Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France

Types d’attaques réseaux simples (sur échange C/S) source destination Flux normal Mascarade Interception Modification « Man in the middle » Interruption Déni de service

Petite cartographie (I) L’écoute (sniffing) Les chevaux de Troie (« trojans”) et les bombes logiques Pour vivre heureux, vivons cachés ! Installation (furtive) dans le système Evénement déclenchant. Ex : vendredi 13, accès à un site bancaire, activation à distance… Contrôle du système, traçage/capture de données… Les attaques applicatives, « exploits » Trous de sécurité, erreurs de programmation, mauvaises configurations... Ex : dépassement de tampon (cf. nop), violation de protocole Ex : attaques applicatives (clients et serveurs Web notamment) Ex : injection de code (ex : injection SQL) Les vers Propagation via le réseau (messagerie, IRC) Utilisation de failles au niveau applicatif Nop : « no operation » : instruction de base ne faisant rien, si ce n’est d’incrémenter le pointeur d’instruction (EIP)

Petite cartographie (II) Key loggers : monitoring à distance Rootkits : détournement de commandes systèmes Bots et botnets : réseaux dormants d’espions/chevaux de Troie Attaques DNS Fast Flux, Double Fast Flux, Triple Fast Flux ! Bombardement de courriels : répéter un même message à une adresse. Spamming : diffusion de messages à large échelle Adware/spyware : collecte d’informations à l’insu de l’utilisateur Phishing : simulation d’écrans de saisie …

Petite cartographie (III) Déni de service : Déni de service en général : envoi en très grand nombre de requêtes autorisées en vue de saturer le système Attaque mono-source ou multi-sources (Distributed DoS, DDoS) Ex : inondation de commandes SYN (SYN flooding) Envoi en grand nombre de paquets TCP SYN avec des adresses aléatoires (IP spoofing) ou à partir de plusieurs machines (DDoS) Le serveur renvoie des SYN ACK et maintient les connexions ouvertes (en attente des ACK) => saturation si débit d’envoi < temps de demi-connexion Plus basique : PING flooding Ex applicatif : attaques de serveurs Web Cf. Anonymous, LOIC

Petite cartographie (IV) Un peu d’histoire : ping de la mort (Ping of Death) (av. 1998) Envoi d’une requête « echo » du protocole ICMP Utilisation d’une taille de données supérieure à la capacité d’un paquet IP => fragmentation Lors du réassemblage des données, débordement de tampon interne car la taille totale du paquet est supérieure à la taille max autorisée par IP (65535 octets) => blocage/redémarrage… Successeur : INVITE of death (protocole SIP, 2009) pour la VoIP : envoi d’une requête INVITE mal formée => buffer overflow => état chaotique du serveur (délai, accès non autorisé, déni de service…)

Petite cartographie (V) Historique aussi : Smurf (« attaque par rebond ») Utilisation d’un serveur de diffusion Mascarade (« spoofing ») d’une adresse IP Envoi d’une commande type ping ou echo au serveur de diffusion avec comme adresse expéditrice l’adresse falsifiée Chaque machine du réseau de diffusion envoie une requête réponse à l’adresse falsifiée => saturation de la machine

Petite cartographie (VI) Historique toujours : Teardrop Envoi du 1er paquet d’une fragmentation Envoi d’un 2ème paquet dont le bit de décalage et la longueur impliquent qu’il est inclus dans le 1er paquet Le système ne sait pas gérer cette exception et se bloque Dans le même genre, voir l’attaque Land (paquets SYN avec source = destination (machine attaquée répond donc à elle-même))

Petite cartographie (VII-1) Mascarade TCP/IP (TCP/IP Spoofing) Construction de paquets IP avec une fausse adresse source Condition : identification d’un client de confiance du serveur qu’on paralyse par une attaque type DoS ; identification de la méthode de génération du numéro de séquence (ISN : numéro de séquence initiale (=> envoi de requêtes test)) Le pirate répond au serveur en lieu et place du client de confiance Objectif : attaques DoS ou créations de backdoors Condition : rendre impossible l’identification de la véritable source Variantes : mascarades d’adresses courriel, DNS, NFS... ISN : Initial Sequence Number

Spoofing d’une session TCP (VII-2) 1/ Connexions TCP 5/ ACK 4/ SYN ACK 3/ SYN + spoofing xxx.xxx.xxx.xxx en source 2/ DoS xxx.xxx.xxx.xxx From Arkoon Inc.

Petite cartographie (VIII) « Man in the Middle » Ecoute : se placer entre le serveur et le client (entre les deux pairs) et écouter le réseau Substitution : se placer entre le serveur et le client, se faire passer pour le serveur modifier les informations transmises par le client

Petite cartographie (IX) Attaques systèmes, 0-day, Exploit Exploitation des failles des systèmes d’exploitation Windows loin devant ! Patcher/Tracer/Filtrer

Petite cartographie (X) : état des lieux Panoramas de la cybercriminalité (CLUSIF) 2002 : spam, attaque DNS, WiFi 1/3 du courriel = spam (aujourd’hui 90%) ! attaque DDOS sur les serveurs racines DNS… par ping flooding le cyber-terrorisme est envisageable ! il faut sécuriser le WiFi 2003 : cyber-criminalité : virus, spam, phishing SOBIG, BUGBEAR, NIMAIL… : ciblent échanges banquaire apparition du phishing recherche de gain, cyber-mafia 2004 : professionnalisation, botnets virus (dont JPEG) robots et botnets 2005 : professionnalisation, botnets, rootkits keylogger matériel kernel/application rootkits Rootkit (documentation Symantec) : « Broadly defined, a rootkit is any software that acquires and maintains privileged access to the operating system (OS) while hiding its presence by subverting normal OS behavior. A rootkit typically has three goals: 1. Run: A rootkit wants to be able to run without restriction on a target computer. Most computer systems (includ- ing Windows) have mechanisms such as Access Control Lists (ACLs) in place to prevent an application from get- ting access to protected resources. Rootkits take advantage of vulnerabilities in these mechanisms or use social engineering attacks to get installed so that they have no restrictions on what they are able to do. 2. Hide: Specifically, the rootkit does not want an installed security product to detect that it is running and remove it. The best way to prevent this is to appear invisible to all other applications running on the machine. 3. Act: A rootkit has specific actions it wants to take (often referred to as its payload). Running and being hidden are all well and good, but a rootkit author wants to get something from the compromised computer, such as stealing passwords or network bandwidth, or installing other malicious software.” User (application) mode vs kernel mode Infosec : « A typical rootkit consists of the following utilities (Note: We will look at these in a lot more detail later on): Backdoor Programs - login backdoors, telnetd etc Packet Sniffers - Sniff network traffic such as FTP, TELNET,POP3 Log-Wiping Utilities - Bash the logs to cover tracks DDoS Programs - Turn the box into a DDoS client (Remember trinoo?) IRC\Bots - Bots used to take over IRC channels (Lame and annoying) Miscellaneous programs - May contain exploit, log editor »

Petite cartographie (XI) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite) 2006 : attaques 0-day : 50 0-day pour MS-Windows, 5700+ avis sur la base Secunia pour Unix (489 Apple), temps moyen sans protection : 22 jours – émergence d’un marché des attaques (20-30 k$) 2007 : mondes virtuels, botnets, réseaux mafieux, cyber-guerre argent virtuel = argent ! MPACK et P2P botnets fast flux, double fast-flux réseaux mafieux : RBN… premiers exemples de cyber-guerre : Estonie 2008 : routage DNS, attaques matérielles cold boot routage BGP 2009 : ANSSI, vie privée et réseaux sociaux, piratage DAB BGP Man in the middle : si un attaquant annonce une route plus spécifique (ex : masque réseau /24 au lieu de /20) que le domaine attaqué, alors le trafic est routé vers l’attaquant. Affaire Pakistan (ripe .net) : « On Sunday, 24 February 2008, Pakistan Telecom (AS17557) started an unauthorised announcement of the prefix 208.65.153.0/24. One of Pakistan Telecom's upstream providers, PCCW Global (AS3491) forwarded this announcement to the rest of the Internet, which resulted in the hijacking of YouTube traffic on a global scale. Event Timeline Before, during and after Sunday, 24 February 2008: AS36561 (YouTube) announces 208.65.152.0/22. Note that AS36561 also announces other prefixes, but they are not involved in the event. Sunday, 24 February 2008, 18:47 (UTC): AS17557 (Pakistan Telecom) starts announcing 208.65.153.0/24. AS3491 (PCCW Global) propagates the announcement. Routers around the world receive the announcement, and YouTube traffic is redirected to Pakistan. Sunday, 24 February 2008, 20:07 (UTC): AS36561 (YouTube) starts announcing 208.65.153.0/24. With two identical prefixes in the routing system, BGP policy rules, such as preferring the shortest AS path, determine which route is chosen. This means that AS17557 (Pakistan Telecom) continues to attract some of YouTube's traffic. Sunday, 24 February 2008, 20:18 (UTC): AS36561 (YouTube) starts announcing 208.65.153.128/25 and 208.65.153.0/25. Because of the longest prefix match rule, every router that receives these announcements will send the traffic to YouTube. Sunday, 24 February 2008, 20:51 (UTC): All prefix announcements, including the hijacked /24 which was originated by AS17557 (Pakistan Telecom) via AS3491 (PCCW Global), are seen prepended by another 17557. The longer AS path means that more routers prefer the announcement originated by YouTube. Sunday, 24 February 2008, 21:01 (UTC): AS3491 (PCCW Global) withdraws all prefixes originated by AS17557 (Pakistan Telecom), thus stopping the hijack of 208.65.153.0/24. Note that AS17557 was not completely disconnected by AS3491. Prefixes originated by other Pakistani ASs were still announced by AS17557 through AS3491.

Petite cartographie (XII) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite) 2010 : Stuxnet, hacktivisme, botnets portables Stuxnet : piratage SCADA, cyber-guerre hacktivisme botnets de téléphones mobiles ! 2011 : fuite d’information, argent virtuel, botnets mobiles, faille des AC, vie privée, cyber-armées, SCADA fuite d’information Carrier IQ, HTCLogger : vous êtes surveillés… ou espionnés ? bitcoin attaques téléphones portables faille des AC (attaque de DigiNotar par un hacker iranien) cyber-armées attaques des systèmes SCADA Carrier IQ : (société et) logiciel de type rootkit installé sur 150 millions de téléphones portables (chiffres 2013) et enregistrant des données sur l’utilisateur au motif d’optimiser la gestion du réseau de téléphonie sans fil. HTCLogger : outils de logging d’information d’utilisation sur portables HTC

Petite cartographie (XIII) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite) 2012 : attaque stimulateur cardiaque ! SCADA, SCADA, SCADA ! le droit des conflits armés s’applique à la cyber-guerre, écoles de cyber-guerre, recrutements de soldats-hackers cyber-surveillance attaques ciblées (NASA, 13 fois ; Verisign…) contre-attaques statistiques Objectifs variés : sabotage industriel (Stuxnet), destruction de systèmes (Shamoon), vol d’informations classifiées/bancaire/industrielles (Flame, Gauss, Duqu), surveillance… marché du hack (html injection, 60$), marché du DDoS (1h : 5$, 1 mois : 900$), Hack-as-a-Service, plates-formes d’exploits attaques smartphones++ Ransonwware Carrier IQ : (société et) logiciel de type rootkit installé sur 150 millions de téléphones portables (chiffres 2013) et enregistrant des données sur l’utilisateur au motif d’optimiser la gestion du réseau de téléphonie sans fil. HTCLogger : outils de logging d’information d’utilisation sur portables HTC

Petite cartographie (XIV) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite) 2013 : PRiSM « waterholing » attaques destructives définitives (sabotage) ou temporaires (demande de rançon) attaques métier (DAB) (réseau Target : 110 millions comptes touchés) ransomware++ coût cyber-attaques : 300 Mds € bitcoin Carrier IQ : (société et) logiciel de type rootkit installé sur 150 millions de téléphones portables (chiffres 2013) et enregistrant des données sur l’utilisateur au motif d’optimiser la gestion du réseau de téléphonie sans fil. HTCLogger : outils de logging d’information d’utilisation sur portables HTC

Petite cartographie (XV) : état des lieux Autres liens intéressants Zeustracker et Spyeyetracker « carte d’épidémie » carte CUSCO des menaces RIPE Network Coordination Centre MAcAfee Threats Prediction : attaques mobile, rootkits, APT, Citadel, html5, botnets, crimeware, hacktivisme (2012 : SCADA/industries, embarqué, hacktivisme, monnaie virtuelle, cyber-guerre, mobile (et banque sur mobile), certificats, DNSSEC, Windows 8, « ransomware » Carrier IQ : (société et) logiciel de type rootkit installé sur 150 millions de téléphones portables (chiffres 2013) et enregistrant des données sur l’utilisateur au motif d’optimiser la gestion du réseau de téléphonie sans fil. HTCLogger : outils de logging d’information d’utilisation sur portables HTC

Conclusion Pas tant de finesse que ça : un monde de brutes... Pas si difficile de parer la plupart des attaques Difficile de parer les attaques (réalisée avec complicité de) de l’intérieur (ainsi que les APT) « Plasticité »/Adaptabilité des attaques et nouveaux enjeux Une « industrie » s’est créée Nouvelle composante stratégique Equilibre ouverture/sécurité