La détection d’intrusion

Le monde de la sécurité informatique

• Définitions « officielles » : le hacker, le hacking.
• Le vocabulaire du hacker
• Qui est hacker ? Comment devient-on hacker ?
• La communauté des hackers dans le monde, les « gurus », les « script kiddies ».
• L’état d’esprit et la culture du hacker, être hacker malgré soi.
• Comment travaillent-ils ? Quelle est leur motivation ? Comment se faire une réputation ?
• Les sites de base de donnée d’exploits (securityfocus, packetstorm, securitybugware).
• Les conférences sécurité (Defcon, Blackhat, CanSecWest).
• Les sites majeurs de la sécurité (CERT, Security focus/bugtraq, CVE,...).

• IP, TCP et UDP sous un autre angle.
• Zoom sur ARP et ICMP.
• Comprendre le routage forcé de paquets IP (source routing).
• Comprendre la fragmentation IP et les règles de réassemblage.

• De l’utilité d’un filtrage sérieux : le top 10 des vulnérabilités.
• Sécuriser ses serveurs : un impératif (cf stats honeynet).
• Les parades par technologies : du routeur filtrant au firewall stateful inspection ; du proxy au reverse proxy.
• Panorama rapide des solutions et des produits disponibles pour faire face aux attaques.

• Le « Spoofing » IP.
• Attaques par déni de service (Synflood, Nuke, Land, Teardrop...).
• Prédiction des numéros de séquence TCP : implications.
• Vol de session TCP : Hijacking (Hunt, Juggernaut).
• Attaques sur SNMP.
• Attaque par TCP Spoofing (Mitnick) : démystification.
• Intelligence Gathering : l’art du camouflage
• Trois étapes majeures pour « comprendre » la cible :
• Chercher les traces : interrogation des bases Whois, les serveurs DNS, les moteurs de recherche.
• Identification des serveurs : techniques de scan de réseaux (Ping Sweep, TCP Sweep, ...), les différents scans de port et les outils, déterminer la nature du système : OS Fingerprinting.
• Comprendre le contexte : analyser les résultats, déterminer les règles de filtrage , quelques cas spécifiques.

• Systèmes à mot de passe « en clair », par challenge, crypté.
• Le point sur l’authentification sous Windows (LM, NTLM, NTLMv2).
• Rappels sur SSH et SSL (HTTPS).
• Quelles informations obtenir à l’aide d’un sniffer ?
• Sniffing d’un réseau switché : ARP poisonning.
• Les attaques sur les données cryptées : « Man in the Middle » sur SSH et SSL, « Keystoke Analysis » sur SSH.
• Détection de sniffer : outils et méthodes avancées.
• Les attaques sur mots de passe : du sniffing au brute force.

• Etat de l’art des backdoors sous Windows et Unix (discrètes, client-serveur, ...).
• Mise en place de backdoors et introduction de trojans.
• Le téléchargement de scripts sur les clients, exploitation de bugs des navigateurs.
• Les « Covert Channels » : application client-serveur utilisant ICMP (Loki), communication avec les Agents de Déni de Service distribués.

Défendre les services en ligne

• Prise de contrôle d’un serveur : recherche et exploitation de vulnérabilités, mise en place de « backdoors » et suppression des traces. Comment contourner un firewall ? (netcat et rebonds).
• La recherche du déni de service (Land Attack, Smurf, Ping Of Death, Jolt2, ...).
• Les dénis de service distribués (DDoS) : TrinOO, Stacheldraht, TFN, Mstream, Naphta.
• Les attaques par débordement (buffer overflow). Exploitation de failles dans le code source. Techniques similaires : « Format String », « Heap Overflow », ...
• Vulnérabilités dans les applications Web (« SQL injection », bugs CGI, PHP, ASP, JSP, ...).
• Vol d’informations dans une base de données (Oracle, Sybase ASE, MS SQL, ...).
• Les RootKits : comment les hackers cachent leur présence ?

• Les signes d’une intrusion réussie dans un SI : mettre en évidence l’intrusion.
• Qu’ont obtenu les hackers ? Jusqu’où sont-ils allés ?
• Comment réagir face à une intrusion réussie ?
• Quels serveurs sont concernés ?
• Savoir retrouver le point d’entrée... et le combler.
• La boîte à outils Unix/Windows pour la recherche de preuves (The Coronet Toolkit, IRCR, récupération de logs effacés, ...).
• Nettoyage et remise en production de serveurs compromis.

• La réponse adéquate aux hackers s’intéressant à votre entreprise.
• La loi française en matière de hacking, la jurisprudence.
• Le rôle de l’état, les organisme officiels, la DCSSI, le CASI.
• Qu’attendre de l’Office Central de Lutte contre la Criminalité (OCLCTIC).
• La recherche de preuves et des auteurs : approche concrète.
• Et dans un contexte international ? INTERPOL, EUROPOL, les forums ONU et OCDE.
• Le test intrusif ou le hacking domestiqué ?
• Comment rester dans un cadre légal, choisir le prestataire, être sûr du résultat.