Sur cette page : http://www.vmyths.com/rant.cfm?id=605&page=4 le site
Vmyths.com fait l'eloge de la solution antivirale proposee par la
societe' MessageLabs. La these de l'article est la suivante : les
editeurs d'anti-virus detiennent et utilisent pour leur usage des
produits bien plus performants que ceux qu'il mettent sur le marche',
et cela pour de basses raisons commerciales. Pour un site sense'
dennoncer les mythes entourant le petit monde des virus et des produits
anti-virus, ca a de quoi surprendre. Mieux, selon cet article toujours,
les societes antivirales possederaient des techniques de detection
heuristiques tout aussi secretes que performantes ! Legende urbaine
qui n'est pas sans me rappeller celle des voitures qui pourraient
rouler a l'eau plate.
En guise de preuve, l'auteur de l'article assene comme une preuve
irrefutable l'efficacte' de la solution antivirale de filtrage
d'emails de MessageLabs et de son heuristique, judicieusement baptise'
"skeptic". Un simple coup d'oeil sur le site de cet editeur est
accablant, morceaux choisis :
"MessageLabs anti-virus service uses multiple scanners and Skeptic.s
patented artificial intelligence to detect all viruses, known and
unknown, before they reach you."
"Skeptic is designed to identify new viruses, both known and unknown,
without any need for signature updates."
"It can identify a virus even if it is completely original in
construction . and you are automatically protected from it."
"First to stop all viruses - past, present and future"
Hmmmm....ca sent bon l'huile de serpent, vous ne trouvez pas ?
En cherchant quelques references a ce produit miracle sur le web, on
decouvre pele-mele que le moteur heuristique stoppe les virus sans
avoir besoin de mises a jour, que les scanners utilises sont mis a jour
plusieurs fois par jour (toutes les 10 minutes), et qu'il s'agit de
produits fournis par F-Secure, MCAfee et VFind [1].
Reste la fameuse solution heuristique "Skeptic", secret bien garde'
qui semble n'avoir jamais ete' soumise a aucun test independant, et
qui, n'etant pas destinee a distribuee (les mails passent par les
serveurs de MessageLabs ou se fait l'analyse), ne peut etre anaysee
par personne.
Il est toutefois possible de trouver quelques renseignements
technico-commerciaux sur le fonctionnement de ce moteur
heuristique :
- Il utilise un systeme de clssification extremement basique pour (chaque
critere d'infection, un poids est attribue', si la somme des poids
depasse un seuil predefini, le fichier est declare' infecte') ;
- Ils se targuent neamoins d'un taux de faux positifs extremement faible
(1/1 000.000).
- 5 Gigas (!) de regles heuristiques.
- Apprentissage permanent de l'"intelligence artificielle".
- Le reste est une decription classique d'analyse heuristique (analyse
de code, recherche de comportements suspects, etc.).
Le meme produit fait aussi antispam (il est d'ailleurs precise', au
sein d'un incroyable fouillis de mots clefs resolument high-tech, qu'il
utilise des algorithmes genetiques).
Concretement, les seules informations techniques que j'ai ete' en mesure
de trouver sur ce produit miracles sont issues des bases de brevets
anglaises :
Un des algorithmes utilises pour la recherche d'infecteurs de fichiers :
La portion de code de l'executable situee a proximite' du point d'entree
est comparee avec une serie de templates. Chaque template correspondant
au code normalement produit par un compilateur connu. Si le code analyse'
ne correspond a aucun de ces templates, ou si du code correspondant a un
template est effectivement trouve' mais qu'il n'est pas localise' au
niveau du point d'entree, le code est classe' suspect et sera analyse'
plus en profondeur (c'est ce que j'ai compris en survolant le brevet. Je
trouve que le style de ces machins la est souvent indigeste). L'histoire
ne dit pas comment ils font pour identifier les malwares ecrits en langage
de haut niveau et compliles avec un compilateur standard (autrement dit,
la plupart des vers de messagerie actuels). Mais bon, cette technologie
semble etre dediee a la detection d'infecteurs d'executables PE. Cela dit,
je peux me tromper, mais ca ne me semble pas formidablement nouveau (a
part peut-etre la date de publication du brevet : 18/02/2004).
Ils ont aussi depose' un brevet sur une trechnologie qui tire parti de
l'aspect "centralise'" de leur solution :
En resume' : Si beaucoup de messages comportant une piece jointe executable
et ayant des caracteristiques similaires sont recus par leurs serveurs de
messagerie dans un laps de temps relativement court, alors il est probable
que la piece jointe en question soit un virus.
Alors, a votre avis, snake oil ou produit miracle ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nicolas Brulez
Bonjour,
Je sais que la société MessageLabs est en contact avec d'autres éditeurs Anti virus et ces mêmes éditeurs n'ont pas l'air du tout de penser du mal du produit.
Je ne pense pas que MessageLabs vende un produit dit "snake oil". La compagnie serait bien mal vue du monde Anti virus depuis longtemps sinon je pense et n'aurait pas de contacts avec les autres éditeurs.
(Bcp de produits sont mis à l'écart du monde anti virus)
My two cents.
Nico
Bonjour,
Je sais que la société MessageLabs est en contact avec d'autres éditeurs
Anti virus et ces mêmes éditeurs n'ont pas l'air du tout de penser du
mal du produit.
Je ne pense pas que MessageLabs vende un produit dit "snake oil".
La compagnie serait bien mal vue du monde Anti virus depuis longtemps
sinon je pense et n'aurait pas de contacts avec les autres éditeurs.
(Bcp de produits sont mis à l'écart du monde anti virus)
Je sais que la société MessageLabs est en contact avec d'autres éditeurs Anti virus et ces mêmes éditeurs n'ont pas l'air du tout de penser du mal du produit.
Je ne pense pas que MessageLabs vende un produit dit "snake oil". La compagnie serait bien mal vue du monde Anti virus depuis longtemps sinon je pense et n'aurait pas de contacts avec les autres éditeurs.
(Bcp de produits sont mis à l'écart du monde anti virus)
My two cents.
Nico
Frederic Bonroy
Tweakie wrote:
Sur cette page : http://www.vmyths.com/rant.cfm?id`5&page=4 le site Vmyths.com fait l'eloge de la solution antivirale proposee par la societe' MessageLabs. La these de l'article est la suivante : les editeurs d'anti-virus detiennent et utilisent pour leur usage des produits bien plus performants que ceux qu'il mettent sur le marche', et cela pour de basses raisons commerciales. Pour un site sense' dennoncer les mythes entourant le petit monde des virus et des produits anti-virus, ca a de quoi surprendre. Mieux, selon cet article toujours, les societes antivirales possederaient des techniques de detection heuristiques tout aussi secretes que performantes ! Legende urbaine qui n'est pas sans me rappeller celle des voitures qui pourraient rouler a l'eau plate.
En guise de preuve, l'auteur de l'article assene comme une preuve irrefutable l'efficacte' de la solution antivirale de filtrage d'emails de MessageLabs et de son heuristique, judicieusement baptise' "skeptic". Un simple coup d'oeil sur le site de cet editeur est accablant, morceaux choisis :
"MessageLabs anti-virus service uses multiple scanners and Skeptic.s patented artificial intelligence to detect all viruses, known and unknown, before they reach you."
"Skeptic is designed to identify new viruses, both known and unknown, without any need for signature updates."
"It can identify a virus even if it is completely original in construction . and you are automatically protected from it."
"First to stop all viruses - past, present and future"
Hmmmm....ca sent bon l'huile de serpent, vous ne trouvez pas ?
Pour ce qui est de Melissa et de la mise à jour "placebo", faut pas oublier que le produit de Leprechaun *détectait* peut-être Melissa sans mise à jour, mais ne l'*identifiait* pas. Or l'identification est importante pour un tas de raisons.
Pour ce qui est des antivirus miracle que les éditeurs gardent bien au chaud chez eux, je veux bien y croire, mais jusqu'à un certain point seulement. Ainsi:
- certains éditeurs sont en retard sur d'autres concernant les taux de détection. Par exemple McAfee et KAV sont toujours dans les 99% alors que d'autres, nommons les abc et xyz, traînent dans les 95%. Je pense que abc et xyz, s'ils disposaient réellement de technologies miracle, auraient grand intérêt à en doter leurs antivirus publics, au moins partiellement, afin de rattrapper ce retard...
- cette meilleure détection ne doit pas être sans contraintes. Peut-être taux de fausses alertes plus élevé, ou bien vitesse peu élevée. Je donne un exemple extrême: si on pouvait émuler un programme du début à la fin il est clair qu'on pourrait détecter plus de virus que sous la contrainte du temps qui existe en réalité.
Il est toutefois possible de trouver quelques renseignements technico-commerciaux sur le fonctionnement de ce moteur heuristique :
Où ça?
- Il utilise un systeme de clssification extremement basique pour (chaque critere d'infection, un poids est attribue', si la somme des poids depasse un seuil predefini, le fichier est declare' infecte') ; - Ils se targuent neamoins d'un taux de faux positifs extremement faible (1/1 000.000).
J'ai du mal à y croire.
- 5 Gigas (!) de regles heuristiques.
???
Premièrement, pourquoi des règles s'ils utilisent ce simple système de poids?
Et deuxièmement, 5 Go? Ils font tourner ça sur les ordinateurs de la NASA ou quoi?
Le meme produit fait aussi antispam (il est d'ailleurs precise', au sein d'un incroyable fouillis de mots clefs resolument high-tech, qu'il utilise des algorithmes genetiques).
Même question, où ça? :-)
En resume' : Si beaucoup de messages comportant une piece jointe executable et ayant des caracteristiques similaires sont recus par leurs serveurs de messagerie dans un laps de temps relativement court, alors il est probable que la piece jointe en question soit un virus.
Ce n'est pas bête. Il y a quelques années déjà je m'étais posé la question ce que ça donnerait de faire une telle analyse "corrélative" si j'ose dire, sur un disque dur: on regarde les caractéristiques des fichiers sur un disque dur et si on constate qu'un certain nombre de fichiers possèdent les mêmes caractéristiques, alors il y de quoi se faire des soucis. Suffit de bien choisir ces caractéristiques.
Dans le même esprit, TBAV permettait de faire une extraction de signature.
Alors, a votre avis, snake oil ou produit miracle ?
Bah, j'en sais rien. Ce que je sais, c'est qu'il faut faire drôlement attention à tout ce qui se dit dans ce petit monde des virus et antivirus, même quand ça provient d'experts ou de sources qui se veulent indépendantes.
Je parle de manière générale, j'insiste là-dessus. Je ne fais allusion ni aux trolls qui sévissent actuellement ici, ni à Vmyths.
Tweakie wrote:
Sur cette page : http://www.vmyths.com/rant.cfm?id`5&page=4 le site
Vmyths.com fait l'eloge de la solution antivirale proposee par la
societe' MessageLabs. La these de l'article est la suivante : les
editeurs d'anti-virus detiennent et utilisent pour leur usage des
produits bien plus performants que ceux qu'il mettent sur le marche',
et cela pour de basses raisons commerciales. Pour un site sense'
dennoncer les mythes entourant le petit monde des virus et des produits
anti-virus, ca a de quoi surprendre. Mieux, selon cet article toujours,
les societes antivirales possederaient des techniques de detection
heuristiques tout aussi secretes que performantes ! Legende urbaine
qui n'est pas sans me rappeller celle des voitures qui pourraient
rouler a l'eau plate.
En guise de preuve, l'auteur de l'article assene comme une preuve
irrefutable l'efficacte' de la solution antivirale de filtrage
d'emails de MessageLabs et de son heuristique, judicieusement baptise'
"skeptic". Un simple coup d'oeil sur le site de cet editeur est
accablant, morceaux choisis :
"MessageLabs anti-virus service uses multiple scanners and Skeptic.s
patented artificial intelligence to detect all viruses, known and
unknown, before they reach you."
"Skeptic is designed to identify new viruses, both known and unknown,
without any need for signature updates."
"It can identify a virus even if it is completely original in
construction . and you are automatically protected from it."
"First to stop all viruses - past, present and future"
Hmmmm....ca sent bon l'huile de serpent, vous ne trouvez pas ?
Pour ce qui est de Melissa et de la mise à jour "placebo", faut pas
oublier que le produit de Leprechaun *détectait* peut-être Melissa sans
mise à jour, mais ne l'*identifiait* pas. Or l'identification est
importante pour un tas de raisons.
Pour ce qui est des antivirus miracle que les éditeurs gardent bien au
chaud chez eux, je veux bien y croire, mais jusqu'à un certain point
seulement. Ainsi:
- certains éditeurs sont en retard sur d'autres concernant les taux de
détection. Par exemple McAfee et KAV sont toujours dans les 99% alors
que d'autres, nommons les abc et xyz, traînent dans les 95%. Je pense
que abc et xyz, s'ils disposaient réellement de technologies miracle,
auraient grand intérêt à en doter leurs antivirus publics, au moins
partiellement, afin de rattrapper ce retard...
- cette meilleure détection ne doit pas être sans contraintes. Peut-être
taux de fausses alertes plus élevé, ou bien vitesse peu élevée. Je donne
un exemple extrême: si on pouvait émuler un programme du début à la fin
il est clair qu'on pourrait détecter plus de virus que sous la
contrainte du temps qui existe en réalité.
Il est toutefois possible de trouver quelques renseignements
technico-commerciaux sur le fonctionnement de ce moteur
heuristique :
Où ça?
- Il utilise un systeme de clssification extremement basique pour (chaque
critere d'infection, un poids est attribue', si la somme des poids
depasse un seuil predefini, le fichier est declare' infecte') ;
- Ils se targuent neamoins d'un taux de faux positifs extremement faible
(1/1 000.000).
J'ai du mal à y croire.
- 5 Gigas (!) de regles heuristiques.
???
Premièrement, pourquoi des règles s'ils utilisent ce simple système de
poids?
Et deuxièmement, 5 Go? Ils font tourner ça sur les ordinateurs de la
NASA ou quoi?
Le meme produit fait aussi antispam (il est d'ailleurs precise', au
sein d'un incroyable fouillis de mots clefs resolument high-tech, qu'il
utilise des algorithmes genetiques).
Même question, où ça? :-)
En resume' : Si beaucoup de messages comportant une piece jointe executable
et ayant des caracteristiques similaires sont recus par leurs serveurs de
messagerie dans un laps de temps relativement court, alors il est probable
que la piece jointe en question soit un virus.
Ce n'est pas bête. Il y a quelques années déjà je m'étais posé la
question ce que ça donnerait de faire une telle analyse "corrélative" si
j'ose dire, sur un disque dur: on regarde les caractéristiques des
fichiers sur un disque dur et si on constate qu'un certain nombre de
fichiers possèdent les mêmes caractéristiques, alors il y de quoi se
faire des soucis. Suffit de bien choisir ces caractéristiques.
Dans le même esprit, TBAV permettait de faire une extraction de signature.
Alors, a votre avis, snake oil ou produit miracle ?
Bah, j'en sais rien. Ce que je sais, c'est qu'il faut faire drôlement
attention à tout ce qui se dit dans ce petit monde des virus et
antivirus, même quand ça provient d'experts ou de sources qui se veulent
indépendantes.
Je parle de manière générale, j'insiste là-dessus. Je ne fais allusion
ni aux trolls qui sévissent actuellement ici, ni à Vmyths.
Sur cette page : http://www.vmyths.com/rant.cfm?id`5&page=4 le site Vmyths.com fait l'eloge de la solution antivirale proposee par la societe' MessageLabs. La these de l'article est la suivante : les editeurs d'anti-virus detiennent et utilisent pour leur usage des produits bien plus performants que ceux qu'il mettent sur le marche', et cela pour de basses raisons commerciales. Pour un site sense' dennoncer les mythes entourant le petit monde des virus et des produits anti-virus, ca a de quoi surprendre. Mieux, selon cet article toujours, les societes antivirales possederaient des techniques de detection heuristiques tout aussi secretes que performantes ! Legende urbaine qui n'est pas sans me rappeller celle des voitures qui pourraient rouler a l'eau plate.
En guise de preuve, l'auteur de l'article assene comme une preuve irrefutable l'efficacte' de la solution antivirale de filtrage d'emails de MessageLabs et de son heuristique, judicieusement baptise' "skeptic". Un simple coup d'oeil sur le site de cet editeur est accablant, morceaux choisis :
"MessageLabs anti-virus service uses multiple scanners and Skeptic.s patented artificial intelligence to detect all viruses, known and unknown, before they reach you."
"Skeptic is designed to identify new viruses, both known and unknown, without any need for signature updates."
"It can identify a virus even if it is completely original in construction . and you are automatically protected from it."
"First to stop all viruses - past, present and future"
Hmmmm....ca sent bon l'huile de serpent, vous ne trouvez pas ?
Pour ce qui est de Melissa et de la mise à jour "placebo", faut pas oublier que le produit de Leprechaun *détectait* peut-être Melissa sans mise à jour, mais ne l'*identifiait* pas. Or l'identification est importante pour un tas de raisons.
Pour ce qui est des antivirus miracle que les éditeurs gardent bien au chaud chez eux, je veux bien y croire, mais jusqu'à un certain point seulement. Ainsi:
- certains éditeurs sont en retard sur d'autres concernant les taux de détection. Par exemple McAfee et KAV sont toujours dans les 99% alors que d'autres, nommons les abc et xyz, traînent dans les 95%. Je pense que abc et xyz, s'ils disposaient réellement de technologies miracle, auraient grand intérêt à en doter leurs antivirus publics, au moins partiellement, afin de rattrapper ce retard...
- cette meilleure détection ne doit pas être sans contraintes. Peut-être taux de fausses alertes plus élevé, ou bien vitesse peu élevée. Je donne un exemple extrême: si on pouvait émuler un programme du début à la fin il est clair qu'on pourrait détecter plus de virus que sous la contrainte du temps qui existe en réalité.
Il est toutefois possible de trouver quelques renseignements technico-commerciaux sur le fonctionnement de ce moteur heuristique :
Où ça?
- Il utilise un systeme de clssification extremement basique pour (chaque critere d'infection, un poids est attribue', si la somme des poids depasse un seuil predefini, le fichier est declare' infecte') ; - Ils se targuent neamoins d'un taux de faux positifs extremement faible (1/1 000.000).
J'ai du mal à y croire.
- 5 Gigas (!) de regles heuristiques.
???
Premièrement, pourquoi des règles s'ils utilisent ce simple système de poids?
Et deuxièmement, 5 Go? Ils font tourner ça sur les ordinateurs de la NASA ou quoi?
Le meme produit fait aussi antispam (il est d'ailleurs precise', au sein d'un incroyable fouillis de mots clefs resolument high-tech, qu'il utilise des algorithmes genetiques).
Même question, où ça? :-)
En resume' : Si beaucoup de messages comportant une piece jointe executable et ayant des caracteristiques similaires sont recus par leurs serveurs de messagerie dans un laps de temps relativement court, alors il est probable que la piece jointe en question soit un virus.
Ce n'est pas bête. Il y a quelques années déjà je m'étais posé la question ce que ça donnerait de faire une telle analyse "corrélative" si j'ose dire, sur un disque dur: on regarde les caractéristiques des fichiers sur un disque dur et si on constate qu'un certain nombre de fichiers possèdent les mêmes caractéristiques, alors il y de quoi se faire des soucis. Suffit de bien choisir ces caractéristiques.
Dans le même esprit, TBAV permettait de faire une extraction de signature.
Alors, a votre avis, snake oil ou produit miracle ?
Bah, j'en sais rien. Ce que je sais, c'est qu'il faut faire drôlement attention à tout ce qui se dit dans ce petit monde des virus et antivirus, même quand ça provient d'experts ou de sources qui se veulent indépendantes.
Je parle de manière générale, j'insiste là-dessus. Je ne fais allusion ni aux trolls qui sévissent actuellement ici, ni à Vmyths.
