45
© 2011 Michel Cusin 1 Intrusions et gestion d’incidents informatique

Intrusions et gestion d’incidents informatique

Embed Size (px)

DESCRIPTION

Avec le nombre croissant d’attaques informatique faisant rage à l’échelle mondiale, les gouvernements ainsi que les petites comme les grandes entreprises n’y échappent pas. Les groupes de pirates informatiques tels que Anonymous et LulzSec, pour ne nommer que ceux-ci, font la loi dans le cyber espace. Ils sont très bien organisés et revendiquent des attaques très dévastatrices qui figurent parmi les plus médiatisées. Ils défient publiquement les autorités, les gouvernements et tous ceux qui semblent se mettre en travers de leur chemin. Rien ne semble les arrêter. Une fois introduits dans les systèmes de leurs victimes, ils s’adonnent notamment au pillage d’information confidentielle et la publient ensuite sur Internet.Les gouvernements étrangers sont, eux aussi, très actifs. Que ce soit à des fins stratégiques, politiques ou économiques, ces derniers ne ménagent aucun efforts pour parvenir à leurs fins. Contrairement à certains groupes de pirates informatiques, ils travaillent dans l’ombre. Ils ne cherchent pas à faire de coup d’éclat, mais plutôt à obtenir des résultats.Mais peu importe qui ils sont et ce qu’ils cherchent à faire, les mêmes questions se posent: comment font-ils pour s’introduire dans nos systèmes? Comment pouvons-nous protéger nos infrastructures contre ces attaques qui sont souvent invisibles et qui surviennent la plupart du temps à notre insu?Certaines pistes de solutions à ce fleau s’offrent à nous. Nous devons réagir, mais surtout, agir de façon proactive si nous ne voulons pas perdre la guerre. Il est crucial de découvrir nos failles avant que les pirates ne le fassent. Mais malgré tous nos efforts, il est clair que tôt ou tard, nous aurons à faire face à de multiples scenarios d’attaques et d’intrusions. La question n’est pas “si” mais plutôt “quand” cela arrivera. Nous devons donc nous préparer à y faire face.Voici donc la présentation que j’ai fait lors du séminaire sur les intrusions et gestion d’incidents informatique à ActionTI le 23 novembre 2011. Elle explore diverses techniques employées par les pirates ainsi que certains outils qu’ils utilisent. Elle explique comment les pirates s’y prennent pour trouver les failles de sécurité et comment ils les exploitent afin de prendre le contrôle de nos infrastructures. Nous verrons également comment ils réussissent à garder l’accès aux systèmes qu’ils ont compromis et comment ils tentent de cacher leurs traces.

Citation preview

Page 1: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 1

Intrusions et gestion d’incidents informatique

Page 2: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 2

Agenda

•  État de situation •  Qui sont nos adversaires •  Les types d’attaques et leurs cibles •  Les étapes d’une attaque •  Parce qu’un “hack” vaut 1000 mots… Des démos !!! •  Comment (tenter) de se protéger

Page 3: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 3

État de situation

Page 4: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 4

Quelques cas Quand Cible Qui Quoi

2010 (+) Wikileaks Operation: Payback

Mastercard, Visa Amazon, PayPal

Anonymous DDoS - Services non disponibles

Février 2011 HBGary Anonymous Vol et Publication d’info confidentielle

Mars 2011 RSA Inconnu APT - Vol des “Seeds” SecurID

Mars 2011 Comodo Iranien de 21 ans Vol de certificats numériques

2011 (+) Sony (+) Multiple #opsony, PSN Down, vol d’information

Mai 2011 Lockheed Martin Espionnage Réplication des clés SecurID, vol

Mai 2011 L-3 Communications Espionnage “tentative” de vol d’information

Juin 2011 Northrop Grumman ? Incident en lien avec les clés SecurID

Juin 2011

Google (Gmail)

Chine Vol de mot de passe, interception de courriels

Juin 2011 Citigroup ? Vol d’information de clients

Page 5: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 5

Quelques cas (suite)

Quand Cible Qui Quoi

Juin 2011 Sénat américain LulzSec Publication de la structure du site Web

Juin 2011 Police nationale espagnole Anonymous Site Web temporairement inaccessible

Juin 2011 CIA LulzSec Site Web temporairement inaccessible

Juin (+) OTAN Anonymous ? Vol de 1GB d’info

2011 (+) PBS.org Warv0x Site Web défiguré, admin uname/passwd volés/exposés

Juillet 2011 Apple Antisec Admin uname/passwd volés/exposés

2011 (+) Fox ? Fox annonce la mort du président Obama via Twitter

Août 2011 72 organisations publiques et privées dans 14 pays

Chine? McAfee Operation Shady RAT: Vol de secrets gouv, info corpo sensible, propriété intélectuelle

Août 2011 RIM (BlackBerry) Team Poison Blogue attaqué / émeutes à Londres

Source: CNET Hacker Chart

Page 6: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 6

Plus près de chez nous

Quand Cible Qui Quoi

Février 2007 RTSS ? Ver, botnet

2006 - 2008 Opération Basique 19 Québécois Botnet

Février 2011 Gouvernement canadien Chine Contrôle de systèmes clés du ministère des Finances et du Conseil du trésor.

Juillet 2011 Canada, USA, France, Russie, Émirats Arabes

Unis

Joseph Mercier Botnet opéré à partir de Laval

Page 7: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 7

Anonymous

Page 8: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 8

LulzSec

Page 9: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 9

th3j35t3r (The Jester)

Page 10: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 10

Commander X

According to a CBS News report, "Commander X" told their reporter that he had no fear about being caught: "We're not going to turn ourselves in. They can come and get us is what I say. Bring it on. Until then, we run... We will remain free and at liberty and at large for as long as we can, and when the time comes that each and every one of us eventually will be brought to justice, we will hold our head high in any court of law and we will defend our actions." Doyon is scheduled to appear on September 29th for a bail hearing.

Page 11: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 11

Stuxnet

•  Ver ciblant Windows (4 attaques dont 3 zero-day & MS08-067)

•  Attaque très spécifique:

•  Windows •  Step 7 (Logiciel de contrôle SCADA – Human-Machine Interface) Seimens

•  PLC (Programmable Logic Controler) - Monitor la vitesse des moteurs (entre 807 Hz & 1210 Hz) normalement rattachés à certaines pompes et centrifugeuses

•  Modifie périodiquement la vitesse des moteurs de la centrifuge,

causant des dommages. •  Cyber arme industrielle possiblement déployée par Israël visant a

déstabiliser le programme nucléaire Iranien

•  Et alors?

Page 12: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 12

Récapitulons (ne capitulons pas)

Nous ne faisons pas face à des individus, mais à un mouvement qui n’obéit qu’à ses propres règles. Nous devons penser et agir en fonction de cette réalité. Il ne suffit plus de se protéger, en tentant de bloquer l’ennemi. Il faut savoir le traquer, le trouver et l’expulser. Afin de nous défendre, nous devons savoir qui ils sont et comment ils procèdent. Nous devons apprendre à mieux les connaitre et à savoir comment ils pensent.

Page 13: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 13

Sun Tzu

Je dis que si tu te connais toi-même et que tu connais ton ennemi, tu n’auras pas à craindre le résultat de cent batailles. Si tu te connais toi-même sans connaître ton ennemi tes chances de victoires et de défaites seront égales. Si tu ne connais ni ton ennemi ni toi-même, tu perdras toutes les batailles. –Sun Tzu, l’art de la guerre

Page 14: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 14

Qui sont les attaquants

•  Script Kiddies

•  Pirates professionnels / mercenaires (espions/compétiteurs) - PotashCorp - En 2010, elle répond à 30 % de la demande mondiale de potasse - OPA de BHP Billiton de 40 G$ •  Terroristes / Crime organisé (Ex.:RBN ~60% du SPAM mondial)

•  Employés (volontairement ou à leur insu) – Parfois les plus dangereux

Page 15: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 15

Motivations

•  Argent (espionnage, avantage concurrentiel, mercenaire, etc…)

•  Notoriété, gloire, réputation, etc…

•  Politique / Activisme

•  Parce que je peux… (opportunisme, apprentissage/découverte)

•  Terrorisme (attaques et financement) •  Militaires

Page 16: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 16

Les types d’attaques

•  Server-side Attacks (de l’externe) •  Client-side Attacks (de l’interne) •  Ingénierie Sociale (les gens)

•  Sans-fil (interne et externe) •  Médias amovibles (Clés USB et autres)

Page 17: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 17

Cibles d’attaques

•  Postes de travail (OS, applications, physique) •  Serveurs (DHCP, DNS, DC, fichiers, courriels, auth, Web, BD, etc…) •  Équipements réseau (routeur, commutateur, concentrateur?) •  Téléphonie IP •  Sans-fil (Wi-Fi – 802.1X), Mobilité, Bluetooth

Page 18: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 18

Étapes d’une attaque

•  Reconnaissance (ramasser de l’information)

•  Scanning (découvrir les failles)

•  Attaque (exploiter les failles et vulnérabilités)

•  Garder un accès (backdoor, porte dérobée, Rootkit)

•  Effacer les traces (effacer/modifier les logs)

Page 19: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 19

Reconnaissance

•  Site Web de la “cible”: •  Mission •  Postes disponibles •  Communiqués de presse •  Adresses courriel •  Et plus…

•  Adresses IP et autres informations •  American Registry for Internet Numbers (ARIN) •  Whois (Qui) •  Nslookup (Quoi) •  www.centralops.net, Sam Spade

Page 20: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 20

Reconnaissance (2)

•  Google: •  Requêtes (intitile, inurl, type, link, etc...) •  Google Hacking DataBase (GHDB) – Johnny Long •  Google Maps, Street View, Picassa, Cache, Groups, Blog

•  Réseaux sociaux (Facebook, Twitter, LinkedIn) •  (CeWL) -> Liste de mots (uname/passwd)

•  www.123people.ca, www.pipl.com •  www.archives.org (Wayback machine)

Page 21: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 21

Reconnaissance (3)

•  Outils •  CeWL •  BiDiBLAH •  BiLE •  Gpscan (Profils Google) •  Gloodin •  Lazy Champ •  Sam Spade •  Foca (Metadata) •  Maltego* •  Etc…

Page 22: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 22

Page 23: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 23

Scanning

•  Balayage de ports •  Nmap* •  Découverte des ports ouverts (0 à 65535 - TCP & UDP) •  Différents types de scans (connect, syn, etc…)

•  « OS Fingerprinting » - Déterminer la version du OS •  actif: Nmap, Xprobe •  Passif: p0f

•  Balayage de vulnérabilités •  Nessus*, OpenVAS •  Découverte des vulnérabilités dans le bût de les exploiter

Page 24: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 24

BackTack

Page 25: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 25

Metasploit

Le “framework” Metasploit est un outil pour le développement et l'exécution d'exploits contre une machine distante.

Exploit 1 Payload 1

Exploit 2 Payload 1 Stager Launcher Vers la cible

Interface Utilisateur

Choix Exploit 2

Exploit N

Payload 2

Payload N

Page 26: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 26

•  Metasploit* •  Creation et encodage d’un “payload” malicieux (Meterpreter) •  Serveur écoutant les requêtes entrantes des victimes

•  Meterpreter* (backdoor résident en mémoire injecté dans un dll) •  Donne un plein accès au poste de la victime •  Communications cryptées •  Lister contenue du poste, les ps, Hashdump, pivot, etc… •  “Shell is just the beginning…”

Metasploit / Meterpreter

Page 27: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 27

Social-Engineer Toolkit (SET)

!

1) Spear-Phishing Attack Vectors 2) Website Attack Vectors 3) Infectious Media Generator 4) Create a Payload and Listener 5) Mass Mailer Attack 6) Arduino-Based Attack Vector 7) SMS Spoofing Attack Vector 8) Wireless Access Point Attack Vector 9) Third Party Modules

Page 28: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 28

Attaques de mots de passe

•  Guessing: THC Hydra, Medusa; •  Cracking: John the Ripper (JtR), Rainbow Tables; (LANMAN, NTLM, MD5, SHA-1, Salt) •  Sniffing: Cain, tcpdump, Wireshark; •  Pass-the-Hash (PtH): Metasploit, Pass the Hash Toolkit;

Page 29: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 29

Attaques de réseaux sans fil

•  Simple à sniffer (Netstumbler, Wireshark, Kismet, etc…) •  Filtrer par adresses MAC et cacher le SSID = inutile ! •  WEP, WPA, WPA2 -> Tous “crackables”

•  Faiblesse au niveau des initialization vector (IV) •  Une authentification robuste est nécessaire

• PEAP (Protected Extensible Authentication Protocol)

•  Lorsque bien implanté, un réseau WiFi peut-être aussi sécuritaire ou même plus qu’un réseau filaire.

Page 30: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 30

Attaques de réseaux sans fil •  Aircrack-ng

•  Crack: WEP, WPA, WPA2 -> Preshared Key (PSK) •  Airpwn (Sniff le trafic WiFi)

•  Injecte du “faux” trafic (HTTP) - “Race condition” •  AirJack (MITM)

•  Désauthentifie, sniff, devient un AP, MITM

•  Karma (deviens tout ce que vous demandez) •  DHCP, DNS, HTTP, FTP, POP3, SMB

•  Karmetaploit (Karma + Metasploit)

•  PwnPlug

Page 31: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 31

PwnPlug: Hardware

•  CPU (1.2 GHz) •  RAM (512 MB SDRAM) •  HDD Flash (512 MB) •  Prise(s) réseau Ethernet •  Port USB 2.0 •  Expension SDHC (flash)

Page 32: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 32

PwnPlug: Software

•  Système d’exploitation: Linux

•  Outils:

•  Metasploit •  Ignuma & Fast-Track •  Nikto •  Dsniff •  Ettercap •  SSLstrip •  Nmap •  Nbtscan •  Netcat

•  SET (Social Engineer Toolkit) •  JTR (John the Ripper) •  Medusa •  Scapy •  Kismet •  Karma •  Karmetasploit •  Aircrack-NG •  WEPbuster

Page 33: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 33

Réseau sans fil “sécurisé” Réseau local (filaire)

Point d’accès sans-fil

Serveur d’authentification

Poste (sans-fil)

Assistant personnel (iPhone, Blackberry, etc..)

Chiffrement & authentification (WPA2 - PEAP)

Page 34: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 34

Réseau sans fil “non sécurisé”

Point d’accès sans-fil non sécurisé

Page 35: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 35

Attaques de sites Web

•  Cross-Site Scripting (XSS) •  Cross-Site Request Forgery (XSRF)

•  Command Injection •  DDoS

•  Injection SQL: sqlmap*

Page 36: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 36

Garder un accès

Backdoors (Poison Ivy) Rootkits: (Applicatif & Kernel)

Page 37: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 37

Garder un accès

•  Telnet, SSH, netcat •  Désactiver ou reconfigurer le coupe-feu de Windows: (C:\netsh firewall set opmode=disable)

•  VNC, Remote Desktop

•  Partage SMB (\\X.X.X.X\C$)

Page 38: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 38

Effacer les traces

Page 39: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 39

La sécurité au quotidien

•  Restez informé de ce qui se passe

•  Les FW, IDS, antivirus ainsi que la gouvernance c’est bien, mais… Il y a plus!

•  Connaissez et maitrisez votre environnement

•  La sécurité ne s’achète pas, elle se construit.

•  Connaissez ce que vous ne connaissez pas: Ce qu’on ne sait pas FAIT mal !

Page 40: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 40

Honeypot (Honeynet)

•  Un honeypot, ou “pot de miel”, est un ordinateur ou un programme volontairement vulnérable destiné à attirer et à piéger les hackers.

http://www.honeynet.org/

Surveillance Collecte d'information Analyse d'information

Faible interaction Haute interaction

•  Un honeynet est un réseau de honeypots.

Page 41: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 41

Analyse de vulnérabilité vs Test d’intrusion

•  Reconnaissance (ramasser de l’information) •  Scanning (découvrir les failles)

•  Attaque (exploiter les failles et vulnérabilités)

•  Rapports, explications, solutions

AV

Pentest

AV Pentest

Pentest

Page 42: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 42

Professionnel de la sécurité vs Pirate

•  Planification: •  Type de test et contexte •  Portée (quoi) •  Règles d’engagement (comment)

•  Tests: •  Les facteurs temps, portée et règles d’engagement •  La méthodologie •  Maintiens de la stabilité de la cible •  Outils

•  Rapports: •  Exécutif, technique •  Explications, solutions, personnalisation

Page 43: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 43

Préparation

Identification

Contenir

Éradication

Rétablissement

Leçons apprises

La gestion des incidents en 6 étapes

Page 44: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 44

Conclusion

•  La menace est bien réelle et elle est là pour rester!

•  Une grenouille ne peut avaler un bœuf! Il faut y aller par petites bouchées.

•  Testez votre sécurité avant que quelqu’un ne le fasse à votre place…

•  Soyez prêt à gérer les incidents AVANT qu’ils ne surviennent.

•  Pensez différemment, sortez des paradigmes.

•  La sécurité est un mode de vie, qui se vie au quotidien

•  Nous ne devrions pas combattre les pirates, mais plutôt l'ignorance. Le reste viendra avec…

Page 45: Intrusions et gestion d’incidents informatique

© 2011 Michel Cusin 45

En terminant…

http://cusin.ca ou [email protected]