CQFD, le danger c'est bien les trojans/backdoors (difficilement détectables) alors que les vers de messagerie ne posent justement aucun problème .....
Sauf celui d'encombrer le réseau voire saturer les serveurs de messagerie, ce qui fait que tout le monde (même ceux qui n'y sont pas sensibles) sont victimes.
Roland Garcia
CQFD, le danger c'est bien les trojans/backdoors (difficilement
détectables) alors que les vers de messagerie ne posent justement aucun
problème .....
Sauf celui d'encombrer le réseau voire saturer les serveurs de
messagerie, ce qui fait que tout le monde (même ceux qui n'y sont pas
sensibles) sont victimes.
CQFD, le danger c'est bien les trojans/backdoors (difficilement détectables) alors que les vers de messagerie ne posent justement aucun problème .....
Sauf celui d'encombrer le réseau voire saturer les serveurs de messagerie, ce qui fait que tout le monde (même ceux qui n'y sont pas sensibles) sont victimes.
Roland Garcia
JacK
sur les news:, Roland Garcia signalait: [...]>
Quant aux solutions contre les chevaux de Troie il n'y en a pas cinquante mais deux, soit on analyse les nouveaux fichiers soit on a un scanner qui les reconnait, le reste, firewall etc.... étant contournable.
Pas deux mais trois : un moniteur/bloqueur du registre qui préviendra de
toute tentative de modification, même des dll injections et de injections de code dans un processus en cours s'il est performant. Plus efficace qu'un scanner qui est tributaire de sa DB et inefficace tant que la sig n'a pas été ajoutée, la détection heuristique étant ce qu'elle est et plus rapide que l'analyse des nouveaux fichiers. -- JacK
sur les news:4047C770.8050006@wanadoo.fr,
Roland Garcia <roland-garcia@wanadoo.fr> signalait:
[...]>
Quant aux solutions contre les chevaux de Troie il n'y en a pas
cinquante mais deux, soit on analyse les nouveaux fichiers soit on a
un scanner qui les reconnait, le reste, firewall etc.... étant
contournable.
Pas deux mais trois : un moniteur/bloqueur du registre qui préviendra de
toute tentative de modification, même des dll injections et de injections de
code dans un processus en cours s'il est performant. Plus efficace qu'un
scanner qui est tributaire de sa DB et inefficace tant que la sig n'a pas
été ajoutée, la détection heuristique étant ce qu'elle est et plus rapide
que l'analyse des nouveaux fichiers.
--
JacK
Quant aux solutions contre les chevaux de Troie il n'y en a pas cinquante mais deux, soit on analyse les nouveaux fichiers soit on a un scanner qui les reconnait, le reste, firewall etc.... étant contournable.
Pas deux mais trois : un moniteur/bloqueur du registre qui préviendra de
toute tentative de modification, même des dll injections et de injections de code dans un processus en cours s'il est performant. Plus efficace qu'un scanner qui est tributaire de sa DB et inefficace tant que la sig n'a pas été ajoutée, la détection heuristique étant ce qu'elle est et plus rapide que l'analyse des nouveaux fichiers. -- JacK
Roland Garcia
sur les news:, Roland Garcia signalait: [...]>
Quant aux solutions contre les chevaux de Troie il n'y en a pas cinquante mais deux, soit on analyse les nouveaux fichiers soit on a un scanner qui les reconnait, le reste, firewall etc.... étant contournable.
Pas deux mais trois : un moniteur/bloqueur du registre qui préviendra de toute tentative de modification, même des dll injections et de injections de code dans un processus en cours s'il est performant.
Ca implique une analyse du nouveau fichier, l'utilisateur doit bien valider ou refuser l'EXE après s'être demandé ce qu'il fait. C'est exactement la même chose quand le firewall perso avertit d'une tentative de connexion.
En fait c'est pas deux mais une prise de décision: "c'est un trojan ou pas" ? et il n'en manque pas des logs qui modifient la BDR et qui communiquent.
Roland Garcia
sur les news:4047C770.8050006@wanadoo.fr,
Roland Garcia <roland-garcia@wanadoo.fr> signalait:
[...]>
Quant aux solutions contre les chevaux de Troie il n'y en a pas
cinquante mais deux, soit on analyse les nouveaux fichiers soit on a
un scanner qui les reconnait, le reste, firewall etc.... étant
contournable.
Pas deux mais trois : un moniteur/bloqueur du registre qui préviendra de
toute tentative de modification, même des dll injections et de injections de
code dans un processus en cours s'il est performant.
Ca implique une analyse du nouveau fichier, l'utilisateur doit bien
valider ou refuser l'EXE après s'être demandé ce qu'il fait. C'est
exactement la même chose quand le firewall perso avertit d'une tentative
de connexion.
En fait c'est pas deux mais une prise de décision: "c'est un trojan ou
pas" ? et il n'en manque pas des logs qui modifient la BDR et qui
communiquent.
Quant aux solutions contre les chevaux de Troie il n'y en a pas cinquante mais deux, soit on analyse les nouveaux fichiers soit on a un scanner qui les reconnait, le reste, firewall etc.... étant contournable.
Pas deux mais trois : un moniteur/bloqueur du registre qui préviendra de toute tentative de modification, même des dll injections et de injections de code dans un processus en cours s'il est performant.
Ca implique une analyse du nouveau fichier, l'utilisateur doit bien valider ou refuser l'EXE après s'être demandé ce qu'il fait. C'est exactement la même chose quand le firewall perso avertit d'une tentative de connexion.
En fait c'est pas deux mais une prise de décision: "c'est un trojan ou pas" ? et il n'en manque pas des logs qui modifient la BDR et qui communiquent.
Pourtant, la tendance la plus inquiétante en matière de sécurité informatique est bien cette mutation des virus-vers en chevaux de Troie, comme l'acquiesce Philippe Bourgeois, ingénieur sécurité au Cert-IST, le Centre de surveillance pour les secteurs de l'industrie, des services et du tertiaire.
Il faut comprendre que ce qui est inquiétant c'est l'évolution de la tendance vers la création de chevaux de Troie (transportés d'ailleurs par d'autres vecteurs), c'est ce qu'on dit ici depuis des années alors que pas mal d'éditeurs anti-virus négligeaient leur détection.
Jusqu'à nouvel ordre les vers ne mutent pas en trojans :-)
Quand je remets l'extrait dans son contexte, j'ai une toute autre lecture que vous : au lieu d'afficher des effets graphiques en guise de charge, les vers/virus ouvrent une backdoor par exemple.
«Pour une entreprise, le fait de recevoir un mass-mailer est moins grave que de voir ouvrir des backdoors, car cela permet de prendre le contrôle à distance d'une ou plusieurs machines. Cela engendre des risques de vol d'informations et d'utilisation des postes infectés pour réaliser d'autres attaques.»
CQFD, le danger c'est bien les trojans/backdoors (difficilement détectables) alors que les vers de messagerie ne posent justement aucun problème (détectables et arrêtés même sans anti-virus par ceux qui le veulent bien).
Quant aux solutions contre les chevaux de Troie il n'y en a pas cinquante mais deux, soit on analyse les nouveaux fichiers soit on a un scanner qui les reconnait, le reste, firewall etc.... étant contournable.
Vous oubliez de dire que le public n'a aucune raison d'ouvrir ces fichiers reçus par mail. Mais bon c'est pas avec ce conseil de bon sens que le commerce antivirus va tourner, hein ?
Bref en disant à peu près l'inverse de ces articles on commence à être dans la bonne voie.
Après avoir sorti les propos de leur contexte pour leur faire dire n'importe quoi, la petite attaque habituelle contre la presse qui va bien pour conclure... Amen !
Pourtant, la tendance la plus inquiétante en matière de sécurité
informatique est bien cette mutation des virus-vers en chevaux de
Troie, comme l'acquiesce Philippe Bourgeois, ingénieur sécurité au
Cert-IST, le Centre de surveillance pour les secteurs de l'industrie,
des services et du tertiaire.
Il faut comprendre que ce qui est inquiétant c'est l'évolution de la
tendance vers la création de chevaux de Troie (transportés d'ailleurs
par d'autres vecteurs), c'est ce qu'on dit ici depuis des années alors
que pas mal d'éditeurs anti-virus négligeaient leur détection.
Jusqu'à nouvel ordre les vers ne mutent pas en trojans :-)
Quand je remets l'extrait dans son contexte, j'ai une toute autre
lecture que vous : au lieu d'afficher des effets graphiques en guise
de charge, les vers/virus ouvrent une backdoor par exemple.
«Pour une entreprise, le fait de recevoir un mass-mailer est moins
grave que de voir ouvrir des backdoors, car cela permet de prendre le
contrôle à distance d'une ou plusieurs machines. Cela engendre des
risques de vol d'informations et d'utilisation des postes infectés
pour réaliser d'autres attaques.»
CQFD, le danger c'est bien les trojans/backdoors (difficilement
détectables) alors que les vers de messagerie ne posent justement aucun
problème (détectables et arrêtés même sans anti-virus par ceux qui le
veulent bien).
Quant aux solutions contre les chevaux de Troie il n'y en a pas
cinquante mais deux, soit on analyse les nouveaux fichiers soit on a un
scanner qui les reconnait, le reste, firewall etc.... étant
contournable.
Vous oubliez de dire que le public n'a aucune raison d'ouvrir ces
fichiers reçus par mail. Mais bon c'est pas avec ce conseil de bon
sens que le commerce antivirus va tourner, hein ?
Bref en disant à peu près l'inverse de ces articles on commence à être
dans la bonne voie.
Après avoir sorti les propos de leur contexte pour leur faire dire
n'importe quoi, la petite attaque habituelle contre la presse qui va
bien pour conclure... Amen !
Pourtant, la tendance la plus inquiétante en matière de sécurité informatique est bien cette mutation des virus-vers en chevaux de Troie, comme l'acquiesce Philippe Bourgeois, ingénieur sécurité au Cert-IST, le Centre de surveillance pour les secteurs de l'industrie, des services et du tertiaire.
Il faut comprendre que ce qui est inquiétant c'est l'évolution de la tendance vers la création de chevaux de Troie (transportés d'ailleurs par d'autres vecteurs), c'est ce qu'on dit ici depuis des années alors que pas mal d'éditeurs anti-virus négligeaient leur détection.
Jusqu'à nouvel ordre les vers ne mutent pas en trojans :-)
Quand je remets l'extrait dans son contexte, j'ai une toute autre lecture que vous : au lieu d'afficher des effets graphiques en guise de charge, les vers/virus ouvrent une backdoor par exemple.
«Pour une entreprise, le fait de recevoir un mass-mailer est moins grave que de voir ouvrir des backdoors, car cela permet de prendre le contrôle à distance d'une ou plusieurs machines. Cela engendre des risques de vol d'informations et d'utilisation des postes infectés pour réaliser d'autres attaques.»
CQFD, le danger c'est bien les trojans/backdoors (difficilement détectables) alors que les vers de messagerie ne posent justement aucun problème (détectables et arrêtés même sans anti-virus par ceux qui le veulent bien).
Quant aux solutions contre les chevaux de Troie il n'y en a pas cinquante mais deux, soit on analyse les nouveaux fichiers soit on a un scanner qui les reconnait, le reste, firewall etc.... étant contournable.
Vous oubliez de dire que le public n'a aucune raison d'ouvrir ces fichiers reçus par mail. Mais bon c'est pas avec ce conseil de bon sens que le commerce antivirus va tourner, hein ?
Bref en disant à peu près l'inverse de ces articles on commence à être dans la bonne voie.
Après avoir sorti les propos de leur contexte pour leur faire dire n'importe quoi, la petite attaque habituelle contre la presse qui va bien pour conclure... Amen !
-- Olivier Aichelbaum
Roland Garcia
Vous oubliez de dire que le public n'a aucune raison d'ouvrir ces fichiers reçus par mail.
Vous confondez avec le contenu de l'article, moi je l'ai dit et même écrit.
Mais bon c'est pas avec ce conseil de bon sens que le commerce antivirus va tourner, hein ?
CQFD.
Roland Garcia
Vous oubliez de dire que le public n'a aucune raison d'ouvrir ces
fichiers reçus par mail.
Vous confondez avec le contenu de l'article, moi je l'ai dit et même
écrit.
Mais bon c'est pas avec ce conseil de bon
sens que le commerce antivirus va tourner, hein ?
Vous oubliez de dire que le public n'a aucune raison d'ouvrir ces fichiers reçus par mail.
Vous confondez avec le contenu de l'article, moi je l'ai dit et même écrit.
Mais bon c'est pas avec ce conseil de bon sens que le commerce antivirus va tourner, hein ?
CQFD.
Roland Garcia
Olivier Aichelbaum
Roland Garcia wrote:
Vous oubliez de dire que le public n'a aucune raison d'ouvrir ces fichiers reçus par mail.
Vous confondez avec le contenu de l'article, moi je l'ai dit et même écrit.
Parce que vous confondez un article d'actualité qui fait un constat d'une situation, avec un article pratique qui explique comment lutter contre les virus.
Tiens, je viens de réaliser un truc :
"(*) Un résumé du rapport "GoodLuck" a été publié dans la revue Virus Bulletin en juin 2003 ("The scalable stealth trojan: an upcoming danger" - accès payant). Et des parties développées ont été publiées dans la revue spécialisée française MISC, dans ses numéros 10 et 11 de novembre 2003 et janvier 2004 (diffusion également payante)."
Y a quelques jours, vous avez dit du bien de ces articles de Misc et Virus Bulletin issus du rapport Goodluck, tout en l'ayant qualifié de hoax au préalable. hé hé !
-- Olivier Aichelbaum
Roland Garcia wrote:
Vous oubliez de dire que le public n'a aucune raison d'ouvrir ces
fichiers reçus par mail.
Vous confondez avec le contenu de l'article, moi je l'ai dit et même
écrit.
Parce que vous confondez un article d'actualité qui fait un constat
d'une situation, avec un article pratique qui explique comment lutter
contre les virus.
Tiens, je viens de réaliser un truc :
"(*) Un résumé du rapport "GoodLuck" a été publié dans la revue Virus
Bulletin en juin 2003 ("The scalable stealth trojan: an upcoming danger"
- accès payant). Et des parties développées ont été publiées dans la
revue spécialisée française MISC, dans ses numéros 10 et 11 de novembre
2003 et janvier 2004 (diffusion également payante)."
Y a quelques jours, vous avez dit du bien de ces articles de Misc et
Virus Bulletin issus du rapport Goodluck, tout en l'ayant qualifié de
hoax au préalable. hé hé !
Vous oubliez de dire que le public n'a aucune raison d'ouvrir ces fichiers reçus par mail.
Vous confondez avec le contenu de l'article, moi je l'ai dit et même écrit.
Parce que vous confondez un article d'actualité qui fait un constat d'une situation, avec un article pratique qui explique comment lutter contre les virus.
Tiens, je viens de réaliser un truc :
"(*) Un résumé du rapport "GoodLuck" a été publié dans la revue Virus Bulletin en juin 2003 ("The scalable stealth trojan: an upcoming danger" - accès payant). Et des parties développées ont été publiées dans la revue spécialisée française MISC, dans ses numéros 10 et 11 de novembre 2003 et janvier 2004 (diffusion également payante)."
Y a quelques jours, vous avez dit du bien de ces articles de Misc et Virus Bulletin issus du rapport Goodluck, tout en l'ayant qualifié de hoax au préalable. hé hé !
-- Olivier Aichelbaum
JacK
sur les news:, Roland Garcia signalait:
sur les news:, Roland Garcia signalait: [...]>
Quant aux solutions contre les chevaux de Troie il n'y en a pas cinquante mais deux, soit on analyse les nouveaux fichiers soit on a un scanner qui les reconnait, le reste, firewall etc.... étant contournable.
Pas deux mais trois : un moniteur/bloqueur du registre qui préviendra de toute tentative de modification, même des dll injections et de injections de code dans un processus en cours s'il est performant.
Ca implique une analyse du nouveau fichier, l'utilisateur doit bien valider ou refuser l'EXE après s'être demandé ce qu'il fait. C'est exactement la même chose quand le firewall perso avertit d'une tentative de connexion.
En fait c'est pas deux mais une prise de décision: "c'est un trojan ou pas" ? et il n'en manque pas des logs qui modifient la BDR et qui communiquent.
Roland Garcia
Bien sûr, mais ça permettra au moins de repérer le trojan potentiel, éventuellement de le mettre en quarantaine qq jours si l'AV/AT n'a pas réagi et/ou de transmettre le suspect à son Aver préféré ;) . Analyser un PE n'est pas à la portée de l'utilisateur lambda et/ou demande du temps. Se fier aveuglément à un scanner quel qu'il soit n'est pas la panacée. -- JacK
sur les news:4047CFB5.20702@wanadoo.fr,
Roland Garcia <roland-garcia@wanadoo.fr> signalait:
sur les news:4047C770.8050006@wanadoo.fr,
Roland Garcia <roland-garcia@wanadoo.fr> signalait:
[...]>
Quant aux solutions contre les chevaux de Troie il n'y en a pas
cinquante mais deux, soit on analyse les nouveaux fichiers soit on a
un scanner qui les reconnait, le reste, firewall etc.... étant
contournable.
Pas deux mais trois : un moniteur/bloqueur du registre qui
préviendra de toute tentative de modification, même des dll
injections et de injections de code dans un processus en cours s'il
est performant.
Ca implique une analyse du nouveau fichier, l'utilisateur doit bien
valider ou refuser l'EXE après s'être demandé ce qu'il fait. C'est
exactement la même chose quand le firewall perso avertit d'une
tentative de connexion.
En fait c'est pas deux mais une prise de décision: "c'est un trojan ou
pas" ? et il n'en manque pas des logs qui modifient la BDR et qui
communiquent.
Roland Garcia
Bien sûr, mais ça permettra au moins de repérer le trojan potentiel,
éventuellement de le mettre en quarantaine qq jours si l'AV/AT n'a pas réagi
et/ou de transmettre le suspect à son Aver préféré ;) . Analyser un PE
n'est pas à la portée de l'utilisateur lambda et/ou demande du temps.
Se fier aveuglément à un scanner quel qu'il soit n'est pas la panacée.
--
JacK
Quant aux solutions contre les chevaux de Troie il n'y en a pas cinquante mais deux, soit on analyse les nouveaux fichiers soit on a un scanner qui les reconnait, le reste, firewall etc.... étant contournable.
Pas deux mais trois : un moniteur/bloqueur du registre qui préviendra de toute tentative de modification, même des dll injections et de injections de code dans un processus en cours s'il est performant.
Ca implique une analyse du nouveau fichier, l'utilisateur doit bien valider ou refuser l'EXE après s'être demandé ce qu'il fait. C'est exactement la même chose quand le firewall perso avertit d'une tentative de connexion.
En fait c'est pas deux mais une prise de décision: "c'est un trojan ou pas" ? et il n'en manque pas des logs qui modifient la BDR et qui communiquent.
Roland Garcia
Bien sûr, mais ça permettra au moins de repérer le trojan potentiel, éventuellement de le mettre en quarantaine qq jours si l'AV/AT n'a pas réagi et/ou de transmettre le suspect à son Aver préféré ;) . Analyser un PE n'est pas à la portée de l'utilisateur lambda et/ou demande du temps. Se fier aveuglément à un scanner quel qu'il soit n'est pas la panacée. -- JacK
Roland Garcia
Vous confondez avec le contenu de l'article, moi je l'ai dit et même écrit.
Parce que vous confondez un article d'actualité qui fait un constat d'une situation, avec un article pratique qui explique comment lutter contre les virus.
Intéressant. Tous ces éditeurs et personne capable d'expliquer comment il faut faire ?
Roland Garcia
Vous confondez avec le contenu de l'article, moi je l'ai dit et même
écrit.
Parce que vous confondez un article d'actualité qui fait un constat
d'une situation, avec un article pratique qui explique comment lutter
contre les virus.
Intéressant. Tous ces éditeurs et personne capable d'expliquer comment
il faut faire ?
Vous confondez avec le contenu de l'article, moi je l'ai dit et même écrit.
Parce que vous confondez un article d'actualité qui fait un constat d'une situation, avec un article pratique qui explique comment lutter contre les virus.
Intéressant. Tous ces éditeurs et personne capable d'expliquer comment il faut faire ?
Roland Garcia
Roland Garcia
Y a quelques jours, vous avez dit du bien de ces articles de Misc et Virus Bulletin issus du rapport Goodluck
Tout à fait, Nicob est d'ailleurs allé plus loin en démontrant en pratique qu'il était impossible de détecter l'action d'une certaine backdoor à priori.
Il faut donc la détecter à postériori en intégrant la signature de son fichier dans une base virale. C'est de la simple théorie des virus/trojans développée par Fred Cohen en 1984.
Roland Garcia
Y a quelques jours, vous avez dit du bien de ces articles de Misc et
Virus Bulletin issus du rapport Goodluck
Tout à fait, Nicob est d'ailleurs allé plus loin en démontrant en
pratique qu'il était impossible de détecter l'action d'une certaine
backdoor à priori.
Il faut donc la détecter à postériori en intégrant la signature de son
fichier dans une base virale. C'est de la simple théorie des
virus/trojans développée par Fred Cohen en 1984.
Y a quelques jours, vous avez dit du bien de ces articles de Misc et Virus Bulletin issus du rapport Goodluck
Tout à fait, Nicob est d'ailleurs allé plus loin en démontrant en pratique qu'il était impossible de détecter l'action d'une certaine backdoor à priori.
Il faut donc la détecter à postériori en intégrant la signature de son fichier dans une base virale. C'est de la simple théorie des virus/trojans développée par Fred Cohen en 1984.
Roland Garcia
Olivier Aichelbaum
Roland Garcia wrote:
Parce que vous confondez un article d'actualité qui fait un constat d'une situation, avec un article pratique qui explique comment lutter contre les virus.
Intéressant. Tous ces éditeurs et personne capable d'expliquer comment il faut faire ?
Ils ont des rubriques actualités, téléchargement, etc. Allez dans la bonne rubrique si vous cherchez autre chose.
-- Olivier Aichelbaum
Roland Garcia wrote:
Parce que vous confondez un article d'actualité qui fait un constat
d'une situation, avec un article pratique qui explique comment lutter
contre les virus.
Intéressant. Tous ces éditeurs et personne capable d'expliquer comment
il faut faire ?
Ils ont des rubriques actualités, téléchargement, etc.
Allez dans la bonne rubrique si vous cherchez autre chose.
Parce que vous confondez un article d'actualité qui fait un constat d'une situation, avec un article pratique qui explique comment lutter contre les virus.
Intéressant. Tous ces éditeurs et personne capable d'expliquer comment il faut faire ?
Ils ont des rubriques actualités, téléchargement, etc. Allez dans la bonne rubrique si vous cherchez autre chose.