pour aider à sécuriser son parefeu windows, que pensez-vous de l'outil Windows Firewall Control ?
http://www.binisoft.org/wfc.php
Posté 22 juillet 2013 - 15:54
pour aider à sécuriser son parefeu windows, que pensez-vous de l'outil Windows Firewall Control ?
http://www.binisoft.org/wfc.php
Posté 22 juillet 2013 - 17:44
D'autant que beaucoup de pare-feu de suite de sécurité, fonctionnant en mode "Automatique", n'offre pas beaucoup plus que le pare-feu embarqué Windows.
"Mais il faut accepter son niveau d'intégration (d'intrusion) dans le système"
Je trouve aussi, cette phrase intéressante, car elle soulève, je pense, une autre problématique.
Je pense que l'on s'accorderas tous, sur le fait, qu'un logiciel a trop forte intrusion/incrustation dans le système ( eventuellement pour certains, modifications du noyau Windows, captent les interruptions, substituent les tableaux des vecteurs etc etc) peux affaiblir la stabilité de celui-ci, voir meme crée des vulnérabilités, et donc sa productivité qui est, son role premier..
N'y a t'il pas là un paradoxe?
Un système fait pour le protégé, et donc le "renforcé", au final, l'affaiblis?
Ce message a été modifié par vigen - 22 juillet 2013 - 17:50 .
Posté 23 juillet 2013 - 01:05
"Ok, il le gère, mais comment croire que les utilisateurs Windows dans leur ensemble iront faire cette vérification ?"
Wikipédia ! c'est une encyclopédie accessible et gratuite.
"...ce qu'une pop-up d'alerte lui aurait appris."
le syndrome d'évitement de la fenêtre surgissante se manifeste rapidement après une salve de notifications.
"...considères-tu que se méfier de Microsoft pour la sécurité de sa machine et de sa vie privée relève du mensonge et de la désinformation ?"
Je préfère l'esprit critique que l'esprit de dénigrement systèmatique.
"Quel critère proposes-tu pour mesurer la confiance que nous devrions accorder à un OS plutôt qu'à un logiciel qui fonctionne sur cet OS, ou à ses dépends ?"
La confiance n'est jamais neutre. Elle est une dépendance. Elle est un parasite. Elle est un vide. Elle est une faiblesse. Elle est une facilité. Elle est une manipulation. Elle est tôt ou tard une trahison. Quand vient le moment de faire un choix, j'applique la théorie du moindre mal.
"Dans quel sens passerait-il ? "
Comment le vent sait-il dans quel sens il doit souffler ?
Posté 23 juillet 2013 - 05:56
Salut triste Sire,
t'as ptête raison pour la confiance ... ou pas ... en tout cas, j'aurais tendance à penser qu'on ressent la confiance telle qu'on la pense, c'est pas mal une question de représentation. La confiance, ce peut être aussi positif que le seul négatif que tu relèves.
Je préfère l'esprit critique que l'esprit de dénigrement systèmatique.
Sauf pour la confiance, visiblement.
Pour en revenir au sujet, je ne crois pas que ce soit une aberration de tester l'antivirus de la suite seul.
Au moins pour vérifier ce que tu dis, que cet antivirus seul n'est pas (aussi - assez - rayez la mention qui vous plait) efficace.
Ce serait plutôt une aberration de l’utiliser seul, si je te suis bien,
règle à laquelle j'ai déjà trouvé, dans la pratique, un contre-exemple. D'importance en plus, mais passons (ça concerne le ver Conficker. sur mon lieu de travail, je t'aurais bien demandé quelques explications techniques sur cette chose, avec ton avis sur une situation donnée et ce qu'elle peut cacher, mais ce serait abuser du fil et de ton temps - en tout cas c'est une histoire où l'antivirus "seul" a eu un rôle assez positif).
Posté 23 juillet 2013 - 15:10
Salut à tous,
Salut mon B.B
@Vigen
"Un système fait pour le protégé, et donc le "renforcé", au final, l'affaiblis?"
C'est une bonne remarque. Un logiciel de protection dont le fonctionnement dépend des privilèges d'exécution en mode ring0 peut fortifier ton système et/ou l'amollir.
Un autre problème souvent rencontré: un logiciel (hors installation) qui demande une élévation de privilèges via un manifest. Ce qui est discutable venant d'un convertisseur d'unités par exemple. L'utilisateur a là l'occasion de jouer pleinement son rôle d'administrateur en supprimant le manifest avec un éditeur de ressources. La découverte du logiciel pourra se faire dans un contexte de sécurité renforcé.
@Noisette
Raconte-moi ton histoire. Merci.
Posté 23 juillet 2013 - 15:57
La confiance n'est jamais neutre. Elle est une dépendance. Elle est un parasite. Elle est un vide. Elle est une faiblesse. Elle est une facilité. Elle est une manipulation. Elle est tôt ou tard une trahison. Quand vient le moment de faire un choix, j'applique la théorie du moindre mal.
Tout un sujet de philosophie à proposer aux rossards qui obtiendront de toutes façons le bac un jour ou l'autre (sauf 10 à 12% d'irrécuparables) et pourront envahir les universités pour y prolonger leur "cancritude" chronique.
@Vigen"Un système fait pour le protégé, et donc le "renforcé", au final, l'affaiblis?"
C'est une bonne remarque. Un logiciel de protection dont le fonctionnement dépend des privilèges d'exécution en mode ring0 peut fortifier ton système et/ou l'amollir.
Effectivement. Un logiciel mal fini qui pénètre dans le système peut-être très dangereux.
Heureusement ce n'est pas le cas de tous. Certains ARKs ont démontré être tout à fait stables et indolores pour WIndows.
Note : Analyser ce qui se passe au "ring0" n'est plus suffisant. Le "ring-1" aussi est attaqué depuis pas mal de temps (Vive Joanna Rutkowska ! )
@+
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)
Posté 23 juillet 2013 - 16:41
Désolé du HS
L'histoire en question, c'est un réseau sous Windows, dans un cadre professionnel "non sensible", et à l'équipement informatique disparate, assez mal maitrisé, etc etc
le truc classique.
J'ai un PC sur ce réseau, et ce PC m'a été "livré" avec un antivirus payant (à quand le jour où on me retranchera le prix de la licence sur mon salaire ?), dont le module heuristique est désactivé (pas de souscription donc voilà),
une espèce de coquille vide, ou ne reposant que sur une base de signatures.
Pare-feu MS, et à ce propos, la majorité des postes tournent sous XP, dont le mien.
XP, juste pour un foutu logiciel bidon, une sorte de vague surcouche excel, payée à prix d'or, mais je m'éloigne de mon sujet.
On me livre ce PC, un compte admin (comme tout le monde), mais pas tout à fait admin: admin en local, pas sur le réseau (domaine).
Je constate le problème de l'antivirus castré, je remonte l'info, mais au dessus, on semble s'en branler, je me demande même si ils ont compris le problème, je passe juste pour - l'éternel - emmerdeur insatisfait.
Je tente de le désinstaller pour mettre autre chose ... impossible, installation via le serveur.
J'en ai eu ma claque, installé MSE, qui arrive à cohabiter sainement avec ma coquille vide d'antivirus, sans aucun conflit.
Et puis j'installe Comodo.
J'ai vraiment de drôle de droits, m'enfin, pas de temps à perdre à leur signaler toussa, de toute façon ça ne sert à rien à court terme, j'ai donc:
ma coquille vide,
MSE,
Comodo, avec surveillance en temps réel activée.
Un jour, un tech passe le midi pour faire une mise à jour de je ne sais quoi.
Je me barre manger, et en revenant, je vois qu'il a du désactiver Comodo, et qu'il a oublié ... de le réactiver.
L'après-midi-même, MSE m'alerte qu'il a décelé Conficker. Avec ses putains de fichiers sur mon PC.
Personne n'était au courant. Forcément.
Et puis petit à petit, ah bah oui, effectivement, il y a une merde sur le réseau.
Il a été prétendu que deux boites se sont succédées pour désinfecter. En deux ans. Ce qui est peut-être vrai.
C'est assez lourd je crois, de désinfecter un réseau d'une petite cinquantaine de PC,
de mettre en place une stratégie minimale de sécurité parmi des utilisateurs habitués à faire n'importe quoi, bref, je cherche des circonstances atténuantes,
mais à part d'être tombé sur deux boites dépassées par ça, cela finit par me faire me poser des questions.
Que peut cacher Conficker ? Quels outils peuvent être entrés avec lui, bref, on revient sur le terrain de la confiance, là ...
Posté 23 juillet 2013 - 20:58
@Noisette
Je crois que l'on connais tous, plus ou moins, des aberrations dans le déploiement logiciel de nos entreprises.
Dans mon entreprise, ont tournent aussi sous XP, mais toutes les données sont cryptées par une surcouche logiciel..Ont a le droit a du McAfee pour la solution AV, et ont a accès qu'a une liste "Blanche" de sites (liste très très restreinte) donc impossible d'aller depuis mon poste sur IM par exemple.
Ont a nous aussi nos logiciels "Antédiluvien", un "outlook" oldschool et évidemment, la suite office, certainement acquise pour un prix modique
Mais bon soyons positif, si meme la Gendarmerie Nationale, a choisie de passé sous Linux ( http://www.zdnet.fr/...ns-39377943.htm ) , cela commenceras peut être a se généralisé....
Edit: Quand l'Administration dit "NON"
http://www.numerama....-et-mcafee.html
(Ce qui est assez rare pour etre souligné ^^)
Ce message a été modifié par vigen - 23 juillet 2013 - 21:02 .
Posté 23 juillet 2013 - 22:04
Salut à tous,
Salut mon BigBoss,
La confiance est ton talon d'Achille...
@Txon
"(Vive Joanna Rutkowska ! )"
N'est-ce pas trop dur de vivre cet amour sous l'oeil de Platon ?
Elle est douée dans son domaine.
Posté 23 juillet 2013 - 22:14
Salut à tous,
Salut mon BigBoss,
La confiance est ton talon d'Achille...
Pourvu que ça dure.
Posté 23 juillet 2013 - 22:19
Salut à tous,
Salut mon BigBoss,
La confiance est ton talon d'Achille...
Pourvu que ça dure.
Le monde binaire, ne connait pas cette "faiblesse Humaine"
Il n'y a que deux options
En meme temps, une fois que l'on est "Aware" c'est bete comme chou ^^
Ce message a été modifié par vigen - 23 juillet 2013 - 22:20 .
Posté 23 juillet 2013 - 22:44
@Noisette
Ma copine pense presque comme toi.
@Vigen
Jean-Claude van Damme était en avance sur son temps ^^
Posté 23 juillet 2013 - 23:11
Un visionnaire même !!!!
http://www.youtube.com/watch?v=65M00Dwn8Bc
Posté 24 juillet 2013 - 07:09
L'avis de Pierre Pinard d'assiste.com sur les tests antivirus:
Crédibilité des tests comparatifs antivirus: http://assiste.free...._antivirus.html
en sachant que Comodo et lui; comment dire, c'est pas le grand amour (il y a quelques années , ca a failli tourner au vinaigre apparemment,vu les menaces de Comodo sur son forum;
faut dire qu'il dézinguait sec (à tord ou à raison à l'époque) Comodo.. )
à+
Posté 24 juillet 2013 - 09:17
@Noisette
Ma copine pense presque comme toi.
Je ne croyais pas avoir été si clair, ni même l'être, mais comme on dit, nul n'est prophète en son pays.
Ceci dit, et pour en revenir à cette petite histoire, c'est bien MSE (puisque Comodo avait été désactivé) qui m'a révélé la tentative d'intrusion de Conficker, et m'en a (en partie seulement, je le crains) préservé.
Il y a deux trucs que je trouve appréciables dans MSE:
Usuellement, dans le premier cas, je double avec Comodo, alors que dans le premier, j'ai tendance à penser que le pare-feu Windows est la meilleure solution, au moins temporairement (certains apprennent, d'autres non). Dans une certaine mesure, je suis en cela l'adage de Gailuron (à qui se forum doit tant): "le meilleur pare-feu, c'est celui que tu maîtrises".
Posté 24 juillet 2013 - 09:34
L'avis de Pierre Pinard d'assiste.com sur les tests antivirus:
Crédibilité des tests comparatifs antivirus: http://assiste.free...._antivirus.html
en sachant que Comodo et lui; comment dire, c'est pas le grand amour (il y a quelques années , ca a failli tourner au vinaigre apparemment,vu les menaces de Comodo sur son forum;
faut dire qu'il dézinguait sec (à tord ou à raison à l'époque) Comodo.. )
à+
Posté 24 juillet 2013 - 10:30
Je dirais rien sur MSE, on connait mon avis sur ce bidule
Pour AdAware, ce qui me fait rire c'est qu'il est testé, alors qu'il est fortement déconseiller (compagnie racheté par un panier de crabe apparamment)
Si vous voulez pas de virus => Linux !
Posté 24 juillet 2013 - 11:17
Salut,
"Si vous voulez pas de virus => Linux"
ça va être difficile de chopper un virus sous Windows déjà
"Notre laboratoire d'analyse a découvert que les virus classiques constituent moins de 0,5 % de la totalité des menaces (en 2012). Il serait donc par définition faux de l'appeler « Anti-Virus ». Nous sommes des perfectionnistes, et c'est pour cela que nous avons opté pour le terme « Malware » qui couvre mieux la définition. « Malware » inclut toutes sortes de menaces, telles que les virus (0,5 %), logiciels de sécurité falsifiés (0,5 %), publiciels (2,7 %), applications possiblement malicieuses (4,1 %), vers (4,6 %), logiciels malveillants financiers et voleurs de mot de passe (5,3 %), enregistreurs de frappe (6,9 %), backdoors (13,3 %) et chevaux de Troie (61,3 %). Veuillez tenir en compte que les logiciels « anti-malware » du marché ne proposent pas tous les mêmes fonctions et le même niveau de protection."
http://www.emsisoft....re/antimalware/
Posté 24 juillet 2013 - 22:14
Salut à tous,
Salut BigBoss,
Je partage l'analyse d'emsisoft.
@Noisette
Quand c'est possible, il est préfèrable de prendre le contrôle du malware que de laisser l'antivirus le supprimer.
Un exemple simple et très répandu: le keylogger.
Note importante. Un malware est un logiciel, et comme tous les logiciels, il a parfois des faiblesses.
Comment peut-on prendre le contrôle d'un keylogger ?
* En analysant l'objet avec des outils ad hoc
* En contournant le mot de passe autorisant l'accès à son interface
Quelles informations/fonctions du keylogger peut-on exploiter ?
* Log d'enregistrement (date/heure - données captées)
* Les paramètres de configuration
* Login/Password des comptes FTP/Mail/Serveur de la barbouze
* Désinstallation du keylogger (fonction souvent présente intra-muros)
Après, libre à chacun d'imaginer des scénarios de riposte.
Posté 25 juillet 2013 - 09:09
Quand c'est possible, il est préfèrable de prendre le contrôle du malware que de laisser l'antivirus le supprimer.
Un exemple simple et très répandu: le keylogger.
Note importante. Un malware est un logiciel, et comme tous les logiciels, il a parfois des faiblesses.
Comment peut-on prendre le contrôle d'un keylogger ?
* En analysant l'objet avec des outils ad hoc
* En contournant le mot de passe autorisant l'accès à son interface
Vaste programme !
Une chose est analyser un keylogger "commercial" (un truc pour surveiller les gosses etc.) et donc un logiciel volontairement installé, une autre est analyser ce que fait un keylogger mal intentionné généralement bien caché par un rootkit.
Pour ces derniers, quels seraient selon toi les "outils ad hoc" (détection + analyse + contournement d'un éventuel mot de passe). Utilises-tu un logiciel de rétroingénierie ? Si oui, lequel ?
Ce serait bien que tu fasses un "tuto" sur ce sujet.
@+
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)
Posté 25 juillet 2013 - 17:16
Quand c'est possible, il est préfèrable de prendre le contrôle du malware que de laisser l'antivirus le supprimer.
Un exemple simple et très répandu: le keylogger.
Note importante. Un malware est un logiciel, et comme tous les logiciels, il a parfois des faiblesses.
Comment peut-on prendre le contrôle d'un keylogger ?
* En analysant l'objet avec des outils ad hoc
* En contournant le mot de passe autorisant l'accès à son interface
Vaste programme !
Une chose est analyser un keylogger "commercial" (un truc pour surveiller les gosses etc.) et donc un logiciel volontairement installé, une autre est analyser ce que fait un keylogger mal intentionné généralement bien caché par un rootkit.
Pour ces derniers, quels seraient selon toi les "outils ad hoc" (détection + analyse + contournement d'un éventuel mot de passe). Utilises-tu un logiciel de rétroingénierie ? Si oui, lequel ?
Ce serait bien que tu fasses un "tuto" sur ce sujet.
@+
Oui cela serait même passionnant. Merci d'avance.
Posté 25 juillet 2013 - 17:20
Moi j'ai rien dit hein
Posté 26 juillet 2013 - 02:07
Moi j'ai rien dit hein
Loll !!!!!
Posté 26 juillet 2013 - 22:15
De toute façon, je suis en stand by sur cette histoire encore quelques temps,
d'ici un mois, je regarderai (et merci, même si c'est vrai, vaste programme, on ne sait par où commencer ^^).
Posté 05 août 2013 - 16:58
Posté 05 août 2013 - 17:02
Merci beaucoup tristan.
Question au passage: est-ce que le type de malware que j'ai mentionné, Conficker en l'occurrence, permet de préciser les menaces potentiellement cachées avec ou au contraire, ça peut cacher à peu près tout ?
Posté 05 août 2013 - 19:09
Re BBoss,
Je n'en ai aucune idée. Je vais essayer de dégager un peu de temps pour travailler sur une analyse complète de conficker. Mais je ne te promets rien dans l'immédiat. Je dois bientôt partir en Australie pour quelques mois.
Posté 06 août 2013 - 09:25
Le principe du ''bon maliciel'' est simple :
Un rootkit (ring0 ou ring3 *) ou, mieux, un bootkit (ring-1) qui intègre le lancement d'un rootkit avec le système d'exploitation, cache …
.. désactivateur de logiciels de sécurité connus (Norton, Antivir etc.)
.. bloqueur d'outils de ''traçage'' et de désinfection connus,
.. camoufleur d'activité,
.. ''ver'' reproducteur, keylogger, spammer etc.
.. éventuellement, d'autres rootkits et chevaux de Troie pour cacher et communiquer de manière différente du premier (changement du port de communication ...) ou même un réparateur et un outil de nettoyage pour enlever tout module qui n'est plus utilisé et ses fichiers de travail.
Les ''bon maliciels'' sont furtifs, chiffrés, polymorphes ou métamorphes.
A partir de là, et comme les communications se font à travers un serveur proxy ou des réseaux d'anonymisation, le repérage du maliciel est difficile et la désinfection peut très bien n'être que partielle car seuls quelques éléments ont été identifiés.
Si le botmaster et ceux qui travaillent avec lui sont des travailleurs consciencieux (entendez : vicelards), ils modifient fréquemment tous les éléments constitutifs de leur maliciel, y compris le donneur d'ordre apparent. Heureusement, beaucoup des réseaux préfèrent la quantité de corrompus à la qualité de l'infection.
Aucun des outils cités plus haut n'est suffisant en soi. Seuls des ''pros'' disposant de temps suffisant arriveront à détecter les meilleurs maliciels. Certains ont résisté des mois et même des années avant d'être découverts, parfois à cause d'un détail insignifiant en apparence, parfois parce que l'auteur lui-même a donné toutes les indications nécessaires.
@+
(*) Les rootkits en ring0 et les bootkits en ring-1 sont beaucoup plus difficiles à développer et injecter ne serait-ce qu'à cause des protections incluses dans les systèmes d'exploitation comme l'UAC (contrôle du compte de l'utilisateur) de Windows et de la connaissance approfondie du système qu'ils requièrent. Ce sont bien entendu les plus efficaces.
(**) Le rôle du pare-feu est très important. Il est nécessaire qu'il soit correctement paramétré pour empêcher toute communication sortante intempestive et protégé contre les neutralisation/désinstallations.
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)
Posté 06 août 2013 - 09:49
Merci aussi de ces précisions.
En ce qui me concerne, ce que j'ai à craindre, c'est:
soit l'utilisation très peu probable d'un système de surveillance non déclaré,
soit l'infection du réseau par une entité externe, classiquement, possiblement utilisée, mais dont j'ai mentionné à maintes reprises l'existence à qui de droit.
Dans les deux cas je n'ai donc rien de personnel à craindre, mais en revanche, j'aimerais avoir le coeur net sur ce qu'il se passe.
Posté 06 août 2013 - 16:08
0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)