Logiciels Libres de sécurité informatique et Stratégie Nationale en matière de sécurisation des SI Pr Nabil SAHLI Agence Nationale de la Sécurité Informatique Directeur Général Chargé de Mission auprès de Monsieur le Ministre 1. Sécurité : Impacts et Enjeux E-mail : n.sahli@ansi.tn 2. Grands axes de la stratégie nationale dans le domaine de la sécurité 3. Attraits que présente le LL pour la mise en oeuvre de cette stratégie 4. Meilleurs outils de sécurité du mode du LL 5. Taux d utilisation des outils open-source chez_nous 6. Conclusion Plan (*) Toute utilisation de ce support est conditionnée par la simple notification à l ANSI
Introduction : c est quoi cette sécurité..?
Hackers Convoitise Impunité INTRUS INTERNET SUCCES D INTERNET S M I =Centre névralgique de l émergente SMI : ENJEUX CONSIDERABLES: Economiques(Commerce electronique) Scientifiques/Culturels Sociaux/Politiques Vide Juridique (Internet)/«Immatérialisme» des Intrusions Sophistication + de Succès GENERALISATION RESEAUX PRIVES INTRANETs /Extranets Monopole Technologique TCP/IP (Uniformité) ENRICHISSEMENT «Abusif» DES SERVICES TCP/IP -SECURITE + Failles + E s s a +COMPLEXITE i S «S.M.Intrus» Hackers(Challenge) Criminalité (Métier) Terrorisme (Warefare) Espionnage COLLABORATION «ANONYME»
1 6 0 0 0 0 1 4 0 0 0 0 1 2 0 0 0 0 1 0 0 0 0 0 8 0 0 0 0 6 0 0 0 0 Statistiques du CERT Incidents déclarés +67 % 1 3 7 5 2 9 8 2 0 9 4 5 2 6 5 8 4 0 0 0 0 2 0 0 0 0 0 2 1 7 5 6 2 5 2 4 0 6 7 7 3 1 3 3 4 2 3 4 2 4 1 2 2 5 7 3 2 1 3 4 3 7 3 4 9 8 5 9 1 9 90 1 9 91 1 9 92 1 9 93 1 9 94 1 9 95 1 9 96 1 9 97 1 9 98 1 9 99 2 0 00 2 0 01 2 0 02 2 0 03 VULNERABILITES Année 2000 2001 2002 2003 Failles Décelées 1,090 2,437 4,129 3,784
Dommages dus aux seuls virus Le pourcentage des E-mails virusés en 2004 a doublé par rapport à l'année dernière ) 6.1% en 2004, contre 3% en 2003 et 0.5% en 2002(. aux USA : Les dégâts dus aux virus en 2004 est estimé à 55 millions $US (enquête FBI 2004) Quelques chiffres sur les dégâts dus aux derniers vers : Mydoom = 380 millions $US [2004] Blaster et Sobig = 2 Milliards $US [2003] SirCam = 1.15 Milliards $US [2001] Code Red = 2.62 Millards $US [2001] (250 000 systèmes infectés en moins de 9 heures)
Selon une Enquête officielle du «DTI» (Department of Trade and Industry) britannique ( 2004, 1 000 entreprises) : -68% des grandes entreprises ont été atteintes par des vers et ont été sujettes à des attaques actives (DDos) - 83 % des entreprises ont au moins une fois été confrontées à une affaire de criminalité informatique
Selon diverses Enquêtes de sécurité FBI, CSO Magazine, CERT, DTI, CSI, ISC2, - Le coût des pertes causées par «E-Crime» est estimé en 2003 à 666 Million$ (USA) - L impact de «E-Crime» : 56% Pertes opérationnelles 25% pertes financières (USA) - Moyenne des pertes suite à un incidents cybernétique par entreprise en UK = 213 000 $US - Total des pertes enregistrées suite à un incidents cybernétique en 2004 en USA : 142 Million $ - 38 % ont détecté des essais d intrusion importants - 48% ne dévoilent pas leurs attaques (40% en 2001) Parmi ceux qui ont accepté de dévoiler leurs attaques : 70 % ont reporté des essais de sabotage 12 % ont reporté des pertes de transactions 6 % ont reporté l occurrence de fraudes financières 55 % ont reporté des attaques de Déni de service (DDos)
: Site Web CIA Autres Types de pertes ),)Image de marque
Mais, en plus
Principaux axes de la stratégie nationale dans le domaine de la sécurité
Renforcer la sécurité de nos SI Objectif : Permettre une ouverture et une intégration (sécurisées) de nos SI Institution de l obligation de réalisation d audits périodiques : s assurer de l efficacité des démarches et des solutions sécuritaires mises en œuvre pour la sécurisation de tous les SI Assurer la mise en oeuvre des mesures sécuritaires optimales pour les grandes applications nationales Regrouper les investissements lourds nécessités (Implantation d infrastructures de continuité de fonctionnement) Veiller au développement d un tissu industriel riche et diversifié, apte à satisfaire à nos besoins en la matière (et assurer le ROI: export et emploi)
Renforcement de la protection du cyberespace national, face aux menaces cybernétiques Objectif : Garantir un usage élargi de nos infrastructures de communication et une interconnexion confiante - Développement : -de mécanismes de détection précoce des menaces, -de moyens efficaces d alerte, - de plans de réaction appropriés - Renforcer les moyens de coordination et de coopération, en cas de menace sur notre espace cybernétique -Fournir l assistance nécessaire aux RSSI et aux usagers pour parer aux Menaces (Computer Emergency Response Team / Tunisian Coordiantor Center )
Garantir l autonomie technologique Objectif : Développer l'expertise scientifique et technique dans tous les domaines de la sécurité des SI - Encourager l émergence et la consommation de solutions Tunisiennes -Développer une activité de R&D réactive à nos besoins Basée sur l approche Open-Source - Motiver la recherche scientifique sur les aspects de base. - Assurer la veille technologique dans le domaine de la sécurité
Mise à niveau des aspects réglementaires et juridiques Objectif : Œuvrer pour la complétude de la réglementation relative aux aspects sécuritaires de nos SI - Enrichir le répertoire national de normalisation, certification et homologation dans le domaine de la sécurité. - Réglementer le domaine (stratégique) de l audit sécurité ( certification des auditeurs). - Harmoniser le rôle des régulateurs publics et garantir la souplesse des procédures. Renforcer le cadre juridique (crimes cybernétiques) et adhérer aux conventions internationales (propriété intellectuelle, usages prohibés, ).
Consolider la Formation et la sensibilisation Objectif : Garantir la disponibilité de ressources spécialisées Et l usage averti des TI - Lancement de formations spécialisées et certifiantes dans le domaine de la sécurité informatique et motiver le renforcement de l enseignement de la sécurité dans les cursus universitaires de base. - Assurer la formation de formateurs. - Encourager le recyclage et la certification des professionnels. -Entretenir l information et la sensibilisation des utilisateurs. -Motiver la création d associations professionnelles - Elargir la sensibilisation au grand public.
Des décisions avant guardistes Décisions prises lors du CMR du 31 Janvier 2003 Création d une Agence Nationale (Instrument de mise en oeuvre de la stratégie nationale) Institution de l obligation d audit périodique (Base importante de notre stratégie) Création d un corps d auditeurs certifiés Lancement de formations universitaires de haut niveau -Loi sur la sécurité informatique (N 5/2004 publiée le 03-02-2004) - Création de l ANSI - Réglementation de l audit sécurité : Décrets d applications N 1248/2004, 1249/2004 et 1250/2004. - Lancement de plusieurs DESS (ISI-Sup Com, ENSI, 2 universités libres). -Lancement d un CERT-TCC
Rôles de Se charger de la réglementation dans le domaine de la sécurité informatique et veiller à sa diffusion. L Agence Nationale de Sécurité Informatique Veiller à l application des orientations nationales et à la mise en œuvre de la stratégie nationale dans le domaine de la sécurité des systèmes informatiques et des réseaux. Suivi de l exécution des plans et des programmes, en relation avec la sécurité informatique dans le secteur public (exclusion faite de quelques ministères de souveraineté) et la coordination entre les intervenants dans ce domaine. Assurer la Veille Technologique
Encourager et Promouvoir des Solutions Nationales dans le domaine de la sécurité informatique, en relation avec les priorités et les programmes qui seront définis par l agence. Importance de l Open-Source Participation dans le renforcement de la formation et du recyclage dans le domaine de la sécurité informatique. Veiller à l application des mesures qui concernent l obligation de l Audit périodique.
Attraits que présente le Logiciel libre dans cette stratégie
Un grand séducteur : Codes sources disponibles auditables Usage libre Adaptables & Evolutifs Pérennes + Respect des principaux standards (IETF ). + Documentation assez fournie et assistance communautaire disponible sur le Net + Étui mature et sécuritairement sain (Unix).
code source disponible Pas de sécurité sans CONFIANCE dans les outils (font ce qu il disent, vivront) Open-source : On peut vérifier : Tout ce que fait l outil/ Comment il le fait (sans grande difficulté, la plupart du temps) Pérennité prouvée pour les musts
Evolutifs/ Adaptables Pas de sécurité sans autonomie des moyens (limitations à l export des fonctions de chiffrement ) On peut adapter et faire évoluer (sans grande difficulté) Tout ce que fait l outil/ Comment il le fait SI Existence d une réelle activité de R&D, apte à assurer : - Adaptation / Simplification de l usage ( GUIs) - Enrichissement et Distribution
Libres d usage La sécurité est intégrale ou elle ne l est pas Besoins Budgétaires énormes (licenses,..) En complément des solutions commerciales Assurer la Complétude Cardinale et qualitative nécessitées SI Existence de compétences, aptes à assurer : - Le Déploiement / La formation - Le Maintenance / L Assistance
Outils de sécurité du Monde du Logiciel Libre et de l Open Source : Les «Musts»
Outils Open-source : Firewall Netfilter,,IP-Filter : Chiffrement OpenSSL, OpenSSH, Free S/Wan,(ssltunnel), PGP : Authentification forte OpenLdap, FreeRadius, S/Key Antivirus : Amavis, clamav Honey-Pots Honeyd, HoneyNet, Deception Toolkit, Specter... : Détection d intrusion Snort, Prelude, Ntop, Shadow : Scanner des vulnérabilités Nessus, Dsniff, Nmap, Sara, Whisker, Nikto,,THC-Amap,,Hping2 : PKI Open_PKI, EuPKI : Anti-Spam (Spam Assassin (solution serveur solution client)samspade) : Détecteur de sniffeurs Neped, Sentinel, Cpm
Netfilter Firewalls NetFilter (Linux 2.4), - Packet Filter (OpenBSD) - IP-Filter (FreeBSD, NetBSD, Solaris, HP-UX, IRIX), Firewall stateful inspection (et Stateless packet filtering pour IPv6) Utilise le NAT et le PAT pour partager l accés à Internet Notion de transparent proxies Permet de mettre en place des QOS sophistiqués Un bon nombre de plugins/modules maintenu en dépôt 'patch-o-matic http://www.netfilter.org/
Détecteurs d intrusion Réseau Snort Analyse et journalise toutes tentatives d attaque réseau. Détection d'intrusion par analyse du trafic réseau et l'utilisation de signatures d'évènements hostiles Langage de règles flexible pour la description de nouvelles attaques. Capable aussi de bloquer les attaques réseau en temps réel (Plug-In). http://www.snort.org Prelude : La détection d'intrusion se base aussi par l'analyse en continue de fichiers de journalisation. - Architecture modulaire ( peut intégrer ou développer de nouvelles fonctionnalités grâce à des plugins), -distribué (les sondes et les managers) et sécurisé (utilisation du support SSL pour l'authentification et le chiffrement des communications). http://www.prelude-ids.org
Anti-virus Clamav - s'intégre avec des serveurs de messagerie (scan des pièces jointes). - Disponible aussi sous windows sous la forme d'un scanner (ne supprime pas les virus trouvés et ne possède aucun module de protection résidant en mémoire) fournit la mise à jour automatique des signatures, via internet Détecte les tentatives de phishing les plus connues. http://www.clamav.net/ Amavis Propose 2 versions (anciennement amavis-perl) : amavisd et amavisd-new. - Amavisd : démon lancé une fois pour toute. - Amavisd-new est une évolution de amavis (qui consommait pas mal de ressources car il faut démarrer une programme perl pour chaque message à traiter), qui offre de riches fonctionnalités (possibilité de coupler un antispam à l antivirus, ). http://www.amavis.org
Anti-Spam SpamAssassin Permet le filtrage et l analyse des messages de SPAM : Par listes d exlusions (Utilisation de listes noires DNS et de catalogues de spam) Par analyse comportementale ( associe à chaque test un certain nombre de points, quand le nombre de points dépasse une certaine limite le message est considéré comme un spam) http://spamassassin.org/
Outils de contrôle de l intégrite des systèmes Tripwire Vérifie l intégrité du système et surveille les principaux fichiers sensibles : Permet le repérage et la correction rapide des changements intervenus (détecte les modifications accidentelles ou malveillantes) : Utilisé pour détecter les effets d une intrusion : découvrir les modifications de configurations, les fichiers altérés, effectue l'audit du système et permettre le respect des politiques en vigueur sur le réseau. http://www.tripwire.org/ AIDE Même chose que Tripwire(tm) + : crée une base à partir de règle d expressions régulières et utilise plusieurs algorithmes de hashage pour la vérification de l intégrité (md5, sha1, rmd160, tiger, haval, etc.) Tous les attributs des fichiers peuvent être vérifier pour des éventuelles inconsistances. http://www.cs.tut.fi/~rammer/aide.html
Outils d authentification et Relais HTTP OpenLDAP Serveur LDAP (sur plateformes Unix) LDAP permet à n'importe quelle application fonctionnant sur n'importe quelle plateforme d'ordinateur d obtenir l'information d'annuaire, telle que des adresses d'email et des clefs publiques. http://www.openldap.org Relais HTTP : SQUID Serveur proxy-cache très performant, supportant divers outils d authentification, dont Open-LDAP. http://www.squid-cache.org
Outils d audit de vulnérabilité Nessus vulnerability scanner Scanner de vulnérabilité très complet Trés rapide, fiable et propose des batteries de tests modulaire http://www.nessus.org Satan Autre Scanner de vulnérabilité très complet http://www.porcupine.org/satan/
scanner de serveur web Nikto Réalise des tests très complets sur les failles des applications web, (incluant une liste de plus que 2600 CGI qui sont potentiellement dangereux et plus que 625 versions de serveurs ) Liste des failles réguliérement mise à jour. http://www.cirt.net/code/nikto.shtml
Outils de scan manuels OS fingerprint à distance Test de firewall Scan de port trés avancé Test de réseau utilisant : différents protocoles, TOS et la fragmentation Découverte manuelle de route MTU Traceroute avancé (supportant tous les protocoles) Exécution de uptime à distance Audit de pile TCP/IP NMap Scanner stealth, permettant d outrepasser certains firewalls. HPing2 http://www.insecure.org Permet de forger des paquets TCP/IP L'interface est inspirée de la commande Unix ping(8), mais le Hping n envoi pas seulement des paquets ICMP echo, il supporte en plus les protocole TCP, UDP, ICMP et RAW-IP. http://www.hping.org + Plein, plein d autres.
Outils d analyse de l interception des données Dsniff Collection d'outils d interception passifs. arpspoof, dnsspoof et macof permettent de tester la résistance du réseau contre l interception experte des données. Filesnarf, mailsnarf, msgsnarf, urlsnarf et webspy permettent de capturer des mot de passe, emails, fichiers, urls accédées Sshmitm et webmitm mettent en application des attaques active de type man-in-themiddle contre des sessions rédirigées SSH ou HTTPS en exploitant la faiblesse dans l attachement PKI ad-hoc. http://monkey.org/~dugsong/dsniff/ Sentinel Permet d identifier les machines qui tournent des sniffers sur un réseau local http://www.packetfactory.net/projects/sentinel/ Ethereal Analyseur de protocole réseau pour plateforme Unix et Windows. (518 protocoles supportés) - Permet d intercepter et d analyser les données transitant sur le réseau, via : Visualisation interactive des données capturées, Application de filtres sur les capture http://www.ethereal.com
Outils d administration WebMin Permet de gérer à distance et de maniére centralisée une multitude d outils de sécurité Open-source : SQUID, Snort, Netfilter, Basé sur une interface Web conviviale et simple d usage. http://www.webmin.org Swatch - Surveille les logs en temps réel et déclenche une action prédéfinie (alerte, ) lorsqu un événement spécifiques (trigger) se déclenche http://swatch.sourceforge.net/ Autres : Logsurfer, XML-logs, New Syslog, Modular Syslog, Syslog-NG, Aide à la configuration des Firewalls (régles) Firewall Builder, SmoothWall, PHP Firewall Generator, GFCC, Easy Firewall, Mason, Network streams, Filterrules
Honey-Pots HoneyNet Permet de sonder les essais d attaques et aussi de les détourner Permet de créer sur un seul poste des réseaux virtuels (adresses IP multiples pour la simulation d un réseau). Les postes peuvent être configurés pour ouvrir des services virtuels, et leur apparence peut être adaptée de sorte qu'ils semblent exécuter des types virtuels de systèmes d'exploitation. http://www.honeyd.org/
Kits de sécurisation des communications OpenSSL Outil qui implémente le Secure Sockets Layer (SSL v2/v3) et le Transport Layer Security (TLS v1) protocols http://www.openssl.org GN Privacy Guard (GPG) Un outil gratuit qui remplace le PGP suite (Outil de cryptographie). Il est publié sous la licence de GNU General Public License. Il est initialement dévéloppé par Werner Koch et supporté par la suite par le gouvernoument Allemand. http://www.gnupg.org/
Qcqs Adresses utiles http://www.linux-sec.net/ http://sourceforge.net http://www.insecure.org/tools.html http://www.linuxsecurity.com
Aperçu sur un recensement de nos besoins en outils Opensource Résultats d une enquête (70 entreprises stratégiques) sur la sécurité des SI 2003-
Catégories des produits Open Source sollicitées Majorité des environnements = MS Solutions pour le réseau (en attendant une plus grande popularité de l usage d unix) 25,00% 22,92% 22,92% 18,75% 12,50% Firewall IDS AUDIT Chiffrement PKI (Vœux de formation,, extrait des résultats de l enquête 2003)
Taux d utilisation d outils open-source : Firewalls : 100% 6% Firewall Open source Firewall Commercial Détecteurs d'intrusions : Types d'ids utilisés pour la protection du LAN 80% 20% IDS Commercial IDS Open source
Outils d audit de vulnérabilité : 62% 85% Chiffrement Solution Open source Solution Commerciale 80% 20% Solution de chiffrement Commerciale Solution de chiffrement Open Source
Quelques Utilisations Nationales Importantes : Squid, SpamAssassin (Enseignement Supérieur, El Khawarizmi) SLIS (Education, INBMI) Apache (FSIs) + + + +
Conclusion Intérêt Certain Et Besoins Stratégiques et Urgents Appel à Contribution : Sensibilisation. Logistique d Assistance et de Formation des utilisateurs. Initier une activité d adaptation et de développement, basée sur l Open-Source.
Merci pour votre attention Inscrivez vous à la Mailing List de l ANSI: Cert-Tcc@ansi.tn