Intrusions et gestion d’incidents informatique - cusin.cacusin.ca/wp-content/uploads/2011/11/Intrusions-et-gestion-d... · Quelques cas (suite) ... 2006 - 2008 Opération Basique

© 2011 Michel Cusin 1

Intrusions et gestion d’incidents informatique


Agenda

•  État de situation •  Qui sont nos adversaires •  Les types d’attaques et leurs cibles •  Les étapes d’une attaque •  Parce qu’un “hack” vaut 1000 mots… Des démos !!! •  Comment (tenter) de se protéger


État de situation


Quelques cas Quand Cible Qui Quoi

2010 (+) Wikileaks Operation: Payback

Mastercard, Visa Amazon, PayPal

Anonymous DDoS - Services non disponibles

Février 2011 HBGary Anonymous Vol et Publication d’info confidentielle

Mars 2011 RSA Inconnu APT - Vol des “Seeds” SecurID

Mars 2011 Comodo Iranien de 21 ans Vol de certificats numériques

2011 (+) Sony (+) Multiple #opsony, PSN Down, vol d’information

Mai 2011 Lockheed Martin Espionnage Réplication des clés SecurID, vol

Mai 2011 L-3 Communications Espionnage “tentative” de vol d’information

Juin 2011 Northrop Grumman ? Incident en lien avec les clés SecurID

Juin 2011

Google (Gmail)

Chine Vol de mot de passe, interception de courriels

Juin 2011 Citigroup ? Vol d’information de clients


Quelques cas (suite)

Quand Cible Qui Quoi

Juin 2011 Sénat américain LulzSec Publication de la structure du site Web

Juin 2011 Police nationale espagnole Anonymous Site Web temporairement inaccessible

Juin 2011 CIA LulzSec Site Web temporairement inaccessible

Juin (+) OTAN Anonymous ? Vol de 1GB d’info

2011 (+) PBS.org Warv0x Site Web défiguré, admin uname/passwd volés/exposés

Juillet 2011 Apple Antisec Admin uname/passwd volés/exposés

2011 (+) Fox ? Fox annonce la mort du président Obama via Twitter

Août 2011 72 organisations publiques et privées dans 14 pays

Chine? McAfee Operation Shady RAT: Vol de secrets gouv, info corpo sensible, propriété intélectuelle

Août 2011 RIM (BlackBerry) Team Poison Blogue attaqué / émeutes à Londres

Source: CNET Hacker Chart


Plus près de chez nous

Quand Cible Qui Quoi

Février 2007 RTSS ? Ver, botnet

2006 - 2008 Opération Basique 19 Québécois Botnet

Février 2011 Gouvernement canadien Chine Contrôle de systèmes clés du ministère des Finances et du Conseil du trésor.

Juillet 2011 Canada, USA, France, Russie, Émirats Arabes

Unis

Joseph Mercier Botnet opéré à partir de Laval


Anonymous


LulzSec


th3j35t3r (The Jester)


Commander X

According to a CBS News report, "Commander X" told their reporter that he had no fear about being caught: "We're not going to turn ourselves in. They can come and get us is what I say. Bring it on. Until then, we run... We will remain free and at liberty and at large for as long as we can, and when the time comes that each and every one of us eventually will be brought to justice, we will hold our head high in any court of law and we will defend our actions." Doyon is scheduled to appear on September 29th for a bail hearing.


Stuxnet

•  Ver ciblant Windows (4 attaques dont 3 zero-day & MS08-067)

•  Attaque très spécifique:

•  Windows •  Step 7 (Logiciel de contrôle SCADA – Human-Machine Interface) Seimens

•  PLC (Programmable Logic Controler) - Monitor la vitesse des moteurs (entre 807 Hz & 1210 Hz) normalement rattachés à certaines pompes et centrifugeuses

•  Modifie périodiquement la vitesse des moteurs de la centrifuge,

causant des dommages. •  Cyber arme industrielle possiblement déployée par Israël visant a

déstabiliser le programme nucléaire Iranien

•  Et alors?


Récapitulons (ne capitulons pas)

Nous ne faisons pas face à des individus, mais à un mouvement qui n’obéit qu’à ses propres règles. Nous devons penser et agir en fonction de cette réalité. Il ne suffit plus de se protéger, en tentant de bloquer l’ennemi. Il faut savoir le traquer, le trouver et l’expulser. Afin de nous défendre, nous devons savoir qui ils sont et comment ils procèdent. Nous devons apprendre à mieux les connaitre et à savoir comment ils pensent.


Sun Tzu

Je dis que si tu te connais toi-même et que tu connais ton ennemi, tu n’auras pas à craindre le résultat de cent batailles. Si tu te connais toi-même sans connaître ton ennemi tes chances de victoires et de défaites seront égales. Si tu ne connais ni ton ennemi ni toi-même, tu perdras toutes les batailles. –Sun Tzu, l’art de la guerre


Qui sont les attaquants

•  Script Kiddies

•  Pirates professionnels / mercenaires (espions/compétiteurs) - PotashCorp - En 2010, elle répond à 30 % de la demande mondiale de potasse - OPA de BHP Billiton de 40 G$ •  Terroristes / Crime organisé (Ex.:RBN ~60% du SPAM mondial)

•  Employés (volontairement ou à leur insu) – Parfois les plus dangereux


Motivations

•  Argent (espionnage, avantage concurrentiel, mercenaire, etc…)

•  Notoriété, gloire, réputation, etc…

•  Politique / Activisme

•  Parce que je peux… (opportunisme, apprentissage/découverte)

•  Terrorisme (attaques et financement) •  Militaires


Les types d’attaques

•  Server-side Attacks (de l’externe) •  Client-side Attacks (de l’interne) •  Ingénierie Sociale (les gens)

•  Sans-fil (interne et externe) •  Médias amovibles (Clés USB et autres)


Cibles d’attaques

•  Postes de travail (OS, applications, physique) •  Serveurs (DHCP, DNS, DC, fichiers, courriels, auth, Web, BD, etc…) •  Équipements réseau (routeur, commutateur, concentrateur?) •  Téléphonie IP •  Sans-fil (Wi-Fi – 802.1X), Mobilité, Bluetooth


Étapes d’une attaque

•  Reconnaissance (ramasser de l’information)

•  Scanning (découvrir les failles)

•  Attaque (exploiter les failles et vulnérabilités)

•  Garder un accès (backdoor, porte dérobée, Rootkit)

•  Effacer les traces (effacer/modifier les logs)


Reconnaissance

•  Site Web de la “cible”: •  Mission •  Postes disponibles •  Communiqués de presse •  Adresses courriel •  Et plus…

•  Adresses IP et autres informations •  American Registry for Internet Numbers (ARIN) •  Whois (Qui) •  Nslookup (Quoi) •  www.centralops.net, Sam Spade


Reconnaissance (2)

•  Google: •  Requêtes (intitile, inurl, type, link, etc...) •  Google Hacking DataBase (GHDB) – Johnny Long •  Google Maps, Street View, Picassa, Cache, Groups, Blog

•  Réseaux sociaux (Facebook, Twitter, LinkedIn) •  (CeWL) -> Liste de mots (uname/passwd)

•  www.123people.ca, www.pipl.com •  www.archives.org (Wayback machine)


Reconnaissance (3)

•  Outils •  CeWL •  BiDiBLAH •  BiLE •  Gpscan (Profils Google) •  Gloodin •  Lazy Champ •  Sam Spade •  Foca (Metadata) •  Maltego* •  Etc…



Scanning

•  Balayage de ports •  Nmap* •  Découverte des ports ouverts (0 à 65535 - TCP & UDP) •  Différents types de scans (connect, syn, etc…)

•  « OS Fingerprinting » - Déterminer la version du OS •  actif: Nmap, Xprobe •  Passif: p0f

•  Balayage de vulnérabilités •  Nessus*, OpenVAS •  Découverte des vulnérabilités dans le bût de les exploiter


BackTack


Metasploit

Le “framework” Metasploit est un outil pour le développement et l'exécution d'exploits contre une machine distante.

Exploit 1 Payload 1

Exploit 2 Payload 1 Stager Launcher Vers la cible

Interface Utilisateur

Choix Exploit 2

Exploit N

Payload 2

Payload N


•  Metasploit* •  Creation et encodage d’un “payload” malicieux (Meterpreter) •  Serveur écoutant les requêtes entrantes des victimes

•  Meterpreter* (backdoor résident en mémoire injecté dans un dll) •  Donne un plein accès au poste de la victime •  Communications cryptées •  Lister contenue du poste, les ps, Hashdump, pivot, etc… •  “Shell is just the beginning…”

Metasploit / Meterpreter


Social-Engineer Toolkit (SET)

!

1) Spear-Phishing Attack Vectors 2) Website Attack Vectors 3) Infectious Media Generator 4) Create a Payload and Listener 5) Mass Mailer Attack 6) Arduino-Based Attack Vector 7) SMS Spoofing Attack Vector 8) Wireless Access Point Attack Vector 9) Third Party Modules


Attaques de mots de passe

•  Guessing: THC Hydra, Medusa; •  Cracking: John the Ripper (JtR), Rainbow Tables; (LANMAN, NTLM, MD5, SHA-1, Salt) •  Sniffing: Cain, tcpdump, Wireshark; •  Pass-the-Hash (PtH): Metasploit, Pass the Hash Toolkit;


Attaques de réseaux sans fil

•  Simple à sniffer (Netstumbler, Wireshark, Kismet, etc…) •  Filtrer par adresses MAC et cacher le SSID = inutile ! •  WEP, WPA, WPA2 -> Tous “crackables”

•  Faiblesse au niveau des initialization vector (IV) •  Une authentification robuste est nécessaire

• PEAP (Protected Extensible Authentication Protocol)

•  Lorsque bien implanté, un réseau WiFi peut-être aussi sécuritaire ou même plus qu’un réseau filaire.


Attaques de réseaux sans fil •  Aircrack-ng

•  Crack: WEP, WPA, WPA2 -> Preshared Key (PSK) •  Airpwn (Sniff le trafic WiFi)

•  Injecte du “faux” trafic (HTTP) - “Race condition” •  AirJack (MITM)

•  Désauthentifie, sniff, devient un AP, MITM

•  Karma (deviens tout ce que vous demandez) •  DHCP, DNS, HTTP, FTP, POP3, SMB

•  Karmetaploit (Karma + Metasploit)

•  PwnPlug


PwnPlug: Hardware

•  CPU (1.2 GHz) •  RAM (512 MB SDRAM) •  HDD Flash (512 MB) •  Prise(s) réseau Ethernet •  Port USB 2.0 •  Expension SDHC (flash)


PwnPlug: Software

•  Système d’exploitation: Linux

•  Outils:

•  Metasploit •  Ignuma & Fast-Track •  Nikto •  Dsniff •  Ettercap •  SSLstrip •  Nmap •  Nbtscan •  Netcat

•  SET (Social Engineer Toolkit) •  JTR (John the Ripper) •  Medusa •  Scapy •  Kismet •  Karma •  Karmetasploit •  Aircrack-NG •  WEPbuster


Réseau sans fil “sécurisé” Réseau local (filaire)

Point d’accès sans-fil

Serveur d’authentification

Poste (sans-fil)

Assistant personnel (iPhone, Blackberry, etc..)

Chiffrement & authentification (WPA2 - PEAP)


Réseau sans fil “non sécurisé”

Point d’accès sans-fil non sécurisé


Attaques de sites Web

•  Cross-Site Scripting (XSS) •  Cross-Site Request Forgery (XSRF)

•  Command Injection •  DDoS

•  Injection SQL: sqlmap*


Garder un accès

Backdoors (Poison Ivy) Rootkits: (Applicatif & Kernel)


Garder un accès

•  Telnet, SSH, netcat •  Désactiver ou reconfigurer le coupe-feu de Windows: (C:\netsh firewall set opmode=disable)

•  VNC, Remote Desktop

•  Partage SMB (\\X.X.X.X\C$)


Effacer les traces


La sécurité au quotidien

•  Restez informé de ce qui se passe

•  Les FW, IDS, antivirus ainsi que la gouvernance c’est bien, mais… Il y a plus!

•  Connaissez et maitrisez votre environnement

•  La sécurité ne s’achète pas, elle se construit.

•  Connaissez ce que vous ne connaissez pas: Ce qu’on ne sait pas FAIT mal !


Honeypot (Honeynet)

•  Un honeypot, ou “pot de miel”, est un ordinateur ou un programme volontairement vulnérable destiné à attirer et à piéger les hackers.

http://www.honeynet.org/

Surveillance Collecte d'information Analyse d'information

Faible interaction Haute interaction

•  Un honeynet est un réseau de honeypots.


Analyse de vulnérabilité vs Test d’intrusion

•  Reconnaissance (ramasser de l’information) •  Scanning (découvrir les failles)

•  Attaque (exploiter les failles et vulnérabilités)

•  Rapports, explications, solutions

AV

Pentest

AV Pentest

Pentest


Professionnel de la sécurité vs Pirate

•  Planification: •  Type de test et contexte •  Portée (quoi) •  Règles d’engagement (comment)

•  Tests: •  Les facteurs temps, portée et règles d’engagement •  La méthodologie •  Maintiens de la stabilité de la cible •  Outils

•  Rapports: •  Exécutif, technique •  Explications, solutions, personnalisation


Préparation

Identification

Contenir

Éradication

Rétablissement

Leçons apprises

La gestion des incidents en 6 étapes


Conclusion

•  La menace est bien réelle et elle est là pour rester!

•  Une grenouille ne peut avaler un bœuf! Il faut y aller par petites bouchées.

•  Testez votre sécurité avant que quelqu’un ne le fasse à votre place…

•  Soyez prêt à gérer les incidents AVANT qu’ils ne surviennent.

•  Pensez différemment, sortez des paradigmes.

•  La sécurité est un mode de vie, qui se vie au quotidien

•  Nous ne devrions pas combattre les pirates, mais plutôt l'ignorance. Le reste viendra avec…


En terminant…

http://cusin.ca ou [email protected]

Documents

Intrusions et gestion d’incidents informatique - cusin.cacusin.ca/wp-content/uploads/2011/11/Intrusions-et-gestion-d... · Quelques cas (suite) ... 2006 - 2008 Opération Basique