Comment détecter si une application de bureau a été modifiée?Comment détecter si une application de bureau a été modifiée?
L'application communique avec un service Web, de sorte que nous pouvons peut-être hacher le bureau, puis vérifier si la somme de contrôle correspond ou quelque chose comme ça? ou que suggérez-vous?
Ne laissez pas l'application faire quoi que ce soit que vous n'autoriseriez pas la personne à modifier l'application. Ensuite, peu importe si l'application a été modifiée ou non. Votre solution proposée est comme une banque essayant de concevoir un stylo qui ne peut pas être utilisé pour écrire de mauvais chèques, puis essayant de s'assurer que les clients utilisent toujours ce stylo pour écrire leurs chèques. Il est beaucoup plus sain d'arrêter de s'inquiéter de ce que les clients utilisent pour écrire leurs chèques et de rejeter tout chèque qui dépasse le solde du client.
Ou, pour le dire d'une autre manière:
1) Si l'application demande à votre service Web pour faire quelque chose que vous ne voulez pas faire, quelle différence cela fait-il si l'application est modifiée ou non?
2) Si l'application demande à votre service Web de faire quelque chose que vous voulez faire, quelle différence cela fait-il si l'application est modifiée ou non?
En résumé, cela ne fait aucune différence.
Le meilleur moyen est de calculer la somme de contrôle de l'exécutable et de le stocker dans un endroit sûr. Vous pouvez recalculer la somme de contrôle et valider contre la somme de contrôle stockée quand vous le souhaitez. Si la valeur ne correspond pas alors l'exécutable a été changé. C'est ce qui est fait pour la plupart des téléchargements disponibles sur Internet. L'éditeur publie la somme de contrôle avec le téléchargement. Ce téléchargement peut être mis en miroir. Les utilisateurs qui téléchargent à partir de sites en miroir doivent correspondre à la somme de contrôle du téléchargement par rapport au chekcsum publié pour s'assurer que le téléchargement n'est pas altéré.
Alors que David's answer est un excellent résumé de mon opinion sur votre problème (mieux que je ne l'aurais pu dire moi-même), je reconnais que certains environnements veulent vraiment accomplir ce que vous avez demandé: un moyen d'attester un système distant que vous exécutez exactement le logiciel que vous dites être.
IBM's TrouSers est une partie d'une pile logicielle qui fonctionne pour faire de remote attestation une réalité. La pile entière repose sur les puces TPM intégrées à certaines cartes mères, un BIOS de confiance qui effectue une somme de contrôle cryptographique du chargeur de démarrage, un chargeur de démarrage fiable qui effectue une somme de contrôle cryptographique du noyau du système d'exploitation et des utilitaires système importants et le système d'exploitation support (TrouSers) capable de gérer le TPM et de vérifier le logiciel en question.
Il est important de noter que les puces TPM sont et non conçues pour FIPS 140 protection anti-sabotage. Même avec une pile d'attestation distante entièrement opérationnelle, un propriétaire de matériel peut faire plus ou moins ce qu'il veut. Il est donc essentiel d'avoir de bons contrôles de sécurité physique sur le matériel pour éviter que des personnes non autorisées falsifient les périphériques.
Pourrait-il s'agir d'une application, ou est-ce une application spécifique que vous (ou votre entreprise) avez faite? –
Application personnalisée que la société a construit, donc nous savons sur les fichiers, cela signifie-t-il, l'application peut vérifier le chekcsum lorsque l'application est chargée? C'est la seule façon? – 001
Quel est votre modèle de menace? Autrement dit, qu'est-ce qui vous fait penser que vous devez vérifier si l'application a été modifiée? –