Sécurité des Systèmes d

Sécurité des Systèmes d'Exploitation : cours 1

-

Documents
45 pages
Lire
Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

Description

S´ecurit´e des Syst`emes d’Exploitation : cours 1
Fr´ed´eric Gava
Master SSI, Universit´e de Paris-Est Cr´eteil
Cours SESE du M2 SSI, d’apr`es le cours de Franck Pommereau Plan
1 Introduction
2 Cryptographie
3 S´ecurit´e de la machine Plan
1 Introduction
2 Cryptographie
3 S´ecurit´e de la machine Plan
1 Introduction
2 Cryptographie
3 S´ecurit´e de la machine Introduction Cryptographie S´ecurit´e de la machine
D´eroulement du cours
1 Introduction
2 Cryptographie
3 S´ecurit´e de la machine
SESE : cours 1 3 / 43 Introduction Cryptographie S´ecurit´e de la machine
Enseignants et modalit´es
Fr´ed´eric Gava : frederic.gava@univ-paris-est.fr.
LACL.
Luc Delpha : luc.delpha@provadys.com. Directeur Audit
et Conseil SSI chez CISSP.
Th´eorique : 21h de cours et 9 h de TP. Pratique : un mix
suivant les besoins
Examen final
D´eroulement :
F. Gava : 1) et 2) G´en´eralit´es 3) Attaque
Buffer/Integer-overflow
L. Alpha : 4-6) Attaque Concurrence/Noyau et Protection
contre analyse et ing´enieurie inverse
SESE : cours 1 4 / 43 Introduction Cryptographie S´ecurit´e de la machine
G´en´eralit´es
Th´eorie : suˆret´e
Suˆret´e bonne ex´ecution des programmes, donnent les bon
r´esultats escompt´e sans ”planter”
S´ecurit´e pas d’intrusion ext´erieur modifiant le
comportement du syst`eme
Th´eorique : suˆret´e s´ecurit´e. On consid`ere ”juste” qu’une
modification est un mauvais comportement
Pratique/Th´eorie : suˆret´e s´ecurit´e. Mod´eliser toutes les
”modifications de l’environement” est trop ...

Sujets

Informations

Publié par
Nombre de visites sur la page 494
Langue Français
Signaler un problème
S´ecurit´e
desSyste`mesdExploitation
Fr´de´ricGava e
MasterSSI,Universit´edeParis-EstCre´teil
CoursSESEduM2SSI,dapre`slecoursdeFranckPommereau
:
cours
1
Plan12
3
Introduction
Cryptographie
Se´curite ´
de
la
machine
Plan12
3
Introduction
Cryptographie
S´ecurit´e
de
la
machine
Plan12
3
Introduction
Cryptographie
S´curit´e e
de
la
machine
eD´echinemenrouluosrdtcuSESE:coru1s/334
Introduction
2
1
3
Cryptographie
Se´curite´delamachine
ctdurontIlama´edeuritS´echpeigoaryrtpoiCn
ESc:uosrES
Th´eorique:21hdecourset9hdeTP.Pratique:unmix suivant les besoins Examen final D´eroulement: F.Gava:1)et2)Ge´n´eralite´s3)Attaque Buer/Integer-overow L. Alpha : 4-6) Attaque Concurrence/Noyau et Protection contreanalyseeting´enieurieinverse
F´ede´ricGava:frederic.gava@univ-paris-est.fr. r LACL. LucDelpha:moplra@.pdhuecl.cysadov. Directeur Audit et Conseil SSI chez CISSP.
/4143rtnIcudotnangiesnEenihcas´eitalodtmsepaihotrgrCpyitnoelamt´edcurieS´e
cudortnIitnorCpyotrgpaiheS´ecurit´edelamihca´Gene´neilarest´SE:Eocru1s/534
Th´eorie:sˆurete ´ Suˆrete´obx´ecnneendesutiommargorpennod,seonsblent re´sultatsescompte´sansplanterSe´curit´eetlanuemrdoientxe´irintrusiopasdcomportement du systeme `
Th´rique:suˆret´eeune`dijeretsuuqocsn.enOir´te´ucs eo modification est un mauvais comportement Pratique/The´orie:suˆrete´ricu´esd´Moe.t´reotlesielstuse ”modifications de l’environement” t trop complexe es (impossiblemˆeme). lapluspartdesprobl`emesdes´ecurit´esontinhe´rents(due)`a desproblemesdesuˆret´e(mauvaiseexe´cutiondesprogrammes ` entraıˆnantdesintrusionsexternes).
S
4/61
inte´grite´ttneoandenbintsoquesllcesel:see´nnod condentialit´ecc`e:laesceontcrmfouxeaca`suqahsereruos autorisations disponibilit´etcoinnmene,t:alle´ssyst`emeresteenfonurec´eit nempeˆchepaslesutilisateursl´egitimesdetravailler nonre´pudiationrtne´ieenoitcasneˆtuepenraetun: confianceiredesm´:construteuelqunpsonadsselsnaceemsi placersaconance(maispasaveugl´ement);danscette demarche,lare`gledebaseestlam´eance,voirelaparanoı¨a. Maisilfautpourtantfaireconance`aunmomentdonn´eauthentification, cryptographie forte, audit, etc.
3c:ESsruoESee´ucir´tifsdelasneObjectmaleihcairucde´thiap´eeSypCrgrtoitnodocunIrt
uosr714/3
Andepouvoirs´ecuriserunsyst`eme,ilfautconnaıtreles ˆ menaces : exploitationdeserreursdeconguration(syste`meouvertou vuln´erable)etdeprogrammation(exploits) de´nisdeservice(mailbombing,ood,exploits,nuke), potentiellement distribues ´ squat(h´ebergementille´gal,attaquesparrebond,botnets) malware (virus, vers, troyens, espions, backdoors) usurpationdidentit´ee(IP/ARPspoong) erreurs humainesoorerteˆsapent ing´enieriesociale:exploitationdeserreurshumaines,dela naı¨vete´,gentillesse,ignorance,etc.Parexemple,lephishing: faux message de la banque qui redemande le mot de passe (via une fausse page web)viriastnatnicrreeepati´iden.us Attaque de Twitter/Yahoo.
c:ESESrynCioctdurontIceruei´SarhptpgoineAmachdelait´eues(ttaq1)
hiapgrtoricu´eeScudortnIpyrCnoithiacAtneedt´amel)uqat2(se
L’URL http://www.site-officiel.com@www.site-attaquant.com dirige vershttp//www.site-attaquant.comen envoyant www.site-officiel.comq(iueptueˆrtecoelmminog ignor´ee).Attentionaussia`lorthographeduneURL: http://WWW.SITE-OFFICIEL.COM6= http://WWW.SITE-0FFICIEL.COM(0 au lieu de O) gˆeneurs(spam,popups)etcanulars(haox,chainmail) surlere´seau,lesattaquesontlieuenpermanence(plusieurs parminutes),engrandepartiedefac¸conautomatique(vers, attaquesdemasse,botnets`alouer,etc.)eta`linsudu proprie´tairedelamachineattaquante(machinecompromise ouinfecte´e)
ESE:S341s/8ocru
ru1s:EocSSE
Ensembledesdroitsdacc`esauxressources: globale`auneorganisation d´enieparlahi´erarchie mise en oeuvre par les informaticiens en ce qui concerne les ressources informatiques prend en compte la formation (utilisation correcte des ressources, ingenierie sociale) ´ lemaillonleplusfaibled´enitlaforcedelachaıˆnede s´ecurite´,cestsouventlutilisateurlambda d´efenseenprofondeur(a`plusieursniveaux)e`irrabeeurn peut tomber, il en reste d’autres simplicite´cacieKISSt´e(dipu)plimste,ee:ktspi conceptionouverte:laprotectionnedoitpasde´pendrede l’ignorance de l’attaquantaudit (par des experts)
/934´sedrucee´ti)1(ucirSee´lema´tdenePoachiquesliticudortnIypCrontihiapgrto