Le labo sécurité de l’Epitech teste les anti-rootkit !

Par:
francoistonic

jeu, 27/03/2008 - 11:52

Le Laboratoire Sécurité de l’Epitech vient de réaliser un test sur une douzaine d’anti-rootkit présents sur le marché et annonce aujourd’hui ses résultats. Même si les menaces ne sont pas nouvelles, elles deviennent de plus en plus difficiles à détecter et les différents échecs rencontrés lors des tests rappellent la situation des vers et des virus, il y a quelques années. Les produits sont imparfaits, perfectibles et parfois défectueux dans leur conception. Cependant les meilleurs taux de détection sont attribués à SafetyCheck et Sysprot anti-rootkit, ainsi qu’à l’excellent Rootkit Unhooker.

Méthodologie mise en oeuvre
Lors de l’évaluation d’outils de sécurité, il a été impératif de disposer d’un environnement de travail homogène. Il s’agissait donc de comparer des éléments, de hiérarchiser des critères, pour finalement, poser les attributs qui feront le mérite (ou le discrédit) des différents produits testés. Dans le domaine de la sécurité informatique, chaque test nécessite aussi un environnement de travail réinitialisé, c’est-à-dire que le présupposé de chaque test est la validation d’une machine “saine”, en même temps que l’unification de l’ensemble du parc.
Il serait absurde et partial d’évaluer les critères de détection d’un anti-rootkit sachant que l’environnement est lui-même déjà compromis. Les tests ont été réalisés en compromettant des machines Windows, par l’exécution des rootkits Fu, Futo, Phide, RkU (1.2), BadRK (demo), et Unreal. Cette liste peut paraître mince, elle est surtout significative. Les menaces présentées ici forment une gradation, une difficulté toujours croissante dans la détection.

Par ailleurs, parmi tous les anti-rootkits collectés, nous avons choisi de retirer de la liste de test les outils qui ne sont plus maintenus, ou qui ne correspondent plus aux critères de détection actuels des technologies de furtivité. Aussi, nous avons choisi d’étendre le test au delà des anti-rootkits “classiques”. En plus des outils de détection des grandes firmes (Symantec, FSecure, Sophos, etc.), nous avons décidé d’évaluer des outils moins connus, moins maniables, et nécessitant quelquefois des connaissances techniques assez pointues.

Clés pour l’analyse des résultats
Pour ce test, nous avons pris le parti d’utilisateurs peu confirmés, ne souhaitant - ou n’ayant pas la possibilité - de se plonger dans les arcanes du système et de ses structures internes. Les produits des grandes sociétés vont dans ce sens. En cela, ils n’indiquent à l’utilisateur aucun détail technique, mais essayent d’affirmer simplement quand le système est « rootkité ».
Toutefois, cette méthode a ses limites. Plutôt qu’une analyse pragmatique et inconditionnelle, nous avons opté pour une analyse des résultats subjective, qui se base sur la capacité du logiciel à mettre en alerte l’utilisateur.

De façon simple, un anti-rootkit prévenant l’utilisateur d’une menace, ou mettant en exergue un problème, une anomalie, est considéré ici comme ayant réussi la détection. Dans le domaine des rootkits, plus encore que dans celui des virus, l’identification des menaces est un problème très complexe, que l’on ne saura peut-être jamais résoudre en totalité.

Dès lors, nous pensons qu’un logiciel, s’il parvient à amener l’attention de l’utilisateur à se concentrer sur une menace précise, est un logiciel fiable. En tout cas plus fiable qu’un anti-rootkit ne se manifestant que lorsqu’il est absolument certain de la présence d’une menace.
Cette situation - de par la nature intrusive et furtive - des rootkits, induit l’utilisateur en erreur, et laisse la machine en l’état, infectée.

Tests :

Critique des résultats :

Ce test est surprenant à plusieurs égards. D’une part, on constate que des menaces facilement détectables posent encore problème à certains anti-rootkits. Comme pour les virus, une simple modification des patterns recherchés par l’outil le laisse complètement à l’écart, affirmant que la machine est saine.
Les anti-rootkits qui ne procèdent qu’à un scan sont d’office, voués à l’échec. Il est absurde de détecter un rootkit comme on le fait d’un virus. Déjà, dans ce domaine, cela a posé de nombreux problèmes, et a rapidement atteint ses limites. Ce qui a donné naissance aux heuristiques, l’analyse d’un comportement suspicieux avec des niveaux selon lesquels alerter l’utilisateur.
Les auteurs de ces codes rivalisent d’ingéniosité et la menace devient de plus en plus présente sur la toile. Vouloir leur barrer la route avec des méthodes de détection classique, peu en accord avec les principes mêmes des technologies de furtivité, relève plus d’un impératif et d’une rapidité commerciale que d’une véritable recherche.

Les produits des grandes sociétés ne se révèlent pas des plus efficaces. Malgré tout, certains arrivent à se trouver une place, comme AVG, SysProt, Sophos, ou encore le moteur Tucan. Ces produits trouvent les processus cachés, et même s’ils ne décèlent pas l’ensemble des codes furtifs, ils peuvent donner quelques indices. Nous pensons que ces produits peuvent (et devraient) servir de base à une analyse plus fine. Il est impératif de ne pas se conformer aux dires d’un seul de ces outils de protection.
Les meilleurs taux de détection vont à SafetyCheck et Sysprot anti-rootkit, ainsi qu’à l’excellent Rootkit Unhooker. Ce logiciel est idéal à coupler avec un autre produit, puisque - de façon très technique il est vrai - il pointe la plupart des crochetages, et met l’accent sur nombre d’intrusions.
Même pour des utilisateurs confirmés, la prise en main de Rootkit Unhooker est difficile, mais il s’agit là d’un outil efficace, qui est un très bon renfort dans la chaîne de sécurité. Il peut surtout corroborer ou infirmer les résultats d’un outil tiers, plus facile à prendre en main, mais aussi moins efficace.

Conclusion :

Comme souvent en matière de sécurité informatique, et plus particulièrement des codes viraux, les sociétés éditrices les plus connues n’ont pas su prendre en compte le problème dans sa globalité. L’échec relatif de beaucoup d’anti-rootkit rappelle la situation des virus et des vers il y a quelques années.
On sent les produits imparfaits, perfectibles, et quelquefois défectueux dans leur conception. Actuellement, la plupart de ces logiciels ne peuvent être considérés comme digne de confiance. Pour plus de fiabilité, il faut encore se tourner vers des outils dont la prise en main est ardue, se confronter à des éléments techniques peu accessibles, et dont les équipes de développement - toutes indépendantes - n’ont pas la capacité d’entretenir un quelconque support utilisateur. Pourtant, il faut considérer ces logiciels comme absolument nécessaires. Ils restent actuellement les seuls produits valables.
Là où les produits développés de façon indépendante se sont heurtés à une quasi impossibilité en termes de réponses aux besoins (obtenir la signature virale des malwares en circulation), il faut maintenant penser que ce modèle de recherche dichotomique est obsolète. Les ressources nécessaires sont moindres, et dans le même temps beaucoup plus techniques.
A l’avenir, il faut peut-être prévoir l’expansion de ces outils, dont la course va de pair avec celle des rootkits. Il faut satisfaire l’utilisateur et non pas le bercer d’une illusion de sécurité, en promettant de détecter toutes les menaces possibles et imaginables.

Site : www.epitech.eu