Techniques Generique (etait : Re: [HS] HS mais ça fait plaisir)
33 réponses
NO_eikaewt_SPAM
[Comme ca a bien devie du sujet initial et que la liste de
references/l'anciennete du fil donnent du mal a mon web2news, je me permet
d'initier un nouveau fil]
indyjones@9online.fr a écrit :
>> Il ne faut pas confondre blocage avant exécution et blocage après
>> exécution.
> On est bien d'accord.
> J'ai du mal à croire que Symantec ait opté pour une solution de
>blocage "après exécution". Ca va à l'encontre de TOUTES les règles de
> sécurité. Pouvez-vous me dire où vous avez vu que le système de
> détection de Symantec travaillait "après exécution" ?
Symantec, je ne sais pas, mais pour NAI, il semblerait bien que ce soit le
cas.
http://us.mcafee.com/root/package.asp?pkgid=100
"New! WormStopper
WormStopper stops mass-mailing worms like Sobig by detecting activity that
may indicate a new, undetected worm is active on your PC. Like email sent
to more than 40 recipients or more than five emails sent in less than 30
seconds. "
> Pas sûr : ça dépend de l'introduction de fonctions de blocage "avant
> détection". Dans ce cas, il ne peut y avoir infection.
Dans ce cas la, les fonctions de blocage n'ont rien de "comportemental",
ce qui etait je le rappelle a l'origine de la discussion. Pour que ce soit
"comportemental" il faut executer ou emuler le programme.
> Cas concret pour quasiment tous les Netky : il suffit que l'antivirus
> bloque tout téléchargement de mails avec en PJ un .PIF. Ou toute
> tentative d'exécution de la PJ suspecte. Et dans ce cas, bye bye la
> menace NetSky (et bien d'autres passage)...
Voui, c'est simple et efficace, mais ca devie fortement du "blocage
comportemental" de Norton. Et puis il faut bien laisser passer les .zip,
quand meme.
> D'après les discussions que j'ai pu voir ou avoir avec de nombreux
> responsables de sécurité en grands comptes (et je dis bien GRANDS
> comptes),
Heu...les GRANDS comptes, c'est bien la ou travaillent les petits c* ?
(bon, d'accord, c'est gratuit, c'est trollesque, mais c'etait trop
tentant).
> De nouvelles approches sont en train d'être évaluées, plus globales.
> C'est ce qu'on appelle un saut technologique.
Bah, pour le moment ca reste un peu du blabla pipotique. Non pas que je
sois un grand fan des signatures, loin de la, mais vous restez un peu
vague, quand meme.
> Mais loin de moi l'idée de réveiller un troll. C'est un simple
> constat, chez les utilisateurs et les professionnels de la sécurité...
Bah. Vous savez, ici les trolls ne dorment jamais que d'un oeil...
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
D'ailleurs : une seule question. Comment se fait-ce, alors que les AV sont tout de même les produits de sécurité les PLUS commercialisés (étude d'IDC de l'année dernière me semble-t-il), nous recevons de PLUS en PLUS de virus sur nos messageries ? Qui les envoie ? J'aimerai qu'on éclaire ma chandelle...
Ce n'est pas parce qu'on achète un AV qu'on se comporte plus intelligemment (peut-être moins, même, à cause du sentiment de sécurité) ni qu'on le met à jour.
-- Cordialement
Le 27 avril 2004 à 16:54, indyjones@9online.fr nous disait :
D'ailleurs : une seule question. Comment se fait-ce, alors que les AV
sont tout de même les produits de sécurité les PLUS commercialisés
(étude d'IDC de l'année dernière me semble-t-il), nous recevons de
PLUS en PLUS de virus sur nos messageries ? Qui les envoie ?
J'aimerai qu'on éclaire ma chandelle...
Ce n'est pas parce qu'on achète un AV qu'on se comporte plus
intelligemment (peut-être moins, même, à cause du sentiment de sécurité)
ni qu'on le met à jour.
D'ailleurs : une seule question. Comment se fait-ce, alors que les AV sont tout de même les produits de sécurité les PLUS commercialisés (étude d'IDC de l'année dernière me semble-t-il), nous recevons de PLUS en PLUS de virus sur nos messageries ? Qui les envoie ? J'aimerai qu'on éclaire ma chandelle...
Ce n'est pas parce qu'on achète un AV qu'on se comporte plus intelligemment (peut-être moins, même, à cause du sentiment de sécurité) ni qu'on le met à jour.
-- Cordialement
Frederic Bonroy
wrote:
Je répond là à plusieurs remarques sur le safe hex : il y a parfaitement des moyens informatiques pour intégrer certaines préconisations du safe hex dans les AV. Et, Roland, ne vous en déplaise, la majorité des antivirus met le nez dans les messageries (NAV, NOD32, Trend Micro, etc.)
Hélas...
Si on vous suit, l'AV ne devrait intervenir en aval (à l'ouverture d'une PJ seulement) ?
Normalement oui car...
Dans ce cas, les AV de messagerie ne serviraient à rien, non ?
... faire surveiller la boîte aux lettres ne sert à strictement rien, c'est d'ailleurs expliqué dans la FAQ: http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html
Enfin, toujours concernant le Safe Hex, pourquoi AUCUN éditeur d'AV ne fournit-il pas une petite doc pédagogique (une dizaine de dessins avec des instrustions courtes et génériques) avec son logiciel pour expliquer les conduites à risque ?
Certains éditeurs expliquent les règles de base sur leurs sites. Mais faut tenir compte du fait qu'ils n'ont pas intérêt à minimiser l'importance d'un antivirus.
A mon sens, il n'y a à ce jour PAS UN VIRUS qui ne soit bloqué par une simple attitude safe. PAS UN. Le seul dernier "intelligent" à mes yeux est Blaster. Les autres ne sont que des resucées pas intelligentes de vieilles méthodes éculées de social engineering qu'un minimum d'intelligence sait arrêter.
Bah, les bestioles récentes sont psychologiquement un peu plus évoluées que les trucs sans intérêt qui ne font que proposer des images de Britney Spears en petite tenue. Regardez Swen, c'est quand-même pas mal.
indyjones@9online.fr wrote:
Je répond là à plusieurs remarques sur le safe hex : il y a
parfaitement des moyens informatiques pour intégrer certaines
préconisations du safe hex dans les AV. Et, Roland, ne vous en
déplaise, la majorité des antivirus met le nez dans les messageries
(NAV, NOD32, Trend Micro, etc.)
Hélas...
Si on vous suit, l'AV ne devrait
intervenir en aval (à l'ouverture d'une PJ seulement) ?
Normalement oui car...
Dans ce cas,
les AV de messagerie ne serviraient à rien, non ?
... faire surveiller la boîte aux lettres ne sert à strictement rien,
c'est d'ailleurs expliqué dans la FAQ:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html
Enfin, toujours concernant le Safe Hex, pourquoi AUCUN éditeur d'AV ne
fournit-il pas une petite doc pédagogique (une dizaine de dessins avec
des instrustions courtes et génériques) avec son logiciel pour
expliquer les conduites à risque ?
Certains éditeurs expliquent les règles de base sur leurs sites. Mais
faut tenir compte du fait qu'ils n'ont pas intérêt à minimiser
l'importance d'un antivirus.
A mon sens, il n'y a à ce jour PAS UN VIRUS qui ne soit bloqué par une
simple attitude safe. PAS UN. Le seul dernier "intelligent" à mes yeux
est Blaster. Les autres ne sont que des resucées pas intelligentes de
vieilles méthodes éculées de social engineering qu'un minimum
d'intelligence sait arrêter.
Bah, les bestioles récentes sont psychologiquement un peu plus évoluées
que les trucs sans intérêt qui ne font que proposer des images de
Britney Spears en petite tenue. Regardez Swen, c'est quand-même pas mal.
Je répond là à plusieurs remarques sur le safe hex : il y a parfaitement des moyens informatiques pour intégrer certaines préconisations du safe hex dans les AV. Et, Roland, ne vous en déplaise, la majorité des antivirus met le nez dans les messageries (NAV, NOD32, Trend Micro, etc.)
Hélas...
Si on vous suit, l'AV ne devrait intervenir en aval (à l'ouverture d'une PJ seulement) ?
Normalement oui car...
Dans ce cas, les AV de messagerie ne serviraient à rien, non ?
... faire surveiller la boîte aux lettres ne sert à strictement rien, c'est d'ailleurs expliqué dans la FAQ: http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html
Enfin, toujours concernant le Safe Hex, pourquoi AUCUN éditeur d'AV ne fournit-il pas une petite doc pédagogique (une dizaine de dessins avec des instrustions courtes et génériques) avec son logiciel pour expliquer les conduites à risque ?
Certains éditeurs expliquent les règles de base sur leurs sites. Mais faut tenir compte du fait qu'ils n'ont pas intérêt à minimiser l'importance d'un antivirus.
A mon sens, il n'y a à ce jour PAS UN VIRUS qui ne soit bloqué par une simple attitude safe. PAS UN. Le seul dernier "intelligent" à mes yeux est Blaster. Les autres ne sont que des resucées pas intelligentes de vieilles méthodes éculées de social engineering qu'un minimum d'intelligence sait arrêter.
Bah, les bestioles récentes sont psychologiquement un peu plus évoluées que les trucs sans intérêt qui ne font que proposer des images de Britney Spears en petite tenue. Regardez Swen, c'est quand-même pas mal.
ppc
Frederic Bonroy wrote:
wrote:
A mon sens, il n'y a à ce jour PAS UN VIRUS qui ne soit bloqué par une simple attitude safe. PAS UN. Le seul dernier "intelligent" à mes yeux est Blaster. Les autres ne sont que des resucées pas intelligentes de vieilles méthodes éculées de social engineering qu'un minimum d'intelligence sait arrêter.
Bah, les bestioles récentes sont psychologiquement un peu plus évoluées
Bestioles ou cerveaux organisés...
Frederic Bonroy wrote:
indyjones@9online.fr wrote:
A mon sens, il n'y a à ce jour PAS UN VIRUS qui ne soit bloqué par une
simple attitude safe. PAS UN. Le seul dernier "intelligent" à mes yeux
est Blaster. Les autres ne sont que des resucées pas intelligentes de
vieilles méthodes éculées de social engineering qu'un minimum
d'intelligence sait arrêter.
Bah, les bestioles récentes sont psychologiquement un peu plus évoluées
A mon sens, il n'y a à ce jour PAS UN VIRUS qui ne soit bloqué par une simple attitude safe. PAS UN. Le seul dernier "intelligent" à mes yeux est Blaster. Les autres ne sont que des resucées pas intelligentes de vieilles méthodes éculées de social engineering qu'un minimum d'intelligence sait arrêter.
Bah, les bestioles récentes sont psychologiquement un peu plus évoluées
