SecuriNets, le club de la sécurité informatique de l’INSAT
SecuriMag Le magazine de la sécurité informatique Edition N° 5, Avril 2009-Avril 2010
DOSSIER
Les BotNets • • •
Qu’est ce qu’un BotNet ? Architectures et protocoles Comment combattre les BotNets ? EXCLUSIF La Virtualisation Vue par STONESOFT
DECOUVREZ AUSSI Le Cloud Computing Le serveur Radius Les techniques de la sécurité informatique ... Contact
Rejoignez notre camp Devenez des “white hat” hackers !
www.SecuriNets.com
Editorial Edito
Voilà déjà plus de cinq ans que chaque année, SecuriMag vous emmène à la découverte des mystères de la sécurité informatique. Cinq ans que notre club Securinets s’acharne à vous impliquer dans un domaine extrêmement changeant et fascinant . Une fois de plus, notre magazine évolue sur la forme mais aussi sur le fond. Nous ferons désormais une place plus grande aux sujets d’actualité avec toujours le même souci de faire découvrir la sécurité de toutes ses facettes tant aux spécialistes qu’aux simples usagers de l’informatique. Cette année ci, encore plus de rubrique, pour encore plus de plaisir. Retrouvez une sélection de nos meilleurs articles. Profitez-en bien !
L’équipe de rédaction :
Amna Azzouz Hajer Younes Imen Chebbi
Sommaire
Actualité
1
Serveur Radius Virtualisation Cloud computing
Dossier: Botnets
5
Présentation Architectures & Protocoles Sécurisation
Statistiques
15
Statistiques de 2008
Attention Attaque
17
Les menaces sur Internet
Témoignage
19
Divers
21
Linux VS Windows Quel est le but derrière ? تقنيات تأمين المعلومات
Détente
24
Actualité Radius : Protocoles d’authentification C’est quoi Radius ?
RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant de centraliser des données d'authentification. Très utilisé par les fournisseurs d'accès Internet tel que TOPNET, Gnet grâce à ses fonctionnalités de comptabilité qui assurent la facturation, ce protocole permettait à l'origine d'authentifier les utilisateurs distants utilisant des connexions par modem RTC ou par modem ADSL. Le protocole RADIUS permet ainsi de faire la liaison entre des besoins d'authentification et une base d'utilisateurs en assurant le transport des données d'authentification de façon normalisée. L'opération d'authentification est initiée par un client du service RADIUS, par exemple notre modem ou notre routeur ADSL qui sont appelés NAS (Network Access Server), un point d'accès réseau sans fil, un pare-feu (firewall), un commutateur ou un autre serveur. Le serveur RADIUS principal recevra alors la requête et la traitera en accédant si nécessaire à une base de données externe où les comptes des utilisateurs sont sauvegardés, ces bases peuvent être des bases de données SQL, annuaire LDAP, etc. RADIUS connaît nativement deux protocoles de mot de passe : PAP (échange en clair du nom et du mot de passe), et CHAP (échange basé sur un hachage de part et d'autre avec échange seulement du 'challenge').Depuis, se sont greffées les variations Microsoft: MS-CHAP et MS-CHAP-V2.
Méthodes d’authentification EAP EAP-MD5 : C’est la plus simple. Le client est authentifié par le serveur en utilisant un mécanisme de défi réponse. Le serveur envoie une valeur aléatoire (le défi), le client concatène à ce défi le mot de passe et en calcule, en utilisant l’algorithme MD5, une empreinte (" hash ") qu’il renvoie au serveur. Le serveur qui connaît le mot de passe calcule sa propre empreinte, compare les deux et en fonction du résultat valide ou non l’authentification. Une écoute du trafic peut dans le cas d’un mot de passe mal choisi, permettre de le retrouver par une attaque par dictionnaire ou par force brute. LEAP (Lightweight EAP) : C’est une méthode propre à Cisco qui repose sur l'utilisation de secrets partagés pour authentifier mutuellement le serveur et le client. Elle n'utilise aucun certificat et est basée sur l'échange de défi et réponse.
EAP-TTLS (Tunneled Transport Secure Layer) : utilise TLS comme un tunnel pour échanger des couples (attribut, valeur) à la manière de RADIUS11 servant à l’authentification. Pratiquement n’importe quelle méthode d’authentification peut être utilisée. PEAP (Protected EAP): C’est une méthode très semblable dans ses objectifs et voisine dans la réalisation à EAP-TTLS. Elle est développée par Microsoft. Elle se sert d’un tunnel TLS pour faire circuler de l’EAP. On peut alors utiliser toutes les méthodes d’authentification supportées par EAP. EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): C’est la plus sûre. Le serveur et le client possèdent chacun leur certificat qui va servir à les authentifier mutuellement. 1
Actualité Rappelons que TLS, la version normalisée de SSL (Secure Socket Layer), est un transport sécurisé (chiffrement, authentification mutuelle, contrôle d’intégrité). C’est lui qui est utilisé de façon sous -jacente par HTTPS, la version sécurisée de HTTP, pour sécuriser le Web. Nous analyserons maintenant en détail la méthode EAP-TLS: Avec cette méthode,l’authentification du client d'accès peut se faire de différentes façons : - A l’aide d’un certificat personnel associé à la machine, l’authentification aura lieu au démarrage de la machine. - A l’aide d’un certificat personnel associé à l’utilisateur, l’authentification aura lieu après l’entrée en session (" logon ") de l’utilisateur.
Diagramme d'échange EAP-TLS
Enfin, il est à noter que l'utilisation de certificats possède des avantages et des inconvénients. Ils sont souvent considérés comme plus sûrs que les mots de passe, cependant les opérations de gestion qu'ils engendrent peuvent se révéler fastidieuses (création, suppression, listes de révocation etc.) et l'existence d'une infrastructure de gestion de clés (IGC) est requise. La distribution des certificats aux clients est une contrainte qu'il ne Hssan Jammeli faut pas négliger.
2
Actualité Virtualisation : vers une remise en cause des schémas de sécurité ?
Il est peu courant que des progrès technologiques entraînent un changement radical du mode de fonctionnement fondamental de l’informatique. Toutefois, Internet a eu un impact majeur, non seulement sur la manière d’accéder aux informations, de les stocker et d’interagir avec elles, mais aussi sur la façon avec laquelle les architectures applicatives et les réseaux sécurisent ces informations. La virtualisation révolutionne de manière similaire les environnements informatiques actuels. Pionnier dans le développement de ressources virtuelles avec le mainframe, IBM® offre à présent une large gamme de serveurs et d’architectures virtuels.
désormais à la portée d’organisations de toute taille grâce à l’augmentation exponentielle de la puissance de calculs au cours de ces dernières années. Avec l’avènement de VMware®, Parallels®, Xen™ et d’autres technologies de virtualisation, les entreprises d’aujourd’hui peuvent tirer profit de cette approche de machine virtuelle. Ainsi, la virtualisation a pris d’assaut l’industrie informatique. Selon un récent sondage du magazine InformationWeek, 70 % des personnes interrogées disposent d’au moins un serveur virtuel tandis que moins de 12 % d’entre elles ont une stratégie de sécurité adaptée à leur environnement virtuel.
La vraie valeur ajoutée de la virtualisation est
Effectivement, comme lors de l’avènement de toute nouvelle technologie, la sécurité reste trop souvent le parent pauvre. Pourtant, les risques existent et ne doivent pas être négligés. Ces menaces tiennent souvent au fait que ces architectures sont sécurisées par des méthodes traditionnelles reposant sur un équipement inadapté à ce nouveau concept. Ainsi, les RSSI, DSI… doivent repenser leur architecture de sécurité en l’adaptant à la virtualisation pour tirer le meilleur de cette technologie.
Les environnements virtuels sont très en vogue au sein des entreprises de toute taille. Il est vrai que les avantages de cette technologie sont nombreux en termes de productivité, de coût et d’exploitation. Toutefois, toutes nouveautés technologiques, surtout quand elles rencontrent un fort engouement, déplacent ou créent des problèmes de sécurité à ne pas négliger. Meher Keskes
3
Actualité CloudCloud-Computing : l’informatique dans les nuages Et quand il n’y a guère de nuages, où est - ce qu’on trouve l’informatique??!!!!
En informatique, un concept technico-marketing enchâsse rapidement un autre. A ce titre, le cloud computing est incontestablement le grand gagnant de 2008. Le Cloud computing (l’informatique dans les nuages), est la possibilité de disperser un système d'information sur des infrastructures prises en charge par un ou plusieurs prestataires. La localisation géographique de ces ressources virtuellement illimitées n'importe plus. Ce concept était déjà ébauché par les services d'hébergement, le mode SaaS (Software as a Service) ou la location de puissance de calcul. « Ces modèles existent depuis des années, mais n'ont jamais donné leur pleine mesure. Aujourd'hui, la technologie rend leur généralisation réaliste », estime Bruno Hourdel, directeur marketing chez Sun Microsystems. La majorité des infrastructures de "cloud computing" se compose des services fiables fournis par la prochaine génération de centres de traitement des données qui reposent sur des technologies de virtualisation du calcul et du stockage. La généralisation des connexions Internet à haut débit permet d'optimiser le temps de réponse de l'infrastructure centralisée. Cette nouvelle technologie , après avoir fait preuve de divers points forts, a attiré les pionniers du domaine informatique comme Google, Salesforce.com , Amazon ou Face book. Ces derniers ont ainsi su couvrir des millions d’utilisateurs et les poids lourds historiques de l'informatique comme IBM, HP, Intel et Microsoft ont vite rejoint le mouvement, en effet l’année 2008 parait comme une véritable course à l’armement !!!
Le cloud computing présente plusieurs avantages surtout avec la mutualisation du matériel qui permet d'optimiser les coûts par rapport aux systèmes conventionnels et d'accélérer la vitesse de développement des applications partagées. De plus, il s’avère plus économique car le coût n’est fonction que de l’utilisation du service rendu et ne nécessite aucun investissement préalable pour un homme ou une machine. Cependant, ce concept ne fuit pas aux critiques concernant les risques qu’il soulève encore. En effet, le cloud computing hérite de tous les problèmes inhérents à l'externalisation, un défi majeur étant de garantir la sécurité et la disponibilité des services. L’été dernier, plusieurs pannes sérieuses ont touché les services d'Amazon et de Google. Amna Azzouz
4
Dossier : Botnets C’est quoi les Botnets ? Le terme botnet est la contraction de l’expression « roBOT NETwork », soit littéralement réseau de robots. C’est un réseau d'ordinateurs infectés, structuré de façon à permettre à l'attaquant de transmettre des ordres à toutes les machines botnets ou seulement une partie et les contrôler à distance. Un bot est un malware commandé par le botnet chargé de récupérer et d'exécuter des commandes généralement envoyées sur des serveurs IRC (Internet Relay Chat) ou HTTP par le pirate qu’on le surnomme par « bot herder » .
L’origine des botnets Les premiers bots datent des années 1990. En effet, un bot était un programme destiné à l’aide à la gestion d’un canal de discussion IRC (Internet Relay Chat) à travers des fonctions d’administration à distance et parmi les outils les plus connus on cite Eggdrop apparu en 1993. Par la suite, les bots ont été détournés de cet usage et intégrés à des vers. Un bot combine un bot communiquant avec le propriétaire du botnet, des outils d’infection et des fonctions utiles pour l’agresseur telles que des rootkits. Ces premiers botnets utilisant un serveur central ont facilement été identifiés car ils demandaient une connexion permanente vers le serveur de bot.
L’évolution des botnets Quelques années après l’apparition des réseaux de machines zombies basés sur le protocole IRC qui utilise une approche centralisée, sont apparus les bot P2P. En s'appuyant sur une architecture décentralisée similaire à celle des réseaux de partage de fichier (peer to peer), les bots ne dépendent plus d'une machine centrale. Dans ce second type de botnets, apparu en 2006, chaque bot dialogue avec les bots voisins sans avoir une vision globale du réseau. Ainsi le pirate qui commande le réseau de machines zombies transmet ses commandes à l’un des « bots » connectés.
Ces commandes se propagent ensuite par voisinage sur le reste des botnets interconnectés. Ensuite, sont arrivés les bots HTTP. Ce type de botnets communiquent via le protocole HTTP pour se fondre dans le trafic Internet traditionnel. Ils utilisent les moteurs de recherche pour déterminer leur serveur de commandes et de contrôle à travers des mots clés spécifiques, et utilisent les langages de développement d’applications Web tels qu’Ajax pour communiquer et s’échanger des informations.
5
Dossier : Botnets Familles des botnets les plus connues Agobot/Phatbot/Forbot/XtremBot : C’est probablement le bot le plus connu. Actuellement plus de 500 variantes différentes de Agobot ont été identifiées et ce nombre croît régulièrement. SDBot/RBot/UrBot/UrXBot : C’est la famille de maliciel actuellement la plus utilisée par les pirates malgré son évolutivité minime. Les « mIRC » bot (Gtbot) : Cette famille inclut tous les bots contrôlés à l’aide du protocole IRC (Internet Relay Chat). Ces bots se propagent en exploitant des vulnérabilités sur des ordinateurs distants et se téléchargent eux-mêmes sur des hôtes infectées. Rihab Saidi
Abdessabour Boukari
Comment se propagent les Botnets ? •
Les cracks et les Keygens
Les cracks et les keygens sont des programmes qui permettent d’utiliser les logiciels payants sans devoir se procurer les licences nécessaires. Les cracks servent à enlever (« ou casser ») les protections sur les logiciels payants, alors que les keygens génèrent des clés ou des numéros de série afin de les déverrouiller. Ces programmes sont assez répondus sur les réseaux p2p, et profitent de la confiance de l’utilisateur pour exécuter des codes malveil-
contiennent également une fonction de logiciel publicitaire. •
La navigation sur des sites à haut risque d'infections
C’est un des vecteurs d’infections les plus utilisés actuellement. Les pirates utilisent des sites web contenant un code malveillant qui exploite une faille du navigateur pour s’exécuter et installer un malware dans le système. •
Les mails piégés
Les mails piégés sont des mails dont les pièces jointes (document PowerPoint, image, fichiers exécutalants qui permettent d’infecter le pc. bles..) contiennent des vers et des bots • Les faux codecs De faux sites web demandent aux utilisa- cachés qui s’installent automatiquement dès teurs de télécharger de faux codecs ou des qu’on télécharge les pièces jointes. Propagation via les supports amovicontrôles ActiveX pour visualiser des vidéos. • bles : USB, Flash Ces codecs sont en fait des malwares En double cliquant sur un support amovible qui s’installent sur le pc. pour l’ouvrir, par exemple une clé usb, Windows • Les rogues vérifie d’abord s’il trouve un fichier nommé auLe mot rogue signifie escroc en frantorun.inf. Ce fichier, caché, contient des instrucçais. Il désigne de faux logiciels de sécurité : tions qui seront exécutées automatiquement lors anti-spyware, antivirus.... Une fois installés sur de l’ouverture du support. S’il ne trouve pas ce l'ordinateur, ils signalent que le système est fichier, il ouvre l’explorateur windows. infecté par un virus, même s’il est sain, et proposent à l'utilisateur d'acheter une version payante pour procéder à la "réparation". Mdini Chiheb Outre l’escroquerie manifeste, ces grammes
6
Dossier : Botnets Architecture & Protocoles Botnets hhtp
L’apparition des botnets a accompagné le recours au protocole IRC, cette approche est pratique mais elle est aussi simple à repérer vu que le trafic IRC s’identifie facilement sur un réseau, de plus, il suffit de repérer ce trafic pour mettre fin à ce réseau de bots. Quelques années plus tard, le tour est venu aux bots http, ce sont des réseaux de zombies qui se développent rapidement. Leur administration se fait à travers le web. En d’autres termes, le bot se connecte à un serveur Web pour recevoir les commandes puis il répond en envoyant les données. Le point fort de ces réseaux c’est leur établissement facile, leur administration simple par une interface web sans oublier le nombre important de serveurs web existants. Ces bots sont plus difficiles à détecter car d’une part il n’est pas évident de les distinguer de la masse du trafic légitime des victimes, et d’autre part ces bots peuvent parfois ne pas dépendre d’une connexion permanente avec le centre de commandes contrairement aux bots basés sur IRC ou le protocole P2P. On peut citer comme exemple de bots orientés Internet: Black Energy qui commence par l’envoi d’une simple requête POST pour recevoir la commande à exécuter. Ensuite il revient après l’exécution pour recevoir le prochain ordre sans l’obligation de rester connecté avec le centre de commandes entre temps La popularité de ces botnets est entrain de croitre de plus en plus, vu qu’ils ont passé à l’utilisation de la technologie Web 2.0. Cette technologie qui s’est répondue rapidement ces derniers temps, a attiré l’attention des développeurs de bots, et selon des experts de sécurité informatique « De tels parasites utiliseraient une recherche sur le web afin d’identifier leurs centres de commandes (grâce à un mot clé), puis exploiteraient des messages Ajax pour communiquer entre eux, dissimilant ainsi grandement leur activité derrière un double écran de fumée : l’opacité naturelle d’Ajax et le canal http » Hayfa Akrimi
Botnets IRC
Internet
Relay Chat (IRC) est une forme de communication
temps réel sur Internet. Créé par Jarkko Oikarinen en 1988, ce type de communication ne transmet pas la voix mais bien les mots rédigés au clavier. IRC est un système multi-utilisateurs où les gens se réunissent dans des endroits virtuels appelés salons (Channel en anglais) pour discuter d’un même sujet. 7
Dossier : Botnets L’approche IRC est très pratique du point de vue des botnets car il suffit à son propriétaire de se connecter au même salon de discussion que les machines compromises pour leur donner ses instructions. Pour cela, il faut que les bots soient en mesure d’interpréter les mots reçus sur le salon, les mots étant en fait les commandes. Ceci revient à une simple question de programmation... et quand on sait que les codes sources des bots sont disponibles en open source, on comprend mieux pourquoi ils sont en constante évolution : Comme tout autre logiciel libre (open source), le code est modifiable. Il est conçu pour pouvoir évoluer ! Mourad Belkhodja
Comment fonctionne un Botnet ?
La plupart des bots modernes sont commandés par l'intermédiaire de l'IRC. Les serveurs d'IRC utilisent par défaut le port 6667. Cependant, vous devriez également vous rendre compte que les serveurs d'IRC écoutent également habituellement sur plusieurs autres ports comprenant 6660, 6661, 6662, 6663, 6664, 6665, 6666, 6668, 6669 et 7000.
Ces différents ports sont employés souvent de sorte que le port généralement connu 6667 ne soit pas montré par Netstat comme port à distance de l'ordinateur dont il est relié. Fondamentalement, c'est une sécurité par obscurité. Beaucoup de serveurs d'IRC employés par des maîtres de BOT sont modifiés et peuvent courir sur presque n'importe quel port.
Architecture d’un botnet élémentaire
Un botnet se compose de 3 éléments : Un serveur maître « command master ». Une armée de bots aux ordres du command master. Un protocole de communication command master/bots permettant la synchronisation et le commandement.
Il faut donc, pour mettre en place un botnet, implanter en premier lieu un command master et ensuite déployer une armée de bots à ses ordres.
8
Dossier : Botnets Implantation du command master
Déploiement d’une armée de bots
L’implantation du command Une fois le premier bot implanté, le mécanisme de « recrutemaster se fait en 3 étapes : ment de nouveaux hôtes candi- Identification d’un hôte dats à l’infection » (futurs bots) cible susceptible d’héberger se fait sur l’initiative des bots le serveur maître : les attaeux-mêmes. quants automatisent la reLa plupart des bots, à l’aide d’ucherche des systèmes vulnéne petite collection d’exploits rables à l’aide de scanner de ( d es v u l n é r ab i l it é s b i e n vulnérabilités. connues), tentent constamment - Compromission de l’hôte de compromettre davantage des repéré à l’aide de la vulnéramachines. Ces réseaux procèbilité pour laquelle l’hôte a dent à d’immenses scans à la été identifié. recherche de nouveaux hôtes - Installation d’un bot IRC vulnérables, leur mode de pro(appelé aussi « zombie » ou pagation et d’infection étant « drone »). comparable à celui des vers ou des virus.
Synchronisation et commandement du botnet Le recours à l’IRC permet une communication en temps réel et notamment le contrôle et la synchronisation de plusieurs machines à distance. Les protocoles de communication basés sur l’IRC sont plus ou moins sophistiqués. Ils ont néanmoins en commun leur principe de fonctionnement : les bots implantés sur les machines des internautes se connectent à un canal IRC connu et y attendent les instructions. L’ensemble de ces machines synchronisées constitue ce qui est communément appelé un botnet. Imen Mhedhbi
Sécurisation Comment détecter les botnets ?
Le principe est simple : si on connaît le comportement d’un seul bot, on peut deviner ce que le réseau de bots est capable de faire. L’utilisation de l’architecture suivante peut s’avérer efficace :
La machine Windows est une machine volontairement vulnérable. Le plus souvent c’est une version non patchée de Windows 2000 ou Windows XP. Ce système est très vulnérable aux attaques et normalement quelques minutes seulement après sa mise en réseau, il sera infecté et exploité par un bot. Une fois le bot installé sur la machine, il va essayer de se connecter à un serveur IRC pour obtenir des commandes. C’est à ce moment là que le Honeywall va intervenir : En analysant le trafic sortant et en faisant un contrôle sur les données, il va capter les connexions suspectes et les 9
Dossier : Botnets rejeter (tout en gardant des traces dans un journal). Une connexion est considérée comme étant suspecte si elle contient des messages IRC typiques comme "332", "TOPIC", "PROVMSG" ou "NOTICE"... On peut donc interdire au bot d’accepter des commandes valides depuis le master Channel et par conséquent le bot ne pourra pas nuire à d’autres machines. D’un autre coté, on peut découvrir les informations sensibles d’un botnet depuis les données récoltées : la capacité de capture de données du honeywall nous permet en effet de déterminer le DNS et/ou l’adresse IP que le bot cherche à atteindre (c’est l’adresse du serveur IRC contrôlé par le hacker), le numéro de port correspondant, le surnom du bot, le mot de passe du serveur IRC, le nom du Channel ou encore le mot de passe du Channel... Bref on peut capter un très grand nombre d’informations relatives au botnet auquel appartient le bot qui a infecté la machine Windows. Mourad Belkhodja
Analyse statique & Analyse dynamique
De nos jours, l’analyse de codes malveillants ou encore « malware analysis » est devenue une activité primordiale dans le cadre de la gestion des incidents de sécurité informatique. Les organisations qui s'intéressent à la sécurité de leurs réseaux sont souvent confrontées à des fichiers suspects. Ces fichiers ont été capturés grâce aux antivirus, IDS et systèmes de supervision. Il est donc nécessaire d’analyser rapidement ces fichiers et ceci afin de déterminer s’il s’agit de code malveillant connu, d’une attaque ciblée ou bien d’une fausse alerte. On peut donc affirmer que le fait de savoir le comportement d’un code malveillant est capital aussi bien pour déterminer l'état que peut avoir le réseau (si d’autres machines sur le réseau peuvent être compromises ou non) que pour décider comment réagir. L'analyse est donc un moyen très important qui nous facilite la tâche de comprendre ces programmes malveillants et les analyser afin de déterminer leurs principes de fonctionnement, leurs techniques de propagation/infection et leurs interactions avec d'autres malwares. Nombreuses sont les techniques d'analyse des codes malveillants, parmi lesquelles on cite en premier lieu l'analyse statique. En fait, qu'est ce qu'une analyse statique ? L’analyse statique ou « analyse dead » est l'une des techniques majeures de l'analyse des malwares, c'est l’approche la plus sûre pour inspecter tout fichier binaire malveillant. Cette technique consiste à explorer le contenu des fichiers suspects, dans le but d’extraire le maximum d’informations sans exécuter le code malveillant qu’ils pourraient contenir. L'analyse statique peut être effectuée par deux méthodes différentes qui sont soit le désassemblage soit le débogage. Commençons par le premier procédé : le désassemblage. C'est une manière pour étudier sans risque le contenu du fichier binaire, ça consiste à ouvrir un fichier exécutable dans l'un des outils de désassemblage statique, comme IDA Pro [IDAPRO] ou Win32Dasm, et ceci afin de retrouver le code assembleur correspondant au contenu binaire du fichier.
10
Dossier : Botnets A la lecture de ce code assembleur il est alors possible de deviner le comportement de chaque partie du programme, pour en déduire toutes les fonctionnalités. L’avantage principal de cette méthode est que tous les chemins d’exécution du programme sont visibles “à plat”, ceci autorise l'analyse de l’intégralité du code y compris certaines parties qui ne s’exécutent que sous des conditions particulières. Le désassemblage permet également de trouver d’éventuelles routines de camouflage souvent employées pour masquer les données “sensibles” du code malveillant comme les mots de passe, adresses IP ou URLs de serveurs de contrôle par exemple. Cependant ce procédé a quelques inconvénients: en effet, d'abord, le désassemblage requiert un opérateur très compétent, formé pour lire et analyser du code assembleur, qui connaît bien la correspondance entre ce code, les langages de haut niveau et les appels système, en outre, une analyse complète d’un fichier peut demander beaucoup de temps (de plusieurs jours à plusieurs semaines) et d’énergie, en fonction de la taille et de la complexité du code. En plus de ça, il existe de nombreux codes malveillants qui sont protégés contre le désassemblage à l’aide de techniques de compression ou de chiffrement, par ailleurs, certaines de ces protections peuvent donc demander beaucoup d’efforts et ralentissent l’analyse.
Syser Debugger ou encore Immunity Debugger), afin d’analyser son comportement en suivant le code assembleur, les registres du processeur et les données en mémoire. Comme on a signalé pour le désassemblage, cette méthode nécessite un opérateur très compétent, et les auteurs de code malveillant emploient également des techniques pour détecter ou perturber le débogage. Quels outils peut-on employer dans une analyse statique ?
Divers sont les outils parmi lesquels on mentionne les outils typiques suivants : 1-Outils pour rechercher des motifs ou des mots-clés particuliers 2-Explorateur de documents OLE (MS Office) 3-Afficheur ou éditeur texte/hexadécimal 4-Outils d’analyse d’exécutables 5-Scanner d’exploits connus 6-Outils de File carving 7-Antivirus La seconde technique majeure parmi les techniques d'analyse des malwares est la technique d'analyse dynamique.
A quoi consiste cette méthode ?
En fait, contrairement aux méthodes statiques, l'analyse dynamique vérifie le fonctionnement du code actuellement en l'exécutant dans un environnement adéquat afin d'observer toutes ses actions et d'en déduire son comportement. Ces environnements d'analyse dynamique de malwares ou encore les sandbox, consistent à faire exécuter un échantillon de code sur une En fait le débogage consiste à exécuter pas-à plateforme conçue pour observer toutes ses ac-pas le code malveillant en employant un tions. débogueur (comme Ollydbg, SoftIce, Tout ceci nous emmène vers la deuxième méthode d'analyse statique qui est une méthode souvent employée en complément du désassemblage, utile pour mieux comprendre certaines parties du code ou pour contourner certaines protections : c'est le débogage.
11
Dossier : Botnets Ce type de méthode est parfois appelée analyse comportement ale, ou encor e « dynamic malware analysis », « runtime analysis », « live analysis »ou « behavioral analysis » en anglais. En effet les sandbox procèdent à un « reverse engineering » en exécutant réellement le code malveillant dans un environnement adéquat afin d'observer toutes ses actions et d'en déduire son comportement global. Ces solutions présentent l'avantage d'être plus fiables et plus rapides, d'automatiser l'analyse de nombreux fichiers et de fournir des résultats plus complets. Les informations utiles qu'il est souvent possible d'extraire à l'aide de l'analyse dynamique sont: les informations sur la source de l'attaque, les actions du code malveillant sur la machine compromise: fichiers créés/modifiés/ supprimés, processus lancés/stoppés, clés de registre modifiés, services installés, .,les activités sur le réseau:
connexions sortantes, serveur en écoute, ..., les fonctionnalités malveillantes : virus, ver, cheval de Troie, rootkit, écoute clavier ou réseau, botnet, ..., les techniques de compromission. Parmi les solutions sandbox les plus efficaces nous citons Norman Sandbox, CwSandbox et Anubis. Ces plateformes sont généralement gratuites, mais la confidentialité des résultats n'est pas assurée, et l'environnement de test est rigide puisqu'il est impossible de choisir une plateforme spécifique. De plus, il n'est généralement proposé que l'analyse de fichiers exécutables Win32. Les techniques d'analyse citées, sont en réalité complémentaires. Leur but principal est de nous permettre de mieux caractériser les programmes malveillants collectés afin de prendre les mesures de protection adéquates.
Maha Sassi
Abdessabour Boukari
ZOOM sur l’Analyse statique
L’analyse statique est une technique qui consiste à explorer le contenu des fichiers suspects à l’aide de divers outils, dans le but d’en extraire le maximum d’informations sans pour autant l’exécuter. Ces informations nous permettent de déterminer le comportement et d’étudier sans risque le contenu de ce code. Pour analyser un fichier suspect dont on n’a aucune connaissance préalable, nous devons passer par un certain nombre d’étapes, il est à noter que nous sommes en train de parler de code malveillant binaire ou exécutable et non pas de script (comme VBScript worm, JavaScript..) : Il faut tout d’abord préparer un environnement de travail sain, c'est-à-dire une machine isolée, non connectée à aucun réseau qu’on appelle Sandbox. Cette étape permet de sécuriser la machine en cas où le bot s’exécutera par erreur et d’éviter qu’il se propage à travers le réseau. Une fois l’environnement est convenablement préparé, on commence par déterminer la signature du malware à l’aide d’une fonction de hachage qui va générer une empreinte unique de ce fichier. 12
Dossier : Botnets Cette empreinte va nous permettre de savoir si
Nous arrivons maintenant à l’étape de
ce malware a été déjà analysé par une autre per-
conversion du code. Une première conver-
sonne. Pour ce faire, on peut trouver des sites
sion pourra être effectuée qui consiste au
qui permettent d’accomplir cette tâche. Il suffit
désassemblage c'est-à-dire convertir le code
d’entrer l’empreinte et il va vérifier si ce fichier a
binaire en un code assembleur. Pour ce faire,
été déjà traité. On peut citer comme exemple le
on peut utiliser divers outils comme IDA
site suivant www.virustotal.com. Cette étape est
PRO ou OllyDbg. Mais à ce niveau, il faut
très importante dans le but de ne pas perdre du
avoir une bonne connaissance du langage
temps dans l’analyse d’un malware qui a été dé-
assembleur pour bien le comprendre et une
jà traité.
bonne expérience pour pouvoir détecter les
Une fois que ce malware n’a pas été analysé par une autre personne, on peut passer à l’étape
instructions qui nous permettent d’identifier le fonctionnement du malware.
suivante qui consiste à vérifier si ce malware est
Cette dernière étape pourra être suivie
crypté ou pas et si c’est le cas, vérifier par quel
d’une deuxième étape de conversion qui
outil et par quelle version d’outil il a été crypté.
consiste à la décompilation qui nous permet
Là, on peut utiliser le logiciel PEID qui va nous
de passer au code source C ou C++ par
permettre d’identifier la signature du Packer.
exemple. Mais cette conversion génère géné-
Une fois que ce dernier est identifié, on peut l’u-
ralement des erreurs c'est-à-dire que c’est
tiliser pour décrypter le fichier suspect. Cette
presque très difficile de retrouver le code ini-
étape nous facilitera par la suite la lecture du
tial. Pour faire la décompilation, on peut uti-
code et du coup d’éviter les fausses lectures.
liser l’outil IDA Pro avec le plugin Hex-Rays.
Notre code est bien décrypté, on peut maintenant essayer d’analyser les chaines de
Pour conclure, cette technique d’analyse est
caractères qui figurent au niveau du code à l’ai-
très puissante avec un minimum de risque,
de, par exemple, du programme « Strings » qui
mais ça demande beaucoup de temps et de
sert à extraire des chaînes de caractères d’un
connaissances en matière de programma-
fichier binaire. Il est à noter que généralement
tion, des systèmes d’exploitation et surtout
les développeurs de bots, dans la plupart des
de langage assembleur.
cas, signent leurs œuvres en ajoutant des informations personnelles au niveau du code, tout simplement, pour se montrer et pour avoir un moyen de copyright. Manel Ben Youssef
Chiheb Mdini
13
Dossier : Botnets Comment sécuriser votre machine contre les botnets ? Avoir un pare-feu correct et bien configuré autre que celui de Windows XP. Avoir un antivirus correct et bien configuré. Avoir, par exemple, Spybot Search and Destroy, bien configuré. Avoir Zeb Protect, bien configuré. Avoir, par exemple, xp-antispy, bien configuré. Configurer les Services et les programmes au démarrage. Pour surfer, choisir, par exemple, Mozilla Firefox (et quelques Modules Complémentaires de sécurité) à la place d'Internet Explorer. Pour vos mails, préférer Mozilla Thunderbird, par exemple, à Outlook Express. Se créer une ou plusieurs adresses secondaires gratuites (...@yahoo.fr,...) et utiliser des adresses jetables. Faire ses mises à jour très régulièrement, y compris celles de ses log sans oublier celles concernant Windows. Avoir éventuellement un HIPS (complexe !) pour gérer les processus amis et ennemis de "son" Windows.
Mejda Guizani
14
Statistiques Statistiques 2008 Avec le développement de la cybercriminalité, le domaine de la sécurité informatique a connu une expansion rapide et est devenu un secteur prometteur en terme d’investissement dans l’industrie logicielle. On cite à ce propos l’exemple de Symantec,Trend Micro et McAfee. Le marché de la sécurité informatique attire actuellement des acteurs divers du domaine de l’informatique tels que Microsof, EMC ou Cisco
L’évolution pointée par ce graphique, et confirmée par l’ensemble des acteurs de l’industrie de la sécurité, met en évidence la constante croissance du nombre de vers et de chevaux de Troie, ce qui reflète la nouvelle tendance dans les techniques de piratage ;il s’agit de créer des réseaux d’ordinateurs zombies temporaires. De l’autre côté, les logiciels espion (spyware) et les logiciels publicitaires (spam) commencent à décliner grâce aux nouveaux outils performants de sécurité.
Les statistiques schématisées sur le graphique montrent que les deux tiers du courrier électronique se propageant sur Internet sont indésirables. Dans la majorité des cas, ce sont des publicités provenant essentiellement des Etats-Unis (à un taux de 43%) et de la Chine (à un taux de 13%),et malgré les lois et les sanctions prescrites aux spammeurs, le phénomène persiste.
Le nombre de machines recensées sur Internet approche les 395 millions en 2007. Le rythme de croissance d'Internet s'est considérablement accéléré depuis l'an 2000, connaissant un nouveau boom à partir de l'année 2004. Pour un même nom de domaine, plusieurs machines peuvent être recensées. Ces chiffres comptent également les machines de particuliers connectées à Internet. 15
Statistiques
L’escroquerie en ligne ait vue une explosion depuis 2003, en effet, le nombre de courriers envoyés à cette fin augmenta de quelques milliers à plus de 20000 aujourd’hui. Mais depuis environ un an, le phénomène commence à ralentir. Par contre, le nombre de sites de phishing augmente considérablement puisque l’escroquerie en ligne disparait au bout de 5 jours environ d’après l’Anti-Phishing Working Group. Avec la montée en puissance d'Internet, les virus n'ont pas été les seuls programmes informatiques à se développer. Le piratage de logiciels, ici mesuré par l'association BSA, a fortement crû. Au fur et à mesure du développement économique, ce taux tend toutefois à se résorber. De plus, les éditeurs sortent désormais des versions allégées de leurs produits ciblant spécifiquement les marchés émergents.
Aymen Bouchriha
16
Attention Attaque Les menaces sur Internet
Aujourd’hui plus qu’un milliard de personnes dans le monde surfent sur Internet et 25,6 millions des foyers sont connectés à l’ADSL . Internet est une mine d’informations illimitée. Trouver la recette de son plat préféré, trouver ses camarades du lycée, regarder un programme télé, trouver un numéro de téléphone, programmer ses vacances, … Sur Internet, quand on cherche, …on trouve, même des informations fausses ou interdites. Informations, fichiers audio, vidéos, achats en ligne, échanges de mails, chats, jeux en réseau, … mais aussi virus, espions, spams, piratage, … Internet offre le meilleur comme le pire. Lorsqu’on parle d’Internet on évoque souvent ses dangers et menaces. Ces dangers sont bel et bien réels, mais avec quelques conseils et astuces, on peut éviter ce genre de tracas et contourner les chaussetrappes. On va donc faire un petit tour d’horizon des principaux risques et énoncer quelques recommandations pour surfer avec le maximum de sécurité.
irus V Comment se protéger contre cette menace ? Les C’est au milieu des années 80 que le monde découvrit la menace que représentaient les virus informatiques. Ils sont des programmes fonctionnant dans le but de modifier le bon fonctionnement de votre machine. Ils peuvent effectuer de différentes opérations, à savoir : • Essayer de se reproduire en infectant d’autres logiciels présents sur les disques de la machine et plus spécialement les supports amovibles, afin de se propager facilement vers d’autres machines qui tenteraient de lire ces supports. •Faire des opérations nocives sur l’ordinateur, par exemple modifier ou détruire des fichiers ou des données critiques… Donc, il est très important de trouver des solutions contre cette menace. Le problème, ici, consiste à l’incertitude des méthodes de prévention. En effet, le meilleur antivirus présente un taux de détection ne dépassant pas les 85% vu qu’en se multipliant, les virus se
cryptent de manière à passer inaperçus. Pire, ils mutent d’une génération à une autre afin de compliquer leur détection. Bref, détruire les virus aujourd’hui, c’est le rôle principal des antivirus mais vu qu’ils sont nombreux ça devient très difficile de choisir entre un logiciel payant ou gratuit et surtout de choisir un logiciel performant. Ces antivirus offrent tous plus ou moins le même niveau de protection. La différence entre eux tire plus à leur niveau d’intégration de divers modules de sécurité. L’antivirus gratuit propose en général un panel suffisant d’outils : antivirus, antispyware et scanneur de messagerie électronique et il emploie généralement de diverses méthodes de détection. Outre que les antivirus, il est préférable d’appliquer quelques règles simples qui s’avèrent très efficaces permettant de diminuer l’effet de ces virus qui consistent à : 17
Attention Attaque - Ne pas télécharger des fichiers ou programmes d’origine inconnue. - Faire attention aux e-mails que vous recevez et surtout les pièces jointes. - Faire régulièrement des sauvegardes de vos données importantes.
ms a p S Les
Comment les bloquer ?
« Après la boîte aux lettres de votre domicile, le pare-brise de votre voiture, le fax de votre société, voici que c'est votre boîte aux lettres électroniques qui récolte les tracts et les pubs. Dans le jargon, on appelle ça spam ou spamming, polluriel, pourriel, courrier-rebut, courrier indésirable... Selon les études, ce fléau représenterait aujourd'hui plus de 70 % du trafic e-mail ! » En fait, le spam est le courrier électronique non sollicité envoyé à un très grand nombre de personnes sans leur accord préalable. Ses inconvénients majeurs sont : • L'espace qu'il occupe dans les boîtes mails des
victimes. • La consultation difficile des messages person-
nels ou professionnels au sein de nombreux messages publicitaires, d’où l'augmentation du risque de suppression erronée ou de non-lecture de messages importants. • La perte de temps occasionnée par le tri et la
•Afin d'éviter ces messages non sollicités, il
est nécessaire de : •Utiliser des anti-spams. •Ne pas transmettre les messages (blagues,
etc.) invitant l'utilisateur à ré-envoyer le mail au maximum de contacts possible. De telles listes sont effectivement des moyens pour les collecteurs d'adresses. Il est éventuellement possible de faire suivre le message en s'assurant de masquer les adresses des destinataires précédents. •Eviter au maximum de publier son adresse
électronique sur des forums ou des sites Internet. Dans la mesure du possible, remplacer son adresse électronique par une image (non détectable par les aspirateurs d'adresses) ou bien en la décomposant (par exemple « manel tiret ben point youss arobase securinets point com ».
suppression des messages non sollicités. • Le caractère violant ou dégradant des textes ou
images véhiculés par ces messages, pouvant heurter la sensibilité des plus jeunes . • La bande passante qu'il gaspille sur le réseau
des réseaux. Manel Ben Youssef
Afef Denguir
18 1
Témoignage Certes, chacun de nous a conçu un certain profil d’expert en sécurité informatique mais cette conception ne peut être proche de la réalité que si on dévoile les expériences de nos prédécesseurs en ce domaine et en tirer profit. A l’occasion de notre stage d’été au sein de l’Agence Tunisienne d’Internet, on a eu l’honneur de rencontrer des professionnels en sécurité informatique et de toucher de prés leur vie professionnelle quotidienne. A ce propos, on a insisté à vous communiquer l’expérience de Mr Mohamed SAIDENE, occupant le poste de responsable en sécurité informatique de 2001 jusqu’à 2008 et récemment, il est nommé responsable en réseaux.
Afin de parvenir au poste que vous occupez maintenant, qu’est ce que vous avez suivi comme études ?
J’ai eu le diplôme de baccalauréat section techniques puis, j’ai suivi mes études dans la spécialité d’informatique industrielle à l’ISET de Nabeul. A L’ENSI, j’ai eu mon diplôme d’ingénieur en système d’informations et tout de suite j’étais recruté à l’ATI pour en être le responsable de la sécurité après avoir suivi une formation en sécurité informatique. Pourquoi avez-vous choisi ce domaine?
Personnellement, j’étais très doué en informatique mais je n’ai jamais opté pour être un expert en sécurité informatique. En réalité, certains de mes enseignants m’ont orienté vers ce domaine vue qu’ils ont aperçu en moi quelques critères qu’ils considèrent indispensables en un responsable de sécurité informatique. Alors d’après vous quel est le profil d’un responsable de sécurité ?
qui peut influencer son travail et son succès à ce poste. En fait, Je pense qu’il y a des qualités qui doivent être réunies en un responsable de sécurité pour mener à bien sa mission et réussir son travail. Je suppose qu’il doit être une personne calme, sage, discrète, précise, une personne de confiance et se dote d’une bonne capacité de concentration et d’assiduité.
Est-ce que voue êtes satisfaits de ce que vous faîtes maintenant : est ce vous avez trouvé ce que vous attendez ou pas encore ?
En réalité, je peux affirmer que techniquement je suis bien satisfait et je trouve réellement ce que j’attendais mais je ne peux pas nier non plus que je suis encore insatisfait sur d’autres plans parce que des fois des décisions administratives influent sur les politiques de sécurité et la rendent vulnérable, à part d’autres points d’ordre sociale.
Le profil d’un tel responsable se base essen- Pensez vous que la sécurité est indispensable à toute entreprise quelque soit son domaine tiellement sur deux aspects : l’aspect technique et d’activité ? l’aspect comportemental, je ne vais pas trop parler du coté technique puisqu’il est évident qu’un De nos jours, la sécurité informatique est tel poste exige dès le départ des connaissances et considérée un des principaux facteurs de la réussite d’une entreprise et de sa continuité. des compétences bien approfondies mais je vais plutôt insister sur le coté moral de cette personne
19
Témoignage Tout type d’entreprise, une fois qu’elle est branchée au réseau mondial « Internet », doit se soucier de sa sécurité et prendre les mesures adéquates pour se protéger contre les menaces qui peuvent la viser. De là, toute entreprise est censée adopter une bonne politique de sécurité pour s’assurer qu’elle est à l’abri de tout danger, quelque soit son domaine d’activité. Comment vous jugez le degré de conscience des tunisiens vis-à-vis de la sécurité informatique ?
cet objectif est considéré comme grave ; je peux citer la perte de données, la mise hors service de ressources et le vol de données confidentielles. Pour un simple utilisateur, ça dépend de ce qu’il considère comme précieux ; les films, son historique de Skype ou son PFE. De nos jours, on entend parler d’une nouvelle menace qui est les botnets, est ce que vous pouvez nous donner un aperçu sur cette menace étant donné que vous êtes un spécialiste du domaine ?
La plupart des Tunisiens sont inconsUn botnet est un élément connecté au récients et ne commencent à bouger qu’après avoir subis des dommages ; d’autres ont des seau qui est contrôlé par une personne, généralement dont il n’a pas le droit. Il peut être utiliconnaissances qui se limitent aux virus. sé comme un simple proxy de navigation, une D’après vous, quelles sont, aujourd’hui, les mena- machine de stockage ou porter des attaques à ces les plus graves et les plus sérieuses qui visent d’autres éléments. une entreprise ou même un simple utilisateur ? En règle générale, le botnet est utilisé pour cacher la vraie identité de celui qui porte l’action. Une entreprise est créée pour gagner de l’argent, donc tout ce qui peut se mettre contre A quel point les botnets présentent ils un danger ???
L'objectif principal d'un botnet est de se cacher afin de ne pas être retracé. Il est possible, à travers un botnet, d'effectuer tout type d'attaques qui peuvent être exécutées à partir d'un ordinateur normal. Si le pirate arrive à installer un bot sur plusieurs éléments, il peut exécuter un DDos. Les vrais propriétaires, des éléments utilisés comme botnet, peuvent être inculpés des actions dont le malfaiteur est responsable, s'ils ne peuvent pas prouver leur innocence.
Amna Azzouz
20
Divers Linux VS Windows : Avantages de Linux Open source ( libre en français) : le code source du noyau système et des programmes est accessible. Cela veut dire qu'un utilisateur ou un programmeur peut modifier, ajouter ou corriger un logiciel via son code source et ce, librement, sans aucune limite dans le temps.
Gratuité (aucune License à payer) : cela représente des économies pour les entreprises. Compatibilité multi-architecturales : Linux s'installe sur toute sorte de machine : Intel (x86),powerpc, sparc, amd64 (ia64), mips, alpha, arm,....En comparaison, à ce jour, Windows n'est compatible qu'avec les processeurs Intel (x86) et AMD (32 et 64 bits ).
Sécurité contre les virus et les spyware : Aucun type de ces malwares n'affecte les fichiers ou programmes systèmes de manière critique ou dangereuse. Avec Linux, on n’a pas besoin d'anti-virus ni d'anti-spyware sauf si c'est pour scanner des fichiers sur une partition dans un réseau partagé avec d'autres systèmes d'exploitations Windows.
Possibilité d’installation et de démarrage sur une clé USB : via votre BIOS. Evolution rapide des distributions :
Les distributions les plus connues divulguent en moyenne, une nouvelle version majeure tous les six ou sept mois.
Installation multilingue sur un seul cd (ou dvd) : Presque toutes les distributions de Linux offrent le choix de langues d'interfaces et de logiciels lors de leurs installation.
Compatibilité avec toutes les normes des technologies du web et informatique ouverte : comme W3C pour le net, OpenDocument pour la bureautique. Plus il y a de compatibilité, moins il y aura de restriction soit en licence ou en utilisation.
Economie en ressources systèmes : le système linux est beaucoup moins gourmant en termes de ram, cpu, espace disque,... que Windows, ce qui aide à avoir une plus grande rapidité d'exécution des programmes que Windows.
Correction rapide des bugs : cela est du au fait que les programmes concernés sont dits ouverts (open source) donc plus il y aura des yeux regardant le code d'un logiciel, moins il y aura de bugs à court terme.
Grande tolérance aux pannes : linux se caractérise par une grande tolérance aux pannes plus que Windows ;Les «plantages » de Linux sont beaucoup moins fréquents que Windows et ce, peu importe la version du noyau utilisé. C'est ce qui constitue principalement le grand succès de Linux auprès des entreprises dans le monde. Amira Methni
21
Divers Quel est le but derrière ?
On a tous entendu parler de la
« CYBER WAR ». C’est une guerre
très chaude guidée par des hackers de plusieurs nationalités, orientations politiques et religieuses. Elle était la conséquence de quelques événements et situations politiques, religieuses, culturelles et économiques dans le monde entier, le résultat était la mise hors service des milliers de sites Web. Des serveurs qui hébergent des sites gouvernementaux, universitaires et commerciaux ont été attaqués dont on peut citer divers exemple : Après la sortie de « Fitna », le film d'un député néerlandais qui considère la religion islamique comme une religion basée sur la violence et la haine envers les autres , presque 1500 sites stockés sur le même serveur d'un hébergeur néerlandais ont été attaqués en modifiant la page d’accueil par une autre réalisée par un pirate connu sous le nom de « nEt^DeViL », qui essaye de se présenter comme un militant « anti-Fitna » défendant la religion islamique contre ces insultes .
Presque dans le même contexte s’inscrit la guerre chaude entre les hackers marocains et les hackers israéliens qui se poursuit jusqu'à aujourd’hui et qui à cause d’elle, des serveurs hébergeant des centaines de sites Web ont été endommagé de deux cotés .Les hackers marocains ont motivé leurs attaques informatiques des différents serveurs de l’Etat hébreu par l’ampleur des crimes commis par l’armée israélienne en Palestine et au Liban. De plus, plusieurs sites d’entreprises spécialisées dans la sécurité informatique ont été attaqués pendant les premiers mois de l’année 2009. Citons, à ce propos, l’attaque qui a ciblé le site de kaspersky, le leader des logiciels antivirus et de la sécurité sur Internet et qui est sensé être le site le mieux sécurisé. Le hacker qui a attaqué le site a utilisé des attaques de type SQL Injection pour afficher le contenu de toute la base de donnés. Suite à cela un hacker nommé « S4udi-s3curity-T3rror » a attaqué le site de kaspersky hébergé en Russie. Ce qui est plus surprenant est qu’un nombre important des sites de la communauté underground ont été piratés aussi, tel que le site Internet de Kévin Mitnick et le Black Hat Forums. Suite à cela, on se trouve face à une question qui se pose et s’impose: Abdelkarim Fitouri Quel est alors le but réel derrière le piratage??
22
Divers تقنيات تأمين المعلومات نظرا لما يكتسبه تأمين المعلومات من أھمية قصوى في ظل االنتشار الواسع لشبك ات اإلع الم ي ة و ال ت ط ور ّ المطرد لتقنيات القرصنة من جھة و قيمة المعلومة من جھة أخرى وال ت ي ت ع ت ب ر أھ م م ك ون ات ال م ن ظ وم ة المعلوماتية ،فقد إرتأينا أن نقدم شرحا مبسطا ألھم التقنيات المتبعة لتأمينھا .و قبل الخوض في ھ ذه ال وس ائ ل
البد من تقديم عناصر السالمة المعلوماتية و التي تشمل: ـ السرية :ھي ضمان عدم اإلطالع على محتوى المعلومة من غير المرخص لھم. ـ السالمة :التأكد من أن المعلومة لم يطرأ عليھا تغيير او تعديل أثناء مراحل التخزين او المعالجة أو اإلتصال. ـ االستمرارية :نعني بذلك ضمان توفير المعلومة كلما لزمت الحاجة و إتاحتھا للعمل. إن توفر العناصر المذكورة آنفا إضافة إلى التعقب و التجانس يتطلب بعض التقنيات لضمانھا أو حتى دمج مجموعة منھا ل ل ح ص ول ع ل ى
طريقة أكثر أمنا و أكثر سالمة كما ھو الحال في المصادقة اإللكترونية .و من بين ھذه التقنيات نذكر: ـ البعثرة :و ھي طريقة تؤدي للحصول على بصمة إلكترونية للنص أو الوثيقة .فبتطبيق إحدى خوارزميات البعثرة تتحص ل ع ل ى بص م ة إلكترونية وحيدة للنص تكون بمثابة ھوية له .و ال يمكن استخدام ھذه البصمة إلعادة تكوين النص ال ُمعطى و بالتالي فھذه ال ت ق ن ي ة تض م ن
فقط عنصر السالمة. MD5لعل من أشھر خوارزميات البعثرة خوارزمية و ھذه الخوارزمية تم تصميمھا من قبل رونالد ريڢست سنة 1991غير أن سنة 1996تم اكتشاف عيب بتصميمھا و س ن ة 2007ق ام
فريق من الباحثين بوصف طريقة إلنشاء ملفين مختلفين بنفس الحجم و بنفس البصمة مما أدى بالخبراء إلى . )(SHA-1االلتجاء إلى وسائل أكثر تطورا على غرار ـ التشفير بالمفتاح العمومي :و يرتكز على استعمال زوج من المفاتيح غير المتناظرة أحدھما سري و اآلخر عمومي ،فال م ف ت اح ال ع م وم ي يمكن تبليغه لجميع األطراف بينما يتم اإلحتفاظ بالمفتاح السري بطريقة مؤمنة و سرية .و ما يتم تشفيره بأحد المفتاحين ال يتم فك شفرته إال بالمفتاح المقابل .و مبدأ التشفير غير المتناظر بسيط:إذا أراد »أ« بعث رسالة مشفرة وأراد أال يقرأھا سوى »ب« فينبغي ع ل ي ه أن ي ت ولّ ى تشفيرھا بواسطة المفتاح العمومي لــ »ب« .وال يمكن لھذا األخير فك رمز الرسالة إالّ بواسطة مفتاحه السري.
و التشفير يضمن عنصري السرية والسالمة. ـ اإلمضاء اإللكتروني :و ھي طريقة مماثلة لإلمضاء اليدوي و تم ّكن من التعريف بھوية الم م ض ي و ب ال ت ال ي إس ت ح ال ة إن ك ار ال وث ي ق ة الممضاة.و يتمتع اإلمضاء اإللكتروني بنفس القيمة القانونية لإلمضاء الخطي )القانون عدد 83لسنة 2000م ؤ ّرخ ف ي 9أوت ،2000
المتعلق بالمبادالت والتجارة اإللكترونية 2000). و عملية اإلمضاء الرقمي أو اإللكتروني تقوم بدمج تقنيتي البعثرة و التشفير بالمفتاح العمومي ،فبعد إستخراج بصمة الرسالة يتم تشفي رھ ا بالمفتاح الخصوصي لل ُمر ِسل و عند وصول الرسالة يقوم المتلقي )ال ُمر َسل إليه( بفك التشفير باْستعم ال ال م ف ت اح ال ع م وم ي ل ل ُم ر ِس ل و ْاستخراج البصمة المر َسلة و بالتالي التأ ّكد من سالمة الرسالة و ضمان ھوية المر ِسل و تفادي عدم اإلنكار. ـ المصادقة اإللكترونية :رغم أن عملية التشفير بالمفتاح العمومي تعتبر ناجعة إال أنھا تحوي خلال قد يؤدي إلى فشل عملية التشفير برمتھا و اإلطالع على فحوى الرسالة لغير المخول لھم .و يكمن المشكل في أن ال ُمر ِسل ال يمكنه التأكد من ھوية صاحب المفتاح الع م وم ي ال ذي به سيشفر الرسالة .و من ھذا المنطلق نشأت فكرة شھادة المصادقة اإللكترونية و ھي بمثابة بطاقة ھوية تبيّن اسم الشخص أو الش رك ة أو الكيان ،وتشھد بملكيته للمفتاح العمومي ضمن تلك الشھادة .ويقع إصدار الشھادة اإللكترونيّة من قبل طرف ذي ثقة يسّمى سلطة المصادقة،
وھو كيان مسؤول عن إصدار الشھادات اإللكترونية وتسليمھا والتصرف فيھا ،وھي الضمان الوحيد لھوية صاحب الشھادة. إذن فالغاية من ھذه الشھادة ھو خلق مناخ من الثقة بين الطرفين المتفاعلين على الشبكة العنكبوتية )مثال :المتصفح و موقع الواب( ،فسلطة المصادقة تمنح الموقع ھذه الشھادة و التي تحتوي على المفتاح العمومي للموقع و يقوم المتصفح بالتثبت من ھ ذه ال م ع ل وم ات ل دى ن ف س السلطة الموثوق بھا و في حالة التطابق تنشأ الثقةبين الطرفين و يبدأ التخاطب المؤمن و السري بينھما. ُمص َعب بنع ّمار
23
Détente Blagues fi l s : c son e v isie a i cho ute a c ' s j i d e u rti ille q t ave une f s s for e e s r i u a ff a fe m épo e d'a e tu sir m i u m o q m h x o c r eu Un h ouvoi , je v eu x p n fi l s v o e M j , enfin toi Mais ! pour ? t men s - Com même !!! Gate e Bill oi: d m s e r l e l o m fi t al s t la re d i " i ll e e f Le pè cas... e tes: t e t ill Ga ns c a is ce B d a r , i M ll e hhh va vo r e fi l s : " A , le pè re p r vot u Le fi n o t tro i p s a ari d em ll e e m i n f n e l a u m Le j'ai nfin, jour, ais e M ! - Bon ? ! : r !! ment alors t marie - Com pond siden r se é u é r r o s p p e e r e i n c a i u je 'aff es t v me d mme L'hom jeune ho le … ce ondia Mais ue M q n a B d e la
B il l Ga Le s tes : "A urle ndem hhh, da Ban ns c ain que Mon , le pèr e cas..." - Bo e va njou diale voir le p me v r, j'ai q rési uelq iceden prés u'un t de - Co i à d la ent v mme o u s d n e r t ?! e l a c -pré o b mma Mai s id e s en anque nde fin, r co Le p nts qu' j'ai mil ne ère d é : m'e n fa jà plus de v u t !! ! ic e - Ma is c e le g endr jeune h omm e de prés ee B il l iden G t ates st cas. : "A ..." . Le hhh , da ns c e
Dans quelle catégorie se range la ou les femmes que vous connaissez ? La femme DISQUE DUR : Elle se rappelle tout, POUR TOUJOURS. La femme RAM : Elle oublie tout de vous, dès le moment vous vous lui tournez le dos. La femme WINDOWS: Tout le monde sait qu'elle ne peut pas faire une chose correctement, mais personne ne peut vivre sans elle. La femme EXCEL : On dit d'elle qu'elle peut faire énormément de choses mais vous l'employez surtout pour gérer votre planning. La femme ÉCONOMISEUR D'ÉCRAN : Elle est bonne à rien mais au moins, elle est marrante! La femme INTERNET : C'est une vraie avaleuse de bits La femme SERVEUR WEB: Toujours occupée quand vous avez besoin d'elle. La femme MULTIMÉDIA : Elle sait rendre jolies des choses dénuées d'intérêt. La femme CD-ROM : Elle va toujours plus vite avec le temps. La femme Courrier électronique : Sur dix choses qu'elle dit, neuf sont des pures conneries. La femme VIRUS : Aussi connue sous le nome d'"ÉPOUSE"; quand vous ne l'attendez pas, elle arrive, s'installe et utilise toutes vos ressources. Si vous essayez de la désinstaller vous perdez forcément quelque chose... Et si vous n'essayez pas de la désinstaller, vous perdez tout ......... Hajer Younes ...
24
Détente L’informatique Depuis que j'fais d'l'informatique Je n'ai plus que des embêtements Ah mon dieu quelle gymnastique C'est pas tous les jours très marrant Mais attendez que j'vous explique Tout ce qui cause mon tourment : J'ai le Mac qu'est patraque Le PC déglingué Le Pentium sans calcium J'ai l'écran qu'est tout blanc L'disque dur pas bien dur Le clavier tout bloqué Le modem qu'a la flemme L'imprimante bien trop lente, Les cartouches qui se touchent Et les buses qui abusent Les polices qui pâlissent L'dvd fatigué Le scanner qu'a ses nerfs L'menu pomme dans les pommes L'cd rom c'est tout comme La mémoire sans espoir Les options en option La souris rabougrie Le mulot qu'est trop gros Ah mon dieu qu'c'est palpitant Toute cette informatique Ah mon dieu qu'c'est palpitant Mais qu'est-ce qu'on perd comme temps Comme j'ai un bug dans le système J'téléphone au réparateur Y'me demande "Quel est l'problème Je vous écoute j'ai un quart d'heure" J'lui dis soyez pas si pressé Et laissez moi vous expliquer : J'ai le Mac qu'est patraque Le PC déglingué Et puis j'ai ajouté Voyez vous ce n'est pas tout : J'ai l'e-mail qui s'emmêle Les circuits qui sont cuits L'raccourci riquiqui J'ai l'index qu'est perplexe Les pixels en rondelle J'ai l'e-mail qui s'emmêle
Les circuits qui sont cuits L'raccourci riquiqui J'ai l'index qu'est perplexe Les pixels en rondelle L'USB constipé J'ai les bits qui s'agitent La sauvegarde pas gaillarde La disquette qui caquette L'utilitaire qu'a des vers Les icônes qui déconnent L'processeur qu'est farceur Le graveur qu'est en pleurs Le lecteur qui bat l'beurre L'moniteur et ta sœur J'ai invité la belle Suzanne L'autre jour au cybercafé Elle m'a dit : " J'préfère ta bécane Allons chez toi fais moi surfer ! " Hélas ma machine est en panne Que j'lui réponds, j'suis désolé : En plus d'ça, j'vous l'cache pas J'ai aussi, quel souci Les octets pas très frais Les virus plein d'tonus Les majuscules qui s'bousculent Les minuscules qui copulent Le Windows qu'est morose Les programmes, c'est un drame Et la puce en lotus Le cordon en tire-bouchon L'MS DOS qu'a des bosses Les menus mal foutus Le logiciel mon mari ! Et l'audio qu'est idiot La carte son qu'est marron La couleur quelle horreur Les fenêtres qui s'pénètrent Les symboles qui s'affolent Le système bien trop blême Le réseau qui prend l'eau Et du coup, voyez vous Il vaut mieux qu'vous partiez Car je sens, c'est navrant J'peux plus rien maîtriser !... Ah mon dieu qu'c'est affolant Toute cette informatique Ah mon dieu qu'c'est affolant
25
Détente MOTS CROISES •
HORIZENTALEMENT
1-Logiciel client capable d’exploiter les ressources hypertextes et hypermédias du Web ainsi que les ressources d’Internet dans son ensemble, qui permet donc la recherche d’information et l’accès à cette information.
4-ensemble des techniques qui assurent que les ressources du système d’information d’une organisation sont utilisées uniquement dans le cadre prévu. 6-équipement logiciel ou matériel qui permet de filtrer les communications passant à travers lui. 7-une personne commettant des délits ou des crimes dont l’objet ou l’arme est lié à l’informatique. •
VERTICALEMENT
2-réseau en anglais 3-morceau de programme malicieux conçu pour se propager automatiquement 5-information automatique
MOTS CACHES S
E
C
U
R
I
T
E
A
D
P
D
P
P
E
N
E
T
R
A
T
I
O
N
Y
A
A
B
S
A
O
T
D
L
S
W
D
R
M
E
C
P
A
S
I
P
A
W
N
E
E
R
E
I
Q
T
T
O
R
A
E
N
F
V
I
R
U
S
I
O
E
R
T
A
V
E
R
A
E
O
F
C
E
U
U
T
R
U
I
E L
O
G
E
R
R
N
E
I
T
E
N
T
R
O
N
S
N
I
F
F
I
N
G
ATTAQUE
LOG
SECURITE
TRACE
AD WARE
MENACE
SERVEUR
VER
DNS
PAREFEU
SNIFFING
VERS
DOS
PENETRATION
SNORT
VIRUS
FIRE
PIRATE
SPOOFING
SPAM
IDS
POLITIQUE
SPYWARE
NET
26
Chers lecteurs, nous espérons que notre magazine vous ait plu. Les sujets que nous avons choisis dans ce numéro sont d’actualité et d’une grande importance. Nous espérons que nous ayons réussi à joindre l’utile à l’agréable en vous communiquant la bonne information et en vous amusant. Si vous désirez rejoindre notre club, soyez les bienvenus. Vous pourrez nous contacter sur notre site web : www.SecuriNets.com
Ensemble, combattons le risque Soyons SecuriNetsiens !