Más contenido relacionado
La actualidad más candente (19)
Similar a Comment les administrateurs de systèmes peuvent ils détecter les pirates informatiques (20)
Comment les administrateurs de systèmes peuvent ils détecter les pirates informatiques
- 2. Mise en contexte
Pourquoi perdons-nous la bataille?
• Les attaquants ont un net avantage sur nous:
o Ils ne suivent aucunes règles
o Nous oui…
o Ils ont une structure d’apprentissage différente
o Ils ont très peu ou aucun scrupule
• Plusieurs personnes croient que: conformité = sécurité
o C’est faux!
o Conformité et réglementation = Lignes directrices
o Ils sont une série d’objectifs
• Souvent, nous n'avons pas le temps de «connaître» nos
réseaux et systèmes
© 2010 Michel Cusin & SANS 2
- 3. Heartland
• Conforme à la norme PCI
• Plus de 130 millions de cartes de crédit compromises
• Averti par les compagnies de cartes de crédit
• Les pirates avaient des accès persistants à long terme
• Attaque possiblement via un point d’accès sans fil ouvert
• Conforme à la norme PCI !!!
• Actions en justice
© 2010 Michel Cusin & SANS 3
- 4. Exemple de logiciel malveillant
(Conficker)
• Ver dévastateur ayant infecté au-delà de 15M de machines
• Infection via MS08_067 (partage de fichiers et médias amovibles)
o Microsoft a désactivé la fonction “autorun”
• Système de défense très efficace
o Tente de désactiver l’AV à chaque seconde
o Bloque certaines requête DNS
o Désactive la mise à jour automatique
o Désactive le “safe mode”
• Capacité de se mettre à jour
• Utilise du chiffrement pour se cacher
• De plus en plus sofistiqué
© 2010 Michel Cusin & SANS 4
- 5. Donc…
• Nous sommes à la remorque des attaquants (désavantage)
• La conformité quoi que nécessaire, donne parfois un faux
sentiment de sécurité
• Les “malware” sont de plus en plus efficace et sophistiqué
• Mais que pouvons-nous faire !?
© 2010 Michel Cusin & SANS 5
- 6. Objectifs de la présentation
• Découvrir des outils et les techniques afin de mieux
connaître nos systèmes
o C’est le but de la sécurité
o C’est aussi très difficile à faire
• Vous aider à comprendre le point de vue de votre équipe
de sécurité
o Souvent, ils n’ont aucune idée
o Vous pouvez les “aider”
• Vous préparer à survivre aux audits et “test” de sécurité
• Vous apprendre quelques bons trucs qui vous aideront
dans vos tâches quotidiennes
• Vous faire peur!
© 2010 Michel Cusin & SANS 6
- 7. Ce qu’une architecture de
sécurité n’est pas
• Un diagramme réseau
• Une solution “universelle” réplicable partout (cookie cutter)
• Une collection de dispositifs de sécurité
o Détection d’intrusion (IDS, IPS)
o Coupe-feu (Firewall)
o Antivirus
• Quelque chose pour contenir une menace spécifique
• Article intéressant de Bruce Schneier sur le sujet
http://www.schneier.com/blog/archives/2006/10/architecture_an.html
© 2010 Michel Cusin & SANS 7
- 8. Ce qu’une architecture de
sécurité devrait être
• Structure ou organisation des éléments d’un ensemble
complexe.
• Un processus supportant les objectifs organisationnels
• Un processus orienté vers la compréhension et la visibilité
• Un processus qui oriente la conception
• Non basé sur un produit ou à un manufacturier spécifique
© 2010 Michel Cusin & SANS 8
- 9. Vous devez connaître votre réseau
• La sécurité se concentre trop souvent sur ce qui est
“mauvais”
• Nous devons nous concentrer sur ce qui est normal et sur
ce qui ne l’est pas
• Comment pouvons-nous identifier ce qui est anormal si
nous ne savons pas ce qui est normal?
• Quelques questions simples:
o Quels services sont requis?
o Quel trafic est généré à partir de mes systèmes?
o Ou mes utilisateurs vont-ils sur Internet?
© 2010 Michel Cusin & SANS 9
- 10. Si vous n’en avez pas besoin…
Désactivez-le!
• Plusieurs organisations se font “hacker” via des applications
ou des services dont ils ne connaissaient pas l’existence
o Serveur Web clandestin (rogue)
o Serveur FTP anonyme
o Serveur Windows 2000 clandestin et/ou pas à jour
• Le tout s’applique également aux applications côté client
o Quicktime
o Adobe Acrobat
o Word, Excel, etc…
© 2010 Michel Cusin & SANS 10
- 11. La sécurité en plusieurs couches
= sécurité en profondeur
• Plusieurs croient que le fait d’avoir des IDS, IPS, FW, AV
procure ou constitue une sécurité en profondeur
• C’est faux!
• C’est plutôt ce que nous appelons une sécurité de type
“poteau de métal”
o “J’espère que l’attaque sera bloquée par le poteau de métal“
• Tout dispositif de sécurité est contournable (et le sera!)
o IDS – Utilisation de SSL
o IPS – Fragmentation et encodage
o AV – UPX, Metasploit
o FW – Contournement à l’aide netcat
© 2010 Michel Cusin & SANS 11
- 12. Sécurité en profondeur
• La sécurité en profondeur ne réside pas dans le fait d’avoir
plusieurs technologies différentes, mais plutôt dans l’inter-
relation et dans la complémentarité qu’elles ont entre elles
• Un point de défaillance ne devrait pas permettre que le
réseau soit compromis en entier
• Par exemple:
o Le routeur ne permet que les ports 80, 443, 22
o Le coupe-feu ne permet que les mêmes ports et génère
une alerte pour tous les autres ports
o Le IDS vérifie pour les attaques dans le trafic (80, 443, 22)
et aussi pour autre trafic
© 2010 Michel Cusin & SANS 12
- 13. Segmentation
• Un facteur clé d’une défense en profondeur est la
segmentation réseau
• Le réseau tout entier n’est pas nécessairement
compromis si une portion ou une composante l’est
• Posez-vous les questions suivantes
o Est-ce que les postes de travail doivent absolument
se parler entre eux?
o Est-ce que vos systèmes de gestion doivent être
accessibles aux utilisateurs?
o Est-ce que le protocole STP doit être diffusé sur tous
les ports des commutateurs? -> www.yersinia.net
© 2010 Michel Cusin & SANS 13
- 14. Durcissement de système
(System Hardening)
• Les guides - Utilisez ce qui convient le plus à votre
environnement
o The Center For Internet Security (CIS)
o The National Security Agency (NSA)
o The Defense Information Systems Agency (DISA)
o National Institute of Standards and Technology (NIST)
• Bastille Linux (~30 paramètres)
o Désactivation SUID (programmes, mount, etc…)
o Restriction d’accès distant (root, tty, etc…)
o Désactivation de protocoles (r, telnet, FTP, etc…)
o Désinstallation du compilateur (GCC)
© 2010 Michel Cusin & SANS 14
- 15. Référence de base des systèmes
(System Baselines)
• Ce qu’il peut être utile de savoir
o Performance matérielle (Hardware)
o Utilisateurs et groupes
o Logiciels (installation/configuration)
o Paramètres et réglages de sécurité
o Membre – Domaine / Groupe de travail (workgroup)
o Partages
© 2010 Michel Cusin & SANS 15
- 16. Ce que vous ne savez pas
peut être dangereux
• Le vecteur d’attaque le plus utilisé dans votre
environnement est le fureteur Web
o Où sont les journaux de votre fureteur?
o À quoi ressemble une attaque?
o Comment les IDS réussiraient-ils à intercepter une
attaque sur du trafic SSL?
• Parfois notre sécurité technologique nous rend aveugles
o Avez-vous un IDS?
o Utilisez-vous SSL?
o Est-ce que votre IDS déchiffre le trafic SSL?
o Avez-vous une zone non couverte (blind spot)?
© 2010 Michel Cusin & SANS 16
- 17. Savoir ce qui est normal
Windows, Unix, Linux
• Quand un problème survient, il faut être prêt!
• Les références de bases ne servent pas uniquement à
rendre les gens de sécurité heureux
o Impressionnent les auditeurs
o Aident grandement lors du diagnostique de problème
o Peuvent permettre certaines automatisations
o Permettent d’effectuer une surveillance proactive
• Comprendre ce qui est normal permet de se concentrer
sur les “zones de problèmes”.
© 2010 Michel Cusin & SANS 17
- 18. Chercher ce qui est inhabituel
Windows – Cheat Sheet
• Commandes simple “C:>taskmgr.exe” ou “C:>tasklist”
• wmic process list full -> Référence de base des systèmes
• services.exe – Invoque le panneau de contrôle des services
• net start – Liste les services démarrés ou “sc query | more”
• dir c: - Chercher les gros fichiers (ex:15MB+)
• Clés de registre -> C:reg query
o HKLMSoftwareMicrosoftWindowsCurrentVersionRun
o HKLMSoftwareMicrosoftWindowsCurrentVersionRunonce
o HKLMSoftwareMicrosoftWindowsCurrentVersionRunonceEx
© 2010 Michel Cusin & SANS 18
- 19. Chercher ce qui est inhabituel
Windows – Cheat Sheet
• net view -> Voir le réseau
• net session -> Voir les sessions ouvertes vers votre système
• net use -> Voir les sessions ouvertes de votre système
• nbtstat -> Voir les sessions NetBIOS over TCP/IP
• netstat –nao 5 -> Affiche les ports TCP et UDP & PID (5 sec)
• netsh firewall show config
o netsh firewall set opmode disable
• schtasks – Affiche les tâches cédulées
© 2010 Michel Cusin & SANS 19
- 20. Chercher ce qui est inhabituel
Windows – Cheat Sheet
• msconfig
© 2010 Michel Cusin & SANS 20
- 21. Chercher ce qui est inhabituel
Unix, Linux – Cheat Sheet
• ps -aux -> Liste les processus
• lsof –p [pid] -> Liste les fichiers ouverts basé sur leur PID
• find / -uid 0 –perm -4000 -print -> Fichiers avec SUID 0
• find / -size +10000k –print -> Trouve des fichiers de taille X
• find / -name “ “ –print -> Trouve les fichiers avec les noms:
• (“...”, “..”, “.” et “ “)
• ip link | grep PROMISC -> Indication d’un “sniffer”
• “lsof –i” et “netstat –nap” -> Liste les ports ouverts
• arp –a -> Liste les associations des adresses MAC et IP
• grep :0: /etc/passwd -> Liste les comptes avec le UID 0
© 2010 Michel Cusin & SANS 21
- 22. Gestion des incidents
(six étapes)
• Un Incident constitue une déviation de la norme
• Les six étapes du processus de gestion des incidents
o 1) Péparation
o 2) Identification
o 3) Contenir
o 4) Éradiquer
o 5) Recouvrement
o 6) Leçon apprise
© 2010 Michel Cusin & SANS 22
- 23. Surveillance
(Monitoring)
• Le but de la surveillance est de détecter ce qui constitue
une déviation de la norme
o Principe qui s’applique à la sécurité
o S’applique également aux opérations
o Syslogs
• Les solutions “plug-and-play” ça n’existe pas
o Elles doivent être ajustées
o Il n’y a pas deux environnements identiques
• Il ne s’agit pas d’une question de sécurité uniquement
• Requis pour la plupart (ou tous) les standards d’audits
© 2010 Michel Cusin & SANS 23
- 24. Trafic réseau
• Tcpdump / windump
• Snort – IDS gratuit
• Ntop
o Interface Web – très graphique
o Comme “top” pour le trafic réseau
• Wireshark
o Sniffer et analyseur de protocoles
o Supporte ~500 protocoles
o Option “Follow TCP Stream” et plus…
o Utilisation facile des filtres
• Many times we don't have time to "know" our networks
and systems
© 2010 Michel Cusin & SANS 24
- 25. Nagios
• Gratuit – Logiciel libre
• Configuration simple via des scripts
o Plugins (services, utilisateurs, disques, proc, mémoire)
o Alertes (courriel, pagette, signaux de fumée ;-)
o Grande variété de plugins pour plus de possibilités
© 2010 Michel Cusin & SANS 25
- 27. Intégrité des fichiers
• Plusieurs attaques modifient des fichiers systèmes
critiques
• Les signatures uniques générées par des outils comme
AIDE et Tripwire sont modifiées
• Parfois difficile de cibler exactement ce qui a été modifié
• Les fichiers modifiés constituent un indice
• Les références de base des systèmes prennent alors
toute leur importance
© 2010 Michel Cusin & SANS 27
- 28. Quelques exemples d’outils pour
vérifier l’intégrité des fichiers
• Tripwire
o Produit commercial
o Windows, Linux, Solaris
• AIDE (Advanced Intrusion Detection Environment)
o Gratuit (en replacement de Tripwire)
o Versions modernes de *NIX
• OSSEC (Open Source Security)
o Gratuit
o Windows et Linux
© 2010 Michel Cusin & SANS 28
- 30. OSSIM
Open Source Security Information Management
• Relie Snort (IDS) et Nessus (Analyse de vulnérabilités)
• Osiris (HIDS)
• Intégration avec OSSEC
• Très orienté vers la détection des anomalies
o SPADE – Plugin d’anomalies réseau pour Snort
o NTOP – Historique d’utilisation réseau
o Algorithme de détection d’anomalie probable
© 2010 Michel Cusin & SANS 30
- 32. Conclusion
• Une architecture c’est plus que juste un design
• C’est un design et les processus le supportant
• Avoir des références pour nos systèmes et savoir ce qui
est normal est essentiel
• Plusieurs outils puissants sont disponibles pour les
administrateurs systèmes Utilisez les !!!
• Connaissez votre environnement
• Le pire temps pour se pratiquer est durant un incident
• Les outils ne sont que des outils. La sécurité repose sur
des gens et non sur des technologies.
© 2010 Michel Cusin & SANS 32
- 33. Formation - SANS
• SANS Security 564 - Hacker Detection for System Administrator
“Détection de pirates informatiques pour administrateurs de systèmes”
• Montréal 19 – 20 mai 2010
• Québec 16 – 17 juin 2010
• Info: http://cusin.ca ou michel@cusin.ca
© 2010 Michel Cusin & SANS 33