Core Force

Modérateur: Modérateurs et Modératrices

Core Force

Messagede Jim Rakoto » 28 Jan 2007, 14:51

Salut

Dans un fil consacré à la façon de se protéger quand on veut rester en mode administrateur et utiliser un compte limité http://assiste.forum.free.fr/viewtopic.php?t=14454 , j'évoquais différentes montées en puissance dans le contrôle de Windows.

Geswall avec drivers implanté directement dans le kernel de Windows et puis Core Force.

You can use CORE FORCE to:

* Protect your computer from compromise by worms, virus and email-borne malware

* Prevent you computer from being used as a staging point to amplify attacks and compromise others

*Prevent exploitation of known bugs in the operating system and applications running on your computer

*Prevent exploitation of unknown bugs (0-day) in the operating system and applications running on your computer.

*Detect and prevent execution of adware, spyware, trojan horses and other malware on you computer



Il a bien fallu que je teste ce logiciel opensource, gratuit.

Euh, c'est pas de la bibine ce truc. Pour les paranos avertis qui veulent tout connaitre du fonctionnement intime de leur système mais alors c'est pour prendre son pied.

Si Geswall est encore accessible à l'utilisateur moyen, ce n'est pas le cas de Core Force dans son état actuel. Il est hors de question d'installer et utiliser "out of the box" comme Outpost par exemple qui crée ses règles seul.


Présentation

Core Force se définit comme un environnement de sécurité qui s’ajoute et remplace celui du système Windows.

Il est basé sur plusieurs modules qui s’intègrent au cœur du noyau et se chargent comme driver. Ceux-ci permettent d’appliquer des politiques de sécurité qui seront propres à chaque application du système.

Ainsi toutes les modifications de la bases de registres, du système de fichier ou encore tous les accès réseau effectué par des applications peuvent être détectée et éventuellement bloqués.

Notons que ce programme n’utilise pas des fonctions de API hooking classiques mais mise plutôt sur une intégration directe dans le kernel windows.

Un outil graphique permet de définir ces politiques, et des configurations sont incluses pour les applications les plus communes. Un composant permettant de filtrer les accès réseau est également inclut.

Les développeurs n’étant pas satisfait par le firewall intégré à Windows, ils ont effectué un port pour ce système du firewall pf, qui est intégré au système OpenBSD et est aussi probablement la solution libre la plus efficace pour cette fonction.

Des fonctions ont été rajoutée à l’occasion, comme la possibilité de rajouter à la volée des règles, en fonction de l’application qui génère le trafic, ou encore la possibilité pour le logiciel de demander quelle action il doit effectuer face à un trafic particulier. (rajout d’une cible ASK en plus de DENY, ALLOW, etc).

De nombreux fichiers de configuration sont disponibles sur le site du projet, permettant de protéger la plupart des applications courantes, comme par exemple Firefox, Internet Explorer, Thunderbird ou Outlook/Outlook Express. L’aspect communautaire du projet permet à tous les utilisateurs de contribuer à la définition de règles pour de nouvelles applications.

Cette solution de prévention d’intrusion locale offre une méthode de protection, qui sans se baser sur l’analyse de signature, peut se révéler particulièrement efficace, en particulier contre les virus inconnus, qui ne sont pas détectés par les outils basés sur des signatures (la plupart des antivirus).

L’utilisation de ces techniques est également sans nul doute une tendance importante de la protection des postes clients mais est encore peu utilisée par les éditeurs d’antivirus commerciaux.

CoreForce est développé sous la licence Apache 2.0 par les développeurs de l’équipe de recherche et développement de Core Security. Il est possible de le télécharger gratuitement sur le site du projet. Cette application est compatible avec Windows XP et Windows 2000.

http://www.secuobs.com/news/12122005-coreforce.html


Donc, Core Force se compose de 3 modules :

Un module Permissions

qui permet de définir les permissions pour l'entièreté du système ou application par application.

CORE FORCE enforces security configuration settings independently of the operating system's own configuration.

Security permissions are configured using a configuration tool with a powerful graphical interface.

They are stored on XML files, which facilitates the sharing of settings among users, and accessed through a Windows Service.

Permissions are enforced by custom device drivers running at kernel level.

Permissions can be configured for the entire operating system (System permissions) or on a per application basis by grouping them into application profiles (Program permissions).

They can include inbound and outbound network traffic restrictions, file system access restrictions to files and folders and registry access restrictions to registry keys and values.

Programs are identified by a cryptographically strong hash of the file's contents that is checked every time the program runs.

CORE FORCE supports several configuration levels.

Basic configuration method consists in choosing a standard Security Level (High, Medium-High, Medium, Low) for each application.

The user can change this level at any time, according to the task he/she is performing.

For example, if the user is about to open a suspicious mail attachment, he/she can raise the Security Level for the mail program and for the entire system.

On the other hand, if the user is installing a new application, he/she can lower the Security Level to avoid unnecessary false alarms.

If none of the standard security levels meets the needs of the user, he/she can change them by enabling and disabling individual policies.

Each policy represents a task on the context of the application (for example, allow opening attachments (confirmation required)).

With this configuration method, CORE FORCE releases the user from the tedious task of dealing with files and registry permissions directly.

Finally, the user can configure permissions for specific files, registry keys and network connections.

Several tools, such as log generator/viewer, a Learning Wizard and confirmation popups aid the user on this task.

Authorized and unauthorized operations can by logged to a system wide or per application audit trail.

Program permissions grouped as application profiles can be exported and imported to CORE FORCE as a mean to facilitate updating and sharing of security settings among users.


http://force.coresecurity.com/index.php ... d=39&aid=5


Un module pare-feu basé sur OpenBSD PF


The firewall component of CORE FORCE is a Windows port of OpenBSD's PF, the open source, mature, server-level firewall (PF: The OpenBSD Packet Filter). PF's functionality has been trimmed and tailored to make it suitable for desktop systems and to minimize code complexity.

CORE FORCE support inbound and outbound stateful filtering with advanced settings such as TCP flags and ICMP type/code flags.

It works on a per application basis, loading and unloading rules dynamically at application runtime and it can be configured to require runtime user confirmation on certain connections.

It is implemented at kernel level as an intermediate driver that mediates communications between the network card drivers and the operating system's TCP/IP protocol stack, making it difficult to bypass.


Un module contrôle registre et fichiers système


The file system and registry access control component of CORE FORCE is implemented as a file system filter that mediates communication between the operating system and file systems drivers.

The component runs at kernel level and captures file system and registry access operations performed by the rest of the operating system (user-level applications, services and kernel subsystems) and enforces permissions for create, read, write, execute, delete and list operations.

Due to its location inside the operating system, it can trap calls to any file system, and even calls made by other kernel components. The file system permissions can be specified using wildcards and recursion masks.


Quelques captures d'écran pour se faire une idée.
http://force.coresecurity.com/index.php ... creenshots


avertissements

Vous l'avez compris, Core Force s'implante très profondément dans Windows.

Il faut dès lors prendre de sérieuses précautions pour ne pas connaitre des écrans de la mooooort, heureusement suivi d'un reboot .

1. Ne pas tenter un fonctionnement conjoint avec Outpost qui a un fonctionnement similaire voire même un autre pare-feu.

J'ai donc désinstallé complètement OP sur un PC, y compris avec nettoyage registre (merci JV16 2006 )


2. surtout ne pas utiliser avec un autre contrôleur d'intégrité actif.


3. Vérifier la compatibilité avec antivirus
http://force.coresecurity.com/index.php ... own-issues

KAV 6.0 est compatible moyennant désactivation défense proactive et antivirus internet (doublons)

4. Il semble y avoir des incompatibilités avec un ou des modules de FF 2.0 (sans doute ShowIP ?) car un fenêtre avertit que FF n'a pu être installé complètement à cause d'un problème de composants sécurité. Ce n'est pas le cas avec Opera, j'en déduis que ce sont les modules sécurité de FF.

Il faut alors modifier le paramétrage de Core Force.

Utilisation

http://force.coresecurity.com/download/latest

L'installation se fait simplement sans grandes difficultés.

Comme signalé plus haut, Core Force détecte des programmes particuliers comme navigateur, courrielleur, messagerie instantanée....

Voici un exemple pour MSN qui montre les 3 modules et le paramétrage
Image


Amusant, non ?

Quand vous lancez Firefox par exemple, vous avez systématiquement TOUTES les adresses IP de connexion qui s'affichent, à commencer par celle de votre FAI avec à chaque fois un choix : autoriser - Interdire

Idem pour SpywareBlaster ou Spybot par exemple.

Evidemment si votre antivirus se connecte pour une mise à jour, il vous le signale ainsi que l'adresse IP de connexion.

Et je n'ai pas choisi la sécurité HIGH !!!

Voilà donc une première présentation d'un logiciel sécurité très puissant et gratuit qui devrait permettre à l'utilisateur averti de sécuriser son Windows XP ou 2000 gratuitement en utilisant deux logiciels : Core Force et un antivirus/antispyware genre ClamWin

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede jessminder » 28 Jan 2007, 18:43

Pffffffiouuuuuuuuuuuuuuu !

Impressionnant!

:p :cool:
Avatar de l’utilisateur
jessminder
 
Messages: 4735
Inscription: 08 Déc 2005, 18:52
Localisation: F- Palaiseau

Messagede zorro51 » 29 Jan 2007, 01:16

A mon avis logiciel a ne pas mettre entre toutes les mains.

Cependant a vouloir trop securiser sa becane avec un tel logiciel, on risque fort de rencontrer de grosses instabilités du systeme assez rapidement.

Mon seul regret est qu'il n'existe pas sous Windows un firewall libre vraiment efficace et bidirectionnel genre Iptable...pour Windows.
A mon avis Core Force s'eloigne trop de sa fonction premiere : etre un veritable firewall.
zorro51
 
Messages: 635
Inscription: 04 Déc 2003, 03:06
Localisation: Mais ou suis-je deja ?????

Messagede pierre » 29 Jan 2007, 02:13

Bonsoir,

Dito ! A ne pas mettre entre toutes les mains ! Mais passionnant !

Voir la seconde partie de ma réponse, quelques minutes plus tôt, pourtant sur un autre sujet :
http://assiste.forum.free.fr/viewtopic. ... 2483#92483

A classer dans les Contrôleurs d'intégrité (mais c'est ce que font tous les gros pare-feu actuels à commencer par OutPost).

A+
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28381
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Logiciels (tous logiciels) et moi

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités