La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Les Serveurs bulletproof

Publié parRoland Laborde Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "Les Serveurs bulletproof"— Transcription de la présentation:

1 Les Serveurs bulletproof
SRS Day – Conférence 17 novembre 2010 Les Serveurs bulletproof Par: Charles Hourtoule – hourto_c Luc Delsalle – delsal_l Edouard Veron – veron_e Alban Pétré – petre_e Victorien Noé – noe_v

2 Mise en contexte Des menaces informatisées de plus en plus présentes et identifiées Quel est l’origine des malwares et pourriels mondial ? Les attaques actuelles sont toutes distribuées et complexes mais ne sont ni plus ni moins que des procédures informatisées administrables à distance Qui sont les serveurs dernières ces attaques ? Comment de tels serveurs peuvent-ils impunément s’inscrire dans le fonctionnement de l’Internet mondial ? Quels sont les mécanismes mises en œuvre par ces serveurs ? Comment les autorités mondiales nous protègent-elles face à ces menaces ? Chiffres au deuxième trimestre 2010 514 millions d’infections détectées vulnérabilités non patchées et identifiées sur les ordinateurs personnels tentatives d’exploitations fût détectées attaques envers des ordinateurs fût bloquées Source Symantec – Nov 2010 Source HostInfected– Nov 2010 SRS EPITA - 17 novembre 2010

3 Les hébergements bulletproof
Mise en contexte Les hébergements bulletproof Offres d’hébergement proposant des services d’hébergement classiques mais étant très peu regardant sur l’activité ou l’identités de ses clients Les hébergeurs affirment clairement et ouvertement leurs intentions: peu importe les plaintes reçues, il s’engagent à maintenir leur service Leur commerce est complétement libre: une simple recherche sur Google suffit pour trouver des hébergements de ce type Les hébergements bulletproof: épicentre de la cybercriminalité mondiale Ces services concentrent toutes les activités malveillantes envisageables sur Internet: Spam Malwares Phishing Scamming… « We will not shut you down due to complaints. » SRS EPITA - 17 novembre 2010

4 Plan de la présentation
Le rôle des hébergeurs dit « bulletproof » Intégration des serveurs bulletproof dans l’Internet moderne Focus sur les mécanismes d’autoprotection de ces serveurs Etude des usages des hébergeurs bulletproof Présentation des réponses légales mises en œuvre SRS EPITA - 17 novembre 2010

5 Le rôle des hébergeurs bulletproof
SRS EPITA - 17 novembre 2010

6 Serveur bulletproof Historique: Evolution: Utilisation
Des fournisseurs de « root shell » apparaissent pour garder le contrôle de chan IRC Des services anonymes, redondés et sécurisés, des services à « l’épreuve des balles » (“bulletproof”) Evolution: Ces fournisseurs répondent aux besoins des pirates: anonyme, sécurisé Apparition de nouvelles offres avec des arguments ouvertement destinés à fidéliser les organisations criminelles Utilisation Utilisation pour des activités nuisibles: scans de ports, campagnes de spams, attaques DoS, etc. Hébergement de contenu illicite: réseaux pédophiles, sites à caractère raciste, etc. Situation géographique En franchissant les limites de la légalité les fournisseurs choisissent d’héberger leurs serveurs dans des pays laxistes au niveau de la loi tels que la Chine, la Russie, les paradis fiscaux SRS EPITA - 17 novembre 2010

7 Hébergement d’un serveur bulletproof
Mettre en place un serveur bulletproof n’est pas quelque chose de facile de part l’illégalité de ses actions. Elle est axée autour de quatre points: Les serveurs, qui représenteront l’architecture physique de l’organisation Une gestion des DNS Les moyens de communication avec les clients C’est une des parties les plus complexes. L’aspect illégal de certaines activités empêche de faire autant de communication que les fournisseurs auraient voulues. Un moyen d’être payé de façon sécurisée Il faut que le moyen de paiement soit sûr et sécurisé mais aussi le plus discret possible Plusieurs services de paiement en ligne qui assurent l’anonymat (ex: Web Money basé au Belize) SRS EPITA - 17 novembre 2010

8 Place des serveurs bulletproof dans l’Internet mondial
SRS EPITA - 17 novembre 2010

9 Internet: un réseau d’AS interconnectés
Internet est un réseau de réseaux interconnectés. Chacun de ces réseaux est appelé AS pour Autonomous System Chaque AS représente une plage d’adresses IP administrée par une même entité. L’IANA gère l’ensemble des AS en les classant par numéro Internet repose sur un principe de routage de paquet IP Pour établir des tables de routages performantes, les AS disposent d’un protocole de dialogue appelé BGP pour Border Gateway Protocol Une fois établies, les routes sont mémorisées ce qui permet un routage rapide et automatique des paquets IP à travers les différents réseaux Les hébergeurs bulletproof sont en premier lieux des administrateurs d’AS Administration de plages d’IP totalement autonomes Au départ complétement légitime, offrant des services sensiblement identiques à ceux proposés par le marché de l’hébergement classique Evolution vers des activités ouvertement illégales grâce à des offres bulletproof beaucoup plus lucratives SRS EPITA - 17 novembre 2010

10 Etude de cas: Russian Business Network
Etude d’un des hébergeurs bulletproof les plus virulents de 2007 RBN: une organisation complexe et très complète Apporte un soutient matériel aux cybercriminels: Opérateur du botnet Storm Base de réplication du malware Mpack Hébergement de nombreux sites de phishing, de pédopornographie… Services d’anonymisation pour pirates Basé en Russie… RBN s’appuie sur des dispositions législative trop laxistes Utilise le contexte économique pour recruter de brillants et jeunes techniciens russes … mais administré à l’échelle mondial: Les whois réseau pointent vers des adresses aux Seychelles et au Panama Les domaines sont enregistrés depuis New York aux Etats-Unis Les (faux) noms affiliés à RBN proviennent de plusieurs pays du globe Une organisation avec de fortes ramifications internationales Identifié par VeriSign en 2006 lors de la réservation du bloc d’IP – Une offre parfaitement légale lors de sa création, mais une stratégie permettant le développement d’une offre bulletproof dès la création de l’AS 2007: les autorités mondiales identifient RBN comme étant le centre névralgique des cyber attaques mondiales SRS EPITA - 17 novembre 2010

11 Etude de cas: Russian Business Network
La rôle du RBN dans le cyber crime mondial SRS EPITA - 17 novembre 2010

12 RBN: Une compréhension globale du fonctionnement d’Internet
AS40989 RBN AS Credolink AS20807 Nevacon AS41731 Micronet AS41187 SBT Telecom AS41173 Oinvest AS41108 Connectcom AS34596 Akimon AS28866 RBN est structuré en plusieurs petits AS: Chaque AS est administré de manière indépendante Les AS proposent des services soit légaux, soit illégaux Chaque « micro-as » a un unique lien de peering avec l’AS central de RBN: En cas de coupure, plusieurs centaines de sites légitimes seraient privés de services RBN étant originellement légitime, certaines organismes vitaux russes utilisent les services de RBN Création de plusieurs sociétés écrans chargées de dissimuler les activités de RBN: Création d’un FAI pour professionnels: SBT Telecom… Permet d’établir des partenariats de peering avec les plus grands FAI russes et limitrophes RBN devient un acteur majeur pour le trafic est-européen grâce à des routes plus efficaces et rapides RBN établit une liaison directe avec l’Internet eXchange Point de Moscou Les IXPs sont les carrefours du trafic Internet mondial: c’est ici que sont échangées les tables de routage à l’échelle mondiale. En établissant un lien direct vers l’IXP Russe, RBN devient un acteur incontournable dans le routage mondial à destination des pays de l’Est Européen SRS EPITA - 17 novembre 2010

13 RBN: Une compréhension globale du fonctionnement d’Internet
La rôle du RBN dans le cyber crime mondial SRS EPITA - 17 novembre 2010

14 RBN: Quels soutiens? L’implantation d’une telle structure demande de hautes qualifications, et une excellente compréhension du fonctionnement d’Internet On peut supposer que RBN a su s’appuyer sur de brillants cerveaux maitrisant les faiblesses originelles d’Internet Des organisations criminelles sont certainement intervenues: Pour aider à financer l’entreprise de RBN lors de la phase de création « légitime » de l’entreprise Pour faire pression sur des organismes légitimes afin de s’interconnecter avec RBN, obtenir un accès aux IXP russes Pour faciliter le blanchissement de l’argent récolté par les activités du RBN RBN: une structure devenue incontournable pour le trafic Internet mondial Déconnecter RBN était donc particulièrement difficile si l’on ne souhaitait pas ralentir une partie du trafic Internet russe pendant plusieurs jours. Les relations de peering établies avec des acteurs d’Internet légitimes les rendent dépendant de la bonne marche de RBN La structure de RBN étant complexe, il est difficile de clairement identifier les limites de l’organisation et ainsi la fermer Les régulateurs mondiaux d’Internet étaient donc parfaitement au courant des menaces de RBN, sans pour autant être en mesure de limiter son activité malveillante SRS EPITA - 17 novembre 2010

15 Les mécanismes de protections des serveurs bulletproof
SRS EPITA - 17 novembre 2010

16 Les réseaux FAST-FLUX Technique qui s’appuie sur le protocole DNS
Plusieurs adresses IP associées à un même hôte Durée de validité (TTL) de la réponse très bas Adresses IP de machines compromises utilisées comme reverse-proxy pour masquer le serveur réel du pirate « mothership » Buts Anonymat: une investigation sur les adresses IP correspondant au nom de domaine conduira chez des particuliers répartis partout dans le monde Haute-disponibilité: Il ne suffit pas de bannir/attaquer une seule adresse IP mais beaucoup plus Il existe deux manières d’implémenter un réseau FAST-FLUX Single-flux Double-flux (Round Robin DNS: permet d’associer plusieurs IP à un nom de domaine) Cette technique est utilisé par des hébergeurs pour leurs permettre de distribuer le traffic de leur site Internet et par la cybercriminalité pour la robustesse offerte par ce système. Les hébergeurs bulletproof utilise leurs réseaux botnets pour les camoufler l’adresse réel de leurs serveurs. Chacune de ces machines compromises se comporte comme des reverses proxy. Tout ceci permet d’obtenir de l’anonymat et de la haute disponibilité SRS EPITA - 17 novembre 2010

17 Source: http://www.blogs.orange-business.com/securite/
Les réseaux FAST-FLUX Source: SRS EPITA - 17 novembre 2010

18 Source: http://www.blogs.orange-business.com/securite/
Les réseaux FAST-FLUX Source: SRS EPITA - 17 novembre 2010

19 Les Serveurs Upstream Fonctionnement But:
Un serveur Upstream est un serveur qui fournit un service à un autre serveur. Il est situé plus haut dans la hiérarchie des serveurs Les malwares, virus, spam… sont donc stockés et envoyés depuis le serveur bulletproof. Les serveurs upstream sont des serveurs « clean » , ils ne servent que de passerelle. Ils sont enregistrés en toute légalité auprès des FAI Le serveur bulletproof est connecté à plusieurs serveurs upstream et peut alterner les connections But: Les serveurs upstream permettent aux serveurs bulletproof de rester anonymes de part la complexité de leurs maillages L’architecture et le nombre de serveurs upstream assurent aux serveurs bulletproof une continuité d’activité et une très grande réactivité si un des serveurs tombe ou est fermé SRS EPITA - 17 novembre 2010

20 Etude des usages des serveurs bulletproof
SRS EPITA - 17 novembre 2010

21 Contenus illégaux des flux provenant des serveurs bulletproof
Exploits de logiciels, incluant les 0-days, Codes malveillants visant à manipuler les PC des victimes : faux codecs Chevaux de Troie bancaires robots de spam faux antivirus etc., Sites de phishing, Sites de recrutement de “money mules”, Serveurs C&C (Command and Control) pour botnets, tel que Zeus, Licences de logiciels payants (Warez), Contenu pornographique illégal (pédopornographie), Communications codées entre organisations criminelles ou terroristes SRS EPITA - 17 novembre 2010

22 Principales utilisations faites par les cyber-criminels
Botnets C&C Les botnets C&C exécutent des commandes provenant de serveurs de contrôle Ces serveurs sont hébergés sur des serveurs bulletproof, donc difficiles à neutraliser Par exemple, le trojan Zeus recevait des ordres de serveurs hébergés chez Troyak.org Spammeurs Botnets C&C qui envoient des mails en continue Constituent la majeure partie des flux illégaux Srizbi, considéré comme le plus grand spammeur, était hébergé chez McColo, en Californie, fermée depuis 2008 et entraînant une chute de 60% du nombre de spam envoyés dans le monde Phishing Les pages Web des sites falsifiées et les données récupérées sont stockées sur des serveurs bulletproof Anonymat et haute disponibilité sont ainsi garantis pour le pirate SRS EPITA - 17 novembre 2010

23 Les tendances du marché
Le spam reste l’utilisation la plus importante des serveurs bulletproof Environ s envoyés chaque seconde (Symantec, Nov. 2010) Cette moyenne augmente constamment, car de nouveaux virus apparaissent De nouveaux acteurs apparaissent tandis que d’autres restent La Chine Pays de l’ex-URSS USA Les hébergeurs arrivent à intégrer de mieux en mieux leurs serveurs dans les routes des paquets qui transitent, les rendant de plus en plus difficiles à supprimer SRS EPITA - 17 novembre 2010

24 Le volume de spam envoyé ne diminue pas
SRS EPITA - 17 novembre 2010

25 Entrée sur le marché de la cybercriminalité
Des prix raisonnables 700$ pour un serveur 100$ pour un nom de domaine Les revendeurs de serveurs bulletproof Ils n’exercent aucun contrôle sur les contenus, comme Tecom en Chine Certains affichent publiquement leurs activités Spamahost (anciennement Xrumer) et bien d’autres… SRS EPITA - 17 novembre 2010

26 Etude de RBN: une véritable arme électronique ?
RBN apparu dans plusieurs conflits politiques liés à la Russie En plus des ses activités classiques (Spam, phishing, hébergement de malwares); RBN fût utilisé à des fins politiques Implication dans la guerre d’Ossétie du Sud: RBN fût la première plate-forme utilisée pour réaliser des attaques de type DDoS envers les infrastructures de télécommunication de la Géorgie Ces attaques ont permis un blocage quasi-total des mesures de défenses Géorgiennes Une large compagne de dénigrement contre les dirigeants politiques de la Géorgie fût orchestrée depuis les serveurs de RBN grâce à des envois massifs de spam et de « defacement » Participation active de RBN à des actes de cyber guerre RBN dépasse le cadre du cyberespace S’inscrit dans des actions terroristes Peut causer des préjudices physiques à des populations Site Géorgien defacé en utilisant les ressources de RBN SRS EPITA - 17 novembre 2010

27 Des réponses judiciaires efficaces ?
SRS EPITA - 17 novembre 2010

28 Les moyens de détection
Les acteurs de la détection Les fournisseurs d’accès Les CERT (Computer Emergency Response Team) Privés ou d’Etat (ex.: le CERTA en France, l’US-CERT aux Etats-Unis). Les éditeurs d’anti-virus et les sociétés de sécurité Les autorités En France: principalement l’ANSSI mais aussi la police (OCLCTIC, BEFTI, DCRI, …) et la gendarmerie (NTECH). En Europe: Europol, Eurojust, différents services spécialisés A l’échelle mondiale: Interpol Des partenariats entre ces services se créent et se maintiennent afin de lutter plus efficacement contre la cybercriminalité. SRS EPITA - 17 novembre 2010

29 Les décisions de justice
La plupart des hébergements bulletproof sont « offshores » Souvent dans des pays peu regardants quant au contenu et à l’utilisation faite des serveurs Des procédures souvent locales Une court de justice américaine n’aura d’effet que sur des serveurs américains McColo Corp (Californie) fût fermé pour cause d’hébergement de contenu malveillant (spams) Une décision légale française ne peut pas impacter un serveur en Russie ! Elle n’a aucune autorité, son seul recours: les instances judiciaires internationales A l’heure actuelle, les procédures législatives sont inadaptées à l’environnement complexe d’Internet L’ICANN (Internet Corporation for Assigned Names and Numbers) révoque les accréditations aux entreprises « malveillantes » (exemple avec EstDomains, Inc.) : EstDomains (Estonie) était notamment connu pour son laisser-faire en matière d’hébergement (malware, pédopornographie, etc.). La lettre a été envoyé au CEO Vladimir Tsastsin, annonçant la suppression de l’accréditation Registrar (attributions de TLD). Vladimir Tsastsin a fait de la prison pour fraude à la carte bancaire, usage de faux et blanchiment d’argent (3 ans dont 6 mois ferme par la court de Tartu , Estonie). SRS EPITA - 17 novembre 2010

30 Déconnexion d’AS corrompu
Une fois la décision de justice prise, il faut faire fermer ces serveurs, mais comment ? Le but est de « couper » ces AS d’Internet, pour cela il faut déconnecter un à un tous les AS s’interconnectant à celui à faire fermer. Ce phénomène s’appelle le « de-peering » L’AS légitime supprime les routes menant vers l’AS corrompu afin de l’isoler de l’Internet. Cependant un AS malveillant peut avoir jusqu’à 15 connexions vers d’autres AS ! La procédure est donc longue et difficile, d’autant plus qu’il peut s’interconnecter avec d’autres AS malveillants (qui ne couperont pas leurs liens). Que faire lorsque un AS malveillant héberge aussi du contenu légitime ? Problème de neutralité du net Besoin d’un filtrage de plus faible granularité, mais celui-ci est couteux et peu efficace (les IP changent en moins de 24h). La France est loin d’être irréprochable Exemple avec l’AS OVH (AS16276) Spam, serveurs C&C, phising, etc. SRS EPITA - 17 novembre 2010

31 Etude de RBN: Un démantèlement réussi ?
Les acteurs de la lutte antiviral identifient RBN comme la source des principales attaques électroniques en 2007 L’organisation de RBN fût exposée médiatiquement, et une forte pression mondiale commença à s’exercer sur leurs activités Certains FAI russes commencèrent à de-peerer les AS de RBN Les clients de RBN étant trop exposés, ils commencèrent à suspendre leurs abonnements et ainsi mettre en danger le business modèle de RBN Aucune condamnation ne fût prononcée Malgré la très forte suspicion sur l’identité de certains acteurs de RBN, aucune arrestation ne fût prononcée Le dimensionnement international et la forte mobilité des protagonistes empêcha toutes actions coordonnées des autorités internationales Le service fourni étant critique pour les organisations cybercriminelles, RBN a probablement pu être protégé par certaines cellules RBN aujourd’hui disparu ? Officiellement la société RBN est aujourd’hui annoncée comme ayant cessé son activité Néanmoins tout pousse à croire que RBN a juste évolué en une structure plus discrète: - Une dizaine de noms de domaines affiliés à RBN sont aujourd’hui actif en République Tchèque - Plusieurs blocs d’IP utilisés par RBN sont maintenant localisés en Chine RBN semble avoir évolué vers un système plus discret, construisant des AS grâce à l’achat de plages d’IP de petites tailles de manière à ne pas éveiller les soupçons. Leurs relations avec les cybercriminels s’est potentiellement intensifiée de manière à garantir un meilleur anonymat. SRS EPITA - 17 novembre 2010

32 Les Serveurs bulletproof: Conclusion
SRS Day – Conférence 17 novembre 2010 Les Serveurs bulletproof: Conclusion

Télécharger ppt "Les Serveurs bulletproof"

Présentations similaires

L’Essentiel sur… La sécurité de la VoIP

L’Essentiel sur… La sécurité de la VoIP
Définition Contrat contrat.

Définition Contrat contrat.
Sécurisez votre information Quelle sécurité pour votre cabinet comptable?

Sécurisez votre information Quelle sécurité pour votre cabinet comptable?
Hygiène de la messagerie chez Microsoft

Hygiène de la messagerie chez Microsoft
Internet et les pays en voie de développement. Lexemple de lAfrique.

Internet et les pays en voie de développement. Lexemple de lAfrique.
1 TCHAD ATELIER PARIS21 SUR LUTILISATION DES STATISTIQUES DANS LES POLITIQUES DE LUTTE CONTRE LA PAUVRETE ET DE DEVELOPPEMENT Yaoundé 09-11/12/02 Producteurs.

1 TCHAD ATELIER PARIS21 SUR LUTILISATION DES STATISTIQUES DANS LES POLITIQUES DE LUTTE CONTRE LA PAUVRETE ET DE DEVELOPPEMENT Yaoundé 09-11/12/02 Producteurs.
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.

Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Introduction aux réseaux informatiques

Introduction aux réseaux informatiques
Services DNS.

Services DNS.
E-Gov and IP Symposium for the Arab Region

E-Gov and IP Symposium for the Arab Region
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000

Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001

ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Architecture de réseaux

Architecture de réseaux
Cours Présenté par …………..

Cours Présenté par …………..
Assistance à distance Parfois on se sent bien seul face à un problème informatique surtout si on n’est qu’un simple utilisateur. Lorsqu'un problème survient.

Assistance à distance Parfois on se sent bien seul face à un problème informatique surtout si on n’est qu’un simple utilisateur. Lorsqu'un problème survient.
Introduction à BGP AfNOG 2011 David Lopoi.

Introduction à BGP AfNOG 2011 David Lopoi.
Quels sont les risques des achats de medicaments sur Internet ?

Quels sont les risques des achats de medicaments sur Internet ?
FrontCall - 4C Les Centres de Contacts Virtuels

FrontCall - 4C Les Centres de Contacts Virtuels

Présentations similaires

Annonces Google