Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France

Types d’attaques réseaux simples (sur échange C/S) sourcedestination Flux normal Interception Interruption Déni de service Modification « Man in the middle » Mascarade

Petite cartographie (I) L’écoute (sniffing) Les chevaux de Troie (« trojans”) et les bombes logiques –Pour vivre heureux, vivons cachés ! –Installation (furtive) dans le système –Evénement déclenchant. Ex : vendredi 13, accès à un site bancaire, activation à distance… –Contrôle du système, traçage/capture de données… Les attaques applicatives, « exploits » –Trous de sécurité, erreurs de programmation, mauvaises configurations... –Ex : dépassement de tampon (cf. nop), violation de protocole –Ex : attaques applicatives (clients et serveurs Web notamment) –Ex : injection de code (ex : injection SQL) Les vers –Propagation via le réseau (messagerie, IRC) –Utilisation de failles au niveau applicatif

Petite cartographie (II) Key loggers : monitoring à distance Rootkits : détournement de commandes systèmes Bots et botnets : réseaux dormants d’espions/chevaux de Troie Attaques DNS Fast Flux, Double Fast Flux, Triple Fast Flux ! Bombardement de courriels : répéter un même message à une adresse. Spamming : diffusion de messages à large échelle Adware/spyware : collecte d’informations à l’insu de l’utilisateur Phishing : simulation d’écrans de saisie …

Petite cartographie (III) Déni de service : –Déni de service en général : envoi en très grand nombre de requêtes autorisées en vue de saturer le système –Attaque mono-source ou multi-sources (Distributed DoS, DDoS) –Ex : inondation de commandes SYN (SYN flooding) Envoi en grand nombre de paquets TCP SYN avec des adresses aléatoires (IP spoofing) ou à partir de plusieurs machines (DDoS) Le serveur renvoie des SYN ACK et maintient les connexions ouvertes (en attente des ACK) => saturation si débit d’envoi < temps de demi-connexion –Plus basique : PING flooding –Ex applicatif : attaques de serveurs Web –Cf. Anonymous, LOIC

Petite cartographie (IV) Un peu d’histoire : ping de la mort (Ping of Death) (av. 1998) –Envoi d’une requête « echo » du protocole ICMP –Utilisation d’une taille de données supérieure à la capacité d’un paquet IP => fragmentation –Lors du réassemblage des données, débordement de tampon interne car la taille totale du paquet est supérieure à la taille max autorisée par IP (65535 octets) => blocage/redémarrage… Successeur : INVITE of death (VoIP) –protocole SIP (2009) : envoi d’une requête INVITE mal formée => buffer overflow => état chaotique du serveur (délai, accès non autorisé, déni de service…)

Petite cartographie (V) Historique aussi : Smurf (« attaque par rebond ») –Utilisation d’un serveur de diffusion –Mascarade (« spoofing ») d’une adresse IP –Envoi d’une commande type ping ou echo au serveur de diffusion avec comme adresse expéditrice l’adresse falsifiée –Chaque machine du réseau de diffusion envoie une requête réponse à l’adresse falsifiée => saturation de la machine

Petite cartographie (VI) Historique toujours : Teardrop –Envoi du 1er paquet d’une fragmentation –Envoi d’un 2ème paquet dont le bit de décalage et la longueur impliquent qu’il est inclus dans le 1er paquet –Le système ne sait pas gérer cette exception et se bloque –Dans le même genre, voir l’attaque Land (paquets SYN avec source = destination (machine attaquée répond donc à elle- même))

Petite cartographie (VII-1) Mascarade TCP/IP (TCP/IP Spoofing) –Construction de paquets IP avec une fausse adresse source –Condition : identification d’un client de confiance du serveur qu’on paralyse par une attaque type DoS ; identification de la méthode de génération du numéro de séquence (ISN : numéro de séquence initiale (=> envoi de requêtes test)) –Le pirate répond au serveur en lieu et place du client de confiance –Objectif : attaques DoS ou créations de backdoors –Condition : rendre impossible l’identification de la véritable source Variantes : mascarades d’adresses courriel, DNS, NFS...

Spoofing d’une session TCP (VII-2) xxx.xxx.xxx.xxx 1/ Connexions TCP 2/ DoS 4/ SYN ACK 5/ ACK 3/ SYN + spoofing xxx.xxx.xxx.xxx en source From Arkoon Inc.

Petite cartographie (VIII) « Man in the Middle » –Ecoute : se placer entre le serveur et le client (entre les deux pairs) et écouter le réseau –Substitution : se placer entre le serveur et le client, se faire passer pour le serveur modifier les informations transmises par le client

Petite cartographie (IX) Attaques systèmes, 0-day, Exploit –Exploitation des failles des systèmes d’exploitation –Windows loin devant ! –Patcher/Tracer/Filtrer

Petite cartographie (X) : état des lieux Panoramas de la cybercriminalité (CLUSIF) –2002 : spam, attaque DNS, WiFi 1/3 du courriel = spam (aujourd’hui 90%) ! attaque DDOS sur les serveurs racines DNS… par ping flooding le cyber-terrorisme est envisageable ! il faut sécuriser le WiFi –2003 : cyber-criminalité : virus, spam, phishing SOBIG, BUGBEAR, NIMAIL… : ciblent échanges banquaire apparition du phishing recherche de gain, cyber-mafia –2004 : professionnalisation, botnets virus (dont JPEG) robots et botnets –2005 : professionnalisation, botnets, rootkits keylogger matériel kernel/application rootkits

Petite cartographie (XI) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite)Panoramas de la cybercriminalité (CLUSIF) –2006 : attaques 0-day : 50 0-day pour MS-Windows, avis sur la base Secunia pour Unix (489 Apple), temps moyen sans protection : 22 jours – émergence d’un marché des attaques (20-30 k$) –2007 : mondes virtuels, botnets, réseaux mafieux, cyber-guerre argent virtuel = argent ! MPACK et P2P botnets fast flux, double fast-flux réseaux mafieux : RBN… premiers exemples de cyber-guerre : Estonie –2008 : routage DNS, attaques matérielles cold boot routage BGP (Pakistan Telecom) –2009 : ANSSI, vie privée et réseaux sociaux, piratage DAB

Petite cartographie (XII) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite)Panoramas de la cybercriminalité (CLUSIF) –2010 : Stuxnet, hacktivisme, botnets portables Stuxnet : piratage SCADA, cyber-guerre hacktivisme botnets de téléphones mobiles ! –2011 : fuite d’information, argent virtuel, botnets mobiles, faille des AC, vie privée, cyber-armées, SCADA fuite d’information Carrier IQ, HTCLogger : vous êtes surveillés… ou espionnés ? bitcoin attaques téléphones portables faille des AC (attaque de DigiNotar par un hacker iranien) cyber-armées attaques des systèmes SCADA

Petite cartographie (XIII) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite)Panoramas de la cybercriminalité (CLUSIF) –2012 : attaque stimulateur cardiaque ! SCADA, SCADA, SCADA ! le droit des conflits armés s’applique à la cyber-guerre ; écoles de cyber-guerre, recrutements de soldats-hackers cyber-surveillance attaques ciblées (NASA, 13 fois ; Verisign…) contre-attaques statistiques objectifs variés : sabotage industriel (Stuxnet), destruction de systèmes (Shamoon), vol d’informations classifiées/bancaire/industrielles (Flame, Gauss, Duqu), surveillance… marché du hack (html injection, 60$), marché du DDoS (1h : 5$, 1 mois : 900$), Hack-as-a-Service, plates-formes d’exploits attaques smartphones++ ransonwware

Petite cartographie (XIV) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite)Panoramas de la cybercriminalité (CLUSIF) –2013 : PRiSM APT chinoise : 140 entreprises, vol 6To, 1000 serveurs C&C-13 pays « waterholing » attaques destructives définitives (sabotage – ex : Corée du Sud) ou temporaires (rançon) attaques métier (ex : DAB) (réseau Target : 100+ millions comptes) vol de comptes (Adobe : 38 millions comptes) attaques Android (passage PC lors synchro) ransomware++ coût cyber-attaques : 300 Mds € bitcoin

Petite cartographie (XV) : état des lieux Panoramas de la cybercriminalité (CLUSIF) (suite)Panoramas de la cybercriminalité (CLUSIF) –2014 : exagérations (Cybervor : 1,2 milliards de mots de passe (non- ?)volés) ! Internet des Objets: 1 er « thingbot » (botnet d’objets connectés) APT SI Sony : 9 mois, 110 To, 75% serveurs touchés, divulgation informations métier secrètes et personnelles (47000 employés), rançon – 8 semaines indisponibilité, 3 class actions en cours, tensions Corée du Nord-Etats-Unis fraude au Président (ex : Michelin) Heartbleed (erreur programmation OpenSSL) – ShellShock (GNU Bash) arrêt de TrueCrypt attaque de systèmes déconnectés (air gaps) (AirHopper (FM), BadBIOS (ultrasons), laser…) APT++ (dont Babar (DGSE – Iran ?)

Petite cartographie (XV) : état des lieux –Autres liens intéressants Zeus Tracker, Palevo Tracker, Feodo TrackerZeus TrackerPalevo TrackerFeodo Tracker « carte d’épidémie » carte CISCO des menaces RIPE Network Coordination Centre MAcAfee Threats Prediction –2015 : espionnage, IoT, privacy, ransomware, attaques sur mobiles –2014 : attaques sur mobiles, monnaies virtuelles, advanced evasion techniques, réseaux sociaux, clouds –2013 : attaques mobile, rootkits, APT, Citadel, html5, botnets, crimeware, hacktivisme –2012 : SCADA/industries, embarqué, hacktivisme, monnaie virtuelle, cyber- guerre, mobile (et banque sur mobile), certificats, DNSSEC, Windows 8, « ransomware »

Sites de veille et d’alerte site de l'ANSSIsite de l'ANSSI CERT-FR, centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiquesCERT-FR, centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques –lien vers l'European Government CERTs Group (EGC)lien vers l'European Government CERTs Group (EGC) –lien vers l'European Network and Information Security Agencies (ENISA)lien vers l'European Network and Information Security Agencies (ENISA) First : Forum for Incident Response and Security Teams CERT Coordination Center (Université de Carnegie-Mellon) Bilans annuels sur les attaques informatiques (CERT-IST)

Conclusion Pas tant de finesse que ça : un monde de brutes... Pas si difficile de parer la plupart des attaques Difficile de parer les attaques (réalisée avec complicité) de l’intérieur (ainsi que les APT-AET) « Plasticité »/Adaptabilité des attaques et nouveaux enjeux Une « industrie » s’est créée Nouvelle composante stratégique Equilibre ouverture/sécurité