Types d’attaques réseaux simples (sur échange C/S)

Slides:



Advertisements
Présentations similaires
05/05/2011 Panorama des menaces actuelles et futures à travers le prisme dun CERT David Bizeul – CERT Société Générale C0 Présentation publique.
Advertisements

L’Essentiel sur… La sécurité de la VoIP
Botnet, défense en profondeur
Modélisation des menaces
ADMINISTRATION RESEAU
Sécurité informatique
DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Les Firewall DESS Réseaux 2000/2001
Vue d'ensemble Implémentation de la sécurité IPSec
Présentation CLUSIR 8 janvier 2002
Réseaux Privés Virtuels
Authentification contre Masquarade
Les virus informatiques
Configuration de Windows Server 2008 Active Directory
Un peu de sécurité Modal Web Modal Baptiste DESPREZ
INF4420: Éléments de Sécurité Informatique
PPE : La Porte Intelligente
02/081 PROTEGER SON ORDINATEUR EN 2008 Amicale Laïque Poisat.
Scanning.
Pare-feu.
La sécurité - Les attaques
Présenté par : Albéric Martel Fabien Dezempte 1.
Le protocole FTP.
Module 3 : Connexion d'ordinateurs clients Windows 2000 à des réseaux
Les relations clients - serveurs
Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis.
Bruyère Eglin Jacquey Larrivé Sahut
RE161 IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie.
Réunion de collaboration du 9-10 Juillet 2008 J.L. Béney 1 Logiciel At  Client-Serveur Tcp/ip de la station autonome  Influence de l'architecture matérielle.
S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits d’accès Utilisation des contrôles de.
Denial of Service (DoS)
Première exploration des paquets capturés
Les dangers d'Internet (virus et autres)
GROUPE BTS IRIS 2 Informatique et Réseaux pour l’industrie et les Services techniques E-6 PROJET INFORMATIQUE REVUE N°2      INTERROGATION DE LA BASE DE.
COMITE DE DIRECTION – 22/02/2011 > Esprit d’entreprise > Ouverture et diversité > Responsabilité et performances globales > Innovation.
La sécurité dans les réseaux mobiles Ad hoc
L’attaque DNS Spoofing
SECURITE DES RESEAUX WIFI
Denial of Service and Distributed Denial of Service
Module 8 : Surveillance des performances de SQL Server
Sommaire Dans ce chapitre, nous aborderons :
Le protocole d’authentification
Sécurité Les Virus Logiciels non sollicités et réalisant des opérations malveillantes ou destructrices Typologie –D’application :introduit par recopie.
Initiation à l’informatique
Structures de données avancées : Concepts réseaux et protocole de communication. D. E ZEGOUR Institut National d ’Informatique.
Interconnexion de réseaux par des routeurs sous GNU/Linux
La sécurité informatique
Paramètres significatifs dans le processus de modélisation de la disponibilité Rennes le 24 mars 2004 Ahmed Bouabdallah, Nora Cuppens-Boulahia et Frédéric.
Couche Transport (4) Routeur Messages entre A et B
Les virus informatiques
Advisor Advanced IP Présentation Télémaintenance Télésurveillance.
1  Pare feu  Antivirus  Chasse aux espions  Anti Spam La Sécurité sur nos ordinateurs PC Zombies : Sur les 600 millions de machines connectées au monde,
Les Réseaux Informatiques Clients & Serveurs Le protocole FTP Laurent JEANPIERRE DEUST AMMILoR.
Groupe 3 De Greef Didier Oozeer Tommy Piette Marc Renard Guy
Création de paquets IP.
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Les Réseaux Informatiques
La sécurité.
Sécurité et Internet Formation.
Référant : Osman SALEM GAOUA Lilia 15/12/2011.
Sécurité de la Voix sur IP --- Attaques et défenses
Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France.
Mission 1 : Mise en place d’un cluster DHCP
Module 3 Sécurité des Réseaux
Synthèse: une journée dans la vie d'une requête Web 5: DataLink Layer5-1.
La sécurité informatique
Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France.
CLUSIF / CLUSIR Rha La Cybercriminalité Page 0 Yannick bouchet.
Types d’attaques réseaux simples (sur échange C/S)
Transcription de la présentation:

Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France

Types d’attaques réseaux simples (sur échange C/S) source destination Flux normal Mascarade Interception Modification « Man in the middle » Interruption Déni de service

Petite cartographie (I) L’écoute (sniffing) Les chevaux de Troie (« trojans”) et les bombes logiques Pour vivre heureux, vivons cachés ! Installation (furtive) dans le système Evénement déclenchant. Ex : vendredi 13, accès à un site bancaire, activation à distance… Contrôle du système, traçage/capture de données… Les attaques applicatives, « exploits » Trous de sécurité, erreurs de programmation, mauvaises configurations... Ex : dépassement de tampon (cf. nop), violation de protocole Ex : attaques applicatives (clients et serveurs Web notamment) Ex : injection de code (ex : injection SQL) Les vers Propagation via le réseau (messagerie, IRC) Utilisation de failles au niveau applicatif Nop : « no operation » : instruction de base ne faisant rien, si ce n’est d’incrémenter le pointeur d’instruction (EIP)

Petite cartographie (II) Key loggers : monitoring à distance Rootkits : détournement de commandes systèmes Bots et botnets : réseaux dormants d’espions/chevaux de Troie Attaques DNS Fast Flux, Double Fast Flux, Triple Fast Flux ! Bombardement de courriels : répéter un même message à une adresse. Spamming : diffusion de messages à large échelle Adware/spyware : collecte d’informations à l’insu de l’utilisateur Phishing : simulation d’écrans de saisie …

Petite cartographie (III) Déni de service : Déni de service en général : envoi en très grand nombre de requêtes autorisées en vue de saturer le système Attaque mono-source ou multi-sources (Distributed DoS, DDoS) Ex : inondation de commandes SYN (SYN flooding) Envoi en grand nombre de paquets TCP SYN avec des adresses aléatoires (IP spoofing) ou à partir de plusieurs machines (DDoS) Le serveur renvoie des SYN ACK et maintient les connexions ouvertes (en attente des ACK) => saturation si débit d’envoi < temps de demi-connexion Plus basique : PING flooding Ex applicatif : attaques de serveurs Web Cf. Anonymous, LOIC

Petite cartographie (IV) Un peu d’histoire : ping de la mort (Ping of Death) (av. 1998) Envoi d’une requête « echo » du protocole ICMP Utilisation d’une taille de données supérieure à la capacité d’un paquet IP => fragmentation Lors du réassemblage des données, débordement de tampon interne car la taille totale du paquet est supérieure à la taille max autorisée par IP (65535 octets) => blocage/redémarrage… Successeur : INVITE of death (protocole SIP, 2009) pour la VoIP : envoi d’une requête INVITE mal formée => buffer overflow => état chaotique du serveur (délai, accès non autorisé, déni de service…)

Petite cartographie (V) Historique aussi : Smurf (« attaque par rebond ») Utilisation d’un serveur de diffusion Mascarade (« spoofing ») d’une adresse IP Envoi d’une commande type ping ou echo au serveur de diffusion avec comme adresse expéditrice l’adresse falsifiée Chaque machine du réseau de diffusion envoie une requête réponse à l’adresse falsifiée => saturation de la machine

Petite cartographie (VI) Historique toujours : Teardrop Envoi du 1er paquet d’une fragmentation Envoi d’un 2ème paquet dont le bit de décalage et la longueur impliquent qu’il est inclus dans le 1er paquet Le système ne sait pas gérer cette exception et se bloque Dans le même genre, voir l’attaque Land (paquets SYN avec source = destination (machine attaquée répond donc à elle-même))

Petite cartographie (VII-1) Mascarade TCP/IP (TCP/IP Spoofing) Construction de paquets IP avec une fausse adresse source Condition : identification d’un client de confiance du serveur qu’on paralyse par une attaque type DoS ; identification de la méthode de génération du numéro de séquence (ISN : numéro de séquence initiale (=> envoi de requêtes test)) Le pirate répond au serveur en lieu et place du client de confiance Objectif : attaques DoS ou créations de backdoors Condition : rendre impossible l’identification de la véritable source Variantes : mascarades d’adresses courriel, DNS, NFS... ISN : Initial Sequence Number

Spoofing d’une session TCP (VII-2) 1/ Connexions TCP 5/ ACK 4/ SYN ACK 3/ SYN + spoofing xxx.xxx.xxx.xxx en source 2/ DoS xxx.xxx.xxx.xxx From Arkoon Inc.

Petite cartographie (VIII) « Man in the Middle » Ecoute : se placer entre le serveur et le client (entre les deux pairs) et écouter le réseau Substitution : se placer entre le serveur et le client, se faire passer pour le serveur modifier les informations transmises par le client

Petite cartographie (IX) Attaques systèmes, 0-day, Exploit Exploitation des failles des systèmes d’exploitation Windows loin devant ! Patcher/Tracer/Filtrer

Petite cartographie (X) : état des lieux Panoramas de la cybercriminalité (CLUSIF) 2002 : spam, attaque DNS, WiFi 1/3 du courriel = spam (aujourd’hui 90%) ! attaque DDOS sur les serveurs racines DNS… par ping flooding le cyber-terrorisme est envisageable ! il faut sécuriser le WiFi 2003 : cyber-criminalité : virus, spam, phishing SOBIG, BUGBEAR, NIMAIL… : ciblent échanges banquaire apparition du phishing recherche de gain, cyber-mafia 2004 : professionnalisation, botnets virus (dont JPEG) robots et botnets 2005 : professionnalisation, botnets, rootkits keylogger matériel kernel/application rootkits Rootkit (documentation Symantec) : « Broadly defined, a rootkit is any software that acquires and maintains privileged access to the operating system (OS) while hiding its presence by subverting normal OS behavior. A rootkit typically has three goals: 1. Run: A rootkit wants to be able to run without restriction on a target computer. Most computer systems (includ- ing Windows) have mechanisms such as Access Control Lists (ACLs) in place to prevent an application from get- ting access to protected resources. Rootkits take advantage of vulnerabilities in these mechanisms or use social engineering attacks to get installed so that they have no restrictions on what they are able to do. 2. Hide: Specifically, the rootkit does not want an installed security product to detect that it is running and remove it. The best way to prevent this is to appear invisible to all other applications running on the machine. 3. Act: A rootkit has specific actions it wants to take (often referred to as its payload). Running and being hidden are all well and good, but a rootkit author wants to get something from the compromised computer, such as stealing passwords or network bandwidth, or installing other malicious software.” User (application) mode vs kernel mode Infosec : « A typical rootkit consists of the following utilities (Note: We will look at these in a lot more detail later on): Backdoor Programs - login backdoors, telnetd etc Packet Sniffers - Sniff network traffic such as FTP, TELNET,POP3 Log-Wiping Utilities - Bash the logs to cover tracks DDoS Programs - Turn the box into a DDoS client (Remember trinoo?) IRC\Bots - Bots used to take over IRC channels (Lame and annoying) Miscellaneous programs - May contain exploit, log editor »

Petite cartographie (XI) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite) 2006 : attaques 0-day : 50 0-day pour MS-Windows, 5700+ avis sur la base Secunia pour Unix (489 Apple), temps moyen sans protection : 22 jours – émergence d’un marché des attaques (20-30 k$) 2007 : mondes virtuels, botnets, réseaux mafieux, cyber-guerre argent virtuel = argent ! MPACK et P2P botnets fast flux, double fast-flux réseaux mafieux : RBN… premiers exemples de cyber-guerre : Estonie 2008 : routage DNS, attaques matérielles cold boot routage BGP 2009 : ANSSI, vie privée et réseaux sociaux, piratage DAB BGP Man in the middle : si un attaquant annonce une route plus spécifique (ex : masque réseau /24 au lieu de /20) que le domaine attaqué, alors le trafic est routé vers l’attaquant. Affaire Pakistan (ripe .net) : « On Sunday, 24 February 2008, Pakistan Telecom (AS17557) started an unauthorised announcement of the prefix 208.65.153.0/24. One of Pakistan Telecom's upstream providers, PCCW Global (AS3491) forwarded this announcement to the rest of the Internet, which resulted in the hijacking of YouTube traffic on a global scale. Event Timeline Before, during and after Sunday, 24 February 2008: AS36561 (YouTube) announces 208.65.152.0/22. Note that AS36561 also announces other prefixes, but they are not involved in the event. Sunday, 24 February 2008, 18:47 (UTC): AS17557 (Pakistan Telecom) starts announcing 208.65.153.0/24. AS3491 (PCCW Global) propagates the announcement. Routers around the world receive the announcement, and YouTube traffic is redirected to Pakistan. Sunday, 24 February 2008, 20:07 (UTC): AS36561 (YouTube) starts announcing 208.65.153.0/24. With two identical prefixes in the routing system, BGP policy rules, such as preferring the shortest AS path, determine which route is chosen. This means that AS17557 (Pakistan Telecom) continues to attract some of YouTube's traffic. Sunday, 24 February 2008, 20:18 (UTC): AS36561 (YouTube) starts announcing 208.65.153.128/25 and 208.65.153.0/25. Because of the longest prefix match rule, every router that receives these announcements will send the traffic to YouTube. Sunday, 24 February 2008, 20:51 (UTC): All prefix announcements, including the hijacked /24 which was originated by AS17557 (Pakistan Telecom) via AS3491 (PCCW Global), are seen prepended by another 17557. The longer AS path means that more routers prefer the announcement originated by YouTube. Sunday, 24 February 2008, 21:01 (UTC): AS3491 (PCCW Global) withdraws all prefixes originated by AS17557 (Pakistan Telecom), thus stopping the hijack of 208.65.153.0/24. Note that AS17557 was not completely disconnected by AS3491. Prefixes originated by other Pakistani ASs were still announced by AS17557 through AS3491.

Petite cartographie (XII) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite) 2010 : Stuxnet, hacktivisme, botnets portables Stuxnet : piratage SCADA, cyber-guerre hacktivisme botnets de téléphones mobiles ! 2011 : fuite d’information, argent virtuel, botnets mobiles, faille des AC, vie privée, cyber-armées, SCADA fuite d’information Carrier IQ, HTCLogger : vous êtes surveillés… ou espionnés ? bitcoin attaques téléphones portables faille des AC (attaque de DigiNotar par un hacker iranien) cyber-armées attaques des systèmes SCADA Carrier IQ : (société et) logiciel de type rootkit installé sur 150 millions de téléphones portables (chiffres 2013) et enregistrant des données sur l’utilisateur au motif d’optimiser la gestion du réseau de téléphonie sans fil. HTCLogger : outils de logging d’information d’utilisation sur portables HTC

Petite cartographie (XIII) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite) 2012 : attaque stimulateur cardiaque ! SCADA, SCADA, SCADA ! le droit des conflits armés s’applique à la cyber-guerre, écoles de cyber-guerre, recrutements de soldats-hackers cyber-surveillance attaques ciblées (NASA, 13 fois ; Verisign…) contre-attaques statistiques Objectifs variés : sabotage industriel (Stuxnet), destruction de systèmes (Shamoon), vol d’informations classifiées/bancaire/industrielles (Flame, Gauss, Duqu), surveillance… marché du hack (html injection, 60$), marché du DDoS (1h : 5$, 1 mois : 900$), Hack-as-a-Service, plates-formes d’exploits attaques smartphones++ Ransonwware Carrier IQ : (société et) logiciel de type rootkit installé sur 150 millions de téléphones portables (chiffres 2013) et enregistrant des données sur l’utilisateur au motif d’optimiser la gestion du réseau de téléphonie sans fil. HTCLogger : outils de logging d’information d’utilisation sur portables HTC

Petite cartographie (XIV) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite) 2013 : PRiSM « waterholing » attaques destructives définitives (sabotage) ou temporaires (demande de rançon) attaques métier (DAB) (réseau Target : 110 millions comptes touchés) ransomware++ coût cyber-attaques : 300 Mds € bitcoin Carrier IQ : (société et) logiciel de type rootkit installé sur 150 millions de téléphones portables (chiffres 2013) et enregistrant des données sur l’utilisateur au motif d’optimiser la gestion du réseau de téléphonie sans fil. HTCLogger : outils de logging d’information d’utilisation sur portables HTC

Petite cartographie (XV) : état des lieux Autres liens intéressants Zeustracker et Spyeyetracker « carte d’épidémie » carte CUSCO des menaces RIPE Network Coordination Centre MAcAfee Threats Prediction : attaques mobile, rootkits, APT, Citadel, html5, botnets, crimeware, hacktivisme (2012 : SCADA/industries, embarqué, hacktivisme, monnaie virtuelle, cyber-guerre, mobile (et banque sur mobile), certificats, DNSSEC, Windows 8, « ransomware » Carrier IQ : (société et) logiciel de type rootkit installé sur 150 millions de téléphones portables (chiffres 2013) et enregistrant des données sur l’utilisateur au motif d’optimiser la gestion du réseau de téléphonie sans fil. HTCLogger : outils de logging d’information d’utilisation sur portables HTC

Conclusion Pas tant de finesse que ça : un monde de brutes... Pas si difficile de parer la plupart des attaques Difficile de parer les attaques (réalisée avec complicité de) de l’intérieur (ainsi que les APT) « Plasticité »/Adaptabilité des attaques et nouveaux enjeux Une « industrie » s’est créée Nouvelle composante stratégique Equilibre ouverture/sécurité