169 replies to this topic

[Shaoran]

Le script fait quoi en gros ? Il lance une commande ?

Ah ah, bon au final j'en dirai pas plus pour l'instant

Le DACS? nan plus d'actualité apparement...les services juridique ont du sévirent.

Ouais c'est ça, DACS, la révolution, on copie sur les autres, c'est nouveau, c'est innovant, ça fais juste plusieurs milliers d'années que ça existe.
On se croirait chez Apple ...

[spywar]

En tout cas merci Shaoran cette faille il fallait la noté et j'ai vraiment hâte de voir ce que les concurrents nous réservent ...
Le DACS c'était un système qui permettait aux utilisateurs de remontés un fichier détecté par un autre AV aux serveurs puis ensuite sur KillSwitch on pouvait voir par exemple DACS.DrWeb.TrojanKillProc ...

[vigen]

Et donc, indirectement, de se faire une base, avec le travail de détection des autres éditeurs^^ Faut pas hésiter a le dire...

[spywar]

Un peu oui ^^
C'est pourquoi ils devraient complètement l'oublier (je crois que c'est déjà fait) et plutôt se concentrer sur valkyrie qui faut avouer est prometteur ....

[EboO]

Bon au bout du compte le webshield c'est useless, soit, ça fera plus de ressources pour le reste. Le pare-feu c'est useless aussi, soit, mais alors tu proposes quoi ?
Les antivirus sont très inconstants actuellement, les détections comportementales ne font sûrement pas tout non plus.
Il nous reste defensewall et sandboxie...

Sinon je suis allé faire chauffer le forum de wilders avec la vidéo de Vigen, on va voir.

Hormis la réécriture complète de comodo il y a peut-être d'autres façons de régler ce problème.
De mémoire chez Emsisoft il avait été expliqué que ce script posait un double problème : celui de découvrir une faille, ce qui n'est jamais bon mais aussi que pour renforcer ce genre de protection il fallait réécrire une partie du code et cela risquait de poser de sérieux problèmes de compatibilité avec certaines applications.

Ce message a été modifié par EboO - 26 novembre 2012 - 20:39 .

[Hanibal]

Hanibal, le 25 novembre 2012 - 22:47 , dit :

Petite question, j'utilise le pare-feu de Comodo avec Avast. Le webshield d'Avast protège-t-il le pare-feu de ce type d'attaques ?

Il faut arreter avec les parefeu <<
Mais sinon non.

Merci pour la réponse, Shaoran ! Mais heu... pourquoi arrêter avec les pare-feu ? De ce que j'en sais (pas grand-chose, mais c'est pour ça que je suis là), ces trucs empêchent les accès de l'extérieur au pc. C'est donc une base de sécurité. Là, je dois dire, ça pique ma curiosité !
D'un autre côté, on voit qu'on ne peut se fier à la protection de Comodo telle qu'elle est actuellement. D'autres av aussi, probablement. D'où ma question : comment à l'heure actuelle avoir une protection réellement efficace ?

[EboO]

N'importe quel pare-feu, y compris celui de windows, bloque les acces extérieurs. Et ta box le fait aussi.
En général on les mets plutôt pour contrôler les sorties et filtrer. Mais vu qu'en général on autorise pratiquement tout en sortie...

[vigen]

Hanibal, le 25 novembre 2012 - 22:47 , dit :

Petite question, j'utilise le pare-feu de Comodo avec Avast. Le webshield d'Avast protège-t-il le pare-feu de ce type d'attaques ?

Il faut arreter avec les parefeu <<
Mais sinon non.

Merci pour la réponse, Shaoran ! Mais heu... pourquoi arrêter avec les pare-feu ? De ce que j'en sais (pas grand-chose, mais c'est pour ça que je suis là), ces trucs empêchent les accès de l'extérieur au pc. C'est donc une base de sécurité. Là, je dois dire, ça pique ma curiosité !
D'un autre côté, on voit qu'on ne peut se fier à la protection de Comodo telle qu'elle est actuellement. D'autres av aussi, probablement. D'où ma question : comment à l'heure actuelle avoir une protection réellement efficace ?

Ce que voulais dire Shaoran je pense, il corrigeras ou affirmeras, a ne pas douter C'est que la plupart des pare-feu "automatique", type kaspersky and co, ne servent a rien, car ils sont aussi performant que celui de Windows et ont des "Whitelist" trop permissives.

Concernant les pare-feu "classique", regarde les règles par défaut de svchost.exe par exemple, dans beaucoup, il est autorisé par défaut pour un coté "user friendly", alors que c'est un classique de l'infection, ou le cas de IE aussi, de nombreux produits que j'ai essayer, laisse libre ces deux protagonistes.

Quasi tous...

Donc une bonne injection de Dll (entre autres) bien placé et c'est mort

Mais bon, quand il passeras, il nous diras le fond de sa pensée

Ce message a été modifié par vigen - 26 novembre 2012 - 20:55 .

[kiko]

bonsoir
Je crois qu'appguard bloque les scripts en "locked down" mode ....

[Shaoran]

Bon au bout du compte le webshield c'est useless, soit, ça fera plus de ressources pour le reste. Le pare-feu c'est useless aussi, soit, mais alors tu proposes quoi ?

Attention pour le pare feu, ce qui est inutil c'est de chercher à filtrer le sortant. Ce n'est en aucun cas ce qui permettra d'éviter une propagation ou une fuite de donnée, etc. car tout comme Comodo ici et d'autres, c'est contournable. Malheuresement le point est là, rien est fiable à 100 %.
Plutôt que rester sur l'idée, il y a un trou, trouvons comment le boucher et ce ainsi de suite à chaque nouvelle découverte, il suffit d'aller au plus simple. Soit avec des outils qui signaleront quelque chose d'anormal sur le fonctionnement classique du poste, c'est la que les HIDS sont plutôt interressant mais peu existe pour l'instant ou sont réellement peu performant. C'est d'ailleurs la dessus que les auteurs de sécurité devraient travailler. Soit en étant plus intelligent et en trouvant comment être averti rapidement d'un souci, et d'utiliser un hameçon.

C'est là que je remets en avant l'utilisation du firewall de Windows, première cible de toute attaque en général et de fait meilleur système d'alarme de votre poste.
Il gère très bien son role, interdire l'entrant, et si de toute façon s'il tombe à cause d'un programme sur votre poste, c'est qu'il est déjà trop tard de toute façon.
J'en parlais à Vigen il y a peu, contourner un filtrage sortant ce n'est pas bien compliqué, il suffit de passer par un tuyaux déjà ouvert. Normalement je ferais un autre script pour le démontrer.

Aussi pour montrer la "puissance" du pare feu de base, il suffit de regarder les concours de hack qu'on a frequement pour tester les differentss navigateur ou plateforme en terme de sécurité, ils ne cherchent pas trop à s'occuper du parefeu, ça serait une perte de temps.

Les antivirus sont très inconstants actuellement, les détections comportementales ne font sûrement pas tout non plus.
Il nous reste defensewall et sandboxie...

Les sandbox sont contournables, c'est plus complexe mais le plus simple reste d'utiliser l'utilisateur (fiou ste phrase xD).
Cad, tu detectes la sandbox et tu fermes l'appli. Réaction simple de l'utilisateur, il va le sortir de la sandbox pensant qu'elle fait planter l'appli (ce qui arrive toujours quelques fois donc logique) et là, bingo.

Coté antivirus, je suis toujours dans le plus simple, le moins chiant et moins consommateur, panda cloud qui me suit depuis 2 ans. Franchement pour le nombre de menace recontrée / ans, cela ne vaut pas le coup de trop sacrifier ses performances. Qui plus est, si tu as une infection, généralement PCAV se coupe, il est facile à contourner, le firewall aussi, 2 alertes pour le prix d'une. Généralement tu lances un petit malwarebytes, tu redemares, et c'est fini. temps de l'opération max 20 min pour un incident potentiel tous les 39 du mois (testé et approuvé depuis 2 ans sur un minimum de 50 postes)

Hormis la réécriture complète de comodo il y a peut-être d'autres façons de régler ce problème.
De mémoire chez Emsisoft il avait été expliqué que ce script posait un double problème : celui de découvrir une faille, ce qui n'est jamais bon mais aussi que pour renforcer ce genre de protection il fallait réécrire une partie du code et cela risquait de poser de sérieux problèmes de compatibilité avec certaines applications.

En l'état, le plus simple est de brider les accès des applications en liste blanche (pour ce qui concerne de la faille la dessus). Pourquoi un navigateur internet peut lancer une application ou tuer un processus ? .... Déjà avec ça on peut reduire les dégats. Mais si l'on veut rester dans cette optique, il faut juste oublié l'idée qu'un processus peut être sûr, cela n'existe pas.

N'importe quel pare-feu, y compris celui de windows, bloque les acces extérieurs. Et ta box le fait aussi.

Attention par contre pour la box, uniquement en ipv4, en ipv6 on est directement connecté à internet. Bon, rare sont encore ceux qui l'utilisent (même moi je ne l'ai pas encore activé) mais bon, c'est ammené à devenir la norme donc bon, il faut juste le préciser au cas où.

Ce message a été modifié par Shaoran - 26 novembre 2012 - 21:47 .

[EboO]

Tu raisonnes en power-user, comment une personne lambda peut-elle s'y retrouver ? L'arrêt de l'antivirus ne l'alertera pas forcément.
Les droits des applications en liste blanche de comodo ne sont pas forcément adaptés en effet, ne peut-on les adapter manuellement ? Je me souviens que c'est possible dans OA.
Pour sandboxie ton idée d'infection n'est pas mauvaise, au mieux l'utilisateur prudent scanners le fichier en ligne avant de le sortir. Je dois avouer que la sandbox est la solution que j'envisage de plus en plus, avec le pare feu de windows. Et je scan en ligne les fichiers pour lesquels j'ai un doute. Ça fait un ensemble léger et pas prise de tête. Defensewall procédé un peu de cette façon en isolant tout. Mais dans les 2 cas il faut un minimum de réflexion. Et la compatibilité avec le 64 bits pose encore problème.
D'où mon retour vers comodo histoire de voir l'évolution.

[crdffrance]

C'est gênant pour Comodo mais leurs solutions sont avant tout gratuites.

Ce message a été modifié par crdffrance - 26 novembre 2012 - 22:30 .

[Shaoran]

Tu raisonnes en power-user, comment une personne lambda peut-elle s'y retrouver ? L'arrêt de l'antivirus ne l'alertera pas forcément.

Faut les forcer un peu, ça fini par passer même s'il faut parfois insister. Mais en majorité, ils t'appellent en cas de souci, la manipe étant rapide à distance, j'y passe peu de temps en général.

Les droits des applications en liste blanche de comodo ne sont pas forcément adaptés en effet, ne peut-on les adapter manuellement ? Je me souviens que c'est possible dans OA.

Il me semble oui, mais c'est assez limité.

Pour sandboxie ton idée d'infection n'est pas mauvaise

C'est pas qu'elle n'est pas mauvaise, c'est que c'est celle que tu verra le plus souvent déjà aujourd'hui, il suffit de passer certains fichier dans des outils comme anubis par exemple, c'est un bon moyen que j'utilisais avant pour filtrer les fichiers qui venaient des sites de references de fichiers malveillants à l'époque où je faisais mes packs.

au mieux l'utilisateur prudent scanners le fichier en ligne avant de le sortir.

Avec le nombre de FP, c'est plus souvent une corvée.

Je dois avouer que la sandbox est la solution que j'envisage de plus en plus, avec le pare feu de windows.

Regarde le nombre de contournement qu'il existe pour sandboxie, c'est aussi le problème des solutions connues. De manière général, on a qui plus est des outils qui rendent compatible un fichier avec plein de sandbox du marche en un clic, donc bon .... les sandbox, hormis pour le tests d'un fichiers pour suivre son activité, je ne trouve pas que cela soit une bonne solution.
Sans compté qu'il faut que le bon fichier soit en sandbox, de fait, tout dépend de l'angle d'attaque.

Ce message a été modifié par Shaoran - 26 novembre 2012 - 22:38 .

[Th-Crown]

Si cette faille est vulgarisée, cela obligera les éditeurs à la combler. Moralité, faut faire beaucoup de bruit autour de cette faille.

Shaoran, je comprends ton point de vue, qui est très logique. Mais comme le dit EboO, l'utilisateur lambda ne comprendra pas forcément. Déjà qu'il ne remarquera pas que son antivirus est arrêté. Déjà sous XP, nombreux ne le voyaient pas, mais sous Windows 7 cela est encore pire son icône étant masquée avec toutes les autres icônes à côté de l'icône de la connexion réseau.

Le HIDS est en effet une solution intéressante, et comme tu le dis Shaoran, les éditeurs doivent travailler là-dessus.

[EboO]

Effectivement il vaut mieux tester le fichier avec anubis.
Tu veux dire qu'il y a des outils pour sortir facilement de la sandbox ? Je croyais que sandboxie faisait partie des produits "costauds".
Et à propos de defensewall tu as déjà eu l'occasion de le tester ?

[vigen]

C'est gênant pour Comodo mais leurs solutions sont avant tout gratuites.

De moins en moins, il suffit de regarder le nombre de versions payantes...Il faut comprendre qu'une grande communauté apporte un gain en cout de développement non négligeable.

Ce message a été modifié par vigen - 27 novembre 2012 - 17:13 .

[Shaoran]

Tu veux dire qu'il y a des outils pour sortir facilement de la sandbox ? Je croyais que sandboxie faisait partie des produits "costauds".

Il y a déjà eu des failles sur Virtualbox pour passer sur l'hote donc bon.

Et à propos de defensewall tu as déjà eu l'occasion de le tester ?

Pas plus que ça.

Si cette faille est vulgarisée, cela obligera les éditeurs à la combler. Moralité, faut faire beaucoup de bruit autour de cette faille.

Trop peu utilisé par des vrais menaces, on est plus dans l'exploit. De fait ils s'en foute un peu. Il suffit de voir la réaction, tout est déjà dit depuis 2 ans, s'il corrige le script pour IE alors ce sera un autre programme.

Shaoran, je comprends ton point de vue, qui est très logique. Mais comme le dit EboO, l'utilisateur lambda ne comprendra pas forcément. Déjà qu'il ne remarquera pas que son antivirus est arrêté. Déjà sous XP, nombreux ne le voyaient pas, mais sous Windows 7 cela est encore pire son icône étant masquée avec toutes les autres icônes à côté de l'icône de la connexion réseau.

Franchement sur le panel d'utilisateurs que j'ai eu, seul un a été récalcitrant et chiant. Il faut que je pense qu'en province les gens sont plus bête ? Ayant quitté Paris il y a un an, je ne crois pas pourtant

[cvsa]

Excusez moi de mettre mon grain de sel dans cette "vieille" affaire, car j'avais suivi le premier signalement du problème par Shaoran.

J'avoue que je ne comprends pas pourquoi aussi bien Vigen que Shaoran refusent de transmettre le script en question à Egemen de comodo.... Est-ce une vieille rancoeur d'un vieux conflit ???

cf : https://forums.comod...-t88594.15.html

Il serait peut-être temps d'oublier et de pardonner, non ? (merdoum, me voilà contaminé par l'Esprit de Noël ! )

[vigen]

Je répondrais que pour ma personne evidemment

Le script étant le fruit du travail de Shaoran, je me suis engagé a ne le donner a personne, sauf sur son autorisation express.

Voilà en ce qui me concerne

[Shaoran]

J'avoue que je ne comprends pas pourquoi aussi bien Vigen que Shaoran refusent de transmettre le script en question à Egemen de comodo.... Est-ce une vieille rancoeur d'un vieux conflit ???

Simplement que dès qu'il l'auront ils mettront une rustine et je devrai écrire un nouveau script. Bon certes je sais déjà comment sera écrit le prochain mais je préfère que le chat soit aveugle plutôt que de m'amuser à coder tous les jours un nouvel exploit, surtout qu'à force je manquerai d'idées simples et qu'il faudra que je travail plus pour en créer, et je dois avouer que j'ai la flème.

Maintenant c'est tombé sur Comodo vu que j'ai juste eu à envoyer un fichier, ce dernier ayant été crée il y a deux ans. On m'a déjà demandé le même genre pour dr web, ça sera d'ailleurs plus long à faire, mais dans le genre, Comodo n'est que le premier.

Il serait peut-être temps d'oublier et de pardonner, non ? (merdoum, me voilà contaminé par l'Esprit de Noël ! )

Depuis que je sais que Vigen devait faire cette vidéo, je me demandais qui et quand quelqu'un allait me la sortir celle là. Tu crois vraiment que 2 ans après j'en ai quelque chose à foutre d'eux ? xD
Si c'etait le cas, j'aurai déjà pondu 50 failles differentes et fait moi même une vidéo pour les alligner les une après les autres. Ca ca serait une vengance à la rigeur. Mieux encore, repondre la même après une fois toutes ces failles corrigées. Là c'est la même merde que ma première faille en java. Franchement le procédé est à chier et digne d'un nul, n'importe qui pourrait écrire la même chose, il suffit à la rigeur d'un peu de logique. C'est du baclé juste par gain de temps. cela te montre l'interet que je leur porte ....

Ce message a été modifié par Shaoran - 27 novembre 2012 - 19:58 .

[cvsa]

okokok pas taper;;;;; d'après ce que j'ai vu sur le forum comodo..... egemen y met lui aussi de la mauvaise volonté....

Finalement Shaoran et Egemen, c'est un peu nos Copé/Fillon à nous ....

[brandodu31]

Coté antivirus, je suis toujours dans le plus simple, le moins chiant et moins consommateur, panda cloud qui me suit depuis 2 ans. Franchement pour le nombre de menace recontrée / ans, cela ne vaut pas le coup de trop sacrifier ses performances. Qui plus est, si tu as une infection, généralement PCAV se coupe, il est facile à contourner, le firewall aussi, 2 alertes pour le prix d'une. Généralement tu lances un petit malwarebytes, tu redemares, et c'est fini. temps de l'opération max 20 min pour un incident potentiel tous les 39 du mois (testé et approuvé depuis 2 ans sur un minimum de 50 postes)

bonsoir

n importe quel antivirus ,d un niveau honnete , avast ,avg , avira , ZA antivirus , peuvent aussi faire l affaire ,
je me trompe ??

[Shaoran]

bonsoir

n importe quel antivirus ,d un niveau honnete , avast ,avg , avira , ZA antivirus , peuvent aussi faire l affaire ,
je me trompe ??

Oui, je trouve juste Panda Cloud très léger et assez fiable de base. Comme je disais à spywar en mp, l'idée de déporter l'analyse des fichiers sur les serveurs fait que la charge sur le poste émise par l'AV reste faible.
Avast est bien trop lourd à mon gout, avira j'ai eu trop de pepin avec dans le passé, et ZA antivirus je ne le connais pas.

Finalement Shaoran et Egemen, c'est un peu nos Copé/Fillon à nous ....

Qui a voté ?

[brandodu31]

avast a un cloud maintenant et je le trouve leger sur mon toshiba .

avast +la protection web de panda , ça me semble etre un duo tres allechant !

[EboO]

Faisons simple : pourquoi ne pas donner le script, signaler qu'il existe 3 failles critiques et que bloquer le script revient à contourner le problème ? Quitte à enfoncer le clou avec un second script qui contourne leur travail, script qui ne sera pas dévoilé, pour montrer que tu as ciblé quelque chose de grave s'il s'avère qu'ils tentent de minimiser le problème.

[vigen]

Faisons simple : pourquoi ne pas donner le script, signaler qu'il existe 3 failles critiques et que bloquer le script revient à contourner le problème ? Quitte à enfoncer le clou avec un second script qui contourne leur travail, script qui ne sera pas dévoilé, pour montrer que tu as ciblé quelque chose de grave s'il s'avère qu'ils tentent de minimiser le problème.

Ils connaissent très bien le "problème" EboO, est ce qu'il est difficile de comprendre qu'ils en ont rien a faire?? Que la version gratuite et un produit d'appel pour les payantes, comme les autres éditeurs, et que ça peux amener sur:
http://www.comodo.co...-community.html
Autre produit payant, et ersats de produit déjà existant?

Que la communauté existant autour du produit sert un cout de développement réduit, point barre.

Mais le problème avec cet éditeur c'est dès que l'on en parle, il y'a une sorte d'hypertrophie autour du sujet...Dès que l'on démontre quelque chose, ce n'est pas possible, on est forcemment soit des manipulateurs ou des menteurs.

Que faut-il vous montrez de plus? Une faille de deux ans...A un moment faut arreter.

Oui il y'a une nouvelle interface mélange de kaspersky et de norton, montrant au passage une sécheresse d'inspiration, et alors?

La maison est construite sur de mauvaises fondations, le promoteur le sais, mais il s'en tape, il l'as vend quand meme..

Et que l'on arrete de me dire, oui mais c'est gratuit...Et l'installation du moteur yahoo! c'est un acte de charité peut etre?

Il suffit d'aller sur le site et d'ouvrir les yeux, c'est tout de meme pas compliquer, et les tarifs (dont certains n'ayant pas une grande logique) saute au yeux...

Allez, je la remet parce que ce n'est pas si loin que ça:

http://www.youtube.com/watch?v=k_3hIoUGbls


PS:"On m'a déjà demandé le même genre pour dr web, ça sera d'ailleurs plus long à faire"

J'espère bien que cela seras plus long !!!

Ce message a été modifié par vigen - 27 novembre 2012 - 20:34 .

[EboO]

S'ils veulent jouer aux cons, à ce moment-là tant pis. C'est dommage parce que le produit est bon.
Je le garde le temps que defensewall sorte en beta 64 bits, il n'a que des qualités. Et son développeur est quelqu'un de sympa, de disponible, de réactif et à l'écoute.

[Shaoran]

Faisons simple : pourquoi ne pas donner le script, signaler qu'il existe 3 failles critiques et que bloquer le script revient à contourner le problème ? Quitte à enfoncer le clou avec un second script qui contourne leur travail, script qui ne sera pas dévoilé, pour montrer que tu as ciblé quelque chose de grave s'il s'avère qu'ils tentent de minimiser le problème.

C'est un peu ce qui est fait là avec celui là. c'est finalement le digne successeur de mon programme java.
Tout ce qu'il y a à savoir est déjà là

http://forums.comodo...96539#msg396539

Ça date qu'en même de mai 2010

[EboO]

Je suis passé sur le forum, j'ai déterré mon vieux compte lol.
Ils ne me connaissent pas et c'est très bien comme ça mais je pense que mon post va déplaire.

[Plop]

Et que l'on arrête de me dire, oui mais c'est gratuit...Et l'installation du moteur yahoo! c'est un acte de charité peut être?

Quand je regarde mon compte en banque, je n’aperçois aucun débit de Comodo. N'est pas ça la gratuité?

Quand à Comodo, c'est bien dommage pour un soft de sécurité de faire l'impasse sur une faille. Je reste avec car j'ai pas encore trouvé mieux en gratuit; en espérant que MalwaresBytes se réveil un peu plutot que de revendre leurs produits à Chicalogic kk.

Dr web, c'est pas gratuit, sauf peut être sa pub gratuite sur Infomars. ça va pas plaire, mais bon... Quand je suis arrivé sur ce forum, il avait vocation à promouvoir les solutions gratuites (nbreux tests portait sur eux). Ce n'est plus le cas depuis quelques semaines. avec de vrai/faux nouveau membre posant des posts amenant à Dr Web. Je me comprend... Et Comodo qui prenait trop d’audience pour le lancement de Dr web v8 D'ou la remise au jours d'une bonne vielle faille de 2010 ciblant le top Audience du moment...

Je doit pas être loin de la vérité. Il est bien d'avoir montré que Comodo n'était pas infaillible, comme le laisser montrer la totalité des tests vidéos sur Youtube; mais le fond même de cette action est entaché par une volonté tout autre...