Leurré.com : retour d'expérience sur plusieurs mois d'utilisation d'un pot de miel distribué mondialement E. Alata 1, M. Dacier 2, Y. Deswarte 1, M. Kaâniche.

Slides:



Advertisements
Présentations similaires
FORUM REGIONAL DE NORMALISATION DE L'UIT POUR L'AFRIQUE (Dakar, Sénégal, mars 2015) Outils et méthodes pour tester la qualité de services (QoS) de.
Advertisements

1/21 Les données paysages du système d’information sur la nature et les paysages Atelier Inter-Diren mars 2008.
LES FRANÇAIS ET L’ONU. © Harris Interactive 2 SOMMAIRE > Méthodologie d’enquêteP.3 > Regard général sur l’ONUP.4 > Perception de l’action de l’ONU et.
21 octobre 2015 BeSt Address et structure TI 020 au Registre national Comité des utilisateurs Marc Ruymen.
Espace collaboratif du CODEV Blog, WIKI, Forum: c’est quoi?  Blog - Publication périodique et régulière d’articles La vocation d’un Blog est d'être un.
Christine Fournier - Formatrice de Formateurs DP3 - DP6 L ’ OBSERVATION EN STAGE.
1 Comment préparer un plan Document No. 2.1 Gestion des activités conjointes de lutte contre la tuberculose et le VIH: cours de formation pour responsables.
ABF Améliorer nos formations pour une microfinance plus sociale.
19 Octobre 2012 C ARTO V ACCINS ™ Approche d’amélioration de la couverture vaccinale Département du Vaucluse.
6 ans d’utilisation de l’ordinateur avec mes élèves. Présentation : Marc André (instituteur en cinquième primaire à l’école libre de Moustier s/Sambre)
Géographie 6H 1. Présentation du matériel à disposition.
1 TECHNOLOGIE EN SEGPA Objets techniques instrumentés, didactisés et maquettisés que préconisent les nouveaux programmes Stage 10SEGDES2 du 14 et 15 décembre.
Mediator 9 - Un outil de développement multimédia 3AC Techno/Informatique.
« NET-COTISATIONS CDG 35 » Guide d’utilisation. Accès à la déclaration Accéder au site de déclaration des cotisations dans votre espace collectivité à.
Développement d’application avec base de données Semaine 3 : Modifications avec Entité Framework Automne 2015.
Gabriel Dumouchel, doctorant Université de Montréal Atelier Jouvence 2011 Atelier Jouvence 2011.
19 mai 2011 Gwennaëlle BRILHAULT INSEE – Dép.de la Démographie Séminaire SFDS Les calculs de précision dans le recensement rénové.
Comment écrire un article scientifique Olivier MIMOZ DAR.
Tutoriel n°4 : Administration Technique Formation : profil Administrateur.
Géomatique Systèmes de projection Types de données Applications Qu’est-ce qu’un SIG ? Présentation de la géomatique La géomatique regroupe l'ensemble des.
Pour une recherche efficace F. Courtiol– CDI Lycée Léo Ferré – 10/2011.
Le réseau web enit.org … Depuis 2003, l’Anienit - Association Nationale des Ingénieurs ENIT – à mis sur pied et finance un serveur web indépendant de l’école.
DOCUMATION – MIS 2013 Le moteur de recherche, un animal social mars 2013 DOCUMATION - MIS Véronique MESGUICH Co-présidente de l’ADBS
Dispositif d’évaluation globale de la
 Sensibiliser les gens du problème et des dangers des entrées par infraction.  Faire valoir leur technologie avant-gardiste.
REP DES ÉLÉMENTS D ’ AMEUBLEMENT. l’article 41 de la loi GRENELLE 1 d’août 2009 et l’article 78 quater de la loi GRENELLE 2 : « À compter du 1 er janvier.
Résultats de l’enquête menée auprès des maîtres d’ouvrage – sept 07.
Territoires de compétences … Mise en place d’une formation au métier de l’abattage 1 -L’équipe de Work 2000 représentée notamment par Jean-Luc Ferrier.
La création des données d’exemplaire pour un exemplarisateur Sudoc.
Elaborer et orchestrer une politique RH en matière de gestion des compétences 26 mars 2015.
Le Plug dans la cure des hernies inguinales chez l’adulte le Plug dans la cure des hernies inguinales chez l’adulte P 273 N. TAOUAGH, S. LOUDJEDI, A. BEREKSI,
Automates Programmables Industriels ( ITEEM 2004 ) I.T.E.E.M de BEAULIEU Enseignante : Mme RECHID CHAPITRE 7 Le Logiciel PL7 Présentation - Ergonomie Les.
Les méthodes de tests Les grands principes pour réaliser des tests efficaces.
Séminaire INSEE-SFdS 19 mai 2011 L’utilisation du recensement pour mesurer l’emploi et le chômage Comparabilité avec les anciens recensements.
Suivi Participatif et Évaluation des Projets Communautaires – Un Modèle Dakar, Sénégal Du 11 au 15 janvier 2010.
Chapitre 6 Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Module S44.
Analyse des tâches en ergonomie
Master 2 Entrepreneuriat International Option Gestion des Risques L’APPRECIATION DES PLUS OU MOINS VALUES LATTENTES, LES ECARTS DE CONSOLIDATION ET D’ACQUISITIONS.
La création des données d’exemplaire pour un responsable de Centre Régional.
L’accueil du nouveau-né en salle de naissance: implications de l’instauration de la méthode du peau à peau. Anne-Sophie Van Acker Anne-Sophie Van Acker.
ANALYSE SUJETS BAC COMMUNICATION ET GRH PARTIE PRATIQUE L’ETUDE.
1 sciences de gestion 1 STMG. 1) 1) C’est quoi au juste 2) cette matière? 2 sciences de gestion 1 STMG.
Biennale du LPNHE 2011, 20/09/ Le projet GRIF-UPMC : évolution et utilisation Liliana Martin Victor Mendoza Frédéric Derue
ETUDE DE MARCHE SUR LA SNRT Travail réalisé par : Ibtissam Nfaoui Chaimae Mhamdi Hakima Blileg Fatima Zahrae Lebied Soukaina Zaroual Enseignante: Mme Zineb.
Les limites de l’UML Présenté par : Samah Dekhil 1.
Formation Ouverte et A Distance Bureau des expertises techniques, des projets d'infrastructures et de la sécurité des systèmes d'information Parcours de.
La communication en situation de crise en France L’exemple de la pandémie grippale.
1 Les nouvelles modalités financières PARTIE II GESTION DES RISQUES Séminaire LAF Controlling - JUIN 2009.
B IENVENUE À VOTRE ASSEMBLÉE CONJOINTE DES RÉSEAUX 26 OCTOBRE
Veille sur Internet Démarches ESI Mars 2013 Mouna Benslimane.
Bienvenue sur JeuxKeno.com Nous sommes chaleureusement vous accueillir à la jeuxkeno.com. Ici vous pouvez trouver les informations sur l'offre de splendides,
Introduction Depuis le début des sites web les urls sont utilisé pour la navigation. Avec l’arrivée des bases de données, les urls ont prit de l’importance.
Compétences: Capacité d’analyse et de recherche Présentation/Discussion Adjoints des commissions des finances - WAAPAC.
Pour quoi RANDONNEUR Rythme d’Analyse de Nouvelle Donner sur l’Objectif des Norme et des Négociation d’Entraide pour Unir la Relation des participants.
Les normes de l’OIT en matière de sécurité sociale – une retrospective
1 Fabienne Ragain-Gire E-patiente DT1, bénévole & présidente AFFD Inscrite sur le forum en 2008 UN CLIC ET CA REPART ! LE SOUTIEN.
Universit é Mohamed Kheider de Biskra Facult é de science et technologie D é partement de g é nie é lectrique Sp é cialit é : t é l é communication Le.
Veille technologique Les objets connectés.
Tutoriel MATLAB-SIMULINK Projet UNIT 2009 Partenariat : Ecole des Mines d’Alès Ecole des Mines de Saint Etienne Université de Nice Sophia-Antipolis.
1 Copyright EDF Ce document est la propriété d'EDF. Toute communication, reproduction, publication, même partielle, est interdite sauf autorisation.
Section 1 : Le Conseil de l’Europe et les langues Section 2 : Le Centre européen pour les langues vivantes Section 3 : Justification de l’Appel et aperçu.
Développement d’application avec base de données Semaine 2: Requête avec l’Entity Data Model Automne 2015.
Université Ferhat Abbas –Sétif 1 Centre des Systèmes et Réseaux d’Information Et de Communication, de Télé-enseignement et D’Enseignement à Distance Rapport.
Rencontre Régions-Bpifrance 23 mars Des échanges fournis 2 2.
1 Diapositives Faisabilité et suivi-évaluation Source: Formation interne STEP, juin 2006 BIT/STEP.
Présentation éclair de l’équipe Home care YHSSA Appel de suivi d’équipe # 3 Nom de la présentatrice: Cathy-Jo Doyle HSW Superviseur.
La propagation de la lumière
Un projet pour tous, un engagement pour chacun Cette épreuve de « compte est bon » permet à tous les élèves, quel que soit leur compétence, de participer.
M. Fieschi Master EISIS Marseille 2005 Présentation Générale Systèmes d’informations et décisions en santé Marius Fieschi Université de la Méditerranée.
Transcription de la présentation:

Leurré.com : retour d'expérience sur plusieurs mois d'utilisation d'un pot de miel distribué mondialement E. Alata 1, M. Dacier 2, Y. Deswarte 1, M. Kaâniche 1, K. Kortchinsky 3, V. Nicomette 1, V.H. Pham 2, F. Pouget 2 (1) LAAS/CNRS, (2) Eurecom, (3) CERT RENATER Point de contact: Projet partiellement financé par l’ACI Sécurité dans le cadre du projet CADHO ( acisi.loria.fr )

2/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Plan Leurré.com: pourquoi et comment Leurré.com: pourquoi et comment 11 Observations 11 Observations 1 question ouverte 1 question ouverte Conclusions Conclusions

3/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. CADHO et Leurré.com Leurré.com n’est qu’un des aspects de la recherche menée dans le projet CADHO avec le LAAS/CNRS et le CERT RENATER. Leurré.com n’est qu’un des aspects de la recherche menée dans le projet CADHO avec le LAAS/CNRS et le CERT RENATER. –D’autres aspects importants concernent l’utilisation de pots de miel à haute interaction –La modélisation des phénomènes d’attaques et du comportement des attaquants. Plus d’information est disponible dans les actes. Plus d’information est disponible dans les actes.

4/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Motivations (ctd.) Nous avons besoin d’un environnement et d’une méthode qui nous permettent de collecter des données quantitatives, représentatives et non biaisées des attaques ayant lieu sur l’Internet. Nous avons besoin d’un environnement et d’une méthode qui nous permettent de collecter des données quantitatives, représentatives et non biaisées des attaques ayant lieu sur l’Internet. C’est un prérequis pour pouvoir construire des systèmes à même de détecter l’arrivée de nouvelles menaces. C’est un prérequis pour pouvoir construire des systèmes à même de détecter l’arrivée de nouvelles menaces.

5/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Ce project vise à déployer exactement le même ensemble de pots de miel à basse interaction dans un grand nombre d’endroits dans le monde. Ce project vise à déployer exactement le même ensemble de pots de miel à basse interaction dans un grand nombre d’endroits dans le monde. C’est une approche complémentaire des projets dits de « téléscope Internet » et autres darknets. C’est une approche complémentaire des projets dits de « téléscope Internet » et autres darknets. Ce déploiement est partiellement financé par l’ACI Sécurité dans le cadre du projet CADHO. (plus d’infos sur acisi.loria.fr) Ce déploiement est partiellement financé par l’ACI Sécurité dans le cadre du projet CADHO. (plus d’infos sur acisi.loria.fr)

6/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Mach0 Windows 98 Workstation Mach1 Windows NT (ftp + web server) Mach2 Redhat 7.3 (ftp server) VirtualSWITCHVirtualSWITCH Plate forme déployée Internet Observer (tcpdump) PareFeuInverséPareFeuInversé

7/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. 30 plate formes, 20 pays, 5 continents

8/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. En Europe …

9/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Partenariat Tout partenaire intéressé fournit… Un PC usagé (pentiumII, 128M RAM, 233 MHz…), 4 adresses IP routables, EURECOM offre … Un CD Rom d’installation complète. Collecte journalière et automatique des logs + contrôle d’intégrité de la plateforme. Accès à la base SQL contenant l’ensemble des données collectées depuis le début du projet.

10/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Plan Leurré.com: pourquoi et comment Leurré.com: pourquoi et comment 11 Observations 11 Observations 1 question ouverte 1 question ouverte Conclusions Conclusions

11/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Données présentées Les transparents qui suivent sont basés sur les données collectées sur toutes les plateformes entre le 1er janvier 2005 et le 15 mai Les transparents qui suivent sont basés sur les données collectées sur toutes les plateformes entre le 1er janvier 2005 et le 15 mai Chaque point indique le nombre de sources IPs observées au cours d’une semaine (19 points) Chaque point indique le nombre de sources IPs observées au cours d’une semaine (19 points) Les noms des partenaires ont été enlevés pour préserver leur anonymat Les noms des partenaires ont été enlevés pour préserver leur anonymat

12/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Note préliminaire La présentation se veut purement factuelle. La présentation se veut purement factuelle. Pour la présentation des algorithmes, techniques et méthodes utilisées pour systématiser nos démarches et dépasser le cadre anecdotique, nous vous renvoyons aux autres publications disponibles sur l’URL Pour la présentation des algorithmes, techniques et méthodes utilisées pour systématiser nos démarches et dépasser le cadre anecdotique, nous vous renvoyons aux autres publications disponibles sur l’URLwww.eurecom.fr/~pouget/papers.htm

13/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Observation 1 Un très grand nombre des requêtes envoyées à nos plateformes visent un nombre très réduit de ports: Un très grand nombre des requêtes envoyées à nos plateformes visent un nombre très réduit de ports: –Peu de scans très larges –Quelques ports sont très « demandés »

14/31 1er Juin 2005 – SSTIC, Rennes – Dacier M.

15/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Observation 2 Attention à l’interprétation rapide de courbes. Attention à l’interprétation rapide de courbes. Selon la façon dont on compte, on voit des choses « différentes ». Selon la façon dont on compte, on voit des choses « différentes ». Le transparent suivant compte les paquets reçus et non les adresses sources. Le transparent suivant compte les paquets reçus et non les adresses sources. D’autres phénomènes apparaissent: D’autres phénomènes apparaissent: –Le pic au point 6 concerne la séquence « 80| »

16/31 1er Juin 2005 – SSTIC, Rennes – Dacier M.

17/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Observation 3 En focalisant l’attention sur certaines séquences de port, on observe certains phénomènes étranges: En focalisant l’attention sur certaines séquences de port, on observe certains phénomènes étranges: –Les différentes courbes ont leur vie propre. –Certaines vivent longtemps, d’autres pas. –Déclin très rapide de certaines attaques –Il existe des similarités surprenantes entre certaines courbes.

18/31 1er Juin 2005 – SSTIC, Rennes – Dacier M.

19/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Observation 4 Certaines nouvelles séquences de port apparaissent brutalement et toutes ensemble sur l’ensemble de nos plateformes. Certaines nouvelles séquences de port apparaissent brutalement et toutes ensemble sur l’ensemble de nos plateformes. Ici, il s’agit de la séquence « 2100| » Ici, il s’agit de la séquence « 2100| » –Premier hit isolé le 29 janvier sur une seule plateforme –Le 19 mars simultanément sur toutes les autres. Le 25 mars, un module visant ce port a été introduit dans Metasploit (oracle9i_xdb_ftp_pass) Le 25 mars, un module visant ce port a été introduit dans Metasploit (oracle9i_xdb_ftp_pass)

20/31 1er Juin 2005 – SSTIC, Rennes – Dacier M.

21/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Observation 5 La notion de « clusters » regroupe au sein d’un même groupe toutes les attaques partageant un nombre de caractéristiques tel qu’elles sont vraisemblablement issues d’un même outil La notion de « clusters » regroupe au sein d’un même groupe toutes les attaques partageant un nombre de caractéristiques tel qu’elles sont vraisemblablement issues d’un même outil Plusieurs clusters peuvent exister pour une même séquence de ports. Plusieurs clusters peuvent exister pour une même séquence de ports. Les courbes de clusters sont porteuses de plus de sémantique. Les courbes de clusters sont porteuses de plus de sémantique.

22/31 1er Juin 2005 – SSTIC, Rennes – Dacier M.

23/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Observation 6 Certaines similitudes sont véritablement surprenantes. Certaines similitudes sont véritablement surprenantes. Ici, on représente 2 clusters visant des ports très différents: 80 pour un et 135 de l’autre. Ici, on représente 2 clusters visant des ports très différents: 80 pour un et 135 de l’autre. On ne trouve aucune adresse IP en commun dans les attaquants responsables de ces attaques On ne trouve aucune adresse IP en commun dans les attaquants responsables de ces attaques

24/31 1er Juin 2005 – SSTIC, Rennes – Dacier M.

25/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Observation 7 Notre base fournit la localisation géographique des attaquants. Notre base fournit la localisation géographique des attaquants. Nous pouvons donc représenter les courbes par pays d’origine des attaques Nous pouvons donc représenter les courbes par pays d’origine des attaques –Certains pays sont responsables du plus grand nombre d’attaques et ce de façon stable.

26/31 1er Juin 2005 – SSTIC, Rennes – Dacier M.

27/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Observation 8 Ici aussi, on observe une très frappante similarité entre les courbes de certains pays, mais pas de tous. Ici aussi, on observe une très frappante similarité entre les courbes de certains pays, mais pas de tous.

28/31 1er Juin 2005 – SSTIC, Rennes – Dacier M.

29/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Observation 9 La représentation, pour chaque plateforme, du nombre d’attaques par cluster indique clairement que certaines plateformes ont des profils d’attaques très particuliers La représentation, pour chaque plateforme, du nombre d’attaques par cluster indique clairement que certaines plateformes ont des profils d’attaques très particuliers

30/31 1er Juin 2005 – SSTIC, Rennes – Dacier M.

31/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Observation 10 La contribution de chaque pays à chaque cluster met en lumière le fait que certains clusters ne sont présents que dans certains pays. La contribution de chaque pays à chaque cluster met en lumière le fait que certains clusters ne sont présents que dans certains pays. Certains outils seraient donc confinés aux frontières géographiques d’un pays (!?) Certains outils seraient donc confinés aux frontières géographiques d’un pays (!?)

32/31 1er Juin 2005 – SSTIC, Rennes – Dacier M.

33/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Observation 11 Il existe deux populations de machines compromises dans l’Internet: Il existe deux populations de machines compromises dans l’Internet: –Les machines qui collectent des informations –Les machines qui attaquent réellement. Il y a 18 mois, près de 60% des attaquants appartenaient à la première catégorie Il y a 18 mois, près de 60% des attaquants appartenaient à la première catégorie Aujourd’hui, seuls 26 % des machines scannent et près de 70 % attaquent. Aujourd’hui, seuls 26 % des machines scannent et près de 70 % attaquent.

34/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Les « scanneurs »

35/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Les « attaquants »

36/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Plan Leurré.com: pourquoi et comment Leurré.com: pourquoi et comment 11 Observations 11 Observations 1 question ouverte 1 question ouverte Conclusions Conclusions

37/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Question sans réponse Pourquoi le nombre d’attaques par jour, toutes plateformes confondues peut il être très bien approximé en multipliant le nombre d’attaques observés venant de Russie ? Pourquoi le nombre d’attaques par jour, toutes plateformes confondues peut il être très bien approximé en multipliant le nombre d’attaques observés venant de Russie ? Le transparent suivant met ceci en lumière sur une période de 320 jours Le transparent suivant met ceci en lumière sur une période de 320 jours

38/31 1er Juin 2005 – SSTIC, Rennes – Dacier M.

39/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Eléments de réflexion La Russie est responsable de moins de 2% de l’ensemble des attaques. La Russie est responsable de moins de 2% de l’ensemble des attaques. Cette corrélation n’est pas (aussi) visible sur toutes les plateformes prises individuellement Cette corrélation n’est pas (aussi) visible sur toutes les plateformes prises individuellement Ce phénomène existe pour d’autres pays mais pas pour tous. Ce phénomène existe pour d’autres pays mais pas pour tous.

40/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Eléments de réflexion (suite) Le phénomène n’est pas lié à une fenêtre de temps particulière Le phénomène n’est pas lié à une fenêtre de temps particulière Deux méthodes différentes d’analyse de similarité (corrélation et SAX) ont validé cette découverte sur un très grand ensemble de données. Deux méthodes différentes d’analyse de similarité (corrélation et SAX) ont validé cette découverte sur un très grand ensemble de données. Il ne s’agit pas d’un artefact isolé Il ne s’agit pas d’un artefact isolé

41/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Plan Leurré.com: pourquoi et comment Leurré.com: pourquoi et comment 11 Observations 11 Observations 1 question ouverte 1 question ouverte Conclusions Conclusions

42/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Conclusions Il y a beaucoup à apprendre de l’analyse des phénomènes observés. Il y a beaucoup à apprendre de l’analyse des phénomènes observés. Les résultats peuvent être utiles tant sur un plan opérationnel que scientifique. Les résultats peuvent être utiles tant sur un plan opérationnel que scientifique. Toutes les bonnes volontés sont les bienvenues. Toutes les bonnes volontés sont les bienvenues.

43/31 1er Juin 2005 – SSTIC, Rennes – Dacier M. Nous avons besoin de vous … … pour déployer encore plus de plate formes dans des environnements aussi divers que possible. … pour déployer encore plus de plate formes dans des environnements aussi divers que possible. … pour voir d’autres équipes apporter leur expertise à l’analyse de ces données. … pour voir d’autres équipes apporter leur expertise à l’analyse de ces données. … pour bâtir une véritable communauté décidée à s’entraider concrètement pour combattre les menaces présentes sur l’Internet. … pour bâtir une véritable communauté décidée à s’entraider concrètement pour combattre les menaces présentes sur l’Internet. Contact: