La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

SRS Day – Conférence 17 novembre 2010 Par: Charles Hourtoule – hourto_c Luc Delsalle – delsal_l Edouard Veron – veron_e Alban Pétré – petre_e Victorien.

Présentations similaires


Présentation au sujet: "SRS Day – Conférence 17 novembre 2010 Par: Charles Hourtoule – hourto_c Luc Delsalle – delsal_l Edouard Veron – veron_e Alban Pétré – petre_e Victorien."— Transcription de la présentation:

1 SRS Day – Conférence 17 novembre 2010 Par: Charles Hourtoule – hourto_c Luc Delsalle – delsal_l Edouard Veron – veron_e Alban Pétré – petre_e Victorien Noé – noe_v

2 Mise en contexte  Des menaces informatisées de plus en plus présentes et identifiées  Quel est l’origine des malwares et pourriels mondial ?  Les attaques actuelles sont toutes distribuées et complexes mais ne sont ni plus ni moins que des procédures informatisées administrables à distance  Qui sont les serveurs dernières ces attaques ?  Comment de tels serveurs peuvent-ils impunément s’inscrire dans le fonctionnement de l’Internet mondial ?  Quels sont les mécanismes mises en œuvre par ces serveurs ?  Comment les autorités mondiales nous protègent-elles face à ces menaces ? SRS EPITA - 17 novembre Chiffres au deuxième trimestre millions d’infections détectées vulnérabilités non patchées et identifiées sur les ordinateurs personnels tentatives d’exploitations fût détectées attaques envers des ordinateurs fût bloquées Source Symantec – Nov 2010Source HostInfected– Nov 2010

3 Offres d’hébergement proposant des services d’hébergement classiques mais étant très peu regardant sur l’activité ou l’identités de ses clients Les hébergeurs affirment clairement et ouvertement leurs intentions: peu importe les plaintes reçues, il s’engagent à maintenir leur service Leur commerce est complétement libre: une simple recherche sur Google suffit pour trouver des hébergements de ce type Les hébergements bulletproof: épicentre de la cybercriminalité mondiale Ces services concentrent toutes les activités malveillantes envisageables sur Internet: Spam Malwares Phishing Scamming… 3 « We will not shut you down due to complaints. » SRS EPITA - 17 novembre 2010 Mise en contexte Les hébergements bulletproof

4 Le rôle des hébergeurs dit « bulletproof » Intégration des serveurs bulletproof dans l’Internet moderne Focus sur les mécanismes d’autoprotection de ces serveurs Etude des usages des hébergeurs bulletproof Présentation des réponses légales mises en œuvre 4 Plan de la présentation SRS EPITA - 17 novembre 2010

5 5 Le rôle des hébergeurs bulletproof SRS EPITA - 17 novembre 2010

6 Serveur bulletproof 6 SRS EPITA - 17 novembre 2010  Historique:  Des fournisseurs de « root shell » apparaissent pour garder le contrôle de chan IRC  Des services anonymes, redondés et sécurisés, des services à « l’épreuve des balles » (“bulletproof”)  Evolution:  Ces fournisseurs répondent aux besoins des pirates: anonyme, sécurisé  Apparition de nouvelles offres avec des arguments ouvertement destinés à fidéliser les organisations criminelles  Utilisation  Utilisation pour des activités nuisibles: scans de ports, campagnes de spams, attaques DoS, etc.  Hébergement de contenu illicite: réseaux pédophiles, sites à caractère raciste, etc.  Situation géographique  En franchissant les limites de la légalité les fournisseurs choisissent d’héberger leurs serveurs dans des pays laxistes au niveau de la loi tels que la Chine, la Russie, les paradis fiscaux

7 Hébergement d’un serveur bulletproof 7 SRS EPITA - 17 novembre 2010 Mettre en place un serveur bulletproof n’est pas quelque chose de facile de part l’illégalité de ses actions. Elle est axée autour de quatre points:  Les serveurs, qui représenteront l’architecture physique de l’organisation  Une gestion des DNS  Les moyens de communication avec les clients  C’est une des parties les plus complexes. L’aspect illégal de certaines activités empêche de faire autant de communication que les fournisseurs auraient voulues.  Un moyen d’être payé de façon sécurisée  Il faut que le moyen de paiement soit sûr et sécurisé mais aussi le plus discret possible  Plusieurs services de paiement en ligne qui assurent l’anonymat (ex: Web Money basé au Belize)

8 8 Place des serveurs bulletproof dans l’Internet mondial SRS EPITA - 17 novembre 2010

9 Internet: un réseau d’AS interconnectés  Internet est un réseau de réseaux interconnectés. Chacun de ces réseaux est appelé AS pour Autonomous System  Chaque AS représente une plage d’adresses IP administrée par une même entité. L’IANA gère l’ensemble des AS en les classant par numéro  Internet repose sur un principe de routage de paquet IP  Pour établir des tables de routages performantes, les AS disposent d’un protocole de dialogue appelé BGP pour Border Gateway Protocol  Une fois établies, les routes sont mémorisées ce qui permet un routage rapide et automatique des paquets IP à travers les différents réseaux  Les hébergeurs bulletproof sont en premier lieux des administrateurs d’AS  Administration de plages d’IP totalement autonomes  Au départ complétement légitime, offrant des services sensiblement identiques à ceux proposés par le marché de l’hébergement classique  Evolution vers des activités ouvertement illégales grâce à des offres bulletproof beaucoup plus lucratives 9 SRS EPITA - 17 novembre 2010

10 Etude de cas: Russian Business Network  Etude d’un des hébergeurs bulletproof les plus virulents de 2007  RBN: une organisation complexe et très complète  Apporte un soutient matériel aux cybercriminels: -Opérateur du botnet Storm -Base de réplication du malware Mpack -Hébergement de nombreux sites de phishing, de pédopornographie… -Services d’anonymisation pour pirates  Basé en Russie… -RBN s’appuie sur des dispositions législative trop laxistes -Utilise le contexte économique pour recruter de brillants et jeunes techniciens russes  … mais administré à l’échelle mondial: -Les whois réseau pointent vers des adresses aux Seychelles et au Panama -Les domaines sont enregistrés depuis New York aux Etats-Unis -Les (faux) noms affiliés à RBN proviennent de plusieurs pays du globe  Une organisation avec de fortes ramifications internationales  Identifié par VeriSign en 2006 lors de la réservation du bloc d’IP –  Une offre parfaitement légale lors de sa création, mais une stratégie permettant le développement d’une offre bulletproof dès la création de l’AS  2007: les autorités mondiales identifient RBN comme étant le centre névralgique des cyber attaques mondiales 10 SRS EPITA - 17 novembre 2010

11 Etude de cas: Russian Business Network 11 SRS EPITA - 17 novembre 2010 La rôle du RBN dans le cyber crime mondial

12 RBN: Une compréhension globale du fonctionnement d’Internet RBN AS AS40989 AS20807 Credolink AS41731 Nevacon AS41187 Micronet AS41173 SBT Telecom AS41108 Oinvest AS34596 Connectcom AS28866 Akimon 12 SRS EPITA - 17 novembre 2010  RBN est structuré en plusieurs petits AS:  Chaque AS est administré de manière indépendante  Les AS proposent des services soit légaux, soit illégaux  Chaque « micro-as » a un unique lien de peering avec l’AS central de RBN:  En cas de coupure, plusieurs centaines de sites légitimes seraient privés de services  RBN étant originellement légitime, certaines organismes vitaux russes utilisent les services de RBN  Création de plusieurs sociétés écrans chargées de dissimuler les activités de RBN:  Création d’un FAI pour professionnels: SBT Telecom…  Permet d’établir des partenariats de peering avec les plus grands FAI russes et limitrophes  RBN devient un acteur majeur pour le trafic est-européen grâce à des routes plus efficaces et rapides  RBN établit une liaison directe avec l’Internet eXchange Point de Moscou  Les IXPs sont les carrefours du trafic Internet mondial: c’est ici que sont échangées les tables de routage à l’échelle mondiale.  En établissant un lien direct vers l’IXP Russe, RBN devient un acteur incontournable dans le routage mondial à destination des pays de l’Est Européen

13 RBN: Une compréhension globale du fonctionnement d’Internet 13 SRS EPITA - 17 novembre 2010 La rôle du RBN dans le cyber crime mondial

14 RBN: Quels soutiens?  L’implantation d’une telle structure demande de hautes qualifications, et une excellente compréhension du fonctionnement d’Internet  On peut supposer que RBN a su s’appuyer sur de brillants cerveaux maitrisant les faiblesses originelles d’Internet  Des organisations criminelles sont certainement intervenues:  Pour aider à financer l’entreprise de RBN lors de la phase de création « légitime » de l’entreprise  Pour faire pression sur des organismes légitimes afin de s’interconnecter avec RBN, obtenir un accès aux IXP russes  Pour faciliter le blanchissement de l’argent récolté par les activités du RBN  RBN: une structure devenue incontournable pour le trafic Internet mondial  Déconnecter RBN était donc particulièrement difficile si l’on ne souhaitait pas ralentir une partie du trafic Internet russe pendant plusieurs jours.  Les relations de peering établies avec des acteurs d’Internet légitimes les rendent dépendant de la bonne marche de RBN  La structure de RBN étant complexe, il est difficile de clairement identifier les limites de l’organisation et ainsi la fermer  Les régulateurs mondiaux d’Internet étaient donc parfaitement au courant des menaces de RBN, sans pour autant être en mesure de limiter son activité malveillante 14 SRS EPITA - 17 novembre 2010

15 15 Les mécanismes de protections des serveurs bulletproof SRS EPITA - 17 novembre 2010

16 Les réseaux FAST-FLUX 16 SRS EPITA - 17 novembre 2010  Technique qui s’appuie sur le protocole DNS  Plusieurs adresses IP associées à un même hôte  Durée de validité (TTL) de la réponse très bas  Adresses IP de machines compromises utilisées comme reverse-proxy pour masquer le serveur réel du pirate « mothership »  Buts  Anonymat: une investigation sur les adresses IP correspondant au nom de domaine conduira chez des particuliers répartis partout dans le monde  Haute-disponibilité: Il ne suffit pas de bannir/attaquer une seule adresse IP mais beaucoup plus  Il existe deux manières d’implémenter un réseau FAST-FLUX  Single-flux  Double-flux

17 Les réseaux FAST-FLUX 17 SRS EPITA - 17 novembre 2010 Source:

18 Les réseaux FAST-FLUX 18 SRS EPITA - 17 novembre 2010 Source:

19 Les Serveurs Upstream 19 SRS EPITA - 17 novembre 2010  Fonctionnement  Un serveur Upstream est un serveur qui fournit un service à un autre serveur. Il est situé plus haut dans la hiérarchie des serveurs  Les malwares, virus, spam… sont donc stockés et envoyés depuis le serveur bulletproof. Les serveurs upstream sont des serveurs « clean », ils ne servent que de passerelle. Ils sont enregistrés en toute légalité auprès des FAI  Le serveur bulletproof est connecté à plusieurs serveurs upstream et peut alterner les connections  But:  Les serveurs upstream permettent aux serveurs bulletproof de rester anonymes de part la complexité de leurs maillages  L’architecture et le nombre de serveurs upstream assurent aux serveurs bulletproof une continuité d’activité et une très grande réactivité si un des serveurs tombe ou est fermé

20 20 Etude des usages des serveurs bulletproof SRS EPITA - 17 novembre 2010

21 Contenus illégaux des flux provenant des serveurs bulletproof  Exploits de logiciels, incluant les 0 -days,  Codes malveillants visant à manipuler les PC des victimes :  faux codecs  Chevaux de Troie bancaires  robots de spam  faux antivirus  etc.,  Sites de phishing,  Sites de recrutement de “money mules”,  Serveurs C&C (Command and Control) pour botnets, tel que Zeus,  Licences de logiciels payants (Warez),  Contenu pornographique illégal (pédopornographie),  Communications codées entre organisations criminelles ou terroristes 21 SRS EPITA - 17 novembre 2010

22 Principales utilisations faites par les cyber- criminels  Botnets C&C  Les botnets C&C exécutent des commandes provenant de serveurs de contrôle  Ces serveurs sont hébergés sur des serveurs bulletproof, donc difficiles à neutraliser  Par exemple, le trojan Zeus recevait des ordres de serveurs hébergés chez Troyak.org  Spammeurs  Botnets C&C qui envoient des mails en continue  Constituent la majeure partie des flux illégaux  Srizbi, considéré comme le plus grand spammeur, était hébergé chez McColo, en Californie, fermée depuis 2008 et entraînant une chute de 60% du nombre de spam envoyés dans le monde  Phishing  Les pages Web des sites falsifiées et les données récupérées sont stockées sur des serveurs bulletproof  Anonymat et haute disponibilité sont ainsi garantis pour le pirate 22 SRS EPITA - 17 novembre 2010

23 Les tendances du marché  Le spam reste l’utilisation la plus importante des serveurs bulletproof  Environ s envoyés chaque seconde (Symantec, Nov. 2010)  Cette moyenne augmente constamment, car de nouveaux virus apparaissent  De nouveaux acteurs apparaissent tandis que d’autres restent  La Chine  Pays de l’ex-URSS  USA  Les hébergeurs arrivent à intégrer de mieux en mieux leurs serveurs dans les routes des paquets qui transitent, les rendant de plus en plus difficiles à supprimer 23 SRS EPITA - 17 novembre 2010

24 Le volume de spam envoyé ne diminue pas 24 SRS EPITA - 17 novembre 2010

25 Entrée sur le marché de la cybercriminalité  Les revendeurs de serveurs bulletproof  Ils n’exercent aucun contrôle sur les contenus, comme Tecom en Chine  Certains affichent publiquement leurs activités  Spamahost (anciennement Xrumer)   et bien d’autres…  Des prix raisonnables  700$ pour un serveur  100$ pour un nom de domaine 25 SRS EPITA - 17 novembre 2010

26 Etude de RBN: une véritable arme électronique ?  RBN apparu dans plusieurs conflits politiques liés à la Russie  En plus des ses activités classiques (Spam, phishing, hébergement de malwares); RBN fût utilisé à des fins politiques  Implication dans la guerre d’Ossétie du Sud:  RBN fût la première plate-forme utilisée pour réaliser des attaques de type DDoS envers les infrastructures de télécommunication de la Géorgie  Ces attaques ont permis un blocage quasi-total des mesures de défenses Géorgiennes  Une large compagne de dénigrement contre les dirigeants politiques de la Géorgie fût orchestrée depuis les serveurs de RBN grâce à des envois massifs de spam et de « defacement »  Participation active de RBN à des actes de cyber guerre  RBN dépasse le cadre du cyberespace  S’inscrit dans des actions terroristes  Peut causer des préjudices physiques à des populations 26 SRS EPITA - 17 novembre 2010 Site Géorgien defacé en utilisant les ressources de RBN

27 27 Des réponses judiciaires efficaces ? SRS EPITA - 17 novembre 2010

28 Les moyens de détection 28 SRS EPITA - 17 novembre 2010  Les acteurs de la détection  Les fournisseurs d’accès  Les CERT (Computer Emergency Response Team)  Privés ou d’Etat (ex.: le CERTA en France, l’US-CERT aux Etats-Unis).  Les éditeurs d’anti-virus et les sociétés de sécurité  Les autorités  En France: principalement l’ANSSI mais aussi la police (OCLCTIC, BEFTI, DCRI, …) et la gendarmerie (NTECH).  En Europe: Europol, Eurojust, différents services spécialisés  A l’échelle mondiale: Interpol  Des partenariats entre ces services se créent et se maintiennent afin de lutter plus efficacement contre la cybercriminalité.

29 Les décisions de justice 29 SRS EPITA - 17 novembre 2010  La plupart des hébergements bulletproof sont « offshores »  Souvent dans des pays peu regardants quant au contenu et à l’utilisation faite des serveurs  Des procédures souvent locales  Une court de justice américaine n’aura d’effet que sur des serveurs américains  McColo Corp (Californie) fût fermé pour cause d’hébergement de contenu malveillant (spams)  Une décision légale française ne peut pas impacter un serveur en Russie !  Elle n’a aucune autorité, son seul recours: les instances judiciaires internationales  A l’heure actuelle, les procédures législatives sont inadaptées à l’environnement complexe d’Internet  L’ICANN (Internet Corporation for Assigned Names and Numbers) révoque les accréditations aux entreprises « malveillantes » (exemple avec EstDomains, Inc.) : EstDomains (Estonie) était notamment connu pour son laisser-faire en matière d’hébergement (malware, pédopornographie, etc.). La lettre a été envoyé au CEO Vladimir Tsastsin, annonçant la suppression de l’accréditation Registrar (attributions de TLD). Vladimir Tsastsin a fait de la prison pour fraude à la carte bancaire, usage de faux et blanchiment d’argent (3 ans dont 6 mois ferme par la court de Tartu, Estonie).

30 Déconnexion d’AS corrompu 30 SRS EPITA - 17 novembre 2010  Une fois la décision de justice prise, il faut faire fermer ces serveurs, mais comment ?  Le but est de « couper » ces AS d’Internet, pour cela il faut déconnecter un à un tous les AS s’interconnectant à celui à faire fermer.  Ce phénomène s’appelle le « de-peering »  L’AS légitime supprime les routes menant vers l’AS corrompu afin de l’isoler de l’Internet.  Cependant un AS malveillant peut avoir jusqu’à 15 connexions vers d’autres AS ! La procédure est donc longue et difficile, d’autant plus qu’il peut s’interconnecter avec d’autres AS malveillants (qui ne couperont pas leurs liens).  Que faire lorsque un AS malveillant héberge aussi du contenu légitime ?  Problème de neutralité du net  Besoin d’un filtrage de plus faible granularité, mais celui-ci est couteux et peu efficace (les IP changent en moins de 24h).  La France est loin d’être irréprochable  Exemple avec l’AS OVH (AS16276)  Spam, serveurs C&C, phising, etc.

31 Etude de RBN: Un démantèlement réussi ? 31 SRS EPITA - 17 novembre 2010  Les acteurs de la lutte antiviral identifient RBN comme la source des principales attaques électroniques en 2007  L’organisation de RBN fût exposée médiatiquement, et une forte pression mondiale commença à s’exercer sur leurs activités  Certains FAI russes commencèrent à de-peerer les AS de RBN  Les clients de RBN étant trop exposés, ils commencèrent à suspendre leurs abonnements et ainsi mettre en danger le business modèle de RBN  Aucune condamnation ne fût prononcée  Malgré la très forte suspicion sur l’identité de certains acteurs de RBN, aucune arrestation ne fût prononcée  Le dimensionnement international et la forte mobilité des protagonistes empêcha toutes actions coordonnées des autorités internationales  Le service fourni étant critique pour les organisations cybercriminelles, RBN a probablement pu être protégé par certaines cellules  RBN aujourd’hui disparu ?  Officiellement la société RBN est aujourd’hui annoncée comme ayant cessé son activité  Néanmoins tout pousse à croire que RBN a juste évolué en une structure plus discrète: - Une dizaine de noms de domaines affiliés à RBN sont aujourd’hui actif en République Tchèque - Plusieurs blocs d’IP utilisés par RBN sont maintenant localisés en Chine  RBN semble avoir évolué vers un système plus discret, construisant des AS grâce à l’achat de plages d’IP de petites tailles de manière à ne pas éveiller les soupçons. Leurs relations avec les cybercriminels s’est potentiellement intensifiée de manière à garantir un meilleur anonymat.

32 SRS Day – Conférence 17 novembre 2010


Télécharger ppt "SRS Day – Conférence 17 novembre 2010 Par: Charles Hourtoule – hourto_c Luc Delsalle – delsal_l Edouard Veron – veron_e Alban Pétré – petre_e Victorien."

Présentations similaires


Annonces Google