Journal Rootkit bénéfiques ?

Posté par  .
Étiquettes : aucune
0
8
oct.
2007
Suite à l'article sur les virus bienveillant paru dans le numéro hors série du Linux magazine, je me suis demandé s'il pouvait avoir une utilité à un "vrai" virus. L'article présente le programme Vaccin [1] qui bien qu'étant effectivement un virus est à mon goût un virus castré. Ce virus est un peu gentillet, il est dépourvu de capacités offensives et défensives et les avantages de sa nature virale ne sautent pas aux yeux, il pourrait accomplir la même tâche sans être un virus. De même les exemples de virus bénéfiques donnés dans l'article [2] sont bien que très intéressants, un peu gentillets pour des virus.

Des virus la question s'est étendue aux rootkits dont les capacités sont fort intéressantes également. S'il la machine est saine et bien protégée, il n'y a peu d'utilité de doté un virus bénéfique de capacités offensives et défensives mais qu'en est il la machine s'est fait compromettre ?

Et si on se servait d'un rootkit comme gardien, se servant de sa furtivité pour éviter d'être attaqué par l'intrus, de son contrôle sur le système pour mettre des bâtons dans les roues de celui ci et nous offrant une porte dérobée pour continuer à accéder à la machine en cas où l'intrus tente de s'isoler ?

Cher journal qu'en penses tu ? Est ce idée pertinente ou une bêtise sans nom ?

[1] http://vaccin.sourceforge.net/
[2] http://www.people.frisk-software.com/~bontchev/papers/goodvi(...)

  • # wargame

    Posté par  . Évalué à 6.

    Cher journal qu'en penses tu ? Est ce idée pertinente ou une bêtise sans nom ?


    Je pense que t'as trop joué à WarGames :)

    http://en.wikipedia.org/wiki/WarGames

  • # Ca s'appelle...

    Posté par  (site web personnel) . Évalué à 9.

    ...Un anti-virus (pour la partie curative)
    Et ca existe depuis longtemps :)

    Sinon, un truc qui se duplique sans mon consentement, qui va chez les autres sans leur consentement, qu'il soit gentil ou pas ça reste une saloperie à virer.

    • [^] # Re: Ca s'appelle...

      Posté par  (site web personnel) . Évalué à 2.

      Tu as oublié le mot illégalle aprés saloperie.

    • [^] # Re: Ca s'appelle...

      Posté par  . Évalué à 2.

      Si les anti-virus étaient des rootkits ca se saurait. Combien d'entre eux font en sorte de ne pas apparaître dans la liste des processus ? Combien masque l'existence de leurs fichiers ?

      Ils jouent bien un rôle protecteur mais dans le cas où quelqu'un passe root sur la machine il se passe quoi ? Perso la première chose que je ferais si réussissais à m'introduire root sur une machine ce serait de regarder la liste des processus à la recherche de détecteurs d'intrusion et d'y aller à grand coup de kill.

      Ce dont je parle ici serait d'un rootkit style SuckIt doté de techniques de détection d'intrusion et capable de bloquer même root en cas d'intrusion, en laissant une console distante accessible uniquement par authentification chiffrée pour les administrateurs.

  • # hors série du Linux magazine

    Posté par  . Évalué à 5.

    moi j'ai plutôt un avis mitigé concernant le hors série de Linux magazine. Articles trop long, pour enfoncer des portes grandes ouvertes, aspect théorique trop mis en avant, sans qu'aucun exemple concret ne soit dévoilé ...

    C'est facile de dire que théoriquement il existe des virus sur tout système, mais de pas mettre en évidence une seul faille de sécurité dans Linux pour permettre au virus de s'installer sans intervention de l'utilisateur. Ce sont bien les failles de sécurité qui ont permis aux virus de ce propagé sous Windows, des failles dans Outlook ou dans Office. Aujourd'hui d'ailleurs on entend plus tellement parler de virus diffusé à grand échelle sous Windows, car les grosses failles ont dues être corrigés.

    Donc si il n'y a pas de faille, pas de virus. Il n'est pas évident que l'on puisse avoir des virus sous Linux, contrairement à ce que dit ce magazine qui préfère faire de la théorie en éludant cette question sans jamais dire qu'avant tout, il faut trouver une faille.

    • [^] # Re: hors série du Linux magazine

      Posté par  . Évalué à 4.

      sans jamais dire qu'avant tout, il faut trouver une faille


      L'utilisateur ?

    • [^] # Re: hors série du Linux magazine

      Posté par  . Évalué à 2.

      Aujourd'hui d'ailleurs on entend plus tellement parler de virus diffusé à grand échelle sous Windows, car les grosses failles ont dues être corrigés.

      Sur ?
      http://www.schneier.com/blog/archives/2007/10/the_storm_worm(...)

      • [^] # Re: hors série du Linux magazine

        Posté par  . Évalué à 1.

        Oui, c'est vrai qu'il y en a encore des virus virulent sous Windows, mais l'infection semble toujours causée par une faille de sécurité. C'est sur qu'autoriser un code exécutable à s'exécuter lorsqu'il est en attachment, c'est pas très malin. C'est normal qu'il y ait des virus dans ces conditions.

        Faire un virus qui fait "Hello Word!" à la place de lancer une application sous OSX c'est bien, mais ça n'explique pas comment diffuser le virus.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.