1 / 29

Les évolutions du risque : la cible : le poste de travail et les outils communiquant

Les évolutions du risque : la cible : le poste de travail et les outils communiquant. Vincent Salacroup Kaspersky Lab France. L’évolution des Codes Malicieux de 1990 à 2003. Virus de secteur de boot. Virus. Virus d’envoi en masse. Serveur LAN. Internet. Poste de travail. Firewall.

xylia
Download Presentation

Les évolutions du risque : la cible : le poste de travail et les outils communiquant

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Les évolutions du risque : la cible : le poste de travail et les outils communiquant Vincent Salacroup Kaspersky Lab France

  2. L’évolution des Codes Malicieux de 1990 à 2003 Virus de secteur de boot Virus Virus d’envoi en masse Serveur LAN Internet Poste de travail Firewall Serveur de messagerie Poste de travail Poste de travail Poste de travail Poste de travail Portable Poste de travail Génération 1 Génération 2 Génération 3 Virus réseau Réseau surchargé Portable Poste de travail Serveur Serveur Machines protégées Internet Firewall Poste de travail Poste de travail Serveur Serveur Génération 4

  3. L’évolution des Codes Malicieux de 2003 à 2008 : la génération qui change la donne • Spyware • Les codes malicieux ont une durée de vie de plus en plus courte. • Le nombre de ce type de code est en pleine explosion. • Rootkit • Devenus l’élément hybride indispensable pour un réseau ZOMBIE pouvant transporter des : • backdoors : portes dérobées installées à l’insu de l’utilisateur par des modifications des règles des pare-feux • botnets : renvoient l’adresse IP internet au pirate pour pouvoir accéder à la machine victime via la backdoor • BotNet (la machine devient Zombie) • Sur un plan technique le Spyware est appelé botnet. • Le nombre de réseaux de machines piloté par des communautés de pirates utilisant des BotNet est en pleine explosion. Estimation : Environ 400 000 réseaux Zombies sont en production en Europe.

  4. Pourquoi cela change la donne ? • Les recherches épidémiologiques des laboratoire des Editeurs Antivirus changent car ils sont confrontés à plusieurs types de techniques comme : • La publication des eGènes malicieux sur une période courte : • Ne pas être détectés par les antivirus • L’exploitation des réseaux Zombies • sont maintenant très nombreux • Les ‘advanced’ worms (vers évolués) • réplications émergentes utilisant des techniques de multi-threading • Toutes ces techniques ont pour seul objectif, pour le Cyber-criminel : être efficace malgré la surveillance de l’antivirus, de l’utilisateur et de l’administrateur des machines concernées.

  5. Parallélisme d’un advanced worm Worm à technologie séquentielle Worm à technologie Multithread >500 min parallélisme >35 sec Tom Vogt Simulation

  6. Antidote en téléchargement pour tous ! 17:38 17:41 17:33 17:24 Temps de Traitement – 3 minutes Temps de Traitement TOTAL avec vérification des virus dumpers – 17 minutes

  7. La réactivité en question ? • 17 minutes est une valeur se rapprochant du ZeroDAY MAIS pas suffisante. • Les réseaux zombies sont toujours là ! • Sachant que les keyloggers et rootkits actuels changent leurs codes en moyenne toutes les 30 minutes, pour entretenir les réseaux zombies.

  8. Nombre de Codes Malicieux par Jour

  9. Statitiques des Labs Kaspersky • Les attaques en masse ne sont plus d’actualité • Entre 200 et 1200 codes malicieux sont ajoutés chaque 24 heures • Mai 2007, stats de nos Labs : • Adware 14 815   Malware   13 628   PornWare 35 692   RiskWare 1 825  TrojWare  200 415   VirWare   37 296   X-Files     2 347   ---------------------------------   Total: 306 018 • 200 415 Rootkits, Keyloggers, Downloader, Exploits, BotNets ! Rien que pour le mois de mai 2007!

  10. Signature Updates per Month Fréquence des mises à jours

  11. La mesure du risque There is no such thing as 100% protection

  12. L’Evolution du profil des Cyber-criminels et de leur Organisation

  13. De 1990 à 2003 • Objectifs pour le Pirate : • L’exploit technologique ou d’estime. Le pirate est souvent un Etudiant. • Détruire des machines ou des données. • Bloquer la production des outils informatiques. • Conséquences pour les Entreprises : • Financières. • Perte de productivité. • Problème d’image pour les entreprises. • Destruction d’information.

  14. De 2003 à 2008 • Objectifs pour le Pirate : • Gagner de l’argent • Etre le plus invisible possible avec ses codes Malicieux de l’utilisateur et de l’administrateur. • Exploiter la puissance de calcul des machines à leur disposition. • Récupérer un maximum de données personnelles ou professionnels • Communiquer des informations entre les pirates sans être identifié (Terrorisme) • Conséquences pour les Entreprises : • Financières • Perte de productivité • Fuite d’information vers l’extérieur • Problème juridique lié à l’exploitation pirate des machines d’une entreprise à des fins malicieux (Espionnage industriel, etc….) • Les administrateurs informatiques peu informés des sujets liés à la sécurité pensent encore que s’ils n’ont pas de problème, c’est qu’ils n’ont effectivement pas de problème. C’est plus forcement vrai. Les Editeurs Antivirus pensent eux qu’ils ont potentiellement des problèmes mais qu’ils ne le savent pas.

  15. Aujourd’hui le poste client, outil de production de l’entreprise, richesse pour le Cyber-Criminel • La réelle production d’une entreprise s’effectue au plus proche de l’utilisateur = Le pirate va chercher à l’atteindre. • Les utilisateurs ont de plus en plus soif de libertés (postes nomades, protocoles peer to peer, accès Internet) = Les vecteurs de contaminations changent. • Les Enjeux de la sécurité et les investissements des entreprises étaient réalisé sur les passerelles de messagerie. Aujourd’hui l’ensemble de la communauté des entreprises se refocalise sur la protection des postes de travail et sur la sécurisation des nouveaux vecteurs de propagation. • Le nombre de Pc dans les entreprises et chez les particuliers ont augmenté avec la démocratisation de l’utilisation d’applications métiers dans les entreprises et avec la démocratisation des accès Internet. C’est une augmentation a deux chiffres.

  16. Le poste client, de plus en plus victime des attaques. • Fort de ces constatations, les pirates focalisent leur attaques en ciblant directement les postes utilisateurs. • Les technologies d’infection serveurs telles que slammer (SQL server) ou CodeRed (linux apache) sont devenues obsolètes. • La mobilité des postes de travail (télétravail, postes nomades) complique la tâche de surveillances et de préventions des équipes informatiques des entreprises. Elles sont obligées de s’adapter à ces nouveaux vecteurs de propagation. • De nouveaux équipements communiquant échangent des informations avec les stations de travail (fixes ou mobiles). Les portables téléphoniques se transforment en équipement « intelligents » contenant parfois plus d’informations critiques que l’ordinateur traditionnel (agendas, carnet d’adresses, informations personnelles, répondeur téléphonique…)

  17. Smartphones un réseau cible Les portables téléphoniques « intelligents » offrent de meilleurs capacités que les ordinateurs traditionnels Ils touchent avec assurance les personnes ciblées. Ils sont toujours allumés. Les capacités de stockage sont de plus en plus importantes. Ils sont 100 fois plus nombreux que les ordinateurs. Ils sont « hyper communiquant » (Wifi, Bluetooth, 3G, ….) Ils contiennent des données personnelles et professionnels. Ils offrent les capacités de géo localisations de l’appareil. Les équipes informatiques se préoccupent pas réellement de la sécurité de ces équipements. Le taux de renouvellement des matériels est deux fois plus important.

  18. Codes Malicieux spécifiques Mobilité

  19. De quoi ces virus sont-ils capables ?Ces Virus peuvent faire ... • Paralyser totalement le mobile • Destruction ou Encryption des données utilisateurs • Donner des appels et envoyer des SMS • Décharger la batterie • Diffusion de son code aux autres Mobiles • Infection du PC pendant la synchronisation Média TRES exposé aux prochaines attaques et prochainement un élément clef des BotNets.

  20. Quelques exemples de virus • Infection des files (Virus.WinCE.Duts)‏ • Ouvrir un accès distant vers Internet (Backdoor.WinCE.Brador)‏ • Envoyer des SMS (Trojan-SMS.J2ME.RedBrowser)‏ • Bloquer le fonctionnement du téléphone (Trojan.SymbOS.Skuller, Rommwar)‏ • Bloquer les fonctions d'anti-virus après infection • Déposer d'autres viruses (Trojan.SymbOS.Doombot avec ComWar)‏ • Effacer des données (Trojan.SymbOS.Cardblock, Worm.MSIL.Cxover)‏ • Vol des données (Worm.SymbOS.StealWar, Trojan-Spy.SymbOS.Flexispy)‏ • Utilisation frauduleuse du PC (Worm.MSIL.Cxover)‏

  21. Une infection typique • Très tôt matin dans le métro • Un utilisateur reçoit un fichier via Bluetooth (Cabir.a)‏ • La batterie se vide beaucoup plus rapidement que d'habitude • Le résultat: un appel au support technique de 3 heures et 50 euros plus tard, l'utilisateur à installé un nouveau “firmware“

  22. Une infection typique (2)‏ • Eté 2006 en Grèce sur un yacht en pleine mer. • Un portable reçoit une notification d'envois de MMS raté. • Le résultat: l'utilisateur a payé pour un grand nombre de MMS envoyés. Cette attaque arrive très fréquemment, mais la pluspart des utilisateurs ne s'en apperçoivent jamais ...

  23. Comment se prémunir ? Installer une solution antivirus et l’administrer est nécessaire mais pas suffisant. L’Antivirus n’est que 75% de la solution pour votre sécurité du poste. La mise en place d’outils de sécurité complémentaires et de politiques de sécurité minimaliste permettront de limiter les risques. Les politiques de Filtrage URL, Antivirus HTTP ou de Filtrage AntiSpam sur les passerelles sont à ce jour des éléments permettant de limiter les effets de bords lié au comportement du Maillon Faible de la sécurité dans l’Entreprise : le facteur Humain Pourquoi ?

  24. Les attaques sont plus complexes • Le spam existe car des utilisateurs y répondent et achètent ! • Le phishing existe car il est difficile pour un utilisateur de voir si il est bel et bien sur le serveur de sa banque ! • Les serveurs WEB, serveurs de mails et serveurs DNS furtifs continuent de se propager dans des rootkits installés sur les postes des utilisateurs • L’usurpation VoIP arrive…Qui s’en méfiera?

  25. Facteur aggravant : les utilisateurs ne changent pas ! • Les utilisateurs continueront d’utiliser des petits utilitaires, des cracks… car sur un pc on ne peut pas tout acheter ! • Utiliser que les gratuits reconnus. Les autres peuvent être eux même le code malicieux. • Ils continueront de répondre à des offres promotionnelles ou à redonner leurs identités bancaires ! • Ils continueront de payer en ligne sans pour autant se soucier de la sécurité • Ils accepteront que des sites sécurisés ne possèdent pas de certificats valides !

  26. Les utilisateurs ne changent pas ! • Les sécurités des OS se font par rapport à une demande auprès de l’utilisateur de façon plus directe et explicite • Mais cela ne changera pas la démarche d’infection, car si l’utilisateur accepte que l’application s’installe, c’est pour l’utiliser

  27. Pour les entreprises quelques mesures simples et peu coûteusesSécurité anti-incendie/antivirusmême stratégie Si on fait l’analogie entre la sécurité antivirale (propagation, infection, destruction) et la sécurité anti-incendie on peut mettre en parallèle les éléments suivants : L’antivirus (élément curatif) n’est que l’extincteur. Est-ce suffisant ? Il manque (en analogie) : • Les détecteurs de fumées et le central d’appel (Console d’administration et administrateur de la solution) • Les pompiers eux-mêmes qui effectuent un travail de prévention et d’enquêtes.(équipes informatiques coordonnées) • Les affiches qui informent des directions à prendre en cas d’incendie (procédures écrites en cas d’infection : Comment réagir ? Ce qu’il faut faire…Ce qu’il est strictement interdit de faire…Avec qui communiquer en interne ? Définition des champs d’intervention) • Des utilisateurs capables de prendre des initiatives pour éviter les paniques (chef de services formés)

  28. Ce qu’il faut retenir • Les pirates ont grandi. Les étudiants sont devenu des professionnels offrant leurs services au plus offrant. (Société privé, Gouvernements (Cyber Guerre : Irak, Yougoslavie..), Mafias, autres…) • Les comportement des utilisateurs eux ne changent pas. • La majorité des codes malveillants découverts sont des codes à but lucratifs dont l’objectif est d’utiliser la machine victime en tant que hôte confortable pour des actions Internet (SPAM, Attaques de sites web) • Certains codes malicieux ont des pouvoirs émergeant extrêmement fulgurant • Sur le principe du projet SETI, les pirates vont exploiter les postes de travail à leur disposition pour réaliser des actions choisies. Emergence de réseaux Zombie basé sur le principe de fonctionnement du Peer to Peer. • Les infections Virales transites maintenant via le Surf Internet. Les infections Virales transitant via les messageries ont été remplacé par les Spams. Les Pirates utilisent les Spams pour inviter les utilisateurs des machines à aller visiter des sites Web infectés (Sites Web événementiels (ex : Jeux olympiques….) = Maintenir et croître le réseau de machines Zombie • Les vecteurs de propagation ont changé ces dernières années (telephonie etc…) • La durée de vie programmé par les pirates des codes malicieux sur une machine est passé des plusieurs semaines, plusieurs mois à quelques minutes. • Le nombre de codes malicieux à référencer dans les bases Antivirus est passé de 25 à 50 codes par jour à 200 à 1200 codes par jour. • Le techniques de détections historiques (Pattern Matching) sont mises en difficultés. • Poids et consommation des bases de connaissance deviennent très consommatrices. • Le principe de fonctionnement de cette technique de détection est rendue obsolète. Conséquence : Emergence de nouveaux Editeurs exploitant des techniques de détections complémentaires ou alternatives.

  29. Ne faites plus confiance à vos fichiers! La vérité n’est pas toujours au bout de l’hameçon ! Questions?

More Related