Formation Ingénieur HES Yverdon 2003

1. Sécurité contre l’intrusion informatique partie 1 Sylvain Maret / version 1 Mars 2003

11. Estimation du risque Risque = Coûts * Menaces * Vulnérabilités $

13. Les menaces: communauté « Black Hat » ou « Hackers » Source: CERT 2002

17. Evolution des attaques Source: CERT 2001

18. Pyramide des menaces Source: RBC Capital Market

23. CVE: une nouvelle vulnérabilité PHP Source: CVE 2002

24. CVE: produits de sécurité Source: CVE 2002

25. Evolution des entrées CVE Source: CVE 2002 Sep-99 Oct-99 Nov-99 Dec-99 Jan-00 Feb-00 Mar-00 Apr-00 May-00 Jun-00 Jul-00 Aug-00 Sep-00 Oct-00 Nov-00 Dec-00 Jan-01 Feb-01 Mar-01 Apr-01 May-01 Jun-01 Jul-01 Aug-01 Sep-01 Oct-01 Nov-01 Dec-01 Jan-02 Feb-02 Mar-02 Apr-02 May-02 Jun-02 0 500 1000 1500 2000 2500 3000 3500 4000 4500 5000 Candidates CVE Entries

26. Vulnérabilités: Top 20 Source: CERT octobre 2002

29. Evolution des risques dans le temps ? Risque Temps Risques acceptés aujourd’hui Risques de demain

30. Cycle d’une vulnérabilité Time Gap Source: CERT 2002

31. Evolution dans le temps Time Ideal Gap Growing Gap Source: CERT 2002

32. Peut-on prévenir les intrusions ? Source: CERT 2002

33. L’idée: diminuer le risque et maintenir cette démarche Risque initial Risque accepté

34. Quel montant faut il investir ? Risque Coûts Risques acceptés

35. Les attaques

37. Recherche du nom de domaine

39. Exemple: recherche des entrées de messagerie (MX Record)

40. Exemple: essais d’un « zone transfer »

41. Exemple: essais d’un « zone transfer » Transfert interdit

46. Scan ouvert (Standard TCP Connect) Source: Matta Security 2002

47. Scan demi-ouvert (Half-Open Syn Scan) Source: Matta Security 2002

48. Scan Furtif (Hosts Unix) Source: Matta Security 2002

49. UDP Scan Source: Matta Security 2002

50. Scanner de ports pour Windows Cible Attaquant 0-n

51. Scanner de ports: NMAP pour Unix

53. « OS Fingerprint »: illustration

54. « OS Fingerprint »: les techniques Source Intranode 2001

55. « OS Fingerprint »: analyse de banière Source Intranode 2001

56. « OS Fingerprint »: analyse de banière

57. « OS Fingerprint »: intérogation TCP/IP Source Intranode 2001

61. Scanner de vulnérabilités: Nessus

63. Exemple: scanner mode ASP Source: Qualys 2002

68. Exemple: destruction d’un système Source: Gibson Research Corparation 2002

69. Exemple d’outils D0S pour Microsoft

72. Initialisation d’une connexion TCP en trois phases Source: Gibson Research Corparation 2002

73. Attaque de type Syn-Flood Source: Gibson Research Corparation 2002

74. Exemple: Syn-Flood Source: Gibson Research Corparation 2002

76. Exemple: Smurf Source: Gibson Research Corparation 2002

78. DDoS: fonctionnement de base Source: Gibson Research Corparation 2002

79. Exemple: DDoS Source: Gibson Research Corparation 2002

81. Exemple: mail bomber…

84. Social Engineering: la messagerie Source: Hacknet 2002

85. Social Engineering: le petit cadeau…

87. Evolution du nombre de virus F-Secure Septembre 2001

92. Evolution des « PESTS » Source: PestPatrol 2001

94. Backdoor classique: mode de connexion Source: SensePost 2002

95. Backdoor classique: firewall Source: SensePost 2002

96. Backdoor évoluée Source: SensePost 2002

97. Un réseau « typique » Source: SensePost 2002

98. Backdoor: utilisation de IE (http/ https) Source: SensePost 2002

100. Exemple de Key Logger

101. Evolution des virus: 1988-2002 Source: F-Secure 2001

103. Atteinte à la confidentialité: exemple avec une Backdoor Personne A Personne B SMTP Serveur de messagerie Black Hat Backdoor invisible POP3

104. Atteinte à l’intégrité: exemple avec une attaque sur les DNS Hacker Changement des MX Record Mail Modification du mail

107. Compromission système: scénario classique d’attaque Source: CERT 2001

111. Root Kit: compromission d’autres systèmes

112. Buffer Overflow

116. Buffer Overflow: démonstration Source: Entercept 2002

117. Buffer Overflow: démonstration Source: Entercept 2002

118. Buffer Overflow: démonstration Source: Entercept 2002

119. Buffer Overflow: démonstration Here is the “Call” instruction that tells the OS to jump to our SayHello subroutine Source: Entercept 2002

120. Buffer Overflow: démonstration This is where the program SHOULD return after executing SayHello: 0040D734 Source: Entercept 2002

121. Buffer Overflow: démonstration The return address (00 40 D7 34) is now pushed onto the stack. Intel architectures are little-endian, so the address appears reversed: 34 D7 40 00 Source: Entercept 2002

122. Buffer Overflow: démonstration The debugger has cleared the stack frame for us by filling it with CC bytes Source: Entercept 2002

123. Buffer Overflow: démonstration Now the strcpy() function is called. The data supplied is copied into the buffer. Source: Entercept 2002

124. Buffer Overflow: démonstration Source: Entercept 2002

125. Buffer Overflow: démonstration Source: Entercept 2002

126. Buffer Overflow: démonstration Note the valid return address bytes: 34 D7 40 00 Source: Entercept 2002

127. Buffer Overflow: démonstration When strcpy() is called, the malicious data is copied into the buffer and overflows it, overwriting the return address. The bytes of the return address are now 35 39 34 35. Source: Entercept 2002

128. Buffer Overflow: démonstration Ou exécution d’un code hostile Source: Entercept 2002

129. Buffer Overflow: How to be Root ! Code hostile

132. Exemple de recherche de mots de passe

133. Exemple avec Windows 2000 (Kerberos)

134. Exemple avec Windows 2000 (Kerberos)

136. Exemple de sniffer Unix: dsniff

140. Renifleur dans un environement « switché » Réseau « switché » Serveur Cible Client Cible Attaque ARP Attaque ARP Flux Client-Serveur telnet Flux Client-Serveur telnet Routage Renifleur

141. Détournement de session: Hijacking Man in the Midle Serveur Cible Client Cible SSH, Telnet, SSL, etc.

142. Détournement de session: protocoles sécurisés Session SSL Session SSH Attention, ces messages ne sont pas anodins !

144. Application Web: architecture Source: WhiteHat Security 2002

145. Application Web: la futilité du firewall Source: WhiteHat Security 2002

146. Application Web: SSL sécurise mon site Web Source: WhiteHat Security 2002

149. Votre firewall – votre meilleur ennemi http / https Html, Dhtml XML, Soap, WSDL .NET Java, ActiveX, VBScript, etc. * Pour les flux HTTP votre firewall = * Firewall Classique filtrage niveau 3

151. Interprétation des URLs HTTP Port 80 Client Web Firewall Classique Serveur Web Apache IIS Iplanet Zeus Etc. App. Web XML, Soap, HTML, etc. XML DB DB Application Server CGI, PHP Etc. RMI IIOP XML Soap etc. SQL XML JDBC etc. http:// fantasio.e-xpertsolutions.com: 80 /chemin/ application.asp ? a=toto&b=1234

153. Interprétation de commandes par les URLs Serveur Web Fantasio GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir

157. Exemple: Vol de session par XSS Lien hostile Mail, Page Web Application Web Application utilisateur Web Exécution de code hostile CGI Script 1 Hacker Login avec le cookie volé 2 3 4 5

159. Defacement ou graffiti Web

161. Defacements: évolution dans le temps

162. Exemple de défiguration politique: « Egyptian Fighter » Source: www.alldas.org Août 2002

167. Réseaux Wireless: l’architecture classique Source: NIST 2002

171. Réseaux Wireless: le Warchalking et ces symboles de base

172. DNS: rappel

176. Questions ?

177. e-Xpert Solutions SA Intégrateur en sécurité informatique Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions « clé en main » dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité d e périmètre – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix , Microsoft et des postes clients (firewall personnel).

178. Pour plus d’informations e-Xpert Solutions SA Route de Pré-Marais 29 CH-1233 Bernex / Genève +41 22 727 05 55 [email_address]