La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Types d’attaques réseaux simples (sur échange C/S)

Publié parIsabelle Lépine Modifié depuis plus de 7 années

Présentations similaires

Présentation au sujet: "Types d’attaques réseaux simples (sur échange C/S)"— Transcription de la présentation:

1 Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France

2 Types d’attaques réseaux simples (sur échange C/S)
source destination Flux normal Mascarade Interception Modification « Man in the middle » Interruption Déni de service

3 Petite cartographie (I)
L’écoute (sniffing) Les chevaux de Troie (« Trojans ») et les bombes logiques Pour vivre heureux, vivons cachés ! Installation (furtive) dans le système Evénement déclenchant. Ex : vendredi 13, accès à un site bancaire, activation à distance… Contrôle du système, traçage/capture de données… Les attaques applicatives, « exploits » Trous de sécurité, erreurs de programmation, mauvaises configurations... Ex : dépassement de tampon (cf. nop), violation de protocole Ex : attaques applicatives (clients et serveurs Web notamment) Ex : injection de code (ex : injection SQL) Les vers Propagation via le réseau (messagerie, IRC) Utilisation de failles au niveau applicatif Nop : « no operation » : instruction de base ne faisant rien, si ce n’est d’incrémenter le pointeur d’instruction (EIP).

4 Petite cartographie (II)
Key loggers : monitoring à distance Rootkits : détournement de commandes systèmes Cryptolockers Bots et botnets : réseaux dormants d’espions/chevaux de Troie Attaques DNS Fast Flux, Double Fast Flux, Triple Fast Flux ! Bombardement de courriels : répéter un même message à une adresse. Spamming : diffusion de messages à large échelle Adware/spyware : collecte d’informations à l’insu de l’utilisateur Phishing : simulation d’écrans de saisie

5 Petite cartographie (III)
Déni de service : Déni de service en général : envoi en très grand nombre de requêtes autorisées en vue de saturer le système Attaque mono-source ou multi-sources (Distributed DoS, DDoS) Ex : inondation de commandes SYN (SYN flooding) Envoi en grand nombre de paquets TCP SYN avec des adresses aléatoires (IP spoofing) ou à partir de plusieurs machines (DDoS) Le serveur renvoie des SYN ACK et maintient les connexions ouvertes (en attente des ACK) => saturation si débit d’envoi < temps de demi-connexion Plus basique : PING flooding Ex applicatif : attaques de serveurs Web Cf. Anonymous, LOIC LOIC : Low Orbit Ion Cannon.

6 Petite cartographie (IV)
Un peu d’histoire : ping de la mort (Ping of Death) (av. 1998) Envoi d’une requête « echo » du protocole ICMP Utilisation d’une taille de données supérieure à la capacité d’un paquet IP => fragmentation Lors du réassemblage des données, débordement de tampon interne car la taille totale du paquet est supérieure à la taille max autorisée par IP (65535 octets) => blocage/redémarrage… Successeur : INVITE of death (VoIP) protocole SIP (2009) : envoi d’une requête INVITE mal formée => buffer overflow => état chaotique du serveur (délai, accès non autorisé, déni de service…)

7 Petite cartographie (V)
Historique aussi : Smurf (« attaque par rebond ») Utilisation d’un serveur de diffusion Mascarade (« spoofing ») d’une adresse IP Envoi d’une commande type ping ou echo au serveur de diffusion avec comme adresse expéditrice l’adresse falsifiée Chaque machine du réseau de diffusion envoie une requête réponse à l’adresse falsifiée => saturation de la machine

8 Petite cartographie (VI)
Historique toujours : Teardrop Envoi du 1er paquet d’une fragmentation Envoi d’un 2ème paquet dont le bit de décalage et la longueur impliquent qu’il est inclus dans le 1er paquet Le système ne sait pas gérer cette exception et se bloque Dans le même genre, voir l’attaque Land (paquets SYN avec source = destination (machine attaquée répond donc à elle-même))

9 Petite cartographie (VII-1)
Mascarade TCP/IP (TCP/IP Spoofing) Construction de paquets IP avec une fausse adresse source Condition : identification d’un client de confiance du serveur qu’on paralyse par une attaque type DoS ; identification de la méthode de génération du numéro de séquence (ISN : numéro de séquence initiale (=> envoi de requêtes test)) Le pirate répond au serveur en lieu et place du client de confiance Objectif : attaques DoS ou créations de backdoors Condition : rendre impossible l’identification de la véritable source Variantes : mascarades d’adresses courriel, DNS, NFS... ISN : Initial Sequence Number.

10 Spoofing d’une session TCP (VII-2)
1/ Connexions TCP 5/ ACK 4/ SYN ACK 3/ SYN + spoofing xxx.xxx.xxx.xxx en source 2/ DoS xxx.xxx.xxx.xxx From Arkoon Inc.

11 Petite cartographie (VIII)
« Man in the Middle » Ecoute : se placer entre le serveur et le client (entre les deux pairs) et écouter le réseau Substitution : se placer entre le serveur et le client, se faire passer pour le serveur modifier les informations transmises par le client

12 Petite cartographie (IX)
Attaques systèmes, 0-day, Exploit Exploitation des failles des systèmes d’exploitation Windows et Android loin devant ! Patcher/Tracer/Filtrer

13 Petite cartographie (X) : état des lieux
Panoramas de la cybercriminalité (CLUSIF) 2002 : spam, attaque DNS, WiFi 1/3 du courriel = spam (aujourd’hui 90%) ! attaque DDOS sur les serveurs racines DNS… par ping flooding le cyber-terrorisme est envisageable ! il faut sécuriser le WiFi 2003 : cyber-criminalité : virus, spam, phishing SOBIG, BUGBEAR, NIMAIL… : ciblent échanges banquaires apparition du phishing recherche de gain, cyber-mafia 2004 : professionnalisation, botnets virus (dont JPEG) robots et botnets 2005 : professionnalisation, botnets, rootkits keylogger matériel kernel/application rootkits

14

15

16 Petite cartographie (XI) : état des lieux
Panoramas de la cybercriminalité (CLUSIF) (suite) 2006 : attaques 0-day : 50 0-day pour MS-Windows, avis sur la base Secunia pour Unix (489 Apple), temps moyen sans protection : 22 jours – émergence d’un marché des attaques (20-30 k$) 2007 : mondes virtuels, botnets, réseaux mafieux, cyber-guerre argent virtuel = argent ! MPACK et P2P botnets fast flux, double fast-flux réseaux mafieux : RBN… premiers exemples de cyber-guerre : Estonie 2008 : routage DNS, attaques matérielles cold boot routage BGP (Pakistan Telecom) 2009 : ANSSI, vie privée et réseaux sociaux, piratage DAB BGP Man in the middle : si un attaquant annonce une route plus spécifique (ex : masque réseau /24 au lieu de /20) que le domaine attaqué, alors le trafic est routé vers l’attaquant.

17

18

19

20

21 1- réception d’un courriel malicieux avec pièce attachée foireuse ou lien vers un site de phishing ; 2- récupération du logiciel malveillant ; 3- la machine rejoint le botnet ; 4- elle reçoit un ordre d’attaque du réseau P2P ; 5 attaque. Plusieurs millions de machines infectées. Ré-encodage du code malveillant 2 fois par heure pour rendre sa détection difficile. Pas vraiment de C&C mais un contrôle P2P. Communications cryptées entre pairs.

22

23 Fast Flux : le DNS sous contrôle du bootmaster met à jour très fréquemment (jusqu’à plusieurs fois par mn) (ou, autre approche : le TTL de ces enregistrements est mis à 0) les enregistrements vers le domaine spam.net => le nom de domaine pointe vers des machines différentes à chaque fois qui, elles (reverse proxies) renvoient vers le site infecté.

24 Pb fast flux : le DNS est tjs le même => dans le double fast flux, le serveur DNS principal renvoie des adresses de serveurs secondaires. NS = Name Server.

25 Petite cartographie (XII) : état des lieux
Panoramas de la cybercriminalité (CLUSIF) (suite) 2010 : Stuxnet, hacktivisme, botnets portables Stuxnet : piratage SCADA, cyber-guerre hacktivisme botnets de téléphones mobiles ! 2011 : fuite d’information, argent virtuel, botnets mobiles, faille des AC, vie privée, cyber-armées, SCADA fuite d’information Carrier IQ, HTCLogger : vous êtes surveillés… ou espionnés ? bitcoin attaques téléphones portables faille des AC (attaque de DigiNotar par un hacker iranien) cyber-armées attaques des systèmes SCADA Carrier IQ : (société et) logiciel de type rootkit installé sur 150 millions de téléphones portables (chiffres 2013) et enregistrant des données sur l’utilisateur au motif d’optimiser la gestion du réseau de téléphonie sans fil. HTCLogger : outils de logging d’information d’utilisation sur portables HTC

26 Petite cartographie (XIII) : état des lieux
Panoramas de la cybercriminalité (CLUSIF) (suite) 2012 : attaque stimulateur cardiaque ! SCADA, SCADA, SCADA ! le droit des conflits armés s’applique à la cyber-guerre ; écoles de cyber-guerre, recrutements de soldats-hackers cyber-surveillance attaques ciblées (NASA, 13 fois ; Verisign…) contre-attaques statistiques objectifs variés : sabotage industriel (Stuxnet), destruction de systèmes (Shamoon), vol d’informations classifiées/bancaire/industrielles (Flame, Gauss, Duqu), surveillance… marché du hack (html injection, 60$), marché du DDoS (1h : 5$, 1 mois : 900$), Hack-as-a-Service, plates-formes d’exploits attaques smartphones++ ransonwware Shamoon : cyber-espionnage de compagnies pétrolières et spécialisées dans l’énergie. Flame : espionnage au Moyen-Orient (surtout Iran). Dissémination par LAN ou clef USB.. Duqu : très proche de Stuxnet mais pour la collecte d’informations sur des systèmes SCADA en vue, a priori, de lancer une attaque par un autre moyen. Utilise une 0-day Windows.

27 Petite cartographie (XIV) : état des lieux
Panoramas de la cybercriminalité (CLUSIF) (suite) 2013 : PRiSM APT chinoise : 140 entreprises, vol 6To, 1000 serveurs C&C-13 pays « waterholing » attaques destructives définitives (sabotage – ex : Corée du Sud) ou temporaires (rançon) attaques métier (ex : DAB) (réseau Target : 100+ millions comptes ; perte CA : 1Mds$) vol de comptes (Adobe : 38 millions comptes) attaques Android (passage PC lors synchro) ransomware++ coût cyber-attaques : 300 Mds € bitcoin Target : Données personnelles et bancaires de 110+ millions de clients… qui ont été exploitées (c’est d’ailleurs l’augmentation du taux de fraudes à la carte bancaire touchant des clients de Target qui a alerté les services de l’Etat américains, Target ne s’étant aperçu de rien !) Perte de CA : 1Mds$ ; perte capitalisation boursière : 4,2 Mds $ ; 80 procès et class actions intentés Perte d’image APT : Advanced Persistent Threat

28

29

30

31 Petite cartographie (XV) : état des lieux
Panoramas de la cybercriminalité (CLUSIF) (suite) 2014 : exagérations (Cybervor : 1,2 milliards de mots de passe (non- ?)volés) ! Internet des Objets: 1er «  thingbot » (botnet d’objets connectés) APT SI Sony : 9 mois, 110 To, 75% serveurs touchés, divulgation informations métier secrètes et personnelles (47000 employés), rançon – 8 semaines indisponibilité, 3 class actions en cours, tensions Corée du Nord-Etats-Unis fraude au Président (ex : Michelin) Heartbleed (erreur programmation OpenSSL) – ShellShock (GNU Bash) arrêt de TrueCrypt attaque de systèmes déconnectés (air gaps) (AirHopper (FM), BadBIOS (ultrasons), laser…) APT++ (dont Babar (DGSE – Iran ?)) Cybervor : groupe de hackers russes. TrueCrypt : chiffrement à la volée et chiffrement de disque.

32 Petite cartographie (XVI) : état des lieux
Panoramas de la cybercriminalité (CLUSIF) (suite) 2015 : Objets connectés, automobiles Attaque ATM par la mafia russe (vrai-fausse annulation de retrait) Délits d’initiés via piratage de serveurs d’agences d’information Version compromise de Xcode => millions d’iPhone infectés Exploitation de liaisons satellites par usurpation d’adresses satellite Marché officiel des 0-days : 1 M$ pour une attaque 0-day (offre de Zeodium pour une attaque i0S 9) (1 gagnant) Nouvelle Stratégie Nationale pour la Sécurité du Numérique (octobre 2015) État d’urgence Non-cités par le CLUSIF : Equation Group (NSA) : multiples attaques depuis au moins 2000 (ex : Fanny : vol d’informations grâce à une clef USB infectée) Stagefright : vol de données sur Android ; diffusion par MMS Carbanak/Anunak : attaque moderne de (100+ !) banques (majoritairement russes) ! Phishing des employés de banque, porte dérobée, injection de code, exploitation de failles, remote administration tools, keylogger, captures d’écran ; espionnage, vol de données, accès machines infectées (dont ATM)

33

34

35 Petite cartographie (XVI) : état des lieux
Panoramas de la cybercriminalité (CLUSIF) (suite) 2017 Attaque plateforme Bitcoin Bitfixnex -70M$ en 3h) Attaque 51% sur un petit clone d’Ethereum IoT – smart objects : voitures, drones, ampoules, jouets, pompes à insuline, télévisions et même vibromasseurs ! DDOS géants (DYN DNS : 1,2 Tbits/s, OVH : 1,1 Tbits/s, etc.). Attaques via des objets connectés (ex : caméras connectées). Puissance des DDOS : +216%. Botnet IoT MIRAI Android++ Attaques APT Banques (Bank of Bangladesh, SWIFT) Rançongiciels/Cryptolockers Élections Attaque Bank of Bangladesh : 1- intrusion dans le SI de Bank of Bangladesh 2- vol des identifiants des responsables des opérations SWIFT, permettant de créer, approuver et exécuter des transactions via la FED à New York 3- émission de 35 transactions frauduleuses 4- suppression immédiate de toute trace générée par les hackers à l’aide d’un malware spécifiquement développé + interception des confirmations de transactions et modification du contenu avant impression + effacement des enregistrements des transactions frauduleuses dans la base de données locale

36 Petite cartographie (XVII) : état des lieux
Autres liens intéressants Zeus Tracker, Ransomware Tracker, Feodo Tracker carte CISCO des menaces RIPE Network Coordination Centre MAcAfee Threats Prediction 2017 : cloud (authentification, DDOS...), IoT, cloud-IoT, rançongiciels (marché de $1Mds$), ingénierie sociale et apprentissage automatique 2016 : systèmes de paiement, cloud, objets connectés, automobiles, marché noir des données personnelles, SCADA, cyber-espionnage, attaques bancaires 2015 : espionnage, IoT, privacy, ransomware, attaques sur mobiles 2014 : attaques sur mobiles, monnaies virtuelles, advanced evasion techniques, réseaux sociaux, clouds 2013 : attaques mobile, rootkits, APT, botnet Citadel, html5, botnets, crimeware, hacktivisme 2012 : SCADA/industries, embarqué, hacktivisme, monnaie virtuelle, cyber-guerre, mobile (et banque sur mobile), certificats, DNSSEC, Windows 8, « ransomware » Zeustracker : « ZeuS (aka Zbot / WSNPoem) = crimeware kit (vol de credentials et de données de connexion/authentification). Ransomware tracker : liste des C&C de rançongiciels. Feodo : « Feodo (aka Cridex or Bugat) = cheval de Troie (vol données sensibles (bancaires notamment). RIPE : statistiques sur la connectivité Internet. Citadel : ZeuS-based botnet. DNSSEC : sécurisation des trames DNS de bout en bout. Signature des enregistrements DNS. : - 56,000 ransomware infections in March 2016. - the average ransom demand is now $679. - estimates from the FBI put ransomware on pace to be a $1 billion dollar source of income for cyber criminals this year

37 Sites de veille et d’alerte
Site de l'ANSSI CERT-FR, centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques lien vers l'European Government CERTs Group (EGC) lien vers l'European Network and Information Security Agencies (ENISA) First : Forum for Incident Response and Security Teams CERT Coordination Center (Université de Carnegie-Mellon) Bilans annuels sur les attaques informatiques (CERT-IST)

38 Conclusion Pas tant de finesse que ça : un monde de brutes...
Pas si difficile de parer la plupart des attaques Difficile de parer les attaques (réalisée avec complicité) de l’intérieur (ainsi que les APT-AET) « Plasticité »/Adaptabilité des attaques et nouveaux enjeux Une « industrie » s’est créée Nouvelle composante stratégique Equilibre ouverture/sécurité

Télécharger ppt "Types d’attaques réseaux simples (sur échange C/S)"

Présentations similaires

Types d’attaques réseaux simples (sur échange C/S)

Types d’attaques réseaux simples (sur échange C/S)
Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France.

Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France.
Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France.

Attaques réseaux Lionel Brunie Institut National des Sciences Appliquées Lyon, France.
SRT 2 NTP. Nécessité ● Les ordinateurs utilisent des horloges à quartz – Peu de précision – Tendance à dériver – Parfois plusieurs secondes par jour.

SRT 2 NTP. Nécessité ● Les ordinateurs utilisent des horloges à quartz – Peu de précision – Tendance à dériver – Parfois plusieurs secondes par jour.
Logiciel EDR Antivirus et Antimalware Intelligent, Sûr, Simple.

Logiciel EDR Antivirus et Antimalware Intelligent, Sûr, Simple.
Qui sommes nous? Objectif de l’entreprise ISWN Vison de l’entreprise ISWN Expertise Nos services.

Qui sommes nous? Objectif de l’entreprise ISWN Vison de l’entreprise ISWN Expertise Nos services.
INTERNET (Wan) Réseau local (LAN) Livebox (passerelle) Adresse réseau (IP) Internet 83.256.19.56 La passerelle dispose de 2 adresses réseau: - adresse.

INTERNET (Wan) Réseau local (LAN) Livebox (passerelle) Adresse réseau (IP) Internet La passerelle dispose de 2 adresses réseau: - adresse.
Présentation de Scribe Votre nouvelle organisation du Réseau Informatique Pédagogique.

Présentation de Scribe Votre nouvelle organisation du Réseau Informatique Pédagogique.
SRT3 VPN. ● Réseau privé virtuel (VPN ou Virtual Private Network) ● Rattacher deux réseaux locaux à travers un réseau non- sécurisé ● Procure même sécurité.

SRT3 VPN. ● Réseau privé virtuel (VPN ou Virtual Private Network) ● Rattacher deux réseaux locaux à travers un réseau non- sécurisé ● Procure même sécurité.
Logiciel Assistant Gestion d’Événement Rémi Papillie (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.

Logiciel Assistant Gestion d’Événement Rémi Papillie (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
Scanning. Responsable : Remy FABREGES Objectif : découvrir des failles de sécurité, s’introduire dans la passerelle Outils : nmap, rooktits.

Scanning. Responsable : Remy FABREGES Objectif : découvrir des failles de sécurité, s’introduire dans la passerelle Outils : nmap, rooktits.
ARCHITECTURE RESEAUX.

ARCHITECTURE RESEAUX.
Nouveautés Version 4.1 et 4.2 29 mai 2017.

Nouveautés Version 4.1 et mai 2017.
Cross-Plateform Cours JavaScript

Cross-Plateform Cours JavaScript
MENUS PRINCIPAL RESEAU.

MENUS PRINCIPAL RESEAU.
Brève histoire d’Internet

Brève histoire d’Internet
Les stratégies de sécurisation numérique

Les stratégies de sécurisation numérique
Neo Telecoms Group & Broadservices Fournisseurs de solutions

Neo Telecoms Group & Broadservices Fournisseurs de solutions
Comment garantir la sécurité des accès externes à votre système d’information ? Xavier Hameroux – Directeur Commercial SYSTANCIA.

Comment garantir la sécurité des accès externes à votre système d’information ? Xavier Hameroux – Directeur Commercial SYSTANCIA.
ATS8500 Standalone Downloader.

ATS8500 Standalone Downloader.

Présentations similaires

Annonces Google