LES ATTAQUES INFORMATIQUES

Les attaques informatiques

Introduction et historique

Les types dattaque

Catgories

Techniques

Introduction et historique

L'informatique et l'entreprise

A l'aube du 3me millnaire, toute entreprise, quelque soit sa taille, est informatise. Son informatique s'tend tous ses services : Production, Administration, Gestion, Recherche, Etc. Systme d'information communicant mise en rseau de ces services

L'informatique et l'entreprise

L'informatique est un outil utilis par : Le personnel sdentaire Rseau local (si un seul site) Rseau distant (si plusieurs sites) Le personnel itinrant Ouverture du rseau interne vers l'extrieur

Autant de risques pour les donnes

Mise en place d'une politique de scurit
5

La protection des donnes

La scurit des donnes se dfinit par :
La disponibilit
Offrir l'utilisateur un systme qui lui permette de continuer ses travaux en tout temps. Peut tre interrompue la suite d'un sinistre tel que la panne, la rupture physique du rseau, l'erreur, la malveillance, etc.

L'intgrit
Garantir la qualit de l'information dans le temps. Peut tre dtriore suite des erreurs telles que saisie d'information errone voire illicite, destruction partielle ou totale de l'information, etc.

La confidentialit
Se prmunir contre l'accs illicite l'information par des personnes non autorises. Peut tre pirate, dtourne, etc.

Actions des pirates

Simple accs au rseau, Destruction, dommages ou modification des donnes, Contrle du systme, en refusant l'accs aux utilisateurs privilgis, Gnration des messages dont le destinataire est le rseau pirat (spamming), Implmentation de procdures provocant la dfaillance, le r-amorage, l'immobilisation du rseau.
7

Statistiques
Selon Computer Security Institute, sur 520 sites interrogs en 1998 :
64% ont signals des violations de scurit, 25% ont souffert d'attaque par dni de service, 25% ont fait l'objet d'une intrusion distance, 54% ont indiqu qu'Internet constituait le point d'entre pour les intrus.

Selon un chercheur en scurit : Dan Farmer

Les sites, tests directement par le chercheur, sont ceux des banques, des organismes de crdit, etc. Plus de 65% des sites tests sont vulnrables aux attaques les plus connus,

Statistiques
De nombreuses cibles possdaient des pare-feu. Selon Ernst & Young : tude portant sur 4 000 directeurs informatiques interrogs sur une grande varit de points concernant la scurit Internet et le e-commerce scuris. 35% n'employaient pas de systmes de dtection d'intrusion, 50% ne surveillaient pas les connexions Internet, 60% ne possdaient aucune stratgie crite pour rpondre aux incidents de scurit.

Un peu de vocabulaire
coute passive
Rle du sniffer : vol de l'information, de mot de passe.

Substitution
Spoofing : trucage de la source (se faire passer pour un autre).

Cheval de Troie ( trojan )

Traitement frauduleux sous le couvert d'un programme autoris.

Dni de service
Rendre impossible l'accs un service en le neutralisant ou en le submergeant.

10

Un peu de vocabulaire
Bombe logique Tout programme qui provoque le plantage d'un systme (en gnral malveillant). Flood Un ou plusieurs outils qui permettent d'inonder la file d'attente de connexion d'un systme exploitant TCP/IP et provoquant ainsi un dni de service. Capture de frappe Utilitaire qui capture l'insu de l'utilisateur sa frappe ; utilis pour obtenir le nom et mot de passe d'un utilisateur.
11

Types dattaque

12

On distingue en gnral 4 types dattaque

13

Les diffrentes attaques possibles

Attaques sur les systmes :
-Touche lintgrit du systme, -Excution de processus non autoriss, -Exemple: Cheval de Troie

Attaques sur les protocoles de communication:

-Mne une intrusion -Exploiter les failles des protocoles (ICMP, UDP, etc.),

Les diffrentes attaques possibles

Attaques sur l'information :
-Propagation d'un virus dans l'entreprise, -coute des donnes changes sur le rseau, -Modification des donnes pendant leur transport,

Attaques sur les applications :

-Applications risque (DNS, SNMP, HTTP, NFS, FTP, SMTP, etc.), -Attaquer des applications connues (Oracle, Office),

Catgories

Les attaques directes

C'est la plus simple des attaques raliser : Le hacker attaque directement sa victime partir de son ordinateur Utilisation des scripts dattaques faiblement paramtrables les programmes de hack utiliss envoient directement les paquets la victime. IL est possible en gnral de remonter l'origine de l'attaque, identifiant par la mme occasion l'identit de l'attaquant.

Les attaques indirectes par rebond

Cette attaque est trs prise des hackers. Deux avantages du rebon : -Masquer l'identit (l'adresse IP) du hacker. -Utiliser les ressources de l'ordinateur intermdiaire car il est plus puissant pour attaquer.

Le principe est simple : -Les paquets d'attaque sont envoys l'ordinateur intermdiaire, qui rpercute l'attaque vers la victime. D'o le terme de rebond. Exemple : FTP Bounce,
Il n'est pas facile de remonter la source. Au plus simple, on peut remonter l'ordinateur intermdiaire.

Les attaques indirectes par rponse

-Cette attaque est un driv de l'attaque par rebond. -Elle offre les mme avantages, du point de vue du hacker. -Au lieu d'envoyer une attaque l'ordinateur intermdiaire pour qu'il la rpercute, l'attaquant va lui envoyer une requte. -Et c'est cette rponse la requte qui va tre envoye l'ordinateur victime.

Techniques

20

Typologie
Classification selon: Choix dimplmentation : buffer overflow, Ping of death, land, TCP syn, Teardrop Conception des protocoles : Smurf:, email (bombing, spamming), UDP-bombing, ftp bounce, prdiction des numros de squence de TCP, TCP connection killing Usurpation ou modification: sniffing, ARP spoofing, IP spoofing, TCP hijacking, email spoofing, dns cache poisonning, web spoofing

Bugs :
Volontaires (virus, cheval de troie ) Non volontaires (netscape server )

21

Attaques - Les choix d implmentations Ping of Death

Description

Effet :

Ping est bas sur icmp echo/reply Taille maximum d un paquet IP 65536 octets ICMP est encapsul par IP L attaque consiste gnrer des paquets ICMP de taille 65510 (8 octets pour le header icmp et 20 octets pour le header IP) Fragmentation la source, le rassemblage provoque le crash du buffer de l metteur Crash ou reboot de la machine.
software (patches).
22

Parade:

Attaques - Les choix d implmentations Teardrop

Les tailles de MTU diffrentes impliques la fragmentation des paquets Champ: identification, flags et fragment offset Attaque par altration du fragment offset

Effet: Crach de la machine. Parade : Patch.

23

Attaques - Les choix d implmentations Land

Forge des segments TCP syn avec l adresse source identique l adresse de la machine victime Effet : Crash de la machine. Parade: Software ou filtrage.

24

Attaques - Les choix d implmentations TCP SYN Flooding

L tablissement d une connexion s effectue par un three-way handshake

SYN x SYNy, ACKx+1

LISTEN SYN_RECVD

ACK y+1 CONNECTED

25

Attaques - Les choix d implmentations TCP SYN Flooding

Allocation des structures: inpcb, tcpcb. Attente dans l tat SYN_RECVD (75s). Nombre limit de connexions dans cet tat. Effet: Perte de connectivit Parade : Rduction du timer. Augmentation du nombre de connexions semiouvertes. Dsactivations des ports inutiles. Filtrage, et proxy.
26

Attaques - Les choix d implmentations Buffer Overflow

Attaques sur les OS multitches (unix, WNT) Pour obtenir des droits d accs privilgis Processus en excution avec les droits suid Processus en mmoire: zones (code ou texte, donnes, pile) La pile est allou de faon dynamique: variables locales et pointeur sur l adresse retour aprs excution Appel une fonction qui fait dborder la pile Adresse retour rcrite par ce procd

27

Attaques - Les choix d implmentations Buffer Overflow

Effet : Crash ou obtention d un accs privilgi. Parades: Vrification du remplissage des tampons. Modifications des programmes et des compilateurs (remplacement des fonctions vulnrables: copie et concatnation) Modification du noyau pour marquer la pile non excutable

28

Attaques Le design des protocoles

Saturation des ressources systmes : Emailbombing /spamming, Smurf. Saturation des ressources rseau : Smurf, UDPbombing.

29

Attaques - Le design des protocoles Email Bombing/Spamming

Envoi d un message rpt une mme adresse Spamming variante du bombing : le message est envoy des centaines ou milliers d adresses Falsification de l adresse d origine Effets : congestion du rseau crash du serveur de messagerie indisponibilit du serveur, des ressources physique, et de l entre syslog
Parades :

Supervision, filtrage, proxy

30

Attaques - Le design des protocoles Smurf

Envoi de ICMP echo vers une adresse broadcast dont l adresse source est celle de la victime Effet : Congestion du rseau intermdiaire et de la victime. Parades : Filtrage (au niveau des trois rseaux). OS: ne pas rpondre pour des adresses broadcast.
31

Attaques - Le design des protocoles UDP bombing Faire conserver deux ports qui gnrent du trafic (ex: chargen port 19, echo port 7) Mettre en relation le port 19 de la premire victime avec le port 7 de la deuxime victime
Effets : Si les deux ports sont sur la mme machine les performances de celle-ci se dgradent. Si les deux ports sont sur des machines diffrentes ceci provoque la congestion du rseau. Parades : Filtrage de tous les services sur UDP lexception du port 53 (DNS). Dsactiver tous les ports UDP inutiles.
32

Attaques - Le design des protocoles FTP bounce

Deux ports TCP l un pour les commandes et l autre pour les donnes La commande PORT n1,n2,n3,n4,n5,n6 de FTP dtournement des donnes en changeant les paramtres ni utilis pour contourner un firewall. Effets : Intrusion dans un rseau. Dtournement du filtrage. Parades : Bien tudier l usage des serveurs ftp. Architecture : isoler le serveur ftp . Software: contrler l usage de la commande PORT ( package wu-ftpd). Proxy : limine les codes ports ayant comme origine un service interne connu. Authentification forte.
33

Attaques - Le design des protocoles Prdiction des

numros de squence de TCP

Prdire le numro de squence initial. Etablissement d une connexion et mesure du RTT pour prdire l ISN. Substitution d une adresse reconnue.

Effet : Etablissement d une connexion non autorise. Parade : Implmentation (un espace de numro de squence spar pour chaque connexion). Authentification (IPsec).
34

Attaques - Le design des protocoles TCP connection killing

Envoi d un segment TCP avec le bit RST : possible uniquement si le numro de squence est connu.

Effet :
Perte de connectivit.

Parade :
Authentification (Ipsec).
35

Attaques - Les dtournements et interceptions

Ecoute du trafic (sniffing ou eavesdropping) Se faire passer pour interlocuteur lgitime aux niveaux: Liaison des donnes (ARP spoofing). Rseau (IP spoofing, TCP hijacking). Applicatif (email spoofing, DNS spoofing, web spoofing).

36

Attaques - Les dtournements et interceptions Sniffing ou eavesdropping

Ecoute indiscrte des donnes sur un rseau Sur le chemin des communicants Attaque passive, les informations recueillis peuvent servir pour une attaque active. Effet :

perte de confidentialit et donc d information sensible (mot de passe).

Parades : Chiffrement (Ipsec). Architecture de rseau.
37

Attaques - Les dtournements et interceptions ARP spoofing

Rpondre une trame ARP request Par une trame ARP reply avec une adresse MAC qui ne correspond pas l adresse IP. Possibilit de prendre en compte un ARP reply sans qui y ait eu auparavant de ARP request ARP est sans tat,l attaquant peu anticip sur les requtes. Effets : Perte de connectivit rseau. redirection du trafic.

38

Attaques - Les dtournements et interceptions ICMP redirect et destination unreable

Utilisation du message ICMP-redirect : Un pirate envoie une machine un ICMP-redirect lui indiquant un autre chemin suivre Utilisation du message ICMP-unreachable destination: Un pirate peut envoyer ce message vers une machine. La machine ne peut plus joindre ce rseau.

39

Attaques - Les dtournements et interceptions ICMP redirect et destination unreable

Effets : Perte de connectivit. Dni de service. Parades : Filtrage. authentification (Ipsec).

40

Attaques - Les dtournements et interceptions IP spoofing

IP spoofing correspond l usurpation d adresse IP se S par A vers D Dtournement du trafic si A n est pas sur le mme chemin entre S et D Ncessite de prdire le numro de squence Possibilit d utiliser : Le routage par la source. ICMP redirect. Protocole de routage RIP.
Effet : prendre les privilges de S. Parades : Configuration pour ICMP redirect et RIP Filtrage (source routing, adresse IP) Authentification (Ipsec)
41

Attaques - Les dtournements et interceptions TCP hijacking

Connexion TCP entre S et D A se substitue S Utilisation de plusieurs attaques : IP spoofing. ICMP redirect. TCP connection killing.

Effets : Dtournement d une communication autorise Contourne les protections d authentification forte de l utilisateur SKEY et Kerberos
Parade : Authentification (Ipsec)
42

Attaques - Les dtournements et interceptions Email spoofing

Absence d authentification Aucun mcanisme d authentification auprs des serveurs mails, de plus vous ne savez pas qui rellement vous crit Pas de garantie d intgrit de message Toute personne interceptant le message peut en modifier le contenu
Effets :

Usurpation d adresse (demande de changement d information sensible). cacher son identit pour une attaque.
43

Attaques - Les dtournements et interceptions Email spoofing

Parades :

Architecture (utiliser un firewall comme frontal) Empcher toute connexion directe sur le port SMTP par configuration du mail delivery deamon. Authentification (par signature : PGP, SSL, S/MIME).

44

Attaques - Les dtournements et interceptions DNS spoofing

Altrer directement les tables d un serveur de noms Communiquer de mauvaises cache poison ING.
Effets :

Dtourner le trafic vers l attaquant (applications sensibles : messagerie et web). Connexions illicites par applets.
Parades :

DNS sec une signature associe chaque entre. Pour les applets java vrifier les diffrents adresses.
45

Attaques - Les dtournements et interceptions Web spoofing

Attaque de type man in middle : le serveur de lattaquant dtourne les requtes HTTP de la victime La victime navigue dans un faux web Initialisation de l attaque: Lattaquant amne la victime visiter son site (par email ou par sa figuration dans une indexation d un moteur de recherche). La victime tlcharge un script java. Ce script java dtourne toutes les requtes de la victime vers l attaquant.

46

Attaques - Les dtournements et interceptions Web spoofing

Effets : surveillance de l activit de la victime, et vol de donnes altration des donnes, Parades : dsactivation de JavaScript proxy : repre et refuse des changes HTTP avec rcriture des URL

47

Systme D

Systme D ou "ingnierie sociale"

Terme utilis par les hackers pour une technique dintrusion sur un systme qui repose sur les points faibles des personnes qui sont en relation avec un systme informatique.
Piger les gens en leur faisant rvler leur mot de passe ou toute autre information qui pourrait compromettre la scurit du systme informatique. Deviner le mot de passe dun utilisateur. Les gens qui peuvent trouver des informations sur un utilisateur, peuvent utiliser ces informations pour deviner le mot de passe de ce dernier (le prnom de ses enfants, leur date de naissance ou bien encore la plaque dimmatriculation de sa voiture sont tout fait candidats tre des mots de passe).
48

MESURES PRATIQUES

49

Mesures pratiques

Mots de passe Sauvegardes Antivirus Ports ouverts Droits sur les serveurs ftp Scripts CGI SSL pour les donnes sensibles Restriction IP
50

LES ATTAQUES Merci pour votre attention INFORMATIQUES

51

Its not just about the visuals, but strengthening

Q&A

52