Le flux continu de nouveaux logiciels est une source de difficultés pour les examens forensiques. Pour pallier ce défi, le projet hashlookup réduit la charge de travail de l’analyste en accélérant la vitesse de dissection.
Depuis plusieurs décennies, les analyses forensiques en cybersécurité utilisent des sources de hachage de logiciels connus. Ces sources ne sont pas nombreuses et la majorité des enquêteurs et chercheurs en sécurité utilisent des sources comme la National Software Reference Library (NSRL) [NSRL] et une des données de référence (RDS) pour différencier les fichiers connus des autres. Depuis longtemps pour le CIRCL [CIRCL], il semblait évident que nous avions de plus en plus de difficultés à trier les fichiers en utilisant des bases de hachage comme la NSRL lors des investigations sur des systèmes compromis. Les raisons sont multiples :
- la publication de nouveaux logiciels s’est accélérée sur des plateformes et architectures multiples (Windows n’est plus le système d’exploitation prédominant) ;
- les chaînes d’approvisionnement logicielles sont multiples et même attaquées par plusieurs adversaires [SCA] ;
- la publication de logiciels est continue...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première