1. Menaces, vulnérabilités, attaques orappel: propriétés de sécurité o1.1. Definitions

Transcription

1 4. Sécurité des Réseaux Lecturers: Fabien Duchène, Dominique Vicard Parties: 1. Menace, vulnérabilité, attaques 2. Divers algorithmes et méthodes 3. Sécurité du poste client 1

2 1. Menaces, vulnérabilités, attaques orappel: propriétés de sécurité o1.1. Definitions omenaces ovulnérabilité oattaque, exploit ocontre-mesure odurcissement o1.2. Exemples d attaques omalwares oinfrastucture (BGP, DNS, Botnet, DDOS) oidentité (Phishing, Scamming) o1.3. Alertes & informations utiles 2

3 RAPPEL: propriétés de sécurité CIA -integrity: data destruction or alteration -confidentiality: only authorized people can access data -availability: QoS degradation (for another user) AND: -traceability, non-repudiation, privacy 3

4 1.1. Définitions o Menace (threat): évènement qui invalide au moins une propriété de sécurité s il se produit o Vulnérabilité (vulnerability): propriété dans un système qui permet à une menace de se réaliser o Exploitation (exploit) d une vulnérabilité concrétise une ou plusieurs menaces o Attaque(attack): consiste en au moins une exploitation o Contre-Mesure (counter-measure) o Mesure mise en place afin de se protéger contre une ou plusieurs menaces o Durcissement (hardening): ensemble de contre-mesures mises en place dans un système donné afin d assurer les objectifs de sécurité o Politique de sécurité (Security policy) o Ensemble des contre-mesures mises en place dans un système d information en vue d assurer les objectifs de sécurité 4

5 1.1. Vulnérabilités STRIDE (=enjambée, grand pas) - Spoofing: usurpation of a legimitate user credential - Tampering: a user alters data or system process (modification or destruction) - Repudiation: unability to prove a user did an action - Information Disclosure: releasing information of a system object (eg: httpd version) - Denial of Service: the service becomes unavailable for legitimate users - Elevation of Privilege: the hacker illegimitately obtains privileges allowing him to perform additional threats 5

6 1.2. Exemples d attaques Malwares Malware, Worm, Virus, trojan, spyware, adware, rootkit Infrastructure - BGP route hijacking - DNS cache poisoning - DDOS - Botnet Identité - Phishing 6

7 Application - malwares o Malware o MALicious software: generic term o Harm or secretly access data without user consent o Could affect the system performance o Worm: autonomous self-replicating malware o Virus: self-replicates and attachs itself to a process (needs a host) o Trojan: permits performing remote operations. Appears harmless (eg: fake antivirus). o Rootkit: has a privileged access to the system. Hides itself from the OS o Spyware: collects information about user o Keylogger: saves any keyboard input o Adware: display ads regarding to the data retrieved 7

8 Vers (Worms) o Se propage à travers le réseau o Exemple : Internet Worm (1988) o Attaque des systèmes Unix o Se propage par "confiance mutuelle" (Rhost) o Craque /etc/passwd - par dictionnaire (432 entrées) o Utilise un bug dans Finger et dans SendMail o Se duplique sous forme chiffrée 8

9 L histoire de l Internet Worm o Le 2 Novembre 1988, Robert Morris, Jr., un étudiant en Computer Science à l Université de Cornell lance le Worm o En 48h, machines infectées o Dégâts de $250 à $ par site 9

10 Infection : Code Red 10

11 Une fois infecté, quelles conséquences? o Lucky o Tous vos amis Facebook reçoivent sur leur Wall une publicité pour du Viagra recommandée par vous. o Un Mickey masqué traverse votre écran toutes les 15 secondes o Votre machine travaille la nuit pour arroser de spam la planète et vous êtes blacklisté sur tous les serveurs de messagerie du monde. o Unlucky o Votre machine participe à une attaque en DDOS sur les serveurs de la Royal Bank of Scotland ou de l OTAN. o Vous distribuez en P2P des photos et des vidéos pédophiles o La seule solution pour éradiquer le virus est le formatage et vous alliez justement faire un backup pour sauvegarder vos données. o Vous êtes Hadopié sans le savoir 11

12 Infrastructure :Attaques structurelles(1) Asia Pacific - Red Europe/Middle East/Central Asia/Africa - Green North America - Blue Latin American and Caribbean - Yellow Internet est intrinsèquement résilient et distribué Une partie de la sécurité du backbone est basée sur la confiance De nouvelles attaques ciblent ces éléments M 0.2. Parano: mode d'emploi 13

13 Infrastructure :Attaques structurelles(2) M o BGP route hijacking (2008) o Faire croire à un routeur qu on dispose d une route plus performante o Rerouter l ensemble d un traffic vers un réseau «shadow» o DNS cache poisoning (2008) o Injecter dans le cache d un DNS une traduction erronée o Le DNS utilise UDP facile a falsifier Ces vulnérabilités sont structurelles 14

14 Why is it so important to secure DNS? o DNS=a major internet layer o Every communication relies on it: o Browsing, Bank, Search, Social networks o B2B operations 15

15 Attaque DNS Cache Poisoning (1) o T0, Serveur A demande un Serveur B : "Connais-tu l'adresse IP de cette URL là car je ne la connais pas?" o T0+n, Serveur Pirate : "Oui, la voici : adresse-ip usurpée". o T0+N, Serveur B : "Oui, la voici : véritable adresse IP". o T0+x : Serveur A "Merci, j'enregistre cette réponse pour ne plus te la demander à l'avenir". Le pirate répond avant que le vrai serveur DNS ait eu le temps de répondre XMCO 16

16 Attaque DNS Cache Poisoning (2) Fonctionnement normal du DNS XMCO 17

17 Attaque DNS Cache Poisoning (3) Etape 1 : Recherche de réponses avec le bon Id XMCO 18

18 Attaque DNS Cache Poisoning (4) Etape 2 : Empoisonnement par réponse rapide et mise en cache XMCO 19

19 DNS cache poisoning Video: Links:

20 How to prevent fake DNS records? o Ensure DNS replies are made by a DNS server we trust o Ensuring the integrity of DNS replies o Eg: DNSSEC (DNS SECurity Extensions) o DNS replies are SIGNED o Root DNS servers have DNSSEC extensions since July 15 th, 2010 o Problems: o To limit replay attacks, zones & records: signed frequently o CPU load (cryptographic operation) o US root DNS 21

21 DNSSEC record signature algorithms Source: 22

22 DNSSEC deployment 20DNSSEC%20Deployment 23

23 DNSSEC problems & vulnerabilities o Problems: o Certificates distribution o Vulnerabilities: o Original DNSSEC desgin: o Zone enumeration: information disclosure. We normally use split views for segregating DNS replies depending on the network of the DNS client o Bind (2009): DNSSEC cached NXDOMAIN replies (NoneXistent domain) when autorized for recursion and signing for other domains o => carrefully set the allow-recursion for specific networks 24

24 DDOS odistributed DOS (Denial Of Service) o Multiple systems flood one precise system o Ways: obotnet ovoluntarily (thus a DDoS is not necessarily performed WITHOUT the user consent) eg: The Wikileaks revenge! 1 Experienced problems with: DNS, paiement Cause: (EveryDNS, Paypal, ) did shutdown their service only for WikiLeaks 2 Hackers did provide instructions and tools for volunteers to set up a DDoS attack 3 Each volunteer did perform a DoS attack on Mastercard, Paypal, EveryDNS servers time 25

25 DDoS: Attaque Février 2000 o Attaque coordonnée o Impact sur les cours de bourse o Impact sur le chiffre d affaire des sociétés Une preuve de la fragilité de l infrastructure 26

26 Feb 8 th, :50 AM PST * Buy.com -- Web e-tailer knocked offline on the day of its IPO -- swamped by an assault of 800 megabits of data per second. 12:30 PM PST * Stamps.com -- Site proactively takes down its service for 30 minutes as a precautionary measure. 3:20 PM PST * ebay -- Attack severely limits the access to the Web's largest auctioneer until 9 PM PST. 4 PM PST CNN.com -- News portal knocked offline almost two hours, until 5:45 p.m. PST. 5 PM PST * Amazon -- 'Junk traffic' severely curtails access to giant e- tailer for an hour, until 6 PM PST. 6 PM PT * MSN -- Host of Microsoft's portal plagued by denial of service attacks into Wednesday morning. 27

27 Feb 9 th, :30 AM PST * ZDNet -- Tech site knocked offline for two hours -- until 6:30 AM PST. (ZDNet News is a part of ZDNet.) 5:00 AM PST * E*Trade -- Less than 20 percent of E*Trade customers able to gain access to the No. 2 online broker for more than an hour. 28

28 BOTNETS o Definition: o A hacker controls a network of computers and executes operations. Motivations: o 1. The hacker infects computers (via , worm, virus, trojan horse) o 2. He is now able to perform operations via a channel (IRC,HTTPS,P2P ) o 3. Somebody rents its usage o 4. The hacker executes these operations for a specified amount of time or production(spam, DDoS, trading) First botnet: Did they invent the concept of pay-as-you go in IT services? 29

29 Robots Bots (2) o Pour s implanter, le robot utilise des méthodes classiques : o Un courrier électronique (spam) o Un vers ou virus o Un cheval de Troie o Il peut posséder son propre module de propagation (souvent lente et ciblée) et exploite : o Une vulnérabilité o Des partages ouverts (open shares) o Des mots de passe faibles ou manquants o Il peut exploiter la crédulité des internautes (social engineering) Source : CLUSIF 31

30 Famous botnets o Bredolab (2009), Russian team o viral spam o 30M infected computers, 145 control servers o Financial gain: $139,000/month o Mariposa ( ), Spanish Team o Scamming, DDoS o 12M infected computers o Propagation: USB, P2P, shares, MSN 32

31 Sécurité dans les vers & botnet Stormworm M o Binaire protégé : 2 couches de chiffrements qui varient avec quasiment chaque binaire o Détection des machines virtuelles et protection anti-sandbox o Programmé en C++, code multi-threadé : amélioration perceptible du niveau des programmeurs de malware o! Le C++ complique nettement la tâche du reverser o! Le multithreading également (surtout à cause de l API Windows) o! Code modulaire (couche de communication séparée de la couche de contrôle) o Le bot utilise le protocole P2P Overnet, basé sur la spécificationkademlia 33

32 underground economy - Botnet o Source Peter Haag SWITCH Security Workshop, 03/11/2004 o Le plus grand botnet : > machines o Un accès non exclusif à un bot vaut 0,15 o 0,35 en mode exclusif (10 cents, 25 cents) o Un réseau de 500 bots peut valoir jusqu à 380 (500$) o La location de proxies par jour pour spammer vaut 75 /semaine (100$) o Les attaques DDoS se négocient entre 38 et 750 (50$ et 1000$) o Pour 38 par mois, on reçoit une liste quotidienne de proxies ouverts (50$) Source : CLUSIF 34

33 Underground economy: Russian Business Ntw M o 1 million de sites, plusieurs millions d adresses IP disponibles et 4 millions de visiteurs par mois. o Nombreux sites de vente de faux produits de sécurité (anti-virus, antispyware,codecs). o Sites de ventes de malware, forums spécialisés (mise en relation, ventes, achats). o Sites proposant des rémunérations en contrepartie d activités douteuses (iframer) o Nombreux sites piégés adressés par les IFrames (avec exploits, MPack), sites miroirs (RockPhish). Sites relaispour auto-génération de malware (W32/Nuwar), etc. o Sites collecteurs (phishing) et administrateurs (botnet). o Sites pour adulte (XXX) et sites pédophiles. 35

34 o Phishing: Identité o Acquire sensitive information (username, credit card ) through identity impersonation o Methods: opossibly spoofed sender / instant messaging ohtml: <a href=" com</a> owebsite with same «look-and-feel» o How to protect yourself? o Technical (not enough): browser filters o educate users! 53

35 Eg: Paypal educate users! 54

36 1.3. Alertes et informations utiles o o Agence nationale de la sécurité des systèmes d information o csrc.nist.gov o Computer Security Ressource Clearinghouse ; National Institute of Standards & Technology o o Computer Emergency Response Team o o Sites des «vendeurs», bulletins de sécurité 55

37 ANSSI - alertes 56

38 Vulnerability disclosure o Public disclosure: o Security researchers publicly disclose it o Risk: «in the wild» exploit o Responsible disclosure: o Reported directly to the vendor o Risk: the vendor does not quickly patch o Hybrid: o To an organization which «buys it» o Resolve conflicts between 2 parties Interesting paper: EMERGING ISSUES IN RESPONSIBLE VULNERABILITY DISCLOSURE, Hasan Cavusoglu. Huseyin Cavusoglu, Srinivasan Raghunathan 57

39 Coordinated vulnerability disclosure - Hybrid - or Full-Vendor 58

40 Ethics & IT security o If you find a Windows exploit (with code execution): o Full-vendor: report it to Microsoft o0 Euros o Hybrid: to an organization which o~200 E o Undeground market: $1M o Consequences? o Why do you work in IT security? (beliefs, moral ) 59

41 2. Divers algorithmes et méthodes o Stéganographie o Shamir s secret sharing o P2P: l algorithme Eigentrust 66

42 2.1. Stéganographie o L art et la science d écrire des messages masqués, de sorte que seuls l émetteur et le destinataire soupçonnent l existence du message o Confidentiality, discrete (!= cryptography) o Qui utilise la stéganographie? o Armée, Terroristes, o Types: o Pure / null cipher: message caché en clair dans données o Crypto: symétrique ; assymétrique o Eg: Réseau ; Digitale (image, audio, video) ; Texte, Imprimée 67

43 2.1. Stéganographie o Texte dans du texte. o Eg: WWI PRESIDENT'S EMBARGO RULING SHOULD HAVE IMMEDIATE NOTICE. GRAVE SITUATION AFFECTING INTERNATIONAL LAW. STATEMENT FORESHADOWS RUIN OF MANY NEUTRALS. YELLOW JOURNALS UNIFYING NATIONAL EXCITEMENT IMMENSELY. PRESIDENT'S EMBARGO RULING SHOULD HAVE IMMEDIATE NOTICE. GRAVE SITUATION AFFECTING INTERNATIONAL LAW. STATEMENT FORESHADOWS RUIN OF MANY NEUTRALS. YELLOW JOURNALS UNIFYING NATIONAL EXCITEMENT IMMENSELY. PERSHING SAILS FROM NY JUNE I. Movie: A beautiful mind,

44 o Eg: 2.1. Stéganographie: exemple o Pure / «null cipher»: Données dans image RGB picture representation o canal SIP (RTP, UDP): oerreur: fréquence, taux, taille d erreur, oaudio: certains bits précis o data to hide picture with hidden data 69

45 o Concept: o secret m o entre n acteurs 2.2. Partage de secret o au moins t secrets pour reconstruire o Eg: (t=2,n=2) Secret Sharing: o Alice et Bob tout seuls ne peuvent reconstruire le secret excepté s ils coopèrent! SB B SB S SA A SA 70

46 XOR secret sharing scheme o Trivial t=n: o m o x a = nombre aléatoire, taille m o x b = nombre aléatoire (distinct XA), m o m enc = m XOR x a XOR x b o Secret individuel de A: SA = (x a ; m enc ) o B: SB = (xb ; m enc ) o m = m enc XOR x a XOR x b 71

47 Shamir s Secret Sharing (t!= n) o Shamir (1979): le «S» dans RSA o Constat: o Polynôme de degré 2 o 2 points non suffisants o 3 oui o k points suffisants pour décrire un polynôme de degré k-1 o Etapes: o Préparation des secrets individuels o Reconstruction du secret m 72

48 Shamir: construction des secrets o (t=2,n=4) o m=1976 o t-1=1 coefficients choisis au hasard o a1=3 o f(x) = a i *x i ; a 0 =m o f(x) = x o Choix de n=4 points de cette courbe: o (-2 ; 1970), (3 ; 1985), (0 ; 1976), (-5 ; 1961) o Ce sont les secrets individuels o Le secret m=f(0) 73

49 Shamir: reconstruction du secret m o En utilisant l interpolation de Lagrange: (-2 ; 1970), (3 ; 1985) L(x) = 1970 * x * x m = L(0) = 1976 = x 74

50 Blakley s Secret Sharing o t hyperplans distincts s intersectent en un unique point m dans un espace de dimension t=n o Construction: (t,n) o Choisir un point m o Equations génériques o Pour chaque participant, choisir des coefficients distincts o Reconstruction m: o Résoudre le système d équations (t=3,n=3) 75

51 2.3. P2P security: the Eigentrust algorithm o Problèmes: worms, fichiers non authentiques, o Objectif: identifier les peers malicieux o L algorithme Eigentrust a été appliqué par ebay: 76

52 2.3. The EigenTrust algorithm o i,j peers o Trust value o 1 given download from j to i for a transaction k o tr i (k,j) o -1 if download not authentic, or interrupted o +1 else o Local trust value o Global trust value t(j) = sum i (s i (j)) how we can trust that peers according to its actions in the whole network o Normalized trust value [0..1] c i (j) = max(s i (j),0). max(sum k (si(k)),0) s i (j) = sum k (tr i (k,j)) transactions from j to i, from i point of view The EigenTrust Algorithm for Reputation Management in P2P Networks, Stanford: Sepandar D. Kamvar, Mario T. Schlosser, Hector Garcia-Molina 77

53 2.3. Eig. Algo: Transmettre la confiance o Chaque peer k demande a ses voisins i son opinion sur les autres pairs a c i (k) o K fait confiance a i en fonction de son expérience avec celui-ci c i (k) o tk(a)=c k (i).c i (a) 78

54 Iteration 1 Iteration 2 79

55 2.3. Eigentrust for P2P: convergence Test effectué avec 1000 peers Après 10 itérations les valeurs ne changent pas signficativement CONVERGENCE TRES RAPIDE 80

56 L algorithme Eigentrust pour l échange de fichiers en P2P o Expérience: 81

57 3. Sécurité du poste client (endpoint security) o Certification (TCSEC, CC) o Principes de sécurité (rappels) o Principaux méchanismes o Windows NT4+ o Unix 82

58 3.1. Certification o TCSEC o Critères Communs (Common criteria) o Evolutions 83

59 Systèmes : Certification TCSEC(1) o S'applique aux systèmes complets (HW+SW) o Orange book : TCSEC (Trusted Computer System Evaluation Criteria) Rainbow series o Décrit le concept de TCB (Trusted Computing Base) et de moniteur de Sécurité (Reference Monitor) 84

60 Systèmes : Certification TCSEC(2) o Décrit finement les mécanismes d'implémentation o Object Reuse o Audit o Compartment mode o Autres couleurs de l'arc en ciel (Vert = mots de passe, Rouge =Réseau (TNI : Trusted Network Interpretation), etc...) 85

61 Systèmes : Certification TCSEC(3) o 4 niveaux o D = Insécurité ou non évalué o C = Capable d'assurer un contrôle discrétionnaire (DAC) oc2 = "un bon système commercial" o B = Capable d'assurer un contrôle d'accès obligatoire (MAC) o A = Sécurité vérifiée, documentée et démontrée efficace 86

62 Systèmes : Certification CC o Critères communs o Norme ISO sous la référence ISO o Initié par l Europe, agrée par 7 pays: Allemagne, Australie et Nouvelle-Zélande, Canada, Etats-Unis, France, Grande-Bretagne o Une évaluation effectuée dans un pays est reconnue dans les autres o En France, l évaluation est confiée aux CESTI (Centre d'evaluation de la Sécurité des Technologies de l'information) o Eg de CESTI: LEXSI, Sogeti-ESEC o Liste de produits certifiés: 87

63 Critères Communs (1) o Exigences o Fonctionnelles de sécurité o Assurance de sécurité o La norme introduit les concepts suivants : o TOE (Target Of Evaluation) : désignation de l'objet à certifier (par exemple un système d exploitation, un réseau informatique, une application, un produit de type firewall) o PP (Protection Profile) : ensemble type d'exigences de sécurité pour une catégorie de produits (plus de 1000 disponibles) o ST (Security Target) : niveau de sécurité spécifique souhaité pour le produit à évaluer : description des menaces et des objectifs de sécurité du produit à certifier o les Composants : les ensembles élémentaires d'exigences de sécurité : composants fonctionnels (exigences fonctionnelles) et composants d'assurance (garanties apportées) 88

64 Critères Communs (2) o La certification propose 7 niveaux d assurance de l évaluation - EAL (Evaluation Assurance Level) : o EAL1 à EAL4 : qui correspondent à des systèmes courants de bonne qualité et à la mise en œuvre de bonnes pratiques. o EAL5 à EAL7 : qui correspondent à des systèmes conçus avec une démarche et des méthodes de sécurisation particulièrement poussées. o EAL7 : répond notamment à des problématiques de stratégie nationale de sécurité. 89

65 Critères Communs (3) o EAL1 : testé fonctionnellement. o EAL2 : testé structurellement o EAL3 : testé et vérifié méthodiquement. o EAL4 : conçu, testé et vérifié méthodiquement. o Eg: Windows Vista, Server 2008 o EAL5 : conçu de façon semi-formelle et testé. o EAL6 : conception vérifiée de façon semi-formelle et testé. o EAL7 : conception vérifiée de façon formelle et testé. 90

66 Evolutions o Uniformisation des certifications o Common Criteria ostandard ISO oreconnu mondialement o Résistance à l effraction (Tamper Resistance) o Systèmes exposés oles intérêts de l'utilisateur peuvent rentrer en conflit avec l'exploitant (eg: confidentialité, PII Personal Identification Information) o FIPS (Federal Information Processing Standards), ITSEC 91

67 3.2. Principes généraux (rappel) o Méfiance par défaut o Défense en profondeur o Moindre privilège o Réduction de la surface d attaque o Bonne gestion o Multiculture Source: Pascal Saulière, Architecte, CISSP, Microsoft 92

68 Méfiance par défaut o Absence de confiance sans fait ni preuve o Problème: complexité croissante SI => minimum de confiance quasi-nécessaire o Eg: okerberos, on truste le KDC opki, on truste la/les root CA 93

69 Défense en profondeur (in-depth protection) o Protections sur différentes couches: o Postulat que les couches d en dessous peuvent être défaillantes Chiffrement, Contrôle d accès Durcissement app., antimalware Durcissement OS, authentification, HIDS, isolation cryptographique Segmentation réseau, NIDS, chiffrement Pare-feu, Contrôle d accès Sécurité physique Politiques, procédures, sensibilisation Gardiens, serrures, surveillance Documentation, formations utilisateurs 94

70 Moindre privilège (least privilege) o Ne jamais utiliser plus de privilèges que nécessaire o Eg: pour contrôle d accès, pour lire un fichier, pas besoin de droit d écriture o Eg: pour naviguer sur internet, pas besoin de privilèges administrateur/root 95

71 Réduction de la surface d attaque o Surface d attaque = ensemble des propriétés utilisables par un attaquant (eg: réseau=ports ouverts, mécanismes d authentification, services en exécution, privilèges, permissions sur fichiers ) o Objectif: avoir la surface d attaque la plus faible possible o Eg: o Services exécutés sous identité aux privilèges réduits o Services non nécessaires désactivés o Paramétrage fin (pas les paramètres par défaut) 96

72 Bonne gestion & multiculture o Bonne gestion o Pour être sécurisé, un SI doit être bien géré: oprocédures oformations administrateurs oefficience d administration o Multiculture o Multiples technologies. En cas de défaillance/vulnérabilité dans une, un attaquant doit mettre en défaut au moins une seconde o Eg: opare-feux deux niveaux, deux vendeurs distincts 97

73 3.3. Principaux méchanismes o Que protéger? o Trusted Base Computing o Authentification o Isolation o Quelques systèmes clients 98

74 Client - Que protéger? (1) o Parent pauvre de la chaîne de sécurité o Postulat que le client est sûr o Vulnérabilités ocache (tous niveaux) osystèmes de fichiers o Une fois authentifié, l'utilisateur et le client sont liés o Melissa, Loveletter 99

75 Que protéger? (2) o Que protéger? o Le "boot" o L'accès au matériel o L'accès aux ressources contaminatrices omedia mobiles oports extérieurs de type «Hot Plug» o La configuration des attributs de Securite oconfiguration BIOS o La plate-forme elle-même (vol) 100

76 Protéger l accès au matériel o Eg: Compromission physique par le bus PCI (Christophe Devine & Guillaume Vissian, SSTIC, 2009) o o PCI: accès à toute zone de la RAM en R/W o Démo: authentification sous l utilisateur loggué sans connaître son mot de passe 101

77 Trusted Base Computing o TCPA o Confiance transitive o TPM o Conséquences? 102

78 TCPA o Trusted Computing Platform Alliance o Consortium 2003 o Both HW+SW: HP, Microsoft, AMD, Intel, IBM o Chez HP, Dominique Vicard a largement participé à ce projet o Objectif: mise en place d un Trusted Platform Module o Microsoft: Next-Generation Secure Computing Base, utilisation dans Windows 103

79 Confiance transitive Confiance transitive: BIOS => Bootloader => OS => Application S il y a un problème dans la première couche (eg: BIOS), toutes celles après (eg: bootloader, OS ) sont potentiellement compromises CRTM : core root of trust for measurement TBB : Trusted Building blocks 106

80 Structure d un Trusted Platform Module (v 1.1) TPM: Génération rapide de nombre aléatoire crypto-processeur sécurisé séquestre de clés cryptographiques 107

81 Conséquences o Authentification pré-boot: o Matériel o Boot-loader o Chiffrement (partition, fichiers) o Signature de binaires... et vérification de leur intégrité! o Utilisation: o PC récents avec Windows Vista et ultérieur 108

82 Authentification o Identification o Authentification o Dépend du système d'exploitation o Peut être enrichie par l'ajout d'un moyen d'authentification forte o Deux ou trois facteurs 109

83 Isolation o Capacité à séparer les données et leur traitement o Isolation temporelle o Isolation spatiale (accès physique) o Ségrégation des espaces mémoire et des processus (kernel/user, différents utilisateurs) o Isolation cryptographique (clés, messages) o Restriction de privilèges 110

84 Quelques systèmes clients o L histoire: Dos, Win 9x o Clients lourds classiques o Clients légers & full web 111

85 L histoire : Dos, Win9x o Pas de sécurité lie au système de fichier o Pas de séparation User/Data o Accès direct possible aux ressources matérielles o Sensibilité aux Virus et Chevaux-de-Troie o Grande standardisation o CIH o Pas ou peu de contrôle des process o En voie de disparition (ouf) 113

86 Clients lourds classiques : NT, Win2000, XP, Vista, Seven, Snow Leopard et Unix (dépend de la distribution) o Tous ces OS ont des versions certifiées EAL3 ou C2 o Séparation Utilisateur / Données o Poste de travaille partageable o Client identifié comme client réseau o Chiffrement de session utilisateur o Pour la plupart: Protections mémoire (DEP, ALSR) 114

87 Clients légers & full web o Clients fins o Quelquefois sans fichiers locaux o Windows Mobile, PPC, PalmOs, Symbian, OS+Citrix; Terminal Services client (RDP, Microsoft) o Chrome OS: synchronisé sur le cloud de Google o Client réseaux o Boot à distance (remote boot) o Java Virtual Machine 115

88 3.4. Microsoft Windows NT4+ o Authentication o Access control o Auditing o Divers: partitions de sécurité o NT6 (Vista & 7): quelques nouveautés 126

89 Authentification o Security IDentifier o Référentiel d identité o Authentification o Politique de mot de passe o Protection des données 127

90 Security Identifier (SID) o Windows NT: o Chaque security principal possède un SID l identifiant de maniere unique dans une foret (famille de domaine) / ordinateur o SID = référentiel d identité ; domaine ; identité o Security principal: oordinateur ocontrolleur de domaine outilisateur / Service ogroupe de sécurité (un groupe peut contenir tout objet de sécurité) 128

91 Authentication - SID - exemple Security group Tous les employes Security group Audit User object CN=Samir 129

92 SID en bref (non exhaustif) S Niveau de révision 4 bits Valeur : 1 Autorité, 48 bits 0 = null 1 = world 2 = local 3 = creator owner 4 = non unique 5 = NT Sous-autorités (=RID) SID du domaine / de la machine RID du compte 500 = Administrator 501 = Guest 1000 = user = user2 Exemples : 0 = null 0 = world 0 = creator owner 1 = creator group 2 = creator owner server 3 = creator group server Exemples de well known SIDs : S-1-0-0: Null S-1-1-0: Everyone S-1-2-0: Local S-1-3-0: Creator Owner S-1-3-1: Creator Group S-1-5-1: Dialup S-1-5-2: Network S-1-5-3: Batch S-1-5-4: Interactive S X-Y : Logon Session S-1-5-6: Service S-1-5-7: Anonymous Logon S-1-5-9: Enterprise Domain Controlers S : Self S : Authenticated Users S : Restricted S : Terminal Server User S : Remote Interactive Logon S : System (LocalSystem) S : Local Service S : Network Service 130

93 Référentiels d identité o Chaque: o Domaine (~annuaire LDAP + auth. Kerberos) o Machine o Dispose d une base contenant la liste des security principals (donc de leur SID) reconnus dans le référentiel 131

94 Authentification o Condensé / hash de mot de passe: o NTLMv1, NTLMv2 o Kerberos o SSPI: permet à des applications d établir un canal sécurisé Winlogon Application GINA SSPI API authentification : SSPI API carte à puce : PC/SC API biométrie : BioApi Package d authentification LSA Negotiate SSP SSP Schannel SSP SSP Digest NTLM Kerberos Windows XP 132

95 Politique de mot de passe 136

96 Protection des données o ACL o Chiffrement o de partition:bitlocker, TrueCrypt o de fichiers / session: EFS (certificats) ocryptoapi o Clé o Certificats o Contexte (CSP) o Génération de Clé o Échange de clé o Chiffrement et déchiffrement o Signature et Hash o Encodage et décodage des certificats o Stockage des certificats o Communes o Chiffrement/Déchiffr ement o Signature de messages o Vérification de données et de signatures 137

97 Access control o Discretionary Access Control: système de fichiers NTFS o Vérifié par le Security Reference Monitor (NT Kernel) o Deny est préemptif sur Allow! o Fichiers o Privilèges (voir slide suivante) 138

98 Access control - privileges 139

99 Audit (liste non exhaustive) o Système o Authentification (réussie, échec ) o Modification de security principal o Modification politique de sécurité o Démarrage, arrêt: système, services.. o Erreurs o Fichier, objet o Accès, lecture, écriture, exécution o Sur descripteur de ressource (fichier, dossier, ) o Evènements remontés par applications 147