Journal Le logiciel libre aurait plus de problèmes de sécurité…

Posté par  .
Étiquettes : aucune
10
7
juin
2010
Extrait traduit de cet article :
http://www.technologyreview.com/computing/25480/?a=f

« Le document, qui sera présenté cette semaine lors de la Workshop on the Economics of Information Security, met en collération 400 millions d'alertes provenant des systèmes de détection d'intrusion sur des vulnérabilités connues. Ces données appuient l'affirmation selon laquelle les failles dans les logiciels libres ont tendance à être attaquées plus rapidement, et plus souvent que les vulnérabilités des logiciels proprios, selon Sam Ransbotham, professeur assistant au Boston College de Carroll School of Management. »

VO :
« The paper, to be presented this week at the Workshop on the Economics of Information Security, correlated 400 million alerts from intrusion detection systems with known attributes of the targeted software and vulnerabilities. The data supports the assertion that flaws in open-source software tend to be attacked more quickly and more often than vulnerabilities in closed-source software, says Sam Ransbotham, assistant professor at Boston College's Carroll School of Management and the author of the paper. »

J'ai pas vérifié l'étude, mais y'a des trucs bizarres dans l'article. Bien que le titre et le ton général aille plutôt dans le sens logiciel libre = passoire, on retrouve le bon vieil argument des parts de marché :
« He argues that attackers might indiscriminately inundate a company's network with attacks on relatively unimportant open-source software, while focusing more serious attacks on more important systems running closed-source software.
Because Immunity's clients are most concerned about systems running closed-source software such as Microsoft Windows, Internet Explorer, Adobe Acrobat, and Sun's Java, Immunity's researchers attempt to exploit flaws in closed-source software within 24 hours of when they are first reported. Open-source software vulnerabilities are given a much lower priority. »

L'article finit sur une note plus mesurée, en disant qu'on trouve des failles que les sources soient disponibles ou non. De toutes façons, il me semble qu'en matière de sécurité, l'important c'est d'appliquer les maj quand une faille est découverte. Qu'en pensez-vous ?
  • # Peut être

    Posté par  (site web personnel) . Évalué à 10.

    C'est peut être vrai.
    La dernière "grosse" faille que je me rappelle sur Linux, c'était un exploit pour passer en root sans mot de passe. Je me souviens aussi qu'il a fallu moins de 36h pour que la faille soit corrigé et le patch étendu sur la majorité des distributions linux (ubuntu, debian, fedora, mandriva, opensus etc.)

    De l'autre, on a microsoft qui attend la 2ème mardi de chaque mois pour faire des correctifs de sécurité...voire corrige des failles vieilles de 6 ans (outlook et IE sont de vrais passoires, et je me demande si c'est pas voulu).

    Donc voilà, *si* statistiquement il y a plus de failles sur les systèmes ouvert, au moins elles sont corrigés TRÈS vite, contrairement aux OS propriétaires.
    • [^] # Re: Peut être

      Posté par  (site web personnel) . Évalué à 2.

      L'article semble surtout dire que les failles seraient plus facilement exploitables par la disponibilité du code source, ce qui me semble assez cohérent. De fait, entre trouver une faille dans un logiciel dont on a le code et dans un dont on ne l'a pas, il semble évident que ce sera plus facile dans le premier cas.

      J'ai souvenir d'un concours d'il y a une dizaine d'année sur slashdot pour craquer un site web commerçant. Le gagnant avait fait une analyse très poussée du code pour trouver au moins 3 vecteurs d'attaques. Deux s'étaient révélés inexploitables mais le 3e avait fini par lui donné l'accès root.

      L'exploit n'aurait pas été possible dans ce cas sans les sources. Ou aurait pris beaucoup beaucoup plus de temps.
      • [^] # Re: Peut être

        Posté par  . Évalué à 2.

        De fait, entre trouver une faille dans un logiciel dont on a le code et dans un dont on ne l'a pas, il semble évident que ce sera plus facile dans le premier cas.
        Perso je suis incapable de trouver une faille en lisant le code source d'une appli.
        Mais ça veut pas dire que des règles simples et une connaissance poussée du langage utilisé permettent effectivement d'éviter les failles les plus courantes et documentées.

        Pour ce qui est des binaires, les angles d'attaque sont connus :
        - confrontation de l'hexa du binaire avec des hexa formés par des logiciels représentant certaines failles.
        - Embauche de développeurs et achat de salles serveurs par des groupes clandestins/illégaux pour chercher à pénétrer les systèmes.
        - utilisation des outils de reconstitution de code par rétro-ingénierie pour tenter de recréer le source à partir des binaires.

        L'erreur consiste pour les analystes à considérer que l'"attaquant" serait un développeur informatique isolé qui pourrait éplucher des lignes de code. La plupart des personnes qui ont ce profil s'en tamponnent royalement des failles dans les logiciels libres.

        Sedullus dux et princeps Lemovicum occiditur

      • [^] # Re: Peut être

        Posté par  . Évalué à 4.

        Trouver la faille n'est pas forcement plus simple avec le code, parce qu'il faut comprendre le code pour vraiment pouvoir l'analyser, et bonne chance pour comprendre le code d'un truc de la taille de IE ou Firefox par exemple, si tu ne bosses pas dessus tous les jours, aucune chance.

        Par contre une fois que la faille a ete trouvee (genre tu te retrouves avec un crash apres quelques minutes/heures/jours de fuzzing), avoir le code aide a tourner cela en quelque chose d'exploitable plus facilement
  • # Failles...

    Posté par  . Évalué à 10.

    Bonjour,

    Il y a une faille dans ce document... :-)

    Malheureusement, la majeur parties de mes clients utilisent un système d'exploitation "privateur" dont le nom fait penser à un immense courant d'air...

    Je leur installe Mozilla Firefox en leur recommandant de laisser faire lorsque le programme les averti d'une mise à jour. Je leur recommande fortement de ne pas utiliser IE quelque soit la version.
    La raison en est simple :
    Je travaille au milieu du Pacifique et je me suis abonné à des newsletters de sécurité francophone. (secuser et autre...)

    J'ai remarqué que lorsque je reçois un message indiquant qu'une faille de sécurité a été découverte dans Thunderbird ou Firefox, compte-tenu du décalage horaire, je reçois le correctif presque en même temps.

    En ce qui concerne le fameux système "privateur" aux multiples courant d'air, les corrections arrivent très longtemps après leur découverte... Je pense que laisser autant de fenêtres ouvertes n'est pas vraiment prudent de nos jours... Il ne faut pas s'étonner si les ordinateurs s'enrhument . :-)

    Globalement, en ce qui concerne les failles de sécurité, on peut imaginer qu'ils n'ont pas franchement tenu compte des virus, parce que dans ce cas, aurait la palme d'or du flop, voir même(pour faire un jeu de mot mal placé...) du pétaflop...

    Il est possible que certains logiciels libres soient plus sensibles que d'autres aux attaques, mais il faudrait aussi regarder les numéros de version....
    0.xxx leurs auteurs ont certainement plus de modestie que tous les gros éditeurs sans éthiques.

    Et puis si l'auteur de l'étude pouvait donner sa contribution au code, on en serait peut-être pas là... (Là, je suis un peu ironique...)

    Jonas.
    • [^] # Re: Failles...

      Posté par  . Évalué à 8.

      Je travaille au milieu du Pacifique
      Nan c'est rien, je suis juste jalou :-)
      • [^] # Re: Failles...

        Posté par  . Évalué à 3.

        Ouais je sais, il manque un nixe. C'est mon clavier qui a un problème (moi je ne me trompe jamais, vrai de vrai).
  • # Article by obscurity

    Posté par  (site web personnel) . Évalué à 5.

    Certaines fois une simple commande est plus parlantes que 2 pages d'articles..

    zgrep IN=$EXT_IF /var/log/kernel* |grep -v ICMP| grep -v RST| sed 's/^.*DPT=//;s/ .*$//' | sort | uniq -c | sort -rn | head -n 20
    203459 445 Windows
    22585 23 *nix
    14325 7 *nix
    13149 8080 (Scan pour des proxy webs..)
    12324 8000 (Scan pour des services webs)
    6434 1080 windows worms ISC / (Scan pour des services webs)
    5385 135 Windows
    2741 22 *nix
    2455 60981 ?
    2194 32790 ?
    2188 1433 Windows
    1933 3128 (Scan pour des proxy web..)
    1625 1434 Windows
    1597 48377 ?
    1576 7212 ?
    1469 49153 ?
    1456 8118 (Scan pour des proxy web..)
    1454 80 (Scan pour des services webs)
    1379 2967 Windows Symantec AV

    Windows:
    214036 (72.0%)

    *nix:
    39651 (13.4%)

    Service Webs:
    43465 (14.6%)

    Maintenant il est vrai que les logs de serveur webs regorgent de vieux exploits PHP includes.
    La plus part des IDS reportent sur un certain contenu en utilisant des expressions régulières, il faut donc avoir un service configuré, et donc les statistiques générées seront aussi biaisées que les miennes ! Conclure que le logiciel open source est moins sécurisé y'a qu'un pas!

    Les projets WEB disons le fort et ouvertement sont tres rarement sécurisé, qu'ils soient pro ou pas.

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

    • [^] # Re: Article by obscurity

      Posté par  . Évalué à 7.

      Certaines fois une simple commande est plus parlantes que 2 pages d'articles

      Oui ben ça dépend pour qui, moi j'ai rien compris.
      • [^] # Re: Article by obscurity

        Posté par  (site web personnel) . Évalué à 4.

        Sa commande extrait de ses logs firewall les ports de destinations des paquets bloqués à destination de son interface externe qui ne sont pas de l'ICMP ou des tcp reset et en fait un top 20.
  • # Il fait chaud et beau.

    Posté par  (site web personnel) . Évalué à 8.

    >> met en collération 400 millions d'alertes

    Aréoport de Nice, aréoport de Nice. Deux minutes d'arrêt.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.