Sécurité des systèmes informatiques
Transcription
Sécurité des systèmes informatiques
Plan du chapitre Chapitre 3 Courrier électronique 1 Contrefaçon de courrier électronique 2 Courrier électronique indésirable (spam) 2 1 Une attaque dicile ? Objectifs de l'attaque Problématique : envoi d'un mail en se faisant passer pour un autre utilisateur, depuis une autre machine Objectifs multiples : ns criminelles, harcèlement, diamation, recueil de données condentielles (phishing)... Attaque très facile à mettre en ÷uvre Phishing : contrefaçon de mails redirigeant vers de faux sites web Fonctionnement du protocole SMTP Aucune vérication de l'adresse de l'expéditeur HELO : connexion à un serveur MAIL FROM : expéditeur (annoncé) RCPT TO : destinataire DATA : données à envoyer 4 5 Exemples d'attaque par phishing Exemples d'attaque par phishing 6 Exemples d'attaque par phishing 7 Exemples d'attaque par phishing 8 9 Exemples d'attaque par phishing Exemples d'attaque par phishing From: Silverise <[email protected]> Subject: Faites de l'argent avec votre compte bancaire To: [email protected] Date: Tue, 31 May 2005 06:43:40 -0800 Silverise Corporation Vous rêvez de devenir le manager de la société avec une bonne rémunération ? Nous pouvons vous aider réaliser votre rêve d'avoir un profit sûr, stable et mensuel en travaillant sur Internet! Vous demandez pourquoi vous ? Tout est très simple ! Sans doute vous êtes las des problèmes liés au paiement des factures et du logement, vous voulez que vos enfants aient la possibilité d'étudier dans les écoles prestigieuse ? Ou peut-être vous rêvez depuis longtemps d'une nouvelle voiture ? Rappelez-vous les mots de Pythagore : "Ne vous arrêtez pas sur le résultat obtenu ! Pour obtenir ce travail rien de plus simple, il vous faut d'être résident aux Etats-Unis, Canada, UK, France ou Espagne avoir un ou plusieurs comptes bancaires un ordinateur connecté a l'Internet un peu de temps libre et certainement la volonté de travailler ! Votre travail sera simple et agréable mais l'essentiel - PROFITABLE ! Silverise prendra soin de votre réussite. Inscrivez-vous gratuitement pour ouvrir de nouvelles possibilités du travail sur Internet. Ayez une vie meilleur grâce à Silverise Incorp ! c 2005 www.silverisecorp.com Email: [email protected] Copyright Silverise Corp. All rights reserved. 10 Exemples d'attaque par phishing 11 Exemples d'attaque par phishing 12 13 Exemples d'attaque par phishing Exemple de connexion telnet pour envoyer un mail Repérer ces attaques : mauvaise qualité de la traduction les caractéristiques bancaires sont demandées telnet alt1.gmail-smtp-in.l.google.com 25 Trying 74.125.39.26... Connected to alt1.gmail-smtp-in.l.google.com. Escape character is '^]'. 220 mx.google.com ESMTP r10si14694048bke.34 > 250 ENHANCEDSTATUSCODES EHLO machine.domaine.org > 250-mx.google.com at your service, [<adresse IP>] > 250-SIZE 35882577 > 250-8BITMIME > 250 ENHANCEDSTATUSCODES MAIL FROM: <[email protected]> > 250 2.1.0 OK r10si14694048bke.34 RCPT TO: <[email protected]> > 250 2.1.5 OK r10si14694048bke.34 DATA > 354 Go ahead r10si14694048bke.34 From: Toto <[email protected]> To: Jo <[email protected]> Subject: Coucou Bon comportement ne jamais fournir de renseignements condentiels suite à un courrier électronique, même apparemment ociel consulter l'expéditeur annoncé par téléphone (conseiller nancier) ne pas appeler les numéros donnés (surtaxés) ne pas visiter les sites apparaissant dans les courriers (probablement infestés de virus, spywares, chevaux de Troie) maintenir son antivirus à jour Yo ! . > 250 2.0.0 OK 1319572149 r10si14694048bke.34 QUIT > 221 2.0.0 closing connection r10si14694048bke.34 14 Suivi d'un mail : entêtes d'un courrier 15 Suivi d'un mail : entêtes d'un courrier Autre exemple (mail honnête) : Delivered-To: [email protected] Received: by 10.42.221.130 with SMTP id ic2cs128762icb; Tue, 25 Oct 2011 12:49:17 -0700 (PDT) Received: by 10.204.13.131 with SMTP id c3mr21619559bka.10.1319572149389; Tue, 25 Oct 2011 12:49:09 -0700 (PDT) Return-Path: <[email protected]> Received: from machine.domaine.org (<ici son adresse IP>) by mx.google.com with ESMTPS id r10si14694048bke.34.2011.10.25.12.48.28 (version=TLSv1/SSLv3 cipher=OTHER); Tue, 25 Oct 2011 12:49:09 -0700 (PDT) Received-SPF: neutral (google.com: <adresse IP> is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=<adresse IP>; Authentication-Results: mx.google.com; spf=neutral (google.com: <adresse IP> is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Date: Tue, 25 Oct 2011 12:49:09 -0700 (PDT) Message-Id: <[email protected]> From: Toto <[email protected]> To: Jo <[email protected]> Subject: Coucou Received: from nef2.ens.fr (nef2 [129.199.96.40]) by di.ens.fr (8.13.6/jb-1.1) id p9KEaC58031287 for <[email protected]>; Thu, 20 Oct 2011 16:36:12 +0200 Return-Path: <[email protected]> Received: from indom110.indomco.com (indom110.indomco.com [217.174.210.102]) by nef2.ens.fr (8.13.6/1.01.28121999) with ESMTP id p9KEaAbL039188 for <[email protected]>; Thu, 20 Oct 2011 16:36:11 +0200 (CEST) X-Envelope-To: <[email protected]> Received: by indom110.indomco.com (Postfix, from userid 33) id 2E47D8C031; Thu, 20 Oct 2011 16:36:10 +0200 (CEST) To: [email protected] Subject: [Claroline - 000000ISEC] Message from your lecturer X-PHP-Script: www.eejsi.org/M2/claroline195/claroline/messaging/messagescourse.php for 82.67.193.101 Date: Thu, 20 Oct 2011 16:36:10 +0200 From: =?iso-8859-1?Q?Chevalier_C=E9line?= <[email protected]> Message-ID: <[email protected]> Yo ! Lignes Received : adresse IP de chaque serveur ayant relayé le mail −→ possibilité de traçage d'un mail de son expéditeur à son destinataire (si conservation des dates de connexion des utilisateurs...) 16 17 Dénition d'un spam Premier spam ? Exploitation du fait que les mails puissent être envoyés avec de fausses adresses d'expéditeur −→ courriers non ciblés et non sollicités Dénition précise d'un spam subjective : Gary Thuerk : employé chez DEC, en 1978 courrier publicitaire à l'ensemble des utilisateurs d'ARPAnet (quelques centaines de personnes) Laurence Canter et Martha Siegel : avocates spécialisées dans les aaires d'immigration, en 1994 publicité de leur service concernant l'obtention de la green card à 6000 groupes de discussion eet : 25000 demandes de renseignement et plus de 100000 dollars plusieurs condamnations et Canter radié du barreau en 1997 Constituent des spam les messages adressés sur la base d'une collecte irrégulière de mèl, soit au moyen de moteurs de recherche dans les espaces publics de l'Internet, soit que les adresses aient été cédées sans que les personnes en aient été informées et sans qu'elles aient été en mesure de s'y opposer ou d'y consentir. Commission informatique et libertés, France Stanford Wallace : premier auteur de spam à avoir utilisé son propre accès à Internet, milieu des années 1990 plusieurs condamnations, dont 230 millions de dollars à MySpace Adresses collectées de manière déloyale ; envoi ne respectant pas les modalités d'utilisation précisées lors de la collecte ; courrier ne permettant pas une désinscription sélective ou totale. Syndicat national de la communication directe, France 20 19 Exemples de spam Exemples de spam Date: Thu, 7 Jun 2029 00:47:06 +0000 From: Lane George <[email protected]> Subject: For Contact Parts/Attachments: 1 OK 37 lines Text (charset: Windows-1252) 2 Shown ~78 lines Text (charset: Windows-1252) ---------------------------------------- Date: Sun, 7 Aug 2011 08:41:02 -0430 (VET) From: mike bello <[email protected]> Reply-To: [email protected] To: [email protected] Subject: VERY UNGENT REPLy [ The following text is in the "UTF-8" character set. ] [ Your display is set for the "ISO-8859-1" character set. [ Some characters may be displayed incorrectly. ] Downloadable Software (DS) is a rapidly growing company providing high quality software. You've come to the right place if you need professionally implemented programming solutions for all kinds of usage. Thousands of satisfied customers have already benefited from our products and solutions. Hundreds are joining this community every day. We deliver superior soft and services that empower our partners and customers to dramatically improve their development, deployment, integration and management of quality applications worldwide. ] Hello Dear, VIEW ALL PRODUCTS I have trying to get you since for your Cheque Draft.but the manager of Eko Bank Benin told me that before the check will get to you that it will expire.So i told him to cash $1.6, Millions dollars all the necessary arrangement of delivering the $1.6, Millions dollars in cash was made with FEDEX EXPRESS COURIER COMPANY. This is the information they need to delivery your package to you. ATTN: Edward John (Director) Most popular OEM products: EMAIL:( [email protected]) Microsoft Windows Vista Business Retail Price $299.00 Our $79.95 Contact phone number +229_99_375_413 Please, Send them your contacts information to able them locate you immediately they arrived in your country with your BOX .This is what they need from you. 1.YOUR FULL NAME............ 2.YOUR COUNTRY........... 3.YOUR HOME ADDRESS.............. [...] Microsoft Office 2007 Enterprise Retail Price $899.00 Our $79.95 [...] 21 22 Exemples de spam Diusion des spams Spam = nuisance Spam 6= risque en termes de sécurité Date: Thu, 14 Jul 2011 11:30:57 -0400 From: Mrs Stella Armando <[email protected]> Reply-To: [email protected] To: undisclosed-recipients:;undisclosed-recipients:;undisclosed-recipients:; ens.fr; Subject: Re: Bonjour Cher Ami Risque de sécurité : modes de diusion Premier mode : relais ouverts [ The following text is in the "ks_c_5601-1987" character set. ] [ Your display is set for the "ISO-8859-1" character set. ] [ Some characters may be displayed incorrectly. ] Conséquences sur les serveurs utilisés comme relais ouverts : serveur surchargé par cette tâche d'envoi disque dur rempli, paralysie du serveur boîte aux lettres de l'administrateur inondée menaces de coupure du service par le FAI risque de placement sur liste noire Bonjour Ami Mon nom est Madame Stella Armando de l'Argentine l'épouse de M. Carlos Armando tard, l'un des conseillers financiers du président Mouammar Kadhafi, président de l'huile enrichi pays appelé la Libye et le président le plus riche du monde, S'il vous plaît je vous écris de la Libye. S'il vous plaît dans les nouvelles que vous pouvez entendre ou voir ce qui se passe sur l'insurrection dans le pays la Libye sur les citoyens pour éliminer le président, le président Mouammar Kadhafi. S'il vous plaît, vous pouvez vérifier dans les nouvelles de l'insurrection en Libye. Mon mari était l'un des conseillers financiers du président et en raison du problème en Libye, il a été tué il ya trois mois, j'ai été dans la clandestinité ici en raison des problèmes et des tueries qui ont fait de moi de vous contacter pour aider la Libye me garantir de grosses sommes d'argent qui se chiffre en millions de dollars américains, dont le président Mouammar Kadhafi a déposé au nom de mon défunt mari dans une entreprise de sécurité. [...] 24 23 Éviter la transformation d'un serveur en relais ouvert Spambots ou botnets Conguration respectant deux règles : pour qu'un message soit accepté par le serveur de courrier, l'adresse de l'expéditeur ou du destinataire doit appartenir au même domaine que le serveur ; seuls les systèmes appartenant au même domaine que le serveur peuvent envoyer du courrier avec un expéditeur faisant partie du domaine. Robot : machine compromise obéissant aux ordres d'un maître et chargée de la diusion du spam Causes de la compromission de la machine : virus ou failles de sécurité Qu'est-ce qu'un robot ? relais SMTP ouvert à tous plus élaboré : connexion à un serveur de discussion 25 26 Messageries gratuites en ligne Lutte contre le spam : ltrage Limitation des messages envoyés −→ au niveau du serveur de courrier ou de la machine du destinataire mots-clef paramètres de l'entête du courrier (temps de transit...) critères sur le formatage du message (titre en majuscules...) ouverture automatique de milliers de nouveaux comptes Protection : utilisation de captchas Exemple : Spamassassin, plusieurs centaines de règles Poids : pour chacune, positif (spam probable) ou négatif (légitime) Score : somme des poids Seuil : marquage comme spam et traitement spécique Existence de faux positifs ou négatifs, apprentissage 27 Exemples de spam (rappel) 28 Exemple d'analyse par Spamassassin Date: Thu, 14 Jul 2011 11:30:57 -0400 From: Mrs Stella Armando <[email protected]> Reply-To: [email protected] To: undisclosed-recipients:;undisclosed-recipients:;undisclosed-recipients:; ens.fr; Subject: Re: Bonjour Cher Ami [ The following text is in the "ks_c_5601-1987" character set. ] [ Your display is set for the "ISO-8859-1" character set. ] [ Some characters may be displayed incorrectly. ] Bonjour Ami Mon nom est Madame Stella Armando de l'Argentine l'épouse de M. Carlos Armando tard, l'un des conseillers financiers du président Mouammar Kadhafi, président de l'huile enrichi pays appelé la Libye et le président le plus riche du monde, S'il vous plaît je vous écris de la Libye. S'il vous plaît dans les nouvelles que vous pouvez entendre ou voir ce qui se passe sur l'insurrection dans le pays la Libye sur les citoyens pour éliminer le président, le président Mouammar Kadhafi. S'il vous plaît, vous pouvez vérifier dans les nouvelles de l'insurrection en Libye. Mon mari était l'un des conseillers financiers du président et en raison du problème en Libye, il a été tué il ya trois mois, j'ai été dans la clandestinité ici en raison des problèmes et des tueries qui ont fait de moi de vous contacter pour aider la Libye me garantir de grosses sommes d'argent qui se chiffre en millions de dollars américains, dont le président Mouammar Kadhafi a déposé au nom de mon défunt mari dans une entreprise de sécurité. [...] 29 X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on di.ens.fr X-Spam-Flag: YES X-Spam-Level: ******************* X-Spam-Status: Yes, score=19.3 required=5.0 tests=FAKE_REPLY_C, FORGED_MUA_OUTLOOK,FREEMAIL_FROM,FREEMAIL_REPLYTO, FREEMAIL_REPLYTO_END_DIGIT, FROM_MISSP_FREEMAIL,FROM_MISSP_MSFT,MSOE_MID_WRONG_CASE, NSL_RCVD_FROM_USER, RCVD_IN_PSBL,RCVD_IN_RP_RNBL,T_FROM_MISSPACED,T_HK_NAME_FM_MR_MRS, T_TO_NO_BRKTS_FREEMAIL autolearn=disabled version=3.3.1 X-Spam-Report: * 0.3 NSL_RCVD_FROM_USER Received from User * 0.0 T_FROM_MISSPACED From: missing whitespace * 0.0 FREEMAIL_FROM Sender email is freemail * (mrsstellaarmando[at]rediffmail.com) * 1.0 FREEMAIL_REPLYTO_END_DIGIT Reply-To freemail username ends in digit * (<mrsamylou2010[at]hotmail.com> ) * 1.3 RCVD_IN_RP_RNBL RBL: Relay in RNBL, * https://senderscore.org/blacklistlookup/ * [201.64.178.178 listed in bl.score.senderscore.com] * 2.7 RCVD_IN_PSBL RBL: Received via a relay in PSBL * [201.64.178.178 listed in psbl.surriel.com] * 1.6 FROM_MISSP_MSFT From misspaced + supposed Microsoft tool * 0.0 T_HK_NAME_FM_MR_MRS T_HK_NAME_FM_MR_MRS * 3.4 MSOE_MID_WRONG_CASE MSOE_MID_WRONG_CASE * 0.0 FAKE_REPLY_C FAKE_REPLY_C * 2.8 FREEMAIL_REPLYTO Reply-To/From or Reply-To/body contain different * freemails * 0.0 T_TO_NO_BRKTS_FREEMAIL T_TO_NO_BRKTS_FREEMAIL * 3.5 FROM_MISSP_FREEMAIL From misspaced + freemail provider * 2.8 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook 30 Lutte contre le spam : signatures de spam Lutte contre le spam : utilisation de listes noires ou blanches Un spam est envoyé en masse, pendant plusieurs mois, avec peu de variations Liste noire : adresses IP connues pour envoyer du spam Exemple : Spamhaus Project Mutualisation des eorts de chacun : bases de signatures gérées sur des serveurs centralisés * 3.6 RCVD_IN_PBL RBL: Received via a relay in Spamhaus PBL * [<adresse IP> listed in zen.spamhaus.org] Vérication des courriers reçus Mise à jour par collaboration des utilisateurs ou collecte de spam sur des adresses spéciques Liste blanche : adresses IP d'expéditeurs de conance Méthode à utiliser en complément d'autres méthodes 31 Lutte contre le spam : utilisation de listes grises (greylisting) 32 Exemple de greylisting Idée : bloquer les messages d'un expéditeur qui envoie un courrier pour la première fois sur le serveur considéré Transmission d'un mail de [email protected] à [email protected] (qui pratique le greylisting) : Plusieurs étapes : stocker le triplet (adresse IP du serveur SMTP émetteur, adresse électronique de l'expéditeur, adresse électronique du destinaire) ; jeter le courrier ; à la réémission, comparer les triplets et accepter le cas échéant ; accepter tous les messages suivants (même triplet). Oct 26 22:37:26 mailsystem postfix/qmgr[9444]: 3A9FF53EBF: from=<[email protected]>, size=2415, nrcpt=1 (queue active) Oct 26 22:37:27 mailsystem postfix/smtp[8523]: 3A9FF53EBF: to=<[email protected]>, relay=mx.domaine.org[IP du serveur]:25, delay=462, delays=461/0.02/1.3/0.26, dsn=4.7.1, status=deferred (host mx.domaine.org[IP du serveur] said: 451 4.7.1 Greylisting in action, please come back later (in reply to RCPT TO command)) Principe : seuls les serveurs honnêtes vont réexpédier le message Problème : plusieurs serveurs SMTP −→ relâcher les contraintes sur les triplets Erreur temporaire : 451 (de la forme 4XX) (Erreur permanente : de la forme 5XX) 33 34 Exemple de greylisting Autres solutions : modication du protocole SMTP Le serveur Postx garde le message et réessaye plus tard. Première idée : associer un coût symbolique à chaque envoi de messages (charge de calcul) Oct 26 22:47:26 mailsystem postfix/qmgr[9444]: 3A9FF53EBF: from=<[email protected]>, size=2415, nrcpt=1 (queue active) Oct 26 22:47:27 mailsystem postfix/smtp[8714]: 3A9FF53EBF: to=<[email protected]>, relay=mx.domaine.org[IP du serveur]:25, delay=1062, delays=1061/0/1.2/0.46, dsn=2.0.0, status=sent (250 2.0.0 p9QMlQZY050408 Message accepted for delivery) Oct 26 22:47:27 mailsystem postfix/qmgr[9444]: 3A9FF53EBF: removed Deuxième idée : implémenter un mécanisme pour s'assurer que l'adresse de l'expéditeur appartienne au domaine du serveur Inconvénients : techniques rarement adoptées donc impossibilités de s'y conformer + pénalise surtout les botnets et relais ouverts −→ se tourner vers la répression, nouvelles législations Le destinataire est prévenu dans les entêtes du mail : X-Greylist: Delayed for 00:17:41 by milter-greylist-3.1.4 (mx.domaine.org[IP du serveur]); Thu, 27 Oct 2011 00:47:27 +0200 (CEST) 35 Modèles économiques du spam Objectif de Canter et Siegel en 1990 : faire connaître leur activité Modèle plus complexe aujourd'hui. Trois types de bénéciaires : la collecte et vente d'adresses électroniques (a priori pas illégal) Exemple : la société Bulk Email Superstore vend 1 million d'adresses pour 30 euros l'envoi de spams : location de serveurs ou services Exemple : quelques centaines d'euros par semaine pour un réseau de botnets modeste l'utilisation de spam pour diuser une information : prot direct (ventes en ligne, publicité, collecte d'adresses, rétribution au clic...) 37 36