Selon Lesnouvelles.net,les anti-Rootkits seraient a la mode actuellement chez les cie d'anti-virus et de sécurité. Maintenant que les spywares sont bien à la mode, l'industrie de la sécurité doit se trouver une nouvelle tendance. Et il pourrait bien s'agir des rootkits pour Windows, ces codes malicieux terriblement difficiles à détecter et à éradiquer. Déjà, des anti-rootkits font leur apparition. Menace sérieuse ou nouveau coup de pub ? Le petit monde de la sécurité s'est trouvé une nouvelle marotte : le rootkit Windows.
Maintenant que les spywares sont devenus très "grand public", l'attention des passionnés et des techniciens se tourne ainsi vers une menace moins connue et beaucoup plus technique. Le tout, bien sûr, sous le regard bienveillant des éditeurs, toujours prompts à flairer une bonne affaire. Car voyez-vous, le rootkit Windows a tous les atouts pour faire peur dans les chaumières : c'est un code malicieux vraiment complexe qui se greffe dans le noyau même du système d'exploitation, c'est à dire le Saint des Saints. Il est ainsi capable de prendre le contrôle total d'un PC sans laisser de trace. Sa détection est difficile, parfois même impossible tant que le système fonctionne. Une fois en place, le rootkit (noyau) est véritablement le Maître du système. À ce titre tous les programmes, y compris les antivirus, anti-spywares et autres anti-tout, doivent passer par lui avant de faire quoi que ce soit : ils ne peuvent donc se fier à aucune information collectée sur le système. C'est diabolique. Maintenant que nous avons nous aussi contribué à médiatiser ces méchants rootkits, revenons sur les fondements de cette mode qui semble s'annoncer. Les rootkits sont en réalité loin d'être une nouveauté. De tels codes existent sous Linux depuis très longtemps (noyau ouvert et modulaire oblige). Sous Windows en revanche, ils sont longtemps restés un simple sujet d'étude et de curiosité, souvent abordé durant des conférences de passionnés tel Black Hat. Microsoft s'en mêle Microsoft a cependant amené le rootkit Windows sur le devant de la scène il y a quelques semaines à peine. Lors de la RSA Conference 2005 à San Francisco, l'éditeur a révélé que selon ses observations les logiciels "fantômes" -les rootkits, donc- devenaient plus courants sous Windows. Selon lui les outils de sécurité actuels doivent absolument s'adapter car ils sont inefficaces face à cette menace. Et pour faire bonne mesure, Microsoft annonçait dans la foulée qu'il travaille déjà à une réponse appropriée : le projet Strider GhostBuster. Ce dernier n'est encore qu'au stade des publications techniques et des tests en interne, mais il permet déjà de bien cerner les problèmes auxquels devra faire face l'industrie lorsqu'elle décidera de lutter contre les rootkits Windows. A titre d'exemple, le rapport de Microsoft -pourtant très sérieux et dont l'approche est jugée "intelligente et élégante" par l'incontournable Bruce Schneier)- indique que la seule manière d'être vraiment sûr de se débarrasser d'un rootkit noyau sous Windows est... de reformater le disque ! Les éditeurs dans la bataille Du côté des éditeurs spécialistes de la sécurité, la réponse ne s'est pas faite attendre. D'abord par Sysinternals, très connu des passionnés pour ses outils gratuits très pratiques. L'éditeur a récemment diffusé son RootkitRevealer. L'outil, gratuit lui aussi, utilise une technique similaire à celle décrite par le projet Strider GhostBuster de Microsoft : il tente de lire des informations systèmes de plusieurs manières différentes -via des interfaces à haut niveau et via des appels presque directs au matériel- et d'en comparer les résultats. Il s'agit d'une technique similaires à celle utilisée il y a fort longtemps pour détecter les virus furtifs sous DOS et qui a largement fait ses preuves. Enfin, F-Secure est à notre connaissance le premier éditeur d'antivirus à annoncer une solution anti-rootkit spécifique (d'autres, tels Kaspersky Antivirus, mettent en oeuvre des techniques de comparaison similaires mais seulement afin de détecter certains fichiers cachés sur les disques NTFS). La technologie Blacklight de F-Secure sera annoncée au salon Cebit ce moi-ci et la version bêta de l'outil de détection sera téléchargeable à partir du 10 mars sur le site de l'éditeur. Il reste que les outils anti-rootkits grand public ne sont pas pour demain : il suffit d'utiliser RootkitRevealer pour comprendre que l'utilisateur non- technicien sera incapable de décerner, parmi toutes les entrées suspectes identifiées (et elles sont nombreuses !), les véritables rootkits. Mais la tendance est en marche... Peut être que le RootkitRevealer serait mieux que de reformatter sont disque dur.(AVG ont sorti aussi leur anti rootkit ! )
ETK si ont se fit au gilet (s'était inscrit "GOT ROOT")qu'a déja porté Kevin Mitnick, lors d'une conférence publique.C'est important d'être administrateur de la session windows;et les Rootkit aide a le demeurer de manière incognito mettons! Donc un scan RAW de la base de registre est une meilleure détection des Rootkits sur nos PC.
Et F-Secure y met le paquet:
http://www.f-secure.com/blacklight/
avec son projet Blacklight.Car beaucoup de SPYWARE s'incruste dans la base de registre et sont rendu invisible aux logiciels anti-spyware connu,comme Ad-Aware ou SpyBot. Moi mon moteur de recherche de spyware ultime est celui-la:
http://www.spywareguide.com/category_list_full.php
Essayez-le
Un jugement contre un Cd musical de la Cie Warner a été rendu! C'est a propos du système de protection DRM (peut être un Rootkit était mit en doute?)qui faisait capotter un Mac . Warner devra verser 60 euros au client, et 5000 euros à l'association pour les dommages et intérêts. Par ailleurs, elle a interdiction d'utiliser des DRM sur le CD mis en cause et dispose de deux mois pour se conformer à ce jugement, sous astreinte de 150 euros par jour de retard. Le tribunal a aussi rappelé que «si les dispositifs anticopie ne sont pas interdits par la loi, ils doivent respecter l'exception de copie privée, tout en préservant les droits des auteurs».
Et même chose pour le "Norton Protected Recycle Bin," ou le "NProtect" dans le Norton SystemWorks de Symantec.Il y avait un RootKit aussi que les hackers utilisaient.La faille fut patché par Symantec dernièrement Aucunes poursuites cependant!
En 2006,l'affaire liée à l'intégration de « Rootkit » dans certains CD-audio Sony pour assurer le bon fonctionnement d'une protection anticopie a fait couler beaucoup d'encre (voir Sony BMG et les rootkits : épilogue ?). Aujourd'hui, ce sujet épineux refait surface avec l'accord trouvé entre Sony et la FTC aux Etats-Unis.La firme japonaise a effectivement été sommée par la FTC (Federal Trade Commission) de verser 150$ à chaque client ayant vu être victime du rootkit. La FTC a aussi demande explicitement à Sony de ne pas intégrer dans ses CD des technologies qui permettraient de communiquer des données personnelles à des fins marketing et de fournir un logiciel de désinstallation pour son rootkit. Sony sera aussi dans l'obligation de financer le retour des éventuels CD accompagnés du rootkit qui peuvent encore se trouver chez certains revendeurs.« Les logiciels secrets qui peuvent créer des problèmes de sécurité sont intrusifs et hors la loi [...] Les particuliers doivent rester maîtres de leurs machines et les sociétés doivent être complètement transparentes en ce qui concerne le contenu des produits qu'elles vendent et doivent informer de façon claire les consommateurs », a ainsi précisé le président de la FTC.Sony de son côté se félicite d'avoir trouvé un accord avec la FTC. 4 à 8 millions de CD protégés par le rootkit auraient été livrés par Sony. Cette affaire pourrait donc coûter à Sony plusieurs centaines de millions de dollars pour régler ce différend.
Aucun commentaire:
Publier un commentaire