Le document discute des risques et menaces associés aux systèmes d'information, mettant en évidence les conséquences d'attaques comme le déni de service et l'intrusion dans les systèmes. Il traite de l'évolution des menaces, des vulnérabilités et des différentes méthodes d'attaques, ainsi que des recommandations pour améliorer la sécurité. L'accent est mis sur la nécessité d'une approche proactive et continue pour minimiser les vulnérabilités et gérer les risques.

1. La citadelle électronique risques et menaces Sylvain Maret Février 2002 Version 1.21

2. Effets possibles d’une attaque du SI Déni de services (perte de productivité) Usage non autorisé des systèmes Perte ou altération des données ou programmes Perte financière Perte de confiance dans les systèmes Atteinte à l’image de l’entreprise Etc.

3. Les nouvelles menaces Les « intruders » sont préparés et organisés Sites Web Conférences (DefCon, etc.) Attaques sur Internet sont faciles et difficilement tracables Outils d’intrusion sont très évolués et faciles d’accès

4. Augmentation des « intruders »

5. Qui sont les « intruders » ?

6. Leurs motivations ? Le profit et l’argent Avantage compétitif Espionnage Vengeance Revendication Curiosité La gloire Etc.

7. Evolution des attaques

8. Pyramide des Menaces

9. Les vulnérabilités Augmentation significative des vulnérabilités Pas de « design » pensé sécurité Complexité du système d’information Besoins Marketing (Software) Evolution très (trop) rapide des technologies Etc.

10. Comment gérer ces données ? ou le calcul du risque ! Evaluation des coûts Pas d’influence sur les menaces Baisse des vulnérabilités (tendre vers zéro) (Processus permanent) Risque = Coûts * Menaces * Vulnérabilités

11. Influence du temps ? La sécurité est un processus permanent Et non pas un produit… L’idée: Maintenir en permanence les vulnérabilités au plus bas Suivre les recommendations des constructeurs (patchs, update, etc.) Amélioration de l’architecture de sécurité

12. Cycle d’une vulnérabilité Time Gap

13. Evolution dans le temps Time Ideal Gap Growing Gap

14. Peut-on prévenir les intrusions ?

15. Comment gérer cette évolution ?

16. Les attaques

17. Les attaques des systèmes d’informations Scanners Déni de services Network sniffing Password Guessing Virus, cheval de troie, Backdoor BoF Code mobile Etc.

18. Les Scanners Outils pour découvrir très rapidement les services offerts sur un système ou sur un réseau Scan Range Scan TCP ou UDP voir ICMP Liste les ports ouverts (ftp, http, ssh, etc.) Possibilité de scanner de façon invisible Changement de port source Half Syn

19. Les Scanners Certains scanners détermineent le type d’OS OS Finger Print Prédiction de trame Plus considéré comme une attaque Eventuel prémice d’une attaque Outils Open Source Nmap Strobe Queso Yasp Etc.

20. Les Scanners: recommendations Interdire les ICMP echo et reply (ping) Découverte moins rapide des services Bloquer la source par un système IDS Système automatique de blocage Laisser uniquement les « ports » utiles sur les systèmes

21. Denial of Service (DoS) Atteinte au bon fonctionnement d’un système Imobilisation ou « gel » Utilisation massive des ressources CPU Utilisation massive de la bande passante Crash du système Voir perte de données

22. Denial of Service (DoS) 4 grandes familles Les Floodings Les Mails Bombs Les « dévoreurs » de bande passante ou ressources CPU Les « destructeurs » de système

23. Flooding Litéralement « l’inondation » d’un système Attaques de type Syn-Flood Log-Flood Data-Flood Etc.

24. Attaque Syn-Flood Exploitation du méchanisme de l’établisement d’une connexion TCP Immobilisation du système Peut dans certain cas « crasher » le système Pratiquement anonyme Spoofing d’adresse IP source

25. Connexion TCP 1. Client initiates a request to the server, “I want to talk.” (SYN) SYN/ACK 2. Server replies, “I’m ready.” (SYN/ACK) ACK Client Server Client Server Client Server I want to talk Let’s go! I’m ready SYN 3. Client sends acknowledgment to establish connection, “ Let’s go!” (ACK)

26. Attaque Syn-Flood Client SYN SYN SYN SYN SYN/ACK SYN/ACK IP? IP? IP? IP? Server

27. Les Mails Bombs Programme qui envoie des mails en quantité massive Mails obscènes Abonement à des mailling list Fichiers attachés gigantesques Etc. Très difficile à stopper

28. Les dévoreurs de ressources Attaque qui utilise de manière massive de la bande passante ou des ressources CPU La plus connue est Smurf

29. Smurf Broadcast echo address Source address is spoofed to be target’s address Réseau intermédiaire Attaquant Cible Many echo replies are received by the target, since most machines on the intermediary network respond to the broadcast

30. Les destructeurs de système Attaques qui « crash » les systèmes Pratiquement invisible Exploite les vulnérabilités des systèmes d’exploitation ou des applications Beaucoup de problèmes avec Windows NT Attaques de type Ping of death Teardrop Land Targa Etc.

31. Distributed Denial of Service (DDoS) Amplification des attaques D0S Attaques très dangereuses Peut impliquer jusqu’à une centaine de machines attaquantes Outils Open Source Trin00 Tribe Flood Stacheldraht Etc.

32. DDoS

33. Network Sniffing Utiliser pour « monitorer » le trafic sur un réseau Crackers les utilisent pour: Examiner le trafic entre plusieurs machines Obtenir les « username et password » Examiner les emails Etc. Pratiquement indétectable

34. Network Sniffing…

35. Network Sniffing…

36. Sniffer et les environnements Switchés Possibilité de « sniffer » dans un environnement switché Technique utilisée ARP Poisoning ou spoofing ARP Outils Open Source Dsniff, Hunt, etc. Possibilité de « hijacking »

37. Sniffing: Relay Configuration

38. Démonstration Sniffing Sniffer Network Original TCP Packet Login: dupont Password: abc123 Unix Host Telnet to Unix Host

39. Sniffing: recommendations Utilisation de l’authentification forte Tokens, SmartCard, SecurID, etc. Utilisation du chiffrement (si nécessaire) (SSH, IPSEC, SSL, etc.) Détection de sniffer Port Security sur les Switchs Mac address

40. Brute Force-Password Guessing But: deviner les mots de passe Attaques par dictionnaire L0phtCracks (Windows NT) Cracks (Unix /etc/shadow) Etc. Attaques par brute force L0phtCrack Brutus Etc. Attaques hybride

41. Démonstration: LC3

42. Virus informatique: définition Un virus est un programme qui se réplique en s’attachant à un autre objet Un vers (Worm) est un programme qui se réplique de façon indépendante Messagerie par exemple

43. Mécanisme de réplication et Payload Pour être considéré comme un virus ou un vers, il FAUT un mécanisme de réplication Le Payload est une partie optionnel qui contient l’action du virus ou du vers Destruction Vol de données Quelque chose de drôle (Hoax) Etc.

44. Type de virus Boot Sector Virus 1er forme de virus Form, Parity Boot, etc. Parasitic Virus (file virus) Attaché à un fichier exécutable Jerusalem, CIH Macro Viruses Word, Excel, etc Melissa

45. Evolution des virus 1988: Less than 10 known viruses 1990: New virus found every day 1993: 10-30 new viruses per week 1999: 45,000 viruses and variants Source: McAfee

46. Cheval de Troie - Back Door Dans la famille des virus Cheval de Troie Programme dissimulé derrière un autre programme Back Door Porte dérobée Connexion par réseau Netbus, Back Orifice, SubSeven, etc

47. Virus: recommendation Contrôle de contenu (flux externes) Messagerie SMTP Surf Internet (http, ftp, etc.) Codes mobiles (Java, ActiveX) Anti Virus poste local Sécurisation du poste client Système de détection d’intrusion réseau Mise à jour « heure par heure »

48. Web Servers Crackers exploitent des vulnérabilités pour compromettre le serveur Les Web Servers sont des cibles très visibles Crackers peuvent utiliser ces resources pour publier des revendications Politique, vengeance, etc.

49. « Defacements » Changement des pages « Web » FTP Compromise Etc. Changement du « code source » DNS redirection ou « poisoning » Piratage de domaine Corruption des « proxy caches »

50. Defacements: évolution dans le temps

51. Exemple de « Defacement » !

52. Microsoft IIS Beaucoup de problème de sécurité 60% des defacements Année 2001 ISAPI Overflow Generic « root.exe » IIS Directory Traversal (Unicode) Etc. Code Red et Nimda 13 Juillet 2001 et 18 septembre 2001

53. Microsoft IIS Octobre 2001: Gartner Group recommande de trouver une alternative à IIS… Microsoft promet une nouvelle version IIS ?

54. CGI and WWW Services Interface entre un serveur Web et un langage Perl, C-C++, TCL, etc. Problèmes de sécurité Exécution de commande shell Vol de données Back door Etc.

55. Scanner CGI Scanner spécialisé Nikto Whisker Retina Cgi Scann Etc.

56. Risques des codes mobiles Problèmes liés à l’utilisation du browser Java ou ActiveX Déni de services Vol d’informations Ouverture de connexions réseau Etc.

57. Compromises Accès non autorisé à un système « Root Compromise » L’accès permet: Examiner des informations confidentielles Altérer ou dédruire des données Utiliser des ressources système Lancer des attaques vers d’autres systèmes Etc.

58. Compromises Crackers utilisent des « toolkits » pour: Root Kit Sniffer Etc. La plus part des systèmes compromis sont: Mal configurés N’ont pas les patchs nécessaires

59. Scénario d’une attaque de type « compromise »

60. Buffer Overflow (BoF) Ou débordement de pile Vulnérabilités des systèmes d’exploitation ou des applications Permet généralement d’effectuer un « Root Compromise » Recommendation Appliquer les patchs des constructeurs

61. Questions?

62. Pour plus d’informations e-Xpert Solutions SA Sylvain Maret Route de Pré-Marais 29 CH-1233 Bernex / Genève +41 22 727 05 55 [email_address]