Académique Documents
Professionnel Documents
Culture Documents
La citadelle électronique
Sécurité contre l’intrusion informatique
volume 1
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
4
4 Solutions à la clef
4 Introduction
4 Solutions à la clef
4 Programme du cours: volume 1
4 Solutions à la clef
4 Programme du cours: volume 1
f Obtention d’informations
f Scanners
f Social Engineering
f Virus, Trojan, Backdoor
f D0S, DDoS
f SMTP
f Compromission Système
f BoF
f Sniffer
f Web
f Wireless
f Etc.
4 Solutions à la clef
4 Programme du cours: volume 2
4 Solutions à la clef
4 La sécurité informatique ?
4 Solutions à la clef
4 Définition: système d’informations
4 Solutions à la clef
4 Exemple de biens informatiques
f Le système de production
f Industrie, Banques
f Les informations financières
f Les informations commerciales
f Le système de commerce électronique
f Les bases de données
f Les brevets, inventions
f Etc.
4 Solutions à la clef
4 Les objectifs de sécurité
4 Solutions à la clef
4 Estimation du risque
4 Solutions à la clef
4 Les coûts d’une attaque ?
4 Solutions à la clef
4 Les menaces: communauté « Black Hat » ou « Hackers »
4 Solutions à la clef
4 Les menaces: tendances
4 Solutions à la clef
4 Sources d’informations
f Sites Internet
f Conférences
f Black Hat
f Defcon
f Etc.
f Journaux
f IRC, Chat
f Publications
f Ecoles de « hacking »
f Etc.
4 Solutions à la clef
4 Leurs motivations ?
f Le profit et l’argent
f Avantage compétitif
f Espionnage
f Vengeance
f Revendication
f Curiosité
f Gloire
f Etc.
4 Solutions à la clef
4 Evolution des attaques
4 Solutions à la clef
4 Pyramide des menaces
4 Solutions à la clef
4 Les vulnérabilités
4 Solutions à la clef
4 Augmentation des vulnérabilités
f Environ 72 nouvelles
vulnérabilités par semaine en
2003
f Et 2004, 2005 ?
4 Solutions à la clef
4 Incidents reportés par le CERT
4 Solutions à la clef
4 CVE: Common Vulnerabilities and Exposures
4 Solutions à la clef
4 CVE: une nouvelle vulnérabilité PHP
Organization Name
CERT CA-96.06.cgi_example_code
ISS http-cgi-phf
Bugtraq PHF Attacks – Fun and games for the whole family
CERIAS http_escshellcmd
4 Solutions à la clef
4 CVE: produits de sécurité
4 Solutions à la clef
4
4
Source: CVE 2002
1000
1500
2000
2500
3000
3500
4000
4500
5000
500
0
Sep-99
Oct-99
Nov-99
Dec-99
Jan-00
Feb-00
Candidates
CVE Entries
Mar-00
Apr-00
May-00
Jun-00
Evolution des entrées CVE
Jul-00
Aug-00
Sep-00
Oct-00
Nov-00
Dec-00
Jan-01
Feb-01
Mar-01
Apr-01
May-01
Jun-01
Jul-01
Aug-01
Sep-01
Oct-01
Nov-01
Dec-01
Jan-02
Feb-02
Mar-02
Apr-02
May-02
Jun-02
Solutions à la clef
4 Vulnérabilités: Top 20
4 Solutions à la clef
4 http://sans20.qualys.com: Free tool !
4 Solutions à la clef
4 Les tendances: les firewalls ne sont plus suffisants !
4 Solutions à la clef
4 Influence du temps ?
4 Solutions à la clef
4 Evolution des risques dans le temps ?
Risque
Risques
de demain
Risques
Temps
acceptés
aujourd’hui
4 Solutions à la clef
4 Cycle d’une vulnérabilité
Time
Gap
Source: CERT 2002
4 Solutions à la clef
4 Evolution dans le temps
Time
Growing Gap
4 Solutions à la clef
4 L’idée: diminuer le risque et maintenir cette démarche
Risque accepté
Risque initial
4 Solutions à la clef
4 Quel montant faut il investir ?
Risque
Risques
acceptés
Coûts
4 Solutions à la clef
e-Xpert Solutions SA | 3, chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Les attaques
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
4 Obtention d’informations
4 Solutions à la clef
4 Recherche du nom de domaine
4 Solutions à la clef
4 Obtention d’informations des « Domain Name Server »
4 Solutions à la clef
4 Exemple: essais d’un « zone transfer »
4 Solutions à la clef
4 Exemple: essais d’un « zone transfer »
Transfert interdit
4 Solutions à la clef
4 Les scanners: identification à distance des systèmes
4 Solutions à la clef
4 Types de scanners
4 Solutions à la clef
4 Scanner de ports
4 Solutions à la clef
4 Scanner de ports
4 Solutions à la clef
4 Scan ouvert (Standard TCP Connect)
Source:
Matta Security 2002
4 Solutions à la clef
4 Scan demi-ouvert (Half-Open Syn Scan)
Source:
Matta Security 2002
4 Solutions à la clef
4 Scan Furtif (Hosts Unix)
Source:
Matta Security 2002
4 Solutions à la clef
4 UDP Scan
Source:
Matta Security 2002
4 Solutions à la clef
4 Scanner de ports pour Windows
Attaquant
Cible
0-n
4 Solutions à la clef
4 Scanner de ports: NMAP pour Unix
4 Solutions à la clef
4 « OS Fingerprint » ou prise d’empreinte
4 Solutions à la clef
4 « OS Fingerprint »: illustration
4 Solutions à la clef
4 « OS Fingerprint »: les techniques
Source
Intranode 2001
4 Solutions à la clef
4 « OS Fingerprint »: analyse de banière
Source
Intranode 2001
4 Solutions à la clef
4 « OS Fingerprint »: analyse de banière
4 Solutions à la clef
4 HTTP Fingerprinting
4 Solutions à la clef
4 « OS Fingerprint »: intérogation TCP/IP
Source
Intranode 2001
4 Solutions à la clef
4 « OS Fingerprint »: les outils
f Nmap
f Queso
f XProbe2
f Ring
f HMAP (Web Serveurs)
f HTTPrint
f Smtpscan
f Etc.
4 Solutions à la clef
4 Scanner de vulnérabilités
4 Solutions à la clef
4 Scanner de vulnérabilités
4 Solutions à la clef
4 Scanner de vulnérabilités: Nessus
4 Solutions à la clef
4 Scanner mode ASP
4 Solutions à la clef
4 Exemple: scanner mode ASP
4 Solutions à la clef
4 Web Scanner
4 Solutions à la clef
4 Déni de services: DoS ou DDoS
4 Solutions à la clef
4 Déni de services: DoS ou DDoS
f 4 grandes familles
f Les « destructeurs » de système
f Les Floodings
f Les « dévoreurs » de bande passante ou ressources CPU
f Les Mails Bombs
4 Solutions à la clef
4 Les destructeurs de système
Source:
Gibson Research Corparation 2002
4 Solutions à la clef
4 Exemple d’outils D0S pour Microsoft
4 Solutions à la clef
4 Flooding
4 Solutions à la clef
4 Attaque Syn-Flood
4 Solutions à la clef
4 Initialisation d’une connexion TCP en trois phases
Source:
Gibson Research Corparation 2002
4 Solutions à la clef
4 Attaque de type Syn-Flood
Source:
Gibson Research Corparation 2002
4 Solutions à la clef
4 Exemple: Syn-Flood
Source:
Gibson Research Corparation 2002
4 Solutions à la clef
4 Les dévoreurs de ressources
4 Solutions à la clef
4 Exemple: Smurf
Source:
Gibson Research Corparation 2002
4 Solutions à la clef
4 Distributed Denial of Service (DDoS)
4 Solutions à la clef
4 DDoS: fonctionnement de base
Source:
Gibson Research Corparation 2002
4 Solutions à la clef
4 Exemple: DDoS
Source:
Gibson Research Corparation 2002
4 Solutions à la clef
4 Les Mails Bombs
4 Solutions à la clef
4 Exemple: mail bomber…
4 Solutions à la clef
4 Social Engineering
Kevin Mitnik
4 Solutions à la clef
4 Social Engineering
4 Solutions à la clef
4 Social Engineering: la messagerie
4 Solutions à la clef
4 Social Engineering: le petit cadeau…
4 Solutions à la clef
4 Les virus
4 Solutions à la clef
4 Evolution du nombre de virus
F-Secure
Septembre 2001
4 Solutions à la clef
4 Virus: définition
4 Solutions à la clef
4 Anatomie d’un virus
4 Solutions à la clef
4 Différents types de virus
4 Solutions à la clef
4 Cheval de Troie ou trojan
f Définition:
f Un programme légitime qui exécute des actions indésirables
f Ne se réplique pas
f Fait partie de la famille des virus au sens large du terme
f Aussi connu sous le nom de « PESTS »
f Exemple: un jeux qui installe un key logger
f Le moyen de transport est souvent la messagerie ou un site web
f Une fois executé, il installe:
f Un Malware, Spyware
f Une Back Door
f Etc.
4 Solutions à la clef
4 Evolution des « PESTS »
4 Solutions à la clef
4 Backdoor
4 Solutions à la clef
4 Backdoor classique: mode de connexion
4 Solutions à la clef
4 Backdoor classique: firewall
4 Solutions à la clef
4 Backdoor évoluée
4 Solutions à la clef
4 Un réseau « typique »
4 Solutions à la clef
4 Backdoor: utilisation de IE (http/ https)
4 Solutions à la clef
4 Key logger
4 Solutions à la clef
4 Exemple de Key Logger
4 Solutions à la clef
4 Evolution des virus: 1988-2002
Black Hat
Backdoor
invisible
4 Solutions à la clef
4 Atteinte à l’intégrité: exemple avec une attaque sur les DNS
Modification
du mail
Hacker
Changement des
MX Record
4 Solutions à la clef
4 Compromission système
4 Solutions à la clef
4 Compromission système
f L’accès permet:
f Examiner des informations confidentielles
f Altérer ou détruire des données
f Utiliser des ressources systèmes
f Ecouter le traffic sur le réseau local
f Effectuer des DoS
f Lancer des attaques vers d’autres systèmes
4 Solutions à la clef
4 Compromission système: scénario classique d’attaque
4 Solutions à la clef
4 Compromission système
4 Solutions à la clef
4 Root Kit: les deux familles
4 Solutions à la clef
4 Root Kit: compromission d’autres systèmes
4 Solutions à la clef
4 Buffer Overflow
4 Solutions à la clef
4 Buffer Overflow: une menace très importante
f B0F
f 60% des attaques (CERT 2002)
f Très puissant
f Exécution de code hostile (très souvent avec privilèges)
f Exploit local ou distant
f Extrêmement facile à utiliser
f Tools pour « Script Kidies » (Exploit)
f Code Red et Nimda en 2001
f B0F on ISAPI
4 Solutions à la clef
4 Buffer Overflow: pourquoi existent ils ?
f Mauvaise programmation
f Gestion des pointeurs
f Manipulation des « buffers »
f Peu de contrôle du code (QA)
f Pas de tests des BoF
f Pas de validation des « buffers »
f Limitation du nombre de caractères
f Pas de design pensé sécurité
f Trop chère et trop lent
4 Solutions à la clef
4 Buffer Overflow: objectif
4 Solutions à la clef
4 Buffer Overflow: démonstration
Source:
Entercept 2002
4 Solutions à la clef
4 Buffer Overflow: démonstration
Source:
Entercept 2002
4 Solutions à la clef
4 Buffer Overflow: démonstration
Source:
Entercept 2002
4 Solutions à la clef
4 Buffer Overflow: démonstration
Source:
Here is the “Call” instruction that tells the OS
Entercept 2002
to jump to our SayHello subroutine
4 Solutions à la clef
4 Buffer Overflow: démonstration
Source:
This is where the program SHOULD return
Entercept 2002
after executing SayHello: 0040D734
4 Solutions à la clef
4 Buffer Overflow: démonstration
Source:
Entercept 2002
4 Solutions à la clef
4 Buffer Overflow: démonstration
Source:
Entercept 2002
4 Solutions à la clef
4 Buffer Overflow: démonstration
Source:
Entercept 2002
4 Solutions à la clef
4 Buffer Overflow: démonstration
Source:
Entercept 2002
4 Solutions à la clef
4 Buffer Overflow: démonstration
Source:
Entercept 2002
4 Solutions à la clef
4 Buffer Overflow: démonstration
Source:
Entercept 2002
4 Solutions à la clef
4 Buffer Overflow: démonstration
When strcpy() is
called, the malicious
data is copied into
the buffer and
overflows it,
overwriting the
return address.
The bytes of the
return address are
now 35 39 34 35.
Source:
Entercept 2002
4 Solutions à la clef
4 Buffer Overflow: démonstration
Ou
exécution d’un code hostile
Source:
Entercept 2002
4 Solutions à la clef
4 Buffer Overflow: How to be Root !
Code hostile
4 Solutions à la clef
4 Découverte des mots de passe
f Les approches
f Attaque par dictionnaire
f Basée sur des fichiers de mots de passe
f Fichiers générique
f Fichiers thématiques
f Attaque par « brute force »
f Essai de toutes les combinaisons
f Attaque hybride
f Dictionnaire et « brute force »
4 Solutions à la clef
4 Découverte des mots de passe: techniques
4 Solutions à la clef
4 Exemple avec Windows 2000 (Kerberos)
4 Solutions à la clef
4 Exemple avec Windows 2000 (Kerberos)
4 Solutions à la clef
4 Les renifleurs (Sniffer)
4 Solutions à la clef
4 Les renifleurs (Sniffer): environnements « Switché »
f Techniques utilisées
f MAC Attacks
f ARP Attacks
f Etc.
4 Solutions à la clef
4 MAC Attacks
f MAC Flooding
f Corruption des tables CAM
f Agit comme un HUB
f Utilisation d’un sniffer
f Outils disponible sur Internet !
f macof
4 Solutions à la clef
4 ARP attack: ARP Spoofing
4 Solutions à la clef
4 Renifleur dans un environement « switché »
Client
Cible
Attaque ARP
Flux Client-Serveur
telnet
Réseau « switché »
Attaque ARP
Serveur
Cible
Client
Cible
4 Solutions à la clef
4 Détournement de session: protocoles sécurisés
Session SSH
Session SSL
4 Solutions à la clef
4 Cain: Free Tool
4 Solutions à la clef
4 Application Web
Source:
WhiteHat Security
2002
4 Solutions à la clef
4 Application Web: la futilité du firewall
Source:
WhiteHat Security
2002
4 Solutions à la clef
4 Application Web: SSL sécurise mon site Web
Source:
WhiteHat Security
2002
4 Solutions à la clef
4 Application Web: les principales attaques
4 Solutions à la clef
4 Projet « Open Web Application Security Project (OWASP) »
f http://www.owasp.org
f Publication top 10 des vulnérabilités
4 Solutions à la clef
4 Defacement ou graffiti Web
4 Solutions à la clef
4 Application Web: défiguration
4 Solutions à la clef
4 Defacements: évolution dans le temps
4 Solutions à la clef
4 Exemple de défiguration politique: « Egyptian Fighter »
Source:
www.alldas.org
Août 2002
4 Solutions à la clef
4 Techniques de défiguration
4 Solutions à la clef
4 Microsoft IIS
4 Solutions à la clef
4 Microsoft IIS
4 Solutions à la clef
4 Réseaux Wireless
Source:
NIST 2002
4 Solutions à la clef
4 Réseaux Wireless: le problème
4 Solutions à la clef
4 Réseaux Wireless: les attaques et les outils
f Attaques passives
f Ecoute du trafic à distance (crypté ou pas)
f Attaques actives
f Usurpation d’une station
f Vol de session
f Modification de trafic
f DoS
f Etc.
f Les outils
f Un scanner 802.11x
f Un logiciel de Crackage WEP
f Un renifleur
f Etc.
4 Solutions à la clef
4 Réseaux Wireless: le Warchalking
4 Solutions à la clef
4 Réseaux Wireless: le Warchalking et ces symboles de base
4 Solutions à la clef
4 Compilation: CD Linux
4 Solutions à la clef
4 Links
f http://citadelle.intrinsec.com/
f http://www.net-security.org/
f http://packetstormsecurity.org/
f http://www.securiteam.com/
f http://www.securitynewsportal.com/index.shtml
f http://securitytracker.com/
f http://www.k-otik.com/bugtraq/
f http://www.cert.org
f http://www.sans.org
4 Solutions à la clef
4 Questions ?
4 Solutions à la clef
4