Projet de Developpement "Sécurité"

[hexanium]

Salut,

 

Je me permet de rassembler ici les sujets éparpillés sur ce forum, je suis assez nouveau sur le forum, j'espere que je fais pas de bétises...

 

 

Voila, il y'a apparament comme je l'ai lu un vent de developpement sur Zebulon.fr en ce moment. Plusieurs messages concernant le meme sujet sont reunie ici, j'en oublie surement, pour démarrer la zone.

 

Sebdraluorg

Origine: http://forum.zebulon.fr/index.php?showtopic=65021

Salut a tous,

voila je suis entrain de coder un ptit prog pour surveiller les parametres de la bdr (pour envoyer une alerte lorsqu'un programe veut se lancer au demarrage ou modifier une cle systeme ou parametres internet...)...

 

 

 

Tesgaz

Origine : http://forum.zebulon.fr/index.php?showtopic=65187

Actuellement, ce qu'il manque en terme de sécurité, c'est un petit logiciel capable de ressortir toutes les restrictions (logiciels, environnement, systèmes, etc) que ne donne pas la plupart de trés bon logs comme hijackthis pour la lutte anti-malware...

 

 

Hexanium

Origine: http://forum.zebulon.fr/index.php?showtopic=65021

Bien j'ai le meme projet, faire un petit "scruteur" de registre pour les clef "Run"

et autres points de démarrage, acollé a une petit gestionnaire des taches (quand celui ci est flingué...)...

 

 

J'ai vu aussi quelques personnes ou sources d'info disponible dans les parages:

ipl_001

_Michel_

queruak

BipBip07

gen

KewlCat

laubean

 

 

Bon personnellement, je suis développeur, coté sécurité je suis pas au top, j'ai matté la page http://www.bellamyjc.org/fr/strategie.html#SHOWADM

Super intéraissant, je dois avoué que sur le coup j'etait pas trop au fait.

 

Je développe depuis déja quelques piges en free et cela fait 3 ans en salarié sur du PC et de l'embarqué type PocketPC SmartPhone. je métrise le C/C++ Delphi et VB et d'autre language prorio, j'utilise de temps à autre Linux, mais je métrise pas encore completement. Je connais pas trop mal les API et archi MsWin.

 

Coté occupation je le suis déja pas mal, professionnellement et meme sur des projet free, mais je peux tjrs filer un coup de main.

 

Idée de base:

Voila, marre que mes potes me fasse déplacer pour virer ces saloperies trouvés je ne sais ou. Je suis pas fortiche en secu, pas beaucoup de culture de ce coté, du coup fasse aux véroles, tout à la mano, c'est long et chiant... mais ca m'arrive de m'en sortir pas trop mal...

 

Donc pour eviter ca je voulais developper un petit soft qui spy les clefs run du reg et les processus, ajouter a ce gestionnaire une petite bibliotheque des .exe a virer.

ou à tuer si il sont trouver dans le gestionnaire de process ou dans le reg Run.

un truc tres simple perso pour me faciliter la vie et pas tomber dans les embuscades d'apérots a 20h00 du soir alors que je suis arrivé à 14h00 de l'aprem o_O !!!

 

Apres avoir lu les articles que me proposais Tesgaz je me suis apercu que j'etait pas le seul a vouloir me prendre la tete la dessus !

 

La question global qui est posée c'est:

Pkoi ne pas monter un projet global de sécurité ?

 

J'ai des mains et une cervelle de dev à mettre à dispo, mais question secu va falloir définir....

 

voila

 

Pour un chat, pas de prob, indiquez moi, une date et une heure (apres 21h) et je serais surement la...

 

A++

 

Hexanium

Modifié le 30 avril 2005 par hexanium

[Invité tesgaz]

Salut Hexanium,

 

je pense que tu as bien fait le tour du sujet,

 

la sécurité, il existe un certain nombre de logiciels qui donnent de bons résultats, l'inconvéniant, c'est qu'ils sont lisibles uniquement par des gens aguéris dans le registre et sur Windows, ce qui n'est malheureusement pas le cas de la plupart des internautes.

 

ca, c'est une première aproche

 

de l'autre coté, tout ces outils fantastiques pour la plupart nous aident grandement pour déterminer et erradiquer les soucis

 

le problème, c'est que la lutte anti-malware devient de plus en plus pertinente et que certaines clés sont inaccessibles en lecture (merci Windows),

j'en veut pour preuve les nouvelles tendances de modification et blocage du desktop ou personne n'a encore sorti d'outil permettant de retrouver ses fameuses clés bloquées, on sait à peu près ou elles se situent, mais ce n'est pas toujours évident parce que : pas derriere la machine à scruter la BDR du membre.

 

Je pense que des apports supplémentaires de la part d'ipl_001 expert en nettoyage de malwares ainsi que nombreux autres membres compétents (ceux que tu as cité entre-autre) venant donner un avis permettrer de mieux cerner le projet et faire un objectif commun de cette lutte.

 

Rare sont les forums en france qui essayent de trouver des solutions, zebulon, par l'intermédiaire de quelques membres a déja réussi à faire 2 logiciels, c'est une certaine fièreté pour notre communauté de pouvoir dépanner ou optimiser la machine des internautes sans forcement passer par les US

 

bon, sinon, pour le chat , c'est ici :

http://forum.zebulon.fr/index.php?showtopic=18581

 

à bientôt certainement

Modifié le 30 avril 2005 par tesgaz

[ipl_001]

Bonsoir hexanium, tesgaz, bonsoir à tous,

 

Juste pour te dire que j'ai bien vu cette discussion. Je tâche de relire soigneusement et de commenter plus avant.

 

Mes toutes premières impressions après lecture rapide : je crois que tu devrais différer un peu pour, auparavant, travailler avec nous sur le forum Sécurité de manière à mieux prendre connaissance des logiciels qui existent déjà, les points forts et les points faibles, ce qui manque, les erreurs à ne pas commettre !

Je suis dans la lutte anti-Hijacking depuis de nombreux mois avec des stages aux US, de nombreuses pages Web écrites, des milliers de posts sur les forums...

 

Je partage l'enthousiasme de tesgaz concernant un logiciel Zebulon dans ce domaine car je suis frustré de constater que les US, les pays d'Europe du nord (Allemagne, Danemark, Hollande, UK, Belgique) luttent dur contre les malwares et produisent sans cesse de meilleurs programmes mais que la France et les pays d'Europe du sud ne mobilisent pas... même chose pour les forums : en France, beaucoup de forums ont baissé les bras ! A l'inverse, sur Zebulon, Yann vient de lancer le forum Sécurité et nous comptons aller très loin... avec toi !

 

Merci pour ton arrivée sur Zeb' ! Merci pour ton aide !

A bientôt !

[sebdraluorg]

Salut hexanium, ipl_001, tesgaz et les autres,

 

Perso je pense qu'il faut surtout savoir ce que l'on veut faire...

 

Un antivirus ?

Un anti-spy ?

Un simple logiciel de surveillance ?

Un logiciel de surveillance + outil de reparation ?

 

Puis de la commencer a etablir une strategie et partager les taches en fonctions des competences de chacun.

 

@+

Modifié le 30 avril 2005 par sebdraluorg

[Invité tesgaz]

Salut sebdraluorg, ipl, et tous les autres,

 

sebdraluorg, merci de te joindre à cette discussion

 

je ne pense pas que l'objectif soit de faire un antivirus ou un anti-malware, qui sont légions et souvent de belles factures.

 

l'objectif serait plutôt de faire un logiciel qui n'existe pas à ce jour

Surveillance de clé dans la base de registre pour les nouveaux malwares

verification de toutes les clés policy est déja un beau challenge, mais il en existe plein d'autres clés mal connues et à déterminer.

 

Si cet outil permet déja de faire ce genre de chose, ce sera d'un grand secours, mais c'est déja un sacré objectif.

 

à suivre...

[ipl_001]

Rebonsoir hexanium, tesgaz, sebdraluorg, rebonsoir à tous,

 

Juste quelques remarques concernant les propos de sebdraluorg :

- attention qu'il y a des domaines spéciaux comme par exemple les antivirus... ils sont actuellement encore principalement basés sur des tables de définition de virus ce qui sous entend qu'ils attendent l'arrivée, la détection, l'analyse d'un virus pour les contrer et ils ont toujours un temps de retard !

Développer un antivirus signifie donc soit courir sans arrêt derrière avec l'absolue nécessité de prospecter et de faire évoluer les tables et le logiciel ou de mettre enfin au point (V-Guard existe depuis des décennies) un antivirus qui travaille au niveau du comportement d'un malware !

Le projet 'Le Rimouveur' d'anti-virus Français m'a bien l'air d'être aux oubliettes !

 

- les malwares feintent sans cesse les moyens de défense car outre le fait que les AV sont sans cesse en retard (par conception), ils jouent sur la spécialisation actuelle des outils de défense : antivieus, antitrojans, antispywares, etc.

Les pirates programmes de manière à être à la limite des détections des antixxx et créent des malwares composites (à la fois virus, cheval de Troie, spyware, adware, etc.)

Si nous concevons un logiciel de détection a posteriori/de prévention, il doit bosser sur toute la largeur !

 

- les pirates font sans cesse des progrès et les programmes de protection sont à la ramasse !

Lisez simplement ces 2 URL :

-> http://www.cookiecentral.com/

- ".: Adware/Spyware Vendor Sued Over 'Invasive' Software"

( http://www.pcworld.com/news/article/0,aid,120641,00.asp )

- ".: The Sad State of Spyware"

( http://www.eweek.com/article2/0,1759,1788825,00.asp )

- ".: ID theft: Not 'if,' but 'when'"

( http://toledoblade.com/apps/pbcs.dll/artic...ESS07/503270328 )

- ".: Goodbye To Privacy"

- ".: In Digital World, Privacy Is Being Eroded For Commercial Gain"

- ".: Widespread Internet Attack Cripples Computers with Spyware"

Vous y verrez que la guerre est impitoyable et rude !

-> http://www.cio.com/archive/031505/security.html

"How To Save The Internet", un article qui annonce la mort de l'Internet pour 2006 due au tsunami malware (le gars aurait annoncé dès 2001) !

 

- détecter les éléments néfastes est une chose délicate mais de nombreux outils ont été développés même si ces jours ci, nous avons quelques surprises avec de nouveaux maux.

Enlever les éléments néfastes est une toute autre paire de manche car il y a des système de protection, de réinfection sophistiqués mis en place...

Les beaux outils d'hier (Ad-Aware, Spybot) sont dépassés aujourd'hui et nous courons après de nouveaux scanners !

Bien sûr, travailler plus en amont, au niveau de la surveillance est différent et "plus facile" mais ce ne sera qu'une petite partie du problème (il y aura toujours la grosse majorité des ordinateurs non protégée).

 

 

 

4 aspects de la lutte antimalware... hexanium, lorsque je lis dans ton message que tu nettoies à la main, le système de tes copains, j'en suis à penser que tes copains n'avaient pas de belles infections (de plus en plus dure chaque jour) et je t'ai suggéré de venir sur Sécurité te faire une idée...

[sebdraluorg]

Re a tous,

 

sebdraluorg, merci de te joindre à cette discussion

Merci a toi pour l'acceuil

 

Je suis d'accord qu'il ne faut pas etre trop ambitieux, par contre je craint que sans ajouter un outil de "reparation / desinfection" du malware le forum se retrouve de nouveau avec des posts interminable du genre "j'ai des alertes non stop avec le programme que faire..."

 

Je pense aussi que la surveillance de certains fichiers et ou dossiers systemes ne serait pas un luxe ansi que la surveillance de processus (avec une liste noir par exemple)

Car il y aura tjs des malware qui connaitront des cles que l'on ne connait pas encore... puis si on detecte une modification suspecte c'est que le malware est deja la et dieu seul sait ce k'il peut avoir deja fait...

 

Ceci dit tout depend de combien de personnes sont disponible et peuvent s'engager a + ou - long terme

L'ideal serait de pouvoir former une equipe pour la programation et une pour la recherche

Si j'insiste c'est pcq je suis persuade que Zebulon et ses membres reunissent les ressources necessaire a une telle application

 

Enfin voila c'est mon point de vue sur le sujet avec ma faible experience mais ma grande motivation qui restera a intact meme si mon point de vue n'est pas partage

 

EDIT:

desole Ipl_oo1 j'ai redige en meme temps que toi donc sorry si mon post ne tient pas compte du tien

@+

Modifié le 30 avril 2005 par sebdraluorg

[ipl_001]

Bonsoir sebdraluorg, bonsoir à tous,

 

(avec une liste noir par exemple)

Qui dit liste noire dit que quelqu'un est à l'affut de toutes les arrivées de malwares !

Virus qui arrive, c'est déjà chaud, malware qui arrive, c'est "metal jaune"

Avec une liste noire, on est toujours un temps derrière lorsqu'on s'appelle Symantec (il faut que le virus soir lancé dans la nature, détecté et analysé) ; lorsqu'on s'appelle Zebulon, on doit se rapprocher d'un professionnel de la détection mondiale et on sera encore avec 2 temps en retard !

Liste noire, ça veut aussi dire mise à jour permanente des tables de définition... pas de problème pour les utilisateurs puisqu'hexanium y mettra Updater !

 

Il faut travailler plus en amont !

 

Je voudrais faire remarquer :

- pourquoi ne pas surveiller les fichiers ds dossiers système récemment installés ? c'est ce que je faisais il y a queques années avant l'arrivée d'HijackThis et de tous les spywares/adwares !

 

- HijackThis est un centre de contrôle, un programme qui se refuse à mettre le doigt sur les malwares eux-mêmes et se contente de surveiller sur les endroits de la base de registres où peuvent être activés les programmes !

Avantage : pas de liste noire à mettre à jour en permannence ; on travaille au niveau des méthodes et c'est valable pour les malwares à venir sauf amélioration de la part des pirates (ce qui se produit maintenant très souvent !)

Inconvénient : besoin d'interprétation d ela part d'un humain

 

Remarque : certains ont tenté de compléter HJT avec des robots d'interprétation (j'en connais une ptite dizaine) mais ils ne sont pas à mettre entre es mains de tout un chacun... et ne le seront jamais... n'oublions pas en effet, que les pirates sont des humains et qu'ils programment en fonction des outils de protection et surtout, il y a beaucoup d'argent à se faire de la part de sociétés mafieuses !

[hexanium]

Salut à tous et à toutes,

 

Bien dit donc les idées fuzz, et il me semble il y avoir pas mal de ressources sur ce forum. Je suis en effet un peu "perplexe" devant l'empleur de la tache coté sécurité, j'y connais pas grand chose comme je l'ai déja dit, quoi qu'il en soit, voila un peu la ma vision:

 

Bon, voila, prenons l'exemple du firewall:

La plus part du temps un firewall bloque tous les ports de la machine par defaut et il faut explicitement ouvrir le port désirer pour faire transiter la donnée.

A moins que ce qui ce trouve derriere le port ne soit "friable" ou que la pile tcp qui gere ce port soit instable, les chances qu'une attaque arrive à ses fins est réduite à néan. L'inconvenient c'est de déclarer ses ouvertures et donc de connaitre un peu le coté technique de la bête.

 

Si maintenant on résonne sur les processus.

D'office on à le "droit" d'executer n'impote quelle processus. Et il faut l'avale d'une Black liste pour ne pas l'authoriser (AV & co.) !

 

Pkoi ne pas adopter la meme logique avec les processus ?

demander l'avale de l'utilisateur avant d'executer tel ou tel processus.

Des soft de ce type existe t'il ?

Enfin c'est tres ambicieux , mais disont que meme si on ne peut pas hooker toutes les API du kernel, au moins pouvoir en etre informé.

 

Par exemple si mon pc m'informe que mes policy viennent de changer, ou qu'on traficote mon registry alors que je suis en train de naviguer je me poserais des questions. apres que faire.... hehe... z'allez me le dire...

 

bon apres, je propose mes services de codeur, si vous avez les idées et pas de koi le appliquer, je peux peut etre filer un coup de main.

Y'a t'il d'autre developpeur ici ?

 

Hexanium

[KewlCat]

Y'a t'il d'autre developpeur ici ?

Oui, moi

Seul ennui : je connais très peu les API Windows.

J'ai d'excellentes bases en C, C++, Java, .. J'ai beaucoup travaillé sur des applis Web... Beaucoup travaillé sous Unix et avec Oracle... mais programmer pour Windows est toujours aussi pénible pour moi à chaque fois que j'ai à m'y mettre.

Au mieux je pourrai faire un peu d'analyse, les tests unitaires, la revue de code, l'optimisation... mais pour les questions purement Windows, je ne serai d'aucune utilité :-/

 

Pour ce qui est du fonctionel, je vais aller lire les différents articles indiqués ici afin de me mettre à niveau. A vrai dire je suis très intrigué par ce qui se passe dans le forum "Sécurité"