"Myfip, un ver invisible se propage dans les réseaux des entreprises"
Le
Olivier Aichelbaum
Bonjour,
"Myfip, un ver invisible se propage dans les réseaux des entreprises
pour voler des données sensibles."
Ca aurait été un communiqué Tegam, on aurait déjà eu un troll. Mais
là c'est un communiqué F-Secure :
http://www.zataz.com/communiques-pr...tkits.html
"Un ver actif invisible qui utilise les technologies de rootkit peut
rester indétectable par un anti-virus ordinaire."
Heureusement, y a super-F-Secure qui va vous protéger !
( http://www.f-secure.com/images/fsc_logo.jpg )
Good luck ! ;)
--
Olivier Aichelbaum
"Myfip, un ver invisible se propage dans les réseaux des entreprises
pour voler des données sensibles."
Ca aurait été un communiqué Tegam, on aurait déjà eu un troll. Mais
là c'est un communiqué F-Secure :
http://www.zataz.com/communiques-pr...tkits.html
"Un ver actif invisible qui utilise les technologies de rootkit peut
rester indétectable par un anti-virus ordinaire."
Heureusement, y a super-F-Secure qui va vous protéger !
( http://www.f-secure.com/images/fsc_logo.jpg )
Good luck ! ;)
--
Olivier Aichelbaum
Poser une question
Ca semble confirmé par une étude publiée dans le dernier MISC.
--
Roland Garcia
ils ont fait, eux aussi, un Good Luck ?
vous êtes connaisseur, à ce que je vois
--
Niesz
Olivier Aichelbaum wrote:
Il y a un certain nombre de differences entre le communique' de f-secure et
l'"affaire Goodluck". Puisqu'elles semblent vous echapper, en voici quelques
unes :
- Le communique' de f-secure n'a pas ete' declare' "confidentiel" par ses
auteurs avant d'etre envoye' a quelques institutions et medias institutionnels
tries sur le volet. N'importe quel clampin peut ainsi prendre connaissance de
son contenu et, le cas echeant le critiquer ou le corriger.
- Le communique' publie' sur le site de f-secure ne contient pas le terme
invisible, mais le terme "stealth", terme communement employe' pour designer
les logiciels malveillants qui mettent en oeuvre des techniques de
dissimulation. Je n'y ai pas trouve' le texte en Francais sur ce site. Est-ce
f-secure qui est responsable de la traduction ?
- Il ne s'agit pas ici d'une "etude prospective" mais d'un compte rendu portant
sur un programme malveillant qui s'est effectivement propage'. Et oui, il est
bien evidemment edite' a des fins (ouvertement) commerciales.
- Par consequent, F-secure n'a donc pas eu besoin de concevoir a-posteriori, ni
de laisser diffuser via le site d'une conference judicieusement intitulee
"blackhat", un cheval de troie correspondant a celui decrit dans le
communique'.
Vous qui etes si tatillon sur tout ce qui touche a l'integrite' des citations
et sur les "coupes malhonnetes", vous auriez pu recopier par la meme occasion
les deux phrases suivantes, qui nuancent cette affirmation.
A part l'anecdotique Myfip, ce qu'il faut a mon avis retenir de ce communique'
c'est surtout que les antivirus a signatures integrent petit a petit des
techniques generiques afin de complementer la detection a base de signatures.
Et c'est tant mieux.
--
Tweakie
-----------------------------------------
Message sent by Excite Newsgroups.
http://www.excite.co.uk/newsgroup
Le communiqué de Tegam était public. Pas le rapport détaillé en effet.
Le communiqué de F-Secure est public. Où peut-on consulter le rapport
détaillé de F-Secure ?
La traduction que j'ai indiquée est la version officielle (la société
est présente en France).
De manière générale, auriez-vous quelque chose contre les études
prospectives et la recherche ?
Je le pense pour F-Secure et pour Tegam.
Toutes les personnes intérrogées me disent que Tegam n'est en rien
responsable de cette diffusion (Eric D., Eyal D., Misc, etc.).
Vous avez prétendu le contraire. Si vous voulez me convaincre que
que ce que vous dites est en fait, et non une simple extrapolation
de votre part, j'attends vos preuves.
Je voulais isoler une phrase, comme cela avait été fait pour Tegam
à maintes reprises sans que vous n'émettiez d'objection.
--
Olivier Aichelbaum
Le communique' annoncait quoi, deja ? L'existence d'un rapport detaille' ?
Ici : http://www.f-secure.com/v-descs/myfip_h.shtml
Pour plus de details, il suffit de se procurer un echantillon.
Au temps pour moi, c'est la mention "Auteur : D.B." sur zataz.com qui
m'avait fait poser cette question. Reste que c'est plus le traducteur
qui est a blamer (il aurait du employer le terme "furtif" plutot qu'
invisible), que le communique' d'origine.
Pas tant que le caractere prospectif n'est pas usurpe' et qu'il est
clairement annonce'.
Ca avait du echapper au journaliste du Figaro qui a parle' de Goodluck.
Tiens, qu'est-ce qui vous fait penser que les responsables MISC pourraient
avoir des informations privilegiees a ce sujet ?
C'est simple, je me base sur des donnees publiquement accessibles :
[1] http://www.virusbtn.com/issues/viru...200306.pdf
(page 12) :
"In order to verify these findings and observe how protection programs
react, my R&D team and I built sample SST Trojans using Visual C++ and
tested them on Windows 2000 Pro".
(Resume' en Francais ici :
http://groups.google.com/groups?selm 031117192659.D32521%40areba.vasb&output=gplain
)
[2]
http://www.blackhat.com/presentatio...ien-up.pdf
http://www.blackhat.com/presentatio...n-demo.zip
[3] http://www.virfirewall.com/info/injection.htm
Cette page publie une copie d'un des articles de MISC, et contient des
liens vers du code publie' sur le site d'Eric Detoisien.
Note : Le domaine virfirewall.com est enregistre' par Eyal Dotan.
[4]
http://66.249.93.104/search?qÊche:d2UmN_C3FdgJ:www.viguard.com/en/news_view.php%3Fnum%3D89+Goodluck+Tegam+Virus+Bulletin&hlÞ
"Its also true that the GoodLuck Report, a study anticipating new
kinds of deadly attacks that could be purported by stealth Trojan horses,
is a work of very responsible research which, more than two years ahead
of its time, described some of the methods used by MYDOOM. Parts of it
described the danger of code injection, user-mode TCP/IP sniffer, API
hooking and remote updating and showed how it could be combined in
Trojan horses and malware, and were published in the Virus Bulletin
magazine, and presented in the Black Hat conference. Why is it that
some people were quick to treat this document as a hoax, without even
reading it, although they now claim to be involved in research on
security? "
Tout y est :
- Il est clairement etabli dans l'article du Virus Bulletin [1] que Tegam a
developpe' ou fait developper un cheval de troie "proof of concept" dans le
cadre de son etude sur les chevaux de troies evolutifs et furtifs. L'article du
Virus Bulletin est signe' Eyal Dotan.
- Il est clairement etabli dans ce communique' de Tegam ("part of it[...]were
published [...]"[4] que "GoodLuck", le PoC dont il est question dans l'article
du Virus Bulletin et Casper sont la meme bestiole (Casper est le cheval de
troie qui etait diffuse' sur le site de la conference Blackhat).
- Il est clairement etabli [2] que la presentation a la conference BlackHat
s'est faite a la connaissance et avec l'approbation de Tegam (voir 1et
transparent).
- Eyal Dotan etait co-auteur de l'article qui y etait presente' [2], et a ce
titre, il est solidairement responsable de ce qui a ete' publie' a cette
conference. Au cas ou vous l'ignoreriez, co-signer un papier implique _aussi_
un certain nombre de responsabilites. Il se trouve que ce qui a ete' publie'
sur le site de cette conference inclut le code source du cheval de troie
Casper. En tant que co-auteur de l'article ayant contribue' au developpement du
cheval de troie (nous discuterons ce point plus en detail si vous le souhaitez),
Eyal Dotan a au minimum fait preuve de negligence en laissant distribuer ce code
source. Negligence qui va a l'encontre des regles de bonne conduite en vigueur
dans le monde anti-viral (cf.
http://www.av-comparatives.org/seit...dology.pdf page 5, par
exemple).
- Pour couronner le tout, les extraits de code publies dans MISC [3] dans des
articles co-signes par Eyal Dotan correspondent a ceux de Casper, c'est a dire
a ceux publies sur le site de la conference Blackhat. Eyal est-il etranger a la
publication de ces extraits de code ?
Cela dit, je veux bien croire qu'Eyal ait realise' la bevue que
represente la diffusion du code source de ce cheval de troie ait qu'il
ait prefere' s'en desolidariser quand vous lui avez pose' la question.
Maintenant, une question :
Quand Frederic Mense vous dit qu'il n'est pas Marc Henry, vous ne le
croyez pas (cf. "Vous y croyez, vous ?" de votre article du virus 26).
Quand, malgre' une masse de preuves publiquement disponibles, Eyal Dotan
vous dit etre totalement etranger a la conception de Casper, vous ne
mettez pas sa parole en doute.
Pourquoi ?
--
Tweakie
-----------------------------------------
Message sent by Excite Newsgroups.
http://www.excite.co.uk/newsgroup