Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Vulnrabilit
faiblesse / faille : faute accidentelle ou intentionnelle introduite dans spcification, conception ou configuration du systme Attaque Action malveillante qui tente dexploiter une faiblesse dans le systme et de violer un ou plusieurs besoins de scurit
"
&
Intrusion faute oprationnelle, externe, intentionnellement nuisible, rsultant de lexploitation dune vulnrabilit dans le systme
!
06/12/07
'
06/12/07
Dfinitions :
Dfinitions :
DoS / DDoS : dni de service
attaque d'un serveur destine l'empcher de remplir sa fonction. mthode classique : faire crouler le serveur sous une masse de requtes gnralement mal formes dessein pour entraner une rponse anormale et paralysante. L'attaque utilise trs souvent une multitude de PC zombies travaillant de concert, infects par des backdoors/chevaux de Troie et mobilisables distance par un pirate. Il est aussi possible de bloquer distance des routeurs en tirant parti de failles de leur software.
06/12/07
06/12/07
Plan chapitre 0
1. Carte puces
Le client insre sa carte bancaire dans la fente et tape son NIP. L'cran demande le montant du retrait. Le client tape le montant du retrait et confirme. Le guichet cre une transaction et l'envoie au serveur transactionnel. Le serveur vrifie l'authenticit de la transaction et la relaie aux services financiers. La transaction est confirme. Le guichet demande au client de retirer sa carte bancaire. Le guichet remet l'argent au client et imprime un relev de transaction.
6
Services financiers
Client
06/12/07 Anas Abou El Kalam - Etude des attaques 5 06/12/07 Anas Abou El Kalam - Etude des attaques
1. Fraude au distributeur
1. Fraude au distributeur
La fraude aux cartes peut soprer au niveau technologique : fausse goulotte pour lire la piste magntique, camra pour enregistrer la composition du code
06/12/07
06/12/07
1. Fraude au distributeur
Quelques rfrences AFP 17/02/03 Nmes AFP 09/04/03 Nice AFP 19/12/03 Meaux Source panorama clusif 2003 El Kalam - Etude des attaques 06/12/07 Anas Abou
-Les DAB/GAB requirent une demande dautorisation en ligne. - Les TPE chez les commerants ncessiteraient la contre-faon visuelle de la carte ou une collusion.
06/12/07 Anas Abou El Kalam - Etude des attaques
06/12/07
15
06/12/07
16
Ecoute passive
Etats trangers Espionnage conomique Terrorisme politique et religieux crime organis Hackers Utilisateurs Politiques Militaire Economique (industrielle, financire, commerciale) Scientifique
06/12/07 Anas Abou El Kalam - Etude des attaques 17
- lattaquant se contente daccder sans modification aux informations gnres (e.g., sur un DD), transmises (sur canal de communication, e.g., MdP). => sniffing, scanning, eavesdropping, wire tapping
. Interception
- lattaquant modifie des informations transmises ou injecte des informations => rejeu, insertion, substitution, destruction, TCP hijacking
. Dguisement
- lattaquant tente de se faire passer pour quelquun dautre =>IP spoofing, web page defacing, Fishing
ryptanalyse
- obtenir des informations secrtes partir dinformations publiques => partir dun message chiffr, retrouver le message en clair, retrouver la cl
06/12/07
18
Dni de service
- lattaquant vise empcher sa victime de continuer dlivrer le service (attaque de la dispo..) => spamming, flooding, smurfing
Bombe logique
sont aussi nfastes que les virus ou les vers et sont la cause de dgats similaires. La diffrence est que la bombe logique a besoin d'un dtonateur pour s'activer, C'est donc une fonction dvastatrice (partie de programme qui reste dormante) dclenche retardement ou par certaines conditions / date prcise (vendredi 13) prsence de certains utilisateurs, certains logiciels ou matriels aprs un certain nombre dactivations => destruction dinfos stockes : donnes, progs, infos de scurit (ex: par formatage DD) => diffusion de fausses informations de diagnostic => dgts matriels : usure anormale de priphriques, destruction dcrans, de disquettes, dimprimantes, etc.
06/12/07 Anas Abou El Kalam - Etude des attaques 19
Protection ?
MAC & Checksums & Signatures Veille : CERT, BugTraq, ... tlcharger ses applications sur le site du distributeur ou du programmeur. Utiliser des serveurs de tlchargement non lis l'auteur de l'application peut se 06/12/07 Anas Abou El Kalam - Etude des attaques 21 rlver dangereux.
Protection ?
Antivirus MAC & Signatures Veille : CERT, BugTraq, ... Ne pas faire confiance aux prog non srs, Macros, ... 06/12/07 Anas Abou El Kalam - Etude des attaques ...
22
Classification attaques :
Spyware contraction de spy et software. Logiciel espion qui collecte des donnes personnelles avant de les envoyer un tiers, e.g., Keylogger : transmettre les donnes saisies au clavier Spamming 'usage abusif d'un systme messagerie destin exposer dlibrment (et de manire rpte) les utilisateurs des contenus non pertinents et non sollicits
06/12/07 Anas Abou El Kalam - Etude des attaques 24
Protection ?
Les checksums. effectuer checksums la fin d'une installation sur les diffrents fichiers comme ls, ps, stat ifconfig, etc. et sur les diffrentes bibliothques partages. Cette BD devrait tre stocke sur CDROM ou autre support non rinscriptible. 2. Compiler les programmes vitaux en statique. disposerez d'une trousse de secours en cas d'infection par rootkits. pour cela, il faut disposer d'un OS permettant accder sources progs vitaux... 3. Chkrootki tpermet de dtecter la prsence d'un rootkit (sous FreeBsd, libre). 4. Compilez noyau en statique. Vous viterez ainsi chargement modules externes.
06/12/07 Anas Abou El Kalam - Etude des attaques 23
- macros-virus
+ dans certains documents, des commandes peuvent tre enregistres comme des donnes (formules de calcul dans les tableurs ou macros dans des traitements de texte) + ces commandes peuvent tre excutes louverture du fichier => un virus peut sinsrer dans ces commandes => un logiciel comme Excel prvient de la prsence de telles macros et demande lautorisation pour les excuter
- virus de messagerie
06/12/07 Anas document attach un courier + un cheval de Troie est insr dans unAbou El Kalam - Etude des attaques lectronique + tout est fait pour que lutilisateur excute le document attach (titre trompeur, ...) 25
26
17 Juillet 2001: le virus CodeRed commence une diffusion ultra rapide via Internet (250 000 systmes infects en moins de 9 heures). cible les serveurs IIS de windows utilise le protocole TCP/IP et le port 80. dfigure les pages web hberges en y apposant la signature "Hacked by Chinese " utilise un moteur de scan dadresses IP puis sauto-installe sur les systmes vulnrables identifis entre le 1er et le 19 de chaque mois, le virus se propage, puis partir du 20, il attaque (DoS) le site Web de la Maison Blanche
27 06/12/07 Anas Abou El Kalam - Etude des attaques 28
06/12/07
06/12/07
29
06/12/07
30
06/12/07
31
06/12/07
32
06/12/07
33
Ver se propageant l'aide du courrier lectronique, exploite galement 4 autres modes de propagation : web rpertoires partags failles de serveur Microsoft IIS changes de fichiers Affecte particulirement les utilisateurs de Microsoft Outlook sous Windows 95, 98, Millenium, NT4 et 2000.
06/12/07
35
06/12/07
36
parasites dissimul dans fichiers ou dans code excutable contenu dans secteur dmarrage disque infectent en particulier les fichiers exe, ...
Arrive souvent par pice jointe un mail comprenant un code malicieux excut automatiquement par le logiciel de courrier lectronique ou manuellement par l'utilisateur ne se multiplie pas localement
06/12/07
37
06/12/07
se multiplie localement, s'autoduplique, se propage en infectant tour tour les fichiers Effets : fichiers effacs, disque dur format, saturation des disques, modification du MBR
38
. . . .
IP nest pas un protocole o la scurit a t intgre la base IP est un protocole datagramme - on ne peut faire confiance au champ adresse source => rien ne garantit que le paquet a bien t mis par la machine dont ladresse IP est celle du champ source
Les paquets sont routs de proche en proche => un routeur quelconque R peut envoyer un paquet une machine B en se faisant passer pour une autre machine A Pas dauthentification des annonces de routage - des protocoles tels que RIP / OSPF permettent de mettre jour dynamiquement les tables de routage par diffusion des routes => pas dauthentification des annonces donc dviation du trafic ais !
Protection
e.g., avec iptables limitant demandes d'tablissment de connexion TCP acceptes 1/seconde # iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -J ACCEPT
06/12/07 Anas Abou El Kalam - Etude des attaques 39 06/12/07 Anas Abou El Kalam - Etude des attaques 40
Protection
Smurffing (attaque de type dni de service) base sur protocole ICMP. Lorsqu'on envoie ping rseau en broadcast (ex 255.255.255.0), le paquet est envoy chacune des machines du rseau. Un pirate envoie un ping en broadcast sur un rseau (A) avec une @IP source correspondant celle de la machine cible (B). Le flux entre le port ping de la cible (B) et du rseau (A) sera mulitpli par le nombre de machines sur le rseau (A). Conduit saturation bande passante du rseau (A) et du systme de traitement de paquets de (B). # iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -J ACCEPT DDoS (attaque de type dni de service)
- sintroduire sur plusieurs machines partir desquelles l'attaquant va lancer une attaque sur une cible particulire 06/12/07 42 - attaque en gnral orchestre parAnas matre qui donne ledes attaques un Abou El Kalam - Etude signal
dsactiver les services chargen et echo configurez firewall pour viter le Chargen Denial of Service Attack en limitant traffic UDP
06/12/07 Anas Abou El 41 # iptables -A FORWARD -p udp --syn Kalam - Etude des attaques 1/second -J ACCEPT -m limit --limit
IP Spoofing
- la machine Attack envoie un datagramme IP en changeant ladresse source et en la remplaant par ladresse source dune autre machine - messages retour sont envoys par machine B la machine C, donc Attack ne les reoit pas => utiliser champ source routing dun datagramme IP pour spcifier chemin ... + source routing impose la route exacte suivre pour aller destination (la liste des diffrents routeurs traverser est insre dans le datagramme) + loose source routing impose la traverse de certains routeurs pour aller destination (dautres routeurs peuvent galement tre traverss)
06/12/07
43
06/12/07
44
- attaque : la machine Attack veut se faire passer pour la machine A auprs de B 1. Attack choisit une machine A laquelle B fait confiance 2. Attack cre un paquet IP en mettant comme adresse source celle de A 3. loption loose source routing est positionne Attack fait partie des routeurs traverser 4. le paquet retour utilise la mme route que celle du paquet aller et passe donc par Attack le paquet envoy par attaquant est accept par B puisquil semble venir de A, machine de confiance
06/12/07
45
06/12/07
46
06/12/07
47
06/12/07
48
Protection ?
Un sniffer est passif, il n'envoie aucun paquet, il ne fait qu'intercepter. Mais la carte rseau tant en mode transparent, son comportement s'en trouve chang, son temps et sa faon de rpondre certains paquets sont modifis. On peut dtecter la prsence d'un sniffer grce ce changement de comportement. AntiSniff (sur win & linux) envoie paquets "tests" et en dduit si la carte est en mode transparent donc susceptible de sniffer. chiffrer transactions rseaux : "tunnels" (IPSec,VPN ...), SSL, ...
06/12/07 Anas Abou El Kalam - Etude des attaques 49 06/12/07 Anas Abou El Kalam - Etude des attaques 50
=> Attack rpond en indiquant sa propre adresse MAC, ainsi elle intercepte les paquets destination de B
06/12/07 Anas Abou El Kalam - Etude des attaques 51
Les NIDS peuvent aussi dtecter ce type d'attaques (Prelude-IDS, Snort, ...).
06/12/07 Anas Abou El Kalam - Etude des attaques 52
06/12/07
53
06/12/07
54
- lattaque consiste, pour une machine Attack, attendre la phase de connexion et usurper lidentit de A pendant lchange de donnes => ceci suppose que Attack est capable de sniffer les connexions entre A et B
06/12/07 Anas Abou El Kalam - Etude des attaques 55 06/12/07 Anas Abou El Kalam - Etude des attaques 56
06/12/07
57
cette attaque permet Attack de voler une session telnet tablie entre A et B : 1. dans un 1er temps, Attack sniffe trafic entre A et B et attend fin de lauthentification 2. ensuite Attack forge un paquet avec comme adresse IP source celle de A et le numro dacquittement attendu par B, B accepte donc ce paquet ; pour cela il faut que Attack ait cout le trafic pour pouvoir correctement envoyer le numro dacquitement et de squence => la connexion entre A et B devient dsynchronise paquet inject par Attack fait que paquet lgitime envoy par A nest plus accept par B cause du numro de squence, de mme pour les paquets envoys par B A => apparat le problme du Ack StormEl Kalam - envoientattaques 06/12/07 Anas Abou (A et B Etude des des ACK en permanence) 58
- Lattaque consiste envoyer une fausse rponse une requte DNS avant le serveur DNS => len-tte du protocole comporte un champ didentification qui permet de faire correspondre les rponses aux demandes; la faiblesse provient de certains serveurs DNS qui gnrent des ID prvisibles => lattaque ncessite que lattaquant contrle un serveur DNS (par ex ns.attack.com) ayant autorit sur le domaine attack.com
06/12/07 Anas Abou El Kalam - Etude des attaques 59 06/12/07 Anas Abou El Kalam - Etude des attaques 60
Protection
Configurez votre serveur DNS pour qu'il ne rsolve directement que les noms de machine du rseau sur lequel il a autorit. Autorisez seulement machines internes demander la rsolution de noms de domaines distants. Mettez jour ou changez les logiciels assurant le service DNS pour qu'ils vous protgent des attaques dcrites prcedemment. Voir http://www.linux-france.org/article/memo/dns/node16.html
06/12/07 Anas Abou El Kalam - Etude des attaques 61 06/12/07 Anas Abou El Kalam - Etude des attaques 62
06/12/07
63
06/12/07
64
Buffer overflow
-- attaque qui nutilise pas une faiblesse du rseau mais trs utilise pour attaquer les rseaux => consiste exploiter des faiblesses des programmes serveurs qui soccupent de services rseaux (server ftp, serveur http, ...) - le principe : exploiter des programmes C pas assez rigoureux !
Buffer overflow
- si net_msg est trs long , il peut craser msg puis sfp puis ladresse de retour de la fonction copy_msg (ce qui nest pas normal !) - lorsque la fonction copy_msg se termine, on peut alors faire excuter du code une adresse choisie => justement celle de msg - le code excuter est insr dans net_msg qui est donc copi dans msg
06/12/07
65
=> ici le code excuter est : SSSSSSS........ S => ladresse de retour a t change en 0xD8, lendroit o a t plac le code excuter => lart consiste donc fabriquer net_msg = SSSS......SS0xD8
06/12/07 Anas Abou El Kalam - Etude des attaques 66
Buffer overflow :
(Inter Process Communication).
Le programme /usr/bin/ipcs fournit des informations sur l'usage des ressources IPC
ipcs affiche le nombre de queues de message et de smaphores crs ainsi que les segments de mmoire. L'option "-C indique la source d'informations employer. En gnral, il s'agit d'un -C" fichier core. Par exemple : ipcs -C /tmp/core Cependant, ipcs ne vrifie pas la taille du nom de fichier !! Un attaquant local peut alors spcifier un nom de fichier core trop long dans le but de provoquer un buffer overflow.
06/12/07
67
e.g., 06/12/07
permettre un attaquant local d'accrotre ses privilges. Anas Abou El Kalam - Etude des attaques
68
06/12/07
69
06/12/07
70
DHCP : Protection
Limiter le service DHCP une liste ferme de correspondances d'@ MAC et IP. Ainsi toute requte trangre cette liste est systmatiquement rejete. Sous Windows, remplissez champs de l'option Rservations dans le prog de config du serveur DHCP Sous Linux, ditez le fichier /etc/dhcpd.conf sur le serveur DHCP. Par ex, pour client toto avec l'@ MAC 00:C0:34:45:56:67 laquelle correspond l'@ 192.168.1.2, le routeur 192.168.1.1 et le serveur de noms 192.168.1.3. host toto { hardware ethernet 00:C0:34:45:56:67; fixed-address 192.168.1.2; option routers 192.168.1.1; option domain-name-server 192.168.1.3; } S'il est impossible d'tablir une liste ferme, segmentez votre rseau en sousrseaux et attribuez-leur chacun un serveur DHCP. Ces serveurs seront indpendants les uns des autres. Les nouvelles versions du protocole DHCP permettent l'utilisation de mcanismes d'authentification plus stricts. Assurez vous que vos serveurs utilisent ces (dernires) versions de protocoles (RFC3118).
06/12/07 Anas Abou El Kalam - Etude des attaques 72
06/12/07
71
SMTP : relayage
Un serveur SMTP (port 25) sert envoyer les mails sur le rseau local ou sur Internet. Problme courant : le serveur SMTP peut servir de relais de mailing anonyme. Un pirate peut trs bien s'en servir pour envoyer des mails scabreux travers Internet. Un autre problme : commandes EXPN (@ d'un alias + liste rcepteurs) et VRFY. Ces commandes sont sources de nombreuses informations pour le pirate. Il convient de les dsactiver si le logiciel de messagerie le permet.
76
S?
Politiques dautorisations et privilges Gestion des droits et des privilges Contrles daccs logiques et physiques
Profils de protection, classes de fonctionnalits valuation, certification, accrditation, agrment, Journalisation ("audit") des vnements lis la scurit
06/12/07
77
06/12/07
78