Buts poursuivis. Attaques et Menaces sur Internet. Contenu



Documents pareils
Présenté par : Mlle A.DIB

Couche application. La couche application est la plus élevée du modèle de référence.

FORMATION PROFESSIONNELLE AU HACKING

CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..

Introduction aux antivirus et présentation de ClamAV

NETTOYER ET SECURISER SON PC

SECURITE DES DONNES. Comment éviter d irrémédiables dégâts. Dr. Jacques Abbeels

QUESTIONS / REPONSES ESET Smart Security ESET NOD32 Antivirus V.3

S Catalogue des Formations Sécurité. Présentation. Menu. Présentation P.2 Nos formations P.3 Modalités P.9 Bulletin d inscription P.

Les menaces sur internet, comment les reconnait-on? Sommaire

Protocoles Applicatifs

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

ISEC. Codes malveillants

escan Entreprise Edititon Specialist Computer Distribution

La sécurité des systèmes d information

Dr.Web Les Fonctionnalités

Protection des protocoles

Botnets, les fantômes de l internet. 6 Novembre Iheb Khemissi - iheb.khemissi@gmail.com Joris Brémond - joris.bremond@gmail.

Sécurité des réseaux Les attaques

Dossier sécurité informatique Lutter contre les virus

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

DNS et Mail. LDN 15 octobre DNS et Mail. Benjamin Bayart, Fédération FDN. DNS - fichier de zone. DNS - configuration

panda BusinesSecure antivirus Solution de sécurité antivirus idéale pour les petites et moyennes entreprises

Une nouvelle approche globale de la sécurité des réseaux d entreprises

FTP & SMTP. Deux applications fondamentales pour le réseau Internet.

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Audits Sécurité. Des architectures complexes

Désinfecte les réseaux lorsqu ils s embrasent

Internet sans risque surfez tranquillement

Certificat Informatique et Internet

La sécurité sur internet

Créée en 2002, la société PineApp est pionnière sur le. Le siège de la société se trouve aux États-Unis, avec des

Le spam introduction. Sommaire

PROCEDURE D INSTALLATION et de CONFIGURATION DU SERVICE PACK2 POUR WINDOWS XP

BAP E Gestionnaire de parc informatique et télécommunications MI2 / MI3 Ouverts au titre de 2010 Arrêté du 7/04/10 - J.

PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I

NETTOYER ET SECURISER SON PC

La sécurité informatique

Fiche Technique. Cisco Security Agent

Sécurité des Postes Clients

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

SOMMAIRE. Association pour une Informatique raisonnée

OSSIR Groupe SécuritS. curité Windows. Réunion du du février 2006 EADS. Réunion OSSIR du 13/02/2006. page 1

GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION

Internet Découverte et premiers pas

Symantec Endpoint Protection Fiche technique

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Sécurité Glossaire. Internet > Avancé > Vider le dossier Temporary Internet Files lorsque le navigateur est fermé.

COMMENT PROTÉGER LE FLUX SORTANT?

Dans la jungle des malwares : protégez votre entreprise

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Prérequis techniques

Installation et mise en sécurité des postes de travail Windows

Cybercriminalité. les tendances pour 2014

Symantec MessageLabs Web Security.cloud

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

OSSIR Groupe SécuritS. curité Windows. Réunion du du 9 octobre 2006 EADS. Réunion OSSIR du 09/10/2006. page 1

Managed VirusScan et renforce ses services

Divers éléments. Protocoles d'applications. Un agent Utilisateur. MUA - Agents Utilisateurs de Courriel. Simple Mail Transfer Protocol

Outils de l Internet

Notions de sécurités en informatique

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

«Obad.a» : le malware Android le plus perfectionné à ce jour

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Sécurité des Réseaux et d internet. Yves Laloum

Progressons vers l internet de demain

Guide de démarrage rapide

TREND MICRO. Le spécialiste de la lutte contre les codes malicieux. Pierre MORENO Responsable Partenaire Trend Micro France

La Toile mondiale vous ouvre. Défense de pénétrer dans mon PC! PARE-FEU ET ANTIVIRUS

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Cybercriminalité. les tendances pour 2015

Nouvelle approche pour la protection complexe des réseaux d entreprise. Kaspersky. OpenSpaceSecurity

Se débarrasser des s indésirables

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Comment Repérer les Faux Logiciels Antivirus Par l équipe FortiGuard Labs de Fortinet.

RÈGLE N 1 : SAUVEGARDEZ VOS DONNÉES

Une nouvelle approche globale de la sécurité des réseaux d entreprises

PACK SKeeper Multi = 1 SKeeper et des SKubes

Indicateur et tableau de bord

COMMENT AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L ANTIVIRUS FIREWALL V3

ClaraExchange 2010 Description des services

Etat de l art des malwares

depuis 1992 Defend what you create

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Menaces du Cyber Espace

Tous les logiciels cités dans ce document sont des marques déposées de leurs propriétaires respectifs

le paradoxe de l Opérateur mondial

Glossaire. Acces Denied

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

CATALOGUE DES FORMATIONS SECURITE INFORMATIQUE

Club des Responsables d Infrastructures et de la Production

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

FleXos : Présentation Zscaler

Sécurité informatique

Lexique informatique. De l ordinateur :

Transcription:

Attaques et Menaces sur Internet Buts poursuivis Comprendre les différents types de menaces présentes dans les réseaux Comprendre comment se protéger efficacement Mieux savoir juger l'impact d'une nouvelle menace. 4 avril 2006 Philippe Oechslin Contenu Attaques E-mail forgés, spam Virus, vers, chevaux de Troie, backdoors Exploits Sniffing Spoofing (TCP, DNS) Vol de session Attack Sophistication vs. Intruder Technical Knowledge 2002 by Carnegie Mellon University http://www.cert.org/archive/ppt/cyberterror.ppt High Intruder Knowledge Attack Sophistication Low back doors disabling audits Auto Coordinated Cross site scripting Tools stealth / advanced scanning techniques denial of service Staged packet spoofing distributed sniffers attack tools sweepers www attacks network mgmt. diagnostics hijacking burglaries sessions exploiting known vulnerabilities password cracking self-replicating code password guessing automated probes/scans GUI Intruders 1980 1985 1990 1995 2000

E-mails forgés Le protocole utilisé pour la messagerie sur Internet est SMTP (Simple Mail Transfer Protocol (RFC 821, daté 1982) Comme ce protocole n utilise aucune authentification, il est facile de forger des messages Avant Noël 2001, un mail émanant apparemment de la BCV recommandait à tous les clients de fermer leur comptes, la banque étant dans une situation plus critique qu'il n'y paraissait Des e-mail forgés sont utilisés pour des attaques de phishing SMTP SMTP utilise des connexions TCP sur le port 25 Il connaît quelques simples commandes comme : HELO (annonce d un serveur) Mail From: (définition expéditeur) Rcpt To: (définition destinataire) Data: (définition du contenu) Exemple telnet mail1.epfl.ch 25 Trying 128.178.7.12... Connected to mail1.epfl.ch. Escape character is '\^]'. 220 mail1.epfl.ch ESMTP helo lasec.epfl.ch 250 mail1.epfl.ch mail from:mephisto@hell.com 250 ok rcpt to:philippe.oechslin@epfl.ch 250 ok data 354 go ahead Subject: Surprise! have a nice day. 250 ok 994426415 qp 14851 quit 221 mail1.epfl.ch Connection closed by foreign host. Parcours du message Le message est déposé dans le serveur SMTP Celui-ci va le déposer dans un serveur plus proche de la destination Le système DNS permet de retrouver l adresse du serveur SMTP responsable pour un domaine (MX records) A destination il va être déposé dans la bal du destinataire Chaque serveur ajoute un en-tête au message

Spam E-mail non-sollicité, non-ciblé, à très grand tirage L adresse source est toujours falsifiée (représailles) Un message est déposé dans une centaine de serveurs SMTP avec une liste de >10k destinations chaque fois Les serveurs abusés envoient consciencieusement une copie à chaque destinataire Exemple Lausanne Japon Return-path: <info@mcdonough-heritage.com> Received: from softbank220021112159.bbtec.net (220.21.112.159) by smtp0.epfl.ch (AngelmatoPhylax SMTP proxy); Sun, 18 Dec 2005 14:05:26 +0100 Received: from bonbon.net (mx2.bonbon.net [38.113.3.65]) by softbank220021112159.bbtec.net (Postfix) with ESMTP id LSSS7I0UWB for <nicolas.chevalier@epfl.ch>; Sun, 18 Dec 2005 08:07:01-0500 Date: Sun, 18 Dec 2005 14:28:18 +0000 From: info@mcdonough-heritage.com Subject: Just try it... To: info@oechslin.net Message-id: <wwcyfy.phpmlr@localhost> Washington <html> <body> <center> <b>the world best products for your private life<br> Most Effective Herbal Sexual Enhancer</b><br><br> as determined by Herbs & Health News independent test!<br><br> Spam: Dégâts (serveurs) Les serveurs abusés sont surchargés (souvent plus de 24h) Les disques se remplissent de logs et de messages (risque de blocage) La bal de l admin est inondée de messages d erreurs (adresses invalides) L ISP peut menacer de couper la ligne Inclusions dans listes noires Spam: protection Serveur: interdire le relais Source: Liste noire de serveurs Contenu: Filtre anti-spam Mots-clés, format Données annexes (temps de transit, nombre de destinataires ) Listes noires de spams connus

Spam: evolution Botnets Les hackers utilisent des vers et des virus pour installer des robots sur les machines infectées Les hackers louent des réseaux de zombies à des spammers (5'000 bots x 1 semaine = 350$) Les lois deviennent efficaces: PW Marketing a été condamné à $2mio d amende en Californie Jeremy Jaynes condamné à 9 ans de prison en Virginie Nb: il gagnait 400 000$ par mois avec un taux de retour de 1 sur 30 000 Exemple d'un botnet evilbot 0.4c se connecte sur IRC et attends des commandes dans le genre de!p (send ping)!udp (send upd packets)!r (report status) voir grc.com/dos <^b0ss^>!r <xknb> evilbot 0.4c ready for attack... <oep> evilbot 0.4c ready for attack... <kvmadj> evilbot 0.4c ready for attack... <yqvc> evilbot 0.4c ready for attack... <pvnlz> evilbot 0.4c ready for attack... <jizl> evilbot 0.4c ready for attack... <umc> evilbot 0.4c ready for attack... <wzdr> evilbot 0.4c ready for attack... <vqfvmh> evilbot 0.4c ready for attack... <ossqd> evilbot 0.4c ready for attack... <gyc> evilbot 0.4c ready for attack... <lvk> evilbot 0.4c ready for attack... <myv> evilbot 0.4c ready for attack... <rozjh> evilbot 0.4c ready for attack... <usxaw> evilbot 0.4c ready for attack... <vsma> evilbot 0.4c ready for attack... <xheweq> evilbot 0.4c ready for attack... <bgpc> evilbot 0.4c ready for attack... <mntt> evilbot 0.4c ready for attack... <nngp> evilbot 0.4c ready for attack... <mhonm> evilbot 0.4c ready for attack... <fgjc> evilbot 0.4c ready for attack... <gyk> evilbot 0.4c ready for attack... <mkenx> evilbot 0.4c ready for attack... <pnyd> evilbot 0.4c ready for attack... <btkh> evilbot 0.4c ready for attack... <qwbbd> evilbot 0.4c ready for attack... <vst> evilbot 0.4c ready for attack... <griv> evilbot 0.4c ready for attack... <frf> evilbot 0.4c ready for attack..... Virus, Chevaux de Troie, Virus: fragment qui se propage à l aide d autres programmes Ver: programme autonome Cheval de Troie: Programme utile qui contient un programme malveillant (ou ce dernier par abus de langage) Backdoor: accès caché à un ordinateur Spyware: logiciel qui transmet des informations privées Rootkit: logiciel qui masque la présence d'un intrus Effet des Virus et malwares Perte de données Perte de temps de travail Perte d image de marque Perte de fonctionnalité (e-mail ou systèmes bloqués) Intrusion, vol (c.f. Microsoft) Perte de confidentialité (cf. SirCam, BadTrans, Bugbear)

Virus Modernes Les virus modernes utilisent Internet pour se propager activement Il peuvent infecter la planète en quelques heures Souvent simples et faciles à détecter Efficaces, car ils se propagent plus vite que les anti-virus peuvent être mis à jour Active-Mail Message qui s exécute tout seul lors de la visualisation, sans besoin de cliquer. Ceci est possible grâce à des défauts dans les logiciels de messagerie (p.ex MS-Outlook, MS-IE) Bugbear (septembre 2002) Virus qui se propage comme attachement d'e-mails Il utilise une faille de MS-IE (outlook, outlook-express) pour s'exécuter automatiquement -> activemail Il se propage automatiquement par e-mail en faisant des forwards ou des reply à des mails qu'il trouve sur son hôte. Il se propage se copiant dans le répertoire démarrage d'autres PCs qui partagent leurs disques -> ver. Il installe un backdoor sur les machines infectées (transfert de fichiers, exécution de programmes) Il désactive tous les antivirus et firewalls qu'il connaît Il envoie une copie de tous les mots de passe que vous avez enregistrés à une série de bals sur Internet Il installe un espion de clavier SQL-Slammer Samedi 25 janvier 2003, à 12h: «L'une des plus importantes attaques de pirates est en train de mettre à terre le réseau des réseaux. Depuis ce matin, 10 heures, une attaque de masse d'un ou de plusieurs groupes pirates est en train de mettre à mal le réseau des réseaux. Déjà plusieurs gros serveurs tel que Unet ou encore H.P. sont hors service.»(zataz.com) Conséquences Hors service: La majorité des 13'000 bancomats de la BofA Les serveurs d'activation de Microsoft XP 300'000 abonnés a l'internet par le cable au Portugal (Netcabo) Le système informatique de gestion des urgence de la police et de 14 casernes de pompiers à Seattle les systèmes d'achat de tickets et de check-in électroniques de l'aéroport de Houston (délais et annulations de vols) l'accès Internet de la Corée du Sud les postomats suisses (7 Octobre)

Analyse Il s'agissait d'un ver (dans un paquet UDP de 376 bytes) qui profitait d'un buffer overflow pour infecter des serveurs SQL et leur faire infecter d'autres serveurs Le buffer overflow était connu depuis mai 2002 et un patch existait depuis le 24 juillet 2002 Le patch original crée des interférences qui peuvent empêcher le serveur de fonctionner correctement un patch supplémentaire a été publié en Octobre 2002 Un service pack doit être installé avant le patch original pour éviter d'autres problèmes Virus spéciaux : Le Canular Décrit une menace catastrophique Contient aucune référence à des sources d infos fiables (mais des réf. floues) Demande à être envoyé à toutes les personnes que vous connaissez Joke Programme amusant que vous allez envoyer à tous vos amis Publicité virale (idem) Backdoors Programme pour gérer un ordinateur à distance, à l insu de son utilisateur Installés par des chevaux de Troie et souvent classifiés comme tels Caractéristiques Taille: plus il est petit, plus il est facile à installer Fonctionnalités: téléchargement d autres programmes, espionnage réseau, écran, clavier. Mode de communication: Attente sur un port TCP ou UDP prédéfini. Mieux : communication sur un chat IRC Spyware Les spywares sont installés à l'insu de l'utilisateur (par exmple par un cheval de Troie) Il modifient le comportement des browsers affichent des pop-ups publicitaires modifient les résultats des recherches modifient les publicités dans affichées dans les pages modifient la page de démarrage de IE envoient des informations à propos de la victime

Rootkit Les rootkits modifient le système d'exploitation pour cacher la présence de fichier, processus ou des clés de registry Sony a distribué un logiciel de DRM qui utilise un rootkit tous les fichiers et les clés qui commencent par $sys$ deviennent invisibles Hacker Defender est un rootkit windows open source utilisé par beaucoup de bots Les Exploits La plupart des logiciels contiennent des défauts Ces défauts peuvent être exploités par des pirates Un «exploit» est la méthode, le script, qui permet d exploiter le défaut Les plus intéressant sont les exploits de serveurs: Ils peuvent être fait à distance Les serveurs ont souvent des privilèges élevés Failles techniques Classique: le buffer overflow Si un programme ne vérifie pas la quantité de données qu il reçoit, il risque d écraser une zone mémoire qui contient des variables, du code ou des adresses de saut (la pile) En connaissant bien l architecture de la machine on peut fournir du code machine qui sera exécuté Buffer overflow: Exemple Le serveur web MS-IIS avait un buffer overflow sur les URL en.htr (1999) et en.ida (2001) Le ver Code Red (Juillet 2001) a exploité le buffer overflow.ida http://www.serveur.com/default.ida?nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b 00%u531b%u53ff%u0078%u0000%u00=a SQL avait un buffer overflow (vers sql-slammer) Windows a souffert d'une longue série de buffer overflows (msblaster, sasser, zotob). XP SP2 et 2003 devraient en être débarassés

Questions :?

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back