Milipol 2009

Contexte

Dans le cadre du salon Milipol 2009 (http://www.milipol.com/), notre prescripteur initial, la Direction Générale de l’Armement (http://www.defense.gouv.fr/dga) a retenue le projet Hynesim comme démonstrateur technologique de sa recherche et de son innovation dans le domaine de la sécurité des systèmes d’information.

Cette 16ième édition du salon mondial de la sécurité intérieur des états se déroulera du mardi 17 au vendredi 20 novembre 2009 prochains à Paris, au parc des expositions (Porte de Versaille).

Comme aupravant, le ministère de la défense et en particulier la DGA dispose d’un stand N°13C090 (plan du salon en SWF / plan du salon en PDF) ou nous présenterons pendant ces 4 jours des planches informatives sur l’objet et les enjeux du projet ainsi qu’un ensemble de démonstrations techniques de mise en oeuvre de notre plateforme. Nous partagerons ce stand avec 3 autres mises en exergue du savoir et des savoirs-faire de la DGA.

Pour l’équipe Hynesim, Diateam et Orange Business Service cette manifestation internationale est très intéressante à plusieurs titres. L’occasion pour nous de présenter les cas d’utilisations possibles de l’emploi de notre plateforme de virtualisation/simulation hybride (réel+virtuel) de systèmes d’information.

Cas d’utilisation / Démonstrations

La menace cybercriminelle est identifiée comme une des nouvelles menaces les plus sérieuses dans les années à venir. Pouvoirs publics et organisations doivent se préparer à y faire face. La réponse à cette menace passe tout autant par un cadre technique que par le facteur humain. Les tests et évaluations, la formation et l’entrainement s’avèrent difficilement réalisables sur des systèmes opérationnels et l’utilisation de plateformes de soutien représentatives reviendraient à multiplier les couts. La présentation permets au travers de différents scenarios de montrer comment sur la base d’un système réduit, représentatif d’un réseau d’entreprise, il est possible de transposer les méthodologies de simulation hybride déjà utilisées dans de nombreux domaines plus physiques (entrainement de pilotes civils ou militaires, par exemple) à la prise en compte de cette menace cybercriminelle. (Il s’agit à la fois de montrer les avantages de la simulation mais également de montrer que ceci nécessite un cadre réduit.)

Topologie générale des scénarios dans le cadre des démonstrations Milipol 2009

Scénario d’attaque « court » (5-10 minutes)

L’attaquant A est situé physiquement à son domicile ou du moins dans un endroit qui lui permet d’accéder à l’Internet par un modem routeur ADSL type « Livebox ». Ce modem/routeur « virtuel » mais bien « réel » du point de vue de l’attaquant est un routeur à faible interaction Openvz. Le routeur/modem ADSL de l’attaquant est connecté à une virtualisation basique de l’Internet (une machine virtuelle VirtualBox qui propose un faux DHCP, un proxy-cache DNS pour les domaines google.fr, male-wear.fr, …., un serveur http pour les réponses « google.fr », etc…).

L’attaquant se connecte à l’Internet via son modem/routeur ADSL « Livebox ». Via son navigateur web et sur google il effectue la recherche « male wear ». Le moteur de recherche « google » lui propose htpp://www.male-wear.com. L’attaquant visite directement ce site web de vente en ligne d’habits pour les hommes (male wear).

Détail de la topologie utilisée dans le cadre des démonstrations

Il décide de démarrer le scanner de vuln. Nessus pour chercher une faille « .inc » dans l’arborescence de ce site web marchand (pluggin Nessus spécialement rédigé pour la démonstration et utilisé graphiquement par l’IHM nessus-gui). Nessus indique qu’il a trouvé « /admin/db.inc » sur la cible http://www.male-wear.com.
L’attaquant A dirige son navigateur sur htpp://www.male-wear.com/admin/db.inc et voit apparaître directement dans son navigateur le code php du genre :

$db_host=$db_host_main;
$db_host_main="mysql.male-wear.com";
$db_host_backup="mysql2.male-wear.com";
$db_user="root";
$db_password="m1l1p0l";

L’attaquant dirige son navigateur sur http://www.male-wear.com/admin/et se connecte à l’espace d’administration du site marchand en utilisant les identifiants ci-dessus, ou bien le couple « admin/m1l1p0l ». Il a ainsi accès aux articles et notamment à leurs prix. Il change les prix de quelques articles qui l’intéressent, afin de les acheter à bas prix voir même des prix négatifs pour créditer automatiquement son compte CB.

Le défenseur D reçoit un mail automatique pour l’informer de la mise à jour du catalogue en ligne (quand A clique sur « mettre en ligne », après avoir modifié les prix).

L’attaquant A cherche ensuite à accéder à la machine de « backup », qui est probablement hébergée dans le réseau local de l’entreprise.

 attaquant@home$ nslookup mysql2.male-wear.com
 Name: mysql2.male-wear.com
 Address: 85.142.45.21

L’attaquant A lance « nmap » sur 85.142.45.21. Le défenseur D reçoit une alerte du démon « snort » qui est sur le firewall, pour l’informer du scan de ports en cours (possibilité de rallonge du scénario : le défenseur D blackliste l’adresse IP de l’attaquant pour empêcher l’attaque. A redémarre sa livebox, obtient une
nouvelle adresse IP publique, et continue l’attaque).

L’attaquant A se connecte en SSH sur le firewall, avec les mêmes identifiants que ceux de la base de données. Un message s’affiche (bannière d’accueil de SSH) :

"L'accès à cette machine est réservée aux personnels autorisés, etc..."

Par un « ssh-copy-id », l’attaquant A dépose sa clef de connection ssh sans mot de passe afin de préserver son canal de connexion ultérieurement.

Fin de la démonstration nominale.

Scénario d’attaque « long » (15-20 minutes)

L’attaquant est maintenant positionné dans ou proche de l’entreprise « male-wear ». Proche de la borne WiFi « hotspot » privée de l’entreprise (mise en oeuvre du concept d’interface hybride WiFi et des VirtualAccessPoint Hynesim). L’attaquant A casse la clé WEP du réseau Wi-Fi de l’entreprise grâce à des outils comme « aircrack-ng » (cette phase est éventuellement déjà effectuée pour des besoins de rapidité de la démonstration).

Détail de la topologie utilisée dans le cadre des démonstrations (2)

À l’aide d’un utilitaire de capture réseau comme « tcpdump » ou graphique « wireshark », il note les adresses ip utilisées sur le réseau et en utilise une spécifiquement pour sa machine (paramétrage manuel de la carte réseau de l’attaquant) :

attaquant@home$ ifconfig eth0 192.168.10.233

Le défenseur D est averti par l’outil « arpwatch » qu’une paire adresse MAC/adresse IP a changé.

A l’aide de son utilitaire de « sniff » (wireshark par exemple), l’attaquant détecte une machine qui semble être le routeur/firewall et l’utilise comme route par défaut. A utilise un collecteur de mot de passes « dsniff » pour essayer de récupérer des mots de passe circulant sur le réseau et du fait de l’emploi de concentrateur (« hub »), il récupère les identifiants de connexion à l’interface de gestion « phpmyadmin » (frontend php à MySQL).
L’attaquant se connecte et effectue des changements dans la base de données, récupère des données clients… Du fait qu’il s’agit de la base de données du site en ligne chez l’hébergeur. Toutes ces modifications se répercutent directement sur le site marchand en ligne « http://www.male-wear.com ».

L’attaquant A lance un scan de port sur le firewall et voit que le port 22 est ouvert. Le défenseur D est averti grâce à « snort » qu’un scan de ports a lieu.

A essaie de se connecter en tant que root au firewall avec le mot de passe utilisé pour phpmyadmin, c’est le même mot de passe et il réussi à prendre le contrôle du firewall.
L’attaquant A ajoute une règle de routage au firewall afin d’avoir accès à la machine depuis l’extérieur. Il copie sa clé ssh pour pouvoir se connecter même si le mot de passe change.