Classification des attaques - e
Contents
1. cuter gt l art consiste donc fabriquer net_msg SSSS SS0xD8 Master RCS S curit informatique 19 Classification des attaques Buffer overflow example Buffer overflow de wu ftpd par MAIL_ADMI Lorsque la fonctionnalit MAIL_ADMIN de wu ftpd est activ e un attaquant distant pourrait provoquer un d bordement de m moire Le serveur wu ftpd peut tre compil avec la fonctionnalit MAIL_ADMIN Dans ce cas un email est envoy vers administrateur chaque fois qu un fichier est upload sur le serveur From wu ftpd Subject New file uploaded nom_ fichier Cependant si la taille du nom de fichier avoisine les 32768 caract res un buffer overflow se produit Un attaquant pourrait donc employer cette vuln rabilit dans le but de faire ex cuter du code Master RCS S curit informatique 20 Classification des attaques Buffer overflow example Buffer overflow de ipcs Le programme usr bin ipcs fournit des informations sur l usage des ressources IPC Inter Process Communication ipcs affiche le nombre de queues de message et de s maphores cr s ainsi que les segments de m moire L option C indique la source d informations employer En g n ral il s agit d un fichier core Par exemple ipcs C tmp core Cependant ipcs ne v rifie pas la taille du nom de fichier Un attaquant local peut alors sp cifier un nom de fichier core tro2. pirates qui les d couvrent peuvent d jouer tous les m canismes de s curit et rentrer dans le syst me Parfois install e par un attaquant qui a r ussi s introduire dans le syst me et qui veut se laisser un moyen de se r introduire dans le syst me exemple gt v ao t 1986 Lawrence Berkeley Laboratory un intrus utilise le compte d un utilisateur puis acquiert les privil ges syst mes faille banale mauvaise installation de Gnu emacs plut t que de corriger la faille il est d cid d observer en 10 mois l intrus a tent de p n trer dans 430 ordinateurs reli s Internet principalement militaires il a t possible de localiser et d identifier l intrus un allemand de Hanovre Markus Hess li au Chaos Computer Club et travaillant pour le KGB condamn le 15 f vrier 1990 des peines de 2 ans de prison avec sursis et de 10 000 DM d amende Master RCS S curit informatique 6 Classification des attaques a Porte d rob e Backdoors Ex de backdoors sur certains logiciels messagerie utilitaires syst mes e g pour certaines commandes suivies d arguments particuliers ou avec un mot de passe bien d fini le logiciel peut avoir un comportement diff rent Permettre acc s root l utilisateur renvoyer un shell syst me l utilisateur etc Ces trappes sont inclues directement dans le code du logiciel Certains d veloppeurs sont soucieux de poss der un acc s sur
3. tous les syst mes utilisant leurs logiciels e g Ken Thompson l un des p res d UNIX avoue avoir modifi l application bin login en permettant l acc s direct au syst me par la saisie d un mot de passe pr compil en dur Thompson pouvait ainsi visiter tous les syst mes utilisant son application modifi e Parfois certains pirates diffusent des applications infest es de backdoors Master RCS S curit informatique 7 Classification des attaques Comment se prot ger contre les portes d rob es V MAC amp Checksums amp Signatures v Veille CERT BugTraq v T l charger les applications sur le site du distributeur ou du programmeur Utiliser des serveurs de t l chargement non li s l auteur de l application peut se relever dangereux Master RCS S curit informatique 8 Classification des attaques e cheval de Troie lt programme effectuant une fonction illicite tout en donnant l apparence d effectuer une fonction l gitime la fonction illicite peut tre de divulguer ou d alt rer des informations ou peut tre une bombe logique Exemple AIDS entre le 8 et le 12 d cembre 1989 environ 10 000 disquettes publicitaires ont t envoy es 7000 abonn s de PC Business World GB et 3000 participants europ ens d une conf rence de l OMS sur le SIDA en octobre 1988 l enveloppe contenait le texte d une licence et le mode d emploi d in
4. S curit 2 Universit Kasdi Merbah Ouargla D partement d Informatique et des Technologies de l Information ETUDE DES ATTAQUES Classification des attaques 2 me Ann e Master RCS Septembre 2014 Master RCS S curit informatique 1 Plan du cours 1 Classification des attaques Ecoute passive Interception D guisement Cryptanalyse D ni de service Bombe logique Porte d rob e cheval de Troie RootKits Spyware Spamming Virus Vers D bordement de tampon buffer overflow Master RCS S curit informatique Plan du cours Remarque slides bas s sur les cours de s curit d Anas ABOU EL KALAM Master RCS S curit informatique 1 Classification des attaques Ecoute passive l attaquant se contente d acc der sans modification aux informations g n r es e g sur un Disque Dur transmises sur un canal de communication sniffing scanning eavesdropping wire tapping Interception l attaquant modifie des informations transmises ou injecte des informations rejeu insertion substitution destruction vol de session TCP TCP hijacking D guisement l attaquant tente de se faire passer pour quelqu un d autre gt IP spoofing web page defacing Fishing Cryptanalyse obtenir des informations secr tes a partir d informations publiques gt a partir d un message chiffr retrouver le message en clair retro
5. faiblesse de DCOM Distributed Component Object Model qui utilise le port TCP IP 135 suffit d envoyer une requ te particuli rement format e pour provoquer une d faillance buffer overflow un email contenant un cheval de Troie a ensuite circul en pr tendant contenir un correctif pour le vers gt les correctifs de s curit ne sont en g n ral jamais envoy s par courrier modification de la base des registres g n ration d une adresse IP et tentative d infection de la machine correspondante cr ation d un processus qui coute sur le port 1444 et qui permet d ex cuter distance des commandes sur la machine infect e en fonction de certaines conditions certains jours de certains mois une attaque de type d ni de service est lanc e contre le site windowsupdate com SYN flooding Master RCS S curit informatique 16 D finitions Ver Virus Autonome sur DD n utilise pas Parasite dissimul dans fichiers ou dans code n cessairement un fichier pour se propager ex cutable contenu dans secteur d marrage disque Arrive souvent par pi ce jointe un mail Souvent par port r seau comprenant un code malicieux ex cut automatiquement par le logiciel de courrier lectronique ou manuellement par l utilisateur ne se multiplie pas localement se multiplie localement s autoduplique se propage en infectant tour tour les fichiers Effets fichiers effac s disque dur f
6. formules de calcul dans les tableurs ou macros dans des traitements de texte e ces commandes peuvent tre ex cut es l ouverture du fichier gt un virus peut s ins rer dans ces commandes gt un logiciel comme Excel pr vient de la pr sence de telles macros et demande l autorisation pour les ex cuter virus de messagerie e un cheval de Troie est ins r dans un document attach un courrier lectronique e tout est fait pour que l utilisateur ex cute le document attach titre trompeur Master RCS S curit informatique 13 Classification des attaques e Virus vendredi13 Isra l d cembre 1987 virus pour PC avec une bombe logique d truit les programmes lorsqu il s ex cute un vendredi 13 e virus nimda septembre 2001 virus pour PC contenant un cheval de Troie ce virus se r pand par fichiers attach s dans la messagerie pas de sujet document attach README EXE le virus peut s ex cuter automatiquement l ouverture du mail sous Outlook il provoque le partage en criture du disque local _iltente de se propager par les dossiers partag s _iltente de saturer les serveurs de messageries et scane massivement le port 80 de certains serveurs web pour d grader leurs performances e virus Iloveyou 2000 virus de messagerie lectronique le sujet est Ilove you un document attach LOVE LETTER FOR YOU TXT vbs contient un virus d tru
7. it beaucoup de fichiers locaux en les rempla ant par sa propre copie essaie galement de se propager par messagerie et par IRC chat sur intenet Master RCS S curit informatique 14 Classification des attaques e Vers gt programme autonome qui s ex cute se propage et se reproduit L insu des utilisateurs normaux gt ventuellement porteur d une bombe logique gt propagation par r seau gt premier ver Xerox 1975 programme utile compos de segments qui se copiaient sur les machines inactives du r seau tests de machines mesure de performances gt le ver d Internet 2 novembre 1988 cr par Robert Morris Jr tudiant fils de Robert H Morris Chief Scientist du National Computer Security Center de la National Security Agency utilise 3 failles connues d Unix dont l attaque par dictionnaire des mots de passe suite une faute de conception le ver se propage beaucoup plus rapidement que pr vu par son auteur condamn 10 000 d amende et 400 heures de travaux d int r t g n ral gt immobilisation de 6000 60000 machines en une nuit gt cr ation du Computer Emergency Response Team CERT le 13 d cembre Master RCS S curit informatique 15 Classification des attaques e Vers suite gt Blaster connu galement sous le nom de Lovsan _infecte les machines WindowsNT Windows2000 Windows XP et Windows Server 2003 exploite une
8. ormat saturation des disques modification du MBR Master RCS S curit informatique 17 Classification des attaques Buffer overflow attaque qui n utilise pas une faiblesse du r seau mais tr s utilis e pour attaquer les r seaux gt consiste exploiter des faiblesses des programmes serveurs qui s occupent de services r seaux serveur ftp serveur http le principe exploiter des bugs dans des programmes C roid copy_msg char net_msg neg 126 MIJ a J28 octets sauvegurde strepy I pointeur de pile return net msg y net meg a adrese copie de net_mag dans m Pile sans v rifier la taille de net_wsg Master RCS S curit informatique 18 Classification des attaques Buffer overflow si net_msg est tr s long il peut craser msg puis sfp puis l adresse de retour de la fonction copy_msg ce qui n est pas normal lorsque la fonction copy_msg se termine on peut alors faire ex cuter du code une adresse choisie gt justement celle de msg le code ex cuter est ins r dans net_msg qui est donc copi dans msg Pile DDDDCDDDDBEEBEREEBEEE EBEE FFFF FFFFFFFFFFFF B9ABCDEFO123456789AB CDEF 0123 45678SARCDEF msg sfp ret net_msg SSS5555S55555555S555S SSSS 0xD8 adresse gt ici le code ex cuter est SSSSSSS 5 gt l adresse de retour a t chang e en 0xD8 l endroit o a t plac le code ex
9. p long dans le but de provoquer un buffer overflow e g permettre un attaquant local d accro tre ses privil ges Master RCS S curit informatique 21
10. s FreeBsd libre Combpilez noyau en statique Vous viterez ainsi chargement modules externes Master RCS S curit informatique 10 Classification des attaques Spyware contraction de spy et software Logiciel espion qui collecte des donn es personnelles avant de les envoyer un tiers e g Keylogger transmettre les donn es saisies au clavier Spamming l usage abusif d un syst me messagerie destin exposer d lib r ment et de mani re r p t e les utilisateurs des contenus non pertinents et non sollicit s Master RCS S curit informatique 11 Classification des attaques virus segment de programme qui lorsqu il s ex cute se reproduit en s adjoignant un autre programme du syst me ou d application et qui devient ainsi un cheval de Troie Propri t s infection multiplication fonction nocive gt ventuellement porteur d une bombe logique propagation par change de support flash disk ou par r seau peut simplement s adjoindre un autre programme et tre donc ex cut uniquement lorsque ce programme est ex cut peut s installer dans le secteur de boot d une machine d une disquette ou dans la table des interruptions on parle de virus r sident Master RCS S curit informatique 12 Classification des attaques macros virus dans certains documents des commandes peuvent tre enregistr es comme des donn es
11. stallation objet pr tendu du programme valuer le risque d tre atteint par le SIDA en fait apr s 90 d marrages du PC une bombe logique tait lanc e chiffrement des noms de fichiers sur le disque dition d un bon de commande pour payer la licence l ordre de PC Cybor Protection v Antivirus vV MAC amp Signatures v Veille CERT BugTraq C4 Ne pas faire confiance aux pgms non s rs Macros Master RCS S curit informatique 9 Classification des attaques e RootkKits lt programme permettant d automatiser la dissimulation et l effacement des traces d un pirate sur une machine lt Modifier commandes permettant d administrer syst me cacher ports ouverts par pirate Utilisent le principe des backdoors types ls ps netstat gt Modif lib gt Modif comportement noyau par le biais de modules charg s en m moire Protection Les checksums v effectuer checksums la fin d une installation sur les diff rents fichiers comme ls ps netstat ifconfig etc et sur les diff rentes biblioth ques partag es v Cette version d OS devrait tre stock e sur CDROM ou autre support non r inscriptible Compiler les programmes vitaux en statique v disposerez d une trousse de secours en cas d infection par rootkits v pour cela il faut disposer d un OS permettant acc der sources pgms vitaux Chkrootkit permet de d tecter la pr sence d un rootkit sou
12. uver la cl Master RCS S curit informatique a Classification des attaques D ni de service l attaquant vise emp cher sa victime de continuer d livrer le service attaque de la disponibilit spamming flooding smurfing Bombe logique sont aussi n fastes que les virus ou les vers et sont la cause de d g ts similaires La diff rence est que la bombe logique a besoin d un d tonateur pour s activer C est donc une fonction destructive partie de programme qui reste dormante d clench e retardement ou par certaines conditions Y date pr cise vendredi 13 v pr sence de certains utilisateurs certains logiciels ou mat riels v apr s un certain nombre d activations gt destruction d infos stock es donn es pgms infos de s curit ex par formatage Disque Dur gt diffusion de fausses informations de diagnostic gt d g ts mat riels usure anormale de p riph riques destruction A 3 r etc Master RCS S curit informatique 5 Classification des attaques py Porte d rob e Backdoors Acc s cach s moyen de contourner les m canismes de s curit faille du syst me de s curit due une faute de conception accidentelle ou intentionnelle cheval de Troie en particulier Ces passages secrets sont m nag s par les concepteurs de logiciels pour fournir des acc s privil gi s pour les tests ou la maintenance Mais les
Download Pdf Manuals
Related Search