master sécurité des systèmes informatiques 2013 - 2014 · un système ou une application...
TRANSCRIPT
système d’information :
L’ensemble des moyens nécessaires à l’élaboration, au traitement, au stockage, à l’acheminement et à l’exploitation
des informations
SI représente un patrimoine essentiel de l’entreprise
la confidentialité et la disponibilité de l’information constitue un enjeu très important pour la compétitivité de l’entreprise
La sécurité du système d’information :
Ensemble de mesures de sécurité physique, logique, administrative et de mesures d'urgence, mises en place dans une organisation, en vue d'assurer:
• La confidentialité et l’intégrité des données de son système d'information
• La protection de ses biens informatiques
• la continuité de service
Les systèmes informatiques sont au cœur des systèmes d´information
Ils sont devenus la cible de ceux qui convoitent l’information
Assurer la sécurité de l’information implique l’assurance la sécurité des systèmes informatiques.
La sécurité informatique est la science qui permet de s’assurer que celui qui consulte ou modifie des données du système en a l’autorisation
Les principaux objectifs à garantir: Authentification : vérifier l’identité des personnes qui veulent manipuler l’information Confidentialité : L’information ne peut être connue que par les personnes autorisées Disponibilité : L’information doit être utilisable à la demande Intégrité : L’information ne doit pas être altérée ou détruite par accident ou malveillance Non répudiation : L’absence de possibilité de contestation d’une action une fois celle-ci est effectuée
Faille ou bug pouvant être utilisé pour obtenir un niveau d’accès illicite à une ressource d’informations ou des privilèges supérieurs à ceux considérés comme normaux pour cette ressource
La vulnérabilité caractérise les composants du système(matériel, logiciel, les règles, les procédures, personnel) susceptibles d’être attaquées avec succès
Une vulnérabilité est exploitée par une menace pour causer une perte
Exemples de vulnérabilités : Utilisation des mots de passe non robustes Présence de comptes non protégés par mot de passe
La sécurité est cher et difficile: Les organisations n’ont pas de budget pour ça
La sécurité ne peut être sûr à 100%, elle est même souvent inefficace
La politique de sécurité est complexe et basée sur des jugements humains
Les organisations acceptent de courir le risque, la sécurité n’est pas une priorité
De nouvelles technologies (et donc vulnérabilités) émergent en permanence
Les systèmes de sécurité sont faits, gérés et configurés par des hommes
…
accidentelles Intentionnelles
Panne disque
Chute de tension
Echange des disquettes infectée
…
Le vol
L’écoute
La fouille …
Les attaques d’accès
Les attaques de modification
Les attaques par saturation (Déni de service)
Les attaques de répudiation
Attaque = cible + méthode + Vulnérabilités
Ingénierie sociale : L’attaquant établit des relations avec le personnel pour obtenir des informations sur les mots de passe, La topologie du réseau,…
Portes dérobées (backdoors) : injecter un code dans la cible pour l’exploiter plus tard
Sniffing : L’attaquant se met à l’écoute sur le réseau pour obtenir des informations
…
Virus: un programme caché dans un autre qui peut s’exécuter et se reproduire en infectant d’autres programmes ou d’autres ordinateurs
Ver: un programme qui se copie lui-même mais qui n’affecte pas d’autres fichiers relâcher un ver dans internet permet de ralentir le trafic
Bombe logique: un programme qui se déclenche à une date ou à un instant donnée
Macro virus: Ils sont insérés dans certains fichiers d’extensions doc, xls, ppt…et ils donnent la possibilité d’exécuter de petits programmes spécifiques sur le document qui les contient
cheval de Troie: est un programme qui lui est un ver ou autre type de programme aux effets pervers
…
Le flooding: Envoyer à une machine de nombreux paquets IP de grosse taille. La machine cible ne pourra pas traiter tous les paquets et finira par se déconnecter du réseau.
Le smurf: S’appuie sur le ping et les serveurs de broadcast. On falsifie d’abord son adresse IP pour se faire passer pour la machine cible
Le débordement de tampon: On envoie à la machine cible des données d’une taille supérieure à la capacité d’un paquet. Celui-ci sera alors fractionné pour l’envoi et rassemblé par la machine cible il y aura débordement des variables internes.
…
Le IP spoofing: se faire passer pour une autre machine en falsifiant son adresse IP (Elle est en fait assez complexe)
Attaque passive : c’est la moins dangereuse
Ne modifie pas l’information
Consultation de l’information
Attaque active : ce type d’attaque est dangereux
Modifie l’état d’une information, d’un serveur ou d’une communication
Connexion frauduleuse à un host ou un réseau
Altération des messages en transit sur un réseau (Denis de service)
Risque • Fonction de la menace et de la vulnérabilité • Caractérisé par une probabilité et un impact
Risque pays Risque de taux Risque de crédit Risque de vol Risque d’approvisionnement Risque de change Risque social Risque environnemental Risque fiscal : Rq : fraude fiscale. Le risque fiscal est sous-
estimé Risque d’exploitation Risque de catastrophe, séisme 2001 Risque stratégique Risque d’intrusion
Stratégie ◦ Définition et qualification des risques ◦ Stratégie d’audit
Evaluation des vulnérabilités ◦ Evaluation de vulnérabilités ◦ Plan d’action
Moyens de protection ◦ Mise en oeuvre des moyens de protection ◦ Plan de communication et de formation
Actions de suivi ◦ Mesure de la conformité ◦ Plan d’audit
Définition et qualification des risques :
Identifier l’ensemble des risques ◦ Inhérents à l’activité et au secteur
◦ Propres à l’organisation
◦ Etablir une classification (par impact, …)
◦ Obtenir la validation de la Direction Générale
Elaboration de la stratégie d’audit :
Concevoir une charte d’audit
Attribuer les responsabilités
Allouer les ressources
Evaluation des vulnérabilités : définir les outils et les moyens d’investigation évaluer les dispositifs en place ◦ détection et prévention ◦ protection ◦ transfert
établir la cartographie du risque résiduel Conception du plan d’actions : objectifs claires et mesurables ◦ Rq : plus il est simple, plus il marcherait mieux.
responsabilités et moyens identifiés ◦ Rq : avant tout (càd les moyens de sécurités), la gestion des
risques est une mise en place d’une politique de démarches de contrôle.
Mise en oeuvre opérationnelle : conception et déploiement des solutions ◦ mode projet incluant les opérationnels ◦ mesure d’efficacité ◦ respect des moyens alloués
intégration dans les processus existant : Communication et formation :
diffuser les référentiels ◦ Rq : « comment on mesure et classer les risques ? »
intégrer la gestion du risque dans les objectifs individuels
Ensemble de règles spécifiant: ◦ Comment les ressources sont gérées afin de satisfaire
les exigences de la sécurité
◦ Quels sont les actions permises et les actions interdites
Objectif: Empêcher les violations de sécurité telles que: accès non autorisé, perte de données, interruption de services, etc
Implémentation: Partiellement automatisée, mais toutes les personnes sont impliquées.
Domaine d’application: Elle doit fixer l’ensemble du personnel qui doit la respecter et l’appliquer
Domaine de responsabilité: administrateur système, …
Définit les règles pour : La gestion des mots de passe L’authentification des utilisateurs Le contrôle d’accès (réseau et système) L’architecture du réseau La sécurité du personnel (formation, …) La sécurité physique …
L’audit est l’examen d’une situation, d’un système d’informations, d’une organisation pour porter un jugement
C’est la comparaison entre ce qui est observé et ce que cela devrait être, selon un système de références.
l’audit informatique apporte :
◦ Un conseil en organisation fourni par des
spécialistes extérieurs
◦ Le moyen d’accompagner et de justifier la mise en
place de nouvelles structures ou de nouvelles méthodes
l’audit informatique concerne :
Les aspects stratégiques : conception et
planification de la mise en œuvre du système d’informations
L’environnement et l’organisation générale de la gestion de l’informatique
Les activités courantes de gestion de l’informatique
Les ressources informatiques mises en service
Les applications informatiques en service
La sécurité
Mission ◦ Évaluer
L’infrastructure informatique ;
Une application informatique ;
Un système ou une application informatique en cours e réalisation;
Livrable ◦ Rapport contenant les failles et les faiblesses
découvertes ;
◦ Mesures proposées pour réduire et contrôler les risques.
L’auditeur informatique peut disposer de deux types d’outils importants dans le cadre de son activité : ◦ Les méthodes d’analyse des risques informatiques
◦ Les progiciels d’audit
Test d’intrusion, test de pénétration
Simulation d’attaque par des spécialistes de la sécurité informatique
Conditions réelles (attaquants), sauf traitement des données collectées (restituées au client)
Utilisation couplée de techniques automatiques et manuelles
Prise
d’informations
Cartographie du
réseau
Identification des
systèmes
Identification des
droits d’accès
Identification des
vulnérabilités
Recherche des
exploits
Exploitation des
vulnérabilités
Backdooring
des systèmes
Attaque du
réseau interne
Prise de
contrôle
du
réseau
Les phases d’un pentest sont identiques aux phases d’une intrusion
1 2 3 4
Passer outre les croyances : ◦ La bande passante est infinie
◦ Le réseau est sûr
◦ La topologie ne change pas
◦ Il n’y a qu’un administrateur
◦ Le réseau est homogène
◦ Il faut faire confiance au réseau
(d’après Peter Deutsch, Cisco Systems)
Met en évidence le risque que peut subir un S.I. vis-à-vis de toutes les menaces actuelles : ◦ Vers ◦ Virus ◦ Collaborateurs (inconscients ou malveillants) ◦ Anciens collaborateurs ◦ Hackers ◦ Pirates ◦ Script-kiddies ◦ Concurrents ◦ Partenaires ◦ …
Démonstratif (beaucoup plus qu’un audit technique !) ◦ Détails concrets (ex : emails interceptés…) ◦ Propice à la sensibilisation (favorise la hausse des
budgets sécurité !)
Rapide Peu coûteux si ciblé Peut permettre d’évaluer les capacités de
détection et de réactions des services informatiques concernés (réactions et au bout de combien de temps ?)
Sert à vérifier qu’un niveau de sécurité est atteint ou non, mais ne sert pas à le définir (manque d’exhaustivité du test)
À faire régulièrement À faire dans un but précis (verification d’une
politique) Un réseau ne cesse d’évoluer : ◦ Ajouts de services réseaux, machines ◦ Suppression de services, machines ◦ Utilisateurs modifient le réseau sans prévenir les
administrateurs
Selon le contexte et le périmètre : ◦ Attaques sociales (déclencher une action humaine
qui abaissera le niveau de sécurité)
◦ Attaques serveurs
◦ Attaques clientes
◦ Attaques réseau
◦ Dénis de service
◦ Réseaux auxiliaires (téléphone : PABX, Wi-Fi, tiers de confiances (partenaires B2B))
En accord avec le client : ◦ Attaques sociales (déclencher une action humaine
qui abaissera le niveau de sécurité) : e-mails, téléphone, IM
◦ Installation d’une backdoor/cheval de Troie -> prise de contrôle de l’extérieur (pièce jointe dans un mail, page web piégée)
Permettent de comprendre qu’est-ce qui pourrait se passer en cas de succès d’une intrusion externe
Ou ce qu’un collaborateur (employé lambda) ou ancien collaborateur pourrait faire depuis un poste de travail banal (2/3 des attaques)
Minimiser les tests dangereux (ceux qui engendrent des dénis de service notamment)
Tests en périodes creuses (midi & soir)
Étroite collaboration avec un responsable opérationnel tout au long de la procédure pour pouvoir réagir rapidement en cas de problème
Respect des règles d’éthique et déontologie
Procédures normées et reproductibles
Durée de l’intervention pas forcément proportionnelle à la taille du parc à auditer
Côter en fonction du nombre de profils différents de machines (environ 1 journée/profil + temps de rédaction du rapport)
Documents présentant : ◦ Plan du rapport d’audit
◦ Type d’audit
◦ Portée/Périmètre
◦ Types de tests autorisés
◦ Dates et horaires d’intervention
◦ Autorisations & décharge à signer par le client
◦ Résultats attendus
◦ Méthodes/outils utilisés
◦ CV des intervenants
Périmètre réseau à explorer (interne uniquement, externe aussi, prestataires autorisés…)
Types de tests autorisés (DoS) ?
Attaques par social engineering (téléphone, mail, fax, messagerie instantanée…) ?
Test démonstratif mais non exhaustif (préférer un audit technique)
Les résultats dépendent beaucoup du périmètre et des règles fixés
Sur chaque cible : ◦ Identification / prise d’informations
◦ Tentative d’attaque
◦ Analyse de la réponse
◦ Ajustement de l’attaque
→ Procédure Itérative
Plan d’adressage
Réseaux / sous-réseaux
OS et architectures
Services et version
Les adresses IP peuvent changer en cours d’audit si l’adressage est en DHCP (repérer les machines par adresse MAC ou fingerprinting système/applicatif)
!
Différents types : ◦ Prise d’info indirecte (pas d’interaction directe avec
la cible, furtif, moins précis)
◦ Prise d’info directe (interaction avec la cible)
Bases whois
Newsgroups
Moteur de recherche
Social engineering
Site officiel
Annuaires : Pages jaunes, societe.com, …
Si une vulnérabilité permettant l’exécution de code est trouvée, utilisation de l’exploit adéquat
Cracking local / distant de mot de passe possible
L’accès est rarement administrateur du premier coup, il faut ensuite passer par une phase d’élévation de privilèges (exploitation d’une 2ème faille, dite faille locale)
Le but est de pouvoir revenir sur le système pendant l’audit même si les vulnérabilités originelles sont colmatées
Installation de backdoors (applicatif) ou rootkits (système)
→ Introduction d’une « faille » artificielle
Logs systèmes : ◦ /var/log ou syslog (Linux)
◦ Journal d’événements (Windows)
Logs applicatifs
Logs firewall
Logs IDS (évasion d’IDS utile)
Site web de l’entreprise !
Moteur de recherche web ou newsgroups (Google) avec : ◦ Nom de l’entreprise
◦ Nom de personnes
◦ Ou combinaison de termes de recherche (ex : nom équipement + nom de l’entreprise, « Routeur EDF »)
De nombreux administrateurs posent des questions techniques sur internet !
Manière facile et discrète pour trouver : ◦ Des noms/mails/logins d’employés
◦ Des équipements utilisés
◦ Des configurations déployées (même parfois des mots de passe…)
Whois sur le domaine (http://onlinewhois.org/):
◦ Adresses physiques
◦ Noms de personnes
◦ Numéros de téléphone / fax
◦ E-mails
Informations très utiles pour les attaques par social engineering !
+ adresses des serveurs DNS (intéressant si non mutualisés)
domain: SYSDREAM.COM
owner-name: Sysdream
owner-address: 4 impasse de la gendarmerie
owner-address: 93400
owner-address: Saint ouen
owner-address: France
admin-c: PP1030-GANDI
tech-c: PP1030-GANDI
bill-c: PP1030-GANDI
nserver: a.dns.gandi.net 217.70.179.40
nserver: b.dns.gandi.net 217.70.184.40
nserver: c.dns.gandi.net 217.70.182.20
reg_created: 2003-09-16 11:52:59
expires: 2008-09-16 15:52:59
created: 2003-09-16 17:53:01
changed: 2007-07-24 17:12:00
person: paulo pinto
Nic-hdl: PP1030-GANDI
Address: Sysdrem
Address: 4 impasse de la gendarmerie
Address: 93400
Address: Saint ouen
Address: France
Phone: +33.140100541
E-mail: [email protected]
Lastupdated: 2007-01-02 22:35:20
Whois sur les IP trouvées:
◦ Plages d’adresses réservées
→ Plan d’adressage externe
◦ Prestataires d’hébergement
$ host www.edf.fr
www.edf.fr is an alias for clwwwlbn.edf.fr.
clwwwlbn.edf.fr has address 217.19.57.206
$ whois 217.19.57.206
inetnum: 217.19.57.192 – 217.19.57.255
netname: EDF
Transfert de zone : ◦ Principe : se faire passer pour un serveur DNS
secondaire du domaine et demander une copie des entrées au serveur DNS primaire
→ Récupération des noms & IP des serveurs
(plan d’adressage externe ou interne)
Transfert de zone : ◦ Après avoir trouvé le DNS primaire (whois), utiliser
nslookup (Windows) ou host (Linux) pour demander le transfert de zone sur une zone précise :
Nslookup
> server ns.domaine.com
> ls –d domaine.com
host –l domaine.com ns.domaine.com
Nmap (fingerprinting actif) : ◦ Fingerprinting système :
Nmap –O 192.168.0.1
◦ Fingerprinting applicatif (grab de bannières) & système :
Nmap –A 192.168.0.1
Xprobe2 (fingerprinting actif) : ◦ Bien plus précis que nmap mais nécessite la
connaissance (???) d’un port ouvert et d’un port fermé
◦ Xprobe2 –p tcp:80:open –p tcp:81:closed 192.168.0.1
P0f (fingerprinting passif) :
◦ Fingerprinting des clients :
p0f
◦ Fingerprinting des serveurs :
P0f -A
#p0f –A
p0f: listening (SYN+ACK) on ‘eth0’, 57 sigs (1 generic), rule: ‘all’.
212.27.33.225:80 – Linux recent 2.4 (1) (up: 600 hrs)
-> 192.168.0.4:34488 (distance 14, link: ethernet/modem)
SNMP : ◦ Solarwinds SNMP
Winfingerprint : ◦ Informations & partages Netbios (notamment Null
Sessions)
Traceroute Sniffeurs : ◦ tcpdump ◦ wireshark/ethereal ◦ dsniff ◦ Cain
Forgeur de paquets / Fuzzing : ◦ Packet Excalibur ◦ scapy ◦ nemesis ◦ hping
DOS ◦ arp -sk
Redirection de trafic : ◦ ARP : arpspoof/ettercap ◦ DNS : denver
MITM ◦ ssharp ◦ Achille
Tunneling icmptunnel httptunnel
Dump de passwords ◦ Pwdump/samdump/bkhive
Crackeurs de passwords ◦ Ophcrack / LC5
◦ Pwl Tools
◦ John the ripper
◦ brutus
Keyloggers ◦ Invisible Keylogger
Très grand nombre de scanners automatiques plus ou moins spécifiques : ◦ Nessus
◦ Core Impact
◦ ISS Internet Scanner
◦ Eeye Retina
◦ Qualys
◦ …
Avantages : ◦ Entièrement automatiques :
Quasiment aucune intervention humaine
(installation, configuration & génération de rapports aisées)
◦ Détectent :
Les vieilles versions des services
Les défauts flagrants de configuration
Les mots de passe par défaut utilisés
Les protocoles non chiffrés
Inconvénients : ◦ Ne détectent que 25% des vulnérabilités effectives
(vulnérabilités applicatives mal détectées)
◦ Nombreux faux positifs (> 30%)
◦ Dangereux en détection de DoS
◦ Nécessitent le déploiement de plusieurs sondes sur des réseaux très segmentés / firewallés
Conclusion : ◦ Utiles pour le « débroussaillage » mais très loin
d’être suffisants
Niveau de risque ou niveau de sécurité fonction de : ◦ Impact
◦ Potentialité
◦ criticité
Dans les faits, impact et criticité sont à rapprocher
L’impact d’une vulnérabilité se mesure habituellement (méthode C.I.A) en termes de : ◦ Confidentialité
◦ Intégrité
◦ Disponibilité
Exemples : ◦ Déni de service : D
◦ Faille XSS : C+I
◦ Buffer overflow : C+I+D
Potentialité : ◦ Probabilité d’une exploitation de la vulnérabilité
◦ Dépend des sources de menaces et du niveau d’accessibilité de la vulnérabilité
Pour chaque vulnérabilité, évaluer sa criticité :
Critique
Important
Moyen
Mineur
Problème critique permettant de rapidement prendre le contrôle du système.
Problème pouvant être la cause d’une intrusion, mais difficilement exploitable.
Problème pouvant être indirectement la source d’une intrusion.
Problème sans conséquence directe pour la sécurité du système mais pouvant fournir des informations techniques.
Niveau 1
Niveau 2
Niveau 3
Niveau 4
Résumé au niveau système du niveau de sécurité, en fonction de : ◦ La criticité des
vulnérabilité
◦ L’accessibilité des vulnérabilités
◦ Le niveau de menace sur l’environnement du système
Aucun.
Faible.
Moyen.
Bon.
Au moins 6 parties à développer :
◦ Objectifs de l’audit
◦ Guide opérationnel
◦ Synthèse générale
◦ Analyse globale
◦ Analyse des vulnérabilités
◦ Recommandations
1. Objectifs de l’audit :
◦ Contexte de l’audit
◦ But de l’audit
◦ Type de pentest : interne/externe
◦ Expliciter le niveau de sécurité attendu ou la politique de sécurité à vérifier
2. Guide opérationnel : ◦ « Guide de lecture » du rapport
Expliquer le plan du rapport, à quel lectorat sont destinées les différentes parties
Détailler les abréviations, le vocabulaire spécifique employé, les niveaux de criticité/risque utilisés
◦ Rappeler le périmètre (au sens large) de l’audit
3. Synthèse générale : ◦ Synthèse non technique comprenant :
Les points forts
Les points à améliorer
L’analyse générale du niveau de sécurité
Une conclusion générale
→ Partie à destination des décideurs !
F…
Applicati
on
SystèmeWeb
Réseaux
Niveau de sécurité global : ◦ Catégorisation des
niveaux de sécurité
◦ Critères évalués entre 0 (sécurité nulle) et 5 (bonne sécurité)
4. Analyse globale : ◦ Informations réseaux générales (liste des réseaux,
plans d’adressage, niveau de sécurité agrégé par plage), schémas réseaux
◦ Énumération des systèmes détectés (détails (marque, modèle, OS, …) + niveau de sécurité agrégé par système)
◦ Énumération des services par systèmes (description et criticité des vulnérabilités)
◦ Séparer clients/serveurs/équipements réseaux
5. Analyse des vulnérabilités : ◦ Fuite d’informations publiques & techniques
◦ Vulnérabilités listées exhaustivement et détaillées techniquement (références CVE si possible)
◦ Méthodologie d’exploitation
◦ Recommandations :
Mise à jour
Patch
Changement de configuration
Règles réseaux
…
6. Recommandations : ◦ Recommandations génériques et générales
◦ Listing des correctifs importants
(20% des vulnérabilités induisent beaucoup plus de 80% du risque)
Rapport très technique mais fournir un second rapport ou chapitre pour les décideurs (par exemple sous forme de tableau de bord)
Comparer le niveau de sécurité attendu (politique sécurité + sécurité liée à l’activité) à la sécurité constatée et en discuter avec le commanditaire de l’audit
Recommandations : ◦ Si possible donner des indications de coûts ou de
moyens à mettre en œuvre pour les appliquer
◦ Leur donner des priorités, puis les ordonner (la sécurité n’est qu’une question de compromis budgétaire)