Améliorer la sécurité de votre PC avec les IDS / HIPS

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85516
Inscription : 10 sept. 2005 13:57
Contact :

Améliorer la sécurité de votre PC avec les IDS / HIPS

Message par Malekal_morte » 30 avr. 2007 10:55

Note : Pour bien appréhender cet article je vous conseille de prendre connaissance de l'article : Pourquoi et comment je me fais infecter? et Comment les virus informatiques sont distribués


_____________________


Presentation des IDS / HIPS

Un IDS/HIPS (Intrusion Detection System) est un programme qui scrute votre système afin de détecter toute modification ou activité suspecte.

Lorsqu'un élément douteux ou comportement douteux est détecté, l'IDS peut alerter ou annuler la modification.
Dans le cas où l'IDS vous alerte, vous avez la possibilité de stopper l'activité suspecte, ce qui permet dans le cas d'une tentative d'infection de stopper l'infection avant son installation.

Les IDS/HIPS peuvent aussi détecter les accès à certains fonctions du systèmes (appels API) qui peuvent par exemple être utilisé par des rootkits ou keyloggers.

Un IDS fonctionne un peu comme un firewall, vous pouvez créer des règles afin que l'IDS puisse prendre les mesures adéquates automatiquement. En règle général, les IDS sous Windows intègre un "learning mode" c'est à dire que l'IDS est capable de prendre automatiquement les désicisions adéquates.
Néanmoins en général, il vaut mieux laisser à l'utilisateur le choix laisser ou non l'action s'opérer et créer la règle au sein de l'IDS, ainsi ce dernier sera éduquer au fur et à mesure.

Un HIPS intègre lui en plus des vérifications au niveau du réseau, l'HIPS est donc capable selon les connexions établies sur l'ordinateur détecter des tentatives d'intrusions, scan de ports etc..

Les IDS et surtout HIPS (et N-HIPS qui surveillent analyent le traffic global d'un réseau) sont à la base utilisés dans le monde de l'entreprise, avec la multiplication des menaces, il existe maintenant des IDS pour grand public.
Voici quelques liens qui détaillent le fonctionnement des IDS :
* http://www.commentcamarche.net/detection/ids.php3
* (En anglais) : http://www.la-samhna.de/library/scanners.html
* http://www-igm.univ-mlv.fr/~dr/XPOSE2001/liyun/IDS.html
* http://www.securite.org/db/securite/ids
* http://dbprog.developpez.com/securite/ids/


Fonctionnement et Avantage des IDS

Le gros avantage des IDS est qu'il n'est dépendant d'aucune base de données de reconnaissances des menaces.
L'IDS détecte les intrusions en scrutant le comportement de l'ordinateur, de ce fait, l'IDS peut détecter et contrer des menaces connues et inconnues.

De ce fait, l'IDS est le parfait compagnon de votre antivirus, puisqu'il permet de continuer à protéger votre ordinateur entre le moment où une nouvelle menace fait son apparition et le moment où celle-ci est intégrée à la base de données de définitions virales.

L'IDS est aussi le seul barrage à l'heure actuelle contre l'installation des Les rootkits au sein de votre système. Les rootkits étant des menaces capables de se dissimuler dans le système et qui peuvent se cacher des autres applications, votre antivirus y compris.

En règle générale, la protection d'un ordinateur est de nos jours un antivirus, un antispyware et un pare-feu.
Les Antispywares et Antivirus sont maintenant très proches du point de vue fonctionnement (base de données virales, détection en temps réel etc..) car beaucoup d'adwares implantent maintenant des trojans ou rootkits pour afficher des popups de pubs (Magic.Control, Trojan.DNS, Wareout, Gromozon etc..).
Ces infections utilisant des techniques très avancées, les antivirus & antispywares ne peuvent en règle générale rien même en cumulant les deux bases de données virales.

Le schéma ci-dessous permet de constater que le dropper qui installe l'infection sur le système devra passer outre la détection de l'antivirus ainsi que la détection comportementale de l'IDS, ce qui rend la tâche plus difficile.
Image

Le fonctionnement de l'IDS est assez simple, lorsque un élément tente de s'introduire, l'IDS vous demande si ce dernier a le droit ou non.
Dans le cas de l'installation d'une nouvelle application, il faut accéder tout en vérifiant si l'élément installé n'est pas dangereux.
Si par exemple, lors de la visite d'un site WEB, l'IDS détecte une tentative d’exécution d'un fichier, vous pouvez alors être sûr que c'est une tentation d'intrusion.

Voici par exemple, l'installation de l'infection Magic.Control à partir du programme piégé MailSkinner.

L'IDS System Safety Monitor détecte pendant l'installation de MailSkinner la création d'un fichier avec un nom plutôt bizarre. C'est le fichier de l'infection Magic.Control, en refusant l'execution du fichier, l'infection n'est alors pas installée sur votre système.
Image

Même chose avec l'IDS ProcessGuard
Image

Un autre exemple est la consultation d'un site WEB exploitant une faille sur le navigateur WEB pour executer le dropper automatiquement et à votre insu sans que vous puissiez faire quelque chose.

Sur cette capture, on voit qu'System Safety Monitor C:\xx123225.exe plutôt bizarre non ?
Image

en empéchant l'execution du fichier, on obtient un message d'erreur d'Internet Explorer qui n'a donc pas pu executer le dit fichier.
Image

Comme vous pouvez le voir, les IDS permettent de protéger votre ordinateur de toute forme d'intrusion.

Voici une vidéo avec DefenseWall et Virut


Les limites des IDS

Les limites des IDS peuvent bien sûr être d'ordre techniques. Des malwares peuvent bien sûr passer outre (bypasser) l'IDS.
Ils font donc bien choisir l'IDS à installer puisque certains sont plus performants que d'autres (comme tout programme).

L'autre limite est plus une limite sur les actions à mener lorsqu'une intrusion est détectée.
Les actions étaient accepter ou refuser, en acceptant un fichier infectieux en croyant que ce dernier est légitime et si votre antivirus ne le détecte pas.. c'est l'infection. Il convient donc de bien faire attention au message.

Vous allez voir que parfois, ce n'est pas simple de faire la distinctions :

Et si on lançait un petit setup du nom de review-play
Image

L'IDS demande si explorer doit créer laisser le processus review-playt s'executer.. A priori, c'est le but non ?
Donc on l'autorise.
Image

Ensuite le setup veut lancer un processus ns8.tmp qui se trouve dans les fichiers temporaires.
On peut voir dans le cadre rouge, que ça parle d'unrar (qui permet de décompresser des fichiers).
Ca semble bizarre, mais si on part du principe que le setup est compressé.. il peut effectivement vouloir se décompresser dans les fichiers temporaire pour s'executer donc on peut à priori laisser l'action se poursuivre.
Image

Ensuite le setup souhaite lancer un processus 01.exe qui se trouve toujours dans les fichiers temporaires.
Le nom ne semble pas trop bizarre... Que faisons nous ?
Allez poursuivons...
Image

Ok le setup se lance, les fichiers se copient.. bref tout semble normal..
Image

Image

Comme vous pouvez le voir durant une installation, il peut se passer beaucoup de choses et beaucoup de questions peuvent arriver.
A priori dans notre cas, rien de bien anormal.. pas de fichiers de type dlzeksdjze.exe comme avec Magic.Control ou de fichier sedd556.exe.
Et bien sans le savoir vous avez infecté votre ordinateur.

Le fichier 01.exe que nous avons autorisé durant l'installation.. est un fichier trojan.
Le scan ci-dessous nous montre qu'il s'agit de Trojan.DNS/Trojan.Zlob.

Le setup que nous avons executé (si vous regardez les captures il s'agit de MovieBox) est un faux codecs.
Il s'agit plus précisément d'une variante de VideoAccess qui installe donc un rootkit Trojan.DNS sous le nom kdxxxx.exe et qui est à l'origine des redirections Googles lors des recherches

Comme vous pouvez le constater Avast! qui est un antivirus très populaire ne détecte même pas la présence du Trojan dans le fichier 01.exe ce qui signifie que si vous lancez l'installation de ce programme, c'est l'infection.
Je vous invite à lire ce papier concernant Avast! : un-point-sur-les-antivirus-t3123.html

Image

Un scan avec le programme catchme confirme la présence d'un fichier kdxxxx.exe caché (il est rootkité) à l'origine des redirections.

Image

Comme vous pouvez le voir ce n'est pas toujours facile de "deviner" une infection derrière un programme.

Conclusion : Les IDS, c'est bon ! mangez-en

Les IDS ouvrent une nouvelle dimension dans la protection de votre système.
Ils permettent de détecter les tentatives d’intrusions d’infection connue ou non, un IDS est donc un allier précieux pour votre antivirus.

Néanmoins, même si vous installez un IDS, il convient de continuer à avoir une attitude vigilante sur internet.
Notamment concernant les applications que vous installez puisque les auteurs de malwares tentent de dissimuler de plus en plus les virus dans des applications légitimes afin de semer la confusion.
Dans notre exemple précédent, il faut savoir que MovieBox se récupère sur des sites pornographiques ou de cracks.. donc ça veut tout dire quant à l'origine douteuse de ce programme.

Les programmes de sécurités ne remplacent pas une attitude vigilante et de bon sens !

Vous trouverez une liste des principaux IDS pour Windows à partir de ce lien : Liste des IDS


De manière générale, les conseils pour sécuriser Windows : Comment sécuriser Windows
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Diamond
Geek à longue barbe
Geek à longue barbe
Messages : 1151
Inscription : 31 janv. 2007 23:36

Message par Diamond » 01 mai 2007 18:06

Très intéressant cet article, un petit progrès de plus :) .
Quel IDS conseillerais-tu parmi ceux que tu proposes dans ta liste ?
>>>N'hésitez pas à consulter les liens ci-dessous !
-Sécuriser son ordinateur
-Soutenez Malekal en faisant un don !
ImageImage

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85516
Inscription : 10 sept. 2005 13:57
Contact :

Message par Malekal_morte » 01 mai 2007 18:15

Yop,

Je n'ai testé que ProcessGuard et System Safety Monitor (les deux seuls ayant des tutos sur le site).
ProcessGuard est bien.
System Safety Monitor un peu moins (j'ai des petits bugs et il semble avoir du mal avec pe386).
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

furax67
newbie
newbie
Messages : 22
Inscription : 09 sept. 2007 12:47

Message par furax67 » 09 sept. 2007 13:51

:ordifenetre:

Que penses tu de Dynamic Security Agent (DSA) ?

Les dernières version de System safty monitor sont elles mieux?
Signé Furax

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85516
Inscription : 10 sept. 2005 13:57
Contact :

Message par Malekal_morte » 09 sept. 2007 14:04

J'ai bien aimé DSA!
Mais si on se réfère au comparatifs de NickM
Il est plutôt conseillé d'utiliser ProSecurity ou AntiHook : ftopic4278.php

Mais je ne les connais pas!
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

furax67
newbie
newbie
Messages : 22
Inscription : 09 sept. 2007 12:47

Message par furax67 » 09 sept. 2007 15:39

PDT_014

Pour antihook, la version free (2.6) est elle intéressante?
Signé Furax

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85516
Inscription : 10 sept. 2005 13:57
Contact :

Message par Malekal_morte » 09 sept. 2007 16:07

Jamais essayé.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Papiers / Articles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité