Journal Les virus capucay pas libre

Posté par (page perso) .
Tags : aucun
5
21
jan.
2009
Suite à la lecture d'un article du Monde relatant le nouveau virus à la mode (1), j'en suis venu à m'interroger sur les virus et les licences libres. En effet, un virus_informatique est un programme informatique d'après la wikipedia. Alors comme tout soft, et la sécurité n'est pas le parent pauvre du libre, existe-il des études sur le sujet ? Et des forges ? Des sources ?

Je n'ai aucune intention d'écrire ou de propager quoique ce soit, mais je constate que ce serait une terrible stigmatisation que d'ignorer ce domaine scientifique. Autant je connais des outils de tests réseaux (wireshark, nessus) libres, autant je suis étonné qu'aucun hacker (au sens originel du terme) ne s'empare du sujet et ne pousse loin le travail d'études des virus libres. Ou alors j'ai mal cherché, merci de m'éclairer !

(1) http://www.lemonde.fr/technologies/article/2009/01/19/le-vir(...)
  • # Antivirus

    Posté par (page perso) . Évalué à 7.

    Euh... pour moi un virus ne doit pas être détecté par un antivirus pour bien fonctionner donc s'il est libre, les sociétés d'antivirus trouveront plus facilement comment le contrer non ?

    S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.

    • [^] # Re: Antivirus

      Posté par . Évalué à 2.

      A le contrer (en bouchant les trous de sécurité ou en bloquant l'accès aux fichiers exploités), peut-être.
      A le supprimer lorsqu'il a réussi à s'installer, pourquoi pas également.
      Mais à le détecter, probablement non.
      Les antivirus se basent sur la signature des fichiers binaires (que n'importe qui peut obtenir à partir d'un fichier binaire) pour détecter les virus. L'accès aux sources ne changerait donc rien à ce niveau.
    • [^] # Re: Antivirus

      Posté par (page perso) . Évalué à 5.

      Sécurité par l'obscurité tout ça .......

      Les sources permettent effectivement de savoir plus facilement quels moyens le virus met en oeuvre pour contourner les antivirus. Mais les éditeur d'antivirus peuvent de toute façon découvrir ces moyens en fesant de l'ingénirie inverse.

      Un bon moyen de contourner les antivirus devrait fonctionner même en dévoilant les sources.

      • [^] # Re: Antivirus

        Posté par . Évalué à 6.

        Sauf que l'ingénierie inverse est interdite dans certains pays. Ce serait drôle de voir un éditeur de virus attaquer un éditeur d'antivirus en se basant là dessus...

        Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

    • [^] # Re: Antivirus

      Posté par . Évalué à 2.

      Non. Car une signature de virus ça se change très facilement. Un simple "nop" inséré et il passe au travers... Il faudrait des mises à jour d'anti-virus instantanées.
      C'est donc pareil pour les attaques, dont on trouve le code source sur les sites de sécurité.
      La seule solution viable c'est le fix.
      • [^] # Re: Antivirus

        Posté par . Évalué à 3.

        à mon avis (mais je peux me tromper) les antivirus actuels ne passent plus au travers "d'un simple nop inséré".

        Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

        • [^] # Re: Antivirus

          Posté par . Évalué à 3.

          Les antivirus fonctionnent tous le la même manière, soit :
          - ils cherchent la signature
          - ils cherchent la signature de la fonction de déchiffrage (mutants)
          - ils cherchent un effet (fichier, modif) ou sa signature
          Tout celà peut être changé

          Le reste des fonctions ne sont pas classifiables comme une identification:
          - prévention par détection de l'utilisation du code d'exploitation d'une faille
          - prévention par détection d'altérations
          Dans ces cas, le code source ne sert à rien.
          • [^] # Re: Antivirus

            Posté par (page perso) . Évalué à 3.

            mais concrètement, qu'est-ce que la signature ? un hash ? un mot clef en hexa ?

            T'as le bonjour de JavaScript !

            • [^] # Re: Antivirus

              Posté par (page perso) . Évalué à 2.

              A l'heure actuelle les signatures sont comme des expressions rationnelles (mais en hexa). Du genre "les deux premiers octets sont 0x42 0x7b, puis cinq octets indéterminés, puis on a 0xf7 0xcc 0x09 et le programme fait entre 4274 et 4892 octets".
        • [^] # Re: Antivirus

          Posté par . Évalué à 3.

          Tu ne te trompes pas, il y a bien longtemps que les antivirus sérieux utilisent une analyse plus poussée du binaire, genre utilisation d'une machine virtuelle pour détecter le caractère dangereux du programme et/ou toutes sorte d'astuces pour détecter des virus polymorphiques, métamorphiques, code bizarre...

          J'ai un bouquin pas mal la dessus, c'est édité par Symantec Press (on ne rigole pas au fond) : Virus Research and Defense de Peter Szor. Malheureusement ou heureusement, je suis passé au tout libre au cours de sa lecture et j'ai abandonné. :)

          http://www.amazon.com/Computer-Virus-Research-Defense-Symant(...)

          The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

          • [^] # Re: Antivirus

            Posté par (page perso) . Évalué à 5.

            Ah, tu veut dire par la que clamav est pas assez sérieux :) ?

            En logiciel libre, il y a ça : http://libemu.mwcollect.org/ . Si quelqu'un veut me faire ravaler mes paroles en l'intégrant dans le moteur de clamav, ( pour le moment, c'est plutôt l'inverse ), ça aiderais l'internet à être un peu moins pollué.
            • [^] # Re: Antivirus

              Posté par . Évalué à 3.

              > Ah, tu veut dire par la que clamav est pas assez sérieux :) ?

              Je ne sais pas si il fait de l'analyse ou si il utilise uniquement sa base de signature pour repérer les malfaisants. J'avais regardé il y a bien longtemps et vu qu'il y avait des modules pour des packers assez classiques (upx, fsg...). Il faut voir ce que ça donne sur un programme mijoté avec amour et nasm (ou fasm, yasm et pour les plus têtus, masm).

              D'un autre côté, c'est toujours les mêmes virus que l'on reçoit par mail. Une fois qu'on a la signature dans la base, on est capable de les voir arriver avec leurs gros sabots.

              The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

              • [^] # Re: Antivirus

                Posté par . Évalué à 2.

                Il me semble qu' il utilise une base de signature. Il n' a pas d' analyse comportementale par défaut. Pour cela on peux ajouter le module noyau Dazuko, (mais certains disent que Dazuko lui même peux être une faille...).

                J' ai essayé (test sans aucune valeur informatique ou scientifique) il y a qq temps de passer de vieilles archives de virii sur cd, à la moulinette ClamAV : il trouve tout... sauf ceux qui étaient découpés en morceaux non fonctionnels et ceux qui étaient dans certaines archives... (malgrès la prise en charge théorique de ces archives et l' ancienneté des virii proposé à clamav). quant à de l' assembleur, heu bon, je vous laisse discuter hein ...

                Voili voilà.
                Références
                http://en.wikipedia.org/wiki/Dazuko
                http://dazuko.dnsalias.org/wiki/index.php/Dazuko-based_Appli(...)

                Cordialement
                • [^] # Re: Antivirus

                  Posté par (page perso) . Évalué à 4.

                  Je croit que Dazuko sert à faire de l'analyse quand tu accédes aux fichiers, ce que font norton et compagnie pour transformer ton pc avec disque dur en machine bootant sur disquette.

                  C'est pas de l'analyse comportemental, c'est juste de l'analyse en continue.
  • # MISC

    Posté par (page perso) . Évalué à 10.

    Il y a régulièrement dans le magazine MISC des études de virus. Certains auteurs de virus fournissent le code source.
    • [^] # Re: MISC

      Posté par (page perso) . Évalué à 1.

      merci pour l'info, je fouillerais en kiosque. je ne savais pas que ce magazine paraissait encore.

      T'as le bonjour de JavaScript !

  • # BO2K ?

    Posté par (page perso) . Évalué à 5.

    Il y en bien Back Orifice pour administrer 'son' windows à distance et faire plein d'autres petites choses sympa... :)
    Il est sur sourceforge et en GPL. Mais bon ce n'est pas un virus à proprement parler.
    http://www.bo2k.com/
    • [^] # Re: BO2K ?

      Posté par . Évalué à 6.

      Mais voyons, BO2K est un outil d'administration, pas un virus... il faut rester dans le sujet ! 
      • [^] # Re: BO2K ?

        Posté par (page perso) . Évalué à 5.

        Oui tout à fait. Mais vu que bo2k est en GPL et qu'il contient des propriétés intéressantes (par exemple effacer ses traces dans la liste des processus...). Il y a sûrement du code à prendre pour faire un virus.
        • [^] # Re: BO2K ?

          Posté par (page perso) . Évalué à 2.

          Ouais. Un virus détectable par des antivirus vieux d'il y a 10 ans, et qui tourne uniquement sous windows.

          1/ Technologiquement, la complexité a bien évolué depuis lors. Les techniques de camouflage, infection sont plus poussées

          2/ Effacer ses traces de la listes des process de windows 95, AMHA, ça va pas aider des masses à faire des logiciels espions pour XP, vista et compagnie, sans parler des autres OS comme *BSD ou Linux.

          3/ On doit effectivement bien pouvoir récupérer le code suivant :
          int main(int argc, char*argv[]){exit 0;}.
          Je doute que le reste soit utile.
          • [^] # Re: BO2K ?

            Posté par (page perso) . Évalué à 1.

            1/ Ca je veux bien le croire.

            2/ BO2K fonctionne très bien avec XP. Je ne l'ai pas testé avec Vista. Mais la dernière mise à jour date de 2007 et il y a encore des forums actifs. Par contre c'est effectivement que pour windows.

            3/ Ben jette un coup d'oeil :
            http://bo2k.cvs.sourceforge.net/viewvc/bo2k/bo2k/src/main.cp(...)

            Sinon vu que le code est disponible, il est possible de créer beaucoup de versions différentes.
  • # Ben oui...

    Posté par . Évalué à 10.

    C'est pour ça qu'il n'y a pas de virus répandu sous Linux : personne n'en veut car ils ne sont pas libres.

    Quand il y aura des virus libres, personne ne verra d'inconvénient, et tout le monde en aura :-)

    Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

    • [^] # Re: Ben oui...

      Posté par . Évalué à 9.

      Voilà une idée excellente : mon virus open-source à la mode !

      - Tu as téléchargé le dernier ver de chez red-hat ?
      - Non, Guillaume me l'a envoyé, j'ai pas eu besoin de le demander...
      - Il est chouette non ?
      - Oui, magnifique ! Mais c'est dommage qu'il ne puisse rien faire sur mes documents sans que je lui en donne l'ordre et les droits... ça retire la surprise et ce n'est plus drôle.
      - J'en ai profité pour l'envoyer à tout mon carnet d'adresse et en lien sur les listes de diffusion des GUL locaux, ils vont être trop jaloux que je l'ai eu avant eux ! ;-)
      - Même aux contacts kikoolol sous OS proprio ?
      - Non, je ne suis pas comme ça ! Ce serait donner de la confiture aux cochons ! Ils ne sauraient pas apprécier le code source ! Je leur laisse les virus fermés...
      - Ils ont toujours une mode de retard...
      • [^] # Re: Ben oui...

        Posté par . Évalué à 5.

        Mais c'est dommage qu'il ne puisse rien faire sur mes documents sans que je lui en donne l'ordre et les droits... ça retire la surprise et ce n'est plus drôle.

        Envoie un patch pour qu'il puisse changer les droits tout seul ...
        • [^] # Re: Ben oui...

          Posté par . Évalué à 2.

          Envoie un patch pour qu'il puisse changer les droits tout seul ...
          Là, on arrive vraiment à du bricolage... et ça ne fait pas du tout pro...
          Mais en imaginant que mes contacts sont majoritairement schizophrènes et qu'ils ont accepté de changer de personnalité entre la réception du ver à la mode et celle du patch, il est possible d'accepter d'imaginer dans les milieux autorisés que quelques uns puissent être surpris...

          C'est beau la technologie ! En mettant les mains dans le camboui et en jouant le jeu, nous allons les avoir nos Open-Bactéries (oui, je ne dis plus virus, la marque OpenVirus (c) a été déposée par Novell)
        • [^] # Re: Ben oui...

          Posté par (page perso) . Évalué à 1.

          un vieux chmod -R 777 * des familles et roulez jeunesse ! pour une fois que je peux proposer un patch :D

          T'as le bonjour de JavaScript !

      • [^] # dépôts

        Posté par . Évalué à 5.

        Pour les installer plus facilement, il faudrait des dépôts de paquets comme pour les distributions ! Ah, on me signale que l'infrastructure est déjà en place car personne ne vérifie la signature de dépôts tierces.
    • [^] # Re: Ben oui...

      Posté par (page perso) . Évalué à 1.

      Loin de moi l'idée de vouloir gâcher l'ambiance de franche rigolade, mais en fait il se trouve que plusieurs logiciels de botnet sont en licence GPL.

      Par exemple le célèbre StormBot (http://www.stormbot.net/) indique clairement une licence Beerwar... GPL (http://www.stormbot.net/beads/sb5-readme.txt)
      • [^] # Re: Ben oui...

        Posté par . Évalué à 3.

        J'adore la Beerware licence !

        je cite :

        "THE BEER-WARE LICENSE" (Revision 43):

        Dave Hansen (xone@bothouse.org) and Michelle Angeletti (domino@bothouse.org)
        wrote this script. As long as you retain this notice you can do whatever you
        want with this stuff. If we meet some day, and you think this stuff is worth
        it, you can buy Dave a beer, and Michelle a vanilla creme or strawberry soda
        in return.


        A ce compte là, je vais créer un max de scripts sous Beerware Licence... ça va être super en été ou pour se pinter la tête lors des install party qui deviendront vite des embuscades (comme on dit chez les apéro-addicts)
        • [^] # Re: Ben oui...

          Posté par . Évalué à 2.

          >> J'ai executé ton super script intitulé "#rm -rf /", je te l'envoie comment ton pack de bière?
  • # Si tu veut du code source...

    Posté par (page perso) . Évalué à 7.

    j'ai 2 urls dans ma liste de bookmarks sr le sujet :
    http://www.totallygeek.com/vscdb/index.php et
    http://vx.netlux.org/lib/?lang=EN

    ça devrait t'occuper assez longtemps je pense :)
  • # Exploits

    Posté par . Évalué à 1.

    Généralement, quand une faille de sécurité est découverte sous Linux (dans le kernel, par ex), il y a un rapport qui contient l'exploit qui permet de la mettre en évidence. L'exploit est donc le bout de code qui la provoque mise en défaut du programme et finalement, c'est un bon point de départ pour comprendre les vulnérabilité. Après c'est vrai que toute la logique virus (propagation, dissimulation, etc) n'est pas couverte.
    • [^] # Re: Exploits

      Posté par (page perso) . Évalué à 1.

      Dans le monde proprio on utilise des "preuves de concept" pour dévoiler la faille sans montrer comment on peut l'exploiter.

      ça c'est vraiment plus class ...
  • # définition wikipedia

    Posté par . Évalué à 4.

    "un programme informatique écrit dans le but de se propager à d'autres ordinateurs en s'insérant dans des programmes légitimes appelés « hôtes ». Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté. /.../"

    c'est marrant, mais cela me rappelle vraiment quelque chose... : remplacez "en s'insérant dans des programmes légitimes appelés « hôtes »" par "en s'insérant dans des pratiques illégitimes appelées « vente liée »" et vous trouverez facilement je pense...

    Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # GPL = viral

    Posté par (page perso) . Évalué à 10.

    Question intéressante :

    Peut-on demander le code source d'un programme infecté par un virus licencié GPL ?
    • [^] # Re: GPL = viral

      Posté par (page perso) . Évalué à 0.

      Techniquement, est ce que tu as le droit d'infecter un programme proprio avec un virus gpl :) ?

      En fait, je pense que c'est comme avec gcc ou visual studio.
      Tu généres un executable en prenant en entrée des données et ton programme, le résultat n'est pas forcément sous gpl.

      Ensuite, tu doit pouvoir sans doute te plaire de la personne qui va distribuer le programme infecté sans filer tes sources, mais ça me semble pas très judicieux.
    • [^] # Re: GPL = viral

      Posté par (page perso) . Évalué à 5.

      Ce serai trop facile.

      Un petit «nop» en GPL v3 bien placé, et on a le programme en licence GPL. Plus qu'à porter plainte et récupérer les sources…

      Envoyé depuis mon lapin.

    • [^] # Re: GPL = viral

      Posté par (page perso) . Évalué à 3.

      dans mes bras ! tu es assez vicieux pour devenir avocat \o/

      T'as le bonjour de JavaScript !

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.