• Abstract and Figures
• Public Full-text

EDITE - ED 130 Doctorat ParisTech THÈSE pour obtenir le grade de docteur délivré par TELECOM ParisTech Spécialité « INFORMATIQUE et RESEAUX » présentée et soutenue publiquement par Marco BALDUZZI le 15/12/2011 Mesures automatisées de nouvelles menaces sur Internet Directeur de thèse : Prof. Engin KIRDA Jury Refik Molva, Professeur, Institut EURECOM, Sophia Antipolis Examinateur et Président Christopher Kruegel, Professeur, University of California, USA Rapporteur Evangelos Markatos, Professeur, FORTH-ICS, Grèce Rapporteur Herbert Bos, Professeur, Vrijie Universiteit, Pays-Bas Examinateur Marc Dacier, Senior Director, Symantec Research Labs, USA Examinateur TELECOM ParisTech école de l’Institut Télécom - membre de ParisTech 2 R´esum´e Pendant les vingt derni`eresann´ees,Internet s'est transform´ed'un r´eseausimple de taille limit´ee`aun syst`emecomplexe de grandes dimensions. Alors que Internet ´etait initialement utilis´epour offrir du contenu statique, organis´eautour de simples sites web, aujourd'hui il fournit en m^eme temps contenu et services complexes (comme chat, e-mail ou le web) ainsi que l'externalisation de calculs et d'applications (cloud computing). En 2011, le nombre d'utilisateurs d'Internet a d´epass´edeux milliards (un tiers de la population mondiale) et le nombre de domaines enregistr´esa atteint 800 millions. Les sites web sont accessibles `apartir d'ordinateurs personnels, de tablettes, smartphones en permanence et depuis n'importe o`u. Les attaquants ne sont pas indiff´erents `al'´evolution d'Internet. Souvent motiv´eespar un florissant march´enoir, les attaquants sont constamment `ala recherche de vuln´erabilit´es, d'erreurs de configuration et de nouvelles techniques. Ceci afin d'acc´eder`ades syst`emes prot´eg´ees,de voler des informations priv´ees,ou propager du contenu malveillant. Les vuln´erabilit´estraditionnelles comme les buffer overflows ou les injections SQL sont encore exploit´ees. Toutefois, de nouveaux vecteurs d'attaque qui exploitent des canaux non conventionnels `agrande ´echelle (dans le cloud computing, par exemple) sont ´egalement et r´eguli`erement d´ecouverts. A` ce jour, peu de recherches ont ´et´er´ealis´ees pour mesurer la pr´evalence et l'importance de ces menaces ´emergentes sur Internet. Or, les techniques traditionnelles de d´etectionne peuvent pas ^etrefacilement adapt´esaux in- stallations de grandes dimensions, et des nouvelles m´ethodologies sont n´ecessairespour analyser et d´ecouvrirfailles et vuln´erabilit´esdans ces syst`emescomplexes. Cette th`eseavance l'´etatde l'art dans le test et la mesure `agrande ´echelle des menaces sur Internet. Nous analysons trois nouvelles classes de probl`emes de s´ecurit´esur ces infrastructures qui ont connu une rapide augmentation de popularit´e: le clickjacking, la pollution de param`etresHTTP et les risque li´esau cloud computing. De plus, nous introduisons la premi`eretentative d'estimer `agrande ´echelle la pr´evalence et la pertinence de ces probl`emessur Internet. Abstract In the last twenty years, the Internet has grown from a simple, small network to a complex, large-scale system. While the Internet was originally used to offer static content that was organized around simple websites, today, it provides both content and services (e.g. chat, e-mail, web) as well as the outsourcing of computation and applications (e.g. cloud computing). In 2011, the number of Internet users has surpassed two billion (i.e., a third of the global population [130]) and the number of Internet hosts are approximately 800 million. Websites are reachable via a wide range of computing devices such as personal computers, tablet PCs, mobile phones. Also, users often have anywhere, any time access to the Internet. Attackers are not indifferent to the evolution of the Internet. Often driven by a flourish- ing underground economy, attackers are constantly looking for vulnerabilities, misconfig- urations and novel techniques to access protected and authorized systems, to steal private information, or to deliver malicious content. Traditional vulnerabilities such as buffer over- flows or SQL injections are still exploited. However, new alternative attack vectors that leverage unconventional channels on a large scale (e.g. cloud computing) are also being discovered. To date, not much research has been conducted to measure the importance and extent of these emerging Internet threats. Conventional detection techniques cannot easily scale to large scale installations, and novel methodologies are required to analyze and discover bugs and vulnerabilities in these complex systems. In this thesis, we advance the state of the art in large scale testing and measurement of Internet threats. We research into three novel classes of security problems that affect Internet systems that experienced a fast surge in popularity (i.e., ClickJacking, HTTP Parameter Pollution, and commercial cloud computing services that allow the outsourcing of server infrastructures). We introduce the first, large scale attempt to estimate the prevalence and relevance of these problems on the Internet. 7 Table des mati`eres I R´esum´e 13 1 Introduction 15 1.1 Contributions . 19 1.2 R´ecapitulatif . 22 1.3 Organisation de la th`ese . 23 2 Principales Contributions 25 2.1 D´etournement de Clic (Clickjacking) . 25 2.2 Pollution de Param`etresHTTP (HPP) . 27 2.3 Risques li´esau Elastic Compute Cloud . 30 II These 33 3 Introduction 35 3.1 Contributions . 38 3.2 Summary . 41 3.3 Organization . 41 4 Related Work 43 4.1 Large-Scale Internet Measurement . 43 4.2 Measurement of Internet Threats . 44 4.3 Web Vulnerabilities . 46 4.4 Cloud Computing Threats . 48 4.5 Summary . 50 5 Clickjacking 51 5.1 Introduction . 51 5.2 Clickjacking . 52 5.3 Detection Approach . 54 5.3.1 Detection unit . 55 5.3.2 Testing unit . 57 5.3.3 Limitations . 58 5.4 Evaluation . 58 5.5 Results . 59 5.5.1 False positives . 60 5.5.2 True positive and borderline cases . 61 5.5.3 False negatives . 61 5.6 Pages implementing protection techniques . 62 5.7 Summary . 62 6 HTTP Parameter Pollution 65 6.1 Problem Statement . 65 6.1.1 Parameter Precedence in Web Applications . 65 6.1.2 Parameter Pollution . 67 6.2 Automated HPP Detection . 70 6.2.1 Browser and Crawler Components . 70 6.2.2 P-Scan: Analysis of the Parameter Precedence . 71 6.2.3 V-Scan: Testing for HPP vulnerabilities . 73 6.3 Implementation . 75 6.3.1 Limitations . 76 6.4 Evaluation . 78 6.4.1 Examples of Discovered Vulnerabilities . 81 6.4.2 Ethical Considerations . 84 6.5 Summary . 84 7 Elastic Compute Cloud Risks 87 7.1 Introduction . 87 7.2 Overview of Amazon EC2 . 88 7.3 AMI Testing Methodology . 89 7.4 Results of the Large Scale Analysis . 91 7.4.1 Software Vulnerabilities . 92 7.4.2 Security Risks . 93 7.4.3 Privacy Risks . 95 7.5 Matching AMIs to Running Instances . 98 7.6 Ethical Considerations and Amazon's Feedback . 101 7.7 Summary . 102 8 Conclusion and Future Work 103 8.1 Conclusion . 103 8.2 Future Work . 104 9 Table des figures 1.1 Nombre de h^otesInternet par an . 15 1.2 Histoire de la capacit´edes disques durs . 16 1.3 Nombre de failles XSS et SQLi par an (MITRE) . 17 1.4 Exemple de attaque Clickjacking contre Twitter . 20 2.1 Architecture de ClickIDS . 26 2.2 Architecture de PAPAS . 27 2.3 Priorit´edes param`etreslorsque deux occurrences d'un m^emeparam`etre sont sp´ecifi´es . 29 2.4 Taux de vuln´erabilit´epour chaque cat´egorie. 30 2.5 Architecture de SatanCloud . 31 3.1 Number of Internet hosts by year . 36 3.2 History of hard-disks capacity . 37 3.3 Number of XSS and SQLi flaws by year (MITRE) . 38 5.1 Clickjacking attack against Twitter: The page rendering showing the two frames. 52 5.2 System architecture . 55 6.1 Architecture of PAPAS . 70 6.2 PAPAS Online Service, Homepage . 77 6.3 PAPAS Online Service, Token Verification . 77 6.4 PAPAS Online Service, Report . 77 6.5 Precedence when the same parameter occurs multiple time . 79 6.6 Vulnerability rate for category . 82 7.1 System Architecture . 89 7.2 Distribution AMIs / Vulnerabilites (Windows and Linux) . 94 11 Liste des tableaux 2.1 Statistiques des pages visit´ees. 26 2.2 R´esultatsd'analyse clickjacking . 27 2.3 Les TOP15 cat´egoriesde sites analys´es. 29 2.4 Les tests inclus dans la suite de testage . 32 5.1 Statistics on the visited pages . 59 5.2 Results . 60 6.1 Parameter precedence in the presence of multiple parameters with the same name ....................................... 66 6.2 TOP15 categories of the analyzed sites . 78 7.1 Details of the tests included in the automated AMI test suite . 91 7.2 General Statistics . 92 7.3 Nessus Results . 93 7.4 Left credentials per AMI . 96 7.5 Credentials in history files . 97 7.6 Tested Bundle Methods . 99 7.7.

Load more

  116

Copy Link