IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

SELinux et Malwares


Sujet :

Sécurité

  1. #1
    Membre régulier
    Homme Profil pro
    Lycéen
    Inscrit en
    Mars 2014
    Messages
    76
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 57
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Lycéen

    Informations forums :
    Inscription : Mars 2014
    Messages : 76
    Points : 72
    Points
    72
    Par défaut SELinux et Malwares
    Bonjour tout le monde,

    Je suis entrain de travailler sur un petit système embarqué (basé sur une Pi). Celui-ci pourra recevoir des fichiers d'utilisateurs et pourra aussi transmettre ces fichiers.
    Du coup avant de les transmettre je souhaiterai avoir une analyse minimale pour éviter de diffuser un virus, un ver ou autres.

    L'idée que j'ai eut est la suivante :
    - Mettre SELinux sur la pi, si c'est un fichier pdf par exemple, la pi l'ouvre et si SELinux s'affole pour des violations de règles on peut alors supposer que c'est un virus (ou un faux positif).

    Est-ce que cette solution pourrait marcher (je n'ai pas beaucoup si ce n'est quasiment aucune expérience dans SELinux) ?
    Est-ce que d'autres solutions sont ensivsageables (Sachant que j'ai comme contrainre les performances de la Pi, et que je ne veux pas non plus attendre 1h00 d'analyse pour récupérer un fichier) ?

    Merci pour toutes éventuelles propositions. Si vous avez des liens intéressants à ce sujet je suis aussi preneur !

    Cordialement,
    Reverse_

  2. #2
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 824
    Points
    2 824
    Par défaut
    SELinux n'est pas un antivirus. SELinux permet d'appliquer un hardenning du système de façon plus pousser que ce que propose Linux de base. Si ta préoccupation est de vérifier si les fichiers uploadés sont sains il faudra installer un moteur d'antivirus, en fonction de ce qui est disponible pour la distribution que tu utilises.

  3. #3
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 035
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 035
    Points : 8 400
    Points
    8 400
    Par défaut
    salut,

    en complément de la réponse de benjani13, je crois que la méprise tient à la notion de "sandbox", je doute que SElinux se prête vraiment à faire un bac à sable efficace

    SElinux permet de mettre des restrictions, mais sauf erreur les logs c'est audit qui va les fournir, et il va également falloir faire un montage pour exécuter le fichier de manière adéquate, si on récupère une archive 7z avec un pdf à l'intérieur par exemple il conviendrait en théorie de décompresser le fichier dans un premier temps pour ensuite ouvrir le pdf avec une appli xyz sans affichage, et ensuite aller checker les logs, à mon sens ça a ses limites

    ça vaut probablement le coup de se pencher sur les sandboxes existantes sous Linux, dédiées à faire de l'analyse de processus plutôt que "juste" fournir un environnement cloisonné, du genre Cuckoo ou Limon par exemple

  4. #4
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 824
    Points
    2 824
    Par défaut
    Je ne conseillerai pas ta méthode BufferBob, un antivirus (voir plusieurs) appelé pour tester chaque fichier uploadé serait mieux pour ce cas d'utilisation.

    Premièrement, si tu ouvre/exécute les fichiers et analyse ce qui se passe tu te limites à OS particulier (celui que tu fait tourner) ou à l'outil que tu t'utilise (un PDF peut provoquer une vulnérabilité sur Adobe Reader mais pas sur un autre lecteur par exemple). J'imagine qu'il pourra y être partagé autant de PDFs, que de programmes Linux, Windows, etc. De plus, tu exposes ton propre système en exécutant directement le fichier suspect dessus. Dans tous les cas, que ce soit pour cette solution là ou pour lancer dans une sandbox type Cuckoo tu devra faire une analyse manuelle et ce n'est pas l'objectif j'imagine. De plus je ne suis pas sur que tu puisses lancer beaucoup de VMs sur un RPi.

    Donc un moteur d'antivirus fera très bien le boulot en te levant des alertes quelques soit le type de fichier partagé.

  5. #5
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 035
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 035
    Points : 8 400
    Points
    8 400
    Par défaut
    Citation Envoyé par benjani13 Voir le message
    Je ne conseillerai pas ta méthode BufferBob
    ouai je me suis peut-être mal exprimé, en fait je ne conseille pas ma méthode non plus juste comme le PO parlait de SElinux il me semblait qu'il était plus question de sandboxing (qui reste une technique valable par ailleurs, et les AV intègrent quasiment tous une sandbox de nos jours) que d'analyse statique et que la méprise venait de là

Discussions similaires

  1. Virus ou malware ou autre que je n'arrive pas à enlever
    Par musicann dans le forum Windows XP
    Réponses: 18
    Dernier message: 04/09/2007, 16h35
  2. attention autorun.inf sur clé usb: malware mscfgs
    Par medkarim dans le forum Sécurité
    Réponses: 3
    Dernier message: 21/10/2006, 14h01
  3. [Nettoyage Malwares] symptomes surnaturels
    Par chat hotplug dans le forum Sécurité
    Réponses: 8
    Dernier message: 13/02/2006, 16h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo