Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

Donc si je te comprends bien, tu reproches à Norton de ne pas faire la différence entre un cheval de Troie et sa seule signature ?

Que vaudrait un Firewall/anti-virus/tout en un si il laissait passer quoique ce soit qui est répertorié comme cheval de Troie dans sa base de donnée ?

Je te le demande...

Moi je trouves ça plutôt rassurant que Norton bloque tout sans chercher plus loin. De cette façon, pas de mauvaises surprises ultérieures.

 

Maintenant autre chose.

Si le test de sécurité(pas le test de pare-feu)Zebulon essaye tous les ports et que comme tu dis, il utilise pour ce faire la signature numérique des objets malveillants, il doit donc aussi essayer toutes les signatures numériques de tous les autres chevaux de Troie sur tous les ports non ?

Alors pourquoi Norton n'aurait-il identifié que le seul "NetSpy" ?

 

Etes-vous bien certain de votre côté qu'un cheval de troie ne se serait pas infiltré dans votre système de test à distance ?

Ne m'en veux pas d'être un profane en la matière et de te poser des questions qui pourraient te sembler naïves, je cherche seulement à comprendre en raisonnant le plus logiquement possible.

Modifié par Dany52

Posté(e)
Que vaudrait un Firewall/anti-virus/tout en un si il laissait passer quoique ce soit qui est répertorié comme cheval de Troie dans sa base de donnée ?

 

Un IPS réglé de façon trop aggressive ne sait pas trier le bon grain de l'ivraie et cause des dénis de service illégitime, c'est ce qui t'est arrivé avec le blocage de l'adresse de zebulon. Pour moi, c'est grave.

 

Si encore la routine ne consistait qu'en un IDS (Détection) et remonte une alerte que l'administrateur (personne humaine) gère et décide de lui attribuer une criticité, soit. Bloquer arbitrairement une ressource du fait d'un faux-positif, non.

 

Si tu captures la trame envoyée par le serveur de zebulon avec n'importe quel sniffer, tu t'apercevras que le champ Data ne contient rien (et surtout pas des commandes propres au trojan)

 

Le problème de Norton (et probablement d'autres routines IPS) est d'associer une tentative de connexion sur le port 1024 au trojan Netsky; le raisonnement est beaucoup trop simpliste et contournable:

Il suffit de modifier la partie serveur du trojan pour écouter sur le 1025 au lieu du 1024 et pouf contournement de la signature IPS de Norton.

 

idéalement, il faut éviter que le ver (le trojan en fait, abus de langage mais c'est pour la métaphore) ne soit déjà dans le fruit.

Je me contrefous absolument de recevoir des connexions de la partie client d'un trojan si je suis persuadé qu'il n'y a pas la partie serveur en attente de connexion sur mon PC.

Que Norton ou autre solution miracle pré-packagée empêche déjà ça et il sera toujours temps de faire des routines de détection des instructions envoyées par la partie cliente.

 

il utilise pour ce faire la signature numérique des objets malveillants

 

c'est là que réside ton incompréhension, le test n'utilise que des propriétés des protocoles réseau (IP) et de transport (TCP) et pas de l'applicatif (champ data, payload comme tu veux dans lequel on retrouve les commandes en fonction du protocole applicatif utilisé: HTTP, FTP, IRC, .....)

Posté(e) (modifié)

Un IPS réglé de façon trop aggressive ne sait pas trier le bon grain de l'ivraie et cause des dénis de service illégitime, c'est ce qui t'est arrivé avec le blocage de l'adresse de zebulon. Pour moi, c'est grave.

 

Est-ce qu'on sait règler ça correctement dans Norton 2005 ?

 

Si tu captures la trame envoyée par le serveur de zebulon avec n'importe quel sniffer, tu t'apercevras que le champ Data ne contient rien (et surtout pas des commandes propres au trojan)

 

"Sniffer" ! J'ai appri quelque chose là ! Je ne savais pas ce que c'était et viens de voir que c'est un logiciel qui permet d'analyser les paquets envoyés c'est bien ça ? Fort intéressant. Tu pourrais m'en renseigner un bon télécharger quelque part stp ?

 

Le problème de Norton (et probablement d'autres routines IPS) est d'associer une tentative de connexion sur le port 1024 au trojan Netsky; le raisonnement est beaucoup trop simpliste et contournable:

Il suffit de modifier la partie serveur du trojan pour écouter sur le 1025 au lieu du 1024 et pouf contournement de la signature IPS de Norton.

 

C'est marrant que tu me parles du 1025 car justment en jettant uncoup d'oeil innocent je vois ça:

 

1025jr1.jpg

 

Mais je t'avoue que je ne suis pas assez qualifié pour savoir ce que ça veut dire exactement.

 

 

c'est là que réside ton incompréhension, le test n'utilise que des propriétés des protocoles réseau (IP) et de transport (TCP) et pas de l'applicatif (champ data, payload comme tu veux dans lequel on retrouve les commandes en fonction du protocole applicatif utilisé: HTTP, FTP, IRC, .....)

 

Ok, je vois. Et alors donc, si seul NetSpy a été bloqué c'est que Norton n'a pas vu les autres ?

On pourait donc dire que N05 n'est pas intelligent en somme. Remarque moi, je l'ai installé après mon formatage de dimanche, simplement parce qu'il avait été fourni(et jamais utilisé) Je ne défends pas plus Norton que je n'attaque ZA ou Avast, simplement Avast occasionnait des retours bureau sous la simulation "Combat Flight Simulator" et ZA est pour moi une usine à gaz pour paramétrer qui me fait un peu peur de commettre une "erreur fatale". Sans parler que la dernière version de ZA semble avoir un très mauvais écho auprès des utilisateurs.

http://telechargement.journaldunet.com/fic...larm/index.html

 

Enfin voilà, merci de nous avoir éclairé c'était fort instructif.

:P

Modifié par Dany52
Posté(e)

Merci.

 

Reste à savoir si j'arriverais à m'en servir...

:P

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...