Sécurité des Systèmes d'Exploitation : cours 1
45
pages
Français
Documents
Le téléchargement nécessite un accès à la bibliothèque YouScribe Tout savoir sur nos offres
45
pages
Français
Documents
Le téléchargement nécessite un accès à la bibliothèque YouScribe Tout savoir sur nos offres
S´ecurit´e des Syst`emes d’Exploitation : cours 1
Fr´ed´eric Gava
Master SSI, Universit´e de Paris-Est Cr´eteil
Cours SESE du M2 SSI, d’apr`es le cours de Franck Pommereau Plan
1 Introduction
2 Cryptographie
3 S´ecurit´e de la machine Plan
1 Introduction
2 Cryptographie
3 S´ecurit´e de la machine Plan
1 Introduction
2 Cryptographie
3 S´ecurit´e de la machine Introduction Cryptographie S´ecurit´e de la machine
D´eroulement du cours
1 Introduction
2 Cryptographie
3 S´ecurit´e de la machine
SESE : cours 1 3 / 43 Introduction Cryptographie S´ecurit´e de la machine
Enseignants et modalit´es
Fr´ed´eric Gava : frederic.gava@univ-paris-est.fr.
LACL.
Luc Delpha : luc.delpha@provadys.com. Directeur Audit
et Conseil SSI chez CISSP.
Th´eorique : 21h de cours et 9 h de TP. Pratique : un mix
suivant les besoins
Examen final
D´eroulement :
F. Gava : 1) et 2) G´en´eralit´es 3) Attaque
Buffer/Integer-overflow
L. Alpha : 4-6) Attaque Concurrence/Noyau et Protection
contre analyse et ing´enieurie inverse
SESE : cours 1 4 / 43 Introduction Cryptographie S´ecurit´e de la machine
G´en´eralit´es
Th´eorie : suˆret´e
Suˆret´e bonne ex´ecution des programmes, donnent les bon
r´esultats escompt´e sans ”planter”
S´ecurit´e pas d’intrusion ext´erieur modifiant le
comportement du syst`eme
Th´eorique : suˆret´e s´ecurit´e. On consid`ere ”juste” qu’une
modification est un mauvais comportement
Pratique/Th´eorie : suˆret´e s´ecurit´e. Mod´eliser toutes les
”modifications de l’environement” est trop ...
Voir
Fr´ed´eric Gava
Master SSI, Universit´e de Paris-Est Cr´eteil
Cours SESE du M2 SSI, d’apr`es le cours de Franck Pommereau Plan
1 Introduction
2 Cryptographie
3 S´ecurit´e de la machine Plan
1 Introduction
2 Cryptographie
3 S´ecurit´e de la machine Plan
1 Introduction
2 Cryptographie
3 S´ecurit´e de la machine Introduction Cryptographie S´ecurit´e de la machine
D´eroulement du cours
1 Introduction
2 Cryptographie
3 S´ecurit´e de la machine
SESE : cours 1 3 / 43 Introduction Cryptographie S´ecurit´e de la machine
Enseignants et modalit´es
Fr´ed´eric Gava : frederic.gava@univ-paris-est.fr.
LACL.
Luc Delpha : luc.delpha@provadys.com. Directeur Audit
et Conseil SSI chez CISSP.
Th´eorique : 21h de cours et 9 h de TP. Pratique : un mix
suivant les besoins
Examen final
D´eroulement :
F. Gava : 1) et 2) G´en´eralit´es 3) Attaque
Buffer/Integer-overflow
L. Alpha : 4-6) Attaque Concurrence/Noyau et Protection
contre analyse et ing´enieurie inverse
SESE : cours 1 4 / 43 Introduction Cryptographie S´ecurit´e de la machine
G´en´eralit´es
Th´eorie : suˆret´e
Suˆret´e bonne ex´ecution des programmes, donnent les bon
r´esultats escompt´e sans ”planter”
S´ecurit´e pas d’intrusion ext´erieur modifiant le
comportement du syst`eme
Th´eorique : suˆret´e s´ecurit´e. On consid`ere ”juste” qu’une
modification est un mauvais comportement
Pratique/Th´eorie : suˆret´e s´ecurit´e. Mod´eliser toutes les
”modifications de l’environement” est trop ...
S´ecurit´e
desSyste`mesd’Exploitation
Fr´de´ricGava e
MasterSSI,Universit´edeParis-EstCre´teil
CoursSESEduM2SSI,d’apre`slecoursdeFranckPommereau
:
cours
1
3
Introduction
Cryptographie
Se´curite ´
de
la
machine
3
Introduction
Cryptographie
S´ecurit´e
de
la
machine
3
Introduction
Cryptographie
S´curit´e e
de
la
machine
Introduction
2
1
3
Cryptographie
Se´curite´delamachine
ctdurontIlama´edeuritS´echpeigoaryrtpoiCn
Th´eorique:21hdecourset9hdeTP.Pratique:unmix suivant les besoins Examen final D´eroulement: F.Gava:1)et2)Ge´n´eralite´s3)Attaque Buffer/Integer-overflow L. Alpha : 4-6) Attaque Concurrence/Noyau et Protection contreanalyseeting´enieurieinverse
F´ede´ricGava:frederic.gava@univ-paris-est.fr. r LACL. LucDelpha:moplra@.pdhuecl.cysadov. Directeur Audit et Conseil SSI chez CISSP.
/4143rtnIcudotnangiesnEenihcas´eitalodtmsepaihotrgrCpyitnoelamt´edcurieS´e
Th´eorie:sˆurete ´ Suˆrete´≡obx´ecnneendesutiommargorpennod,seonsblent re´sultatsescompte´sans”planter” Se´curit´e≡etlanuemrdofiientxe´irintrusiopasd’ comportement du systeme `
Th´rique:suˆret´e≡eune`dij”eretsu’uq”ocsn.enOir´te´ucs eo modification est un mauvais comportement Pratique/The´orie:suˆrete´⊂ricu´esd´Moe.t´reotlesielstuse ”modifications de l’environement” t trop complexe es (impossiblemˆeme). lapluspartdesprobl`emesdes´ecurit´esontinhe´rents(due)`a desproblemesdesuˆret´e(mauvaiseexe´cutiondesprogrammes ` entraıˆnantdesintrusionsexternes).
S
inte´grite´ttneo’andenbintsoquesllcesel:see´nnod confidentialit´ecc`e:l’aesceontcrmfouxeaca`suqahsereruos autorisations disponibilit´etcoinnmene,t:alle´ssyst`emeresteenfonurec´eit n’empeˆchepaslesutilisateursl´egitimesdetravailler nonre´pudiationrtne´ieenoitcasneˆtuepenraetun: confianceiredesm´:construteuelqunpsonadsselsnaceemsi placersaconfiance(maispasaveugl´ement);danscette d’emarche,lare`gledebaseestlam´efiance,voirelaparanoı¨a. Maisilfautpourtantfaireconfiance`aunmomentdonn´e⇒ authentification, cryptographie forte, audit, etc.
3c:ESsruoESee´ucir´tifsdelasneObjectmaleihcairucde´thiap´eeSypCrgrtoitnodocunIrt
Afindepouvoirs´ecuriserunsyst`eme,ilfautconnaıtreles ˆ menaces : exploitationdeserreursdeconfiguration(syste`meouvertou vuln´erable)etdeprogrammation(exploits) de´nisdeservice(mailbombing,flood,exploits,nuke), potentiellement distribues ´ squat(h´ebergementille´gal,attaquesparrebond,botnets) malware (virus, vers, troyens, espions, backdoors) usurpationd’identit´ee(IP/ARPspoofing) erreurs humaines⇒oorerteˆsapent ing´enieriesociale:exploitationdeserreurshumaines,dela naı¨vete´,gentillesse,ignorance,etc.Parexemple,lephishing: faux message de la banque qui redemande le mot de passe (via une fausse page web)⇒viriastnatnicrreeepatifi´iden.us Attaque de Twitter/Yahoo.
c:ESESrynCioctdurontIceruei´SarhptpgoineAmachdelait´eues(ttaq1)
L’URL http://www.site-officiel.com@www.site-attaquant.com dirige vershttp//www.site-attaquant.comen envoyant www.site-officiel.comq(iueptueˆrtecoelmminog ignor´ee).Attentionaussia`l’orthographed’uneURL: http://WWW.SITE-OFFICIEL.COM6= http://WWW.SITE-0FFICIEL.COM(0 au lieu de O) gˆeneurs(spam,popups)etcanulars(haox,chainmail) surlere´seau,lesattaquesontlieuenpermanence(plusieurs parminutes),engrandepartiedefac¸conautomatique(vers, attaquesdemasse,botnets`alouer,etc.)eta`l’insudu proprie´tairedelamachineattaquante(machinecompromise ouinfecte´e)
ESE:S341s/8ocru
Ensembledesdroitsd’acc`esauxressources: globale`auneorganisation d´efinieparlahi´erarchie mise en oeuvre par les informaticiens en ce qui concerne les ressources informatiques prend en compte la formation (utilisation correcte des ressources, ingenierie sociale) ´ lemaillonleplusfaibled´efinitlaforcedelachaıˆnede s´ecurite´,c’estsouventl’utilisateurlambda d´efenseenprofondeur(a`plusieursniveaux)⇒e`irrabeeurn peut tomber, il en reste d’autres simplicite´⇒cacieffiKISSt´e(dipu)plimste,ee:ktspi conceptionouverte:laprotectionnedoitpasd’e´pendrede l’ignorance de l’attaquant⇒audit (par des experts)
/934´sedrucee´ti)1(ucirSee´lema´tdenePoachiquesliticudortnIypCrontihiapgrto
