Je m'en fout des chercheurs, je parle de ceux qui ont signé le NDA. Est ce que eux publient des bouts d'assembleur en toute impunité ou pas ?
Oui, tout simplement car a un moment ou un autre, toutes ces boites de securite (IOActive, CORE, Leviathan, …) ont signe un NDA avec Microsoft pour bosser sur leurs produits, notamment pendant Vista. Et c'est public ca aussi.
Prouve le.
Prouves l'inverse, donne moi un lien sur des poursuites contre un chercheur. Ou bien tu veux que je te postes des millions de liens sur toutes les poursuites aux US pour te prouver qu'aucun ne contient un chercheur securite vs MS ?
J'en ai même pas la preuve que microsoft le leur file.
C'est public, decrit sur le site de MS, des gens ici l'ont confirme, etc… alors oui, tu peux jouer au jeu de "je l'ai pas vu de mes yeux j'y crois pas" si tu veux, ca va pas faire avancer le schmilblick
Les événements récents ont plutôt tendance à prouver le contraire, entre le référentiel d'interopérabilité et le contrat open bar à la défense …
C'est un peu trop facile de partir de la logique que si le govt suit le point de vue de MS, alors c'est qu'il y a eu manip frauduleuse/pression indue et que MS controle tout.
Expliques nous plutot d'ou MS tire ce pouvoir tellement enorme qu'il peut controler les gouvernements, et pourquoi, si il a vraiment tellement de pouvoir, il s'est pris tellement de problemes de la part de plusieurs govt en termes de marches perdus, poursuites, …
Si tu n'a pas trouvé la faille avec les sources, tu l'a sans doute fait en décompilant, ce qui est tout aussi illégal.
Relis ce que j'ai dit plus haut. Ca fait des annees que des chercheurs postent le code desassemble de Windows pour demontrer les failles, aucun ne s'est jamais fait poursuivre.
Clairement, personne ne va se dire "ouh la je peux pas poster cette faille sinon je me ferai poursuivre".
J'ai pas accès au sources, donc ça ne peut pas être moi. C'est totalement HS ce que tu dit.
Faut avoir les sources pour etre chercheur securite ?
J'y crois pas un seul mot. Si c'était le cas, Bill Gates n'aurai jamais été reçu comme un chef d'état en France (et toutes les réaffirmations de l'interdiction de la vente liée ne serai jamais tombées à l'eau peu de temps après).
Si c'etait le cas, dis moi donc, pourquoi est-ce que MS leur file les sources ? Ils pourraient tout simplement les envoyer balader en leur disant que c'est proprio et pas leurs affaires.
Ils n'auraient pas besoin de faire des remises quand en concurrence avec Linux non plus, etc…
Faut arreter de croire que MS c'est l'etoile noire hein, ils sont pas tout puissant sur terre. Si le gouv. francais decide de migrer a Linux, MS ne peut rien faire contre a part les supplier de ne pas le faire et se mettre a genoux.
Mais on s'en branle des chercheurs ! Moi je te parle des privilégiés qui ont les sources, et du département légal.
Mais tu penses quoi ? Que le NDA dit "si un jour vous regardez les sources, alors vous n'aurez plus jamais le droit de parler d'une faille meme si vous l'avez trouvee sans les sources" ? C'est totalement illegal comme clause car totalement hors de proportion. Deja aucun juge ne tiendrait ca pour valide et aucun gouvernement ne serait assez con pour signer le contrat.
Un chercheur ca peut etre toi, moi, le pekin moyen, un gars chez EADS ou au departement de la defense francais.
Inutile de te dire qu'ils sont pas cons en France(enfin certains oui, comme partout) et ailleurs, ils ne vont pas signer n'importe quoi, et quand c'est en France, le contrat est regit par le droit francais car le gvt est non seulement pas con mais tous les actes se produiront sur sol francais, donc regit par ses lois.
Je connais pas ton NDA. Rien me dit qu'il n'a pas ces provisions, et bien d'autres encore.
Justement, moi je le connais, et il ne contient rien de ce genre.
Visiblement un truc que tu as du mal a realiser, c'est que dans la dynamique Microsoft-gouvernement (pour tous les gros pays), c'est les gouvernements qui tiennent la corde, car ce sont de gros clients, tres visibles, de MS. Si ils decident de migrer, ca fait mal chez MS, si ils disent publiquement qu'ils ne peuvent pas garantir que Windows est 'propre' ca fait mal, etc… MS ne peut pas leur dicter n'importe quoi comme termes.
"Mais monsieur le juge, tout le monde fait la même chose !", c'est ça ta défense ? Je te choisirai pas comme avocat.
Les chercheurs font ca depuis 10 ans, fait avere et factuel. Demain un chercheur trouve une faille, dont seul MS et la NSA savent que c'est une backdoor. Le chercheur ne le sait pas ca, il va continuer a faire comme ces 10 dernieres annees.
Dis moi, pourquoi donc est-ce qu'il changerait de comportement subitement ? De son point de vue, il n'y a aucun facteur changeant.
"En fait, il pourrai très bien y avoir une bonne grosse backdoor facilement désactivable au runtime, bien visible par ceux qui y ont accès au sources (si tenté qu'ils y en ai en dehors de Microsoft) mais bien planqué pour ceux qui n'ont que les binaires. Juste que le NDA interdirait de dévoiler ça."
Là tu le fait exprès. le NDA ne va bien entendu pas uniquement porter que sur les sources, gros malin.
Tu crois que mon NDA a moi, en tant qu'employe non-US, chef d'un des team s'occupant des vulnerabilites rapportees dans tous les produits de MS et ayant acces aux sources de tous leurs produits et sites, est plus faible que le leur ?
Il y a Xamarin qui semble t'il le fait bien, mais je n'ai jamais essaye. Je serais d'ailleurs assez interesse par les retours de gens qui l'ont essaye.
Je pense pas qu'on peut les classer en 'plus sympa que', c'est 2 boites differentes. Les technos sur lesquelles je bosse sont differentes, la culture d'entreprise est differente, …
De mon point de vue il y a du positif et du negatif des 2 cotes, mais d'autres verraient les choses selon d'autres criteres, bref les gouts et les couleurs…
Le droit et la technique sont deux choses différentes. Rien à foutre du point de vue du chercheur sécurité, moi je veux le point de vue du département légal.
Moi je te parles du chercheur. Il ne verra aucune difference, il fera sa publication comme d'habitude, comme ces 10 dernieres annees ou il n'y a jamais eu de probleme
En fait, il pourrai très bien y avoir une bonne grosse backdoor facilement désactivable au runtime, bien visible par ceux qui y ont accès au sources (si tenté qu'ils y en ai en dehors de Microsoft) mais bien planqué pour ceux qui n'ont que les binaires. Juste que le NDA interdirait de dévoiler ça.
Deja une backdoor bien visible voudrait dire que nombre d'employes de MS l'auraient vue, hors la moitie des employes voire plus de Windows sont des non-americains et/ou ne sont pas situes aux USA donc inutile de dire que ce serait un suicide.
Tu m'expliques comment c'est "bien planque pour ceux qui n'ont pas les binaires" ? Obfuscation du code ? Ca se detecte et ca met un gros WARNING dessus evidemment.
Quand a un NDA, un NDA ca ne stoppe rien du tout. Moi je suis sous NDA vu que j'avais acces aux sources, mais j'ai tout a fait le droit d'aller trouver des failles dans Windows. Si il y avait une telle backdoor et je voulais la reveler :
- Je desassemble le binaire qui la contient
- Je fais un post qui suit les etapes avec le code desassemble et qui montre que ce code ouvre une porte a l'exterieur
Nulle part les sources sont utilisees, ils ne peuvent pas prouver que j'ai utilise les sources pour mon analyse, il est des lors impossible a MS de me poursuivre en se basant sur le NDA.
Alors cette information est inutile; MS tolère peut-être ça à ceux qui font croire que MS fait attention à la sécurité de ses produits mais peut très bien en décider autrement pour ceux qui cherchent des backdoors.
Dis moi, c'est quoi la difference entre une faille et une backdoor ? En tant que chercheur securite, tu verras quoi comme difference ? Cette faille que tu trouveras qui affectes tout le monde, c'est une faille innocente ou une backdoor ? Ces failles qui ont ete publiees par ces chercheurs, comment sais-tu si c'etait des backdoors ou pas ?
Ça sera bien plus simple que de prouver un programme assembleur. De plus, tu pourrai très bien uniquement analyser les branches du code du compilo qui servent à compiler l'OS. La tâche restera titanesque mais MS ne laisse pas le choix.
Bref, t'as titanesque compare a pas de choix ? On va dire que la difference est minime hein.
Non c'est toi qui ne comprend toujours pas ces slides. Ces conclusions sont du point de vue d'un sysadmin/network admin, leur but etait de voir ce que l'ont peut faire de Skype sur un reseau d'entreprise. Leur conclusions dit qu'en regardant le traffic tu ne peux pas savoir si il y a extraction ou pas. Ca ne veut pas dire qu'en regardant le binaire tu ne peux pas.
BitLocker ne garde les clefs nulle part par defaut, c'est a toi de creer un backup des clefs(soit sur AD soit papier, …), si tu n'as pas le mot de passe, ta partition est impossible a recuperer.
C'est quand même dingue de voir un type prétendre que l'assembleur est tout aussi facile à lire que le code source (si tu avoues qu'il y a une différence, alors, tu comprends ce que je veux dire)
Il y a une difference oui, et alors ? Ca veut dire que ca devient impossible de comprendre ce que le code fait ? Non evidemment.
que les relations entre "partenaires" (dans le sens opposé à vendeur-client classique, puisque dans le libre, les clients ont souvent plus de pouvoir que les vendeurs sur le futur du projet) sont identiques quand le programme appartient au vendeur ou quand le programme peut être emporté par le client (et qu'en plus tu prétends que tes compétences informatiques te permet de comprendre les implications socio-économiques d'un tel système)
Mais 99% des clients du libre se foutent totalement du fait de pouvoir 'emporter' le soft, quasiment aucun utilisateur du libre ne change une ligne de code.
Sinon, tu m'expliqueras ou je dis que mes competences informatiques ont quoi que ce soit a voir avec la comprehension d'implications socio-economiques.
Que tu m'aurais dit: "tout n'est pas si simple (le libre n'apporte pas TANT QUE ÇA même s'il y a une différence)", j'aurais accepté, mais que tu me dises: "non, c'est l'inverse: c'est très simple mais dans le sens opposé
J'ai dit que le libre est pire ? Tu me montres ou ?
Cependant les développeurs ont bien expliquer comment accéder malgré tout aux données en ciblant les clés de sauvegardes crées par le logiciel ! Il n'y a pas de backdoor proprement dit (cela fera plaisir à pasBill…), mais l'accès aux données est bien là et ça revient bien au même !
Revient au meme ? C'est a dire ? Choper la clef d'encryption ecrite sur un papier ou autre revient au meme qu'avoir une backdoor ? Tu fumes trop de substances illegales ?
Entre patcher un logiciel et un avion, il y a des mois de travail, de modélisation, et un coût colossal qui sépare les deux. Puis en informatique le patch s'applique immédiatement avec retour en arrière immédiat si besoin, un avion nécessite une immobilisation se chiffrant en semaines.
Tu penses que cela coute combien de patcher les logiciels qui s'occupent de la navigation, des moteurs, etc… dans les avions ?
Tu penses que cela coute combien de tester un patch sur disons la stack reseau d'un OS utilise par 500 millions de personnes, histoire qu'il ne merde pas dans 1% des cas et mette un million de machines a la rue ?
Ça fait des heures et des heures que j'explique qu'on ne sait pas voir que la faille et normale ou pas et que c'est ça la différence entre le libre et le proprio.
Un buffer overflow est un buffer overflow, dans le libre ou le proprio le code sera le meme. Tu m'expliques comment tu arrives a voir dans un cas que c'est une faille 'pas normale' et pas dans l'autre ?
Ajouter une faille est alors très difficile. Par exemple, on a un complice chez Redhat. Il ajoute la faille. Les types de Ubuntu, Suse, etc … jettent régulièrement un œil sur ce qui change chez Redhat parce que s'ils améliorent quelque chose, ça le intéresse. Du coup, un ajout suspect sera dénoncé par eux, d'autant plus que cela fera une bonne pub pour eux et une mauvaise pub pour un concurrent.
N'importe quoi. Deja il faut que l'ajout soit 'suspect', plutot qu'un bug innocent. Ensuite une 'mauvaise pub' est une mauvaise pub pour tous les Linux, et ca pourrit la collaboration a l'interieur des projets si ils se mettent a pointer du doigt.
Ajouter une faille n'est certainement pas tres difficile non, la preuve : plein de failles sont trouvees dans les diverse projets, bien apres qu'elles aient ete inserees, et elles n'ont pas ete trouvees par les mainteneurs de Ubuntu/Suse/…
Si t'insères une faille dans le noyau, tu recevras des commentaires de types de chez Intel, Redhat, SystemD, … te disant: "hé, pourquoi vous avez fait cette modification non justifiée. on doit faire du code qui marche avec le noyau, donc, on vérifie que les modifications sont compatibles avec nous, et cette modification n'a pas de sens."
Oui bien sur. Dans quel monde tu vis dis moi ?
Les failles qui sont corrigees chaque mois dans le noyau, qui pour certaines etaient la depuis des annees, tu me dis si ce sont des failles innocentes ou des backdoors ?
Ah oui tu ne peux pas.
Comment elles sont entrees dans le code dis moi ? Parait que les gars de Redhat/Intel/SystemD les trouvent vite fait selon toi.
Si tu l'insères dans Firefox ou KDE/Gnome, tu devras justifier ta modification. Faire une bonne backdoor qui ressemble à une faille n'est pas facile.
Justifier ? Mais vraiment… Tu crois que si je veux inserer une faille je vais envoyer un patch de 3 lignes ?
Evidemment que non, je vais inserer une nouvelle fonctionnalite, un changement assez gros qui est utile, et au milieu il y aura cette faille qui passera inapercue.
Faire une bonne backdoor qui ressemble à une faille et qui passe inaperçu quand on regarde uniquement le bout de code modifié est encore plus dur. Fair une bonne backdoor qui ressemble à une faille et qui est une modification justifiée du code est encore plus dur.
Non c'est simplement que tu n'as aucune experience de comment le faire. Tu prends l'exemple des failles qui se retrouvent dans IE/Chrome/Firefox le plus souvent (use-after-free) et qui sont les pljus faciles a exploiter, il suffit dans ton bout de code d'oublier de faire un release sur un objet, ou mettre un acquire de trop (mauvais reference count). C'est tellement simple a faire que ces browsers en regorgent. Et le browser et la porte d'entree ideale pour des telephones mobiles, tablettes, desktops, …
Du tout, je parles de backdoor dans un cas (un truc avere malefique), et faille dans l'autre.
Et c'est un problème TOTALEMENT différent du fait de prouver quoi que ce soit (alors que tu reconnais par ailleurs que prouver une backdoor intelligente est impossible, je ne vois pas pourquoi tu continues à t'acharner là-dessus)
Non c'est exactement la meme chose : reverse engineering pour voir ce qu'un code obfusque et complexe fait.
et le pointage du doigt n'aura servi à rien (car si l'Europe, par exemple, veut vérifier, elle devra investir 1 an de boulot là dessus).
Tu te fiches de moi ?
Si je fais l'analyse en y mettant un an, et que je publie le papier, l'Europe n'a qu'a lire le papier, suivre les etapes et verifier. Ca prend qqe semaines a tout casser dans un cas complexe.
Bref, c'est bien ce que je dis: montrer l'erreur dans l'assembleur, si cette erreur a été un minimum obfusqué, ça ne convaincra jamais aucun juge
Visiblement tu n'as aucune experience de reverse engineering pour oser dire un truc pareil. Devines quoi, le code assembleur c'est du code, comme le C. Tu peux suivre son parcours comme en lisant du code C.
Tu as prétendu connaitre le seuil de confiance de la communauté dans un contexte où ils ne se sentent plus client-vendeur mais partenaires et où la concurrence est plus grande.
Partenaires ? Mais tu ne vis pas dans le meme monde mon cher. Les gens qui sont "partenaire" dans le monde libre sont une infime minorite des gens utilisant ces softs(principalement les devs). L'enorme, enorme, majorite n'y voit que des outils pratiques.
Certainement, on ne peut pas prevoir le futur, mais clairement, ces dernieres annees, personne n'a eu le sentiment qu'il ne pouvait pas le faire.
Personne ne peut dire qu'il y a une 'peur de se faire poursuivre' qui empeche les gens de publier des failles/backdoors dans Windows, les dernieres annees prouvent exactement le contraire.
Aux US tout n'a donc pas besoin d'être écrit. Les juges n'écrivent pas les lois, ils disent le droit, ça s’appelle la jurisprudence.
Pas vraiment non, ils se basent toujours au final sur la loi, et aucune loi ne dit que le gouvernement doit pouvoir avoir acces aux donnees des gens, de plus, il faudrait que cela soit publique parce que FISA, qui est la seule court 'secrete' n'a pas la possibilite de le faire, ils sont la pour une et une seule raison.
Les révélation de Snowden ont montrées que les éditeurs US ont répondus à toutes les demandes du gouvernement US.
Les revelations de Snowden n'ont RIEN montre sur les editeurs, absolument RIEN. Seuls les fournisseurs de services etaient affectes.
Tu es sérieux ? Tu penses réellement que le type qui va mettre une backdoor dans windows va le faire se connecter automatiquement à son serveur ?
Pourquoi ferait-il ça ?
Tout a fait, tu viens de demontrer par A+B pourquoi il n'y a aucune difference entre un projet libre et un proprio : dans les 2 cas tu ne sauras jamais si c'etait une faille normale ou autre chose.
Avec Linux, tu n'es pas obligé de changer d'OS. C'est ça l'important: tu peux continuer à utiliser le même code, mais gérer par une autre équipe, si tu as perdu confiance dans l'équipe initiale.
Prends Redhat, Ubuntu, Suse, etc… et fais des stats sur combien de code est different.
La seule possibilite de fork viable est si bcp de gens passent sur le nouveau fork. A moins que le gars qui insere une backdoor fasse ca de maniere totalement stupide, et on parle de la NSA ici hein, il n'y aura rien d'assez scandaleux pour que cela arrive.
Si une faille est découverte, ma confiance diminue (peu importe sa raison d'être).
On a trouvé une faille dans OpenSSL, et maintenant, il y a LibreSSL, parce que cette faille a été suffisante pour faire suffisamment baisser la confiance de certains. Et la question du fait que cette faille est une backdoor ou pas n'a rien à voir.
Il y a eu LibreSSL parce qu'OpenSSL est connu pour etre un code vraiment pourri.
Si je t'inseres une faille dans le kernel Linux par an, une autre dans Firefox ou KDE/Gnome, personne n'y verra rien, ca ne rendra pas des stats scandaleuses niveau decouverte de failles si elles sont trouvees, personne ne bougera.
Toi tu n'as visiblement meme pas lu les 1ers slides.
Leur objectif etait d'analyser Skype pour voir ce qu'il est possible de faire en tant que network/sysadmin, et leur conclusion parle de ce point de vue la, pas du point de vue d'un reverse-engineer.
Pour un sysadmin, pas de possibilite de distinguer avec des regles sur traffic ou IDS, pour un reverse engineer qui analyse le binaire, c'est comprehensible par contre, la preuve, ils l'ont compris.
Et le type qui crée une backdoor va faire en sorte que ça soit facile ? Comme je le disais: tes arguments ne marchent que si le type qui crée la backdoor est un abruti fini.
Bien sur que non, ca ne veut pas dire que c'est impossible.
T'as remarque que depuis 20 ans les editeurs de jeux mettent des protections de plus en plus abracadabrantes et qu'a chaque fois elles se font exploser ?
Merci de donner un lien d'une présentation d'un type qui confirme que tu as tort.
C'est bien, heureux de voir que tu es bloque en 2006.
Ah marrant, il a reverse engineere quasiment entierement le protocole Skype…
En quoi ce fait te donne-t-il la moindre légitimité sur l'évaluation de la difficulté de procédure dans un environnement dont tu ne connais pas le fonctionnement ?
Quel environnement dont je ne connais pas le fonctionnement ? Le monde libre ?
Mysql -> MariaDB, OpenSSL -> LibreSSL, GnomeShell -> Xfce pour BIEN MOINS QUE ÇA.
Tu as beau répéter ça sur tout les tons, le fait est qu'avec du libre, le code est séparé du développeur et ce n'est pas le cas avec le proprio.
Mais mon cher, si je suis developpeur MySQL et j'inseres une faille intentionnelle dans MySQL. Il ne se passera rien si elle est trouvee.
Tout le monde pensera que c'est une faille tout simplement, car je suis pas idiot, je vais pas mettre un commentaire au dessus disant que c'est une backdoor, et je vais pas faire un system("ssh monserver a moi") non plus, et tout le monde continuera a l'utiliser.
Je ne t'encourages a rien du tout, je te dis que tout le monde le fait dans l'industrie securite et personne n'a jamais ete poursuivi pour cela, alors que MS le voit tout le temps.
Pour le probleme indecidable, oui tout a fait, maintenant on est pas dans la theorie ici ou on doit ecrire le systeme parfait, tu ecris un systeme qui t'apporte des garanties suffisantes.
Filer le code source du compilateur suffit ? Seulement si tu fais un audit de ce compilo, qui est une tache enorme elle meme.
Ensuite, je pense que l'idée même d'agent dormant est toxique.
Toxique parce que ça ne peux qu'aboutir à moins de collaboration à terme, et c'est exactement ce que Assange a tenté de faire avec Wikileaks
Tout a fait, mais il faut etre realiste. Des agences comme la NSA, le KGB, la DGSE, etc… ont un job. Elles vont faire ce job, peut importe l'impact que ca a sur le libre, sur MS, etc… en grande partie (il y a des limites j'imagines, mais certainement pas la ou on le voudrait).
L'agent dormant est tout simplement logique comme methode. Il y a 3-4 ans, un groupe d'agents russes se sont fait jete hors des USA, un de ces agents a un moment etait dev chez Microsoft… Tu crois qu'il est irrealiste qu'ils fassent de meme sur le noyau Linux, sur Apache, etc… ? Bien sur que non, ce sont des cibles de choix.
Serieux, si t'as un exploit local, quel interet d'installer un moteur crypto ? T'installes un rootkit et tu as controle complet sur la machine, tu peux t'inserer dans tous les processus, cacher ta propre existence, hooker la stack TCP/IP, lire ce qui arrive sur tous les sockets en clair, enlever le check de signatures pour les moteurs crypto et le faire afficher que tout est ok tout le temps, etc…
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 1.
Oui, tout simplement car a un moment ou un autre, toutes ces boites de securite (IOActive, CORE, Leviathan, …) ont signe un NDA avec Microsoft pour bosser sur leurs produits, notamment pendant Vista. Et c'est public ca aussi.
Prouves l'inverse, donne moi un lien sur des poursuites contre un chercheur. Ou bien tu veux que je te postes des millions de liens sur toutes les poursuites aux US pour te prouver qu'aucun ne contient un chercheur securite vs MS ?
C'est public, decrit sur le site de MS, des gens ici l'ont confirme, etc… alors oui, tu peux jouer au jeu de "je l'ai pas vu de mes yeux j'y crois pas" si tu veux, ca va pas faire avancer le schmilblick
C'est un peu trop facile de partir de la logique que si le govt suit le point de vue de MS, alors c'est qu'il y a eu manip frauduleuse/pression indue et que MS controle tout.
Expliques nous plutot d'ou MS tire ce pouvoir tellement enorme qu'il peut controler les gouvernements, et pourquoi, si il a vraiment tellement de pouvoir, il s'est pris tellement de problemes de la part de plusieurs govt en termes de marches perdus, poursuites, …
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 1.
Relis ce que j'ai dit plus haut. Ca fait des annees que des chercheurs postent le code desassemble de Windows pour demontrer les failles, aucun ne s'est jamais fait poursuivre.
Clairement, personne ne va se dire "ouh la je peux pas poster cette faille sinon je me ferai poursuivre".
Faut avoir les sources pour etre chercheur securite ?
Si c'etait le cas, dis moi donc, pourquoi est-ce que MS leur file les sources ? Ils pourraient tout simplement les envoyer balader en leur disant que c'est proprio et pas leurs affaires.
Ils n'auraient pas besoin de faire des remises quand en concurrence avec Linux non plus, etc…
Faut arreter de croire que MS c'est l'etoile noire hein, ils sont pas tout puissant sur terre. Si le gouv. francais decide de migrer a Linux, MS ne peut rien faire contre a part les supplier de ne pas le faire et se mettre a genoux.
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 2.
Mais tu penses quoi ? Que le NDA dit "si un jour vous regardez les sources, alors vous n'aurez plus jamais le droit de parler d'une faille meme si vous l'avez trouvee sans les sources" ? C'est totalement illegal comme clause car totalement hors de proportion. Deja aucun juge ne tiendrait ca pour valide et aucun gouvernement ne serait assez con pour signer le contrat.
Un chercheur ca peut etre toi, moi, le pekin moyen, un gars chez EADS ou au departement de la defense francais.
Inutile de te dire qu'ils sont pas cons en France(enfin certains oui, comme partout) et ailleurs, ils ne vont pas signer n'importe quoi, et quand c'est en France, le contrat est regit par le droit francais car le gvt est non seulement pas con mais tous les actes se produiront sur sol francais, donc regit par ses lois.
Justement, moi je le connais, et il ne contient rien de ce genre.
Visiblement un truc que tu as du mal a realiser, c'est que dans la dynamique Microsoft-gouvernement (pour tous les gros pays), c'est les gouvernements qui tiennent la corde, car ce sont de gros clients, tres visibles, de MS. Si ils decident de migrer, ca fait mal chez MS, si ils disent publiquement qu'ils ne peuvent pas garantir que Windows est 'propre' ca fait mal, etc… MS ne peut pas leur dicter n'importe quoi comme termes.
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 2. Dernière modification le 03 juin 2014 à 22:12.
Les chercheurs font ca depuis 10 ans, fait avere et factuel. Demain un chercheur trouve une faille, dont seul MS et la NSA savent que c'est une backdoor. Le chercheur ne le sait pas ca, il va continuer a faire comme ces 10 dernieres annees.
Dis moi, pourquoi donc est-ce qu'il changerait de comportement subitement ? De son point de vue, il n'y a aucun facteur changeant.
Euuuhh… la : http://linuxfr.org/users/tontonbenoit/journaux/truecrypt-la-fin#comment-1541061
"En fait, il pourrai très bien y avoir une bonne grosse backdoor facilement désactivable au runtime, bien visible par ceux qui y ont accès au sources (si tenté qu'ils y en ai en dehors de Microsoft) mais bien planqué pour ceux qui n'ont que les binaires. Juste que le NDA interdirait de dévoiler ça."
Tu crois que mon NDA a moi, en tant qu'employe non-US, chef d'un des team s'occupant des vulnerabilites rapportees dans tous les produits de MS et ayant acces aux sources de tous leurs produits et sites, est plus faible que le leur ?
[^] # Re: Segmentation et dé-segmentation dans le développement mobile
Posté par pasBill pasGates . En réponse au journal Apple annonce Swift, son nouveau langage de programmation. Évalué à 4.
Il y a Xamarin qui semble t'il le fait bien, mais je n'ai jamais essaye. Je serais d'ailleurs assez interesse par les retours de gens qui l'ont essaye.
[^] # Re: sourceforge non compromis ?
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 0.
Je pense pas qu'on peut les classer en 'plus sympa que', c'est 2 boites differentes. Les technos sur lesquelles je bosse sont differentes, la culture d'entreprise est differente, …
De mon point de vue il y a du positif et du negatif des 2 cotes, mais d'autres verraient les choses selon d'autres criteres, bref les gouts et les couleurs…
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 2.
Moi je te parles du chercheur. Il ne verra aucune difference, il fera sa publication comme d'habitude, comme ces 10 dernieres annees ou il n'y a jamais eu de probleme
Deja une backdoor bien visible voudrait dire que nombre d'employes de MS l'auraient vue, hors la moitie des employes voire plus de Windows sont des non-americains et/ou ne sont pas situes aux USA donc inutile de dire que ce serait un suicide.
Tu m'expliques comment c'est "bien planque pour ceux qui n'ont pas les binaires" ? Obfuscation du code ? Ca se detecte et ca met un gros WARNING dessus evidemment.
Quand a un NDA, un NDA ca ne stoppe rien du tout. Moi je suis sous NDA vu que j'avais acces aux sources, mais j'ai tout a fait le droit d'aller trouver des failles dans Windows. Si il y avait une telle backdoor et je voulais la reveler :
- Je desassemble le binaire qui la contient
- Je fais un post qui suit les etapes avec le code desassemble et qui montre que ce code ouvre une porte a l'exterieur
Nulle part les sources sont utilisees, ils ne peuvent pas prouver que j'ai utilise les sources pour mon analyse, il est des lors impossible a MS de me poursuivre en se basant sur le NDA.
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 2.
Dis moi, c'est quoi la difference entre une faille et une backdoor ? En tant que chercheur securite, tu verras quoi comme difference ? Cette faille que tu trouveras qui affectes tout le monde, c'est une faille innocente ou une backdoor ? Ces failles qui ont ete publiees par ces chercheurs, comment sais-tu si c'etait des backdoors ou pas ?
Bref, t'as titanesque compare a pas de choix ? On va dire que la difference est minime hein.
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 2.
Non c'est toi qui ne comprend toujours pas ces slides. Ces conclusions sont du point de vue d'un sysadmin/network admin, leur but etait de voir ce que l'ont peut faire de Skype sur un reseau d'entreprise. Leur conclusions dit qu'en regardant le traffic tu ne peux pas savoir si il y a extraction ou pas. Ca ne veut pas dire qu'en regardant le binaire tu ne peux pas.
[^] # Re: NSA ?
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 0.
Le "sequestre des clefs" ? Ca veut dire quoi ca ?
BitLocker ne garde les clefs nulle part par defaut, c'est a toi de creer un backup des clefs(soit sur AD soit papier, …), si tu n'as pas le mot de passe, ta partition est impossible a recuperer.
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 2.
Il y a une difference oui, et alors ? Ca veut dire que ca devient impossible de comprendre ce que le code fait ? Non evidemment.
Mais 99% des clients du libre se foutent totalement du fait de pouvoir 'emporter' le soft, quasiment aucun utilisateur du libre ne change une ligne de code.
Sinon, tu m'expliqueras ou je dis que mes competences informatiques ont quoi que ce soit a voir avec la comprehension d'implications socio-economiques.
J'ai dit que le libre est pire ? Tu me montres ou ?
[^] # Re: NSA ?
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 1.
Revient au meme ? C'est a dire ? Choper la clef d'encryption ecrite sur un papier ou autre revient au meme qu'avoir une backdoor ? Tu fumes trop de substances illegales ?
[^] # Re: La classique erreur de comparer matériel et immatériel...
Posté par pasBill pasGates . En réponse au journal Est-ce que RMS raconte "des idioties basées sur des prémisses qui n'ont plus cours" ?. Évalué à -2.
Tu penses que cela coute combien de patcher les logiciels qui s'occupent de la navigation, des moteurs, etc… dans les avions ?
Tu penses que cela coute combien de tester un patch sur disons la stack reseau d'un OS utilise par 500 millions de personnes, histoire qu'il ne merde pas dans 1% des cas et mette un million de machines a la rue ?
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 1.
Ah oui tiens, j'avais pas pense au fait que tout etait dans le SoC :/
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 2.
Un buffer overflow est un buffer overflow, dans le libre ou le proprio le code sera le meme. Tu m'expliques comment tu arrives a voir dans un cas que c'est une faille 'pas normale' et pas dans l'autre ?
N'importe quoi. Deja il faut que l'ajout soit 'suspect', plutot qu'un bug innocent. Ensuite une 'mauvaise pub' est une mauvaise pub pour tous les Linux, et ca pourrit la collaboration a l'interieur des projets si ils se mettent a pointer du doigt.
Ajouter une faille n'est certainement pas tres difficile non, la preuve : plein de failles sont trouvees dans les diverse projets, bien apres qu'elles aient ete inserees, et elles n'ont pas ete trouvees par les mainteneurs de Ubuntu/Suse/…
Oui bien sur. Dans quel monde tu vis dis moi ?
Les failles qui sont corrigees chaque mois dans le noyau, qui pour certaines etaient la depuis des annees, tu me dis si ce sont des failles innocentes ou des backdoors ?
Ah oui tu ne peux pas.
Comment elles sont entrees dans le code dis moi ? Parait que les gars de Redhat/Intel/SystemD les trouvent vite fait selon toi.
Justifier ? Mais vraiment… Tu crois que si je veux inserer une faille je vais envoyer un patch de 3 lignes ?
Evidemment que non, je vais inserer une nouvelle fonctionnalite, un changement assez gros qui est utile, et au milieu il y aura cette faille qui passera inapercue.
Non c'est simplement que tu n'as aucune experience de comment le faire. Tu prends l'exemple des failles qui se retrouvent dans IE/Chrome/Firefox le plus souvent (use-after-free) et qui sont les pljus faciles a exploiter, il suffit dans ton bout de code d'oublier de faire un release sur un objet, ou mettre un acquire de trop (mauvais reference count). C'est tellement simple a faire que ces browsers en regorgent. Et le browser et la porte d'entree ideale pour des telephones mobiles, tablettes, desktops, …
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 2.
Du tout, je parles de backdoor dans un cas (un truc avere malefique), et faille dans l'autre.
Non c'est exactement la meme chose : reverse engineering pour voir ce qu'un code obfusque et complexe fait.
Tu te fiches de moi ?
Si je fais l'analyse en y mettant un an, et que je publie le papier, l'Europe n'a qu'a lire le papier, suivre les etapes et verifier. Ca prend qqe semaines a tout casser dans un cas complexe.
Visiblement tu n'as aucune experience de reverse engineering pour oser dire un truc pareil. Devines quoi, le code assembleur c'est du code, comme le C. Tu peux suivre son parcours comme en lisant du code C.
Partenaires ? Mais tu ne vis pas dans le meme monde mon cher. Les gens qui sont "partenaire" dans le monde libre sont une infime minorite des gens utilisant ces softs(principalement les devs). L'enorme, enorme, majorite n'y voit que des outils pratiques.
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 2.
Certainement, on ne peut pas prevoir le futur, mais clairement, ces dernieres annees, personne n'a eu le sentiment qu'il ne pouvait pas le faire.
Personne ne peut dire qu'il y a une 'peur de se faire poursuivre' qui empeche les gens de publier des failles/backdoors dans Windows, les dernieres annees prouvent exactement le contraire.
[^] # Re: le code avait été audité
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 0.
Pas vraiment non, ils se basent toujours au final sur la loi, et aucune loi ne dit que le gouvernement doit pouvoir avoir acces aux donnees des gens, de plus, il faudrait que cela soit publique parce que FISA, qui est la seule court 'secrete' n'a pas la possibilite de le faire, ils sont la pour une et une seule raison.
Les revelations de Snowden n'ont RIEN montre sur les editeurs, absolument RIEN. Seuls les fournisseurs de services etaient affectes.
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 0.
Tout a fait, tu viens de demontrer par A+B pourquoi il n'y a aucune difference entre un projet libre et un proprio : dans les 2 cas tu ne sauras jamais si c'etait une faille normale ou autre chose.
Prends Redhat, Ubuntu, Suse, etc… et fais des stats sur combien de code est different.
La seule possibilite de fork viable est si bcp de gens passent sur le nouveau fork. A moins que le gars qui insere une backdoor fasse ca de maniere totalement stupide, et on parle de la NSA ici hein, il n'y aura rien d'assez scandaleux pour que cela arrive.
Il y a eu LibreSSL parce qu'OpenSSL est connu pour etre un code vraiment pourri.
Si je t'inseres une faille dans le kernel Linux par an, une autre dans Firefox ou KDE/Gnome, personne n'y verra rien, ca ne rendra pas des stats scandaleuses niveau decouverte de failles si elles sont trouvees, personne ne bougera.
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 1.
Toi tu n'as visiblement meme pas lu les 1ers slides.
Leur objectif etait d'analyser Skype pour voir ce qu'il est possible de faire en tant que network/sysadmin, et leur conclusion parle de ce point de vue la, pas du point de vue d'un reverse-engineer.
Pour un sysadmin, pas de possibilite de distinguer avec des regles sur traffic ou IDS, pour un reverse engineer qui analyse le binaire, c'est comprehensible par contre, la preuve, ils l'ont compris.
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 0.
Bien sur que non, ca ne veut pas dire que c'est impossible.
T'as remarque que depuis 20 ans les editeurs de jeux mettent des protections de plus en plus abracadabrantes et qu'a chaque fois elles se font exploser ?
C'est bien, heureux de voir que tu es bloque en 2006.
http://skype-open-source.blogspot.com/
Ah marrant, il a reverse engineere quasiment entierement le protocole Skype…
Quel environnement dont je ne connais pas le fonctionnement ? Le monde libre ?
Mais mon cher, si je suis developpeur MySQL et j'inseres une faille intentionnelle dans MySQL. Il ne se passera rien si elle est trouvee.
Tout le monde pensera que c'est une faille tout simplement, car je suis pas idiot, je vais pas mettre un commentaire au dessus disant que c'est une backdoor, et je vais pas faire un system("ssh monserver a moi") non plus, et tout le monde continuera a l'utiliser.
Comme je le disais : IDEM
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 0.
Je ne t'encourages a rien du tout, je te dis que tout le monde le fait dans l'industrie securite et personne n'a jamais ete poursuivi pour cela, alors que MS le voit tout le temps.
Pour le probleme indecidable, oui tout a fait, maintenant on est pas dans la theorie ici ou on doit ecrire le systeme parfait, tu ecris un systeme qui t'apporte des garanties suffisantes.
Filer le code source du compilateur suffit ? Seulement si tu fais un audit de ce compilo, qui est une tache enorme elle meme.
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 6.
La derniere faille d'OpenSSL n'a pas ete decouverte a l'aide du code, elle l'a ete grace a l'inspection de traffic reseau lors de tests.
[^] # Re: 1994
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 5.
Tout a fait, mais il faut etre realiste. Des agences comme la NSA, le KGB, la DGSE, etc… ont un job. Elles vont faire ce job, peut importe l'impact que ca a sur le libre, sur MS, etc… en grande partie (il y a des limites j'imagines, mais certainement pas la ou on le voudrait).
L'agent dormant est tout simplement logique comme methode. Il y a 3-4 ans, un groupe d'agents russes se sont fait jete hors des USA, un de ces agents a un moment etait dev chez Microsoft… Tu crois qu'il est irrealiste qu'ils fassent de meme sur le noyau Linux, sur Apache, etc… ? Bien sur que non, ce sont des cibles de choix.
[^] # Re: le code avait été audité
Posté par pasBill pasGates . En réponse au journal TrueCrypt, la fin ?. Évalué à 2.
Serieux, si t'as un exploit local, quel interet d'installer un moteur crypto ? T'installes un rootkit et tu as controle complet sur la machine, tu peux t'inserer dans tous les processus, cacher ta propre existence, hooker la stack TCP/IP, lire ce qui arrive sur tous les sockets en clair, enlever le check de signatures pour les moteurs crypto et le faire afficher que tout est ok tout le temps, etc…