INF4420. Sécurité informatique Examen final - SOLUTIONS 2 mai 2005 Professeur : José M. Fernandez. 1. «Paranoïa» [3 sous questions ; 9 points]

Transcription

1 INF4420 Sécurité informatique Examen final - SOLUTIONS 2 mai 2005 Professeur : José M. Fernandez Directives : - La durée de l examen est de deux heures et demi - *Aucune* documentation permise (quantité raisonnable) - Calculatrice non programmable permise (mais ne sert à rien) - 6 questions (20 sous-questions) à répondre pour un total possible de 41 points (les points sont entre crochets) 1. «Paranoïa» [3 sous questions ; 9 points] Le professeur de sécurité informatique est toujours très paranoïaque (ça vient avec le métier et ça rend son psychanalyste riche et heureux!). Il doit partir en voyage à l étranger or il n a pas fini de préparer l examen final pour son cours. Il doit donc envoyer le questionnaire de l examen, une fois terminé, à sa secrétaire pour qu elle puisse le vérifier et l imprimer avant le jour de l examen final. Comme il ne veut pas prendre le risque d envoyer le questionnaire par courrier électronique (car il soupçonne que certains de ses étudiants en savent pas mal plus que lui en sécurité des réseaux), il décide d utiliser GPG pour chiffrer le questionnaire avant de l envoyer. Il utilise déjà GPG depuis un bon bout de temps. Sa clé publique est bien connue et réside déjà sur plusieurs serveurs de clés publiques. Son porte-clé («keyring») est déjà bien garni et contient les clés publiques de plusieurs amis, collègues et collaborateurs à Polytechnique et ailleurs dans le monde. Malheureusement, il remarque qu il n a pas la clé publique de sa secrétaire. Il lui envoie donc un courriel en lui expliquant ses intentions et la démarche à suivre, soit : 1) elle installe GPG, 2) elle génère une paire de clé privé et publique, 3) elle lui envoie la clé publique par courriel, 4) il chiffre le questionnaire avec la clé publique reçue et lui envoie le questionnaire chiffré et 5) elle le déchiffre avec sa nouvelle clé privé. En suivant ces instructions, la secrétaire arrive quand même à installer et configurer GPG sur sa machine et à se générer une paire de clés privé/publique. a) [3 points] Supposons qu une étudiante soit au courant du plan du professeur, par exemple, parce qu elle est capable d intercepter («sniffer») tout le trafic qui se dirige et/ou sort du poste de la secrétaire à partir de son portable qui est branché sur le réseau de l École, et elle est tombé sur le courriel d instructions envoyé par le professeur. Selon vous, est-ce que l étudiante serait en mesure de se servir de tout ceci pour obtenir une copie du questionnaire avant l examen? Si oui comment, si non pourquoi? (Note : l étudiante n est pas en mesure d empêcher le trafic de se diriger à sa destination.) Oui, elle pourrait. Elle pourrait envoyer un faux courriel au professeur contenant une clé publique générée par elle-même. Si elle fait ceci avant que la secrétaire le fasse, le professeur risque de ne rien soupçonner jusqu à ce que sa secrétaire lui envoie un courriel avec une autre (la vraie) clé publique; mais là ce sera trop tard si le professeur a déjà envoyé le formulaire. Encore mieux, l étudiante peut attendre que la secrétaire envoie la clé publique pour envoyer un «deuxième» message immédiatement après lui indiquant qu il y a eu erreur et que celle-ci est la bonne clé publique («oops! Je me suis trompé», etc.). Dans un cas ou l autre, elle sera capable de déchiffrer le questionnaire si le professeur est négligent et ne vérifie pas l authenticité de la clé. b) [3 points] Le professeur, toujours très paranoïaque, ne croit pas une seconde à l authenticité du courriel qu il vient de recevoir de la secrétaire, contenant sa clé publique. En supposant, qu il peut parler avec la secrétaire (par exemple, par téléphone), quel moyen peut-il utiliser pour vérifier l authenticité non seulement du message reçu mais aussi de la clé publique reçue? Premièrement, il peut la contacter en vérifiant avec elle si elle a bel et bien envoyé un courriel à l heure décrite sur le courriel qu il a reçu. Deuxièmement, il peut extraire un haché ou un «fingerprint» de la clé publique reçue par courriel. De son côté, la secrétaire fait de même avec sa clé publique. Ils n ont alors qu à comparer leurs hachés, chiffre par chiffre, pour vérifier qu ils sont identiques. SOLUTIONS EXAMEN FINAL INF4420 HIVER de 6

2 c) [3 points] Supposons maintenant que le professeur est dans un endroit tellement exotique qu il ne peut pas entrer en communication avec sa secrétaire par téléphone. Il ne dispose que d une connexion Internet de basse vitesse (donc pas de voix par IP ou autre moyen multimédia). Quel autre moyen existerait-il pour qu il puisse obtenir une copie de la clé publique de sa secrétaire dont il soit sûr de l authenticité? Il peut se servir du «Web of trust»!! Il doit trouver quelqu un dont la clé publique est déjà dans son porte-clé et qui puisse certifier la clé de la secrétaire, par exemple en vérifiant les hachés en lui parlant directement. Il pourra donc demander à un de ses collaborateurs à Polytechniquee, d obtenir la clé publique de la secrétaire, de la vérifier et finalement de lui envoyer un certificat avec cette clé publique, ce certificat signé par ce même collaborateur avec sa clé privée. Comme la clé publique du collaborateur se trouve déjà dans le porte clé, le professeur pourra vérifier l authenticité du certificat, et donc de la clé publique de la secrétaire. 2. «Paranoïa II» [3 sous questions ; 7 points] Nous continuons exactement avec le même scénario que dans la question 1. Cependant, dans ce cas ci le prof décide d utiliser une solution beaucoup plus simple. Il va tout simplement, se connecter sur le serveur Unix/Linux du département avec un tunnel SSH et utiliser une commande de copie de fichier qui utilise ce tunnel (tel que scp) pour copier le questionnaire sur un répertoire auquel seulement sa secrétaire et lui ont accès. En fait, un groupe d utilisateur a été crée spécialement à cet effet et les permissions sur ce répertoire sont 770. a) [2 points] La même étudiante «hackeuse» qu à la question 1 continue à pouvoir intercepter tout le trafic réseau qui se dirige et sort de la machine de la secrétaire, à partir de son portable qu elle a connecté dans une prise réseaux dans un laboratoire. Sera-t-elle donc en mesure d obtenir une copie de l examen à temps? Comment? Oui, comme avant. Premièrement, rien ne dit que la connexion entre la secrétaire et le serveur est chiffré, donc en principe elle devrait être capable d intercepter les paquets formant le fichier si celle-ci le copie sur sa machine, si elle l ouvre à partir de son ordinateur ou si tout simplement elle l imprime (sur une imprimante réseau ou locale). b) [2 points] Malheureusement pour l étudiante, en réalité toutes les prises réseaux des machines du personnel du département sont sur un VLAN (un sous-réseau virtuel de couche 2) différent de celui des laboratoires et différent de ceux des serveurs. De plus les commutateurs («switch») sont configurés de façon à ne rediffuser par défaut le trafic entre les différents VLAN qu aux adresses MAC concernées. Quel type d attaque de réseau l étudiante pourrait-elle utiliser pour réussir quand même à intercepter les paquets entre la machine de la secrétaire et le serveur. Elle peut utiliser la technique du «ARP Cache Poisoning» pour forcer les commutateurs à rediffuser vers le VLAN des laboratoires le trafic destiné aux autres VLAN. c) [3 points] Quel est le principe de fonctionnement de ce type d attaque? Le protocole ARP (Address Resolution Protocol) permet au machines d un LAN Ethernet (couche 2) de se «retrouver» à partir de leurs adresses IP respectives. Lorsqu une machine cherche une autre avec une certaine adresse IP, il envoie une requête ARP avec l adresse désirée en mode rediffusion («broadcast»). Les commutateurs acheminent ces requêtes partout sur le réseau jusqu à la machine ciblée; celle-ci répond alors avec un réponse ARP indiquant son adresse MAC. L attaque consiste à inonder le réseau de fausses réponses ARP de manière à faire croire à la machine initiale et aux commutateurs sur le réseaux qu ils doivent envoyer les paquets pour cette adresse IP à l adresse MAC de la machine attaquante, dans ce cas celle de l étudiante. 3. Questions «rafales» [6 questions ; 8 points] Répondez de façon succincte (1 ou 2 phrases devraient suffire). a) [1 point] Quels sont les objectifs principaux d un plan de continuité d affaires ou Business Continuity Plan (BCP) en anglais? Le BCP assure qu une fois que les systèmes d information ont été partiellement ou totalement rétablis après un désastre, les processus d affaires peuvent continuer malgré les interruptions et les défaillances passées ou présentes des systèmes d information. À ne pas confondre avec un plan de recouvrement de désastre ou SOLUTIONS EXAMEN FINAL INF4420 HIVER de 6

3 Disaster Recovery Plan (DRP) en anglais, qui vise à rétablir les services informatiques le plus rapidement et efficacement possible. b) [2 points] Qu est-ce qu un «traîneau de NOPs» et qu est-ce que ça mange en hiver (à quoi ça sert)? Il s agit d une série de code hexadécimal représentant l instruction assembleur NOP («No OPeration»). Elle est souvent insérée dans l entrée envoyé à une application présentant un vulnérabilité de débordement de tampon («Buffer Overflow»). L utilisation du traîneau de NOP permet que le code inséré dans l entrée envoyée soit exécuté même quand la distance entre le pointeur de retour et le commencement du code inséré est variable : quand l adresse du code à exécuter est variable, alors il suffit que le pointeur de retour pointe à quelque part dans le traîneau pour que le code soit exécuté. c) [1 point] En quoi consiste l «ingénierie sociale» (Social Engineering)? Dans le contexte de la sécurité informatique on utilise ce terme pour parler de la technique de piratage («hacking») qui consiste à obtenir de l information sensible au sujet d un système d information (p.ex. information de configuration, mots de passes, etc.) en la soutirant directement des personnes qui la connaissent (p.ex. utilisateurs, administrateurs de systèmes) en interagissant directement avec elles (en personne, par téléphone, par courriel, par clavardage ou «chat», etc.). d) [1 point] Quelle est la meilleure technique de prévention contre le «social engineering»? L éducation et la sensibilisation des utilisateurs et responsables des systèmes sur les menaces, la politique de sécurité et plus généralement sur les principes de base de la sécurité informatique : la prudence, la compartimentalisation de l information ou principe du «need-to-know» et bien sûr le Gros Bon Sens. e) [2 points] Que fait un IPS (Intrusion Prevention System) qu un IDS ne fait pas? Soyez précis. Un système de prévention d intrus pourra prendre des actions pour protéger le réseau contre des attaques soupçonnées sur la base d activités détectées sur le réseau. Entre autres, il peut filtrer (c est-à-dire ne pas acheminer) des paquets qui sont identifiés comme étant malicieux, changer certains aspects de la configuration réseau tel les ports ouverts, etc. f) [1 point] Si l on décide de couper tous les liens physiques entre l Internet et un système d information critique, quelle composante du risque (dans le cas de menace délibérée) vient-on de diminuer? Pourquoi? En prenant cette action on vient de réduire de façon significative la probabilité d une attaque l extérieur car on réduit de manière significative la composante d opportunité qu un attaquant extérieur pourrait d accéder au système et donc de réussir une attaque sur le système. 4. Questions «vrai» ou «faux» [3 questions ; 4 points total] Répondez «vrai»ou faux» en donnant une explication succincte (1 ou 2 phrases). g) [2 points] Soit S une source d information dont on veut protéger le contenu avant transmission. Si on choisit un algorithme de codage de cette information tel que l entropie de S par bit de codage est tout près de 1, alors il n est pas nécessaire de chiffrer le message une fois codé. Faux, car l algorithme de codage est en général connu et parce qu il n a pas nécessairement les propriétés requises pour protéger l information dans un contexte cryptographique. h) [1 point] Un employé qui n a pas obéit à la politique de sécurité de la compagnie, dont il a reçu une copie lors de son engagement, pourrait être renvoyé s il a enfreint une des règles de cette politique. Vrai,la politique de sécurité de la compagnie a force de contrat si elle est promulgué correctement. Un employé peut être renvoyé pour infraction majeure aux normes et règlements d une entreprise ou organisation. i) [1 point] Un serveur dont le système d exploitation et tous les logiciels ont été mis à jour avec les dernières rustines («patch»), qui est protégé par un pare-feu «host-based» et un logiciel anti-virus, tous les deux avec des fichiers de signatures à jour, n est pas vulnérable à une attaque par réseau. Faux, aucune de ces contre-mesures le protègent contre des vulnérabilités exploitables des logiciels qu il roule mais qui n auraient pas encore été détectées (les fameuses attaques du jour zéro («Zero-day attacks»). SOLUTIONS EXAMEN FINAL INF4420 HIVER de 6

4 5. Sécurité des bases de données [3 sous-questions ; 9 points ] Une entreprise veut se monter une base de données relationnelle pour la facturation des clients. Il y a deux tables en relation, une qui tient tous les clients, et l autre qui tient toutes les factures, chaque client pouvant avoir plusieurs factures, tel qu illustré : Clients Factures ID Nom Ville NAS #Tel Date Montant Client_ID Payé Alice et Bob, employés de la compagnie, sont des gérants de comptes et doivent pouvoir facturer (créer et envoyer de nouvelles factures) ainsi que modifier toutes les données des clients (y compris en ajouter). Charlie et Ève s occupent des comptes à recevoir et doivent pouvoir consulter les factures d un client, et y inscrire si elles ont été payées. Ils ne doivent pas avoir accès aux données privées (numéro d assurance sociale et #Tel), mais doivent être capable de retrouver toutes les factures d un client déterminé à partir de son nom ou adresse. SELECT Rappel de la structure des commandes pertinentes en SQL : GRANT REVOKE UPDATE INSERT ON <table> <view> TO <user> <group> Le système de gestion de la base de données (SGBD) supporte l authentification d usagers via le système d exploitation. Donc, tel qu indiqué par la syntaxe SQL, il est possible d attribuer des droits d accès soit à des usagers individuels du système d exploitation, soit à des groupes d usagers définis dans le système d exploitation. (Vous pouvez présumer que les noms d utilisateurs des personnes ci-haut sont simplement leur prénom) a) [2 points] Quelles groupes d utilisateurs devrait-on créer (et avec quels membres)? Il y a essentiellement deux rôles d identifiés dans le problème avec lesquels on associera un groupe d utilisateurs : les gérants de comptes qui feront parti du groupe vente_group et contient les usagers alice et bob les personnes des comptes à recevoir qui feront parti du groupe comptab_group et contient charlie et eve. b) [4 points] Dites ce qu il faut faire pour donner l accès minimum requis aux bonnes personnes? (commandes SQL si possible; des explications claires sont aussi acceptables). 1) Pour permettre aux gérants de compte de pouvoir accéder et modifier des données des clients et de facturer : CREATE VIEW ventes_view SELECT id, nom, ville, nas, #Tel, date, montant, client_id FROM clients, factures WHERE id = client_id GRANT SELECT ON ventes_view TO ventes_group ; GRANT INSERT ON ventes_view TO ventes_group ; GRANT UPDATE ON ventes_view TO ventes_group ; Pour permettre aux personnes des comptes à recevoir de : 2) visualiser les données d un client et des factures correspondantes : CREATE VIEW comptab_view SELECT id, nom, ville, date, montant, client_id, payé FROM clients, factures WHERE id = client_id GRANT SELECT ON comptab_view TO comptab_group 3) Inscrire qu une facture a été payée SOLUTIONS EXAMEN FINAL INF4420 HIVER de 6

5 CREATE VIEW comptab_paye_view SELECT paye FROM factures GRANT UPDATE ON comptab_paye_view TO comptab_group c) [3 points] Étant donné que l entreprise à beaucoup de problèmes avec des clients qui ne paient pas leurs factures à temps, il est décidé de faire affaire avec deux agences de recouvrements : la Brokenfinger and Bros. pour les clients de Montréal et la Société Rock Angels Inc. pour le reste de son territoire. On donne accès à chacune de ces compagnies via une interface Web (un Extranet). Une fois l authentification faite sur le serveur Extranet, celui-ci se connecte sur le SGBD avec le compte d usager correspondant. Deux groupes d usagers ont été créés pour les utilisateurs de ces compagnies : brokenfinger_group et rockangels_group. L entreprise veut que les utilisateurs de ces compagnies puissent consulter toutes les données des clients qui auraient des factures non payées de plus de 90 jours d échéance (mais seulement ceux-là!), ainsi que les données sur ces factures. Décrivez les commandes nécessaires pour leur donner l accès minimum à la BD (Note : Les fonctions SQL adddate (<date>, <#jours>) et subdate (<date>, <#jours>) permettent d ajouter ou de soustraire un nombre de jours à un champ de type date. La fonction CURRENT_DATE() retourne la date d aujourd hui). CREATE VIEW recouvrement SELECT id, nom, ville, NAS, #Tel, date, montant, client_id, paye FROM clients, factures WHERE id = client_id AND paye = 'FALSE' AND date < SUBDATE(CURRENT_DATE(), 90) ; CREATE VIEW recouvrement_montreal SELECT * FROM recouvrement WHERE ville = Montreal ; CREATE VIEW recouvrement_autres SELECT * from recouvrement WHERE ville <> Montreal ; GRANT SELECT ON recouvrement_montreal TO brokenfinger_group ; GRANT SELECT ON recouvrement_autres TO rockangels_group ; 6. Le futur de la profession en sécurité informatique [4 points] a) [2 points] Quelles sont les raisons pour lesquelles les comptables agréés et les auditeurs financiers s intéressent de plus en plus à la sécurité informatique? Nommez en au moins deux. Plusieurs bonnes raisons, en voici quelques unes : Les données financières qu ils doivent examiner et pour lesquelles les compagnies sont redevables envers les actionnaires doivent être adéquatement protégées contre la fraude et autres menaces délibérées ou accidentelles. Tel est le contexte de la loi Sarbanes-Oxley aux ÉU. Le manque de protection des systèmes d informations pourrait mettre en risque de façon inacceptables les profits de l entreprise et donc sa santé financière. Leur expérience procédurale en audit et mesure de contrôle peut être parfois utile et applicable dans l audit de systèmes d information. b) [2 points] Quelques unes des plus importantes associations professionnelles qui oeuvrent dans le domaine de la sécurité informatique offrent des programmes d accréditation professionnelle. Par exemple, le ISC2 offre les certifications SSCP (Systems Security Certified Practitioner) et CISSP (Certified Information Systems Security Professional), alors que l ISACA offre les certifications CISA et CISM (Certified Information Systems Auditor et Manager). D un autre côté, vous serez bientôt tous membres de l Ordre des ingénieurs du Québec (OIQ) en tant qu ingénieur informaticien ou ingénieur logiciel. Décrivez au moins une différence fondamentale entre ces organisations et un aspect important dans lequel elles sont similaires en ce qui a trait avec la sécurité informatique. Similarités : SOLUTIONS EXAMEN FINAL INF4420 HIVER de 6

6 o o Différences : o o Cadre légal. Ni l OIQ ni aucune de ces organisations oeuvrent dans un cadre légal en ce qui concerne la sécurité informatique. Malheureusement, nul n est obligé de faire affaire à un CISSP ou à un CISA ni à un ingénieur informatique ou logiciel pour la construction, l opération ou inspection d un système informatique, même si critique. En d autres mots, il n existe aucun «acte protégé» dans le domaine de la sécurité informatique. Reconnaissance du public. En général, les membres de ces organisations jouissent d une bonne réputation et sont reconnus par le public et ceux oeuvrant dans le domaine comme étant bien formés et compétents. Cadre déontologique. Quoique que certaines de ces organisations ont un code déontologique, seule l OIQ se prévaut de mécanismes pour l inspection de la pratique de ses membres et de procédures disciplinaires permettant l imposition de restriction sur la pratique de la profession, pouvant aller même jusqu à la radiation (c-à-d l expulsion). Formation et admission. Il faut passer des examens spécialisés dans le domaine pour obtenir les accréditations de ces organisations. Cependant, ni les règlements de l OIQ ni ceux du BCAPI (Bureau canadien d accréditation des programmes d ingénierie) oblige l ingénieur informatique ou logiciel à avoir quelque connaissance que ce soit en sécurité informatique pour obtenir ce titre... SOLUTIONS EXAMEN FINAL INF4420 HIVER de 6