Forum XP.Net -Sécurité Informatique-

- Dépannages - Prévention - Conseils - Aide -
Nous sommes actuellement le Jeu 28 Mar 2024 - 21:52

Heures au format UTC + 1 heure




Publier un nouveau sujet Répondre au sujet  [ 7 messages ] 
Auteur Message
 Sujet du message: Un Comparatif : 10 HIPS testés contre des "HIPS-killers
MessagePublié: Mer 25 Juil 2007 - 17:54 
Hors-ligne
modérateur
modérateur
Avatar de l’utilisateur

Inscrit le: Ven 3 Fév 2006 - 00:03
Messages: 521
Bonjour tout le monde,

J'ai fini ce matin un petit comparatif, entre 10 HIPS, testés contre un type de malware très particulier : Des troyens et rootkits qui sont conçus pour bypasser et neutraliser ces derniers :shock: .

Le comparatif est dans le 2nd lien, sur cette page :

http://membres.lycos.fr/nicmtests/index.html

Les produits testés montrent une palette de comportements très... variable, c'est plutôt intéressant :) .

Je m'excuse par avance, mais je suis à peu près sûr de ne pas avoir l'occasion de traduire ce comparatif en français :oops: , certains éditeurs de programmes testés se bousculant déjà pour demander un nouveau test de leur programme, fraîchement modifié ou sur le point de l'être :roll: ... Donc j'aurais sûrement de quoi m'occuper...


Voilà-voilà :)


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Jeu 26 Juil 2007 - 10:09 
Hors-ligne
modérateur
modérateur
Avatar de l’utilisateur

Inscrit le: Mer 7 Sep 2005 - 09:53
Messages: 1358
Génial !
Encore une fois, merci de nous faire partager toutes ces informations.

Questions :
- je suppose que la version testée est ProSecurity 1.30 et non ProSecurity 1.30 Free Edition ? comparatif
- cela ne te semble-t-il pas excessif 30$ (ou 40$) alors que c'est le ± prix d'une suite AV comme McAfee par ex. ?
- quelle est l'utilité de ce produit en plus d'une suite AV qui comprend déjà FW + AV + anti-spy + anti-rootkit ? Ou, a contrario, quelle est l'utilité d'un autre produit quand on a ProSecurity 1.30 au vu de son mode de fonctionnement ?


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Ven 27 Juil 2007 - 05:55 
Hors-ligne
modérateur
modérateur
Avatar de l’utilisateur

Inscrit le: Ven 3 Fév 2006 - 00:03
Messages: 521
Salut Guardian :)

Pour ProSecurity, il s'agit en effet de la version Pro, et non de la gratuite. Cette dernière aurait eu des résultats nettement inférieurs à ceux de la version testée ici, car elle n'intégre pas la détection des tentatives de 'debugging at system level'. Or, comme c'est tout particulièremment cette protection qui a valu à Prosecurity sa 1ère place... ;)

Euh, non, le prix ne me semble pas excessif du tout :) : Quand on compare le prix d'un tel programme à celui d'un AV, il faut savoir que pour un AV, on achète un abonnement; généralemment 1 an, deux pour certains AV. Ici, on achète une licence pour le produit lui-même, qui fonctionnera encore dans 3,5 ans, avec la même licence ;) .

Surtout, pour la valeur ajoutée en terme de sécurité, ça n'est pas cher payé - ceci vaut pour ProSecurity, comme d'autres programmes comparables. Bie n entendu, la différence est moins nette aujourd'hui, puisque les AV se mettent à intégrer eux-même un composant de type HIPS (par ex McAfee SystemGuards ;) ). Mais les solutions dédiées gardent cependant l'avantage, en général tout au moins.

Je pense que ProSecurity, encore comme simple exemple, est largement plus "costaud" que SystemGuards : Etant plus complet au niveau des protections (voir la page du site sur "features"), et implémenté de manière autonome (par ex si un malware arrive à "tuer" McAfee, la protection SystemGuard tombe avec. Ici, non (Prosecurity protège par le biais de son driver, c'est-à-dire que si un malware arrivait à tuer son processus, le programme continuerait de protéger le système, la différence étant simplement que l'interface ne tournerait plus, et ne pourrait poser les demandes d'autorisation, comme en circonstances normales - les règles de blocage définies s'appliqueront toujours, mais sans interface pour gérer les blocages).

Enfin pour faire simple, autant désactiver SystemGuards, si ProSecurity tourne en même temps, il offre une bien meilleure protection du système : Possibilité d'interdire le lancement d'un exécutable sorti de nulle part (ex drive-by-download et fichier droppé non détecté par l'AV), et si l'exécutable est lancé quand même, politique rigoureuse de restriction de l'accès au système : Va bloquer tout type de rootkit en les empêchant d'effectuer les opérations requises pour s'installer, par ex. Va empêcher un troyen d'espionner les mots de passe entrés dans des boîtes de dialogues, de modifier la mémoire de processus système, de s"ajouter au redémarrage, de copier leurs fichiers dans le répertoire système, etc-etc

Ce n'est qu'un faible résumé, car la variété de comportements qui peut être bloqué par un HIPS, de préférence un bon, est extrêmemment étendue.


Donc...pour enchaîner avec ta 2ème question, on peut très bien concevoir de se passer d'AV, avec une telle solution : Sachant que les malwares téléchargés ne parviendront pas à se lancer, ou s'il sont lancés, se verront opposer un "barrage" assez imposant pour intéragir avec le système, on est à la limite plus protégé que par un AV : Ici, peu importe que la menace soit connue ou inconnue, elle se verra "mettre des batons dans les roues" de la même manière en tentant de s'installer.

Seulement, il faut savoir se servir correctement du HIPS, pour ce faire :) . Il est clair que ce type de solutions ne s'adresse pas au "grand public", mais plutôt à des utilisateurs "avancés".

Dans ce cadre, l'utilisateur ne saura pas "quelle" menace a tenté de s'installer (il faut... un scan AV), mais elle sera bloquée avec plus de chance que par un AV : Par ex menace de type "zero-day", non reconnue par l'AV à un moment donné.

Il arrive que les AV reconnaissent une menace, mais trop tard : Le fichier a déjà été exécuté, et c'est son activité qui a provoqué la détection. Dans ces cas là, souvent le malware a déjà commencé à s'installer, et à changer certains paramètres (je prends l'exemple le pire, un bon gros rootkit kernel-mode, allez hop :lol: ). Avec le HIPS, tu as l'occasion de l'empêcher de se lancer, donc de l'empêcher de faire le moindre domage...


Bon enfin voilà, ma réponse n'est pas très ordonnée, mais tes questions sont tellement vastes qu'on pourrait y répondre par plusieurs pages ;) .

ps : Certains HIPS ne fonctionnent pas du tout de la même manière que ProSecurity - pour reprendre celui que tu as cité. Et certains sont gratuits.


:)


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Ven 27 Juil 2007 - 06:00 
Hors-ligne
modérateur
modérateur
Avatar de l’utilisateur

Inscrit le: Ven 3 Fév 2006 - 00:03
Messages: 521
Au fait, je fais un copier-coller d'un post que j'ai fait sur Zébulon, traduisant sommairemment la première page du site ;) :

Citer:
En principe, les HIPS fonctionnant en "kernel-mode" utilisent des "hooks" dans la SSDT (system services dispatch table) qui leurs servent de "capteurs", pour faire en sorte de pouvoir intercepter et suspendre les "api-calls" (appels système par les programmes), et soumettre le changement requis par le programme ayant déclenché l'alerte à autorisation par l'utilisateur.

Cela peut être pour la création d'un clé Autostart dans le registre, la création d'un nouveau service, la tentative de modification de la mémoire d'un autre processus, etc.

Ces hooks servent donc de "capteurs" aux HIPS, et il est établi que les hooks en kernel-mode sont bien plus "solides" que les hooks en mode utilisateur, disposant de moins de privilèges.

Par exemple, lorsqu'un HIPS "kernel-mode" surveille la création de services, il est capable de bloquer un rootkit "kernel-mode" en empêchant la création du service requis par le rootkit pour s'installer dans le noyau.



* Cependant, quelques malwares commencent à "changer les règles", en essayant de contourner cette protection : Puisque ces HIPS "kernel-mode" (de même que certains firewalls) sont capables d'empêcher leur installation, et/ou leur fonctionnement, il semble que certains auteurs de malwares aient décidés d'employer les grands moyens, en crééant des malwares capables de briser ces "capteurs" évoqués plus haut, ce qui a pour effet de rendre le HIPS, le firewall, aveugles.

En effet, sans leurs "capteurs", le HIPS ou le firewall sont totalement aveuglés, et ne fonctionnent plus : Ils ne sont plus capables ni de détecter l'activité au niveau du système, ni d'empêcher ces changements - qu'ils ne décelent plus de toute façon doh.gif ...

On aboutit donc à un résultat où le HIPS tourne encore, son/ses processus sont toujours en cours, et même son interface signale un état normal, mais en pratique, le programme a été tué : Il ne peut plus rien voir, ni rien faire; exactement comme s'il avait été désinstallé.


En fait, à défaut d'arriver à coutourner le "mur" que représente le HIPS sur le système (en contournant sa détection), ces malwares choisissent la solution de détruire ce mur, pour utiliser une image.

C'est ce qu'ils font en restaurant les hooks utilisés par les HIPS, dans leur état d'origine : C'est-à-dire dans l'état où les adresses Nt étaient AVANT l'installation du HIPS.




Dans les tests, vous remarquerez que certains malwares testés procèdent ainsi : Ils rendent d'abord aveugle le HIPS testé, puis sont ensuite libres d'installer un rootkit, de lancer des connections utilisant des processus systèmes, de lancer d'autre processus, etc

Autant d'évènements que tous les HIPS testés ici sont normalement capables de détecter, et d'empêcher, mais ceux qui échouent aux tests ne détectent strictement rien, étant rendus aveugles et muet.



* En conclusion, c'est là le double danger de ce type de malware : D'une part, ils sont capables de bypasser des programmes qui sont normalement supposés les bloquer, et d'autre part, toute la perfidie est que l'utilisateur n'a aucune raison de s'inquièter, puisqu'il se sait protégé par un programme apte à bloquer les malwares traditionnels - Le programme s'affichant comme tournant normalement (statut OK dans l'interface, par ex), il en résulte un faux sentiment de sécurité extrêmemment préjudiciable...


Heureusemment, tous les malwares ne se comportent pas comme cela, et c'est pour cette raison que ces tests ne sont pas représentatif de la protection globale offerte par chaque programme testé : Il ne s'agit que de tests sur un type très particulier de malwares. Mais ces malwares existent cependant, et doivent représenter une petite proportion de l'ensemble des malwares en activité. Il est donc important de pouvoir faire face.


Voilà, je pense que l'essentiel est là. Pour les tests proprement dit, des captures d'écrans illustrent chaque propos, donc je pense que c'est accessible.




En tout cas, le but a été atteint : La plupart des éditeurs dont le programme a obtenu un faible score dans ces tests ont déjà réagi, se précipitant pour annoncer de nouvelles versions capables de blocker ce type de menaces (je leur ai tous envoyé les fichiers), ou changeant certains paramètres dans leurs programmes permettant d'obtenir un meilleur score.

J'ai secoué le cocotier :lol:

:D


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Ven 27 Juil 2007 - 09:07 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
:wink:
Merci de tes réponses toujours aussi complètes et instructives.
Si Guardian continue il va arriver à obtenir la version traduite en exclusivité.
:lol:

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Ven 27 Juil 2007 - 10:27 
Hors-ligne
modérateur
modérateur
Avatar de l’utilisateur

Inscrit le: Mer 7 Sep 2005 - 09:53
Messages: 1358
Merci nicM :wink:

Juste quelques remarques en vrac :
- effectivement, comme tu le soulignes, nous avons une approche différente et (j'espère) plus de compétences que l'utilisateur lambda, ce qui "fausse" notre point de vue
- l'arrêt de l'interface d'un AV ne signifie pas forcément l'arrêt de la protection. Tu nous dit quun HIPS continuerait à protéger le système alors qu'un AV serait stoppé. Je n'en suis pas convancu les processus d'un AV comme McAfee ne sont pas forcément liés et l'arrêt de l'AV peut laisser le systemguard actif non ?

En ce qui concerne le prix, effectivement si la licence est "permanente" c'est raisonnable. Cela dit, compte tenu de l'évolution des menaces et des AV, les unes toujours différentes et plus performantes, les autres plus complets et plus performants, la durée d'utilisation d'un tel produit risque de ne durer très longtemps.

Il faudrait presque bosser sous SandBox et ne passer en mode "normal" que pour installer des logiciels permanents :wink:

Vista apporte dans ce domaine quelques protections suplémentaires, il faudrait évidemment connaître leur efficacité réelle.


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Dim 29 Juil 2007 - 15:43 
Hors-ligne
modérateur
modérateur
Avatar de l’utilisateur

Inscrit le: Ven 3 Fév 2006 - 00:03
Messages: 521
Guardian a écrit:
- l'arrêt de l'interface d'un AV ne signifie pas forcément l'arrêt de la protection. Tu nous dit quun HIPS continuerait à protéger le système alors qu'un AV serait stoppé. Je n'en suis pas convancu les processus d'un AV comme McAfee ne sont pas forcément liés et l'arrêt de l'AV peut laisser le systemguard actif non ?



Euh, c'est possible, effectivemment :wink: . Mais j'en doute : Pour ce genre de programmes, la capacité à protéger le système par le biais du seul driver, sans l'intervention du processus exécutable, est un raffinement plutôt rare :) , ça me surprendrait pas mal que SystemGuards marche comme ça.

Mais bon, j'ai pas été vérifier.

Sinon, pour la possible inadaptation du produit aux menaces, que tu évoques, je te trouve encore un peu pessimiste :lol: : Les HIPS, offrant une protection générique, sont justemment plus pérennes que les programmes fonctionnant par détection, comme les AV, puisqu'ils n'ont pas besoin de bases de données pour prévenir les menaces.

Maintenant, c'est vrai que les éditeurs d'AV vont là où le vent porte, et après avoir mis à bas le marché des anti-troyens (en intégrant eux-même ce type de menaces dans leurs bases de données), ils se mettent progressivemment à intégrer eux-même un HIPS. Ils ne sont pas tous d'égale valeur, et les HIPS autonomes ont encore un métro d'avance, mais qui sait ce qu'il en sera dans 1 an ou 2 :shock: .


Haut
 Profil  
 
Afficher les messages depuis:  Trier par  
Publier un nouveau sujet Répondre au sujet  [ 7 messages ] 

Heures au format UTC + 1 heure


Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité


Vous ne pouvez pas publier de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas insérer de pièces jointes dans ce forum

Rechercher pour:
Sauter vers:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Translated by Xaphos © 2007, 2008, 2009 phpBB.fr