Shaoran

avec le fameux script de Shaoran (qui soit dit en passant n'a jamais fonctionné avec moi)

Attention, d'une il faut le "configurer" correctement et de deux, il ne fait que lancer la désinstallation de Comodo en mode silencieux. SI cette dernière ne marche pas ou n'existe plus, c'est normal.


Tu es vraiment sûr de ton fichier d'installation ?

Je ne pense pas qu'on l'on puisse dire tout ce qui est connecté à internet. Dans le cas de cmd par exemple, ce dernier ne peut pas se connecter à internet (c'est bien l'un des problème de Windows enfin corrigé par powershell d'ailleurs). Par contre, c'est l'un des principaux vecteurs d'attaques et il est bien non sûr par défaut.

Je crois surtout du peu que je constate que defensewall ne travail pas comme les autres.

 

Si l'on prend CIS / OA, on part d'une liste de fichiers inconnus que l'on reparti en sûr et non sûr. Sachant que montrer qu'un fichier est réellement sûr ... comme montré, c'est plus complexe que cela ne semble.

 

Si l'on prend defensewall, j'ai plus l'impression qu'il part du principe que tout est sûr (ou non surveillé) et de là, il retire ceux qui peuvent être vecteurs de menaces. Auquel cas, c'est bien plus simple à gérer, et bien plus sûr comme raisonnement. A voir après les contrainte d'un tel système.

Il faudrait par contre peut être comprendre que IE est une voie d’accès, qu'activeX en fait parti, mais que tout le système complet est une voie d'accès.

Autrement dit, s'il existe une faille de sécurité comme un dépassement de mémoire tampon sous VLC qui serait enclencher par une vidéo. Cette vidéo serait un trou utilisable par cette faille.

Même chose pour un tableau excel ou odt.

Même chose pour un plugin que ce soit sous IE, Firefox, Chrome, WLM et j'en passe des meilleurs.

 

 

 

En gros, l'idée à retenir la dedans c'est que si une menace utilise un exécutable présent dans la liste blanche pour se propager, il va se confronter volontairement ou non à cette faille et la protection ne dira rien. Donc comme je le disais du temps de mon exploit java, arrêtez de parler de java (IE) et voyez le cœur du problème. Pas mes démonstrations codées à la va vite. Elle sont là pour montrer un raisonnement que j'ai eu à la sortie de la béta de CIS4, sachant que j'ai un raisonnement très scientifique en général. Rappelez vous des cours de démonstrations en mathématique, c'est super pratique dans la vie de tous les jours en faite, on est bien loin de quand on se faisait chier en cours.

 

C'est ici une preuve par l'exemple : http://fr.wikipedia....e_par_l'exemple

 

Ce que l'on sait de base :

 

Toute application dans la liste sûre peuvent faire tout ce qu'elle veulent.

Toute application dans les liste non sûre ne peut rien faire

Toute application inconnue est soumise aux décision de l'utilisateur ou restreint par la sandbox

 

 

Ce que l'on cherche à démontrer :

 

Si une application sûre exécute un code malveillant, la protection n'agira pas.

 

 

Ici la démonstration est de le prouver au moins une fois, ce qui était très pertinent avec mon premier exploit.

 

Le code est contenu dans un fichier jar (ie fichier exécutable java)

 

Si j’exécute directement le fichier jar, la sandbox réagi ou bien l'hips réagi. (commande : mon_fichier.jar)

Si je lance l’exécutable en passant par l'exécutable java, la protection ne fait rien (commande java.exe -jar mon_fichier.jar)

 

 

De fait, avec un essais cela passe, le raisonnement tient la route, de fait c'est reproductible, c'est ce que j'ai fait avec IE. C'est aussi ce que j'ai fais récemment avec firefox.

Naturellement, si on prenait le temps, on pourrait faire une excellente démonstration sans avoir de pop up à l’écran ou de problème de droits sous vista et seven. Sauf que ce genre de travail demande du temps et que je préfère utiliser le mien sur des choses plus utiles sachant pertinemment que ce soit Comodo ou emisoft, les deux ont réagit pareils aux première failles et on juste colmater l'exploit montré sans prendre en compte le vrai problème soulever et le raisonnement qu'il y a derrière.

Le script n'est pas compatible avec firefox, seulement avec IE, c'est donc normal s'il ne se passe rien. Quand au mode paranoïa, ouais en effet, car la liste blanche n'est plus utilisée comme déjà dit. Mais vu le nombre de pop up ...