54 replies to this topic

[cvsa]

Bonjour à tous,

Intéressante discussion entre pro et anti comodo sur le forum de comodo ( http://forums.comodo...o-t58497.0.html ). N'ayant pas vos compétences informatiques, je me garderai d'argumenter sur le fond et la méthode. Ce que j'en retiens cependant c'est que si cis est bien "killable" ou contournable via un malware, c'est suite à une action de l'utilisateur qui autorise et donne les pleins pouvoirs à ce malware. Cela prend 1 alerte avec la sandbox et généralement plusieurs alertes si la sandbox est désactivée.
Je comprends l'argument qui dit que "si on veut vraiment installer ce super logiciel pour lire des videos cool", on sera forcément amené à cliquer sur "autoriser" car le log ne marchera pas dans la sandbox... et on sera infecté.cqfd ... c'est à mon avis une des limites actuelles de comodo : on devrait pouvoir faire tout tourner dans la sandbox avec une meilleure virtualisation (genre returnil !) . Comme ça, plus besoin de donner des autorisations à des programmes inconnus qu'on veut tester...
Comodo , à mon avis, marchera bien avec 2 types d'utilisateurs : le noob qui a peur de tout et qui à la première alerte sandbox suspecte sur un logiciel non signé interdira l'action et n'insistera pas si le log ne veut pas se lancer, et l'utilisateur avancé qui désactivera la sandbox et interprétera correctement les alertes D+.... entre les 2 (l'ado qui "bidouille"?) réside le danger.....

Exemple avec le poc de shaoran "testé" par languy99 :"I ran it, it asked for unlimited access to the computer but becasue it was unsigned it recommended to be run in sandbox. Running in sandbox it did not do anything. I restarted and comodo ran just fine. If you bypass that first alert and say yes of course you will kill comodo because you are letting it do it. You application by itself cannot do it, the user has to do it. So sorry you fail.

And guess what Running diagnostics from comodo fixes it and bring it right back. lol"


Ma conclusion est que Peghorse va avoir du mal à tester "objectivement" ce cis 4 .... Les tests seront ou tout bons ou tout mauvais selon l'attitude de l'utilisateur face aux avertissements de D+/sandbox.... espérons que l'antivirus bloquera la majorité des menaces.....

Ce message a été modifié par cvsa - 27 juin 2010 - 08:25 .

[Shaoran]

On revient toujours sur les même débats de toute façon, c'est plus destiné aux parano qui feront toujours refuser plus qu'autre chose.
Quand je vois qu'on me rétorque encore que comme c'est une demande élevé de droit il faudrait tout le temps cliquez sur refuser si on ne le connait pas ... la question serait plutôt comment peut on connaitre la fiabilité d'une application ? Inutile de discuter d'avantage quand on voit se genre de réponse.

Par contre, si l'on désactive la sandbox, c'est une autre histoire, CIS indiquera qu'il demande un accès à explorer (plutôt que d'écrire la clé dans PendingFileRenameOperations comme l'indiquait la v3), c'est déjà moins un problème, même si l'action réelle n'est pas indiquée.

[Callisto]

J'ai une licence pour Comodo Pro\1 an.
1 pour G Data IS \ 6 mois
Vous les voulais?

[noisette]

Salut Callisto, et merci pour ces offres,


je préfère voir si les testeurs fous de passage dans le coin en ont besoin ou pas,

s'il reste une licence pour G-Data après leur passage, ce ne sera pas de refus, je ne l'ai jamais utilisé,

mais priorité aux testeurs, il n'y a pas photo.

[cvsa]

On revient toujours sur les même débats de toute façon, c'est plus destiné aux parano qui feront toujours refuser plus qu'autre chose.
Quand je vois qu'on me rétorque encore que comme c'est une demande élevé de droit il faudrait tout le temps cliquez sur refuser si on ne le connait pas ... la question serait plutôt comment peut on connaitre la fiabilité d'une application ? Inutile de discuter d'avantage quand on voit se genre de réponse.

Par contre, si l'on désactive la sandbox, c'est une autre histoire, CIS indiquera qu'il demande un accès à explorer (plutôt que d'écrire la clé dans PendingFileRenameOperations comme l'indiquait la v3), c'est déjà moins un problème, même si l'action réelle n'est pas indiquée.

d'où l'utilité pour comodo d'avoir un AV performant... si possible avec intégration de leur technologie "in the cloud" pour bloquer le programme malicieux AVANT que la sandbox pose une question "piège"

[Shaoran]

Leur technologie cloud est déjà intégrée, le cloud étant d'ailleurs prioritaire par rapport à la base virale locale.

Ce message a été modifié par Shaoran - 27 juin 2010 - 10:17 .

[visualbasic]

je préfère voir si les testeurs fous de passage dans le coin en ont besoin ou pas,

s'il reste une licence pour G-Data après leur passage, ce ne sera pas de refus, je ne l'ai jamais utilisé,

mais priorité aux testeurs, il n'y a pas photo.

Bah .. comodo pro n'ajoute rien a la gratuite, c'est une pure arnaque comerciale,
et g-data est en version d'essaie

,

c'est plus destiné aux parano qui feront toujours refuser plus qu'autre chose.
Quand je vois qu'on me rétorque encore que comme c'est une demande élevé de droit il faudrait tout le temps cliquez sur refuser si on ne le connait pas ... la question serait plutôt comment peut on connaitre la fiabilité d'une application ? Inutile de discuter d'avantage quand on voit se genre de réponse.

C'est clair ,

y'a cette alerte, sachant que c'est une programme qui se connecte sur internet, qui a des plugins vb6, python, que le programme peut changer la musique depuis son interface, parler a des gens, et plein d'autre choses, je doute que le mec qui en sait pas ce que c'est bloqueras cette alerte, surtout que le .dll est de microsoft. mais comodo l'indique pas. c'est comme si y donnait une alerte ce programme tente de faire un hook sur kernel32.dll , alors que un helloworld appele deja cette dll.

Ce message a été modifié par visualbasic - 27 juin 2010 - 11:33 .

[cvsa]

oui, c'est bien ce que je dis..... mais il est prévenu... 3 possibilités :

- Il n'y connait rien et est prudent -> il bloque car il a lu le mot "malware" et miragebot.exe n'est pas une de ses "everyday application" -> il est protégé
- C'est un pro et il a envoyé ce fichier à virustotal avant et/ou à CIMA et donc il sait que ce prog est sain (il peut même le lancer sous returnil )-> il accepte et tout se passe bien
- c'est un ado bidouilleur du dimanche -> il accepte et est infecté ... mais quelle suite de sécurité peut aller à l'encontre de l'utilisateur final si celui-ci a été prévenu.... (le tout sans inonder l'utilisateur de popups à longueur de temps) ?

[visualbasic]

mais quelle suite de sécurité peut aller à l'encontre de l'utilisateur final si celui-ci a été prévenu.... (le tout sans inonder l'utilisateur de popups à longueur de temps) ?

COMODO !! , ne cherche pas plus loin
au faite la sandbox donne quand meme des alertes debiles, parce que quand je vois une alerte hook, si tu autorises pas 60% des cas l'application ne marchera pas ..
mais c'est vrai que un utilisateur qui n'a pas recu beaucoup d'alertes, bloqueras l'application systématiquement, mais c'est une mauvaise habitude a prendre, parce que il doit tout bloquer, sachant que returnil , COMODO ne le detecte pas en tant que " trusted " :>
Imaginons un autre cas, y fait confiance au createur de ce logiciel, il va forcement autoriser.
Le but est tant d'engrainer leur base antiviral, et rien d'autre, a la version 5, la sandbox est comme Sandboxie ou un truc du genre, il savent deja que si la sandbox continue comme ca, a un moment, meme les fansboys les plus fidéles quitterons forcement a un moment ou un autre, comodo.
Edit : un bug interessant ici : http://forums.comodo...n-t58537.0.html
Je l'avais eu a la seconde version de la version 4

Ce message a été modifié par visualbasic - 27 juin 2010 - 12:32 .

[cvsa]

Le but est tant d'engrainer leur base antiviral, et rien d'autre, a la version 5, la sandbox est comme Sandboxie ou un truc du genre, il savent deja que si la sandbox continue comme ca, a un moment, meme les fansboys les plus fidéles quitterons forcement a un moment ou un autre, comodo.

Peux-tu préciser ta pensée ? j'ai du mal à te suivre

[visualbasic]

Vue que si il font un cloud trop vite, ca sera buggé, Ils ont fait le principe de mettre la sandbox , ca s'envoie directement donc ils ont les fichiers, Tous ca pour un but de faire un plus grand cloud que panda, la sandbox est un semblant de sécurité, Histoire que l'av crash pas.
D'ailleurs comodo ne detecte pas les adwares.
desactivez tout, mettez un navipromo dans le pc, activez l'antivirus, scanner avec lantivirus, y ne le detectera pas.

Ce message a été modifié par visualbasic - 27 juin 2010 - 13:40 .

[loumax]

Suite à la vidéo de MRG les réactions ne se font pas attendre !

[cvsa]

Étant sur mon lieu de travail, je ne peux pas voir les vidéos, j'ai lu le fight sur le forum de Comodo.
En tant qu'utilisateur passionné, avancé et autodidacte je dirais que ... Un utilisateur lambda ne peut pas comprendre l'alerte "Install Global hook" ... tout simplement !
C'est pour ça que je répète souvent que COMODO n'est pas destiné aux débutants mais plutôt aux utilisateurs avancés qui comprennent les termes techniques.

c'est sûr .... néanmoins, comodo a fait depuis lors un gros travail d'explication dans ses popups. Pour peu qu'on prenne un peu le temps de lire (ce qui peut s'envisager vu que maintenant les popups sont rares) , comodo précise bien que "si le programma est une application habituelle , on peut accepter la requête".

La diminution des popups dans la v4 (en utilisation quotidienne normale, il n'y en a quasi plus) fait que l'on s'intéresse un peu plus à ceux qui apparaissent et on prend le temps de les lire au lieu de tout valider...


Au fait , Peghorse, tu la teste quand cette v4 ?

Ce message a été modifié par cvsa - 01 juillet 2010 - 17:50 .

[Txon]

J'espère reprendre le weekend d'après.

Je suis déjà impatient !

@+

[Shaoran]

La suite :




Par contre, cela me fait penser que Comodo ne contrôle pas des masses les accès aux modifications des services. L'arrêter est complexe, par contre, le supprimer reste assez simple si certains veulent s'y amuser. Il en va de même pour les drivers qu'on peut décharger par la même méthode. Je n'ai toutefois pas tenter de faire une applicaiton dédié à cette tache.

[visualbasic]

En effet, je suis content pour comodo.

[cvsa]

la réponse de melih :"
Chris

As of today I view your organisation as a rogue organisation. Especially trying to blackmail Comodo by publishing these kind of videos.

We would NOT want to be associated with your company in any way, unless you changed your ways and acted professionally.

Do you see other respectable organisations releasing one sided videos like you do singling out a company?
Do you see other respectable organisations releasing testing methodologies and then modifying it after the tests?

I will not and cannot put Comodo's good name at risk by associating it with this kind of operation. I can't imagine any other respectable organisation agreeing and joining you with your operation of modifying testing methodology.

You don't even comply with NIAC Disclosure Guidelines. This is Vulnerability disclosure 101 and any decent testing organisation involved in vulnerability research follow this.

Clean up your act, then we will welcome you, until then.........

Melih"

... ce qui ne résoud pas le problème.... chaque camp grimpant sur ses ergots....

[Shaoran]

Melih tente une seule chose, changer le sujet du débat pour discréditer l'adversaire, il est très bon là dessus, et MRG se défendant mal, c'est dommage pour eux.

Ce message a été modifié par Shaoran - 05 juillet 2010 - 19:40 .

[vigen]

j'adore le "organisation respectable"....

[loumax]

Le 8 juillet 2010, Comodo encore leader de Challenge Matousec de sécurité pro-active !
(Une nouvelle qui va faire plaisir à Visualbasic ... !)
http://www.matousec....roducts-ratings

[visualbasic]

Plus pour lomgtemps :>

[cvsa]

Affirmation gratuite ...... mais ne t'en déplaise les faits sont là....

[vigen]

Cela fait bien longtemps que je ne prend plus les tests de Matousec comme "références"...je me rappel de Pc tools dans les meilleures pare-feu...n'importe nawak

Edit: Dans mon "Shaoran archive detection challenge" , Antivir reste le premier, suivi de bitdefender (mais si, mais si..), G-data, et enfin Kaspersky extremement a la traine des autres d'ailleurs.

Ce ne sont que des tests de détection pur, biensur...Un peu le AV-comparative normand ^^

Ce message a été modifié par vigen - 10 juillet 2010 - 15:20 .