TiraniumData Security - Un antivirus sans base de signature, entièrement basé sur l'analyse comportementale.
TiraniumData Security
TiraniumData Security est un nouvel antivirus apparu le 25.10.2012, fonctionnant sous Windows XP, Vista, Seven, 8, et sous tous les navigateurs sauf Internet Explorer.
Il se présente comme un antivirus sans base de signatures, orienté sur l'analyse comportementale des objets analysés. Il faut donc lancer l'exécution de ces objets pour pouvoir en analyser le comportement.
Les analyses comportementales contenues dans tous les antivirus actuels, se font par ouverture volontaire de tout ce qui est "exécutable" (les programmes), dans un "bac à sable" (un ordinateur virtuel appelé "Sandbox" dans lequel tout ce qui s'y passe ne dépasse pas la Sandbox. Là, les antivirus regardent ce que fait l'objet analysé. Dit en mots simples, les antivirus regardent les comportements de l'objet analysé, tels que :
-
Tentatives d'auto-modifier son code, une fois monté en mémoire, afin d'avoir une signature aléatoire empêchant toute analyse par signature, ce qui dénote un comportement furtif
-
Tentative de modifier son code dans le fichier qui le contient afin d'avoir une signature aléatoire empêchant toute analyse par signature, ce qui dénote un comportement furtif
-
Tentative de modifier le nom du fichier le contenant, ce qui dénote un comportement furtif
-
Tentative d'injecter du code provenant d'autres sources cachées comme les ADS (Alternate Data Stream).
-
Modifications dans la base de registre (dont inscription dans les clés de registre utilisées pour les lancements automatiques d'application ou processus au démarrage de Windows
-
Ecriture de fichiers
-
Modifications de fichiers ne lui appartenant pas
-
Existance d'un dispositif de lecture des frappes au clavier (dit "keylogger")
-
Connexion à l'extérieur (envoi / réception de données)
-
Recherche de processus tels que les antivirus et les anti-malwares
-
Accès à des fichiers privilégiés
-
Tentative d'élévation de privilèges
-
Tentative d'exploitation de failles de sécurité connues.
-
Etc.
TiraniumData Security ferait cela mais sans l'usage d'une sandbox.
TiraniumData Security laisse le système fonctionner normalement (ce qui ne le ralenti donc pas) et s'exécute périodiquement (toutes les 10 secondes actuellement), pour regarder les processus actifs et ce qu'ils ont modifié par rapport à une "photo" préalable des zones privilégiées du système. TiraniumData Security bloque les processus dont le comportement est suspect pour prendre l'initiative d'une action en restauration ou demander à l'utilisateur de choisir une action.
TiraniumData Security classe ses actions d'analyse en cinq groupes :
-
Envoi des données personnelles à l'extérieur.
-
Enregistre et/ou modifie des données telles que les frappes du clavier.
-
Copyright du fichier inconnu ou volé.
-
Tente de se cacher.
-
Défense contre les antivirus + autres signes d'infection + démarrage anormal.
Lorsque TiraniumData Security a un doute, il soumet l'objet du doute à un service multi-antivirus en ligne (VirScan) pour confirmation ou infirmation.
TiraniumData Security n'est pas une "SandBox" (bac à sable).
TiraniumData Security - Analyse préalable
Cette première annonce, sur le papier, me laisse extrêmement circonspect.
Le site de TiraniumData Security est extrêmement succinct et ne donne aucune information, ni sur les personnes derrière le produit, ni sur le produit !
Nous n'avons pas encore envie de l'installer pour le faire tourner et le tester. L'analyse sur le papier n'incite pas à poursuivre plus loin, pour l'instant.
Nous n'aimons pas le fait qu'il fasse remonter les fichiers sur leur serveur (Pourquoi ? Pour les soumettre à un service en ligne car il n'est pas sûr de lui ?). Nous espérons que c'est une faute de description du produit et que ce sont les
hashcodes des fichiers qui sont calculés et remontés, pas les fichiers en eux-mêmes ! Seuls les fichiers dont les
hashcodes sont inconnus seraient alors remontés.
Nous n'aimons pas la déclaration faite dans la description du produit : "Analyse par 36 antivirus", sans aucune autre information à ce sujet. Nous pensons, en cet instant, qu'il pourrait s'agir d'une soumission automatique à l'un des
Services gratuits en ligne d'analyse multi-antivirus (probablement
VirScan puisqu'il exploite, justement, 36 antivirus simultanés, actuellement). Ce service permet, comme d'autres, la récupération en ligne du résultat d'une analyse d'un fichier, par son
hashcode. Si l'analyse de ce fichier a déjà été effectuée, le dernier résultat d'analyse est fourni. Si ce n'est pas le cas, TiraniumData Security doit alors uploader le fichier à analyser depuis l'ordinateur surveillé et le passer au service (VirScan ?) qui renvoie le résultat d'analyse au bout de plusieurs minutes. Outre le fait que cela peut être lent sur les fichiers inconnus, il faut observer que TiraniumData Security n'a donc pas confiance dans son propre analyseur de comportement et s'appuie sur des analyses à signatures ? Nous nous interrogeons également sur le déploiement de TiraniumData Security car que dira le service VirScan lorsque Titanium lui balancera des milliers de requêtes à la seconde ? Les serveurs VirusScan tomberont sous quelque chose d'assimilable à une attaque en Dénie de Service distribué - DDoS.
Comment TiraniumData Security négocie les risques de faux positif ou négatifs
- Comment TiraniumData Security fait la différence entre un ordinateur sur lequel s'exécute un bot de mass mailling et un outil de mass mailing (par exemple pour envoyer une lettre à de multiples destinataire) ? Ce sont deux outils identiques qui ont un comportement identique aux yeux de TiraniumData Security, non ? Il me semble que seules leurs signatures (leur hash code) confrontées à une liste blanche ou une liste noire permet de les différencier, ou l'identification d'une portion de code spécifique.
- Quelle est la différence entre un client de calcul distribué au service de l'établissement du génome humain et un client ayant transformé l'ordinateur en zombie dans un BotNet ? Ils ont très exactement le même comportement aux yeux de TiraniumData Security, non ? Comment TiraniumData Security négocie avec les faux positifs et les faux négatif ?
- Etc. ...
TiraniumData Security - les Sandbox sont monnaie courante dans les antivirus
Tous les antivirus commerciaux d’aujourd’hui comportent une analyse heuristique depuis des années mais, aussi, un bac à sable (sandbox) permettant de faire de l'analyse comportementale avec n'importe quelle application, en continue et en temps réel. Vous pouvez obliger certains logiciels à s'exécuter systématiquement dans cette sandbox, en particulier les navigateurs Internet et, également, l'installeur d'une application que vous venez de télécharger et cette application elle-même, durant une phase d'observation.
Or, le prix d'un très bon antivirus commercial, professionnel, protégeant 3 ordinateurs, fonctionnant en temps réel (On-access), avec sanbox et analyse comportementale, signatures, contrôle parental, pare-feu, etc. etc. etc. ... coûte moins que le prix de cinq paquets de cigarettes. S'il y a un seul outil à acheter, c'est bien celui-là (par exemple, Kaspersky Pure) !
Exemple : sur cette machine, pour 30 € par an, les 5 navigateurs s'exécutent en permanence dans une sandbox.
Kaspersky Pure offre une sandbox pour 30€ par an
Moins de 3€ par mois
Moins que le prix de 5 paquets de cigarettes pour une année de protection professionnelle de 3 PC
TiraniumData Security - Analyse antivirus de TiraniumData Security
Peut-être des faux positifs mais deux antivirus (peu connus) considère TiraniumData Security comme infecté.
Jiangmin scan engine : Trojan/Buzus.Amoc
Zillya! scan engine : Backdoor.Finlosky.Win32.90
Donc, pour l'instant, on ne touche pas.
TiraniumData Security - Commentaires des commentaires
Commentaires d'origine, conservés avec les fautes, et commentés.
- Protection en temps réel – C’est la moindre des choses
- Détecte et bloque les liens malveillants dans les e-mails ou naviguateur : c’est ce que font les services comme Safe Browsing, SiteAdvisor, DNS publics de Norton ConnectSafe etc. ... (et que personne ne me parle de cette imbécilité de WOT)
- Renforce le pare-feu Windows : ???
- Détecte et supprime les fichiers malveillants – C’est la moindre des choses mais est-ce qu’il y a soumission à l’utilisateur, quarantaine, nom du parasite afin que l’utilisateur identifie l’attaque et son geste qui à conduit à cette attaque ?
- Vérifie la suppression des malveillants au démarrage – Pourquoi ? Pas sûr de lui ?
- Mises à jour automatiques – S’il n’y a pas de signatures, les mises à jour doivent être rares (sauf si les algo ne sont pas stables)
- Renforce le pare-feu Windows – Déjà dit, non ?
- Détecte le comportement des chevaux de troie, vers, virus, spywares, rootkits, keyloggers – Oui...
- Permet de choisir vos programmes qui seront executés au démarrage de votre PC – Gestion de la liste de démarrage de Windows – Il en existe plein qui ont mis des années à se constituer tellement la chose est diffusée dans Windows.
- Permet de restaurer vos fichiers ou de les cacher – Alors là !!! Je demande à voir car la restauration d’un fichier en lui extirpant le code qui l’infectait est une gymnastique quasi impossible à conduire. La seule méthode stable consiste à aller chercher le fichier non contaminé dans un réservoir de fichiers. Bon courage.
- Répare votre ordinateur – Qu’est-ce que c’est ?
- Permet un analyse avec 36 autres antivirus – Un service en ligne externe ? VirusScan probablement. Manque d’assurance dans Titanium ? Besoin d’assurer le coup ? Quand le service est-il sollicité : en cas de doute seulement ou pour tous les hash de tous les fichiers ?
- Analyses et suppressions rapides – Oui...
- Supprimer les fichiers indésirables – Déjà dit, non ?
- Déclenchez l'alerte rouge pour faire vos opérations en toute sécurité – C’est quoi ?
- Faites analyser votre PC à des professionnels en un clic – C’est quoi ? Titanium contient un outil qui permet la prise de contrôle à distance ? Comment est-ce activé ? Invitation ? Titanium fait le boulot ? Je croyais que Titanium, c’était 1 personne et des bénévoles autour.
- Et le tout, gratuitement ! – Un bon, très non antivirus, comme Kaspersky Pure, coûte le prix de 5 paquets de cigarettes pour une protection fiable et paranoïaque durant 12 mois sur 3 ordinateurs ! Il faut réellement apporter plus qu’un petit plus, et le prouver, pour retenir l’attention.
Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir
Contre-mesures
Derrière le rideau
Des souvenirs de Viguard me reviennent.
TiraniumData Security s'est appelé, initialement, TitaniumData Security puis a été obligé de changer de nom pour cause de copyright sur le nom Titanium.
Références
Ressources
Requêtes similaires