Internet: d�mocratisation depuis plusieurs ann�es, acc�s universel et peu cher, TCP/IP courant et connu du ��grand public��. -> attaques faciles � mettre en �uvre, tra�abilit� difficile dans le cas d�une attaque bien faite -> sensation de quasi-anonymat et d�impunit� qu�a l�agresseur (dans un monde virtuel, tout est virtuel, m�me l�ill�gal) -> informations sur les vuln�rabilit�s des syst�mes sur TCP/IP faciles � trouver, outils dans le domaine public -> asym�trie des moyens � mettre en �uvre pour une attaque par rapport aux moyens � mettre en �uvre pour prot�ger ! -> tout acc�s ext�rieur: lignes t�l�phoniques (PABX, RNIS, RTC -> wardialing), X.25 -> compromission physique des locaux (acc�s physique � un PC = acc�s complet au PC) Pourquoi ne sont-elles pas utilis�es plus souvent ? Elles le sont par des pirates ��professionnels��. Pour les pirates amateurs, difficult�s techniques, financi�res (abonnement X.25), et confrontation directe avec la victime (Social Engineering) trop d�licate. Nous verrons dans cette pr�sentation, qui d�crira l��tat de l�art en terme d�intrusion sur Internet, que le niveau de sophistication des attaques sur Internet a largement d�pass� tous les autres domaines.

Les failles de s�curit� permettant de prendre pied sur des machines se trouvent potentiellement dans ces services. Services accessibles de l�ext�rieur = services publics + services filtr�s mais filtrage possible � contourner -ICMP: Echo Request, r�ponse Echo Reply attendue. Superflu, ICMP potentiellement bloqu�. -TCP ACK: envoi d�un ACK sur un port donn�, r�ponse par RST si machine active et port non filtr�. Passe les filtres IP sans tables d��tats

Scanning TCP: par machine et par port int�ressant, on envoie des paquets de test (��probes��). Le comportement de la machine distante � ces paquets de test d�terminent si le port est ouvert ou non. -connect: �tablissement complet d�une connexion (nom venant de la primitive socket connect()). Scan tr�s visible, connexion �ventuellement effectu�e donc service contact�. Logs au niveau firewall et service -Syn Scan: r�alisation partielle du 3-way-handshake de TCP: envoi d�un paquet SYN seulement, attente d�une r�ponse SYN+ACK ou RST. Service non contact�, donc pas de log au niveau du service lui-m�me, potentiellement log au niveau FW et IDS. -FIN/Null/XMAS: combinaison de flags FIN/URG/PUSH, ce scan est conditionn� par le fait que la stack TCP de la machine distante doit se comporter exactement comme d�fini dans le RFC793, pas le cas pour Windows, BSDI, IRIX, IOS. FIN scan tr�s difficile � d�tecter par un IDS car pour d�terminer que le FIN est invalide, il doit garder une table de toutes les connexions actives. -FTP Bounce scan: utilise la particularit� du protocole FTP, mode actif: la connexion de donn�es est effectu�e du serveur vers le client, le client pr�cisant l�IP et le port o� il souhaite que le serveur se connecte. On envoie donc l�adresse de la victime, et le num�ro du port � scanner, la r�ponse du serveur FTP d�terminera si le port est ouvert. Scan UDP: le protocole UDP est non connect�, le scan se fait donc en envoyant un paquet de test sur le port � v�rifier. La stack IP distante r�pond par un paquet ICMP Port Unreach si le port est ferm�, sinon le port est consid�r� ouvert. Le scan UDP est peu fiable car certains OS limitent le nombre de paquets ICMP envoy�s en r�ponse. De plus, ICMP ne doit pas �tre filtr�

� l�issue de la phase de scanning, l�agresseur dispose d�une cartographie pr�cise (pas forc�ment exacte) des abords du r�seau cible.

A l�issue de la phase de scanning, l�agresseur a identifi� le point le plus faible du r�seau cible, celui par lequel l�attaque sera la plus efficace en terme de taux de r�ussite et de furtivit�. Il cherche aussi � compromettre une machine qui lui donne plein acc�s au r�seau cible, ou qui lui permette de rebondir facilement vers d�autres sous-r�seaux de la victime. L�approche utilis�e est opportuniste: alors qu�un administrateur s�curit� doit verrouiller toutes les failles potentielles, le pirate n�a souvent besoin que d�une faille pour compromettre la cible. Alors que l�on peut consid�rer le scanning comme b�nin, la phase d�exploitation est la marque d�une volont� offensive, la marque du d�clenchement des hostilit�s.

Des failles sont d�couvertes quasiment quotidiennement dans de nombreux OS et applicatifs utilis�s sur Internet. Personne n�est �pargn� (cf. statistiques vuln�rabilit�s Securityfocus): OS/soft commerciaux et OpenSource. La tradition dans l�industrie de la s�curit� informatique est dite de ��full disclosure��: sont rendues publiques toutes les informations relatives aux failles qui sont d�couvertes, aussi bien par des soci�t�s de s�curit� que par les constructeurs ou m�me les pirates. Des programmes permettant d�utiliser de fa�on quasi-automatis�e ces vuln�rabilit�s suivent rapidement la publication des nouvelles failles. Les listes les plus courantes pour la publication de nouvelles vuln�rabilit�s sont BUGTRAQ+VULN-DEV (securityfocus), NTBUGTRAQ. En plus des failles rendues publiques (donc pour� lesquelles un correctif (patch)) existe, des pirates s�organisent en cercles secrets pour la recherche de nouvelles failles, conserv�es priv�es et donc souvent imparables (ex. Solaris yppasswdd: donne un shell root � distance sur toute machine Solaris faisant tourner ce daemon� Exploit en circulation depuis plusieurs mois mais toujours aucun patch!!!) Doit-on fournir les exploits ? Le full-disclosure est-il la meilleure m�thode ? Certains pensent que non, notamment en raison du nombre de skript kiddiez, jeunes pirates crackant des machines pour le plaisir, � partir d�outils r�cup�r�s dans le domaine public. Ces attaques n�introduiraient-elles pas un bruit de fond nuisible � l�identification des r�els dangers (pirates professionnels, �) ?

Afin de pouvoir passer � la phase de progression, n�cessitant un acc�s privil�gi� au syst�me pour y installer des logiciels (sniffers, backdoors), le pirate cherche � �lever ses privil�ges. C�est souvent directement le cas: de nombreux daemons Unix tournent sous l�utilisateur root (parfois droppent les privil�ges mais possibilit� de les reprendre: cette perte de privil�ge est faite juste pour l�acc�s au FS). Lorsque ce n�est pas le cas, utilisation d�un exploit dit �local� pour devenir root ou SYSTEM: r�cents d�couverts sur Solaris

on a constate l'installation du rootkit� nomme "01" sous /dev/pts/01 permettant: - l'installation d'un daemon SSH pirate en �coute sur le port 25000/TCP - la modification de la librairie /usr/lib/ldlibnet.so - l�installation d'un sniffer, install� sous le r�pertoire /usr/lib/lpset, et enregistrant dans /dev/prom/sn.l - d'un serveur irc sous le r�pertoire /usr/man/man1/. /�� en �coute sur le port 6668/tcp - d'un outil de d�ni de service sous le r�pertoire� /usr/lib/lpq