Documente Academic
Documente Profesional
Documente Cultură
Coupure de l'lectricit Extinction manuelle de l'ordinateur Vandalisme Ouverture du botier de l'ordinateur et vol de disque dur Ecoute du trafic sur le rseau Vol de session (session hijacking) Usurpation d'identit Dtournement ou altration de messages
Interception de communications :
Dnis de service : il s'agit d'attaques visant perturber le bon fonctionnement d'un service. On distingue habituellement les types de dni de service suivant :
Exploitation de faiblesses des protocoles TCP/IP Exploitation de vulnrabilit des logiciels serveurs
Intrusions :
Balayage de ports Elvation de privilges : ce type d'attaque consiste exploiter une vulnrabilit d'une application en envoyant une requte spcifique, non prvue par son concepteur, ayant pour effet un comportement anormal conduisant parfois un accs au systme avec les droits de l'application. Les attaques par dbordement de tampon (en anglais buffer overflow) utilisent ce principe.
Ingnierie sociale : Dans la majeure partie des cas le maillon faible est l'utilisateur lui-mme ! En effet c'est souvent lui qui, par mconnaissance ou par duperie, va ouvrir une brche dans le
systme, en donnant des informations (mot de passe par exemple) au pirate informatique ou en excutant une pice jointe. Ainsi, aucun dispositif de protection ne peut protger l'utilisateur contre les arnaques, seuls bon sens, raison et un peu d'information sur les diffrentes pratiques peuvent lui viter de tomber dans le pige !
Trappes : il s'agit d'une porte drobe (en anglais backdoor) dissimule dans un logiciel, permettant un accs ultrieur son concepteur.
Pour autant, les erreurs de programmation contenues dans les programmes sont habituellement corriges assez rapidement par leur concepteur ds lors que la vulnrabilit a t publie. Il appartient alors aux administrateurs (ou utilisateurs personnels avertis) de se tenir inform des mises jour des programmes qu'ils utilisent afin de limiter les risques d'attaques. D'autre part il existe un certain nombre de dispositifs (pare-feu, systmes de dtection d'intrusions,antivirus) permettant d'ajouter un niveau de scurisation supplmentaire.
Types d'attaques
On appelle attaque par dni de service toutes les actions ayant pour rsultat la mise hors-ligne d'un serveur. Techniquement, couper l'alimentation d'un serveur dans un but malfaisant peut-tre considr comme une attaque par dni de service. Dans les faits, les attaques par dni de service sont opres en saturant un des lments du serveur cibl. [modifier]Exploitation
machines
Une des attaques les plus courantes consistait envoyer un paquet ICMP de plus de 65 535 octets. Au dessus de cette limite, les piles IP ne savaient pas grer le paquet proprement, ce qui entrainait des erreurs de fragmentation UDP, ou encore les paquets TCP contenant des flags illgaux ou incompatibles.
Les piles actuelles rsistent ce type dattaques. Nanmoins, les dlais de traitement de ce genre de paquets restent plus longs que ceux ncessaires pour traiter les paquets lgitimes. Ainsi, il devient commun voire trivial de gnrer une consommation excessive de processeur(CPU) par la simple mission de plusieurs centaines de milliers danomalies par seconde, ce quun outil tel que hping3 permet en une uniqueligne de commande : [root@localhost root]# hping3 -SARFU -L 0 -M 0 -p 80 www.cible.com --flood
EX
Avec l'arrive du haut dbit et l'augmentation de la puissance des ordinateurs personnels, le potentiel d'attaque a t dcupl, mettant en vidence la faiblesse des installations dveloppes il y a plusieurs annes. Cette augmentation permet quasiment toutes les anomalies dtre lorigine dun dni de service, pourvu quelles soient gnres un rythme suffisamment important. Par exemple :
lusage des champs rservs de len-tte TCP le positionnement dun numro de squence daccus de rception dans un paquet SYN des paquets dont len-tte de couche 4 (TCP/UDP) est tronqu en dpit de checksums corrects
[modifier]Attaque
Une attaque SYN Flood est une attaque visant provoquer un dni de service en mettant un nombre important de demandes de synchronisation TCP incomplte avec un serveur. Quand un systme (client) tente d'tablir une connexion TCP vers un systme offrant un service (serveur), le client et le serveur changent une squence de messages. Le systme client commence par envoyer un message SYN au serveur. Le serveur reconnat ensuite le message en envoyant un SYN-ACK message au client. Le client finit alors dtablir la connexion en rpondant par un message ACK. La connexion entre le client et le serveur est alors ouverte, et le service de donnes spcifiques peut tre chang entre le client et le serveur. Voici une vue de ce flux de messages:
Serveur -------
SYN-ACK
ACK
Le risque d'abus se pose l'endroit o le systme de serveur a envoy un accus de rception (SYN-ACK) au client, mais ne reoit pas le message ACK. Le serveur construit dans sa mmoire systme une structure de donnes dcrivant toutes les connexions. Cette structure de donnes est de taille finie, et elle peut tre dborde en crant intentionnellement trop de connexions partiellement ouvertes. Crer des connexions semi-ouvertes saccomplit facilement avec l'IP spoofing. Le systme de l'agresseur envoie des messages SYN la machine victime; ceux-ci semblent tre lgitimes, mais font rfrence un systme client incapable de rpondre au message SYN-ACK. Cela signifie que le message ACK final ne sera jamais envoy au serveur victime. Normalement il y a un dlai d'attente associ une connexion entrante, les semi-connexions ouvertes vont expirer et le serveur victime pourra grer lattaque. Toutefois, le systme agresseur peut simplement continuer envoyer des paquets IP falsifie demandant de nouvelles connexions, plus rapides que le serveur victime. Dans la plupart des cas, la victime aura des difficults accepter toute nouvelle connexion rseau entrante. Dans ces cas, l'attaque n'affecte pas les connexions entrantes, ni la possibilit d'tablir des connexions rseau sortant. Toutefois, le systme peut saturer la mmoire, ce qui provoque un crash rendant le systme inoprant. [modifier]UDP
Flooding
Ce dni de service exploite le mode non connect du protocole UDP. Il cre un "UDP Packet Storm" (gnration dune grande quantit depaquets UDP) soit destination dune machine soit entre deux machines. Une telle attaque entre deux machines entrane une congestion du rseau ainsi quune saturation des ressources des deux htes victimes. La congestion est plus importante du fait que le trafic UDP est prioritaire sur le trafic TCP. En effet, le protocole TCP
possde un mcanisme de contrle de congestion, dans le cas o lacquittement dun paquet arrive aprs un long dlai, ce mcanisme adapte la frquence dmission des paquets TCP et le dbit diminue. Le protocole UDP ne possde pas ce mcanisme. Au bout dun certain temps, le trafic UDP occupe donc toute la bande passante, ne laissant quune infime partie au trafic TCP. Lexemple le plus connu dUDP Flooding est le Chargen Denial of Service Attack . La mise en pratique de cette attaque est simple, il suffit de faire communiquer le service chargen dune machine avec le service echo dune autre. Le premier gnre des caractres, tandis que le second se contente de rmettre les donnes quil reoit. Il suffit alors au cracker denvoyer des paquets UDP sur le port 19 (chargen) une des victimes en spoofant ladresse IP et le port source de lautre. Dans ce cas, le port source est le port UDP 7 (echo). LUDP Flooding entrane une saturation de la bande passante entre les deux machines, il peut donc neutraliser compltement un rseau. [modifier]Packet
Fragment
Les dnis de service de type Packet Fragment utilisent des faiblesses dans limplmentation de certaines piles TCP/IP au niveau de la dfragmentation IP (rassemblage des fragments IP). Une attaque connue utilisant ce principe est Teardrop. Loffset de fragmentation du second fragment est infrieur la taille du premier ainsi que loffset plus la taille du second. Cela revient dire que le deuxime fragment est contenu dans le premier (overlapping). Lors de la dfragmentation, certains systmes ne grent pas cette exception et cela entrane un dni de service. Il existe des variantes de cette attaque : bonk, boink et newtear. Le dni de service Ping of Death exploite une mauvaise gestion de la dfragmentation au niveau ICMP, en envoyant une quantit de donnes suprieure la taille maximum dun paquet IP. Ces diffrents dnis de services aboutissent un crash de la machine cible. [modifier]Smurfing Cette attaque utilise le protocole ICMP. Quand un ping (message ICMP ECHO) est envoy une adresse de broadcast (par exemple 10.255.255.255), celui-ci est dmultipli et envoy chacune des machines du rseau. Le principe de lattaque est de spoofer les paquets
ICMP ECHO REQUEST envoys en mettant comme adresse IP source celle de la cible. Le cracker envoie un flux continu de ping vers ladresse de broadcast dun rseau et toutes les machines rpondent alors par un message ICMP ECHO REPLY en direction de la cible. Le flux est alors multipli par le nombre dhte composant le rseau. Dans ce cas tout le rseau cible subit le dni de service, car lnorme quantit de trafic gnre par cette attaque entrane une congestion du rseau.
Types d'attaques.
Nombreuses ont t et sont encore les attaques informatiques. Nous en donnons un bref aperu, tries par cible d'attaque :
hardware : le hardware est un point d'attaque facile car il est visible. La liste des attaques humaines est sans fin, que ces dernires soient involontaires ("oops, mon coca sur le clavier") ou volontaires (vengeance).
software : le software peut tre dtruit, modifi, effac, dplac. Le rsultat est identique dans chaque cas, on perd l'accs au programme voulu. La modification est sans doute la pire des attaques car elle peut causer de dangereux troubles ultrieurs. Les bombes logiques, les chevaux des Troie, les virus sont diffrentes techniques de modification ayant chacune leur propres spcificits.
donnes : la confidentialit des donnes peut tre mise en dfaut par "mise sur coute", par simple requte, en droutant les appareils de sortie de donnes ... La modification des donnes est en gnral plus complique mettre en oeuvre car elle ncessite un plus grande connaissance technologique.
rseau : les rseaux ajoutent l'ensemble de la scurit le problme de la communication. L'utilisation de moyens de transports partags et les accs longue distance sont deux points cruciaux dont il faut tenir compte.
accs : l'utilisation abusive d'un accs peut dcouler sur des pertes de performances, des pertes commerciales, mais aussi des pertes de donnes.
personnel : n'oublions pas que l'humain reste un des points faibles en scurit. D'un simple mainteneur qui tombe malade l'employ qui touche une somme pour fournir un mot de passe, les causes d'infractions lies au personnel sont nombreuses.
Attaques passives Ces attaques ne sont pas vises la corruption des donnes ou des services sur votre ordinateur. Elles sont effectues pour obtenir l'information de votre ordinateur et estimer les moyens possibles d'intrusion distance:
o
Sniffing. C'est le moyen de l'coute clandestine des donnes transmises. Habituellement, il se produit lorsque les donnes elles-mmes sont envoyes en clair, l'quipement de rseau fonctionne en mode mixte, c'est-dire quand un priphrique rseau dcouvre tous les paquets de donnes qui le traverse, peu importe de quelle
source et destination sont les ordinateurs. Le sniffing est excut au moyen d'applications cres pour cela. o Balayage du port et de la vulnrabilit du systme d'exploitation. Gnralement, le balayage du port, c'est le moyen de dtection quels services d'un ordinateur distant du systme d'exploitation sont actifs et prts accepter des donnes et des commandes par les ports associs avec elles, c'est une recherche avant la dcouverte de la vulnrabilit. Le balayage de la vulnrabilit du systme d'exploitation vise savoir si un service avec son port ouvert a encore une vulnrabilit connue pour excuter un exploit1. Attaques actives Ces attaques visent pntrer distance dans votre ordinateur, en volant des donnes ou excutant des exploits afin de perturber le fonctionnement normal du systme d'exploitation:
o
Spoofing de l'adresse IP. Cela implique le changement ou la dformation de l'adresse IP d'un ordinateur partir duquel l'attaque est effectue. Il est particulirement dangereux dans les rseaux avec l'authentification base sur l'adresse IP. Attaques par dni de service (DoS). Une inondation massive contre un ordinateur concret est ralise pour puiser ses ressources et absorber la bande passante de rseau ce qui fait l'ordinateur inaccessibles pour d'autres ordinateurs via le rseau. Un type de l'attaque DoS fonde sur le spoofing est montr l'image ci-dessous:
cette image, un pirate informatique excute le ping (qui est utilis pour vrifier si un rseau de destination est
disponible) spcifiant l'adresse a.b.c.d, emprunt un autre ordinateur, comme l'adresse IP qui a lanc la commande (c'est--dire la source IP). En rponse la commande tous les ordinateurs du rseau de destination renvoient les paquets vers l'ordinateur vide avec l'adresse a.b.c.d confirmant ainsi leur accessibilit et en mme temps le surchargeant ce qui peut causer son plantage.
o
Attaques de navigateur. Les vulnrabilits des navigateurs sont rgulirement dcouvertes. Les trous du navigateur permettent un attaquant de dpasser les restrictions de scurit sur le contenu Web actif et de contourner les vrifications de la signature cryptographique. Par exemple, une vulnrabilit du navigateur peut provoquer l'installation d'un keylogger (un enregistreur de frappe) par un attaquant:
Attaques dtournes. Cela permet un attaquant d'accder un ordinateur distant en utilisant une mthode d'entre alternative. Habituellement les utilisateurs se connectent visage dcouvert, travers les crans de connexion avec les noms de compte utilisateur et mots de passe ou l'authentification base de jetons (par exemple, une carte puce). Les attaquants utilisent des moyens dtourns pour contourner ces composants de commande de scurit du systme qui agissent comme la porte d'entre. Ordinairement, le premier moyen dtourn est
prcde par la pntration dans un ordinateur en utilisant une fonctionnalit non documente ou la vulnrabilit du systme d'exploitation pas encore annonce, et puis quand un attaquant obtient l'accs un ordinateur distant, il installe un logiciel dtourn pour pntrer dans l'ordinateur distant maintes et maintes fois, mais en utilisant sa propre entre depuis lors et, par exemple, son invite de commande de donnes l'coute sur les ports et pour les rediriger o il veut. Attaques Rootkit. Ces attaques sont les plus dangereuses et assez difficiles dcouvrir. Aprs avoir pntr dans un ordinateur, un attaquant remplace les fichiers de systme par les fichiers modifis ou modifie directement le noyau du systme d'exploitation. Donc, tant cachs de cette faon, ils semblent tre comme les composantes habituelles du systme d'exploitation bien qu'ils ne soient pas tels, car ils servent aux besoins de l'attaquant. Regardez l'image qui montre comment un hacker utilisant un rootkit excutable le cache dans un dossier, tout son contenu et tout ce qui se passe dans ce rpertoire:
- Un exploit est un lment de programme permettant un individu d'exploiter une faille de scurit informatique dans un systme d'exploitation ou un logiciel.
des outils analysant les journaux des vnements (host-based). des outils de capture et d'analyse du trafic (network-based)
Attention
Le dploiement de ce type d'outils est primordial pour le bon fonctionnement d'un rseau. Il est galement indispensable de prendre en compte l'aspect juridique, contraignant l'utilisation de ces outils. Site de la CNIL.
Note
La CNIL ou (Commission Nationale de l'Information et des Liberts) prodigue en France des conseils en matire de surveillance de rseau :
transparence : Les utilisateurs doivent avoir connaissance de l'existence d'un processus de journalisation des accs externes,
ainsi que de la dure de conservation des fichiers de log correspondants. Proportionnalit : Il faut se demander pour quelle raison le processus de surveillance est mis en place. Si par exemple la journalisation des accs Web est mise en place pour des raisons de scurit, une analyse en volume pourra tre considre comme proportionne au but recherch. L'analyse du dtail des connexions de l'ensemble des sites contacts par une machine sera plus difficilement justifiable par rapport l'objectif. Cette analyse risque d'tre considre comme une intrusion dans la vie prive de l'utilisateur. Discussion collective : les mesures de surveillance doivent le plus largement possible tre approuves par les personnels ou leurs reprsentants. De plus, le fait de donnr la parole aux utilisateurs sur ce sujet est une garantie de leur adhsion la politique de scurit. C'est l un lment essentiel pour la bonne marche du systme, car une scurit mal comprise par les utilisateurs risque malheuresement d'tre contourne par ces derniers.
une utilisation simple. Ces personnes recherchent une gloire personnelle et ne font gure avanc la scurit informatique (quoique). Viennent par contre les hackers, souvent des dveloppeurs systme extrmement pointus dans leur domaine, qui prouvent la scurit des systmes afin d'tudier la scurit d'un systme ou la tester pour un collgue, client, ami ... afin de les protger contre une intrusion ultrieure. Ainsi, une fois s'y tre introduit, ils laissent le systme en l'tat et font remonter les failles utilises. Nous allons par la suite tenter de lister les principales familles d'attaques informatique.
Ensuite il est ncessaire de vrifier rgulirement les services l'coute sur votre systme. Plus d'infos.
systme distant sans spcifier de mot de passe. Ces commandes peuvent par exemple tre rlogin , rsh , rcp , rexec ... On comprend rapidement les failles de scurit que peuvent engendres ce type de solution. Les fichiers ncessaires pour cette configuration sont /etc/hosts.equiv et ~/.rhosts . La plupart des administrateurs dsactivent ce service et donne la possibilit d'accder certaines commandes par un accs scuris ssh. Avec ssh, il est galement possible de spcifier une authentification par cl publique / prive, l'aide d'une passphrase par dfaut, mais il est possible (et dconseill la plupart du temps) de ne pas en spcifier. L'utilisateur lors de la demande de connexion au serveur sshsera automatiquement authentifi. Ce fonctionnement est plutt simple mettre en oeuvre. La premire tape consiste en la gnration de la paire de cls. Ensuite l'aide d'un fichier local dans le rpertoire de l'uilisateur pour les environnements Linux, par exemple ~/.ssh/id_rsa , on spcifie notre cl prive. Sur le serveur, il suffit alors de configurer par le fichier /etc/ssh/sshd_config la possibilit de s'authentifier par cl publique / prive. Il ne reste plus qu' spcifier dans le rpertoire personnel de l'utilisateur sur le serveur dans un fichier ~/.ssh/autorized_keys sa cl publique. Pour une configuration complte de cette solution, reportez-vous ici : Authentification SSH par cl publique.
4.1.6. Spoofing
Le spoofing consiste usurper l'identit d'un utilisateur. Il peut se manifester sous la forme d'un courrier lectronique, sur le systme destinataire, provenir d'un utilisateur connu, ou plus dangereux sous la forme de paquets de donnes ressemblant des paquets provenants d'une machine de confiance. Pour pallier ce type d'attaque, il est possible de spcifier au noyau Linux la vrification des adresses sources. Pour cela il est nessaire de d'acitver par le fichier /etc/sysctl.conf le paramtre net/ipv4/conf/all/rp_filter=1. Cela a pour effet de vrifier au niveau du kernel linux, d'un mcanisme de validation de paquet permettant de dtecter qu'un paquet arrivant sur votre serveur est lgitime ou pas.
actifs. Une fois les matriels rcuprs, le pirate peut aisment rcuprer les donnes portant un intrt. Deux solutions ici sont videntes, l'une plus coteuse que l'autre. La scurisation des locaux par contrle d'accs permet la mise en place d'une solution idale. Elle permet de limiter l'accs certaines personnes dans le temps, et bnficie galement une traabilit efficace des diffrents passages. Le souci ici est la perte ou vol de cl, donc il est ncessaire de vrifier au pralable si le systme permet rapidement la rvocation d'une cl. Une autre solution est le chiffrement des donnes. Cette dernire n'empchera pas le vol mais conservera (du moins temporairement) la confidentialit des donnes.
4.2. RSSH
est un shell restreint qui s'utilise avec OpenSSH limitant l'utilisation des commandes scp et sftp . Son utilit rside dans le fait qu'il permet de restreindre l'utilisation d'OpenSSH aux commandes lies RDist , rsync , et des cvs . RDist est un programme open source qui permet de maintenir des copies d'arborescences identiques entre plusieurs machines. Il prserve les droits et dates de chaque fichier, s'il en a la possibilit.
RSSH
Par exemple, si un administrateur rseau possde un serveur accessible distance par des utilisateurs afin d'alimenter des fichiers et dossiers par scp , sans leur permettre l'accs au shell.
Attention
Il est important de possder la version rssh v2.3.2 , car cette dernire corrige un bug qui permettait d'accorder un utilisateur, possdant un accs shell sur l'hte, d'acqurir les droits root. (plus d'infos).
4.3. Les rootkits
Rsum
Un rootkit est un programme permettant une personne malveillante de s'approprier et maintenir un accs frauduleux un systme informatique. Le pr-requis du rootkit est une machine dj compromise. Source : Cours / liens web (cf ?)
4.3.1.2. Fonctionnement
Tripwire peut fonctionner de quatre manires diffrentes :
4.3.1.3. Configuration
Les fichiers utiliss par Tripwire sont :
L'utilisation de tripwire :
tripwire --init
permet une mise jour de la base de donnes aprs modification ou ajouts de fichiers.