Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Microsoft s’offre un anti-rootkit militaire

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Commentaires Commentaires fermés sur Microsoft s’offre un anti-rootkit militaire

En faisant l’acquisition de Komoku, Microsoft s’offre non seulement une solution anti-rootkit dédiée, mais également un pied dans le très fermé club des solutions de sécurité reconnues par le gouvernement américain. Et pour cause : Komoku a été financé par plusieurs agences de défense américaines, qui sont également ses premiers clients.


C’est une micro-acquisition pour Microsoft si l’on s’en tient aux chiffres : Komoku affiche tout juste neuf employés, en comptant son fondateur. Mais le profil de ce dernier, un ex-informaticien de la National Security Agency, ainsi que les premiers investisseurs de la société (parmi lesquels l’entité à l’origine d’Internet – le DARPA – ainsi que le Department of Homeland Security et la Marine américaine), peuvent expliquer l’intérêt du géant.

Komoku s’est fait une spécialité de la lutte contre les rootkits, avec une solution logicielle et, c’est plus original, matérielle. Cette dernière, baptisée CoPilot, est une carte au format PCI. Elle permet de contrôler le système d’exploitation depuis une unité indépendante à l’abri de toute modification. La carte dispose de son propre système d’exploitation et accède à la mémoire partagée et aux entrées/sorties du poste de travail. Elle est ainsi en mesure de détecter toutes les modifications apportées au système, même lorsqu’elles sont l’oeuvre d’un rootkit.

Ce n’est toutefois que la solution logicielle de Komoku, baptisée Gamma, qui sera intégrée aux produits sécurité de Microsoft (Windows Live OneCare et Forefront). Ces derniers manquent en effet aujourd’hui d’une capacité anti-rootkit simple et immédiatement opérationnelle, malgré le rachat en 2006 de la société Sysinternals et son outil Rootkit Revealer .

Komoku n’existera ainsi plus à l’issue de cette acquisition, ses employés et ses produits rejoignant intégralement les structures du géant. Ce dernier ne précise toutefois pas ce que deviendra la carte PCI de Komoku (qui était pourtant son produit principal, la solution logicielle étant moins efficace de l’aveu même de son fondateur). Ni ce qu’il adviendra de l’accord que la société avait négocié avec Symantec afin de prendre en charge la désinfection des postes, Komoku ne s’occupant que de la détection des modifications illégitimes apportées au système. Sur ce point cependant, gageons que Microsoft saura prendre le relais de Symantec.

Les rootkits Windows, une menace bien connue

Les Rootkits sous Windows ne sont pas une nouveauté pour Microsoft, qui prenait dès 2004 la mesure de la menace. L’éditeur entamait alors des recherches anti-rootkit par le biais de son programme Strider GhostBuster . Il publiait à cette occasion une étude jugée « sérieuse et intelligente » par le gourou ès sécurité Bruce Schneier. A cette même période, Microsoft reconnaissait cependant que le problème des rootkits était tel que bien souvent la seule issue pour s’en débarrasser était de reformater le poste de travail. D’où les travaux entamés par Microsoft Research et, surtout, le besoin d’une solution spécifique.

« Strider GhostBuster est un travail de recherche de Microsoft Research, qui n’a jamais été intégré dans un produit. Tandis que l’acquisition de Komoku nous apporte une solution anti-rootkit reconnue que l’on peut intégrer immédiatement à nos solutions », explique Bernard Ourghanlian Directeur Technologie & Sécurité chez Microsoft. Un atout indéniable à l’heure où la plupart des éditeurs d’antivirus disposent déjà de la leur.

Par ailleurs les deux approches sont complémentaires : Komoku est expert dans la détection des rootkits en mémoire mais ne s’occupe pas du système de fichiers, à l’inverse de Strider Ghostbuster.

La virtualisation change la donne

L’approche matérielle de Komoku rappelle celle récemment dévoilée par VMware : disposer d’un point d’observation situé hors le système à contrôler. La carte PCI de l’éditeur offre en définitive aux machines physiques ce que VMsafe amène aux serveurs virtuels, et cela apparait aujourd’hui comme la seule parade réellement efficace aux rootkits.

Or, c’est pourtant la solution logicielle que l’éditeur de Redmond semble privilégier. La question peut alors se poser de savoir si miser sur une solution purement logicielle déployée sur le système à contrôler n’est pas une approche obsolète. Certes, Gamma aura un rôle à jouer sur les postes de travail. Sur les serveurs en revanche, rien n’est moins sûr.

Car dans le domaine de la virtualisation, bien que ne figurant pas parmi les supporters de VMsafe, Microsoft dispose de ses propres plans pour offrir une sécurisation « hors-cadre » aux machines virtuelles, limitant de fait l’intérêt d’une solution déployée avec le système d’exploitation invité. « Nous allons utiliser le module TPM afin de stocker dans le hardware une empreinte des machines à démarrer. L’hyperviseur pourra alors s’assurer de l’intégrité du serveur virtuel avant son démarrage », poursuit Bernard Ourghanlian.

Et avec l’acquisition de Komoku – et s’il décide de conserver la carte CoPilot – Microsoft sera en mesure de fournir la même assurance pour les serveurs physiques, limitant à nouveau l’intérêt d’une solution logicielle.

Aucune information n’a cependant filtrée quant à l’avenir du hardware de Komoku. Pour l’heure seule sa solution logicielle semble avoir un avenir chez Microsoft, tant sur le poste de travail que sur les serveurs.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.