La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France.

Publié parFernande Cousineau Modifié depuis plus de 8 années

Présentations similaires

Présentation au sujet: "Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France."— Transcription de la présentation:

1 Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France

2 Types d’attaques réseaux simples (sur échange C/S) sourcedestination Flux normal Interception Interruption Déni de service Modification « Man in the middle » Mascarade

3 Petite cartographie (I) L’écoute (sniffing) Les chevaux de Troie (« trojans”) et les bombes logiques –Pour vivre heureux, vivons cachés ! –Installation (furtive) dans le système –Evénement déclenchant. Ex : vendredi 13, accès à un site bancaire, activation à distance… –Contrôle du système, traçage/capture de données… Les attaques applicatives, « exploits » –Trous de sécurité, erreurs de programmation, mauvaises configurations... –Ex : dépassement de tampon (cf. nop), violation de protocole –Ex : attaques applicatives (clients et serveurs Web notamment) –Ex : injection de code (ex : injection SQL) Les vers –Propagation via le réseau (messagerie, IRC) –Utilisation de failles au niveau applicatif

4 Petite cartographie (II) Key loggers : monitoring à distance Rootkits : détournement de commandes systèmes Bots et botnets : réseaux dormants d’espions/chevaux de Troie Attaques DNS Fast Flux, Double Fast Flux, Triple Fast Flux ! Bombardement de courriels : répéter un même message à une adresse. Spamming : diffusion de messages à large échelle Adware/spyware : collecte d’informations à l’insu de l’utilisateur Phishing : simulation d’écrans de saisie …

5 Petite cartographie (III) Déni de service : –Déni de service en général : envoi en très grand nombre de requêtes autorisées en vue de saturer le système –Attaque mono-source ou multi-sources (Distributed DoS, DDoS) –Ex : inondation de commandes SYN (SYN flooding) Envoi en grand nombre de paquets TCP SYN avec des adresses aléatoires (IP spoofing) ou à partir de plusieurs machines (DDoS) Le serveur renvoie des SYN ACK et maintient les connexions ouvertes (en attente des ACK) => saturation si débit d’envoi < temps de demi-connexion –Plus basique : PING flooding –Ex applicatif : attaques de serveurs Web –Cf. Anonymous, LOIC

6 Petite cartographie (IV) Un peu d’histoire : ping de la mort (Ping of Death) (av. 1998) –Envoi d’une requête « echo » du protocole ICMP –Utilisation d’une taille de données supérieure à la capacité d’un paquet IP => fragmentation –Lors du réassemblage des données, débordement de tampon interne car la taille totale du paquet est supérieure à la taille max autorisée par IP (65535 octets) => blocage/redémarrage… Successeur : INVITE of death (VoIP) –protocole SIP (2009) : envoi d’une requête INVITE mal formée => buffer overflow => état chaotique du serveur (délai, accès non autorisé, déni de service…)

7 Petite cartographie (V) Historique aussi : Smurf (« attaque par rebond ») –Utilisation d’un serveur de diffusion –Mascarade (« spoofing ») d’une adresse IP –Envoi d’une commande type ping ou echo au serveur de diffusion avec comme adresse expéditrice l’adresse falsifiée –Chaque machine du réseau de diffusion envoie une requête réponse à l’adresse falsifiée => saturation de la machine

8 Petite cartographie (VI) Historique toujours : Teardrop –Envoi du 1er paquet d’une fragmentation –Envoi d’un 2ème paquet dont le bit de décalage et la longueur impliquent qu’il est inclus dans le 1er paquet –Le système ne sait pas gérer cette exception et se bloque –Dans le même genre, voir l’attaque Land (paquets SYN avec source = destination (machine attaquée répond donc à elle- même))

9 Petite cartographie (VII-1) Mascarade TCP/IP (TCP/IP Spoofing) –Construction de paquets IP avec une fausse adresse source –Condition : identification d’un client de confiance du serveur qu’on paralyse par une attaque type DoS ; identification de la méthode de génération du numéro de séquence (ISN : numéro de séquence initiale (=> envoi de requêtes test)) –Le pirate répond au serveur en lieu et place du client de confiance –Objectif : attaques DoS ou créations de backdoors –Condition : rendre impossible l’identification de la véritable source Variantes : mascarades d’adresses courriel, DNS, NFS...

10 Spoofing d’une session TCP (VII-2) xxx.xxx.xxx.xxx 1/ Connexions TCP 2/ DoS 4/ SYN ACK 5/ ACK 3/ SYN + spoofing xxx.xxx.xxx.xxx en source From Arkoon Inc.

11 Petite cartographie (VIII) « Man in the Middle » –Ecoute : se placer entre le serveur et le client (entre les deux pairs) et écouter le réseau –Substitution : se placer entre le serveur et le client, se faire passer pour le serveur modifier les informations transmises par le client

12 Petite cartographie (IX) Attaques systèmes, 0-day, Exploit –Exploitation des failles des systèmes d’exploitation –Windows loin devant ! –Patcher/Tracer/Filtrer

13 Petite cartographie (X) : état des lieux Panoramas de la cybercriminalité (CLUSIF) –2002 : spam, attaque DNS, WiFi 1/3 du courriel = spam (aujourd’hui 90%) ! attaque DDOS sur les serveurs racines DNS… par ping flooding le cyber-terrorisme est envisageable ! il faut sécuriser le WiFi –2003 : cyber-criminalité : virus, spam, phishing SOBIG, BUGBEAR, NIMAIL… : ciblent échanges banquaire apparition du phishing recherche de gain, cyber-mafia –2004 : professionnalisation, botnets virus (dont JPEG) robots et botnets –2005 : professionnalisation, botnets, rootkits keylogger matériel kernel/application rootkits

14

15

16 Petite cartographie (XI) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite)Panoramas de la cybercriminalité (CLUSIF) –2006 : attaques 0-day : 50 0-day pour MS-Windows, 5700+ avis sur la base Secunia pour Unix (489 Apple), temps moyen sans protection : 22 jours – émergence d’un marché des attaques (20-30 k$) –2007 : mondes virtuels, botnets, réseaux mafieux, cyber-guerre argent virtuel = argent ! MPACK et P2P botnets fast flux, double fast-flux réseaux mafieux : RBN… premiers exemples de cyber-guerre : Estonie –2008 : routage DNS, attaques matérielles cold boot routage BGP (Pakistan Telecom) –2009 : ANSSI, vie privée et réseaux sociaux, piratage DAB

17

18

19

20

21

22

23

24

25 Petite cartographie (XII) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite)Panoramas de la cybercriminalité (CLUSIF) –2010 : Stuxnet, hacktivisme, botnets portables Stuxnet : piratage SCADA, cyber-guerre hacktivisme botnets de téléphones mobiles ! –2011 : fuite d’information, argent virtuel, botnets mobiles, faille des AC, vie privée, cyber-armées, SCADA fuite d’information Carrier IQ, HTCLogger : vous êtes surveillés… ou espionnés ? bitcoin attaques téléphones portables faille des AC (attaque de DigiNotar par un hacker iranien) cyber-armées attaques des systèmes SCADA

26 Petite cartographie (XIII) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite)Panoramas de la cybercriminalité (CLUSIF) –2012 : attaque stimulateur cardiaque ! SCADA, SCADA, SCADA ! le droit des conflits armés s’applique à la cyber-guerre ; écoles de cyber-guerre, recrutements de soldats-hackers cyber-surveillance attaques ciblées (NASA, 13 fois ; Verisign…) contre-attaques statistiques objectifs variés : sabotage industriel (Stuxnet), destruction de systèmes (Shamoon), vol d’informations classifiées/bancaire/industrielles (Flame, Gauss, Duqu), surveillance… marché du hack (html injection, 60$), marché du DDoS (1h : 5$, 1 mois : 900$), Hack-as-a-Service, plates-formes d’exploits attaques smartphones++ ransonwware

27 Petite cartographie (XIV) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite)Panoramas de la cybercriminalité (CLUSIF) –2013 : PRiSM APT chinoise : 140 entreprises, vol 6To, 1000 serveurs C&C-13 pays « waterholing » attaques destructives définitives (sabotage – ex : Corée du Sud) ou temporaires (rançon) attaques métier (ex : DAB) (réseau Target : 100+ millions comptes) vol de comptes (Adobe : 38 millions comptes) attaques Android (passage PC lors synchro) ransomware++ coût cyber-attaques : 300 Mds € bitcoin

28

29

30

31 Petite cartographie (XV) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite)Panoramas de la cybercriminalité (CLUSIF) –2014 : exagérations (Cybervor : 1,2 milliards de mots de passe (non- ?)volés) ! Internet des Objets: 1 er « thingbot » (botnet d’objets connectés) APT SI Sony : 9 mois, 110 To, 75% serveurs touchés, divulgation informations métier secrètes et personnelles (47000 employés), rançon – 8 semaines indisponibilité, 3 class actions en cours, tensions Corée du Nord-Etats-Unis fraude au Président (ex : Michelin) Heartbleed (erreur programmation OpenSSL) – ShellShock (GNU Bash) arrêt de TrueCrypt attaque de systèmes déconnectés (air gaps) (AirHopper (FM), BadBIOS (ultrasons), laser…) APT++ (dont Babar (DGSE – Iran ?)

32 Petite cartographie (XV) : état des lieux –Autres liens intéressants Zeus Tracker, Palevo Tracker, Feodo TrackerZeus TrackerPalevo TrackerFeodo Tracker « carte d’épidémie » carte CISCO des menaces RIPE Network Coordination Centre MAcAfee Threats Prediction –2015 : espionnage, IoT, privacy, ransomware, attaques sur mobiles –2014 : attaques sur mobiles, monnaies virtuelles, advanced evasion techniques, réseaux sociaux, clouds –2013 : attaques mobile, rootkits, APT, Citadel, html5, botnets, crimeware, hacktivisme –2012 : SCADA/industries, embarqué, hacktivisme, monnaie virtuelle, cyber- guerre, mobile (et banque sur mobile), certificats, DNSSEC, Windows 8, « ransomware »

33 Sites de veille et d’alerte site de l'ANSSIsite de l'ANSSI CERT-FR, centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiquesCERT-FR, centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques –lien vers l'European Government CERTs Group (EGC)lien vers l'European Government CERTs Group (EGC) –lien vers l'European Network and Information Security Agencies (ENISA)lien vers l'European Network and Information Security Agencies (ENISA) First : Forum for Incident Response and Security Teams CERT Coordination Center (Université de Carnegie-Mellon) Bilans annuels sur les attaques informatiques (CERT-IST)

34 Conclusion Pas tant de finesse que ça : un monde de brutes... Pas si difficile de parer la plupart des attaques Difficile de parer les attaques (réalisée avec complicité) de l’intérieur (ainsi que les APT-AET) « Plasticité »/Adaptabilité des attaques et nouveaux enjeux Une « industrie » s’est créée Nouvelle composante stratégique Equilibre ouverture/sécurité

Télécharger ppt "Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France."

Présentations similaires

05/05/2011 Panorama des menaces actuelles et futures à travers le prisme dun CERT David Bizeul – CERT Société Générale C0 Présentation publique.

05/05/2011 Panorama des menaces actuelles et futures à travers le prisme dun CERT David Bizeul – CERT Société Générale C0 Présentation publique.
Sécurité informatique

Sécurité informatique
L’Essentiel sur… La sécurité de la VoIP

L’Essentiel sur… La sécurité de la VoIP
TRANSFER HCMV – Notion de sécurité Jean Christophe André - Nicolas Larrousse Mars 2003 1 Les bases Sécurité du système : Sauvegardes (dd, dump, cpio, tar,

TRANSFER HCMV – Notion de sécurité Jean Christophe André - Nicolas Larrousse Mars Les bases Sécurité du système : Sauvegardes (dd, dump, cpio, tar,
Botnet, défense en profondeur

Botnet, défense en profondeur
Sécurité informatique

Sécurité informatique
Présentation de l’Internet

Présentation de l’Internet
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.

- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000

Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001

ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Présentation CLUSIR 8 janvier 2002

Présentation CLUSIR 8 janvier 2002
Les risques Mascarade d'identité & Rebonds

Les risques Mascarade d'identité & Rebonds
Réseaux Privés Virtuels

Réseaux Privés Virtuels
Authentification contre Masquarade

Authentification contre Masquarade
Les virus informatiques

Les virus informatiques
Un peu de sécurité Modal Web Modal Baptiste DESPREZ

Un peu de sécurité Modal Web Modal Baptiste DESPREZ
INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique

Présentations similaires

Annonces Google