Les trous de sécurité doivent rester secrets !

Posté par  . Modéré par Val.
Étiquettes :
0
17
oct.
2001
Humour
D'après un éditorial sur le site de Microsoft, il est temps de se lancer dans la chasse à «l'anarchie de l'information». Monsieur Culp (responsable du 'Security Response center') explique dans son petit billet qu'il n'y aurait pas de vers et de virus s'il n'y avait pas cette bande d'anarchistes irrésponsables qui trouvent les bugs et les publient.
Moi je suis d'accord avec lui, et je pense que toute personne faisant un rapport de bug devrait être sévèrement punie par la loi. Non mais franchement...

Aller plus loin

  • # Toutafe.

    Posté par  . Évalué à 10.

    Non seulement, cette personne devrait ete punie severement, mais en plus, on devrait poster dans les journaux ( a ses frais, evidemment) son adresse et son lieu de travail.
    Comme ca, chacun pourrait venir jeter des pierres dans son jardin, ou casser les fenetres de son bureau.
    Et chacun devrait se sentir oblige de passer un coup de fil au milieu de la nuit pour que ces irresponsables, qui ne font qu'ajouter du bruit dans la symphonie numerique jouee par notre bien aimee societe de logiciels.

    Je vais deposer un brevet sur la maniere de rapporter un bug, et le premier qui utilise mon brevet son mon avis, hop, il ecoute Lara Fabian pendant une semaine non stop, et je le denonce a la DST.

    • [^] # Re: Toutafe.

      Posté par  (site web personnel) . Évalué à 7.

      moa je suis plutot content de lire des trucs pareils =)

      ca ne peut qu'entacher l'image de microsoft et donc aider la concurence.

      continuez balmer & co !

    • [^] # Re: Toutafe.

      Posté par  . Évalué à -3.

      Le score actuel de ton post est de 11 actuellement. Je n'arrive pas à comprendre les votes positifs pour ce type de mail.

      çà donne un image de rebelle à l'utilisateur de Linux. Une image de "sauvageon".

      Linux n'est pas prèt d'être pris au sérieu avec ce type d'attitude.

      • [^] # Re: Your book : M$ Needs For Control

        Posté par  . Évalué à -1.

        let's contrib.

      • [^] # Re: Toutafe.

        Posté par  . Évalué à -2.

        çà donne un image de rebelle à l'utilisateur de Linux. Une image de "sauvageon".

        Linux n'est pas prèt d'être pris au sérieu avec ce type d'attitude.

        Hum, le rapport avec la choucroute ?

    • [^] # Re: Toutafe.

      Posté par  . Évalué à 1.

      anti.security.is ? c un peu la ^m chose non ?

  • # Culp est un nom prédestiné !

    Posté par  (site web personnel) . Évalué à 10.

    Que peut-on attendre d'autre de la part d'un responsable "sécurité" chez MS ? Toutes les merdes qui leur arrivent en ce moment sont dues à ce genre de publications récupérées par quelques script kiddies...
    Une telle vulnérabilité est intolèrable. Alors évidemment , au lieu de balayer devant sa porte en nettoyant ses logiciels, MS demande la carte de la répression.
    Le problème c'est que MS, mais d'autres aussi pensent de cette façon, et ils sont puissants... Je ne veux pas avoir l'air parano, mais après la puce discrète, la demande d'accès aux machines des pirates de musique/films, la restriction des libertés personnelles en France... et la guerre qui justifie tout, ça va devenir bien propret, le monde !

    --
    m'en vais re-vomir !

    • [^] # Your name is Culp? Right?

      Posté par  . Évalué à 10.

      Ben ça... On peut aller loin... Un petit raisonnement par l'absurde:

      Sous win, quand mon écran devient bleu marine, c'est qu'il y a un bug...

      Et si je dis "c'est curieux, quand je clique là et là, ca devient bleu", c'est un constat de bug...

      Donc d'après lui il faut m'enfermer d'urgence...

      Donc la bonne méthode pour utiliser un produit kro, c'est subir ses insuffisances et ne pas en parler, right?

      Donc le logiciel libre, c'est en plus avoir la liberté de parole et de critique, non? Bientot seul le libre garantiera la liberté tout court...

      Enfin bon, des bugs, s'il n'y en avait pas tant, ils seraient plus difficiles à trouver...

      • [^] # Re: Your name is Culp? Right?

        Posté par  . Évalué à -3.

        le logiciel libre, c'est en plus avoir la liberté de parole et de critique

        ben tiens, essaye de dire du mal de sendmail (parce qu'il le vaut bien), de linux, d'emacs, de vi ou de je ne sais quoi de libre et tu te fais enguirlander comme pas possible... le libre, c'est aussi la liberté de ce faire emmerder par ceux qui n'admettent pas qu'on critique leur bô logiciel qu'ils ont mis tant d'amour à développer (bien sûr, je parle de critiques fondée du style 'Emacs, ça met 20 ans à se lancer', ou 'Mandrake sux').

        • [^] # Re: Your name is Culp? Right?

          Posté par  . Évalué à 1.

          Ouais ! C'est bien connu, les tenors de Linux publient des articles officiels dans lesquels ils traitent la concurrence de Cancer, ou plaident l'illégalité !!

          Nan mais on lit n'importe quoi de nos jours..

  • # Et la marmotte ?

    Posté par  (site web personnel) . Évalué à 6.

    C'est ça...
    et on fait pareil avec les bagnoles, comme ça vu qu'on a rien dit, on a rien corrigé et tout le monde se plante et on a 5000 morts en 1 mois...
    Y en a qui devrait réfléchir un peu plus (dans la limite des moyens à leur disposition bien entendu :D )

    • [^] # Re: Et la marmotte ?

      Posté par  (site web personnel) . Évalué à 10.

      Pour argumenter dans ton sens :
      "Long before the worms were built, vendors had delivered security patches that eliminated the
      vulnerabilities. (...) when these worms tore through the user community, it was clear that few people had applied these fixes. "
      Ah, oui donc si on avertit encore moins que va-t-il se passer ?

      Pour le plaisir, je vous rajoute quelques extraits:
      "Good Intentions Gone Awry"
      En plus, ils ne savent même pas écrire :-)
      Une deuxième :
      "an administrator doesn't need to know how a vulnerability works in order to understand how to protect against it, any more than a person needs to know how to cause a headache in order to take an aspirin."
      Bref, soit bête et patch !

      • [^] # Re: Et la marmotte ?

        Posté par  . Évalué à 2.

        Effarant !!!

        Je verrais plutot l'administrateur comme le médecin.
        Alors heureusement que le médecin il sait pourquoi il va appliquer tel ou tel traitement.

      • [^] # Re: Et la marmotte ?

        Posté par  . Évalué à -2.

        aucun rapport, mais pourrais-tu demander à l'administrateur de ftp.lip6.fr pourquoi la RedHat 7.2 est là, mais le répertoire interdit d'accès, et si il a des nouvelles du coté de Redhat ?

        désolé de polluer, mais après tout c bien un problème linux...

        • [^] # Re: Et la marmotte ?

          Posté par  (site web personnel) . Évalué à -1.

          Il faut lire les message de logs des serveurs ;-)
          -- BIENVENUE SUR LE NOUVEAU SERVEUR FTP LIP6/JUSSIEU --
          Utilisez le compte `anonymous' avec votre adresse e-mail comme mot de passe
          Merci de signaler les problèmes éventuels à ftpmaint@lip6.fr.

          PS : désolé, mais je n'ai pas de moyen d'intervenir directement.

        • [^] # Re: Et la marmotte ?

          Posté par  . Évalué à -1.

          pourquoi la RedHat 7.2 est là, mais le répertoire interdit d'accès,

          parce que sur lip6 c'est un mirroir de ftp.redhat.com et que ce repertoire existe sur le ftp.redhat.com avec les memes droits ...

          peut etre que tu compte demander a redhat pourquoi ?

          • [^] # Re: Et la marmotte ?

            Posté par  . Évalué à -1.

            pfff... redhat a expressément demandé aux administrateurs de leur mirroirs d'attendre leur feu vert pour ouvrir le répertoire. donc je demande si il y a des nouvelles de ce coté là... et si on a une idée de la date à laquelle ils vont ouvrir. ça devait etre entre le 15 et le 22

      • [^] # Re: Et la marmotte ?

        Posté par  . Évalué à -1.

        "Good Intentions Gone Awry"
        En plus, ils ne savent même pas écrire :-)

        J'ai rien compris. Pourquoi dis-tu qu'ils ne savent pas écrire ?

  • # bah oui...

    Posté par  . Évalué à 7.

    Si personne ne cherche les bugs personne ne les trouve, donc y a pas de bugs, donc windows est le meilleur des os vu que y a pas de bugs.

    Oh, y sont fort chez micro$oft.

    • [^] # Re: bah oui...

      Posté par  . Évalué à 2.

      ben le probleme de windows, y'a pas besoin de chercher pour les trouver, les bugs.

      • [^] # Re: bah oui...

        Posté par  . Évalué à 1.

        Ca me fait penser à PasBillPasGates qui venait nous raconter qu'on n'avait pas idée de la batterie de test que Microsoft faisait subir à ses programmes avant de les publier ;)
        Si ca se trouve, chez MS, ils ne savent meme pas ce que c'est que c'est un écran bleu de la mort..

        • [^] # Re: bah oui...

          Posté par  . Évalué à -2.

          mdr, il avait osé écrire ça ? si il y a bien un truc que microsoft connait pas, c l'intégration !!!
          à leur décharge, je dois dire qu'ils sont pas les seuls. Netscape était très très fort en la matière aussi... une cata leurs serveurs...

    • [^] # Re: bah oui...

      Posté par  . Évalué à 5.

      Plutot que d'inventer des systemes de protection contre le vol, on a une loi qui interdit les vol, non?
      Pas con l'idee de microsoft.

      Seulement, tant que c'est pas interdit, je vais me permettre de rapporter un bug dans l'idee de microsoft: toujours avec l'analogie de la loi contre le vol, y'a rien dans la loi qui interdit de dire a quelqu'un qu'il a perdu un truc, et encore moins de lui rendre le truc si possible.

      Enfin bon, moi, je participe 100% a cette initiative de Microsoft, je ne rapporte pas de bugs sur leur OS.

      Le bonjour chez vous,
      Yves

  • # Apres lecture ...

    Posté par  (site web personnel) . Évalué à 10.

    J'aime beaucoup cette phrase :
    But regardless of whether the remediation takes the form of a patch or a workaround, an administrator doesn’t need to know how a vulnerability works in order to understand how to protect against it, any more than a person needs to know how to cause a headache in order to take an aspirin.


    En clair, il dit que si les administrateurs ne savent pas comment marche un ordinateur, un OS etc ... c'est pas grave !!! Il y a juste a cliquer 2x sur le patch, un reboot et hop voila.
    Peuple des administrateurs, endormez vous !

    Bon, mais avec un titre : It’s Time to End Information Anarchy, c'est sur qu'on peut se poser la question du bien fondé de l'article ...
    Trop d'information tue l'information, peut etre, mais ca n'a jamais fait de tort a personne de s'informer !

    • [^] # Re: Apres lecture ...

      Posté par  . Évalué à 1.

      ouaip, j'ai l'impression que MS a oublie qu'il essaie de vendre des OS "pro" a une clientele "pro" et pas de la lessive au meussieur en survet jaune au fond du magasin.

      • [^] # Re: Apres lecture ...

        Posté par  . Évalué à 2.

        Il n'ont rien oublier, ils ne l'ont jamais fait. Aucun soft de m$ tient la route devans une solution alternative. M$ n'as jamais fait des outils pouvant aller en production (as400, SAP, MAPICS, Apache, PAO, CAO, SQL, ...). Ils n'ont fait que des jouets. La seule raison de leur succès est la rétention d'informations grâce à l'OS. Maintenant cette rétention n'existe plus et c'est vraiment finis pour eux.

  • # Mort de rire

    Posté par  . Évalué à 10.

    Sérieux, j'ai lu l'article, et je suis mais trop mort de rire.. c'est la meilleure de l'année !!! et le pire c'est que certains (ir)responsables de la "communauté de la sécurité" approuvent !!!

    Bon, bref, perso, je trouve que c'est même pas la peine d'argumenter là dessus, c'est tellement stupide...

    Par contre, ça semble signifier une chose: Microsoft est aux abois. Peut etre que le changement de position de plusieurs organes de presse et de consulting "importants" (WallStreet Journal, Gartner, etc.) leur a fait énormément de mal en fait...

    • [^] # Re: Mort de rire

      Posté par  . Évalué à 0.

      C'est clair que c'est assez affolant !
      Avant d'essayer de faire des "Security response", ils feraient mieux de se poser des "security questions" :p

    • [^] # Re: Mort de rire

      Posté par  . Évalué à 0.

      Ce qui me fait marrer c'est à quel point ils montrent qu'ils sont de purs incompétents. Non contents de faire les plus mauvais produits du marché, dès qu'il y a des critiques, ils essaient de reporter la faute ailleurs, mais c'est tellement gros qu'ils sont vraiment ridicules.

      • [^] # Re: Mort de rire

        Posté par  . Évalué à 2.

        Oh il y a probablement des gens très compétents chez M$ quand même, et cela même si j'en pense la même chose que tout le monde.

        Si l'équipe Gnome avait sorti le Pack Office, tout le monde aurait montré à quel point le logiciel est génial ...

        Le problème, et c'est pareil dans toutes les grandes entreprises, à mon goût, c'est qu'il y a un max de bureaucrates, de superviseurs, et de responsables qui doivent justifier leur salaires et qui donnent leur avis à tout bout de champ.

        D'ailleurs, depuis « Linux Myths », j'ai l'impression que (pratiquement) n'importe qui chez Microsoft peut pondre un mémo et le publier en ligne.

        A priori, j'ai rien contre çà, jamais j'aurais pu faire la même chose dans la SSII où je travaillais, mais bon: Lui visiblement ne s'en prive pas et pourtant:

        Qui, déjà, parle de « mettre fin à l'anarchie de l'information », hmm ?


        L'ennui, c'est que tout le monde ne suit pas DLFP, et pour la plupart des directeurs informatiques, un texte issu d'une telle source représente forcément la parole divine (j'entend par là que tout esprit critique est desactivé si c'est un mémo officiel venant de chez Kro).

  • # pas le jour de la distribution de cerveau ?

    Posté par  . Évalué à 10.

    Très bien si on suit son raisonnement
    je trouve un "exploit", je suis donc pas trop
    mauvais en info, je ne le divulgues pas, et du coup
    comme "personne" ne connait cette faille je peux
    utiliser pénard mon exploit, sans aucun risque qu'il
    soi corrigé.

    Pas bete, falait bosser chez m$ pour y penser :)

    • [^] # Re: pas le jour de la distribution de cerveau ?

      Posté par  . Évalué à 10.

      Non, ce n'est pas le raisonnement chez M$ !

      Ca c'est un raisonnement normal : on trouve une exploit, on le met dans un bug report, et c'est corrigé.

      Avec M$, on trouve un exploit, on cherche ou on peut envoyer un bug report (y'en a pas), on essaye eventuellement de téléphoner (impossible). Si une de ces tentatives réussit, le bug report est mit au fond d'une pile des choses les moins importantes à faire. Comment expliquer sinon que Windows soit toujours aussi buggé avec le nombre d'utilisateurs qu'ils ont !!!

      Aller, -1

  • # chanson

    Posté par  . Évalué à 10.

    <raclement de gorge>
    hum hum...
    </raclement de gorge>

    Sur l'air du : déserteur

    1...2...3...4

    Monsieur le responsable
    du Security Response center
    Je vous envoie cette letter
    de mon PC portable

    Je viens d'lire l'édito
    sur microsoft.com
    et vraiment ça déconne
    on est pas des idiots

    car la sécurité
    c'est pas de la magie
    pas des beni oui-oui
    on l'a pas dans l'obscurité

    faudrait peut-être voir
    a penser avec vot' cerveau
    et nous lacher les burnes, oh !
    votre cas est sans espoir.


    ps : pas trop inspiré ce coup-ci, moi... je ferai mieux plus tard...

    A+++

  • # Toujours le même problème

    Posté par  . Évalué à 7.

    En fait le problème que soulève ce monsieur est la question suivante:

    - Doit-on indiquer toute faille de sécurité dès qu'on l'aperçoit au risque que des petits malins en profitent le temps que le développeur fournisse un patch?

    - ou bien ne rien dire et attendre que le patch existe avant d'annoncer la faille, ce qui au passage permet aux utilisateurs de ne pas perdre de l'argent?

    <PARALLELE type="douteux">
    Microsoft préfèrerait donc attendre qu'un vaccin contre le virus du SIDA existe avant de dire qu'il est contaminé...
    </PARALLELE>

    All of these worms made use of security flaws in the systems they attacked, and if there hadn’t been security vulnerabilities in Windows®, Linux, and Solaris®

    Ah bon??? On est désolé effectivement mais ce n'est pas forcément le but de LINUX (sans le ®) que de protéger les machines windows ou IIS, faut pas pousser le bouchon trop loin... A chacun de balayer devant sa porte déjà ça fera le plus grand bien à certains... La communauté Linux fait son possible, mais elle peut difficilement protéger quelquechose qui pourrit de l'intérieur...

    Je propose donc à ce cher monsieur 2 alternatives:
    - sécuriser IIS (et puis Windows aussi tant qu'il y est), bon d'accord y'a du boulot, mais ça sert à rien de sortir une version n+1 si la version sur laquelle on s'appuie n'est pas sécurisée...

    - passer à un tout autre environnement...euh...Linux par exemple qui a fait ses preuves, ne fait pas perdre des millions et qui je crois (pour les fichiers de log) serait bien content qu'il y ait un peu moins d'IIS dans le monde...

    • [^] # Re: Toujours le même problème

      Posté par  . Évalué à 10.

      En fait je pense que tu es a coté du problème soulevé par cet incapable.

      En général, les trous de sécurité sont publiés (bugtrack ...) APRES que l'editeur du logiciel concerné ai été prévenu et APRES qu'il ait répondu/pondu un patch.
      Il est courant de lire des annonces de bug stipulant que la firme bidule a été prévenue 3 mois plus tôt.

      Mais les vers internet ciblant IIS se sont répandu malgré l'existance des patchs. De ce coté la, MS n'y peut pas grand chose (ok ils auraient pu faire un soft sans bug dès le départ, mais personne n'est à l'abris d'un bug ...). MS avait daigné répondre lors de la décourverte du bug, l'annonce sur bugtrack à été faite APRES que le patch existe ...
      De ce coté la rien à redire donc.

      Si on veut améliorer la situation il y a plusieurs voies possibles:
      1/ upgrade système automatique à travers internet. oui mais faut faire confiance à MS (qualité des patchs) et ne pas avoir a rebooter la machine n'importe quand ...
      2/ faire confiance aux admins NT, on a vu ou cela nous mène, on recoit TOUJOURS des scan sur le port 80 de nimda!!
      3/ la nouvelle solution MS: ne plus prévenir des trous de sécurité, on diminue le nombre d'attaques (script kiddies), par contre les attaques qui restent sont quasiement impossible à contrer puisque seuls les black-hat ont les connaissances pour hacker les machines.
      4/ y ont il pensé ? vendre un service de maintenance avec l'OS qui permette d'assister (et d'insister) pour patcher les machines.

      • [^] # Re: Toujours le même problème

        Posté par  . Évalué à -1.

        Il faudrait effectivement supprimer ces rapports de bugs. Trop dangereux.
        Mais il serait aussi tres utile de mettre en place une base de données centralisée avec les coordonnées des administrateurs systèmes et les versions des patchs appliquées sur leurs bécanes.
        On pourrait ainsi envoyer les services packs directement par mail aux bonnes personnes.
        Ca permettra aussi de virer les incompétents notoires qui n'appliquent pas ce qu'il faut où il faut quand il faut.

        C'est une question de philosophie : va t'on préfèrer prévenir (une bonne fois pour toutes) ou est ce qu'on se résoud à guérir (ad vitam eternam) ?

    • [^] # Re: Toujours le même problème

      Posté par  . Évalué à 5.

      En fait le problème que soulève ce monsieur est la question suivante:
      - Doit-on indiquer toute faille de sécurité dès qu'on l'aperçoit au risque que des petits malins en profitent le temps que le développeur fournisse un patch?
      - ou bien ne rien dire et attendre que le patch existe avant d'annoncer la faille, ce qui au passage permet aux utilisateurs de ne pas perdre de l'argent?

      En fait, le vrai problème n'est pas de savoir si on doit indiquer les failles de sécurité, mais plutôt de savoir s'il faut fournir la procédure complète pour exploiter la faille.
      Ce que ce monsieur de chez microsoft soulève, c'est que les exploits de vulnérabilité par les "méchants" ne sont souvent que de la pure repompe du code divulgué.
      Les script kiddies n'ont qu'à faire un copier-coller et le tour est joué...

      • [^] # Re: Toujours le même problème

        Posté par  (site web personnel) . Évalué à 1.

        Oui, mais les vers qui ont ravagés récemment les serveurs sous IIS n'étaient pas du tout à la portée de script kiddies justement...
        Par ailleurs, ne pas révéler la manière de procéder n'encouragerait pas les dév à corriger le prob. Pire, une description même succinte du bug permettrai de toute manière à une personne mal intentionnée de nuire. Si on dit qu'il y a un buffer overflow dans outlook (comment ça, y'en avait déjà un ? :), n'importe quel bidouilleur acharné parviendra à le trouver pour l'exploiter avec un peu de patience.

  • # Dictatures

    Posté par  . Évalué à 5.

    Vous avez remarqué comme les dictatures et autres régimes totalitaires pouvaient avoir envie de contrôler l'information, la culture et la connaissance ?

    C'est vrai avec l'inquisition, les régimes taliban et les propagandes en général. J'estime que ce que nous apportent les logiciels libres est fondamental : la connaissance de ce qu'on utilise. La culture et le niveau de connaissance des gens est un facteur d'évolution positif de notre civilisation. Vive l'internet et vive les logiciels libres. M... à la fin, quoi, c'est vrai ;-)

    • [^] # Re: Dictatures

      Posté par  . Évalué à 0.

      Pas la peine d'aller jusqu'aux talibans. Avec ses dernières déclarations, va déja expliquer ça à Jospin :(

    • [^] # Re: Dictatures

      Posté par  . Évalué à -1.

      En parlant de taliban, en voilà un terrible... je pense que beaucoup d'entre vous l'ont reçu, mais c trop trop fort (et totalement hors sujet)

      http://www.touristguy.com(...)

  • # mon trou à moi

    Posté par  (site web personnel) . Évalué à 8.

    Moi aussi j'ai eu l'occasion d'implémenter une belle faille de sécurité dans un logiciel animalier... Je comprends un peu ce qui les turlupine: avant d'expliquer à tout le monde pourquoi le bug et comment l'exploiter, j'ai attendu que tout le monde ait upgradé vers une version non buggée, et pendant ce temps j'ai stressé un maximum, et je me suis mordu les couilles (c'est une image, je ne suis malheureusement pas assez souple ;-)

    Et je pense qu'en l'occurence c'était le meilleur choix.

    • [^] # Re: mon trou à moi

      Posté par  (site web personnel) . Évalué à 0.

      Hum, peut etre, mais bon, la difference, c'est quand meme que ta faille était limitée (qui est loggé en tant que root, hein ??).

      En plus, tu as annoncé clairement que il y avait un bug. Je ne sais pas si d'autre auraient eu cette franchise et n'auraient pas simplement endormi l'affaire ...

      Voila

      • [^] # Re: mon trou à moi

        Posté par  (site web personnel) . Évalué à 0.

        limitée c'est vite dit! un rm -rf $HOME ça fait quand même mal !

        • [^] # Re: mon trou à moi

          Posté par  . Évalué à -1.

          ca fait mal à ton trou à toi ? ;-)

          Je sais, -1 (on se croirait sur la tribune)

        • [^] # Re: mon trou à moi

          Posté par  . Évalué à 9.

          Absolument! Il faut comprendre que les données sont des choses irremplaçables et sont votre réelle richesse.

          Si un virus vous efface votre /usr/bin, il n'y a qu'à réinstaller. Une demi-journée de perdue.

          S'il vous efface votre /home avec votre rapport de stage dedans, il n'y a qu'à tout retaper s'il n'y a pas de backup fiable. Une bonne semaine de bouôt en perspective, et encore rien ne dit que le résultat final vaudra ce que vous avez perdu.

          C'est comme quand on se fait cambrioler: Si les voleurs prennent votre télé, vous pouvez en racheter une, s'ils emmènent des choses qui ont une valeur sentimentale (photos, lettres, ...), RIEN ne permettra de les remplacer vraiment.

    • [^] # Re: mon trou à moi

      Posté par  . Évalué à 7.

      C'est sans doute parce que TU as découvert la faille.
      Imagine si un autre l'avait découvert (et exploitée) sans te prévenir ….
      La difficulté est de prévenir les personnes susceptibles de corriger ,sans prévenir les script kiddies.

    • [^] # Re: mon trou à moi

      Posté par  (site web personnel) . Évalué à 3.

      D'ailleur, contrairement à ce que dit Monsieur Culp, c'est bel et bien ce qui passe [presque] tout le temps avec le logiciel libre.

      L'annonce de la faille vient avec le patch.

  • # Linux ?

    Posté par  . Évalué à 1.

    "if there hadn't been security vulnerabilities in Windows®, Linux, and Solaris®, none of them could have been written"

    J'ignorais que Nimda et consorts avaient touché Linux et Solaris...

    encore une bonne blague probablement.

    • [^] # Re: Linux ?

      Posté par  (site web personnel) . Évalué à 1.

      Je ne me rappelle pas du dernier trou de sécurité de Linux qui ait été utilisé (à grande échelle).
      Quelqu'un pourrait peut-être me rafraichir la mémoire.

    • [^] # Re: Linux ?

      Posté par  . Évalué à 1.

      Il fait allusion à Lion (voir paragraphe précédent).

      Cela dit, jamais cela n'a eu l'ampleur de nimda ou code multicolore (parce qu'il y a(vait) moins de linux ? possible.)

    • [^] # Re: Linux ?

      Posté par  . Évalué à 2.

      Je n'ai pas envie de défendre un article de cette qualité, mais en l'occurence, relis le, il commence par:
      "Code Red. Lion. Sadmind. Ramen. Nimda. In the past year, computer worms with these names have attacked computer networks around the world, causing billions of dollars of damage."

      lion : http://www.sans.org/y2k/lion.htm(...)
      ramen : http://www.cert.org/incident_notes/IN-2001-01.html(...)

      Ces deux vers ont touché les unix, dont linux. Sadmind est un ver solaris.

  • # Arretez de troller sur microsoft !

    Posté par  (site web personnel) . Évalué à -2.

    C'est indigne de la horde des trolleurs.
    Cet article est trop facilement trollable ! :-)

    A votre avis, l'auteur de cet article est stupide ou crétin ?

    - Les deux !

    - Attendez, je demande confirmation au grand miam ! Bonne réponse ! le point va à l'équipe mayo

    Axel - 584

  • # l'edito frau soft en français

    Posté par  . Évalué à 5.

    On trouve le même esprit sur le site fr de microsoft

    http://www.microsoft.com/france/technet/edito/archives_edito.asp(...)

    bonne lecture ;-)

  • # Point Bugnon

    Posté par  . Évalué à 1.

    Je pense qu'on peut décerner à Culp un point Pierre Bugnon. D'ailleurs étant dans la meme boite, c'est pas étonnant. Mais l'un est-il l'élève de l'autre, et si oui lequel ? Ou est-ce qu'ils se sont tous fait microsoftborguer en entrant chez m$ ?

    +-------------------+
    | ................. |
    | .... 1 POINT .... |
    | "BUGNON le PUANT" |
    | ................. |
    +-------------------+

    • [^] # Re: Point Bugnon

      Posté par  . Évalué à 1.

      ouaip
      il est grave et de mauvaise foi, ou il défend son bifteck alors

    • [^] # Re: Point Bugnon

      Posté par  . Évalué à 2.

      Tout faux, c'est Olivier Ezratty, le spécialiste des virus, qui enseigne.
      D'ailleurs

      +-------------------+
      |..... 1 POINT .....|
      |......EZRATTY .....|
      |..Double la valeur.|
      |.du point BUGNON si|
      |.vos enfants sont..|
      |....a la crèche....|
      +-------------------+

      Bugnon, c'est le spécialiste du FUD, c'est le prof de PBPG

  • # Ouarf!

    Posté par  . Évalué à 0.

    J'imagine des maisons vendues sans porte d'entrée ni fenetres ...
    L'informatique et internet existait AVANT microsoft, faudrait qu'ils arretent de prendre les informaticiens autre qu'eux pour des c.ns. (quoique, jusqu'à maintenat , ça a l'air d'etre une bonne méthode commerciale ;-))

    • [^] # Re: Ouarf!

      Posté par  . Évalué à -2.

      faudrait qu'ils arretent de prendre les informaticiens autre qu'eux pour des c.ns. (quoique, jusqu'à maintenat , ça a l'air d'etre une bonne méthode commerciale ;-))
      ben oui, mais c t les commerciaux qu'ils prenaient pour des c.ns... et tu t'étonnes que ça marche ? ;-))

  • # Le mec a raison

    Posté par  . Évalué à 2.

    Il y aurait plus de vers qui attaquent Apache si on pouvait en trouver les sources!

    Hein, dites-moi ?

    Non ?

    • [^] # Re: Le mec a raison

      Posté par  . Évalué à -1.

      Qu'est-ce qu tu racontes ?

      Apache est open-source ! En plus, il y a bien plus de vers dans IIS, qui n'est pas (mais alors pas du tout...) open-source.

      Donc j'ai du mal à suivre ton raisonnement...

      • [^] # Re: Le mec a raison

        Posté par  . Évalué à 1.

        euh, section humour, coox fait de l'humour (j'espère). Non ?

  • # boarf

    Posté par  . Évalué à 2.

    Un petit TP d'audit :

    bash-2.02$ uname -a
    SunOS paludenn-gw 5.7 Generic_106541-04 sun4m sparc SUNW,SPARCstation-5

    bash-2.02$ ls /var/sadm/patch/
    106541-04 106857-04 106978-06

    à comparer avec :
    http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=patch&doc=7(...)

    mais ça doit être que notre admin est trop balaise et qu'il a pas mis les patch dans l'endroit standart.

    une petite idée de la taille du réseau :
    bash-2.02$ ypcat passwd.byname|sort|uniq|wc -l
    519
    +les utilisateurs de win qui sont tous sous le même compte

    bash-2.02$ ypcat hosts.byname|sort|uniq|wc -l
    303
    + ~100 pour les machines sous win

    juste pour le département info
    ça doit être un ancien de chez MS notre admin !

    • [^] # Re: boarf

      Posté par  . Évalué à 1.

      Je te conseille aussi le Vulnerability Calculator chez bugtraq: http://securityfocus.com/cgi-bin/unix_vulncal.pl(...)
      C'est assez monstrueux le nombre de bugs que j'ai pu trouver sur nos bonnes vieilles stations Sun pas patchees ....

      et puis un autre petit exploit bien sympa, que j'ai pas retrouve sur bugtraq, mais qui marche nickel ici:

      #include <pwd.h>
      main()
      {
      struct passwd *p;
      while(p=getpwent())
      printf("%s:%s:%d:%d:%s:%s:%s\n", p->pw_name, p->pw_passwd,
      p->pw_uid, p->pw_gid, p->pw_gecos, p->pw_dir, p->pw_shell);
      }

      Je te laisse deviner le but de ce petit bout de code ... rha franchement quelle bande de bollets ces admins (non je ne dirais pas de quelle ecole je viens ... ha si, je precise juste: c'est une ecole d'ingenieur publique ...)

      • [^] # Re: boarf

        Posté par  . Évalué à 1.

        Il faut m'expliqué car je vois pas de problème dans ce code.
        Normalement, /etc/passwd est accessible est lecture pour tous.

        Je pense que ce code doit marcher sur toutes machines GNU/Linux correctement configurées.

        • [^] # Re: boarf

          Posté par  . Évalué à -2.

          Oui.

          Effectivement, heureusement qu'il ne donne pas le nom de son école, on risquerais de se moquer d'eux.

        • [^] # Re: boarf

          Posté par  . Évalué à 2.

          Oui mais le md5sum des pass est normalement dans /etc/shadow si ton systeme est bien configure. Alors qu'ici ... bah tu peux le recuperer, le passer a john, et hop, tour de magie, t'obtient les pass de n'importe qui (ok, sauf du root...)

          • [^] # Re: boarf

            Posté par  . Évalué à -1.

            Ah oui, si je dis que mon ecole est a Rennes, je pense qu'il n'y a plus de suspens. Quelqu'un a trouve ? (pour vous aider, on dit aussi que tous les ingenieurs en info qui sortent d'ici sont des merdes; et c'est vrai!)

      • [^] # Re: boarf

        Posté par  . Évalué à 1.

        heuu... t'es un gros naze ou c'est moi ?

        la commande ypcat passwd.byname donne exactement ce qu tu viens de dire (on est sur NIS).

        Les shadows c'est pas fait pour les chiens. Le pb c'est qu'en NIS tu peux pas faire de shadow.

  • # Il a tort mais tout de même.

    Posté par  . Évalué à 2.

    Il ne faut pas nier: la bonne démarche a avoir quand on trouve un bug ou une vuln (l'un comprend l'autre je sais :)), la premiere démarche, c'est de contacter le maintainer et non de divulger sans rien dire comme cartains... (faut pas croire c'est pas rare).

  • # pas la peine d'en parler...

    Posté par  . Évalué à 0.

    - legalement impossible ( 1er amendement US)
    - techniquement impossible
    - efficacité pour avoir des softs securisés: nulle.

    affaire suivante.

    ( les news dans la rubrique humour et de surcroit qui parlent de microsoft ne devraient meme pas passer en homepage IMHO )

  • # mieux encore...

    Posté par  . Évalué à 0.

    Je crois que l'on ne va pas encore assez loin.. le mieux serait de punir ceux qui sont à l'origine des bugs et pire, les obligés a rembourser 10 fois le prix de l' OS par bug rencontré.. M$ n'a pas fini de payer.. :-))

  • # C'est clair

    Posté par  . Évalué à 0.

    Au fond ce que ce Monsieur veut correspond à la politique microsoft :
    L'informatique aux informaticiens et les informaticiens à Microsoft. Les autres doivent UNIQUEMENT acheter (et utiliser si possible)

  • # hihi

    Posté par  . Évalué à 0.

    > bande d'anarchistes irrésponsables
    capitaliste irrésponsable ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.