Ma 1ère réunion technique qui me tardait de présenter pour aborder un autre sujet que les failles applicatives : les attaques réseaux type « Man in the Middle ». Dans cette présentation j’aborde de bout en bout le scénario d’attaque imaginé. A la clé : Attaque ARP/DNS Spoofing via Ettercap, Modification de trame réseau en temps réel via Etterfilter, injection de ma backdoor avec chiffrement AES, By-Pass SSL via SslStrip, et détection via le NIDS Snort.
Dans cette 1ère présentation, j’ai souhaité revenir sur les fondements et concepts de la sécurité des systèmes d’information en qualifiant :
- Les concepts & définitions de base
- Les acteurs visés
- Les enjeux d’une attaque / de se protéger
- Les menaces qui pèsent sur le SI
- Les risques induits par une attaque réussie
- L’impact technique & métier
- Méthodologie de gestion du risque & Qualification de la menace
- Méthodologie pour prioriser l’implémentation de correctifs de sécurité
A la suite de cette introduction, j’ai présenté chaque étape menée par un attaquant qui souhaite passer à l’acte. De la phase d’identification de la victime, en passant par la prise d’empreinte (ou fingerprinting) pour en arriver à l’attaque en elle même.
Dans un dernière partie, je présente un ensemble de solution de protection. Certaines sont pro-active (prévention & détection), d’autres sont curatives (réaction à chaud).
Résumer
- Attaque type « Man in the middle » via « Ettercap » (ARP Poisoning, DNS Spoofing, etc.)
- Analyse des trames réseaux avec « Tcpdump »
- Attaque avancée avec réécriture à la volée des requêtes via « Etterfilter »
- Utilisation de « SslStrip » pour effectuer du SSL-Hijacking (By-Pass SSL)
- Injection de la backdoor type remote-shell (développée from scratch en Bash) via « Netcat » (compilé sûr-mesure) et chiffrement des communications en AES
- Détection & Prévention via le NIDS « Snort »
Le support de présentation est disponible : ici