Article très interessant sur la desinformation en informatique - Sécurité - Windows & Software
Marsh Posté le 21-05-2003 à 11:37:12
T'es pas gentil j'ai eu mon exam d'anglais hier matin... tu m'en recolle un aujourd'hui Bon mùerci pour cet article je vais lire ca maintenant
Marsh Posté le 21-05-2003 à 11:39:12
j'attend avec impatience les autres parties
En tout cas c'est très intelligent pour une fois d'oser écrire dans un article publié par un groupe de sécurité que Windows ou Microsoft n'est pas la lie de l'informatique en terme de sécurité.
Ps->tout troll = kick ban
Marsh Posté le 21-05-2003 à 11:56:16
Les produits microsoft sont les cibles préférentielles des créateurs de virus.
ne pas les utiliser permet d'en éviter une grande partie.
Citation : A well-secured and properly patched Windows installation (I'm thinking NT and its derivatives here, of course) is more secure than the average out-of-the-box Linux machine, especially a desktop machine used by a single individual who always runs as root. |
C'est un peu de la mauvaise foi cette partie là, je trouve. Il aurai été plus approprié de dire qu'un Windows patché et bien configuré était aussi dur à craquer qu'un Unix/linux patché et bien configuré (et vice-versa pour les non-configurés et non-patchés).
Marsh Posté le 21-05-2003 à 11:58:57
tu t'estimes donc plus à même de juger un OS qu'un expert en sécurité?
Marsh Posté le 21-05-2003 à 12:03:18
bah non, c'est logique. Ce qu'ils mettent dans cet article n'est qu'une banalité. C'est clair qu'un windows bien configuré est plus sur qu'un linux mal configuré. N'importe qui aurait pu le dire (excepté un troll).
Mais dans l'article, ils ne comparent pas ce qui est réellement intéressant: deux machines correctement configurées disposant d'outils similaires.
Marsh Posté le 21-05-2003 à 12:03:23
krapaud > non, loin de là mais dire :
Citation : un windows patché et configuré est plus sécurisé qu'un Linux tout juste installé et utilisé en root. |
dans un article montrant que windows n'est pas la lie de la sécurité ; je trouve que c'est un peu limite. Surtout qu'il n'était pas difficile de comparer les 2 systèmes "sorties de boite" et de dire que la sécu était grosso modo la même, ce qui, à mon sens, est vrai quand on voit le nombre de services potentiellement risqués lancés sur Mandrake Linux par défaut. (par ex)
Marsh Posté le 21-05-2003 à 12:30:15
En fait il faut surtout lire le titre : Malware Myths and Misinformation.
Ca explique la démarche de l'auteur et la phrase :
"A well-secured and properly patched Windows installation (I'm thinking NT and its derivatives here, of course) is more secure than the average out-of-the-box Linux machine, especially a desktop machine used by a single individual who always runs as root." qui s'addresse directement aux ptit gars qui install linux en pensant que "ayé il risk rien"
En fait le reproche que j'aurais a faire a cette article (enfin cette premiere partie), c qu'il ne fait pas grand chose si ce n'est un historik des evenements sur la securité informtique des 20 dernieres années :
"Just as some of the earliest worms targeted Unix, some of the earliest viruses targeted Mac users: in fact, the Apple II, one of the Mac's predecessors, was targeted by replicative programs long before the Brain/Ashar brought real life to the IBM PC arena. "
oui oui avant que microsoft domine le monde y'avais deja des gens qui faisaient des virus, c vrai, mais bon aujourd'hui honnetemment y'a quand meme plus de chance de se chopper une merde sur win, non pas paske c nul, mais paske la masse est tellement grande que forcement, y'a plus de gus suceptible de balancer des saloperies...
En gros je trouve que l'article n'apporte pas grand chose, il donne dans la banalité ("si on configure bien alors pas de probleme" , "y'a des faille sur win ? oui y'en a aussi ailleurs !" ) sans vertibalement insisté sur le fait que le probleme est surtout statistique : Il y a plus de chance de tomber sur un virus ou une faille ou sur un serveur pas configurer chez microsoft, tout simplement paske win et ce qui tourne dessus represente la tres grande majorité de ce qui tourne sur les becannes de la planete.
Marsh Posté le 21-05-2003 à 13:23:06
parano a écrit : Il y a plus de chance de tomber sur un virus ou une faille ou sur un serveur pas configurer chez microsoft, tout simplement paske win et ce qui tourne dessus represente la tres grande majorité de ce qui tourne sur les becannes de la planete. |
Faux. La proportion de serveurs sous Apache est du même ordre de grandeur que celle sous IIS. Ça n'a empêché personne de voir qu'IIS a pendant très longtemps été pourri de failles, contre à peine une ou 2 alertes pour Apache.
Marsh Posté le 21-05-2003 à 13:29:03
Il n'y a pas que les stats !
Il y a aussi le fait que sous windows, il y a un logiciels :
- de bureautique, Office contre Koffice, OOo, Abiword, gnumerix,...
- un Mailer, Outlook contre Sylpheed, Kmail, Mozila-mail, mutt, Gnus, pine, Evolution, ...
- un naviagateur IE, contre Mozilla, galeon, Konqueror, lynx, links, w3m,...
Bref, sous linux, les chances de propagation de virus est faible car les outils sont différents.
Je passe aussi le fait que l'on bosse encore très souvent en administrateur sous windows même en W2k. Ce qui n'est quasiement jamais le cas sous Linux, même pour un newbe (sous mdk ,tu as un gros avertissement, avec un fond d'écran rouge super agressif).
Marsh Posté le 21-05-2003 à 13:40:13
rototoJak a écrit : Faux. La proportion de serveurs sous Apache est du même ordre de grandeur que celle sous IIS. Ça n'a empêché personne de voir qu'IIS a pendant très longtemps été pourri de failles, contre à peine une ou 2 alertes pour Apache. |
Citation : la tres grande majorité de ce qui tourne sur les becannes de la planete. |
Si pour toi les becannes de la planete se limitent a celles qui font tourner apache ou IIS c ton choix, mais ce n'est pas mon argument, qui te parle de l'ensemble du parc, clients et serveurs.
Ensuite va sur n'importe quel site de securité info relatant les failles impliquant les serveurs web, tu verras que 1 ou 2, c un peu sous-estimé le probleme hein !
Marsh Posté le 21-05-2003 à 13:41:01
L'eau de la a écrit : Il n'y a pas que les stats ! |
La diversité logicielle sous Windows existe dans les exemples que tu cites. C'est juste qu'ils sont plus ou moins utilisés.
Ce que j'ai déduit en grande partie de l'article, c'est que la principale source des problèmes de sécurité se situe entre le siège et le clavier.
Marsh Posté le 21-05-2003 à 13:46:28
Il y a aussi la réalité.
Chez moi
IE + OutlookExpress = +40 spams en trois jours
IE + Foxmail = 1 spam en 4 mois
est-ce de l'intox de le dire ? même si on n'est pas "expert" de sécurité?
Je sais bien qu'il y a moyen de faire + safe avec les produits MS...mais à niveau "moyen" egal, cela devient-il de la mésinformation que de le dire ?
Le danger serait de n'écouter que ceux qui se disent expert..et de tomber un jour comme sur les "experts" medicaux qui affirmaient qu'il n'y avait pas de danger avec le tabac.
Un expert en contredisant un autre, qui croire ?
Est-on un imbecile parce-que l'on croit 300 personnes qui râlent sur un forum concernant un produit (par exemple les connexions AOL il y a un ou deux ans) plutôt que l'expert qui vous dit que c'est aussi rapide, mais que l'on a mal configuré ?
Tant que la masse "moyenne" a une chance de parler, elle a une chance d'être écoutée des autres de niveau "moyen"..car les experts sont rarement là pour paramétrer l'ordinateur de Mr tout le monde derrière son clavier..
David Harley aurait pu simplement dire que les produits MS sont très sûrs, puis expliquer le comment et le montrer.. attribuer la Désinformation (puisque c'est le sujet de l'article) à la masse "moyenne" , est du même ordre que considérer que la masse moyenne est incompétente à régler la sécurité des produits MS (c'est bien ici le fond du débat).
D'où ma question..-> Est-ce à la masse "moyenne" de faire cela ? D'être compétent et expert en sécurité pour pouvoir envoyer son mail ?
m'enfin cela reste qu'une opinion (de désinformation ? )
Marsh Posté le 21-05-2003 à 13:55:37
cmotsch a écrit : |
enfin!
Marsh Posté le 21-05-2003 à 13:57:46
krapaud a écrit : j'attend avec impatience les autres parties |
bon, je le pense sérieusement, mais maintenant je m'explique
personnellement je suis certain que linux est tout aussi sensible aux virus que M$ (windows, wmp , ie, ...)
y-a qu'à voir les nombreux buffer overflow qu'on peut voir dans les news de sécu
je m'abstiendrais de dire si un est pire que l'autre
mais je préfère de loin l'approche linux :
- code ouvert, n'importe qui peut vérifier aisément s'il y a un pb de prog (quand je dis n'importe qui, c'est celui qui veut et qui est compétent bien sur, pas la boulangère)
- droits utilisateur quand on lance un service (il parait que c'est aussi vrai pour windows maintenant, c'est vrai qu'on a pas trop d'info en général, dans la presse info généraliste, quand on lit des articles sur les nouveaux virus)
- enfin, le plus gros interet de linux et de loin, c'est que quand il y a une faille, c'est le logiciel qu'on met à jour, pas un pseudo antivirus à la mort_moi_le_noeud
Marsh Posté le 21-05-2003 à 14:04:38
Je crois que y'avais bien marqué que ct pas le sujet, et que le but n'est pas de faire un n-ieme comparatif, mais de discuter de l'article
Mais oui j'aimerais lire la suite
Marsh Posté le 21-05-2003 à 14:29:14
ReplyMarsh Posté le 21-05-2003 à 14:29:37
ReplyMarsh Posté le 21-05-2003 à 14:34:21
parano a écrit : En fait il faut surtout lire le titre : Malware Myths and Misinformation. |
c est vrai ke le user ki se logue en admin sur un nt ou un xp est vachement plus securise
fo comparer ce ki est comparable ok
Marsh Posté le 21-05-2003 à 14:36:25
tomate77 a écrit : |
Citation : qui s'addresse directement aux ptit gars qui install linux en pensant que "ayé il risk rien" |
Tu as lu toute la phrase ca reprend l'intervention de MJules qui est tout a fait pertinante
Marsh Posté le 21-05-2003 à 14:38:07
Je n'ai pas tout lu et je ne suis pas un expert en virus, loin de là. Mais rappelez-vous l'an dernier, MS avait arrêté le développement pour se consacrer intégralement à la traque et la résolution des failles.
D'autre part, cette année-ci, un haut responsable de MS a déclaré : "nous n'avons pas accordé assez d'attention à l'aspect sécurité dans nos produits ces dernières années." Je reproduis de mémoire car je n'ai malheureusement plus le lien, je crois que c'était sur ZDnet news, ou un truc comme ça.
Sachant que dans le fonctionnement purement commercial de MS, il n'est jamais fait mention de bug ou de faiblesses, je peux vous dire que cette déclaration a dû leur coûter cher en terme d'orgueil.
La tendance semble tout de même changer puisque Steve Ballmer (n°2 de MS) avait aussi déclaré à la fin de l'an dernier que Win Millenium n'aurait jamais dû être vendu, voici ce que j'avais trouvé à ce sujet sur un site pourtant pro-MS ( http://www.aumha.org )
(for the OS that Steve Ballmer recently referred to as the one major product Microsoft never should have shipped)
Mais en fait, ils n'ont fait qu'avouer ce que tout le monde savait déjà, que si on n'inclut pas l'aspect sécurité DANS le développement des produits, tout le reste n'est que patch.
Je suis un utilisateur Windows depuis très longtemps et je ne crache donc pas dans la soupe, je remarque simplement que tant que les sources de Win ne seront pas accessibles à tous, on ne saura pas réellement ce qu'ils foutent et ça donnera lieu à des délires et des obsessions trollesques en tout genre.
MS se tire une balle de pied en faisant ça tout en se plaignent que ça fait mal.
My 2 cents.
Marsh Posté le 21-05-2003 à 14:42:03
parano a écrit :
|
heing ??
Marsh Posté le 21-05-2003 à 14:44:06
cmotsch a écrit : |
oui mais ils sont marginals, évidement.
[citation]
Ce que j'ai déduit en grande partie de l'article, c'est que la principale source des problèmes de sécurité se situe entre le siège et le clavier.
[/citation]
Il existe une page qui recense 14 failles de sécurité de IE toujours pas corrigé plus de 6 mois après être connu.
Marsh Posté le 21-05-2003 à 14:45:26
tomate77 a écrit : |
On c ptet mal compris G eu un doute sur ton post, eske ct pour me dire que j'avais ecris une connerie, ou pour m'appuyer
(tomate 77, ou l'art d'etre patient )
Marsh Posté le 21-05-2003 à 14:45:42
L'eau de la a écrit : |
si y avait ke IE aussi
Marsh Posté le 21-05-2003 à 14:47:01
parano a écrit : |
juste pour dire ke win est plus secure que linux car les users se logent en root, c est completement debile, car ils feront la meme chose sous win, et donc il y a plus de risque
Marsh Posté le 21-05-2003 à 14:52:08
A oui oui chui d'accord, c juste qu'on tombe souvent sur des gars qui installe un linux en pretextant la securité, mais qui se loggue en root, et qui laisse tourner les 300 services de la mandrake derriere. Pour eux, il est necessaire de comprendre qu'ils n'ont rien compris
Marsh Posté le 21-05-2003 à 14:54:33
parano a écrit : A oui oui chui d'accord, c juste qu'on tombe souvent sur des gars qui installe un linux en pretextant la securité, mais qui se loggue en root, et qui laisse tourner les 300 services de la mandrake derriere. Pour eux, il est necessaire de comprendre qu'ils n'ont rien compris |
remarque sous linux je suis logue en user + xterm root
sous win suis en admin
en meme tps je n ai jamais eu de virus depuis ke j ai win98 (et je suis a xp now)
juste des spywares et une backdoor dernierement, mais ki n a pas fait long feu, j ai l oeil sur ma BDR
Marsh Posté le 21-05-2003 à 14:57:42
L'eau de la a écrit : |
Oui, mais si Linux occupait 30 % des PC (frange assez importante pour inclure des utilisateurs lambda), qui dit que la répartition des utilisateurs de logiciels serait plus équitable ?
Linux est pour le moment surtout utilisé par des personnes averties qui s'intéressent à ce qu'elles utilisent. Le lambda risque plutôt d'utiliser le premier soft qui trouve (au hasard : Kmail pour les mails ).
Citation : |
Que la réactivité pour les failles et les bugs soit plus ou moins importante en fonctions des logiciels, d'accord.
Mais d'un autre côté (pour revenir à l'utilisateur), combien de personnes (même sur ce forum) font toutes mises à jour des sécurité nécessaires (quand elles existent) ? Combien de personnes ne se connectent pas en administrateur sur 2K/XP pour une utilisation courante (on a eu un troll de 6 pages à ce sujet il y a quelques mois) ? etc ...
On aura beau avoir un système stable à la base, s'il est utilisé par un neuneu, il deviendra une passoire.
Marsh Posté le 21-05-2003 à 15:02:00
cmotsch a écrit :
|
sur ma passerelle debian, tous les jours je fais les updates
pour win par contre
Marsh Posté le 21-05-2003 à 15:02:27
cf la faille de SQL server utilisé par un virus ya pas longtemps et qui était patché depuis 6 mois. ou encore celle du virus Slapper sur les apache non patchés.
Marsh Posté le 21-05-2003 à 15:10:46
Mjules a écrit : |
ben vi, chez MS, ils n'avaient même pas patché leur propre système à propos de ce virus. Les cordonniers sont toujours...
Marsh Posté le 21-05-2003 à 15:25:52
Les ll proposent des patchs, MS des services pack qui modifient plein de trucs. Pour beaucoup d'administrateur quand une bécane tourne on n'utilise PAS de service pack -> c'est considéré limite comme une fautre professionnel (dans un service pack de NT, Java est devenu subitement incompatible, etc...).
Marsh Posté le 21-05-2003 à 15:29:44
cmotsch a écrit : |
Carrément d'accord
Marsh Posté le 21-05-2003 à 15:32:52
Est-ce à la masse "moyenne" d'être compétent et expert en sécurité pour pouvoir envoyer son mail ?
Ce sujet est un classique..
Marsh Posté le 21-05-2003 à 15:39:21
Serveur a écrit : Est-ce à la masse "moyenne" d'être compétent et expert en sécurité pour pouvoir envoyer son mail ? |
le but de l'article n'est pas de comparer tel ou tel système, mais de montrer que la critique est aisée quand l'utilisateur, avancé ou pas, reste un pinot.
Mjules arrive en criant : "hanlala même pas vrai que Windows est au moins aussi sécurisé que Linux". Evidemment il le sait, il l'a entendu sur un site de warriors et forcément ça fait force de loi.
Mais en attendant les ingénieurs de microsoft ne sont pas plus mauvais qu'un ingénieur qui bosse dans l'open-source, et s'il y a des failles il n'y a que quelques rares individus pour les exploiter. Mais ils les exploitent en utilisant quoi? 9/10 des fois ils vont se servir des droits de l'utilisateur dans son propre shell. Etonnant? non. D'un simplicité enfantine. On ne demande pas à tout le monde d'être maitre de sa machine à tout instant, mais de savoir que le système ne fait rien d'autre que ce qui lui est demandé.
Alors evitons les stéréotypes faciles : windows est plus moins bien que linux. Disons plus simplement : un utilisateur averti est plus en sécurité quel que soit l'OS qu'un utilisateur qui n'y connais rien.
Marsh Posté le 21-05-2003 à 15:54:44
ben oui d'accord avec toi, je n'ai pas dit que les produits MS étaient moins bien ou mieux , et que les ingénieurs plus bête, car c'est pas là le sujet.
La question se porte justement sur la compétence "utilisateurs lambda" ET l'information...
..qui est assimilé à de la désinformation par l'auteur.
La question donc fondamentale reste - > si l'utilisateur a le "droit" d'informer son confrère lambda que tel utilisation (voir mon premier post pour exemple) est + safe que tel autre utilisation après avoir vu moins de spams (par exemple) ou cela est-il assimilé à de la désinformation... ?
donc débat philosophique sur la liberté d'expression..
Marsh Posté le 21-05-2003 à 15:57:26
Krapaud > tu as lu au moins ce que j'ai écris ? A quel moment est ce que je dis que windows est moins sécurisé que Linux ?
Au contraire, si tu relis lentement mes propos, tu verras que j'ai plutôt tendance à dire que linux n'est pas aussi sécurisé qu'on veut bien le faire croire et que les 2 bien configurés sont équivalents.
Marsh Posté le 21-05-2003 à 11:35:41
Infocus
< http://www.securityfocus.com/infocus/1695 >
--------------------------------------------------------------------------------
Malware Myths and Misinformation, Part One: Windows, Mac, Exchange, and IIS
by David Harley
last updated May 19, 2003
Much Internet culture is founded on misinformation: computer security in general and the virus/malware arena in particular constitute prime examples. Most IT professionals and many people on the periphery (power users, hobbyists, computer journalists) see themselves as de facto security experts, and every security expert is a self-perceived virus expert. Virus writers, malware distributors, and their admirers add an extra spoonful of horsefeather sauce to the mix.
Anti-virus and other industry security researchers are generally a knowledgeable and well-intentioned bunch, but the public voices of the industry are usually drawn not from the research community, but from the marketing department. Their pronouncements are often neither technically well founded nor free from commercial considerations. The army of researchers outside the industry who dominate some open source, security and vulnerabilities discussion lists are often well meaning, but not always as competent or well informed as they think, or would like you to think, and some are far more interested in personal glory than the common good. As a result, virus/anti-virus/security lore bulges with received wisdom that lacks both wisdom and factual basis.
This is a bad news article. It addresses some common misconceptions deriving from complacency, wishful thinking, an inability to question, and a lack of research. The fallacies we address here tend to begin with the words "I'm safe from viruses because..." The good news is that there are plenty of misconceptions about the intellectual and programming superiority of malware authors and the inability of malware management software to offer some compensation. We will consider some of those issues in the third part of this three-part article.
The first group of misconceptions we'll be considering here can be summarised, not altogether fairly, as "I'm safe because the only Microsoft product I use is a mouse."
I'm Safe from Viruses Because...
...I Don't Use Windows
Windows does seem to be the most heavily attacked computing platform: at least in terms of the sheer volume of virus threats. Do the commonly cited alternatives confer the degree of invulnerability assumed by the adherents of this view?
MS-DOS (or its sundry variants) isn't, of course, safe from the multiplicity of boot-sector viruses, file infectors and multi-partites that plagued us when Windows was an unexciting cross between the Apple interface and GEM. These may not appear much of a threat anymore, but some of them are still reported from time to time, and remain officially "in the wild" as reported at http://www.wildlist.org. It hardly seems possible, but the occasional Form-infected floppy continues to be fished out of the back of the drawer.
Linux and other variations on the Unix theme are not generally overwhelmed with viruses, though some of the early research of Fred Cohen, whose work practically defined the anti-virus field, was carried out in Unix environments. But they are far from free of malicious software. Indeed, some of the earliest worms (notably the infamous Morris worm of the late 1980s) were Unix-specific. While Linux file-infectors have so far been more proof-of-concept than in-the-wild, there have been enough subsequent Linux worms (and indeed the occasional Solaris-specific slitherer) to constitute a significant problem.
The evangelical Linux view of Unix as being immune to malware because of its intrinsic security is based more on wishful thinking than on fact. A well-secured and properly patched Windows installation (I'm thinking NT and its derivatives here, of course) is more secure than the average out-of-the-box Linux machine, especially a desktop machine used by a single individual who always runs as root. Unix is not and never has been automatically secure. Looking at vulnerabilities lists and vendor advisories, we see a constant stream of security patch releases. This is not a tilt at open source or Unix (I've been a Unix administrator myself!): simply a reminder that the rarity of Unix viruses should not be seen as indicating an automatically secure platform. Indeed, there is no shortage of war stories concerning system administrators who didn't realize that their Web or FTP servers were sources of virus-infected programs, documents infected with a macro-virus, Trojanized applications and rootkits, and so on. One of the scariest stories concerns an email virus scanning solution implemented by a vendor who explained that they didn't have any form of server-hosted scanning on mail servers because there are no Unix viruses.
There are, in fact, some excellent Unix-hosted anti-virus solutions, as well as some less professional, more co-operative ventures. These include:
generic solutions based on change detection or on blocking of attachments including proscribed filetypes; and,
detection of specific viruses by mainstream AV products, either standalone or working with a more generic 'wrapper'.
While some sites find open source initiatives useful, these tend to be far less effective in terms of known virus detection. Partly, this is because developers and researchers outside the mainstream find it harder to get samples of all viruses; but it is also partly because they don't have the years of code tweaking that more established product developers have gone through.
Regrettably, platform-evangelical wishful thinking is not recent, and certainly didn't start with the rise of Linux. Some seven years after I commenced my solitary crusade to crush the myth that Macintoshes are immune to viruses, the myth continues to thrive. In fact, I've had to address it several times in the last few weeks, so I'm going to give it a section of its own.
...There are no Mac Viruses
Just as some of the earliest worms targeted Unix, some of the earliest viruses targeted Mac users: in fact, the Apple II, one of the Mac's predecessors, was targeted by replicative programs long before the Brain/Ashar brought real life to the IBM PC arena.
There aren't many Mac-specific malicious programs (forty or fifty, depending on how you count, and not including any number of Trojans and jokes that were never in the wild and that no-one has seen in many years). Some can only work against all obsolete Mac OS versions or applications. Apple-specific network-aware malware does exist, but is rarely reported currently.
Cross-platform viruses are, however, still a problem. Microsoft Office viruses rarely carry a payload that would work on a Mac, but many are potentially infective in that context. While it's unlikely that an incautious Mac user would suffer direct damage to their system from opening an infected document, they could be responsible for further dissemination of the infection. The current versions of the operating system have much the same advantages and disadvantages as other Unix platforms, except that so far it has had less attention from malware authors than has Linux.
A favourite Mac-specific myth is that the venerable anti-virus program Disinfectant is all a Mac user needs. Disinfectant was, indeed, a very capable program, and its author can, I believe, take much of the credit for the fact that Mac-specific viruses have never been a huge problem. However, the program is no longer supported or developed, and was never claimed to be an answer to all kinds of Mac-specific malware, let alone cross-platform malware. While the last release of the program is still available, the author has made it clear that he does not regard it as a panacea, and never did.
Other developers, however, have been less stringent. In fact, the Mac has long been disadvantaged by the altruism of program developers who have generously, and with every good intention, made freely available anti-virus software at no charge. In the short term, some of these programs have more than justified their existence by providing a quick fix when the commercial anti-virus companies were still working on an update. However, Mac users have tended to place as much trust in such programs as in the larger, more expensive, but better-supported and more thoroughly tested offerings. Sadly, there is no free, universal answer to the (relatively mild) Mac virus problem. In fact, those sad souls who are obliged to run Windows/PC emulation on an Apple machine are usually doubly cursed by the need to run a Windows anti-virus program as well as a Mac-specific program.
There is, however, good news for the extreme paranoid. CP/M is, as far as I know, totally free both from viruses and users, except for a few sad and solitary Amstrad PCW users with their 3 inch disk drives and Locoscript word processing software. They are as safe as it is possible to be this side of Richards' Laws of Data Security (which state: Don't buy a computer. If you must buy a computer, don't turn it on), but the price of that safety is extreme isolation in a connected world. Indeed, so extreme is their isolation that the whole virus issue seems to have passed them by and left them happily oblivious.
However, even CP/M users are not free of the closely related problems of latent viruses and heterogeneous virus transmission. Which is jargon for: "Just because a malicious program can't activate and do damage on your system, that doesn't mean you can't pass it on to someone whose system it can harm." Some of my favourite war stories concern Mac users who asked their PC-using secretaries to open a .SCR or .VBS attachment that wouldn't open on their own machines.
...I Don't Use Microsoft Office
It seems strange to recall the impact that macro viruses had on the world around 1995/1996 and for several years after. They tested to destruction the commonly accepted assumption that while programs can be replaced, perverted or infected by various forms of malicious software, data is data, and therefore safe. Actually, this was altogether true. Data is not always only data. Many data file formats contain some form of embedded code, and many programs (arguably, all) contain some form of data. The macro languages made available by Microsoft as part of their major office applications are powerful programming environments, and their vulnerability is greater than that of most macro-bearing applications, due to the fact that macros and data can and often do reside in the same file object. The reverse also applies: the primary task of a program may be to contain and to display data (or, better still, information) - PostScript files, for instance, or informational messages displayed by a batch file.
Macro viruses today are a persistent but easily controlled problem. They don't usually spread with the speed of a Melissa. (Though readers shouldn't forget that Melissa was a macro virus!) Comparatively few new ones are seen (and tend to be detected easily by macro virus detection heuristics). In the mid-1990s, though, it was a major jolt to the AV system to have to scan a whole new set of file types. In fact, it became harder to get away with not scanning all files, since Word documents don't have to have a .DOC, .DOT etc. filename extension, so there was much gloom and despair about the inevitability of extended scan times. In fact, the arrival of the macro virus may have had a beneficial side effect, in that it concentrated the minds of anti-virus vendors on improving scanning speeds and hastening the take-up of on-access scanning.
While Office and other Microsoft products do not constitute the only target for the writers of macro viruses, most of the malware that has afflicted other systems has been proof-of-concept. For most organizations, though, the business case for the increase in security that may result from not using Office applications is of little consequence. What matters most to them is the sheer nuisance value of the reduced ability to exchange data freely and conveniently with users of some of the most universally employed application software in the world.
...I Don't Use Exchange
Guess what? Microsoft Exchange isn't particularly unsafe. Like every other major mail program, it has its own weaknesses. These are well documented, constantly reviewed, not only by Microsoft but also by the disparate group of individuals who ceaselessly probe major and minor programs for weaknesses and make them public, whether for the common weal, for the advancement of malware, or for personal glory. And, of course, patches are made available at need.
While worms don't generally target Exchange directly, they obviously can and do affect the associated client (such as Outlook). However, Outlook can be used with other server technology with the same implications for dissemination of malware.
...I Don't Use Internet Explorer
This is certainly one approach to avoiding IE-specific vulnerabilities, though other browsers including Netscape, Opera and even Lynx have been reported as vulnerable to certain types of attack from time to time, in one version or another. However, Web developers tend to optimise Web pages for the latest version of IE and, possibly, Netscape, making this a pretty inconvenient strategy for some, who may thus be compelled to stay up-to-date with patches and updates to IE, which are, however, released at need.
...I Don't Use IIS
Clearly, this is one approach to avoiding the ills that plague unpatched IIS installations. Most notoriously, Code Red and the like, though it is essential to note that some malware in this family, most notably Nimda, uses multiple vectors, not just IIS. However, the feverish speculation about so-called Warhol worms and other network nasties has cast darkness into light corners. This view is symptomatic of a common and fundamental misunderstanding about the inner workings of malicious code. Memetic malware (hoaxes and such) apart, no-one has succeeded in writing a malicious program that isn't a program, and there are only a limited number of ways in which any program can work, malicious or not:
The computer user can execute it of his or her own volition.
The code can be executed without the knowledge of the computer user. This is by no means always sinister: in any sophisticated operating environment, programs call each other all the time. When someone clicks on a Windows icon, they often have no idea of how many programs and sub-programs are initiated by that click. Interpreted code an be executed by a program that knows how to read it, not always with the knowledge of the user. Word auto-macros are an obvious example. Linux/Slapper.A is an example of a worm that can exploit a buffer overflow vulnerability in OpenSSL-enabled Apache Web servers.
When a black hat writes a malicious program, viral or otherwise, he has to find a way to get it executed on the target system.
He can persuade the victim to collude in his own downfall by conning him into thinking the program does something desirable. Code that relies upon deceiving the victim in this way is sometimes called user-launched.
He can bypass the victim by writing code that can (under the right circumstances) execute without any direct action on the part of the victim. Such malware is sometimes called self-launching, or self-propelled.
IIS did indeed fall victim to a family of malicious programs that fell partly into the second group, using defects in the software to gain control of systems. (Later members of the Code Red family are actually hybrid, using multiple vectors and a combination of social engineering and self-launching to spread.) There are still too many unpatched machines around, but the supply of exploitable vulnerabilities in IIS (or anything else) is not infinite, though it sometimes seems so. Indeed, the success of this group of worms actually seemed to inspire a cluster of exploit attempts on other platforms.
Conclusion
In the next part of this three-part article, we'll consider a second group of fallacies and half-truths that are somewhat less Microsoft-phobic and are instead concerned with email usage and habit.
David Harley lives in the UK with his partner, daughter, 3 cats and a number of guitars. He works for the UK's National Health Service, specialising in threat assessment and malware/email abuse management. He is an active member of AVIEN and several industry forums. His books include "Viruses Revealed".
--------------------------------------------------------------------------------
Copyright © 1999-2003 SecurityFocus
Message édité par Krapaud le 21-05-2003 à 11:36:00