Une espèce de concours / Test pare-feu

Modérateur: Modérateurs et Modératrices

Messagede piratebab » 30 Oct 2009, 08:16

Bonjour,
je vois que ce test fait couler beaucoup d'encre (désolé, je suis de l'ancienne école, j'utilise encore de l'encre ..).
Pour ma part, je trouve le principe de ce test assez douteux.
Je pars de l'hypothèse que le logiciel BRAIN 2.0 est installé chez l'utilisateur. Il ne va donc ma cliquer sur toutes les piéces jointes aux spams qu'il reçoit. Donc une infection "venant de l'intérieur" est impossible. Et pour s'en protégezr, une simple restriction des droit de l'utilisateur courant est suffisant.
Il ne reste donc que les attaques externes. Elles sont de 2 types:
- les scans de port (utilisées par les hackeurs sur une cible particulière)
- les sites internet "vérolés", souvent à l'insu de leur propriétaire (utilisé pour les infections de masse, pour créer des botnets)
C'est contre ces dernières qu'il faut protéger le PC. Elles utilisent pour cela principalement les vulnérabilités des navigateurs internet.

Tout ça pour dire que les tests qui demandent à baisser les protections pour se lancer sont un non sens car elles ne tiennent pas compte de la réalité. Si elles n'arrivent pas à se lancer, le score devrait étre au max (pour la partie attaques depuis l'intérieur)
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5650
Inscription: 30 Aoû 2004, 18:20

Messagede sarla » 30 Oct 2009, 08:22

Au fait, comment remédier à ces vulnérabilités, svp ? Si possible sans avoir à utiliser un contrôleur d'intégrité.
Pour l'instant je n'ai vu nulle part comment on pouvait faire sans. Mettons de côté la demie journée passée à réparer les dégats, la question à 1 000 balles c'est comment remédier à ces vulnérabilités ! sinon à quoi ça sert que Ducros, il se décarcasse !
Surtout que j'ai des vulnérabilités sur des choses dont j'ignorais même jusqu'à l'exsistence, des trucs dont je n'avais JA-MAIS entendu parler !
J'ai passé d'autres tests qui me disaient si les ports étaient ouverts ou pas, tout vert=fermé, je me croyais tranquille :D mais si le routeur défaille :shock: ou contourné :shock: je suis mort !
sarla
 
Messages: 884
Inscription: 22 Juin 2004, 08:30
Localisation: IdF

Messagede Félix le Chat » 30 Oct 2009, 12:36

Bonjour,

Au risque de me répéter :

- en administrateur un dangereux 170/330
- en droits restreints 310/330

... les droits restreints protègent mieux que tous les chiens de garde... à méditer
Félix le Chat
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Messagede sarla » 30 Oct 2009, 13:18

Au risque de me répéter :
Non, non, 1) la répétition fait partie de la pédagogie de base et 2) elle permet d'exister encore malgré le bruit médiatique ambiant :)

Virus / antivirus, c'est dangereux mais ça fait 20 ans qu'on en parle ; "droits restreints" c'est nouveau et ça a fait moins de bruits que les pomélo de Paméla :Mouaaarrrrffffffff: donc il faut dire et redire...

"Quittez donc les beaux yeux de Paméla (sur lesquels de toute façon vos droits sont extrêmement restreints) pour tripoter vos droits accessibles" :Mouaaarrrrffffffff:

La règle numéro un de la sécurité : ne pas mettre la clé sous le paillasson.
La numéro deux, ne pas mettre un petit mot disant "la clé est sous le paillasson".
sarla
 
Messages: 884
Inscription: 22 Juin 2004, 08:30
Localisation: IdF

Messagede Vazkor » 30 Oct 2009, 17:37

Salut,

Pas d'accord avec tes règles de sécurité :

Première règle élémentaire de sécurité : on réfléchit puis on clique et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas. (dixit Malekal_morte)

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9797
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Félix le Chat » 30 Oct 2009, 17:51

Bonsoir,

En administrateur il faut cliquer non une bonne cinquantaine de fois
En droit restreints il ne faut cliquer non qu'une petite dizaine de fois...

... d'où ma constatation sur l'intérêt des droits restreints et si je clique c'est que que mes chiens de garde sont actifs et que mon petit cerveau de chat fonctionne encore... pour le dire autrement, lors du test en administrateur ou j'ai des chiens de garde [PG et Comodo] et je clique non [merci mon cerveau] ou je n'en ai pas et alors je ne vois rien du tout, comme dans la vraie vie, et je suis infecté.

Mais chacun fait comme il veut.

Amitiés
Félix le Chat
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Messagede césar » 30 Oct 2009, 18:15

Moi aussi je suis en droits restreints et pourtant : 160. Avec 3 vulnérabilités.

J'ai jamais pu utiliser un contrôleur d'intégrité. Il y un "dll authentification" sur Sygate, assez peu efficace d'ailleurs (il a déjà été crevé par des leak tests), mais quand on clique "non", quelque chose ne marche pas, si on clique "oui", ça marche mais on se demande si on a bien fait.
Ça ne me servirait à rien d'avoir un logiciel qui me dise "le plugin machin.dll veut modifier machin.exe, oui ou non ?", car je n'ai aucun moyen de savoir si c'est une opération légitime ou non.
Il me faudrait un logiciel qui me dise : "attention ! le logiciel "nouveau.exe" vient d'injecter des instructions dans opera.dll dans le but d'utiliser Opera.exe pour accéder au site espion.com".
Là, là ce serait clair !
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Messagede sarla » 30 Oct 2009, 18:21

J'ai retrouvé ma sérénité après avoir passé le test concernant la protection de ports (https://grc.com/x/ne.dll?bh0bkyd2).
la différence entre les deux tests :
le 1er a cherché à entrer dans la machine et m'a f... le bazar et le stress,
le second est resté dehors et il m'a rassuré. S'il y a encore des dégats ils sont invisibles de l'extérieur !
sarla
 
Messages: 884
Inscription: 22 Juin 2004, 08:30
Localisation: IdF

Messagede Félix le Chat » 30 Oct 2009, 18:41

@ César

J'ai 3 programmes qui se connectent en droits restreints : Firefox, Foxmail et GreatNews, chacun à une règle particulière pour le parefeu... mes programmes par défaut sont IE et Outlock qui bénéficient d'une règle d'interdiction de connexion... je présume que l'attaquant s'attaque aux programmes par défaut s'il injecte une dll ou autre chose il ne peut pas se connecter... s'il injecte une dll dans Firefox [normalement c'est PG qui prend le relais, mais s'il ne voit rien] et si je ne vois rien, comme ses droits sont restreints je minimise les dégâts... mais y a peut-être mieux à faire ? j'attends les conseils, je suis pas chien et pour cause...
Félix le Chat
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Messagede Vazkor » 30 Oct 2009, 19:42

Salut,
César a écrit:Ça ne me servirait à rien d'avoir un logiciel qui me dise "le plugin machin.dll veut modifier machin.exe, oui ou non ?", car je n'ai aucun moyen de savoir si c'est une opération légitime ou non.
Il me faudrait un logiciel qui me dise : "attention ! le logiciel "nouveau.exe" vient d'injecter des instructions dans opera.dll dans le but d'utiliser Opera.exe pour accéder au site espion.com".

C'est ce que fait ProcessGuard, quand son icône vire au rouge de colère.
Copie du log d'aujourd'hui où par curiosité j'ai relancé le fameux test de Comodo.
---ProcessGuard v3.500 Log Started---
03:17:20 [EXECUTION] "c:\documents and settings\administrateur\bureau\clt\clt.exe" was blocked from running
........ [EXECUTION] Started by "c:\winnt\explorer.exe" [1200]
........ [EXECUTION] Commandline - [ "c:\documents and settings\administrateur\bureau\clt\clt.exe" ]
03:19:50 [DRIVER/SERVICE] c:\documents and settings\administrateur\bureau\clt\clt.exe [1564] Tried to install a driver/service named \??\C:\Documents and Settings\Administrateur\Bureau\CLT\driver.sys
03:19:50 [EXECUTION] "c:\program files\mozilla firefox\firefox.exe" was blocked from running
........ [EXECUTION] Started by "c:\documents and settings\administrateur\bureau\clt\clt.exe" [1564]
........ [EXECUTION] Commandline - [ "c:\program files\mozilla firefox\firefox.exe" ]
03:19:51 [PHYSICAL MEMORY] c:\documents and settings\administrateur\bureau\clt\clt.exe was blocked from accessing physical memory
03:19:51 [GLOBAL HOOK] [1564] was blocked from creating a global CBT hook
03:19:51 [MODIFY] c:\documents and settings\administrateur\bureau\clt\clt.exe [1564] was blocked from modifying c:\winnt\explorer.exe [1200]
03:19:51 [DRIVER/SERVICE] c:\documents and settings\administrateur\bureau\clt\clt.exe [1564] Tried to install a driver/service named new_service
03:19:51 [MODIFY] c:\documents and settings\administrateur\bureau\clt\clt.exe [1564] was blocked from modifying c:\winnt\system32\svchost.exe [420]
03:19:51 [MODIFY] c:\documents and settings\administrateur\bureau\clt\clt.exe [1564] was blocked from modifying c:\winnt\system32\svchost.exe [420]
Il faut bien sûr interpréter, mais on a les raisons des blocages.

J'ai aussi un résultat de 160/320 mais il y a plusieurs erreurs au lancement (problème avec des dll ou des fonctions manquantes) parce que ce test n'est pas prévu pour Windows 2000.

@+

P.S. : PG me trahit. Il montre que je me suis levé à trois heures du mat'
Dernière édition par Vazkor le 31 Oct 2009, 12:21, édité 1 fois.
Avatar de l’utilisateur
Vazkor
 
Messages: 9797
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

PrécédenteSuivante

Retourner vers Trucs et Astuces (Demander - Donner)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 4 invités