Extrait traduit de cet article :
http://www.technologyreview.com/computing/25480/?a=f
« Le document, qui sera présenté cette semaine lors de la Workshop on the Economics of Information Security, met en collération 400 millions d'alertes provenant des systèmes de détection d'intrusion sur des vulnérabilités connues. Ces données appuient l'affirmation selon laquelle les failles dans les logiciels libres ont tendance à être attaquées plus rapidement, et plus souvent que les vulnérabilités des logiciels proprios, selon Sam Ransbotham, professeur assistant au Boston College de Carroll School of Management. »
VO :
« The paper, to be presented this week at the Workshop on the Economics of Information Security, correlated 400 million alerts from intrusion detection systems with known attributes of the targeted software and vulnerabilities. The data supports the assertion that flaws in open-source software tend to be attacked more quickly and more often than vulnerabilities in closed-source software, says Sam Ransbotham, assistant professor at Boston College's Carroll School of Management and the author of the paper. »
J'ai pas vérifié l'étude, mais y'a des trucs bizarres dans l'article. Bien que le titre et le ton général aille plutôt dans le sens logiciel libre = passoire, on retrouve le bon vieil argument des parts de marché :
« He argues that attackers might indiscriminately inundate a company's network with attacks on relatively unimportant open-source software, while focusing more serious attacks on more important systems running closed-source software.
Because Immunity's clients are most concerned about systems running closed-source software such as Microsoft Windows, Internet Explorer, Adobe Acrobat, and Sun's Java, Immunity's researchers attempt to exploit flaws in closed-source software within 24 hours of when they are first reported. Open-source software vulnerabilities are given a much lower priority. »
L'article finit sur une note plus mesurée, en disant qu'on trouve des failles que les sources soient disponibles ou non. De toutes façons, il me semble qu'en matière de sécurité, l'important c'est d'appliquer les maj quand une faille est découverte. Qu'en pensez-vous ?
# Peut être
Posté par vincent_k (site web personnel) . Évalué à 10.
La dernière "grosse" faille que je me rappelle sur Linux, c'était un exploit pour passer en root sans mot de passe. Je me souviens aussi qu'il a fallu moins de 36h pour que la faille soit corrigé et le patch étendu sur la majorité des distributions linux (ubuntu, debian, fedora, mandriva, opensus etc.)
De l'autre, on a microsoft qui attend la 2ème mardi de chaque mois pour faire des correctifs de sécurité...voire corrige des failles vieilles de 6 ans (outlook et IE sont de vrais passoires, et je me demande si c'est pas voulu).
Donc voilà, *si* statistiquement il y a plus de failles sur les systèmes ouvert, au moins elles sont corrigés TRÈS vite, contrairement aux OS propriétaires.
[^] # Re: Peut être
Posté par Philippe F (site web personnel) . Évalué à 2.
J'ai souvenir d'un concours d'il y a une dizaine d'année sur slashdot pour craquer un site web commerçant. Le gagnant avait fait une analyse très poussée du code pour trouver au moins 3 vecteurs d'attaques. Deux s'étaient révélés inexploitables mais le 3e avait fini par lui donné l'accès root.
L'exploit n'aurait pas été possible dans ce cas sans les sources. Ou aurait pris beaucoup beaucoup plus de temps.
[^] # Re: Peut être
Posté par houra . Évalué à 2.
Perso je suis incapable de trouver une faille en lisant le code source d'une appli.
Mais ça veut pas dire que des règles simples et une connaissance poussée du langage utilisé permettent effectivement d'éviter les failles les plus courantes et documentées.
Pour ce qui est des binaires, les angles d'attaque sont connus :
- confrontation de l'hexa du binaire avec des hexa formés par des logiciels représentant certaines failles.
- Embauche de développeurs et achat de salles serveurs par des groupes clandestins/illégaux pour chercher à pénétrer les systèmes.
- utilisation des outils de reconstitution de code par rétro-ingénierie pour tenter de recréer le source à partir des binaires.
L'erreur consiste pour les analystes à considérer que l'"attaquant" serait un développeur informatique isolé qui pourrait éplucher des lignes de code. La plupart des personnes qui ont ce profil s'en tamponnent royalement des failles dans les logiciels libres.
Sedullus dux et princeps Lemovicum occiditur
[^] # Re: Peut être
Posté par pasBill pasGates . Évalué à 4.
Par contre une fois que la faille a ete trouvee (genre tu te retrouves avec un crash apres quelques minutes/heures/jours de fuzzing), avoir le code aide a tourner cela en quelque chose d'exploitable plus facilement
# Failles...
Posté par J.V. FERNANDEZ . Évalué à 10.
Il y a une faille dans ce document... :-)
Malheureusement, la majeur parties de mes clients utilisent un système d'exploitation "privateur" dont le nom fait penser à un immense courant d'air...
Je leur installe Mozilla Firefox en leur recommandant de laisser faire lorsque le programme les averti d'une mise à jour. Je leur recommande fortement de ne pas utiliser IE quelque soit la version.
La raison en est simple :
Je travaille au milieu du Pacifique et je me suis abonné à des newsletters de sécurité francophone. (secuser et autre...)
J'ai remarqué que lorsque je reçois un message indiquant qu'une faille de sécurité a été découverte dans Thunderbird ou Firefox, compte-tenu du décalage horaire, je reçois le correctif presque en même temps.
En ce qui concerne le fameux système "privateur" aux multiples courant d'air, les corrections arrivent très longtemps après leur découverte... Je pense que laisser autant de fenêtres ouvertes n'est pas vraiment prudent de nos jours... Il ne faut pas s'étonner si les ordinateurs s'enrhument . :-)
Globalement, en ce qui concerne les failles de sécurité, on peut imaginer qu'ils n'ont pas franchement tenu compte des virus, parce que dans ce cas, aurait la palme d'or du flop, voir même(pour faire un jeu de mot mal placé...) du pétaflop...
Il est possible que certains logiciels libres soient plus sensibles que d'autres aux attaques, mais il faudrait aussi regarder les numéros de version....
0.xxx leurs auteurs ont certainement plus de modestie que tous les gros éditeurs sans éthiques.
Et puis si l'auteur de l'étude pouvait donner sa contribution au code, on en serait peut-être pas là... (Là, je suis un peu ironique...)
Jonas.
[^] # Re: Failles...
Posté par Kerro . Évalué à 8.
Nan c'est rien, je suis juste jalou :-)
[^] # Re: Failles...
Posté par Kerro . Évalué à 3.
# Article by obscurity
Posté par ~ lilliput (site web personnel) . Évalué à 5.
zgrep IN=$EXT_IF /var/log/kernel* |grep -v ICMP| grep -v RST| sed 's/^.*DPT=//;s/ .*$//' | sort | uniq -c | sort -rn | head -n 20
203459 445 Windows
22585 23 *nix
14325 7 *nix
13149 8080 (Scan pour des proxy webs..)
12324 8000 (Scan pour des services webs)
6434 1080 windows worms ISC / (Scan pour des services webs)
5385 135 Windows
2741 22 *nix
2455 60981 ?
2194 32790 ?
2188 1433 Windows
1933 3128 (Scan pour des proxy web..)
1625 1434 Windows
1597 48377 ?
1576 7212 ?
1469 49153 ?
1456 8118 (Scan pour des proxy web..)
1454 80 (Scan pour des services webs)
1379 2967 Windows Symantec AV
Windows:
214036 (72.0%)
*nix:
39651 (13.4%)
Service Webs:
43465 (14.6%)
Maintenant il est vrai que les logs de serveur webs regorgent de vieux exploits PHP includes.
La plus part des IDS reportent sur un certain contenu en utilisant des expressions régulières, il faut donc avoir un service configuré, et donc les statistiques générées seront aussi biaisées que les miennes ! Conclure que le logiciel open source est moins sécurisé y'a qu'un pas!
Les projets WEB disons le fort et ouvertement sont tres rarement sécurisé, qu'ils soient pro ou pas.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Article by obscurity
Posté par Quikeg . Évalué à 7.
Oui ben ça dépend pour qui, moi j'ai rien compris.
[^] # Re: Article by obscurity
Posté par inico (site web personnel) . Évalué à 4.
# Il fait chaud et beau.
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 8.
Aréoport de Nice, aréoport de Nice. Deux minutes d'arrêt.
[^] # Re: Il fait chaud et beau.
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 2.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Il fait chaud et beau.
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 10.
Il a écrit « collération » (mot inexistant) au lieu de « corrélation. »
Ce qui m'a poussé à citer La Cité de la Peur et son erreur (volontaire et célèbre) sur « aéroport de Nice » qui sonne comme « Arrêt au port de Nice, » suivant la mauvaise prononciation « aréoport. »
Pas besoin de se mettre en corrèle, donc.
[^] # Re: Il fait chaud et beau.
Posté par KiKouN . Évalué à 3.
[^] # Re: Il fait chaud et beau.
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 2.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Il fait chaud et beau.
Posté par BAud (site web personnel) . Évalué à 2.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.