Le Deuxième Congrès International sur les TIC Hôtel Sheraton, Oran du 2 au 4 Novembre Abdelaziz BABAKHOUYA

Transcription

1 Le Deuxième Congrès International sur les TIC Hôtel Sheraton, Oran du 2 au 4 Novembre 2010 Le DZ-CERT Abdelaziz BABAKHOUYA Attaché de Recherche babakhouya@cerist.dz CEntrede Recherche sur l Information Scientifique et Technique CERIST

2 Plan Situation actuelle de la sécurité CERT Historique Avantages Catégories Services Proactifs Réactifs Les Certs dans le monde Le projet DZ-CERT

3 Situation actuelle de la sécurité En 1994 La protection de l intégrité, de la confidentialité, et de la disponibilitédu patrimoine informationnel et des systèmes d information (publics et privés)doit être la priorité des priorités pour toutes les nations. Joint Security Commission Report of the joint commission, Tech. Report, US. Gov Nowhere is this more apparent than in the area of information systems and networks. The commission considers the security of information systems and networks to be the major security challenge of this decade and possibly the next century and believes that there is unsufficient awareness of the grave risks we face in this area. The nation s increased dependence upon the reliable performance of the massive information systems and networks that control the basic functions of our infrastructure carries with it an increased security risk. Never has information been more accessible or more vulnerable. This vulnerability applies not only to government information but also to information held by private citizens and institutions. We have neither come to grips with the enormity of the problem nor devoted the resources necessary to understand fully, much less rise to, the challenge....protecting the confidentiality, integrity, and availability of the nation s information systems and information assets both public and private must be among our highest national priorities... This applies to every nation.[jtc]

4 Attaques Niveau de sophistication vs les connaissances techniques des intrus

5 Quelques faits Attaques Web [Sophos][OWASP] Pages web infectés par les codes malveillants Plus de 11 millions de programmes malveillants. 1 nouvelle page Web infectée détectée toutes les 5 secondes. 1 nouvelle page liée au spam détectée toutes les 20 secondes Top 10 des menaces Web A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross-Site Request Forgery (CSRF) A6: Security Misconfiguration A7: InsecureCryptographicStorage A8: Failure to Restrict URL Access A9: InsufficientTransport Layer Protection A10: UnvalidatedRedirects and Forwards

6 Quelques faits Bilan de sécurité informatique 2010 [F-Secure] Stuxnetcible les infrastructures industrielles Découvert en juin 2010, est le premier virus qui a ciblé spécifiquement les systèmes industriels SCADA. Après avoir infecté le système, Stuxnetse cache grâce à un rootkitet vérifie si l ordinateur infecté est connecté à un Automate industriel Siemens. Stuxnet peut ensuite réaliser des modifications complexes sur le système. Stuxneta infecté des centaines de milliers d ordinateurs à travers le monde mais le grand nombre d infections touchant l Iran a laissé penser qu il avait été conçu par un gouvernementessayant de saboter le programme nucléaire iranien. Le Spam sur les réseaux sociaux Facebooket Twittersont très attractifs pour les créateurs de virus car ils répandant l information rapidement. Ces sites Web sont aujourd'hui les premiers vecteurs de fuites de données et de vols d'identité.

7 Quelques faits Bilan de sécurité informatique 2010 [F-Secure] Un important cas de fraude bancaire au Royaume-Uni Vol d au moins 6 millions provenant des comptes bancaires en ligne a entrainé plus de 100 arrestations et des accusations contre 10 personnes pour conspiration d escroquerie et blanchiment d argent. Ces personnes sont accusées d avoir utilisé le cheval de Troie ZEUSpour accéder aux détails de login de banque en ligne d au moins 600 comptes chez HSBC, Royal Bank of Scotland, Barclays Bank et Lloyds TSB. En infectant les ordinateurs mal protégés, le gang a été capable de dérober les certificats en ligne et de manipuler les sessions de navigateurs web de leurs victimes en créant des pages supplémentaires qui requéraient des mots de passe, des codes PIN et des numéros de cartes bancaires Développements concernant la sécurité mobile Le site jailbreakme.com a rendu possible le déverrouillage de l iphone, de l ipad et de l ipod Touch simplement en visitant le site avec son appareil. Jailbreakme.com utilisait une faille pour exécuter un code sur le terminal. Risque de provoquer la première épidémie mondiale d un vers sur mobile.

8 Quelques faits CVE (Common Vulnerabilities and Exposures) vulnérabilités sont rendues publiques par le MITRE dans le CVE. Près de 13 vulnérabilités rendues publiques chaque jour

9 En cas d incident Questions Comment cela est-il arrivé? Qui a détecté l incident? Qui a des connaissances sur cet incident? Qu est ce qui a été fait? Peut-il se reproduire? Qui va répondre à cet incident et comment?

10 Computer Emergency Response Team Mission CERT assister ses adhérents en matière de sécurité informatique dans le domaine de la prévention, la détection et la résolution d incidents de sécurité Rôle point de contact pour la communauté d utilisateurs qu il représente. Cette structure doit pouvoir centraliser et diffuser l information à des interlocuteurs identifiés par des canaux sûrs.

11 CERT Historique Ver Morris : 2 Novembre 1988 épidémie de réseau Incident Morris: véritable signal d alarme prise de conscience de la nécessité impérative d une coopération et d une coordination au niveau des administrateurs systèmes et des responsables informatiques pour lutter contre ce type de phénomène.

12 Historique CERT Premier CERT crée : le CERT/CC CERT Coordination Center (CERT/CC3), implanté à la Carnegie Mellon University de Pittsburgh (Pennsylvanie) par la la DARPA (Defence Advanced Research Projects Agency).

13 CERT Avantages La centralisation de la coordination en matière de sécurité informatique au sein de l organisation (point de contact); La centralisation et la spécialisation du traitement et de la réponse aux incidents informatiques;

14 CERT Avantages La disponibilité d une expertise permettant de soutenir les utilisateurs et de les aider à la restauration de leur système après un incident de sécurité; Le suivi des évolutions dans le domaine de la sécurité; L incitation des parties prenantes à coopérer en matière de sécurité informatique (sensibilisation).

15 CERT Catégories Commercial Fournisseur Interne BTCERTCC (British Telecommunications CERT Co-ordination Centre) CiscoCERT DBCERT (Deutsche Bank Computer Emergency Response Team) MCERT (Motorola Cyber Emergency Response Team)

16 CERT Catégories Militaire National Universitaire ACERT(Army Emergency Response Team) US-CERT escert-upc ( CERT for the Technical University of Catalunya) AusCERT MyCERT

17 CERT Services Services Réactifs Services Proactifs Traitement des Artefacts Alertes et avertissements Annonces Analyse des artefacts Traitement des incidents Veille technologique Réponse aux artefacts Analyse des incidents Audits ou évaluations de la sécurité Coordination des réponses aux artefacts Réponse aux incidents sur place Configuration et maintenance de la Gestion de la qualité de la sécurité sécurité Appui à la réponse aux incidents Développement d outils de sécurité Analyse des risques Coordination de la réponse aux incidents Traitement des vulnérabilités Analyse des vulnérabilités Réponse aux vulnérabilités Coordination des réponses aux vulnérabilités Services de détection des intrusions Continuité de l activité et reprise après sinistre Diffusion d informations relatives à la sécurité Consultance en matière de sécurité Sensibilisation Éducation/formation Évaluation ou certification de produits

18 Alertes et avertissement Diffuser des informations décrivant: Services réactifs une attaque, une vulnérabilité de sécurité, une alerte d intrusion, un virus informatique ou un canular, et à recommander des mesures à court terme pour remédier aux problèmes qui en découlent But: prévenir les parties prenantes donner des conseils pour protéger leurs systèmes ou pour les restaurer s ils ont été affectés.

19 Traitement des incidents Services réactifs Le traitement des incidents consiste à recevoir, à trier et à répondre aux demandes et aux signalements, et à analyser les incidents et évènements. Other IDS Triage Information Request Hotline/ Phone Vulnerability Report Coordinate Information and Response Incident Report Analyze Obtain Contact Information Provide Technical Assistance

20 Services réactifs Analyse des incidents Définition: L analyse des incidents consiste essentiellement à examiner toutes les informations disponibles, ainsi que les éléments probants ou artefacts relatifs à un incident ou un évènement donné. But: Déterminer l ampleur de l incident, l étendue du dommage causé, la nature de l incident et les stratégies de réponse ou solutions temporaires.

21 Traitement des vulnérabilités Vulnérabilité: Services réactifs Faute, par malveillance ou maladresse, dans les spécifications, la conception, la réalisation, l'installation ou la configuration d'un système, ou dans la façon de l'utiliser. Exploit: Tout ou partie d'un code permettant d'utiliser une vulnérabilité ou un ensemble de vulnérabilités d'un logiciel (du système ou d'une application) à des fins malveillantes. Code 0jour / Zero-Day : Catégorie particulière de codes d'exploitation qui cible des vulnérabilités qui ne sont pas encore publiquement annoncées par l'éditeur, le constructeur ou un chercheur en sécurité

22 Évolution d une vulnérabilité Services réactifs Victimes Proof of Concept Automatisation Exploit Temps Découverte de la faille (Re)découverte de la faille ou fuite Publication Correctif disponible Correctif appliqué Correctif complet

23 Annonces, Veille, Audit Annonces Services proactifs alertes d intrusion, avertissements de vulnérabilité et les bulletins de sécurité, Veuille technologique observer les nouvelles évolutions techniques, les activités des intrus et les tendances en la matière, afin de contribuer à l identification des menaces futures. Audits ou évaluation de sécurité assurer l examen approfondi de l infrastructure de sécurité d une organisation sur la base des exigences fixées par celle-ci ou par d autres normes industrielles d application. Il peut également procéder à l examen des pratiques organisationnelles en matière de sécurité.

24 CERT CERT dans le monde

25 CERT CERT dans l Europe

26 CERT CERT dans le monde arabe

27 CERT CERT dans le monde arabe

28 CERT Organisation : FIRST Organisation reconnue en tant que leader mondial du secteur de la réponse aux incidents FIRST vise à stimuler la coopération et la coordination en matière de prévention des incidents, à accélérer les réactions en cas d incident et à promouvoir le partage d informations entre ses membres et dans l ensemble de la communauté.

29 Algérie Situation Nombre de sites attaqués augmente Types d incidents : Web Defacement Malicious Code Probing Denial of Service (arrêt de certains sites suite au flooding) Unauthorised Access Spams Phishing Virus Canulars

30 Projet DZ-CERT Algerian Computer Emergency Response Team Mission assister la communauté Algérienne dans l amélioration de la sécurité des communications et des systèmes en vue de réduire les risques d incidents de sécurité. Rôle Œuvrer à la prise de conscience et à la formation en sécurité informatique. Constituer un fond national regroupant toute information, outil ou technique concernant la sécurité. Aider le membre de Dz-CERT à appliquer les meilleures pratiques de sécurité disponibles. Assister les institutions en terme de veille en leur offrant toute l information nécessaire concernant les alertes, les menaces et les attaques possibles. Prendre en charge les incidents de sécurité et les vulnérabilités des systèmes par la réception, l analyse et la réponse aux requêtes et rapports. Intensifier le flux d information entre le DZ-CERT et les autres groupes internationaux similaires et établir des relations de coopération. Définir des projets de recherche et développement pour améliorer la sécurité des systèmes existants.

31 Projet DZ-CERT Services Veille Coopération Formation Coordination DZ- CERT Traitement des incidents Audit Alertes Annonces

32 Alertes & Annonces Portail de sécurité Projet DZ-CERT Nombre de vulnérabilités critiques: 205 Nombre d alertes virales critiques: 222

33 Audit de sites Projet DZ-CERT Description Impact Recommandations Résumé des Alertes. Vulnérabilitéde Centre Recherche type buffer sur Un attaquant peut exploiter overflow L information de Mod_Rewrite Scientifique et cette vulnérabilité pour Off By-One de Technique Apache déclencher un déni de service version courante: Apache/ Site Web: Niveau Elevé. Mettre à jour Apache avec la dernière version Description Impact Recommandations Détails Vulnérabilité du Scan de type buffer Un attaquant peut exploiter cette Mettre à jour Apache avec. overflow de Mod_Rewrite Off vulnérabilité pour déclencher un la dernière version Date des By-One tests de de Apache vulnérabilités déni : de 11 service. Avril 2010 version courante : Apache/ Adresse IP : yy.yy.yy.yy Bannière du serveur : Apache/ (Win32) PHP/ Vulnérabilité de type HEAP Exécution de codes arbitraires à Mettre à jour PHP Système Over flow d exploitation dans les fonctions : Windows distance et provocation d un déni Description HTML Entity Encoder de PHP de service Version Technologies courante du : PHP/ serveur : PHP Impact Application Web : Recommandations Mettre à jour PHP Vulnérabilité dans Possibilité d exécution de code Zend_Hash_Del_Key_Or_Index malicieux (injection SQL) DZ-CERT de PHP Liste des ports : Numéro Port Etat Bannière Faille Algerian XSS Computer Du Emergency code JavaScript, VBScript, Faille XSS ActiveX, Du code JavaScript, Votre VBScript, script doit filtrer les 20/tcp ftp-data ActiveX, Flash ou HTML Filter peut être Pages 21/tcp vulnérables : ftp injecté dans une application Filter Votre script doit filtrer les Response Team 25/tcp /exemple1.php Smtp vulnérable pour voler Filter des cookies Pages vulnérables: Flash ou HTML peut être injecté dans caractères spéciaux des des /exemple2.php de session et se faire passer pour entrées des utilisateurs Apache httpd ((Win32) 80/tcp http l utilisateur. Il est également open possible de modifier le contenu de PHP/ /exemple1.php une application vulnérable 110/tcp pour voler pop3 la page présentée à Filter entrées ce dernier. des utilisateurs 143/tcp Imap Filter 1433/tcp ms-sql-s Filter /exemple2.php des cookies de session et se faire passer Restreindre l utilisation de la Méthode 3389/tcp CONNECT activée microsoft-rdp Utilisation du Serveur open comme proxy méthode Microsoft CONNECT Terminal qu aux Service 67/udp dhcps? open utilisateurs internes si nécessaire Rapport d Audit de Vulnérabilités pour l utilisateur. Il est également Type du document: possible confidentiel modifier le contenu Niveau de l alerte Nombre de : Moyen total d alertes la : 14 n Date: 12 Avril 2010 Description Niveau des alertes : Impact Elevé : 5 Recommandations page présentée à ce dernier. Divulgation du code source Site web: Un attaquant peut recueillir Moyen des : 1 Pages vulnérables : /new/rech1gif /pw_abstracts_re/selart.html informations sensibles en analysant le code source. Bas : 3 Informationnel : 5 Supprimer ce fichier à partir de votre site ou modifier les autorisations afin de supprimer l'accès.

34 Projet DZ-CERT Étapes Etape 1: Etape 2: Etape 3: Etape 4: Etape 5: Etape 6: Formation de Base Planification Annonce aux partenaires Implémentation Initiale Phase Opérationnelle collaboration Education Planification Annonce Implementation Operation Collaboration