HIPS - Comodo n'est pas un héros

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Sylvester_Trollman
newbie expert
newbie expert
Messages : 54
Inscription : 01 oct. 2013 10:23

HIPS - Comodo n'est pas un héros

Message par Sylvester_Trollman »

Pourquoi Comodo n'est pas un héros ?


D'abord il est utile d'aller jeter un œil à la « bible » du testeur de pare feu, on y voit que les tests sont effectués sous Windows 7 64 bits, avec l'UAC désactivé et les paramètres réglés au maximum,

http://www.matousec.com/projects/proact ... logy-rules

Il est donc important de remarquer que tout malware fuitant Windows, ou tout leaktest de Matousec, aura eu la possibilté d'un accès au noyau (ring 0), alors que dans la réalité, sauf comportement irresponsable qui n'est pas de ce sujet, ce n'aurait pas été pas le cas.

Ring 0, le noyau, aucun privilège normalement, endroit le plus protégé.
Ring 1 et 2 processus et pilotes.
Ring 3 les applications.

Si sous 32 bits l'affaire était entendue pour les HIPS (crochets en mode noyau), en 64 bits le patchguard les contraint aux crochets en mode utilisateur (ring 3).


Et là rien ne va plus,

http://rce.co/why-usermode-hooking-suck ... -security/

Sur ce fil on peut voir que les crochets en mode utilisateur peuvent être facilement bousculés par les malwares de type « smart » ou « targeted », paradoxalement ce type de défense permet de désactiver les HIPS.

Les crochets en mode utilisateur fournissent une fausse impression de protection, héritée de l'époque 32 bits, où les outils type HIPS, très bavards du fait d'insuffisance de mises à jour, donnaient l'impression de bloquer tout ce qui doit l'être.
Ajouté aux nombreuses questions sur les flux purement réseau (genre explorer.exe flux sortant se connecte à internet), auxquelles la majorité des utilisateurs ne savent pas répondre, surtout sous Windows 8, on a là tous les ingrédients d'une mauvaise protection, surtout si on y ajoute un produit comme Avast qui va faire doublon en s'adressant parfois aux mêmes ressources.


Comodo n'est pas le seul concerné, Outpost a aussi été mis en difficulté par Matousec,

http://www.outpostfirewall.com/forum/sh ... usec/page4

La réponse d'Outpost ? Écran de fumée, il faut utiliser les deux modes, noyau et utilisateur, sauf que le mode noyau sous patchguard et UAC ce n'est pas encore fait.
Pour couper court aux habituelles banalités inexactes sur le sujet, le patchguard n'a jamais été traversé depuis qu'il existe, il a été une fois contourné, oui on peut désactiver l'UAC, mais ce n'est pas à la portée de n'importe qui, et il faut un accès au shell, donc le PC est déjà piraté.


Windows a uniformisé en large partie la protection de son OS, les antivirus en sont pour leurs frais, il leur reste quelques outils évidemment, mais leur liste noire aidée de l'heuristique n'a plus la vedette, il ne leur reste plus que les apparences et le marketing.
Le « gendarmerie » semble changer de chemise très souvent et les meilleurs antivirus le loupent régulièrement, il me semble avoir remarqué que le pare feu de Windows est systématiquement désactivé dans ce cas d'infection, s'il l'est sous Windows 7 ou 8 c'est que l'UAC n'est pas réglé au maximum, faites le !...

Et si vous dites « oui » lors de l'alerte de l'UAC, dites vous bien que ce ne sont pas les crochets en mode utilisateur de votre HIPS Comodo, Outpost ou Eset qui vous sauveront.

Malekal_morte
Site Admin
Site Admin
Messages : 103429
Inscription : 10 sept. 2005 13:57
Contact :

Re: HIPS - Comodo n'est pas un héros

Message par Malekal_morte »

Mouais.
Je trouve que ces programmes font vraiment partis de ceux qui alourdissent le système.

Ils sont en train de mourrir, à mon avis, dans 5 ans, on les verra plus.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Sylvester_Trollman
newbie expert
newbie expert
Messages : 54
Inscription : 01 oct. 2013 10:23

Re: HIPS - Comodo n'est pas un héros

Message par Sylvester_Trollman »

Comodo comme Outpost dérivent depuis peu vers les dispositifs type bac à sable, ça découle je pense de ce que je viens de d'écrire plus haut, leurs logiciels sont en manque de sécurité au niveau proactif, ce qui n'enlève rien à leurs qualités strictement pare feu (concerne essentiellement Outpost).


L'ennui c'est qu'on est loin de Sandboxie, et plus d'un tombe dans le panneau, car le problème face au patchguard est le même pour un HIPS que pour Sandboxie, pour offrir le même niveau de sécurité en 64 bits que sur une version 32 bits il faut... contourner le patchguard, et ce n'est pas possible.

Donc à grands coups de marketing, on nous balance de la sandbox qui n'est en réalité que de l'heuristique dynamique, l'autre ennui c'est que les antivirus, dont certains depuis pas mal de temps sans le claironner sous tous les toits, ont aussi un dispositif d'heuristique dynamique... donc conflits de ressources à venir, je dirais chacun son métier.

Pour moi actuellement, si on utilise Outpost qui est facile d'emploi (ou Comodo si on a de solides connaissances de base en réseau), il faut activer l'UAC à fond et n'utiliser que MSE – Windows defender, peut être que Panda cloud marcherait sans conflit, je n'ai pas essayé, mais ça semble possible.

Si on utilise Kaspersky antivirus (présence d'un IDS, celui ci hook, dérive le trafic) ou Bitdefender, seul le pare feu de Windows convient (on peut quand même ajouter de quoi filtrer en sortie, mais est ce bien utile?), ou celui qu'ils proposent dans leurs suites .


Pourquoi pensez vous que Trend micro ou F secure utilisent le pare feu de Windows ?
Dernière modification par Sylvester_Trollman le 05 déc. 2013 07:38, modifié 1 fois.

Malekal_morte
Site Admin
Site Admin
Messages : 103429
Inscription : 10 sept. 2005 13:57
Contact :

Re: HIPS - Comodo n'est pas un héros

Message par Malekal_morte »

MSE c'est un peu pourri quand même :p

Les Comodo et Outpost, c'est trop compliqué pour le commun des mortels.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Securite informatique »