DGA/DET/CELAR laurent.roger@dga.defense.gouv.fr.

Slides:



Advertisements
Présentations similaires
Le moteur
Advertisements

STEVE WOLOZ & ASSOCIATES INC. MANAGEMENT CONSULTANTS Meilleures Pratiques de Collecte, DAnalyse et de Documentation de Données RH Le 8.
UICC HPV and Cervical Cancer Curriculum Chapter 9.b. Required infrastructure for successful implementation of an HPV vaccination programme Prof. Hélène.
Cours de l’OACI sur les Systèmes de Gestion de la Sécurité (SMS)
Amélioration de la qualité des forfaits
UICC HPV and Cervical Cancer Curriculum Chapter 9.a. Strategic planning for cervical cancer prevention Prof. Hélène Sancho-Garnier, MD, PhD UICC HPV and.
Borhen LOUHICHI Merci, Monsieur le président,
Quelle est la date de ton anniversaire?
META MERIANAE SSTIC 2004 Analyse Criminelle Informatique
JXDVDTEK – Une DVDthèque en Java et XML
Introduction au e-commerce Intervenant Régis BACHER /01/2014 Présentation 1.
Répondez à ces quelques questions
Répondez à ces quelques questions
Guillaume KRUMULA présente Exposés Système et Réseaux IR3 Mardi 5 Février 2008.
Un petit Tour avec nous …?
Gestion de la communication par établissement sur le site ville
Développement d’applications web
Plateforme de gestion de données de capteurs
Control des objectifs des technologies de l’information COBIT
PAFI Référentiel de données par Sonia Watts DGIF (Direction de la gestion et de linformation forestière) 27 octobre 2010 et 3 novembre 2010.
CALENDRIER PLAYBOY 2020 Cliquez pour avancer.
le profil UML en temps réel MARTE
Quelle heure est-il? What time is it?.
L’Heure Telling Time.
Practice for uses of: Je sais OU Je connais.
Ministère de l’Economie et des Finances
Vuibert Systèmes dinformation et management des organisations 6 e édition R. Reix – B. Fallery – M. Kalika – F. Rowe Chapitre 2 : Les applications fonctionnelles.
OLAP : Un pas vers la navigation
Unit 2, lesson A : Objectif
Département fédéral de lintérieur DFI Office fédéral de la statistique OFS La qualité de lemploi en Suisse Silvia Perrenoud Journées suisses de la statistique.
A côté des systèmes d'information dans l'entreprise
Gestion denquêtes et suivi dindicateurs statistiques 1er degré © DOS3 – Pôle Analyse & Développement Octobre 2011 – v.0.1 Tutorial portail directeur décole.
Mesurer l’intensité du courant électrique
Présentation du deuxième document daccompagnement Ecole dété de Guidel 2010 Annie Journu.
@SSR – Installation des applications eduscol.education.fr/securite - février 2007 © Ministère de l'Éducation nationale, de l'Enseignement supérieur et.
Visio 2010 : représentez et partagez encore plus simplement vos diagrammes et données
Développer en C avec Eclipse Introduction Création d'un projet Ajout de fichiers Compilation Exécution Utiliser le débogueur Département dinformatique.
802.1x Audric PODMILSAK 13 janvier 2009.
Ecaterina Giacomini Pacurar
Tournoi de Flyball Bouin-Plumoison 2008 Tournoi de Flyball
Notre calendrier français MARS 2014
© Petko ValtchevUniversité de Montréal Janvier IFT 2251 Génie Logiciel Notions de Base Hiver 2002 Petko Valtchev.
Quelle heure est-il ??. THE TIME: OCLOCK IL EST HEURE IL EST + + HEURES etc.
Les nombres.
Terrain Espérance Terrains Cézeaux T4T4 T1T1 T5T5 Matchs ext DU 06/08 au 12/ Mer 08Lun 06Mar 07Jeu 09Ven 10 10H 13H 15H 17H 18H 22H Sam 11Dim 12.
Délégation à l’Emploi et aux Formations
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
1 Modèle pédagogique d’un système d’apprentissage (SA)
Quelle heure est-il? What time is it ?.
10 paires -. 9 séries de 3 étuis ( n° 1 à 27 ) 9 positions à jouer 5 tables Réalisé par M..Chardon.
DatePlénières Commissions BAYBRIOISDELLIGODDYNLAVRILLEUXLE PENPARGNEAUXRIQUETSAÏFITROSZCZYNSKI 05/11/2014 CONT (Bxls)* Titulaire 05/11/2014ENVI (Bxls)*
Journée technique Aménagement d'ouvrages infranchissables - 19 juin Journée technique Quelle procédure pour l’aménagement d’ouvrages infranchissables.
CALENDRIER-PLAYBOY 2020.
Outil de gestion des cartes grises
USAM BRIDGE H O W E L L -CLASSIQUE
01. Liste des noms de candidats avec leur date de naissance.
Slide 1 of 39 Waterside Village Fête ses 20 ans.
9 paires séries de 3 étuis ( n° 1 à 27 )
EVALUATION Où est la panne ?
1 Indicateurs régionaux de développement durable, participation et statistique publique | L’expérience du Cercle Indicateurs Anne Boesch, Journées suisses.
Dr. KHERRI Abdenacer 2014/ ECOLE DES HAUTES ETUDES COMMERCIALES.
Vue d’ensemble des outils du PRISM Dakar, 3 au 21 Mai 2010
NA-01 MAR 17 FEV 19H00 ST-PO NA-02 MER 18 FEV 18H30 ST-PO NA-03 SAM 21 FEV 12H ST-PO NA-05 DIM 22 FEV 12H00 SAL Predateur valleyfield 3 Seign soul 2 sens.
Les Chiffres Prêts?
BOURDIEU Nicolas DUPONT Benjamin LUCAZEAU Claire SOURISSEAU Erick
Tirer le meilleur parti d’Office /10/ Vincent Bippus IT/OIS 07 octobre 2014.
La Qualité dans les Systèmes d’Information
Réalisé par : Mr IRZIM Hédi Mr JRAD Firas
Transcription de la présentation:

DGA/DET/CELAR laurent.roger@dga.defense.gouv.fr

Anti-forensic Définition Historique Processus Modélisation Conclusion

Définition Anti-forensic : procédures et techniques ayant pour objectif de limiter les moyens d ’enquête ou d ’examen d ’un système moyens : détruire, camoufler, modifier des traces , prévenir la création de traces

Nombre de publications

Historique

Historique

Historique Hit parade des moyens (nombre de citations dans les publications examinées) Camouflage : 12 Destruction : 10 Modification : 10 Prévention des traces : 3

Activités de l’attaquant Exploration Espionnage Intrusion Installation Camouflage Action Attaquant Menaces Vulnérabilités Valeurs

Processus forensique Analyste Identification d’activité Acquisition Préservation Analyse Identification des preuves Présentation Analyste Menaces Vulnérabilités Valeurs

Mise en parallèle Attaquant Analyste Identification d’activité Acquisition Préservation Analyse Identification des preuves Présentation Analyste Menaces Exploration Espionnage Intrusion Installation Camouflage Action Attaquant Vulnérabilités Valeurs

Etape 1 - identification d’activité Moyens anti-forensic Identification d’activité Acquisition Préservation Analyse Identification des preuves Présentation Analyste Exploration Espionnage Intrusion Installation Camouflage Action Attaquant Contraception Camouflage Légitimité

Etape 1 - identification d’activité Légitimité Ingénierie sociale Requêtes du système Camouflage Obfuscation ou suppression des traces d’activité système ou réseaux -> demo evt Contraception Minimisation des traces d’activité système ou réseaux Utilisation des supports les plus volatiles

Etape 2 - acquisition Moyens anti-forensic Destruction Contraception Identification d’activité Acquisition Préservation Analyse Identification des preuves Présentation Analyste Exploration Espionnage Intrusion Installation Camouflage Action Attaquant Destruction Contraception Camouflage

Etape 2 – acquisition Supports de stockage inhabituels Camouflage Supports de stockage inhabituels Téléphones portables (SIM, flash, SD) Disques durs enfouis (magnétoscope, console de jeux …) Montres, autoradios Clés USB Balladeurs ATA : Device Configuration Overlay T5K80_spv2.1.pdf Image courtesy of www.scit.wlv.ac.uk

Etape 2 - acquisition Destruction Courtesy of PC911- Alex -

Etape 3 - préservation Moyens anti-forensic Destruction Camouflage Identification d’activité Acquisition Préservation Analyse Identification des preuves Présentation Analyste Exploration Espionnage Intrusion Installation Camouflage Action Attaquant Destruction Camouflage

Collision de hash -> démo stripwire Etape 3 – préservation Camouflage Collision de hash -> démo stripwire fire.bin = vec1 + AES [charge, sha1(vec1)] ice.bin = vec2 + AES [charge, sha1(vec1)] MD5(fire.bin) = MD5(ice.bin) Attaques spécifiques sur les produits Action Dan Kaminsky - MD5 to be considered harmful someday

Etape 3 - préservation Destruction

Etape 4 – 5 - 6 Moyens anti-forensic Destruction Attaquant Analyste Identification d’activité Acquisition Préservation Analyse Identification des preuves Présentation Analyste Exploration Espionnage Intrusion Installation Camouflage Action Attaquant Destruction Camouflage

Etape 5 – identification des preuves Etape 4 – analyse Camouflage Etape 5 – identification des preuves Modification de l’intégrité du système sans modification de fichier : Ajout d’un seul fichier au démarrage Fichier non existant au démarrage Obfuscation, chiffrement, polymorphisme Brouillage de la limite entre code et données Forensic Discovery - Dan Farmer et Wietse Venema

? Etape 6 – présentation Comment expliquer à des personnes non techniques les moyens utilisés par l’attaquant ? -> projet SIRAGE : simulateur de restitution de scénario d’agression Comment être certain de l’identité de l’attaquant ? de sa volonté de nuire ou de ses motivations (« syndrome du troyen ») ? -> projet META : méthodes d’analyse des traces – thèse Thomas Duval(Supélec) La présence d’activités spécifiquement anti-forensic peut elle être un élément à charge ? ?

Modélisation (IRF-CMM) Il est (encore ?) temps pour les organisations de prendre en compte l’antiforensic dans leur processus de réponse à incident ! Afin de mesurer cette prise en compte et sa dynamique de progrès, la déclinaison des modèles de maturité CMM (Capability Maturity Model) sur une thématique spécifique de « réponse à incident et forensic» nous semble pertinent. 5 - Optimisé 4 - Maîtrisé Optimiser Améliorer Plénitude 3 - Défini Mesurer Manager Sagesse 2 - Reproductible Définir Suivre Coordonner Progrès 1 - Initial Planifier Contrôler Vérifier Surveiller Eveil Réaliser Brouillard 0 - non réalisé

Modélisation (IRF-CMM) Ingénierie de la réponse à incident et investigation PA 01 : Administrer la réponse à incident PA 02 : Evaluer les impacts PA 03 : Evaluer les risques PA 04 : Evaluer les menaces PA 05 : Evaluer les vulnérabilités PA 06 : Donner l ’assurance de la réponse à incident PA 07 : Coordonner la réponse à incident PA 08 : Contrôler la réponse à incident PA 09 : Fournir des ressources PA 10 : Spécifier les besoins de PA 11 : Vérifier et valider la réponse à incident Projet et organisation PA 12 : Assurance qualité PA 13 : Gestion de configuration PA 14 : Manager les risques projet PA 15 : Contrôler et maîtriser l ’effort technique PA 16 : Planifier l ’effort technique PA 17 : Définir les processus d ’ingénierie système de l ’organisation PA 18 : Améliorer les processus d ’ingénierie système de l ’organisation PA 19 : Manager l ’évolution des produits ou services PA 20 : Manager l ’environnement support de l ’ingénierie des systèmes PA 21 : Fournir en permanence des compétences et des connaissances PA 22 :Coordonner les fournisseurs

Avant dernier transparent Can a Rootkit hide from RootkitRevealer? It is theoretically possible for a rootkit to hide from RootkitRevealer. Doing so would require intercepting RootkitRevealer's reads of Registry hive data or file system data and changing the contents of the data such that the rootkit's Registry data or files are not present. However, this would require a level of sophistication not seen in rootkits to date. Changes to the data would require both an intimate knowledge of the NTFS, FAT and Registry hive formats, plus the ability to change data structures such that they hide the rootkit, but do not cause inconsistent or invalid structures or side-effect discrepancies that would be flagged by RootkitRevealer. RootkitRevealer Help Copyright (C) 2005 Bryce Cogswell and Mark Russinovich Sysinternals - www.sysinternals.com

La connaissance approfondie des techniques anti-forensiques permet : Conclusion La connaissance approfondie des techniques anti-forensiques permet : de mettre en place des contre mesures spécifiques visant à déclencher des actions de maîtrise de la sécurité du système permettant de déceler au plus tôt des activités nuisibles au processus de réaction après incident

Merci de votre attention

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.