Microsoft élève des rootkits en laboratoire

Le par  |  17 commentaire(s) Source : Slashdot
microsoft 1

Microsoft et une université américaine tentent d'élever des rootkits en captivité.

Microsoft et une université américaine tentent d'élever des rootkits en captivité. Est-ce bien raisonnable '

Microsoft 1Microsoft et une équipe de l'Université d'état du Michigan se sont associés afin de concevoir, à des fins de recherche, cela va sans dire, des rootkits, ces programmes malicieux qui échappent en temps normal à toute--ou presque--détection, et qui ont fait la gloire de Sony, récemment...


Là où l'affaire se corse, c'est que l'éditeur de Redmond et son partenaire oeuvrent à la réalisation d'une preuve de concept d'un rootkit apte à fonctionner sur des machines virtuelles, ces environnements théoriquement immunisés contre de telles menaces, puisqu'ils opèrent dans un contexte soigneusement cloisonné. Baptisé SubVirt, le rejeton de Microsoft et des universitaires doit normalement permettre de mieux cerner les éventuelles failles et autres vulnérabilités susceptibles d'affecter les environnements virtuels sous Windows ou Linux.

Michigan state universitySi les recherches progressent comme prévu, le Groupe de Recherche sur la Gestion des Systèmes et la Cyber-sécurité de Microsoft devrait en présenter les résultats à l'occasion du prochain symposium de l'IEEE sur la sécurité et la vie privée, qui se déroulera du 21 au 24 mai prochains à Oakland, en Californie. Dans l'état actuel des choses, les détecteurs de rootkits les plus efficaces (et l'on pense inévitablement au Rootkit Revealer de Sysinternals) comparent la Base de Registre de Windows avec les API des fichiers systèmes, et pointent les incohérences. Dans le cas d'un rootkit qui se cache au sein d'une machine virtuelle, la détection est évidemment plus compliquée, puisque l'environnement virtuel est recréé à chaque ouverture de session. Chez Microsoft, on assure avoir réussi à fabriquer quatre programmes reprenant ces caractéristiques, notamment sous Windows XP Service Pack 2, afin d'en étudier les effets sur la stabilité du système, et de mieux en comprendre les mécanismes. L'étape suivante consistera, on s'en doute, en l'élaboration d'une parade efficace contre cette menace fantôme.

Evidemment, un rootkit qui se cacherait dans une machine virtuelle poserait de nouvelles questions en terme de sécurité informatique, puisque la machine virtuelle sert en quelque sorte de sous-couche logicielle à un système d'exploitation, permettant, par exemple, de faire tourner une version de Windows sur un PC normalement destiné à fonctionner sous Linux, et inversement. Si la couche logicielle qui contrôle le système d'exploitation est corrompue d'une quelconque manière, il est facile d'imaginer les éventuelles conséquences.

Selon les premiers résultats publiés par Microsoft, la mise en place de SubVirt sur deux plate-formes mixtes (Linux/VMWare et Windows/VirtualPC) s'est révélée d'une facilité enfantine, et une fois implantée, la menace est restée complètement masquée. Elle a pu dès lors faire venir ses petits camarades : virus, logiciels espions, vers, etc... La prochaine étape de l'étude visera à trouver des parades contre cette nouvelle famille de codes malicieux, qui peuvent même simuler un redémarrage ou une mise en veille prolongée du système ! Evidemment, une riposte possible  serait de généraliser les protection mixtes logiciel/matériel que les principaux fabricants de processeurs et de cartes-mères nous promettent depuis plusieurs mois, ou de démarrer systématiquement depuis un support sûr, comme un CD, une clé USB ou un DVD, voire depuis un réseau sécurisé.

Un membre du groupe de recherche conclut la présentation de SubVirt en ces termes : "Nous sommes convaincus que les rootkits pour machines virtuelles constituent une menace réelle et tenace. On peut très facilement se procurer des machines virtuelles, de nos jours, et sur des systèmes x86, un rootkit peut fort bien fonctionner avec peu ou pas de différences visuelles par rapport à un environnement sain."

Et de reconnaître que pendant les différentes expériences menées en laboratoire, un des chercheurs s'est servi sans le savoir d'une machine infectée, et ne s'est rendu compte de rien...

Fantôme, la menace ' Oui, mais bien réelle.




Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #93423
Faut qu'ils se dépechent si ils veulent l'intégrer à Vista pour sa sortie
Le #93431
Quoi, le rootkit...'
Le #93436
tout de meme commme il le dissent tout des mensonge il chercher le soutien de la presse<img src="/img/emo/cool.gif" alt="8:" />
Le #93447
Je dis bravo a cette initiative de MS!
Vivement qu'on trouve une parade pcq ca me fait peur ces sales choses !

D'ailleurs je comprends tjs pas comment ca fonctionne
Dreamer
Le #93454
Attends avant de dire bravo, si ça se trouve ils cherchent surtout un moyen d'en intégrer un maximum sans que cela se voye.
Le #93456
Les editeurs d'anti-virus devront étoffer leurs produits avec des anti-rootkits... Ils ont donc encore de beaux jours devant eux........
Le #93464
dit moi vous utiliser quel anti-virus chez vous'
répondez svp
Le #93480
Y'a déjà des rootkits dans Vista, vous en faite pas pour ça.
Le #93483
steph>
et bien sûr tu n'argumentes pas tes propos...
Le #93487
link83 >>>Je crois volontier steph...

J'ai retrouvé ça ; ça date, mais bon, c'est éloquent !!!!!

http://web.archive.org/web/20050323092636/http://www.hevanet.com/peace/microsoft-fr.htm
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]