Hips/behavior blocker

[EboO]

Bonsoir,

Tout est dans le titre ! Quelle différence entre les 2 ? (J'ai vu un soft chez emsisoft qui fait behavior blocker et je ne saisis pas trop). C'est à la mode ces temps-ci avec sandbox et virtualisation

Merci.

[Cyborg]

T'as des définitions de l'un et l'autre rapidos (pas le temps de fouiller en ce moment) ?

[EboO]

de ce que j'ai compris (attention je ne dis pas que j'en suis sûr), le behavior blocker analyse tout (comme le hips) mais en plus il est capable de voir les modifications des programmes approuvés (ce que ne ferait pas un hips).
J'attends les experts

[Skillhackers]

le hips donne plein d'alertes inutilement, le behavior non,

je pense que tout le monde sait a peut prés ce qu'est un hips.
Donc je vais directement expliquer le behavior blockers pour info Norton (Sonar) est un behavior blockers doté d'une sandbox qui scan tous les drops fichiers, puis l'antivirus analyses les fichiers( et non c'est pas un hips le sonar) Comme pourrait le croire beaucoups de gens,

Le hips donne des alertes non expliquée, oui y'a les images, mais bon, il modifie le registre et quoi ?, ca peut etre autant légitime que mauvais, qui peut prouvé le contraire?
le behavior blockers donnes les alertes, de ce que fais le fichier, par exemple il touche au regedit, au lieu d'avoir une alerte avec la clée de registre, le behavior detecte cette action, il touche au gestionnaire de taches? il est bloquer, ainsi de suite, et ce silentieusement, de plus il contient une sorte de base de donnée de "code-caving", il detecte le code suspicieux, telle que tuer les antivirus, etc.

[EboO]

c'est un hips intelligent, avec que des pop-ups justifiés en gros ?
Comodo prévoit de sortir CIS 2011 avec un behavior blocker, j'espère qu'OA va prendre le même chemin (d'autant qu'emsisoft a déjà mamutu). Tu aurais des infos sur les behaviors blockers à venir skillhackers ?

[Skillhackers]

Je me suis tromper, le behavior blockers bloque que les exploits, de type java/pdf/swf/ocx, et tout les autres types de document, le sonar est une behavior analysis, deux choses différente apparement.

c'est un hips intelligent, avec que des pop-ups justifiés en gros ?

Dans un sens, oui.
La nouvelle version de panda 1.1 :

Yes, the new version 1.1 will have:
* Auto-upgrades
* Behaviour blocker
* Runtime behaviour analysis
* Other goodies

Panda cloud antivirus, va avoir les deux, on pourra faire une vrai idée.
D'ailleurs le behavior travaillent, si le processus prends trop le cpu, de memoire etc, ce qui est intégré chez norton 2011 et kapersky 2011.

[EboO]

bah on va bien voir alors. Mais tu connais mamutu, t'as des retours dessus ?

[EboO]

Toujours dans mes questions sur les softs de sécurité je relance ce topic pour savoir quelle est la différence entre HIPS et IDS, certains disent que c'est pareil et d'autres non. Le bahvior blocker bloquerait les droppers et l'IDS est un HIPS bavard que lorsque c'est nécessaire. L'ensemble constituerait un bon couple, utopie ?

[Skillhackers]

Pour ce qui est des hips de manière générale, ils ne servent pas à grand chose. Il y a plusieurs problèmes
Dans un premier temps, les hips ne sont pas sans faille, c'est leur principal problème car tout ce qu'ils font, c'est canaliser l'exécution d'une application. Vous vous imaginez un tuyaux dans lequel s'écoule de l'eau, et à un moment donné, un trou, un solution non colmaté par l'hips qui laissera tout passer.
En second lieu, l'utilisateur et l'hips. En effet, c'est l'utilisateur qui autorise ou pas une action surveillée. Lorsque des testeurs s'amusent avec des fichiers qu'ils savent malveillants c'est bien, mais que ce passera t'il lorsque vous penserez l'application sûre ? Ou bien, chose plus fréquente, que vous ne savez pas à quoi correspond exactement l'alerte ? Et bien vous la laissez passer, c'est tout le problème.
Enfin, le problème des userfriendly comme CIS et OA qui donnent tous les droits aux applications "sûres". le soucis, c'est que se faisant, vous autorisez toutes les failles de sécurité possible via cette application, autrement dit, il suffit de cibler une application sûre, derrière, elle fera tout ce qu'elle veut. C'est la faille que j'ai publiée qui est, après réflexion, impossible à corriger en l'état et demanderai énormément d'analyse et de modifications pour que cela fonctionne.

Pour ce qui est de la sandbox, même soucis, il y aura toujours des failles, voyez une sandbox connue Sandboxie qui n'arrive pas à tout contenir, c'est toujours le problème de l'exécution, c'est dur à canaliser.

Pour ce qui est des pare-feu, même chose que les hips, c'est l'utilisateur qui autorise ou non les connexions, donc il suffit de le berner. Ajouter à cela le problème encore une fois des applications sûres.

Sur ces trois modules, que dire au final à part que c'est de la poudre aux yeux. Les seuls hips efficaces sont ceux qui bombarderont l'utilisateur d'alerte, comme OSSS par exemple. Cela a été ma conclusion lorsque j'ai tenté de trouver un remplaçant CIS, au début cela devait être OA, mais je ne l'ai finalement pas pris.

Il existe enfin un système plus efficace, les behavior blocker qui arrivent à déterminer rapidement si un fichier est un menace ou non juste avant l'exécution généralement. Actuellement, il n'y en a qu'un seul gratuit, mais sont utilité fait débat ainsi que ces influences sur les ressources du système, je vous invite plus à lire informars pour les discutions qui s'y rapportent.

Enfin, le dernière système qui devient un peu à la mode, ce sont les IDS, ils analysent les comportement pour détecter les menaces potentielles à la manière d'un hips en quelque sorte sauf qu'ils s'auto gèrent.
Il n'en existe actuellement aucun gratuit, c'est d'ailleurs quelque chose que plusieurs d'entre nous cherchons en ce moment.

Ce deux derniers outils sont l'avenir de la sécurité, le reste, il faut l'oublier.

Le nom devrait etre hids pour les pare-feu avec un ids, cela est deja crée pour Vipre antivirus premium.
Source : shaoran.

[Gilles Gropaquet]

Bonjour,

Enfin, le problème des userfriendly comme CIS et OA qui donnent tous les droits aux applications "sûres".

Faux pour OA.

Il suffit d'aller dans les options avancées (clic-droit sur un fichier dans la liste des "programmes") et on peut affiner les autorisations, même sur les applications "approuvées".

http://infomars.fr/forum/index.php?show ... entry23950

@+

[Skillhackers]

A COMODO aussi, On parle en default settings.

[monsieur N]

Bonjour à tous, je me permets de déterrer ce sujet car depuis peu, je m'intéresse aux hips, hids et behavior blocker. Sans vouloir dire que je cherche à maitriser mais plutôt que j'essaie de comprendre. Donc voici mon problème , avec tous ces logs de sécurité, j'ai l'impression d'être dans une jungle. En effet , entre ce que disent les éditeurs et ce que que l'on trouve dans les forums (même celui ci), je ne sais plus dans quoi classer certains logs. exemple : Matmutu est parfois considéré comme un ids et parfois comme un BB, DSA c'est la même chose, OA parfois comme un hips et parfois comme un hids.
Ne serait il pas possible de créer un tableau en 3 catégories dans lequel un expert (on en trouve beaucoup sur ce forum) classerait les différents logiciels qu'ils soient payant ou gratuits. En tout cas, moi cela me permettrait, et d'autres aussi je pense, d'y voir plus clair.

Ex: threatfire, DSA, OA, Matmutu, OSSS, AVG identity protection, etc...

Je ne doute pas que ce travail serait fastidieux surtout que certains logs peuvent faire plusieurs choses à la fois.
petite parenthèse pour dire merci pour les définitions et explications que j'ai pu trouver sur le site concernant les différences entre les HIDS, HIPs, BB, Sanbox.

[félix le chat]

Bonjour,

Il semblerait [pour ceux qui veulent le tester] que Mamutu soit gratuit pour 1 an ici http://download.cnet.com/8301-32471_4-2 ... 91713.html

[EboO]

Sauf erreur de ma part les ids sont devenus des hips (qui surveillent tout, du moins en théorie, et préviennent de tout ce qu'il se passe).
Les behavior blockers analysent plutôt ce qu'il se passe et constatent si l'action réalisée est en adéquation avec ce que le logiciel est censé faire : si ce n'est pas le cas il prévient.
OA, OSSS, comodo, defensewall sont des hips.
Mamutu est un behavior blocker, de même que panda cloud, vipre, ...
Les listes ne sont pas exhaustives mais j'espère qu'elles t'aideront.
Pour résumer : tu installes le logiciel en question et si tu as des pop-ups partout c'est un hips