DefenseWall HIPS

[nicM]

Salut Nico,

 

De retour sur les forums in french

 

Merci de présenter cet excellent produit sur zebulon ainsi que le blog de Kareldjag ( excellent site franco-anglais sur la sécurité)

 

Bonne soirée

 

Salut MaB

 

Et oui . je vois que tu traînais dans le coin toi aussi .

 

 

 

@ Svr32 :

 

J'allais oublier : bienvenue sur les forums zebulon

 

Merci Svr32 ! .

 

Pour le programme j'ai plutot l'impression qu'il s'adresse à des utilisateurs moyen à avancé, pour la bonne raison qu'il faut aller prendre dans le tableau la liste des process potentiellement malicieux, et stopper manuellement ceux qui sont vraiment des malwares. Pour cela il faut bien connaitre les programmes qui tournent sur son PC, et les services correspondants, il faut également connaitre son windows (les mêmes choses); ce n'est pas à la portée de tout le monde.

 

Ca fait maintenant 3 semaines que je ne l'ai plus utilisé, donc ça n'est pas encore des "vagues souvenirs", mais n'est plus aussi frais qu'au moment de la publication. Toutefois, l'utilisation courante de DW n'est pas aussi complexe que tu sembles le croire. Pour schématiser, la seule interaction utilisateur est celle de la configuration du programme, après installation (ou ajout d'un nouveau programme sur l'ordinateur, si l'utilisateur veut que ce programme soit "untrusted") : Il s'agit de paramétrer comme "untrusted" les programmes qui peuvent se révéler être des vecteurs d'infection (navigateurs, bien sûr, puis client mail, Instant messenger, etc). Et voilà, c'est tout : Désormais, tout ce qui va transiter par eux sera "untrusted" aussi, c'est l'originalité du programme (bien que des concurrents fonctionnant de manière proche existent, par ex GesWall, BufferZone, SecureOl, Virtual Sandbox, Sandboxie, etc. Cela dit, à la différence de ceux-ci, DefenseWall n'utilise pas de système de fichiers virtuels - pour faire court).

 

C'est là la différence majeure d'avec les "bloqueurs comportementaux" classiques, comme Process Guard, par ex (excellent au deumeurant, je l'ai acheté voilà + de 2 ans, je ne le regrette pas). Ici, l'utilisateur n'a pas à "piloter" le programme, pour refuser l'installation de malware. C'est le programme qui s'en charge par défaut, la seule ocndition étant que le programme "parent" soit "untrusted".

 

Enfin, en cas d'infection, il n'y a pas à aller fouiller dans l'interface pour voir ce qui s'y trouve dans les processus "untrusted", il suffit de cliquer sur le monumental (il est énorme!) bouton rouge, placé en plein milieu de l'interface principale. Peu importe ce qui s'y trouve, tout est tué sur le champ. Là encore, c'est la différence avec les HIPS "classiques".

 

Bon, maintenant, c'est clair que ce système pourrait être amélioré, notamment dans la notification à l'utilisateur. C'est un truc que je reproche au programme, quand une infection se produit, rien de particulier ne le signale, il faut ouvrir l'interface pour voir que des processus inconnus sont en train de tourner, que des évènements ont été bloqués, etc. Moi, en faisant les tests, je me doutais bien que quelque chose devait se passer , puisque les fichiers étaient lancés volontairement, mais en temps normal, c'est moins évident. On lui a donc suggeré d'introduire une notification lorsque de nouveaux processus "untrusted" sont lancés, par ex.

 

Donc en gros, c'est bien conçu pour un utilisateur moyen, seule la configuration initiale repose sur lui. Enfin c'est un raccourci, car il y a d'autres protections, mais qui n'ont été que trés peu utilisée pendant ces tests, notamment la protection "fichiers sensibles" : Ici, bien évidemment, c'est aussi à l'utilisateur de définir quels sont ces fichiers, d'en ajouter/retirer, etc.

 

 

J'aurais adoré le tester mais ma config ne le permettra pas (Win 98SE). En plus j'utilise l'engin pour le travail et j'hésiterais tout de même à y parachuter des malwares à seule fin de voir si le log testé arrive vraiment à tout bloquer... Cela comporte un minimum de risques. Avec quelques vieux coucous (sous XP ou 2000) je pourrais le faire... icon_smile.gif

 

En effet, il y a moins de choix sous 98 . Par contre, pour ce genre de tests, il faut procéder avec des "filets" . Moi, j'ai d'abord fait une image disque TI 9 (qui ne m'a finalement pas encore servi), puis ai utilisé au quotidien un truc qui s'appelle Rollback Rx, qui me permettais d'installer les saletés, et de restaurer ensuite l'ordi en un redémarrage (super programme, d'ailleurs ). Sans ça, ça serait la galère, car de toute façon, les malwares étaient d'abord installé sans protection, pour voir ce qu'ils faisaient exactement.

 

Si ça te dis de participer aux tests, tu es le bienvenu .

 

 

nicM