Weitere ähnliche Inhalte Ähnlich wie Intrusions et gestion d’incidents informatique (9) Mehr von michelcusin (16) Intrusions et gestion d’incidents informatique2. Agenda
• État de situation
• Qui sont nos adversaires
• Les types d’attaques et leurs cibles
• Les étapes d’une attaque
• Parce qu’un “hack” vaut 1000 mots… Des démos !!!
• Comment (tenter) de se protéger
© 2011 Michel Cusin 2
4. Quelques cas
Quand Cible Qui Quoi
2010 (+) Wikileaks Anonymous DDoS - Services non disponibles
Operation: Payback
Mastercard, Visa
Amazon, PayPal
Février 2011 HBGary Anonymous Vol et Publication d’info confidentielle
Mars 2011 RSA Inconnu APT - Vol des “Seeds” SecurID
Mars 2011 Comodo Iranien de 21 ans Vol de certificats numériques
2011 (+) Sony (+) Multiple #opsony, PSN Down, vol d’information
Mai 2011 Lockheed Martin Espionnage Réplication des clés SecurID, vol
Mai 2011 L-3 Communications Espionnage “tentative” de vol d’information
Juin 2011 Northrop Grumman ? Incident en lien avec les clés SecurID
Juin 2011 Google (Gmail) Chine Vol de mot de passe, interception de courriels
Juin 2011 Citigroup ? Vol d’information de clients
© 2011 Michel Cusin 4
5. Quelques cas (suite)
Quand Cible Qui Quoi
Juin 2011 Sénat américain LulzSec Publication de la structure du site Web
Juin 2011 Police nationale espagnole Anonymous Site Web temporairement inaccessible
Juin 2011 CIA LulzSec Site Web temporairement inaccessible
Juin (+) OTAN Anonymous ? Vol de 1GB d’info
2011 (+) PBS.org Warv0x Site Web défiguré,
admin uname/passwd volés/exposés
Juillet 2011 Apple Antisec Admin uname/passwd volés/exposés
2011 (+) Fox ? Fox annonce la mort du président Obama via Twitter
Août 2011 72 organisations publiques Chine? McAfee Operation Shady RAT: Vol de secrets gouv,
et privées dans 14 pays info corpo sensible, propriété intélectuelle
Août 2011 RIM (BlackBerry) Team Poison Blogue attaqué / émeutes à Londres
Source: CNET Hacker Chart
© 2011 Michel Cusin 5
6. Plus près de chez nous
Quand Cible Qui Quoi
Février 2007 RTSS ? Ver, botnet
2006 - 2008 Opération Basique 19 Québécois Botnet
Février 2011 Gouvernement canadien Chine Contrôle de systèmes clés du ministère des Finances
et du Conseil du trésor.
Juillet 2011 Canada, USA, France, Joseph Mercier Botnet opéré à partir de Laval
Russie, Émirats Arabes
Unis
© 2011 Michel Cusin 6
10. Commander X
According to a CBS News report, "Commander X" told their reporter that
he had no fear about being caught:
"We're not going to turn ourselves in. They can come and get us is what I
say. Bring it on. Until then, we run... We will remain free and at liberty
and at large for as long as we can, and when the time comes that each and
every one of us eventually will be brought to justice, we will hold our
head high in any court of law and we will defend our actions."
Doyon is scheduled to appear on September 29th for a bail hearing.
© 2011 Michel Cusin 10
11. Stuxnet
• Ver ciblant Windows (4 attaques dont 3 zero-day & MS08-067)
• Attaque très spécifique:
• Windows
• Step 7 (Logiciel de contrôle SCADA – Human-Machine Interface) Seimens
• PLC (Programmable Logic Controler) - Monitor la vitesse des moteurs (entre 807 Hz &
1210 Hz) normalement rattachés à certaines pompes et centrifugeuses
• Modifie périodiquement la vitesse des moteurs de la centrifuge,
causant des dommages.
• Cyber arme industrielle possiblement déployée par Israël visant a
déstabiliser le programme nucléaire Iranien
• Et alors?
© 2011 Michel Cusin 11
12. Récapitulons (ne capitulons pas)
Nous ne faisons pas face à des individus, mais à un mouvement
qui n’obéit qu’à ses propres règles. Nous devons penser et agir en
fonction de cette réalité.
Il ne suffit plus de se protéger, en tentant de bloquer l’ennemi. Il
faut savoir le traquer, le trouver et l’expulser.
Afin de nous défendre, nous devons savoir qui ils sont et comment
ils procèdent. Nous devons apprendre à mieux les connaitre et à
savoir comment ils pensent.
© 2011 Michel Cusin 12
13. Sun Tzu
Je dis que si tu te connais toi-même et que tu connais
ton ennemi, tu n’auras pas à craindre le résultat de
cent batailles. Si tu te connais toi-même sans
connaître ton ennemi tes chances de victoires et de
défaites seront égales. Si tu ne connais ni ton ennemi
ni toi-même, tu perdras toutes les batailles.
–Sun Tzu, l’art de la guerre
© 2011 Michel Cusin 13
14. Qui sont les attaquants
• Script Kiddies
• Pirates professionnels / mercenaires (espions/compétiteurs)
- PotashCorp - En 2010, elle répond à 30 % de la demande mondiale de potasse
- OPA de BHP Billiton de 40 G$
• Terroristes / Crime organisé (Ex.:RBN ~60% du SPAM mondial)
• Employés (volontairement ou à leur insu) – Parfois les plus dangereux
© 2011 Michel Cusin 14
15. Motivations
• Argent (espionnage, avantage concurrentiel, mercenaire, etc…)
• Notoriété, gloire, réputation, etc…
• Politique / Activisme
• Parce que je peux… (opportunisme, apprentissage/découverte)
• Terrorisme (attaques et financement)
• Militaires
© 2011 Michel Cusin 15
16. Les types d’attaques
• Server-side Attacks (de l’externe)
• Client-side Attacks (de l’interne)
• Ingénierie Sociale (les gens)
• Sans-fil (interne et externe)
• Médias amovibles (Clés USB et autres)
© 2011 Michel Cusin 16
17. Cibles d’attaques
• Postes de travail (OS, applications, physique)
• Serveurs (DHCP, DNS, DC, fichiers, courriels, auth, Web, BD, etc…)
• Équipements réseau (routeur, commutateur, concentrateur?)
• Téléphonie IP
• Sans-fil (Wi-Fi – 802.1X), Mobilité, Bluetooth
© 2011 Michel Cusin 17
18. Étapes d’une attaque
• Reconnaissance (ramasser de l’information)
• Scanning (découvrir les failles)
• Attaque (exploiter les failles et vulnérabilités)
• Garder un accès (backdoor, porte dérobée, Rootkit)
• Effacer les traces (effacer/modifier les logs)
© 2011 Michel Cusin 18
19. Reconnaissance
• Site Web de la “cible”:
• Mission
• Postes disponibles
• Communiqués de presse
• Adresses courriel
• Et plus…
• Adresses IP et autres informations
• American Registry for Internet Numbers (ARIN)
• Whois (Qui)
• Nslookup (Quoi)
• www.centralops.net, Sam Spade
© 2011 Michel Cusin 19
20. Reconnaissance (2)
• Google:
• Requêtes (intitile, inurl, type, link, etc...)
• Google Hacking DataBase (GHDB) – Johnny Long
• Google Maps, Street View, Picassa, Cache, Groups, Blog
• Réseaux sociaux (Facebook, Twitter, LinkedIn)
• (CeWL) -> Liste de mots (uname/passwd)
• www.123people.ca, www.pipl.com
• www.archives.org (Wayback machine)
© 2011 Michel Cusin 20
21. Reconnaissance (3)
• Outils
• CeWL
• BiDiBLAH
• BiLE
• Gpscan (Profils Google)
• Gloodin
• Lazy Champ
• Sam Spade
• Foca (Metadata)
• Maltego*
• Etc…
© 2011 Michel Cusin 21
23. Scanning
• Balayage de ports
• Nmap*
• Découverte des ports ouverts (0 à 65535 - TCP & UDP)
• Différents types de scans (connect, syn, etc…)
• « OS Fingerprinting » - Déterminer la version du OS
• actif: Nmap, Xprobe
• Passif: p0f
• Balayage de vulnérabilités
• Nessus*, OpenVAS
• Découverte des vulnérabilités dans le bût de les exploiter
© 2011 Michel Cusin 23
25. Metasploit
Le “framework” Metasploit est un outil pour le développement
et l'exécution d'exploits contre une machine distante.
Interface Utilisateur
Exploit 1 Payload 1
Exploit 2 Choix Payload 2
Exploit N Payload N
Exploit 2 Payload 1 Stager Launcher Vers la cible
© 2011 Michel Cusin 25
26. Metasploit / Meterpreter
• Metasploit*
• Creation et encodage d’un “payload” malicieux (Meterpreter)
• Serveur écoutant les requêtes entrantes des victimes
• Meterpreter* (backdoor résident en mémoire injecté dans un dll)
• Donne un plein accès au poste de la victime
• Communications cryptées
• Lister contenue du poste, les ps, Hashdump, pivot, etc…
• “Shell is just the beginning…”
© 2011 Michel Cusin 26
27. Social-Engineer Toolkit (SET)
1) Spear-Phishing Attack Vectors
2) Website Attack Vectors
3) Infectious Media Generator
4) Create a Payload and Listener
5) Mass Mailer Attack
6) Arduino-Based Attack Vector
7) SMS Spoofing Attack Vector
8) Wireless Access Point Attack Vector
9) Third Party Modules
!
© 2011 Michel Cusin 27
28. Attaques de mots de passe
• Guessing: THC Hydra, Medusa;
• Cracking: John the Ripper (JtR), Rainbow Tables;
(LANMAN, NTLM, MD5, SHA-1, Salt)
• Sniffing: Cain, tcpdump, Wireshark;
• Pass-the-Hash (PtH): Metasploit, Pass the Hash Toolkit;
© 2011 Michel Cusin 28
29. Attaques de réseaux sans fil
• Simple à sniffer (Netstumbler, Wireshark, Kismet, etc…)
• Filtrer par adresses MAC et cacher le SSID = inutile !
• WEP, WPA, WPA2 -> Tous “crackables”
• Faiblesse au niveau des initialization vector (IV)
• Une authentification robuste est nécessaire
• PEAP (Protected Extensible Authentication Protocol)
• Lorsque bien implanté, un réseau WiFi peut-être aussi
sécuritaire ou même plus qu’un réseau filaire.
© 2011 Michel Cusin 29
30. Attaques de réseaux sans fil
• Aircrack-ng
• Crack: WEP, WPA, WPA2 -> Preshared Key (PSK)
• Airpwn (Sniff le trafic WiFi)
• Injecte du “faux” trafic (HTTP) - “Race condition”
• AirJack (MITM)
• Désauthentifie, sniff, devient un AP, MITM
• Karma (deviens tout ce que vous demandez)
• DHCP, DNS, HTTP, FTP, POP3, SMB
• Karmetaploit (Karma + Metasploit)
• PwnPlug
© 2011 Michel Cusin 30
31. PwnPlug: Hardware
• CPU (1.2 GHz)
• RAM (512 MB SDRAM)
• HDD Flash (512 MB)
• Prise(s) réseau Ethernet
• Port USB 2.0
• Expension SDHC (flash)
© 2011 Michel Cusin 31
32. PwnPlug: Software
• Système d’exploitation: Linux
• Outils:
• Metasploit • SET (Social Engineer Toolkit)
• Ignuma & Fast-Track • JTR (John the Ripper)
• Nikto • Medusa
• Dsniff • Scapy
• Ettercap • Kismet
• SSLstrip • Karma
• Nmap • Karmetasploit
• Nbtscan • Aircrack-NG
• Netcat • WEPbuster
© 2011 Michel Cusin 32
33. Réseau sans fil “sécurisé”
Réseau local
(filaire)
Point d’accès
sans-fil
Serveur
d’authentification
Chiffrement & authentification
(WPA2 - PEAP)
Poste Assistant personnel
(sans-fil) (iPhone, Blackberry, etc..)
© 2011 Michel Cusin 33
34. Réseau sans fil “non sécurisé”
Point d’accès sans-fil
non sécurisé
© 2011 Michel Cusin 34
35. Attaques de sites Web
• Cross-Site Scripting (XSS)
• Cross-Site Request Forgery (XSRF)
• Command Injection
• DDoS
• Injection SQL: sqlmap*
© 2011 Michel Cusin 35
37. Garder un accès
• Telnet, SSH, netcat
• Désactiver ou reconfigurer le coupe-feu de Windows:
(C:netsh firewall set opmode=disable)
• VNC, Remote Desktop
• Partage SMB (X.X.X.XC$)
© 2011 Michel Cusin 37
39. La sécurité au quotidien
• Restez informé de ce qui se passe
• Les FW, IDS, antivirus ainsi que la gouvernance c’est bien, mais…
Il y a plus!
• Connaissez et maitrisez votre environnement
• La sécurité ne s’achète pas, elle se construit.
• Connaissez ce que vous ne connaissez pas: Ce qu’on ne sait pas
FAIT mal !
© 2011 Michel Cusin 39
40. Honeypot (Honeynet)
• Un honeypot, ou “pot de miel”, est un ordinateur ou un
programme volontairement vulnérable destiné à attirer et à
piéger les hackers.
• Un honeynet est un réseau de honeypots.
Surveillance
Faible interaction Collecte d'information
Haute interaction Analyse d'information
http://www.honeynet.org/
© 2011 Michel Cusin 40
41. Analyse de vulnérabilité vs Test d’intrusion
AV • Reconnaissance (ramasser de l’information)
Pentest • Scanning (découvrir les failles)
Pentest • Attaque (exploiter les failles et vulnérabilités)
AV
Pentest • Rapports, explications, solutions
© 2011 Michel Cusin 41
42. Professionnel de la sécurité vs Pirate
• Planification:
• Type de test et contexte
• Portée (quoi)
• Règles d’engagement (comment)
• Tests:
• Les facteurs temps, portée et règles d’engagement
• La méthodologie
• Maintiens de la stabilité de la cible
• Outils
• Rapports:
• Exécutif, technique
• Explications, solutions, personnalisation
© 2011 Michel Cusin 42
43. La gestion des incidents en 6 étapes
Préparation
Identification
Contenir
Éradication
Rétablissement
Leçons apprises
© 2011 Michel Cusin 43
44. Conclusion
• La menace est bien réelle et elle est là pour rester!
• Une grenouille ne peut avaler un bœuf! Il faut y aller par petites
bouchées.
• Testez votre sécurité avant que quelqu’un ne le fasse à votre place…
• Soyez prêt à gérer les incidents AVANT qu’ils ne surviennent.
• Pensez différemment, sortez des paradigmes.
• La sécurité est un mode de vie, qui se vie au quotidien
• Nous ne devrions pas combattre les pirates, mais plutôt l'ignorance.
Le reste viendra avec…
© 2011 Michel Cusin 44