Journal "j'me sens plus en secu sous win" j'ai pas pu lui repondre

Posté par  .
Étiquettes : aucune
0
16
sept.
2005
L'autre jour j'me balladais chez un ami qui est sous windows.

il installe (ou lance je ne sais plus mais c'est pas grave) une application... et là, hop son firewall (kerio) l'averti d'une tentative de comunication sortante. et lui il clique sur le bouton "non".

Et là, me sort tout fierement qu'il se sens quand même plus en securité sous windows avec son firewall, parcequ'il est sur que seule les appli qu'il a choisit peuvent comuniquer.

c'est pas comme ca effectivement dans le monde linux. et honetêment j'ai rien trouvé a y redire...

alors ouais je sais qu'avec les sources on peu analyser le code source de l'appli avant de la lancer (bien "avant "même.. il faut compter le temps de la compil, ben oui on ne peut pas faire confiance a un package binaire si on est assez arano pour mater les sources:) bref)
dans la pratique je ne sais pas vous, mais moi les sources de OOo, bof bof...

ha si la seule chose que j'ai pu lui dire en riant, c'est qu'en cas de doute rien n'empeche de débrancher le cable reseau :) .. ouais je sais c'est nul.

Les firewalls sous linux sont bien puissant, c'est clair, mais en terme d'utilisabilité c'est pas pareil.
moi j'aimerais bien qu'on me demande mon avis quand une appli cherche a sortir, je veux savoir les ports, l'adresse ip tout ca... repondre oui/non, et avec un case a cocher pour en faire une regle definitive quoi...

c'est domage, y a plein de "poweruser" (pas des luce+henri donc) qui aiment bien ce concept...

enfin, voilà journal,si un jour ca existait, je passerai moins pour un con :)
  • # Firestarter

    Posté par  (site web personnel) . Évalué à 10.

    Tout est dans le titre
    Ce que (tu|ton ami) voudrait pour linux c'est FireStarter
    Je sais pas si y a d'autres choses équivalentes mais j'en ai jamais vu
    Bon évidement on ne comprend pas vraiment l'interet mais bon... c'est psycholofique
    comme un windows trop rapide sans antivirus ni parefeu actif ca fait peur (bon pas à tord)
    • [^] # Re: Firestarter

      Posté par  . Évalué à 10.

      Oui mais tu n'as pas la petite boite de dialogue qui te demande confirmation avec d'autoriser ou d'interdire une application.

      Par exemple, tu lances word, et là, tu as une boite de dialogue qui te demande si tu veux ou pas autoriser word.exe qui essaye de dialoguer sur internet.

      Ca rassure les utilisateurs et je les comprends.

      En gros, un utilisateur veut un firewall sur son PC, c'est pour lui, et c'est ce qu'on lui a dit, le seul moyen de se protéger des attaques. Mais bon, après avoir fait le setup.exe, déjà pour lui c'est un exploit, il se retrouve avec une fenetre avec pleins de boutons, de cases, et il ne sait pas dans quel sens la prendre. A cote de ça, tu as un autre setup.exe qui après avoir travaillé ne lui demande rien. Il suffit de dire en temps réel oui ou non quand il lance une application. Ca rassure et c'est plus simple.

      En gros, on peut dire qu'il manque un firewall applicatif sous linux.
      • [^] # Re: Firestarter

        Posté par  . Évalué à 6.

        En y réfléchissant un peu plus, il y a 2 types de firewall et on oublie d'en tenir compte. Il y a le firewall sur un élément réseau qui permet de filtrer les flux entre 2 réseaux. Et il y a le firewall personnel, sur la station de travail qui permet de donner à l'utilisateur le controle sur les communications entre son PC et le reste du monde.

        Les philosophies des 2 types de firewall ont presque identiques : on interdit tout puis on autorise ce que l'on permet. Mais dans le cas du firewall personnel, on ne permet rien venant de l'extérieur car une station de travail n'est pas serveur. Ce qu'attends un utilisateur c'est d'être sûr que seuls les communications liées aux applications qu'il utilise sont autorisées et le reste non. Du genre, je n'autorise rien. Ni entrée ni sortie. Maintenant, j'ouvre mon navigateur web, donc je veux que celui-ci puisse être fonctionnel, donc autoriser les communications entre le navigateur et le web. Rien d'autre. Si je ne l'ai pas déjà dit à mon PC, alors il va me le demander une bonne fois pour toute.

        Pour un firewall filtrant, il faut tout faire d'avance. Donc maîtriser ce qu'est un firewall, avoir quelques connaissances sur les communications réseaux...

        Ce n'est pas la même philosophie.

        PS: j'ai regardé le lien en dessous sur le firewall applicatif sous Linux. C'est bien, mais ce n'est pas utilisable par un utilisateur lambda. Il manque une interface user-friendly comme ils disent de l'autre coté de l'atlantique.
      • [^] # Re: Firestarter

        Posté par  . Évalué à 10.

        Accessoirement ce type de firewall est une illusion complète (en tout cas dans le cas des tentatives sortantes) , grace à la fonction CreateRemoteThread qui permet d'ajouter un thread à une appli, ce qui trompe les firewalls perso (testé, vu dans je sais plus quel Misc).

        Tout ça pour dire que ce genre de produit crée une fausse impression de sécurité... ce qui a mon avis peut-être pire que le mal.

        Ensuite quant au coté convivial, il est vrai que sous linux on manque (en général) d'appli simple à utiliser, sans trop d'option et juste le nécéssaire.
        • [^] # Re: Firestarter

          Posté par  (site web personnel) . Évalué à 10.

          À noter qu'un firewall applicatif sous Linux ne serait pas forcément plus sûr. Un coup de ptrace(2) et hop tu injectes le code qui doit communiquer sur le réseau dans une application autorisée (bon c'est un peu plus compliqué quand même mais ça reste généralement possible, voire un autre MISC).

          Sinon dans le genre "pop-up qui te demande si tu veux laisser l'application faire un truc", il y a Systrace qui permet de faire ça pour tous les appels systèmes (pas seulement les accès réseau). Enfoncé ZoneAlarm :op
          http://systrace.org/(...)

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

        • [^] # Re: Firestarter

          Posté par  (site web personnel) . Évalué à 3.

          Normalement, les pare-feu applicatifs genre ZoneAlarm font dès leur installation une somme MD5 de tous les composants de programmes qui pourront avoir accès au net. Et si un autre essaye de se faire passer pour la dll en cause, ou si un nouveau programme, inconnu, essaye d'utiliser une dll autorisée, le pare-feu ouvre une fenêtre d'avertissement. Je sais pas quelle méthode présentait Misc exactement, mais est-ce qu'elle prenait cette surveillance en compte ?
          • [^] # Re: Firestarter

            Posté par  (site web personnel) . Évalué à 1.

            Je me souviens avoir lu un papier sur le net décrivant les différents moyen de contournement des Firewalls personnels. On avait des méthode assez complexes comme l'injection de code dans un process autorisé, il y avait aussi des méthodes ultra simples comme l'utilisation de la bibliothèque WinPCap.

            Quand est-il aujourd'hui du comportement des firewalls perso et de ces différentes méthodes d'attaque ?
            • [^] # Re: Firestarter

              Posté par  (site web personnel) . Évalué à 1.

              Justement, si on injecte du code dans un process autorisé, sa somme MD5 change, non ? La vérification des process par cette somme est assez récent dans les ZoneAlarm.
              • [^] # Re: Firestarter

                Posté par  . Évalué à 2.

                Ca dois quand meme etre possible :
                Mettons que la partie X accede au net et la partie Y fait le traitement.
                Donc on autorise la partie X .
                X utilise Y et on injecte le code dans Y . Ca devrais etre possible sur certains logiciels non ?
              • [^] # Re: Firestarter

                Posté par  . Évalué à 10.

                C'est une injection en mémoire (OpenProcess, WriteProcessMemory, CreateRemoteThread), donc l'exécutable sur le disque ne change pas. Les Firewalls Persos ne vérifient pas le md5 en mémoire, sinon, le controle échouerait à chaque changement de la mémoire du processus (variables, ect...).
                Par contre, un driver au niveau du kernel win32 pourrait empêcher cette injection en interdisant l'appel aux fonctions de l'API windows ci dessus, avec un système de whitelist par exemple. Sygate PF implémente partiellement ça, mais uniquement contre les injections les plus basiques (et aux dernières nouvelles c'était pas activé par défaut).
                • [^] # Re: Firestarter

                  Posté par  . Évalué à -4.

                  Tu veux dire que dans l'API windows il y a des méthodes pour aller modifier d'autres processus en mémoire?!?!!
                  Et il y a encore des gens pour s'étonner que windows est une passoire?
                  • [^] # Re: Firestarter

                    Posté par  . Évalué à 3.

                    >Tu veux dire que dans l'API windows il y a des méthodes pour aller modifier d'autres processus en mémoire?!?!!

                    Oui, OpenProcess, ReadProcessMemory, WriteProcessMemory, CreateRemoteThread (et de façon moins évidente SetWindowsHookEx & co...).
                    Ce n'est faisable qu'entre processus du même utilisateur... sauf qu'évidemment la plupart des gens utilisent Windows en mode administrateur :/

                    >Et il y a encore des gens pour s'étonner que windows est une >passoire?

                    Hum... et le syscall ptrace sous Linux ? Je vois mal comment écrire un débogueur sans pouvoir écrire/lire dans la mémoire d'un processus externe. Pour une fois, on peut difficilement jeter la pierre à Win.
                  • [^] # Re: Firestarter

                    Posté par  (site web personnel) . Évalué à 2.

                    Un API équivalent est disponible sous Unix (et donc Linux) hein. Comment tu crois qu'il fait gdb notamment ? man 2 ptrace
                    Encore pire: sous Linux tu peux voir et modifier la mémoire des processes directement via /proc.

                    Le problème n'est pas que cet API existe mais que des processes malveillants puissent l'utiliser pour obtenir des droits plus élevés. Tant que les processes appartiennent au même utilisateur (en gros), Unix ne t'empéchera pas d'injecter ce que tu veux. Le problème c'est que deux processes ayant les mêmes droits Unix aient des droits différents pour ce qui est de l'accès internet par exemple puisque celui qui est interdit d'accès n'a qu'à injecter celui qui a accès. On a donc exactement le même problème que sous Windows.

                    La solution c'est d'utiliser des trucs genre SELinux ou Systrace mais pour le moment ça a pas l'air d'être fort répandu. Je suis à peu près sûr qu'il n'y a pas 20% des personnes qui ont lu ce post qui utilisent un tel système (et on est entre geeks, alors le grand public...).

                    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

                    • [^] # Re: Firestarter

                      Posté par  . Évalué à 2.

                      Il y a divers moyen hors SELinux (moin lourd à mettre en place) de bloquer les accès a ptrace, kmem, /proc... style PAX ou grsec

                      Je suis à peu près sûr qu'il n'y a pas 20% des personnes qui ont lu ce post qui utilisent un tel système (et on est entre geeks, alors le grand public...).

                      Oui, le problème est souvent entre le clavier et la chaise...
                      Néanmoins ce genre de choses est peut être à faire au niveau de la distribution, je crois que déjà pas mal de distribs orientés desktop grand publique crées un compte user par défaut, voir ne laisse l'accès qu'à certaines applis que via sudo (unbuntu je crois, mais jai pas vérifié), alors pourquoi ne pas pousser le concept plus loin (si ce n'est déjà fait) et intégrer par défaut des politiques de RBAC.
                    • [^] # Re: Firestarter

                      Posté par  . Évalué à 0.

                      Un API équivalent est disponible sous Unix (et donc Linux) hein. Comment tu crois qu'il fait gdb notamment ? man 2 ptrace

                      Hum, je ne connais effectivement pas bien le sujet, mais la manpage en question dit que:
                      "The ptrace system call provides a means by which a parent process may observe and control the execution of another process, and examine and change its core image and registers. It is primarily used to implement breakpoint debugging and system call tracing.
                      The parent can initiate a trace by calling fork(2) and having the resulting child do a PTRACE_TRACEME, followed (typically) by an exec(3). Alternatively, the parent may commence trace of an existing process using PTRACE_ATTACH. "

                      Si je comprend bien c'est seulement un parent qui peut modifier ses processus fils, ce qui est beaucoup moins grave que n'importe quel processus du même utilisateur.
                      • [^] # Re: Firestarter

                        Posté par  . Évalué à 3.

                        Si je comprend bien c'est seulement un parent qui peut modifier ses processus fils, ce qui est beaucoup moins grave que n'importe quel processus du même utilisateur.
                        Non t'as rien compris :
                        PTRACE_ATTACH
                        Attaches to the process specified in pid, making it a traced
                        "child" of the current process; the behavior of the child is as
                        if it had done a PTRACE_TRACEME. The current process actually
                        becomes the parent of the child process for most purposes (e.g.,
                        it will receive notification of child events and appears in
                        ps(1) output as the child's parent), but a getppid(2) by the
                        child will still return the pid of the original parent. The
                        child is sent a SIGSTOP, but will not necessarily have stopped
                        by the completion of this call; use wait to wait for the child
                        to stop. (addr and data are ignored.)

                        [...]
                        EPERM The specified process cannot be traced. This could be because
                        the parent has insufficient privileges (the required capability
                        is CAP_SYS_PTRACE); non-root processes cannot trace processes
                        that they cannot send signals to or those running setuid/setgid
                        programs, for obvious reasons. Alternatively, the process may
                        already be being traced, or be init (pid 1).
                        • [^] # Re: Firestarter

                          Posté par  . Évalué à -1.

                          En effet, je n'avais pas bien lu!
                          Vous pouvez inutiler mon post.
                      • [^] # Re: Firestarter

                        Posté par  (site web personnel) . Évalué à 3.

                        Relis la dernière phrase que tu cites.

                        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

                        • [^] # Re: Firestarter

                          Posté par  . Évalué à 3.

                          C'est bien ce qu'il dit, ptrace ne peut tracer que les processus du même utilisateur (sauf s'il est root). On est donc exactement dans la même situation que sous Windows (sauf que sous Win la plupart des utilisateurs sont admin, mais c'est pas la question).
              • [^] # Re: Firestarter

                Posté par  . Évalué à 1.

                Lors de la conférence de TheHackademy 2004, Clad a fait une démonstration d'injection de code malicieux sous linux.

                D'après mes souvenirs, l'injection s'effectue en mémoire. La somme MD5 du binaire n'est donc pas altérée !
            • [^] # Re: Firestarter

              Posté par  . Évalué à 5.

              Je me souviens avoir lu un papier sur le net décrivant les différents moyen de contournement des Firewalls personnels. On avait des méthode assez complexes comme l'injection de code dans un process autorisé,

              Euh... Un objet COM bien placé, un ActiveX a la con et c'est "Internet Explorer" qui va sur le net tout seul comme un grand pour aller poster les infos sur le site de spyware.

              Il est aussi facile pendant l'installation d'un "freeware" de faire passer au milieu des diférentes licences l'acception par l'utilisateur d'un root certificate bidon. L'avantage c'est qu'on a plus besoin de l'objet COM pour faire charger à IE l'ActiveX, comme celui-ci est reconnu comme signé par un "organisme de confiance" IE le charge tout seul comme un grand...

              Une variante dans la série des gags à deux francs qui marchent souvent c'est de passer par RunDLL32, WinHelp ou la communication RCP en mode administrateur que les grosses boites (Dell,HP, IBM) laissent souvent trainer dans un coin...

              Si c'est encore trop technique pour vous, sachez qu'il est très difficile sous windows d'exiger qu'un programme se charge complètement avant de commencer à charger les programmes suivant... Il est par exemple possible d'effacer à chaque reboot l'ensemble des règles d'un firewall personnel avant qu'il ne se charge, jusqu'à ce que l'utilisateur lassé de rerépondre aux mêmes questions à chaque reboot finissent par désactiver son firewall ou répondre "oui " méccaniquement à chaque pop up du firewall.

              Sécuriser un windows "out of the box" ca demande NETTEMENT plus de travail que d'installer simplement un anti-virus et un firewall personnel
          • [^] # Re: Firestarter

            Posté par  (site web personnel) . Évalué à 4.

            J'y connais rien en programmation Windows mais d'après ce que je me souviens de l'article de MISC (je l'ai pas sous la main) et d'après [0], on peut parfaitement injecter à peu près n'importe quoi dans la mémoire d'un process sans vraiment de difficulté et donc lui faire exécuter ce qu'on veut. Et je doute que ZoneAlarm recalcule la somme de contrôle du process en mémoire à chaque accès réseau.

            Donc pour passer outre le firewall, tu trouves un process autorisé qui est en train de tourner (au hasard: IE ou Firefox), tu lui injectes le code voulu et tu le laisses faire tout ce que tu ne peux pas faire directement tandis que le firewall laisse passer puisque l'exe qui est sur le disque est bon.

            [0] "Using Process Infection to Bypass Windows Software Firewalls" Phrack#62 article#13 http://www.phrack.org/show.php?p=62&a=13(...)

            pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Ça existe

    Posté par  (site web personnel) . Évalué à 7.

    Bon, deux choses :
    - en ce qui concerne le fait de faire confiance ou non en des logiciels libre, je te conseille de jeter un coup d'oeil quelques journaux plus bas [1].
    - le sujet du firewall applicatif sous Linux est une question qui revient souvent, notamment pour les utilisateurs débutants. La bonne nouvelle, c'est que ça existe [2]

    Pour ma part, j'estime pouvoir faire confiance aux logiciels fournis par ma distribution (Debian pour ne pas la citer) grâce à plusieurs choses : signature des paquets par GPG, réseau de confiance (pour pouvoir devenir développeur Debian, il faut avoir une clef GPG signée par une personne déjà développeur Debian - on est donc normalement assuré de l'identitée de tous les développeurs de proche en proche), le parainage (une personne non développeur Debian doit être paraînée par un développeur Debian pour chaque envoi de paquets dans la distribution. Je ne sais pas ce qu'il en est pour les autres distributions, mais je pense que chacune doit avoir des moyens de s'assurer que les paquets officiels ne sont pas fait n'importe comment par n'importe qui.

    [1] : http://linuxfr.org/~etix/19431.html(...)
    [2] : http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-11.htm(...)
    • [^] # Re: Ça existe

      Posté par  . Évalué à 4.

      si si je fais confiance,
      mais (surtout pour un [ex-]windowsien) il faut reconnaitre que c'est rassurant.. ouais même si c'est psychologie.

      en fait, c'est typiquement un besoin du monde windows ou spyware cotoient autre logiciels malveillant, piratés ou un peu trop bavard... (le "ou" n'est pas exlusif :) )

      Je comprends qu'a priori ca ne sert pas a grand chose sous linux, mais c'est un argument interressant : oui ca existe aussi sous linux !
      merci pour les liens, surtout le 2eme que je ne connaissait pas.
  • # une balle dans la tête?

    Posté par  . Évalué à -10.

    c'est de l'humour
  • # Le firewall ultime pour linux

    Posté par  . Évalué à 10.

    créez le script shell ci-dessous sous le nom firewall, rendez-le exécutable, et placez-le dans /usr/local/bin

    Ensuite vous pouvez démarrer tous vos programmes avec la commande :

    firewall programme

    Votre puissant firewall (sous licence GPL) vous demandera de façon conviviale et rassurante si vous voulez autoriser ce programme à accéder à internet. Dans ce cas, il le lancera effectivement.
    En plus le code est suffisament simple pour voir qu'il n'y a pas de backdoor...



    #!/bin/bash

    if [ -z $1 ]
    then
    echo "Veuillez indiquer le programme à lancer"
    echo "usage : firewall programme"
    exit
    fi

    while true; do
    echo -n "voulez-vous autoriser ce programme à accéder à internet ? (o/n) "
    read oyn
    case $oyn in
    y* | Y* | o* |O* ) $1 ; break ;;
    [nN]* ) echo "Votre superbe firewall a empêché ce programme d'accéder à des services internet potentiellement dangereux." ; break ;;
    q* ) exit ;;
    * ) echo "Réponse inconnue" ;;
    esac
    done

    Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

    • [^] # Re: Le firewall ultime pour linux

      Posté par  . Évalué à 10.

      Solution intéressante !
      En tout cas, elle a eu le mérite de bien me faire rigoler ;-)

      Pour revenir aux choses sérieuses, c'est quand même dommage de devoir déployer tout cet attirail de sécurité (pare-feu, et antivirus sous windows en particulier) sur un appareil qui, au départ, est censé être un outil de travail, un canal de communication et d'échange, un passe-temps, ou encore un moyen de divertissement selon les gens... mais jamais une source de stress, peur, tracas, énervement, comme il le devient trop souvent !
  • # fireflier

    Posté par  (site web personnel) . Évalué à 8.

    http://fireflier.sourceforge.net/screenshots.html(...)

    C'est exactement le même principe que le firewall de ton pote avec le même genre de problèmes à savoir quand d5tgkr53.dll essaye d'accéder au net tu es comme un con a te demander si tu dois dire oui ou non :)

    A poil sur le net ! Mon linux a pas de firewall et il se porte comme un charme. Le firewall c'est quand l'OS est un emmental (et non un gruyère) sur lequel tourne plein de services inutiles.

    L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

    • [^] # Re: fireflier

      Posté par  . Évalué à 4.

      je ne suis pas trop d'accord avec toi, ce n'est pas parce que tu es sous linux que tu n'a pas de risque d'intrusion, bien au contraire : je serais hacker cela m'amuserait plus de cracker de l'unix que du windows, d'autant plus que sans règles de firewall un unix est vulnérable.
      L'histoire de la résistance face aux risques de virus c'est autre chose, même si des rootkits existent le problème est différent.

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: fireflier

        Posté par  (site web personnel) . Évalué à 10.

        Oui les intrusions existent sous linux mais ça fait plus de 5 ans que je suis à poil sur le net et rien.

        Un windows XP installé, une heure après il était pourri de vers et de spyware (que d'ailleurs clam anivirus a mieux trouvé que des antivirius assez cher).

        En effet je prends des risques à ne pas avoir de firewall mais je met à jour mon système régulièrement pour éviter les trous de sécurité et je ne fais tourner que les services dont j'ai besoin.

        L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

        • [^] # Re: fireflier

          Posté par  . Évalué à 1.

          Le dernier WinXP que j'ai daigné installer (plus d'un an déjà, et ct vraiment à contre c½ur) a fait 2 minutes sur le Net...
          • [^] # Re: fireflier

            Posté par  . Évalué à -5.

            PArles en dans ton 3108
          • [^] # Re: fireflier

            Posté par  . Évalué à 6.

            rhoooooo !

            mais c ta faute !
            tu n'y connais rien en windows et tu permets de critiquer, vilain !

            déjà je suis certain que lorsque tu t'es connecté tu avais les dernières mises à jour par windows eupdète, alors ? hein hein hein ? Et un firewall ? un anti virus ?? hein hein hein ?
            vous les linuxiens vous croyez tout savoir alors que windows aussi nécessite d'apprendre à s'en servir correctement pour pouvoir profiter de son concentré de technologie.

            Déjà avant de connecter cet ordinateur à internet tu aurais dû aller télécharger (mais pas avec internet explorer hein, avec firefox qu'il faut télécharger en premier) un firewall, ou mieux, télécharger le sp2 et utiliser son super firewall. Ensuite faire les mises à jour via internet, mais avant de te connecter.
            (si tu penses que ce que je dis est idiot, bien entendu il faut aller télécharger ces choses depuis un autre ordinateur, qui lui a déjà eu les mises à jour / firewall / antivirus / antispyware via encore un autre ordinateur... ou alors mettre à jour ton ordinateur à partir d'un réseau d'entreprise protégé par un routeur sous linux)

            ...

            ...


            ok... moi aussi j'ai eu à installer des windows xp...
            2 minutes sans firewall, c'est le maximum qu'il tient avant d'attraper un sale virus. Windows 98 était quand même supérieur à ce niveau.
            Et que l'on ne rétorque pas que c'est mieux maintenant avec le sp2, car cela démontre quand même que s'ils ont laissé passer toutes ces failles de sécurité avant (des ports ouverts à tout vent), c'est que ce sont de vrais quiches.
            Et je parle de vraies failles de sécurité, qui rendent le système encore moins opérationel qu'il l'est en temps normal, pas des 10 X plus de failles que l'on est sensé trouver dans linux et dont ils se gargarisent dans "get the facts", alors que ces failles n'auront pas les mêmes conséquences sur un système linux car anodines ou difficiles à exploiter.

            Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

            • [^] # Re: fireflier

              Posté par  . Évalué à 3.

              correction :
              je voulais dire :
              "déjà je suis certain que lorsque tu t'es connecté tu n'avais pas les dernières mises à jour " et "pas d'anti virus etc."

              lorsque je me suis relu j'avais vu :
              "es-tu certain que lorsque tu t'es connecté tu n'avais pas les dernières mises à jour "... et j'ai mal corrigé...

              Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

          • [^] # Re: fireflier

            Posté par  (site web personnel) . Évalué à 3.

            > Le dernier WinXP que j'ai daigné installer (plus d'un an déjà, et ct vraiment à contre c½ur) a fait 2 minutes sur le Net...

            Effectivement en Aout 2004 ça devait vraiment être folklo:

            http://isc.sans.org/survivalhistory.php(...)

            Aujourd'hui c'est beaucoup mieux (hum), la durée de vie de Windows sur le Net à l'air très prévisible: entre 17 et 25 mn pour tout le monde. Windows c'est vraiment un OS de pirate piraté...
      • [^] # Re: fireflier

        Posté par  . Évalué à 4.

        Quand tu n'as pas un seul port d'ouvert sur l'extérieur, c'est quand même plus dur que lorsque tu laisses tout le monde rentrer des fois que l'un d'eux veuille te prévenir qu'une nouvelle imprimante est branchée...
        • [^] # Re: fireflier

          Posté par  . Évalué à 0.

          Il y a un autre truc : les virus se propageant grâce à des failles d'IE et qui t'installent au choix un spyware, un keylogger, un relai smtp pour le spam. Si des failles de Firefox existent et sont utilisées pour ça, alors n'importe quel PC sous linux sans firewall personnel est vulnérable.
          • [^] # Re: fireflier

            Posté par  . Évalué à 3.

            ... alors n'importe quel PC sous linux sans firewall personnel est vulnérable.

            oui et non. Oui, s'il existe une faille sous Firefox qui permet à quelqu'un d'installer un logiciel, alors linux est vulnérable. Non, il n'est pas aussi vulnérable que l'on pourrait le penser. Si, comme il est bon de faire, l'utilisateur n'utilise pas le compte root pour bosser, alors le logiciel ne pourra pas sniffer le réseau ni sniffer le clavier. Il pourra être relay SMTP sur un port > 1024...
            • [^] # Re: fireflier

              Posté par  (site web personnel) . Évalué à 3.

              Si [...] l'utilisateur n'utilise pas le compte root pour bosser, alors le logiciel ne pourra pas [...] sniffer le clavier
              Je ne m'avancerais pas tant. Une idée "simple" serait d'injecter tous les processes de l'utilisateur pour y intercepter tous les appels à read(2). Après si l'utilisateur fait un sudo pendant sa session, tu peux même avoir le root.

              Écrire un spyware Unix n'est pas forcément très difficile. C'est juste que ça n'intéresse pas grand monde pour le moment (dans un but commercial en tout cas). Par contre si tu commences à utiliser SELinux/systrace/fakebust/... ça devient plus compliqué.

              pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

          • [^] # Re: fireflier, les firewalls ne reglent pas les bugs dans les applis !

            Posté par  . Évalué à 5.

            Tu fais une erreur classique: croire que les les firewalls empêchent d'exploiter les bugs dans les applis dont on a vraiment besoin qu'elles soient connectées à Internet.
            Ton firewall autorise forcément ton navigateur (et ton mail, et tes p2p et ton IM...) à communiquer avec les sites que tu veux visiter et les ordinateurs des personnes que tu aimes. Si un de ces ordinateurs contient de méchantes données provoquant et exploitant un overflow dans un de tes logiciels sus-cités, alors ton firewall n'y peut strictement rien.
            • [^] # Re: fireflier, les firewalls ne reglent pas les bugs dans les applis !

              Posté par  . Évalué à 2.

              Tu fais une erreur classique: croire que les les firewalls empêchent d'exploiter les bugs dans les applis dont on a vraiment besoin qu'elles soient connectées à Internet.


              Non, je n'ai jamais pensé ça. J'ai juste pensé qu'on ne pouvait pas exploiter une faille pour installer des choses.

              De plus, en ce qui concerne le relai SMTP, ou bien un module qui écoute sur un port en attendant une requête pour attaquer un site, si avec ton firewall tu as autorisé Firefox à initier des requêtes mais pas à ouvrir une socket qui écoute sur un port TCP, alors il ne pourra pas le faire.
              • [^] # les firewalls ne reglent pas les bugs dans les applis ! systrace.org

                Posté par  . Évalué à 1.

                J'ai juste pensé qu'on ne pouvait pas exploiter une faille pour installer des choses.
                Qu'est-ce qu'on peut pas installer avec une faille dans une programme internet ? Même si elle ne donne pas accès à un compte privilégié, on peut attendre patiemment la prochaine faille de type "escalation" pour le faire. Ce n'est pas un firewall mais plutot un programme comme systrace.org qui peut limiter ce genre de failles.

                De plus, en ce qui concerne le relai SMTP, ou bien un module qui écoute sur un port en attendant une requête pour attaquer un site, si avec ton firewall tu as autorisé Firefox à initier des requêtes mais pas à ouvrir une socket qui écoute sur un port TCP, alors il ne pourra pas le faire.
                Les attaquants ne manque pas d'imagination: ton ordinateur vérolé peut prendre régulièrement l'initiative de se connecter chez l'attaquant. Plus vicieux, les communications entre ton ordi et l'attaquant peuvent se faire par la lecture et l'écriture de messages sur un site tiers genre yahoo ou google (messagerie, forums,...) que tu visites fréquemment.
  • # La source du problème

    Posté par  (site web personnel) . Évalué à 10.

    Tu as un utilisateur de windows qui t"explique qu'il utilise une fonctionalité hyper top importante et quelle est pas sous GNU/Linux.

    Certe, c'est vrai, en tous les cas rien d'aussi poussé à ma connaissance.

    Cependant, moi utilisateur de GNU/Linux depuis des années et ignare en windows, je me demande a quoi peut bien servir cet outil merveilleux et indispensable.

    Et donc il m'explique que ca permet de se protéger de certains risques. C'est génial mais moi, jusqu'à présent, j'ai jamais eu ses riques. Quel est le meilleur système, celui pour lequel les risques ne sont pas la ou celui qui a la meilleure protection contre les riques qu'il a.

    C'est bien mais bon, il a pas acheté un ordinateur pour ca j'espère, la finalité de son ordinateur et normalement tout autre. Enfin, si ca lui plait de passer son temps à dire à son ordinateur ce qu'il a le droit de faire, c'est son problème.

    En informatique, souvent, quand on a pas les outils, c'est qu'on a pas les problèmes.
    • [^] # Re: La source du problème

      Posté par  . Évalué à 9.

      Heu je suis d'accord avec toi, mais d'un autre côté je comprends le windowsien, que je qualifierais d'utilisateur lambda, et que j'appelerais robert pour simplifier mon explication.

      Alors robert s'est mit à l'informatique il y a quelques années. Il a acheté un PC dans un magasin et il l'a allumé. Bon, depuis il ne s'est jamais posé la question du système d'exploitation. Pour lui, c'est windows, y'a que ça, c'est le mieux, parce que sinon on ne me l'aurait pas vendu. C'est important déjà de comprendre ça parce que ensuite ça a des répercutions importantes. Et oui, parce que tous les problèmes qu'il rencontre avec windows, il va les trouver "normal" : "pas c'est la vie, c'est l'informatique c'est comme ça. Ce n'est pas la faute de windows, et oh ! windows c'est les meilleurs, tout le monde a ça, si ce n'était pas bien, ça ne marcherait pas.". Voila, robert applique la loi du marché et de la concurrence au produit windows : "le meilleur gagne". Sauf qu'il ne sait pas que en Informatique et plus précisement avec Microsoft, ce n'est pas le meilleur gagne techniquement, mais le meilleur gagne marketingment. Bref vous m'aurez compris, robert fait entièrement confiance à Microsoft vu qu'ils sont leaders.

      Robert a donc son PC. On lui explique qu'il lui faut un firewall pour se proteger des méchants. Il en installe un qui lui pose de temps en temps des questions, ça le rassure, il a l'impression d'avoir le contrôle de son ordinateur : il peut interdire ou autoriser les communications. Pour lui, ça reste normal. Maintenant on le met sous Linux. On lui dit : "bah non, tu n'auras pas les boites de dialogue, y'a un firewall sous Linux mais il ne te permet pas d'autoriser ou d'interdire telle application". Et là, il te répond : "bah ça ne me va pas. Tu me dis que Linux est plus sûr que Windows, mais je ne peux pas le vérifier. Tu me demandes de faire confiance à un système que je ne connais pas, et qui en plus est très minoritaire, donc ne doit pas être le meilleur. Je n'ai aucun moyen de savoir si le firewall est efficace ou non ! Ca ne me va pas."
    • [^] # Re: La source du problème

      Posté par  . Évalué à 9.

      c'est pareil pour le défragmenteur :)

      "Linux c'est nul car il n'y a pas de défragmenteur..."

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: La source du problème

        Posté par  (site web personnel) . Évalué à 6.

        Ca me rappelle ce texte: http://madchat.org/esprit/textes/piegecyb.html(...)

        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

        • [^] # Re: La source du problème

          Posté par  . Évalué à 4.

          c'est amusant, je pensais justement à ce texte en particulier, mais je ne me souvenais plus où je l'avais lu :)
          Pas mal de coup des chaussettes.

          Et pour le coup du firewall sous linux on est dans une maison où on ferme tous les volets et les portes arrières, laissant seulement passer la lumière par une grande baie vitrée (http), et la porte à qui a le droit d'entrer (ssh), quitte à ouvrir les volets si necessaire (ftp).
          Sur windows tout est ouvert à tout vent, et après certains se plaignent des intrusions et microsoft veut poursuivre de tels piratages. Pourtant il me semble que si on laisse tout ouvert chez soi ni l'assurance ni la police ne prennent en compte les vols qui pourraient survenir.

          Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # plutot le contraire !!!

    Posté par  (site web personnel) . Évalué à 5.

    C'est bizarre car moi justement ce que je trouve vraiment ch***t sous windows c'est que je n'ai pas trouvé de firewall non applicatif.

    Parceque les deux trois potes qui ont le net direct branché sur leur windows j'aimerai bien pouvoir securiser ca efficacement (sans devoir acheter un firewall routeur hardware a coté)

    Le monde est mal fait :(
  • # MANDI

    Posté par  . Évalué à 10.

    Si j'ai bien compris, vous recherchez un parefeu interactif.

    Je vous propose Mandi. C'est un développement "Mandriva" et je pense que cela se rapproche de vos attentes.

    http://qa.mandriva.com/twiki/bin/view/Main/InteractiveFirewall(...)
    • [^] # Re: MANDI

      Posté par  . Évalué à 1.

      bien sympa, un peu dans l'espris mandriva si je peux dire, mais il n'est pas applicatif il me semble.

      Et j'ai plutot l'impression (j'ai pas testé) qu'il gère plutôt les flux entrants (attaques exterieur).
      • [^] # Re: MANDI

        Posté par  . Évalué à 3.

        C'est un détecteur de scan qui blackliste l'origine du scan et te permet de gérer les white/black listes ensuite.
        Très simple d'emploi, il se configure par défaut lors de la config de shorewall dans la distro mais il peut s'employer avec tout, vu que ça travaille par dessus iptables.
        Sur le desktop, il est intégrée à l'applet net de mandriva (net_applet), donc il se gère en un clic de souris par l'utilisateur.
  • # shorewall + ???

    Posté par  . Évalué à 3.

    shorewall permet depuis la version 2.4 de filtrer suivant le user/group et les applis !

    manquerait plus qu'un mini demon qiu check les tentatives d'acces au reseau et reconfigure shorewall a la volee.
    Ca me parait pas super complique (m'enfin je dis ca mais je suis une daube en prog :'( )
  • # NuFW

    Posté par  (site web personnel) . Évalué à 6.

    Tiens, c'est curieux, personne n'a évoqué NuFW qui est un firewall authentifiant basé au-dessus de netfilter et qui permet de filtrer les connexions selon l'application voir même l'OS.
    Quelqu'un utilise ?

    dépêche DLFP : http://linuxfr.org/2005/06/18/19151.html(...)
    site NuFW : http://www.nufw.org/index.php3?lang=fr(...)
  • # MISC

    Posté par  . Évalué à 3.

    Fais lui lire le dernier MISC qui parle des Firewall personnels sous Windows et leurs faiblesses.

    Juste une idée comme ça ... :)
  • # Protéger quoi ?

    Posté par  . Évalué à 3.

    A quoi sert vraiment un firewall sous windows ? A protéger ton ordinateur des programmes que TU as installé, et éventuellement de quelques trucs qui trainent ici ou là sur la toile.

    Quand un amis Robert dit que son firewall est mieux que celui de linux je lui répond simplement que moi je n'ai pas besoin de me protéger de moi même, lui oui ! En général ça suffit à lui faire comprendre que son firewall il sert pas à) grand chose (il l'a récupéré ou ? il y a eu un controle MD5 du setup ? il y a une clée GPG pour garantir son origine ?) Moi tout les composants installé de ma distri sont vérifié, la communauté à vérifiée la non présence de backdoor, bref je lui explique que mon système est dès le dépard sain. Je peux même configurer mon firewall avant de me connecter au net, pas lui !

    Voila ce que j'explique au Robert quand il me prend le choux avec ses applis à 2 sous qui n'existent pas sous nunux : moi j'ai pas d'antivirus ni de firewall et mon pc marche parfaitement. Je ne perd pas 1/2 heure chaque jour à cliquer sur une boite pour savoir si je suis d'accord pour que tel ou tel processes se connecte à l'adresse ip 80.125.56.23 qui représente rien pour moi. Moi j'utilise mon pc c'est tout !

    A+ et bonjour à tous les Robert ;)
    • [^] # Re: Protéger quoi ?

      Posté par  . Évalué à 2.

      A quoi sert vraiment un firewall sous windows ? A protéger ton ordinateur des programmes que TU as installé, et éventuellement de quelques trucs qui trainent ici ou là sur la toile.

      surtout a te proteger des vers qui veulent entrer et des softs installes a l'insu de l'utilisateur (virus et/ou spywares).

      Je peux même configurer mon firewall avant de me connecter au net, pas lui !
      gneee?
      t'as vu la vierge ou quoi?
      chaque fois que j'ai installe un windows chez ouam, j'ai toujours configure le pare feu avant de me connecter... J'suis oblige de toutes facons, vu que j'installe un xp sans sp, sinon je chope blaster et toute la smala en moins de 5 minutes...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.