- "L'objectif n'est pas de former des developpeurs de virus mais des
experts maîtrisant leurs fonctionnements principalement pour assurer
la sécurité des leur clients."
Il n'est donc pas question d'écrire des antivirus. Et on a déjà dit
qu'il n'y a pas besoin de savoir écrire des virus pour s'en protéger.
Connerie.
- "[...] puisqu'il démontre bien que les anti virus actuels(1995 -->
2003: pas d'évolution) ne valent rien."
Je ne sais pas si c'est un prof ou un étudiant qui a écrit ça, mais ça
n'en est pas moins une double connerie.
Ça dit: "[...] resulting in the creation of the next generation of
anti-virus and computer security products."
Nulle part ça ne dit "faut avoir écrit des virus".
Je suis sûr que Sophos serait heureux d'apprendre que ses produits
"ne valent rien" et qu'ils vendent toujours la même camelote
qu'en 95. :-)
On attend aussi qu'Olivier nous donne son opinion sur la description
du cours de l'université de Calgary ainsi que la réponse de Frisk;
je redonne les liens ici:
http://www.cpsc.ucalgary.ca/News/virus_course.html
http://www.f-prot.com/news/gen_news/open_letter.html
Le Sun, 20 Jul 2003 17:04:25 +0200, Roland Garcia a écrit :
Non, et ça se détecte très facilement.
comment ? quel antivirus ? Je ne comprends pas comment est ce possible vu que c'est l'application elle meme qui fait l'action et pas un programme isolé. l'antivirus voit juste le navigateur se connecter normalement à un site non ? On a utilisé cette méthode une fois pour un test d'intrusion, et ma fois les av n'avaient rien détectés. (il est vrai que cela date de 2 ans)
En 2 mots voilà quel était le challenge
1 poste relié à internet 1 poste relié à rien 1 poste relié au réseau intranet.
Aucun réseau entre ces postes.
La méthode :
Un fichier arrive sur le poste relié à internet (sur lequel tourne un premier antivirus). Il est copié sur disquette. Cette disquette est ensuite mise sur le poste isolé, et repassé à l'antivirus. Une fois la détection passée avec succès elle est introduite sur le réseau intranet. Après utilisation la disquette reviens sur le poste solitaire et est formatée, puis elle repart dans l'ordinateur connecté à internet.
Je schématise la manipulation qui a été effectuée :
1) infection de la machine connectée à internet (virus concu en interne pour les besoins du test)
2) infection des fichiers copiés sur la disquette, et écriture de la partie potentiellement détectable du code sur l'autre machine dans les secteurs de la disquette au delà des 1,44 Mo.
3) une fois sur l'intranet, infection et récupération de données confidentielles. Ces données sont copiées au delà des 1.44 Mo de la disquette (entre 1.44 et 1.88)
4) la disquette est formatée (en 1.44) les données au dessus sont encore présentes
5) la disquette retourne sur la machine internet, le "virus" (difficile à qualifié, de virus, backdoor ou autre), copie les données situées sur la disquette lors d'une demande d'écriture sur celle ci. Ces données sont ensuite envoyée par fragment tout au long de la navigation.
On pourrait vérifier aujourd'hui avec des AV récents, mais je suis a peu près sur que c'est reproductible.
Le Sun, 20 Jul 2003 17:04:25 +0200, Roland Garcia a écrit :
Non, et ça se détecte très facilement.
comment ? quel antivirus ?
Je ne comprends pas comment est ce possible vu que c'est l'application
elle meme qui fait l'action et pas un programme isolé. l'antivirus voit
juste le navigateur se connecter normalement à un site non ? On a utilisé
cette méthode une fois pour un test d'intrusion, et ma fois les av
n'avaient rien détectés. (il est vrai que cela date de 2 ans)
En 2 mots voilà quel était le challenge
1 poste relié à internet
1 poste relié à rien
1 poste relié au réseau intranet.
Aucun réseau entre ces postes.
La méthode :
Un fichier arrive sur le poste relié à internet (sur lequel tourne un
premier antivirus). Il est copié sur disquette. Cette disquette est
ensuite mise sur le poste isolé, et repassé à l'antivirus. Une fois la
détection passée avec succès elle est introduite sur le réseau intranet.
Après utilisation la disquette reviens sur le poste solitaire et est
formatée, puis elle repart dans l'ordinateur connecté à internet.
Je schématise la manipulation qui a été effectuée :
1) infection de la machine connectée à internet (virus concu en interne
pour les besoins du test)
2) infection des fichiers copiés sur la disquette, et écriture de la
partie potentiellement détectable du code sur l'autre machine dans les
secteurs de la disquette au delà des 1,44 Mo.
3) une fois sur l'intranet, infection et récupération de données
confidentielles. Ces données sont copiées au delà des 1.44 Mo de la
disquette (entre 1.44 et 1.88)
4) la disquette est formatée (en 1.44) les données au dessus sont encore
présentes
5) la disquette retourne sur la machine internet, le "virus" (difficile à
qualifié, de virus, backdoor ou autre), copie les données situées sur la
disquette lors d'une demande d'écriture sur celle ci. Ces données sont
ensuite envoyée par fragment tout au long de la navigation.
On pourrait vérifier aujourd'hui avec des AV récents, mais je suis a peu
près sur que c'est reproductible.
Le Sun, 20 Jul 2003 17:04:25 +0200, Roland Garcia a écrit :
Non, et ça se détecte très facilement.
comment ? quel antivirus ? Je ne comprends pas comment est ce possible vu que c'est l'application elle meme qui fait l'action et pas un programme isolé. l'antivirus voit juste le navigateur se connecter normalement à un site non ? On a utilisé cette méthode une fois pour un test d'intrusion, et ma fois les av n'avaient rien détectés. (il est vrai que cela date de 2 ans)
En 2 mots voilà quel était le challenge
1 poste relié à internet 1 poste relié à rien 1 poste relié au réseau intranet.
Aucun réseau entre ces postes.
La méthode :
Un fichier arrive sur le poste relié à internet (sur lequel tourne un premier antivirus). Il est copié sur disquette. Cette disquette est ensuite mise sur le poste isolé, et repassé à l'antivirus. Une fois la détection passée avec succès elle est introduite sur le réseau intranet. Après utilisation la disquette reviens sur le poste solitaire et est formatée, puis elle repart dans l'ordinateur connecté à internet.
Je schématise la manipulation qui a été effectuée :
1) infection de la machine connectée à internet (virus concu en interne pour les besoins du test)
2) infection des fichiers copiés sur la disquette, et écriture de la partie potentiellement détectable du code sur l'autre machine dans les secteurs de la disquette au delà des 1,44 Mo.
3) une fois sur l'intranet, infection et récupération de données confidentielles. Ces données sont copiées au delà des 1.44 Mo de la disquette (entre 1.44 et 1.88)
4) la disquette est formatée (en 1.44) les données au dessus sont encore présentes
5) la disquette retourne sur la machine internet, le "virus" (difficile à qualifié, de virus, backdoor ou autre), copie les données situées sur la disquette lors d'une demande d'écriture sur celle ci. Ces données sont ensuite envoyée par fragment tout au long de la navigation.
On pourrait vérifier aujourd'hui avec des AV récents, mais je suis a peu près sur que c'est reproductible.
Le Sun, 20 Jul 2003 17:05:42 +0200, Frederic Bonroy a écrit :
Brain 0verride wrote:
Tu peux expliciter ?
Prenons un virus .com extrêmement simple comme Trivial qui ne fait que se reproduire en écrasant d'autres fichiers et rien d'autre. Pas de cryptage, pas d'anti-débogage, rien. Juste du code propre qui sert à la reproduction. Il n'y a absolument aucune difficulté à écrire un programme qui détectera toujours ce virus, donc on aura un taux de détection de 100% pour *ce* virus.
non :) 99.9999999999%, parce que le programme de détection peut planter alétoirerement, de meme que le matériel, de meme que le code viral, etc...
Pour les virus polymorphes c'est un peu plus compliqué, évidemment, mais c'est faisable aussi en théorie et pour beaucoup d'entre eux en pratique. Le problème là-dedans c'est surtout la durée de l'émulation. On ne peut pas émuler pendant des siècles.
qui peut se le permettre dans une utilisation normale du système d'information ?
Le Sun, 20 Jul 2003 17:05:42 +0200, Frederic Bonroy a écrit :
Brain 0verride wrote:
Tu peux expliciter ?
Prenons un virus .com extrêmement simple comme Trivial qui ne fait que
se reproduire en écrasant d'autres fichiers et rien d'autre. Pas de
cryptage, pas d'anti-débogage, rien. Juste du code propre qui sert à
la reproduction.
Il n'y a absolument aucune difficulté à écrire un programme qui
détectera toujours ce virus, donc on aura un taux de détection de
100% pour *ce* virus.
non :) 99.9999999999%, parce que le programme de détection peut planter
alétoirerement, de meme que le matériel, de meme que le code viral, etc...
Pour les virus polymorphes c'est un peu plus compliqué, évidemment,
mais c'est faisable aussi en théorie et pour beaucoup d'entre eux
en pratique. Le problème là-dedans c'est surtout la durée de
l'émulation. On ne peut pas émuler pendant des siècles.
qui peut se le permettre dans une utilisation normale du système
d'information ?
Le Sun, 20 Jul 2003 17:05:42 +0200, Frederic Bonroy a écrit :
Brain 0verride wrote:
Tu peux expliciter ?
Prenons un virus .com extrêmement simple comme Trivial qui ne fait que se reproduire en écrasant d'autres fichiers et rien d'autre. Pas de cryptage, pas d'anti-débogage, rien. Juste du code propre qui sert à la reproduction. Il n'y a absolument aucune difficulté à écrire un programme qui détectera toujours ce virus, donc on aura un taux de détection de 100% pour *ce* virus.
non :) 99.9999999999%, parce que le programme de détection peut planter alétoirerement, de meme que le matériel, de meme que le code viral, etc...
Pour les virus polymorphes c'est un peu plus compliqué, évidemment, mais c'est faisable aussi en théorie et pour beaucoup d'entre eux en pratique. Le problème là-dedans c'est surtout la durée de l'émulation. On ne peut pas émuler pendant des siècles.
qui peut se le permettre dans une utilisation normale du système d'information ?
Je crains qu'il n'y ait une certaine confusion quant au concept de polymorphisme...
En effet. Les premiers métamorphiques semblent être apparus en 97-98. Enfin...d'après Vecna ;o)
-- joke0
Roland Garcia
Non, et ça se détecte très facilement.
comment ? quel antivirus ? Je ne comprends pas comment est ce possible vu que c'est l'application elle meme qui fait l'action et pas un programme isolé. l'antivirus voit juste le navigateur se connecter normalement à un site non ? On a utilisé cette méthode une fois pour un test d'intrusion, et ma fois les av n'avaient rien détectés. (il est vrai que cela date de 2 ans)
En 2 mots voilà quel était le challenge
1 poste relié à internet 1 poste relié à rien 1 poste relié au réseau intranet.
Aucun réseau entre ces postes.
La méthode :
Un fichier arrive sur le poste relié à internet (sur lequel tourne un premier antivirus).
Fichier = détection.
Il est copié sur disquette. Cette disquette est ensuite mise sur le poste isolé, et repassé à l'antivirus. Une fois la détection passée avec succès elle est introduite sur le réseau intranet. Après utilisation la disquette reviens sur le poste solitaire et est formatée, puis elle repart dans l'ordinateur connecté à internet.
Je schématise la manipulation qui a été effectuée :
1) infection de la machine connectée à internet (virus concu en interne pour les besoins du test)
Infection = détection.
2) infection des fichiers copiés sur la disquette, et écriture de la partie potentiellement détectable du code sur l'autre machine dans les secteurs de la disquette au delà des 1,44 Mo.
Infection = détection.
3) une fois sur l'intranet, infection et récupération de données confidentielles. Ces données sont copiées au delà des 1.44 Mo de la disquette (entre 1.44 et 1.88)
Infection = détection.
4) la disquette est formatée (en 1.44) les données au dessus sont encore présentes
5) la disquette retourne sur la machine internet, le "virus" (difficile à qualifié, de virus, backdoor ou autre), copie les données situées sur la disquette lors d'une demande d'écriture sur celle ci. Ces données sont ensuite envoyée par fragment tout au long de la navigation.
Backdoor = détection.
On pourrait vérifier aujourd'hui avec des AV récents, mais je suis a peu près sur que c'est reproductible.
Envoie tes fichiers/backdoors il seront ajoutés avec les autres, un peu plus un peu moins...
Roland Garcia
Non, et ça se détecte très facilement.
comment ? quel antivirus ?
Je ne comprends pas comment est ce possible vu que c'est l'application
elle meme qui fait l'action et pas un programme isolé. l'antivirus voit
juste le navigateur se connecter normalement à un site non ? On a utilisé
cette méthode une fois pour un test d'intrusion, et ma fois les av
n'avaient rien détectés. (il est vrai que cela date de 2 ans)
En 2 mots voilà quel était le challenge
1 poste relié à internet
1 poste relié à rien
1 poste relié au réseau intranet.
Aucun réseau entre ces postes.
La méthode :
Un fichier arrive sur le poste relié à internet (sur lequel tourne un
premier antivirus).
Fichier = détection.
Il est copié sur disquette. Cette disquette est
ensuite mise sur le poste isolé, et repassé à l'antivirus. Une fois la
détection passée avec succès elle est introduite sur le réseau intranet.
Après utilisation la disquette reviens sur le poste solitaire et est
formatée, puis elle repart dans l'ordinateur connecté à internet.
Je schématise la manipulation qui a été effectuée :
1) infection de la machine connectée à internet (virus concu en interne
pour les besoins du test)
Infection = détection.
2) infection des fichiers copiés sur la disquette, et écriture de la
partie potentiellement détectable du code sur l'autre machine dans les
secteurs de la disquette au delà des 1,44 Mo.
Infection = détection.
3) une fois sur l'intranet, infection et récupération de données
confidentielles. Ces données sont copiées au delà des 1.44 Mo de la
disquette (entre 1.44 et 1.88)
Infection = détection.
4) la disquette est formatée (en 1.44) les données au dessus sont encore
présentes
5) la disquette retourne sur la machine internet, le "virus" (difficile à
qualifié, de virus, backdoor ou autre), copie les données situées sur la
disquette lors d'une demande d'écriture sur celle ci. Ces données sont
ensuite envoyée par fragment tout au long de la navigation.
Backdoor = détection.
On pourrait vérifier aujourd'hui avec des AV récents, mais je suis a peu
près sur que c'est reproductible.
Envoie tes fichiers/backdoors il seront ajoutés avec les autres, un peu
plus un peu moins...
comment ? quel antivirus ? Je ne comprends pas comment est ce possible vu que c'est l'application elle meme qui fait l'action et pas un programme isolé. l'antivirus voit juste le navigateur se connecter normalement à un site non ? On a utilisé cette méthode une fois pour un test d'intrusion, et ma fois les av n'avaient rien détectés. (il est vrai que cela date de 2 ans)
En 2 mots voilà quel était le challenge
1 poste relié à internet 1 poste relié à rien 1 poste relié au réseau intranet.
Aucun réseau entre ces postes.
La méthode :
Un fichier arrive sur le poste relié à internet (sur lequel tourne un premier antivirus).
Fichier = détection.
Il est copié sur disquette. Cette disquette est ensuite mise sur le poste isolé, et repassé à l'antivirus. Une fois la détection passée avec succès elle est introduite sur le réseau intranet. Après utilisation la disquette reviens sur le poste solitaire et est formatée, puis elle repart dans l'ordinateur connecté à internet.
Je schématise la manipulation qui a été effectuée :
1) infection de la machine connectée à internet (virus concu en interne pour les besoins du test)
Infection = détection.
2) infection des fichiers copiés sur la disquette, et écriture de la partie potentiellement détectable du code sur l'autre machine dans les secteurs de la disquette au delà des 1,44 Mo.
Infection = détection.
3) une fois sur l'intranet, infection et récupération de données confidentielles. Ces données sont copiées au delà des 1.44 Mo de la disquette (entre 1.44 et 1.88)
Infection = détection.
4) la disquette est formatée (en 1.44) les données au dessus sont encore présentes
5) la disquette retourne sur la machine internet, le "virus" (difficile à qualifié, de virus, backdoor ou autre), copie les données situées sur la disquette lors d'une demande d'écriture sur celle ci. Ces données sont ensuite envoyée par fragment tout au long de la navigation.
Backdoor = détection.
On pourrait vérifier aujourd'hui avec des AV récents, mais je suis a peu près sur que c'est reproductible.
Envoie tes fichiers/backdoors il seront ajoutés avec les autres, un peu plus un peu moins...
Roland Garcia
Roland Garcia
Salut,
Frederic Bonroy:
Je crains qu'il n'y ait une certaine confusion quant au concept de polymorphisme...
En effet. Les premiers métamorphiques semblent être apparus en 97-98. Enfin...d'après Vecna ;o)
Il est classé "officiellement " parmi les nuls :-D
Roland Garcia
Salut,
Frederic Bonroy:
Je crains qu'il n'y ait une certaine confusion quant au concept de
polymorphisme...
En effet. Les premiers métamorphiques semblent être apparus en 97-98.
Enfin...d'après Vecna ;o)
Il est classé "officiellement " parmi les nuls :-D
De mémoire le terme "metamorphe" a été inventé dans l'héroic fantasy et les jeux de roles... Il ne figure je ne crois pas au dictionnaire.
Les géologues seront heureux de l'apprendre. :-)
Roland Garcia
des fichier utilisés en tests d'intrusion !!?? Tu es fou lol ! Ces trucs là sont fait à utilisation unique et ne sont ni fais pour etre utilisés, propagés, connus, etc...
Donc théorie invérifiable.
Tout bon pirate utilise un trojan à lui dès qu'il a obtenu suffisamment de droits sur une machine. Ca a toujours existé et n'est pas prêt de s'arrêter.
Ceci dit on sait depuis toujours qu'il est possible de faire des virus/trojans non détectés à priori par n'importe quel anti-virus choisi.
Roland Garcia
des fichier utilisés en tests d'intrusion !!?? Tu es fou lol ! Ces
trucs là sont fait à utilisation unique et ne sont ni fais pour etre
utilisés, propagés, connus, etc...
Donc théorie invérifiable.
Tout bon pirate utilise un trojan à lui dès qu'il a obtenu suffisamment
de droits sur une machine. Ca a toujours existé et n'est pas prêt de
s'arrêter.
Ceci dit on sait depuis toujours qu'il est possible de faire des
virus/trojans non détectés à priori par n'importe quel anti-virus
choisi.
des fichier utilisés en tests d'intrusion !!?? Tu es fou lol ! Ces trucs là sont fait à utilisation unique et ne sont ni fais pour etre utilisés, propagés, connus, etc...
Donc théorie invérifiable.
Tout bon pirate utilise un trojan à lui dès qu'il a obtenu suffisamment de droits sur une machine. Ca a toujours existé et n'est pas prêt de s'arrêter.
Ceci dit on sait depuis toujours qu'il est possible de faire des virus/trojans non détectés à priori par n'importe quel anti-virus choisi.
Roland Garcia
Brain 0verride
Le Sun, 20 Jul 2003 17:46:56 +0200, Roland Garcia a écrit :
Ceci dit on sait depuis toujours qu'il est possible de faire des virus/trojans non détectés à priori par n'importe quel anti-virus choisi.
Merci :) c'est exactement ce que je disais, on est donc d'accord.
