"security through obscurity" quand tu nous tiens

• [^]Re: "security through obscurity" quand tu nous tiens

  Posté par iug () le 18/05/2004 à 09:55. (lien). Évalué à 6.

  Si les exploits commencent à trop pleuvoir, ce qui ne manquera pas d'arriver, ils vont pouvoir migrer vers OpeBSD :)
  
  Ce qui fait marrer c'est qu'ils se disent "en alerte rouge". Sa signifie quoi, qu'ils sont plus très surs de la fiabilité de l'OS :)
  
  Le reviewing de source par un expert sécurité c'est très efficace niveau découverte d'exploits. C'est là l'intérêt de la diffision des sources.
  
  J'aimerais pas être à leur place.

  • [+] [^]Re: "security through obscurity" quand tu nous tiens

    Posté par pasBill pasGates () le 18/05/2004 à 10:12. (lien). Évalué à -2.

    Le reviewing de source par un expert sécurité c'est très efficace niveau découverte d'exploits. C'est là l'intérêt de la diffision des sources.
    
    C'est vrai, le reviewing par un expert en securite c'est tres efficace.
    
    C'est pour ca que Cisco et autres engagent des societes specialisees pour relire le code, plutot que compter sur monsieur tout le monde qui soit :
    1) N'a pas les competences
    2) N'a pas le temps
    3) N'a pas l'envie
    
    Ca fait des mois que le code de Windows est dans la nature, a part le bug d'IE qui avait d'ailleurs deja ete corrige, personne n'a rien trouve, pourtant le code de Windows, c'est le genre de truc qui s'est downloade a tours de bras. Ca en dit long sur le mythe de l'efficacite de l'open-source niveau securite au meme titre que la qualite de softs tels que sendmail, wu_ftpd, openssh, bind,...

    • [^]Re: "security through obscurity" quand tu nous tiens

      Posté par Benoît Sibaud (Jabber id, page perso, ) le 18/05/2004 à 10:30. (lien). Évalué à 11.

      > Ca fait des mois que le code de Windows est dans la nature, a part le bug d'IE qui avait d'ailleurs deja ete corrige, personne n'a rien trouve
      
      Comment le sais-tu ?
      1) Tu es au courant de toutes les failles remontées à l'équipe sécurité de MS, qui pourrait être en train de colmater des brèches non encore divulguées ?
      2) Tu espère que les vilains méchants vont te prévenir s'ils trouvent quelque chose ? (se rappeler du cas InterBase http://linuxfr.org/2001/01/15/1904.html(...) )
      3) Tu n'agiterais pas beaucoup les bras des fois ?

      • [^]Re: "security through obscurity" quand tu nous tiens

        Posté par pasBill pasGates () le 18/05/2004 à 11:16. (lien). Évalué à 0.

        Tu es au courant de toutes les failles remontées à l'équipe sécurité de MS, qui pourrait être en train de colmater des brèches non encore divulguées ?
        
        Eh oui, j'en corriges meme certaines quand elles arrivent, c'est mon boulot je te rappelle.
        
        Tu espère que les vilains méchants vont te prévenir s'ils trouvent quelque chose ? (se rappeler du cas InterBase http://linuxfr.org/2001/01/15/1904.html(...(...)) )
        
        Les vraiment vilains mechants non, et ils feraient de meme avec des softs open-source, le 99% des gens oui.
        
        Tu n'agiterais pas beaucoup les bras des fois ?
        
        Certaines fois probablement, pas cette fois

        • [+] [^]Re: "security through obscurity" quand tu nous tiens

          Posté par Gilles Crebassa (page perso, ) le 18/05/2004 à 11:32. (lien). Évalué à -2.

          Donc, si je comprends bien, ne pas donner les sources,c'est mal, mais quand les sources sont disponibles, ca te permet de corriger des failles que tu aurais mis pas mal de temps à trouver ?
          
          C'est toi qui a corrigé tous les bug de windows 2000 pour que XP soit plus "stable".
          
          
          Félicitations et encore merci (ca m'evite de reformatter les machines des copains qui ont cliquer où fallait pas).
          
          Allez, travaille bien.

          • [^]Re: "security through obscurity" quand tu nous tiens

            Posté par pasBill pasGates () le 18/05/2004 à 11:37. (lien). Évalué à 2.

            Donc, si je comprends bien, ne pas donner les sources,c'est mal, mais quand les sources sont disponibles, ca te permet de corriger des failles que tu aurais mis pas mal de temps à trouver ?
            
            On n'en a toujours pas recu une venant de gens ayant eu les sources(a part les boites qu'on a paye pour ca j'entends), donc faut croire que non.
            
            Avoir les sources donne la possibilite d'auditer, si personne le fait ou ceux qui le font n'en ont pas les capacites, ca sert pas a grand-chose par contre.

            • [^]Re: "security through obscurity" quand tu nous tiens

              Posté par Tennis Prono (page perso, ) le 18/05/2004 à 11:46. (lien). Évalué à 5.

              On n'en a toujours pas recu une venant de gens ayant eu les sources
              Ils vont tout de même pas dire "bonjour, je m'appelle Jean-Pierre Dupont, 13 rue des lilas à Niort, j'ai trouvé une faille grace aux sources récupérées illégalement".
              Comment savoir si une faille a été découverte avec les sources ou avec un débugger ?

              --
              Pas de bureau 3d libre sans drivers libres!

              • [+] [^]Re: "security through obscurity" quand tu nous tiens

                Posté par pasBill pasGates () le 18/05/2004 à 11:50. (lien). Évalué à -1.

                T'envoies le report depuis une adresse e-mail russe ou autre, pas plus complique.

                • [^]Re: "security through obscurity" quand tu nous tiens

                  Posté par Raphaël Gertz (page perso, ) le 18/05/2004 à 12:34. (lien). Évalué à 1.

                  Sa me fait bien rire, il y a eu au moins un buffer overflow exploitable découvert par des potes...
                  
                  Celui qu'il ont bien voulu me montrer permettait d'executer un octet par dépassement de mémoire donc pas exploitables, mais il en aurrai découvert un qui semble plus exploitable et ils travaillent dessus...
                  
                  Quand à ce qui est du buffer overflow de 1 octet il est toujours présent depuis sa découverte 2 jours après la publication du code et tjs utilisable pour l'autre j'ai pas eu de news, sa montre que y a 0% des personne qui ont eu le code en main qui ont remonté le bug...
                  
                  enfin sa montre bien les limites du modèle M$...
                  Ils essayent de se convaincre eux-même que leur modèle tiendra...
                  
                  On rira encore plus lorsque des pirates vont piquer le code de la longhorn sur les passoire qui servent de serveur de test chez M$...

                  --
                  site perso : http://rapsys.free.fr/

                  • [^]Re: "security through obscurity" quand tu nous tiens

                    Posté par pasBill pasGates () le 18/05/2004 à 23:32. (lien). Évalué à 1.

                    Quand à ce qui est du buffer overflow de 1 octet il est toujours présent depuis sa découverte 2 jours après la publication du code et tjs utilisable pour l'autre j'ai pas eu de news, sa montre que y a 0% des personne qui ont eu le code en main qui ont remonté le bug...
                    
                    Publie ? Un lien ?
                    
                    enfin sa montre bien les limites du modèle M$...
                    Ils essayent de se convaincre eux-même que leur modèle tiendra...
                    
                    Ah bon ? Parce que si ils font de meme avec les softs open-source en ne reportant pas les problemes ca va etre mieux ?
                    
                    On rira encore plus lorsque des pirates vont piquer le code de la longhorn sur les passoire qui servent de serveur de test chez M$...
                    
                    Remarque, nous, nos source servers n'ont jamais connu le sort des serveurs de Debian, gnu.org, etc...
                    Mais il fallait bien que tu lances une petite connerie non fondee et non argumentee sur MS, c'etait inevitable, ton post aurait pris le risque de paraitre interessant sinon.

                    • [^]Re: "security through obscurity" quand tu nous tiens

                      Posté par Brice Carpentier (Jabber id, page perso, ) le 19/05/2004 à 09:17. (lien). Évalué à 1.

                      Ah bon ? Parce que si ils font de meme avec les softs open-source en ne reportant pas les problemes ca va etre mieux ?
                      La différence essentielle à mon sens, c'est que les gens ont globalement envie d'aider le libre, alors que (tout en utilisant MS/Windows) ils n'arretent pas de cracher sur le nom de Bill Gates.
                      Ce n'est amha pas une question de modèle, mais plus de réputation / image de marque de l'entreprise.
                      Sans compter bien entendu qu'une personne découvrant un exploit avec des sources récupérées illégalement prend un risque en le remontant.

                      --
                      Développeur OpenSource

                      [^]Re: "security through obscurity" quand tu nous tiens

                      Posté par PasChauve PasOunet () le 19/05/2004 à 12:57. (lien). Évalué à 3.

                      Remarque, nous, nos source servers n'ont jamais connu le sort des serveurs de Debian, gnu.org, etc...
                      
                      a la tres grande difference que les sources servers de MS sont pas en frontal sur le grand ternet , alors gnu.org , debian savanah ou encore gentoo le sont ( cvs , bugzilla... ), forcement avec autant de service ouverts , les chances de se faire troufigner sont d autant plus grande . j aimerais bien voir les sources server MS en frontal sans aucun acces , a mon avis y aurait de quoi rigoler....

              [^]Re: "security through obscurity" quand tu nous tiens

              Posté par SOULfly_B (Jabber id, page perso, ) le 18/05/2004 à 11:52. (lien). Évalué à 6.

              amha les contributeurs opensource ont d'autres choses à faire que de télécharger les sources de windows, incomplètes et pas à jour en plus
              d'une part car cela aurait pour conséquence probable que du code windows se retrouve dans du code opensource (on en a largement discuter)
              d'autre part car ils passent suffisament de temps sur des projets qui ne dépendent pas d'une multinationale
              
              je crois que la raison du "peu de remontées" est là et pas dans le fait que le modèle opensource (i.e. l'audit du code par des centaines de personnes étrangères au projet) n'est pas viable

              [^]Re: "security through obscurity" quand tu nous tiens

              Posté par Philip Marlowe (Jabber id, ) le 18/05/2004 à 11:56. (lien). Évalué à 7.

              Suffit pas d'avoir les sources, il faut aussi avoir l'envie et des raisons de s'investir dedans.

              [^]Re: "security through obscurity" quand tu nous tiens

              Posté par HappyCrow () le 18/05/2004 à 20:09. (lien). Évalué à 2.

              (c'est pas pBpG là, C donc sûrement une question/remarque d'intérêt)
              > Donc, si je comprends bien, ne pas donner les sources,c'est mal, mais quand les
              > sources sont disponibles, ca te permet de corriger des failles que tu aurais mis pas
              > mal de temps à trouver ?
              
              Lis le début de "applied cryptography" de B. Schneier, il t'explique ça mieux que
              je ne saurais le faire.
              De plus, si tu publies les sources de ton soft: il se pourrait qu'un hacker, un vrai
              (barbu et ventripotant) te montre des erreurs que tu n'aurais peut-être jamais
              vu/testé. S'il est sympa (il a une âme de guru), il t'expliquera pourquoi et
              te filera même un patch qui corrige le problème.
              
              (là c'est pBpG, je m'énerve)
              > On n'en a toujours pas recu une venant de gens ayant eu les sources(a part les
              > boites qu'on a paye pour ca j'entends), donc faut croire que non.
              
              C'est normal _PATATE_ : il est illégal de posséder les sources de MS en les
              téléchargeant par P2P. Tu crois quand même pas que les gens vont se mettre
              dans l'ilégalité pour corriger vos merdes et puis qu'ils vont vous donner leurs
              coordonnées ensuite!!!

              • [^]Re: "security through obscurity" quand tu nous tiens

                Posté par pasBill pasGates () le 18/05/2004 à 23:26. (lien). Évalué à 0.

                C'est normal _PATATE_ : il est illégal de posséder les sources de MS en les
                téléchargeant par P2P. Tu crois quand même pas que les gens vont se mettre
                dans l'ilégalité pour corriger vos merdes et puis qu'ils vont vous donner leurs
                coordonnées ensuite!!!
                
                Si t'appelles machintruc@yahoo.com une coordonnee identifiable, c'est que t'es pas du meme monde que moi.

                • [^]Re: "security through obscurity" quand tu nous tiens

                  Posté par plic () le 19/05/2004 à 06:59. (lien). Évalué à 3.

                  En fait je suis un W4rl0rdZ, j'ai téléchargé sur Kazaa du code source de Windows de Kro$oft rien que pour créer des super virus qui feront retentir mon nom et ma toute puissance dans la cyber-galaxie pour l'éternité, donc sans problème sur du gruyère de code (10 %) je trouve plein de bugs et de failles (oui je sais je suis balèze), mais je vais quand même me créer une adresse spéciale pour remonter les bugs à M$, vu que j'aime bien faire son boulot à sa place, que télécharger ce code est illégal, le lire aussi, et que j'aime perdre mon temps totalement gratuitement et philantropiquement. On verra plus tard pour être roi du monde, il y a des priorités dans la vie.

                  --
                  «La faculté de citer est un substitut commode à l'intelligence» — Sommerset Maugham

                  • [^]Re: "security through obscurity" quand tu nous tiens

                    Posté par pasBill pasGates () le 19/05/2004 à 07:06. (lien). Évalué à 1.

                    Il n'y en a eu aucun de reporte sur aucune ML de securite, bugtraq ou autres, le gars aurait pu se faire une bonne grosse pub pourtant, et nombre de hackers le font regulierement.
                    
                    Vous pouvez chercher des explications aussi longtemps que vous voudrez, la realite est qu'avec une bonne partie des sources de l'OS le plus vise de la planete dehors, personne n'a encore devoile de faille. Et dire que les sources de Windows ne sont pas d'interets aux gens cherchant des failles, c'est un gros gag.

                    • [^]Re: "security through obscurity" quand tu nous tiens

                      Posté par Buto () le 20/05/2004 à 22:23. (lien). Évalué à 1.

                      Il n'y en a eu aucun de reporte sur aucune ML de securite, bugtraq ou autres, le gars aurait pu se faire une bonne grosse pub pourtant, et nombre de hackers le font regulierement.
                      
                      Faux. Sur Bugtraq, moins d'une semaine après l'annonce de la fuite des sources, quelqu'un a trouvé un "Integer Overflow" :
                      http://www.securityfocus.com/archive/1/354059(...)

                      • [^]Re: "security through obscurity" quand tu nous tiens

                        Posté par pasBill pasGates () le 21/05/2004 à 21:20. (lien). Évalué à 1.

                        Bug deja corrige depuis longtemps, bien avant le vol des sources.
                        Bref rien ne dit qu'il n'a pas vu la vulnerabilite en live et retrouve le code source depuis la faille.

                  [^]Re: "security through obscurity" quand tu nous tiens

                  Posté par Skanx (page perso, ) le 19/05/2004 à 07:18. (lien). Évalué à 2.

                  Bonjour, Mr Yahoo, pourriez-vous me donner l'adresse IP qui s'est connectée à votre messagerie sous le nom machintruc@yahoo.com ces dernières 24 heures ?
                  
                  Bien sûr, Mr MS, c'est le 213.xxx.xx.xxx
                  
                  Merci bien Mr Yahoo :-)

                  • [+] [^]Re: "security through obscurity" quand tu nous tiens

                    Posté par pasBill pasGates () le 19/05/2004 à 08:02. (lien). Évalué à -2.

                    L'adresse d'un proxy ou d'une machine hackee en russie ne te sera pas tres utile

                    • [^]Re: "security through obscurity" quand tu nous tiens

                      Posté par Black Fox (page perso, ) le 20/05/2004 à 06:21. (lien). Évalué à 2.

                      Devoir hacker une machine en russie pour aider mircrosoft c'est plus de la philantropie c'est de la stupiditée...

      [^]Re: "security through obscurity" quand tu nous tiens

      Posté par matveii (page perso, ) le 18/05/2004 à 10:31. (lien). Évalué à 2.

      Peut être tu as raison ...
      
      Mais d'un point de vue philosophique, c'est triste de penser que le rassemblement de plusieurs personnes, le partage, l'entre aide, toutes ces valeurs magnifiques de l'open source, soient infèrieur au modèle propriétaire.
      
      Je n'entrerai meme pas dans la polémique au point de vue "technique" des deux modèles, mais je tenais juste à donner un peu d'humanité pour relativiser tes propos.

      [^]Re: "security through obscurity" quand tu nous tiens

      Posté par Miair Patreau () le 18/05/2004 à 10:32. (lien). Évalué à 8.

      En même temps, il n'y a pas que des monsieurs tout le monde ayant au moins l'un des trois critères dans la nature.
      
      Quant au code de Windows, effectivement, tout le monde s'en cogne, sauf les adolescents qui ro><0r da W0rld et écrivent des virus pour prouver au monde que la pile du x86 n'a aucun secret pour eux. Le code source de windows est dans la nature, mais on n'a pas spécialement le droit d'en faire quelque chose, donc c'est tout comme s'il ne l'était pas. En tout cas pour la grande majorité des passionnés et/ou professionnels de systèmes d'exploitation.
      
      Pour la dernière partie, je m'écrase, j'ai rien à dire. Si ce n'est que certes, même avec du logiciel libre on a souvent les mêmes défauts qu'avec du propriétaire close-source, mais l'utilisateur a au moins la possibilité d'y remédier.C'est mieux que rien, donc < foi modif="mauvaise" >a fortiori< /foi > mieux que close-source ;-).

      • [^]Re: "security through obscurity" quand tu nous tiens

        Posté par Wharf () le 19/05/2004 à 21:21. (lien). Évalué à 0.

        Et pourtant,
        5 universitès françaises ont officiellement le code source des versions récentes de Windows....

      [^]Et pq pas les 2 ?

      Posté par Seazor (Jabber id, ) le 18/05/2004 à 10:49. (lien). Évalué à 2.

      Je peux me tromper mais c'est pas nmap (pourtant ouvert) qui passe des audits tous les x mois ?

      --
      "We all freezed on a bugged subroutine, bugged subroutine, bugged subroutine..." (nearly Beatles)

      [^]Re: "security through obscurity" quand tu nous tiens

      Posté par ufoot (page perso, ) le 18/05/2004 à 10:53. (lien). Évalué à 2.

      > Ca fait des mois que le code de Windows est dans la nature, a part le bug d'IE qui avait d'ailleurs deja ete corrige, personne n'a rien trouve, pourtant le code de Windows, c'est le genre de truc qui s'est downloade a tours de bras.
      Bizarre moi on m'a rien montré... ...pourtant je travaille dans un service informatique, pour l'Etat français, on pourrait s'attendre à ce que je fasse partie des heureux élus qui ont le droit de le lire le code. Et d'ailleurs j'imagine qu'il y a des clauses à accepter avant de le lire le code, hein? Du genre a-t-on le droit de raconter tout ce qu'on a trouvé dedans? mmm? Et le dévoiler, quand on veut, sans prévenir MS? mmm? On a le droit de faire ça? Dire j'ai trouvé une faille le code est fait de telle et telle manière, et ce dans un lieu public, et sans être soumis à une quelconque validation de MS? On a le droit de faire ça?

      • [+] [^]Re: "security through obscurity" quand tu nous tiens

        Posté par pasBill pasGates () le 18/05/2004 à 11:18. (lien). Évalué à -1.

        Le code il est sur Kazaa et autre, devoiler une faille, c'est pas plus complique que la balancer sur bugtraq depuis un e-mail bidon.

        • [+] [^]Re: "security through obscurity" quand tu nous tiens

          Posté par Gilles Crebassa (page perso, ) le 18/05/2004 à 11:37. (lien). Évalué à -8.

          Cool, maintenant, il suffit de donner son adresse et <pasBill pasGates> vous envoie le cd par la poste.
          
          J'aurais honte pour toi d'avoir dit ce genre de truc.
          <Mode follie>
          Tiens, ma société c'est fait piraté , le code source s'est fait volé mais si vous le voulez,allez rue des champs-élizé , arbre 12 (celui avec la croix bleu), dans la poubelle à gauche.
          </Mode follie>

          [^]Re: "security through obscurity" quand tu nous tiens

          Posté par bad sheep (page perso, ) le 18/05/2004 à 11:39. (lien). Évalué à 5.

          Mouais... enfin le code disponible ne concerne qu'une infime partie de Windows... et pas la plus intéressante : je ne pense pas que le code de Notepad ou d'un screensaver soit réellement hyper intéressant.
          Il y a effectivement une partie de MSHTML dans une version ancienne... ok... mais il manque pas mal de choses : les composants réseaux, le kernel, ce genre de choses, qui sont habituellement utilisés pour les "exploits" (je sais, c'est un mauvais angliscisme :-)
          
          C'est d'ailleurs assez dommage, si y'avait eu le code utilisé pour CIFS ou NTFS, ça aurait ptet permit quelques avancées pour l'interopérabilité.

          • [^]Re: "security through obscurity" quand tu nous tiens

            Posté par pasBill pasGates () le 18/05/2004 à 11:52. (lien). Évalué à 3.

            1) C'est pas une partie infime, c'est pas la majorite, mais il y a facile plus de 10% du code
            2) Il y a des parties importantes du kernel entre autres

            • [^]Re: "security through obscurity" quand tu nous tiens

              Posté par Fred (page perso, ) le 18/05/2004 à 12:06. (lien). Évalué à 1.

              Non, il y a un lien dans la news sur ZNet qui parle du vol de code Windows. On peut lire que le code décompressé ferais 600 Mo mais que les sources complète ferais 40 Go. Je suis pas super bon en math mais chez moi 10% de 40Go ça fait 4Go et pas 600 Mo.

              • [^]Re: "security through obscurity" quand tu nous tiens

                Posté par pasBill pasGates () le 18/05/2004 à 12:11. (lien). Évalué à 2.

                Dans l'arbre il y a le platform SDK, dispo gratos, des binaires pour x plateformes, etc...
                
                T'enleves tout ca, ca fond.
                
                Les sources, je les ai sur ma machine, le package de Kazaa je l'ai vu, je sais ce qu'il contient.

              [^]Re: "security through obscurity" quand tu nous tiens

              Posté par Matthieu Moy (page perso, ) le 18/05/2004 à 12:20. (lien). Évalué à 3.

              > 1) C'est pas une partie infime, c'est pas la majorite, mais il y a facile plus de 10% du code
              
              Oui, enfin, tant que c'est pas 100%, ça ne facilite pas la tache au niveau de l'audit de code. Pour comprendre comment marche un truc, perso, j'aime bien le compiler, le faire tourner un peu, jouer un peu du déboggeur pour comprendre comment s'enchainent certains trucs, ... Et ça, avec 10% du source, ou même avec 95%, c'est pas évident !

              • [^]Re: "security through obscurity" quand tu nous tiens

                Posté par pasBill pasGates () le 18/05/2004 à 23:24. (lien). Évalué à 2.

                Il y a un tas de trucs dedans qui sont compilables, t'as pas besoin de pouvoir compiler le kernel pour compiler le service snmp, et inversement, etc...

          [+] [^]Re: "security through obscurity" quand tu nous tiens

          Posté par modr12 () le 18/05/2004 à 12:24. (lien). Évalué à -1.

          il est illégal de le télécharger , donc on ne peut pas point barre
          j'envois de ce pas ton signalement a la police puique tu l'as téléchargé

      [^]Re: "security through obscurity" quand tu nous tiens

      Posté par AlphA () le 18/05/2004 à 11:11. (lien). Évalué à 6.

      > Ca fait des mois que le code de Windows est dans la nature, a part le bug d'IE qui avait d'ailleurs deja ete corrige, personne n'a rien trouve
      
      Le code source n'est pas complet. Il ne touche pas de composants critiques de l'OS. C'est MS lui même qui le disait à l'époque.
      
      La faille corrigée sans rien dire à personne, c'est peut être pas la meilleure référence à sortir dans le cadre d'une discussion sur closed vs open. Du secure computing en patchant à la va vite, sans rien dire à personne, histoire de pas trop se faire charrier...
      
      Vais en rajouter un peu tiens :
      Pour un code source qui est sensé avoir été revu, par des dév ayant eu des formations sécu et tout, comme le disait les annonces bien marketing de l'époque. Le résultat est pas terrible quand on regarde les derniers mois. Blaster, sasser, etc.
      
      Les OS sécurisés à grand renfort d'annonce alors que la protection anti stack overflow de win2k3 se contourne en 30 sec, ça fait quand même bien rire :) un brave pop,pop,ret et hop, fini la protection. Et ho, ironie suprème, cette séquence d'opcodes qui va bien, on la trouve, entre autre, dans l'exception handler associé à la détection d'une modification du "canari" .
      
      Donc bon, pas de quoi se moquer de cisco ou tenter de faire une quelconque morale :p

      • [^]Re: "security through obscurity" quand tu nous tiens

        Posté par pasBill pasGates () le 18/05/2004 à 11:21. (lien). Évalué à 3.

        Le code source n'est pas complet. Il ne touche pas de composants critiques de l'OS. C'est MS lui même qui le disait à l'époque.
        
        Il y a une bonne partie du code, dont une partie du kernel.
        
        La faille corrigée sans rien dire à personne, c'est peut être pas la meilleure référence à sortir dans le cadre d'une discussion sur closed vs open. Du secure computing en patchant à la va vite, sans rien dire à personne, histoire de pas trop se faire charrier...
        
        Va expliquer ca a Mozilla, ils font la meme chose.
        
        Pour un code source qui est sensé avoir été revu, par des dév ayant eu des formations sécu et tout, comme le disait les annonces bien marketing de l'époque. Le résultat est pas terrible quand on regarde les derniers mois. Blaster, sasser, etc.
        
        Compte le nombre de failles, pas l'impact. Regardes le nombre de failles jugees critiques sur WS03, le nombre est tres faible.
        
        Les OS sécurisés à grand renfort d'annonce alors que la protection anti stack overflow de win2k3 se contourne en 30 sec, ça fait quand même bien rire :)
        
        Il y a une protection anti-stack overflow dans win2k3 ? Ah bon, je suis pas au courant. Dans visual studio, et ils disent qu'elle est pas parfaite, mais pas dans Win2k3

        • [^]Re: "security through obscurity" quand tu nous tiens

          Posté par hex () le 18/05/2004 à 11:35. (lien). Évalué à 2.

          Il y a une protection anti-stack overflow dans win2k3 ?
          
          Il y a un article sur le sujet dans l'avant dernier numéro de MISC. D'après l'auteur, c'est efficace contre les stack overflow "académiques". Mais si j'ai bien compris, des solutions existent pour détecter et contourner ce genre protection.

          • [^]Re: "security through obscurity" quand tu nous tiens

            Posté par pasBill pasGates () le 18/05/2004 à 11:43. (lien). Évalué à 5.

            J'ai pas MISC, mais je connais WS03 suffisament pour savoir qu'il n'a pas de "stack protection", certains des binaires de WS03 sont compiles avec la mesure de protection fournie par le compilo de VStudio, mais si tu lances un binaire qui n'a pas ete compile avec, il sera pas protege.
            D'autre part, si tu lis la doc sur cette feature (cf. http://msdn.microsoft.com/library/default.asp?url=/library/en-us/vc(...) ) ils disent clairement que ca ne protege pas de tous les BO.
            
            Bref, rien de nouveau

          [+] [^]Re: "security through obscurity" quand tu nous tiens

          Posté par Gilles Crebassa (page perso, ) le 18/05/2004 à 11:41. (lien). Évalué à -2.

          Qui utilise Windows 2003 ?
          Aprés avoir payer pour faire une migration complete d'un parc de 200 machines, il faudrait passer à 2003 ? Et quoi encore ? c'est normal qu'il n'y a pas de reports de bug , il n'y a pas d'utilisateurs !!
          
          En plus, on se choppent quand même les virus,donc ...

          [^]Re: "security through obscurity" quand tu nous tiens

          Posté par AlphA () le 18/05/2004 à 11:50. (lien). Évalué à 4.

          > Il y a une bonne partie du code, dont une partie du kernel.
          
          oui, tout à fait. Mais pas tout. Si j'ai un bout de code B qui utilise les fonctions d'une API A. Si je n'ai pas le code de A, c'est difficile de faire une étude exhaustive de B puisque par exemple, un problème de boundaries dans A peut avoir des conséquences dans B, etc. Donc pour pallier à ca, ben j'ai pas beaucoup d'autres choix que de tenter un désasm de la dll qui fournit A ou éventuellement faire un peu de fuzzing en prenant des cas potentiellement fournissable à A par B. Désolé, c'est pas clair. Mais enfin tout ça pour dire que ça aide pas d'avoir que des bouts. Mais je t'accorde que la très probable analyse de tout ces bouts par des tas de gens n'a pas donné grand chose.
          
          > Va expliquer ca a Mozilla, ils font la meme chose.
          
          One point. Remarque, les changelogs et diffs sont publiques :p (j'ai pas dit lisible)
          
          > Compte le nombre de failles, pas l'impact. Regardes le nombre de failles jugees critiques sur WS03, le nombre est tres faible.
          
          OK. Mais une faille critique ça reste une faille critique. Un système sous contrainte forte, il suffit d'une faille pour qu'il soit par terre. :/ Puis, je trouve que s'intéresser au nombre de faille, ça fait un peu comme les admins qui utilisent le top 10 du SANS institute pour dire qu'ils sont protégés. "Je suis immunisé contre les 10 failles les plus courantes". Too bad quand la 11ème lui tombe sur le coin de la tronche ;) En fait peu importe le nombre de failles, ou leur criticité. Il suffit parfois juste d'une faille ou d'une sucsession de petite faille pour compromettre un système particulier. L'impact des derniers vers découlent effectivement dans ce cas plus d'un grand nombre de machines sous win (et d'admin formé chez kinder) et pas du grand nombre de failles. Donc ok, le nombre de faille a effectivement diminué mais il existe toujours une menace majeure du à l'énorme majorité de win et au fait qu'il suffit donc d'une faille.
          
          > Il y a une protection anti-stack overflow dans win2k3 ? Ah bon, je suis pas au courant. Dans visual studio, et ils disent qu'elle est pas parfaite, mais pas dans Win2k3
          
          http://www.nextgenss.com/papers/defeating-w2k3-stack-protection.pdf(...)
          
          LE flag /GS introduit dans le dernier visual studio a été utilisé pour compiler certaines parties de win2k3. Comme IIS 6 et pas mal de dll.
          IIS dont certains bouts ont été exportés en kernel land alors que dans la même période khttp était marqué deprecated dans le noyau 2.6 :ppp

          [+] [^]Re: "security through obscurity" quand tu nous tiens

          Posté par yoho (page perso, ) le 18/05/2004 à 17:34. (lien). Évalué à -7.

          Je veux bien qu'on me moinsse, mais j'aimerais quand même poser une question :
          
          C'est qui ce blaireau de pasBill pasGates ?
          
          J'ai lu tout ses commentaires et ils sont aussi inintéressants les uns que les autres

          • [^]Re: "security through obscurity" quand tu nous tiens

            Posté par Nico (page perso, ) le 18/05/2004 à 18:18. (lien). Évalué à 4.

            Tu viens pas souvent toi non ?
            
            pBpG bosse chez microsoft et même si nombre de ses commentaires semblent plus que discutables je ne pense pas qu'il soit de mauvaise foi.
            
            C'est ton commentaire pas constructif qui me semble inintéressant...

            • [+] [^]Re: "security through obscurity" quand tu nous tiens

              Posté par yoho (page perso, ) le 19/05/2004 à 11:18. (lien). Évalué à -2.

              Je sais qu'il nétait pas constructif. Merci pour la réponse.

      [^]Re: "security through obscurity" quand tu nous tiens

      Posté par Xavier Teyssier (Jabber id, page perso, ) le 18/05/2004 à 11:21. (lien). Évalué à 3.

      C'est vrai, le reviewing par un expert en securite c'est tres efficace.
      
      C'est pour ca que Cisco et autres engagent des societes specialisees pour relire le code,
      
      Mais alors pourquoi sont ils passés en "alerte rouge" dès que les sources sont parties se baladées ?

      • [^]Re: "security through obscurity" quand tu nous tiens

        Posté par pasBill pasGates () le 18/05/2004 à 11:34. (lien). Évalué à 6.

        Parce qu'il y a un risque, aussi petit soit-il, et si ca arrive(une faille decouverte), c'est l'infrastructure mondiale du net qui est en jeu.
        
        Je te laisse imaginer l'effet si dans 3 jours 80% des routeurs du backbone tombent.

        • [^]Re: "security through obscurity" quand tu nous tiens

          Posté par SoWhat () le 18/05/2004 à 11:37. (lien). Évalué à 5.

          tous ceux qui zonent sur le web pendant la journée vont être obligés de bosser. pfff ... pas dôle ?

          [^]Re: "security through obscurity" quand tu nous tiens

          Posté par Miair Patreau () le 18/05/2004 à 11:51. (lien). Évalué à 1.

          En même temps, il y a constament un risque, aussi minime soit-il.

          [^]Re: "security through obscurity" quand tu nous tiens

          Posté par Stéf () le 18/05/2004 à 13:16. (lien). Évalué à 2.

          3 jours .... perso je parie sur 5 jours.
          Et puis c'est déjà arrivé, wanadoo en avait fait les frais avec ses routeur cisco
          
          ET puis concernant le kernel de W2K, perso je vois pas trop qq'un avoir les compétences suffisantes pour la lecture->recherche->écriture d'exploit surtout avec une partie du code.
          Surtout qu'on doit pas en compter + d'une 100 aine par pays et qu'ils sont tous généralement ds des bonnes boites :)
          
          Faut pas se leurrer, y aura _toujours_ des trous de sécurité dans windows comme ds nunux, bon ok sauf multideskos !
          
          aujourd'hui intel va sortir des puces contre le buferoverflow (au secours ) qui lui à encore de beau jour devant
          Mais qui dit que demain ce genre de faille ne sera pas re-découverte par un groupe du genre ADM ? hein ? rien.
          
          Maintenant que tt le monde s'affole dès qu'une partie de code est révélé c'est qd même étrange ( code rouge, alerte mondiale, blablabla..)
          Faut pas se demander si linux à autant de crédibilité aujourdh'ui c'est parce que des audits il en à eu quelques uns, et que son code ben il ets ouvert et qu'on voit pas non plus, plus de faille que ça.

      [^]Re: Code source Windows volé ?

      Posté par Amaury () le 18/05/2004 à 11:39. (lien). Évalué à 2.

      >Ca fait des mois que le code de Windows est dans la nature
      
      C'est vraiment le code source de Windows qui a été H4X0risé ? Je croyais que ce n'était qu'une partie, non critique, du code d'une "vieille" version de Windows.

      • [^]Re: Code source Windows volé ?

        Posté par pasBill pasGates () le 18/05/2004 à 11:54. (lien). Évalué à 2.

        C'est Win2000 ~SP1, et il y a des bouts du kernel de ce que j'ai vu.

      [^]Re: "security through obscurity" quand tu nous tiens

      Posté par Colin Leroy (page perso, ) le 18/05/2004 à 12:42. (lien). Évalué à 2.

      Ca fait des mois que le code de Windows est dans la nature, a part le bug d'IE qui avait d'ailleurs deja ete corrige, personne n'a rien trouve, pourtant le code de Windows, c'est le genre de truc qui s'est downloade a tours de bras.
      
      Sasser, ça a pas un rapport? (vraie question)

      --
      Claws Mail - it bites!

    [^]Re: "security through obscurity" quand tu nous tiens

    Posté par petit_bibi () le 18/05/2004 à 10:19. (lien). Évalué à 2.

    Ce qui est amusant, c' est le terme "alerte rouge".
    Moi, ça me fait tout de suite penser à la guerre, avec le sous-marin plein de gyrophares rouges.
    
    Alors que souvent, pour eviter la guerre, un tout petit peu d'ouverture aurait suffit... ;-)
    
    Un programme est potentiellement une arme.
    à ce rythme, proche est le jour ou le fait de penser(tm) ce programme suffira pour être catalogué comme terroriste.

  [^]Re: "security through obscurity" quand tu nous tiens

  Posté par petit_bibi () le 18/05/2004 à 10:01. (lien). Évalué à 5.

  > En d'autres termes, amha, ce n'est pas une mauvaise chose pour le Logiciel Libre.
  
  sisi, imagine, si CISCO devient ciSCO,
  Ils riqueraient de retrouver des morceaux de ce code dans netfilter... Le prix de la license linux va encors augmenter mes petits... ;-)
  
  Bon d' accord, je suis parano, mais avec les brevets logiciels, la LEN etc , il y a de quoi ...

  [^]Re: "security through obscurity" quand tu nous tiens

  Posté par mamelouk () le 18/05/2004 à 11:03. (lien). Évalué à 3.

  Voilà qui devrait pousser tout le monde à faire au moins un premier pas vers l'Open Source...
  
  ou peut etre que ca va augmenter le pouvoir de lobbyistes de l'informatique qui vont faire voter des lois encore pire.
  
  Ca peut etre autant un argument en faveur du libre qu'un argument pour la protection des codes proprietaires...

  • [^]Re: "security through obscurity" quand tu nous tiens

    Posté par Miair Patreau () le 18/05/2004 à 11:24. (lien). Évalué à 1.

    Genre
    "La souscription d'un abonnement internet pour un particulier doit être soumis à l'agrément du Consortium des Entreprises pour la Confiance des Transmission.
    La CECT a de plus tout pouvoir de faire annuler temporairement ou définitivement le droit d'utilisation de cet abonnement. Dans ce dernier cas, le particulier est autorisé à résilier son abonnement, en respectant 6 mois de préavis."
    
    ;-) ?