Discussion :

[Tchetch]

Bonjour,

L'autre jour je me suis dit qu'il serait intéressant de pouvoir contrôler si l'exécutable qu'on va lancer est bien celui qu'on croit être.

Je m'explique. Si un vilain pirate s'introduit dans le système, il va commencer par modifier les exécutables présents (comme who, pour ce cacher). Malheureusement, on ne peut pas le savoir. À moins d'avoir un checksum (MD5) de l'exéc en question et que ce checksum soit recalculé puis contrôler avec le contenu d'une base de données de checksum.

En utilisant les systèmes de distribution de paquets utilisés sur les différentes distribution, on peut tenir à jour une bdd de checksum et un module du noyau s'occuperait uniquement de vérifier cette valeur, refusant ainsi l'exécution d'un programme qui ne collerait pas avec la bdd.

Du coup je me pose les questions suivantes :

• Est-ce que cela existe déjà ?
• Si non, pourquoi ça n'existe pas (trop lent, ne sert pas à grand chose) ?
• Si oui, est-ce vraiment utile ?
• Est-ce que ça vaut le coup de s'attaquer à la création de ce module noyau ?

Donc s'il y a une utilité réelle (et si ça n'existe pas), je voudrais bien m'attaquer à la création de ce module (GPL, bien sûre). Qu'en pensez-vous ?

Bonne journée!

[Hanslip]

Salut

Personnellement je trouve ce projet intéressant. Je ne connai pour ma part aucun systeme permettant ceci.

Cependant, est-ce vraiment utile vue que les pirates s'attaque tres peu au monde unix (préférant s'attaquer au monde windows)?

Je ne sait pas. Mais si un jour, les systemes unix sont démocratisé, oui alors ca pourra etre un projet tres interessant.

++

[julp]

Ce genre de programme existe déjà mais ne sont pas intégrés au noyau comme AIDE et Tripwire. En effet, ceux-ci permettent de constituer une base de données à partir des fichiers que vous aurez choisis en leur appliquant divers critères selon la nature de chaque fichier (log : vérification de sa croissance, binaire : checksum - plusieurs algorithmes proposés, ...) en plus des contrôles de permissions, propriétaires, etc.

La vérification de ces fichiers se fait par la suite manuellement (éventuellement avec cron) à partir de cette base de données.


Julp.

[troumad]

Cependant, est-ce vraiment utile vue que les pirates s'attaque tres peu au monde unix (préférant s'attaquer au monde windows)?

Je ne sait pas. Mais si un jour, les systemes unix sont démocratisé, oui alors ca pourra etre un projet tres interessant.

Mieux vaut prévenir que guérir...

[_solo]

Cependant, est-ce vraiment utile vue que les pirates s'attaque tres peu au monde unix (préférant s'attaquer au monde windows)?

Je ne sait pas. Mais si un jour, les systemes unix sont démocratisé, oui alors ca pourra etre un projet tres interessant.

Detrompe toi les serveurs les plus attaquer tourne sous unix , non pas parce que c'est jolie mais parce que ce sont les serveurs les plus repandus voir pour certains c'est plus 'compliquer' ( faut relativiser ce terme ) et donc il y a un veritable challenge pour eux .



sinon pour Tchetch il y a RSBAC qui permets d'avoir un niveau de control assez pointues avec des modeles de securite qui permets meme de restreindre l'utilisateur root , comme en ca meme en cas de compromistion le pirate il pourra juste jouer a tetris et rien d'autres .

[Tchetch]

Oui, il y a là bien des atouts en matières de sécurité, mais il ne me semble pas avoir vu que ce système te garantisse que le programme que tu as installé il y 1 an n'a pas été modifié quand tu l'exécutes. C'est là que j'aimerais en venir. Simplement l'exécution de programme en étant sûre (ou presque) que c'est le programme que l'on a installé.

[_solo]

(...)mais il ne me semble pas avoir vu que ce système te garantisse que le programme que tu as installé il y 1 an n'a pas été modifié quand tu l'exécutes. C'est là que j'aimerais en venir.(...)

OK , mais avec RSBAC pas la peine de te preoccuper de quand a ete installer ton soft

( ce que tu doit faire systematiquement que tu met a jour tes applications avec un soft qui signe tes applications [[tripwire and co ]] )

car il permet la surveillance et/ou le bloquage d'appel systeme et plein d'autres choses je prefere te renvoyer au si officiel car je ne connait pas tous ses possibilites

et la par contre tu le fait une fois c'est tout ( je crois qu'il integre meme un scanner de malware )

http://www.rsbac.org/

[troumad]

_solo, tu montres que les serveurs tournent principalement sous apache, mais...
apache peut être sous :
Unix (___BSD, Linux, ...) Windows et peut être ailleurs aussi. Donc ceci n'indique pas le nombre de serveur sous Linux...

[Tchetch]

Mais imaginons que le méchant pirate arrive à casser le truc pour prendre le role de "Binary Manager". Hop il te vire bash et te le remplace par un bash qui enregistre les mots de passe et c'est le goal !

Cela que mon idée intervient. Il peut remplacer bash ... Mais bash ne va pas s'exécuter ... pour la simple et bonne raison que le checksum ne correspond pas ... Grosso modo !

C'est bien non ?