9 -> 1989/1990
 HTTP 1.0 -> Mai 1996
 HTTP 1.1 -> 1997 / 1999

 http://www.w3.org/Administration/HTandCERN.txt
 Un protocole qui a peu évolué
 Dernières spécifications en 1999…
 Stateless…
  – Pas de suivi de session sécurisé
 Dépassé par le contenu qu’il véhicule
  – HTML au début
  – Flash, Javascript, ActivX etc.
  – De plus en plus complexe
  – De plus en plus riche
Les contraintes actuelles…
 Plus de performances
 Plus de fiabilité
  – 24 / 7 / 365
 Plus de sécurité
  – Confidentialité
 Plus de médias
  – Video
  – Audio
  – Etc.
Aujourd’hui !
 Intégration d’interpréteurs de langages
  directement dans les navigateurs
 Le browser devient un client riche universel !
  – Pas de client natif à installer
  – Déjà présent sur les systèmes
  – Et sur toutes les plateformes (mobiles, pc, mac etc.)
 Tout est bien plus simple avec le Web 
Le Web prend le
   pouvoir !
 Paiement en ligne
 Gestion des comptes
  bancaires en ligne
 Paiement en ligne      Numéro de carte de
 Gestion des comptes     crédit
  bancaires en ligne     Virements externes
 Publication de
  données
  « corporate »
 Publication de
  données sensibles
 Publication de       Image de la société
  données
  « corporate »
 Publication de       Données métiers et
  données sensibles     confidentielles
 Sites communautaires
  – Facebook/LinkedIN/et
    c.


 Informations patient

 Divertissement
  – PSN/XBox live/etc.
 Sites communautaires  Données personnelles
  – Facebook/LinkedIN/et     – Habitudes
    c.                       – Choix
                             – Croyances
 Informations patient      Données médicales

 Divertissement            Données bancaires
  – PSN/XBox live/etc.
Et la sécurité dans tout ça ?
 Les firewall réseaux classiques ne filtrent pas le
  contenu
 Les applications sont de plus en plus sécurisées
  mais quid des anciennes, de celles dont on ne
  maitrise pas le code source, des erreurs de
  conception et de développement ?
 La responsabilité de la sécurité web est souvent
  floue, entre équipe réseau, développement,
  exploitation etc.
Les méchants !
Ils ont bien compris l’enjeu du
système
 Peuvent commettre leurs délis de l’autre bout du
  monde
  – Bien moins risqué que la criminalité classique
  – Une image High Tech qui banalise cette criminalité
 Ne risquent strictement rien dans certains pays
  – Peu de lois
 N’ont pas besoin d’avoir recours à la violence
Anatomie d’une APT
Définition
  Une attaque orchestrée, complexe, qui cible
    principalement les données sensibles

     Dure plusieurs semaines/mois/années

 N’a pas pour but principal d’être médiatisées ou
                    détectées
A qui profite une APT ?
 A un concurrent qui récupère les informations
  sensibles au fur et à mesure
  – Décisions stratégiques
  – Résultats de recherches
  – Salaires, ressources humaines
 A une organisation criminelle
  – Données bancaires
  – Détournement de fonds
HTTP, principal vecteur d’intrusion
 Les port 80 et 443 sont très souvent ouverts vers
  Internet
 Les employés d’une société naviguent sur
  Internet
 Les sociétés sont interconnectées entre elles
  grâce aux Webservices qui utilisent HTTP
La surface d’attaque augmente
 Le moindre site web de l’infrastructure peut être
  une porte d’entrée (Le Blog du Playstation
  Network)
 Un seul partenaire compromis peut rebondir dans
  votre infrastructure
 Un employé peut être connecté en VPN de chez
  lui et naviguer sur des sites web compromis
 Les cibles: utilisateurs et employés
 Objectif: les forcer à naviguer sur des données ou des
  applications compromises
     • Phishing
     • Spam
     • Malware


 Il y aura toujours une personne dont l’antivirus n’est
  pas à jour et qui cliquera sur un lien compromis…
 Les cibles: les applications et services
 Objectif: exploiter les vulnérabilités
     • Exploits
     • 0 Day


 Les applications « publiques » et exposées sont
  souvent bien protégées, bien plus que celles qui
  sont peu utilisées…
Se maintenir
 Une fois introduit sur une machine, il est
  nécessaire de pouvoir y revenir quand nécessaire,
  et d’installer ses outils ou établir un tunnel pour
  continuer l’attaque.
Comment ?
 Les backdoors « web »
 Peuvent être de simples applications déposés
  dans l’arborescence
  – C99.php etc.
 Peuvent être des hooks sur les sockets pour avoir
  un tunnel (LD_PRELOAD)
 Les backdoors sont souvent installées sur les
  applications utilisant le protocole HTTP.
L’évolution dans le SI
 Pour atteindre les données sensibles, il est
  souvent nécessaire de traverser plusieurs zones.
  – DMZ
  – Présentation
  – Applicatives
  – Données
  – LAN
  – Etc.
Rebondir via …
 Interconnexion de WebServices
 Interface/GUI de produits et applications
 Ports d’administration en HTTP
 Dialogue entre Serveur Web frontal et serveur
  web applicatif
 Connexion vers une base de donnée
 Connexion vers un annuaire LDAP
 Etc.
Rebond
 Le protocole HTTP est souvent ouvert entre les
  différentes zones.

 Rares sont les infrastructures avec des zones
  filtrées sur le trafic entrant ET sortant…

 Les crédentiels utilisés sont souvent identiques
  entre les différentes zones
L’extraction de données
 L’objectif final d’une APT
 Ponctuelle ou permanente
 Le plus discrètement possible

 Le protocole HTTP est toujours autorisé à sortir
  au niveau de l’infrastructure
 Dans le pire des cas, un proxy filtrant rendra les
  choses plus compliquées
Comment se protéger ?
   Prévenir
   Filtrer
   Authentifier/autoriser
   Monitorer
   Comprendre / analyser
Prévenir
 Définir une infrastructure applicative sécurisée
  – Cloisonnement des réseaux
     • Sas de contrôles
  – Séparation des applications
     • Par criticité
     • Par type de données manipulées
  – Anticiper les différentes réactions possibles
     • Monitoring
     • Compréhension d’une attaque
 Analyse de risque et modélisation des attaques
  – Lister les composants
  – Comprendre les menaces
  – Anticiper les incidents
  – Mesurer l’impact d’une intrusion en fonction des
    données compromises
 Formation des développeurs aux techniques
  d’attaques web et au développement sécurisé
  – Librairies de filtrage d’input
  – OWASP TOP10 / WASC TC v2
 Auditer régulièrement
  – Si vous avez accès au code source des applications
     • Analyse de code et recherche de vulnérabilités


  – Si vous n’avez pas accès au code source
     • Scanner de vulnérabilités applicatives
     • Tests d’intrusions
Mettre en place une
réponse appropriée
 Au niveau de l’infrastructure
  – En complément du pare-feu réseau
  – Devant chaque zone manipulant le protocole HTTP
  – Défense en profondeur
  – Association du contexte utilisateur avec la politique de
    sécurité
 Filtrer les flux: Le Web application Firewall
  – Extension applicative du pare-feu réseau
  – Analyse du contenu HTTP (Niveau 7 OSI)
  – Protection contre les attaques
     •   SQL Injection
     •   XSS / XSRF
     •   Parser Evasion
     •   Remote command
     •   Etc.
 Filtrer les flux: Le Web Services Firewall
  – Extension du WAF sur les échanges SOAP/REST
  – Analyse du contenu XML
  – Protection contre les attaques Web
  – Protection contre les attaques de parseur
  – Signature et chiffrement des messages
 Authentifier, Autoriser
  – Vérification des identités
  – Association d’un profil de sécurité par identité
    (PICWIC)
  – Autorisation par groupe d’utilisateurs
     • Business
     • HR
     • Admin
 Assurer la continuité de service
  – Bloquer les Dénis de service
  – Bloquer les comportements anormaux
     • Robots
     • Taches automatisées
  – Répartition de charge
  – Accélération SSL
Exploiter
 Monitorer
  – Comprendre quelle est la cible de l’attaquant
  – Suivre l’évolution de la menace
  – Détecter en temps réel les utilisations abusives
  – Détecter en temps réel les tentatives d’exploitations
 Corrélation des logs
  – Entre les différentes attaques sur les applications de
    l’infrastructure
  – Comportement de l’utilisateur
  – Evolution de l’attaque
     • Détection/compréhension
     • Exploitation
     • Compromission (backdoor)
 Reporting et Alerting
  – Rapports sur les attaques
  – Rapports d’utilisation de l’application
  – Alertes en fonction du type d’attaque
  – Déclenchement de procédures
     • Blacklist automatique
     • Redirection vers Honeypot
  – Audit de authentifications
Forensics
 Comprendre la portée d’une attaque
 Pour chaque zone compromise
  – Trouver la technique d’intrusion utilisée
  – Analyser la méthode de backdoor pour le maintien sur
    le système
  – Analyser les données compromises et extraites du
    système d’information
  – Analyser les volumes de données sortantes
 Analyse des systèmes
  – Utilisateurs ajoutés récemment
  – Erreurs d’exécution
     • Segfault
  – Fichiers de configuration modifiés
  – Démons en cours d’exécution
  – Owner et group des démons exécutés
 Analyse de logs
 Recherche de traces pour l’historique de
  l’incident
 Logs d’accès et logs d’erreur
  – Sur les équipements de filtrage
  – Sur les serveurs web
  – Sur les bases de données
  – Sur les systèmes d’exploitation
  – Etc.
 Recherche de backdoor
 Analyse des systèmes de fichiers
  – Fichiers
     • modifiés
     • Effacés
     • Ajoutés
  – Backdoors
     • Sur les binaires
     • Déposées directement sur le FS
Conclusion
 La sécurité d’une infrastructure applicative
  devrait se jouer principalement lors de sa
  conception.
 La réalité du terrain met en évidence des
  difficultés à appliquer toutes les bonnes pratiques
 Une étude approfondie des menaces, une
  réponse approprié ainsi que l’anticipation des
  incidents possibles sont aujourd’hui la meilleure
  réponse aux attaques applicatives
Questions ?




              mestrade@bee-ware.net

Contenu connexe

Tendances

Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
Jihen KOCHBATI
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
alexartiste
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
 
Les malwares
Les malwaresLes malwares
Les malwares
meryemnaciri1
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
BarcampCameroon
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
NRC
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
Toufik74200
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
ACCESS Group
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
Geeks Anonymes
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
Nouriddin BEN ZEKRI
 
Présentation pfe inchaallah
Présentation pfe inchaallahPrésentation pfe inchaallah
Présentation pfe inchaallah
Ilyass_rebla
 
Les bases de la securité informatique
Les bases de la securité informatiqueLes bases de la securité informatique
Les bases de la securité informatique
Mozes Pierre
 
Sensibilisation à la sécurité
Sensibilisation à la sécurité Sensibilisation à la sécurité
Sensibilisation à la sécurité Thibault Tim
 
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Actions prioritaires pour la SSI
Actions prioritaires pour la SSI
Johan Moreau
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
Yves Van Gheem
 
Audit
AuditAudit
Audit
zan
 

Tendances (19)

Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Les malwares
Les malwaresLes malwares
Les malwares
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatique
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Présentation pfe inchaallah
Présentation pfe inchaallahPrésentation pfe inchaallah
Présentation pfe inchaallah
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
Les bases de la securité informatique
Les bases de la securité informatiqueLes bases de la securité informatique
Les bases de la securité informatique
 
Sensibilisation à la sécurité
Sensibilisation à la sécurité Sensibilisation à la sécurité
Sensibilisation à la sécurité
 
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Actions prioritaires pour la SSI
Actions prioritaires pour la SSI
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Audit
AuditAudit
Audit
 

Similaire à ASFWS 2011 - L’importance du protocole HTTP dans la menace APT

Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg Fr
David Girard
 
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
Cyber Security Alliance
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
Sylvain Maret
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Sylvain Maret
 
Matinée6 solutions professionnelles de sécurité KES
Matinée6   solutions professionnelles de sécurité KESMatinée6   solutions professionnelles de sécurité KES
Matinée6 solutions professionnelles de sécurité KES
ALTITUDE CONCEPT SPRL
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
Bee_Ware
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Antoine Vigneron
 
SSL.pdf
SSL.pdfSSL.pdf
SSL.pdf
Iyadtech
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
Sylvain Maret
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
ssuserdd27481
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
mowaffakfejja
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
ChloLau
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
COMPETITIC
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
Manuel Cédric EBODE MBALLA
 
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Christophe Pekar
 
Protection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelProtection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard Lebel
Web à Québec
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
Microsoft Technet France
 
Curriculum vitae
Curriculum vitaeCurriculum vitae
Curriculum vitae
Mahdi Ben Othmen
 

Similaire à ASFWS 2011 - L’importance du protocole HTTP dans la menace APT (20)

Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg Fr
 
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Matinée6 solutions professionnelles de sécurité KES
Matinée6   solutions professionnelles de sécurité KESMatinée6   solutions professionnelles de sécurité KES
Matinée6 solutions professionnelles de sécurité KES
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
 
SSL.pdf
SSL.pdfSSL.pdf
SSL.pdf
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
 
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
 
Protection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelProtection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard Lebel
 
Securite
SecuriteSecurite
Securite
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
Curriculum vitae
Curriculum vitaeCurriculum vitae
Curriculum vitae
 

Plus de Cyber Security Alliance

Bug Bounty @ Swisscom
Bug Bounty @ SwisscomBug Bounty @ Swisscom
Bug Bounty @ Swisscom
Cyber Security Alliance
 
Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?
Cyber Security Alliance
 
iOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itiOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce it
Cyber Security Alliance
 
Why huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksWhy huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacks
Cyber Security Alliance
 
Corporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCorporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomware
Cyber Security Alliance
 
Blockchain for Beginners
Blockchain for Beginners Blockchain for Beginners
Blockchain for Beginners
Cyber Security Alliance
 
Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16
Cyber Security Alliance
 
Introducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsIntroducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging apps
Cyber Security Alliance
 
Understanding the fundamentals of attacks
Understanding the fundamentals of attacksUnderstanding the fundamentals of attacks
Understanding the fundamentals of attacks
Cyber Security Alliance
 
Rump : iOS patch diffing
Rump : iOS patch diffingRump : iOS patch diffing
Rump : iOS patch diffing
Cyber Security Alliance
 
An easy way into your sap systems v3.0
An easy way into your sap systems v3.0An easy way into your sap systems v3.0
An easy way into your sap systems v3.0
Cyber Security Alliance
 
Reverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemReverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande Modem
Cyber Security Alliance
 
Easy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fEasy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 f
Cyber Security Alliance
 
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Cyber Security Alliance
 
Offline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupOffline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setup
Cyber Security Alliance
 
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
Cyber Security Alliance
 
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptWarning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
Cyber Security Alliance
 
Killing any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureKilling any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented feature
Cyber Security Alliance
 
Operation emmental appsec
Operation emmental appsecOperation emmental appsec
Operation emmental appsec
Cyber Security Alliance
 

Plus de Cyber Security Alliance (20)

Bug Bounty @ Swisscom
Bug Bounty @ SwisscomBug Bounty @ Swisscom
Bug Bounty @ Swisscom
 
Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?
 
iOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itiOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce it
 
Why huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksWhy huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacks
 
Corporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCorporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomware
 
Blockchain for Beginners
Blockchain for Beginners Blockchain for Beginners
Blockchain for Beginners
 
Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16
 
Introducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsIntroducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging apps
 
Understanding the fundamentals of attacks
Understanding the fundamentals of attacksUnderstanding the fundamentals of attacks
Understanding the fundamentals of attacks
 
Rump : iOS patch diffing
Rump : iOS patch diffingRump : iOS patch diffing
Rump : iOS patch diffing
 
An easy way into your sap systems v3.0
An easy way into your sap systems v3.0An easy way into your sap systems v3.0
An easy way into your sap systems v3.0
 
Reverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemReverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande Modem
 
Easy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fEasy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 f
 
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
 
Offline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupOffline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setup
 
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
 
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptWarning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
 
Killing any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureKilling any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented feature
 
Rump attaque usb_caralinda_fabrice
Rump attaque usb_caralinda_fabriceRump attaque usb_caralinda_fabrice
Rump attaque usb_caralinda_fabrice
 
Operation emmental appsec
Operation emmental appsecOperation emmental appsec
Operation emmental appsec
 

Dernier

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 

Dernier (6)

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 

ASFWS 2011 - L’importance du protocole HTTP dans la menace APT

  • 1. L’importance du web et du protocole HTTP dans les Advanced Persistent Threat (APT) Matthieu Estrade CTO Bee Ware Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les-Bains http://appsec-forum.ch
  • 2. Agenda  Historique du protocole HTTP  Anatomie d’une APT  Comment faire face à ces menaces
  • 3. Speaker  Matthieu Estrade  CTO Bee Ware  Co-fondateur d’Axiliance en 2001  Expert en sécurité Web  Membre du chapitre Français de l’OWASP  WASC Officer  Committer Apache HTTPd
  • 5. Le protocole HTTP  Inventé par Tim Berners-Lee (CERN) en même temps que le HTML pour créer le World Wide Web  HTTP 0.9 -> 1989/1990  HTTP 1.0 -> Mai 1996  HTTP 1.1 -> 1997 / 1999  http://www.w3.org/Administration/HTandCERN.txt
  • 6.  Un protocole qui a peu évolué  Dernières spécifications en 1999…  Stateless… – Pas de suivi de session sécurisé
  • 7.  Dépassé par le contenu qu’il véhicule – HTML au début – Flash, Javascript, ActivX etc. – De plus en plus complexe – De plus en plus riche
  • 8. Les contraintes actuelles…  Plus de performances  Plus de fiabilité – 24 / 7 / 365  Plus de sécurité – Confidentialité  Plus de médias – Video – Audio – Etc.
  • 9. Aujourd’hui !  Intégration d’interpréteurs de langages directement dans les navigateurs  Le browser devient un client riche universel ! – Pas de client natif à installer – Déjà présent sur les systèmes – Et sur toutes les plateformes (mobiles, pc, mac etc.)  Tout est bien plus simple avec le Web 
  • 10. Le Web prend le pouvoir !
  • 11.  Paiement en ligne  Gestion des comptes bancaires en ligne
  • 12.  Paiement en ligne  Numéro de carte de  Gestion des comptes crédit bancaires en ligne  Virements externes
  • 13.  Publication de données « corporate »  Publication de données sensibles
  • 14.  Publication de  Image de la société données « corporate »  Publication de  Données métiers et données sensibles confidentielles
  • 15.  Sites communautaires – Facebook/LinkedIN/et c.  Informations patient  Divertissement – PSN/XBox live/etc.
  • 16.  Sites communautaires  Données personnelles – Facebook/LinkedIN/et – Habitudes c. – Choix – Croyances  Informations patient  Données médicales  Divertissement  Données bancaires – PSN/XBox live/etc.
  • 17. Et la sécurité dans tout ça ?
  • 18.  Les firewall réseaux classiques ne filtrent pas le contenu  Les applications sont de plus en plus sécurisées mais quid des anciennes, de celles dont on ne maitrise pas le code source, des erreurs de conception et de développement ?  La responsabilité de la sécurité web est souvent floue, entre équipe réseau, développement, exploitation etc.
  • 20. Ils ont bien compris l’enjeu du système  Peuvent commettre leurs délis de l’autre bout du monde – Bien moins risqué que la criminalité classique – Une image High Tech qui banalise cette criminalité  Ne risquent strictement rien dans certains pays – Peu de lois  N’ont pas besoin d’avoir recours à la violence
  • 22. Définition Une attaque orchestrée, complexe, qui cible principalement les données sensibles Dure plusieurs semaines/mois/années N’a pas pour but principal d’être médiatisées ou détectées
  • 23. A qui profite une APT ?  A un concurrent qui récupère les informations sensibles au fur et à mesure – Décisions stratégiques – Résultats de recherches – Salaires, ressources humaines  A une organisation criminelle – Données bancaires – Détournement de fonds
  • 24. HTTP, principal vecteur d’intrusion  Les port 80 et 443 sont très souvent ouverts vers Internet  Les employés d’une société naviguent sur Internet  Les sociétés sont interconnectées entre elles grâce aux Webservices qui utilisent HTTP
  • 25. La surface d’attaque augmente  Le moindre site web de l’infrastructure peut être une porte d’entrée (Le Blog du Playstation Network)  Un seul partenaire compromis peut rebondir dans votre infrastructure  Un employé peut être connecté en VPN de chez lui et naviguer sur des sites web compromis
  • 26.  Les cibles: utilisateurs et employés  Objectif: les forcer à naviguer sur des données ou des applications compromises • Phishing • Spam • Malware  Il y aura toujours une personne dont l’antivirus n’est pas à jour et qui cliquera sur un lien compromis…
  • 27.  Les cibles: les applications et services  Objectif: exploiter les vulnérabilités • Exploits • 0 Day  Les applications « publiques » et exposées sont souvent bien protégées, bien plus que celles qui sont peu utilisées…
  • 28. Se maintenir  Une fois introduit sur une machine, il est nécessaire de pouvoir y revenir quand nécessaire, et d’installer ses outils ou établir un tunnel pour continuer l’attaque.
  • 29. Comment ?  Les backdoors « web »  Peuvent être de simples applications déposés dans l’arborescence – C99.php etc.  Peuvent être des hooks sur les sockets pour avoir un tunnel (LD_PRELOAD)  Les backdoors sont souvent installées sur les applications utilisant le protocole HTTP.
  • 30. L’évolution dans le SI  Pour atteindre les données sensibles, il est souvent nécessaire de traverser plusieurs zones. – DMZ – Présentation – Applicatives – Données – LAN – Etc.
  • 31. Rebondir via …  Interconnexion de WebServices  Interface/GUI de produits et applications  Ports d’administration en HTTP  Dialogue entre Serveur Web frontal et serveur web applicatif  Connexion vers une base de donnée  Connexion vers un annuaire LDAP  Etc.
  • 32. Rebond  Le protocole HTTP est souvent ouvert entre les différentes zones.  Rares sont les infrastructures avec des zones filtrées sur le trafic entrant ET sortant…  Les crédentiels utilisés sont souvent identiques entre les différentes zones
  • 33. L’extraction de données  L’objectif final d’une APT  Ponctuelle ou permanente  Le plus discrètement possible  Le protocole HTTP est toujours autorisé à sortir au niveau de l’infrastructure  Dans le pire des cas, un proxy filtrant rendra les choses plus compliquées
  • 34. Comment se protéger ?  Prévenir  Filtrer  Authentifier/autoriser  Monitorer  Comprendre / analyser
  • 36.  Définir une infrastructure applicative sécurisée – Cloisonnement des réseaux • Sas de contrôles – Séparation des applications • Par criticité • Par type de données manipulées – Anticiper les différentes réactions possibles • Monitoring • Compréhension d’une attaque
  • 37.  Analyse de risque et modélisation des attaques – Lister les composants – Comprendre les menaces – Anticiper les incidents – Mesurer l’impact d’une intrusion en fonction des données compromises
  • 38.  Formation des développeurs aux techniques d’attaques web et au développement sécurisé – Librairies de filtrage d’input – OWASP TOP10 / WASC TC v2
  • 39.  Auditer régulièrement – Si vous avez accès au code source des applications • Analyse de code et recherche de vulnérabilités – Si vous n’avez pas accès au code source • Scanner de vulnérabilités applicatives • Tests d’intrusions
  • 40. Mettre en place une réponse appropriée
  • 41.  Au niveau de l’infrastructure – En complément du pare-feu réseau – Devant chaque zone manipulant le protocole HTTP – Défense en profondeur – Association du contexte utilisateur avec la politique de sécurité
  • 42.  Filtrer les flux: Le Web application Firewall – Extension applicative du pare-feu réseau – Analyse du contenu HTTP (Niveau 7 OSI) – Protection contre les attaques • SQL Injection • XSS / XSRF • Parser Evasion • Remote command • Etc.
  • 43.  Filtrer les flux: Le Web Services Firewall – Extension du WAF sur les échanges SOAP/REST – Analyse du contenu XML – Protection contre les attaques Web – Protection contre les attaques de parseur – Signature et chiffrement des messages
  • 44.  Authentifier, Autoriser – Vérification des identités – Association d’un profil de sécurité par identité (PICWIC) – Autorisation par groupe d’utilisateurs • Business • HR • Admin
  • 45.  Assurer la continuité de service – Bloquer les Dénis de service – Bloquer les comportements anormaux • Robots • Taches automatisées – Répartition de charge – Accélération SSL
  • 47.  Monitorer – Comprendre quelle est la cible de l’attaquant – Suivre l’évolution de la menace – Détecter en temps réel les utilisations abusives – Détecter en temps réel les tentatives d’exploitations
  • 48.  Corrélation des logs – Entre les différentes attaques sur les applications de l’infrastructure – Comportement de l’utilisateur – Evolution de l’attaque • Détection/compréhension • Exploitation • Compromission (backdoor)
  • 49.  Reporting et Alerting – Rapports sur les attaques – Rapports d’utilisation de l’application – Alertes en fonction du type d’attaque – Déclenchement de procédures • Blacklist automatique • Redirection vers Honeypot – Audit de authentifications
  • 51.  Comprendre la portée d’une attaque  Pour chaque zone compromise – Trouver la technique d’intrusion utilisée – Analyser la méthode de backdoor pour le maintien sur le système – Analyser les données compromises et extraites du système d’information – Analyser les volumes de données sortantes
  • 52.  Analyse des systèmes – Utilisateurs ajoutés récemment – Erreurs d’exécution • Segfault – Fichiers de configuration modifiés – Démons en cours d’exécution – Owner et group des démons exécutés
  • 53.  Analyse de logs  Recherche de traces pour l’historique de l’incident  Logs d’accès et logs d’erreur – Sur les équipements de filtrage – Sur les serveurs web – Sur les bases de données – Sur les systèmes d’exploitation – Etc.
  • 54.  Recherche de backdoor  Analyse des systèmes de fichiers – Fichiers • modifiés • Effacés • Ajoutés – Backdoors • Sur les binaires • Déposées directement sur le FS
  • 55. Conclusion  La sécurité d’une infrastructure applicative devrait se jouer principalement lors de sa conception.  La réalité du terrain met en évidence des difficultés à appliquer toutes les bonnes pratiques  Une étude approfondie des menaces, une réponse approprié ainsi que l’anticipation des incidents possibles sont aujourd’hui la meilleure réponse aux attaques applicatives
  • 56. Questions ? mestrade@bee-ware.net