attaques

8/2/2019 attaques

1/20

06/12/07 Anas Abou El Kalam - Etude des atta 1

Partie II : Etude des attaques

!

"

#

$

%

&

'


n t ons :

VulnrabilitVulnrabilit

faiblesse / faille : faute accidentelle ou intentionnelle introduitedans spcification, conception ou configuration du systme

AttaqueAttaque

Action malveillante qui tente dexploiter une faiblesse dans lesystme et de violer un ou plusieurs besoins de scurit

IntrusionIntrusion

faute oprationnelle, externe, intentionnellement nuisible,rsultant de lexploitation dune vulnrabilit dans le systme


n t ons :

MenaceMenace

Violation potentielle dune proprit de scurit

RisqueRisque

Couple (menace, vulnrabilit)


n t ons :

DoS / DDoS : dni de serviceDoS / DDoS : dni de service

attaque d'un serveur destine l'empcher de remplir sa

fonction.

mthode classique : faire crouler le serveur sous une masse de

requtes gnralement mal formes dessein pour entraner unerponse anormale et paralysante.

L'attaque utilise trs souvent une multitude de PC zombies

travaillant de concert, infects par des backdoors/chevaux de

Troie et mobilisables distance par un pirate.

Il est aussi possible de bloquer distance des routeurs en tirantparti de failles de leur software.

8/2/2019 attaques

2/20


1. Dfinitions et principes gnraux

2. Exemples de menaces de quelques SI

3. Critres gnraux de la scurit des SI

Plan chapitre 0

Qui connat l'autre et se connat, en cent combats ne sera point dfait;qui ne connat l'autre mais se connat, sera vainqueur une fois sur deux;qui ne connat pas plus l'autre qu'il ne se connat sera toujours dfait.

--L'art de la guerre - Sun Tzu


. Carte puces

Le client insre sa carte bancaire dans lafente et tape son NIP.

L'cran demande le montant du retrait.

Le client tape le montant du retrait etconfirme.

Le guichet cre une transaction etl'envoie au serveur transactionnel.

Le serveur vrifie l'authenticit de latransaction et la relaie aux servicesfinanciers.

La transaction est confirme.

Le guichet demande au client de retirersa carte bancaire.

Le guichet remet l'argent au client etimprime un relev de transaction.

Services financiers

Serveur transactionnel

Client


. Fraude au distributeur

La fraude aux cartes peut soprerau niveau technologique : faussegoulotte pour lire la piste

magntique, camra pourenregistrer la composition du code



8/2/2019 attaques

3/20


Quelques rfrences AFP 17/02/03 Nmes AFP 09/04/03 Nice

AFP 19/12/03 Meaux

Source panorama clusif 2003



. Yescard et payements frauduleux

Source panorama clusif 2001

-La yescard est une carte puce programmable qui permettait

de faire des transactions dachats sur quelques types

dautomates de paiement lectronique. La rflexion

thorique a donn lieu une fraude organise avec un

prjudice de plusieurs MF mais trs localise quelques

dpartements.

Chronologie-Printemps 2001, cration dun groupe de yescarder -Et reportages presse et tl, exploitations personnelles -Automne, mise en place de rseaux organiss notamment

proximit dautomates de distribution de carburant.


-Les DAB/GAB requirent unedemande dautorisation en ligne.

- Les TPE chez les commerants

ncessiteraient la contre-faon

visuelle de la carte ou une collusion.

. Yescard et payements frauduleuxuelques dtailsEn dessous dun seuil de transaction dachat, lauthentification de la

arte et de son porteur sont fait en local.Seuls les automates (carburant, titre de transport, location vido, etc.)

ont concerns


Contexte

-Connaissance du principe dans le milieu professionnel

-Affaire judiciaire Serge Humpich vs GIE-CB

-Diffusion des clefs sur Usenet donne la dcomposition

du module oprationnel.

21359870359209100823950227049996287970510953418264

17406442524165008583957746445088405009430865999 =

1113954325148827987925490175477024844070922844843*

1917481702524504439375786268230862180696934189293.

-Migration EMV 5.1 et 5.2 depuis janvier 2002 avec

durcissement du processus dauthentification et de non

rpudiation (clef 768bits)

. Yescard et payements frauduleux

8/2/2019 attaques

4/20

8/2/2019 attaques

5/20

8/2/2019 attaques

6/20

8/2/2019 attaques

7/20

E emple de mode de propagation des ir s ia email

E emple de mode de propagation des ir s ia email

8/2/2019 attaques

8/20


. Exemple de mode de propagation des virus via email

24 Octobre 2002 : rception dune carte virtuelle Friend Greeting

application envoye par un ami.


ans me mfier je clique sur le lien car jai envie de voir le

essage



Sans prter trop attention ce qui se passe, je rpond oui

quelques questions et me voil prt relayer des email



Me voil rcompens !! Et rapidement inquiet en voyant le

compteur de messages envoys de mon poste !!!


8/2/2019 attaques

9/20

Les virus Internet les vers : IMDAIMDA n t ons :

8/2/2019 attaques

10/20


. Les virus Internet, les vers : IMDAIMDA

SymptmesSymptmes postes infects possdent sur leur disque fichiers :

README.EXE README.EML fichiers comportant l'extension .NWS

fichiers dont le nom est du type mep*.tmp, mep*.tmp.exe

radiquerradiquer

dconnecter la machine infecte du rseau

utiliser un antivirus rcent / kit de dsinfection de Symantec

patch pour Microsoft Internet Explorer 5.01 et 5.5.


n t ons :

se multiplie localement, s'autoduplique, sepropage en infectant tour tour les fichiers

Effets : fichiers effacs, disque dur format,saturation des disques, modification du MBR

e se multiplie pas localement

Souvent par port rseaurrive souvent par pice jointe un mailomprenant un code malicieux excututomatiquement par le logiciel de courrierlectronique ou manuellement par l'utilisateur

parasites dissimul dans fichiers ou dans codeexcutable contenu dans secteur dmarragedisque

infectent en particulier les fichiers exe, ...

utonome (n'utilisent pas ncessairement unichier pour se propager),

ur DD

Viruser


IP nest pas un protocole o la scurit a t intgre la baseIP est un protocole datagramme

- on ne peut faire confiance au champ adresse source=> rien ne garantit que le paquet a bien t mis par la machine dont ladresse IP estcelle du champ source

Les paquets sont routs de proche en proche=> un routeur quelconque R peut envoyer un paquet une machine B en se faisantasser pour une autre machine A

Pas dauthentification des annonces de routage- des protocoles tels que RIP / OSPF permettent de mettre jour dynamiquement les tablesde routage par diffusion des routes=> pas dauthentification des annonces donc dviation du trafic ais !

ATTAQUES RESEAU : Exemples


YN flooding(attaque de type dni de service)Saturer le serveur en envoyant une grande quantit de paquets TCP avec le flag "SYN" arm,ans rpondre aux "ACK" (connexionsemi-ouverte sur la machine B)> consommation de ressources sur le serveur jusqu croulement


rotection.g., avec iptables limitant demandes d'tablissment de connexion TCP acceptes 1/seconde

iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -J ACCEPT

8/2/2019 attaques

11/20

8/2/2019 attaques

12/20

8/2/2019 attaques

13/20



8/2/2019 attaques

14/20


niffing par utilisation de ARP spoofing- la machine 10.0.0.227 (machine pirate) veut recevoir le trafic destin laachine 10.0.0.1, passerelle par dfault de la machine 10.0.0.171 (machine victime)

arpspoof -t victime passerelleAttaquant : dire la victime que mnt, nous (notre @MAC) appartient l'IP de passerelle

echo 1 > /proc/sys/net/ipv4/ip_forward

Permettre l'IP forwarding de manire ce que le traffic passe par le host de l'attaquant


niffing par utilisation de ARP spoofing- Attack corrompt le cache ARP des machines Victime1 et Victime2 en envoyantes fauxARP reply

==> il envoie sa propre adresse MAC lorsque Victime1( resp. Victime2) essaie deonnatre ladresse MAC de Victime2 (resp. Victime1)

=> il intercepte ainsi la communication entre Victime1 et Victime2


niffing par utilisation de ARP floodingle switch gre une correspondance interne entre numro de port et une adresse Ethernet :

il nenvoie donc les paquets destins une adresse Ethernet particulire que sur le portcorrespondant

lattaque consiste envoyer de multitudes de faux couples (@MAC/@IP) pour saturer lesables du switch

=> le switch passe alors en mode "hub" et envoie toutes les trames sur tous les ports



CP session hijacking (attaque de type interception)-Rappel : change de donnes en connexion TCP

lattaque consiste, pour une machine Attack, attendre la phase de connexion et usurperidentit de A pendant lchange de donnes> ceci suppose que Attack est capable de sniffer les connexions entre A et B




8/2/2019 attaques

15/20


CP session hijacking (attaque de type interception)


CP sessionijacking

ette attaque permet Attack de voler une session telnet tablie entre A et B :1. dans un 1er temps, Attack sniffe trafic entre A et B et attend fin de lauthentification

. ensuite Attack forge un paquet avec comme adresse IP source celle de A et le numroacquittement attendu par B, B accepte donc ce paquet ; pour cela il faut que Attackit cout le trafic pour pouvoir correctement envoyer le numro dacquitement et de squence

=> la connexion entre A et B devient dsynchronise paquet inject par Attack fait que paquet lgitime envoy par A nest plus accept parB cause du numro de squence, de mme pour les paquets envoys par B A

=> apparat le problme duAck Storm (A et B envoient des ACK en permanence)


NS spoofing (dguisement)

e protocole DNS (Domain Name System) a pour rle de convertir un nom complet

e machine (par ex. java.enseeiht.fr) en son adresse IP (193.50.169.118)

t rciproquement; protocole bas sur le mcanisme client/serveur (un serveur DNS

pond aux requtes des clients)

Lattaque consiste envoyer une fausse rponse une requte DNS avant le serveur DNS

> len-tte du protocole comporte un champ didentification qui permet de faire correspondre

es rponses aux demandes;

la faiblesse provient de certains serveurs DNS qui gnrent des ID prvisibles

> lattaque ncessite que lattaquant contrle un serveur DNS (par ex ns.attack.com)

yant autorit sur le domaine attack.com



NS spoofing (dguisement)


8/2/2019 attaques

16/20



8/2/2019 attaques

17/20


uffer overflow- attaque qui nutilise pas une faiblesse du rseau mais trs utilise pour attaquer les rseaux

=> consiste exploiter des faiblesses des programmes serveurs qui soccupent de servicesrseaux (serverftp, serveurhttp, ...)

le principe : exploiter des programmes C pas assez rigoureux !


uffer overflowsi net_msg est trs long , il peut crasermsg puis sfp puis ladresse de retour de la

onction copy_msg (ce qui nest pas normal !)

lorsque la fonction copy_msg se termine, on peut alors faire excuter du code une adressehoisie => justement celle de msg

le code excuter est insr dans net_msg qui est donc copians msg

> ici le code excuter est : SSSSSSS........ S> ladresse de retour a t change en 0xD8, lendroit o a t plac le code excuter> lart consiste donc fabriquernet_msg = SSSS......SS0xD8


uffer overflow : example Buffer overflow de wu-ftpd par MAIL_ADMI

Lorsque la fonctionnalit MAIL_ADMIN de wu-ftpd est active, un

ttaquant distant pourrait provoquer un dbordement de mmoire.

Le serveur wu-ftpd peut tre compil avec la fonctionnalit

AIL_ADMIN. Dans ce cas, un email est envoy vers administrateur

haque fois qu'un fichier est upload sur le serveur.

From: wu-ftpd

Subject: New file uploaded: nom_fichier

Cependant, si la taille du nom de fichier avoisine les 32768

aractres, un buffer overflow se produit.

Un attaquant pourrait donc employer cette vulnrabilit dans le

ut de faire excuter du code.



uffer overflow : example Buffer overflow de ipcs

Le programme /usr/bin/ipcs fournit des informations sur l'usage des ressources IPC

Inter Process Communication).

ipcs affiche le nombre de queues de message et de smaphores crs ainsi que

les segments de mmoire.

L'option "-C-C" indique la source d'informations employer. En gnral, il s'agit d'un

ichier core. Par exemple :

ipcs -C /tmp/core

Cependant, ipcs ne vrifie pas la taille du nom de fichier !!

Un attaquant local peut alors spcifier un nom de fichier core trop long dans le but

de provoquer un buffer overflow.

e.g., permettre un attaquant local d'accrotre ses privilges.


8/2/2019 attaques

18/20

8/2/2019 attaques

19/20

SECURITE :SECURITE : LES MOYES ?LES MOYES ?

8/2/2019 attaques

20/20


Maintenant qu'on connait notre ennemiMaintenant qu'on connait notre ennemi

comment se protger ?comment se protger ?

. . .. . .


Identification, authentification

Politiques dautorisations et privilges

Gestion des droits et des privilges

Contrles daccs logiques et physiquesProfils de protection, classes de fonctionnalits

valuation, certification, accrditation, agrment,

Journalisation ("audit") des vnements lis la scurit

attaques

Documents