Présentation en ligne
Download
Report
Transcript Présentation en ligne
Attaques réseaux
Lionel Brunie
Institut National des Sciences Appliquées
Lyon, France
Types d’attaques réseaux
simples (sur échange C/S)
Flux normal
source
Mascarade
Modification
« Man in the middle »
destination
Interception
Interruption
Déni de service
Petite cartographie (I)
•
L’écoute (sniffing)
•
Les chevaux de Troie (« trojans”) et les bombes logiques
– Pour vivre heureux, vivons cachés !
– Installation (furtive) dans le système
– Evénement déclenchant. Ex : vendredi 13, accès à un site bancaire,
activation à distance…
– Contrôle du système, traçage/capture de données…
•
Les attaques applicatives, « exploits »
–
–
–
–
•
Trous de sécurité, erreurs de programmation, mauvaises configurations...
Ex : dépassement de tampon (cf. nop), violation de protocole
Ex : attaques applicatives (clients et serveurs Web notamment)
Ex : injection de code (ex : injection SQL)
Les vers
– Propagation via le réseau (messagerie, IRC)
– Utilisation de failles au niveau applicatif
Petite cartographie (II)
•
•
•
•
•
Key loggers : monitoring à distance
Rootkits : détournement de commandes systèmes
Bots et botnets : réseaux dormants d’espions/chevaux de Troie
Attaques DNS
Fast Flux, Double Fast Flux, Triple Fast Flux !
• Bombardement de courriels : répéter un même message à une
adresse.
• Spamming : diffusion de messages à large échelle
• Adware/spyware : collecte d’informations à l’insu de l’utilisateur
• Phishing : simulation d’écrans de saisie
• …
Petite cartographie (III)
• Déni de service :
– Déni de service en général : envoi en très grand nombre de requêtes
autorisées en vue de saturer le système
– Attaque mono-source ou multi-sources (Distributed DoS, DDoS)
– Ex : inondation de commandes SYN (SYN flooding)
• Envoi en grand nombre de paquets TCP SYN avec des adresses aléatoires
(IP spoofing) ou à partir de plusieurs machines (DDoS)
• Le serveur renvoie des SYN ACK et maintient les connexions ouvertes (en
attente des ACK) => saturation si débit d’envoi < temps de demi-connexion
– Plus basique : PING flooding
– Ex applicatif : attaques de serveurs Web
– Cf. Anonymous, LOIC
Petite cartographie (IV)
• Un peu d’histoire : ping de la mort (Ping of Death) (av. 1998)
– Envoi d’une requête « echo » du protocole ICMP
– Utilisation d’une taille de données supérieure à la capacité d’un
paquet IP => fragmentation
– Lors du réassemblage des données, débordement de tampon
interne car la taille totale du paquet est supérieure à la taille max
autorisée par IP (65535 octets) => blocage/redémarrage…
• Successeur : INVITE of death (protocole SIP, 2009) pour la
VoIP : envoi d’une requête INVITE mal formée => buffer
overflow => état chaotique du serveur (délai, accès non
autorisé, déni de service…)
Petite cartographie (V)
• Historique aussi : Smurf (« attaque par rebond »)
– Utilisation d’un serveur de diffusion
– Mascarade (« spoofing ») d’une adresse IP
– Envoi d’une commande type ping ou echo au serveur
de diffusion avec comme adresse expéditrice l’adresse
falsifiée
– Chaque machine du réseau de diffusion envoie une
requête réponse à l’adresse falsifiée => saturation de
la machine
Petite cartographie (VI)
• Historique toujours : Teardrop
– Envoi du 1er paquet d’une fragmentation
– Envoi d’un 2ème paquet dont le bit de décalage et la
longueur impliquent qu’il est inclus dans le 1er paquet
– Le système ne sait pas gérer cette exception et se bloque
– Dans le même genre, voir l’attaque Land (paquets SYN avec
source = destination (machine attaquée répond donc à ellemême))
Petite cartographie (VII-1)
• Mascarade TCP/IP (TCP/IP Spoofing)
– Construction de paquets IP avec une fausse adresse source
– Condition : identification d’un client de confiance du serveur qu’on
paralyse par une attaque type DoS ; identification de la méthode de
génération du numéro de séquence (ISN : numéro de séquence
initiale (=> envoi de requêtes test))
– Le pirate répond au serveur en lieu et place du client de confiance
– Objectif : attaques DoS ou créations de backdoors
– Condition : rendre impossible l’identification de la véritable source
• Variantes : mascarades d’adresses courriel, DNS, NFS...
Spoofing d’une session TCP (VII-2)
1/ Connexions TCP
5/ ACK
4/ SYN ACK
3/ SYN + spoofing
xxx.xxx.xxx.xxx en source
2/ DoS
xxx.xxx.xxx.xxx
From Arkoon Inc.
Petite cartographie (VIII)
• « Man in the Middle »
– Ecoute : se placer entre le serveur et le client (entre
les deux pairs) et écouter le réseau
– Substitution : se placer entre le serveur et le client, se
faire passer pour le serveur modifier les informations
transmises par le client
Petite cartographie (IX)
• Attaques systèmes, 0-day, Exploit
– Exploitation des failles des systèmes d’exploitation
– Windows loin devant !
– Patcher/Tracer/Filtrer
Petite cartographie (X) : état des lieux
• Panoramas de la cybercriminalité (CLUSIF)
– 2002 : spam, attaque DNS, WiFi
•
•
•
•
1/3 du courriel = spam (aujourd’hui 90%) !
attaque DDOS sur les serveurs racines DNS… par ping flooding
le cyber-terrorisme est envisageable !
il faut sécuriser le WiFi
– 2003 : cyber-criminalité : virus, spam, phishing
• SOBIG, BUGBEAR, NIMAIL… : ciblent échanges banquaire
• apparition du phishing
• recherche de gain, cyber-mafia
– 2004 : professionnalisation, botnets
• virus (dont JPEG)
• robots et botnets
– 2005 : professionnalisation, botnets, rootkits
• keylogger matériel
• kernel/application rootkits
Petite cartographie (XI) : état des lieux
• Panoramas de la cybercriminalité (CLUSIF) (suite)
– 2006 : attaques 0-day : 50 0-day pour MS-Windows, 5700+ avis sur la base
Secunia pour Unix (489 Apple), temps moyen sans protection : 22 jours –
émergence d’un marché des attaques (20-30 k$)
– 2007 : mondes virtuels, botnets, réseaux mafieux, cyber-guerre
•
•
•
•
•
argent virtuel = argent !
MPACK et P2P botnets
fast flux, double fast-flux
réseaux mafieux : RBN…
premiers exemples de cyber-guerre : Estonie
– 2008 : routage DNS, attaques matérielles
• cold boot
• routage BGP
– 2009 : ANSSI, vie privée et réseaux sociaux, piratage DAB
Petite cartographie (XII) : état des lieux
• Panoramas de la cybercriminalité (CLUSIF) (suite)
– 2010 : Stuxnet, hacktivisme, botnets portables
• Stuxnet : piratage SCADA, cyber-guerre
• hacktivisme
• botnets de téléphones mobiles !
– 2011 : fuite d’information, argent virtuel, botnets mobiles, faille des
AC, vie privée, cyber-armées, SCADA
•
•
•
•
•
•
•
fuite d’information
Carrier IQ, HTCLogger : vous êtes surveillés… ou espionnés ?
bitcoin
attaques téléphones portables
faille des AC (attaque de DigiNotar par un hacker iranien)
cyber-armées
attaques des systèmes SCADA
Petite cartographie (XIII) : état des lieux
• Panoramas de la cybercriminalité (CLUSIF) (suite)
– 2012 :
• attaque stimulateur cardiaque !
• SCADA, SCADA, SCADA !
• le droit des conflits armés s’applique à la cyber-guerre, écoles de cyberguerre, recrutements de soldats-hackers
• cyber-surveillance
• attaques ciblées (NASA, 13 fois ; Verisign…)
• contre-attaques statistiques
• Objectifs variés : sabotage industriel (Stuxnet), destruction de systèmes
(Shamoon), vol d’informations classifiées/bancaire/industrielles (Flame,
Gauss, Duqu), surveillance…
• marché du hack (html injection, 60$), marché du DDoS (1h : 5$, 1 mois :
900$), Hack-as-a-Service, plates-formes d’exploits
• attaques smartphones++
• Ransonwware
Petite cartographie (XIV) : état des lieux
• Panoramas de la cybercriminalité (CLUSIF) (suite)
– 2013 :
• PRiSM
• « waterholing »
• attaques destructives définitives (sabotage) ou temporaires
(demande de rançon)
• attaques métier (DAB) (réseau Target : 110 millions comptes
touchés)
• ransomware++
• coût cyber-attaques : 300 Mds €
• bitcoin
Petite cartographie (XV) : état des lieux
– Autres liens intéressants
•
•
•
•
•
Zeustracker et Spyeyetracker
« carte d’épidémie »
carte CUSCO des menaces
RIPE Network Coordination Centre
MAcAfee Threats Prediction : attaques mobile,
rootkits, APT, Citadel, html5, botnets, crimeware,
hacktivisme (2012 : SCADA/industries, embarqué,
hacktivisme, monnaie virtuelle, cyber-guerre, mobile
(et banque sur mobile), certificats, DNSSEC, Windows
8, « ransomware »
Conclusion
• Pas tant de finesse que ça : un monde de brutes...
• Pas si difficile de parer la plupart des attaques
• Difficile de parer les attaques (réalisée avec complicité de) de
l’intérieur (ainsi que les APT)
• « Plasticité »/Adaptabilité des attaques et nouveaux enjeux
• Une « industrie » s’est créée
• Nouvelle composante stratégique
• Equilibre ouverture/sécurité