asfws 2011 - malware: quelles limites pour les applications ebanking?
DESCRIPTION
Application Security Forum 2011 27.10.2011 - Yverdon-les-Bains (Switzerland) Speakers: Jean-Marc Bost et Sébastien BischofTRANSCRIPT
Quelles limites pour les applications de eBanking?
(Avez-vous peur des fantômes?)
présentation pour APPSEC
Sébastien Bischof
Application Security Forum
Western Switzerland
27 octobre 2011 - HEIGVD Yverdon-les-Bainshttp://appsec-forum.ch
Sébastien BischofJean-Marc Bost
27.10.2011
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Avez-vous peur des fantômes?
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 2
ETH(ical) Hacking sur SF1
4 5 6 7 8 9GC EZ NN 7W
Impossible de
l’OTP!
Impossible de dissocier les données de la transaction et l’OTP!
Selon la déclaration de spécialistes de l’EPF sur la sécurité de ****** e-banking: "Le système de ****** avec son lecteur de carte est à considérer comme sûr, parce qu’il exige une confirmation de transaction pour effectuer un virement vers un compte inconnu."
27.10.2011 Application Security Forum - Western Switzerland - 2011 3
L’ETH(ical) MITC = Man Inside The Computer
27.10.2011 Application Security Forum - Western Switzerland - 2011 4
Seule, la victime peut confirmer la transaction
Confirmation?
��
27.10.2011 Application Security Forum - Western Switzerland - 2011 5
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Avez-vous peur des fantômes?
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 6
L’infection par «troyens» est une réalité
Selon Microsoft, 5% des PC Windows sont infectés (source «Safety Scanner», May 2011)
Au moins 25%, selon Pandalab, avec une majorité de Troyens(source «ActiveScan», Q2 2011)
La Suisse affiche le 2ème taux d’infection le plus bas…… mais à presque 30%
“42 new malware strains created every minute»
… mais à presque 30%
Le troyen est plébiscité par les hackers
27.10.2011 Application Security Forum - Western Switzerland - 2011 7
Au début, il y a eu le MITM (Man In The Middle)…
MITM• site intermédiaire• pollution DNS• etc …
2006
• etc …
2007
27.10.2011 Application Security Forum - Western Switzerland - 2011 8
… puis le MITB (Malware In the Browser)…
MITB
2007
2008
MITB• Anserin• Mebroot• Silentbanker
27.10.2011 Application Security Forum - Western Switzerland - 2011 9
… puis le MI (Malware Inside)
MI• Zeus• Ares• SpyEye
2009
2011
27.10.2011 Application Security Forum - Western Switzerland - 2011 10
L’efficacité de Zeus et SpyEye en chiffres
– 2009: 1.5 Millions de Spam d’infection vers facebook
– Juin 2009: 74’000 comptes FTP détournés par Zeus
– 2010: au moins 6 millions de £ on été détournées par un gang de 19 personnes en Angleterre
– Oct. 2010: 70 millions US $ par Zeus– Oct. 2010: 70 millions US $ par Zeus
– 3.6 millions de PC infectés aux USA par Zeus
– 2011: 3,2 millions US $ détournés par un jeune russe en 6 mois avec Zeus et SpyEye
27.10.2011 Application Security Forum - Western Switzerland - 2011 11
Le eBanking n’est pas la seule cible
D’autres sites web peuventfaire l’objet de vols de:- mots de passe- adresses emails- cookies- cartes de crédit- …et même sans les cibler!
27.10.2011 Application Security Forum - Western Switzerland - 2011 12
Le eBanking n’est pas la seule cible
Google mail
Microsoft
McAfee
Jeu en ligne
Hot mailWindows live
27.10.2011 Application Security Forum - Western Switzerland - 2011 13
Le eBanking n’est pas la seule cible
Les copies d’écran et même les captures vidéos permettent de :
- espionner les claviers virtuelsvirtuels
- se tenir au courant des modifications
- espionner la vie privée
- …
toujours sans cibler un site particulier!
27.10.2011 Application Security Forum - Western Switzerland - 2011 14
Le eBanking n’est pas la seule cible
… et les connexions ftp
27.10.2011 Application Security Forum - Western Switzerland - 2011 15
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Avez-vous peur des fantômes?
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 16
MI = Man (ou Malware) Inside
27.10.2011 Application Security Forum - Western Switzerland - 2011 17
Une transaction dans un formulaire
27.10.2011 Application Security Forum - Western Switzerland - 2011 18
La transaction détournée par le MI
What You SignIsWhat You See ?
What You SignIsWhat You See
456 FRA 666 666
Not-)
Merci, parfait pour ma transaction! -)
456 FRA 666 666
27.10.2011 Application Security Forum - Western Switzerland - 2011 19
Ce qui devrait se passer…
GUIMemory
POST
CPT0123456789
TCP9876543210
5000
27.10.2011 Application Security Forum - Western Switzerland - 2011 20
POST
CPT0123456789
456FRA666666
5000
Ce qui se passe!
GUIMemory
27.10.2011 Application Security Forum - Western Switzerland - 2011 21
FORM
CPT0123456789
456FRA666666
5000
Ce qui devrait se passer…
GUIMemory
27.10.2011 Application Security Forum - Western Switzerland - 2011 22
FORM
CPT0123456789
456FRA666666
5000
Ce qui se passe!
GUIMemory
27.10.2011 Application Security Forum - Western Switzerland - 2011 23
Zeus contrôle le browser par injection
réponse
requête
DLL
Le malwarecontrôle le PC
MI DLL
27.10.2011 Application Security Forum - Western Switzerland - 2011 24
… et pas que le browser
Firefox
Firefox crash reporter
Mise à jour Java
27.10.2011 Application Security Forum - Western Switzerland - 2011 25
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Avez-vous peur des fantômes?
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 26
Une conception très « professionnelle »
Injection
Collection Configuration
Je suis:• Multifonctions• Configurable• Evolutif• Furtif
• Résilient
Commander & Controller
MaintenanceVictime
Le taux de détection de
SpyEye par les antivirus de
25% [abuse.ch]
27.10.2011 Application Security Forum - Western Switzerland - 2011 27
Il n’est pas toujours facile de les trouver
Propriétés d’un Rootkit:
� La furtivité
– Stabilité
– Pas de traces
� La persistance pour survivre aux redémarragesaux redémarrages
� La prise de contrôle d’un ordinateur
� Peut cacher ses canaux de communication
27.10.2011 Application Security Forum - Western Switzerland - 2011 28
Ils peuvent se manifester à tout momentVue globaleVue du disque
27.10.2011 Application Security Forum - Western Switzerland - 2011 29
Exemple: BootkitVue globaleVue du disque
Altération
Il existe des utilitaires pour flasher le bios depuis un système en cours d’exécution
27.10.2011 Application Security Forum - Western Switzerland - 2011 30
Et n’importe où!
� Le système travaille avec une représentation virtuelle du hardware sur lequel il est exécuté
� Les programmes exécutés se fient aux informations que leur donne le système.
Vision du système
� Et si l’on changeait la vision du système ?
Process1 Process2 Process
Représentation en mémoire
Réalité physique
27.10.2011 Application Security Forum - Western Switzerland - 2011 31
Exemple: DKOM
� Les processus sont représentés en mémoire par une structure (EPROCESS)
� DKOM peut, par exemple, cacher un processus de cette cacher un processus de cette liste(idem pour les autres ressources système)
Process1 Process2 ProcessProcess1 Process2
27.10.2011 Application Security Forum - Western Switzerland - 2011 32
Et si on les combinait ?
� Malware exécuté avant le système d’exploitation
� Le système peut être démarré avec le plus bas niveau de sécurité
� Les routines malicieuses sont démarrées avant le systèmeavant le système
� Le malware contrôle la vision du système
� Difficile à détecter et à s’en débarrasser
� Le système est littéralement hanté
27.10.2011 Application Security Forum - Western Switzerland - 2011 33
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Avez-vous peur des fantômes?
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 34
Démonstration
Token USB :– Lecteur de carte à puce intégré
– Authentification mutuelle
– Système de mises à jour
– …
+ browser intégré (safeBrowser):+ browser intégré (safeBrowser):– Évite les injections « à la Zeus » en
fournissant ses propres librairies
– Empêche l’exécution du browser normal et des librairies système correspondantes
Mais…
27.10.2011 Application Security Forum - Western Switzerland - 2011 35
FORM
CPT0123456789
456FRA666666
5000
Tunnel entre les 2 browsers MS API?safeBrowser
Browser du PC
Parsing output remoteThreadParsing output remoteThread
27.10.2011 Application Security Forum - Western Switzerland - 2011 36
POST
CPT0123456789
456FRA666666
5000
Tunnel entre les 2 browsers MS API?
Browser du PC
safeBrowser
Windows API remoteThreadWindows API remoteThread
27.10.2011 Application Security Forum - Western Switzerland - 2011 37
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Avez-vous peur des fantômes?
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 38
Une pincée de «Social Engineering» en plus
On peut faire faire ce qu’on veut si on contrôle la vision de l’internaute
27.10.2011 Application Security Forum - Western Switzerland - 2011 39
ZITMO = Zeus + “Social Engineering”(SPITMO avec SpyEye)
2008: OWASP recommande le SMS…the use of a second factor such as a mobile phone is an excellent low cost alternative…
…is actually stronger than most two factor authentication fobs…
…a single weakness in this model - mobile phone registration and updating
2010: Zeus attaque le SMS#2Origine
#1Numéro publique
Origine incertaine
#3Texte enclair
27.10.2011 Application Security Forum - Western Switzerland - 2011 40
Revenons aux conclusions de l’ETH(ical) hacking
4 5 6 7 8 9GC EZ NN 7W
Impossible de
l’OTP!
Impossible de dissocier les données de la transaction et l’OTP!
« Selon la déclaration de spécialistes de l’EPF sur la sécurité de ****** e-banking: "Le système de ****** avec son lecteur de carte est à considérer comme sûr, parce qu’il exige une confirmation de transaction pour effectuer un virement vers un compte inconnu." »
27.10.2011 Application Security Forum - Western Switzerland - 2011 41
Ce cas est-il à l’abris du «Social Engineering»?
4 5 6 7 8 9GC EZ NN 7W
!?
« Ne répondez en aucun cas à une demande de confirmation d’une série de numéros ou de signes – même si la demande semble provenir de ****** »
27.10.2011 Application Security Forum - Western Switzerland - 2011 42
Le compte à créditer est enregistré sous la référence 456 FRA 666 666 par la banque du destinataire.
Nous vous prions de rentrer les 6 derniers chiffres de ce numéro de référence dans votre calculette puis de rentrer le code de sécurité que vous obtenez ci-dessous pour définitivement valider votre transaction.
Probablement pas…
What You SignIsWhat You See
But…
« Ne répondez en aucun cas à une demande de confirmation d’une série de numéros ou de signes – même si la demande semble provenir de ****** »
27.10.2011 Application Security Forum - Western Switzerland - 2011 43
WYSIWYS or not WYSIWYSThat is the Question
27.10.2011 Application Security Forum - Western Switzerland - 2011 44
… des questions?
Pour nous contacter:
Lausanne I Zürich I Bern I Genf I London I Paris I Ho Chi Minh City
Jean-Marc Bost
Lausanne I Zürich I Bern I Genf I London I Paris I Ho Chi Minh City
Sébastien Bischof
SLIDES A TELECHARGER PROCHAINEMENT:
http://slideshare.net/ASF-WS
Explications de la démo - Architecture
27.10.2011 Application Security Forum - Western Switzerland - 2011 46
Exemple: SpyEye
� SpyEye est une boîte à outils– Avec un kit de génération de chevaux de Troie
– Et une interface de contrôle Web
� Mais il utilise aussi des mécanismes de rootkit.
• Pour se cacher– Il cache ses fichiers en altérant les fonctions du
système
• Pour persister– Il ajoute une entrée dans le registre
� Le taux de détection de SpyEye par les antivirus de 25% selon www.abuse.ch
27.10.2011 Application Security Forum - Western Switzerland - 2011 47
Ce qui devrait se passer…
Firefox du PCSafeBrowser
27.10.2011 Application Security Forum - Western Switzerland - 2011 48