Knowledge Is Power
- Reinit des nouveaux posts -
- Recherche -
Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
|
Knowledge Is Power |
|
||
|
- Reinit des nouveaux posts - - Recherche - Messages Privés - Derniers posts S'enregistrer - Login - Liste des membres |
|||
|
|||||||||||
| poster | txt | ||||||||||
|
tweakie
Inscrit le 01-02-2002 |
Suite a l'analyse publiee par Guillermito, Tegam a reagi par une serie de communiques et de dementis diffuses sur son propre site web et remettant en question la validite' des conclusions de Guillermito. D'autres critiques ont par ailleurs ete emises a l'encontre de cette etude, notamment par Olivier Aichelbaum, des editions ACBM (revues "Pirates Mag", "Le Virus Informatique", etc). Interrogeons nous un instant sur la pertinence technique de ces critiques et de ces arguments... [Note : Dans ce qui suit les references au logiciel Viguard designent les versions de ce logiciel analysees par Guillermito] Argument numero 1 : Il est normal qu'un programme cesse de fonctionner lorsque l'on altere ses fichiers ou qu'on le modifie en memoire. Tous les antivirus a signature soufrent du meme probleme. Auteurs : TEGAM International, Vincent Perrin (aka runestaff), "Michel Dupuy"*, tintinetmilou (linuxfr), mag-securs, divers anonymes. Reponse 1 : Au premier abord, cet argument parait relativement convaincant. En effet, la plupart des programmes cesseront de fonctionner normalement si l'on altere leurs fichiers ou leur image en memoire. Toutefois, Viguard n'est pas un programme quelconque : il est suppose' proteger les utilisateurs contre les programmes malveillants et leurs effets. C'est aussi le role des antivirus classiques (a signature). Comparons donc la vulnerabilite' de ces deux types de programmes (Viguard/AV a signatures) vis-a-vis de codes malveillants susceptibles de modifier de maniere ciblee leurs fichiers ou leurs processus. Les antivirus a signatures agissent systematiquement avant execution (systeme de liste noire), que ce soit lors d'une analyse sur demande ou d'une analyse sur acces. Si le programme malveillant execute' est connu de l'antivirus, il sera sonc detecte' avant d'etre execute', et ne pourra donc modifier ni fichier ni processus. Ajoutons enfin que les systemes de detection heuristique de nombreux antivirus (NOD, BitDefender, Norman, Antivir) cherchent specifiquementa caracteriser prealablement a l'execution ce type de comportement malveillant. Viguard peut quant-a-lui agir avant, pendant et apres l'execution : - Avant : systeme de liste blanche - Pendant : bloqueur de comportement - Apres : verificateur d'integrite'. Le bloqueur de comportement et le verificateur d'integrite' interviennent pendant ou apres l'execution du code malveillant. Guillermito a montre' qu'il etait alors possible pour ce code de desactiver Viguard, de modifier ses bases d'integrite' ou sa configuration. Seul le systeme de liste blanche offre une protection (presque) efficace contre ce type d'attaque. Rappelons le principe de la liste blanche : seuls les programmes prealablement autorises peuvent etre executes sur le poste protege'. Ce mecanisme bloque completement l'installation de tout nouveau programme, quelle que soit son origine (CD, internet, email), et aboutit a une installation totalement figee. Conclusion : avant d'installer un nouveau programme sur une machine protegee par Viguard, il faut au prealable s'assurer que ce programme ne contient aucun code malveillant. Interessant paradoxe. Reponse 2 : Autre element essentiel : cette critique, qui est la pierre angulaire de l'argumentation des groupies de Viguard, ne concerne qu'un des multiples points abordes par Guillermito dans son analyse. Restent le manque de fiabilite' de l'analyse heuristique ("structurelle"), les nombreux virus "stealth" ou compagnons qui parviennent a contourner le bloqueur de comportement, les problemes lies au controleur d'integrite'... Argument numero 2 : Tout ceci ne serait pas arrive' avec la version reseau de Viguard, qui est capable de "restaurer" les installations des postes clients Auteurs : TEGAM International Reponse : Ca ne remet pas en cause la validite' de l'analyse de Guillermito realisee sur des versions stand-alone : - Celui-ci n'a jamais pretendu tester la version serveur - Tegam n'a jamais conteste' les resultats obtenus par Guillermito concernant la plateforme sur laquelle s'est deroulee le test. Autre probleme : personne n'a teste' de maniere independante la fiabilite' de la version serveur. COmment savoir si celle-ci est reellenent fiable. En particulier : - Que sait-on sur le mecanisme d'authentification du Viguard des postes clients vis-a-vis du poste serveur ? - Le code s'assurant de l'integrite' des bases utilisees par Viguard tourne-t-il sur le client ? Rien ne permet d'affirmer que la version reseau de Viguard est 100% bugproof. Seule une etude menee par une entite' competente et independante permettrait de repondre a ces questions et de mesurer le degre' reel de securite' apporte' par ce mecansime. Argument numero 3 : Aucun virus existant n'etait capable de trouer Viguard lors de la publication de l'etude de Guillermito. La preuve ? Si Guillermito en avait trouve' un, il n'aurait pas eu besoin de developper des "proof of concept" specifiquement pour demontrer les failles du logiciel. Auteur : Olivier Aichelbaum Olivier Aichelbaum est le seul a defendre bec et ongles la these selon laquelle Viguard ne devrait-etre utilise' que comme un systeme de white-list. Pour justifier cette position, il se refere au manuel d'utilisation du logiciel. Dommage qu'il faille acheter le logiciel pour beneficier dudit manuel. Parce que le site web de l'editeur ne met pas en avant les memes aspects du logiciel, qui y est tres clairement decrit comme un logiciel permettant de se premunir contre les virus et les chevaux de troie. Pourquoi Olivier s'accroche-t-il bec et ongles a cette version ? Tout simplement parce que Guillermito a trouve' bon nombre de virus qui contournent le bloqueur de comportement de Viguard et/ou son controleur d'integrite'. Mais, nous dit Olivier, il n'en a trouve' aucun qui contourne le systeme de white-list, et c'est pour ca qu'il a du developper ses "proof of concept". Argument particulierement fallacieux : - Tegam ne vend pas Viguard comme un systeme de White-list mais comme un logiciel qui se base sur le comportement des programmes pour determiner leur nocivite'. - Tegam pretend(ait) stopper 100% des virus connus et inconnus. Pretendre detecter 100% des virus inconnus, c'est laisser toute latitude aux testeurs. Comment Olivier Aichelbaum peut-il ne pas comprendre ca ? Mystere... - Viguard est vulnerable aux vers qui utilisent un debordement de tampon pour se propager (Sasser/Blaster). CQFD. Argument numero 3 : Les demonstrations de Guillermito concernant la modification des fichiers de Viguard ou l'arret de son processus relevent de la science-fiction : on a jamais vu un virus s'attaquant specifiquement a Viguard. Auteurs : TEGAM International, anonymes divers Reponse : On ne peut pas conditionner la securite' apportee par un produit anti-viral a son manque de popularite'. Il existe de nombreux malwares qui visent specifiquement Norton, Zone-Alarm et/ou McAffee. ...to be continued... *A ne surtout pas confondre avec son homonyme de la DCSSI/CERTA qui a donne' des cours sur les virus dans une ecole ou Danielle Kaminsky a elle aussi enseigne'. Celui dont il est question ici s'est contente' de poster quelques messages tres bien documentes sur Viguard sur fr.comp.securite.virus (combien de contributeurs du groupe testent-ils des virus sur une machine virtuelle et disposent-ils de Viguard ?) avant de disparaitre completement et irremediablement. A l'heure actuelle, il reste totalement introuvable. Michel, si tu nous lis, fais moi un signe  !!! [ Ce Message a été édité par: tweakie le 2005-02-20 18:20 ] profil | Website | edit | quote |
||||||||||
|
oa
Inscrit le 03-01-2006 |
si j'ai déclaré que Viguard ne devait être utilisé que comme logiciel de "white list", c'est APRES avoir constaté ses problèmes en "mode détection". nous sommes d'accord sur le plan technique concernant le point 3, alors merci de ne pas me prêter des pensées contraires aux miennes en déformant mes propos et/ou en les sortant de leur contexte. profil | edit | quote |
||||||||||
|
tweakie
Inscrit le 01-02-2002 |
Une fois de plus, je ne crois pas avoir deforme' quoi que ce soit. Pour ce qui est de vos propos ou de leur contexte, les lecteurs curieux pourront se reporter aux messages suivants et aux fils de discussion correspondants pour constater la justesse (ou la faussete') de mon interpretation : http://groups.google.com/group/fr.comp.securite.virus/msg/debd208d04e0ef4d http://groups.google.com/group/fr.comp.securite.virus/msg/9e6853923923db4b http://groups.google.com/group/fr.comp.securite.virus/msg/172b189c4b0406cf http://groups.google.com/group/fr.comp.securite.virus/msg/fd17d41c61a7bc77 http://groups.google.com/group/fr.comp.securite.virus/msg/359d88b9b8dcdfe7 http://groups.google.com/group/fr.comp.securite.virus/msg/a73485c3185dabbe http://groups.google.com/group/fr.comp.securite.virus/msg/99c22fdc4dac501d http://groups.google.com/group/fr.comp.securite.virus/msg/d6e88c3bc62d930a http://groups.google.com/group/fr.comp.securite.virus/msg/df152903dfb02f76 http://groups.google.com/group/fr.comp.securite.virus/msg/4be69a1a161f3652 http://groups.google.com/group/fr.comp.securite.virus/msg/76570139ccc9bb2c http://groups.google.com/group/fr.comp.securite.virus/msg/6f7f3808f04a9665 http://groups.google.com/group/fr.comp.securite.virus/msg/d1d221f40be384d4 http://groups.google.com/group/fr.comp.securite.virus/msg/24eaf77195d8aa08 Mais je suis content que vous soyez d'accord avec moi sur le point 3 
Et sur les autres points ? _________________________ Un peu de science vaut mieux que beaucoup de dévotion profil | Website | edit | quote |
||||||||||
|
oa
Inscrit le 03-01-2006 |
Il s'agit bien de messages postés APRES qu'on ait constaté les problèmes de Viguard en détection. Et que le mot "antivirus" n'était même pas écrit sur la boite de Viguard ! A ce sujet, j'ajoute un élément annonciateur : lors de la fameuse conférence, en 1997, lorsqu'E. Dotan a repris le développement de Viguard, il a expliqué qu'il passait progressivement d'un antivirus générique à une protection par "white list". PS Je suis venus démentir des accusations bidons me concernant, il est tard, je n'ai pas le temps de lire tout le reste, je ferai quand j'aurais un moment. profil | edit | quote |
||||||||||
|
tweakie
Inscrit le 01-02-2002 |
Malheureusement les faits sont tetus, eux. Et les faits c'est que : - Le message initial de ce fil decrit fort bien la position que vous avez soutenu publiquement sur usenet, comme le montrent vos 14 messages dont les liens ont ete' donnes plus haut. - Que votre position "Viguard doit etre considere' comme un bloqueur, pas un antivirus" ne resiste pas a...une simple recherche sous google, etant donne' que ce n'est toujours pas comme ca (en 2005, pas en 1997) que le presente son editeur : 
1/ Il ne s'agissait pas d'une accusation. 2/ Il n'y a rien de bidon. Pour ma part, je crois que je vais en rester la. Vous avez suffisamment contribue' a demontrer la veracite' de mes propos. _________________________ Un peu de science vaut mieux que beaucoup de dévotion [ Ce Message a été édité par: tweakie le 2006-01-06 00:18 ] profil | Website | edit | quote |
||||||||||
|
oa
Inscrit le 03-01-2006 |
Position soutenue après la conférence de 1997 (y êtiez-vous ?), lecture de la doc du logiciel (si la doc révèle qu'on a été trompé à l'achat, il suffit de rendre le logiciel au magasin sans ouvrir le scellé du CD pour être remboursé immédiatement), constation des problèmes en détection qui font que je déconseille à 100% Viguard en tant que détecteur de virus (et de manière générale je n'ai d'ailleurs jamais recommandé à qui que ce soit ce logiciel). Je vous le dis et le redis, je suis d'accord avec votre version technique au point 3. Merci de ne plus sortir mes propos de leur contexte pour faire croire le contraire.
Vous éludez qu'à plusieurs reprises j'ai déclaré qu'à mon sens l'éditeur communiquait mal sur son produit. Je ne pense pas que ce soit le programmeur qui voulait développer l'usage de la white list qui se soit aussi occupé du marketing du logiciel. D'ailleurs, si Tegam avait présenté son logiciel pour ce qu'il est vraiment, et non comme un antivirus, il n'y aurait sans doute pas eu toute cette polémique autour.
Notament en sortant des propos de leur contexte vous me prêtez des idées qui ne sont pas les miennes mais qui me causent du tort. Il est légitime que je rectifie. profil | edit | quote |
||||||||||
|
|||||||||||
| Online : 22 Guests |
| Retour Index |
NewFFR Repository : http://taz.newffr.com Cagades à Stick : http://alcane.newffr.com Forum HTML et Archive -> ici ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) ) |
Retour haut de page |