les serveurs bulletproof

Download Les Serveurs bulletproof

Post on 31-Jan-2016

44 views

Category:

Documents

0 download

Embed Size (px)

DESCRIPTION

SRS Day – Conférence 17 novembre 2010. Les Serveurs bulletproof. Par: Charles Hourtoule – hourto_c Luc Delsalle – delsal_l Edouard Veron – veron_e Alban Pétré – petre_e Victorien Noé – noe_v. Mise en contexte. Des menaces informatisées de plus en plus présentes et identifiées - PowerPoint PPT Presentation

TRANSCRIPT

  • SRS Day Confrence17 novembre 2010Par:Charles Hourtoule hourto_cLuc Delsalle delsal_l Edouard Veron veron_eAlban Ptr petre_eVictorien No noe_v

    SRS Day @ EPITA - 17 novembre 2010

  • Mise en contexteDes menaces informatises de plus en plus prsentes et identifies

    Quel est lorigine des malwares et pourriels mondial ?Les attaques actuelles sont toutes distribues et complexes mais ne sont ni plus ni moins que des procdures informatises administrables distanceQui sont les serveurs dernires ces attaques ?

    Comment de tels serveurs peuvent-ils impunment sinscrire dans le fonctionnement de lInternet mondial ?Quels sont les mcanismes mises en uvre par ces serveurs ?Comment les autorits mondiales nous protgent-elles face ces menaces ?

    SRS Day @ EPITA - 17 novembre 2010*Source Symantec Nov 2010 Source HostInfected Nov 2010

    SRS Day @ EPITA - 17 novembre 2010

    Graph1

    8.7

    1.3

    Ventes

    Pourcentage de spam dans le trafic e-mail mondial (2010)

    Feuil1

    Ventes

    Spam8.7

    Autres1.3

    Pour mettre jour le graphique, entrez des donnes dans ce tableau. Les donnes sont enregistres automatiquement dans le graphique.

  • Offres dhbergement proposant des services dhbergement classiques mais tant trs peu regardant sur lactivit ou lidentits de ses clientsLes hbergeurs affirment clairement et ouvertement leurs intentions: peu importe les plaintes reues, il sengagent maintenir leur serviceLeur commerce est compltement libre: une simple recherche sur Google suffit pour trouver des hbergements de ce type Les hbergements bulletproof: picentre de la cybercriminalit mondialeCes services concentrent toutes les activits malveillantes envisageables sur Internet:SpamMalwaresPhishingScamming*We will not shut you down due to complaints.SRS Day @ EPITA - 17 novembre 2010Mise en contexteLes hbergements bulletproof

  • Le rle des hbergeurs dit bulletproof

    Intgration des serveurs bulletproof dans lInternet moderne

    Focus sur les mcanismes dautoprotection de ces serveurs

    Etude des usages des hbergeurs bulletproof

    Prsentation des rponses lgales mises en uvre*Plan de la prsentationSRS Day @ EPITA - 17 novembre 2010

    SRS Day @ EPITA - 17 novembre 2010

  • *Le rle des hbergeurs bulletproof

    SRS Day @ EPITA - 17 novembre 2010

    SRS Day @ EPITA - 17 novembre 2010

  • Serveur bulletproof*SRS Day @ EPITA - 17 novembre 2010Historique: Des fournisseurs de root shell apparaissent pour garder le contrle de chan IRCDes services anonymes, redonds et scuriss, des services lpreuve des balles (bulletproof)

    Evolution:Ces fournisseurs rpondent aux besoins des pirates: anonyme, scurisApparition de nouvelles offres avec des arguments ouvertement destins fidliser les organisations criminelles

    UtilisationUtilisation pour des activits nuisibles: scans de ports, campagnes de spams, attaques DoS, etc.Hbergement de contenu illicite: rseaux pdophiles, sites caractre raciste, etc.

    Situation gographiqueEn franchissant les limites de la lgalit les fournisseurs choisissent dhberger leurs serveurs dans des pays laxistes au niveau de la loi tels que la Chine, la Russie, les paradis fiscaux

  • Hbergement dun serveur bulletproof*SRS Day @ EPITA - 17 novembre 2010Mettre en place un serveur bulletproof nest pas quelque chose de facile de part lillgalit de ses actions. Elle est axe autour de quatre points:

    Les serveurs, qui reprsenteront larchitecture physique de lorganisation

    Une gestion des DNS

    Les moyens de communication avec les clientsCest une des parties les plus complexes. Laspect illgal de certaines activits empche de faire autant de communication que les fournisseurs auraient voulues.

    Un moyen dtre pay de faon scuriseIl faut que le moyen de paiement soit sr et scuris mais aussi le plus discret possiblePlusieurs services de paiement en ligne qui assurent lanonymat (ex: Web Money bas au Belize)

  • *Place des serveurs bulletproof dans lInternet mondialSRS Day @ EPITA - 17 novembre 2010

    SRS Day @ EPITA - 17 novembre 2010

  • Internet: un rseau dAS interconnectsInternet est un rseau de rseaux interconnects. Chacun de ces rseaux est appel AS pour Autonomous System

    Chaque AS reprsente une plage dadresses IP administre par une mme entit. LIANA gre lensemble des AS en les classant par numro

    Internet repose sur un principe de routage de paquet IPPour tablir des tables de routages performantes, les AS disposent dun protocole de dialogue appel BGP pour Border Gateway ProtocolUne fois tablies, les routes sont mmorises ce qui permet un routage rapide et automatique des paquets IP travers les diffrents rseaux

    Les hbergeurs bulletproof sont en premier lieux des administrateurs dASAdministration de plages dIP totalement autonomesAu dpart compltement lgitime, offrant des services sensiblement identiques ceux proposs par le march de lhbergement classiqueEvolution vers des activits ouvertement illgales grce des offres bulletproof beaucoup plus lucratives*SRS Day @ EPITA - 17 novembre 2010

  • Etude de cas: Russian Business Network*SRS Day @ EPITA - 17 novembre 2010

    SRS Day @ EPITA - 17 novembre 2010

  • Etude de cas: Russian Business Network*SRS Day @ EPITA - 17 novembre 2010La rle du RBN dans le cyber crime mondial

    SRS Day @ EPITA - 17 novembre 2010

  • RBN: Une comprhension globale du fonctionnement dInternet*SRS Day @ EPITA - 17 novembre 2010RBN est structur en plusieurs petits AS:Chaque AS est administr de manire indpendanteLes AS proposent des services soit lgaux, soit illgauxChaque micro-as a un unique lien de peering avec lAS central de RBN:En cas de coupure, plusieurs centaines de sites lgitimes seraient privs de servicesRBN tant originellement lgitime, certaines organismes vitaux russes utilisent les services de RBN

    Cration de plusieurs socits crans charges de dissimuler les activits de RBN:Cration dun FAI pour professionnels: SBT TelecomPermet dtablir des partenariats de peering avec les plus grands FAI russes et limitrophesRBN devient un acteur majeur pour le trafic est-europen grce des routes plus efficaces et rapides

    RBN tablit une liaison directe avec lInternet eXchange Point de MoscouLes IXPs sont les carrefours du trafic Internet mondial: cest ici que sont changes les tables de routage lchelle mondiale.En tablissant un lien direct vers lIXP Russe, RBN devient un acteur incontournable dans le routage mondial destination des pays de lEst Europen

    SRS Day @ EPITA - 17 novembre 2010

  • RBN: Une comprhension globale du fonctionnement dInternet*SRS Day @ EPITA - 17 novembre 2010La rle du RBN dans le cyber crime mondial

    SRS Day @ EPITA - 17 novembre 2010

  • RBN: Quels soutiens?Limplantation dune telle structure demande de hautes qualifications, et une excellente comprhension du fonctionnement dInternetOn peut supposer que RBN a su sappuyer sur de brillants cerveaux maitrisant les faiblesses originelles dInternet

    Des organisations criminelles sont certainement intervenues:Pour aider financer lentreprise de RBN lors de la phase de cration lgitime de lentreprisePour faire pression sur des organismes lgitimes afin de sinterconnecter avec RBN, obtenir un accs aux IXP russesPour faciliter le blanchissement de largent rcolt par les activits du RBN

    RBN: une structure devenue incontournable pour le trafic Internet mondial Dconnecter RBN tait donc particulirement difficile si lon ne souhaitait pas ralentir une partie du trafic Internet russe pendant plusieurs jours.Les relations de peering tablies avec des acteurs dInternet lgitimes les rendent dpendant de la bonne marche de RBNLa structure de RBN tant complexe, il est difficile de clairement identifier les limites de lorganisation et ainsi la fermer

    Les rgulateurs mondiaux dInternet taient donc parfaitement au courant des menaces de RBN, sans pour autant tre en mesure de limiter son activit malveillante*SRS Day @ EPITA - 17 novembre 2010

    SRS Day @ EPITA - 17 novembre 2010

  • *Les mcanismes de protections des serveurs bulletproof

    SRS Day @ EPITA - 17 novembre 2010

    SRS Day @ EPITA - 17 novembre 2010

  • Les rseaux FAST-FLUX*SRS Day @ EPITA - 17 novembre 2010

    Technique qui sappuie sur le protocole DNSPlusieurs adresses IP associes un mme hteDure de validit (TTL) de la rponse trs bas

    Adresses IP de machines compromises utilises comme reverse-proxy pour masquer le serveur rel du pirate mothership

    ButsAnonymat: une investigation sur les adresses IP correspondant au nom de domaine conduira chez des particuliers rpartis partout dans le monde

    Haute-disponibilit: Il ne suffit pas de bannir/attaquer une seule adresse IP mais beaucoup plus

    Il existe deux manires dimplmenter un rseau FAST-FLUXSingle-fluxDouble-flux

    SRS Day @ EPITA - 17 novembre 2010

  • Les rseaux FAST-FLUX*SRS Day @ EPITA - 17 novembre 2010Source: http://www.blogs.orange-business.com/securite/

    SRS Day @ EPITA - 17 novembre 2010

  • Les rseaux FAST-FLUX*SRS Day @ EPITA - 17 novembre 2010Source: http://www.blogs.orange-business.com/securite/

    SRS Day @ EPITA - 17 novembre 2010

  • Les Serveurs Upstream*SRS Day @ EPITA - 17 novembre 2010

    FonctionnementUn serveur Upstream est un serveur qui fournit un service un autre serveur. Il est situ plus haut dans la hirarchie des serveursLes malwares, virus, spam sont donc stocks et envoys depuis le serveur bulletproof. Les serveurs upstream sont des serveurs clean , ils ne servent que de passerelle. Ils sont enregistrs en toute lgalit auprs des FAILe serveur bulletproof est connect plusieurs serveurs upstream et peut alterner les connections

    But:Les serveurs upstream permettent aux serveurs bulletproof de rester

Recommended

View more >