Contrôler les exécutables avant l'execution

Tchetch · 19/12/2006, 09h42

Bonjour,

L'autre jour je me suis dit qu'il serait intéressant de pouvoir contrôler si l'exécutable qu'on va lancer est bien celui qu'on croit être.

Je m'explique. Si un vilain pirate s'introduit dans le système, il va commencer par modifier les exécutables présents (comme who, pour ce cacher). Malheureusement, on ne peut pas le savoir. À moins d'avoir un checksum (MD5) de l'exéc en question et que ce checksum soit recalculé puis contrôler avec le contenu d'une base de données de checksum.

En utilisant les systèmes de distribution de paquets utilisés sur les différentes distribution, on peut tenir à jour une bdd de checksum et un module du noyau s'occuperait uniquement de vérifier cette valeur, refusant ainsi l'exécution d'un programme qui ne collerait pas avec la bdd.

Du coup je me pose les questions suivantes :

Est-ce que cela existe déjà ?
Si non, pourquoi ça n'existe pas (trop lent, ne sert pas à grand chose) ?
Si oui, est-ce vraiment utile ?
Est-ce que ça vaut le coup de s'attaquer à la création de ce module noyau ?

Donc s'il y a une utilité réelle (et si ça n'existe pas), je voudrais bien m'attaquer à la création de ce module (GPL, bien sûre). Qu'en pensez-vous ?

Bonne journée!

Hanslip · 19/12/2006, 09h53

Salut

Personnellement je trouve ce projet intéressant. Je ne connai pour ma part aucun systeme permettant ceci.

Cependant, est-ce vraiment utile vue que les pirates s'attaque tres peu au monde unix (préférant s'attaquer au monde windows)?

Je ne sait pas. Mais si un jour, les systemes unix sont démocratisé, oui alors ca pourra etre un projet tres interessant.

++

julp · 19/12/2006, 11h36

Ce genre de programme existe déjà mais ne sont pas intégrés au noyau comme AIDE et Tripwire. En effet, ceux-ci permettent de constituer une base de données à partir des fichiers que vous aurez choisis en leur appliquant divers critères selon la nature de chaque fichier (log : vérification de sa croissance, binaire : checksum - plusieurs algorithmes proposés, ...) en plus des contrôles de permissions, propriétaires, etc.

La vérification de ces fichiers se fait par la suite manuellement (éventuellement avec cron) à partir de cette base de données.

Julp.

troumad · 19/12/2006, 13h01

Citation:

Envoyé par Hanslip

Cependant, est-ce vraiment utile vue que les pirates s'attaque tres peu au monde unix (préférant s'attaquer au monde windows)?

Je ne sait pas. Mais si un jour, les systemes unix sont démocratisé, oui alors ca pourra etre un projet tres interessant.

Mieux vaut prévenir que guérir...

_solo · 19/12/2006, 16h17

Citation:

Envoyé par Hanslip

Cependant, est-ce vraiment utile vue que les pirates s'attaque tres peu au monde unix (préférant s'attaquer au monde windows)?

Je ne sait pas. Mais si un jour, les systemes unix sont démocratisé, oui alors ca pourra etre un projet tres interessant.

Detrompe toi les serveurs les plus attaquer tourne sous unix , non pas parce que c'est jolie mais parce que ce sont les serveurs les plus repandus voir pour certains c'est plus 'compliquer' ( faut relativiser ce terme ) et donc il y a un veritable challenge pour eux .

sinon pour Tchetch il y a RSBAC qui permets d'avoir un niveau de control assez pointues avec des modeles de securite qui permets meme de restreindre l'utilisateur root , comme en ca meme en cas de compromistion le pirate il pourra juste jouer a tetris et rien d'autres

.

Tchetch · 19/12/2006, 17h01

Oui, il y a là bien des atouts en matières de sécurité, mais il ne me semble pas avoir vu que ce système te garantisse que le programme que tu as installé il y 1 an n'a pas été modifié quand tu l'exécutes. C'est là que j'aimerais en venir. Simplement l'exécution de programme en étant sûre (ou presque) que c'est le programme que l'on a installé.

_solo · 19/12/2006, 17h08

Citation:

(...)mais il ne me semble pas avoir vu que ce système te garantisse que le programme que tu as installé il y 1 an n'a pas été modifié quand tu l'exécutes. C'est là que j'aimerais en venir.(...)

OK , mais avec RSBAC pas la peine de te preoccuper de quand a ete installer ton soft

( ce que tu doit faire systematiquement que tu met a jour tes applications avec un soft qui signe tes applications [[tripwire and co ]] )

car il permet la surveillance et/ou le bloquage d'appel systeme et plein d'autres choses je prefere te renvoyer au si officiel car je ne connait pas tous ses possibilites

et la par contre tu le fait une fois c'est tout

( je crois qu'il integre meme un scanner de malware )

http://www.rsbac.org/

troumad · 19/12/2006, 17h21

_solo, tu montres que les serveurs tournent principalement sous apache, mais...
apache peut être sous :
Unix (___BSD, Linux, ...) Windows et peut être ailleurs aussi. Donc ceci n'indique pas le nombre de serveur sous Linux...

Tchetch · 19/12/2006, 17h27

Mais imaginons que le méchant pirate arrive à casser le truc pour prendre le role de "Binary Manager". Hop il te vire bash et te le remplace par un bash qui enregistre les mots de passe et c'est le goal !

Cela que mon idée intervient. Il peut remplacer bash ... Mais bash ne va pas s'exécuter ... pour la simple et bonne raison que le checksum ne correspond pas ... Grosso modo !

C'est bien non ?

troumad · 19/12/2006, 17h36

C'est une bonne idée, mais tu n'es pas le premier à l'avoir...
Tu as vu les liens qu'on t'a indiqués ?

Olivier Regnier · 19/12/2006, 23h05

Je trouve cette idée sympatoche

Solo, arrête avec tes graphiques à la Excel

Cela ne prouve rien du tout. Tu devrais nous donner tes sources. Un petit lien que tout le monde en profite.

++

Tchetch · 20/12/2006, 08h33

Citation:

Envoyé par troumad

Tu as vu les liens qu'on t'a indiqués ?

Ben justement, je ne vois rien qui fasse vraiment ce que je souhaite. Donc je reviens à la question de l'utilité d'un tel système.

_solo · 21/12/2006, 19h01

Citation:

Envoyé par Larkine

Solo, arrête avec tes graphiques à la Excel Cela ne prouve rien du tout. Tu devrais nous donner tes sources. Un petit lien que tout le monde en profite.

lol non je n'utilise pas excell meme sous la torture je ne l'utiliserais pas ...
c'est www.netcraft.com desoler j'ai lhabitude de trainer sur des forums ou tout le monde est parano et regarde les proprietes de la moindres choses poster

.

Citation:

Envoyé par Tchetch

Mais imaginons que le méchant pirate arrive à casser le truc pour prendre le role de "Binary Manager". Hop il te vire bash et te le remplace par un bash qui enregistre les mots de passe et c'est le goal !

Cela que mon idée intervient. Il peut remplacer bash ... Mais bash ne va pas s'exécuter ... pour la simple et bonne raison que le checksum ne correspond pas ... Grosso modo !

Mieux RSBAC surveille les appels systemes que ton binaire utilise et profile automatiquement ton meme ninaire lors de mise a jour ( une granulariter de configuration tres poussee mais demande des competences aussi poussee ) , donc ton hacker il ne fera rien d'autres que jouer a tetris .

Ton idee peut te sembler ( faussement ) geniale mais lors de la mise a jour des binaires faudras refaire un hash de tes binaires
1°) les hashs sa se manipule
2°)je n'ai plus qu'a ramener avec moi mon propre binaire dangereux pour faire tomber ta foireuse protection

3°) comment prevenir des attaques qui se font uniquement en memoire
4°)comment faire si ton manager de hash est lui meme veroler
5°)les attaquants et attaques evoluent extremement vite comment interdire un binaire qui est placer sur un cluster considerer comme abimer de s'executer ?????

Bref on en reviens a RSBAC et tripwire pour vous donner un ( faux )sentiment de securiter

19/12/2006, 09h42	#1
Tchetch Membre éprouvé Inscription : mars 2002 Messages : 401 Détails du profil Informations personnelles : Âge : 27 Informations forums : Inscription : mars 2002 Messages : 401 Points : 434 Points : 434	Contrôler les exécutables avant l'execution Bonjour, L'autre jour je me suis dit qu'il serait intéressant de pouvoir contrôler si l'exécutable qu'on va lancer est bien celui qu'on croit être. Je m'explique. Si un vilain pirate s'introduit dans le système, il va commencer par modifier les exécutables présents (comme who, pour ce cacher). Malheureusement, on ne peut pas le savoir. À moins d'avoir un checksum (MD5) de l'exéc en question et que ce checksum soit recalculé puis contrôler avec le contenu d'une base de données de checksum. En utilisant les systèmes de distribution de paquets utilisés sur les différentes distribution, on peut tenir à jour une bdd de checksum et un module du noyau s'occuperait uniquement de vérifier cette valeur, refusant ainsi l'exécution d'un programme qui ne collerait pas avec la bdd. Du coup je me pose les questions suivantes : Est-ce que cela existe déjà ? Si non, pourquoi ça n'existe pas (trop lent, ne sert pas à grand chose) ? Si oui, est-ce vraiment utile ? Est-ce que ça vaut le coup de s'attaquer à la création de ce module noyau ? Donc s'il y a une utilité réelle (et si ça n'existe pas), je voudrais bien m'attaquer à la création de ce module (GPL, bien sûre). Qu'en pensez-vous ? Bonne journée! __________________ Mon wiki (on y parle Debian principalement) : http://www.tchetch.net/
	00

19/12/2006, 09h53	#2
Hanslip Membre habitué Inscription : juin 2004 Messages : 142 Détails du profil Informations personnelles : Âge : 32 Localisation : France, Vienne (Poitou Charente) Informations forums : Inscription : juin 2004 Messages : 142 Points : 104 Points : 104	Salut Personnellement je trouve ce projet intéressant. Je ne connai pour ma part aucun systeme permettant ceci. Cependant, est-ce vraiment utile vue que les pirates s'attaque tres peu au monde unix (préférant s'attaquer au monde windows)? Je ne sait pas. Mais si un jour, les systemes unix sont démocratisé, oui alors ca pourra etre un projet tres interessant. ++ __________________ Heu ... Bof ché po quoi dire ^^^
	00

19/12/2006, 17h01	#6
Tchetch Membre éprouvé Inscription : mars 2002 Messages : 401 Détails du profil Informations personnelles : Âge : 27 Informations forums : Inscription : mars 2002 Messages : 401 Points : 434 Points : 434	Oui, il y a là bien des atouts en matières de sécurité, mais il ne me semble pas avoir vu que ce système te garantisse que le programme que tu as installé il y 1 an n'a pas été modifié quand tu l'exécutes. C'est là que j'aimerais en venir. Simplement l'exécution de programme en étant sûre (ou presque) que c'est le programme que l'on a installé. __________________ Mon wiki (on y parle Debian principalement) : http://www.tchetch.net/
	00

19/12/2006, 17h21	#8
troumad Rédacteur/Modérateur Bernard SIAUD Enseignant Inscription : novembre 2003 Messages : 4 400 Détails du profil Informations personnelles : Nom : Bernard SIAUD Âge : 44 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Enseignant Secteur : Enseignement Informations forums : Inscription : novembre 2003 Messages : 4 400 Points : 4 944 Points : 4 944	_solo, tu montres que les serveurs tournent principalement sous apache, mais... apache peut être sous : Unix (___BSD, Linux, ...) Windows et peut être ailleurs aussi. Donc ceci n'indique pas le nombre de serveur sous Linux... __________________ Modérateur Mandriva Linux Amicalement VOOotre Troumad Alias Bernard SIAUD à découvrir sur http://troumad.org Mes tutoriels
	00

19/12/2006, 17h27	#9
Tchetch Membre éprouvé Inscription : mars 2002 Messages : 401 Détails du profil Informations personnelles : Âge : 27 Informations forums : Inscription : mars 2002 Messages : 401 Points : 434 Points : 434	Mais imaginons que le méchant pirate arrive à casser le truc pour prendre le role de "Binary Manager". Hop il te vire bash et te le remplace par un bash qui enregistre les mots de passe et c'est le goal ! Cela que mon idée intervient. Il peut remplacer bash ... Mais bash ne va pas s'exécuter ... pour la simple et bonne raison que le checksum ne correspond pas ... Grosso modo ! C'est bien non ? __________________ Mon wiki (on y parle Debian principalement) : http://www.tchetch.net/
	00

19/12/2006, 11h36	#3
julp En attente de confirmation mail Inscription : juin 2002 Messages : 6 164 Détails du profil Informations forums : Inscription : juin 2002 Messages : 6 164 Points : 6 404 Points : 6 404	Ce genre de programme existe déjà mais ne sont pas intégrés au noyau comme AIDE et Tripwire. En effet, ceux-ci permettent de constituer une base de données à partir des fichiers que vous aurez choisis en leur appliquant divers critères selon la nature de chaque fichier (log : vérification de sa croissance, binaire : checksum - plusieurs algorithmes proposés, ...) en plus des contrôles de permissions, propriétaires, etc. La vérification de ces fichiers se fait par la suite manuellement (éventuellement avec cron) à partir de cette base de données. Julp.
	00

19/12/2006, 17h36	#10
troumad Rédacteur/Modérateur Bernard SIAUD Enseignant Inscription : novembre 2003 Messages : 4 400 Détails du profil Informations personnelles : Nom : Bernard SIAUD Âge : 44 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Enseignant Secteur : Enseignement Informations forums : Inscription : novembre 2003 Messages : 4 400 Points : 4 944 Points : 4 944	C'est une bonne idée, mais tu n'es pas le premier à l'avoir... Tu as vu les liens qu'on t'a indiqués ? __________________ Modérateur Mandriva Linux Amicalement VOOotre Troumad Alias Bernard SIAUD à découvrir sur http://troumad.org Mes tutoriels
	00

19/12/2006, 23h05	#11
Olivier Regnier Rédacteur Inscription : juillet 2004 Messages : 2 573 Détails du profil Informations personnelles : Âge : 34 Informations forums : Inscription : juillet 2004 Messages : 2 573 Points : 1 973 Points : 1 973	Je trouve cette idée sympatoche Solo, arrête avec tes graphiques à la Excel Cela ne prouve rien du tout. Tu devrais nous donner tes sources. Un petit lien que tout le monde en profite. ++ __________________ .Olivier
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email