Attaques et vulnérabilités des réseaux Université De Boumerdes Université De Limoges Département de physique/Infotronique IT/S6 Attaques et vulnérabilités des réseaux Réalisé par : Mr RIAHLA Doctorant a l’université de limoge (France) Réalisé par : Mr RIAHLA 2008/2009

Département de physique/Infotronique Université De Boumerdes Université De Limoges Département de physique/Infotronique IT/S6 Introduction Réalisé par : Mr RIAHLA Doctorant a l’université de limoge (France) Réalisé par : Mr RIAHLA 2008/2009

Introduction Hacker et cracker Une communauté de programmeurs expérimentés et des spécialistes des réseaux, ont créé le mot "hacker''. Ces informaticiens sont: Généralement discrets Anti-autoritaristes Motivés par la curiosité. Il existe une communauté, une culture partagée, de programmeurs expérimentés et de spécialistes des réseaux, dont l'histoire remonte aux premiers mini-ordinateurs multiutilisateurs, il y a quelques dizaines d'années, et aux premières expériences de l'ARPAnet. Les membres de cette culture ont créé le mot "hacker''. Ces informaticiens sont généralement discrets, anti-autoritaristes et motivés par la curiosité. Réalisé par : Mr RIAHLA 2008/2009

Introduction Hacker et cracker Personnes qui s’autoproclament des "hackers''. Adolescents de sexe masculin S’introduisant à distance dans les systèmes informatiques piratent des systèmes téléphoniques. Utilisent des outils écrit par d’autres personnes (trouvés sur Internet). . Il y a un autre groupe de personnes qui s’autoproclament des "hackers''. Ces gens (principalement des adolescents de sexe masculin) prennent leur pied en s’introduisant à distance dans les systèmes informatiques et en piratant les systèmes téléphoniques, généralement à l’aide d’outils écrit par d’autres et trouvés sur Internet. Ils publient sur alt.2600. Les vrais hackers appellent ces gens des "crackers'' et ne veulent rien avoir à faire avec eux. Les vrais hackers pensent que les crackers sont des gens paresseux, irresponsables et pas très brillants. Réalisé par : Mr RIAHLA 2008/2009

Introduction Hacker et cracker Les vrais hackers appellent ces gens des crackers. Les vrais hackers pensent que les crackers sont: Des gens paresseux, Irresponsables et Pas très brillants. Réalisé par : Mr RIAHLA 2008/2009

Objectifs des attaques Introduction Objectifs des attaques Désinformer Empêcher l'accès à une ressource Prendre le contrôle d'une ressource Récupérer de l'information présente sur le système Utiliser le système compromis pour rebondir Constituer un réseau de « botnet » (ou réseau de machines zombies)   Réalisé par : Mr RIAHLA 2008/2009

Motivations des attaques Introduction Motivations des attaques Vol d’informations Modifications d’informations Vengeance/rancune Politique/religion Défis intellectuels   Réalisé par : Mr RIAHLA 2008/2009

Introduction Cible des pirates Les états Serveurs militaires Banques Universités Tout le monde   Réalisé par : Mr RIAHLA 2008/2009

Définitions Université Université De Boumerdes De Limoges 2008/2009 Réalisé par : Mr RIAHLA 2008/2009

Définitions Nœud malicieux: Unité malveillante (écoute puis attaque) Attaquant actif-n-m: Attaquant qui possède m nœuds malicieux et qui compromis n nœuds   Attaques externes : Attaques lancées par un nœud qui n’appartient pas au réseau ou bien qui n’est pas autorisé à y accéder   Réalisé par : Mr RIAHLA 2008/2009

Définitions Attaques internes: Attaques lancées par des nœuds internes compromis ou malveillants.   C’est le type de menace le plus sévère Les mécanismes proposés pour lutter contre les attaques externes sont inefficaces devant ce type d’attaques Réalisé par : Mr RIAHLA 2008/2009

Assurer la confidentialité des échanges. Définitions (Définitions: Attaques passives) Écoute des lignes Analyse de trafic Plus facile avec le sans fil C’est une préparation d’une attaque active La Solution doit: Assurer la confidentialité des échanges.   C’est une collection continue d’informations qui peuvent être utilisées par la suite lors du lancement d’une attaque active. Pour cela, l’attaquant écoute clandestinement les paquets et il les analyse pour tirer les informations voulues. Vu la nature du support de communication sans fil, il est facile qu’un attaquant lance une attaque pareille dans un tel réseau contrairement aux réseaux filaires. La solution de sécurité doit assurer dans ce cas la confidentialité. Dans ce genre d’attaque, le nœud malicieux n’utilise pas son énergie, mais opère d’une manière passive. Réalisé par : Mr RIAHLA 2008/2009

(Définitions: Attaques actives) Détruire des messages Injecter des messages erronés Modifier des messages et usurper l'identité d'un nœud. …etc La Solution doit: Assurer la disponibilité, l'intégrité, l'authentification et la non répudiation Les attaques actives permettent à un adversaire de détruire des messages, d'injecter des messages erronés, de modifier des messages et d'usurper l'identité d'un nœud et par conséquent de violer la disponibilité, l'intégrité, l'authentification et la non répudiation qui sont les éléments de base de la sécurité des réseaux. Réalisé par : Mr RIAHLA 2008/2009

Rappels TCP/IP Université Université De Boumerdes De Limoges 2008/2009 Réalisé par : Mr RIAHLA 2008/2009

Anatomie d'une adresse IP Rappels sur le concept d'IP Anatomie d'une adresse IP Adresse logique des machines Représentée sur 32 Bits ICANN, Institution chargée d'affecter les numéros IP dans le monde afin d'éviter les conflits L’Internet Corporation for Assigned Names and Numbers Réalisé par : Mr RIAHLA 2008/2009

Datagramme IP: L'unité de base des données circulant sur Internet Réalisé par : Mr RIAHLA

Message UDP Port UDP source Port UDP destination Longueur message UDP Somme de contrôle Données ... Port Source : il s'agit du numéro de port correspondant à l'application émettrice du datagramme. Ce champ représente une adresse de réponse pour le destinataire. Ainsi, ce champ est optionnel, cela signifie que si l'on ne précise pas le port source, les 16 bits de ce champ seront mis à zéro, auquel cas le destinataire ne pourra pas répondre (cela n'est pas forcément nécessaire, notamment pour des messages unidirectionnels). Port Destination : Ce champ contient le port correspondant à l'application de la machine destinataire à laquelle on s'adresse. La longueur du message : Ce champ précise la longueur totale du datagramme, en-tête compris, or l'en-tête a une longueur de 4 x 16 bits (soient 8 x 8 bits) donc le champ longueur est nécessairement supérieur ou égal à 8 octets. Somme de contrôle : est optionnel et toutes les implémentations ne l’utilisent pas. S’il est employé, il porte sur un pseudo en-tête prévu initialement pour apporter une protection en cas de datagrammes mal routés. Réalisé par : Mr RIAHLA

  Segment TCP Réalisé par : Mr RIAHLA

Segment TCP Le champ Flags ACK: Le paquet est un accusé de réception FIN : L’émetteur a atteint la fin de son flot de données. RST: Réinitialiser la connexion. SYN: Synchroniser les numéros de séquence pour initialiser une connexion. PSH: Fonction push. Réalisé par : Mr RIAHLA

Segment TCP Acquittements Réception de Ai Réémission de Mi Ai n’est pas reçu Emission de Mi Temporisation Armée Destination Réseau Source Mi n‘est pas reçu Ai non envoyé Réception de Mi Emission de Ai Réalisé par : Mr RIAHLA

Segment TCP Ouverture de connexion Ack y+1 Syn seq=y, ack=x+1 TCP Source TCP destination Syn seq=x Réalisé par : Mr RIAHLA

Segment TCP Fermeture de connexion TCP source TCP destination Fin seq=x Ack=x+1 + Fin-> applicatif Ack y+1 Applicatif -> close Fin seq=y ack=x+1 Réalisé par : Mr RIAHLA

Segment TCP Autres types de connexions Transfert de données ==> ACK=1 - SeqNum=101 - AckNum=301 - Data=30 octets <== ACK=1 - SeqNum=301 - AckNum=131 - Data=10 octets ==> ACK=1 - SeqNum=131 - AckNum=311 - Data=5 octets <== ACK=1 - SeqNum=311 - AckNum=136 - Data=10 octets Fermeture brutale de connexion ==> ACK=1 - RST=0 - SeqNum=200 - AckNum=400 <== ACK=0 - RST=1 - SeqNum=400 - ACKNum=xxx Réalisé par : Mr RIAHLA

Attaques réseaux Université Université De Boumerdes De Limoges Réalisé par : Mr RIAHLA 2008/2009

Les réseaux peuvent être vulnérables: Université De Boumerdes Université De Limoges Les réseaux peuvent être vulnérables: Par une mauvaise implémentation des piles udp/ip et tcp/ip. Par des faiblesses des protocoles Réalisé par : Mr RIAHLA 2008/2009

IP Spoofing:Introduction (Usurpation d’adresse IP) Dans certains cas, l'adresse IP source est utilisée pour autorisez une connexion (Systèmes sur lesquels l'authentification est fondée sur l'adresse IP). IP Spoofing: On fait croire que la requête provient d’une machine autorisée. Réalisé par : Mr RIAHLA 2008/2009

IP Spoofing: Principe IP Spoofing: Forger l'adresse source d'un paquet et à abusez de la confiance de cette source. Plus facile à utiliser avec les protocoles basés sur UDP. Pour TCP ??? Réalisé par : Mr RIAHLA 2008/2009

IP Spoofing: Attaques à base de TCP Pirate B SYN (seq X) IP Source: B C C envoie ses paquets avec B comme adresse source Réalisé par : Mr RIAHLA 2008/2009

IP Spoofing: Attaques à base de TCP TCP est un protocole en mode connecté, il utilise des acquittements et des numéros de séquence Pour éviter d'utiliser les mêmes numéros de séquence, un numéro de séquence initial aléatoire (ISN) est choisi pour chaque nouvelle connexion Exemple d’attaque: les protocoles rlogin, rsh sur les machines à numéro de séquence TCP prévisible. Réalisé par : Mr RIAHLA 2008/2009

Mais… Université Université De Boumerdes De Limoges 2008/2009 Réalisé par : Mr RIAHLA 2008/2009

IP Spoofing: Attaque à base de TCP SYN (seq Y) RST A Pirate B SYN (seq X) IP Source: B ACK (seq Y ?+1) IP Source: B A répond à B B qui n'a rien demandé envoie une réinitialisation à A Le pirate doit empêcher B de répondre! Il doit deviner l'ISN que A fournira à B! B qui n'a rien demandé envoie une réinitialisation à A Le pirate doit empêcher B de répondre! Il doit deviner l'ISN que A fournira à B! Réalisé par : Mr RIAHLA 2008/2009

Comment deviner l'ISN d’une machine? Comment empêcher une machine répondre! ? Réalisé par : Mr RIAHLA

TCP ISN generation Dans certaines implémentations de pile TCP/IP prochain ISN peut que soit prédit. Un pirate procède comme suite: Une bonne configuration du routeur d’entrée permet d’éviter qu’une machine extérieure puisse se faire passer pour une machine interne. The original standard (RFC 793) requires that the ISN be incremented once every four microseconds Réalisé par : Mr RIAHLA 2008/2009

TCP ISN generation Il ouvre quelques connexions (par exemple SMTP) pour obtenez les ISN courants et leurs méthodes d’incrémentation. Il lance sa connexion forgé qui utilise le dernier ISN incrémenté selon la méthode détectée. Il peut lancer des connexions forgés multiples avec différentes augmentations en espérant qu'au moins une est correct. Réalisé par : Mr RIAHLA 2008/2009

Exemple A: Pirate B:serveur C:victime Réalisé par : Mr RIAHLA

Comment empêcher une machine de répondre? Réalisé par : Mr RIAHLA

DOS (déni de service) Attaque destinée à empêcher l’utilisation d’une machine ou d’un service. Plus souvent utilisé pour saturer un routeur ou un serveur. Ce type d ’attaque peut engendrer des pertes très importantes pour une entreprise. Attaque très simple à mettre en œuvre (outils faciles à trouver) et très difficile à empêcher. Recuperer un acces : une attaque de type Denial-of-Service fait, la plupart du temps, partie d’une attaque visant a obtenir le controle d’une machine ou d’un reseau. Par exemple l’attaque de type ”SYN Flood”, tres rependue, est souvent utilisee de paire avec une tentative de ”Spoofing” • Masquer les traces : ce type d’attaque permet egalement de ”crasher” une station qui par exemple aurait pu contenir des traces du passage d’un ”Hacker”. En detruisant cette station, il s’assure ainsi une certaine perenite. • Se venger : tres frquemment, ces attaques sont utilisees afin d’assouvir une vengeance personnelle contre une personne, un administrateur ou bien encore une entreprise. . . Réalisé par : Mr RIAHLA 2008/2009

DOS DOS local Epuisement des ressources Saturation de l'espace disque répertoires récursifs boucle infinie de fork () …etc DOS par le réseau Consommation de bande passante SYN flood mailbombing. Réalisé par : Mr RIAHLA 2008/2009

DOS: Exemple SYN Flood Attaque par inondation de SYN avec une adresse source usurpée (spoofée) et inaccessible. La machine cible doit gérer une liste de connexions dans l ’état SYN_RECV . Le pirate sature cette liste. La machine victime ignore les prochaines connexions Attaque visible si la commande netstat –an indique un grand nombre de connexions Réalisé par : Mr RIAHLA 2008/2009

Une file FIFO (file circulaire) Se protéger de SYN Flood Une file FIFO (file circulaire) Réalisé par : Mr RIAHLA 2008/2009

DOS: Outils Ping ’O Death Land - Blat Jolt TearDrop – SynDrop Ident Attack Bonk – Boink Smurf WinNuke Réalisé par : Mr RIAHLA 2008/2009

ARP Spoofing Pollution des caches arp avec de fausses associations adresse mac/adresse IP. Permet des attaques de type "man in the middles. Outils: • arp-sk (unix) winarp-sk (windows) http://www.arp-sk.org • WinArpSpoof http://nextsecurity.net Réalisé par : Mr RIAHLA 2008/2009

ARP Spoofing Réalisé par : Mr RIAHLA 2008/2009

Se protéger contre ARP Spoofing Utiliser des associations statiques Surveiller les changements d'association: • arpwatch (unix) http://www.securityfocus.com/data/tools/arpwatch.tar.Z • WinARP Watch (Windows) http://www.securityfocus.com/data/tools/warpwatch.zip Réalisé par : Mr RIAHLA 2008/2009

DNS Cache poisoning Réalisé par : Mr RIAHLA 2008/2009

Sniffer De nombreux protocoles utilisent une authentification en texte clair En visualisant la circulation sur un réseau, nous pouvons obtenir les noms d'utilisateurs et les mots de passe == sniffer Les sniffers Utilisent des sockets en mode « promiscuous » socket (AF_INET,SOCK_RAW,IPPROTO_RAW) Réalisé par : Mr RIAHLA 2008/2009

Sniffer Sniffing Facile Sniffing Difficile 2008/2009 Réalisé par : Mr RIAHLA 2008/2009

Sniffing: Examples Les protocoles d'authentification dont l'échange de données est en text clair: telnet rsh, rlogin, rexec ftp http (with basic authentication) pop, imap (with default authentication) Réalisé par : Mr RIAHLA 2008/2009

Sniffing: Outils Le sniffer de base pour unix: tcpdump. tcpdump host e450 and port 25 Sniffer multi-plateforme: ethereal (http://www.ethereal.com) devenu wireshark (http://www.wireshark.org) Cain &Abel Réalisé par : Mr RIAHLA 2008/2009

Smurf Envoie d'une trame ICMP "echo request «  ping » sur une adresse de diffusion. • Exemple: ping 193.49.200.255 Objectif Utilisée pour déterminer les machines actives sur une plage IP donnée. Ecrouler une machine Réalisé par : Mr RIAHLA 2008/2009

Smurf Ecrouler une machine Réalisé par : Mr RIAHLA 2008/2009

Se protéger Contre Smurf Interdire la réponse aux trames ICMP sur les adresses de diffusion: – Au niveau routeur – Au niveau machine Réalisé par : Mr RIAHLA 2008/2009

L’ingénierie sociale Il n’y a généralement pas d’attaques réussies sans relations humaines basée sur quartes grands principes: Le contexte (l’organigramme de l’entreprise) L’audace ou le bluff (avoir connaissance et savoir parler) La chance La patience calculée Le contexte : en ayant une bonne connaissance de l’organigramme de l’entreprise cela permet à l’agresseur d’avoir d’ores et déja un pied dans l’entreprise. Le but en general est de connaıtre qu’elles sont les personnes qui sont en droit de demander tels ou tels informations, et egalement a qui les demander, dans le but de se faire ultérieurement passer pour elles. . . • L’audace ou le bluff : le bagout et l’art de la parole sont deux qualit´es indispensables lorsque l’on veut utiliser le ”social engineering”. lI s’agit ici d’avoir suffisament d’appoint et de connaissances techniques afin de faire croire a l’interlocuteur qu’il a affaire a un responsable technique de l’entreprise (ou d’un fournisseur de service). Tout ceci afin qu’il lui transmette les informations demandees sans aucun probl`eme. • La chance : la chance est egalement une part importante dans le ”social engineering”, cela ne marche pas a chaque fois ! Il faut de la pratique afin de bien maıtriser le sequencement du dialogue a etablir. • La patience calcul´ee : il faut de plus savoir se montrer patient afin d’obtenir les informations desirees. Malges tout, la methode du ”social engineering” demande une certaine rapidite ( max. 1 heure ) pour obtenir les informations voulues, passe ce delais, il est preferable de changer d’entreprise ou d’attendre quelques jours afin de ne pas eveiller les soup¸cons. . . Réalisé par : Mr RIAHLA 2008/2009

Réussite de l’attaque ingénierie sociale Les personnes ne sont pas formées à la notion de sécurité informatique Comment ça!!!!!!!!: Disquettes ou sauvegardes jetées à la poubelle Papiers ou l’on note ses mots de passe jetés à la poubelle Echange de mot de passe par MSN!!!!! Réalisé par : Mr RIAHLA 2008/2009

DDOS Distributed Denial Of Service. Type d ’attaque très à la mode. L ’objectif est d ’écrouler une machine et/ou saturer la bande passante de la victime. Nécessite plusieurs machines corrompues. Réalisé par : Mr RIAHLA 2008/2009

Distributed Denial Of Service. DDOS Distributed Denial Of Service. • Attaque popularisée le 14 février 2000 sur quelques sites .com renommés (ebay, cnn, amazon, microsoft, …). Le coupable « Mafiaboy », 15 ans, est arrêté au Canada le 15 avril et condamné à 8 mois de détention. Il a causé des pertes estimées à 1,2 milliards de dollars en 24 heures. Réalisé par : Mr RIAHLA 2008/2009

Distributed Denial Of Service. DDOS Distributed Denial Of Service. Réalisé par : Mr RIAHLA 2008/2009

DDOS Exemples Tribe Flood Network (TFN) Trinoo TFN2K Trinity (utilise les serveurs irc)..etc Se protegé contre DDOS: Etre attentif aux ports ouverts find_ddos sur http://www.nipc.gov Quelques exemples de DDOS • Tribe Flood Network (TFN) • Trinoo • TFN2K • Trinity (utilise les serveurs irc) • etc. • Plus d'informations sur http://staff.washington.edu/dittrich/misc.ddos • Parades: – être attentif aux ports ouverts – find_ddos sur http://www.nipc.gov Réalisé par : Mr RIAHLA 2008/2009

But d’une attaque DDOS Un botnet de 1000 machines peut saturer la bande passante d’une grande entreprise (1000 * 128Kb/s = 128 Mb/s). Une entreprise peut acheter les services d’un « bot herders » pour attaquer un concurrent. « Ddos extortion »: des pirates peuvent menacer des sites de commerce en ligne (Exemple: la société Canbet en Angleterre). Une attaque DDoS paralyse de nombreux sites Date: 16 juin 2004 à 12:07:44 CEST Sujet: Sécurité informatique, Virus • Hier matin, une attaque des serveurs de la compagnie Akamai a rendu certains sites inutilisables. De nombreux sites dont ceux de Microsoft, Google, Yahoo, FedEx, Xerox et Apple étaient injoignables pendant une courte période. Akamai a déclaré que plusieurs de ses clients avaient subit une attaque DDoS, ce qui avait provoqué un crash de leurs serveurs DNS. Les serveurs DNS n'étaient alors plus capables de traduire les noms de domaines en adresses IP, ce qui rendait les sites inaccessibles. Les problèmes ont duré plus de deux heures mais certains sites sont revenus en ligne plus rapidement grâce à leurs serveurs DNS de secours. On ne sait pas encore d'ou provenait l'attaque, ni quelle était sa cible. Certains virus ont déjà utilisé des techniques similaires, notamment Netsky qui ciblait les réseaux d'échange de fichiers Kazaa, eDonkey et eMule. En mai dernier, Akamai avait eu des problèmes techniques. Les sites de Symantec et Trendmicro étaient alors inaccessibles pour un grand nombre d'internautes, ce qui les empêchait de recevoir les mises à jour de leurs antivirus. Réalisé par : Mr RIAHLA 2008/2009

Les « botnets » Début des années 1990. Réseau de machines contrôlées par un « bot herder » ou « botmaster ». Selon une estimation: une machine sur quatre fait partie d’un botnet, soit environ 154 millions de machines. Réalisé par : Mr RIAHLA 2008/2009

Les « botnets » (Utilisation) Envoyer du spam Vol d’informations sensibles (keylogger). Installer des spywares. Paralyser un réseau en déni de services (ddos) Installer un site web malicieux (phishing) Truquer les statistiques de sites webs. – …   Envoyer du spam Vol d’informations sensibles (keylogger). Installer des spywares. Paralyser un réseau en déni de services Installer un site web malicieux (phishing) Truquer les statistiques de sites webs (sondage en lignes authentifiés par des adresses IP, rémunération sur des clics de bannières,…) Réalisé par : Mr RIAHLA 2008/2009

L’homme du milieu man in the middle DHCP ARP ICMP RIP DNS Proxy HTTP Virus Réalisé par : Mr RIAHLA 2008/2009

Intrusion Attaque : Découverte systématique d’informations. Tentative d’intrusion ou de déni de service. Intrusion : Prise de contrôle totale ou partielle d’un système distant Réalisé par : Mr RIAHLA 2008/2009

( étudier dans les prochaines parties) Intrusion la réalisation d’une menace (c ’est une attaque). Les conséquences peuvent être catastrophiques : vol, fraude, incident diplomatique, chantage…etc Solution: Firewall et systèmes de détection d’intrusion ( étudier dans les prochaines parties) Réalisé par : Mr RIAHLA 2008/2009

La méthode des hackers 2008/2009 la meilleure façon de protéger son système est de procéder de la même manière que les pirates afin de cartographier les vulnérabilités du système. Réalisé par : Mr RIAHLA 2008/2009

Collecte d’information Utilitaires utilisés par les pirates pour préparer leurs attaques. Détermination des champs d’activités(site web): Téléphone, Implantation Emails, politique de sécurité, liens vers d’autres serveurs WEB, Code source HTML Recensement des éléments du réseau (Identifier les noms de domaines et les réseaux associés d’une organisation: BDD INTERNIC, ARIN,…etc) Réalisé par : Mr RIAHLA 2008/2009

Collecte d’information Interrogation des serveurs DNS (outil: nslookup www.google.fr) Cartographie du réseau(Détermination de la topologie de chaque réseau :traceroute) Utiliser aussi les techniques d’Ingénierie sociale Réalisé par : Mr RIAHLA 2008/2009

Balayage systématique Scanner Frapper contre tous les murs dans l’espoir de trouver les portes et les fenêtres du réseau cible. En connaissant les adresses IP, nous pouvons lancer un scan pour trouver des cibles intéressantes Le scanner va essayer de se connecter à tous les services voulu sur toutes les machines appartenant à une plage d'adresses Résultat: liste des machines accessibles, des ports ouverts sur ces machines (Outil: superscan) Réalisé par : Mr RIAHLA 2008/2009

Enumération des services Dans cette phase, il faut trouver des informations sur les services disponibles (TCP et UDP). Chercher aussi des: Systèmes d’exploitation Fournisseur d’un logiciel Version d’un logiciel (ou service) Outils de scan : nmap, strobe, udp_scan, netcat, Les numéros de port ouverts sur les machines peuvent lui donner des informations sur le type de service ouvert et donc l'inviter à interroger le service afin d'obtenir des informations supplémentaires sur la version du serveur dans les informations dites de « bannière ». Réalisé par : Mr RIAHLA 2008/2009

Intrusion Par la recherche d'une vulnérabilité connue qui n'a pas encore été corrigé (patcher), nous pouvons pénétrer dans un système. Des failles connues peuvent être trouvées sur des sites web: securityfocus.com, secunia.com Les vulnérabilités les plus récentes sont publiées dans des mailing-listes Réalisé par : Mr RIAHLA 2008/2009

Suite des étapes Escalation (extension) of privileges Chercher à augmenter ses privilèges Par exemple l'installation d'un petit script que l'administrateur exécute par erreur . Le pirate peut installer un sniffeur rootkits est un logiciel qui remplace les programmes du système de manière à masquer la présence du pirate Réalisé par : Mr RIAHLA 2008/2009

Suite des étapes Plundering Le vol de mots de passe. La recherche des informations, des documents ou des emails contenants des mots de passe rootkits est un logiciel qui remplace les programmes du système de manière à masquer la présence du pirate Réalisé par : Mr RIAHLA 2008/2009

Suite des étapes Effacer la trace Correction de logs avec des outils automatiques Dissimulation d'intrusion à l'aide de rootkits pour masquer la présence du hacker Installation d’un backdoor rootkits est un logiciel qui remplace les programmes du système de manière à masquer la présence du pirate Réalisé par : Mr RIAHLA 2008/2009

Conclusion Après quelques minutes, n'importe qui est capable d'apprendre la manière de hacker votre site Ce n'est pas parce que vous n'êtes pas connu que vous ne serez pas attaqué Il faut donc: installer les correctifs de sécurité (patches) quand ils sont publiés installer seulement les modules logiciels strictement nécessaires pour vos serveurs. Réalisé par : Mr RIAHLA 2008/2009

Conclusion Lorsque les compétences au sein de l'entreprise ne sont pas suffisantes pour mener à bien cette opération, il convient de faire réaliser un audit par une société spécialisée dans la sécurité informatique. Réalisé par : Mr RIAHLA 2008/2009

Merci Réalisé par : Mr RIAHLA