Le 2 octobre 2008 Aucun Commentaire2 October 2008 No Comment

les gens à symantec ont posté quelque chose d'intéressant aujourd'hui - c'est Tout de la Réputation …the folks at symantec posted something interesting today - It’s All About Reputation…

bien, ils ne sont pas les premiers à entrer dans le nuage (évidemment, voir le panda, la tendance, mcafee, et cetera) … est-ce qu'ils ne sont non plus les premiers à aller avec un système de réputation (conduisez la sentinelle, pour les démarreurs) … sont-ils les premiers à mettre un système de réputation dans le nuage ? je ne sais pas, peut-être, mais à ce point il n'a pas l'air encore d'une si grande affaire …well, they’re not the first ones to go into the cloud (obviously, see panda, trend, mcafee, etc)… nor are they the first to go with a reputation system (drive sentry, for starters)… are they the first to put a reputation system in the cloud? i don’t know, maybe, but at this point it still doesn’t seem like such a big deal…

ce qui me reçoit, cependant est l'idée qu'il n'utilise plus d'empreintes digitales … un système de réputation qui dit X est bon, Y est mauvais et Z est inconnu est fondamentalement juste une combinaison d'une liste noire et d'un whitelist - et ce n'est pas une mauvaise idée, j'ai dit qu'ils se complètent bien pour la longue période de temps maintenant donc mettant en fait les deux paradigmes dans un produit simple a beaucoup de sens … la liste noire est ce qui dit qu'Y est mauvais, le whitelist est ce qui dit X est bon et comme Z n'est sur aucune liste cela reçoit … inconnu appelé la chose est des signatures d'utilisation de listes noires (les empreintes digitales) et de leur propre façon whitelists font à - ils ont à pour s'assurer la chose que vous regardez est vraiment la même chose que vous avez vue auparavant et avez résoute d'être bon/mauvais … il ne peut pas travailler sans un signature/fingerprint/whatever … ce nouveau système de réputation peut utiliser une différente forme de signatures, mais il les utilise sans aucun doute …what gets me, though, is the idea that it’s no longer using fingerprints… a reputation system that says X is good, Y is bad, and Z is unknown is basically just a combination of a blacklist and a whitelist - and it’s not a bad idea, i’ve been saying they complement each other well for quite a while now so actually putting both paradigms into a single product makes a lot of sense… the blacklist is what says Y is bad, the whitelist is what says X is good, and since Z isn’t on either list it gets called unknown… the thing is blacklists use signatures (fingerprints) and in their own way whitelists do to - they have to in order to make sure the thing you’re looking at really is the same thing you saw before and determined to be good/bad… it can’t work without a signature/fingerprint/whatever… this new reputation system may use a different form of signatures, but it definitely uses them…

et quant à comment cela vous protège de la marque les nouvelles menaces comme le poste suggère, je peux imaginer seulement qu'il travaille comme cela : les choses sur la liste noire sont arrêtées d'exécuter automatiquement, on permet que les choses sur le whitelist exécutent de façon transparente et les choses qui ne sont sur aucune liste feront l'utilisateur être donné un "êtes-vous sûrs ?” provoquez … finalement, de quelqu'un mise perfect.bat de solly's de Dr (qui a demandé à l'utilisateur si le dossier étant lu rapidement était un virus ou pas) à la bonne utilisation … and as for how this protects you from brand new threats as the post suggests, i can only imagine it works like this: things on the blacklist are stopped from executing automatically, things on the whitelist are allowed to execute transparently, and things that aren’t on either list will cause the user to be given an “are you sure?” prompt… finally, someone’s putting dr. solly’s perfect.bat (which asked the user if the file being scanned was a virus or not) to good use…

autre voie il pourrait travailler qui est-il l'unknowns sont automatiquement dirigés dans un tas de sable d'une sorte … pas un tas de sable signifié pour la classification malware, vous surveiller (un certain nombre de produits le font déjà), mais un tas de sable avait l'intention de séparer la manipulation d'articles non fiables du système d'hôte fiable … je veux dire, comme ils ajoutent déjà 2 des 3 paradigmes préventifs dans un produit simple (avec un peu de chance sans couture), il ne serait pas bien s'ils ont ajouté le 3ème aussi ? je ne tiendrai pas mon haleine pour eux l'exécutant en fait, bien que … the other way it might work is that the unknowns get automatically run in a sandbox of some sort… not a sandbox meant for malware classification, mind you (a number of products already do that), but a sandbox intended to separate the handling of untrusted items from the trusted host system… i mean, since they’re already adding 2 of the 3 preventative paradigms into a single product (hopefully seamlessly), wouldn’t it be cool if they added the 3rd as well? i won’t hold my breath for them actually implementing this, though…