Master Sécurité des Systèmes Informatiques 2013-2014

Master Sécurité des Systèmes Informatiques 2013-2014

système d information : L ensemble des moyens nécessaires à l élaboration, au traitement, au stockage, à l acheminement et à l exploitation des informations SI représente un patrimoine essentiel de l entreprise la confidentialité et la disponibilité de l information constitue un enjeu très important pour la compétitivité de l entreprise

La sécurité du système d information : Ensemble de mesures de sécurité physique, logique, administrative et de mesures d'urgence, mises en place dans une organisation, en vue d'assurer: La confidentialité et l intégrité des données de son système d'information La protection de ses biens informatiques la continuité de service

Les systèmes informatiques sont au cœur des systèmes d information Ils sont devenus la cible de ceux qui convoitent l information Assurer la sécurité de l information implique l assurance la sécurité des systèmes informatiques. La sécurité informatique est la science qui permet de s assurer que celui qui consulte ou modifie des données du système en a l autorisation

Les principaux objectifs à garantir: Authentification : vérifier l identité des personnes qui veulent manipuler l information Confidentialité : L information ne peut être connue que par les personnes autorisées Disponibilité : L information doit être utilisable à la demande Intégrité : L information ne doit pas être altérée ou détruite par accident ou malveillance Non répudiation : L absence de possibilité de contestation d une action une fois celle-ci est effectuée

Faille ou bug pouvant être utilisé pour obtenir un niveau d accès illicite à une ressource d informations ou des privilèges supérieurs à ceux considérés comme normaux pour cette ressource La vulnérabilité caractérise les composants du système(matériel, logiciel, les règles, les procédures, personnel) susceptibles d être attaquées avec succès Une vulnérabilité est exploitée par une menace pour causer une perte Exemples de vulnérabilités : Utilisation des mots de passe non robustes Présence de comptes non protégés par mot de passe

La sécurité est cher et difficile: Les organisations n ont pas de budget pour ça La sécurité ne peut être sûr à 100%, elle est même souvent inefficace La politique de sécurité est complexe et basée sur des jugements humains Les organisations acceptent de courir le risque, la sécurité n est pas une priorité De nouvelles technologies (et donc vulnérabilités) émergent en permanence Les systèmes de sécurité sont faits, gérés et configurés par des hommes

Panne disque Chute de tension Echange des disquettes infectée Le vol L écoute La fouille accidentelles Intentionnelles

Les attaques d accès Les attaques de modification Les attaques par saturation (Déni de service) Les attaques de répudiation Attaque = cible + méthode + Vulnérabilités

Ingénierie sociale : L attaquant établit des relations avec le personnel pour obtenir des informations sur les mots de passe, La topologie du réseau, Portes dérobées (backdoors) : injecter un code dans la cible pour l exploiter plus tard Sniffing : L attaquant se met à l écoute sur le réseau pour obtenir des informations

Virus: un programme caché dans un autre qui peut s exécuter et se reproduire en infectant d autres programmes ou d autres ordinateurs Ver: un programme qui se copie lui-même mais qui n affecte pas d autres fichiers relâcher un ver dans internet permet de ralentir le trafic Bombe logique: un programme qui se déclenche à une date ou à un instant donnée Macro virus: Ils sont insérés dans certains fichiers d extensions doc, xls, ppt et ils donnent la possibilité d exécuter de petits programmes spécifiques sur le document qui les contient cheval de Troie: est un programme qui lui est un ver ou autre type de programme aux effets pervers

Le flooding: Envoyer à une machine de nombreux paquets IP de grosse taille. La machine cible ne pourra pas traiter tous les paquets et finira par se déconnecter du réseau. Le smurf: S appuie sur le ping et les serveurs de broadcast. On falsifie d abord son adresse IP pour se faire passer pour la machine cible Le débordement de tampon: On envoie à la machine cible des données d une taille supérieure à la capacité d un paquet. Celui-ci sera alors fractionné pour l envoi et rassemblé par la machine cible il y aura débordement des variables internes.

Le IP spoofing: se faire passer pour une autre machine en falsifiant son adresse IP (Elle est en fait assez complexe)

Attaque passive : c est la moins dangereuse Ne modifie pas l information Consultation de l information Attaque active : ce type d attaque est dangereux Modifie l état d une information, d un serveur ou d une communication Connexion frauduleuse à un host ou un réseau Altération des messages en transit sur un réseau (Denis de service)

?

Risque Fonction de la menace et de la vulnérabilité Caractérisé par une probabilité et un impact

Risque pays Risque de taux Risque de crédit Risque de vol Risque d approvisionnement Risque de change Risque social Risque environnemental Risque fiscal : Rq : fraude fiscale. Le risque fiscal est sousestimé Risque d exploitation Risque de catastrophe, séisme 2001 Risque stratégique Risque d intrusion

Stratégie Définition et qualification des risques Stratégie d audit Evaluation des vulnérabilités Evaluation de vulnérabilités Plan d action Moyens de protection Mise en oeuvre des moyens de protection Plan de communication et de formation Actions de suivi Mesure de la conformité Plan d audit

Définition et qualification des risques : Identifier l ensemble des risques Inhérents à l activité et au secteur Propres à l organisation Etablir une classification (par impact, ) Obtenir la validation de la Direction Générale Elaboration de la stratégie d audit : Concevoir une charte d audit Attribuer les responsabilités Allouer les ressources

Evaluation des vulnérabilités : définir les outils et les moyens d investigation évaluer les dispositifs en place détection et prévention protection transfert établir la cartographie du risque résiduel Conception du plan d actions : objectifs claires et mesurables Rq : plus il est simple, plus il marcherait mieux. responsabilités et moyens identifiés Rq : avant tout (càd les moyens de sécurités), la gestion des risques est une mise en place d une politique de démarches de contrôle.

Mise en oeuvre opérationnelle : conception et déploiement des solutions mode projet incluant les opérationnels mesure d efficacité respect des moyens alloués intégration dans les processus existant : Communication et formation : diffuser les référentiels Rq : «comment on mesure et classer les risques?» intégrer la gestion du risque dans les objectifs individuels

Chiffrement ; Signature numérique ; Firewall ; IDS ; Serveurs proxy ; Anti-Virus ;

Ensemble de règles spécifiant: Comment les ressources sont gérées afin de satisfaire les exigences de la sécurité Quels sont les actions permises et les actions interdites Objectif: Empêcher les violations de sécurité telles que: accès non autorisé, perte de données, interruption de services, etc Implémentation: Partiellement automatisée, mais toutes les personnes sont impliquées.

Domaine d application: Elle doit fixer l ensemble du personnel qui doit la respecter et l appliquer Domaine de responsabilité: administrateur système, Définit les règles pour : La gestion des mots de passe L authentification des utilisateurs Le contrôle d accès (réseau et système) L architecture du réseau La sécurité du personnel (formation, ) La sécurité physique

L audit est l examen d une situation, d un système d informations, d une organisation pour porter un jugement C est la comparaison entre ce qui est observé et ce que cela devrait être, selon un système de références.

l audit informatique apporte : Un conseil en organisation fourni par des spécialistes extérieurs Le moyen d accompagner et de justifier la mise en place de nouvelles structures ou de nouvelles méthodes

l audit informatique concerne : Les aspects stratégiques : conception et planification de la mise en œuvre du système d informations L environnement et l organisation générale de la gestion de l informatique Les activités courantes de gestion de l informatique Les ressources informatiques mises en service Les applications informatiques en service La sécurité

Mission Évaluer L infrastructure informatique ; Une application informatique ; Un système ou une application informatique en cours e réalisation; Livrable Rapport contenant les failles et les faiblesses découvertes ; Mesures proposées pour réduire et contrôler les risques.

L auditeur informatique peut disposer de deux types d outils importants dans le cadre de son activité : Les méthodes d analyse des risques informatiques Les progiciels d audit

Test d intrusion

Test d intrusion, test de pénétration Simulation d attaque par des spécialistes de la sécurité informatique Conditions réelles (attaquants), sauf traitement des données collectées (restituées au client) Utilisation couplée de techniques automatiques et manuelles

1 2 3 4 Prise Identification des Backdooring d informations vulnérabilités des systèmes Cartographie du réseau Identification des systèmes Identification des droits d accès Recherche des exploits Exploitation des vulnérabilités Attaque du réseau interne Prise de contrôle du réseau Les phases d un pentest sont identiques aux phases d une intrusion

Passer outre les croyances : La bande passante est infinie Le réseau est sûr La topologie ne change pas Il n y a qu un administrateur Le réseau est homogène Il faut faire confiance au réseau (d après Peter Deutsch, Cisco Systems)

Met en évidence le risque que peut subir un S.I. vis-à-vis de toutes les menaces actuelles : Vers Virus Collaborateurs (inconscients ou malveillants) Anciens collaborateurs Hackers Pirates Script-kiddies Concurrents Partenaires

Démonstratif (beaucoup plus qu un audit technique!) Détails concrets (ex : emails interceptés ) Propice à la sensibilisation (favorise la hausse des budgets sécurité!) Rapide Peu coûteux si ciblé Peut permettre d évaluer les capacités de détection et de réactions des services informatiques concernés (réactions et au bout de combien de temps?)

Sert à vérifier qu un niveau de sécurité est atteint ou non, mais ne sert pas à le définir (manque d exhaustivité du test) À faire régulièrement À faire dans un but précis (verification d une politique) Un réseau ne cesse d évoluer : Ajouts de services réseaux, machines Suppression de services, machines Utilisateurs modifient le réseau sans prévenir les administrateurs

Selon le contexte et le périmètre : Attaques sociales (déclencher une action humaine qui abaissera le niveau de sécurité) Attaques serveurs Attaques clientes Attaques réseau Dénis de service Réseaux auxiliaires (téléphone : PABX, Wi-Fi, tiers de confiances (partenaires B2B))

Computer malfunction Interne t Une attaque réseau directe : le déni de service distribué (DDoS)

En accord avec le client : Attaques sociales (déclencher une action humaine qui abaissera le niveau de sécurité) : e-mails, téléphone, IM Installation d une backdoor/cheval de Troie -> prise de contrôle de l extérieur (pièce jointe dans un mail, page web piégée)

Cibles en première ligne : Serveur de nom Serveur de courrier Serveur web Firewall Collaborateurs!

Permettent de comprendre qu est-ce qui pourrait se passer en cas de succès d une intrusion externe Ou ce qu un collaborateur (employé lambda) ou ancien collaborateur pourrait faire depuis un poste de travail banal (2/3 des attaques)

Minimiser les tests dangereux (ceux qui engendrent des dénis de service notamment) Tests en périodes creuses (midi & soir) Étroite collaboration avec un responsable opérationnel tout au long de la procédure pour pouvoir réagir rapidement en cas de problème Respect des règles d éthique et déontologie Procédures normées et reproductibles

Durée de l intervention pas forcément proportionnelle à la taille du parc à auditer Côter en fonction du nombre de profils différents de machines (environ 1 journée/profil + temps de rédaction du rapport)

Documents présentant : Plan du rapport d audit Type d audit Portée/Périmètre Types de tests autorisés Dates et horaires d intervention Autorisations & décharge à signer par le client Résultats attendus Méthodes/outils utilisés CV des intervenants

Périmètre réseau à explorer (interne uniquement, externe aussi, prestataires autorisés ) Types de tests autorisés (DoS)? Attaques par social engineering (téléphone, mail, fax, messagerie instantanée )?

Test démonstratif mais non exhaustif (préférer un audit technique) Les résultats dépendent beaucoup du périmètre et des règles fixés

Sur chaque cible : Identification / prise d informations Tentative d attaque Analyse de la réponse Ajustement de l attaque Procédure Itérative

Plan d adressage Réseaux / sous-réseaux OS et architectures Services et version Les adresses IP peuvent changer en cours d audit si l adressage est en DHCP (repérer! les machines par adresse MAC ou fingerprinting système/applicatif)

Différents types : Prise d info indirecte (pas d interaction directe avec la cible, furtif, moins précis) Prise d info directe (interaction avec la cible)

Bases whois Newsgroups Moteur de recherche Social engineering Site officiel Annuaires : Pages jaunes, societe.com,

Scanners Outils de fingerprinting SNMP (communauté «public») Social engineering

Si une vulnérabilité permettant l exécution de code est trouvée, utilisation de l exploit adéquat Cracking local / distant de mot de passe possible

L accès est rarement administrateur du premier coup, il faut ensuite passer par une phase d élévation de privilèges (exploitation d une 2 ème faille, dite faille locale)

Le but est de pouvoir revenir sur le système pendant l audit même si les vulnérabilités originelles sont colmatées Installation de backdoors (applicatif) ou rootkits (système) Introduction d une «faille» artificielle

Logs systèmes : /var/log ou syslog (Linux) Journal d événements (Windows) Logs applicatifs Logs firewall Logs IDS (évasion d IDS utile)

Site web de l entreprise! Moteur de recherche web ou newsgroups (Google) avec : Nom de l entreprise Nom de personnes Ou combinaison de termes de recherche (ex : nom équipement + nom de l entreprise, «Routeur EDF»)

De nombreux administrateurs posent des questions techniques sur internet! Manière facile et discrète pour trouver : Des noms/mails/logins d employés Des équipements utilisés Des configurations déployées (même parfois des mots de passe )

Exemple de message trouvé sur un newsgroup

Whois sur le domaine (http://onlinewhois.org/): Adresses physiques Noms de personnes Numéros de téléphone / fax E-mails Informations très utiles pour les attaques par social engineering! + adresses des serveurs DNS (intéressant si non mutualisés)

domain: SYSDREAM.COM owner-name: Sysdream owner-address: 4 impasse de la gendarmerie owner-address: 93400 owner-address: Saint ouen owner-address: France admin-c: PP1030-GANDI tech-c: PP1030-GANDI bill-c: PP1030-GANDI nserver: a.dns.gandi.net 217.70.179.40 nserver: b.dns.gandi.net 217.70.184.40 nserver: c.dns.gandi.net 217.70.182.20 reg_created: 2003-09-16 11:52:59 expires: 2008-09-16 15:52:59 created: 2003-09-16 17:53:01 changed: 2007-07-24 17:12:00 person: paulo pinto Nic-hdl: PP1030-GANDI Address: Sysdrem Address: 4 impasse de la gendarmerie Address: 93400 Address: Saint ouen Address: France Phone: +33.140100541 E-mail: 3fb01259395e1c76d0a97bc08d1474cf-pp1030@contact.gandi.net Lastupdated: 2007-01-02 22:35:20

Whois sur les IP trouvées: Plages d adresses réservées Plan d adressage externe Prestataires d hébergement

$ host www.edf.fr www.edf.fr is an alias for clwwwlbn.edf.fr. clwwwlbn.edf.fr has address 217.19.57.206 $ whois 217.19.57.206 inetnum: 217.19.57.192 217.19.57.255 netname: EDF

Transfert de zone : Principe : se faire passer pour un serveur DNS secondaire du domaine et demander une copie des entrées au serveur DNS primaire Récupération des noms & IP des serveurs (plan d adressage externe ou interne)

Transfert de zone : Après avoir trouvé le DNS primaire (whois), utiliser nslookup (Windows) ou host (Linux) pour demander le transfert de zone sur une zone précise : Nslookup > server ns.domaine.com > ls d domaine.com host l domaine.com ns.domaine.com

Nmap (fingerprinting actif) : Fingerprinting système : Nmap O 192.168.0.1 Fingerprinting applicatif (grab de bannières) & système : Nmap A 192.168.0.1

Xprobe2 (fingerprinting actif) : Bien plus précis que nmap mais nécessite la connaissance (???) d un port ouvert et d un port fermé Xprobe2 p tcp:80:open p tcp:81:closed 192.168.0.1

P0f (fingerprinting passif) : Fingerprinting des clients : p0f Fingerprinting des serveurs : P0f -A

#p0f A p0f: listening (SYN+ACK) on eth0, 57 sigs (1 generic), rule: all. 212.27.33.225:80 Linux recent 2.4 (1) (up: 600 hrs) -> 192.168.0.4:34488 (distance 14, link: ethernet/modem)

SNMP : Solarwinds SNMP Winfingerprint : Informations & partages Netbios (notamment Null Sessions)

thcrut (découverte réseau) Nmap (scan de port horizontal et vertical, idle host scan)

Traceroute Sniffeurs : tcpdump wireshark/ethereal dsniff Cain Forgeur de paquets / Fuzzing : Packet Excalibur scapy nemesis hping

DOS arp -sk Redirection de trafic : ARP : arpspoof/ettercap DNS : denver MITM ssharp Achille Tunneling icmptunnel httptunnel

Dump de passwords Pwdump/samdump/bkhive Crackeurs de passwords Ophcrack / LC5 Pwl Tools John the ripper brutus Keyloggers Invisible Keylogger

IntelliTamper Nikto Whisker N-stealth Wapiti Acunetix Web Vulnerability Scanner

Interne t Principe d une attaque par mail pour entrer et ressortir de l entreprise

Chevaux de Troie : Netbus MoSucker JAB (Just Another Backdoor) Rootkits : Adore Hxdef

Très grand nombre de scanners automatiques plus ou moins spécifiques : Nessus Core Impact ISS Internet Scanner Eeye Retina Qualys

Nessus

ISS Internet Scanner

Core Impact

Eeye Retina

Avantages : Entièrement automatiques : Quasiment aucune intervention humaine (installation, configuration & génération de rapports aisées) Détectent : Les vieilles versions des services Les défauts flagrants de configuration Les mots de passe par défaut utilisés Les protocoles non chiffrés

Inconvénients : Ne détectent que 25% des vulnérabilités effectives (vulnérabilités applicatives mal détectées) Nombreux faux positifs (> 30%) Dangereux en détection de DoS Nécessitent le déploiement de plusieurs sondes sur des réseaux très segmentés / firewallés Conclusion : Utiles pour le «débroussaillage» mais très loin d être suffisants

Metasploit Canvas Core impact inlineegg / ShellForge (création de shellcodes)

Milw0rm.com www.astalavista.com packetstormsecurity.org www.securityfocus.com

Niveau de risque ou niveau de sécurité fonction de : Impact Potentialité criticité Dans les faits, impact et criticité sont à rapprocher

L impact d une vulnérabilité se mesure habituellement (méthode C.I.A) en termes de : Confidentialité Intégrité Disponibilité Exemples : Déni de service : D Faille XSS : C+I Buffer overflow : C+I+D

Potentialité : Probabilité d une exploitation de la vulnérabilité Dépend des sources de menaces et du niveau d accessibilité de la vulnérabilité

Pour chaque vulnérabilité, évaluer sa criticité : Critique Important Moyen Mineur Problème critique permettant de rapidement prendre le contrôle du système. Problème pouvant être la cause d une intrusion, mais difficilement exploitable. Problème pouvant être indirectement la source d une intrusion. Problème sans conséquence directe pour la sécurité du système mais pouvant fournir des informations techniques.

Niveau 1 Niveau 2 Niveau 3 Niveau 4 Aucun. Faible. Moyen. Bon. Résumé au niveau système du niveau de sécurité, en fonction de : La criticité des vulnérabilité L accessibilité des vulnérabilités Le niveau de menace sur l environnement du système

Au moins 6 parties à développer : Objectifs de l audit Guide opérationnel Synthèse générale Analyse globale Analyse des vulnérabilités Recommandations

1. Objectifs de l audit : Contexte de l audit But de l audit Type de pentest : interne/externe Expliciter le niveau de sécurité attendu ou la politique de sécurité à vérifier

2. Guide opérationnel : «Guide de lecture» du rapport Expliquer le plan du rapport, à quel lectorat sont destinées les différentes parties Détailler les abréviations, le vocabulaire spécifique employé, les niveaux de criticité/risque utilisés Rappeler le périmètre (au sens large) de l audit

3. Synthèse générale : Synthèse non technique comprenant : Les points forts Les points à améliorer L analyse générale du niveau de sécurité Une conclusion générale Partie à destination des décideurs!

Réseaux F Applicati on Niveau de sécurité global : Catégorisation des niveaux de sécurité Critères évalués entre 0 (sécurité nulle) et 5 (bonne sécurité) Web Système

4. Analyse globale : Informations réseaux générales (liste des réseaux, plans d adressage, niveau de sécurité agrégé par plage), schémas réseaux Énumération des systèmes détectés (détails (marque, modèle, OS, ) + niveau de sécurité agrégé par système) Énumération des services par systèmes (description et criticité des vulnérabilités) Séparer clients/serveurs/équipements réseaux

5. Analyse des vulnérabilités : Fuite d informations publiques & techniques Vulnérabilités listées exhaustivement et détaillées techniquement (références CVE si possible) Méthodologie d exploitation Recommandations : Mise à jour Patch Changement de configuration Règles réseaux

6. Recommandations : Recommandations génériques et générales Listing des correctifs importants (20% des vulnérabilités induisent beaucoup plus de 80% du risque)

Rapport très technique mais fournir un second rapport ou chapitre pour les décideurs (par exemple sous forme de tableau de bord) Comparer le niveau de sécurité attendu (politique sécurité + sécurité liée à l activité) à la sécurité constatée et en discuter avec le commanditaire de l audit

Les qualités d un rapport réussi : Clair Accessible Démonstratif didactique

Recommandations : Si possible donner des indications de coûts ou de moyens à mettre en œuvre pour les appliquer Leur donner des priorités, puis les ordonner (la sécurité n est qu une question de compromis budgétaire)

Mitigation : Correction des vulnérabilités (application des recommandations importantes) Second audit après mitigation ou contre-audit après un autre prestataire