La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

DGA/DET/CELAR laurent.roger@dga.defense.gouv.fr.

Publié parDoriane Morin Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "DGA/DET/CELAR laurent.roger@dga.defense.gouv.fr."— Transcription de la présentation:

1 DGA/DET/CELAR

2 Anti-forensic Définition Historique Processus Modélisation Conclusion

3 Définition Anti-forensic :
procédures et techniques ayant pour objectif de limiter les moyens d ’enquête ou d ’examen d ’un système moyens : détruire, camoufler, modifier des traces , prévenir la création de traces

4 Nombre de publications

5 Historique

6 Historique

7 Historique Hit parade des moyens (nombre de citations dans les publications examinées) Camouflage : 12 Destruction : 10 Modification : 10 Prévention des traces : 3

8 Activités de l’attaquant
Exploration Espionnage Intrusion Installation Camouflage Action Attaquant Menaces Vulnérabilités Valeurs

9 Processus forensique Analyste Identification d’activité Acquisition
Préservation Analyse Identification des preuves Présentation Analyste Menaces Vulnérabilités Valeurs

10 Mise en parallèle Attaquant Analyste Identification d’activité
Acquisition Préservation Analyse Identification des preuves Présentation Analyste Menaces Exploration Espionnage Intrusion Installation Camouflage Action Attaquant Vulnérabilités Valeurs

11 Etape 1 - identification d’activité
Moyens anti-forensic Identification d’activité Acquisition Préservation Analyse Identification des preuves Présentation Analyste Exploration Espionnage Intrusion Installation Camouflage Action Attaquant Contraception Camouflage Légitimité

12 Etape 1 - identification d’activité
Légitimité Ingénierie sociale Requêtes du système Camouflage Obfuscation ou suppression des traces d’activité système ou réseaux -> demo evt Contraception Minimisation des traces d’activité système ou réseaux Utilisation des supports les plus volatiles

13 Etape 2 - acquisition Moyens anti-forensic Destruction Contraception
Identification d’activité Acquisition Préservation Analyse Identification des preuves Présentation Analyste Exploration Espionnage Intrusion Installation Camouflage Action Attaquant Destruction Contraception Camouflage

14 Etape 2 – acquisition Supports de stockage inhabituels
Camouflage Supports de stockage inhabituels Téléphones portables (SIM, flash, SD) Disques durs enfouis (magnétoscope, console de jeux …) Montres, autoradios Clés USB Balladeurs ATA : Device Configuration Overlay T5K80_spv2.1.pdf Image courtesy of

15 Etape 2 - acquisition Destruction Courtesy of PC911- Alex -

16 Etape 3 - préservation Moyens anti-forensic Destruction Camouflage
Identification d’activité Acquisition Préservation Analyse Identification des preuves Présentation Analyste Exploration Espionnage Intrusion Installation Camouflage Action Attaquant Destruction Camouflage

17 Collision de hash -> démo stripwire
Etape 3 – préservation Camouflage Collision de hash -> démo stripwire fire.bin = vec1 + AES [charge, sha1(vec1)] ice.bin = vec2 + AES [charge, sha1(vec1)] MD5(fire.bin) = MD5(ice.bin) Attaques spécifiques sur les produits Action Dan Kaminsky - MD5 to be considered harmful someday

18 Etape 3 - préservation Destruction

19 Etape 4 – 5 - 6 Moyens anti-forensic Destruction Attaquant Analyste
Identification d’activité Acquisition Préservation Analyse Identification des preuves Présentation Analyste Exploration Espionnage Intrusion Installation Camouflage Action Attaquant Destruction Camouflage

20 Etape 5 – identification des preuves
Etape 4 – analyse Camouflage Etape 5 – identification des preuves Modification de l’intégrité du système sans modification de fichier : Ajout d’un seul fichier au démarrage Fichier non existant au démarrage Obfuscation, chiffrement, polymorphisme Brouillage de la limite entre code et données Forensic Discovery - Dan Farmer et Wietse Venema

21 ? Etape 6 – présentation Comment expliquer à des personnes
non techniques les moyens utilisés par l’attaquant ? -> projet SIRAGE : simulateur de restitution de scénario d’agression Comment être certain de l’identité de l’attaquant ? de sa volonté de nuire ou de ses motivations (« syndrome du troyen ») ? -> projet META : méthodes d’analyse des traces – thèse Thomas Duval(Supélec) La présence d’activités spécifiquement anti-forensic peut elle être un élément à charge ? ?

22 Modélisation (IRF-CMM)
Il est (encore ?) temps pour les organisations de prendre en compte l’antiforensic dans leur processus de réponse à incident ! Afin de mesurer cette prise en compte et sa dynamique de progrès, la déclinaison des modèles de maturité CMM (Capability Maturity Model) sur une thématique spécifique de « réponse à incident et forensic» nous semble pertinent. 5 - Optimisé 4 - Maîtrisé Optimiser Améliorer Plénitude 3 - Défini Mesurer Manager Sagesse 2 - Reproductible Définir Suivre Coordonner Progrès 1 - Initial Planifier Contrôler Vérifier Surveiller Eveil Réaliser Brouillard 0 - non réalisé

23 Modélisation (IRF-CMM)
Ingénierie de la réponse à incident et investigation PA 01 : Administrer la réponse à incident PA 02 : Evaluer les impacts PA 03 : Evaluer les risques PA 04 : Evaluer les menaces PA 05 : Evaluer les vulnérabilités PA 06 : Donner l ’assurance de la réponse à incident PA 07 : Coordonner la réponse à incident PA 08 : Contrôler la réponse à incident PA 09 : Fournir des ressources PA 10 : Spécifier les besoins de PA 11 : Vérifier et valider la réponse à incident Projet et organisation PA 12 : Assurance qualité PA 13 : Gestion de configuration PA 14 : Manager les risques projet PA 15 : Contrôler et maîtriser l ’effort technique PA 16 : Planifier l ’effort technique PA 17 : Définir les processus d ’ingénierie système de l ’organisation PA 18 : Améliorer les processus d ’ingénierie système de l ’organisation PA 19 : Manager l ’évolution des produits ou services PA 20 : Manager l ’environnement support de l ’ingénierie des systèmes PA 21 : Fournir en permanence des compétences et des connaissances PA 22 :Coordonner les fournisseurs

24 Avant dernier transparent
Can a Rootkit hide from RootkitRevealer? It is theoretically possible for a rootkit to hide from RootkitRevealer. Doing so would require intercepting RootkitRevealer's reads of Registry hive data or file system data and changing the contents of the data such that the rootkit's Registry data or files are not present. However, this would require a level of sophistication not seen in rootkits to date. Changes to the data would require both an intimate knowledge of the NTFS, FAT and Registry hive formats, plus the ability to change data structures such that they hide the rootkit, but do not cause inconsistent or invalid structures or side-effect discrepancies that would be flagged by RootkitRevealer. RootkitRevealer Help Copyright (C) 2005 Bryce Cogswell and Mark Russinovich Sysinternals -

25 La connaissance approfondie des techniques anti-forensiques permet :
Conclusion La connaissance approfondie des techniques anti-forensiques permet : de mettre en place des contre mesures spécifiques visant à déclencher des actions de maîtrise de la sécurité du système permettant de déceler au plus tôt des activités nuisibles au processus de réaction après incident

26 Merci de votre attention

Télécharger ppt "DGA/DET/CELAR laurent.roger@dga.defense.gouv.fr."

Présentations similaires

Le moteur 9 1 10 2 11 12 3 13 4 14 6 5 15 16 17 19 18 7 20 8.

Le moteur
STEVE WOLOZ & ASSOCIATES INC. MANAGEMENT CONSULTANTS www.swaassoc.com Meilleures Pratiques de Collecte, DAnalyse et de Documentation de Données RH Le 8.

STEVE WOLOZ & ASSOCIATES INC. MANAGEMENT CONSULTANTS Meilleures Pratiques de Collecte, DAnalyse et de Documentation de Données RH Le 8.
UICC HPV and Cervical Cancer Curriculum Chapter 9.b. Required infrastructure for successful implementation of an HPV vaccination programme Prof. Hélène.

UICC HPV and Cervical Cancer Curriculum Chapter 9.b. Required infrastructure for successful implementation of an HPV vaccination programme Prof. Hélène.
Cours de l’OACI sur les Systèmes de Gestion de la Sécurité (SMS)

Cours de l’OACI sur les Systèmes de Gestion de la Sécurité (SMS)
Amélioration de la qualité des forfaits

Amélioration de la qualité des forfaits
UICC HPV and Cervical Cancer Curriculum Chapter 9.a. Strategic planning for cervical cancer prevention Prof. Hélène Sancho-Garnier, MD, PhD UICC HPV and.

UICC HPV and Cervical Cancer Curriculum Chapter 9.a. Strategic planning for cervical cancer prevention Prof. Hélène Sancho-Garnier, MD, PhD UICC HPV and.
Borhen LOUHICHI Merci, Monsieur le président,

Borhen LOUHICHI Merci, Monsieur le président,
Quelle est la date de ton anniversaire?

Quelle est la date de ton anniversaire?
META MERIANAE SSTIC 2004 Analyse Criminelle Informatique

META MERIANAE SSTIC 2004 Analyse Criminelle Informatique
JXDVDTEK – Une DVDthèque en Java et XML

JXDVDTEK – Une DVDthèque en Java et XML
Introduction au e-commerce Intervenant Régis BACHER 03 88 26 84 42 06 71 37 19 57 27/01/2014 Présentation 1.

Introduction au e-commerce Intervenant Régis BACHER /01/2014 Présentation 1.
Répondez à ces quelques questions

Répondez à ces quelques questions
Répondez à ces quelques questions

Répondez à ces quelques questions
Guillaume KRUMULA présente Exposés Système et Réseaux IR3 Mardi 5 Février 2008.

Guillaume KRUMULA présente Exposés Système et Réseaux IR3 Mardi 5 Février 2008.
Un petit Tour avec nous …?

Un petit Tour avec nous …?
Gestion de la communication par établissement sur le site ville

Gestion de la communication par établissement sur le site ville
Développement d’applications web

Développement d’applications web
Plateforme de gestion de données de capteurs

Plateforme de gestion de données de capteurs
Control des objectifs des technologies de l’information COBIT

Control des objectifs des technologies de l’information COBIT
PAFI Référentiel de données par Sonia Watts DGIF (Direction de la gestion et de linformation forestière) 27 octobre 2010 et 3 novembre 2010.

PAFI Référentiel de données par Sonia Watts DGIF (Direction de la gestion et de linformation forestière) 27 octobre 2010 et 3 novembre 2010.

Présentations similaires

Annonces Google