Solutions
Seigneur des Anneaux contre ver de l'informatique
Par Jerome Saiz, le 25 oct 2005 à 13:26:00.
Dans le Seigneur des Anneaux, Shelob est une gigantesque araignée. Mais pour l'université d'Indianapolis, c'est surtout un système automatisé capable d'isoler en temps réel les PC infectés afin de protéger le reste du réseau. Bâti autours de technologies Open Source, Shelob est désormais rendu public.
Araignée contre ver : c'est un combat d'insectes qui se joue à l'université d'Indianapolis, aux Etats-Unis.
Le projet s'appelle Shelob, et il a été baptisé d'après l'araignée amatrice de Hobbits dans l'oeuvre de J.R.R Tolkien. Il s'agit d'un habile assemblage d'outils Open Source destiné à purger en temps réel le réseau de ses PC infectés. Et comme le savent déjà les fans du Seigneur des Anneaux, Shelob digère tout, des vers aux virus en passant par les spywares.
Techniquement, Shelob se charge de retirer les PC contaminés du réseau pour les diriger de force vers un brin virtuel (VLAN) de quarantaine. Là, ils ne peuvent qu'accéder à un site web expliquant la situation et offrant des conseils pour se mettre à jour. Bien qu'essentiellement destiné à lutter contre les épidémies, Shelob peut être utilisé pour traquer n'importe quel PC problèmatique.
Si des outils de ce type existent déjà, notamment chez Trend Micro, l'originalité de Shelob est d'être bâti à l'aide d'outils Open Source. La solution est donc non seulement gratuite, mais surtout modifiable à loisir afin de s'adapter à tous les réseaux.
Concrètement, Shelob repère les PC infectés grâce à un "profil" communiqué par l'équipe en charge du réseau. Il lui faudra donc connaître au préalable les caractéristiques du virus, ver ou spyware à chasser.
Une fois mise au parfum, l'araignée entame sa traque : elle repère ses victimes à l'aide du trafic réseau scruté par Snort, mais aussi des emails analysés via AMaViS ou des ports ouverts rapportés par le scanner nmap. Les ordinateurs infectés sont alors identifiés par leur adresse MAC et celle-ci est stockée dans une base de données MySQL. C'est à partir de cette source que Shelob passera à l'action contre les PC malades.
Pour cela, le système utilise tout d'abord l'outil DHCP NetReg afin d'attribuer dynamiquement une nouvelle adresse IP aux ordinateurs infectés. Celle-ci correspond, bien sûr, au plan d'adressage d'un réseau isolé. A ce moment, le piège est prêt à se refermer : Shelob utilise OpenVMPS (une implémentation libre d'un protocole de Cisco) afin de changer le port du switch sur lequel le PC infecté est connecté. L'ordinateur se retrouve alors brutalement "téléporté" dans un réseau virtuel isolé, peuplé uniquement de ses congénères malades. Il n'a plus accès au reste du réseau et il lui faudra se désinfecter ou rester bloqué.
Selon ses créateurs, le seul défaut de Shelob est de ne fonctionner qu'avec les PC directement connectés au réseau, et non via un point d'accès WiFi. Pour le reste, l'université utilise le système sur son propre réseau depuis deux ans maintenant, et il semble particulièrement efficace. A tel point que ses créateurs ont décidé de le rendre public.
Pour cela, toutefois, il lui a fallu changer de nom, car un projet Open Source s'appelle déjà Shelob. Qu'à cela ne tienne, le nouveau patronyme est déjà choisi : ce sera Ungoliant, du nom de la mère de Shelob. Que feraient les passionnés d'informatique sans l'héritage de l'Heroic Fantasy ?
Plus d'information
- La page du projet (en anglais)
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office AcesssKraken, le poids-lourd des botnetsUne vulnérabilité PDF pour les BlackBerryAvi Chesla : "La nouvelle vague de bots passe à l'Ajax"
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
