Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Médias numériques
Contenu adapté de “Exploiting the media for fun and profit. Analysis of a new type of web application attacks through media files”. OWASP AppSec 2010 Nov 8-11,OWASP Foundation.
https://www.owasp.org/index.php/Exploiting_the_media_for_fun_and_profit._Analysis_of_a_new_type_of_web_application_attacks_through_media_files
4
Médias numériques Les médias sont partout!Vidéos visionnés sur Internet:
14,3 milliards en Décembre : seulement aux
USA (CNN, 06.02.09).
Téléchargement illégal de musique:
au moins 7 millions de personnes en Grande-
Bretagne (The Guardian, 29/05/09).
Média illégal/malveillant :
24 millions Brad Pitt sur Google images!
(29 janvier 2012)
Combien d’images malveillantes parmi
ces 24 millions?!!5
Médias numériques
98% 10%
50% 0%
6
Les médias peuvent répandre des virus! 500 professionnels
TI interrogés
Médias numériques Tendances:
Généralement, les attaques ne sont pas ciblées.
Ingénierie sociale pour inciter la victime à visualiser le
contenu malveillant.
Répartition ad hoc : 50% vidéos, 30% musique, 20%
images.
Propagation: réseaux sociaux, imitations de sites des
nouvelles, sites P2P.
7
9
Médias numériques Menace grandissanteTaux de réussite d’infection:
10% par réseaux sociaux
vs 1% par email
Médias numériques Vidéos d’actualités:
1er trimestre 2010: les pirates ont profité de chaque
événement majeur pour attirer les visiteurs dans des
sites infectés:
o Annonce du IPAD, Avatar, tremblement de terre en Haïti,
attentats terroristes à Moscou [Rapport Kaspersky]
En analysant 100 millions blogs, l’équipe eSoft a
découvert 700 000 fausses pages (malicieuses)
YouTube (0,7%) [SC Magazine, US, 09/06/10].
10
Médias numériques Video/Audio P2P
Analyse de toutes les vidéos torrent du film Ghost Writer(2010) trouvées par le moteur de recherche isoHunt:
o Avant la sortie en DVD: seulement 10 des 570 vidéos (1,75%) étaient inoffensives
o Après la sortie en DVD: 550 sur 1220 (45%) étaient inoffensives.
11
Médias numériques Fichiers d’images Attaques d'images malformées représentent 10% des
attaques Web en 2009.
Souvent hébergés sur des sites légitimes.
Vulnérabilités buffer overflow des JPEG GDI (Graphics
Device Interface).
12
Médias numériquesVecteurs d’attaques
Musique/vidéo: ingénierie sociale:o Télécharger un codec pour pouvoir visualiser une vidéo.
o Cliquer sur une fenêtre popup “accepter les termes de la licence” ou "Télécharger la clé de la licence".
Images: souvent aucune interaction avec l’utilisateur n’est requise … juste cliquer!
13
Médias numériquesVecteurs d’attaques
MS Vidéo/Musique Images “Youtube”
VidéosMasquer les commandes PHP
dans les commentaires
Débordement des JPEG GDI
Astuces de renommage :
Brad.jpg.exe
Commande
URLANDEXIT
Abus des fonctionnalités
DRM
Astuces de renommage :
Movie.avi.exe
commandes Flash
getURL
vulnérabilités
Adobe
14
Médias numériques : malware
Fausses pages Youtube
Youtube utilise Adobe Flash plug-in.
Flash a eu le pire bilan de sécurité en 2009.
Cependant, Youtube est « sécuritaire »:
o Beaucoup de restrictions : mise à jour des correctifs,
commandes script désactivés, …
Peut-on dire la même chose au sujet d'un blog donné?
Est-il possible de concevoir un blogue vidéo qu’on peut
le confondre avec Youtube?
16
Médias numériques : malware Fausses pages Youtube
En fait, vous n'avez même pas besoin d'être un bon concepteur web.
L’outil YTFakeCreator vous permet de créer de fausse pages Youtube sosies, et de leur attacher du code malveillant.
L’utilisateur est invité à télécharger un «codec» (qui est un logiciel malveillant).
17
Médias numériques : malware Koobface Virus Similaires aux Fake Youtube
Messages envoyés aux amis d’une victime Facebook.
Dirigent les destinataires sur un site où on leur demande
de télécharger ce qui est présenté comme une version
actualisée du Flash Player d'Adobe.
Après infection, dirige les utilisateurs sur des sites
contaminés lorsqu'ils tentent d'utiliser des moteurs de
recherche tels que Google, Yahoo!, MSN et Live.com.
200 millions de personnes affectées!
19
Médias numériques : malware Fausses pages de site connu: Cas
réel Une personnalité publique a été
secrètement filmée dans un hôtel.
Peu après, un site vidéo hébergeant la bande est apparu: video.report-cnn.com
LIVE VIDEO PLAYER BLOCKED
Your popup blocker has blocked access to the Video Player. To view
your video, please launch the Live Video
Player below.
20
Médias numériques : malware Fausses pages de site connu: Cas réel
La plupart du site est embarqué dans des IFRAMES du site CNN (aka clickjacking), mais le malware est servi à partir de mediaplayer.4upd.com.
Le malware a deux idées « géniales ». Après avoir cliqué sur le lien: La vidéo joue réellement pour atténuer les soupçons
Différents logiciels malveillants sont servis pour les différents OS (MAC sont infectés par le cheval de Troie OSX / Jahlav-C. Windows sont infectés par un faux antivirus Mal / EncPK-FI ou Mal / FakeAV-AY).
•!-- LARGE PLAYER HTML CODE --> <div id="cnnVPFlashLarge" style="position: relative;"> <div style="border-style: solid; border-color: rgb(230, 230, 230); border-width: 1px 1px 0px; width: 574px; height: 372px;" id="cnnVPFlashLargeContainer"> <object height="372" width="574"> <param name="movie" value="http://mediaplayer.4upd.com/Products/update_seven_win/-6478-332-34-en-hq-/mediatube.swf?clip=blabla bla Video"> <param name="allowScriptAccess" value="always"> <embed src="http://mediaplayer.4upd.com/Products/update_seven_win/-6478-332-34-en-hq-/mediatube.swf?clip=bla bla bla Video" allowscriptaccess="always" height="372" width="574"></embed> </object> </div> <div id="cnnVPInfoLMy"> <div id="cnnVPInfoLeftCol"> <div style="padding: 8px 10px 0px;" id="cont
21
Médias numériques : malware Fausses pages de site connu : Cas réel
Autres sites créés par le même pirate!
o sexe, actualités, jeux en ligne, …
22
Médias numériques Vecteurs d’attaques
MS Vidéo/Musique Images “Youtube”
VidéosMasquer les commandes PHP
dans les commentaires
Débordement des JPEG GDI
Astuces de renommage :
Brad.jpg.exe
Commande
URLANDEXIT
Abus des fonctionnalités
DRM
Astuces de renommage :
Movie.avi.exe
commandes Flash
getURL
Diverses
vulnérabilités
d'Adobe
23
Médias numériques : malwareAbus de fonctionnalités
DRM DRM permet aux distributeurs des
médias audio / vidéo de contrôler la façon dont ces médias sont utilisées.
Un client (via Media Player) peut demander (requête) une licence à un serveur de licences afin de pouvoir lire le fichier (protégé par DRM).
La requête est envoyée via HTTP et le serveur de licences retourne une réponse au client!
24
Médias numériques : malware Abus de fonctionnalités DRM
De nombreux exemples d'abus : WmvDownloader-A,-B
WmvDownloader.
Le malware se présente comme un installateur de licence DRM et
son code est chiffré.
Il peut demander à l'utilisateur d'installer un codec ou
téléchargez une licence « légitime ».
25
Médias numériques Vecteurs d’attaques
MS Vidéo/Musique Images “Youtube”
VidéosMasquer les commandes PHP
dans les commentaires
Débordement des JPEG GDI
Astuces de renommage :
Brad.jpg.exe
Commande
URLANDEXIT
Abus des fonctionnalités
DRM
Astuces de renommage :
Movie.avi.exe
commandes Flash
getURL
Diverses
vulnérabilités
d'Adobe
28
Médias numériques : malware Débordement des JPEG GDI
En 2004, Microsoft a annoncé une vulnérabilité Buffer
overflow dans leur pilote GDI qui gère la façon avec
laquelle les images JPEG sont affichées.
Étonnamment, de nombreux ordinateurs ne sont toujours
pas patchés!
Il y a un exploit similaire affectant des images PNG dans
plusieurs navigateurs (Mozilla, Firefox, Camino)
29
Médias numériques : malware Débordement des JPEG GDI
Premier exploit JPEG est apparu sur plusieurs forums de discussion Usenet qui contenaient des images érotiques, des images de stars de cinémas, etc.
Dès la lecture d'un fichier JPEG, un buffer overflow écrit un code shell sur l’ordinateur de l'utilisateur.
Le shell permet à l’attaquant d’interagir à distance avec le système de l'utilisateur comme s'ils étaient assis à la console locale!
30
Médias numériques : malware Débordement des JPEG GDI: exploits
disponibles et prêts à être utilisés!!!
31
Médias numériques : malware Conclusions
Ne pas pirater pour ne pas devenir cible des pirates
Bien choisir vos sources de médias.
Rien n’est gratuit dans la vie, il y a toujours un prix à
payer!
Vos conclusions?
32
Smartphones Smartphone = téléphone intelligent = appareil tout-en-un
Accès au réseau cellulaire (GSM/CDMA et UMTS)
Accès à d’autres réseaux (Bluetooth, WiFi)
Traitement multitâche
Synchronisation de données avec des ordinateurs
APIs disponibles pour le développement d’applications
Mais aussi… Navigation, localisation, assistance personnes
âgées/malades
Télécommande pour divers appareils
Système de paiement
Jeton d’identification
33Source : Sébastien Nicot (2011) Maîtrise ÉTS
Smartphones : Sécurité Implémentation d’une sécurité de base
Environnementale (langage de programmation utilisé)
Issue du noyau
Propre à la plateforme
Ces mécanismes ne sont pas suffisants…
Autres mécanismes, attention aux contraintes matérielles :
Traitement (CPU)
Mémoire (vive ou de stockage)
Batterie
Priorité aux applications de l’utilisateur plutôt qu’à la sécurité
34Source : Sébastien Nicot (2011) Maîtrise ÉTS
Smartphones et malwares popularité entraîne des attaques
Evolution très rapide des malwares :
20 ans d’évolution pour ordinateur = 2 ans pour
smartphones
Signatures manquantes
Apparition à haute fréquence
Actions réalisées à l’insu de l’utilisateur
Envoi de SMS/MMS
Récolte de données
35Source : Sébastien Nicot (2011) Maîtrise ÉTS
Malwares mobiles : historique 2004 : premier malware mobile « Cabir » (ver/SymbOS)
Se propageait par Bluetooth seulement
Aucune action destructrice
2005 : « CommWarrior » (ver/SymbOS)
Se propageait par MMS/SMS/Bluetooth
Coûts supplémentaires pour l’utilisateur
Après les vers, les chevaux de Troie (Trojans) : « Doomboot »
Empêchait l’appareil infecté de démarrer correctement
Déposait les vers « Cabir » et « CommWarrior »
36Source : Sébastien Nicot (2011) Maîtrise ÉTS
Malwares mobiles : historique 2004 à 2011: évolution des vecteurs d’infection
Bluetooth n’est presque plus utilisé
SMS/MMS encore très utilisé
Internet le plus utilisé (applications tierce-parties)
Applications tierce-parties téléchargeables
sur l’« App Store »
sur des sites Internet (sauf pour iOS non trafiqué)
Confiance des utilisateurs mise à l’épreuve envers les apps
37Source : Sébastien Nicot (2011) Maîtrise ÉTS
Utilisateurs accueillants
Figure : Exemple d’autorisation à
l’installation de l’application
FakePlayer.A
Figure : Exemple d’autorisation à
l’installation de l’application
Tapsnake.A 38
Malwares mobiles : Étude A Survey of Mobile Malware in the Wild
Adrienne Porter Felt, Matthew Finifter, Erika Chin, Steve
Hanna, and David Wagner. ACM Workshop on Security
and Privacy in Mobile Devices (SPSM) 2011
Janvier 2009- Juin 2011
http://www.cs.berkeley.edu/~daw/malware.html
40
iOS 4
Symbian 9.x 24
Android 18
Total 46
Malwares mobiles : Étude
IOS
41
Calendrier du moment où chaque sous-ensemble des 46 malwares est devenu connu.
Malwares mobiles : Étude
42
Activité malveillante Pourcentage
Vol des informations personnelles 60%
SMS ou Appels Premium 53%
Envoie d’SMS et de spams 18%
Amusement! 13%
Vol des informations d'identification (credentials) 9%
Optimisation des moteurs de recherche 2%
Rançon 2%
Classification des malwares par activité malveillante
Mieux encore:
http://www.mobile-spy.com/https://www.youtube.com/watch?v=rH08t83kblI https://www.youtube.com/watch?v=YNbT0At4Tsg
44
“Because there is no patch for human stupidity”
Swiss Cyberstorm 2011
“L’humain est le maillon faible dans n’importe quel
système"
“Un pirate peut passer des heures, des semaines ou des
mois à essayer par « force brutale » de deviner un mot de
passe ... Alors qu’un appel téléphonique avec le bon
prétexte et les bonnes questions peut identifier le même
mot de passe ou même plus en seulement quelques
minutes!”
Réseaux sociaux
45
Les nouvelles cibles?
Voitures: http://gizmodo.com/5781966/now-cars-are-
vulnerable-to-malware
…
46