La Citadelle Électronique Sécurité Contre L'intrusion Informatique

e-Xpert Solutions SA | 3, chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
La citadelle électronique
Sécurité contre l’intrusion informatique
volume 1
Sylvain Maret / version 1.2

Octobre 2004
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
4
“ L’art de fortifier ne consiste pas dans des règles et des systèmes

mais uniquement dans le bon sens et l’expérience ”
Sebastien le Prestre de Vauban

Ingénieur Architecte 1633-1707
4 Solutions à la clef
4 Introduction
f Deux grands axes

f Les attaques
f Les outils à disposition
f Le cours n’est pas exhaustif
f Chaque sujet est une spécialité
f Tous les jours des nouvelles techniques
f Ethical Hacking
f Connaître les méthodes pour mieux se défendre
f Aucun nom de programmes de hacking « destructif »
4 Programme du cours: volume 1
f Définition de la sécurité informatique

f Estimation du risque
f Les menaces
f Les vulnérabilités
f CVE
f Evolution dans le temps
f Obtention d’informations
f Scanners
f Social Engineering
f Virus, Trojan, Backdoor
f D0S, DDoS
f SMTP
f Compromission Système
f BoF
f Sniffer
f Web
f Wireless
f Etc.
f Les outils de sécurité

f Firewall
f IDS
f Honeypot, Honeynet
f Systèmes d’authentification
f PKI
f Proxy
f VPN
f Etc.
4 La sécurité informatique ?
f Protection du système d’informations

f les biens de l’entreprise
f Une démarche globale
f Engagement de la direction de l’entreprise
f Classification des biens
f Estimation des risques
f Définition d’une politique de sécurité
f Mise en oeuvre de la politique de sécurité
f Une démarche constante
4 Définition: système d’informations
f Organisation des activités consistant à acquérir, stocker,

transformer, diffuser, exploiter, gérer … les informations
f Un des moyens pour faire fonctionner un système

d’information est l’utilisation d’un système informatique
4 Exemple de biens informatiques
f Le système de production
f Industrie, Banques
f Les informations financières
f Les informations commerciales
f Le système de commerce électronique
f Les bases de données
f Les brevets, inventions
f Etc.
4 Les objectifs de sécurité
f Diminution des risques (tendre vers zéro…)

f Mettre en œuvre les moyens pour préserver:
f La confidentialité
f L’intégrité
f L’authentification
f L’autorisation
f La non-répudation
f La disponibilité
4 Estimation du risque
Risque = Coûts * Menaces * Vulnérabilités
4 Les coûts d’une attaque ?
f Déni de services (perte de productivité)

f Perte ou altération des données
f Vol d’informations sensibles
f Destruction des systèmes
f Compromission des systèmes
f Atteinte à l’image de l’entreprise
f Etc.
4 Les menaces: communauté « Black Hat » ou « Hackers »
Source: CERT 2002
4 Les menaces: tendances
f Les « Black Hat » sont de mieux en mieux organisés

f Sites Web
f Conférences
f Attaques sur Internet sont faciles et difficilement
identifiables (peu de traces)
f Outils d’intrusion sont très évolués et faciles d’accès
4 Sources d’informations
f Sites Internet
f Conférences
f Black Hat
f Defcon
f Etc.
f Journaux
f IRC, Chat
f Publications
f Ecoles de « hacking »
f Etc.
4 Leurs motivations ?
f Le profit et l’argent
f Avantage compétitif
f Espionnage
f Vengeance
f Revendication
f Curiosité
f Gloire
f Etc.
4 Evolution des attaques
Source: CERT 2001
4 Pyramide des menaces
Source: RBC Capital Market
4 Les vulnérabilités
f Augmentation significative des vulnérabilités

f Pas de « design » pensé sécurité
f Complexité du système d’information
f Besoins Marketing (Software)
f Evolution très (trop) rapide des technologies
f Etc.
f Le maillon faible est l’humain…

f L’humain est imparfait par définition !
4 Augmentation des vulnérabilités
f Environ 72 nouvelles
vulnérabilités par semaine en
2003
f Et 2004, 2005 ?
Source: CERT octobre 2004
4 Incidents reportés par le CERT
Source: CERT octobre 2004
4 CVE: Common Vulnerabilities and Exposures
f Définition commune d’une

vulnérabilité
f De facto standard pour les
constructeurs
f Processus de validation par le
CVE
f 1er phase: canditature Æ
CAN-2004-xxx
f 2ème phase: acceptation ? Æ
CVE-2004-xxx
Source: CVE 2002
4 CVE: une nouvelle vulnérabilité PHP
Organization Name
CERT CA-96.06.cgi_example_code
CyberSafe Network: HTTP ‘phf’ Attack
ISS http-cgi-phf
AXENT phf CGI allows remote command execution
Bugtraq PHF Attacks – Fun and games for the whole family
BindView #107 – cgi-phf
Cisco #3200 – WWW phf attack
IBM ERS Vulnerability in NCSA/Apache Example Code
CERIAS http_escshellcmd
NAI #10004 - WWW phf check
Source: CVE 2002
4 CVE: produits de sécurité
Source: CVE 2002
4
4
Source: CVE 2002
1000
1500
2000
2500
3000
3500
4000
4500
5000
500
0
Sep-99
Oct-99
Nov-99
Dec-99
Jan-00
Feb-00
Candidates
CVE Entries
Mar-00
Apr-00
May-00
Jun-00
Evolution des entrées CVE
Jul-00
Aug-00
Sep-00
Oct-00
Nov-00
Dec-00
Jan-01
Feb-01
Mar-01
Apr-01
May-01
Jun-01
Jul-01
Aug-01
Sep-01
Oct-01
Nov-01
Dec-01
Jan-02
Feb-02
Mar-02
Apr-02
May-02
Jun-02
Solutions à la clef
4 Vulnérabilités: Top 20
Source: SANS octobre 2004
4 http://sans20.qualys.com: Free tool !
4 Les tendances: les firewalls ne sont plus suffisants !
f Attaques des applications

f 70 % des attaques http
(Gartner 2004)
f B0F: 60% des problèmes
(CERT 2004)
f 3 sites Web sur 4 sont
vulnérables (Gartner 2004)
4 Influence du temps ?
f La sécurité est un processus permanent

f Et non un produit…
f L’idée:
f Maintenir en permanence les vulnérabilités au plus bas
f Suivre les recommandations des constructeurs (patchs, update,
etc.)
f Amélioration de l’architecture de sécurité
f Evaluation des systèmes
f Audit
f Tests d’intrusions
4 Evolution des risques dans le temps ?
Risque
Risques
de demain
Risques
Temps
acceptés
aujourd’hui
4 Cycle d’une vulnérabilité
Time
Gap
Source: CERT 2002
4 Evolution dans le temps
Time
Growing Gap
Source: CERT 2002

Ideal Gap
4 Peut-on prévenir les intrusions ?
Source: CERT 2002
4 L’idée: diminuer le risque et maintenir cette démarche
Risque accepté
Risque initial
4 Quel montant faut il investir ?
Risque
Risques
acceptés
Coûts
e-Xpert Solutions SA | 3, chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Les attaques
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
4 Obtention d’informations
f La première phase avant une attaque

f Obtention d’informations passives
f Recherche par le Web (google)
f NIC, Ripe
f Whois
f Sam Spade
f Registre du commerce
f Etc.
4 Recherche du nom de domaine
4 Obtention d’informations des « Domain Name Server »
f Obtention d’informations techniques

f DNS
f MX Record
f Zone transfert (si possible)
f Etc.
f Les Outils
f DIG
f Nslookup
f Host
f Etc.
4 Exemple: recherche des entrées de messagerie (MX Record)
4 Exemple: essais d’un « zone transfer »
4 Exemple: essais d’un « zone transfer »
Transfert interdit
4 Les scanners: identification à distance des systèmes
f Technique d’identification des systèmes et des

applications
f Processus d’obtention d’informations (information gathering)
f Phase d’approche préalable à une attaque
f Facteur déterminant lors d’une attaque
f Objectif: identifier de manière précise le type de système
pour mieux cibler son attaque
f En déduire ses vulnérabilités
4 Types de scanners
f Scanner de ports ou services

f Scanner de type « OS Fingerprint »
f Scanner de vulnérabilitées
f Scanner générique
f Scanner de type « WEB Scanner »
f Scanner de base de données
f SQL server
f Oracle
f Etc.
4 Scanner de ports
f Objectif: cartographier de manière précise les services offert par une

machine ou un réseau de machines
f Serveur Web
f Server DNS
f Messagerie
f Serveur FTP
f Server Real
f Service Microsoft
f Service SSH
f IPSEC
f Firewall
f Etc.
4 Scanner de ports
f Scan de ports TCP et UDP voir ICMP

f Option de scan:
f Scan ouvert (Vanilla TCP Scan)
f Scan demi-ouvert
f Scan furtif
f Scan très lent
f Etc.
f L’idée: ne pas se faire détecter par un IDS
f Scanner est un art !
4 Scan ouvert (Standard TCP Connect)
Source:
Matta Security 2002
4 Scan demi-ouvert (Half-Open Syn Scan)
Source:
Matta Security 2002
4 Scan Furtif (Hosts Unix)
Source:
Matta Security 2002
4 UDP Scan
Source:
Matta Security 2002
4 Scanner de ports pour Windows
Attaquant
Cible
0-n
4 Scanner de ports: NMAP pour Unix
4 « OS Fingerprint » ou prise d’empreinte
f Objectif: détermininer de manière précise le type de

système d’exploitation et de service
f Win2k, Solaris 2.7, IOS 11.x, Red Hat, Mac, etc.
f Apache 2.x, Sendmail 8.x, IIS v5, Checkpoint, etc.
f Approche passive et active
f L’idée: ne pas se faire détecter par un IDS
4 « OS Fingerprint »: illustration
4 « OS Fingerprint »: les techniques
Source
Intranode 2001
4 « OS Fingerprint »: analyse de banière
Source
Intranode 2001
4 « OS Fingerprint »: analyse de banière
4 HTTP Fingerprinting
4 « OS Fingerprint »: intérogation TCP/IP
Source
Intranode 2001
4 « OS Fingerprint »: les outils
f Nmap
f Queso
f XProbe2
f Ring
f HMAP (Web Serveurs)
f HTTPrint
f Smtpscan
f Etc.
4 Scanner de vulnérabilités
f Deux grandes familles

f Product Based Solution
f Service Based Solution
f Updates automatique
f Signatures de vulnérabilités
f Généralement compatible CVE
f Certains produits disponibles en Open Source
4 Scanner de vulnérabilités
f Outils très complets (mais généraliste)

f Services WEB
f FTP, DNS, SNMP, etc.
f NetBios (Microsoft)
f SSH Servers
f RPC
f D0S
f Database
f Mail
f Etc.
4 Scanner de vulnérabilités: Nessus
4 Scanner mode ASP
f Tests d’intrusions réalisés par un centre de tests

d’intrusions
f Les tests sont réalisés à la demande ou de façon
automatique
f Le résultat est consultable, en ligne, par un navigateur
Web
f Les cibles à tester sont principalement des services
frontaux (Internet, Extranet)
4 Exemple: scanner mode ASP
Source: Qualys 2002
4 Web Scanner
f Outils de tests d’intrusions pour les services Web

f Outils très spécialisés
f Tests très poussés au niveau des applications
f CGI
f Cookies
f Unicode
f B0F
f BackDoor
f Hiden Field
f Brute force
f XSS, CSS
f Etc.
4 Déni de services: DoS ou DDoS
f Atteinte au bon fonctionnement d’un système

f Immobilisation ou « gel »
f Utilisation massive des ressources CPU
f Utilisation massive de la bande passante
f Crash du système
f Voir perte de données
4 Déni de services: DoS ou DDoS
f 4 grandes familles
f Les « destructeurs » de système
f Les Floodings
f Les « dévoreurs » de bande passante ou ressources CPU
f Les Mails Bombs
4 Les destructeurs de système
f Attaques qui « crash » les systèmes

f Pratiquement invisible
f Exploitent les vulnérabilités des systèmes d’exploitation
ou des applications
f Beaucoup de problèmes avec Windows NT
f Attaques de type
f Ping of death
f Teardrop
f Land
f Targa
f Etc.
4 Exemple: destruction d’un système
Source:
Gibson Research Corparation 2002
4 Exemple d’outils D0S pour Microsoft
4 Flooding
f Litéralement: « l’inondation » d’un système

f Attaques de type
f Syn-Flood
f Log-Flood
f Data-Flood
4 Attaque Syn-Flood
f Exploitation du mécanisme d’établissement d’une

connexion TCP
f Immobilisation du système
f Peut dans certains cas « crasher » le système
f Pratiquement anonyme
f Spoofing d’adresse IP source
4 Initialisation d’une connexion TCP en trois phases
Source:
4 Attaque de type Syn-Flood
Source:
4 Exemple: Syn-Flood
Source:
4 Les dévoreurs de ressources
f Utilisation massive de la bande passante ou des

ressources CPU
f La plus connue est Smurf
4 Exemple: Smurf
Source:
4 Distributed Denial of Service (DDoS)
f Amplification des attaques D0S

f Attaques très dangereuses
f Peut impliquer jusqu’à un millier de machines attaquantes
f Outils Open Source
4 DDoS: fonctionnement de base
Source:
4 Exemple: DDoS
Source:
4 Les Mails Bombs
f Programmes qui envoient des mails en quantité massive

f Mails obscènes
f Mails en quantité énormes
f Abonnement à des mailling lists
f Fichiers attachés gigantesques
f Etc.
f Très difficile à stopper
f Très difficile à tracer
f Relais de messagerie anonyme
4 Exemple: mail bomber…
4 Social Engineering
« The weakest link in the chain is the people »
Kevin Mitnik
4 Social Engineering
f Technique dans le but d’0btenir des informations

confidentielles pour préparer une attaque
f Utilisation du téléphone
f Utilisation de l’ e-mail
f Utilisation d’un fax ou du courrier
f Vol de documents, photos, vol de matériels, etc
f Manipulation psychologique
f Etc.
4 Social Engineering: la messagerie
Source: Hacknet 2002
4 Social Engineering: le petit cadeau…
4 Les virus
f Une des plus grande menace pour les entreprises

f Pus de 90 % des entreprises ont subi des attaques virales
f Le temps de propagation est de plus en plus rapide !
f Coût moyen d’une attaque:
f 105’000 .- CHF
f Environ 20 jours / homme de travail
Source: ICSA 2001
4 Evolution du nombre de virus
F-Secure
Septembre 2001
4 Virus: définition
f Un virus est un programme qui se réplique en s’attachant

à un autre objet
f Un ver (Worm) est un programme qui se réplique de façon

indépendante
4 Anatomie d’un virus
f Une routine de réplication

f Cette partie est obligatoire pour être un virus
f Autrement il s’agit d’un « Malware »
f Une routine de type « payload »
f Partie optionnelle qui effectue une action
f Destruction, Vol d’information, etc.
f Affichage d’une image ou vidéo, etc.
f Son
f Etc.
4 Différents types de virus
f Boot sector viruses

f Traditional files viruses
f Document et macro viruses
f 32 bits files viruses
f Worms (mail worm / pure worm)
f Malware
f Cheval de Troie
f Backdoor
f Spyware
f Etc.
4 Cheval de Troie ou trojan
f Définition:
f Un programme légitime qui exécute des actions indésirables
f Ne se réplique pas
f Fait partie de la famille des virus au sens large du terme
f Aussi connu sous le nom de « PESTS »
f Exemple: un jeux qui installe un key logger
f Le moyen de transport est souvent la messagerie ou un site web
f Une fois executé, il installe:
f Un Malware, Spyware
f Une Back Door
f Etc.
4 Evolution des « PESTS »
Source: PestPatrol 2001
4 Backdoor
f Programme malicieux permettant le contrôle total d’une machine

f Fonctionalités
f Capture écran, clavier, caméra, carte son
f Transfert de fichiers
f Capture des mots de passe
f Registry
f Exécution de programme
f Pop up
f Sniffer, connexion réseau
f Support de Plug-In
f Etc.
4 Backdoor classique: mode de connexion
Source: SensePost 2002
4 Backdoor classique: firewall
4 Backdoor évoluée
4 Un réseau « typique »
4 Backdoor: utilisation de IE (http/ https)
4 Key logger
f Famille des « Malware » ou « SpyWare »

f Permet d’enregistrer toutes les touches du clavier
f Envoie des informations par:
f Mail
f FTP
f HTTP
f Etc.
f Invisible sur la machine pour un utilisateur « standard »
f Disponible en logiciel commercial…
4 Exemple de Key Logger
4 Evolution des virus: 1988-2002
Source: F-Secure 2001

4 Messagerie SMTP
f Remote SMTP Server Detection

f Attaque basée sur une vulnérabilité (DoS, BoF, Root exploit, etc.)
f Relais de messagerie
f Usurpation d’identité
f Spoofing de mail
f Protocole SMTP
f Protocole non sécurisé
f Atteinte à l’intégrité des messages
f Atteinte à la confidentialité des messages
f Spam (mail bomber, publicité, etc.)
4 Atteinte à la confidentialité: exemple avec une Backdoor
SMTP Serveur de POP3

messagerie
Personne B
Personne A
Black Hat
Backdoor
invisible
4 Atteinte à l’intégrité: exemple avec une attaque sur les DNS
Modification
du mail
Hacker
Mail
Changement des
MX Record
4 Compromission système
f L’idée est de prendre le contrôle complet de la machine au

niveau de son système d’exploitation
f Les cibles sont des machines mal configurées ou/et non
« patchées »
f Microsoft
f Unix / Linux
f etc.
f L’accès permet:
f Examiner des informations confidentielles
f Altérer ou détruire des données
f Utiliser des ressources systèmes
f Ecouter le traffic sur le réseau local
f Effectuer des DoS
f Lancer des attaques vers d’autres systèmes
4 Compromission système: scénario classique d’attaque
Source: CERT 2001
f Après la compromission du système:

f Effacement des fichiers de « logs »
f Inspection de la machine
f FIA, etc
f Installation d’une « Back Door »
f Installation d’un « Root Kit »
f Installation de logiciels d’attaques
f Outils d’attaques « ARP »
f Un sniffer de mot de passe
f Un scanner
f Etc.
4 Root Kit
f Kit de programmes pour dissimuler les traces sur une machine et

garder le contrôle de la machine (Root)
f Environnement Unix et Microsoft
f Root Kit Unix
f Remplacement des commandes: ls, ps, netstat, top, su, tcpd, ssh, etc.
f Cacher certains fichiers
f Backdoor
f Root Kit Microsoft
f Cache certains processsus
f Cache certains fichiers
f Cache certaines « Registries »
f Backdoor
4 Root Kit: les deux familles
f Application Root Kit

f Root Kit conventionnel
f Remplacement des commandes
f Programme avec Backdoor
f Kernel Root Kit
f Manipulation des « Call System »
f Très difficile à détecter
4 Root Kit: compromission d’autres systèmes
4 Buffer Overflow
4 Buffer Overflow: une menace très importante
f B0F
f 60% des attaques (CERT 2002)
f Très puissant
f Exécution de code hostile (très souvent avec privilèges)
f Exploit local ou distant
f Extrêmement facile à utiliser
f Tools pour « Script Kidies » (Exploit)
f Code Red et Nimda en 2001
f B0F on ISAPI
4 Buffer Overflow: pourquoi existent ils ?
f Mauvaise programmation
f Gestion des pointeurs
f Manipulation des « buffers »
f Peu de contrôle du code (QA)
f Pas de tests des BoF
f Pas de validation des « buffers »
f Limitation du nombre de caractères
f Pas de design pensé sécurité
f Trop chère et trop lent
4 Buffer Overflow: objectif
f Forcer l’exécution d’un code hostile dans le but de:

f D’obtenir un accès Root ou équivalent
f Exécuter un D0S
f D’installer une backdoor
f De corrompre une machine
f Etc.
f Pas de limite: dépend du code hostile et de l’imagination de son
auteur
4 Buffer Overflow: démonstration
Source:
Entercept 2002
Source:
Entercept 2002
Source:
Entercept 2002
Source:
Here is the “Call” instruction that tells the OS
Entercept 2002
to jump to our SayHello subroutine
Source:
This is where the program SHOULD return
Entercept 2002
after executing SayHello: 0040D734
The return address

(00 40 D7 34) is now
pushed onto the
stack. Intel
architectures are
little-endian, so the
address appears
reversed:
34 D7 40 00
Source:
Entercept 2002
The debugger has

cleared the stack
frame for us by filling
it with CC bytes
Source:
Entercept 2002
Now the strcpy()

function is called.
The data supplied is
copied into the buffer.
Source:
Entercept 2002
Source:
Entercept 2002
Source:
Entercept 2002
Note the valid return

address bytes:
34 D7 40 00
Source:
Entercept 2002
When strcpy() is
called, the malicious
data is copied into
the buffer and
overflows it,
overwriting the
return address.
The bytes of the
return address are
now 35 39 34 35.
Source:
Entercept 2002
Ou
exécution d’un code hostile
Source:
Entercept 2002
4 Buffer Overflow: How to be Root !
Code hostile
4 Découverte des mots de passe
f Les approches
f Attaque par dictionnaire
f Basée sur des fichiers de mots de passe
f Fichiers générique
f Fichiers thématiques
f Attaque par « brute force »
f Essai de toutes les combinaisons
f Attaque hybride
f Dictionnaire et « brute force »
4 Découverte des mots de passe: techniques
f Obtention du fichier des mots de passe

f /etc/passwd - /etc/shadows (Unix)
f Fichier Sam Microsoft (Syskey)
f Etc.
f Capture à l’aide d’un renifleur
f Microsoft NT 4.0 (NTLM), Win 2000/2003/XP (Kerberos)
f Telnet, FTP, ldap, etc.
f Attaques par connexion
f Serveur Telnet, FTP, POP3, HTTP, etc
f Routeurs, Switchs, Appliance
f Main Frame
f ERP
f Etc.
4 Exemple de recherche de mots de passe
4 Exemple avec Windows 2000 (Kerberos)
4 Exemple avec Windows 2000 (Kerberos)
4 Les renifleurs (Sniffer)
f Outils de capture du trafic réseau

f Utilisent la carte réseau en mode « promiscuous »
f Les « Black Hat » les utilisent pour:
f Examiner le traffic entre plusieurs machines
f Capturer les mots de passe
f Examiner les emails
f Etc.
f La plupart des applications sont en « claires »
f Telnet, FTP, POP3, ldap, http, rlogin, etc.
f Un renifleur est pratiquement indétectable !
4 Exemple de sniffer Unix: dsniff
4 Les renifleurs (Sniffer): environnements « Switché »
f Il est possible de renifler dans

un environnement switché
f Techniques utilisées
f MAC Attacks
f ARP Attacks
f Etc.
Source: Cisco 2002
4 MAC Attacks
f MAC Flooding
f Corruption des tables CAM
f Agit comme un HUB
f Utilisation d’un sniffer
f Outils disponible sur Internet !
f macof
Source: Cisco 2002
4 ARP attack: ARP Spoofing
f Corruption des tables ARP à l’aide d’outils

f ARP n’offre pas de mécanisme de sécurité !
f Méthode très simple
f Outils les plus connus
f Dsniff by Dug Song
f Ettercap
f Hunt
f Arp-sk
f Etc.
4 Renifleur dans un environement « switché »
Client
Cible
Attaque ARP
Flux Client-Serveur
telnet
Réseau « switché »
Attaque ARP
Flux Client-Serveur telnet

Renifleur Routage
Serveur
Cible Solutions à la clef
4
4 Détournement de session: Hijacking
Man in the Midle
SSH, Telnet, SSL, etc.
Serveur
Cible
Client
Cible
4 Détournement de session: protocoles sécurisés
Session SSH
Session SSL
Attention, ces messages ne sont pas anodins !
4 Cain: Free Tool
4 Application Web
f Application Web: application sofware qui est accessible à

l’aide un navigateur en utilisant http et/ou https (ou un
« user agent »
f Si le service est TCP 80 ou TCP 443, il s’agit probablement d’une
application Web
f Application très sensible
f Mauvaise configuration
f Vulnérabilité
f Bugs
f Etc.
f Nouvelle cible des "Black Hat" !
4 Application Web: architecture
Source:
WhiteHat Security
2002
4 Application Web: la futilité du firewall
Source:
WhiteHat Security
2002
4 Application Web: SSL sécurise mon site Web
Source:
WhiteHat Security
2002
4 Application Web: les principales attaques
f Vulnérabilités des serveurs Web

f IIS, Apache, I-Planet, etc.
f Exécution de programme
f Buffer Overflow
f Back Door
f Escalade de privilèges
f SQL
f Cross Site Scripting
f Défiguration (Defacement)
f Etc.
4 Projet « Open Web Application Security Project (OWASP) »
f http://www.owasp.org
f Publication top 10 des vulnérabilités
4 Defacement ou graffiti Web
4 Application Web: défiguration
f Définition: changement des pages Web

f Applications Web sont des cibles très visibles
f Les "Black Hat" utilisent ces ressources pour:
f Revendications
f Fun
f Vengeance
f Etc.
f Partie visible de l’iceberg
f En pleine croissance…
f http://www.attrition.org
f http://www.zone-h.org/en/defacements
4 Defacements: évolution dans le temps
4 Exemple de défiguration politique: « Egyptian Fighter »
Source:
www.alldas.org
Août 2002
4 Techniques de défiguration
f Changement des pages « Web »

f FTP
f Compromission du serveur
f Etc.
f DNS redirection ou « poisoning »
f Piratage de domaine
f Corruption des « proxy caches »
f Etc.
4 Microsoft IIS
f Beaucoup de failles de sécurité

f Top One (CERT)
f 60% des défigurations
f Année 2001
f ISAPI Buffer overflow (exécution de commande)
f Code Red
f IIS Directory Traversal (Unicode)
f « HTTP Request » malformées
f Installation backdoor, voir les fichiers, etc.
f « Sample Code »
f Code Red et Nimda
f 13 Juillet 2001 et 18 septembre 2001
4 Microsoft IIS
f Octobre 2001: Gartner Group recommande de trouver une

alternative à IIS…
f Microsoft promet une nouvelle version IIS ?
4 Réseaux Wireless
f Grande popularité du réseau sans fils

f Coûts abordables
f Confort d’utilisation
f La contre partie
f Gros problèmes de sécurité
f Concerne les protocoles 802.11x (a, b et g)
f 802.11x défini une couche de protection:
f WEP = Wired Equivalent Privacy
f Encryption rc4
f Intégrité avec un CRC32
4 Réseaux Wireless: l’architecture classique
Source:
NIST 2002
4 Réseaux Wireless: le problème
f Environ 70% des entreprise n’utilisent pas le WEP

f « Complexité »
f Performance
f WEP est très vulnérable
f Difficultés d’implémentation
f Possible de « cracker » les clés en peu de temps
f Rayonnement très important
f Possibilité de se connecter à distance (dans la rue par exemple)
4 Réseaux Wireless: les attaques et les outils
f Attaques passives
f Ecoute du trafic à distance (crypté ou pas)
f Attaques actives
f Usurpation d’une station
f Vol de session
f Modification de trafic
f DoS
f Etc.
f Les outils
f Un scanner 802.11x
f Un logiciel de Crackage WEP
f Un renifleur
f Etc.
4 Réseaux Wireless: le Warchalking
f Interception des réseaux Wireless depuis la rue

f Marquage des sites à l’aide de symbole
f Partage de l’information sur les sites Internet
f Coordonées GPS
f Etc.
4 Réseaux Wireless: le Warchalking et ces symboles de base
4 Compilation: CD Linux
4 Links
f http://citadelle.intrinsec.com/
f http://www.net-security.org/
f http://packetstormsecurity.org/
f http://www.securiteam.com/
f http://www.securitynewsportal.com/index.shtml
f http://securitytracker.com/
f http://www.k-otik.com/bugtraq/
f http://www.cert.org
f http://www.sans.org
4 Questions ?
4
e-Xpert Solutions S.A. est une société Suisse de services spécialisée en

sécurité informatique dont les fondateurs ont fait de leur passion leur
métier :
La sécurité des systèmes d'information
Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent,

déploient et maintiennent au quotidien des architectures de sécurité au
moyen de solutions pragmatiques, basées sur des technologies
fondamentales et novatrices, adaptées aux exigences de la clientèle.
Cette approche, associée à des collaborateurs motivés, flexibles et au
bénéfice d'une intégrité irréprochable, nous a permis d'assurer une
croissance continue et de gagner la confiance d'une clientèle issue de tout
domaine d'activité et de toute taille.
Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous
garantissent un contact de proximité.
http://www.e-xpertsolutions.com

La Citadelle Électronique Sécurité Contre L'intrusion Informatique

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

La Citadelle Électronique Sécurité Contre L'intrusion Informatique

Transféré par

Droits d'auteur :

Formats disponibles

e-Xpert Solutions SA | 3, chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Sylvain Maret / version 1.2

“ L’art de fortifier ne consiste pas dans des règles et des systèmes

Sebastien le Prestre de Vauban

f Deux grands axes

f Définition de la sécurité informatique

f Les outils de sécurité

f Protection du système d’informations

f Organisation des activités consistant à acquérir, stocker,

f Un des moyens pour faire fonctionner un système

f Diminution des risques (tendre vers zéro…)

Risque = Coûts * Menaces * Vulnérabilités

f Déni de services (perte de productivité)

Source: CERT 2002

f Les « Black Hat » sont de mieux en mieux organisés

Source: CERT 2001

Source: RBC Capital Market

f Augmentation significative des vulnérabilités

f Le maillon faible est l’humain…

Source: CERT octobre 2004

Source: CERT octobre 2004

f Définition commune d’une

Source: CVE 2002

CyberSafe Network: HTTP ‘phf’ Attack

AXENT phf CGI allows remote command execution

BindView #107 – cgi-phf

Cisco #3200 – WWW phf attack

IBM ERS Vulnerability in NCSA/Apache Example Code

NAI #10004 - WWW phf check

Source: CVE 2002

Source: CVE 2002

Source: SANS octobre 2004

f Attaques des applications

f La sécurité est un processus permanent

Source: CERT 2002

Source: CERT 2002

f La première phase avant une attaque

f Obtention d’informations techniques

f Technique d’identification des systèmes et des

f Scanner de ports ou services

f Objectif: cartographier de manière précise les services offert par une

f Scan de ports TCP et UDP voir ICMP

f Objectif: détermininer de manière précise le type de

f Deux grandes familles

f Outils très complets (mais généraliste)

f Tests d’intrusions réalisés par un centre de tests

Source: Qualys 2002

f Outils de tests d’intrusions pour les services Web

f Atteinte au bon fonctionnement d’un système

f Attaques qui « crash » les systèmes

f Litéralement: « l’inondation » d’un système

f Exploitation du mécanisme d’établissement d’une

f Utilisation massive de la bande passante ou des

f La plus connue est Smurf

f Amplification des attaques D0S

f Programmes qui envoient des mails en quantité massive

« The weakest link in the chain is the people »

f Technique dans le but d’0btenir des informations

Source: Hacknet 2002

f Une des plus grande menace pour les entreprises

Source: ICSA 2001

f Un virus est un programme qui se réplique en s’attachant

f Un ver (Worm) est un programme qui se réplique de façon