Questions à Guillermito et Roland

10 vues
Accéder directement au premier message non lu

Alain Godet

non lue,
11 juil. 2001, 11:57:3311/07/2001
à
Pour remettre les choses à plat :
Olivier et moi ne défendons pas Viguard (contrairement à ce que certains
semblent vouloir croire ici) mais cherchons juste à connaître son degré
de dangerosité pour ses utilisateurs, suite à plusieurs allégations
parues sur ce forum.
Certes, j'utilise le produit en question et je ne m'en plains pas, mais
je ne cherche pas à discréditer les autres. Mon dernier mail a juste été
envoyé pour montrer qu'aucun produit n'est fiable à 100% et qu'avant de
regarder la paille dans l'oeil du voisin, il fallait mieux être
conscient de la poutre dans son propre oeil. Je ne veux en aucun cas
régler des comptes perso ni même discréditer AVP ou n'importe quel
antivirus à scanner.
Nous cherchons juste à faire notre boulot et nous heurtons à une grande
résistance dès que nous allons un peu dans les détails.
Je rappelle ma conclusion qui n'est pas de conseiller Viguard à tout
prix mais de l'utiliser en conjonction avec un AV à scanner, quel qu'il
soit. Ce qui prouve bien que je ne suis fermé sur aucune solution.
Avec Olivier, nous cherchons seulement à vérifier certains éléments
annoncés sur le forum. Nous posons de multiples questions qui se
trouvent très (trop) souvent sans réponse. L'intervention de Guillermito
est très intéressante à plus d'un titre, puisqu'elle permet de mieux
comprendre les mécanismes de Viguard. Il s'agit d'une belle
démonstration de savoir-faire en matière de désassemblage et de
pédagogie en matière de présentation des résultats (mais pouvait-on
s'attendre à moins de la part de Guillermito ?)
Il reste cependant encore quelques zones d'ombre, partant du principe
que Guillermito dispose bel et bien de la version de décembre dernier
(qui, semble-t-il, n'est pas une version d'install mais une flat à cause
des fichiers WAV résidus d'une version 8 beaucoup plus ancienne), qui
est l'avant dernière et qui, me semble-t-il, ne diffère pas sensiblement
de la version de janvier, dernière en date (seul l'éditeur pourrait nous
dire où se situent les différences) :
- Guillermito a-t-il vérifié le comportement de Viguard à l'EXECUTION
des virus récents et inconnus ?
- quelle est précisément la méthodologie utilisée ? Je rappelle le
principe de base : mettre Viguard avec le paramétrage par défaut sur un
PC propre et introduire les virus par mail, disquette, réseau, etc. (à
varier en fonction du type de virus). Pas de virus sur le poste avant
installation de l'antivirus (ce qui se passe habituellement en grand
compte).
- existe-t-il oui ou non à ce jour des virus qui ont utilisé les failles
de Viguard mises en lumière ? (j'imagine que s'il n'y en a pas, il y en
aura très bientôt, comme l'a clairement sous-entendu Guillermito ;-)
- comme le conseille la nétiquette et comme ça se fait pour d'autres
sociétés, a-t-il averti l'éditeur des failles de sécurité rencontrées ?
Olivier aura peut-être d'autres questions, mais il n'est pas disponible
pour l'instant.

Pour Roland, j'ai également d'autres questions précises, qui devraient
amener des réponses précises afin de nous aider à mettre en cause Tegam.
Sans ces réponses précises, nous ne pourrons pas avancer sur le sujet.
- quels sont les utilisateurs de Viguard (8 a priori) qui sont à
l'origine d'une propagation de MTX ?
- à quelle date ?
Le but est de les interviewer pour comprendre comment s'est passée cette
infection et pourquoi ils ne disposaient pas de la version 9, qui bloque
MTX et qui existe depuis juillet dernier.
- peux-tu oui ou non nous fournir une preuve d'achat de ton Viguard,
afin que nous en vérifions la version ?
J'imagine que la réponse est non, mais je tente une dernière fois ma
chance.
- peux-tu nous expliquer comment tu as effectué tes tests ?
- veux-tu que nous les réitérions ensemble (je suis sur Toulouse les 15
premiers jours d'août) ?
Là aussi, je pense que la réponse sera non, mais bon ?
- peux-tu nous fournir des virus autres que ceux que tu nous as déjà
fourni qui infectent à coup sûr Viguard 9, version de janvier 2001 ?
Idem pour d'éventuelles questions supplémentaires d'Olivier.
J'aurai bien d'autres questions, mais je chercherai les réponses
moi-même de mon côté.

Toutes ces questions sont, à ce jour, restées sans réponse. J'espère
obtenir mieux maintenant.
En outre, si Guillermito ou Roland ont d'autres questions à nous poser
pour éclairer des points, nous sommes disponibles en privé.
Je compte sur eux pour faire avancer le schmilblick sans beaucoup plus
polluer le forum.

Frederic Bonroy

non lue,
11 juil. 2001, 12:24:2011/07/2001
à
Alain Godet wrote:

> - Guillermito a-t-il vérifié le comportement de Viguard à l'EXECUTION
> des virus récents et inconnus ?

Je l'ai fait. J'ai copié un virus dans un répertoire et Viguard n'a
rien dit. Déjà ça semble indiquer que Viguard détecte les virus
seulement à l'aide des "certifications". J'ai ensuite laissé Viguard
certifier ce fichier infecté et je l'ai ensuite lancé. Le virus
a été executé, a changé de clé pour se crypter et a réinfecté le même
fichier. Viguard n'a rien dit et l'a recertifié à nouveau alors que
clairement le fichier avait été modifié.

Que je me sois mal servi du logiciel, c'est bien possible. J'ai fait
de mon mieux. En tout cas, j'ai bien réussi à exécuter un virus qui
s'est reproduit et cela n'aurait pas dû arriver.

Nicob

non lue,
11 juil. 2001, 12:34:4011/07/2001
à
Les questions ne s'adressent pas à moi (d'après le titre du post),
mais je n'ai pu résister ...

On Wed, 11 Jul 2001 17:57:33 +0200, Alain Godet
<alg...@distributique.fr> wrote:

>(mais pouvait-on
>s'attendre à moins de la part de Guillermito ?)

Tu le connaissais avant qu'il ne se mêle à cette histoire de Viguard
pour juger comme ça ? Ou c'est de la lèche ?

>- quelle est précisément la méthodologie utilisée ? Je rappelle le
>principe de base : mettre Viguard avec le paramétrage par défaut sur un
>PC propre et introduire les virus par mail, disquette, réseau, etc. (à
>varier en fonction du type de virus). Pas de virus sur le poste avant
>installation de l'antivirus (ce qui se passe habituellement en grand
>compte).

Tu dis "principe de base" ...
Je dirais "méthodologie Tegam" !

Si je te comprends bien , Viguard ne peut réparer les dégats sur une
machine déja vérolée. C'est ça ?

>- comme le conseille la nétiquette et comme ça se fait pour d'autres
>sociétés, a-t-il averti l'éditeur des failles de sécurité rencontrées ?

Tu as l'air de mieux connaitre les gens de chez Tegam que n'importe
quelle autre personne du forum. C'est peut-être à toi de les prévenir,
tu en penses quoi ?
De plus, sur le site de Tegam, il n'y a que des contacts
tel/fax/courrier et un formulaire à envoyer (note : ce formulaire
permet l'envoi de mails anonymes, cf. un de mes posts précédents).
Pas terrible ....

>J'aurai bien d'autres questions, mais je chercherai les réponses
>moi-même de mon côté.

Et si tu répondais à celles que les membres du ng t'ont posé ?
T'as fait les p'tits tests qu'on t'avait demandé ?

>Je compte sur eux pour faire avancer le schmilblick sans beaucoup plus
>polluer le forum.

Ca va être dur de faire plus pollué :)

Nicob

Roland Garcia

non lue,
11 juil. 2001, 12:48:5111/07/2001
à
Alain Godet a écrit :

> Pour remettre les choses à plat :
> Olivier et moi ne défendons pas Viguard (contrairement à ce que certains
> semblent vouloir croire ici) mais cherchons juste à connaître son degré
> de dangerosité pour ses utilisateurs, suite à plusieurs allégations
> parues sur ce forum.

> Nous cherchons juste à faire notre boulot et nous heurtons à une grande
> résistance dès que nous allons un peu dans les détails.

Posez vous simplement la question. Si ce principe est si bon, pourquoi n'est
il pas adopté universellement et pourquoi Tegam ne publie aucun test de labo
reconnu?
Celui qui inventera un antivirus capable de se passer des signatures et des
mises à jours deviendra rapidement numéro un mondial.
C'est mathématiquement impossible et tout le monde a abandonné les méthodes
entièrement génériques à la fin des années 80 ou début 90. Même AVP avait
un antivirus générique sans signature et sans mise à jour.

Roland Garcia

Roland Garcia

non lue,
11 juil. 2001, 16:53:5211/07/2001
à
Frederic Bonroy a écrit :

D'après le compte rendu des tests d'Alain Godet lui même, sur mes virus et
Viguard 9 du 25/01/01 on a une infection pour Win32.Magistr et Win32.HIV.
Il faut rajouter une infection avec Homepage (non fourni).
Viguard indique "risque élevé" dans la messagerie mais je doute qu'il
indique un risque si Magistr est excécuté directement..
Pour les MTX et Viguard 8+, il y a infection signalée mais non stoppée, ce
que j'avais constaté sur le terrain.

Donc tout est démontré et vérifié par Alain Godet lui-même depuis des
semaines et des semaines alors où est le problème?

Roland Garcia

Guillermito

non lue,
11 juil. 2001, 17:29:0811/07/2001
à
Alain Godet :

> Il s'agit d'une belle
> démonstration de savoir-faire en matière de désassemblage et de
> pédagogie en matière de présentation des résultats (mais pouvait-on
> s'attendre à moins de la part de Guillermito ?)

Bon, allez en paix, vous etes pardonné.

Nicob :

>Tu le connaissais avant qu'il ne se mêle à cette histoire de Viguard
>pour juger comme ça ? Ou c'est de la lèche ?

Jaloux! :)

Alain Godet :

> - Guillermito a-t-il vérifié le comportement de Viguard à l'EXECUTION
> des virus récents et inconnus ?

J'ai executé un ou deux worms simples et un trojan, mais j'ai surtout
testé le scanner. Mon probleme étant que je n'ai pas d'ordinateur de
test, ca rend les choses un brin plus complexes a maitriser, surtout
apres une journee de boulot.

> - quelle est précisément la méthodologie utilisée ? Je rappelle le
> principe de base : mettre Viguard avec le paramétrage par défaut sur un
> PC propre et introduire les virus par mail, disquette, réseau, etc. (à
> varier en fonction du type de virus). Pas de virus sur le poste avant
> installation de l'antivirus (ce qui se passe habituellement en grand
> compte).

La probabilité pour que j'aie un virus actif sur mon PC - n'importe
quand, et donc avant l'installation de Viguard - est tres faible. Ils
sont dans des archives de différents formats, donc, pour Viguard, ils
n'existent pas. Le paramétrage est par défaut.

> - existe-t-il oui ou non à ce jour des virus qui ont utilisé les failles
> de Viguard mises en lumière ?

Jamais vu passer de virus qui cible specifiquement Viguard. Il y en
avait quelques-uns qui ciblaient Invircible, le logiciel israélien
dont Viguard est une copie, en effacant les fichiers de certification,
bien sur. Comme l'a montré Frédéric, pas besoin. De toute facon, ca ne
veut rien dire. De meme, creer un virus anti-Viguard comme je vais
peut-etre le faire ne signifiera rien, conceptuellement parlant. Mais
ca me fera marrer, au moins, et c'est toujours ca de gagné.

> - comme le conseille la nétiquette et comme ça se fait pour d'autres
> sociétés, a-t-il averti l'éditeur des failles de sécurité rencontrées ?

Nan, ca ne concerne pas la netiquette. C'est juste une histoire
d'éthique personnelle. J'ai envoyé un email a la seule adresse
personnelle trouvée sur leur site: adotan at tegam.fr (de mémoire) - a
mon avis, le boss. Je cherchais plutot celle de son fils, le
programmeur. Je lui ai dit de jeter un oeil sur ce groupe.

> - veux-tu que nous les réitérions ensemble (je suis sur Toulouse les 15
> premiers jours d'août) ?

Roland, tu devrais accepter, je trouve.

Pas le temps de faire long, j'ai besoin de clopes.

--
Guillermito.

Roland Garcia

non lue,
11 juil. 2001, 19:38:1511/07/2001
à
Guillermito a écrit :

> > - existe-t-il oui ou non à ce jour des virus qui ont utilisé les failles
> > de Viguard mises en lumière ?
>
> Jamais vu passer de virus qui cible specifiquement Viguard. Il y en
> avait quelques-uns qui ciblaient Invircible, le logiciel israélien
> dont Viguard est une copie, en effacant les fichiers de certification,
> bien sur. Comme l'a montré Frédéric, pas besoin. De toute facon, ca ne
> veut rien dire. De meme, creer un virus anti-Viguard comme je vais
> peut-etre le faire ne signifiera rien, conceptuellement parlant. Mais
> ca me fera marrer, au moins, et c'est toujours ca de gagné.
>
> > - comme le conseille la nétiquette et comme ça se fait pour d'autres
> > sociétés, a-t-il averti l'éditeur des failles de sécurité rencontrées ?
>
> Nan, ca ne concerne pas la netiquette. C'est juste une histoire
> d'éthique personnelle. J'ai envoyé un email a la seule adresse
> personnelle trouvée sur leur site: adotan at tegam.fr (de mémoire) - a
> mon avis, le boss. Je cherchais plutot celle de son fils, le
> programmeur. Je lui ai dit de jeter un oeil sur ce groupe.

A mon avis ils devraient payer un voyage au bout du monde à Alain Godet et se
faire oublier quelques temps.
Ca fait des semaines que je le leur conseille mais bon.

Un truc qui me chiffonne sur leur site est la réponse à Windows News
concernant le virus de boot:
http://www.tegam.fr/winnews.shtm
"Enfin, dernière faille troublante, ViGUARD arrive à détecter un virus de Boot
sur une disquette, mais il lui est impossible d'indiquer la présence de ce
même virus sur la zone d'amorce du disque dur!"
A priori ça parait tout à fait logique, si le PC démarre sur la disquette le
virus "stoned" est installé et devient résident en mémoire.
Comment Viguard peut alors savoir que le MBR a été modifié alors que le virus
est furtif et qu'il renvoie l'image exacte du MBR, même si en fait il l'a
déplacé ailleurs?

Roland Garcia


Roland Garcia

non lue,
11 juil. 2001, 19:57:5111/07/2001
à
Roland Garcia a écrit :

> Un truc qui me chiffonne sur leur site est la réponse à Windows News
> concernant le virus de boot:
> http://www.tegam.fr/winnews.shtm
> "Enfin, dernière faille troublante, ViGUARD arrive à détecter un virus de Boot
> sur une disquette, mais il lui est impossible d'indiquer la présence de ce
> même virus sur la zone d'amorce du disque dur!"
> A priori ça parait tout à fait logique, si le PC démarre sur la disquette le
> virus "stoned" est installé et devient résident en mémoire.

Il faut lire plutôt "si le virus est déjà installé sur le disque, le virus stoned
devient résident en mémoire dès le démarrage"

Cedric Blancher

non lue,
12 juil. 2001, 04:34:1612/07/2001
à
Je lis vos querelles incessantes depuis pas mal de temps et j'ai prefere
arreter d'intervenir tellement je trouve que le debat s'enlise (d'un cote
comme de l'autre). Mais, cependant, il y a une question qui me turlupine
depuis un moment deja.
Vous [Alain], maintenant accompagne d'Olivier, argumentez assez souvent que
Roland, Guillermito ou d'autres utilisent des versions anciennes du moteur
ViGuard qui auraient du etre mises a jour pour detecter les virii consideres.
Alors la question que je me pose est la suivante. D'un cote nous avons des
antivirus fonctionnant essentiellement sur des bases de signatures
regulierement mises a jour (quotidiennement). De l'autre, nous avons un
antivirus fonctionnant sans signature, donc evitant le desagrement de la mise
a jour d'une quelconque base, mais necessitant des mises a jour du moteur. Ou
se trouve la difference ? Dans les deux cas, il y a mise a jour. Si l'une est
nettement plus frequente que l'autre, je trouve qu'elle a le merite d'etre
reguliere et automatisable, ce qui n'est pas vraiment le cas de la mise a jour
d'un moteur complet. De plus, quand je regarde les chronologies auxquelles vous
faites allusion, je ne peux que constater que les mises a jour de moteur
ViGuard ston faites _apres_ que les antivirus a signature disposent de la
mise a jour adequate.
Bref, si on remplace la mise a jour des signatures par une mise a jour du
moteur, qu'est-ce qu'on gagne ?

--
Les Arts n'ont rien de rec si ce n'est pour les pauvres d'esprits.
Et ils n'ont rein n'ont plus de scientiphiques même si parfois ils
s'en servent comme appuis.
-+- SM in: Guide du Cabaliste Usenet - Aice de l'arts ? Grouiiiik ! -+-

Frederic Bonroy

non lue,
12 juil. 2001, 11:24:5512/07/2001
à
Roland Garcia wrote:

> A priori ça parait tout à fait logique, si le PC démarre sur la
> disquette le virus "stoned" est installé et devient résident en
> mémoire.
> Comment Viguard peut alors savoir que le MBR a été modifié alors que
> le virus est furtif et qu'il renvoie l'image exacte du MBR, même si
> en fait il l'a déplacé ailleurs?

Ce n'est pas trop compliqué je pense... il est possible de contourner
ces virus en se servant des ports IDE. Mais cela ne fonctionne pas
sous Windows (en tout cas pas dans une boite DOS), donc je ne sais
pas trop comment Viguard peut ou serait censé de détecter un tel virus.

En ce qui concerne Pretty Park, ils sont vraiment marrants. Alors
maintenant il faut faire attention de quelle manière on infecte son
ordinateur. Ils nous prennent pour des cons. :-(


Olivier Aichelbaum

non lue,
17 juil. 2001, 17:28:5117/07/2001
à
Nicob wrote:
> >(mais pouvait-on
> >s'attendre à moins de la part de Guillermito ?)
>
> Tu le connaissais avant qu'il ne se mêle à cette histoire de Viguard
> pour juger comme ça ? Ou c'est de la lèche ?

on s'en fou un peu mais, pour repondre a ta question, je connais
Guillermito d'avant et j'ai informe Alain de son talent.
a+
--
[ACBM] Olivier Aichelbaum Pirates Mag' / Pocket
14/30, rue de Mantes Le Virus Informatique
F-92 700 Colombes Les Puces Informatiques
Tel (Fax) : -1 47 81 04 45 (03 72) http://www.acbm.com

fff

non lue,
18 juil. 2001, 08:39:3818/07/2001
à
Aux dernières nouvelles Guillermito aurait testé une version de Viguard
datant de 1516 le premier anniversaire de la victoire de Marignan.
En conclusion, des voix se sont élevées qui affirment :
Les conclusions de Guillermito , c'est du pipo !!!

"Olivier Aichelbaum" <ac...@acbm.com> wrote in message
news:3B54AE0F...@acbm.com...

Répondre à tous
Répondre à l'auteur
Transférer
0 nouveau message