130 likes | 210 Views
EUROSEC 2005. Evolution des dénis de services et du phishing v1.1. Nicolas FISCHBACH Senior Manager, Network Engineering Security, COLT Telecom nico@securite.org - http://www.securite.org/nico/. Agenda. EUROSEC 2005. Introduction Cycle de vie d’une vulnérabilité
E N D
EUROSEC 2005 Evolution des dénis de services et du phishing v1.1 Nicolas FISCHBACH Senior Manager, Network Engineering Security, COLT Telecom nico@securite.org - http://www.securite.org/nico/
Agenda EUROSEC 2005 • Introduction • Cycle de vie d’une vulnérabilité • Les dénis de services • Les “botnets” • Le phishing • Les acteurs • Conclusion 2
Cycle de vie “Victims” EUROSEC 2005 since 2004 since 2003 “Proof of Concept” Automated “Noise” 2002 and before Exploit Time PoC + Exploit + Worm ? Cross-platform/ extended research Patch available Patch deployed Full/fixed patch Vulnerability found Vulnerability “found” again Disclosure “bad patch” 3
Exemple de DDoS EUROSEC 2005 • Environ 3Gb/s de bande passante • Destination: un hôte, 0/udp 4
Exemple de DDoS EUROSEC 2005 • Sur 4 mois: 21962 anomalies détectées • 5302 High (anomalies traitées) • 15513 Medium • 1147 Low • Par jour: • ~40 anomalies sont affichées au NMC/NOC • Une partie est composée de doublons et de faux positifs • En moyenne 20 attaques par jour • Un tiers/quart a un impact “important” chez un client 5
Botnet EUROSEC 2005 ircd/p2p internet canal de communication et de contrôle attaque hôte dns 6
Botnet irc/p2p EUROSEC 2005 Victime(s) Agent maître Attaquant Ensemble d’agents esclaves Hôte compromis Tiers non impliqués 7
Botnet EUROSEC 2005 • Quelques chiffres: • Environ 600 réseaux “surveillés et connus” • Estimation: 2000 à 5000 réseaux • De 100 a 5000 agents en moyenne • Rarement plus de 10000 agents • Prix: de moins de 0.10EUR à plus de 40EUR par agent • Mono-infection courante (mais des cas de multi-infection se voient toujours) • Puissance de feu moyenne par agent: de 128 à 256Kb/s • Serveur IRC modifiés et utilisation de dyndns-like • Partage d’empreintes d’attaques 8
Phishing EUROSEC 2005 • Activité en plein boom • Anglophone en majorité • Serveurs “piratés” • Exploitation directe • Réseau • Application web • Exploitation indirecte • “Google Hacking” • “Zombies” reconvertis • SPAM via SMTP • Cheval de Troie • Serveur HTTP 9
Phishing EUROSEC 2005 • Beaucoup de serveurs en colocation mal protégés • Répartition 50/50 UNIX/Win32 • 50% des UNIX avec un “renifleur” et un “rootkit” • Applications: awstat, phpbb, mailman, etc. • Site principal rarement modifié (sous-répertoires) • Script basique (PHP, ASP) avec un mail() vers courriel yahoo-like • Protection: arrêt du service/serveur, “trou noir” réseau, “trou noir” DNS, … avec des implications légales et de service • Problème d’autorité: FAI, FAI tiers, PTT, NHTCU, attaqué (banque, entreprise), juge, etc. 10
Phishing EUROSEC 2005 • Côté client • Exploitation de la crédulité et du manque de connaissances • Exploitation du navigateur • Failles dans le navigateur • Utilisation des langages de script (champs cachés ou “surimpression”) et objets “actifs” (BHO) • Failles dans des librairies (images) • Sites à fort trafic piratés (via des tiers: publicité) • Détournement de fonctionnalités • client: IDN • serveur: URL externe encodée dans l’URL principale (via iframe, principe du XSS) • Impact des collisions MD5/SHA-1 sur les certificats ? 11
Les acteurs EUROSEC 2005 • Le gamin boutonneux ? • L’organisation mafieuse ? • Diversification (DDoS-for-hire, SPAM, phishing, etc) • Peu de créateurs, beaucoup de copieurs/profiteurs • IRC reste le canal de communication principal, mais les plus malins savent rester discrets • On assiste de plus en plus à des tentatives de vol: les méchants commencent à protéger et défendre leur propriété 12
Conclusion EUROSEC 2005 • Les nouveaux téléphones portables comme proie de choix ? • “Offline” phishing: CLI modifié (VoIP) • Appel avec CLI de la banque: social engineering • Appel avec le CLI du client: mécanisme d’authentification • Evolution des dénis de services • Quelles (propositions de) solutions ? • Evolution du phishing • Quelles (propositions de) solutions ? • Questions/Réponses 13