Techniques Generique (etait : Re: [HS] HS mais ça fait plaisir)

Le
NO_eikaewt_SPAM
[Comme ca a bien devie du sujet initial et que la liste de
references/l'anciennete du fil donnent du mal a mon web2news, je me permet
d'initier un nouveau fil]

indyjones@9online.fr a écrit :

>> Il ne faut pas confondre blocage avant exécution et blocage après
>> exécution.
> On est bien d'accord.

> J'ai du mal à croire que Symantec ait opté pour une solution de
>blocage "après exécution". Ca va à l'encontre de TOUTES les règles de
> sécurité. Pouvez-vous me dire où vous avez vu que le système de
> détection de Symantec travaillait "après exécution" ?

Symantec, je ne sais pas, mais pour NAI, il semblerait bien que ce soit le
cas.

http://us.mcafee.com/root/package.asp?pkgid0
"New! WormStopper™
WormStopper stops mass-mailing worms like Sobig by detecting activity that
may indicate a new, undetected worm is active on your PC. Like email sent
to more than 40 recipients or more than five emails sent in less than 30
seconds. "

Voir aussi :

http://www.hpl.hp.com/techreports/2002/HPL-2002-172.pdf

> Pas sûr : ça dépend de l'introduction de fonctions de blocage "avant
> détection". Dans ce cas, il ne peut y avoir infection.

Dans ce cas la, les fonctions de blocage n'ont rien de "comportemental",
ce qui etait je le rappelle a l'origine de la discussion. Pour que ce soit
"comportemental" il faut executer ou emuler le programme.

> Cas concret pour quasiment tous les Netky : il suffit que l'antivirus
> bloque tout téléchargement de mails avec en PJ un .PIF. Ou toute
> tentative d'exécution de la PJ suspecte. Et dans ce cas, bye bye la
> menace NetSky (et bien d'autres passage)

Voui, c'est simple et efficace, mais ca devie fortement du "blocage
comportemental" de Norton. Et puis il faut bien laisser passer les .zip,
quand meme.

> D'après les discussions que j'ai pu voir ou avoir avec de nombreux
> responsables de sécurité en grands comptes (et je dis bien GRANDS
> comptes),

Heules GRANDS comptes, c'est bien la ou travaillent les petits c* ?
(bon, d'accord, c'est gratuit, c'est trollesque, mais c'etait trop
tentant).

> De nouvelles approches sont en train d'être évaluées, plus globales.
> C'est ce qu'on appelle un saut technologique.

Bah, pour le moment ca reste un peu du blabla pipotique. Non pas que je
sois un grand fan des signatures, loin de la, mais vous restez un peu
vague, quand meme.

> Mais loin de moi l'idée de réveiller un troll. C'est un simple
> constat, chez les utilisateurs et les professionnels de la sécurité

Bah. Vous savez, ici les trolls ne dorment jamais que d'un oeil

--
Tweakie


--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Frederic Bonroy
Le #1477898
Tweakie wrote:

http://us.mcafee.com/root/package.asp?pkgid0
"New! WormStopper? WormStopper stops mass-mailing worms like Sobig by
detecting activity that may indicate a new, undetected worm is active on
your PC. Like email sent to more than 40 recipients or more than five
emails sent in less than 30 seconds. "


Héhéhé... je n'ose pas imaginer ce qui se passe chez des gens qui comme
moi écrivent plusieurs messages - peut-être plus de 5 - hors ligne pour
les envoyer tous à la fois. :-)

Quant au nombre 40, m'intéresserait de savoir comment ils l'ont choisi.
Parce que 39 destinataires, c'est normal? Faudrait savoir quels sont les
critères exacts.

indyjones
Le #1475649
Depuis le temps que je lis ce forum, je trouve Roland toujours égal à
lui même sur cette réponse (que je réintègre dans le nouveau fil :
faich' d'aller chercher aussi loin dans le fouilli.
Frédéric Bonroy a été plus clair dans sa réponse :-)
On reprend donc :

Roland Garcia Si.
Encore une coupure franche et sauvage qui dénature ma réponse. Et donc

qui n'apporte rien à la discussion à part avoir le dernier mot (je te
tiens, tu me tiens).

Rien à voir avec une fonction anti-virale et donc un anti-virus,
c'est

du Safe Hex pouvant d'ailleurs être automatisé au niveau des
logiciels

de messagerie, on utilise ça ici depuis longtemps.
Visiblement, c'est loin d'être le cas de tout le monde. Sinon on ne

recevrait pas tant de virus en ce moment :-) (chez moi, environ 10%
des 250 spams et assimilés par jour - vraiment gonflant).
Et le Safe Hex, méthode générique à mes yeux, fait TOTALEMENT partie
des fonctions anti-virales et devrait donc être, à ce sens, intégré
dans TOUS les antivirus. C'est d'ailleurs ce qu'il ressort globalement
de la suite du fil dans le thread original...

D'après les discussions que j'ai pu voir ou avoir avec de nombreux
responsables de sécurité en grands comptes (et je dis bien GRANDS
comptes), la mise à jour d'antivirus semble être une technologie
dont


les jours sont comptés :
C'est absolument impossible.

Mémoire sélective ? Parmi ces discussions, il y a un message qui a été

posté sur une mailing list à laquelle VOUS êtes abonné :-) Cherchez
bien...

L'administration ce n'est pas un grand compte peut-être ?
"4- SOLUTION 10. Pour cela mettez régulièrement à jour vos antivirus"
http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-084/index.html.2.html
Ce n'est pas ce que j'ai dit au début.

Je n'ai pas dit que les grands comptes voulaient arrêter de mettre à
jour les signatures de leurs AV. J'ai dit qu'il y avait des grands
comptes qui commençaient à en avoir MARRE de mettre à jour leurs AV
toutes les poignées d'heures et de toujours laisser passer des virus.
Qu'ils estimaient que ces solutions étaient économiquement
contre-productives et techniquement de plus en plus difficiles à
mettre en oeuvre sur de vastes sites (et même, pas si vastes que ça
puisqu'un d'entre eux m'a fait la remarque pour 600 postes environ
sous NAV) pour de multiples raisons.

Donc, Roland, merci de ne pas dévier de l'intervention originale (même
si je sais pertinement que c'est votre spécialité dans les trolls et
que ça contribue grandement à les faire grossir)...

Intox, les anti-virus se mettent à jour tous seuls depuis longtemps sans
l'intervention de personne et je n'ai jamais eu d'infection sur mon
réseau depuis des années.
Combien de postes, votre réseau ?

En outre, même s'ils se mettent à jour tout seuls (ce qui est vrai),
ça bouffe de la bande passante et ça n'empêche pas les virus de passer
(cf les interventions de Guy Decoux/ts qui ont suivi et que j'approuve
totalement).
C'est donc tout sauf de l'intox ! Et ce, quel que soit l'antivirus
(chez Guy, KAV)

Première nouvelle, ce n'est pas plutôt l'invention de l'eau tiède ?
Je n'en veux pour preuve que l'introduction de multiples méthodes

génériques pour se débarrasser une fois pour toutes de familles
entières de virus. Réinvention de l'eau tiède peut être, mais ce peut
être aujourd'hui autrement plus efficace que les signatures seules ou
même couplées à de l'heuristique.
Regardez NetSky : une nouvelle version par jour et une nouvelle
signature. A quoi ça rime ? Et au bout d'un mois, TOUS les éditeurs
sont en retard pendant plusieurs heures d'au moins une signature. Et
donc défaits par le virus. Sauf ceux qui ont trouvé des méthodes
génériques pour le bloquer EN AMONT.

Mais ne pas prétendre au XXIème siècle pouvoir réaliser la quadrature du
cercle.
MDR. No comment parce que ça ne fait pas avancer.


A ce stade ce n'est plus du troll mais de l'intox.
Ca me rappelle un film avec Mel Gibson. MDR aussi...

La théorie du complot selon RG :-)


Roland Garcia
Le #1475648
Depuis le temps que je lis ce forum, je trouve Roland toujours égal à
lui même sur cette réponse (que je réintègre dans le nouveau fil :


Ce qui constant ici c'est l'apparition régulière d'anonymes qui viennent
nous *vendre* l'eau tiède.


Rien à voir avec une fonction anti-virale et donc un anti-virus,
c'est

du Safe Hex pouvant d'ailleurs être automatisé au niveau des
logiciels

de messagerie, on utilise ça ici depuis longtemps.


Visiblement, c'est loin d'être le cas de tout le monde.


Problème d'information du public, et avec des gens comme vous on n'est
pas rendus.


Et le Safe Hex, méthode générique à mes yeux, fait TOTALEMENT partie
des fonctions anti-virales et devrait donc être, à ce sens, intégré
dans TOUS les antivirus.


Pas du tout, à chacun son métier et tout ira pour le mieux. Le filtrage
des exécutables dans les messages c'est le métier des logiciels de
messagerie, pas celui des anti-virus.

[couic du reste du troll].


Roland Garcia


Roland Garcia
Le #1475645

D'après les discussions que j'ai pu voir ou avoir avec de nombreux
responsables de sécurité en grands comptes (et je dis bien GRANDS
comptes), la mise à jour d'antivirus semble être une technologie



dont

les jours sont comptés :


C'est absolument impossible.


Mémoire sélective ? Parmi ces discussions, il y a un message qui a été
posté sur une mailing list à laquelle VOUS êtes abonné :-) Cherchez
bien...


Quelle date et quelle heure ce fameux message ?

Roland Garcia



Ewa (siostra Ani) N.
Le #1128877

Et le Safe Hex, méthode générique à mes yeux, fait TOTALEMENT partie
des fonctions anti-virales et devrait donc être, à ce sens, intégré
dans TOUS les antivirus.


C'est quoi pour vous le safe hex, pardon ?

Qu'ils estimaient que ces solutions étaient économiquement
contre-productives et techniquement de plus en plus difficiles à
mettre en oeuvre sur de vastes sites (et même, pas si vastes que ça
puisqu'un d'entre eux m'a fait la remarque pour 600 postes environ
sous NAV) pour de multiples raisons.


Lesquelles ?

En outre, même s'ils se mettent à jour tout seuls (ce qui est vrai),
ça bouffe de la bande passante


Et les vers, ça ne bouffe pas de la bande passante ?

et ça n'empêche pas les virus de passer


Ben si, ça les empêche, en très grande partie.

(cf les interventions de Guy Decoux/ts qui ont suivi et que j'approuve
totalement).
C'est donc tout sauf de l'intox ! Et ce, quel que soit l'antivirus
(chez Guy, KAV)

Première nouvelle, ce n'est pas plutôt l'invention de l'eau tiède ?
Je n'en veux pour preuve que l'introduction de multiples méthodes

génériques pour se débarrasser une fois pour toutes de familles
entières de virus. Réinvention de l'eau tiède peut être, mais ce peut
être aujourd'hui autrement plus efficace que les signatures seules ou
même couplées à de l'heuristique.
Regardez NetSky : une nouvelle version par jour et une nouvelle
signature. A quoi ça rime ? Et au bout d'un mois, TOUS les éditeurs
sont en retard pendant plusieurs heures d'au moins une signature. Et
donc défaits par le virus. Sauf ceux qui ont trouvé des méthodes
génériques pour le bloquer EN AMONT.



C'est ça le safe-hex, pour vous ? Celui que vous voulez "intégrer dans
TOUS les antivirus" ?



Ewcia


--
Niesz !


Roland Garcia
Le #1128746

Première nouvelle, ce n'est pas plutôt l'invention de l'eau tiède ?


Je n'en veux pour preuve que l'introduction de multiples méthodes
génériques pour se débarrasser une fois pour toutes de familles
entières de virus. Réinvention de l'eau tiède peut être, mais ce peut
être aujourd'hui autrement plus efficace que les signatures seules ou
même couplées à de l'heuristique.
Regardez NetSky : une nouvelle version par jour et une nouvelle
signature. A quoi ça rime ? Et au bout d'un mois, TOUS les éditeurs
sont en retard pendant plusieurs heures d'au moins une signature. Et
donc défaits par le virus. Sauf ceux qui ont trouvé des méthodes
génériques pour le bloquer EN AMONT.



Anerie hautement non scientifique, il filtre les exécutables attachés
pour l'un mais pas pour l'autre.

C'est ça le safe-hex, pour vous ? Celui que vous voulez "intégrer dans
TOUS les antivirus" ?


Troll indyjones est capable de battre Donovan Bailey sur un 100 m, mais
il lui attache d'abord un boulet de 10 Kg à chaque pied .....

Roland Garcia



Frederic Bonroy
Le #1128612
wrote:

Et le Safe Hex, méthode générique à mes yeux, fait TOTALEMENT partie
des fonctions anti-virales et devrait donc être, à ce sens, intégré
dans TOUS les antivirus.


Le safe hex est une ligne de conduite, une collection de conseils et
d'astuces. Ça n'est pas traduisible en un programme informatique.

ppc
Le #1128606
Frederic Bonroy wrote:
wrote:

Le safe hex est une ligne de conduite, une collection de conseils et
d'astuces. Ça n'est pas traduisible en un programme informatique.


Comment ça? Je me mords les doigs de vous répondre :-)

Frederic Bonroy
Le #1475615
ppc wrote:

Comment ça?


ppc, en tant que fidèle lectrice du présent forum, je suis
scan-da-li-sé que vous posiez cette question. Vous ne réussirez jamais
l'examen de fin de semestre de fcsv!

Je me mords les doigs de vous répondre :-)


(Aïe aïe aïe... j'vais encore m'faire engueuler) :-)

ppc
Le #1475599
Frederic Bonroy wrote:
ppc wrote:

Comment ça?



ppc, en tant que fidèle lectrice du présent forum, je suis
scan-da-li-sé que vous posiez cette question. Vous ne réussirez jamais
l'examen de fin de semestre de fcsv!

Je me mords les doigs de vous répondre :-)



(Aïe aïe aïe... j'vais encore m'faire engueuler) :-)


P't con va!


Publicité
Poster une réponse
Anonyme