Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France.

Slides:



Advertisements
Présentations similaires
05/05/2011 Panorama des menaces actuelles et futures à travers le prisme dun CERT David Bizeul – CERT Société Générale C0 Présentation publique.
Advertisements

Sécurité informatique
L’Essentiel sur… La sécurité de la VoIP
Botnet, défense en profondeur
Sécurité informatique
Présentation de l’Internet
DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Conception de la sécurité pour un réseau Microsoft
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
Vue d'ensemble Implémentation de la sécurité IPSec
Présentation CLUSIR 8 janvier 2002
Les risques Mascarade d'identité & Rebonds
Réseaux Privés Virtuels
Authentification contre Masquarade
Sécurité et confiance : De la gestion des droits d’accès à la gestion des droits d’usage
Les virus informatiques
Un peu de sécurité Modal Web Modal Baptiste DESPREZ
1 Modèles de lEconomie Numérique Michel de Rougemont University Paris II.
INF4420: Éléments de Sécurité Informatique
La sécurité des appareils portables Conseils pratiques pour sécuriser vos appareils portables et les données qu'ils contiennent.
02/081 PROTEGER SON ORDINATEUR EN 2008 Amicale Laïque Poisat.
Scanning.
La sécurité - Les attaques
Présenté par : Albéric Martel Fabien Dezempte 1.
Le protocole FTP.
Les relations clients - serveurs
Bruyère Eglin Jacquey Larrivé Sahut
Authentification à 2 facteurs
RE161 IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie.
Denial of Service (DoS)
Les dangers d'Internet (virus et autres)
SECURITE DES RESEAUX WIFI
Le protocole d’authentification
Sécurité Les Virus Logiciels non sollicités et réalisant des opérations malveillantes ou destructrices Typologie –D’application :introduit par recopie.
Types d’attaques réseaux simples (sur échange C/S)
Initiation à l’informatique
Jean-Luc Archimbaud CNRS/UREC
Les virus informatiques
APPRENDRE À SE PRÉMUNIR DES ATTAQUES ET DES MENACES DU WEB Internet et sécurité.
Institut Supérieur d’Informatique
Que retenir ? (de vos cours 3IF et 4IF en réseaux-sécurité)
Advisor Advanced IP Présentation Télémaintenance Télésurveillance.
1  Pare feu  Antivirus  Chasse aux espions  Anti Spam La Sécurité sur nos ordinateurs PC Zombies : Sur les 600 millions de machines connectées au monde,
Techniques de piratage Stéphanie, Bastien, Dorian.
Les Réseaux Informatiques Clients & Serveurs Le protocole FTP Laurent JEANPIERRE DEUST AMMILoR.
Groupe 3 De Greef Didier Oozeer Tommy Piette Marc Renard Guy
Création de paquets IP.
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Le protocole DHCP.
Les Réseaux Informatiques
La sécurité.
La guerre de l'ombre : Que doivent savoir les responsables des politiques au sujet de la cybersécurité Eric Miller Vice-président des politiques, de l'innovation.
Sécurité et Internet Formation.
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
Référant : Osman SALEM GAOUA Lilia 15/12/2011.
V- Identification des ordinateurs sur le réseau
Sécurité de la Voix sur IP --- Attaques et défenses
Fonctionnalité et protocole des couches applicatives
Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France.
Module 3 Sécurité des Réseaux
La criminalité informatique Risques et menaces liés à internet et enquêtes en matière informatique.
VERSION AVRIL 2015 L’offre Hélios. Présentation C’est une box modulable sur mesure Un portefeuille complet de services de sécurité informatique pour les.
2 Agenda Les tendances à l’international Les tendances au Maroc L’écosystème de la cybercriminalité Les ripostes juridiques Conclusion en images Questions.
Synthèse: une journée dans la vie d'une requête Web 5: DataLink Layer5-1.
La sécurité informatique
1 © 2016 Proofpoint, Inc. Le facteur humain 2016 Points clés Charles Rami SE Manager South EMEA
Travailler dans un environnement numérique évolutif Domaine D1.
CLUSIF / CLUSIR Rha La Cybercriminalité Page 0 Yannick bouchet.
Types d’attaques réseaux simples (sur échange C/S)
Transcription de la présentation:

Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France

Types d’attaques réseaux simples (sur échange C/S) sourcedestination Flux normal Interception Interruption Déni de service Modification « Man in the middle » Mascarade

Petite cartographie (I) L’écoute (sniffing) Les chevaux de Troie (« trojans”) et les bombes logiques –Pour vivre heureux, vivons cachés ! –Installation (furtive) dans le système –Evénement déclenchant. Ex : vendredi 13, accès à un site bancaire, activation à distance… –Contrôle du système, traçage/capture de données… Les attaques applicatives, « exploits » –Trous de sécurité, erreurs de programmation, mauvaises configurations... –Ex : dépassement de tampon (cf. nop), violation de protocole –Ex : attaques applicatives (clients et serveurs Web notamment) –Ex : injection de code (ex : injection SQL) Les vers –Propagation via le réseau (messagerie, IRC) –Utilisation de failles au niveau applicatif

Petite cartographie (II) Key loggers : monitoring à distance Rootkits : détournement de commandes systèmes Bots et botnets : réseaux dormants d’espions/chevaux de Troie Attaques DNS Fast Flux, Double Fast Flux, Triple Fast Flux ! Bombardement de courriels : répéter un même message à une adresse. Spamming : diffusion de messages à large échelle Adware/spyware : collecte d’informations à l’insu de l’utilisateur Phishing : simulation d’écrans de saisie …

Petite cartographie (III) Déni de service : –Déni de service en général : envoi en très grand nombre de requêtes autorisées en vue de saturer le système –Attaque mono-source ou multi-sources (Distributed DoS, DDoS) –Ex : inondation de commandes SYN (SYN flooding) Envoi en grand nombre de paquets TCP SYN avec des adresses aléatoires (IP spoofing) ou à partir de plusieurs machines (DDoS) Le serveur renvoie des SYN ACK et maintient les connexions ouvertes (en attente des ACK) => saturation si débit d’envoi < temps de demi-connexion –Plus basique : PING flooding –Ex applicatif : attaques de serveurs Web –Cf. Anonymous, LOIC

Petite cartographie (IV) Un peu d’histoire : ping de la mort (Ping of Death) (av. 1998) –Envoi d’une requête « echo » du protocole ICMP –Utilisation d’une taille de données supérieure à la capacité d’un paquet IP => fragmentation –Lors du réassemblage des données, débordement de tampon interne car la taille totale du paquet est supérieure à la taille max autorisée par IP (65535 octets) => blocage/redémarrage… Successeur : INVITE of death (VoIP) –protocole SIP (2009) : envoi d’une requête INVITE mal formée => buffer overflow => état chaotique du serveur (délai, accès non autorisé, déni de service…)

Petite cartographie (V) Historique aussi : Smurf (« attaque par rebond ») –Utilisation d’un serveur de diffusion –Mascarade (« spoofing ») d’une adresse IP –Envoi d’une commande type ping ou echo au serveur de diffusion avec comme adresse expéditrice l’adresse falsifiée –Chaque machine du réseau de diffusion envoie une requête réponse à l’adresse falsifiée => saturation de la machine

Petite cartographie (VI) Historique toujours : Teardrop –Envoi du 1er paquet d’une fragmentation –Envoi d’un 2ème paquet dont le bit de décalage et la longueur impliquent qu’il est inclus dans le 1er paquet –Le système ne sait pas gérer cette exception et se bloque –Dans le même genre, voir l’attaque Land (paquets SYN avec source = destination (machine attaquée répond donc à elle- même))

Petite cartographie (VII-1) Mascarade TCP/IP (TCP/IP Spoofing) –Construction de paquets IP avec une fausse adresse source –Condition : identification d’un client de confiance du serveur qu’on paralyse par une attaque type DoS ; identification de la méthode de génération du numéro de séquence (ISN : numéro de séquence initiale (=> envoi de requêtes test)) –Le pirate répond au serveur en lieu et place du client de confiance –Objectif : attaques DoS ou créations de backdoors –Condition : rendre impossible l’identification de la véritable source Variantes : mascarades d’adresses courriel, DNS, NFS...

Spoofing d’une session TCP (VII-2) xxx.xxx.xxx.xxx 1/ Connexions TCP 2/ DoS 4/ SYN ACK 5/ ACK 3/ SYN + spoofing xxx.xxx.xxx.xxx en source From Arkoon Inc.

Petite cartographie (VIII) « Man in the Middle » –Ecoute : se placer entre le serveur et le client (entre les deux pairs) et écouter le réseau –Substitution : se placer entre le serveur et le client, se faire passer pour le serveur modifier les informations transmises par le client

Petite cartographie (IX) Attaques systèmes, 0-day, Exploit –Exploitation des failles des systèmes d’exploitation –Windows loin devant ! –Patcher/Tracer/Filtrer

Petite cartographie (X) : état des lieux Panoramas de la cybercriminalité (CLUSIF) –2002 : spam, attaque DNS, WiFi 1/3 du courriel = spam (aujourd’hui 90%) ! attaque DDOS sur les serveurs racines DNS… par ping flooding le cyber-terrorisme est envisageable ! il faut sécuriser le WiFi –2003 : cyber-criminalité : virus, spam, phishing SOBIG, BUGBEAR, NIMAIL… : ciblent échanges banquaires apparition du phishing recherche de gain, cyber-mafia –2004 : professionnalisation, botnets virus (dont JPEG) robots et botnets –2005 : professionnalisation, botnets, rootkits keylogger matériel kernel/application rootkits

Petite cartographie (XI) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite)Panoramas de la cybercriminalité (CLUSIF) –2006 : attaques 0-day : 50 0-day pour MS-Windows, avis sur la base Secunia pour Unix (489 Apple), temps moyen sans protection : 22 jours – émergence d’un marché des attaques (20-30 k$) –2007 : mondes virtuels, botnets, réseaux mafieux, cyber-guerre argent virtuel = argent ! MPACK et P2P botnets fast flux, double fast-flux réseaux mafieux : RBN… premiers exemples de cyber-guerre : Estonie –2008 : routage DNS, attaques matérielles cold boot routage BGP (Pakistan Telecom) –2009 : ANSSI, vie privée et réseaux sociaux, piratage DAB

Petite cartographie (XII) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite)Panoramas de la cybercriminalité (CLUSIF) –2010 : Stuxnet, hacktivisme, botnets portables Stuxnet : piratage SCADA, cyber-guerre hacktivisme botnets de téléphones mobiles ! –2011 : fuite d’information, argent virtuel, botnets mobiles, faille des AC, vie privée, cyber-armées, SCADA fuite d’information Carrier IQ, HTCLogger : vous êtes surveillés… ou espionnés ? bitcoin attaques téléphones portables faille des AC (attaque de DigiNotar par un hacker iranien) cyber-armées attaques des systèmes SCADA

Petite cartographie (XIII) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite)Panoramas de la cybercriminalité (CLUSIF) –2012 : attaque stimulateur cardiaque ! SCADA, SCADA, SCADA ! le droit des conflits armés s’applique à la cyber-guerre ; écoles de cyber-guerre, recrutements de soldats-hackers cyber-surveillance attaques ciblées (NASA, 13 fois ; Verisign…) contre-attaques statistiques objectifs variés : sabotage industriel (Stuxnet), destruction de systèmes (Shamoon), vol d’informations classifiées/bancaire/industrielles (Flame, Gauss, Duqu), surveillance… marché du hack (html injection, 60$), marché du DDoS (1h : 5$, 1 mois : 900$), Hack-as-a-Service, plates-formes d’exploits attaques smartphones++ ransonwware

Petite cartographie (XIV) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite)Panoramas de la cybercriminalité (CLUSIF) –2013 : PRiSM APT chinoise : 140 entreprises, vol 6To, 1000 serveurs C&C-13 pays « waterholing » attaques destructives définitives (sabotage – ex : Corée du Sud) ou temporaires (rançon) attaques métier (ex : DAB) (réseau Target : 100+ millions comptes) vol de comptes (Adobe : 38 millions comptes) attaques Android (passage PC lors synchro) ransomware++ coût cyber-attaques : 300 Mds € bitcoin

Petite cartographie (XV) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite)Panoramas de la cybercriminalité (CLUSIF) –2014 : exagérations (Cybervor : 1,2 milliards de mots de passe (non- ?)volés) ! Internet des Objets: 1 er « thingbot » (botnet d’objets connectés) APT SI Sony : 9 mois, 110 To, 75% serveurs touchés, divulgation informations métier secrètes et personnelles (47000 employés), rançon – 8 semaines indisponibilité, 3 class actions en cours, tensions Corée du Nord-Etats-Unis fraude au Président (ex : Michelin) Heartbleed (erreur programmation OpenSSL) – ShellShock (GNU Bash) arrêt de TrueCrypt attaque de systèmes déconnectés (air gaps) (AirHopper (FM), BadBIOS (ultrasons), laser…) APT++ (dont Babar (DGSE – Iran ?)

Petite cartographie (XVI) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite)Panoramas de la cybercriminalité (CLUSIF) –2015 : Objets connectés, automobiles Attaque ATM par la mafia russe (vrai-fausse annulation de retrait) délits d’initiés via piratage de serveurs d’agences d’information Version compromise de Xcode => millions d’iPhone infectés Exploitation de liaisons satellites par usurpation d’adresses satellite Marché officiel des 0-days : 1 M$ pour une attaque 0-day (offre de Zeodium pour une attaque i0S 9) (1 gagnant) Nouvelle Stratégie Nationale pour la Sécurité du Numérique (octobre 2015) État d’urgence –Non-cités par le CLUSIF : Equation Group (NSA) : multiples attaques depuis au moins 2000 (ex : Fanny : vol d’informations grâce à une clef USB infectée) Stagefright : vol de données sur Android ; diffusion par MMS Carbanak/Anunak : attaque moderne de (100+ !) banques (majoritairement russes) ! Phishing des employés de banque, porte dérobée, injection de code, exploitation de failles, remote administration tools, keylogger, captures d’écran ; espionnage, vol de données, accès machines infectées (dont ATM)

Petite cartographie (XVII) : état des lieux –Autres liens intéressants Zeus Tracker, Palevo Tracker, Feodo TrackerZeus TrackerPalevo TrackerFeodo Tracker « carte d’épidémie » carte CISCO des menaces RIPE Network Coordination Centre MAcAfee Threats Prediction –2016 : systèmes de paiement, cloud, objets connectés, automobiles, marché noir des données personnelles, SCADA, cyber-espionnage, attaques bancaires –2015 : espionnage, IoT, privacy, ransomware, attaques sur mobiles –2014 : attaques sur mobiles, monnaies virtuelles, advanced evasion techniques, réseaux sociaux, clouds –2013 : attaques mobile, rootkits, APT, Citadel, html5, botnets, crimeware, hacktivisme –2012 : SCADA/industries, embarqué, hacktivisme, monnaie virtuelle, cyber-guerre, mobile (et banque sur mobile), certificats, DNSSEC, Windows 8, « ransomware »

Sites de veille et d’alerte site de l'ANSSIsite de l'ANSSI CERT-FR, centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiquesCERT-FR, centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques –lien vers l'European Government CERTs Group (EGC)lien vers l'European Government CERTs Group (EGC) –lien vers l'European Network and Information Security Agencies (ENISA)lien vers l'European Network and Information Security Agencies (ENISA) First : Forum for Incident Response and Security Teams CERT Coordination Center (Université de Carnegie-Mellon) Bilans annuels sur les attaques informatiques (CERT-IST)

Conclusion Pas tant de finesse que ça : un monde de brutes... Pas si difficile de parer la plupart des attaques Difficile de parer les attaques (réalisée avec complicité) de l’intérieur (ainsi que les APT-AET) « Plasticité »/Adaptabilité des attaques et nouveaux enjeux Une « industrie » s’est créée Nouvelle composante stratégique Equilibre ouverture/sécurité