Contenu connexe
Similaire à Présentation menaces web2.0_cqsi_2008
Similaire à Présentation menaces web2.0_cqsi_2008 (20)
Présentation menaces web2.0_cqsi_2008
- 1. Le hacking: Une dimension
_
parallè
parallèle qui peut briser
univers.
votre univers.
Michel Cusin
Colloque québécois de la sécurité de l’information
29 septembre 2008
© Bell Canada, 2008. Tous droits réservés
- 2. Le hacking: Une dimension
parallè
parallèle qui peut briser
univers.
votre univers.
Michel Cusin
Colloque québécois de la sécurité de l’information
29 septembre 2008
© Bell Canada, 2008. Tous droits réservés
- 3. Le hacking: Une dimension
parallè
parallèle qui peut briser
univers.
votre univers.
Michel Cusin
Colloque québécois de la sécurité de l’information
29 septembre 2008
© Bell Canada, 2008. Tous droits réservés
- 4. Itinéraire du voyage…
• Évolution du Web 1.0 -> 2.0
- AJAX, Javascripts, XSS…
- Nouvelles possibilités (pour tout le monde, bons ou méchants…)
- Menaces plus sournoises, invisibles, volatiles…
© Bell Canada, 2008. Tous droits réservés
- 5. Itinéraire du voyage…
• Démonstration
1) Scan d’un Intranet à partir d’Internet sans scanner…
2) Vous serez mes complice$ dans l’attaque d’une banque … !
© Bell Canada, 2008. Tous droits réservés
- 7. Itinéraire du voyage…
• Démonstrations
1) Scan d’un Intranet à partir d’Internet sans scanner…
2) Vous serez mes complice$ dans l’attaque d’une banque … !
Nous arriverons à destination malgré la présence de:
- Logiciel antivirus et de postes de travail à jours;
- Serveur Proxy;
- Sonde de détection d’intrusion (IDS);
- Coupe-feu.
- N’utilisent pas de vulnérabilité dû à un système qui ne serait pas à
jour au niveau des anti-virus et des rustines.
- Seulement du Javascript et PHP via du HTTP sont utilisés.
• Quelques solutions…
© Bell Canada, 2008. Tous droits réservés
- 8. Audience visée
Les gens d'informatique, de réseautique
et de sécurité de l’information;
Les policiers / enquêteurs;
Ceux qui utilisent un ordinateur = Tout le monde;
Les Psy…!
© Bell Canada, 2008. Tous droits réservés
- 9. Tout est Web de nos jours :
Routeurs
Coupes-feu
Imprimantes
Téléphones
Caméras Web
Services transactionnels
Etc.
© Bell Canada, 2008. Tous droits réservés
- 10. WEB 1.0 versus WEB 2.0
© Bell Canada, 2008. Tous droits réservés
- 11. WEB 2.0 “Buzzwords”
N’est pas un standard mais plutôt une série de
principes d'utilisation de technologies existantes;
N'est pas un « big bang » mais une succession de
« small bang »;
Révolution dans l'utilisation des technologies et non
une révolution des technologies elles-mêmes;
Fait appel à des technologies classiques qui sont
désormais mûres et mieux maîtrisées (HTTP,
(X)HTML, CSS, XML, ...) suivant une combinaison
connue sous le nom d'Ajax;
© Bell Canada, 2008. Tous droits réservés
- 12. AJAX
© Bell Canada, 2008. Tous droits réservés
- 13. AJAX
AJAX : Asynchronous JavaScript And XML
AJAX n'est pas une technologie en elle-même, mais un
terme qui évoque l'utilisation conjointe d'un ensemble de
technologies libres couramment utilisées sur le Web :
HTML (ou XHTML) pour la structure sémantique des
informations
CSS pour la présentation des informations
DOM et JavaScript pour afficher et interagir dynamiquement
avec l'information présentée
XML… La tour de Babelle… plusieurs langages dans le même
script !!!
© Bell Canada, 2008. Tous droits réservés
- 14. Sécurité AJAX
Augmente les attaques
Donne accès aux API directement
Plus simple pour le “reverse engineer”
Les attaques de demain passeront par
ces nouvelles technologies.
© Bell Canada, 2008. Tous droits réservés
- 15. Javascript : Une force maléfique ?
Langage de programmation de script principalement
utilisé pour les pages web interactives.
Ces scripts sont indépendants des systèmes
d’exploitation et des fureteurs.
Pouvons-nous vivre sur Internet avec javascript
désactivé sur nos fureteurs ?
© Bell Canada, 2008. Tous droits réservés
- 18. XSS
Le Cross Site Scripting (XSS) est une attaque exploitant une
faiblesse d'un site web qui ne valide pas ses paramètres en
entrée. Un malfaiteur envoie du code non voulu à l'application,
celle-ci envoie ensuite ce code à un autre utilisateur.
Voici un exemple…
© Bell Canada, 2008. Tous droits réservés
- 19. Exemple de XSS Site Web
(très populaire)
Internaute
Site Web
(vulnérable au XSS)
© Bell Canada, 2008. Tous droits réservés
- 20. Exemple de XSS Site Web
(très populaire)
Internaute
Site Web
(vulnérable au XSS)
© Bell Canada, 2008. Tous droits réservés
- 21. XSS
Le Cross Site Scripting (XSS) est une attaque exploitant une
faiblesse d'un site web qui ne valide pas ses paramètres en
entrée. Un malfaiteur envoie du code non voulu à l'application,
celle-ci envoie ensuite ce code à un autre utilisateur.
Afficher du contenu subversif
Rediriger l'utilisateur vers un autre site
Voler l'information du client accessible par le site Web
Télécharger un fichier à l’insu de l’internaute
© Bell Canada, 2008. Tous droits réservés
- 22. XSS
En fait, tous les sites web sont potentiellement
vulnérables au XSS. Des failles XSS ont été trouvées
dans les pages d'erreurs de serveurs Web (Apache
Tomcat).
Le balayage personnel fait par un ami a trouvé en une
soirée via google 234 sites vulnérables au XSS.
Selon Gartner, 70 % des sites transactionnels sont
vulnérables à un XSS.
© Bell Canada, 2008. Tous droits réservés
- 23. Info +
Une firme de sécurité a identifié plus de 10 000 pages Web
qui ont été piratées via des failles XSS par le même groupe
de pirates informatiques. - www.itnews.com.au (mars 2008)
Nous entendons souvent des avertissements de ne pas aller
sur les sites auquels vous ne faites pas confiance :
C’est une excellente idée, mais aujourd’hui même les sites
auquels vous avez confiance peuvent être compromis sans
que vous le sachiez.
© Bell Canada, 2008. Tous droits réservés
- 24. www.xssed.com
“Citibank's critical cross-site scripting vulnerabilities” - Août 2008
“HSBC web sites are open to critical XSS attacks” - Juin 2008
“Verisign, McAfee and Symantec sites can be used for phishing
due to XSS” - Juin 2008
“New XSS flaws within eBay sites” - Mai 2008
“Facebook vulnerable to XSS. Over 70 million users are at risk.”
- Mai 2008
© Bell Canada, 2008. Tous droits réservés
- 26. Poste
Windows
Poste
Linux
IDS Coupe-feu Routeur
Proxy
Poste
Macintosh
Réseau Corporatif
© Bell Canada, 2008. Tous droits réservés
- 27. Code PHP <iframe>
www.michelcusin.com
Hacker
© Bell Canada, 2008. Tous droits réservés
- 28. OK
www.michelcusin.com
01110100
10101010
00101010
Hacker
© Bell Canada, 2008. Tous droits réservés
- 30. Code HTML <iframe>
www.michelcusin.com
Hacker
© Bell Canada, 2008. Tous droits réservés
- 31. OK Code HTML <iframe>
www.michelcusin.com
© Bell Canada, 2008. Tous droits réservés
- 32. OK
www.michelcusin.com
1) Code HTML 2) Javascript
Serveur de dépôt de fichiers
Proxy Anonyme
© Bell Canada, 2008. Tous droits réservés
- 33. OK
www.michelcusin.com
2) Javascript
Serveur de dépôt de fichiers
Proxy Anonyme
Serveur Web Victime du scan
© Bell Canada, 2008. Tous droits réservés
- 34. OK
www.michelcusin.com
Serveur de dépôt de fichiers
Proxy Anonyme
© Bell Canada, 2008. Tous droits réservés
- 35. Quelques pistes de solutions…
Facteur humain;
Valider toujours les paramètres en entrée et n'accepter que
ce qui est explicitement autorisé;
Auditer les applications Web à l'interne et à l'externe;
Porter attention à la réutilisation de composantes qui n'ont pas été
développées avec la sécurité en tête ou encore qui ont été
téléchargées du net;
Pares-feu: les mettre à jour, certaines techniques aideront à éviter
ce genre d’attaque;
Bloquer le traffic vers le RBN (russian business network).
© Bell Canada, 2008. Tous droits réservés
- 36. Conclusion
© Bell Canada, 2008. Tous droits réservés