Herkeios
Système de détection des intrusions
- Introduction
- Herkeios
- Failles applicatives
- Exploits système
- Backdoors et Virus
- Attaques par le réseau
- Comportement erratique
- Annexes
Les exploits root
Comme tous programmeurs, les développeurs du kernel sont faillibles. Ainsi, il arrive que de temps en temps (comme en février dernier), une
faille soit découverte dans le kernel. Dans ce cas, la majorité des machines qui tournent sont vulnérables à l'exploit correspondant. Un IDS paraît tout indiqué
pour contrer ce genre de tentatives. Effectivement, puisque nous avons implementé un rootkit, pourquoi ne pas s'en servir pour corriger la faille à la volée ?
Nous avons appliqué de manière très simple ce concept avec l'exploit root vmsplice diffusé en février dernier et qui a durement touché la communauté linuxienne.
Il peut être bon de lire l'annexe sur les rootkits pour comprendre pleinement ce qui va suivre.
Si nous nous sommes pas centrés sur le sujet, nous pensons tout de même que c'est un part importante du travail des IDS. Effectivement, le nombre de systèmes non patchés disponibles est assez étonnant. De plus, intégrer ce genre de corrections ne représente pas un lourd travail étant donné la faible fréquence de ce genre de vulnérabilités. Certes, le mieux est d'avoir un kernel à jour ou patché.
Il peut être bon de lire l'annexe sur les rootkits pour comprendre pleinement ce qui va suivre.
-
- L'exploitation concrète de la faille
- Corriger la faille et empêcher l'exploitation
Si nous nous sommes pas centrés sur le sujet, nous pensons tout de même que c'est un part importante du travail des IDS. Effectivement, le nombre de systèmes non patchés disponibles est assez étonnant. De plus, intégrer ce genre de corrections ne représente pas un lourd travail étant donné la faible fréquence de ce genre de vulnérabilités. Certes, le mieux est d'avoir un kernel à jour ou patché.