(Microsoft PowerPoint - s\351minaire court.ppt) - People
Transcription
(Microsoft PowerPoint - s\351minaire court.ppt) - People
Buts poursuivis Attaques et Menaces sur Internet Comprendre les différents types de menaces présentes dans les réseaux Comprendre comment se protéger efficacement Mieux savoir juger l'impact d'une nouvelle menace. 4 avril 2006 Philippe Oechslin © PhO © PhO Attack Sophistication vs. Intruder Technical Knowledge Contenu © 2002 by Carnegie Mellon University http://www.cert.org/archive/ppt/cyberterror.ppt Attaques E-mail forgés, spam Auto Coordinated Tools Cross site scripting “stealth” / advanced scanning techniques denial of service Staged packet spoofing distributed sniffers attack tools High Virus, vers, chevaux de Troie, backdoors Intruder Knowledge Exploits sweepers Sniffing back doors disabling audits Spoofing (TCP, DNS) Attack Sophistication Vol de session Low © PhO 1980 www attacks automated probes/scans GUI network mgmt. diagnostics hijacking sessions burglaries exploiting known vulnerabilities password cracking self-replicating code password guessing 1985 1990 1995 Intruders 2000 © PhO E-mails forgés SMTP Le protocole utilisé pour la messagerie sur Internet est SMTP (Simple Mail Transfer Protocol (RFC 821, daté 1982) SMTP utilise des connexions TCP sur le port 25 Comme ce protocole n’utilise aucune authentification, il est facile de forger des messages Il connaît quelques simples commandes comme : Avant Noël 2001, un mail émanant apparemment de la BCV recommandait à tous les clients de fermer leur comptes, la banque étant dans une situation plus critique qu'il n'y paraissait HELO (annonce d’un serveur) Mail From: (définition expéditeur) Rcpt To: (définition destinataire) Data: (définition du contenu) Des e-mail forgés sont utilisés pour des attaques de phishing © PhO Exemple © PhO Parcours du message telnet mail1.epfl.ch 25 Trying 128.178.7.12... Connected to mail1.epfl.ch. Escape character is '\^]'. 220 mail1.epfl.ch ESMTP helo lasec.epfl.ch 250 mail1.epfl.ch mail from:[email protected] 250 ok rcpt to:[email protected] 250 ok data 354 go ahead Subject: Surprise! Le message est déposé dans le serveur SMTP Celui-ci va le déposer dans un serveur plus proche de la destination Le système DNS permet de retrouver l’adresse du serveur SMTP responsable pour un domaine (MX records) A destination il va être déposé dans la bal du destinataire have a nice day . 250 ok 994426415 qp 14851 quit 221 mail1.epfl.ch Connection closed by foreign host. Chaque serveur ajoute un en-tête au message © PhO © PhO Spam Exemple E-mail non-sollicité, non-ciblé, à très grand tirage L’adresse source est toujours falsifiée (représailles) Un message est déposé dans une centaine de serveurs SMTP avec une liste de >10k destinations chaque fois Les serveurs abusés envoient consciencieusement une copie à chaque destinataire Lausanne Japon Return-path: <[email protected]> Received: from softbank220021112159.bbtec.net (220.21.112.159) by smtp0.epfl.ch (AngelmatoPhylax SMTP proxy); Sun, 18 Dec 2005 14:05:26 +0100 Received: from bonbon.net (mx2.bonbon.net [38.113.3.65]) by softbank220021112159.bbtec.net (Postfix) with ESMTP id LSSS7I0UWB for <[email protected]>; Sun, 18 Dec 2005 08:07:01 -0500 Date: Sun, 18 Dec 2005 14:28:18 +0000 From: [email protected] Subject: Just try it... To: [email protected] Message-id: <wWcYfY.phpmlr@localhost> Washington <html> <body> <center> <b>The world best products for your private life<br> Most Effective Herbal Sexual Enhancer</b><br><br> as determined by Herbs & Health News independent test!<br><br> © PhO Spam: Dégâts (serveurs) © PhO Spam: protection Les serveurs abusés sont surchargés (souvent plus de 24h) Serveur: Les disques se remplissent de logs et de messages (risque de blocage) Source: La bal de l’admin est inondée de messages d’erreurs (adresses invalides) Contenu: Filtre anti-spam interdire le relais Liste noire de serveurs Mots-clés, format L’ISP peut menacer de couper la ligne Données annexes (temps de transit, nombre de destinataires…) Inclusions dans listes noires Listes noires de spams connus © PhO © PhO Spam: evolution Exemple d'un botnet Botnets evilbot 0.4c se connecte sur IRC et attends des commandes dans le genre de Les hackers utilisent des vers et des virus pour installer des robots sur les machines infectées Les hackers louent des réseaux de zombies à des spammers (5'000 bots x 1 semaine = 350$) !p (send ping) !udp (send upd packets) Les lois deviennent efficaces: !r (report status) PW Marketing a été condamné à $2mio d’amende en Californie Jeremy Jaynes condamné à 9 ans de prison en Virginie voir grc.com/dos Nb: il gagnait 400’000$ par mois avec un taux de retour de 1 sur 30’000 <^b0ss^> !r <xknb> evilbot 0.4c ready for attack... <oep> evilbot 0.4c ready for attack... <kvmadj> evilbot 0.4c ready for attack... <yqvc> evilbot 0.4c ready for attack... <pvnlz> evilbot 0.4c ready for attack... <jizl> evilbot 0.4c ready for attack... <umc> evilbot 0.4c ready for attack... <wzdr> evilbot 0.4c ready for attack... <vqfvmh> evilbot 0.4c ready for attack... <ossqd> evilbot 0.4c ready for attack... <gyc> evilbot 0.4c ready for attack... <lvk> evilbot 0.4c ready for attack... <myv> evilbot 0.4c ready for attack... <rozjh> evilbot 0.4c ready for attack... <usxaw> evilbot 0.4c ready for attack... <vsma> evilbot 0.4c ready for attack... <xheweq> evilbot 0.4c ready for attack... <bgpc> evilbot 0.4c ready for attack... <mntt> evilbot 0.4c ready for attack... <nngp> evilbot 0.4c ready for attack... <mhonm> evilbot 0.4c ready for attack... <fgjc> evilbot 0.4c ready for attack... <gyk> evilbot 0.4c ready for attack... <mkenx> evilbot 0.4c ready for attack... <pnyd> evilbot 0.4c ready for attack... <btkh> evilbot 0.4c ready for attack... <qwbbd> evilbot 0.4c ready for attack... <vst> evilbot 0.4c ready for attack... <griv> evilbot 0.4c ready for attack... <frf> evilbot 0.4c ready for attack... ….. © PhO Virus, Chevaux de Troie, … © PhO Effet des Virus et malwares Perte de données Virus: fragment qui se propage à l’aide d’autres programmes Perte de temps de travail Ver: programme autonome Perte d’image de marque Cheval de Troie: Programme utile qui contient un programme malveillant (ou ce dernier par abus de langage) Backdoor: accès caché à un ordinateur Perte de fonctionnalité (e-mail ou systèmes bloqués) Spyware: logiciel qui transmet des informations privées Intrusion, vol (c.f. Microsoft) Rootkit: logiciel qui masque la présence d'un intrus Perte de confidentialité (cf. SirCam, BadTrans, Bugbear) © PhO © PhO Virus Modernes Bugbear (septembre 2002) Virus qui se propage comme attachement d'e-mails Les virus modernes utilisent Internet pour se propager activement Il peuvent infecter la planète en quelques heures Souvent simples et faciles à détecter Il utilise une faille de MS-IE (outlook, outlook-express) pour s'exécuter automatiquement -> activemail Il se propage automatiquement par e-mail en faisant des forwards ou des reply à des mails qu'il trouve sur son hôte. Il se propage se copiant dans le répertoire démarrage d'autres PCs qui partagent leurs disques -> ver. Efficaces, car ils se propagent plus vite que les anti-virus peuvent être mis à jour Il installe un backdoor sur les machines infectées (transfert de fichiers, exécution de programmes) Il désactive tous les antivirus et firewalls qu'il connaît Active-Mail Message qui s’exécute tout seul lors de la visualisation, sans besoin de cliquer. Ceci est possible grâce à des défauts dans les logiciels de messagerie (p.ex MS-Outlook, MS-IE) Il envoie une copie de tous les mots de passe que vous avez enregistrés à une série de bals sur Internet Il installe un espion de clavier © PhO SQL-Slammer © PhO Conséquences Hors service: Samedi 25 janvier 2003, à 12h: « L'une des plus importantes attaques de pirates est en train de mettre à terre le réseau des réseaux. Depuis ce matin, 10 heures, une attaque de masse d'un ou de plusieurs groupes pirates est en train de mettre à mal le réseau des réseaux. Déjà plusieurs gros serveurs tel que Unet ou encore H.P. sont hors service. »(zataz.com) La majorité des 13'000 bancomats de la BofA Les serveurs d'activation de Microsoft XP 300'000 abonnés a l'Internet par le cable au Portugal (Netcabo) Le système informatique de gestion des urgence de la police et de 14 casernes de pompiers à Seattle les systèmes d'achat de tickets et de check-in électroniques de l'aéroport de Houston (délais et annulations de vols) l'accès Internet de la Corée du Sud les postomats suisses (7 Octobre) © PhO © PhO Analyse Virus spéciaux : Le Canular Il s'agissait d'un ver (dans un paquet UDP de 376 bytes) qui profitait d'un buffer overflow pour infecter des serveurs SQL et leur faire infecter d'autres serveurs Décrit une menace catastrophique Contient aucune référence à des sources d’infos fiables (mais des réf. floues) Le buffer overflow était connu depuis mai 2002 et un patch existait depuis le 24 juillet 2002 Demande à être envoyé à toutes les personnes que vous connaissez Le patch original crée des interférences qui peuvent empêcher le serveur de fonctionner correctement Joke un patch supplémentaire a été publié en Octobre 2002 Un service pack doit être installé avant le patch original pour éviter d'autres problèmes Programme amusant que vous allez envoyer à tous vos amis Publicité virale (idem) © PhO Backdoors © PhO Spyware Programme pour gérer un ordinateur à distance, à l’insu de son utilisateur Les spywares sont installés à l'insu de l'utilisateur (par exmple par un cheval de Troie) Installés par des chevaux de Troie et souvent classifiés comme tels Il modifient le comportement des browsers affichent des pop-ups publicitaires Caractéristiques Taille: plus il est petit, plus il est facile à installer Fonctionnalités: téléchargement d’autres programmes, espionnage réseau, écran, clavier. Mode de communication: Attente sur un port TCP ou UDP prédéfini. Mieux : communication sur un chat IRC © PhO modifient les résultats des recherches modifient les publicités dans affichées dans les pages modifient la page de démarrage de IE envoient des informations à propos de la victime © PhO Rootkit Les Exploits Les rootkits modifient le système d'exploitation pour cacher la présence de fichier, processus ou des clés de registry Sony a distribué un logiciel de DRM qui utilise un rootkit tous les fichiers et les clés qui commencent par $sys$ deviennent invisibles La plupart des logiciels contiennent des défauts Ces défauts peuvent être exploités par des pirates Un « exploit » est la méthode, le script, qui permet d’exploiter le défaut Les plus intéressant sont les exploits de serveurs: Hacker Defender est un rootkit windows open source utilisé par beaucoup de bots Ils peuvent être fait à distance Les serveurs ont souvent des privilèges élevés © PhO Failles techniques © PhO Buffer overflow: Exemple Le serveur web MS-IIS avait un buffer overflow sur les URL en .htr (1999) et en .ida (2001) Classique: le buffer overflow Le ver Code Red (Juillet 2001) a exploité le buffer overflow .ida Si un programme ne vérifie pas la quantité de données qu’il reçoit, il risque d’écraser une zone mémoire qui contient des variables, du code ou des adresses de saut (la pile) http://www.serveur.com/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b 00%u531b%u53ff%u0078%u0000%u00=a SQL avait un buffer overflow (vers sql-slammer) En connaissant bien l’architecture de la machine on peut fournir du code machine qui sera exécuté Windows a souffert d'une longue série de buffer overflows (msblaster, sasser, zotob). XP SP2 et 2003 devraient en être débarassés © PhO © PhO Questions : ? © PhO