|
CoreForce, un outil de protection du poste client de nouvelle génération
Par Ludovic Blin,
secuobs.com
Le 12/12/2005
Résumé : CoreForce est un projet communautaire destiné à prévenir les intrusions sur les postes clients. Il contient une suite d’outils, dont un système de gestions des droits, protégeant des attaques inconnues et un port windows du célèbre firewall pf d’OpenBSD. - Lire l'article
Face à l’augmentation du nombre de virus et de codes malveillants, et alors que les principaux éditeurs de logiciels antivirus se tournent vers des suites d’outils (presque) complètes, la société américaine Core Security innove avec son outil Core Force. Ce dernier, destiné à protéger les postes utilisateurs contre tout type d’attaques, connues et inconnues, est composé de plusieurs éléments.
Core Force se définit comme un environnement de sécurité qui s’ajoute et remplace celui du système Windows. Il est basé sur plusieurs modules qui s’intègrent au cœur du noyau et se chargent comme driver. Ceux-ci permettent d’appliquer des politiques de sécurité qui seront propres à chaque application du système. Ainsi toutes les modifications de la bases de registres, du système de fichier ou encore tous les accès réseau effectué par des applications peuvent être détectée et eventuellement bloqués. Notons que ce programme n’utilise pas des fonctions de API hooking classiques mais mise plutôt sur une intégration directe dans le kernel windows.
Un outil graphique permet de définir ces politiques, et des configurations sont incluses pour les applications les plus communes. Un composant permettant de filtrer les accès réseau est également inclut. Les développeurs n’étant pas satisfait par le firewall intégré à Windows, ils ont effectué un port pour ce système du firewall pf, qui est intégré au système OpenBSD et est aussi probablement la solution libre la plus efficace pour cette fonction. Des fonctions ont été rajoutée à l’occasion, comme la possibilité de rajouter à la volée des règles, en fonction de l’application qui génère le trafic, ou encore la possibilité pour le logiciel de demander quelle action il doit effectuer face à un trafic particulier. (rajout d’une cible ASK en plus de DENY, ALLOW, etc).
De nombreux fichiers de configuration sont disponibles sur le site du projet, permettant de protéger la plupart des applications courantes, comme par exemple Firefox, Internet Explorer, Thunderbird ou Outlook/Outlook Express. L’aspect communautaire du projet permet à tous les utilisateurs de contribuer à la définition de règles pour de nouvelles applications.
Cette solution de prévention d’intrusion locale offre une méthode de protection, qui sans se baser sur l’analyse de signature, peut se révèler particulièrement efficace, en particulier contre les virus inconnus, qui ne sont pas détectés par les outils basés sur des signatures (la plupart des antivirus). L’utilisation de ces techniques est également sans nul doute une tendance importante de la protection des postes clients mais est encore peu utilisée par les éditeurs d’antivirus commerciaux.
CoreForce est développé sous la licence Apache 2.0 par les développeurs de l’équipe de recherche et développement de Core Security. Il est possible de le télécharger gratuitement sur le site du projet. Cette application est compatible avec Windows XP et Windows 2000.
lien
- Article suivant : Oracle fait son mea culpa à la conférence Pacsec
- Article précédent : L’utilisation de réseaux de neurones améliore l’identification distante d’OS
- Article suivant dans la catégorie Outils : Karma, un environnement pour les attaques sur la sélection automatique de réseau wifi
- Article précédent dans la catégorie Outils : Lancement d\'un nouveau service Secuobs.com : Syndication xml/rss des contenus
Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|