mardi 28 mai 2013

Du hack à l'APT - Partie 1/4


1/ Les menaces aveugles et massives du passé
Au début de ce millénaire, les risques et menaces informatiques étaient clairement identifiées. Tout d'abord nous avions des menaces réseau dirigées vers les machines du fait de l'adressage public encore prépondérant. L'époque était donc au scan de port et à l'utilisation illégitime de services réseaux peu protégés (services ouverts aux invités, mots de passe par défaut, configurations plus étudiées pour la disponibilité que la sécurité). Ensuite nous avions des virus/vers qui se propageaient principalement par messagerie, disquettes ou macros office. Il s'agissait de menaces aveugles, massives et sans notion d'objectifs précis autre que la beauté du hack ou la glorification personnelle du programmeur à l'origine de ce hack.
Ajourd'hui, les machines ne sont plus exposées sur internet (en adressage privé) et les serveurs sont protégés par des firewalls. L'antivirus est unanimement accepté et installé sur les postes et serveurs.
Ces menaces n'ont pas disparues, elles représentent ces 80% d'attaques visibles, mais il est possible de diminuer leur portée à l'aide de trois règles simples: Les patchs sont installés en temps et en heure, l'antivirus est efficace et se met rapidement à jour, et la machine est placée derrière un firewall. Il reste les 20% des attaques dites "évoluées".

2/ Ces menaces ont évoluées et sont devenues plus dangereuses
La dangerosité des risques a évolué depuis ce début de millénaire. Tout est devenu données informatiques mises en réseau. La propriété intellectuelle au sens large, les informations confidentielles, les installations industrielles pilotées par informatique, la gestion de trafic urbain, etc... Ces données, leur connaissance et la disponibilité de ces données/installations ont de fait beaucoup de valeur.
De manière prémonitoire, le manga Ghost In the Shell indiquait que l'information était certes une valeur importante, mais plus encore était la capacité qu'avait certaines organisation à accéder facilement et rapidement à l'information sur de longues durées pour pouvoir l'utiliser ou dans certains cas la détruire. Et puisque les hackers ont montré que l'informatique est vulnérable (security FAIL comme on entend régulièrement), des attaquants ont donc décidé d'utiliser ces hacks dans une optique offensive. Cela a donné une méthode appelée depuis 2005 "Advanced Persistent Threat" (APT), mot-valise regroupant plusieurs techniques d'exploitation et finalités.
Globalement, un APT, c'est une attaque taillée pour frapper une cible précise, qui se veut la plus discrète possible, et qui perdure dans le temps sans être détectée par la victime avec un ou plusieurs buts précis.

To be continued:
La cible et les 4 cavaliers de l'AP(T)ocalypse - Partie 2/4
 Une cible dans le viseur
 La stratégie d'attaque

La persistance et les données - Partie 3/4
 Persistance et implantation profonde
 Accès au données: espionnage et/où destruction

Bloquer les APT: mission (im)possible - Partie 4/4
 A défaut de "silver bullet", une "kill chain"?
 Et demain?

2 commentaires:

  1. "Ces menaces n'ont pas disparues, elles représentent ces 80% d'attaques visibles, mais il est possible de diminuer leur portée à l'aide de trois règles simples: Les patchs sont installés en temps et en heure, l'antivirus est efficace et se met rapidement à jour, et la machine est placée derrière un firewall."

    Malheureusement ces 3 règles ne sont presque jamais respectées. La première est la plus efficace mais qui peut se vanter d'avoir un parc informatique avec Java et Adobe Reader à jour ? Les antivirus même à jour ne protège pas la plupart des nouvelles variantes de malwares déjà connus. Et le firewall, finalement, protège-t-il vraiment face aux menaces actuelles ?

    RépondreSupprimer
  2. @Nicolas:
    Si on ne respecte pas ces trois règles, nous serons compromis. La nouveauté, c'est que même si on respecte ces règles, nous serons compromis aussi.

    Quand au firewall, mon idée n'a pas vraiment changée: http://exploitability.blogspot.fr/2013/03/tcpip-security-is-boring-second-strike.html Résumé: dans tous les rapports sur les APT, on lit vaguement que l'antivirus a été contourné, on ne lit même plus le fait que le firewall l'ait été aussi, tellement cela apparaît comme une évidence.
    Mais comme on a pas encore trouvé mieux (et qu'il bloque 80% des ces attaques de masse) il reste nécessaire.

    RépondreSupprimer