Par-feu Windows XP

Ba...

Sur Wanadoo, et d'autre, ils doivent simplement filtre les ports ou ce
propage ces vers...

Au lieu d'insulter, chercher plutôt une logique....
Si vous n'avez pas ce genre d'idée... d'autres les ont pour vous.

--

Fabrice
Microsoft MVP
http://www.fab3d.fr.st
Faq Windows XP :
http://a.vouillon.online.fr/faq-winxp.htm

"Frappe avec ta tête"

"Eric" <ericb33+spam@alussinan.org> a écrit dans le message de news:
6cn1ctoyd92t$.dlg@ericb33spam.alussinan.org...

Le 19 février 2005 à 20:53, Fabrice [MVP] nous disait :

Si si..
Il a raison..
Chez FREE c'est comme ça..
Mais faut que le XP ne soit pas à jour..
Que le FW d'XP ne soit pas activé..

EN un mot avec SP2.. cela ne ce produit pas..

Juste comme ça... Merci FREE !!!!!

Ils les choisissent comment les MVP chez Microsoft ? Parce que pour dire
des conneries pareilles, faut pas être très malin, hein...

Maintenant, Monsieur le MVP, expliquez-nous comment un ver se baladant
sur le réseau ne touche que les abonnés Free mais pas les abonnés
Wanadoo. Je suis sûr que ça va intéresser du monde. Mouarf !

--
Cordialement

Michael Alves a couché sur son écran :

Tu ne dois pas être non plus au courant de l'actualité, parse que chaque
semaine des dixaines d'exploits fraichements misent en ligne pour les
"scripts kiddies" en soif d'avanture voient le jour et que tu le veuilles ou
non, tu n'auras jamais une version windows patchée à 100% à la vente.

Je crois que tu ne connais pas le sens du mot exploit :')

L'OS n'a pas besoin d'être à jour pour ne pas être infecté par les vers
de réseau : un FW activé suffit et c'est le cas par défaut à
l'installation avec WinXP SP2.

Que ce passe-t-il ? (à mon tour) Le "toto user" allume son super modem, va
sur des supers sites avec son super IE et se retrouve infecté par des supers
backdoors (entre autres). Le super backdoor effectue une "back connection"
(par exemple?) et le super FW de windows n'y voit que du feu ... Conclusion ?
Je te laisse méditer. (ça c'est de l'actualité, et IE n'est qu'un exemple
parmis tant d'autres ...)

Ton user lambda ne sera pas infecté en se rendant sur le W3 s'il ne

clique pas sur un PE ou acceptes l'installation d'un ActiveX .
Pour être infecté, il ne suffit pas de se rendre sur le W3 si un FW est
activé : pour qu'un backdoor puisse communiquer, il faut d'abord qu'il
arrive sur la machine et qu'il soit exécuté, il n'arrive pas par
l'opération du St-Esprit...
Il est évident que WF ne filtrant pas le OUT, ne verra pas les
tentatives de connexions OUT si un backdoor est installé suite à une
action de l'utilisateur, ce n'est pas son rôle, c'est pourquoi
j'utilise un bloqueur. Aucun FW ne peut détecter toutes les tentatives
de phoning home : suffit de faire les différents leaktests disponibles
pour s'en rendre compte. Un bon bloqueur OUI.

Le rôle d'un firewall est de filtrer des paquets le plus souplement possible
dans les deux sens et il me semble évident que filtrer les connexions
entrantes seulement n'est pas signe de flexabilitée et encore moin de
sécurité ... Et tu dis qu'il filtre les entrées correctement ? Mais il me
semble que comparé à ipchains il reste très basique et vraiment minable ...
(ipchains n'est qu'un exemple il y en a tant d'autres)

Le rôle d'un FW est en effet de filtrer le IN ou le IN et le OUT, pas

d'empêcher l'exécution d'un programme : il ne distingue pas le "bon" du
"mauvais", c'est le rôle de l' AV IRT de faire le distingo entre les
fichiers sains et les fichiers infectés.
ipchain sous Windows ? T'as vu ça où ?
Il te semble à tort : argumente

D'autre part, comment veux-tu

en suivant ton raisonnement qu'il puisse installer un FW tiers (KPF 2.15
est par ailleurs excellent) avant de se connecter alors qu'il n'y connait
rien ?

Pour info, l'expérience, je la fais plusieurs fois par semaine puisque
j'installe et dépanne :-D

Je n'aimerai pas être ton client, le plus dangereux ce n'est pas d'être
exposé, mais de se sentir protéger.

Je ne cherche pas ta clientèle et la sécurité des réseaux windows est
une partie de mon boulot ;)

Avant le SP2, pas d'infection non plus sur

WinXP RTM ou SP1 mais il fallait dans ce cas activer ICF qui ne l'était pas
par défaut pour éviter d'être exposé aux failles de réseau RPC et LSASS.

C'est vieux ... Tu parlais d'actualitée ?

Cite-moi un ver de réseau plus récent. C'est parfaitement d'actualité,

des tas de machines sont encore infectées par ces vers, suffit de
consulter les logs de ton FW pour t'en rendre compte...

On peut reprocher à WF de ne pas filtrer le OUT, ce qui est un choix
discutable de Microsoft mais concerant le IN le filtrage est parfgait et
l'infection depuis l'extérieur du LAN est impossible q"il zest activé.

Faux.

Un peu léger comme argumentation : explique moi comment un ver de

réseau pourrait infecter une machine sans une action volontaire de
l'utilisateur si le FW est activé B-)

--
http://www.optimix.be.tf MVP Windows Security
http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
Helping you void your warranty since 2000
---**ANTISPAM**---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(0)@ JacK

Je crois que tu ne connais pas le sens du mot exploit :')
Si si je connais :)

L'OS n'a pas besoin d'être à jour pour ne pas être infecté par les vers
de réseau : un FW activé suffit et c'est le cas par défaut à
l'installation avec WinXP SP2.

Ton user lambda ne sera pas infecté en se rendant sur le W3 s'il ne

clique pas sur un PE ou acceptes l'installation d'un ActiveX .
Le simple fait d'aller sur un site permet l'installation + execution

d'un executable en toute transparence avec les supers outils de
Microsoft tel IE (entre autres comme je disais).

Pour être infecté, il ne suffit pas de se rendre sur le W3 si un FW est
activé : pour qu'un backdoor puisse communiquer, il faut d'abord qu'il
arrive sur la machine et qu'il soit exécuté, il n'arrive pas par
l'opération du St-Esprit...
On est d'accord. Au risque de me répeter, avec IE il est un jeu

d'enfant de faire en sorte de faire télécharger et executer un PE sans
que l'utilisateur s'en apperçoive.

Il est évident que WF ne filtrant pas le OUT, ne verra pas les
tentatives de connexions OUT si un backdoor est installé suite à une
action de l'utilisateur, ce n'est pas son rôle,
On est encore d'accord.

c'est pourquoi j'utilise

un bloqueur.
Tu utilises un autre outil ? alors qu'un firewall digne de ce nom

pourrai le faire. Un autre outil implique également plus de complication
de mise en oeuvre
Aucun FW ne peut détecter toutes les tentatives de phoning

home :
Qu'appelles tu "phoning home" ?

suffit de faire les différents leaktests disponibles pour s'en

rendre compte. Un bon bloqueur OUI.

Le rôle d'un FW est en effet de filtrer le IN ou le IN et le OUT,
Je ne suis pas spécialiste des Firewalls sur windows, mais des

Firewalls que j'ai vus celui de win est le seul à filtrer que les
connexions entrantes, il y a un problème quand même. Mais je pense que
tu ne me contre-diras pas sur le fait que filtrer l'entrant c'est bien,
filtrer la sortie aussi c'est mieu ...
pas

d'empêcher l'exécution d'un programme : il ne distingue pas le "bon" du
"mauvais", c'est le rôle de l' AV IRT de faire le distingo entre les
fichiers sains et les fichiers infectés.
On est encore d'accord.

ipchain sous Windows ? T'as vu ça où ?
Je prenais en exemple un firewall digne de ce nom, juste pour faire le

comparatif.

Il te semble à tort : argumente

D'autre part, comment veux-tu

en suivant ton raisonnement qu'il puisse installer un FW tiers (KPF
2.15 est par ailleurs excellent) avant de se connecter alors qu'il
n'y connait rien ?

Pour info, l'expérience, je la fais plusieurs fois par semaine
puisque j'installe et dépanne :-D

Je n'aimerai pas être ton client, le plus dangereux ce n'est pas
d'être exposé, mais de se sentir protéger.

Je ne cherche pas ta clientèle et la sécurité des réseaux windows est
une partie de mon boulot ;)
Bon courage.

Avant le SP2, pas d'infection non plus sur

WinXP RTM ou SP1 mais il fallait dans ce cas activer ICF qui ne
l'était pas par défaut pour éviter d'être exposé aux failles de
réseau RPC et LSASS.

C'est vieux ... Tu parlais d'actualitée ?

Cite-moi un ver de réseau plus récent.

Vundo, Sober ... Mais pas le même impact c'est sure :)

C'est parfaitement d'actualité,

des tas de machines sont encore infectées par ces vers, suffit de
consulter les logs de ton FW pour t'en rendre compte...

Faux.

Un peu léger comme argumentation : explique moi comment un ver de réseau

pourrait infecter une machine sans une action volontaire de
l'utilisateur si le FW est activé B-)
Quand tu parlais d'infection en te répondant je ne fesais pas référence

au ver particulièrement ...

Michael Alves a émis l'idée suivante :

Je crois que tu ne connais pas le sens du mot exploit :')
Si si je connais :)

L'OS n'a pas besoin d'être à jour pour ne pas être infecté par les vers de
réseau : un FW activé suffit et c'est le cas par défaut à l'installation
avec WinXP SP2.

Ton user lambda ne sera pas infecté en se rendant sur le W3 s'il ne clique

pas sur un PE ou acceptes l'installation d'un ActiveX .
Le simple fait d'aller sur un site permet l'installation + execution d'un

executable en toute transparence avec les supers outils de Microsoft tel IE
(entre autres comme je disais).

Pour être infecté, il ne suffit pas de se rendre sur le W3 si un FW est
activé : pour qu'un backdoor puisse communiquer, il faut d'abord qu'il
arrive sur la machine et qu'il soit exécuté, il n'arrive pas par
l'opération du St-Esprit...
On est d'accord. Au risque de me répeter, avec IE il est un jeu d'enfant de

faire en sorte de faire télécharger et executer un PE sans que l'utilisateur
s'en apperçoive.

Non : par défaut (nous parlons bien de PC achetés maintenant et qui
sont donc vendus avec Win+XP SP2) aucun activeX ne peut s'installer
sans l'autorisation expresse de l'utilisateur. Idem sit tu télécharges
un exécutable : Windowxs te demande si tu veux l'exécuter et te signale
l'extension et le danger potentiel.

Il est évident que WF ne filtrant pas le OUT, ne verra pas les tentatives
de connexions OUT si un backdoor est installé suite à une action de
l'utilisateur, ce n'est pas son rôle,
On est encore d'accord.

c'est pourquoi j'utilise

un bloqueur.
Tu utilises un autre outil ? alors qu'un firewall digne de ce nom pourrai le

faire. Un autre outil implique également plus de complication de mise en
oeuvre

Je ne connais *aucun* firewall capable de détecter toutes les dll
injections, injections dans un process valide en cours d'exécution,
etc.... Ils peuvent tous être bernés par un malware plus ou moins
facilement...

Aucun FW ne peut détecter toutes les tentatives de phoning

home :
Qu'appelles tu "phoning home" ?

Ce que font tous les trojans : "téléphone maison" comme dirait ET :
contacter son maître :)

suffit de faire les différents leaktests disponibles pour s'en

rendre compte. Un bon bloqueur OUI.

Le rôle d'un FW est en effet de filtrer le IN ou le IN et le OUT,
Je ne suis pas spécialiste des Firewalls sur windows, mais des Firewalls que

j'ai vus celui de win est le seul à filtrer que les connexions entrantes, il
y a un problème quand même. Mais je pense que tu ne me contre-diras pas sur
le fait que filtrer l'entrant c'est bien, filtrer la sortie aussi c'est mieu
...

Oui, les FW tiers filtres presque tous le IN et le OUT, jh'ai signalé
que le choix de MS de ne filtrer que le IN était discutable. Perso,
ça ne me gène pas puiosque je le sais et que j'utilise un bloqueur,
plus efficace que n'importe quel FW pour voir ce qui s'exécute sur ta
machine, entre autres les applications qui cherchent à se connecter au
W3

d'empêcher l'exécution d'un programme : il ne distingue pas le "bon" du
"mauvais", c'est le rôle de l' AV IRT de faire le distingo entre les
fichiers sains et les fichiers infectés.

On est encore d'accord.

ipchain sous Windows ? T'as vu ça où ?
Je prenais en exemple un firewall digne de ce nom, juste pour faire le

comparatif.

Comparer ce qui est comparable : j'utilise IPtables sous Linux (et il y
a des failles, une signalée il y a moins d'une semaine) . La question
portait sur la possible infection d'une installation de Windows en se
connectant pour la première fois.

Il te semble à tort : argumente

D'autre part, comment veux-tu

en suivant ton raisonnement qu'il puisse installer un FW tiers (KPF 2.15
est par ailleurs excellent) avant de se connecter alors qu'il n'y connait
rien ?

Pour info, l'expérience, je la fais plusieurs fois par semaine puisque
j'installe et dépanne :-D

Je n'aimerai pas être ton client, le plus dangereux ce n'est pas
d'être exposé, mais de se sentir protéger.

Je ne cherche pas ta clientèle et la sécurité des réseaux windows est une
partie de mon boulot ;)
Bon courage.

Avant le SP2, pas d'infection non plus sur

WinXP RTM ou SP1 mais il fallait dans ce cas activer ICF qui ne l'était
pas par défaut pour éviter d'être exposé aux failles de réseau RPC et
LSASS.

C'est vieux ... Tu parlais d'actualitée ?

Cite-moi un ver de réseau plus récent.

Vundo, Sober ... Mais pas le même impact c'est sure :)

Sober est antérieur à ceux cités. Vundo n'est pas un ver de réseau.
WinXP SP1 n'est pas sensible (concerne un exploit de la faille Iframe).
Les PC vendus actuellemebnt sont livrés avec WinXP SP2.

C'est parfaitement d'actualité,

des tas de machines sont encore infectées par ces vers, suffit de consulter
les logs de ton FW pour t'en rendre compte...

Faux.

Un peu léger comme argumentation : explique moi comment un ver de réseau

pourrait infecter une machine sans une action volontaire de l'utilisateur
si le FW est activé B-)
Quand tu parlais d'infection en te répondant je ne fesais pas référence au

ver particulièrement ...

C'était l'objet du post : infection de Windows après une fresh install

qui active le FW : je maintiens que l'infection est impossible en se
connectant au W3 si l'install est faite par défaut donc avec WF activé
sur toutes les interfaces.
Le reste n'est pas du ressort du FW qui n'empêchera jamais le
téléchargement et l'exécution d'un fichier : ce n'est pas son rôle.
Les vers/virus de courriers sont du ressort de l'AV, de même que ce que
tu télécharges par P2P ou autrement. A noter également que les
malwares reçus par courriers ne peuvent s'exécuter sans intervention de
l'utilisateur, de plus, l'utilisateur n'a même pas accès aux pièces
jointes potentiellement dangereuses avec l'install par défaut, de même
que le contenu actif potentiellement dangereux ne peut s'exécuter
(java, javascript, activeX, active scripting, etc...) .

--
http://www.optimix.be.tf MVP Windows Security
http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
Helping you void your warranty since 2000
---**ANTISPAM**---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(0)@ JacK

Sober est antérieur à ceux cités. Vundo n'est pas un ver de réseau.

Sober non plus, il s'envoie par courrier uniquement. A moins que soit
sortie une version que je ne connais pas.

La conversation tourne en rond, pour en conclure, je voudrais juste
citer l'exemple du PC de mon frère qui est récent (quelques mois, 3 ou 4
tout au plus) acheté à la FNAC comme n'importe quel toto user le ferai
... Sur lequel j'ai pus avec succès exploiter ceci :

http://www.k-otik.com/exploits/20041228.CMDExe.php

Des failles comme ça, chaque mois il y en a des dixaines ... Un user
peut sans rien télécharger, n'y rien accepter se voir infecter et cela
que tu le veuilles ou non ... C'est un fait ! Et prétendre que windows
tout droit sortie de son emballage est sécurisé c'est très marrant et ça
prouve que tu n'as jamais cherché plus loin que le bout de ton nez.

Oui, comme je l'avais dis le boulot du FW n'est pas de détecter les
injections en tout genre, on est d'accord je ne vois pas pourquoi tu
remets ça sur le tapis.

Je ne vois même pas comment on peut défendre la cause de FW de windows
en sachant qu'il ne fait que son boulot à moitier .. Certe c'est mieu
que rien mais tout de même ...

Bonne fin de week end.

Ba...

Sur Wanadoo, et d'autre, ils doivent simplement filtre les ports ou ce
propage ces vers...

Au lieu d'insulter, chercher plutôt une logique....
Si vous n'avez pas ce genre d'idée... d'autres les ont pour vous.

Pour éviter de se faire insulter il faut éviter les néo-trolls
du style Wanadoo c'est bien Free c'est mal.
Ce n'est pas le genre d'analyse que l'on est en droit d'attendre
d'un MVP.

--

in Gold we trust...

Michael Alves avait prétendu :

La conversation tourne en rond, pour en conclure, je voudrais juste citer
l'exemple du PC de mon frère qui est récent (quelques mois, 3 ou 4 tout au
plus) acheté à la FNAC comme n'importe quel toto user le ferai ... Sur lequel
j'ai pus avec succès exploiter ceci :

http://www.k-otik.com/exploits/20041228.CMDExe.php

Mais où est le rapport avec le firewall de Windows ou n'importe quel
autre ?

Des failles comme ça, chaque mois il y en a des dixaines ... Un user peut
sans rien télécharger, n'y rien accepter se voir infecter et cela que tu le
veuilles ou non ... C'est un fait ! Et prétendre que windows tout droit
sortie de son emballage est sécurisé c'est très marrant et ça prouve que tu
n'as jamais cherché plus loin que le bout de ton nez.

Des dizaines, non, des failles il y en a en effet sur tous les OS.

Je ne t'ai pas dit que Windows était à l'abri de tout avec une fresh
install du SP2 ! J'ai dit que tu ne pouvais être infecté
automatiquement en te connectant au W3 après l'installation. Ça ne
dispense évidemment pas de faire les MAJ de sécurité (qui se feront
automatiquement avec l'install par défaut) après l'installation mais
que tu pourras le faire sans risque d'être infecté /automatiquement/
par le simple fait de te connecter au W3. Bien sûr qu'il faut mettre
l'OS à jour, installer un AV, etc... *avant* toute autre chose.

Oui, comme je l'avais dis le boulot du FW n'est pas de détecter les
injections en tout genre, on est d'accord je ne vois pas pourquoi tu remets
ça sur le tapis.

Tout simplement parce que c'est le propos du post : il est prétendu

qu'une fresh install est vérolée dans les 30 " après la première
connexion.

Je ne vois même pas comment on peut défendre la cause de FW de windows en
sachant qu'il ne fait que son boulot à moitier .. Certe c'est mieu que rien
mais tout de même ...

Je ne défends rien du tout : je sais que WF ne filtre que le IN B-) ce

qui est insuffisant comme mesure si elle est utilisée seule. Je
signale simplement que WF + un bloqueur (et j'utilise aussi une
stratégie de sécurité IP sur Ordinateur local qui n'apporte pas une
protection supplémentaire mais pourrait palier à la désactivation
fortuite de n'importe quel FW, MS ou tiers - il y a des tas de malwares
qui désactivent les FW tiers, très peu qui désactivent WF) .

Une autre solution est en effet d'utiliser un FW applicatif. C'est
cependant moins sûr que WF si utilisé avec un bloqueur tel System
Satety Monitor. ien n'empêche non plus d'utiliser un FW tiers avec SSM
d'ailleurs.

WF ne fait pas son boulot à moitié : son boulot est de filtrer le IN
et uniquement le IN, ce n'est un secrêt pour personne et uniquement le
IN et il le fait parfaitement, mieux que certains FW tiers qui ne
permettent pas toujours d'être stealth pour tous les ports lors d'un
remote scan...
Si tu désires filtrer le IN et le OUT, il y a assez de produits sur le
marché pour le faire. En principe, le FW qui équipera LH filtrera le
IN et le OUT et il s'élèvera sans nulle doute des voix pour dire que MS
abuse de sa position dominante pour distribuer son FW au détriment de
la concurrence...

--
http://www.optimix.be.tf MVP Windows Security
http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
Helping you void your warranty since 2000
---**ANTISPAM**---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(0)@ JacK

Le 20/02/2005 16:27, Michael Alves écrivait :

La conversation tourne en rond, pour en conclure, je voudrais juste
citer l'exemple du PC de mon frère qui est récent (quelques mois, 3 ou 4
tout au plus) acheté à la FNAC comme n'importe quel toto user le ferai
... Sur lequel j'ai pus avec succès exploiter ceci :

http://www.k-otik.com/exploits/20041228.CMDExe.php

et pourquoi irait-il sur une page www contenant ce code après avoir
acheté son ordi ? L'infobulle WinUpdate (oui, K-Otik publie après) aura
déjà apparu ces "3 ou 4 mois" non ? Et même, tomber par malchance sur ce
genre d'exploit en surfant, faut vraiment le chercher, ce qui est très
loin des surfs du commun des ménager(ère)s de +- 50 ans

C'est pas comme Blaster, que j'ai vécu en réel, tchatant avec une
canadienne :), depuis, le conscient collectif SAIT qu'il faut mettre à
jour son OS. De toute façon (voir ci-dessus ---> la bulle jaune comme
ils(elles) disent) faut pas paranoïer (cherchez pas dans le dico, je
pose un ©)
.
--
Steph
Enlever l'.adressebidon.invalid pour m'écrire

Je n'ai JAMAIS dit un truc pareil.... '(quoi que... pour Norton Antivirus..
j'ai déjà du le dire.. ;-) )

Je constate simplement un fait....
Je dépanne beaucoup de Pc... et je constate ce phénomène chez Free
UNIQUEMENT, pas vus chez Wanadoo, Noos, CHello, Club-Internet..

--

Fabrice
Microsoft MVP
http://www.fab3d.fr.st
Faq Windows XP :
http://a.vouillon.online.fr/faq-winxp.htm

"Frappe avec ta tête"

"Lee Gwann" <lee.gwann@reptile.org> a écrit dans le message de news:
4218b6c1$0$15793$626a14ce@news.free.fr...

Ba...

Sur Wanadoo, et d'autre, ils doivent simplement filtre les ports ou ce
propage ces vers...

Au lieu d'insulter, chercher plutôt une logique....
Si vous n'avez pas ce genre d'idée... d'autres les ont pour vous.

Pour éviter de se faire insulter il faut éviter les néo-trolls
du style Wanadoo c'est bien Free c'est mal.
Ce n'est pas le genre d'analyse que l'on est en droit d'attendre
d'un MVP.

--

in Gold we trust...