Techniques Generique (etait : Re: [HS] HS mais ça fait plaisir)
33 réponses
NO_eikaewt_SPAM
[Comme ca a bien devie du sujet initial et que la liste de
references/l'anciennete du fil donnent du mal a mon web2news, je me permet
d'initier un nouveau fil]
indyjones@9online.fr a écrit :
>> Il ne faut pas confondre blocage avant exécution et blocage après
>> exécution.
> On est bien d'accord.
> J'ai du mal à croire que Symantec ait opté pour une solution de
>blocage "après exécution". Ca va à l'encontre de TOUTES les règles de
> sécurité. Pouvez-vous me dire où vous avez vu que le système de
> détection de Symantec travaillait "après exécution" ?
Symantec, je ne sais pas, mais pour NAI, il semblerait bien que ce soit le
cas.
http://us.mcafee.com/root/package.asp?pkgid=100
"New! WormStopper
WormStopper stops mass-mailing worms like Sobig by detecting activity that
may indicate a new, undetected worm is active on your PC. Like email sent
to more than 40 recipients or more than five emails sent in less than 30
seconds. "
> Pas sûr : ça dépend de l'introduction de fonctions de blocage "avant
> détection". Dans ce cas, il ne peut y avoir infection.
Dans ce cas la, les fonctions de blocage n'ont rien de "comportemental",
ce qui etait je le rappelle a l'origine de la discussion. Pour que ce soit
"comportemental" il faut executer ou emuler le programme.
> Cas concret pour quasiment tous les Netky : il suffit que l'antivirus
> bloque tout téléchargement de mails avec en PJ un .PIF. Ou toute
> tentative d'exécution de la PJ suspecte. Et dans ce cas, bye bye la
> menace NetSky (et bien d'autres passage)...
Voui, c'est simple et efficace, mais ca devie fortement du "blocage
comportemental" de Norton. Et puis il faut bien laisser passer les .zip,
quand meme.
> D'après les discussions que j'ai pu voir ou avoir avec de nombreux
> responsables de sécurité en grands comptes (et je dis bien GRANDS
> comptes),
Heu...les GRANDS comptes, c'est bien la ou travaillent les petits c* ?
(bon, d'accord, c'est gratuit, c'est trollesque, mais c'etait trop
tentant).
> De nouvelles approches sont en train d'être évaluées, plus globales.
> C'est ce qu'on appelle un saut technologique.
Bah, pour le moment ca reste un peu du blabla pipotique. Non pas que je
sois un grand fan des signatures, loin de la, mais vous restez un peu
vague, quand meme.
> Mais loin de moi l'idée de réveiller un troll. C'est un simple
> constat, chez les utilisateurs et les professionnels de la sécurité...
Bah. Vous savez, ici les trolls ne dorment jamais que d'un oeil...
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
J'ai cherché dans mes archives mais ne l'ai pas trouvé : pas assez conservateur on dirait. Mais si vous conservez tout, vous n'aurez aucun mal à le retrouver. L'échange date d'il y a moins de six mois... Je maintiens la position néanmoins !
Cherchez dans les archives de la ml en question...
Et en ayant à l'esprit les affirmations avancées:
"D'après les discussions que j'ai pu voir ou avoir avec de nombreux responsables de sécurité en grands comptes (et je dis bien GRANDS comptes), la mise à jour d'antivirus semble être une technologie dont *les jours sont comptés*"
?????
"*De nouvelles approches* sont en train d'être évaluées, plus globales. C'est ce qu'on appelle un saut technologique."
Tiens donc :-(
Roland Garcia
J'ai cherché dans mes archives mais ne l'ai pas trouvé : pas assez
conservateur on dirait. Mais si vous conservez tout, vous n'aurez
aucun mal à le retrouver. L'échange date d'il y a moins de six mois...
Je maintiens la position néanmoins !
Cherchez dans les archives de la ml en question...
Et en ayant à l'esprit les affirmations avancées:
"D'après les discussions que j'ai pu voir ou avoir avec de nombreux
responsables de sécurité en grands comptes (et je dis bien GRANDS
comptes), la mise à jour d'antivirus semble être une technologie dont
*les jours sont comptés*"
?????
"*De nouvelles approches* sont en train d'être évaluées, plus globales.
C'est ce qu'on appelle un saut technologique."
J'ai cherché dans mes archives mais ne l'ai pas trouvé : pas assez conservateur on dirait. Mais si vous conservez tout, vous n'aurez aucun mal à le retrouver. L'échange date d'il y a moins de six mois... Je maintiens la position néanmoins !
Cherchez dans les archives de la ml en question...
Et en ayant à l'esprit les affirmations avancées:
"D'après les discussions que j'ai pu voir ou avoir avec de nombreux responsables de sécurité en grands comptes (et je dis bien GRANDS comptes), la mise à jour d'antivirus semble être une technologie dont *les jours sont comptés*"
?????
"*De nouvelles approches* sont en train d'être évaluées, plus globales. C'est ce qu'on appelle un saut technologique."
Tiens donc :-(
Roland Garcia
indyjones
Pour couper court aux 5 messages qui indiquent qu'en ligne, il y a tout ce qu'il faut : Prenons une boîte d'AV. Ouvrons-la. Je voudrais y trouver une doc claire et en papier, impossible à rater et aussi attrayante que possible pour inciter l'acheteur à la consulter. Surtout ceux qui ne connaissent rien en informatique (une minorité ici, mais une majorité dans la vraie vie). Une doc qu'il faudrait si possible lire pour pouvoir accéder au CD (il doit bien y avoir des astuces de pliage/emballage pour ça). Avec ça, les utilisateurs seraient prévenus. Plutôt que d'aller chercher sur le web alors que nombreux sont ceux à à peine connaître l'existance de google (non : je ne plaisante pas. La majorité des débutants en informatique que je connais ne savent pas faire fonctionner google, donc les conseils condescendants de certains peuvent retourner d'où ils viennent)...
Et bien, sauf erreur de ma part (mais j'ai vu l'intérieur des boîtes d'une majorité des dernières générations d'AV), une telle doc N'EXISTE PAS...
Pour couper court aux 5 messages qui indiquent qu'en ligne, il y a
tout ce qu'il faut :
Prenons une boîte d'AV.
Ouvrons-la.
Je voudrais y trouver une doc claire et en papier, impossible à rater
et aussi attrayante que possible pour inciter l'acheteur à la
consulter. Surtout ceux qui ne connaissent rien en informatique (une
minorité ici, mais une majorité dans la vraie vie).
Une doc qu'il faudrait si possible lire pour pouvoir accéder au CD (il
doit bien y avoir des astuces de pliage/emballage pour ça).
Avec ça, les utilisateurs seraient prévenus. Plutôt que d'aller
chercher sur le web alors que nombreux sont ceux à à peine connaître
l'existance de google (non : je ne plaisante pas. La majorité des
débutants en informatique que je connais ne savent pas faire
fonctionner google, donc les conseils condescendants de certains
peuvent retourner d'où ils viennent)...
Et bien, sauf erreur de ma part (mais j'ai vu l'intérieur des boîtes
d'une majorité des dernières générations d'AV), une telle doc N'EXISTE
PAS...
Pour couper court aux 5 messages qui indiquent qu'en ligne, il y a tout ce qu'il faut : Prenons une boîte d'AV. Ouvrons-la. Je voudrais y trouver une doc claire et en papier, impossible à rater et aussi attrayante que possible pour inciter l'acheteur à la consulter. Surtout ceux qui ne connaissent rien en informatique (une minorité ici, mais une majorité dans la vraie vie). Une doc qu'il faudrait si possible lire pour pouvoir accéder au CD (il doit bien y avoir des astuces de pliage/emballage pour ça). Avec ça, les utilisateurs seraient prévenus. Plutôt que d'aller chercher sur le web alors que nombreux sont ceux à à peine connaître l'existance de google (non : je ne plaisante pas. La majorité des débutants en informatique que je connais ne savent pas faire fonctionner google, donc les conseils condescendants de certains peuvent retourner d'où ils viennent)...
Et bien, sauf erreur de ma part (mais j'ai vu l'intérieur des boîtes d'une majorité des dernières générations d'AV), une telle doc N'EXISTE PAS...
indyjones
Roland Garcia wrote in message news:<c6ld2b$oq7$...
Roland Garcia wrote in message news:...
C'est marrant : ça ne vous gène que dans un sens :-) J'en doute.
No comment :-D
4 messages et déjà des attaques directes. Ca n'aide pas à appaiser le newsgroup... La seule chose qui énerve ce newsgroup c'est la diffusion de
contre-vérités. "Ce newsgroup" est synonyme de R.G. ? Contre-vérités ? Vous avez vu ça
où ? J'explique, tout comme vous si je dois vous croire, que des techniques "génériques" (au sens de safe hex) permettent de se protéger de la majorité des virus. Et ce sont des contres vérités ? Vous êtes alors le premier à en envoyer, alors :-)
Et une intox de plus, une. Rabacher les bonnes conduites à tenir est *exactement* ce que je fais depuis des années: http://www.cnrs.fr/Infosecu/num41.pdf Oups : excusez moi : j'ai dû les rater dans les milliers de posts
trollesques :-) My mistake !
TOUT LE MONDE les connaîtra quand généralement ON arrêtera de désinformer. Voir une dizaine de lignes plus haut...
Roland Garcia <roland-garcia@wanadoo.fr> wrote in message news:<c6ld2b$oq7$3@news-reader5.wanadoo.fr>...
Roland Garcia <roland-garcia@wanadoo.fr> wrote in message news:<408A9630.30205@wanadoo.fr>...
C'est marrant : ça ne vous gène que dans un sens :-)
J'en doute.
No comment :-D
4 messages et déjà des attaques directes. Ca n'aide pas à appaiser le
newsgroup...
La seule chose qui énerve ce newsgroup c'est la diffusion de
contre-vérités.
"Ce newsgroup" est synonyme de R.G. ? Contre-vérités ? Vous avez vu ça
où ? J'explique, tout comme vous si je dois vous croire, que des
techniques "génériques" (au sens de safe hex) permettent de se
protéger de la majorité des virus. Et ce sont des contres vérités ?
Vous êtes alors le premier à en envoyer, alors :-)
Et une intox de plus, une. Rabacher les bonnes conduites à tenir est
*exactement* ce que je fais depuis des années:
http://www.cnrs.fr/Infosecu/num41.pdf
Oups : excusez moi : j'ai dû les rater dans les milliers de posts
trollesques :-) My mistake !
TOUT LE MONDE les connaîtra quand généralement ON arrêtera de
désinformer.
Voir une dizaine de lignes plus haut...
Roland Garcia wrote in message news:<c6ld2b$oq7$...
Roland Garcia wrote in message news:...
C'est marrant : ça ne vous gène que dans un sens :-) J'en doute.
No comment :-D
4 messages et déjà des attaques directes. Ca n'aide pas à appaiser le newsgroup... La seule chose qui énerve ce newsgroup c'est la diffusion de
contre-vérités. "Ce newsgroup" est synonyme de R.G. ? Contre-vérités ? Vous avez vu ça
où ? J'explique, tout comme vous si je dois vous croire, que des techniques "génériques" (au sens de safe hex) permettent de se protéger de la majorité des virus. Et ce sont des contres vérités ? Vous êtes alors le premier à en envoyer, alors :-)
Et une intox de plus, une. Rabacher les bonnes conduites à tenir est *exactement* ce que je fais depuis des années: http://www.cnrs.fr/Infosecu/num41.pdf Oups : excusez moi : j'ai dû les rater dans les milliers de posts
trollesques :-) My mistake !
TOUT LE MONDE les connaîtra quand généralement ON arrêtera de désinformer. Voir une dizaine de lignes plus haut...
Roland Garcia
Je voudrais y trouver une doc claire et en papier, impossible à rater et aussi attrayante que possible pour inciter l'acheteur à la consulter. Surtout ceux qui ne connaissent rien en informatique (une minorité ici, mais une majorité dans la vraie vie). Une doc qu'il faudrait si possible lire pour pouvoir accéder au CD (il doit bien y avoir des astuces de pliage/emballage pour ça). Avec ça, les utilisateurs seraient prévenus. Plutôt que d'aller chercher sur le web alors que nombreux sont ceux à à peine connaître l'existance de google (non : je ne plaisante pas. La majorité des débutants en informatique que je connais ne savent pas faire fonctionner google, donc les conseils condescendants de certains peuvent retourner d'où ils viennent)...
Vous avez raison, ma boîte Microsoft XP (valant la peau des fesses) était pratiquement vide.
Roland Garcia
Je voudrais y trouver une doc claire et en papier, impossible à rater
et aussi attrayante que possible pour inciter l'acheteur à la
consulter. Surtout ceux qui ne connaissent rien en informatique (une
minorité ici, mais une majorité dans la vraie vie).
Une doc qu'il faudrait si possible lire pour pouvoir accéder au CD (il
doit bien y avoir des astuces de pliage/emballage pour ça).
Avec ça, les utilisateurs seraient prévenus. Plutôt que d'aller
chercher sur le web alors que nombreux sont ceux à à peine connaître
l'existance de google (non : je ne plaisante pas. La majorité des
débutants en informatique que je connais ne savent pas faire
fonctionner google, donc les conseils condescendants de certains
peuvent retourner d'où ils viennent)...
Vous avez raison, ma boîte Microsoft XP (valant la peau des fesses)
était pratiquement vide.
Je voudrais y trouver une doc claire et en papier, impossible à rater et aussi attrayante que possible pour inciter l'acheteur à la consulter. Surtout ceux qui ne connaissent rien en informatique (une minorité ici, mais une majorité dans la vraie vie). Une doc qu'il faudrait si possible lire pour pouvoir accéder au CD (il doit bien y avoir des astuces de pliage/emballage pour ça). Avec ça, les utilisateurs seraient prévenus. Plutôt que d'aller chercher sur le web alors que nombreux sont ceux à à peine connaître l'existance de google (non : je ne plaisante pas. La majorité des débutants en informatique que je connais ne savent pas faire fonctionner google, donc les conseils condescendants de certains peuvent retourner d'où ils viennent)...
Vous avez raison, ma boîte Microsoft XP (valant la peau des fesses) était pratiquement vide.
Roland Garcia
Roland Garcia
"Ce newsgroup" est synonyme de R.G. ? Contre-vérités ? Vous avez vu ça où ? J'explique, tout comme vous si je dois vous croire, que des techniques "génériques" (au sens de safe hex)
Ca ne veut rien dire.
permettent de se protéger de la majorité des virus. Et ce sont des contres vérités ?
Oui. Par ailleurs vous n'expliquez rien du tout.
Roland Garcia
"Ce newsgroup" est synonyme de R.G. ? Contre-vérités ? Vous avez vu ça
où ? J'explique, tout comme vous si je dois vous croire, que des
techniques "génériques" (au sens de safe hex)
Ca ne veut rien dire.
permettent de se
protéger de la majorité des virus. Et ce sont des contres vérités ?
"Ce newsgroup" est synonyme de R.G. ? Contre-vérités ? Vous avez vu ça où ? J'explique, tout comme vous si je dois vous croire, que des techniques "génériques" (au sens de safe hex)
Ca ne veut rien dire.
permettent de se protéger de la majorité des virus. Et ce sont des contres vérités ?
Oui. Par ailleurs vous n'expliquez rien du tout.
Roland Garcia
Roland Garcia
"Ce newsgroup" est synonyme de R.G. ? Contre-vérités ? Vous avez vu ça où ? J'explique, tout comme vous si je dois vous croire, que des techniques "génériques" (au sens de safe hex)
Ca ne veut rien dire.
Ou si vous préférez: La vodka (technique générique russe) vaccine parfaitement contre le paludisme en Russie (au sens safe hex).
permettent de se protéger de la majorité des virus. Et ce sont des contres vérités ?
Oui. Par ailleurs vous n'expliquez rien du tout.
Ou si vous préférez: La vodka permet de se protéger contre le paludisme en Afrique. Est ce une contre vérité ?
Roland Garcia
"Ce newsgroup" est synonyme de R.G. ? Contre-vérités ? Vous avez vu ça
où ? J'explique, tout comme vous si je dois vous croire, que des
techniques "génériques" (au sens de safe hex)
Ca ne veut rien dire.
Ou si vous préférez:
La vodka (technique générique russe) vaccine parfaitement contre le
paludisme en Russie (au sens safe hex).
permettent de se
protéger de la majorité des virus. Et ce sont des contres vérités ?
Oui. Par ailleurs vous n'expliquez rien du tout.
Ou si vous préférez:
La vodka permet de se protéger contre le paludisme en Afrique. Est ce
une contre vérité ?
"Ce newsgroup" est synonyme de R.G. ? Contre-vérités ? Vous avez vu ça où ? J'explique, tout comme vous si je dois vous croire, que des techniques "génériques" (au sens de safe hex)
Ca ne veut rien dire.
Ou si vous préférez: La vodka (technique générique russe) vaccine parfaitement contre le paludisme en Russie (au sens safe hex).
permettent de se protéger de la majorité des virus. Et ce sont des contres vérités ?
Oui. Par ailleurs vous n'expliquez rien du tout.
Ou si vous préférez: La vodka permet de se protéger contre le paludisme en Afrique. Est ce une contre vérité ?
Roland Garcia
indyjones
"Ewa (siostra Ani) N." wrote in message news:<408e39cf$0$17492$...
Cherchez dans les archives de la ml en question... Cherché et trouvé.
Ca date d'il y a un peu plus d'un mois. Grosso modo : les responsables sécurité ont une confiance très modérée depuis quelques semaines/mois dans la capacité de leurs AV à arrêter les virus, étant donnée la multiplication des variantes et le retard pris par les éditeurs pour les identifier et les incorporer correctement (j'insiste sur ce mot) à leurs produits. Ce que je disais au début :-) D'ailleurs : une seule question. Comment se fait-ce, alors que les AV sont tout de même les produits de sécurité les PLUS commercialisés (étude d'IDC de l'année dernière me semble-t-il), nous recevons de PLUS en PLUS de virus sur nos messageries ? Qui les envoie ? J'aimerai qu'on éclaire ma chandelle...
"Ewa (siostra Ani) N." <niesz@yahoo.com> wrote in message news:<408e39cf$0$17492$626a14ce@news.free.fr>...
Cherchez dans les archives de la ml en question...
Cherché et trouvé.
Ca date d'il y a un peu plus d'un mois.
Grosso modo : les responsables sécurité ont une confiance très modérée
depuis quelques semaines/mois dans la capacité de leurs AV à arrêter
les virus, étant donnée la multiplication des variantes et le retard
pris par les éditeurs pour les identifier et les incorporer
correctement (j'insiste sur ce mot) à leurs produits.
Ce que je disais au début :-)
D'ailleurs : une seule question. Comment se fait-ce, alors que les AV
sont tout de même les produits de sécurité les PLUS commercialisés
(étude d'IDC de l'année dernière me semble-t-il), nous recevons de
PLUS en PLUS de virus sur nos messageries ? Qui les envoie ?
J'aimerai qu'on éclaire ma chandelle...
"Ewa (siostra Ani) N." wrote in message news:<408e39cf$0$17492$...
Cherchez dans les archives de la ml en question... Cherché et trouvé.
Ca date d'il y a un peu plus d'un mois. Grosso modo : les responsables sécurité ont une confiance très modérée depuis quelques semaines/mois dans la capacité de leurs AV à arrêter les virus, étant donnée la multiplication des variantes et le retard pris par les éditeurs pour les identifier et les incorporer correctement (j'insiste sur ce mot) à leurs produits. Ce que je disais au début :-) D'ailleurs : une seule question. Comment se fait-ce, alors que les AV sont tout de même les produits de sécurité les PLUS commercialisés (étude d'IDC de l'année dernière me semble-t-il), nous recevons de PLUS en PLUS de virus sur nos messageries ? Qui les envoie ? J'aimerai qu'on éclaire ma chandelle...
Roland Garcia
"Ewa (siostra Ani) N." wrote in message news:<408e39cf$0$17492$...
Cherchez dans les archives de la ml en question...
Cherché et trouvé. Ca date d'il y a un peu plus d'un mois. Grosso modo :
Donnez une date permettant de vérifier des faits, pas une interprétation des faits.
Roland Garcia
"Ewa (siostra Ani) N." <niesz@yahoo.com> wrote in message news:<408e39cf$0$17492$626a14ce@news.free.fr>...
Cherchez dans les archives de la ml en question...
Cherché et trouvé.
Ca date d'il y a un peu plus d'un mois.
Grosso modo :
Donnez une date permettant de vérifier des faits, pas une interprétation
des faits.
"Ewa (siostra Ani) N." wrote in message news:<408e39cf$0$17492$...
Cherchez dans les archives de la ml en question...
Cherché et trouvé. Ca date d'il y a un peu plus d'un mois. Grosso modo :
Donnez une date permettant de vérifier des faits, pas une interprétation des faits.
Roland Garcia
NO_eikaewt_SPAM
wrote:
Cherché et trouvé.
Cool. Vous allez donc pouvoir nous indiquer le nom de la ML en question et le titre du message initial de la discussion, histoire qu'on puisse se mettre au parfum nous aussi !
En ce qui concerne l'utilisation de techniques "generiques" :
- Ca fait des plombes qu'on rabache ("on" qui inclut Roland et pas mal d'autres habitues de ce groupe) que le principal facteur responsable de la propagation des virus est le manque d'education des utilisateurs. Ca n'est meme pas des convertis que vous prechez, c'est des proselytes. Les precautions a prendre ne sont pas indiquees assez clairement sur les supports papiers fournis par les editeurs d'AV ? Je veux bien vous l'accorder, bien que je doute que cette mesure ait l'efficacite' que vous semblez attendre d'elle.
- D'un autre cote', vous nous dites que certaines pratiques de Safe-Hex peuvent etre automatisees. Vous citez le filtrage des pieces jointes executables. Absolument d'accord : filtrer les emails contenant des pieces jointes executables au niveau des passerelles mail est une pratique simple et efficace pour lutter contre les virus. Notez que certains AVs* ou firewall** personnels proposent aussi un tel filtrage/renommage des pieces jointes (certaines extensions / toutes les doubles extensions sont refusees), cette technique est donc accessible au simple particulier. Pas de desaccord majeur sur ce point la.
- Enfin, vous nous parlez de "saut technologique", vous predisez la fin prochaine des AVs a signature. La, je ne vous suis plus. J'ai la desagreable impression que vous restez volontairement dans le flou, que vous manquez cruellement d'arguments techniques pour appuyer vos assertions.
. On parle de "systeme de detection de type comportemental", vous suggerez que cette detection a lieu "avant execution". Je gage que vous ne serez pas en mesure d'indiquer comment l'AV (en l'occurence Norton) est sense' connaitre le *comportement* du programme avant de l'avoir execute' (emulation ? Sandbox ? "methodes formelles" ?).
. Vous nous dites que les solutions de blocage "apres execution" vont "a l'encontre de TOUTES les regles de securite'". J'en suis bien aise***. Toutefois, le role d'un antivirus est de determiner si oui ou non un programme est nocif. Si l'on exclut les signatures (en l'occurence, c'est vous qui les excluez) et l'ensemble des techniques "apres execution", que reste-t'il comme methodes pour savoir si un programme quelconque est sain ? - Les heuristiques ? Vous savez comme moi que ceux utilises par les AVs actuels ne sont pas assez performants pour procurer une determination a ~100% (loin s'en faut). - La prise d'empreinte ? C'est une methode de detection a-posteriori, et contraignante (faux-positifs). - Les listes blanches ? Ca ne permet pas de distinguer un programme sain d'un programme infecte' _lors de son introduction dans le systeme_. - Autre chose ? On vous ecoute.
En bref, je suis tres interesse' par toutes les informations techniques que vous pourriez fournir sur la nature de ce "saut technologique".
Merci d'avance,
-- Tweakie
*Norman propose par exemple:
Bloquer toutes les pieces jointes Bloquer les pieces jointes avec double extension Bloquer les extensions CLSID -----
0 Bloquer les pieces jointes listees ci-dessous 0 Bloquer toutes les pieces jointes sauf celles listees ci-dessous. [Chaines de caracteres avec wildcards, typiquement : *.pif ...]
** Outpost le fait. Il me semble que ZoneAlarm a quelque chose de similaire.
*** Notez tout de meme que cela exclut de fait les bloqueurs comme System Safety Monitor ou Process Guard, qui interceptent les appels a certaines fonctions de Windows et verifient que ceux-ci sont conformes a un ensemble de regles pre-etablies. En ce qui me concerne je ne dirais tout de meme pas que ces produits sont totalement inutiles.
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
indyjones@9online.fr wrote:
Cherché et trouvé.
Cool. Vous allez donc pouvoir nous indiquer le nom de la ML en
question et le titre du message initial de la discussion,
histoire qu'on puisse se mettre au parfum nous aussi !
En ce qui concerne l'utilisation de techniques "generiques" :
- Ca fait des plombes qu'on rabache ("on" qui inclut Roland
et pas mal d'autres habitues de ce groupe) que le principal
facteur responsable de la propagation des virus est le manque
d'education des utilisateurs. Ca n'est meme pas des convertis
que vous prechez, c'est des proselytes. Les precautions a
prendre ne sont pas indiquees assez clairement sur les
supports papiers fournis par les editeurs d'AV ? Je veux
bien vous l'accorder, bien que je doute que cette mesure
ait l'efficacite' que vous semblez attendre d'elle.
- D'un autre cote', vous nous dites que certaines pratiques
de Safe-Hex peuvent etre automatisees. Vous citez le filtrage
des pieces jointes executables. Absolument d'accord : filtrer
les emails contenant des pieces jointes executables au niveau
des passerelles mail est une pratique simple et efficace pour
lutter contre les virus. Notez que certains AVs* ou firewall**
personnels proposent aussi un tel filtrage/renommage des
pieces jointes (certaines extensions / toutes les doubles
extensions sont refusees), cette technique est donc accessible
au simple particulier. Pas de desaccord majeur sur ce point la.
- Enfin, vous nous parlez de "saut technologique", vous predisez
la fin prochaine des AVs a signature. La, je ne vous suis plus.
J'ai la desagreable impression que vous restez volontairement
dans le flou, que vous manquez cruellement d'arguments
techniques pour appuyer vos assertions.
. On parle de "systeme de detection de type comportemental",
vous suggerez que cette detection a lieu "avant execution".
Je gage que vous ne serez pas en mesure d'indiquer comment
l'AV (en l'occurence Norton) est sense' connaitre le *comportement*
du programme avant de l'avoir execute' (emulation ? Sandbox ?
"methodes formelles" ?).
. Vous nous dites que les solutions de blocage "apres
execution" vont "a l'encontre de TOUTES les regles de
securite'". J'en suis bien aise***. Toutefois, le role d'un
antivirus est de determiner si oui ou non un programme est
nocif. Si l'on exclut les signatures (en l'occurence, c'est
vous qui les excluez) et l'ensemble des techniques "apres
execution", que reste-t'il comme methodes pour savoir si
un programme quelconque est sain ?
- Les heuristiques ? Vous savez comme moi que ceux
utilises par les AVs actuels ne sont pas assez performants
pour procurer une determination a ~100% (loin s'en faut).
- La prise d'empreinte ? C'est une methode de detection
a-posteriori, et contraignante (faux-positifs).
- Les listes blanches ? Ca ne permet pas de distinguer
un programme sain d'un programme infecte' _lors de
son introduction dans le systeme_.
- Autre chose ? On vous ecoute.
En bref, je suis tres interesse' par toutes les informations
techniques que vous pourriez fournir sur la nature de ce "saut
technologique".
Merci d'avance,
--
Tweakie
*Norman propose par exemple:
Bloquer toutes les pieces jointes
Bloquer les pieces jointes avec double extension
Bloquer les extensions CLSID
-----
0 Bloquer les pieces jointes listees ci-dessous
0 Bloquer toutes les pieces jointes sauf celles listees ci-dessous.
[Chaines de caracteres avec wildcards, typiquement : *.pif ...]
** Outpost le fait. Il me semble que ZoneAlarm a quelque chose de
similaire.
*** Notez tout de meme que cela exclut de fait les bloqueurs comme
System Safety Monitor ou Process Guard, qui interceptent les appels
a certaines fonctions de Windows et verifient que ceux-ci sont
conformes a un ensemble de regles pre-etablies. En ce qui me
concerne je ne dirais tout de meme pas que ces produits sont
totalement inutiles.
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Cool. Vous allez donc pouvoir nous indiquer le nom de la ML en question et le titre du message initial de la discussion, histoire qu'on puisse se mettre au parfum nous aussi !
En ce qui concerne l'utilisation de techniques "generiques" :
- Ca fait des plombes qu'on rabache ("on" qui inclut Roland et pas mal d'autres habitues de ce groupe) que le principal facteur responsable de la propagation des virus est le manque d'education des utilisateurs. Ca n'est meme pas des convertis que vous prechez, c'est des proselytes. Les precautions a prendre ne sont pas indiquees assez clairement sur les supports papiers fournis par les editeurs d'AV ? Je veux bien vous l'accorder, bien que je doute que cette mesure ait l'efficacite' que vous semblez attendre d'elle.
- D'un autre cote', vous nous dites que certaines pratiques de Safe-Hex peuvent etre automatisees. Vous citez le filtrage des pieces jointes executables. Absolument d'accord : filtrer les emails contenant des pieces jointes executables au niveau des passerelles mail est une pratique simple et efficace pour lutter contre les virus. Notez que certains AVs* ou firewall** personnels proposent aussi un tel filtrage/renommage des pieces jointes (certaines extensions / toutes les doubles extensions sont refusees), cette technique est donc accessible au simple particulier. Pas de desaccord majeur sur ce point la.
- Enfin, vous nous parlez de "saut technologique", vous predisez la fin prochaine des AVs a signature. La, je ne vous suis plus. J'ai la desagreable impression que vous restez volontairement dans le flou, que vous manquez cruellement d'arguments techniques pour appuyer vos assertions.
. On parle de "systeme de detection de type comportemental", vous suggerez que cette detection a lieu "avant execution". Je gage que vous ne serez pas en mesure d'indiquer comment l'AV (en l'occurence Norton) est sense' connaitre le *comportement* du programme avant de l'avoir execute' (emulation ? Sandbox ? "methodes formelles" ?).
. Vous nous dites que les solutions de blocage "apres execution" vont "a l'encontre de TOUTES les regles de securite'". J'en suis bien aise***. Toutefois, le role d'un antivirus est de determiner si oui ou non un programme est nocif. Si l'on exclut les signatures (en l'occurence, c'est vous qui les excluez) et l'ensemble des techniques "apres execution", que reste-t'il comme methodes pour savoir si un programme quelconque est sain ? - Les heuristiques ? Vous savez comme moi que ceux utilises par les AVs actuels ne sont pas assez performants pour procurer une determination a ~100% (loin s'en faut). - La prise d'empreinte ? C'est une methode de detection a-posteriori, et contraignante (faux-positifs). - Les listes blanches ? Ca ne permet pas de distinguer un programme sain d'un programme infecte' _lors de son introduction dans le systeme_. - Autre chose ? On vous ecoute.
En bref, je suis tres interesse' par toutes les informations techniques que vous pourriez fournir sur la nature de ce "saut technologique".
Merci d'avance,
-- Tweakie
*Norman propose par exemple:
Bloquer toutes les pieces jointes Bloquer les pieces jointes avec double extension Bloquer les extensions CLSID -----
0 Bloquer les pieces jointes listees ci-dessous 0 Bloquer toutes les pieces jointes sauf celles listees ci-dessous. [Chaines de caracteres avec wildcards, typiquement : *.pif ...]
** Outpost le fait. Il me semble que ZoneAlarm a quelque chose de similaire.
*** Notez tout de meme que cela exclut de fait les bloqueurs comme System Safety Monitor ou Process Guard, qui interceptent les appels a certaines fonctions de Windows et verifient que ceux-ci sont conformes a un ensemble de regles pre-etablies. En ce qui me concerne je ne dirais tout de meme pas que ces produits sont totalement inutiles.
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Ewa (siostra Ani) N.
D'ailleurs : une seule question. Comment se fait-ce, alors que les AV sont tout de même les produits de sécurité les PLUS commercialisés (étude d'IDC de l'année dernière me semble-t-il), nous recevons de PLUS en PLUS de virus sur nos messageries ?
Vous voyez une relation de cause à effet entre l'extention de parc des AV et la multiplication des vers ? Bizarre, je vois les choses inversement : il me semble que c'est la multiplication des vers qui fait que les gens installent un AV.
Qui les envoie ?
J'aimerai qu'on éclaire ma chandelle...
Les gens contaminés voyons
Ewcia
D'ailleurs : une seule question. Comment se fait-ce, alors que les AV
sont tout de même les produits de sécurité les PLUS commercialisés
(étude d'IDC de l'année dernière me semble-t-il), nous recevons de
PLUS en PLUS de virus sur nos messageries ?
Vous voyez une relation de cause à effet entre l'extention de parc des
AV et la multiplication des vers ?
Bizarre, je vois les choses inversement : il me semble que c'est la
multiplication des vers qui fait que les gens installent un AV.
D'ailleurs : une seule question. Comment se fait-ce, alors que les AV sont tout de même les produits de sécurité les PLUS commercialisés (étude d'IDC de l'année dernière me semble-t-il), nous recevons de PLUS en PLUS de virus sur nos messageries ?
Vous voyez une relation de cause à effet entre l'extention de parc des AV et la multiplication des vers ? Bizarre, je vois les choses inversement : il me semble que c'est la multiplication des vers qui fait que les gens installent un AV.
