Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

DefenseWall HIPS

nicM

Par nicM
dans Sécurisation, prévention

 Partager

Messages recommandés

nicM Mega Power Member

nicM

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Je ne sais pas si certains d'entre vous connaissent déjà ce programme, DefenseWall : http://www.softsphere.com/

 

 

Il vient de sortir en version 1.61. Je colle un (bref) extrait de post que j'avais fait dessus pour un autre forum :

 

DefenseWall est un programme qui complète le travail de votre antivirus et firewall en protégant contre les menaces de type spywares, chevaux de Troie, rootkits, keyloggers, et dans une certaine mesure des virus.

 

Il fonctionne sur le principe de la "liste blanche", en ce que les programmes qui peuvent servir de vecteurs d'infections (navigateurs comme Internet Explorer, Firefox, etc), client de messagerie, P2P, Instant messengers, et compagnie, sont paramétrés pour être lancés "untrusted" : Dès lors, tout ce qui transite par eux, executables, fichiers, dossiers, sera lancé "untrusted" aussi.

 

Or, les restrictions de la zone "untrusted" sont telles qu'il est peu probable que l'ordinateur soit véritablement infecté lorsqu'un malware est exécuté. C'est donc une protection efficace, et ce d'autant plus que le programme est extrêmement facile d'accès : Contrairement à d'autres HIPS qui sont "pilotés" par l'utilisateur, qui répond lui-même aux "questions" posées par le programme lorsqu'un évènement inhabituel se produit, et donc sont parfois difficiles d'accès aux utilisateurs peu expérimentés, DefenseWall fait le travail "tout seul".

 

Ainsi, la seule intervention de l'utilisateur est celle d'ajouter ses programmes dans la zone "untrusted" lors de l'installation du programme, pour ceux qui n'y sont pas par défaut : Le reste se fait tout seul.

 

 

J'ai réalisé une série de tests dessus, en collaboration avec Kareldjag, et ce pour son blog. Si vous ne rechignez pas à lire en anglais, vous pouvez jetter un oeil ici :

 

http://security.over-blog.com/article-3030160.html

 

Les tests sont assez longs (7 pages en tout :P - les liens sont dans le bas de la 1ère page), mais - je l'espère en tout cas :-P - sont intéressants, car la majeure partie d'entre eux sont réalisés avec d'authentiques malwares, qui ont été lancés sur un système équipé de DefenseWall, pour voir et évaluer comment il se comporte dans de telles circonstances.

 

La méthodologie des tests peut-être consultée ici : http://security.over-blog.com/article-2915915.html

 

 

D'autres programmes fonctionnant sur le même principe sont en cours de test, le but étant à la fin d'établir un comparatif.

 

Si vous avez des commentaires, n'hésitez pas :P

 

 

nicM

Modifié par nicM

tim burtonzzzz Mega Power Member

tim burtonzzzz

Posté(e)
Posté(e)

Salut

 

Question bete : ce programme est payant ou gratuit ?

De plus si tu le peux, pourrais tu demander a Kareldjag s'il pourrait traduire ce test en francais ? Car en anglais ce n'est pas forcement aisé de comprendre vu les mots techniques employés....

 

Merci d'avance

nicM Mega Power Member

nicM

Posté(e)
  • Auteur
Posté(e)

Salut

 

Question bete : ce programme est payant ou gratuit ?

De plus si tu le peux, pourrais tu demander a Kareldjag s'il pourrait traduire ce test en francais ? Car en anglais ce n'est pas forcement aisé de comprendre vu les mots techniques employés....

 

Merci d'avance

 

Salut,

 

Le programme est payant (+ ou - 23 € avec le taux $/€ actuel), ça n'est pas un freeware (c'est expliqué dans la review).

 

Pour la traduction française, euhhhh :P , je ne pense pas que ça soit à l'ordre du jour. Je devais faire un petit résumé en français, simplement, reprenant en quelques lignes le verdict de la toute dernière page, mais l'ai oublié en route :P ...

 

Est-ce vraiment difficile, tel quel? Je ne le pense pas, car ça n'est pas de la littérature, et il n'y a que quelques termes techniques, plutôt redondants. Et ce d'autant lus que ces termes sont pour la plupart en anglais dans le système, y compris en français (je pense au registre, notamment).

 

Quoi qu'il en soit, on ne fera pas une traduction complète, ne-serait-ce que pour des raisons de volume de données sur le blog.

 

nicM :-P

nicM Mega Power Member

nicM

Posté(e)
  • Auteur
Posté(e)

Tu nous fais en fait la promo d'un programme payant auquel tu as collaboré (au moins sur les tests)

 

 

Alors ça c'est la meilleure! :P

 

 

Ne t'a t'on jamais appris à respecter un tant soit peu le travail des autres? J'en doute, devant un pareil étalage de mauvais esprit - purement gratuit d'ailleurs, puisqu'aucun commentaire sur le fond n'a été fait...

 

Tu ne l'as même pas lu, d'ailleurs, cet article?

 

Pour ta gouverne, c'est le fruit d'un travail de longue haleine, plus de 2 mois en fait. Ca te plairait, toi, de faire la même chose, et de voir un inconnu venir littéralement vomir dessus? Si je me suis lancé dans ces tests, c'est pas "pour moi", c'est pour les autres : Là je suis vraiment consterné par un tel mépris. Comme retour, c'est tout bonnement écoeurant!

 

 

A la limite, la "profondeur" de ton propos m'interloque : est-ce à dire qu'on ne peut pas même parler de programmes de sécurité, dès lors qu'il ne sont pas gratuit?

 

 

Si tu finis par lire cet article (...un petit effort, ça ne mange pas de pain), tu verras que l'auteur du programme n'a pas été particulièrement réjoui par certains résultats, c'est le moins que l'on puisse dire. Et oui, des fois il vaut mieux savoir de quoi l'on parle avant de venir critiquer vainement!

 

 

 

 

Pour info : D'autres programmes (Prevx1, GesWall, Anti-Executable, etc) sont en cours de tests, comme je le précisais dans mon 1er message. (Ce que mon interlocuteur facétieux n'a pas du voir non plus, visiblement).

 

 

 

Pour les gens que les tests sur les HIPS (Host Intrusion Prevention Software) intérêssent, on devrait répéter l'opération sur le module Proactive de Kaspersky 2006. Si c'est pour avoir le même genre de réactions, je m'abstiendrai de venir poster un lien vers l'article ici quand celui-ci sera prêt...

 

nicM

Vercingétorix II Godlike Member

Vercingétorix II

Posté(e)
Posté(e)

Salut,

Désolé, mais le lien qui concerne softsphere.com ne fonctionne pas chez moi.

Concernant DefenseWall impossible de me faire une idée tout est en anglais.

J'ai essayé de comprendre, mais bon, mon anglais est trop rudimentaire.

A+

Svr32 Mega Power Member

Svr32

Posté(e)
Posté(e) (modifié)

Alors ça c'est la meilleure! :P

Ne t'a t'on jamais appris à respecter un tant soit peu le travail des autres? J'en doute, devant un pareil étalage de mauvais esprit - purement gratuit d'ailleurs, puisqu'aucun commentaire sur le fond n'a été fait...

 

Tu ne l'as même pas lu, d'ailleurs, cet article?

 

Pour ta gouverne, c'est le fruit d'un travail de longue haleine, plus de 2 mois en fait. Ca te plairait, toi, de faire la même chose, et de voir un inconnu venir littéralement vomir dessus? Si je me suis lancé dans ces tests, c'est pas "pour moi", c'est pour les autres : Là je suis vraiment consterné par un tel mépris. Comme retour, c'est tout bonnement écoeurant!

A la limite, la "profondeur" de ton propos m'interloque : est-ce à dire qu'on ne peut pas même parler de programmes de sécurité, dès lors qu'il ne sont pas gratuit?

Si tu finis par lire cet article (...un petit effort, ça ne mange pas de pain), tu verras que l'auteur du programme n'a pas été particulièrement réjoui par certains résultats, c'est le moins que l'on puisse dire. Et oui, des fois il vaut mieux savoir de quoi l'on parle avant de venir critiquer vainement!

 

 

Pour info : D'autres programmes (Prevx1, GesWall, Anti-Executable, etc) sont en cours de tests, comme je le précisais dans mon 1er message. (Ce que mon interlocuteur facétieux n'a pas du voir non plus, visiblement).

Pour les gens que les tests sur les HIPS (Host Intrusion Prevention Software) intérêssent, on devrait répéter l'opération sur le module Proactive de Kaspersky 2006. Si c'est pour avoir le même genre de réactions, je m'abstiendrai de venir poster un lien vers l'article ici quand celui-ci sera prêt...

 

nicM

 

:P Alors là je suis soufflé que tu le prennes aussi mal, je ne vomis pas sur ton travail ni sur le logiciel Defensewall HIPS, je ne fais aucune critique, juste une remarque en passant.... Il ne faut pas être aussi agressif pour si peu de choses, que feras-tu quand des gens vont commencer à émettre de vraies critiques sur ce logiciel (ou la procédue de tests) et si elles sont fondées ? Tu vas les engueuler avec un discours de 10 pages ?

Sache que tu te fais une mauvaise pub en répondant comme ça....

 

Jusqu'ici j'appréciais ce forum pour le coté pro de ses intervenants et la convivialité, le coté bon enfant....

 

Le lien vers softsphere.com était fonctionnel hier soir quand j'y ai été voir. J'ai trouvé le concept intéressant (mettre en "untrusted" les fichiers et répertoires inconnus ou sensibles), de manière à empêcher l'installation de programme ou l'implantation de code indésirables, mais il y a déjà un certain nombre de programmes qui visent à une surveillance comportementale des fichiers et exécutables qui sont lancés.... cependant mettre un process ou un fichier en trusted ou untrusted pour pouvoir bloquer un truc indésirable semble inédit. pas mal même si ça laisse passer quelques trucs (selon les tests) : certains malwares arrivent tout de même à télécharger ou enregistrer quelques fichiers non voulus, même si DW bloque injections de dlls, chargement de process ou arrêt de process/dll encours, et empêche toute modification du registre, lancement de driver ou de service appartenant à un malware. Il faut cependant encore "nettoyer" derrière pour certains trucs. Comme ce n'est pas la toute dernière version de DW qui a été testée on peut supposer qu'il est plus efficace maintenant.

 

Par contre ce n'est pas la première fois que je vois passer ce style de présentation d'un nouveau programme qui semble très prometteur par un "nouveau" sur un forum, et qui se révèle être un programmeur qui veut faire connaitre sa dernière création.

 

D'où ma remarque qui se voulait cynique mais pas méchante ni dépréciatrice

Modifié par Svr32
nicM Mega Power Member

nicM

Posté(e)
  • Auteur
Posté(e)

Salut,

 

@Vercingétorix II : En effet, j'ai l'impression que le site a un problème :-P .

 

 

 

 

 

:-( Alors là je suis soufflé que tu le prennes aussi mal, je ne vomis pas sur ton travail ni sur le logiciel Defensewall HIPS, je ne fais aucune critique, juste une remarque en passant.... Il ne faut pas être aussi agressif pour si peu de choses, que feras-tu quand des gens vont commencer à émettre de vraies critiques sur ce logiciel (ou la procédue de tests) et si elles sont fondées ? Tu vas les engueuler avec un discours de 10 pages ?

Sache que tu te fais une mauvaise pub en répondant comme ça....

 

Jusqu'ici j'appréciais ce forum pour le coté pro de ses intervenants et la convivialité, le coté bon enfant....

 

Le lien vers softsphere.com était fonctionnel hier soir quand j'y ai été voir. J'ai trouvé le concept intéressant (mettre en "untrusted" les fichiers et répertoires inconnus ou sensibles), de manière à empêcher l'installation de programme ou l'implantation de code indésirables, mais il y a déjà un certain nombre de programmes qui visent à une surveillance comportementale des fichiers et exécutables qui sont lancés.... cependant mettre un process ou un fichier en trusted ou untrusted pour pouvoir bloquer un truc indésirable semble inédit. pas mal même si ça laisse passer quelques trucs (selon les tests) : certains malwares arrivent tout de même à télécharger ou enregistrer quelques fichiers non voulus, même si DW bloque injections de dlls, chargement de process ou arrêt de process/dll encours, et empêche toute modification du registre, lancement de driver ou de service appartenant à un malware. Il faut cependant encore "nettoyer" derrière pour certains trucs. Comme ce n'est pas la toute dernière version de DW qui a été testée on peut supposer qu'il est plus efficace maintenant.

 

Par contre ce n'est pas la première fois que je vois passer ce style de présentation d'un nouveau programme qui semble très prometteur par un "nouveau" sur un forum, et qui se révèle être un programmeur qui veut faire connaitre sa dernière création.

 

D'où ma remarque qui se voulait cynique mais pas méchante ni dépréciatrice

 

 

 

Bon... Je me suis un peu emporté, en effet :P . C'est parce que j'ai trouvé ton message précédent froidement aggressif, celui-ci venant tout simplement remettre en cause l'honnêteté, la probité de mon post - voire la mienne - en seulement quelques mots bien cinglants...

 

Désolé, et ce d'autant que je suis le premier à me plaindre de l'ambience inhospitalière de certains forums. Tu dis "Il ne faut pas être aussi agressif pour si peu de choses" : OK, simplement, je n'avais encore jamais eu une réponse aussi aggressive sur aucun forum, je n'ai pas l'habitude.. D'où ma colère (contenue :P ).

 

Par contre ce n'est pas la première fois que je vois passer ce style de présentation d'un nouveau programme qui semble très prometteur par un "nouveau" sur un forum, et qui se révèle être un programmeur qui veut faire connaitre sa dernière création.

 

En effet, je vois ce que tu veux dire. Ah, on fait ce qu'on peut, je ne fréquente que depuis peu les forums français :P .

 

 

(En fait, j'en profite pour dire que s'il y a des volontaires pour participer à ces tests, ils sont les bienvenus : Cette série de tests est menée par des particuliers, volontaires, et aux dernières nouvelles, nous n'étions pas assez nombreux - d'où le retard dans la publication des articles sur les autres programmes de cette série). cf cette page

 

 

Ah, les critiques sur le logiciel, ou même les tests, je préfère :P : C'est plus le genre de retour auquel je m'attendais! En fait, mieux vaut jetter un oeil à la méthodologie avant de voir les résultats de tests, car certains tests sont menés de manière dérogatoire : Avec le programme désactivé pendant l'infection, et réactivé ensuite seulement, etc. J'ai du mettre un lien vers elle, dans mon 1er message.

 

 

 

Merci pour tes commentaires sur le programme. En effet, il n'est pas infaillible (comme tous les programmes de protection, d'ailleurs). Mon sentiment est que le programmeur a fait en sorte qu'il bloque le plus possible d'action potentiellement malveillante, sans perturber non plus l'utilisation de l'ordinateur : Je veux dire que le programme pourrait être plus efficace, mais ça serait alors au détriment de la facilité d'utilisation. Certains programmes ne marcheraient pas, etc. Comme il le destine à l'utilisateur "moyen", c'est ce qui explique ce choix.

 

On a essayé de répertorier tous ses points forts ET faibles, à la fin, et je pense qu'il va implémenter un mode "avancé", quand la version 2 sortira, permettant aux utilisateurs habitués aux bloqueurs comportementaux de bénéficier d'une protection encore plus forte; mais je ne vois pas comment cela serait possible sans un minimum d'interaction avec l'utilisateur, dans le mode de fonctionnement, c'est pour cela que par défaut, le programme marchera toujours "sans popups", comme l'actuel. C'est à la fois un point fort (facilité d'utilisation) et un point faible (tout ne peut être bloqué automatiquement).

 

C'est pareil pour les fichiers et clés registre non bloquées, qui apparaissent dans l'onglet "File and registry tracks", là encore, ils se sont certes pas bloqués, mais de cette manière, ça n'empêche pas les programmes de fonctionner (sauf pour les malwares, dont une partie de l'activité est en général bloquée) : Tout est affaire de compromis. Et c'est trés pratique pour voir "ce qui se passe" sur l'ordinateur :-P .

 

Enfin comme tu le rappelles, la version testée est maintenant un peu dépassée, et je n'ai pas encore essayé la dernière en date, pour voir ce qui a changé en pratique.

 

Amicalement :-P

 

 

nicM

Svr32 Mega Power Member

Svr32

Posté(e)
Posté(e) (modifié)

J'ai moi aussi remarqué que le site n'était pas accessible tout à l'heure... problème technique, attaque en règle ? Vous savez que les sites de sécurité (anglosaxons spécialisés en particulier) ont dû s'arranger pour délocaliser et partager leurs serveurs, parce qu'ils faisaient l'objets d'attaques régulières et virulentes de la part de hackers qui n'appréciaient pas du tout qu'on vienne contrer leurs activités.... ils ont du trouver un moyen efficace de protéger leurs serveurs de ces attaques.

 

Pour le programme j'ai plutot l'impression qu'il s'adresse à des utilisateurs moyen à avancé, pour la bonne raison qu'il faut aller prendre dans le tableau la liste des process potentiellement malicieux, et stopper manuellement ceux qui sont vraiment des malwares. Pour cela il faut bien connaitre les programmes qui tournent sur son PC, et les services correspondants, il faut également connaitre son windows (les mêmes choses); ce n'est pas à la portée de tout le monde.

 

J'aurais adoré le tester mais ma config ne le permettra pas (Win 98SE). En plus j'utilise l'engin pour le travail et j'hésiterais tout de même à y parachuter des malwares à seule fin de voir si le log testé arrive vraiment à tout bloquer... Cela comporte un minimum de risques. Avec quelques vieux coucous (sous XP ou 2000) je pourrais le faire... :P

 

J'allais oublier : bienvenue sur les forums zebulon et les autres forums de sécurité français

Modifié par Svr32
MaB69 Junior Member

MaB69

Posté(e)
Posté(e)

Salut Nico,

 

De retour sur les forums in french :P

 

Merci de présenter cet excellent produit sur zebulon ainsi que le blog de Kareldjag ( excellent site franco-anglais sur la sécurité)

 

Bonne soirée

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...