Archives mensuelles : août 2018

La mort d’eVoldemort

Les comptes de fée et les histoires fantastiques ont depuis longtemps dissipé le mythe sur l’invincibilité des vilains (alors qu’en informatique, nous faisons face au même mythe depuis plus de 20 ans). Chaque Voldemort dépend de la sécurité de son journal, de sa bague, de son serpent, de son… bref, je suppose que vous connaissez déjà tout sur les Horcruxes. Et le succès de votre lutte contre le mal, qu’il s’agisse d’un compte de fée ou de l’espace virtuel, dépend de deux qualités principales : persévérance et intelligence (c’est-à-dire, de votre technologie). Aujourd’hui, je vais vous expliquer comment la persévérance et l’intelligence, ainsi que les réseaux neuronaux, l’apprentissage automatique, la sécurité Cloud et le savoir des experts (le tout intégré dans nos produits) vous protègeront des futures menaces potentielles.

D’ailleurs, nous avons déjà parlé de la protection contre les futures cybermenaces avant (plus d’une fois, à maintes reprises, nous en avons même ri). Vous vous demanderez peut-être : pourquoi une telle obsession ?

C’est parce que ces technologies sont exactement ce qui fait la différence avec une fausse intelligence artificielle et des produits qui utilisent des informations volées pour détecter les malwares. Identifier la séquence de code qui utilise une signature connue une fois que le malware a déjà pénétré dans le système et joué des mauvais tours à l’utilisateur ? Personne n’a besoin de ça, ça serait comme  » un cataplasme sur une jambe de bois « .

Néanmoins, très peu d’acteurs du secteur sont capables d’anticiper la façon de penser des cybervilains, d’appréhender les vulnérabilités auxquelles ils s’intéressent et de répandre des filets invisibles capables d’une détection automatique instantanée. Une bien triste réalité. D’ailleurs, très peu, selon les tests indépendants. WannaCry, la plus grande épidémie de cette décennie, en est la preuve : grâce à la technologie System Watcher, nos produits ont protégé proactivement nos utilisateurs contre cette cyberattaque.

L’élément clé est : il est impossible d’avoir trop de protection contre les futures cybermenaces. Aucun émulateur ou système d’analyse spécialisé en big data n’est capable de couvrir tous les vecteurs de menace possibles. Les filets invisibles doivent couvrir tous les niveaux et tous les canaux, autant que possible, en suivant l’activité de tous les objets du système, afin de s’assurer qu’ils ne pourront pas causer de problèmes, tout en maintenant une utilisation minimum des ressources, zéro  » faux positif  » et 100% de compatibilité avec d’autres applications afin d’éviter les écrans bleus de la mort.

L’industrie malware continue également de se développer. Les cybervilains ont appris (et continue de leur enseigner) à leurs créations à se dissimuler dans le système de manière efficace : à changer leur structure et leur comportement, à utiliser un mode d’action plus lent (minimise l’utilisation des ressources informatiques, se réveille suivant un emploi du temps, se fait discret après avoir pénétré l’ordinateur ciblé, etc.), à plonger tout au font du système, à dissimuler leurs traces, à utiliser des méthodes  » nettes  » ou  » presque nettes « . Mais là où il y a un Voldemort, il y a également des Horcruxes, qu’il est essentiel de détruire afin d’en finir avec cet être malin. La question est comment les trouver.

Il y a quelques années, nos produits ont renforcé leur arsenal de technologies de protection contre les cybermenaces avancées en adoptant une invention intéressante (brevet RU2654151). Elle utilise un modèle comportemental évolutif afin d’assurer une identification très précise des anomalies suspectes dans le système, la localisation des sources et les suppressions effectuées par le plus  » prudent  » des vers.

Comment cela fonctionne ?

Une fois activé, n’importe quel objet laisse des traces sur l’ordinateur. L’utilisation du disque dur ou de la mémoire, l’accès aux ressources du système, les transferts de fichiers sur le réseau, d’une manière ou d’une autre, chaque malware finira par se manifester. Même dans les cas des malwares les plus sophistiqués, leurs traces ne peuvent être complètement effacées. De plus, les tentatives d’effacer des traces créeront d’autres traces et ainsi de suite.

Comment pouvons-nous savoir si ces traces appartiennent à des applications légitimes ou à des malwares ? Le tout, sans utiliser trop de puissance de calcul de l’ordinateur ? Voici comment.

Le produit antivirus collecte des informations sur les activités des applications (les commandes exécutées, leurs paramètres, leur accès aux ressources critiques du système, etc.) et utilise ces informations afin de construire un modèle comportemental, détecter les anomalies et calculer le facteur de malveillance. Mais je veux que vous prêtiez attention à la méthode que nous utilisons pour y parvenir. Souvenez-vous, la rapidité des opérations est tout aussi importante que la fiabilité. Et c’est là que les maths, ou plus précisément le résumé mathématique, rentre en jeu.

Le modèle comportemental créé reste très petit afin de pouvoir obtenir les informations comportementales nécessaires et d’autre part, afin de ne pas utiliser trop de ressources système. Même en surveillant de près les performances de l’ordinateur, il est impossible de détecter le moindre signe de cette technologie.

Example :

Le calcul du facteur de malveillance repose sur quatre attributs externes :

  • Type d’objet (exécutable/non exécutable)
  • Taille (plus de/moins de 100Ko)
  • Source (téléchargé sur Internet ou provenant d’un fichier sur une clé USB)
  • Diffusion (plus/moins de 1 000 installations selon les statistiques de KSN)

Et quatre attributs de comportement :

  • Si l’objet transfère des données sur le réseau
  • Si l’objet lit des données sur le disque dur
  • Si l’objet ajoute des données dans le registre
  • Si l’objet interagit avec l’utilisateur via une fenêtre d’interface

Chaque question peut être répondue avec  » non  » (0) ou  » oui  » (1).

Cela étant dit, le fichier app.exe, de 21ko, extrait de autrestrucs.zip, détecté sur 2 113 ordinateurs, qui ne lit pas de données du disque dur, transfère des données sur le réseau, ne dispose pas de fenêtre d’interface et qui ajoute des données sur le registre, apparaitra comme :

1 0 0 1 1 0 1 0

Si nous présentons cela comme un 8-bit entier, nous obtenons 0b10011010 = 154. C’est ce que nous appelons un résumé. Mais contrairement au classique hachage (par exemple, MD5 ou SHA-1), notre technologie de résumé est bien plus intelligente. Dans la vraie vie, des milliers d’attributs d’objets sont enregistrés, chacun d’entre eux générant de nombreux résumés utilisés par un modèle entrainable qui sait identifier les profils comportementaux. Cela génère un modèle comportemental extrêmement précis, et ce, très rapidement.

Le facteur de malveillance est une toute autre histoire : aussi bien les malwares que les applications légitimes peuvent avoir un comportement complètement identique. Par exemple, de nombreuses applications ajoutent des données dans le fichier système. Comment savoir s’il s’agit d’activités légitimes ou d’une tentative malveillante ?

Premièrement, le facteur dispose d’un effet cumulatif ou, pour être plus clair, grandit de manière uniforme. Avec le temps, cela permet la détection des malwares les plus discrets sans aucun faux-positif et une activité suspecte de courte durée (telle que la modification du registre de système, qui se produit chaque fois qu’une nouvelle application est installée) ne déclenchera pas l’antivirus. Le résumé créé est transmis via une  » boite noire  » un réseau neuronal entraîné qui fournit un verdict et décide si le comportement de l’objet est malveillant ou non.

Et bien sûr, la technologie monte en puissance avec KSN : ce système Cloud permet l’échange d’éléments suspects, leur analyse automatique et le perfectionnement de la technologie afin d’améliorer l’exactitude des verdicts. Les capacités apportées par KSN sont utilisées constamment pour améliorer le réseau neuronal et afin qu’il soit entraîné par d’autres algorithmes et d’autres experts. Cela nous aide à détecter les fichiers dangereux mais également les sessions de réseautage, les composants et autres nano-éléments du puzzle, qui éventuellement finissent pas nous mener à eVoldemort.