Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 30 mai au 1 juin 2007.

Mecanisme d'observation d'attaques sur Internet avec rebondsIon Alberdi, Philippe Owezarski, Vincent Nicomette


Date : 30 mai 2007 à 16:45 — 30 min.

Les pots de miel haute-interaction permettent d'observer les attaquants évoluer au sein d'une machine compromise. Ils sont intéressants pour mieux comprendre le fonctionnement de ces derniers. Cependant, l'observation se limite en général au pot de miel lui-même car les tentatives de compromission d'autres machines depuis le pot de miel sont limitées. Il nous semble très instructif de pouvoir suivre le parcours d'un attaquant sur différentes machines. Cet article propose, à cette fin, un mécanisme de redirection dynamique de connexions initiées depuis un pot de miel. Ce mécanisme, dont l'originalité réside dans son aspect dynamique, donne l'illusion à un attaquant qu'il dialogue effectivement depuis notre pot de miel avec une autre machine d'Internet alors qu'il est simplement redigiré vers un autre pot de miel. Ce mécanisme de redirection a été implémenté et testé sur un noyau Linux. Nous en présentons ici les concepts et l'implémentation.