Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Thursday 11 February 2010
Article  Concern at DDoS sophistication rise

Monday 8 February 2010
Article  Voice encryption standard takes a beating

Friday 5 February 2010
Article  Military importance of cyber recognised

Written by Jerome Saiz (SecurityVibes)
Published on Monday 31 March 2008
0 comment(s) | Subnetwork France

Le laboratoire de l'Epitech a pris le parti d'évaluer les anti-rootkits non seulement à l'aune de leur capacité à détecter ces codes malveillants, mais aussi d'alerter l'utilisateur de façon évidente. Car en effet beaucoup de ces solutions exigent encore une démarche d'analyse volontaire de la part de l'utilisateur et livrent des résultats difficilement compréhensibles.

Contrairement à l'anti-virus (à base de signatures) capable de déterminer que le système et bel et bien infecté, l'anti-rootkit confronté à un processus ou à des fichiers cachés aura plutôt tendance à répondre un très sibyllin "peut-être bien que oui, peut-être bien que non". Et ce sera à l'utilisateur de déterminer si les ressources dissimulées relèvent ou non du rootkit.

Partants de ce constat, les élèves ingénieurs ont confronté quinze anti-rootkits à six rootkits sélectionnés pour leur représentativité. Leur conclusion n'est guère flatteuse : "On sent les produits imparfaits, perfectibles, et quelquefois défectueux dans leur conception. Actuellement, la plupart de ces logiciels ne peuvent être considérés comme digne de confiance".

Les meilleurs solutions demeurent ainsi les plus délicates à prendre en main. Efficacité ou simplicité, il faudra donc choisir. Autre enseignement de ce test : il est conseillé de s'appuyer sur plusieurs anti-rootkits afin d'avoir une vision au plus juste de l'état du poste de travail.

Entre des produits nécessairement complexes pour être efficaces et le besoin d'en combiner plusieurs, le marché des anti-rootkits semble encore bien loin d'être prêt pour le prime-time. Parallèlement, des solutions alternatives, plus fiables, font parler d'elles : le contrôle des serveurs virtualisés depuis l'hyperviseur ou l'analyse du système depuis une carte matérielle.

Dans les deux cas, la solution mise en oeuvre consiste à observer le système à l'aide d'un outil situé hors ce dernier. L'approche a plus de sens que celle choisie par les rootkits logiciels testés ici, qui se placent sur un pied d'égalité avec les codes malveillants... et partent donc souvent perdants !

Les résultats    Fu Futo Phide

RkU démo

 BadRK démo  Unreal  AVG AntiRootkit Ok  Ok Ok Ok Echec Echec  Avira Ok Ok Ok Ok Ok Echec  DarkSpy Ok Ok Echec Ok Ok Echec  Gmer Ok Ok Ok Ok Ok Ok  Helios Lite Ok Ok Ok Ok Echec Echec  IceSword Ok Ok Echec  Echec Ok Echec  McAfee Rootkit Detective  Echec  Echec Echec  Echec Echec Echec  Panda Anti-Rootkit (Tucan)  Echec Ok Echec  Ok Ok Ok  Rootkit Buster Ok Ok Echec Echec Ok Echec  Rootkit Unhooker Ok Ok Ok Ok Ok Ok  Rootkit Uncover Ok Ok Echec  Echec Echec Echec  Safety Check Ok Ok Ok Ok Ok Ok  Seem Ok Ok Ok Echec Echec Echec  Sophos Anti-Rootkit Ok Ok Echec Echec  Echec Echec  SysProt AntiRootkit Ok Ok Ok Ok Ok Echec (source : Epitech. Editeurs, utilisateurs : vous pouvez nous faire part de vos remarques en nous contactant)