Sécurité des Systèmes d’Exploitation

(1)

Sécurité des Systèmes d’Exploitation

Fr´ed´eric Gava

Master ISIDIS, Universit´e de Paris-Est Cr´eteil

Cours s´ecurit´e du M2 IDIDIS

(2)

Plan

1 Introduction

2 S´ecurit´e de la machine

3 Points d’entr´ees

4 Outils de Protection

5 Prise de contrˆole

6 Apr`es la compromission

7 Pour le Plaisir

(3)

Plan

1 Introduction

7 Pour le Plaisir

(4)

Plan

1 Introduction

7 Pour le Plaisir

(5)

Plan

1 Introduction

7 Pour le Plaisir

(6)

Plan

1 Introduction

7 Pour le Plaisir

(7)

Plan

1 Introduction

7 Pour le Plaisir

(8)

Plan

1 Introduction

7 Pour le Plaisir

(9)

D´eroulement du cours

1 Introduction

7 Pour le Plaisir

(10)

Enseignants et modalit´es

Fr´ed´eric Gava :frederic.gava@univ-paris-est.fr.

LACL.

LucDelpha :luc.delpha@provadys.com. Directeur Audit et Conseil SSI chez CISSP.

Th´eorique : 21h de cours et 9 h de TP. Pratique : un mix suivant les besoins

Examen final D´eroulement :

F. Gava : 1) et 2) Généralités 3) Attaque Buffer/Integer-overflow

L. Alpha : 4-6) Attaque Concurrence/Noyau et Protection contre analyse et ing´enieurie inverse

(11)

Généralités

Théorie : sûreté

Sûreté≡ bonne exécution des programmes, donnent les bon résultats escompté sans ”planter”

Sécurité ≡pas d’intrusion extérieur modifiant le comportement du système

Théorique : sûreté≡sécurité. On considère ”juste” qu’une modification est un mauvais comportement

Pratique/Théorie : sûreté⊂ sécurité. Modéliser toutes les

”modifications de l’environement” est trop complexe (impossible mˆeme).

la plus part des problèmes de sécurité sont inhérents (due) à des problèmes de sûreté (mauvaise exécution des programmes entraˆınant des intrusions externes).

(12)

Objectifs de la s´ecurit´e

intégrité : les données sont bien celles qu’on attend

confidentialité : l’accès à chaque ressource est conforme aux autorisations

disponibilité : le système reste en fonctionnement, la sécurité n’empêche pas les utilisateurs légitimes de travailler

non répudiation: une transaction ne peut être niée

confiance : construire des mécanismes dans lesquels on peut placer sa confiance (mais pas aveuglément) ; dans cette d’emarche, la règle de base est la méfiance, voire la parano¨ıa.

Mais il faut pourtant faire confiance `a un moment donn´e⇒ authentification, cryptographie forte, audit, etc.

(13)

Attaques (1)

Afin de pouvoir s´ecuriser un syst`eme, il faut connaˆıtre les menaces :

exploitation des erreurs de configuration (syst`eme ouvert ou vuln´erable) et de programmation (exploits)

d´enis de service (mailbombing, flood, exploits, nuke), potentiellement distribu´es

squat (h´ebergement ill´egal, attaques par rebond, botnets) malware (virus, vers, troyens, espions, backdoors)

usurpation d’identit´ee (IP/ARP spoofing) erreurs humaines ⇒ ne pas ˆetre root

ingénierie sociale : exploitation des erreurs humaines, de la na¨ıveté, gentillesse, ignorance, etc. Par exemple, le phishing : faux message de la banque qui redemande le mot de passe (via une fausse page web) ⇒ identifiée par certains antivirus.

Attaque de Twitter/Yahoo.

(14)

Attaques (2)

L’URL

http://www.site-officiel.com@www.site-attaquant.com dirige vers http//www.site-attaquant.comen envoyant www.site-officiel.comcomme login (qui peut être ignorée). Attention aussi à l’orthographe d’une URL : http://WWW.SITE-OFFICIEL.COM6=

http://WWW.SITE-0FFICIEL.COM(0 au lieu de O) gêneurs (spam, popups) et canulars (haox, chain mail) sur le réseau, les attaques ont lieu en permanence (plusieurs par minutes), en grande partie de fa¸ccon automatique (vers, attaques de masse, botnets à louer, etc.) et à l’insu du propriétaire de la machine attaquante (machine compromise ou infectée)

(15)

Politiques de s´ecurit´e (1)

Ensemble des droits d’acc`es aux ressources : globale `a une organisation

d´efinie par la hi´erarchie

mise en oeuvre par les informaticiens en ce qui concerne les ressources informatiques

prend en compte la formation (utilisation correcte des ressources, ing´enierie sociale)

le maillon le plus faible définit la force de la chaˆıne de sécurité, c’est souvent l’utilisateur lambda

défense en profondeur (à plusieurs niveaux)⇒ une barrière peut tomber, il en reste d’autres

simplicité ⇒efficacité (KISS : keep it simple, stupid) conception ouverte : la protection ne doit pas d’épendre de l’ignorance de l’attaquant ⇒ audit (par des experts)

(16)

Politiques de s´ecurit´e (2)

médiation complète : toute tentative d’accès à une ressource doit être vérifié

sûreté des comportements par défaut (refus) : tout le monde a connu l’amer experience d’un Windows XP qui fraˆıchement installé n’a pas le firewall activé⇒ à peine lancé, il est victime d’un vers

séparations des privilèges : l’accès à une ressource doit dépendre de plus d’une condition

acceptabilit´e psychologique et simplicit´e d’utilisation

nécessaire intégration de la marche à suivre en cas d’attaque réussie, de compromission des clefs, etc.

Il est inutile d’installer des systèmes sophistiqués sur une machine dont l’accés physique n’est pas sécurisé (vol, destruction, reboot,

(17)

Sécurité par l’obscurité

Cacher des informations dans le but d’améliorer la sécurité. ⇒ pas de sécurité

Le code source des produits Microsoft, Apple, IBM et tutti quanti n’est (généralement) pas disponible, ce sont eux qui sont les plus vulnérables.

Surtout Microsoft car beaucoup d’ordis potentiels `a toucher.

Exemples aussi chez Apple (p. ex. non spécification des protocoles de sécurité employés)

ne supprime pas le risque

empêche l’audit par une tierce partie ne résiste pas aux attaques automatisées

résiste peu aux attaquants décidées (ingénierie inverse) Les protections anti-copie (DVD, etc.) sont secrètes et n’ont jamais fonctionné.

(18)

La mise en lumi`ere ?

La simple mise en lumière n’améliore pas la sécuritée non plus, il faut faire plus :

Les cryptographes utilisent la publication scientifique et des concours avec r´ecompense.

concours de hacking White-hacker

V´erifier formellement si possible Corriger toujours au plus vite

Respecter certaines r`egles et faire de la veille technologique

(19)

Algorithme de l’attaquant

1 prise d’information

2 rep´erage de faille

3 exploitation de la faille et si echec ⇒ 1

4 élévation des privilèges et si insuffisant⇒1

5 r´ealisation du but initial. Game Over. You lose.

(20)

D´eroulement du cours

1 Introduction

7 Pour le Plaisir

(21)

S´ecurit´e de la machine

Acc`es physique possible = risques

vol de la machine, de ses disques (crypto des fichiers) installation de logiciels (malware)

vol ou consultation de donn´ees usurpation d’identit´e

modification de donn´ees

modification de configuration (mots de passe)

(22)

S´ecurit´e physique

attacher la machine

empêcher son ouverture : Vol des éléments (en particulier les disques durs) ou retirer la pile du BIOS pour supprimer le mot de passe.

empˆecher le red´emarrage

(23)

S´ecurit´e du BIOS

mettre un mot de passe

attention aux mots de passe par d´efaut supprimer le boot sur support amovible sur un serveur ⇒ mot de passe au boot

(24)

Chargeur de syst`eme (boot loader)

ne pas utiliser Linux n’empˆeche pas d’en installer un

permet la protection par mot de passe (On a supprim´e le boot sur support amovible dans le BIOS, on le r´etablit avec le boot loader en ajoutant un mot de passe)

attention au stockage des mots de passes : LILO les stocke en clair dans /etc/lilo.conf ⇒ prot´eger ce fichier. GRUB utilise MD5 c’est plus sˆur

(25)

Connexion

mot de passe obligatoire pas de mots trop simples

pas d’aide mémoire sous le clavier (Des systèmes vérifient la complexité du mot de passe ou peuvent générer des mots de passe aléatoires mais pronon¸cables).

ne pas proposer de nom d’utilisateur (c’est ¸ca de plus `a deviner. A ce niveau, Windows est d´efaillant)

ne pas afficher d’etoiles ⇒ longueur plus difficile à connaˆıtre connexion sécurisée : Le Ctr-Alt-Suppr est capturé par le système ⇒ on ne peut pas faire un faux écran de connexion

(26)

Verrouillage

N´ecessit´e du mot de passe avant de reprendre le travail : en quittant son poste

apr`es un certain temps d’inactivit´e

doit ˆetre facile (Rabattre l’ecran du portable peut le verrouiller)

s´ecuriser comme la connexion

(27)

D´eroulement du cours

1 Introduction

7 Pour le Plaisir

(28)

Généralités

La sécurité n’est pas une fonctionnalité comme les autres :

`

a prendre en compte dès le début nécessite formations et information

utilisation des m´ethodes formelles (preuves)

les langages / protocoles / programmes ne sont pas fait pour

¸ca (C, C++, Perl, PHP /la suite TCP-IP/d´emons Internet)

⇒ l’expertise technique est n´ecessaire (mais pas suffisante) prise en compte de l’aspect multi-utilisateur

la sécurité coûte en temps, en argent, en efforts, en tests, etc.

séparation du contrôle et des données (virus de documents, cross-site scripting (XSS), ...)

(29)

Programmes sensibles (1)

Les programmes critiques s’exécutent sur une frontière, entre deux espaces qui doivent rester séparés :

zone hostile programme sécurisé zone protégée Internet

serveur

firewall, routeur client (navigateur)

machine qui l’ex´ecute r´eseau interne utilisateur utilisateur programme suid/sgid

syst`eme de droits

administrateur autres utilisateurs programme

appel système système de fichier gestionnaire de mémoire

noyau

espace disponible espace disponible document inconnu afficheur, ´editeur utilisateur

programmes critiques (plus ou moins) cibles privil´egi´ees pour les attaques

il faut limiter les erreurs et les cons´equences d’erreurs

(30)

Pourquoi des erreurs ? (1)

peu de formations, peu de sources d’information (moins maintenant)

pas d’utilisation des m´ethodes formelles (preuves)

les langages ne sont pas fait pour ¸ca (surtout C/C++ et PHP) non prise en compte de l’aspect multi-utilisateur

paresse et facilit´e

les programmes sont sécurisés à postériori et non à priori (dès la conception)

mauvais programmeurs (ou moyens, ou non sp´ecialistes du langage)

la programmation et la sécurité sont (encore) deux métiers séparés

les utilisateurs se soucient peu de s´ecurit´e (ou ne savent pas,

(31)

Pourquoi des erreurs ? (2)

la sécurité coûte en temps, en argent, en efforts, en tests, etc.

beaucoup d’options de compilations ne sont pas utilis´ees.

Exemples :

avec GNAT : -gnato

avec GCC : -Wall -Wpointer-arith -Wstrict-prototypes -O2 les documentations ne sont pas lues : Pour Perl, perlsec et pour Java, Li Gong, Inside Java 2 Platform Security, Addison Wesley

les langages utilis´es sont mal connus :

la sécurité sous Java est quelque chose de très difficile car les mécanisme de chargement de code (local, distant) sont très complexes

en C/C++, les débordements de tampons, les bogues de formats, les débordements arithmétiques, etc., sont méconnus

(32)

Comptes utilisateurs

donner les privil`eges minimaux pour l’usage demand´e

interdire la connexion `a certains moments, de certains endroits interdire les salles serveurs ou l’installation de logiciel maisons en binaires dessus

d´esactiver les comptes inactifs

tous les comptes doivent ˆetre individuels

faire des audits réguliers des comptes (Un utilisateur ne devrait pas avoir de dossier ou fichiers accessibles en écriture à tous. Il faut régulièrement chercher les malwares sur son compte. Il faut contrôler les binaires qu’il installe.)⇒ la politique de sécurité

maintenir des log des activit´es

interdire les mots de passe faibles ou par d´efaut

(33)

Compte administrateur (root)

pareil mais beaucoup plus critique :

inaccessible `a tous (sauf aux autres root)

utilis´e au minimum (Avec su et sudo, mˆeme pas besoin de se connecter)

log et contrôle très précis des connexions

créer des comptes ”mini-root” : un compte staff possédant /usr/local et quelques droits d’exécution par sudo comme ldconfig. Mais attention à quoi on donne accès (cat est très dangereux).

attention au PATH ⇒ pas de ., ne contient que des r´epertoires non modifiables

le comportement de root est aussi critique⇒ prudence, ne pas installer n’importe quoi, etc. ne pas se balader sur le web, pas tchater, QUE DE L’ADMIN

attention `a umask (buildin)

(34)

Protection des mots de passe

idéalement, on ne les stocke pas. Mot de passe dans /etc/shadow (double protection : fichier protégé, mots de passe hachés)

sinon, les stocker chiffrés et protégés par les droits d’accès (ssh ne se lance pas si les droits sont incorrects)

ne pas autoriser les mots de passe trop simples

ne jamais faire transiter en clair un mot de passe sur le r´eseau (voir capture mot de passe POP sur la feuille)

ne jamais ´ecrire ni divulguer son mot de passe

garder une clef le moins longtemps possible en m´emoire

(35)

D´eroulement du cours

1 Introduction

7 Pour le Plaisir

(36)

Outils de protection

antivirus : prot`ege des virus, vers, etc.

pare-feux : contrˆole les connexions r´eseaux

anti-espion : cherche les spywares, backdoors, rootkits, etc. ⇒ comme antivirus

contrôle d’intégrité : vérifie si le système a été altéré détecteur d’intrusions : cherche la présence d’un intrus

(37)

Antivirus (1)

Etude britannique de 2004 (sur l’ann´eee 2003) :

99% des grandes entreprises et 93% des PME utilisent un antivirus

83% des entreprises ont été attaquées au moins une fois 68% on été victimes d’un virus

le nombre d’attaques r´eussies a augment´e de 25%

coˆut pour l’ann´ee : 290 millions d’euros

Les antivirus ne suffisent pas. Ils n’en sont pas moins nécessaires ! Résultats théoriques :

la détection virale en général est indécidable

les instances restreintes int´eressantes sont au minimum NP-complet ou p-space

la d´etection des virus polymorphes est NP-complet

⇒ toute protection peut ˆetre contourn´ee

(38)

Antivirus (2)

En pratique, c’est de plus en plus difficile mˆeme si, ¸ca pourrait ˆetre mieux :

les ´editeurs d’antivirus ”s’opposent” `a la recherche dans le domaine

les produits privilégient la rapidité d’exécution à la sûreté l’ingénierie sociale permet de contourner les outils l’utilisateur final ne sait pas réagir à une alerte Bon antivirus :

d´etecte, identifie et ´eradique les virus connus

gère les virus inconnus qui utilisent des techniques connues ne génère pas (ou peu) de fausses alertes et ne nécessite pas d’intervention de l’utilisateur

s’ex´ecute sans ralentir le syst`eme

s’installe et se d´esinstalle facilement et facile `a configurer

(39)

Antivirus (3)

L’état du marché est assez déprimant :

les meilleurs ne sont pas les plus connus (Avast/Alwil Software, AVG/Grisoft, FSecure, Kaspersky/KAV, NOD32) Unix/Linux tr`es en retard sur Windows (mais moins de virus).

Existe Anti-virus pour linux pour prot´eger des ordis windows certains produits sont tr`es mauvais

délais entre l’apparition du virus et la mise-à-jour assez (malgré ce que dit le marketing) : 24h à 48h minimum, parfois jamais

incoh´erence de l’identification et de l’appellation entre les

´editeurs

mauvaises configuration par d´efaut

vitesse d’exécution au détriment de la sûreté désinfection assez mauvaise

et surtout : distorsion énorme entre le marketing et la réalité

(40)

Antivirus (4)

Analyse de forme (statique) : Analyse hors de tout contexte d’exécution par la recherche d’une signature (une suite de bits) qui doit être caractéristique (pas de confusion) et suffisamment longue (pas de fausse alerte) :

facilement contournable (virus polymorphes/metamorphes ou chiffr´es)

peu de fausses alertes

détection une infection déjà effective

ne gère que le connu et difficultés de mise-à-jour de la base de signatures

taille de la base de signatures ⇒ non exhaustive (quelques milliers en pratique, les vieux virus sont ignor´es)

recherche partielle (certaines parties de certains fichiers) pour

(41)

Antivirus (5)

Analyse spectrale : recherche d’instructions caract´eristiques des virus mais rares dans les programmes ”normaux”

méthodes statistiques pour définir la normalité fausses alertes

peut d´etecter de nouveaux virus

contournable par mim´etisme (virus cod´e ”comme” un programme normal)

Analyse heuristique : strat´egies de d´etection d’action potentiellement virales :

difficile et peu fiable fausses alertes

contournable par mim´etisme

(42)

Analyse de comportement (dynamique)

Surveillance des actions potentiellement dangereuses (exemple : modification du MBR).

d´etection possible de virus inconnus fausses alertes

consommation des ressources de la machine

´emulation de code⇒ analyse statique

(43)

Contrôle d’intégrité (1)

Vérifier que le système est conforme à ce qu’il devrait.

Essentiellement une technique : prise d’empreintes et comparaisons :

on prend une empreinte de chaque fichier (syst`eme, pas forcement les images, quoique...) du syst`eme sain

on met à jour la base d’empreintes à chaque modification légitime

une modification ill´egitime est d´etectable par changement de l’empreinte

Difficult´es :

falsification des empreintes ⇒ utiliser un hachage

cryptographique. Les antivirus utilisent souvent CRC32 ).

(facile `a contourner). On conseille maintenant d’utiliser deux empreintes simultan´ement (ex : MD5+SHA, ou

SHA+HAVAL).

distinguer une modification l´egitime d’une autre ⇒sous contrˆole de l’administrateur

(44)

Contrôle d’intégrité (2)

sécurité de la base d’empreintes : certains virus modifient la base d’empreinte des antivirus les plus répandus pour cacher leur infection. Un intrus ayant les droits root a tout pouvoir

⇒ même ces droits ne doivent pas suffire à la modification⇒ support en écriture seule ⇒difficultés de la mise-à-jour. Les systèmes courants sécurisent par cryptographie et mots de passe (empreintes signées ou chiffrées).

le contrôle sur un système compromis n’est pas fiable : Les librairies peuvent avoir été changées ⇒ les outils d’analyse doivent être compilés statiquement. Un rootkit noyaux peut faire modifier l’appel système d’ouverture de fichier et présenter le fichier d’origine au lieu du fichier modifié ⇒les outils d’analyse doivent s’exécuter sur un autre système.

Impossible lorsqu’on veut garder le syst`eme en marche.

(45)

Contrôle d’intégrité (3)

Comment savoir que le système est sain lorsqu’on prend/met à jour une empreinte ? Méthodologie : utiliser une machine de référence, isolée et coupée du réseau sauf lors des mises à jour :

installation prises d’empreintes pour mettre `a jour :

connexion (la plus brève) et téléchargement (sécurisé) des mises-à-jour et déconnexion

contrôle d’intégrité minutieux (c’est la machine de référence) contrôle des mises-à-jour (signatures) et prise des nouvelles empreintes

distribution des mises-`a-jour

contrôle d’intégrité des machines à mettre à jour mise-à-jour des autres machines

mise-`a-jour des bases d’empreintes `a partir de celles prises sur la machine d’installation

c’est assez peu praticable, voire impossible (OS ne le permettant pas, systèmes hétérogènes, etc.)

(46)

D´etection d’intrusions

Tr`es proche des antivirus :

même techniques de détection (mêmes limites) contrôle d’intégrité (mêmes difficultés)

limites fortes en terme de ressources système : l’analyse du réseau nécessite de surveiller simultanément des milliers de connexions sur des centaines de protocoles différents.

(47)

Reprendre le contrˆole (1)

Observer avant d’agir :

peut t’on voir l’attaquant en train d’agir (processus, trafic réseau, écoute réseau, etc.)

mais il est peut-etre déjà en train de faire des dégats, de commettre des infractions

il est peut-être très furtif (contrôle profond) le système est indigne de confiance

Reprise de contrˆole :

il faut couper l’alimentation brutalement : un arrˆet ”propre”

peut ne pas d´esinstaller les fichiers de l’attaquant.

il faut d´econnecter le r´eseau

il faut red´emarrer sur un syst`eme sain : nombreuses

distribution Linux utilisables depuis un CD (Live-CD). On peut aussi d´eplacer le disque du syst`eme compromis sur une autre machine.

(48)

D´eroulement du cours

1 Introduction

7 Pour le Plaisir

(49)

Prise de contrˆole

Une attaque réussie est généralement suivie d’une prise de contrôle :

pour propager l’attaque (vers, virus) pour utiliser le syst`eme (squat, botnets) pour espionner les utilisateurs (spywares) pour revenir plus tard (backdoors)

S’installe ses outils et doit rester discret ⇒rootkit : ensemble d’outils pour garder le contrˆole en toute discr´etion

(50)

Rootkit (1)

on en trouve des tout fait sur internet...

modification des binaires sensibles. Les programmes de dissimulation cachent les ressources employ´ees par le pirate aux yeux des autres utilisateurs :

ls, find, locate, xargs ou du ne r´ev´eleront pas ses fichiers ps, top ou pidof dissimuleront ses processus

netstat n’affichera pas les connexions indésirées killall préservera ses processus

ifconfig ne montrera pas que l’interface est en mode promiscuous

tcpd et syslogd ne loguent pas ses actions

Les backdoors permettent au pirate de changer d’identit´e : chfn, chsh, passwd, login, su, etc., ouvrent un shell root lorsque le mot de passe du root-kit est entr´e (comme nom d’utilisateur ou comme mot de passe)

(51)

Rootkit (2)

Les démons offrent au pirate un moyen simple d’accès à distance :

inetd installe un shell root à l’écoute sur un port. Après la connexion, le mot de passe du root-kit doit être saisi en première ligne

rshd exécute la commande demandée en tant que root si le username employé est le mot de passe du root-kit

sshd fonctionne comme login mais donne un accès distant modification des librairies dynamiques : même but que la modification des binaires en plus facile : on ne change que quelques appels systèmes critiques (module≡ load dynamique de module dans le noyau)

(52)

Rootkit (3)

modification du noyau ⇒un module noyau se charge de tout ce qui a été vu précédemment : plus discret, plus de pouvoirs : rendre invisible des fichiers, comme ceux produit par un sniffer filtrer le contenu d’un fichier (supprimer son IP des logs, les numéros de ses processus, etc.)

sortir de prison (chroot)

tout ce qui était possible l’est encore (plus facilement) on en est sûr maintenant : un système compromis ne peut contrôler son intégrité

Exemple : Installation d’une backdoor via un lkm (Linux 2.2 et 2.4) : /etc/passwd devient une commande qui donne un shell root (voir feuille)

(53)

Rootkit (4)

Protection :

interdire les modules (recompiler le noyau)

comparer l’image m´emoire du noyau (/dev/kmem) avec ce qu’il d´eclare publiquement (dans /proc)

pr´e-charger un module interdisant la modification des appels syst`eme (on trouve sur le net)

tests d’intégrité de la mémoire noyau

Toutes contournables puisqu’on a compromis le noyau ⇒analyse à partir d’une boot sain ou de la machine de référence.

(54)

D´eroulement du cours

1 Introduction

7 Pour le Plaisir

(55)

H´elas... (1)

Statistiquement, elle aura lieu ⇒ mieux vaut partir du principe que c’est certain. Les signes d’une compromission :

activit´e inhabituelle dans les logs de connexions apparition de binaires suid/sgid

contrôle d’intégrité négatif

binaires (ex´ecutables ou librairies) modifi´es

trafic réseau anormal ou inhabituel⇒ présence de processus surveillant le réseau

interface r´eseau en mode promiscuous nouvelles entr´ees cron ou at

nouveaux services ou services modifi´es

/etc/passwd ou /etc/shadow modifiés : Rarement contrôlé pour leur intégrité (les utilisateurs peuvent les modifier via chsh ou passwd) il peuvent être vérifiés manuellement : comptes sans mots de passe, comptes avec même uid ou uid 0 (root), etc.

(56)

H´elas... (2)

fichiers de configuration modifi´es

fichiers cach´es (noms possibles ”...” ”..ESPACE” ”.ˆG”

donn´ees/binaires dans des endroits anormaux fichiers non device dans /dev

... (Dans le doute, faire comme si c’etait certain)

Si une machine du réseau est compromise, il faut vérifier toutes les autres. Il peut être prudent de changer tous les mots de passe (utilisateurs ralent).

Attention aux sauvegardes : tant que l’attaque n’a pas été complètement démontée, les sauvegardes ne sont pas plus sûres que le reste du système.

(57)

Avant de commencer

Consulter votre politique de s´ecurit´e Quand on n’en a pas :

consulter la hi´erarchie solliciter un conseil juridique

contacter les autorit´es (d´eposer une plainte)

informer : utilisateurs, collaborateurs, (clients ?), prestataires, etc. tous ceux qui ont affaire au syst`eme compromis

documenter précisément chaque étape du travail : pour la prochaine fois, pour pouvoir revenir en arrière, pour vérifier des oublis, pour corriger des erreurs, pour établir des preuves, etc.

(58)

Reprendre le contrˆole (1)

Observer avant d’agir :

peut t’on voir l’attaquant en train d’agir (processus, trafic réseau, écoute réseau, etc.)

mais il est peut-etre déjà en train de faire des dégats, de commettre des infractions

il est peut-être très furtif (contrôle profond) le système est indigne de confiance

Reprise de contrˆole :

il faut couper l’alimentation brutalement : un arrˆet ”propre”

peut ne pas d´esinstaller les fichiers de l’attaquant.

il faut d´econnecter le r´eseau

il faut red´emarrer sur un syst`eme sain : nombreuses

distribution Linux utilisables depuis un CD (Live-CD). On peut aussi d´eplacer le disque du syst`eme compromis sur une autre machine.

(59)

Reprendre le contrˆole (2)

faire une image miroir des disques : dd. Copier les fichiers ne suffit pas : donn´ees cach´ees (ex : StegFS).

garder cette image intacte (à dupliquer si nécessaire) comme preuve légale

ne pas altérer les sauvegardes tant que la date de la compromission est inconnue : elle peut ne jamais l’être, il faudra restaurer avec précautions. En général, elle est connus car on peut constater la date de modification des fichiers compromis (le jour ou ils ont été sauvegardés). Il est moins coûteux de faire du contrôle d’intégrité que de faire de telles sauvegardes.

(60)

Analyse de l’intrusion (1)

Buts :

trouver l’origine de la compromission (faille, erreur humaine, etc.)

dater la compromission

´etablir des preuves

connaˆıtre les informations acquises par l’attaquant faire le bilan des actions de l’attaquant

Actions `a entreprendre (non exhaustif) :

examiner toute modification de binaires (en particulier les suid/sgid) ou de configuration. Rappel : on a démarré un autre système, sain. Le système compromis est indigne de confiance.

examiner manuellement les fichiers dont on n’a pas de copie de référence. De même qu’on documente les étapes de l’analyse après intrusion, il faut documenter les étapes d’installation et de mise à jour. Très utile en cas de panne ou

(61)

Analyse de l’intrusion (2)

examiner les données modifiées récemment : pages web, fichiers ftp, fichiers des utilisateurs, etc.

rechercher des outils laissés par l’intrus : sniffers, chevaux de Troie, portes dérobées, exploits, etc. Utiliser un maximum d’outils d’analyse de comportements ou de recherche de tels logiciels (anti-virus, anti-spywares, détecteurs de rootkits, etc.

ils ont tous au moins une version d’´evaluation !)

examen des logs : attention, ils ont pu être altérés : chercher aussi les trous potentiels. Chercher tout ce qui semble sortir de l’ordinaire. Comparer aux logs d’une machine saine, utiliser du filtrage Bayesien (statistique), des outils d’analyse de logs.

examiner minutieusement les logs de sniffers découverts : ils indiquent les machines en danger et les données révélées vérifier en détail les autres systèmes en relation avec le système compromis

v´erifier toutes les autres machines

(62)

Analyse de l’intrusion (3)

contrôler toute action potentiellement tentée par l’attaquant rechercher dans les annonces du net de vulnérabilités des signes qu’on a pu constater : une attaque automatisée fera d’autres victimes, avec des symptômes similaires

Rechercher une écoute réseau. On doit le faire (vraiment) avant de reprendre le contrôle mais sans certitude ⇒ processus suspect, interface en mode promiscuous, fichier grossissant constamment et rapidement (log du sniffer). Après redémarrage sain, on peut rechercher le fichier de log du sniffer (fichier contenant des adresses IP connues, mais c’est parfois chiffré), la présence d’un binaire connu comme tcpdump (attention il a été sûrement renommé), ingénierie inverse sur les binaires modifiés), le mot ”promiscuous” dans les logs système, etc.

(63)

Assainissement (1)

réinstaller un système sain : Il faut considérer que le système compromis est irrécupérable

le configurer au plus sˆur

installer toutes les mises à jour de sécurité

utiliser les sauvegardes avec pr´ecautions : Si la date de la compromission est connue (avec certitude), on peut utiliser ce qui est ant´erieur. Sinon, et pour le reste, il ne faudrait

restaurer que des donn´ees qu’on v´erifie minutieusement.

changer tous les mots de passe

Il faut améliorer la sécurité du système et du réseau : demande d’un audit général

mettre à jour (ou changer) et utiliser les outils de sécurité : en changeant d’outil, attention à ne pas ouvrir des portes. Il vaut parfois mieux doubler que remplacer.

(64)

Assainissement (2)

ajouter des outils de sécurité (en particulier ceux qui auraient pu prévenir ou détecter l’attaque)

augmenter le d´etail des logs

vérifier la configuration des pare-feux et autre outils de sécurité du réseau

documenter les le¸cons tirées de l’attaque, de son analyse et des mesures qui ont dû être prises

calculer le coˆut de l’incident

mettre à jour la politique de sécurité si elle s’est avérée défaillante (ou inexistante)

rester vigilant ”un certains temps” : l’attaquant va peut-ˆetre revenir (et c’est certain si c’est un ver/virus)

(65)

D´eroulement du cours

1 Introduction

7 Pour le Plaisir

(66)

Conditions de concurrence (1)

Lorsque plusieurs programmes s’exécutant en même temps partagent une ressource, typiquement le système de fichier.

Attaque sur les scripts suid :

$ id

uid=1000(gava) gid=1000(gava) groups=4(adm)

$ head -n 1 /bin/suidscript

#!/bin/sh

$ cd /tmp; echo "id" > titi.sh; ln -s /bin/suidscript toto

$ (nice -n +19 ./toto &) ; ln -sf titi.sh toto uid=0(root) gid=0(root) groups=0(root)

Pourquoi :

le syst`eme suit le lien toto et trouve un programme suid⇒ devient root

le système invoque l’interpréteur donné dans la première ligne avec le source en argument ⇒ /bin/sh toto

pendant que /bin/sh se charge, ln remplace toto (le nice -n +19 lui laisse du temps)

/bin/sh lit le contenu de toto et donc de titi.sh et l’ex´ecute⇒ id de root

(67)

Conditions de concurrence (2)

évitez d’utiliser une suite d’appels à chown, chgrp et chmod qui prennent un nom de fichier en paramètre : le fichier peut changer entre deux appels. Utilisez plutôt fchown, fstat et fchmod qui prennent un descripteur de fichier (ne peut pas changer)

un appel `a ”access” suivi de ”open” est fautif car les droits peuvent changer entre les deux appels. A la place, positionner les droits avec umask, setuid et setgid et lancer directement open en testant la valeur de retour.

tout fichier créé doit avoir les droits corrects dès le début ⇒ utiliser umask suivi de open avec le mode

O CREAT—O EXCL, puis v´erifier l’absence d’erreur

attention à la création de fichiers temporaires (délai entre la création du nom et celle du fichier) :

(68)

Conditions de concurrence (3)

utilisez mkstemp au lieu de tempfile utilisez umask au pr´ealable

une fois le fichier ferm´e, ne l’ouvrez plus jamais et ne r´eutilisez pas son nom

effacez immédiatement le fichier avec unlink ⇒ il disparaˆıt du système de fichier mais reste utilisable jusqu’à sa fermeture (et le fichier sera effacé même si le programme plante) plutôt que d’utiliser /tmp, créez un sous-répertoire privé (⇒

umask avant cr´eation)

attention `a NFS (v2) qui ne supporte pas O EXCL.

ne faˆıtes pas confiance aux variables d’environnement TMP et TMPDIR si l’utilisateur peut les positionner

(69)

Sécurité des Systèmes d’Exploitation