Bonjour,
Il y a un moment, sur un groupe de discussion, nous avons discuté de
l'importance des degats causés par les virus, dans un vilain troll win/lin.
Il a été dit que les virus qui attaquaient directement le système
étaient une chose, mais que ceux attaquant les données de l'utilisateur
étaient une autre chose et que de ce point de vue, Linux n'était pas
forcément mieux sécurité que Windows.
Soit, je ne discute pas ça.
Mais par contre, un post sur la ML de ma distro m'a fait reflechir. Il
disait que de nos jours peu de virus gagneraient à etre peu discrets.
L'interet des virus de nos jours est de rester discret.
Or, en s'attaquant aux données personnelles (en les detruisant, entre
autres) ils crieraient leur presence. Mais en les envoyant sur internet
discretement, c'est "mieux".
Du coup, ça me fait penser que finalement c'est viser le système qui
reste une priorité pour les virus... pas tout de suite les données
personnelles.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Stephane Catteau
Mihamina Rakotomandimby (R12y) devait dire quelque chose comme ceci :
Or, en s'attaquant aux données personnelles (en les detruisant, entre autres) ils crieraient leur presence.
Pas forcément. Si j'incrémente d'une unité (ou plus) un octet sur cent de tes données personnelles, je les corromps suffisement pour te poser des problèmes et pourtant je reste discrêt. Même chose si je ne corromps qu'un octet au hasard à chaque accès, il te faudra des mois avant de voir que je suis là, mais lorsque tu le verras il sera trop tard. Le must restant de prendre en compte le format du fichier, pour corrompre les données sans toucher aux méta-données, et ainsi conserver l'intégrité du fichier vis-à-vis du logiciel qui les traite.
Prend un cas concrêt en exemple, je modifie un octet (hors méta données) de ton carnet d'adresse à chaque fois que tu l'ouvres. A cent entrées dans le carnet, il y a une chance sur cent pour que je corrompe l'entrée que tu veux regarder. Ensuite vient la corruption elle-même. Si je me contente d'incrémenter un octet, et de le faire d'une unité seulement, il faut que ce soit un "9" ou un "z" pour que le résultat te saute au yeux. A deux cents caractères et une trentaine de chiffres par entrée, les probabilités pour que ma modification passe innaperçue sont énormes, et ce alors même que tu consultes l'entrée que je viens de corrompre. Disons qu'une semaine se passe, et il te prend l'envie d'envoyer un mail à une connaissance. Tu utilises ton carnet d'adresse pour indiquer le destinataire du mail, et tu te manges un bounce. Combien de temps pour comprendre que tu as écrit à "gnail" au lieu d'écrire à "gmail" ? Tu n'as pas eu de chance, j'ai tapé trois fois dans l'adresse e-mail de cette personne, sachant que j'ai pu aussi bien corrompre trois fois le même octet que trois octets une fois, saurais-tu retrouver l'adresse réelle ? Et saurais-tu voir qu'elle est incorrecte autrement que grâce à un bounce ?
Et encore, je prends là un exemple simple dans lequel les données sont normalisées et présentées clairement et disctinctement. J'aurais aussi pu corrompre la thèse ou le mémoire que tu es entrain d'écrire, et là, acev cette facétili qu'à le cervuae à s'adapter, serais-tu capalbe de voir qu'il y a eu corruptoin, puisqu'elle ne saute pas tout de suite à l'oeil ?
Cela étant dit, je ne suis pas certain que fcs soit le forum le plus adapté, tout dépend de l'angle sous lequel tu envisages la discussion.
Mihamina Rakotomandimby (R12y) devait dire quelque chose comme ceci :
Or, en s'attaquant aux données personnelles (en les detruisant, entre
autres) ils crieraient leur presence.
Pas forcément. Si j'incrémente d'une unité (ou plus) un octet sur cent
de tes données personnelles, je les corromps suffisement pour te poser
des problèmes et pourtant je reste discrêt. Même chose si je ne
corromps qu'un octet au hasard à chaque accès, il te faudra des mois
avant de voir que je suis là, mais lorsque tu le verras il sera trop
tard. Le must restant de prendre en compte le format du fichier, pour
corrompre les données sans toucher aux méta-données, et ainsi conserver
l'intégrité du fichier vis-à-vis du logiciel qui les traite.
Prend un cas concrêt en exemple, je modifie un octet (hors méta
données) de ton carnet d'adresse à chaque fois que tu l'ouvres. A cent
entrées dans le carnet, il y a une chance sur cent pour que je corrompe
l'entrée que tu veux regarder.
Ensuite vient la corruption elle-même. Si je me contente d'incrémenter
un octet, et de le faire d'une unité seulement, il faut que ce soit un
"9" ou un "z" pour que le résultat te saute au yeux. A deux cents
caractères et une trentaine de chiffres par entrée, les probabilités
pour que ma modification passe innaperçue sont énormes, et ce alors
même que tu consultes l'entrée que je viens de corrompre.
Disons qu'une semaine se passe, et il te prend l'envie d'envoyer un
mail à une connaissance. Tu utilises ton carnet d'adresse pour indiquer
le destinataire du mail, et tu te manges un bounce. Combien de temps
pour comprendre que tu as écrit à "gnail" au lieu d'écrire à "gmail" ?
Tu n'as pas eu de chance, j'ai tapé trois fois dans l'adresse e-mail
de cette personne, sachant que j'ai pu aussi bien corrompre trois fois
le même octet que trois octets une fois, saurais-tu retrouver l'adresse
réelle ? Et saurais-tu voir qu'elle est incorrecte autrement que grâce
à un bounce ?
Et encore, je prends là un exemple simple dans lequel les données sont
normalisées et présentées clairement et disctinctement. J'aurais aussi
pu corrompre la thèse ou le mémoire que tu es entrain d'écrire, et là,
acev cette facétili qu'à le cervuae à s'adapter, serais-tu capalbe de
voir qu'il y a eu corruptoin, puisqu'elle ne saute pas tout de suite à
l'oeil ?
Cela étant dit, je ne suis pas certain que fcs soit le forum le plus
adapté, tout dépend de l'angle sous lequel tu envisages la discussion.
Mihamina Rakotomandimby (R12y) devait dire quelque chose comme ceci :
Or, en s'attaquant aux données personnelles (en les detruisant, entre autres) ils crieraient leur presence.
Pas forcément. Si j'incrémente d'une unité (ou plus) un octet sur cent de tes données personnelles, je les corromps suffisement pour te poser des problèmes et pourtant je reste discrêt. Même chose si je ne corromps qu'un octet au hasard à chaque accès, il te faudra des mois avant de voir que je suis là, mais lorsque tu le verras il sera trop tard. Le must restant de prendre en compte le format du fichier, pour corrompre les données sans toucher aux méta-données, et ainsi conserver l'intégrité du fichier vis-à-vis du logiciel qui les traite.
Prend un cas concrêt en exemple, je modifie un octet (hors méta données) de ton carnet d'adresse à chaque fois que tu l'ouvres. A cent entrées dans le carnet, il y a une chance sur cent pour que je corrompe l'entrée que tu veux regarder. Ensuite vient la corruption elle-même. Si je me contente d'incrémenter un octet, et de le faire d'une unité seulement, il faut que ce soit un "9" ou un "z" pour que le résultat te saute au yeux. A deux cents caractères et une trentaine de chiffres par entrée, les probabilités pour que ma modification passe innaperçue sont énormes, et ce alors même que tu consultes l'entrée que je viens de corrompre. Disons qu'une semaine se passe, et il te prend l'envie d'envoyer un mail à une connaissance. Tu utilises ton carnet d'adresse pour indiquer le destinataire du mail, et tu te manges un bounce. Combien de temps pour comprendre que tu as écrit à "gnail" au lieu d'écrire à "gmail" ? Tu n'as pas eu de chance, j'ai tapé trois fois dans l'adresse e-mail de cette personne, sachant que j'ai pu aussi bien corrompre trois fois le même octet que trois octets une fois, saurais-tu retrouver l'adresse réelle ? Et saurais-tu voir qu'elle est incorrecte autrement que grâce à un bounce ?
Et encore, je prends là un exemple simple dans lequel les données sont normalisées et présentées clairement et disctinctement. J'aurais aussi pu corrompre la thèse ou le mémoire que tu es entrain d'écrire, et là, acev cette facétili qu'à le cervuae à s'adapter, serais-tu capalbe de voir qu'il y a eu corruptoin, puisqu'elle ne saute pas tout de suite à l'oeil ?
Cela étant dit, je ne suis pas certain que fcs soit le forum le plus adapté, tout dépend de l'angle sous lequel tu envisages la discussion.
Jérémy JUST
Le Thu, 22 Jan 2009 18:10:58 +0100, Stephane Catteau a écrit :
Même chose si je ne corromps qu'un octet au hasard à chaque accès, il te faudra des mois avant de voir que je suis là, mais lorsque tu le verras il sera trop tard.
Ce que tu décris, c'est de la pure perversion de la part de l'auteur du virus. Je ne sais pas si c'est le type le plus répandu.
Quand on me parle de virus discrets, je pense plutôt à tous ceux qui transforment leur hôte en zombie, prêt à servir de relais à spam, ou à flooder une machine-cible. Ces virus n'ont pas été codés par des pervers, mais par des gens qui vendent ensuite leurs services à des clients peu scrupuleux. Leur intérêt est de ne pas se faire repérer, pour garder chaque zombie le plus longtemps possible.
-- Jérémy JUST
Le Thu, 22 Jan 2009 18:10:58 +0100,
Stephane Catteau <steph.nospam@sc4x.net> a écrit :
Même chose si je ne corromps qu'un octet au hasard à chaque accès, il
te faudra des mois avant de voir que je suis là, mais lorsque tu le
verras il sera trop tard.
Ce que tu décris, c'est de la pure perversion de la part de l'auteur
du virus. Je ne sais pas si c'est le type le plus répandu.
Quand on me parle de virus discrets, je pense plutôt à tous ceux qui
transforment leur hôte en zombie, prêt à servir de relais à spam, ou à
flooder une machine-cible. Ces virus n'ont pas été codés par des
pervers, mais par des gens qui vendent ensuite leurs services à des
clients peu scrupuleux.
Leur intérêt est de ne pas se faire repérer, pour garder chaque
zombie le plus longtemps possible.
Le Thu, 22 Jan 2009 18:10:58 +0100, Stephane Catteau a écrit :
Même chose si je ne corromps qu'un octet au hasard à chaque accès, il te faudra des mois avant de voir que je suis là, mais lorsque tu le verras il sera trop tard.
Ce que tu décris, c'est de la pure perversion de la part de l'auteur du virus. Je ne sais pas si c'est le type le plus répandu.
Quand on me parle de virus discrets, je pense plutôt à tous ceux qui transforment leur hôte en zombie, prêt à servir de relais à spam, ou à flooder une machine-cible. Ces virus n'ont pas été codés par des pervers, mais par des gens qui vendent ensuite leurs services à des clients peu scrupuleux. Leur intérêt est de ne pas se faire repérer, pour garder chaque zombie le plus longtemps possible.
-- Jérémy JUST
Stephane Catteau
[Bon, Xpost hein] Jérémy JUST n'était pas loin de dire :
Même chose si je ne corromps qu'un octet au hasard à chaque accès, il te faudra des mois avant de voir que je suis là, mais lorsque tu le verras il sera trop tard.
Ce que tu décris, c'est de la pure perversion de la part de l'auteur du virus. Je ne sais pas si c'est le type le plus répandu.
Pour un virus, c'est le type le plus répandu.
Quand on me parle de virus discrets, je pense plutôt à tous ceux qui transforment leur hôte en zombie, prêt à servir de relais à spam, ou à flooder une machine-cible.
Tu ne penses donc pas aux virus, mais aux trojans et à certain vers reprenant leur rôle.
De plus, tu fais totalement abstraction du contexte dans lequel s'inscrivait ma réponse, puisque Mihamina parlait des virus s'attaquant aux données de l'utilisateur, entre autre ceux détruisants ces données. Il est exact qu'en général un tel virus ne fait pas dans la dentelle, cherchant à détruire plutôt qu'à corrompre. Mais c'est là justement qu'intervient la notion de discretion. Un virus qui détruirait les données se ferait très vite repérer, puisque des données connues pour être présentes ne le seraient plus. En conséquence la victime se mettrait aussitôt en chasse du virus et utiliserait ensuite son dernier backup, voir un undelete quelconque, pour récupérer les données perdues. A l'inverse, un virus qui se contenterait d'une corruption lente des données mettrait jusqu'à plusieurs mois avant d'être repéré et, sauf en environnement sensible avec backup incrémental sur plusieurs mois, les dégats seraient irréversibles puisque le backup lui-même contiendrait des données corrompues. Il est loin le temps où les virus faisaient l'équivalent d'un "delete *.*" ou d'un "rm * -i", entre autre parce que l'avènement des interfaces graphiques et leur lot d'API facilite grandement la programmation, permettant de faire de très grandes choses tout en conservant un code compact et léger. En facilitant la programmation, l'abstraction découlant de ces API, qui permettent de ne pas avoir à s'inquiéter du matériel, a aussi augmenté dans de grandes proportions les possibilités offertent aux virus, vers et autre trojans. Il suffit[1] d'une trentaine d'octets pour ouvrir un port en écoute, et avec une centaine d'octets on gère l'ensemble de la connexion, ce qui laisse largement plus de place qu'il n'en faut pour les couches présentation et application, tout en conservant une taille suffisement faible pour passer innaperçue. Cela d'autant plus que la taille des applications modernes a tendance à commencer à 1Mo, tout ce qui tourne entre 200 et 300Ko passe du coup pour un gadget sans risque.
[1] Lorsque l'on utilise pas une usine à gaz tel que Delphi/Kylix, C++ Builder et en fait tous les ensembles IDE/compilateur moderne, dont la simplicité d'emploie se paye au prix d'un grand nombre d'instructions parasites dans le code final.
Fu2 fcsv
[Bon, Xpost hein]
Jérémy JUST n'était pas loin de dire :
Même chose si je ne corromps qu'un octet au hasard à chaque accès, il
te faudra des mois avant de voir que je suis là, mais lorsque tu le
verras il sera trop tard.
Ce que tu décris, c'est de la pure perversion de la part de l'auteur
du virus. Je ne sais pas si c'est le type le plus répandu.
Pour un virus, c'est le type le plus répandu.
Quand on me parle de virus discrets, je pense plutôt à tous ceux qui
transforment leur hôte en zombie, prêt à servir de relais à spam, ou à
flooder une machine-cible.
Tu ne penses donc pas aux virus, mais aux trojans et à certain vers
reprenant leur rôle.
De plus, tu fais totalement abstraction du contexte dans lequel
s'inscrivait ma réponse, puisque Mihamina parlait des virus s'attaquant
aux données de l'utilisateur, entre autre ceux détruisants ces données.
Il est exact qu'en général un tel virus ne fait pas dans la dentelle,
cherchant à détruire plutôt qu'à corrompre. Mais c'est là justement
qu'intervient la notion de discretion.
Un virus qui détruirait les données se ferait très vite repérer,
puisque des données connues pour être présentes ne le seraient plus. En
conséquence la victime se mettrait aussitôt en chasse du virus et
utiliserait ensuite son dernier backup, voir un undelete quelconque,
pour récupérer les données perdues. A l'inverse, un virus qui se
contenterait d'une corruption lente des données mettrait jusqu'à
plusieurs mois avant d'être repéré et, sauf en environnement sensible
avec backup incrémental sur plusieurs mois, les dégats seraient
irréversibles puisque le backup lui-même contiendrait des données
corrompues.
Il est loin le temps où les virus faisaient l'équivalent d'un "delete
*.*" ou d'un "rm * -i", entre autre parce que l'avènement des
interfaces graphiques et leur lot d'API facilite grandement la
programmation, permettant de faire de très grandes choses tout en
conservant un code compact et léger. En facilitant la programmation,
l'abstraction découlant de ces API, qui permettent de ne pas avoir à
s'inquiéter du matériel, a aussi augmenté dans de grandes proportions
les possibilités offertent aux virus, vers et autre trojans. Il
suffit[1] d'une trentaine d'octets pour ouvrir un port en écoute, et
avec une centaine d'octets on gère l'ensemble de la connexion, ce qui
laisse largement plus de place qu'il n'en faut pour les couches
présentation et application, tout en conservant une taille suffisement
faible pour passer innaperçue. Cela d'autant plus que la taille des
applications modernes a tendance à commencer à 1Mo, tout ce qui tourne
entre 200 et 300Ko passe du coup pour un gadget sans risque.
[1]
Lorsque l'on utilise pas une usine à gaz tel que Delphi/Kylix, C++
Builder et en fait tous les ensembles IDE/compilateur moderne, dont la
simplicité d'emploie se paye au prix d'un grand nombre d'instructions
parasites dans le code final.
[Bon, Xpost hein] Jérémy JUST n'était pas loin de dire :
Même chose si je ne corromps qu'un octet au hasard à chaque accès, il te faudra des mois avant de voir que je suis là, mais lorsque tu le verras il sera trop tard.
Ce que tu décris, c'est de la pure perversion de la part de l'auteur du virus. Je ne sais pas si c'est le type le plus répandu.
Pour un virus, c'est le type le plus répandu.
Quand on me parle de virus discrets, je pense plutôt à tous ceux qui transforment leur hôte en zombie, prêt à servir de relais à spam, ou à flooder une machine-cible.
Tu ne penses donc pas aux virus, mais aux trojans et à certain vers reprenant leur rôle.
De plus, tu fais totalement abstraction du contexte dans lequel s'inscrivait ma réponse, puisque Mihamina parlait des virus s'attaquant aux données de l'utilisateur, entre autre ceux détruisants ces données. Il est exact qu'en général un tel virus ne fait pas dans la dentelle, cherchant à détruire plutôt qu'à corrompre. Mais c'est là justement qu'intervient la notion de discretion. Un virus qui détruirait les données se ferait très vite repérer, puisque des données connues pour être présentes ne le seraient plus. En conséquence la victime se mettrait aussitôt en chasse du virus et utiliserait ensuite son dernier backup, voir un undelete quelconque, pour récupérer les données perdues. A l'inverse, un virus qui se contenterait d'une corruption lente des données mettrait jusqu'à plusieurs mois avant d'être repéré et, sauf en environnement sensible avec backup incrémental sur plusieurs mois, les dégats seraient irréversibles puisque le backup lui-même contiendrait des données corrompues. Il est loin le temps où les virus faisaient l'équivalent d'un "delete *.*" ou d'un "rm * -i", entre autre parce que l'avènement des interfaces graphiques et leur lot d'API facilite grandement la programmation, permettant de faire de très grandes choses tout en conservant un code compact et léger. En facilitant la programmation, l'abstraction découlant de ces API, qui permettent de ne pas avoir à s'inquiéter du matériel, a aussi augmenté dans de grandes proportions les possibilités offertent aux virus, vers et autre trojans. Il suffit[1] d'une trentaine d'octets pour ouvrir un port en écoute, et avec une centaine d'octets on gère l'ensemble de la connexion, ce qui laisse largement plus de place qu'il n'en faut pour les couches présentation et application, tout en conservant une taille suffisement faible pour passer innaperçue. Cela d'autant plus que la taille des applications modernes a tendance à commencer à 1Mo, tout ce qui tourne entre 200 et 300Ko passe du coup pour un gadget sans risque.
[1] Lorsque l'on utilise pas une usine à gaz tel que Delphi/Kylix, C++ Builder et en fait tous les ensembles IDE/compilateur moderne, dont la simplicité d'emploie se paye au prix d'un grand nombre d'instructions parasites dans le code final.
