UberLogger, un observatoire niveau noyau pour la lutte informatique défensive

Posted in Sécurité by Nap on June 29, 2009

UberLogger est un programme de capture d’appels systèmes entrant dans le cadre des systèmes de honeypots.

Dans l’étude des grands prédateurs du monde animal, deux méthodes existent : soit le naturaliste se déplace sur le lieu de vie de l’animal, soit il recrée ce lieu de vie dans une réserve naturelle et analyse sans risque ses habitudes et ses méthodes de chasse. Dans le domaine de la lutte informatique défensive, ces deux approches sont également valables. Soit les scientifiques vont sur le terrain des pirates, soit ils recréent des conditions propices à la « vie » des pirates dans un environnement sécurisé dans le but de les étudier.

Cette deuxième approche peut se résumer simplement : les pots à miel (« honeypot ») :chinese: . Le dispositif présenté ici permet de créer un système de « honeypots » utilisant les particularités des plates-formes, comme par exemple UML. Ce dispositif peut également entrer dans le cadre du « forensics » permettant de déterminer ainsi si une machine a été compromise et est encore utilisée par un pirate, ou bien dans celui d’une machine « sandbox » permettant de tester des programmes non sûrs.

L’article présenté ici est le paper que nous avons présenté au SSTIC 05. Plus d’informations suivront comme sa mise en place et des exemples de fonctionnement. Le paper d’origine est disponible sur le site du SSTIC : paper.

Le projet n’est actuellement plus développé, mais si certains sont intéressé pour le reprendre, ils peuvent :)