Intrusions et gestion d incidents informatique. 2011 Michel Cusin 1

Intrusions et gestion d incidents informatique 2011 Michel Cusin 1

Agenda État de situation Qui sont nos adversaires Les types d attaques et leurs cibles Les étapes d une attaque Parce qu un hack vaut 1000 mots Des démos!!! Comment (tenter) de se protéger 2011 Michel Cusin 2

État de situation 2011 Michel Cusin 3

Quelques cas Quand Cible Qui Quoi 2010 (+) Wikileaks Operation: Payback Mastercard, Visa Amazon, PayPal Anonymous DDoS - Services non disponibles Février 2011 HBGary Anonymous Vol et Publication d info confidentielle Mars 2011 RSA Inconnu APT - Vol des Seeds SecurID Mars 2011 Comodo Iranien de 21 ans Vol de certificats numériques 2011 (+) Sony (+) Multiple #opsony, PSN Down, vol d information Mai 2011 Lockheed Martin Espionnage Réplication des clés SecurID, vol Mai 2011 L-3 Communications Espionnage tentative de vol d information Juin 2011 Northrop Grumman? Incident en lien avec les clés SecurID Juin 2011 Google (Gmail) Chine Vol de mot de passe, interception de courriels Juin 2011 Citigroup? Vol d information de clients 2011 Michel Cusin 4

Quelques cas (suite) Quand Cible Qui Quoi Juin 2011 Sénat américain LulzSec Publication de la structure du site Web Juin 2011 Police nationale espagnole Anonymous Site Web temporairement inaccessible Juin 2011 CIA LulzSec Site Web temporairement inaccessible Juin (+) OTAN Anonymous? Vol de 1GB d info 2011 (+) PBS.org Warv0x Site Web défiguré, admin uname/passwd volés/exposés Juillet 2011 Apple Antisec Admin uname/passwd volés/exposés 2011 (+) Fox? Fox annonce la mort du président Obama via Twitter Août 2011 72 organisations publiques et privées dans 14 pays Chine? McAfee Operation Shady RAT: Vol de secrets gouv, info corpo sensible, propriété intélectuelle Août 2011 RIM (BlackBerry) Team Poison Blogue attaqué / émeutes à Londres Source: CNET Hacker Chart 2011 Michel Cusin 5

Plus près de chez nous Quand Cible Qui Quoi Février 2007 RTSS? Ver, botnet 2006-2008 Opération Basique 19 Québécois Botnet Février 2011 Gouvernement canadien Chine Contrôle de systèmes clés du ministère des Finances et du Conseil du trésor. Juillet 2011 Canada, USA, France, Russie, Émirats Arabes Unis Joseph Mercier Botnet opéré à partir de Laval 2011 Michel Cusin 6

Anonymous 2011 Michel Cusin 7

LulzSec 2011 Michel Cusin 8

th3j35t3r (The Jester) 2011 Michel Cusin 9

Commander X According to a CBS News report, "Commander X" told their reporter that he had no fear about being caught: "We're not going to turn ourselves in. They can come and get us is what I say. Bring it on. Until then, we run... We will remain free and at liberty and at large for as long as we can, and when the time comes that each and every one of us eventually will be brought to justice, we will hold our head high in any court of law and we will defend our actions." Doyon is scheduled to appear on September 29th for a bail hearing. 2011 Michel Cusin 10

Stuxnet Ver ciblant Windows (4 attaques dont 3 zero-day & MS08-067) Attaque très spécifique: Windows Step 7 (Logiciel de contrôle SCADA Human-Machine Interface) Seimens PLC (Programmable Logic Controler) - Monitor la vitesse des moteurs (entre 807 Hz & 1210 Hz) normalement rattachés à certaines pompes et centrifugeuses Modifie périodiquement la vitesse des moteurs de la centrifuge, causant des dommages. Cyber arme industrielle possiblement déployée par Israël visant a déstabiliser le programme nucléaire Iranien Et alors? 2011 Michel Cusin 11

Récapitulons (ne capitulons pas) Nous ne faisons pas face à des individus, mais à un mouvement qui n obéit qu à ses propres règles. Nous devons penser et agir en fonction de cette réalité. Il ne suffit plus de se protéger, en tentant de bloquer l ennemi. Il faut savoir le traquer, le trouver et l expulser. Afin de nous défendre, nous devons savoir qui ils sont et comment ils procèdent. Nous devons apprendre à mieux les connaitre et à savoir comment ils pensent. 2011 Michel Cusin 12

Sun Tzu Je dis que si tu te connais toi-même et que tu connais ton ennemi, tu n auras pas à craindre le résultat de cent batailles. Si tu te connais toi-même sans connaître ton ennemi tes chances de victoires et de défaites seront égales. Si tu ne connais ni ton ennemi ni toi-même, tu perdras toutes les batailles. Sun Tzu, l art de la guerre 2011 Michel Cusin 13

Qui sont les attaquants Script Kiddies Pirates professionnels / mercenaires (espions/compétiteurs) - PotashCorp - En 2010, elle répond à 30 % de la demande mondiale de potasse - OPA de BHP Billiton de 40 G$ Terroristes / Crime organisé (Ex.:RBN ~60% du SPAM mondial) Employés (volontairement ou à leur insu) Parfois les plus dangereux 2011 Michel Cusin 14

Motivations Argent (espionnage, avantage concurrentiel, mercenaire, etc ) Notoriété, gloire, réputation, etc Politique / Activisme Parce que je peux (opportunisme, apprentissage/découverte) Terrorisme (attaques et financement) Militaires 2011 Michel Cusin 15

Les types d attaques Server-side Attacks (de l externe) Client-side Attacks (de l interne) Ingénierie Sociale (les gens) Sans-fil (interne et externe) Médias amovibles (Clés USB et autres) 2011 Michel Cusin 16

Cibles d attaques Postes de travail (OS, applications, physique) Serveurs (DHCP, DNS, DC, fichiers, courriels, auth, Web, BD, etc ) Équipements réseau (routeur, commutateur, concentrateur?) Téléphonie IP Sans-fil (Wi-Fi 802.1X), Mobilité, Bluetooth 2011 Michel Cusin 17

Étapes d une attaque Reconnaissance (ramasser de l information) Scanning (découvrir les failles) Attaque (exploiter les failles et vulnérabilités) Garder un accès (backdoor, porte dérobée, Rootkit) Effacer les traces (effacer/modifier les logs) 2011 Michel Cusin 18

Reconnaissance Site Web de la cible : Mission Postes disponibles Communiqués de presse Adresses courriel Et plus Adresses IP et autres informations American Registry for Internet Numbers (ARIN) Whois (Qui) Nslookup (Quoi) www.centralops.net, Sam Spade 2011 Michel Cusin 19

Reconnaissance (2) Google: Requêtes (intitile, inurl, type, link, etc...) Google Hacking DataBase (GHDB) Johnny Long Google Maps, Street View, Picassa, Cache, Groups, Blog Réseaux sociaux (Facebook, Twitter, LinkedIn) (CeWL) -> Liste de mots (uname/passwd) www.123people.ca, www.pipl.com www.archives.org (Wayback machine) 2011 Michel Cusin 20

Reconnaissance (3) Outils CeWL BiDiBLAH BiLE Gpscan (Profils Google) Gloodin Lazy Champ Sam Spade Foca (Metadata) Maltego* Etc 2011 Michel Cusin 21

2011 Michel Cusin 22

Scanning Balayage de ports Nmap* Découverte des ports ouverts (0 à 65535 - TCP & UDP) Différents types de scans (connect, syn, etc ) «OS Fingerprinting» - Déterminer la version du OS actif: Nmap, Xprobe Passif: p0f Balayage de vulnérabilités Nessus*, OpenVAS Découverte des vulnérabilités dans le bût de les exploiter 2011 Michel Cusin 23

BackTack 2011 Michel Cusin 24

Metasploit Le framework Metasploit est un outil pour le développement et l'exécution d'exploits contre une machine distante. Interface Utilisateur Exploit 1 Payload 1 Exploit 2 Choix Payload 2 Exploit N Payload N Exploit 2 Payload 1 Stager Launcher Vers la cible 2011 Michel Cusin 25

Metasploit / Meterpreter Metasploit* Creation et encodage d un payload malicieux (Meterpreter) Serveur écoutant les requêtes entrantes des victimes Meterpreter* (backdoor résident en mémoire injecté dans un dll) Donne un plein accès au poste de la victime Communications cryptées Lister contenue du poste, les ps, Hashdump, pivot, etc Shell is just the beginning 2011 Michel Cusin 26

Social-Engineer Toolkit (SET) 1) Spear-Phishing Attack Vectors 2) Website Attack Vectors 3) Infectious Media Generator 4) Create a Payload and Listener 5) Mass Mailer Attack 6) Arduino-Based Attack Vector 7) SMS Spoofing Attack Vector 8) Wireless Access Point Attack Vector 9) Third Party Modules 2011 Michel Cusin 27!

Attaques de mots de passe Guessing: THC Hydra, Medusa; Cracking: John the Ripper (JtR), Rainbow Tables; (LANMAN, NTLM, MD5, SHA-1, Salt) Sniffing: Cain, tcpdump, Wireshark; Pass-the-Hash (PtH): Metasploit, Pass the Hash Toolkit; 2011 Michel Cusin 28

Attaques de réseaux sans fil Simple à sniffer (Netstumbler, Wireshark, Kismet, etc ) Filtrer par adresses MAC et cacher le SSID = inutile! WEP, WPA, WPA2 -> Tous crackables Faiblesse au niveau des initialization vector (IV) Une authentification robuste est nécessaire PEAP (Protected Extensible Authentication Protocol) Lorsque bien implanté, un réseau WiFi peut-être aussi sécuritaire ou même plus qu un réseau filaire. 2011 Michel Cusin 29

Attaques de réseaux sans fil Aircrack-ng Crack: WEP, WPA, WPA2 -> Preshared Key (PSK) Airpwn (Sniff le trafic WiFi) Injecte du faux trafic (HTTP) - Race condition AirJack (MITM) Désauthentifie, sniff, devient un AP, MITM Karma (deviens tout ce que vous demandez) DHCP, DNS, HTTP, FTP, POP3, SMB Karmetaploit (Karma + Metasploit) PwnPlug 2011 Michel Cusin 30

PwnPlug: Hardware CPU (1.2 GHz) RAM (512 MB SDRAM) HDD Flash (512 MB) Prise(s) réseau Ethernet Port USB 2.0 Expension SDHC (flash) 2011 Michel Cusin 31

PwnPlug: Software Système d exploitation: Linux Outils: Metasploit Ignuma & Fast-Track Nikto Dsniff Ettercap SSLstrip Nmap Nbtscan Netcat SET (Social Engineer Toolkit) JTR (John the Ripper) Medusa Scapy Kismet Karma Karmetasploit Aircrack-NG WEPbuster 2011 Michel Cusin 32

Réseau sans fil sécurisé Réseau local (filaire) Point d accès sans-fil Serveur d authentification Chiffrement & authentification (WPA2 - PEAP) Poste (sans-fil) Assistant personnel (iphone, Blackberry, etc..) 2011 Michel Cusin 33

Réseau sans fil non sécurisé Point d accès sans-fil non sécurisé 2011 Michel Cusin 34

Attaques de sites Web Cross-Site Scripting (XSS) Cross-Site Request Forgery (XSRF) Command Injection DDoS Injection SQL: sqlmap* 2011 Michel Cusin 35

Garder un accès Backdoors (Poison Ivy) Rootkits: (Applicatif & Kernel) 2011 Michel Cusin 36

Garder un accès Telnet, SSH, netcat Désactiver ou reconfigurer le coupe-feu de Windows: (C:\netsh firewall set opmode=disable) VNC, Remote Desktop Partage SMB (\\X.X.X.X\C$) 2011 Michel Cusin 37

Effacer les traces 2011 Michel Cusin 38

La sécurité au quotidien Restez informé de ce qui se passe Les FW, IDS, antivirus ainsi que la gouvernance c est bien, mais Il y a plus! Connaissez et maitrisez votre environnement La sécurité ne s achète pas, elle se construit. Connaissez ce que vous ne connaissez pas: Ce qu on ne sait pas FAIT mal! 2011 Michel Cusin 39

Honeypot (Honeynet) Un honeypot, ou pot de miel, est un ordinateur ou un programme volontairement vulnérable destiné à attirer et à piéger les hackers. Un honeynet est un réseau de honeypots. Faible interaction Haute interaction Surveillance Collecte d'information Analyse d'information http://www.honeynet.org/ 2011 Michel Cusin 40

Analyse de vulnérabilité vs Test d intrusion AV Pentest Reconnaissance (ramasser de l information) Scanning (découvrir les failles) Pentest AV Pentest Attaque (exploiter les failles et vulnérabilités) Rapports, explications, solutions 2011 Michel Cusin 41

Professionnel de la sécurité vs Pirate Planification: Type de test et contexte Portée (quoi) Règles d engagement (comment) Tests: Les facteurs temps, portée et règles d engagement La méthodologie Maintiens de la stabilité de la cible Outils Rapports: Exécutif, technique Explications, solutions, personnalisation 2011 Michel Cusin 42

La gestion des incidents en 6 étapes Préparation Identification Contenir Éradication Rétablissement Leçons apprises 2011 Michel Cusin 43

Conclusion La menace est bien réelle et elle est là pour rester! Une grenouille ne peut avaler un bœuf! Il faut y aller par petites bouchées. Testez votre sécurité avant que quelqu un ne le fasse à votre place Soyez prêt à gérer les incidents AVANT qu ils ne surviennent. Pensez différemment, sortez des paradigmes. La sécurité est un mode de vie, qui se vie au quotidien Nous ne devrions pas combattre les pirates, mais plutôt l'ignorance. Le reste viendra avec 2011 Michel Cusin 44

En terminant http://cusin.ca ou michel@cusin.ca 2011 Michel Cusin 45