1
Netdays 2004 Comprendre et prévenir les risques liés aux codes malicieux 2
Comprendre et prévenir les risques liés aux codes malicieux - Motivations - Les principaux types de codes malicieux - Les principales vulnérabilités exploitées - Le Blaster worm - Les contre-mesures nécessaires 3
Motivations pourquoi Pourquoi se préoccuper des codes malicieux? 3. Intérêt personnel Chaque personne a l intérêt de protéger ses ressources pour préserver : confidentialité intégrité disponibilité 8. Obligation légale Chaque personne a l obligation de veiller de ne nuire à personne suite à des négligences graves. Procéder à une analyse des risques basée sur Risque = f(menaces, Vulnérabilités, Impacts) 4
Motivation par ou commencer Procéder à une analyse des risques basée sur Risque = f(menace,vulnérabilité,impact) 4. Analyser les menaces potentielles Qui peut mettre en péril la disponibilité, l intégrité ou la confidentialité de mes ressources? 5. Analyser les vulnérabilités existantes Quelles sont mes vulnérabilités qui peuvent être exploitées par des menaces? 6. Évaluer les impacts possibles À quels impacts puis-je m attendre si une menace spécifique exploite une vulnérabilité spécifique? 7. Choisir des contre-mesures Quelles contre-mesures font sens dans mon cas? 5
Motivation comment commencer Restons pragmatiques, analysons les principales menaces : 3. Les menaces techniques (ici : codes malicieux) Quels sont les codes malicieux les plus fréquents, comment agissent-ils, quelles vulnérabilités exploitent-ils, comment me protéger? 4. Les menaces humaines Quelles menaces humaines sont les plus fréquentes, comment agissent-elles, quelles vulnérabilités exploitent-elles, comment me protéger? Les menaces humaines non intentionnelles: erreurs humaines négligences Les menaces humaines intentionnelles script kiddies 6
Principaux types de codes malicieux Une classification Classification pragmatique des codes malicieux : 1. Virus Un virus est un logiciel qui s est incrusté dans un hôte (généralement un fichier exécutable). Lorsque le hôte est lancé, le virus commence son travail : il recherche de nouveaux hôtes, infecte avec ou sans transformation les hôtes, se répand via des réseaux, e-mail ou supports, il lance le «payload» Existent depuis 1982 et travaillent toujours de la même façon : exploitent surtout des vulnérabilités humaines mais aussi techniques 7
Principaux types de codes malicieux Une classification Classification pragmatique des codes malicieux : 2. Vers Contrairement au virus, le ver est un logiciel exécutable à part entière. Il n a pas besoin d un hôte pour se propager. il recherche de nouvelles victimes infecte avec ou sans transformation les victimes se répand via des réseaux, e-mail ou supports il lance le «payload» Existent depuis 1988 (1978) et travaillent généralement de la même façon: exploitent surtout des vulnérabilités techniques mais aussi humaines 8
Principaux types de codes malicieux Une classification Classification pragmatique des codes malicieux : 3. Cheval de Troie Un cheval de Troie est un logiciel malicieux «déguisé» en logiciel bénéfique. Il ne peut pas se répliquer comme un ver ou un virus. Un cheval de Troie a donc besoin d une interaction humaine pour être lancé. Généralement utilisé pour ouvrir des accès illicites aux ordinateurs. Travaillent généralement de la même façon : exploitent surtout des vulnérabilités humaines mais aussi techniques 9
Principales vulnérabilités exploitées Une revue Revue des vulnérabilités classiques (impardonnables) : 1. Les vulnérabilités humaines absence de sensibilisation, curiosité, naïveté, négligence, omission des procédures de sécurité Les virus et les chevaux de Troie ont besoin d une interaction humaine pour pouvoir devenir actifs: lancer des pièces jointes inconnues, utiliser des supports non-contrôlés, téléchargement de fichiers 10
Principales vulnérabilités exploitées Une revue Revue des vulnérabilités classiques (impardonnables) suite: 2. Les vulnérabilités techniques vulnérabilités dans les systèmes d exploitation, vulnérabilités dans les applications, vulnérabilités dans la gestion des droits, vulnérabilités dans les systèmes de protection 11
Exemble Blaster worm Blaster Worm La vulnérabilité exploitée: Remote Procedure Call (RPC) is a protocol used by the Windows operating system. RPC provides an inter-process communication mechanism that allows a program running on one computer to seamlessly access services on another computer. The protocol itself is derived from the Open Software Foundation (OSF) RPC protocol, but with the addition of some Microsoft specific extensions. Impact : An attacker who successfully exploited these vulnerabilities could be able to run code with Local System privileges (parfait pour un ver) Timeline: Vulnérabilité publiée le 16 juillet 2003 Patch disponible dès le 16 juillet 2003 Ver découvert le 11 août 2003 12
Exemble Blaster worm Blaster Worm Fonctionnement : il infecte la victime : se met dans la liste des logiciels qui sont lancés au démarrage il recherche de nouvelles victimes génère des adresses IP «aléatoires» essaye d exploiter la vulnérabilité via le port 135 écoute au port 69 si des machines contactées sont vulnérables et envoie le ver msblast.exe il a comme mission de : installer un back-door sur le port 4444 préparer une DoS sur Microsoft Update via port 80 13
Les contre-mesures nécessaires Le minimum Comment se protéger contre les codes malicieux: 3. Aspects humains Ne pas ouvrir les pièces jointes suspectes (non attendues). Rester vigilant. 8. Aspects techniques Appliquer les mises à jour des systèmes d exploitation et des logiciels Utiliser un logiciel anti-virus constamment tenu à jour Utiliser un firewall personnel Éteindre l ordinateur si non utilisé Si connecté à Internet, travailler avec un compte «faible de droits» 14
Les contre-mesures nécessaires Appliquez les mises à jour Les mises à jour servent à : corriger des erreurs (exploitables ou non) augmenter les fonctionnalités Au cas du ver blaster cette contre-mesure aurait été suffisante, les personnes concernées avaient 26 jours pour appliquer le patch!!! 15
Les contre-mesures nécessaires Utilisez un anti-virus mis à jour L anti-virus sert à : contrôler (au moins) les exécutables qui entrent, défendre l accès aux exécutables infectés, activez la protection temps réel TESTEZ votre anti-virus : www.eicar.org 16
Les contre-mesures nécessaires Utilisez un firewall Le firewall sert à : contrôler les communications entrantes et sortantes TESTEZ votre firewall Dans le cas du ver blaster, le firewall aurait défendu l accès au port 135 et n aurait pas envoyé l exploit sur votre machine. 17
WWW.CASES.LU Protégez-vous Restez vigilant, informez vous, protégez vous, ce n est pas si difficile WWW.CASES.LU Merci pour votre attention François Thill Francois.thill@eco.etat.lu 18