nouvelle install windows, ports ouverts, normal ?

[Kenjiu]

salut et merci pour l'info sur les leaktests

du coup j'ai installé et testé deux firewalls: zonealarm et ashampoo

avec 3 leaktests: firehole, ghost et leaktest 1.2

et j'ai obtenu les mêmes résultats, à savoir que seul leaktest 1.2 à été bloqué par les firewalls

ceci dit ashampoo m'a gonflé je l'ai viré vite fait

 

le plus flippant c'est que mon antivirus (antivir) n'a détecté qu'un seul des leaktests quand je les ai téléchargés

alors de 2 choses l'une: soit il les connait en tant que tests et sait que ce ne sont pas des trojans,

soit il aurait laissé passer les trojans utilisant les mêmes failles.

(les leaktests sont censés être détectés en tant que trojans lors des téléchargements)

pourtant antivir est un bon antivirus, bien mieux que avast puisque quand j'ai migré de avast à antivir, celui-ci m'a détecté plusieurs virus qu'avast n'avait pas vu.

 

pour les autres lecteurs, je me pose toujours la meme question:

comment savoir si j'ai des backdoors ?

faut-il attendre que les trojans éventuels se manifestent pour s'en rendre compte ou existe-t'il des moyens immédiats et si oui lesquels ??

merci pour vos réponses !

a+

[Sacles]

Bonjour,

 

Réponse rapide, j'ai lu ce qui précède en diagonale:

 

1. Tu te connectes au cyberespace via un routeur. Vérifie que celui-ci a un pare-feu. Dans l'affirmative, configure-le.

 

2. Les leaktests ne sont pas facile à mettre en oeuvre. Certains l'ont fait pour toi:

 

http://www.matousec.com/projects/windows-p...sts-results.php

 

3. Ce n'est pas le rôle d'un antivirus de réagir aux tests d'évasion. Certains pare-feu les contrôlent (est-ce bien leur rôle?). C'est, à mon avis davantage le rôle d'un HIPS (Host Intrusion Prevention System).

Dans le test chez Matousec, il n'y a pas que des pare-feux, il y a aussi des HIPS. Comme on le voit, il y a un mélange des outils.

Un HIPS tout comme un pare-feu qui a cette fonction ne sont pas à mettre en toutes les mains sous peine de voir des problèmes dans le fonctionnement du PC ou d'inefficacité. Ces outils demandent une bonne connaissance du système.

 

Résister aux évasions illicites, c'est bien, le mieux est évidemment de bien protéger et de bien utiliser sa machine de manière à ne pas faire entrer le loup dans la bergerie.

 

La check-list que chacun devrait s'imposer en matière de sécurité:

 

1. Tous mes logiciels et mon système d'exploitation sont à jour (je fais une vérification régulière chez Secunia: http://secunia.com/software_inspector/

 

2. Ma machine est protégée par un pare-feu bien paramétré (protection incontournable).

 

3. J'ai un comportement correct, responsable dans l'utilisation de mon ordinateur.

- Pour éviter des sites dangereux, je peux me faire aider par l'installation d'un fichier hosts. Pour le hosts, voir par exemple ceci: http://www.malekal.com/windows_fichier_host.php

- SpywareBlaster peut aussi m'aider si j'utilise Internet Explorer.

- Je suis vacciné contre la cliquite aiguë.

- Je n'ouvre pas des pièces jointes sans un esprit critique vis-à-vis de celles-ci.

 

4. Je complète par des logiciels antis bien paramétrés et mis à jour régulièrement (1 antivirus, 1 antispy qui fonctionnent en boucliers résidents).

 

5. D'autres protections sont encore possibles comme un antispam ou un HIPS (Host Intrusion Protection System). Un HIPS ne doit pas être mis entre toutes les mains. Il requiert une bonne connaissance du système.

 

6. Avant d'installer un logiciel, je me renseigne sur sa qualité car je sais qu'il existe des logiciels crapuleux (rogues).

 

7. Je suis attentif aux modifications du comportement de ma machine. Ces modifications sont peut-être le signe d'une infection.

 

8. J'utilise des moyens de navigation sécurisés (FireFox + AdBlock Plus + Permit Cookies (ou CookieButton ou CookieSafe Lite) + NoScript me paraît assurer la navigation la plus sûre).

 

9. Je peux également restreindre mes droits lors de l'utilisation de logiciels comme le navigateur ou le courrielleur grâce à DropMyRights: http://www.microsoft.com/france/msdn/secur...privileges.mspx ou je fais tourner mes applications dans un "bac à sable": http://www.malekal.com/tutorial_Sandboxie.php

 

10. Par acquis de conscience, je fais un scan hebdomadaire avec un antispy et un antivirus.

 

11. J'entretiens ma machine toutes les semaines : suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defragmentation des fichiers et de la base de registre.

 

L'utilisateur est LE RESPONSABLE de sa sécurité. Elle ne peut être déléguée entièrement à aucun programme.

 

Si j'ai des alertes de mon antivirus, antispyware/trojan, c'est que quelque chose cloche dans ma manière d'utiliser mon ordinateur.

 

Salut.

Modifié le 29 janvier 2008 par Sacles

[Kenjiu]

merci pour toutes ces infos !

super le leaktest des firewalls !

je peux jeter ZoneAlarm et télécharger Comodo (par exemple)

Antivirus + Antispy + Firewall + IDS + HIPS + Droits restreints + Mises à jours Windows + Antihoax...

ça commence à faire beaucoup tout ça !

 

je vous conseille un super soft: Proxymotron

c'est un proxy qui reçoit les pages web et les réécrit comme vous le souhaitez (sans pub, sans popup, sans javascript par exemple)

toutes les infos en anglais sur l'excellent site de Fravia:

http://www.searchlores.org/

 

dans un souci de clarté, je me vois obligé de m'expliquer sur le but initial de ce post:

possèdant un bon vieux pc d'au moins 10 ans et étant très concerné par les problématiques de recyclage des pc's et de surconsommation de notre société, je n'ai pas envie de changer de pc à chaque fois que microsoft sort un nouvel OS encore plus lourd que le précédent.

je suis donc en train de tester une VERSION ALLEGEE de XP pro, version "hallucinante" de rapidité et de stabilité.

tout ce qui ne sert à rien à été enlevé.

moins de processus = moins d'emmerdements et plus de rapidité

ceci dit je veux vérifier que cette version "hallucinante" de XP n'est pas "backdoorée",

car je ne veux pas avoir un pc zombie.

la polémique existe, mais beaucoup parlent sans savoir.

Comment savoir donc ? comment tester si mon XP n'a pas de backdoors ?

 

merci pour votre patience

a+

[Kenjiu]

En relisant je m'apreçois que ma quèstion n'est pas claire.

alors voilà:

 

j'ai un windows, je veux savoir si il n'y a pas des backdoors dedans qui ne seraient pas détectées par les antivirus,

sachant qu'il suffit que la signature du fichier soit modifiée pour que l'antivirus ne le détecte plus.

si ces backdoors sont utilisées à un moment donné, le firewall réagira (si c'est un bon firewall)

mais si ces backdoors ne sont pas actives pour le moment et si je n'ai pas envie d'attendre que ça arrive (ça pourrait durer 6 mois)

 

alors comment je peux faire pour trouver ces backdoors à "retardement" non détectées par les antivirus et compagnie ?

 

hein ?

 

grande question non ?

 

je me dis qu'il doit y avoir un moyen mais lequel ?

 

a+

[Kenjiu]

salut tout le monde

 

apparement ce topic n'interresse personne...

au moins ça veut dire que c'est un sujet rarement traité.

je continue donc pour ceux que le sujet pourrait interresser.

 

toujours dans le but de trouver des backdoors éventuelles sur mon pc,

j'ai installé Wireshark, un analyseur de protocole (sniffer réseau pour les intimes)

ce type de soft permet de voir tous les paquets qui transitent par la carte réseau.

 

Voici les premiers résultats de l'analyse:

quand je ne navigue pas sur le web, aucun paquet ne semble être envoyé, très bonne nouvelle.

ceci dit il faudrait que je laisse tourner Wireshark plus longtemps pour obtenir des résultats probants.

 

un accès caché (backdoor) peut éventuellement être programmé pour s'activer chaque jour à une heure donnée par exemple, ceci dans le but de rester discret bien entendu, pas comme ces vers à la con qui saturent votre bande passante en tentant de se propager sur le réseau (bonjour la discrétion !)

 

un dernier détail:

il se pourrait aussi que mes éventuelles backdoors ne s'activent que lorsqu'il y a du traffic réseau,

c'est-à-dire lorsque je navigue sur le web ou lorsqu'un logiciel fait une mise-à-jour.

Voici donc comment je m'y prends:

 

1) désactiver momentanément tout ce qui génère du traffic réseau (mises-à-jour windows, antivirus, firewall, winamp, etc..)

2) laisser tourner Wireshark pendant 24h (ou pendant 7 jours pour les paranos)

3) générer un traffic réseau (un simple ping vers google par exemple)

4) analyser les paquets capturés par Wireshark (c'est là que ça se gâte)

 

Si quelqu'un peut m'aider à analyser ces paquets, son aide est la bienvenue !

 

Evidemment si le programme malveillant est attaché au lancement d'un logiciel particulier, il ne sera pas possible de le détecter, a moins de lancer chaque programme séparément et d'analyser tout le traffic réseau généré, bonjour l'angoisse.

 

pour les infos sur Wireshark et les analyseurs de protocoles c'est ici:

http://fr.wikipedia.org/wiki/Wireshark

merci Wiki

 

a+

Modifié le 3 février 2008 par Kenjiu

[Sacles]

Bonjour,

 

un accès caché (backdoor) peut éventuellement être programmé pour s'activer chaque jour à une heure donnée par exemple, ceci dans le but de rester discret bien entendu, pas comme ces vers à la con qui saturent votre bande passante en tentant de se propager sur le réseau (bonjour la discrétion !)

Un HIPS te demanderait gentiment si ton backdoor à la permission de s'activer.

 

Mais un HIPS doit s'installer sur une machine parfaitement clean (en tout cas si on utilise son mode apprentissage).

 

Salut.

Modifié le 1 février 2008 par Sacles