Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

é é Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

- LEXSI - Méthodologies des audits sécurité - Formalisation des résultats - CF6 TELINDUS - Retour expérience sur tests intrusifs - ARKOON - Nouvelles menaces, nouvelles technologies

!"# $ % &'( ' ' ' ( )'' ' *! +,,!-* '.. /'... 0 1 ' $ 1'.'.+ %!"2,'. (. 3'

&%*!"& *!" "!"## 4 $%&"'(&" 4 )"*+ 4 *",'- 4 (*** 4 (* 4 (+.! *#/ )

01 Application Présentation Session Transport Réseau Liaison Physique 4 22 3454 4"426 4)454 23 4 43454 4 7.7 4 3454 8 3454 4 4 70 93 3454, 4 - +

,

4470 TECHNIQUE )* **(!* "! 3',' ( -1 " )! " Réglementation ORGANISATION -

/ / / /0 123*4 /0 5 4 7 6 123*4 / 4 378 24 38 0 *8 98,.:;7<.

7 &" 4 0 04 554 4 &" *" =

6&/'"?*/*!"9 ; +1, - 5, - 2 Quotient d'insécurité 35 2 5 1 ' 1 ' ' '+ ' ' ' '+ 2 '1 5. ' ( '(' 6 '.' ' '. &( ' ' &'+ $ & % 2 Débutant Hacker Expert Mercenaire 2 Court terme Moyen terme Eventuel >

6&/'"?*/*!"91 ; 400! 2 Quotient d'insécurité 152 2 # ' 7+8 '6 ' 6 ' 9 + 2 ' ' 5 9 ' 3 3, ' ' 1' 1 3,+ $ 1 % '1 1'5( $ % Débutant Hacker Expert Mercenaire Court terme Moyen terme Eventuel

! 47!!!!"# "$!! % :; <

&"*!:*" &: 44 ;&< " = >88? 474 " >88? === " >88? >>> 3 00 05 2 3454 3: 44 70 4

" 3 44 774 1,0-1? 1@ crit ère 1 5 1A!"#! $ 1B @ 5 1 7 1 1C % 0 A '5 > -'5? -'5 ( crit ère 5 4 3 2 crit ère 2 1 8 *1 -'5 crit ère 4 crit ère 3 Niveau de sécurité de la plateforme testée Moyenne des tests Intrusifs effectués par LEXSI en 2001 )

Organisation générale Sécurité des progiciels 4,0 Contrôles permanents externes aux services Suivi des incidents et contrôles programmés 3,00 3,51,45 1,71 Définition des règles sécurité et audit 2,49 0,58 Méthode de conduite de projet et de développement 3,0 Facteur sociaux - économiques 2,61 2,70 Les protocoles de réception des logiciels 2,5 Aménagement des locaux informatiques 2,71 2,0 2,30 Maintenance des matériels Sur sec 1,5 Contrôle d'accès aux locaux et surveillance et contrats d'assistance 3,00 1,50 Cible 1,0 Max Moyenne Suivi de l'exploitation Sauvegarde et contrôle systématique L'archivage désarchivage 2,32 2,51 1,85 0,5 0,0 2,35 0,85 Protection des données Sécurité contre le dégats des eaux 2,71 2,13 Sécurité des télécommunication 2,10 1,16 Equipement fiabilisant les configurations 1,28 Sécurité offerte par le matériel et logiciel de base 2,04 2,02 Plan et système de secours Le plan informatique et le plan sécurité Organisation utilisateurs informaticiens La qualification du personnel informatique 2,25 0,75 1,98 Equipement locaux contre pollutions Existence et respect consignes sécurité de sécurité physique Sécurité incendie +

: 44 // Note Globale des 15 dernières entreprises auditées Organisation de la Sécurité 2,50 Maximum = 2,23 2,00 Moyenne= 1,82 1,50 1,00 SITE 1 = 1,57 SITE 2 = 1,44 Minimum = 1,25 0,50 0,00,

3 <*< Facteur de sécurité SITE 1 SITE 2 1 Les systèmes et procédures de secours 0,31 0,84 2 Suivi des incidents et contrôles programmés 0,71 0,45 3 Les méthodes de gestion de projet et de développement 0,90 0,57 4 Les plans informatiques et de sécurité 0,60 0,65 5 La sécurité spécifique contre les dégâts des eaux 0,71 1,23 6 Le contrôle d'accès aux locaux et la surveillance 1,32 0,71 7 L'archivage désarchivage 1,20 0,72 8 Les consignes de sécurité physique 0,35 2,91 9 Les procédures de recette 0,94 2,00 *!**!! -

"3)D00 ).

=

>

, 3 )!! E $*FE$ G?.!!AHIHI::+" 4IBJB?HCIKAL02 M /0 1?@E?G) KA?II NAA?CCHGHHHHE NAA?CCHGHHHK 00M /0 E OOO/ /0

Retour d expérience sur tests intrusifs Lyon, mardi 10 décembre 2002 CLUSIR

! " # # $ %" # # " & ' (! ' ) * + ' ),((! ) ( ) -

' Cartographie Tests intrusifs Exploitation Tests intrusifs Identification Scanning Information Veille Technologique Quelles actions prendre? Que dire des autres accès? Quelqu un peutil les exploiter? De nouvelles failles sur mes systèmes?

. / interlocuteur commercial Consultant Client R&D Usine Contrôle Business Unit Tests Intrusifs

0 (- - 1 // ' 1 - /2 /3 /- /3 + + / 1

/ 4 - - 5 ' 3 63 / 4 - & +'! 2 ' 1 //// 1 7 1 /- 1/

' (! ' ) / 6 /' & /' ' + & /' / 1! 1 8 & 1 / $ 9 : ; ' / $ $ < ' 4 3 = = // " >? ' //

& 1+ Web Interco Internet FireWall DMZ Router Scan ligne RASPABX Firewall RTC / RNIS Mail Server Web Server Remote Access Server Interne Intranet serveur PABX

* + ' ) 12 % réussite Interco DMZ Internet Router 24 % réussite Scan ligne RASPABX Firewall RTC / RNIS 80 % réussite Mail Server Interne Web Server Intranet serveur Remote Access Server PABX

,(( ) @- ' Equipements distants avec/sans mot de passe 12 % 88 % Avec auth. Sans auth

,((! ) @- ' / PABX/Routeur 34 % 66 % Mot de passe par defaut Autre mot de passe

1 () " # # $ " # # " A A <? / / 3 1

- INTERNET Routeur Routeur DMZ DMZ Coupe-feu Serveur Messagerie Serveur Dédié trojan Coupe-feu Serveur Messagerie INTRANET CF6 INTRANET CLIENT Poste Ciblé // 1 B 6 C / A D E' ' A 6 F

Merci!! Questions?

é é Lyon, mardi 10 décembre 2002!"#$ %!&$

ARKOON : Nouvelles menaces, nouvelles technologies!""#$% & '

Hier Attaques exploitant les failles des protocoles de Niveau 3 Typiquement le protocole IP Attaques du type IP Spoofing Attaques exploitant les failles des protocoles de Niveau 4 Typiquement les protocoles TCP/UDP Attaques sophistiquées du type vols de sessions (hijacking)

Aujourd hui Attaques exploitant les failles des protocoles de Niveau 7 Protocoles applicatifs (serveurs WEB, serveurs DNS, clients messagerie) Attaques les plus nombreuses auxquelles les firewalls sont généralement perméables Virus hybrides Toutes les cibles - Propagation de plus en plus rapide par Internet via les e-mails, les pages Web en utilisant les failles des outils de communication (

Demain Utilisation de flux «complexes» pour véhiculer les attaques : Visioconférence : H323, SIP Partage fichiers/chat : ICQ, MSN, Kazaa, Utilisation de HTTP comme un «protocole de transport» : SOAP DCOM/RPC Streaming )

Statistiques vulnérabilités remote (Source : http://icat.nist.gov) ', + Autres OS + Stack IP ) '--- ' Applications (Serveur + Client) Plus de 86% des attaques sont d origine applicative Voir : http://online.securityfocus.com/infocus/1544 *

%' Dépassement de buffer (Buffer overflow) Violation de protocole (non-conformité de commandes, de paramètres, ) Mauvaise configuration de serveurs (mot de passe faible, ) Trou de sécurité dans les applications (ex: Backdoor) +

Vulnérabilités HTTP. &( /.".0 1/ 2 2 3 34. $ $ &()**+*,** &)**++-.

Vulnérabilités HTTP. &( 7%8. 9:&";< 1/ =9 3; 9>;:. $6, &()**+*--- &()**+*556,

Exemple NIMDA Mode de propagation multiple HTTP Serveur infecté IE Machine infecté IIS SMTP Netbios -

Exemple NIMDA Phase 1 : Le code viral de Nimda est envoyé via un Mail '

Exemple NIMDA Phase 2 : Le code viral se propage sur le poste utilisateur et sur le réseau local README.EXE README.EXE README.EXE README.EXE... README.EXE README.EXE README.EXE ''

Exemple NIMDA Phase 3 : Propagation du ver à travers la messagerie Internet Mail INTERNET README.EXE README.EXE Bernard README.EXE Christine Pierre '

Exemple NIMDA Phase 4 : Contamination des serveurs Web HTTP://195.100.100.1/ HTTP:// 195.100.100.34/ HTTP://195.100.102.56/ INTERNET ADMIN.DLL Répertoire HTML README.EML README.EML README.EML README/EML POSTE CONTAMINE Serveur WEB '(

Exemple NIMDA Phase 5 : propagation à travers les navigateurs Internet Explorer GET //... README.EML Serveur WEB Infecté ')

&2? Phase 1 : Antivirus sur messagerie Phase 2 : Antivirus sur réseau local (postes de travail, serveurs) Phase 3 : Antivirus sur messagerie Phase 4 : Analyse applicative et détection d attaque sur flux HTTP Phase 5 : Antivirus sur HTTP Nécessité d une combinaison Antivirus + Filtrage applicatif '*

2@'29.0; Stateful Proxy Avantages Débit Facilité d intégration Inconvénients Pas (ou très peu) d analyse applicative Avantages Analyse applicative Inconvénients Débit Difficulté d intégration '+

:'2#$% Moteur stateful évolué Suivi des sessions (table des connexions actives) Fonction avancée de déséquencement et analyse des couches OSI/3 (IP) et OSI/4 TCP/UDP/ICMP (Normes RFC) Analyseur de protocole applicatif Vérification «à la lettre» du respect des protocoles applicatifs (HTTP, FTP, SMTP, POP3, NNTP, DNS, IMAP4, RTSP, H323, Netbios) en fonction des normes RFC Restriction du champ protocolaire Limitation de certaines commandes à potentiel intrusif au regard de la politique de sécurité de l entreprise. Exemple : Commande «SITE» du protocole FTP Caractères «..» dans les requêtes du protocole HTTP '.

HTTP & FAST ( D ' /..0 7 / =2 #$%C%% / =2 #$%C%% 9: 2; 9 A70B3 : 9 ',

NIMDA & FAST Infection des serveurs IIS Les vulnérabilités utilisées par Nimda ne violent pas le protocole HTTP Utilisation de règles protocolaires (interdiction.., root.exe, ) Infection des browsers qui surfent sur un serveur infecté Chargement de code malicieux via HTTP Nécessité d utiliser un mécanisme antivirus sur les données véhiculées par HTTP Infection par messagerie SMTP Nécessité d utiliser un mécanisme antivirus sur les messages véhiculées par SMTP, voire POP3 '-

'2#$% Analyse de nouveaux protocoles applicatifs : SIP, MSN, Décodage applicatif de protocoles encapsulés dans HTTP : SOAP, DCOM, Streaming, Mise à disposition d un SDK FAST Utilisation d une base de signature d attaques applicatives

& Comment se protéger efficacement face aux menaces actuelles? Mettre en œuvre une solution qui permet l analyse applicative Utiliser des solutions antivirus «gateway» : Pour la messagerie (SMTP, POP3, ) Pour le surf HTTP Comment se préparer aux menaces de demain? Prévoir l arrivée d attaques sur de nouveaux protocoles, notamment l utilisation de HTTP comme un protocole de transport Prévoir la mis en place de solutions antivirus sur de nouveaux protocoles applicatifs (MSN, ICQ, Kazaa, ) '

ARKOON : Daniel FAGES - Jean-Paul ROUX 13A avenue Victor HUGO 69160 LYON-TASSIN Tél: 04 72 53 01 01 jproux@arkoon.net - dfages@arkoon.net