ITSR43 : INGÉNIERIE DES SYSTÈMES D INFORMATION. Benoît Darties

Transcription

1 ITSR43 : INGÉNIERIE DES SYSTÈMES D INFORMATION Benoît Darties

2 INTRODUCTION

3 NOTION D INFORMATION Information vs Données 2010 : 7 Eo entreprises (10^18) 6 Eo particuliers Production jusqu en 2003 < 2 j

4 mail mail comptes date-de-naissa statistiques QUELLES DONNÉES? 4

5 EXPLOITATION DES DONNÉES Besoin d exploiter efficacement les données Stockage? - Support - Organisation - Redondance vs Doublons Traitement? - Dépend du stockage, des opérations Sécurisation? Accès? - Adaptation à l utilisateur 5

6 SYSTÈME D INFORMATION Un système d'information (SI) est un ensemble organisé de ressources (matériels, logiciels, personnel, données et procédures) qui permet de regrouper, de classifier, de traiter et de diffuser de l'information sur un environnement donné. 6

7 INGÉNIERIE DES SI Spécification des besoins (Méta-)modélisation des SI Méthodologie de conception Reconception et maintenance Problématique des bases de données 7

8 SI ET ENTREPRISES Besoins des entreprises (ligne de) production / stocks / services gestion commerciale logistique ressources humaines comptabilité clients et facturation gestion du parc informatique 8

9 PROTECTION DES DONNÉES

10 VOS INFORMATIONS ONT DE LA VALEUR! 10

11 QUI VOUDRAIT DE VOS DONNÉES? Annonceurs Annonceurs Publicitaires Concurrents Entreprises Entreprises Hackers Mafia Mafia Rivaux Gouvernement Escrocs Curieux Collègues Patron Employeur Employeur Recruteur 11

12 QUELLE UTILITÉ? Publicités ciblées Diffusion de l information Augmenter sa productivité, son CA Nuire à l autre Escroqueries cyber-criminalité Décrédibiliser... 12

13 ATTAQUE DES SYSTÈMES D INFORMATION Avril 2011 : Playstation Network de Sony 13

14 ATTAQUE DES SYSTÈMES D INFORMATION Avril 2011 : Epsilon 14

15 ATTAQUE DES SYSTÈMES D INFORMATION Juin 2011 : SEGA Pass, de Sega 15

16 ATTAQUE DES SYSTÈMES D INFORMATION Aout 2011 : RIM, blackberry 16

17 ATTAQUE DES SYSTÈMES D INFORMATION Aout 2011 : Epson 17

18 ATTAQUE DES SYSTÈMES D INFORMATION Aout 2011 : Cyworld et Nate, Corée du sud 18

19 UTILISATEURS ET SÉCURITÉ

20 UTILISATEURS D UN SGBD Définition d un utilisateur du SDBG nom d utilisateur / mot de passe point d entrée sur le système - utilisateur local / réseau - cohérence + redondance avec le pare-feu droits sur le système - données accessibles en lecture - données accessibles en lecture / écriture - autres actions 20

21 UTILISATEURS D UN SGBD Identification d un accès utilisateur nom d utilisateur + point d entrée application sur mysql : - username@clienthost ou mieux : clienthost - % désigne n importe quel hôte exemples : - localhost - %

22 UTILISATEURS ET MOTS DE PASSE Changer un mot de passe : exemple mysql Utilitaire shell mysqladmin $ mysqladmin -u username -h hostname password "newpassword" 22

23 MESURE DES RISQUES

24 RISQUES HUMAINS Maladresse Inconscience Malveillance Ingénierie Sociale Espionnage 24

25 SOCIAL ENGINEERING définition : méthode qui consiste à gagner la confiance d un utilisateur, d un employé, afin de lui subtiliser des informations sensibles usurpation d identité - administrateur - opérateur - par téléphone / mail renouveau du social engineering - les réseaux sociaux 25

26 SOCIAL ENGINEERING danger des réseaux sociaux : le cas Hacker Croll D'où l'attaque par Yahoo!? Oui, il y avait d'autres employés qui avaient renseigné une adresse C'était le cas de Jason Goldman par exemple. Je vais sur Yahoo!. Je clique sur «mot de passe oublié» et je rentre son adresse. Je me heurte à une première difficulté. Laquelle? Yahoo! demande de vérifier l'identité avant de pouvoir accéder à la question secrète. Pour cela, il demande de renseigner la date de naissance, le code postal, le pays tels qu'ils figurent sur le compte. Je n'avais jamais réussi à franchir cette étape, mais, par chance, l'employé possédait un blog qui datait de 2002 et dans lequel il racontait sa vie. Dans son profil figuraient son âge et son signe astrologique. J'ai ainsi pu déterminer son année de naissance. Zataz : Pouvez-vous nous expliquer votre méthode? Hacker Croll : Oh, elle est presque simple. Il fallait un peu de temps, de chance et de curiosité. Première action, arriver à trouver une adresse électronique des employés. J'ai juste eu à chercher en faisant un whois (2) sur des noms de domaine appartenant à des employés. Seulement, au départ, galère. Certains registrars [gestionnaires de noms de domaine, NDLR] masquent les adresses pour lutter contre le spam et préserver un peu plus l'anonymat de leurs clients. Je me suis rendu sur la page «About us» de Twitter et j'ai consulté la fiche de chaque employé. Certains avaient indiqué l'url de leur site Web. Il m'a suffi de faire, de nouveau, un whois. Vous n'aviez pas le jour? Non, mais en cherchant dans des articles, j'ai rapidement pu trouver ma réponse dans une page datant d'octobre Heureusement, d'ailleurs, car Yahoo! bloque les comptes après dix fausses tentatives [au bout de dix mauvaises tentatives de connexion, NDLR]. Le code postal n'a pas été compliqué. Je l'ai trouvé à l'aide du whois. Pour sa question secrète, simple, c'était sa ville de naissance, Saint Louis. interview complète : 26

27 SOCIAL ENGINEERING Concours Social Engineering DefCon 2010 Objectif - récupérer des données sensibles et/ou faire exécuter une action (ex ouvrir une page web) à une cible Cibles salariés de 17 grandes entreprises (dont Google, Wal-Mart, Symantec, Cisco, Microsoft) Résultats - seuls 5 employés ont donné une fin de non recevoir - 5 femmes... 27

28 SOCIAL ENGINEERING Test de Bit Defender Cibles personnes travaillant dans le secteur de la sécurité informatique Méthode - Envoi d une demande d ami d un faux profil de femme Résultats - 1/2h => 10% divulguent des info personnelles - 2h => 73% fuitent certaines informations confidentielles 28

29 SOCIAL ENGINEERING Le cas Kandice Verdique Demande d ajout en ami 29

30 SOCIAL ENGINEERING Le cas Kandice Verdique Parfaite inconnue, aucun ami en commun Récemment arrivée sur facebook (9 amis) Photos de profil Buzzword «Côte d Ivoire», «Marié?» dès trois phrases 30

31 SOCIAL ENGINEERING Se convaincre une fois pour toutes capture d écran google images : 31

32 SOCIAL ENGINEERING Se convaincre une fois pour toutes 32

33 SOCIAL ENGINEERING Arnaque grossière... et pourtant si efficace... 33

34 SOCIAL ENGINEERING Le hack du disque dur jeté Expérience du département US de la sécurité intérieure Victimes - Employés gouvernementaux - Sociétés partenaires privées Méthode - clés USB et CD jetés sur le parking Résultats - 60% ont insérés le disque dans un ordinateur - 90% si logo gouvernemental apposé 34

35 EN RÉSUMÉ : «Rule n 1 is, don t open suspicious links Rule n 2 is, see Rule n 1 Rule n 3 is, see Rules n 1 and 2» 35

36 COMPORTEMENTS PAR DÉFAUT Les autres ennemis de l administrateur sa négligence sa flemme sa faculté à sous-estimer : - l importance des données qu il administre - la ténacité des attaquants 36

37 COMPORTEMENTS PAR DÉFAUT Exemples : Installation d outils - CMS, forums, sans modifier les droits Installation d un serveur SQL - compte root actif, non sécurisé Un grand classique : phpmyadmin - Installé dans le répertoire racine du site web - non protégé par.htaccess - nom du répertoire par défaut 37

38 COMPORTEMENTS PAR DÉFAUT Extraits de fichiers log [14/Jun/2011:11:32: ] "GET //phpmyadmin pl1/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin rc1/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin pl1/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin pl2/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin pl3/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin-2.6.4/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin beta1/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin rc1/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin pl1/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin pl2/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin-2.7.0/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin beta1/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin rc1/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin rc2/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin-2.8.0/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin /scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin /scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin /scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin /scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin rc1/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin-2.8.1/scripts/setup.php HTTP/1.1" [14/Jun/2011:11:32: ] "GET //phpmyadmin-2.8.2/scripts/setup.php HTTP/1.1"

39 COMPORTEMENTS PAR DÉFAUT Extraits de fichiers log [15/Jul/2011:09:21: ] "GET //sqlmanager/scripts/setup.php HTTP/1.1" [15/Jul/2011:09:21: ] "GET //mysqlmanager/scripts/setup.php HTTP/1.1" [15/Jul/2011:09:21: ] "GET //p/m/a/scripts/setup.php HTTP/1.1" [15/Jul/2011:09:21: ] "GET //PMA2005/scripts/setup.php HTTP/1.1" [15/Jul/2011:09:21: ] "GET //pma2005/scripts/setup.php HTTP/1.1" [15/Jul/2011:09:21: ] "GET //phpmanager/scripts/setup.php HTTP/1.1" [15/Jul/2011:09:21: ] "GET //php-myadmin/scripts/setup.php HTTP/1.1" [15/Jul/2011:09:21: ] "GET //phpmy-admin/scripts/setup.php HTTP/1.1" [15/Jul/2011:09:21: ] "GET //webadmin/scripts/setup.php HTTP/1.1" [15/Jul/2011:09:21: ] "GET //sqlweb/scripts/setup.php HTTP/1.1" [15/Jul/2011:09:21: ] "GET //websql/scripts/setup.php HTTP/1.1" [15/Jul/2011:09:21: ] "GET //webdb/scripts/setup.php HTTP/1.1" [15/Jul/2011:09:21: ] "GET //databaseadmin/scripts/setup.php HTTP/1.1" [15/Jul/2011:09:21: ] "GET //admm/scripts/setup.php HTTP/1.1" [15/Jul/2011:09:21: ] "GET //admn/scripts/setup.php HTTP/1.1" Caractéristiques - Attaques automatisées - Plages d ip scannées 39

40 COMPORTEMENTS PAR DÉFAUT Protections : avertir le FAI - Commande whois $ whois inetnum: netname: UPC descr: UPC Magyarorszag Kft. descr: CATV dynamic IP pool country: HU admin-c: TM537-RIPE admin-c: TM537-RIPE tech-c: GE2196-RIPE status: ASSIGNED PA remarks: Contact abuse@chello.hu concerning remarks: activities like spam, portscan, etc... - mail incluant les logs Ban de l adresse IP ou de la plage - permanent ou non, politique à définir - script de scan des fichiers logs 40

41 FAIBLESSE DES MOTS DE PASSE Description de l attaque : Tentative d accès bruteforce - utilisation de listes de mots de passe conventionnels - wordlist dans google Protections : Mot de passe difficiles Pare-feu 41

42 RISQUES TECHNIQUES

43 PROGRAMMES MALVEILLANTS Type de programmes malveillants : Virus Ver Wabbit Cheval de Troie Backdoor Spyware Keylogger Exploit rootkit 43

44 SQL INJECTION Attaque dite «SQL Injection» Principe - Injecter du code SQL au travers des champs de saisie d une page HTML - Insertion, suppression, altération des données et des droits des utilisateurs Utilisation - Tout formulaire, Forum, CMS... Protection - désactiver les caractères spéciaux dans les champs. - fonctions stripslashes(), str_replace() en php 44

45 EXEMPLE : SITE DE VENTE EN LIGNE user username password address tel mail purchase id_purchase date username id_product product id_product product_name product_description price......

46 SQL INJECTION Sur un serveur http : login : password : connect <form action=login.php>... <input type=text name='p_login' />... <input type=passwd name='p_pass' />... </form> # page login.php... $link = mysql_connect(monserveur,...,...); mysql_select_db('bdd_siteweb', $link); # récupération de la valeur du login dans la variable $p_login # récupération de la valeur du password dans la variable $p_pass... $requete="select * FROM user WHERE username='$p_login' AND password= '$p_pass'"; $result = mysql_query($requete); if (mysql_num_row ($result) ==0) { echo "login incorrect";...} else { echo "welcome $thelogin";...}

47 SQL INJECTION Sur un serveur http : login : password : benoit texdfgre connect <form action=login.php>... <input type=text name='p_login' />... <input type=passwd name='p_pass' />... </form> # page login.php... $link = mysql_connect(monserveur,...,...); mysql_select_db('bdd_siteweb', $link); # récupération de la valeur du login dans la variable $p_login # récupération de la valeur du password dans la variable $p_pass... $requete="select * FROM user WHERE username='$p_login' AND password= '$p_pass'"; $result = mysql_query($requete); if (mysql_num_row ($result) ==0) { echo "login incorrect";...} else { echo "welcome $thelogin";...}

48 SQL INJECTION Sur un serveur http : login : password : benoit texdfgre connect <form action=login.php>... <input type=text name='p_login' />... <input type=passwd name='p_pass' />... </form> # page login.php... $link = mysql_connect(monserveur,...,...); mysql_select_db('bdd_siteweb', $link); # récupération de la valeur du login dans la variable $p_login # récupération de la valeur du password dans la variable $p_pass... $requete="select * FROM user WHERE username='$p_login' AND password= '$p_pass'"; $result = mysql_query($requete); if (mysql_num_row ($result) ==0) { echo "login incorrect";...} else { echo "welcome $thelogin";...} =benoit =texdfgre

49 SQL INJECTION Sur un serveur http : login : password : benoit texdfgre connect <form action=login.php>... <input type=text name='p_login' />... <input type=passwd name='p_pass' />... </form> # page login.php... $link = mysql_connect(monserveur,...,...); mysql_select_db('bdd_siteweb', $link); # récupération de la valeur du login dans la variable $p_login # récupération de la valeur du password dans la variable $p_pass... =benoit =texdfgre $requete="select * FROM user WHERE username='$p_login' AND password= '$p_pass'"; $result = mysql_query($requete); if (mysql_num_row ($result) ==0) { echo "login incorrect";...} else { echo "welcome $thelogin";...} SELECT * FROM user WHERE username='benoit' AND password= 'texdfgre'

50 SQL INJECTION Mode opératoire : création de la requête par le module php exécution de la requête forgée sur le serveur SQL - Sélection des lignes dans la table username - Retour du résultat dans le module php Si le résultat contient au moins une ligne - Identification correcte, accès au site Autrement (aucune ligne) - Identification refusée 47

51 SQL INJECTION Que se passe-t il si le mot de passe entré est : sdfdfds OR username='gilles aa ; DELETE * FROM user WHERE username!= aa ; INSERT into mysql.users...; UPDATE product...; SELECT * FROM user WHERE username='$p_login' AND password= '$p_pass' 48

52 SQL INJECTION Que se passe-t il si le mot de passe entré est : sdfdfds OR username='gilles aa ; DELETE * FROM user WHERE username!= aa ; INSERT into mysql.users...; UPDATE product...; SELECT * FROM user WHERE username='$p_login' AND password= '$p_pass' SELECT * FROM user WHERE username='benoit' AND password= 'sdfdfds OR username='gilles' 48

53 SQL INJECTION Que se passe-t il si le mot de passe entré est : sdfdfds OR username='gilles aa ; DELETE * FROM user WHERE username!= aa ; INSERT into mysql.users...; UPDATE product...; SELECT * FROM user WHERE username='$p_login' AND password= '$p_pass' SELECT * FROM user WHERE username='benoit' AND password= 'sdfdfds OR username='gilles' SELECT * FROM user WHERE username='benoit' AND password= 'aa ; DELETE * FROM user WHERE username!='' 48

54 SQL INJECTION Protection contre l injection SQL désactiver les caractères spéciaux dans les champs. fonctions stripslashes(), str_replace() en php mises à jour limiter les actions des comptes utilisateurs 49