Sécurité de l information : un cas réel d intrusion à l UQAM. Présentation GRICS RN novembre 2010

Transcription

1 Sécurité de l information : un cas réel d intrusion à l UQAM Présentation GRICS RN novembre 2010

2 Plan de la présentation Mise en contexte D incident à crise de sécurité informatique L art de la guerre Chapitre 2: Conduite de la guerre Chapitre 4: Les dispositions Chapitre 5: Les forces Chapitre 6: Points forts et points faibles Chapitre 7: Manœuvre Chapitre 11: Les neufs champs de bataille Chapitre 13: Espionnage et renseignement L après-crise

3 Mise en contexte Qui en a parlé? Rue Frontenac Radio-Canada ( Direction informatique, etc. Ce que les médias ont dit: Arrestation d un présumé pirate Séquence des événements Coûts de la crise (en général)

4 Mise en contexte Les universités sont caractérisés par: Un réseau public ouvert Un grand nombre de ressources informatiques à protéger (environ 7000 postes de travail inventoriés à l UQAM) Un grand nombre d utilisateurs ( à l UQAM) Un parc d envergure non-confirmée (environ 7500 équipements IP à l UQAM) Un nombre incalculable de sites Web Plusieurs partenaires De nombreuses «PME» Un réseau sans-fil au centre-ville

5 D incident à crise Reconnaissance et intrusion de base par le biais d équipements de recherche nongérés Intrusion sur une série de postes et utilisation pour relayer des attaques Tentative d intrusion sur bases de données institutionnelles Intrusion sur des serveurs institutionnels Intrusion sur le réseau sans-fil

6 D incident à crise Laisser l enquête se dérouler et prendre le temps de bien analyser Contenir les dommages et retourner à un état sécuritaire le plus rapidement possible

7 L art de la guerre La sécurité informatique souvent comparée à: Partie d échecs Théorie mathématique des jeux (Game-Theory) Bataille militaire Opposants Pirate informatique (Attaquant) Équipe de l UQAM avec des alliés (Défense) Bell Canada, Kéréon, Satori Interréseautage, HumanIT, Microsoft, Cisco, Juniper Networks, Université de Montréal, Sûreté du Québec, etc.

8 L art de la guerre La position de défense est peu enviable sauf si: L attaquant perd plus à attaquer et à gagner qu à ne pas attaquer Les défenses sont suffisamment efficaces pour créer un désavantage de terrain pour l attaquant qui le rendra lui-même vulnérable à une attaque L attaquant n est pas suffisamment préparé L attaquant ne souhaite pas vraiment s engager dans une bataille L attaquant n est pas compétent

9 L art de la guerre Conduite de la guerre Chaque armée se dote de ses armes et se prépare: Le Pirate : Ses armes (Kismet, Wireshark, PWDUMP, Metaploit, Nikto, etc.) Reconnaissance de ses cibles (scan, tentatives d intrusions, dump sur le sans-fil, etc.) L UQAM: Protection de son périmètre Protection de ses serveurs Équipe familière avec les intrusions Rapports fréquents de vulnérabilités des actifs

10 L art de la guerre - Dispositions Ceux qui se défendent se fient sur les défenses du terrain UQAM: Procédure rapide de mise à jour des correctifs de sécurité OS, Firewall minimaliste, IPS, réseau sans-fil sécurisé, etc. Protection centrée davantage sur les actifs critiques (mesure la plus rapprochée de l actif à haute valeur) Ceux qui attaquent profitent des événements qui réduisent la protection naturelle Pirate: Comptes dormants inutilisés, failles Web, mauvaises pratiques de gestion des accès, dépendances inter-systèmes, multitude de systèmes

11 L art de la guerre Les forces La gestion des forces doit reposer sur une organisation des équipes qui relaient les informations On doit utiliser des forces normales pour affronter l opposant On doit utiliser nos forces extraordinaires pour créer un revirement et prendre l ennemi par le flanc

12 L art de la guerre Les forces Pirate informatique Peu de ressources à coordonner Déploiement des attaques à des moments variables lorsque la plupart des forces opposantes sont absentes ce qui a pour effet de: Prolonger les heures de présence des opposants (14 à 20 heures / jour) Disperser les efforts UQAM: Responsables de task forces - Analyse et «forensic» (1) - Recertification (1) - Protection (1) Direction de l institution (6) Gestion opérationnelle de la crise Équipes opérationnelles (multi-divisions et interorganisations 22 personnes à temps complet) Comité de direction du Service de l informatique et des télécommunications (6)

13 L art de la guerre Points forts et points faibles Celui qui occupe déjà le terrain est en position de force UQAM est avantagée par sa connaissance de son environnement Pirate est avantagé par sa connaissance du terrain qu il a déjà conquis avant que l UQAM le détecte Lorsque votre opposant est en position de force, obligez-le à bouger lorsqu il est au repos Le pirate est avantagé par un horaire non-traditionnel L UQAM est désavantagé par une couverture horaire restreinte en matière d expertise avancée

14 L art de la guerre Points forts et points faibles Tenter de disperser l ennemi en ciblant plusieurs endroits surtout où il est le plus faible Le pirate est avantagé par le large parc informatique qui n est pas sous le contrôle du service central de l informatique Le pirate est avantagé par l ouverture du réseau universitaire L UQAM est avantagée par sa connaissance du fait que le pirate répartit ses efforts sur différentes cibles Garder l opposant dans l ignorance d où aura lieu la bataille Chacun essai de garder l autre dans l ignorance de ses manœuvres

15 L art de la guerre Manœuvres Il faut pouvoir protéger plusieurs fronts en même temps UQAM: Avantage sur le nombre de ressources disponibles Restriction du nombre de fronts disponibles par la contention Il faut bien connaître le terrain UQAM: Après un certain nombre de jours d analyse, l UQAM connaissait mieux l opposant (cibles, méthodologies, etc.) Pirate: Ne semblait pas en apprendre plus que ce qu il savait au début de la crise ou du moins n utilise pas judicieusement ses informations

16 L art de la guerre Manœuvres À un ennemi cerné, il faut laisser une issue qui peut devenir un piège UQAM: Contention des accès à distance au réseau de l UQAM Contention des accès de l UQAM vers l externe Demeure une certaine vulnérabilité à partir du réseau interne (accès local requis)

17 L art de la guerre Les neuf champs de bataille Terrain de communication Territoire vaste et plat où on peut aller et venir sans contrainte Veiller à ce que les forces ne soient pas dispersées Porter une attention rigoureuse à ses défenses Dresser des fortifications près des lieux de bataille Terrain de dispersion Typique de ceux qui se battent sur leur propre terrain La proximité amène une propension à protéger son propre fief Doit créer un bloc uni avec un objectif commun Terrain encerclé Terrain où on accède par un goulot ou d où on sort par des voies tortueuses Facile de tendre des embuscades Doit inventer des stratagèmes pour s en sortir Laisser une brèche pour éviter que l ennemi se batte et lorsqu il emprunte la brèche, frapper

18 L art de la guerre Espionnage et renseignement Surveillance de ce que fait l adversaire est essentielle à la victoire et à la stratégie UQAM Analyse «live» Analyse des événements antérieurs Mise en place de visibilité du réseau L UQAM n a pas «communiqué publiquement» sa situation avant d avoir acquis suffisamment de renseignements sur l attaque Pirate Ne semble pas avoir fait de surveillance de l équipe de surveillance Employait des méthodes de diversion

19 L après-crise Crise (WeiJi) = Danger (Wei) + Opportunité (Ji)

20 L après-crise Arrestation d un présumé suspect et remise au Services policiers Arrestation le 13 mai 2009 Saisie des équipements à son domicile le 14 mai 2009 Processus judiciaire toujours en cours 1ère comparution pour accusation en juin 2009 Plus récente comparution en juillet 2010 et dépôt de nouvelles accusations pour: UQAM, Université de Montréal, Collège Édouard Montpetit, Ville de Longueuil, Michigan University Protection accrue de l UQAM Maintien de plusieurs mesures de contention Poursuite de projets en sécurité déjà enclenchée Bilan interne En lien avec les bilans annuels remis au Conseil d administration Dépenses de $ liées à la crise dont environ $ en services professionnels

21 L après-crise Investissements approuvés par la CA pour la sécurité informatique 1 poste de directeur-adjoint (juillet 2009) 3,6 millions de dollars confirmé pour acquisition et maintenance de solutions de sécurité informatique 1 poste supplémentaire d analyste en sécurité informatique Investissements consentis permettront de réduire approximativement de 35% l état de vulnérabilité de l UQAM Investissements similaires ou inférieurs à plusieurs autres grandes organisations

22 En résumé On ne peut se demander si un jour notre organisation vivra une autre crise, mais plutôt quand L UQAM (tout comme d autres organisations) a été victime d un pirate polyvalent qui a décidé de prendre son temps contrairement aux nombreux pirates qui recherchent la même faille partout en passant au suivant une fois qu ils ont réussi à l exploiter La crise elle-même, de la détection à l arrestation du présumé pirate a duré 10 jours, mais a eu des répercussions directes importantes durant environ 6 mois. De plus, elle a entraîné le changement de tous les mots de passe des utilisateurs, ce n est pas sans conséquence

23 En résumé Une conclusion telle que l arrestation d un présumé pirate est une fin heureuse et très rare. C est un mélange de travail acharné, de chance et de témérité qui l a permis Le Service de l informatique et des télécommunications a été félicité de sa gestion de l événement, mais également critiqué par certains intervenants, notamment au niveau des communications Il faut faire attention au piège du bilan: le syndrome du gérant d estrade qui dit comment on aurait dû coacher une fois que le match est terminé L objectif est d apprendre et non de trouver des responsables Les Services policiers (SPVM, SQ) sont là pour vous a posteriori, mais attendez-vous à investir du temps pour les accompagner considérant leurs ressources limitées et surtout votre compréhension supérieure à la leur de votre environnement

24 Questions