Attaques et Menaces sur Internet Buts poursuivis Comprendre les différents types de menaces présentes dans les réseaux Comprendre comment se protéger efficacement Mieux savoir juger l'impact d'une nouvelle menace. 4 avril 2006 Philippe Oechslin Contenu Attaques E-mail forgés, spam Virus, vers, chevaux de Troie, backdoors Exploits Sniffing Spoofing (TCP, DNS) Vol de session Attack Sophistication vs. Intruder Technical Knowledge 2002 by Carnegie Mellon University http://www.cert.org/archive/ppt/cyberterror.ppt High Intruder Knowledge Attack Sophistication Low back doors disabling audits Auto Coordinated Cross site scripting Tools stealth / advanced scanning techniques denial of service Staged packet spoofing distributed sniffers attack tools sweepers www attacks network mgmt. diagnostics hijacking burglaries sessions exploiting known vulnerabilities password cracking self-replicating code password guessing automated probes/scans GUI Intruders 1980 1985 1990 1995 2000
E-mails forgés Le protocole utilisé pour la messagerie sur Internet est SMTP (Simple Mail Transfer Protocol (RFC 821, daté 1982) Comme ce protocole n utilise aucune authentification, il est facile de forger des messages Avant Noël 2001, un mail émanant apparemment de la BCV recommandait à tous les clients de fermer leur comptes, la banque étant dans une situation plus critique qu'il n'y paraissait Des e-mail forgés sont utilisés pour des attaques de phishing SMTP SMTP utilise des connexions TCP sur le port 25 Il connaît quelques simples commandes comme : HELO (annonce d un serveur) Mail From: (définition expéditeur) Rcpt To: (définition destinataire) Data: (définition du contenu) Exemple telnet mail1.epfl.ch 25 Trying 128.178.7.12... Connected to mail1.epfl.ch. Escape character is '\^]'. 220 mail1.epfl.ch ESMTP helo lasec.epfl.ch 250 mail1.epfl.ch mail from:mephisto@hell.com 250 ok rcpt to:philippe.oechslin@epfl.ch 250 ok data 354 go ahead Subject: Surprise! have a nice day. 250 ok 994426415 qp 14851 quit 221 mail1.epfl.ch Connection closed by foreign host. Parcours du message Le message est déposé dans le serveur SMTP Celui-ci va le déposer dans un serveur plus proche de la destination Le système DNS permet de retrouver l adresse du serveur SMTP responsable pour un domaine (MX records) A destination il va être déposé dans la bal du destinataire Chaque serveur ajoute un en-tête au message
Spam E-mail non-sollicité, non-ciblé, à très grand tirage L adresse source est toujours falsifiée (représailles) Un message est déposé dans une centaine de serveurs SMTP avec une liste de >10k destinations chaque fois Les serveurs abusés envoient consciencieusement une copie à chaque destinataire Exemple Lausanne Japon Return-path: <info@mcdonough-heritage.com> Received: from softbank220021112159.bbtec.net (220.21.112.159) by smtp0.epfl.ch (AngelmatoPhylax SMTP proxy); Sun, 18 Dec 2005 14:05:26 +0100 Received: from bonbon.net (mx2.bonbon.net [38.113.3.65]) by softbank220021112159.bbtec.net (Postfix) with ESMTP id LSSS7I0UWB for <nicolas.chevalier@epfl.ch>; Sun, 18 Dec 2005 08:07:01-0500 Date: Sun, 18 Dec 2005 14:28:18 +0000 From: info@mcdonough-heritage.com Subject: Just try it... To: info@oechslin.net Message-id: <wwcyfy.phpmlr@localhost> Washington <html> <body> <center> <b>the world best products for your private life<br> Most Effective Herbal Sexual Enhancer</b><br><br> as determined by Herbs & Health News independent test!<br><br> Spam: Dégâts (serveurs) Les serveurs abusés sont surchargés (souvent plus de 24h) Les disques se remplissent de logs et de messages (risque de blocage) La bal de l admin est inondée de messages d erreurs (adresses invalides) L ISP peut menacer de couper la ligne Inclusions dans listes noires Spam: protection Serveur: interdire le relais Source: Liste noire de serveurs Contenu: Filtre anti-spam Mots-clés, format Données annexes (temps de transit, nombre de destinataires ) Listes noires de spams connus
Spam: evolution Botnets Les hackers utilisent des vers et des virus pour installer des robots sur les machines infectées Les hackers louent des réseaux de zombies à des spammers (5'000 bots x 1 semaine = 350$) Les lois deviennent efficaces: PW Marketing a été condamné à $2mio d amende en Californie Jeremy Jaynes condamné à 9 ans de prison en Virginie Nb: il gagnait 400 000$ par mois avec un taux de retour de 1 sur 30 000 Exemple d'un botnet evilbot 0.4c se connecte sur IRC et attends des commandes dans le genre de!p (send ping)!udp (send upd packets)!r (report status) voir grc.com/dos <^b0ss^>!r <xknb> evilbot 0.4c ready for attack... <oep> evilbot 0.4c ready for attack... <kvmadj> evilbot 0.4c ready for attack... <yqvc> evilbot 0.4c ready for attack... <pvnlz> evilbot 0.4c ready for attack... <jizl> evilbot 0.4c ready for attack... <umc> evilbot 0.4c ready for attack... <wzdr> evilbot 0.4c ready for attack... <vqfvmh> evilbot 0.4c ready for attack... <ossqd> evilbot 0.4c ready for attack... <gyc> evilbot 0.4c ready for attack... <lvk> evilbot 0.4c ready for attack... <myv> evilbot 0.4c ready for attack... <rozjh> evilbot 0.4c ready for attack... <usxaw> evilbot 0.4c ready for attack... <vsma> evilbot 0.4c ready for attack... <xheweq> evilbot 0.4c ready for attack... <bgpc> evilbot 0.4c ready for attack... <mntt> evilbot 0.4c ready for attack... <nngp> evilbot 0.4c ready for attack... <mhonm> evilbot 0.4c ready for attack... <fgjc> evilbot 0.4c ready for attack... <gyk> evilbot 0.4c ready for attack... <mkenx> evilbot 0.4c ready for attack... <pnyd> evilbot 0.4c ready for attack... <btkh> evilbot 0.4c ready for attack... <qwbbd> evilbot 0.4c ready for attack... <vst> evilbot 0.4c ready for attack... <griv> evilbot 0.4c ready for attack... <frf> evilbot 0.4c ready for attack..... Virus, Chevaux de Troie, Virus: fragment qui se propage à l aide d autres programmes Ver: programme autonome Cheval de Troie: Programme utile qui contient un programme malveillant (ou ce dernier par abus de langage) Backdoor: accès caché à un ordinateur Spyware: logiciel qui transmet des informations privées Rootkit: logiciel qui masque la présence d'un intrus Effet des Virus et malwares Perte de données Perte de temps de travail Perte d image de marque Perte de fonctionnalité (e-mail ou systèmes bloqués) Intrusion, vol (c.f. Microsoft) Perte de confidentialité (cf. SirCam, BadTrans, Bugbear)
Virus Modernes Les virus modernes utilisent Internet pour se propager activement Il peuvent infecter la planète en quelques heures Souvent simples et faciles à détecter Efficaces, car ils se propagent plus vite que les anti-virus peuvent être mis à jour Active-Mail Message qui s exécute tout seul lors de la visualisation, sans besoin de cliquer. Ceci est possible grâce à des défauts dans les logiciels de messagerie (p.ex MS-Outlook, MS-IE) Bugbear (septembre 2002) Virus qui se propage comme attachement d'e-mails Il utilise une faille de MS-IE (outlook, outlook-express) pour s'exécuter automatiquement -> activemail Il se propage automatiquement par e-mail en faisant des forwards ou des reply à des mails qu'il trouve sur son hôte. Il se propage se copiant dans le répertoire démarrage d'autres PCs qui partagent leurs disques -> ver. Il installe un backdoor sur les machines infectées (transfert de fichiers, exécution de programmes) Il désactive tous les antivirus et firewalls qu'il connaît Il envoie une copie de tous les mots de passe que vous avez enregistrés à une série de bals sur Internet Il installe un espion de clavier SQL-Slammer Samedi 25 janvier 2003, à 12h: «L'une des plus importantes attaques de pirates est en train de mettre à terre le réseau des réseaux. Depuis ce matin, 10 heures, une attaque de masse d'un ou de plusieurs groupes pirates est en train de mettre à mal le réseau des réseaux. Déjà plusieurs gros serveurs tel que Unet ou encore H.P. sont hors service.»(zataz.com) Conséquences Hors service: La majorité des 13'000 bancomats de la BofA Les serveurs d'activation de Microsoft XP 300'000 abonnés a l'internet par le cable au Portugal (Netcabo) Le système informatique de gestion des urgence de la police et de 14 casernes de pompiers à Seattle les systèmes d'achat de tickets et de check-in électroniques de l'aéroport de Houston (délais et annulations de vols) l'accès Internet de la Corée du Sud les postomats suisses (7 Octobre)
Analyse Il s'agissait d'un ver (dans un paquet UDP de 376 bytes) qui profitait d'un buffer overflow pour infecter des serveurs SQL et leur faire infecter d'autres serveurs Le buffer overflow était connu depuis mai 2002 et un patch existait depuis le 24 juillet 2002 Le patch original crée des interférences qui peuvent empêcher le serveur de fonctionner correctement un patch supplémentaire a été publié en Octobre 2002 Un service pack doit être installé avant le patch original pour éviter d'autres problèmes Virus spéciaux : Le Canular Décrit une menace catastrophique Contient aucune référence à des sources d infos fiables (mais des réf. floues) Demande à être envoyé à toutes les personnes que vous connaissez Joke Programme amusant que vous allez envoyer à tous vos amis Publicité virale (idem) Backdoors Programme pour gérer un ordinateur à distance, à l insu de son utilisateur Installés par des chevaux de Troie et souvent classifiés comme tels Caractéristiques Taille: plus il est petit, plus il est facile à installer Fonctionnalités: téléchargement d autres programmes, espionnage réseau, écran, clavier. Mode de communication: Attente sur un port TCP ou UDP prédéfini. Mieux : communication sur un chat IRC Spyware Les spywares sont installés à l'insu de l'utilisateur (par exmple par un cheval de Troie) Il modifient le comportement des browsers affichent des pop-ups publicitaires modifient les résultats des recherches modifient les publicités dans affichées dans les pages modifient la page de démarrage de IE envoient des informations à propos de la victime
Rootkit Les rootkits modifient le système d'exploitation pour cacher la présence de fichier, processus ou des clés de registry Sony a distribué un logiciel de DRM qui utilise un rootkit tous les fichiers et les clés qui commencent par $sys$ deviennent invisibles Hacker Defender est un rootkit windows open source utilisé par beaucoup de bots Les Exploits La plupart des logiciels contiennent des défauts Ces défauts peuvent être exploités par des pirates Un «exploit» est la méthode, le script, qui permet d exploiter le défaut Les plus intéressant sont les exploits de serveurs: Ils peuvent être fait à distance Les serveurs ont souvent des privilèges élevés Failles techniques Classique: le buffer overflow Si un programme ne vérifie pas la quantité de données qu il reçoit, il risque d écraser une zone mémoire qui contient des variables, du code ou des adresses de saut (la pile) En connaissant bien l architecture de la machine on peut fournir du code machine qui sera exécuté Buffer overflow: Exemple Le serveur web MS-IIS avait un buffer overflow sur les URL en.htr (1999) et en.ida (2001) Le ver Code Red (Juillet 2001) a exploité le buffer overflow.ida http://www.serveur.com/default.ida?nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b 00%u531b%u53ff%u0078%u0000%u00=a SQL avait un buffer overflow (vers sql-slammer) Windows a souffert d'une longue série de buffer overflows (msblaster, sasser, zotob). XP SP2 et 2003 devraient en être débarassés
Questions :?