UberLogger

Gabès Jean ( 29 Jun 2009 ) blog Talk /

UberLogger est un programme de capture d'appels systèmes entrant dans le cadre des systèmes de honeypots.

Dans l’étude des grands prédateurs du monde animal, deux méthodes existent :

  • soit le naturaliste se déplace sur le lieu de vie de l’animal
  • soit il recrée ce lieu de vie dans une réserve naturelle et analyse sans risque ses habitudes et ses méthodes de chasse.

    NOTE 2021: j'ai toujours été un grand fan de cette comparaison, qui avait fait l'ouverture de notre conf au SSTIC 2005 :)

Dans le domaine de la lutte informatique défensive, ces deux approches sont également valables:

  • Soit les scientifiques vont sur le terrain des pirates
  • soit ils recréent des conditions propices à la «vie » des pirates dans un environnement sécurisé dans le but de les étudier.

Cette deuxième approche peut se résumer simplement : les pots à miel (« honeypot ») :chinese: .

Le dispositif permet de créer un système de « honeypots » utilisant les particularités des plates-formes, comme par exemple UML. Ce dispositif peut également entrer dans le cadre du « forensics » permettant de déterminer ainsi si une machine a été compromise et est encore utilisée par un pirate, ou bien dans celui d’une machine « sandbox » permettant de tester des programmes non sûrs.

L'article présenté ici est le paper que nous avons présenté au SSTIC 05.

NOTE 2021: cette présentation au SSTIC reste un grand souvenir de ma carière

Plus d'informations suivront comme sa mise en place et des exemples de fonctionnement. Le paper d'origine est disponible sur le site du SSTIC : paper.

Le projet n'est actuellement plus développé, mais si certains sont intéressé pour le reprendre, ils peuvent, il est disponible sur github :)


Archives