Comment déjouer jusqu'à 94% des vulnérabilités critiques découvertes dans Windows et les outils Microsoft ?

Blog
30

Bonjour tout le monde !

Bon je vais poser une question à toutes et à tous, et vous me direz ce que vous en pensez… LoL! :grin:

Je peux comprendre que l’on s’acharne sur telle ou telle faille de sécurité Windows ou tel système AV etc.

Ne serait-il pas plus pertinent d’être capable d’analyser le comportement en temps réel de sa machine et son OS ?

Si oui, il existe des outils très performants pour ce type de travail mais encore faut-il être CAPABLE de les mettre en œuvre… Être capable d’analyser chaque processus, chaque service, chaque applicatif etc. en temps réel est impossible pour un utilisateur même aguerri… Alors croire qu’un “pseudo système” peut le faire est une utopie à mon humble avis.

C’est d’ailleurs pour cette raison que tous les “Profs de l’Administration systèmes et réseau” mettent en place les outils nécessaires à ce type de travail notamment par l’intermédiaire d’un Centralisateur de logs couplé à une “pile ELK” collectant et analysant tous les logs systèmes et réseau de tous les utilisateurs… Ensuite tout est une question de stratégie de sécurité qu’il faut savoir mettre en place notamment à travers différents “dashboards” (analyse comportementale). Tout ceci demande donc des moyens financiers et techniques importants que l’utilisateur lambda n’a pas ou possède de “manière très limitée”….

31

Il paraît même qu’ils font le café. :wink:

L’efficacité des AV doit clairement être remis en doute, comme pour les sois disant légende urbaine qui continue de persister, c’est avant tout un argument vendeur, pour que des gars se touche la nouille à dire que ton PC est protégé.

En effet maintenant que la plupart des applications dangereuses (navigateur web, plugin) intègre une protection d’isolation de processus. Comme par exemple Chrome qui le fait très bien, mais bon chacun son choix.

Après c’est sur une fonctionnalité de base depuis longtemps et c’est pour cela que les antivirus se sont toujours autant bien vendu, il faut tourner en compte non-admin. C’est disponible depuis longtemps donc aucune excuse de ce côté, combien de fois j’ai sauvé des PC avec cette astuce je ne compte pas.

Après exactement comme je déconseille toute pseudo optimisation sans comprendre, je déconseille également de désactiver l’UAC pour des questions de sécurité, si une application fonctionne seulement sans UAC, jetez là, à la poubelle. Il y a déjà tellement d’application qui sont codées avec les pieds, si elle ne sont pas capable de suivre les règles crosoft (https://msdn.microsoft.com/fr-fr/library/windows/desktop/dd371767(v=vs.85).aspx), comme par exemple de mettre les clés de registre au bon endroit, de les supprimer totalement après la désinstallation, c’est de la merde.

Sinon, il faut également prendre en compte que si Google Chrome permet d’isoler un processus et de faire en sorte que si une faille, ou un problème survient celui-ci est isolé, quel est donc le but d’un logiciel antivirus qui lui-même hook des appels et donc enlève au final la protection faite ? c’est un peu con non ? ben allez consulter la liste de bug de logiciel AV, vous allez peut-être un peu étonné ou pas… http://robert.ocallahan.org/2017/01/disable-your-antivirus-software-except.html

Et puis on ne parle même pas des produits comme netcat qui ont été flagé à tord d’être des outils de hack, alors que c’est un outils réseau à la base.

@Diki
La solution de monitoring est très bien mais ne peut être valable que lorsque tu as une grosse infrastructure, pour un PC, quel est l’utilité ?

Désolé mais Il faut aussi arrêter de parler “en temps réél” Windows et même Linux se sont pas en temps réel.

La notion également d’économie à la fois de processus, mais également de consommation est un point à prendre en compte. C’est pourquoi pour les utilisateurs lambda une protection doit leur être fournis de base (Windows defender, Security Essential) sans pour autant à avoir a acheter un produit, l’installer etc. de toute façon le principe de confiance devrait être connu des gens et enseigné, c’est pourquoi l’open-source à sont avantage, combien d’utilisateur ne vont pas sur les sites constructeurs, ne paie pas mais accepte d’avoir des barres de recherches, c’est simplement parce qu’ils son trop à ne pas payer, et donc comme par exemple pour le soft CDBurnerXP après X version tu te retrouves à installer par erreur la barre parce que l’éditeur à décider de se faire payer de cette manière…

Ces exemples il y en a plein, même Oracle à un moment à décider de faire ça.

32

Hum… l’utilité dépend du besoin à satisfaire. Visiblement tu n’es pas le seul à croire que la solution du “monitoring” est exclusivement dédiée à de grosses infrastructures, elle est à la portée de tout utilisateur passionné et motivé en voici u exemple ici: http://www.leblogduhacker.fr/centralisateur-de-logs-quartet-gagnant-graylog-nxlog-elasticsearch-mongodb/

Quelle est ta définition du temps réel ?

Lorsqu’un OS est en mesure de contrôler ou superviser un dispositif matériel ou logiciel à une cadence adaptée à l’évolution du dispositif contrôlé, on peut dire qu’il “travaille en temps réel”.

34

Je ne vois pas ce que je n’assumerais pas. Après coup je me suis dit que tu te ridiculisais assez tout seul, que je n’avais pas besoin d’en rajouter mais bon apparemment tu aime ça…

Je rappelle quand même que j’ai dis ça après que tu ai annoncé “lutter contre la NSA en restant sous W8.1”. Comment prendre ce que tu dis au sérieux après ça?

Sélection naturelle.

35

Je confirme, Windows et Linux ne sont pas des OS temps réel (RTOS)… Au dernière nouvelle, il n’y a pas de prise en compte des contraintes de temps dans la gestion de leurs tâches ! Pour plus de détails, il y a wikipedia et les moteurs de recherches :wink:
Si tu veux un RTOS, tu as QNX, eCOS, Xenomai,…
Mais pas Windows!

Après, je comprends ton idée mais le terme temps réel est, comme bien souvent, utilisé à tord :frowning:

36

C’est bien, tu sais ce que ça fait quand quelqu’un a des propos déplacés voir insultants, tout comme certains ont pu le découvrir en lisant tes messages… Franchement, on peut pas jouer à la provoc sans se plaindre d’avoir ds réactions. Quand on donne, il faut savoir recevoir…

Ce qui m’a surtout fait tiquer c’est les choses telles que

Dès le début, tu trolle, moi j’aime bien répliquer dans ces cas là, ça commence mal.
Genre “tu utilises w10 t’es un mouton taglle, c’est comme ça” Zero argument, zero fond, pure provoque.

Condescendance, provocation, tout ça…

Pas mieux… à partir de ce moment là, je sais que t’es joueur… Surtout quand on donne en public des liens vers un serveur bourré de faille et dont les dns redirigent sur des serveurs plus que bancaux… le genre que j’aime bien, qui donne des leçons mais qui démarre mal niveau crédibilité quoi… Que ce soit ton serveur ou pas ( je parle de poneyy.fr ) c’est quand même très limite…

Alors là, c’est le must : tu prétends préserver ta “santé mentale” en n’utilisant pas windows 10, cela sous-entend donc que ceux qui l’utilisent on des problèmes mentaux ?

Tu m’en diras tant.

Bref, La différence, entre toi et moi, c’est que toi, on t’a rien demandé et t’as débarqué pour jouer la provoc dès ton premier post.

Moi, j’ai vu ça, j’ai voulu répliquer, c’est tout… Mais encore une fois, quand on sait donner, il faut aussi savoir recevoir…

Ah j’oubliais : [quote=“skid9000, post:33, topic:5366”]
Oh je peut t’en donner pleins des exemples et avec grand plaisir : Un post qui explique une grande partie de ce que je lui reproche.
[/quote]

C’est limite de s’appuyer sur un argumentaire qui a 2 ans, quand même, l’OS a bien évolué… C’est comme si je contre-argumentais sur windows 8.1 en m’appuyant sur un article qui parlait de windows 8.0 … enfin, soit. ya déjà un fond, sur lequel discuter… Et encore une fois, c’est pas ton point de vue, ou la manière dont tu utilises tes ordis qui me posent fproblème, tu as certainement trouvé l’idéal qui te convient le mieux, grand bien t’en fasse, mais c’est plus la forme de tes propos plus que le fond ( en même temps, il y en a aucun ).

37

Salut,

Je n’ai d’autres définition que celle qui existent… https://fr.wikipedia.org/wiki/Système_temps_réel

Windows ou même Linux de base n’est pas en temps réel désolé. Après certaine version comme Windows Embedded l’est. https://fr.wikipedia.org/wiki/Windows_Embedded

Ce n’est pas contre toi mais c’est important de savoir faire la différence.

J’ai regardé ton tuto sur nxlog, graylog, etc. c’est quand même dommage de pourrir la sécurité de la machine en désactivant SElinux. Si c’est pour surveiller tes machines mais dans l’autre sens avoir un vecteur d’attaque…

On parlai de machine Windows, de monsieur tout le monde … pas d’un parc. Dès le moment ou tu as une machine pourquoi en avoir une autre qui contrôle les logs de ta machine?? https://learntemail.sam.today/blog/stop-disabling-selinux:-a-real-world-guide/ entre faire des tests pour bricoler, ou pour apprendre ben ouai clairement c’est bien mais pour l’utiliser pour de vrai il y a une différence. Un utilisateur final ne devrait pas à avoir à reproduire l’ensemble de ton tutoriel, c’est beaucoup trop compliqué pour lui. D’ailleurs j’ai pas contrôlé mais tu dois donner surement pas mal d’accès à la machine Windows pour pouvoir lire les logs et donc il y a également un vecteur d’attaque de ce côté.

Bonne journée

38

Bon, vu que vous parlez entre spécialistes, je vais vous dire que, du point de vue du dépanneur des PC des familles Michu et autre; l’antivirus est INDISPENSABLE. (et un bon, pas avast et consort)
N’oubliez pas que windows est le système qui se veut le plus populaire et donc se retrouve sur la quasi totalité des ordinateurs de supermarché, et donc chez tous les débutants en informatique.
Soit ils installent ça eux-même sans trop savoir ce qu’ils font, soit c’est le voisin/cousin/gendre/… qui s’y connaît soit-disant mieux et qui installe avec juste un compte admin, etc.
De plus, les menaces sont très nombreuses ainsi que les façons de se faire avoir pour un débutant.
Maintenant, le bête virus n’existe plus vraiment. Ce sont des malware, qui arrivent par mail, déguisés, ou sous la forme d’une extension pour le navigateur, ou simplement sur une page web piégée.
Peut-être que les spécialistes en informatique peuvent se passer d’antivirus, mais pas les novices !
Vous me direz, ça nous donne du boulot les machines mal protégées, mais ce n’est ni rentable ni passionnant.
Alors s’il vous plais, lorsque vous conseillez de ne pas mettre d’antivirus, précisez bien qu’il faut une très bonne maîtrise de l’outil, sinon, PROTECTION OBLIGATOIRE.

39

Salut @madshiva,

Je ne vois toujours pas la différence que tu évoques…, pourrais-tu préciser stp ?

Dis-moi si je me trompe, mais l’OS Windows met notamment à la disposition des utilisateurs des applications temps réel du genre “Gestionnaire de tâches” ou encore Microsoft Office 2016 qui permet à plusieurs utilisateurs d’éditer en même temps un même document et d’observer les modifications en temps réel…

Tu n’as pas du bien lire mon tutoriel car “SeLinux” n’est pas désactivé, il est configuré en “permissif” pour des raisons de simplification, ce n’est pas du tout pareil… :grin:

A nouveau, il semblerait que tu n’aies pas pris le temps de lire mon tutoriel car la réponse à ta question ci-dessus y est mentionnée… :wink:

Excellente journée à toi,
Diki

40

@papy88140,
Bonjour,

Un grand merci pour avoir pris le temps de partager votre témoignage.

Je suis tout à fait d’accord avec votre position, d’ailleurs je conseille très souvent aux utilisateurs de s’équiper d’un logiciel “antivirus/pare feu” et d’un “Client VPN” payant pour plus de sécurité et d’anonymat…:wink:

Malheureusement, un logiciel antivirus a ses limites il faut en être conscient. Le paradoxe de cette prise de conscience est qu’elle est en contradiction avec la “nature humaine”. Un “danger” (attaque) peut être anticipé ou jugulé dans la mesure où l’usager a les moyens de le détecter… Aujourd’hui de nombreuses variantes de virus informatiques sont capables de se “jouer” des logiciels antivirus en se propageant notamment à travers la mémoire vive de la machine et en transitant par des ports qui n’ont aucune raison de refuser leur passage car certains “vers” profitent des failles sans solliciter l’antivirus.

C’est notamment pour cette raison que l’analyse comportementale du réseau est nécessaire aujourd’hui. Plus haut m’a été posé la question suivante : "Dès le moment ou tu as une machine pourquoi en avoir une autre qui contrôle les logs de ta machine?? ". La réponse semble évidente, non ? :grin:

Bien à toi,
Diki

1 « J'aime »
41

Après chacun à des avis différents. Personnellement je privilégie la formation, qu’une sois disant solution qui au final vous ferra passer pour un con lorsqu’un vrai virus sera passé au travers et que la cliente demandera mais pourtant j’avais un antivirus et c’est vous qui me l’avez conseillé et j’ai payé 69€ pour une année ! j’aime même payé pour le ransomware mais j’ai pas récupéré mes fichiers bizarre non ?

D’ailleurs je n’ai pas dis de le supprimer de ne pas en avoir, vu que Microsoft en fourni un maintenant, autant utiliser simplement celui-ci. D’apprendre comment remettre une machine en route, sauvegarder ces données en bref être libre de tester …

Question qui me viens à l’esprit quel est donc ce fameux antivirus qui “est un bon” ?

42

Je pense qu’il faut aussi rationaliser les choses surtout lorsqu’il s’agit de mettre en avant certaines attaques de type “ransomware”. Si je te dis aujourd’hui qu’un grand Groupe de la Finance française, Leader du Crédit, est chaque mois attaqué par le “ransomware Odin”, tu me répondras probablement que leur Département Sécurité est incompétent ou que ce Groupe Financier ne veut pas investir ou recruter… Sans le savoir les données confidentielles des français sont constamment “attaquées” et collectées. Le plus fou est de constater que très peu de médias évoquent ces attaques de grandes envergures pour des raisons évidentes (camouflage/répercutions financières)…, Où sont les lanceurs d’alertes !?! Généralement, ces mêmes Groupes s’arrangent pour les virer c’est plus simple que de dire la “vérité” à leur clientèle, et je sais de quoi je parle ! :grin:.

Tout ceci pour dire qu"il est très difficile de lutter contre les attaques de type “ransomware” même pour de grandes infrastructures, mais cela ne veut pas dire qu’un logiciel antivirus ne sert à rien, il reste pour l’usager une bonne barrière de protection lorsqu’il est couplé à un bon “Client VPN” (payant) …

43

Re,

Je ne vois toujours pas la différence que tu évoques…, pourrais-tu préciser stp ?

La différence est tout simplement le temps de traitement. Un système en temps réel est généralement en microseconde, nanoseconde (GPS), plutôt qu’en millisecondes… Le timer Windows ou Linux est variable une seconde n’est pas égal a une seconde. (https://ingenierie.openwide.fr/content/download/938/11974/file/tr_pficheux1.pdf)

Tu n’as pas du bien lire mon tutoriel car “SeLinux” n’est pas désactivé, il est configuré en “permissif” pour des raisons de simplification, ce n’est pas du tout pareil… :grin:

En mode permissif, celui-ci ne bloque rien, c’est le mode debug et donc tu n’es pas protégé :slight_smile: c’est justement la simplification comme tu le décris qui réduits généralement la protection des systèmes informatiques.

Le client VPN ne protège absolument de rien du tout. La base sont les vecteurs d’attaque, logiciel client de “lecture”, type Outlook, Navigateur Web. c’est là ou tu fais tout pour empêcher qu’il arrive, c’est à dire des applications Sandboxée, afin qu’il n’arrive jamais dans la boite… c’est pas le client VPN qui va les protégés…

Une méthode assez simple à mettre en œuvre contre ce genre d’attaque “ransomware” est de créer un honeypot. C’est à dire faire un share Windows / linux commençant par AAAAAAAAAAAAAAAAAAA, contenant par exemple des fichiers PDFs. Donner à l’ensemble des machines / user l’accès à ce share. Après plusieurs moyen pour le contrôle via script, permette si il y a accès à ce share de verrouiller la machine sur le réseau, l’empêcher de dialoguer plus loin.

Voir https://www.eventsentry.com/blog/2016/03/defeating-ransomware-with-eventsentry-auditing.html
ou https://www.eventsentry.com/blog/2015/11/trapping-cryptolockercryptowall-with-honey.html

Désolé pas trouvé en français, si cela intéresse quelqu’un je peus le traduire.

Si je te dis aujourd’hui qu’un grand Groupe de la Finance française, Leader du Crédit, est chaque mois attaqué par le “ransomware Odin”, tu me répondras probablement que leur Département Sécurité est incompétent ou que ce Groupe Financier ne veut pas investir ou recruter

Ben oui clairement manque de compétence. C’est bien joli de vouloir engager des ingénieurs, etc. qui ont des CV de malade, mais qui ne sont pas passionnés par la sécurité et qui généralement s’en foute totalement.

@+

44

Ok je me doutais de ta réponse qui s’oriente sur de la “théorie”. En théorie pure on ne parle jamais sur du “généralement” mais sur des observations mesurées qui sont quantifiables et qualifiables. Ici tu me donnes une caractéristique du “temps réel” sur une base quantifiée en “microseconde, nanoseconde (GPS), plutôt qu’en millisecondes…”. Nous en revenons donc sur ce que je disais plus haut, étant donné que tu as pris l’exemple d’un dispositif “GPS”, c’est à dire:

Lorsqu’un OS est en mesure de contrôler ou superviser un dispositif matériel ou logiciel à une cadence adaptée à l’évolution du dispositif contrôlé, on peut dire qu’il “travaille en temps réel”.

Tu as le don de sortir du contexte les choses “simples” :grin:

Quand tu dis que le mode “permissif” ne bloque rien ce n’est pas tout à fait exact car le principe même d’un centralisateur de logs est notamment de collecter des logs, évidemment, rendre donc “permissif” SeLinux dans ce contexte spécifique permet de loguer tous les accès non préalablement autorisés dans un fichier (ex: /var/log/messages) en vue d’un traitement adapté. N’oublions pas que l’objectif initial du dispositif est notamment de collecter, traiter et superviser des logs ! :wink:

L’intérêt ici est donc d’avoir un système SELinux qui émet des messages d’avertissements mais n’applique pas la politique, heureusement!, sinon à titre d’exemple comment crois-tu que l’on pourrait détecter des accès utilisateurs non autorisés ?

Tu y vas un peu fort là :joy:
Je n’ai jamais dit qu’une solution de protection “VPN” protège l’utilisateur contre tout, car ça n’existe pas, mais couplée à un logiciel antivirus elle procure un bon niveau de protection pour l’usager lambda.

Je termine sur une touche d’humour: Par quels moyens comptes-tu détecter et traiter des accès non autorisés à ton “share” ? :sunglasses: