L'open source sécurité en question

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
6
juil.
2001
Sécurité
Il semblerait que les publications des communautés de sécurité informatique ne fassent pas l'unanimité :
Anti Security s'oppose à la publication des failles systeme et plus particulierement à la diffusion d'exploits comme la fameuse liste Bugtraq en pronant l'anti-disclosure.

Morceaux choisis :
[Ces listes de diffusion] ont fait plus de mal a l'underground et au Net qu'ils n'ont fait pour les aider. Car ils mettent a la porte de gamins des outils devastateurs.
...
Comme des munitions, allant de la cryptographie, des armes a feu, aux missiles, les exploits ne doivent pas etre diffuses publiquements
...
A chaque publication d'exploit sur bugtraq, un holocauste digital peut etre cree, et beaucoup de gamins utilisent ces informations pour attaquer des systemes non prepares.

On croit réver...
Le principal intérêt de ces listes réside JUSTEMENT dans la découverte de ces failles et du danger qu'elles représentent pour mieux en parrer toute éventuelle attaque.

Comment pourrait-on améliorer un systeme sans connaitre, diffuser et corriger les bugs qui l'affaiblissent et leur(s) exploitation(s) possible(s) ?

L'existance d'attaques sur un "systeme non préparé" (comme ils disent) démontre, à mon avis, plus le manque de suivi du développement et/ou un grave probleme dans l'administration du systeme, plutot qu'un risque d'holocaust digital (pff)....

Aller plus loin

  • # hum

    Posté par  . Évalué à 0.

    il faudrait rappeler cette histoire (vrai )
    des 40000 personnes morte en ex-yougoslavie
    car le fichier de leur temoignages avait été photocopier a la frontiere!
    et le gars de rappeler que si il avait crypté le tout,ca ne serait pas arriver!
    • [^] # Re: hum

      Posté par  . Évalué à 0.

      c'est quoi le rapport ?
      • [^] # Re: hum

        Posté par  . Évalué à 0.

        que si t'interdis la crypto ....
        • [^] # Re: hum

          Posté par  . Évalué à 0.

          Comme des munitions, allant de la cryptographie, des armes a feu, aux missiles, les exploits ne doivent pas etre diffuses publiquements, mais au contraire leur diffusion doit etre controlee
          t'as lu la ?
    • [^] # Re: hum

      Posté par  . Évalué à 0.

      Désolé mais j'en ai marre des fautes d'autrografe.
      Bon ici 5 fautes:

      cette histoire (vrai ) -> cette histoire (vraie)
      personnes morte -> personnes mortesleur temoignages -> leurs temoignages
      été photocopier -> été photocopié
      pas arriver! -> pas arrivé!

      Record Battu !!! Bravo !
      C'est qd meme des fautes du niveau CP....
      • [^] # Re: hum

        Posté par  (site web personnel) . Évalué à -1.

        quand on critique les fautes, c'est mieux de ne pas en faire.
      • [^] # Re: hum

        Posté par  . Évalué à 0.

        Moi j'en ai marre des morts par negligences et
        ignorances ,j'en ai marre des gens qui suivent les règles comme des petits soldats, et qui sont contents tant qu'on y met la forme.
        au point d'oublier la réalité des atrocitées
        ces 40000 te remercieront pr l'orthographe
        pas pour avoir défendu la cryptographie!
        le minimun apres ta remarque aurait été de parler
        de l'idée.
  • # Hé hé, on les a reconnus ;-)

    Posté par  . Évalué à 0.

    "Comme des munitions, allant de la cryptographie, des armes a feu, aux missiles (...)" : tiens, qui a habituellement le réflexe de mettre dans la même catégorie la crypto et les armes à feu ? A votre avis ? ;-)))
  • # faille!

    Posté par  . Évalué à 0.

    il n'y a pas si longtemps j'vais cru trouver une faille sur mon serveur NT!
    tous le monde doit s'en rapeller, j'en avais parler ici..
    pasbillpasgates doit s'en rapeller ..
    il avait voulu que je l'a livre.
    heureusement j'avais pu m'en rendre compte avant de me ridiculiser (il avait qd meme fallu
    repartir d'un serveur "vierge" et tester soft par soft, 49 qd meme !!)

    c'est a la responsbilité de chacun de prevenir le constructeur avant qu'elle soit publique!
    si par contre ils s'en foutent -->ok
    d'ailleurs bugtraq le precise bien.
    La faille en fait venait du soft proprio de messagerie que ma boite avait commandé a une société (disparu..) et qui est utilisé seulement ds ma boite!

    Voila mon avis, mais l'opensource et pour moi le meilleur des principes car une autre boite aurait pu corriger la faille, maintenant le soft est bon a mettre a la poubelle avec le million et demie de francs de l'etude (je crois que c'etait la somme ).
    Entre guillemets microsoft a mis une semaine a repondre a la 1ere missive.
  • # script k...

    Posté par  . Évalué à 0.

    ben moi je trouve qu'il y a quand même une part de vérité. Il y a quand même une grande différence entre faire connaitre une vulnérabilité et filer les sources pour montrer comment on fait pour planter le systeme ;)

    Ok, vous êtres passionnés d'info et de web, votre pc est donc certainement hyper sécurisé (mouarf, je suis sur que y'en a plus de la moitie qui ont pas les patch de secutité à jour, moi le premier, j'avoue), mais ce n'est pas le cas de tout le monde. Il faut aussi parfois admettre que les gens qui n'y connaissent pas grand chose en info, et qui d'ailleurs n'ont pas envie d'en connaitre plus que ca, ont eux aussi le droit d'avoir l'ADSL sans payer une facture*3 parce qu'un petit con a récupéré un script et des petits outils pour leur cracker leur windows98.

    M'enfin bon, ca c'est l'argument contre. Yen a plein d'autres pour. Je me fais un peu l'avocat du diable sur ce coup. Pour la crypto, par contre, l'argument est falascieux, et pour moi indéfendable.
  • # D'accord avec le monsieur

    Posté par  . Évalué à 1.

    Faut pas diffuser ces informations sensibles!

    De toute facon, les pirates, eux, ils sauront quand meme trouver ces failles.
    Faut reserver cette information a ceux qui savent s'en servir.

    Et puis voyez les degats: on se rend compte que windows est bien plus sensible aux attaques que d'autres OS.

    Fin du troll.

    Bon, les gars, si vous recevez une lettre vous annoncant qu'on va vous piquer votre bagnole dans 8 jours, vous faites quoi?
    1/ vous laissez les clefs dessus et vous mettez un mot demandant poliment qu'on vous la vole pas?
    2/ vous la fermez a clef, ainsi que le garage et vous faites installer une alarme?

    Moi, je dis que ceux qui postent ce genre de news, c'est des flemmards qui on pas envie (ou pire, qui savent pas) de securiser leur systeme.

    Le bonjour chez vous,
    Yves
    • [^] # Re: D'accord avec le monsieur

      Posté par  . Évalué à 0.

      Moi je suis pas d'accord...

      Exemple :

      Je met en ligne un mode d'emploi pour fabriquer une arme biologique (un virus par exemple), et son antidote.

      Mon discours pourrait être "Il existe une faille dans le corps humain et dans son système de défense immunitaire... Ceci dit, c'est facile à éviter : fabriquez l'antidote et prenez-le, il s'agit d'une opération simple que tout le monde devrait faire. J'ai trouvé l'arme biologique, je vous en donne la preuve, mais je ne suis pas coupable de la publier parce que n'importe qui pourrait décrouvrir l'arme à ma place et l'utiliser. Comme je vous ai donné les moyens de vous protéger, il est de votre devoir de le faire."

      Qui ferait l'effort de se protéger ? Et combien de mabouls fabriqueraient le virus et l'utiliseraient ?

      J'aurai raison d'avoir une telle démarche ? Je ne crois pas.
      • [^] # Re: D'accord avec le monsieur

        Posté par  . Évalué à 0.

        Faut pas dec' non plus.
        Arrêtez de comparer des situations qui n'ont pas ou peu de choses en commun, au nom d'une soit-disant "cohérence intellectuelle" qui n'existe que dans la tête de personnes atrophiées par leur vie quasi-exclusive dans un monde virtuel.

        Une arme biologique et un virus informatique ne sont pas les mêmes choses, n'ont pas les mêmes portées, n'ont pas les mêmes conséquences directes et indirectes.

        La sécurité d'un _système informatique_, suivant la gravité de ce qui se trouve derrière, doit être gérée en AMONT des problèmes qui peuvent se poser (ie, en cas de vulnerabilité aux virus, il faut disposer le système de telle facon qu'il ne soit PAS ou PLUS vulnerable) et non en aval: "ah ben tiens, y a p'tet une faille, la", "nan, t'en fous, de toutes facons, on va pas en parler, et personne n'aura l'idee de fourrer son nez ici".
        • [^] # Re: D'accord avec le monsieur

          Posté par  . Évalué à 0.

          Non, non, non.

          Si tu découvre un nouveau virus, c'est de la recherche fondamentale, et j'espère bien que tu publies les résultats. En plus, si il y a un vaccin...

          La diffusion du savoir n'est jamais mauvaise. Plus on sait, et moins on est vulnérable face à ceux qui savent. Le danger ne viens pas du fait que la manière de fabriquer une arme soit disponible (parce-que bon, quand meme, avec 10000 de civilisation, si le quidam moyen n'est meme pas foutu de forger une epee ou un mousquet... Ou meme un arc et des fleche (~200000 ans))

          C'est que justement, on informe pas assez les gens dessus. Alors après on decouvre avec stupeur les dégats que peuvent causer toutes ces merveilles technologiques destructives.

          Bon, l'informatique n'a -- Dieu merci -- encore tué personne. Mais c'est un outil de communication, et la preservation de l'integrité des données est un probleme fondamental, qui a déjà, lui, causé des morts.
  • # compromis ?

    Posté par  (site web personnel) . Évalué à 1.

    Diffuser un exploit tel quel avec juste à compiler et lancer le programme ne me semble pas très sain (pb des scripts kiddies).

    Ne rien diffuser me semble pire car les failles ne seront alors jamais réparer.

    Une solution intermédiaire s'impose. Laquelle ? Par exemple, diffuser un "proof of concept". C'est par exemple le cas dans ce message de zen-parsec sur bugtraq http://www.securityfocus.com/archive/1/193657(...)

    Cette solution me semble l'idéal. Le problème, c'est que ce n'est pas toujours possible. Il existe pleins de buffer overflows, mais tous ne sont pas pour autant exploitables.

    Maintenant, coder des exploits n'est pas à la portée de tout le monde. Et les exploits servent :
    - à apprendre
    - à tester ses machines
    Peut-être qu'une sorte de bdd d'exploits accessibles à qui est capable d'en coder serait la solution ?
  • # En reflechissant un peu plus ...

    Posté par  . Évalué à 1.

    Si vous regardez le site d'ou provient cette 'annonce', vous remarquerez evidemment les signatures et d'autres textes expliquant plus en detail les motivations de telles personnes :

    http://anti.security.is/texts.php?file=antisec.html(...)
    § 'Full disclosure and Profession'
    "Of course, most of you may argue that security holes will always be present. The questions are, however, how long it will take to discover new ones, how much impact will those new bugs have on corporate security, how long will it take them to get fixed, etc. Will their be enough resource to fulfill our need for work?"

    (( Oui, c'est un extrait CHOISI ))

    Le but etant evidemment de defendre leur ''travail'' en ne faisant paraitre que certaines failles au fur et a mesure et en assurant toujours
    leurs arrieres afin surement d'assurer leurs retraites ...

    Mais dans cetet article ce qui reste vrai, concerne essentiellement les neophytes qui s'amusent a poster des failles sans en comprendre l'etendue ou/et qui ne sont pas capables de fournir un correctif mais par contre se ''vante'' de creer le kit pour exploiter cette faille ...

    Et c'est cela qui est desolant, car mettre en ligne le rapport de la faille MAIS **AVEC** un correctif, feras avancer le mouvement et les programmes, tandis que poster simplement une faille avec son kit, ne feras de bien qu'aux lamerz/script-kiddiz et autres 'cretins' du genre ( oui, y'en as que je connais qui agissent comme ca ... ) mais par-contre feras 'tomber' quelques serveurs 'non-securises' ...

    A ces gens la, je n'aurais qu'une chose a dire :
    'Bravo, vous avez trouver une faille, et ben maintenant corriger la ;P ' et a votre avis, combien en sont CAPABLES ? Peu ... alors, qu'ils arretent de se la jouer 'hacker' et qu'ils apprennent un peu plus leur ferais du bien ...

    Mais, dites moi, combien de personnes ici utilisent ssh ? et combien de personnes verifient TOUT LES JOURS bugtraq, packetstorm et hack.co ???


    A bon entendeur, salut ...

    ---
    From RoX ...
    • [^] # Re: En reflechissant un peu plus ...

      Posté par  . Évalué à 1.

      Mais, dites moi, combien de personnes ici utilisent ssh ? et combien de personnes verifient TOUT LES JOURS bugtraq, packetstorm et hack.co ???

      Navre mais tout administrateur devrait le faire. S'il ne fait pas, et que son systeme est cracke par une faille revelee et corrigee, je ne vois pas me franchement l'interet de garder un abruti pareil: faute professionnelle donc dehors...

      Pour le particulier, c'est different. Il est evident que le pekin lambda n'a ni le temps ni les competence pour le faire. A ce moment-la, il existe une alternative viable qui consiste a faire confiance aux gens qui font votre systeme. Debian GNU-Linux propose (mais je suppose que tout le monde le fait...) des patches de securite pour boucher les trous. Il suffit donc d'avoir un systeme qui telecharge cela automatiquement en les installant: c'est transparent pour l'utilisateur et relativement sur. Et c'est completement trivial a mettre en place sur une Debian.

      PK
  • # euh ...

    Posté par  . Évalué à -1.

    j'avis déjà vu ce site ... je l'avis plutot pris pour de l'humour ...
  • # Second degre ?

    Posté par  . Évalué à 0.

    De mon cote, j'ai quand meme l'impression qu'il y a beaucoup de second degre et d'ironie dans ce site web. Ce qui m'a le plus convaincu de cela est la gallerie de photos (particulierement la dixieme, http://anti.security.is/gallery.php?id=10(...) ) ou la premiere question de leur FAQ :

    Q: Why security is bad thing?

    A: In short - hell is totally secure. Do we want live in hell?.. If people follow security at first everywhere - probably we will still live in den.


    Franchement, avec des sorties pareilles, ils laissent plutot croire qu'ils sont pour le "full disclosure" des bugs, mais que surtout personne ne doit les corriger. :-)

    A+

    Zeiram

    (Scrognegneu, j'ai perdu mon mot de passe, et l'adresse que j'avais utilisee pour m'inscrire est morte. Donc j'arrive plus a m'authentifier.)
    • [^] # Re: Second degre ?

      Posté par  . Évalué à 0.

      J'attends qu'il apporte la preuve que "the hell is perfectly secure"......
  • # AntiSecurity

    Posté par  . Évalué à 3.

    Bonsoir/Bonjour

    Comme cela est expliqué sur la page d'acceuil de Kitetoa.com où vous avez dû découvrir Anti.security.is, le fait de s'opposer au concept de Full disclosure lorsque l'on est ADM ou Security.is invite les lecteurs à la réflexion.

    C'est à mon sens un bon débat.

    Voyez-vous, il me semble que les histoires informatiques sont souvent des histoires de religion. Critiquez Linux et vous aurez mille barbus prêts à vous crucifier. Critiquez Mac... Pareil. Il y a même des fanas de Microsoft, c'est dire...
    ;)

    Cela ne démontre qu'un manque de recul et une rigidité intellectuelle étonnants.

    Pour des concepts comme le full disclosure, on arrive à une situation proche de celle d'une religion ou d'un machin politique: a force de le pousser trop loin, d'y croire aveuglément, de ne plus prendre aucun recul, on arrive à une situation opposée à celle qui est souhaitée.

    Il est peut-être temps de se demander si c'est très utile de balancer eeyehack.exe dans la nature juste pour prouver que oui, on peut rooter un pauvre site sous IIS... Qui en doute d'ailleurs ?

    Que l'on soit d'accord avec tout ce qui est sur Anti.security.is ou pas, ce site et son contenu nous invitent au moins à la réflexion et à la discussion. Enfin... C'est mon avis...

    Amicalement,
    K.

    autre site:
    ftp://admcrew.org(...)

    d'autres questions: kitetoa@kitetoa.com
    • [^] # Re: AntiSecurity

      Posté par  . Évalué à 1.

      Il est peut-être temps de se demander si c'est très utile de balancer eeyehack.exe dans la nature juste pour prouver que oui, on peut rooter un pauvre site sous IIS.
      Ah mais si! Ca le prouve justement. Ca évite à l'industrie de dire que c'est faux ou irréalisable (voir ton site ;-)
      Aussi forcer à réagir peut-etre? BackOrifice ou NetBus ont servis à ça puisque que MS ne faisait rien. Il y a d'ailleurs eu pas mal de posts sur ce débat chez Lopht il me semble.
      Ca met parfois l'entreprise dans son caca, c'est extreme, mais que faire d'autre quand on voit encore des serveurs IIS 2.0 avec FP et ASP non patchés... ou quand toi meme tu releves les No des clients de Banque Directe.

      C'est vrai que les scripts-kiddie font peurs , parce qu'ils jouent et qu'ils "n'imaginent pas les conséquénces de ce qu'ils font" comme on dit - ben voyons -, mais justement ils jouent peu font autre chose que pénétrer le système ou provoquer une panne réparable (le frisson d'aventure suffit).

      "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

  • # world domination et HYPOCRISIE

    Posté par  . Évalué à 0.

    Faisant partie du monde de la sécurité je tiens à préciser à certaines choses.

    Tout d'abord j'aimerai ici me distancer du débat posé sur le full disclosure. C'est un débat qui mérite d'être discuté et qui est certainement moins trivial qu'il n'y parait. Malheureusement le
    problème n'est pas là. Les gens qui ont écrit ce manifeste ne méritent certainment pas qu'on rentre dans leur machination. Les gens qui ont écrit ce texte cachent de RELLES mauvaises intentions. Les iniateurs sont les groupes security.is et ADM (qui signifie Association de Malfaiteurs!!!). Ce sont deux groupes bel et bien issus de la communauté BLACKHAT. Les mêmes gens qui ont fait tomber 2 fois le réseau IRC undernet et font une myriade d'actions secrètes illégales: c'est une petite mafia très structurée. Il faut savoir que c'est un cercle très fermé et que les conditions d'entrée sont d'être doué et surtout de produire, produire des exploits à la pelle.

    Il y a d'ailleurs ensuite un vrai trading malsain de ces exploits du aux fuites.

    Ce que ce mouvement espère surtout c'est freiner l'évolution de la sécurité, qui devient de plus en puissante pour des "sites" sensibles, afin d'avoir toujours une longeur d'avance et les "clés du château".

    C'est un mouvement dangereux car s'il était bien intentionné les gens qui font partie de ces groupes diffuseraient quand meme des advisory: or depuis ce manifeste plus aucun des signataires n'a rien diffusé. Pire ils montent au créneau quand un exploit est diffusé pour redistribuer les crédits (genre ce n'est pas xxx qui a fait l'exploit mais bien yyy de chez nous en date du..).

    De plus il n'y qu'à voir leur forum sur le site où ils se font attaquer continuellement et se font tourner en ridicule.

    Accepter de débattre du full disclosure oui, mais ne nous faisons pas avoir par des groupes dangereux dont la seul motivation est de freiner l'histoire de la sécurité pour exécuter des desseins douteux.

    Signé: c'est signé annonyme bien sûr;)
    • [^] # Re: world domination et HYPOCRISIE

      Posté par  . Évalué à -1.

      Je vois pas le rapport...

      Ahh si !

      "j'aimerai ici me distancer du débat posé sur le full disclosure"

      Ben c'est dit, ca n'a en effet aucun rapport :)

      Moi j'aurai ajouté :

      Expert consultant en securité pour ATOS a la fin, ca sonnerai encore plus mega top credible :)

      Michael, qui se souvient plus de son mot de passe, et qui a oublie de coller un post-it sous le clavier... rhooo
      • [^] # ahh si !

        Posté par  . Évalué à -1.

        Ca y est, j'ai retrouve le post it, il etait sous le cendrier en fait, je ne prend pas la securite a la legere non plus moi :p

        Pis j'aime pas les posts anonymes, a commencer par les miens, na !

        Pis Goldorak c'est le plus fort !


        'I am the king of the troll'
    • [^] # Re: world domination et HYPOCRISIE

      Posté par  . Évalué à 0.

      hum juste comme cela, qu'est ce qui te permet d'affirmer le fait qu'ils sont issues du monde blackhat ? ou sont les preuves de leur mefaits sur undernet? quels sont leurs veritables identites si tu les connais si bien ?
      En ce qui concerne les exploits, combien t'en ai tu servis lorsque tu faisais un pentest ? et que tu na pas ecris ?

      C'est fou de remarquer une attitude similaire entre les intermediaires du monde de l'edition de la musique et les soit disant experts secu qui font leur business sur le dos de gens competent.
      Des ke le producteur a la source pense a d'autre moyen de diffusion, ou simplement remarque qu'il se fait abuser, alors tout de suite les intermediaires pointent leur doigt et crient au vilain petit canard. Quelle bande de profiteur!

      Continuer a diffuser vos exploits, ya pas de probleme, allez-y bande de vache a lait. Les tunes c'est pour nous! Et si des gens innocents se font sauvagement massacrer leur server, c'est pas grave
      de toute facon ils viennent nous voir pour qu'on leur vendent de la merde tres chere. Alors allez-y continuez VIVE LE FULL DISCLOSURE D'EXPLOIT. Et attention si tu te rebiffes, on te denonce a la DST! Nous on s'en fout on est bien en vu a faire des conferences au CNIT et on a des belles voitures et des belles nana sur nos maisons sur la cote d'AZUR.
  • # Junto

    Posté par  . Évalué à -1.

    petit extrait d'un petit site (http://minithins.net/junto(...)).

    Le projet Junto est une double réponse à une besoin et à une menace. Le besoin est celui d'une définition, d'un porte-parole, d'un centre de ressources pour le mouvement Full Disclosure dans l'ensemble des domaines où cette philosophie de liberté / partage / droit d'expression et d'information peut être appliquée. En effet, les initiateurs et supporteurs du projet Junto croient profondément aux libertés individuelles. Mais nous insistons sur quelques nuances vis à vis des diverses documents de références qui peuvent citer ces libertés individuelles. Nous pensons avant tout que toutes ces libertés sont liées entre elles et indissociables. La suppression ou l'altération d'une des libertés que sont le droit à l'expression, à l'opinion ou à l'information ainsi que le respect de la vie privée ou l'anonymat est une atteinte directe à l'ensemble de l'architecture des libertés individuelles. Que serait une homme libre d'avoir une opinion mais sans aucune information disponible pour se la faire ou encore incapable de l'exprimer. Le projet Junto s'attache à la défense et la justification - puisque apparemment le besoin s'en fait sentir - d'une seule liberté, celle de l'information la plus souvent attaquée parce que directement liée à la notion de propriété elle aussi citée comme libertés fondamentales. Cependant nous soutenons ici que si la reconnaissance de la propriété intellectuelle et donc du travail et de la réflexion de chacun est indispensable, l'appropriation et la limitation de la diffusion d'une production de l'esprit - incluant donc l'information ou plutôt la connaissance - dans l'intérêt d'un homme ou d'un groupe restreint est en soi une violation du droit à l'information et une dérive du droit à la propriété. Par le Full Disclosure nous soutenons l'ensemble des domaines liés à l'impartialité de l'information et de la connaissance par sa circulation la plus libre. Nous justifions aussi bien la diffusion publique de vulnérabilités ou de problèmes informatiques - sous certaines conditions liées à l'impact ou à la consultation de l'auteur du produit incriminé - mais également la diffusion et la modification du code source de logiciels. L'autre adversaire de cet idéal sont les propositions visant à autoriser la brevetabilité des logiciels et par extension de tous processus incluant une composante informatique (cf. brevet sur les 35h par l'AFUL) en Europe. Bien que repoussées une première fois au moment de la révision de la Convention de Munich régissant l'Office Européen des Brevets (OEB), le récent Traité de Nice a permis la modification de l'article 133 du Traité d'Amsterdam. Cette là une attaque insidieuse puisqu'elle facilite le travail du lobbying international en permettant à cette révision concernant pourtant la propriété intellectuelle à être voté à la majorité qualifiée plutôt qu'à l'unanimité. On trouve également le regain d'intérêt pour le mouvement Non Disclosure notamment à l'occasion de plusieurs conférences données lors de BlackHat Briefings ainsi que d'un centre de ressources similaire à Junto : anti.security.is. Junto n'est bien sûr par une attaque agressive et aveugle vis à vis des participants à AntiSecurity mais seulement un pendant démonstratif nécessaire à un équilibre dans le débat opposant partisans de la diffusion d'information à ceux de la rétention. Notons ironiquement ces 2 mouvements prétendent agir au non de la même vertu : la liberté. Une sorte de schisme. Choisir entre la liberté ou la sécurité ou bien penser que la liberté ne peut que favoriser la connaissance y compris la sécurité. Les objectifs du Non Disclosure sont justifiés comme la chasse aux script kiddies, ces prétendus pirates qui se contentent de réutiliser à des fins malhonnêtes ou stupides des outils ou des vulnérabilités développés par d'autres à des fins de recherches ou d'expérimentation. Seulement ce mouvement est bien trop souvent repris lui-même à des fins malhonnêtes ou stupides. En effet, de l'aveux de société ou de consultants informatique ce double-emploi certes dangereux est nécessaire et force des sociétés peut être pas assez pointilleuses à des efforts en sécurité et en qualité. Le Full Disclosure est manifestement un coup de pied au derrière des entreprises, une sorte de cerbère les attendant au tournant en cas de vulnérabilités et donc de mauvaise qualité. Le mouvement non-disclosure aime à jouer sur les comparaisons et les métaphores pour justifier ses propos. Pour reprendre une de leur analogie avec l'aviation militaire, je dirai que le Full Disclosure est aux entreprises ce que l'arme nucléaire est à la paix, un moyen de dissuasion à la différence près que nous pouvons abuser de la diffusion d'information. La diffusion d'information comme l'a montré le logiciel libre est un facteur important dans la coopération et la qualité dans le développement logiciel et toujours comme le logiciel libre l'a démontré c'est un schéma extensible à l'ensemble de la société et - jusqu'à maintenant - de la production immatérielle. De graves dérives peuvent apparaître au nom de la sécurité et du Non Disclosure comme il a été question lors du concours SDMI et comme il est question également dans la Convention sur la Cybercriminalité du Conseil de l'Europe qui criminalise toute exposition de vulnérabilités mais également toute rétention d'information concernant la découverte de vulnérabilités prenant chercheur ou citoyen entre marteau et enclume.

    Junto soutient que le militantisme libertaire dans l'environnement technologique doit se traduire par une série de valeur toutes en rapport avec la liberté d'information :

    - full disclosure
    ce qui sous tend l'honnêteté et le partage d'information notamment dans le domaine de la sécurité informatique et de la programmation. Tout doit être partager dans l'intérêt général, aussi bien les projets, les idées que les ressources ou les informations tout en prenant en considération la sécurité et la respect de la vie privée ou de la propriété.

    - open source et free software
    ce qui sous tend l'utilisation et l'administration de logiciels libres mais également la philosophie adjacente au libre et ses dérivés contre culturels. La menace du tout copyright est la même que celle du la limitation de la diffusion de l'information à savoir l'ignorance et la rigidité vis à vis d'un système.
    Philopsophy of the GNU Project - http://www.fsf.org/philosophy/philosophy.html(...)

    - libertés individuelles
    ce qui sous tend le respect de la vie privée, les libertés d'opinion, d'expression et d'information - composantes indissociables du full disclosure - , le droit à l'anonymat et au pseudonymat trop souvent oubliés ou sacrifiés sur l'autel d'une forme de pouvoir (profit, désinformation...).

    The Junto Project se veut uniquement un centre de ressource et une démonstration permanente d'un idéal basé sur l'utilité et l'intérêt de la liberté d'expression et du droit à l'information dans le domaine technologique comme l'informatique mais par extension ou intérêt croisé à l'ensemble de la société. C'est pourquoi vous pourrez trouver un amalgame de ressources sur l'ensemble des libertés individuelles et les dangers qui les menacent. L'écriture de textes originaux et la participation à des mouvements de plus grande ampleur sont également à l'étude en fonction du succès premier. Ce projet est extrêmement ouvert et nous appelons toute personne ou organisation à apporter son soutien ne serai ce que par un simple mot d'encouragement ou par une participation plus active.
  • # roulaize le 0dayz

    Posté par  . Évalué à -1.

    mais oui toi dit ki tu es toi ? mais qui es tu donc ? non mais jai pas compris , mais dis moi qui tu es toi ? Mais oui toi ... mais qui tu es toi ? et toi ? et pourquoi tu t-appelles toi ? toi ? heing ? parceque dans ce le cas la je m-appelle la ! : la. oui c-est moi. enfin ca depend quoi, ca depend qui tu es toi ? parceque si tu roulaizes alors on peut s-arrnger. do you roulaize ? because i do.
  • # Et le 3/4 full disclosure ?

    Posté par  . Évalué à 0.

    On peut trés bien crée un site qui liste les failles et donne les patchs correctifs quand ils existent, et créer une partie du site qui contient les scripts et exe pour comprendre le hack dont l'accés serait reservé à des personnes physiques identifiées et authentifié (salariés, membre d'une association) pour vérifier la véracité des propos.
    Comme ça on responsabilise les gens qui téléchargeront les hacks.
    Bien sur, ce site peut se faire pirater, mais on ene revient au pb général de la sécurité.
    Certe il faut peut être laisser un délai entre l'annonce d'une faille et la diffusion des outils permettant d'exploiter cette faille, mais a terme il faut quand même la corriger.

    Si un constructeur automobile cachait une faiblesse du système de fermeture automatique des portes, croyez vous que le proprio accepterait l'explication que sa voiture a été volée parcequ'il y avait un "bug/faille" dans sa voiture. Les gens se mettraient en association pour obliger le constructeur a remédier au problème et a les dédommager.

    Mais en info, on considére que les bugs sont normaux, que ça fait partie de la vie.
    Il n'y aucune raison technique a part l'erreur humaine qu'un programme contienne des bugs.
  • # release d'exploit != informer d'un bug

    Posté par  . Évalué à 0.

    Bonjour,
    Ce que dit anti.security.is est tres simple (je les cotoye tous les jours). Non a la release d'exploit. Un exploit est un outil pret a l'emploi qui ne necessite pas de grosse connaissance pour l'utiliser. Cela permet donc, a des scripts kiddies, a des organisations, consortium malhonnete de faire du mal. De plus dans l'usage les gens qui postent des exploits dans bugtraq le font generallement pour le "fame", ses gens la sont souvent en recherche d'emplois, et plusieurs exemple a l'image de Mickael Zalewski le prouvent.
    Ce que disent ces gens, est donc tres claire. PAS D'EXPLOITS. Si des gens sont capables de coder des bufferoverflow, ben qu'on les laisse prendre leurs responsabilite sur leur diffusions. Anti.Security.is est une chartre de conduite, comme lars von trier et DOGMA. LES GENS SONT LIBRES DE FAIRE CE QU'ILS VEULENT. Beaucoup de gens a l'usage se comportaient dans la philosophie ASI. Bugtraq est la partie emergee de l'iceberg. Ce qui existe est bien plus gros. Mais moins accessible. Et cela n'est pas non plus anti-opensource comme certain l'ont pu dire. Rendre accessible les sources d'un noyau unix n'a rien a voir avec la diffusion d'un exploit, et Bien idiot celui qui pense le contraire.
    Ce qui interresse les gens en securite c'est le patch et la faille, pas l'outil pour l'exploiter.
    Qu'on arrete de crier a la censure aussi, car cela est faut. Les bonnes personnes sont toujours au courant, et il n'est pas tres difficile d'etre au courant non plus. L'exploit a un interet tres limite en fait, du point de vu meme de l'information exploitable qu'il contient: combien d'entre vous lise couramenent le langage machine qui compose le shellcode ?
    Combien d'entre vous decompile l'exploit avant de l'executer ? Combien d'entre vous ont floode ns1.nai.com lorsque l'exploit de bind est sorti ?
    Tout en croyant tester l'exploit sur un serveur local.
    IL FAUT DONC REFLECHIR INTELLIGEMENT AU PROBLEME ET COMME LE DIT KITETOA RESTER OBJECTIF. LE FULL DISCLOSURE DE BUG EST TRES BIEN, LE FULL DISCLOSURE D'EXPLOIT EST TRES MAL.
    Enfin sa permet de faire un ecremage parmis toutes les soit-disantes societes d'audit de secu qui sont tout juste capable de lancer un nmap et lancer les exploits de packetstorm ou hack.co.za.
    Seul resterons ceux qui reelement maitrisent les choses. ET CE N'EST PAS PLUS MAL.
    • [^] # Re: release d'exploit != informer d'un bug

      Posté par  . Évalué à 0.

      amen, il a parlé !
      Acocrdez vous entre vous parce que un membre de security.is interviewé par Transfert.net il y a quelques jours a lui parlé de stopper la diffusion d'exploits aussi bien que d'advisories/proof of concept.
      Stop l'hypocrisie et la stupidité, vous serez un groupe de privilègiés ce qui ne serait pas forcément un mal si vous n'etiez pas auto proclamés et en dehors de toute contrôle démocratique.
  • # l'inquisition renaît de ses cendres...

    Posté par  . Évalué à 0.

    moi je pense qu'il nous faut supprimer toutes les fourchettes et couteaux des cuisines, qu'il nous faut habiller nos soldat de robes en tafta rose (bonbon, soyons folles), que les mirages 2000 gagnerait à être chromés, et que les livres de cuisines sont une incitation à la violence.

    je pense aussi que ceux qui souhaitent retourner à la 'sécurité par l'obscurité' sont ceux qui ont des choses à nous cacher et qu'un insecte se glissera toujours dans une lampe (des lumières ces insectes...).

    Je pourrai continuer des heures mais une chose m'arrête : l'idée que c'est impossible et que le seul moyen pour supprimer "l'insécurité informatique" est la 'liquidation' de l'informatique. D'ailleurs supprimons les guerres, supprimons l'homme.

    bon résumé non ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.