Lintelligence artificielle applique aux virus informatiques

1
Lintelligence artificielle appliquée aux virus
informatiques

• Une présentation de François HarveySÉCURIWEB
  INC.

2
Introduction

• Cette conférence portera sur les risques reliés
  à lintégration de techniques dintelligence
  artificielle dans des vers ou de virus
  informatiques.
• Les aspects abordés seront les raisons
  présageant lémergence de ses techniques,
  différentes de ses techniques et lélaboration de
  solutions pour cette nouvelle problématique. Les
  aspects de bas niveau ne seront pas abordés (tel
  les réseaux neuronaux, logique flou, etc.)

3
Pourquoi lIA appliquée au virus

• Plusieurs techniques dintelligence sont déjà
  utilisées pour les combattre
• Complexité et diversité accrues des réseaux
  informatiques
• Réglementations envers les agents informatiques
• Mise en place de plans dinfection ciblés et à
  long terme

4
Raisons possibles

• Espionnage industriel
• Fraude financière
• Vol dinformation
• Sabotage informatique
• Désinformations massives

5
Secteur de lIA abordé

• Communication P2P
• Communication entre les  hosts 
• Reconnaissance dimage
• Voir et détecter ce qui est important
• Apprentissage par soi-même
• Pas faire les mêmes erreurs deux fois
• Langage naturel
• Communiquer avec lutilisateur

6
Communication P2P

• Coordination
• Séparation des tâches
• Partage dinformation

7
La nécessité dune bonne coordination

• À lheure actuelle, il faudrait près de 5 ans à
  un logiciel informatique ne se multipliant pas
  pour infecter la totalité dInternet
• Le ver Blaster a infecté plus de 3 millions
  dordinateurs en 24 heures.
• Le nombre dordinateurs infectés a diminué du
  tiers dans les secondes 48 heures et de la moitié
  dans la semaine suivante

8
Coordination actuelle

• Propagation essentiellement mathématiqueMS-Blaste
  r (a.b.c.d)
• 40
• A.B.. ou A.B. sont égal à ladresse en cours
• .C est le troisième chiffre de lIP diminué
  parfois (40) dun nombre aléatoire lt 20
• .D est incrémenté de 0 à 254
• 60
• Adresse IP Aléatoire

9
Coordination avec lIA

• Minimalement Deux types de processus
• Un scout son rôle est de détecter des
  ordinateurs vulnérables sur Internet et le type
  dattaque possible, ses informations sont
  partagées ensuite aux infecteurs .
• Un infecteur Utilise les informations des
  scouts pour infecter les ordinateurs, plusieurs
  types dinfecteurs peuvent se partager les
  informations.

10
Séparation des tâches

• Le tout est plus fort que la somme des parties
• Facilité dadaptation
• Analyse et décompilation plus complexes
  (nécessité de comprendre les interactions entre
  les agents)
• Procédure de suppression plus complexe
• Intégration dagents fictifs

11
Partage dinformation

• Le partage dinformation est essentiel pour
  assurer une distribution des tâches et une
  coordination
• Méthodes de communication
• Infrastructures existantes (courriel, IRC, IM)
• Propagation broadcast (niveau réseaux, ICMP,
  etc.)
• Passation de connaissances lors de linfection

12
Reconnaissance dimage

• La mise en place de systèmes de contrôles
  graphiques (Terminal Server, VNC, etc.) est de
  plus en plus présente dans les organisations
  permettant ainsi un accès local à des serveurs ou
  des postes de travail spécialisés
• De plus une installation locale sur le poste
  peut toujours être possible

13
Terminal serveur application dédiée, un mythe
de sécurité
Les entreprises reposant seulement sur le
concept dapplications dédiées ouvertes
automatiquement sur un terminal serveur peuvent
souffrir dune faille de sécurité permettant
lutilisation dapplications tierces. La
faille, toute simple, ne consiste quà utiliser
une boîte de dialogue douverture, ou de
sauvegarde, de sélectionner lapplication, et
utiliser la commande ouvrir du menu contextuel.
Si lapplication na pas de boîte de dialogue
directement, il est aussi possible parfois
dutiliser la boîte de dialogue ouvrir de
winhelp si lapplication utilise laide en ligne

14
Reconnaissance dimage - Buts

• Automatisation
• Mise en place de filtres utilisant des éléments
  graphiques (paypal)
• Capture dinformation
• Infection (via TS, VNC, autres)

15
Automatisation état de situation

• Présentement lautomatisation de processus est
  géré essentiellement de deux façons
• Utilisation du clavier
• Utilisation de la souris en mode absolu

16
Automatisation - IA

• Base de connaissances sur les éléments qui
  constituent lenvironnement graphique
• Dépendant du systèmes dexploitation / DE
• Détection de limage (utilisation de techniques
  de NN)
• Suivi dun scénario
• Vérification du suivi du scénario en comparant
  limage en cours avec celle prévue
• Application des correctifs ou remise à létat
  initial

17
Exemple (utilisation de putty)
Clic
Attendre
Clic
Clavier
123.45.67.89
Clic
Clic
18
Limite à la reconnaissance dimage

• Personnalisation de lenvironnement graphique
• Dépendant du système dexploitation
• De Microsoft Windows 95 à 2000, relativement
  stable
• Avec Windows XP, intégration de thème
• Linux anarchie, multitude denvironnements, de
  thèmes, et de jeux dicônes selon les
  distributions et les versions
• Mac OS X, relativement stable
• Dépendant de la langue
• Dépendant de lapplication et de sa version

19
Connectivité (infection)

• Lintégration des clients de connections peut
  se faire à deux niveaux
• Au niveau de la connectivité pour Terminal
  Server, il existe les code sources du logiciel
  rdesktop
• Pour ce qui est de VNC, la majorité des
  implantations sont à code ouvert et le protocole
  est bien documenté.
• (les deux logiciels sont licenciés sous licence
  GPL, ainsi il serait légalement requis que le
  vers copie ses code sources ? )
• Pour les autres modes de communication, rien
  empêche que le logiciel utilise un client local,
  et contrôle à la fois, le client et lhôte à
  distance.

20
Limite à ce type de propagation

• Lourdeur du code
• Intégration des outils de connectivité
• Intégration de systèmes experts
• Lenteur de propagation
• Simulation dactions utilisateurs
• Complexité de mise en place
• Authentification

21
Langage Naturel

• Relation entre logiciel et lutilisateur
• Social engineering
• Guider lutilisateur
• Etc.

22
Communication via courriel

• Grande amélioration au niveau de limagination
  des créateurs de vers.
• Messages génériques souvent non adaptés à la
  situation.
• Utilisateur légèrement plus prudent
• Mise en place de limites dans certains logiciels
  de courrier (pièces jointes)

23
Possibilité offerte par LIA dans les
communications

• Détection de la langue de communication(prototype
  existe programmé en python, check_lang, intégré
  à Narval)
• Utilisation déléments du message selon les
  messages précédents.
• Détection des flux de communications à
  lintérieur dune organisation.
• Détection des pièces jointes, leurs types et
  leurs natures

24
Problématiques reliés à ce type dattaque

• Difficulté de séparer lutilisateur du virus
• Difficulté à repérer
• Règlementation non adaptée
• Délais dinfection pouvant être répartis sur de
  très longues périodes
• Certains types dattaques sont plus facile à
  automatiser quà programmer

25
Pistes de solution

• Journalisation complète
• Privilège utilisateur minimum
• Sécurisation à lextrême des ordinateurs servant
  de communication à lexterne
• Désactivation de services selon la présence et
  labsence des employés

26
Conclusion

• Cette présentation avait pour but de vous
  sensibiliser et de vous expliquer certaines
  techniques dIA pouvant être intégrées lors de la
  création de virus.
• Certaines de ses techniques ne pourront pas
  être intégrées très rapidement, mais avec
  lavancée impressionnante de la vitesse des
  ordinateurs, il faut sattendre à voir une
  augmentation et une complexité accrue des virus
  et des vers informatiques.

27
Questions/Réponses