Suite à la lecture d'un article du Monde relatant le nouveau virus à la mode (1), j'en suis venu à m'interroger sur les virus et les licences libres. En effet, un virus_informatique est un programme informatique d'après la wikipedia. Alors comme tout soft, et la sécurité n'est pas le parent pauvre du libre, existe-il des études sur le sujet ? Et des forges ? Des sources ?
Je n'ai aucune intention d'écrire ou de propager quoique ce soit, mais je constate que ce serait une terrible stigmatisation que d'ignorer ce domaine scientifique. Autant je connais des outils de tests réseaux (wireshark, nessus) libres, autant je suis étonné qu'aucun hacker (au sens originel du terme) ne s'empare du sujet et ne pousse loin le travail d'études des virus libres. Ou alors j'ai mal cherché, merci de m'éclairer !
(1) http://www.lemonde.fr/technologies/article/2009/01/19/le-vir(...)
Journal Les virus capucay pas libre
21
jan.
2009
# Antivirus
Posté par Olivier Esver (site web personnel) . Évalué à 7.
S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.
[^] # Re: Antivirus
Posté par santos . Évalué à 2.
A le supprimer lorsqu'il a réussi à s'installer, pourquoi pas également.
Mais à le détecter, probablement non.
Les antivirus se basent sur la signature des fichiers binaires (que n'importe qui peut obtenir à partir d'un fichier binaire) pour détecter les virus. L'accès aux sources ne changerait donc rien à ce niveau.
[^] # Re: Antivirus
Posté par Gof (site web personnel) . Évalué à 5.
Les sources permettent effectivement de savoir plus facilement quels moyens le virus met en oeuvre pour contourner les antivirus. Mais les éditeur d'antivirus peuvent de toute façon découvrir ces moyens en fesant de l'ingénirie inverse.
Un bon moyen de contourner les antivirus devrait fonctionner même en dévoilant les sources.
[^] # Re: Antivirus
Posté par 2PetitsVerres . Évalué à 6.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Antivirus
Posté par fcartegnie . Évalué à 2.
C'est donc pareil pour les attaques, dont on trouve le code source sur les sites de sécurité.
La seule solution viable c'est le fix.
[^] # Re: Antivirus
Posté par 2PetitsVerres . Évalué à 3.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Antivirus
Posté par fcartegnie . Évalué à 3.
- ils cherchent la signature
- ils cherchent la signature de la fonction de déchiffrage (mutants)
- ils cherchent un effet (fichier, modif) ou sa signature
Tout celà peut être changé
Le reste des fonctions ne sont pas classifiables comme une identification:
- prévention par détection de l'utilisation du code d'exploitation d'une faille
- prévention par détection d'altérations
Dans ces cas, le code source ne sert à rien.
[^] # Re: Antivirus
Posté par chuchunain (site web personnel) . Évalué à 3.
T'as le bonjour de JavaScript !
[^] # Re: Antivirus
Posté par Kerro . Évalué à 2.
[^] # Re: Antivirus
Posté par téthis . Évalué à 3.
J'ai un bouquin pas mal la dessus, c'est édité par Symantec Press (on ne rigole pas au fond) : Virus Research and Defense de Peter Szor. Malheureusement ou heureusement, je suis passé au tout libre au cours de sa lecture et j'ai abandonné. :)
http://www.amazon.com/Computer-Virus-Research-Defense-Symant(...)
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: Antivirus
Posté par Misc (site web personnel) . Évalué à 5.
En logiciel libre, il y a ça : http://libemu.mwcollect.org/ . Si quelqu'un veut me faire ravaler mes paroles en l'intégrant dans le moteur de clamav, ( pour le moment, c'est plutôt l'inverse ), ça aiderais l'internet à être un peu moins pollué.
[^] # Re: Antivirus
Posté par téthis . Évalué à 3.
Je ne sais pas si il fait de l'analyse ou si il utilise uniquement sa base de signature pour repérer les malfaisants. J'avais regardé il y a bien longtemps et vu qu'il y avait des modules pour des packers assez classiques (upx, fsg...). Il faut voir ce que ça donne sur un programme mijoté avec amour et nasm (ou fasm, yasm et pour les plus têtus, masm).
D'un autre côté, c'est toujours les mêmes virus que l'on reçoit par mail. Une fois qu'on a la signature dans la base, on est capable de les voir arriver avec leurs gros sabots.
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: Antivirus
Posté par bubar🦥 (Mastodon) . Évalué à 2.
J' ai essayé (test sans aucune valeur informatique ou scientifique) il y a qq temps de passer de vieilles archives de virii sur cd, à la moulinette ClamAV : il trouve tout... sauf ceux qui étaient découpés en morceaux non fonctionnels et ceux qui étaient dans certaines archives... (malgrès la prise en charge théorique de ces archives et l' ancienneté des virii proposé à clamav). quant à de l' assembleur, heu bon, je vous laisse discuter hein ...
Voili voilà.
Références
http://en.wikipedia.org/wiki/Dazuko
http://dazuko.dnsalias.org/wiki/index.php/Dazuko-based_Appli(...)
Cordialement
[^] # Re: Antivirus
Posté par Misc (site web personnel) . Évalué à 4.
C'est pas de l'analyse comportemental, c'est juste de l'analyse en continue.
# MISC
Posté par Frédéric Massot (site web personnel) . Évalué à 10.
[^] # Re: MISC
Posté par chuchunain (site web personnel) . Évalué à 1.
T'as le bonjour de JavaScript !
# BO2K ?
Posté par hocwp (site web personnel) . Évalué à 5.
Il est sur sourceforge et en GPL. Mais bon ce n'est pas un virus à proprement parler.
http://www.bo2k.com/
[^] # Re: BO2K ?
Posté par Aldoo . Évalué à 6.
[^] # Re: BO2K ?
Posté par hocwp (site web personnel) . Évalué à 5.
[^] # Re: BO2K ?
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
1/ Technologiquement, la complexité a bien évolué depuis lors. Les techniques de camouflage, infection sont plus poussées
2/ Effacer ses traces de la listes des process de windows 95, AMHA, ça va pas aider des masses à faire des logiciels espions pour XP, vista et compagnie, sans parler des autres OS comme *BSD ou Linux.
3/ On doit effectivement bien pouvoir récupérer le code suivant :
int main(int argc, char*argv[]){exit 0;}.Je doute que le reste soit utile.
[^] # Re: BO2K ?
Posté par hocwp (site web personnel) . Évalué à 1.
2/ BO2K fonctionne très bien avec XP. Je ne l'ai pas testé avec Vista. Mais la dernière mise à jour date de 2007 et il y a encore des forums actifs. Par contre c'est effectivement que pour windows.
3/ Ben jette un coup d'oeil :
http://bo2k.cvs.sourceforge.net/viewvc/bo2k/bo2k/src/main.cp(...)
Sinon vu que le code est disponible, il est possible de créer beaucoup de versions différentes.
# Ben oui...
Posté par zebra3 . Évalué à 10.
Quand il y aura des virus libres, personne ne verra d'inconvénient, et tout le monde en aura :-)
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Ben oui...
Posté par lolonovice . Évalué à 9.
- Tu as téléchargé le dernier ver de chez red-hat ?
- Non, Guillaume me l'a envoyé, j'ai pas eu besoin de le demander...
- Il est chouette non ?
- Oui, magnifique ! Mais c'est dommage qu'il ne puisse rien faire sur mes documents sans que je lui en donne l'ordre et les droits... ça retire la surprise et ce n'est plus drôle.
- J'en ai profité pour l'envoyer à tout mon carnet d'adresse et en lien sur les listes de diffusion des GUL locaux, ils vont être trop jaloux que je l'ai eu avant eux ! ;-)
- Même aux contacts kikoolol sous OS proprio ?
- Non, je ne suis pas comme ça ! Ce serait donner de la confiture aux cochons ! Ils ne sauraient pas apprécier le code source ! Je leur laisse les virus fermés...
- Ils ont toujours une mode de retard...
[^] # Re: Ben oui...
Posté par Thomas Douillard . Évalué à 5.
Envoie un patch pour qu'il puisse changer les droits tout seul ...
[^] # Re: Ben oui...
Posté par lolonovice . Évalué à 2.
Là, on arrive vraiment à du bricolage... et ça ne fait pas du tout pro...
Mais en imaginant que mes contacts sont majoritairement schizophrènes et qu'ils ont accepté de changer de personnalité entre la réception du ver à la mode et celle du patch, il est possible d'accepter d'imaginer dans les milieux autorisés que quelques uns puissent être surpris...
C'est beau la technologie ! En mettant les mains dans le camboui et en jouant le jeu, nous allons les avoir nos Open-Bactéries (oui, je ne dis plus virus, la marque OpenVirus (c) a été déposée par Novell)
[^] # Re: Ben oui...
Posté par chuchunain (site web personnel) . Évalué à 1.
T'as le bonjour de JavaScript !
[^] # dépôts
Posté par Octabrain . Évalué à 5.
[^] # Re: Ben oui...
Posté par Elephant (site web personnel) . Évalué à 1.
Par exemple le célèbre StormBot (http://www.stormbot.net/) indique clairement une licence Beerwar... GPL (http://www.stormbot.net/beads/sb5-readme.txt)
[^] # Re: Ben oui...
Posté par lolonovice . Évalué à 3.
je cite :
"THE BEER-WARE LICENSE" (Revision 43):
Dave Hansen (xone@bothouse.org) and Michelle Angeletti (domino@bothouse.org)
wrote this script. As long as you retain this notice you can do whatever you
want with this stuff. If we meet some day, and you think this stuff is worth
it, you can buy Dave a beer, and Michelle a vanilla creme or strawberry soda
in return.
A ce compte là, je vais créer un max de scripts sous Beerware Licence... ça va être super en été ou pour se pinter la tête lors des install party qui deviendront vite des embuscades (comme on dit chez les apéro-addicts)
[^] # Re: Ben oui...
Posté par Glorbouille . Évalué à 2.
# Si tu veut du code source...
Posté par Misc (site web personnel) . Évalué à 7.
http://www.totallygeek.com/vscdb/index.php et
http://vx.netlux.org/lib/?lang=EN
ça devrait t'occuper assez longtemps je pense :)
[^] # Re: Si tu veut du code source...
Posté par syj . Évalué à 3.
il faut supporter la mentalité Hackerz dans les articles.
Mais par exemple, j'avais trouvé cette article très interessant expliquant comment passer un parefeu utilisant uPnp.
http://www.phrack.com/issues.html?issue=65&id=5#article
[^] # Re: Si tu veut du code source...
Posté par Misc (site web personnel) . Évalué à 2.
# Exploits
Posté par Joël . Évalué à 1.
[^] # Re: Exploits
Posté par Joris Dedieu (site web personnel) . Évalué à 1.
ça c'est vraiment plus class ...
# définition wikipedia
Posté par B16F4RV4RD1N . Évalué à 4.
c'est marrant, mais cela me rappelle vraiment quelque chose... : remplacez "en s'insérant dans des programmes légitimes appelés « hôtes »" par "en s'insérant dans des pratiques illégitimes appelées « vente liée »" et vous trouverez facilement je pense...
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: définition wikipedia
Posté par Uvoguine . Évalué à 1.
# GPL = viral
Posté par grid . Évalué à 10.
Peut-on demander le code source d'un programme infecté par un virus licencié GPL ?
[^] # Re: GPL = viral
Posté par Misc (site web personnel) . Évalué à 0.
En fait, je pense que c'est comme avec gcc ou visual studio.
Tu généres un executable en prenant en entrée des données et ton programme, le résultat n'est pas forcément sous gpl.
Ensuite, tu doit pouvoir sans doute te plaire de la personne qui va distribuer le programme infecté sans filer tes sources, mais ça me semble pas très judicieux.
[^] # Re: GPL = viral
Posté par yellowiscool . Évalué à 5.
Un petit «nop» en GPL v3 bien placé, et on a le programme en licence GPL. Plus qu'à porter plainte et récupérer les sources…
Envoyé depuis mon lapin.
[^] # Re: GPL = viral
Posté par chuchunain (site web personnel) . Évalué à 3.
T'as le bonjour de JavaScript !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.