Le projet Uberlogger
Il est temps de faire un peu de pub pour un des projets open-source auxquels je participe. Le projet Uberlogger est un "observatoire niveau noyau", c'est à dire une modification d'un système *nix qui va "espionner" le fonctionnement interne du système, par le biais des appels systèmes. Vous voyez les informations que sort strace? Ben Uberlogger c'est pareil mais en se situant au niveau du noyau.
Quelles sont les applications d'un tel projet? Principalement (c'est à la source du projet), Uberlogger peut être utilisé pour produire un honeypot à forte interaction. C'est à dire un système "piégé", volontairement vulnérable en certains points pour attirer pirates et malwares, et qui va permettre l'observation de ce qu'il se passe sur le système pour étudier les attaques, les outils des pirates, etc. Dans ce sens, Uberlogger se rapproche du projet Sebek, avec toutefois la volonté d'être plus complet dans l'analyse. Pour plus de détails sur les honeypots et leurs applications, jetez un oeil à http://www.honeynet.org/.
Une seconde application pour Uberlogger est son utilisation comme outil de forensics. En effet Uberlogger peut se présenter comme un module noyau chargeable dynamiquement, et qui permet donc l'analyse du comportement d'une machine compromise. Les logs qui en ressortent peuvent trahir les outils (keylogger, rootkits, etc.) qui plombent la machine.
Je cherche actuellement une autre application à Uberlogger, mais pour ça je vous en dirais plus ultérieurement ;)
Uberlogger est sous licence CeCILL, et a été développé pour l'instant pour les plateformes Linux/UML, Linux, et FreeBSD. Toutes les informations sur Uberlogger sont sur http://uberlogger.rstack.org
Quelles sont les applications d'un tel projet? Principalement (c'est à la source du projet), Uberlogger peut être utilisé pour produire un honeypot à forte interaction. C'est à dire un système "piégé", volontairement vulnérable en certains points pour attirer pirates et malwares, et qui va permettre l'observation de ce qu'il se passe sur le système pour étudier les attaques, les outils des pirates, etc. Dans ce sens, Uberlogger se rapproche du projet Sebek, avec toutefois la volonté d'être plus complet dans l'analyse. Pour plus de détails sur les honeypots et leurs applications, jetez un oeil à http://www.honeynet.org/.
Une seconde application pour Uberlogger est son utilisation comme outil de forensics. En effet Uberlogger peut se présenter comme un module noyau chargeable dynamiquement, et qui permet donc l'analyse du comportement d'une machine compromise. Les logs qui en ressortent peuvent trahir les outils (keylogger, rootkits, etc.) qui plombent la machine.
Je cherche actuellement une autre application à Uberlogger, mais pour ça je vous en dirais plus ultérieurement ;)
Uberlogger est sous licence CeCILL, et a été développé pour l'instant pour les plateformes Linux/UML, Linux, et FreeBSD. Toutes les informations sur Uberlogger sont sur http://uberlogger.rstack.org
posted by Hadrien Hamel @ 11:06 AM
1 Comments:
At 12:58 PM,
Anonymous said…
On en trouve des choses en cherchant Uberlogger sur google :)
moi aussi j'avais pensé à ouvrir un blog sur la sécu, mais j'ai pas trop le temps en fait :(
ah oui j'oubliais : à poil !!!
Post a Comment
<< Home