Documentation

Inscrivez-vous

EAX et le virtuel, est-ce la luuuute finale ?

Edition du 27/03/2008 - par Marc Olanié

C'est une petite -et légère- leçon d'assembleur et de lecture de registre que nous donne Fabien Perigaud du Cert-Lexsi. Le but de ce mini-exposé est de nous faire découvrir la manière avec laquelle un malware pouvait découvrir la véritable nature du milieu dans lequel il a élu domicile : machine réelle, propice à la prospérité, ou système virtuel, qu'un simple rappel de snapshot remettra sur pied en éliminant jusqu'au souvenir du virus ? la réponse est dans EAX. « On peut s'attendre à voir de plus en plus de malwares utiliser ce genre de méthodes de détection, empêchant ainsi les analyses automatisées basées sur des machines virtuelles » craint l'auteur de ces savantes lignes. L'évasion des honeypots est un thème fort ancien, donc l'un des premiers défricheurs était le père des honeypot, Fred Cohen lui-même. Puis, plus tard -il y a plus de 6 ans-, Davide Del Vecchio s'est intéressé au problème. La course est loin d'être finie pense Perigaud. Elle a commencé il y a 6 ou 8 ans avec la détection des adresses MAC un peu trop connues, elle flirte aujourd'hui avec les registres. Les chercheurs de l'Avert Lab faisaient il y a peu une remarque analogue, estimant qu'il deviendrait de plus en plus difficile de constituer des « pièges » à malwares à base de VMWare par exemple.

N'est-ce pas là la marque d'un léger pessimisme? Il manquait au monde virtuel, pour qu'il se développe, la puissance de feu marketing d'un poids lourd de l'informatique. Microsoft arrive avec Hyper-V, Virtual Server, Softgrid et tous les tambours du roi. VMware pourrait d'ailleurs bien en profiter un peu, du moins durant l'année à venir*. La machine virtuelle va passer du stade de « morceau de honeypot » à celui de « morceau de choix », car il s'en trouvera une au moins très rapidement sur chaque serveur d'entreprise, sur chaque poste mobile, sur la moindre station de travail familiale (une machine pour papa, une machine pour maman, une machine pour Jeannot, une machine pour la petite soeur...). Bref, la banalité va noyer le honeypot. En voilà une aubaine pour les chasseurs de malwares

*Note de la Correctrice (NdlC) : Après, c'est une autre paire de Vlan. C'est généralement ce que l'on raconte au chat avant de l'écorcher.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires

L'ACTUALITÉ DU JOUR

Captchas : bonne et mauvaise discrimination

La discrimination peut être une bonne chose. Surtout si celle-ci tend à limiter (...)

Race to Zero, troll toujours

Parfois trop- rapidement, parfois avec un léger temps de latence, les réactions (...)

La Virtuose du Viagra Virtuel Vivace à Las Vegas

Lorsque la Première Dame du Hacking demande à une assemblée généralement constituée (...)

USA : quand les gabelous chassent l'octet

L'EFF -Electronic Frontier Foundation-, les défenseurs américains des libertés individuelles, (...)

Dialectique toc

L'importance du mot, particulièrement dans un monde ou le mot « langage » couvre (...)

Spy vs Spy vs Spywares

Cela faisait longtemps que l'on n'avait entendu parler d'espionnage et de détournement (...)

Ikea, inépuisable source de hacking

Il ne s'agit pas là de hacking au sens logiciel du terme. Ikea, grande centrale (...)

Articles récents

Documentation

Dialectique toc

(30/04/2) - L'importance du mot, particulièrement dans un monde ou le mot « langage » couvre (...)

Statistiques et évolution de la délinquance

(25/04/2) - Londres Infosec : Des robots en frac qui discutent le bout de gras sur le stand (...)

Pentesting et périmétrique : querelle d'experts

(24/04/2) - Avec un « léger temps de latence » - presque 3 ans tout de même - David Maynor (...)

Après le « patch Tuesday », le « Virus Wednesday » automatisé ?

(23/04/2) - « Alors, FUD ou réalité ? » demande malicieusement News0ft. Un groupe d'universitaires (...)

Magazine

. Téléchargez le sommaire du magazine

. S'abonner au magazine

. Contactez la Rédaction

Alertes

Toutes les alertes

Exploit distant Quicktime sous Vista

(29/04/2) - Le court métrage tourné par PdP, éditorialiste de Gnu Citizen, ne nécessite strictement (...)

Des chinoiseries dans HP Update

(29/04/2) - Le vénérable Tan Chew Keong, dans sont infinie sagesse des processus ActiveX, nous (...)

Deux épineux ZDE Microsoft

(18/04/2) - Microsoft émet un bulletin d'alerte, signalant l'existence d'une faille pouvant (...)

Actualités RT

NEC entend lancer des PC portables durcis en Europe

(10/05/2) - Nec vise le développement hors du Japon, pour son PC portable durci et vise l'Europe, (...)

Intel achète des fréquences Wimax en Suède

(10/05/2) - Ce qui s'est passé en Suède jeudi 8 mai dernier est plutôt rare dans le monde des (...)

L'action Sodifrance est suspendue

(09/05/2) - L'action de la SSII Sodifrance est suspendue ce vendredi matin 9 mai à l'ouverture (...)

LIVRES BLANCS

	> 9 mars 2008 - Sept critères de conception pour la prévention des menaces liées aux environnements Web 2.0 Ne découvrez pas trop tard qu'un logiciel malveillant s'est infiltré sur votre PC, votre réseau, votre serveur et/ou vos applications ! Téléchargez dès aujourd'hui le livre blanc de Secure Computing dédié à la protection de votre entreprise contre les menaces liées aux nouveaux environnements Web 2.0.

	> 19 octobre 2007 - Derrière les attaques de Phishing Ce livre blanc explique les méfaits et les solutions pour lutter contre le « phishing », une pratique qui consiste à envoyer des e-mails frauduleux à des clients, en tentant de leur faire divulguer des informations qui pourront être ensuite utilisées pour accéder à des données sensibles ou dérober des fonds ou des biens en ligne. Ce système est basé sur un artifice consistant à se faire passer pour une autorité de manière à accéder à une propriété. Un livre blanc indispensable pour protéger vos données sensibles et votre entreprise.

	> 18 octobre 2007 - Pourquoi les solutions antivirus ne protègent pas contre les logiciels espions ce livre blanc Webroot Software, spécialiste dans le domaine de la sécurité, décrira les différentes menaces liées aux logiciels espions et proposera des solutions afin de mieux se prémunir contre toutes sortes d'attaques virulentes.

	> 29 juillet 2007 - Administrer simplement et gérer économiquement son infrastructure à distance Ce White Paper décrit en détail la solution de gestion et d'administration à distance d'Avocent. Ce type de solution permet notamment de réduire trés fortement le coût de gestion direct et indirect d'une infrastructure complexe, notamment dans un environnement Web. Cela permet de ne pas sur investir et surtout d'éviter des coûts d'administration prohibitifs.

Tous les Livres Blancs | Par Date | Par Thèmes | Par Sponsors

PARTENAIRES

. Ontrack : Programme Privilège
Le programme client Privilèges permet à toute entreprise de retrouver rapidement l'accès à ses données perdues suite à une panne ou un sinistre.
Chez Ontrack, nos 20 ans d'expérience nous ont prouvé qu'aucun système informatique n'est à l'abri, quelles que soient les précautions prises.
La seule vraie protection : s'enregistrer au programme Privilège, juste au cas où...

. Web-profils.com, la place de marché du conseil et de l'ingénierie

Copyright © Réseaux et Télécoms 2003-2008
Toute reproduction ou représentation intégrale ou partielle, par quelque procédé que ce soit, des pages publiées sur ce site, faite sans l'autorisation de l'éditeur ou du webmaster de Réseaux et Télécoms est illicite et constitue une contrefaçon. IT News Info s'est engagé à respecter la confidentialité des données personnelles régies par la loi 78-17 du 6 janvier 1978.

	A propos	Contacts

Les sites d'IT News Info : Actualité du monde IT -Sécurité des systèmes d'information - Management des systèmes d'information - Actualité des grossistes informatiques - Actualité high tech et usage du numérique