Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 55
Sensibilisation à la sécurité informatique Généralités et aspects juridiques Principaux types d attaques Objectifs possibles Classification des attaques Description de quelques attaques Outils de sécurité Systèmes pare-feu (firewall) Systèmes de détection d intrusion etc. Michel Salomon Sécurité 2 / 55
Quels sont les objectifs possibles d une attaque? Rendre inaccessible une ressource Prendre le contrôle d une ressource Capturer de l information d un système informatique Utiliser un système informatique compromis pour rebondir Constituer un réseau de machines contrôlées à distance etc. Qu exploite une attaque? une ou plusieurs vulnérabilité(s) Réseaux faiblesse, mauvaise implémentation de protocoles Applicatives erreurs d admin. ou de programmation Michel Salomon Sécurité 3 / 55
Quels sont les objectifs possibles d une attaque? Flux normal de données 1 L interruption 2 L interception 3 La modification 4 La fabrication Michel Salomon Sécurité 4 / 55
Quels sont les objectifs possibles d une attaque? 1 L interruption Vise la disponibilité des données 2 L interception 3 La modification 4 La fabrication Michel Salomon Sécurité 5 / 55
Quels sont les objectifs possibles d une attaque? 1 L interruption Vise la disponibilité des données 2 L interception Vise la confidentialité des données 3 La modification 4 La fabrication Michel Salomon Sécurité 6 / 55
Quels sont les objectifs possibles d une attaque? 1 L interruption Vise la disponibilité des données 2 L interception Vise la confidentialité des données 3 La modification Vise l intégrité des données 4 La fabrication Michel Salomon Sécurité 7 / 55
Quels sont les objectifs possibles d une attaque? 1 L interruption Vise la disponibilité des données 2 L interception Vise la confidentialité des données 3 La modification Vise l intégrité des données 4 La fabrication Vise l authenticité des données Michel Salomon Sécurité 8 / 55
Attaque passive versus active Attaque passive Consiste à écouter sans modification les données ou à observer le fonctionnement du réseau Capture de trames Analyse du trafic Généralement indétectable prévention Attaque active Consiste à modifier des données / trames ; à perturber le fonctionnementd un(e) réseau / machine ; éventuellement sans capacité d écoute Généralement détectable Michel Salomon Sécurité 9 / 55
Menaces actives Programmes malveillants (Virus / vers, espiologiciels, etc.) Messagerie (SPAM, phishing, etc.) Intrusion Masquerade (Spoofing) ou usurpation d identité Rejeu (Replay) d une communication capturée Attaque de l homme du milieu (Man-In-The-Middle) Déni de service (Denial of Service) etc. Michel Salomon Sécurité 10 / 55
Illustration d attaques actives Masquerade Illustration Pirate Trames provenant du pirate, mais semblant provenir de Bob Internet ou autre infrastructure réseau Bob Alice Rejeu Attaque de l homme du milieu Michel Salomon Sécurité 11 / 55
Illustration d attaques actives Masquerade Rejeu Illustration Pirate Capture des trames provenant de Bob, plus tard réémission des trames vers Alice Internet ou autre infrastructure réseau Bob Alice Attaque de l homme du milieu Michel Salomon Sécurité 12 / 55
Illustration d attaques actives Masquerade Rejeu Attaque de l homme du milieu Illustration Pirate Le pirate modifie les trames provenant de Bob, puis les envoie à Alice Internet ou autre infrastructure réseau Bob Alice Michel Salomon Sécurité 13 / 55
Attaque directe versus indirecte Attaque directe pas d intermédiaire Le pirate attaque directement la machine cible Pratique courante des pirates amateurs (script kiddies) Utilisation de programmes peu paramétrables Remonter à l origine de l attaque est possible Attaque indirecte chaîne de machines Trames de l attaque émises vers une machine intermédiaire Deux types d attaques : par rebond ré-émission des trames par réponse à une requête Trames pouvant passer par une ou plusieurs machines Permet de masquer l origine de l attaque (adresse IP) Remonter à l origine de l attaque est très difficile Michel Salomon Sécurité 14 / 55
Attaques avec différentes cibles Équipements réseaux observer, prendre le contrôle Gestion à distance des équipements via le protocole Simple Network Management Protocol Possibilité de récolter des informations plus ou moins sensibles Modification de la configuration à distance En 2002, une faille majeure du protocole a donnée lieu à une alerte par la CERT (Computer Emergency Response Team) Permettait de modifier le comportement des équipements ; d en prendre le contrôle à distance Moins de failles à l heure actuelle Protocoles réseaux observer, perturber Observation / écoute du réseau Déni de service etc. Michel Salomon Sécurité 15 / 55
Attaques avec différentes cibles Systèmes et utilisateurs obtenir un accès, des infos, etc. Failles dues à des erreurs d administration Failles dues à des erreurs de programmation Faiblesse des mots de passe Programmes malveillants Virus et vers Espiologiciels (spyware) Enregistreurs de touches (key loggers) Cheval de troie (trojan) Messagerie Manipulation sociale (social engineering) Hameçonnage (phishing) Hoax (canulars, rumeurs) SPAM Michel Salomon Sécurité 16 / 55
Attaque des protocoles réseaux - Observation du réseau Utilisation d un analyseur réseau ou renifleur (sniffer) Dispositif capturant les paquets circulants sur le réseau Plusieurs protocoles sont généralement analysés : Ethernet TCP/IP etc. Impact important sur la sécurité Capture de mots de passe Capture d informations confidentielles ou personnelles Déjouer la sécurité des réseaux voisins Renifleur dans les distributions Linux Debian jusqu à Sarge ethereal depuis Etch wireshark Michel Salomon Sécurité 17 / 55
Attaque des protocoles réseaux - Observation (suite) Parades (ou contre-mesures) Topologie sécurisée Segmentation du réseau Protocoles sécurisés Couche Application SSH, S-HTTP, etc. Couche Transport SSL etc. Utiliser un détecteur de renifleur Recherche de matériels réseau en mode promiscuous Réseaux sans fils Réduire la puissance des matériels limiter la zone géographique dans laquelle un pirate peut écouter Outil de sécurité utilisé par l administrateur Diagnostiquer des problèmes sur le réseau Connaître le trafic réseau qui circule Michel Salomon Sécurité 18 / 55
Attaque des protocoles réseaux - Déni de service (DoS) Objectif du Denial of Service rendre muet un hôte faisant office de serveur Impossible de répondre à une requête de l utilisateur Interruption de service Service de messagerie électronique Site Web etc. Attaque habituellement menée via un robot network un ensemble d hôtes contrôlés via un programme de type cheval de troie On parle d hôtes / machines zombies Utilisation à l insu du propriétaire En résumé : saturation d un serveur ou d un réseau Michel Salomon Sécurité 19 / 55
Attaque des protocoles réseaux - Déni de service (DoS) Plusieurs façons de procéder Consommation de toute la bande passante Ping flooding requêtes d écho ICMP manipulées Saturation des connexions réseau SYN flooding dépassement du nombre maximum autorisé de connexions semi-ouvertes Saturation de l espace disque Fork bomb saturation de la table des processus etc. Mail bombing saturation de la BAL d une personne saturation de l espace disque du serveur Michel Salomon Sécurité 20 / 55
Attaque des protocoles réseaux - Déni de service (DDos) Distributed Denial of Service Attaques DoS menées en parallèles (à partir de plusieurs machines) Attaque menée par un seul pirate utilisation d un botnet Attaque concertée de plusieurs pirates Développement pandémique des botnets Vinton Cerf (2007) : 1 ordi. sur 4 est dans un botnet Plusieurs milliers de machines seraient infectées chaque jour Touche également les smartphones Plusieurs milliers de bonets existeraient Rustock, botnet d 1 millions de machines aurait généré presque 50 % du SPAM mondial Intérêt : réduire le temps requis pour obtenir le DoS Michel Salomon Sécurité 21 / 55
Les botnets Réseau de machines contrôlées par un botmaster Comment est contrôlé un botnet? Serveur irc Serveur web Peer to Peer etc. Autres utilisations que pour les attaques DoS Envoi de SPAM Vol d informations etc. Michel Salomon Sécurité 22 / 55
Attaque des protocoles réseaux - DoS Smurf attack Schéma de l attaque Serveur de broadcast ping pong Machine émettrice Machine attaquante pong pong pong pong Machine cible Michel Salomon Sécurité 23 / 55
Attaque des protocoles réseaux - DoS Smurf attack Principe Envoi d un ping (ICMP Echo Request) à un serveur de diffusion Falsification de l adresse de retour (pong) Conséquences Parade La cible est asphyxiée par le nombre de retours L augmentation de trafic ralentit le réseau Interdire à un(e) machine / routeur de répondre à un ping provenant d un serveur de diffusion Interdire à un routeur de transmettre des paquets à un serveur de diffusion Michel Salomon Sécurité 24 / 55
Attaque des protocoles réseaux - IP Spoofing Attaque consistant à falsifier l adresse IP source Objectifs Usurpation de l identité de la machine spoofée 1 Masquer la source d une attaque (exemple : déni de service) 2 Obtenir une connexion sur un serveur en profitant de la relation de confiance existant avec la machine spoofée Parade Interdire tout service identifiant les clients par l adresse IP Exemples : rsh, rlogin, etc. Utiliser des services recourant à des cryptosystèmes et à une authentification par mot de passe Refuser plusieurs paquets TCP SYN successifs pour éviter que le pirate n arrive à prédire les numéros de séquence Meilleure génération (aléa) des numéros de séquence utilisés Michel Salomon Sécurité 25 / 55
Attaque des protocoles réseaux - IP Spoofing Schéma de l attaque pour obtenir une connexion 1 SYN+n séquence A Machine pirate 3 ACK+n séquence B+1 2 SYN+n séquence B 2 ACK+n séquence A Machine cible RST Machine spoofée La machine spoofée doit être avoir été préalablement réduite au silence par une attaque de type DoS Michel Salomon Sécurité 26 / 55
Attaque des protocoles réseaux - ARP Spoofing Attaque permettant de détourner un flux de données dans un réseau commuté Vise les réseaux locaux Ethernet Vise l Address Resolution Protocol Compromission du cache ARP : table de correspondance entre les adresses IP et les adresses MAC (ou physique) Objectifs L interruption du flux déni de service L interception du flux observation du trafic La modification des données qui transitent En cas d interception / de modification, c est une attaque : active attaque de l homme du milieu directe Michel Salomon Sécurité 27 / 55
Attaque des protocoles réseaux - ARP Spoofing Schéma de l attaque pour observer / écouter Flux de données avant l attaque Ethernet Switch Machine 1 IP: 192.168.1.1 MAC: 00:00:00:00:00:01 Cache ARP 192.168.1.100 < > 00:00:00:00:00:02 192.168.1.110 < > 00:00:00:00:00:04 Machine attaquante IP: 192.168.1.120 MAC: 00:00:00:00:00:03 Machine 2 IP: 192.168.1.100 MAC: 00:00:00:00:00:02 Cache ARP 192.168.1.1 < > 00:00:00:00:00:01 192.168.1.110 < > 00:00:00:00:00:04 Un commutateur (switch) aiguille les paquets uniquement en regardant l adresse MAC de la destination Michel Salomon Sécurité 28 / 55
Attaque des protocoles réseaux - ARP Spoofing Schéma de l attaque pour observer / écouter Flux de données après l attaque Ethernet Switch Machine 1 IP: 192.168.1.1 MAC: 00:00:00:00:00:01 Cache ARP 192.168.1.100 < > 00:00:00:00:00:03 192.168.1.110 < > 00:00:00:00:00:04 Machine attaquante IP: 192.168.1.120 MAC: 00:00:00:00:00:03 Machine 2 IP: 192.168.1.100 MAC: 00:00:00:00:00:02 Cache ARP 192.168.1.1 < > 00:00:00:00:00:03 192.168.1.110 < > 00:00:00:00:00:04 Un commutateur (switch) aiguille les paquets uniquement en regardant l adresse MAC de la destination Michel Salomon Sécurité 29 / 55
Attaque des protocoles réseaux - ARP Spoofing Parades Écrire les correspondances @IP/@MAC en dur Entrées statiques et non dynamiques dans le cache ARP Difficile dans les grands réseaux maintenir à jour les tables est très coûteux DHCP Snooping Une @IP est toujours associée à la même @MAC Seules les @IP associées à des @MAC sur des ports spécifiques peuvent renvoyer aux postes clients des configurations réseaux serveur DHCP pirate inopérant Fonctionnalité intégrée dans de nombreux commutateurs Détection des changements en examinant les paquets ARP Utiliser le protocole Reverse ARP Michel Salomon Sécurité 30 / 55
Attaque des protocoles réseaux - ARP Spoofing Schéma de l attaque pour passer un pare-feu Machine 2 Pare feu 1 ARP Spoofing de la Machine 1 Flux normal Machine 1 Flux détourné destiné à Machine 1 2 Tri des 3 connexions Flux destiné à Machine 1 4 Machine attaquante Michel Salomon Sécurité 31 / 55
Attaque des protocoles réseaux - DNS Spoofing Attaque consistant à faire parvenir de fausses réponses aux requêtes DNS émises par la machine cible Vise le Domain Name System Associe une adresse IP à un nom symbolique Approches Les noms symboliques sont structurés et hiérarchiques 1 DNS Spoofing La réponse du DNS est usurpée par le pirate 2 DNS Cache Poisoning Compromission du cache (noms symboliques adresses IP) Rappels Un serveur DNS ne possède les correspondances que pour les machines du domaine sur lequel il a autorité Pour les autres domaines, il interroge le serveur DNS ayant autorité réponses stockées dans un cache Michel Salomon Sécurité 32 / 55
Attaque des protocoles réseaux - DNS Spoofing Schéma de l attaque par DNS Spoofing www.iut bm.univ fcomte.fr? ID=17 Ethernet Switch Client Serveur DNS Pirate www.iut bm.univ fcomte.fr=19.57.91.215 ID=17 Contraintes L ID 16 bits doit être identique tout au long de la transaction Le port source de la requête est choisi aléatoirement (> 1024) Michel Salomon Sécurité 33 / 55
Attaque des protocoles réseaux - DNS Spoofing Schéma de l attaque par DNS Spoofing www.iut bm.univ fcomte.fr? ID=17 Ethernet Switch Client Serveur DNS Pirate www.iut bm.univ fcomte.fr=19.57.91.215 ID=17 Comment obtenir ces informations? Attaque locale utilisation d un renifleur pour les obtenir Attaque distante deviner les informations Parfois le client utilise un port source fixe ; taux de succès > 95% si envoi d au moins 650 fausses réponses (basé sur le paradoxe des anniversaires) Michel Salomon Sécurité 34 / 55
Attaque des protocoles réseaux - DNS Spoofing Schéma de l attaque par DNS Cache Poisoning www.pirate.org? ID=73 www.pirate.org? ID=102 Internet Pirate www.pirate.org=172.20.20.87 ID=73 Serveur DNS pirate www.pirateg.org=172.20.20.87 ID=102 +www.yahoo.fr=193.51.61.3 Serveur DNS À l issue de l attaque, l adresse IP de www.yahoo.fr est corrompue dans le cache pour une certaine durée (TTL) Le DNS renverra une mauvaise adresse pour www.yahoo.fr Michel Salomon Sécurité 35 / 55
Attaque des protocoles réseaux - DNS Spoofing Objectifs L interruption de l accès à un site web déni de service Redirection des internautes vers un faux site web (fabrication) Parades Vérifier que la réponse correspond à ce qui était attendu Uniquement une adresse IP Pas d infos supplémentaires visant à corrompre le cache L aléa actuel des IDs rend quasi impossible leur prédiction Limiter l usage du cache Sécurisation avec DNS SECurity Extensions Authentification de l origine des données DNS Signature des données DNS, mais pas de chiffrement Utiliser la recherche inversée (Reverse DNS Lookup) Requête d un enreg. PTR avec un nom de domaine spécial IPv4 utilise le domaine spécial in-addr.arpa IPv6 utilise le domaine spécial ip6.arpa Michel Salomon Sécurité 36 / 55
Attaque des systèmes et des utilisateurs - Erreurs d admin. Laisser des failles connues de l OS ou d une application Laisser des failles connues de l OS ou d une application National Institute of Standards and Technology National Vulnerability Database nvd.nist.gov Une moyenne de 18 vulnérabilités par jour Vulnérabilités (Common Vulnerabilites and Exposure) référencées 64943 au 24/09/2014 55000 en mars 2013 41000 en mars 2010 30000 en mars 2008 16000 en mars 2006 Dizaine de failles critiques (alertes) depuis le début de l année Michel Salomon Sécurité 37 / 55
Attaque des systèmes et des utilisateurs - Erreurs d admin. Laisser des failles connues de l OS ou d une application Libre (Open Source) versus propriétaire Code libre Étude des sources découverte plus aisée de failles Communauté libre très réactive en cas de problème, un correctif (patch) est rapidement à disposition Code Propriétaire Parie sur l obscurité du code (non divulgation) Délai plus long avant mise à disposition d un correctif Michel Salomon Sécurité 38 / 55
Attaque des systèmes et des utilisateurs - Erreurs d admin. Laisser des failles connues de l OS ou d une application Exemple : vulnérabilité de type spoofing dans Firefox (2008) Attaque de type phishing L utilisateur est invité à saisir son couple ID / Mot de passe Problème au niveau de l en-tête WWW-Authenticate WWW-Authenticate: Basic realm="domaine" Basic authentification par couple ID / Mot de passe Domaine chaîne de caractères identifiant l espace de protection du document demandé Faille mauvais traitement du paramètre Realm Michel Salomon Sécurité 39 / 55
Attaque des systèmes et des utilisateurs - Erreurs d admin. Autres sources de problèmes Ignorance des services actifs menaçant la sécurité Mauvaise configuration, pas de journalisation, etc. Absence de contre-mesures Test de faiblesse des mots de passe Analyse des journaux (logs) Limitation de l accès aux fichiers systèmes par un démon Exemple : chrooter un serveur Apache etc. Michel Salomon Sécurité 40 / 55
Attaque des systèmes et des utilisateurs - Erreurs de prog. Situation de concurrence (race condition) Des processus ou threads accèdent à une même ressource (fichier, variable partagée, mémoire) sans contrôle correct le résultat de l exécution va dépendre de l ordre des accès Illustration - value est initialisée à 3 Thread A Thread B Un changement de contexte possible Instruction Registre EAX Instruction Registre EAX mov EAX,[value] 3 mov EAX,[value] 3 sub EAX,1 2 mov [value],eax 2 add EAX,1 4 mov [value],eax 4 Un pirate pourrait donc récupérer ou modifier des données La parade consiste à verrouiller la ressource Michel Salomon Sécurité 41 / 55
Attaque des systèmes et des utilisateurs - Erreurs de prog. Situation de concurrence (race condition) Des processus ou threads accèdent à une même ressource (fichier, variable partagée, mémoire) sans contrôle correct le résultat de l exécution va dépendre de l ordre des accès Illustration - value est initialisée à 3 Thread A Thread B Un autre changement de contexte possible Instruction Registre EAX Instruction Registre EAX mov EAX,[value] 3 mov EAX,[value] 3 add EAX,1 4 mov [value],eax 4 sub EAX,1 2 mov [value],eax 2 Un pirate pourrait donc récupérer ou modifier des données La parade consiste à verrouiller la ressource Michel Salomon Sécurité 42 / 55
Attaque des systèmes et des utilisateurs - Erreurs de prog. Débordement de tampon (buffer overflow) Faille dans un programme permettant d exécuter un code arbitraire compromettant la machine cible Consiste à écraser le contenu de la mémoire modifier l adresse de retour d une fonction en cours d exécution Illustration du buffer overflow - Le programme 1 #include <stdio.h> 2 #include <string.h> 3 4 void fct(char *str) int main(int argc,char *argv[]) 5 { { 6 char tampon[8]; if (argc!=1) 7 printf("usage: %s <chaine>\n",argv[0]); 8... else 9 strcpy(tampon,str); fct(argv[1]); 10... return 0; 11 } } Michel Salomon Sécurité 43 / 55
Attaque des systèmes et des utilisateurs - Erreurs de prog. Illustration du buffer overflow - État de la pile 4 octets Sens d empilement arg1 = tampon arg2=str tampon EBP @retour fct argc argv[0] argv[1] Parades Utiliser des fonctions sûres strcpy strncpy Programmer avec un langage sûr Vérifier le code source avec des logiciels Michel Salomon Sécurité 44 / 55
Attaque des systèmes et des utilisateurs - Erreurs de prog. Contenu dynamique Java ; ActiveX ; JavaScript ; Flash ; etc. Scripts CGI (Common Gateway Interface) PHP (Personal Home Pages) etc. Attaques Attaque par validation d entrée non reconnaissance d une entrée syntaxiquement incorrecte ; un module ne parvient pas à traiter des entrées manquantes ; etc. Falsification des données HTTP Cross-Site Scripting Cookies ; Uniform Resource Locator ; etc. Forcer l affichage de code HTML ou de scripts injectés par l utilisateur Michel Salomon Sécurité 45 / 55
Attaque des systèmes et des utilisateurs - Erreurs de prog. Contenu dynamique (illustrations) Injection de code SQL Modif. de la requête via une instruction dans une valeur Exemple Requête $req=select id FROM admins where login="$login"; Arguments login=jdoe" OR 1=1 OR login="toto Manipulation d URL Les paramètres sont passés au travers de l URL http://machine/forum/index.php3?cat=3 le pirate modifie manuellement la valeur du paramètre http://machine/forum/index.php3?cat=6 éventuellement accès à un espace protégé Le pirate peut essayer de se promener dans l arborescence, rechercher des scripts, le tout en aveugle Michel Salomon Sécurité 46 / 55
Attaque des systèmes et des utilisateurs - Erreurs de prog. Contenu dynamique (illustrations) Injection de code SQL Modif. de la requête via une instruction dans une valeur Manipulation d URL Le pirate peut essayer de se promener dans l arborescence, rechercher des scripts, le tout en aveugle Parade Toujours effectuer un contrôle sur les données saisies (valeur, type et taille) Michel Salomon Sécurité 47 / 55
Attaque des systèmes et des utilisateurs - Mot de passe Principal danger faiblesse du mot de passe Mot du langage courant attaque par Dictionary Cracking Mot proche de vous (prénom, etc.) attaque par manipulation sociale (Social engineering) Mot trop court attaque par Brute Force Cracking Précautions à prendre par l utilisateur Mélange de chiffres, de lettres et de caractères étendus Changer de mot de passe régulièrement Ne pas le noter Parades du point de vue administration Mot de passe à durée de vie limitée Mot de passe différent pour chaque application Mot de passe à usage unique Michel Salomon Sécurité 48 / 55
Attaque des systèmes et des utilisateurs - Prog. malveillants Bombe logique ( virus) Programme capable de réaliser une action néfaste Création d une porte dérobée sur le système Destruction de données etc. à déclenchement différé à une certaine date ; téléguidé valeur particulière pour une donnée, combinaison de touches Cheval de troie (trojan virus) Programme qui se fait passer pour un autre programme Remplit éventuellement la fonction souhaitée Effectue une ou plusieurs fonctions à l insu de l utilisateur Le plus souvent il ouvre une porte dérobée (backdoor) Parade pare-feu (firewall) et antivirus Michel Salomon Sécurité 49 / 55
Attaque des systèmes et des utilisateurs - Virus et vers Virus et vers malware un malware ne se reproduit pas Programme avec une action souvent néfaste, se reproduisant Virus réplication en infectant un autre fichier (hôte) Vers capable de se propager à travers le réseau Souvent écrits en assembleur (de dizaines à plusieurs milliers de lignes de code) Grande variété de virus Différentes cibles Différentes charges malicieuses Différents vecteurs de propagations Grandes catégories Virus de boot Virus infectant des fichiers exécutables Macrovirus touchant des fichiers bureautiques Michel Salomon Sécurité 50 / 55
Attaque des systèmes et des utilisateurs - Virus et vers Techniques d obfuscation ( de protection ) mutation de code Chiffrement du code Code du virus débutant par un décrypteur en clair Corps du virus chiffré, clé évoluant à chaque réplication Polymorphisme Corps du virus chiffré, clé évoluant à chaque réplication Décrypteur mutant à chaque replication Code mort Réorganisation du code etc. Anti-émulation Rendre difficile l émulation du décrypteur par un antivirus Métamorphisme Suppression du décrypteur Corps du virus mutant (polymorphisme intégral) Michel Salomon Sécurité 51 / 55
Attaque des systèmes et des utilisateurs - Virus et vers Virus Zmist (ou Zombie.Mistfall - 2000) Virus métamorphique mutations et modifications du flot de contrôle Technique de code integration (première utilisation) Désassemblage du fichier hôte nécessite 32 Mio de mémoire Relocation de blocs de code de l hôte création d îlots Intégration du code du virus dans les espaces créés Recompilation du nouvel exécutable Virus Simile (ou Win32/Simile - 2002) Code source du virus 14000 lignes d assembleur Machine de métamorphisme 90% du code Polymorphique décryptage non-linéaire Anti-désassemblage, anti-émulation, etc. Michel Salomon Sécurité 52 / 55
Attaque des systèmes et des utilisateurs - Virus et vers Parade antivirus Intègrent des techniques qui sont apparues avec les différentes générations de virus (boot, puis premiers infecteurs de fichiers) Techniques de détection des antivirus par ordre d apparition Signature suite d octets caractéristique Hachage des signatures Recherche en début ou fin de fichier, au point d entrée etc. Moteur heuristique Base structure des exécutables respectées? Détournement, puis vérification des appels systèmes Émulation Poly et métamorphiques complexes signature? Virus polymorphiques corps du virus fixe Emuler le décrypteur, puis signature sur le virus en clair Michel Salomon Sécurité 53 / 55
Attaque des systèmes et des utilisateurs - Espiologiciels Un espiologiciel (ou spyware) est un logiciel qui collecte des informations sur un hôte où il est installé en les transmettant à l insu de l utilisateur Catégories Adware affichage de banières publicitaires Malware logiciel malveillant Diffusion Via des logiciels légitimes (codec DivX, etc.) Via des SPAM Navigation Internet (plugin, ActiveX, etc.) Détection par comportement anormal de la machine Michel Salomon Sécurité 54 / 55
Méthodologie pour mener une intrusion 1 Collecte d informations Inventaire des logiciels installés Topologie du réseau etc. 2 Repérage de failles 3 Attaque pour accéder à un compte utilisateur 4 Extension de privilèges Si le pirate arrive à s introduire dans un compte utilisateur, il va essayer de passer root 5 Installation éventuelle d une porte dérobée 6 Nettoyage des traces Michel Salomon Sécurité 55 / 55