170 virus et chevaux de Troie pour Linux

Posté par (page perso) . Modéré par Fabien Penso.
Tags :
0
2
oct.
2002
Linux
Ô pauvres de nous! sous Linux on est pas en sécurité. jugez-en: 170 virus et chevaux de troie, 30 scripts shells, 6 ou 7 d'entre eux actifs en permanence (où ça où ça?). Et le pire, devinez, il ya plus de bogues sur les applications open-sources que chez Microsoft (485 contre 202). Ajoutez à ça que le nombre de failles de sécurité sous Linux va doubler en 2002, dixit X-Force (ça ressemble à X-Box ce nom, trouvez pas?), et on retourne chez Microsoft.
Moi je construis déjà mon radeau, le monde Unix est décidément trop dur.
  • # Pourquoi c'est pas dans la section humour?

    Posté par . Évalué à  10 .

    ..un tel tissu de conneries?
    • [^] # Re: Pourquoi c'est pas dans la section humour?

      Posté par (page perso) . Évalué à  -9 .

      C'est malin, j'allais poster avec ce titre !
    • [^] # Re: Pourquoi c'est pas dans la section humour?

      Posté par . Évalué à  10 .

      Parce que la désinformation autour de Linux ne fait pas rire ?
    • [^] # Re: Pourquoi c'est pas dans la section humour?

      Posté par (page perso) . Évalué à  10 .

      Roh ben zut alors ...
      j'vais vite passer de la debian à windows2000 avant que ca explose ...
      400 bug contre 200 sous windows ... zont comptés les bugs avec un linux complet (genre tous les cds d'une woody avec openoffice et tout le bordel????) ou un systeme minimaliste???? .. faut comparer ce qui est comparable à la fin ...
      • [^] # Re: Pourquoi c'est pas dans la section humour?

        Posté par (page perso) . Évalué à  10 .

        Leur nombre de bug dans Linux, c'est "toutes distributions confondues".

        Rien d'etonnant donc qu'il soit plus important.
        Et puis on ne sait meme pas de quels types de bugs ils parlent, si ils prennent des versions beta, etc... Ca ne veux rien dire.
        • [^] # Re: Pourquoi c'est pas dans la section humour?

          Posté par . Évalué à  10 .

          forcément, si ces abrutis ont compté plusieurs fois les même bugs sur plusieurs distribs, ça ne peut qu'être énorme!
          C'est comme mindcraft, ils sont payés par microsoft ou quoi pour écrire de telles anneries?
        • [^] # Re: Pourquoi c'est pas dans la section humour?

          Posté par . Évalué à  10 .

          Et ils ont dû tout mettre sous l'appelation linux, par exemple la version 0.0.1 d'une jeu distribué avec la distrib X ou Y. A coté ils comparent windows seul ?

          Et puis pour ce qui est des virus et trojan ca arrivera avec la démocratisation de linux car le pirate lancera un petit jeu qu'il faudra compiler en root avec son script indécodable et qu'il ne distribuera que chez lui ...

          Mais en vérifiant ce que l'on installe (et où on le télécharge) il ne doit pas y avoir de problème. Et puis si jamais il y a une faille, il y a toute une communauté pour réagir rapidement ...
      • [^] # Re: Pourquoi c'est pas dans la section humour?

        Posté par . Évalué à  0 .

        « zont comptés les bugs avec un linux complet »

        Non, ils ont compté les bugs avec un GNU/Linux complet.
    • [^] # C'est pas la première fois

      Posté par (page perso) . Évalué à  10 .

      Cette news me fait penser à celle qui est apparue chez Génération NT. Le mec comparait la somme des bugs :
      - sous Windows 2000 (juste l'OS)
      - sous Linux (toutes les distribs + noyo + les applis)

      J'avais passé la news sur la tribune et on avait débarqué chez eux. Il y avait un sondage.
      Vous utilisez :
      - Windows XP
      - Windows 2000
      - Windows 98
      - Windows 95
      - Windows 3.11

      Et on avait tous répondu 3.11, bref en 15 minutes c'était le bordel chez eux. Du coup la news (pourrie) et le sondage on dégagé direct.

      En cherchant bien je dois pouvoir trouvé tout ça. Je le met en ligne dés que je le retrouve.
      • [^] # Re: C'est pas la première fois

        Posté par (page perso) . Évalué à  10 .

        Ahhhh, génération nt, c'était vraiment une bonne tranche de tribune comme on n'en fait plus. Le premier manual dos, un sondage bien pourris et le forum. Le plus marrant ça a été le mail qu'on a reçu apres, avec les menaces teriffiantes!

        Ne postes pas l'url ou les serveurs vont encore avoir des difficulté :)
        • [^] # Re: C'est pas la première fois

          Posté par (page perso) . Évalué à  9 .

          T'as oublié que le mec de génération PC est venu sur la tribune nous rendre visite et qu'il a fait une page spéciale sur le site pour prouver qu'il mentait pas.

          Enfin je crois que c'étais lui ou alors j'ai la mémoire qui flanche :(

          L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

    • [^] # Mail envoyé à redaction@vnunet.fr

      Posté par (page perso) . Évalué à  10 .

      Je voulais juste vous dire que votre article m'a fait franchement beaucoup rire, hélas jaune...
      J'hésite entre incompétence et corruption pour qualifier la personne ayant écrit cela.

      Quelques exemples :
      * "139 bogues sous win contre 309 sous linux". Sauf qu'on ne compare pas des choses comparables !! linux, c'est 1 windows + 1 IIS + 1 SQL-Server + 1 DNS... Comme en plus vous reconnaissez toutes distribs confondues, franchement le chiffre ne veut RIEN dire.
      * "(Avert), a ainsi recensé 170 virus et chevaux de Troie pour Linux, et quelque 30 script Shell pour Unix". Vous ne dites pas combien sous win ? je crois que c'est presque 10 000 ? Pas très honnète...
      * "2 500 infections recensées dans sa version C, contre 19 000 dans la version B précédente." Hem, Iloveyou, c'était combien déjà ? et en combien de temps ?
      * Que font les "virus" actifs sous linux ? vous n'en dites rien. Dommage, parce qu'ils ne font généralement presque rien...
      * Mélange honteux entre virus et faille de sécurité.

      Bon, je viens vous visiter tous les jours ou presque, mais là, j'avoue que ca refroidit...

      Surtout avec l'offre spéciale "symantec security" en bas de la page. J'ai compris ! c'est peut-être ca l'explication : c'est symantec qui vous a payé ! Donc c'est corruption !

      Je vous conseille pour finir d'aller faire un tour là : http://www.linuxfr.org/2002/10/02/9842,0,1,0,0.html(...)
      Certes, certains tombent dans le troll le plus beau, mais il y a quelques remarques pertinente néanmoins.
    • [^] # Re: Pourquoi c'est pas dans la section humour?

      Posté par . Évalué à  3 .

      Franchement, quand je lie la news et quand je lis l'article de yahoo, je me demande si les modérateurs les ont lu aussi. La news telle quuelle est écrite peut faire penser qu'il sagit d'un fud contre linux. La lecture de l'article en revanche donne l'impression totalement contraire, c'est à dire quelle critique ouvertement les différentes analyses avec les arguments suivant :
      - le nombre de bugs est donné toute distributions confondues (àsavoir au moins 5 majeurs)
      - les utilisateurs de linux sont 30% de plus chaque année ce qui augmente le nombre de risques et l'interet des codeurs de virues-ver

      Deplus, la premiere partie sur les virus-ver parle de l'open source et non de linux puisque les ver utilise apache donc fonctionne aussi bien sous linux que windows.

      Pour une fois qu'un article defend l'open source, sur un site grand public, il est bon de le signaler et de le défendre quand des gens font des raccourcis monstrueux.
      • [^] # Re: Pourquoi c'est pas dans la section humour?

        Posté par . Évalué à  10 .

        Oui mais le grand public comme tu dis, celui qui n'y connait vraiment rien à Linux, comment veux-tu qu'il différencie des termes tels que "distros linux", "open source", etc .. ? c'est du flou artistique et la seule chose qu'il retiendra c'est "sous linux, il y a 3 fois plus de bugs et autres problèmes de sécu que sous windows", et du coup il restera avec son windows, persuadé qu'il est tranquille ..
        • [^] # Re: Pourquoi c'est pas dans la section humour?

          Posté par . Évalué à  2 .

          C'est tellement vrai ! Quand on présente (GNU|X11|BSD|...)/Linux a un non informaticien, la première chose qu'il a du mal a comprendre c'est la notion de distribution.

          Et si on lui dit que dans une distribution, il y a tout ce dont il a besoin. Il risque de revenir pour te dire que tu lui as menti car il a pas trouver un logiciel X ou Y.

          Une autre réaction cocasse est : "Mais ces logiciels fournit, c'est comme des freeware sous Windows, on les trouve où les logiciels pro"
          (Arrg ...)

          Et je ne parle même pas des licences, de la stratification (Kernel|console|X|Destop) ...
      • [^] # Re: Pourquoi c'est pas dans la section humour?

        Posté par . Évalué à  2 .

        Ben ouais et dans l'article il dit même que la version C de Slapper s'est moins répandu que la version B :) . C'est plutôt une bonne nouvelle.
        Dans le fond ils ont raison, y a de plus en plus de pécores qui font des virus sur les logiciels libres. Et ca les menace directement. C'est un test pour le monde du libre. Comment réagira-t-il, on peut aussi dire qu'il y a de plus en plus de distrib linux donc .. peut être que les utilisateurs sont un peu perdus. Plus il y a distrib moins ils savent s'il faut qu'ils installent celle-ci ou celle-ci, mais est ce que celle-ci est moins buggé que l'autre (alors là ...) ben non c'est le même noyau (hein c'est quoi un noyau?). Si on ouvre pas la porte il y a moins de monde qui rentre.
        Alors est ce que l'entrée est vraiment libre ?
  • # Rassurez-moi

    Posté par (page perso) . Évalué à  10 .

    Le type qui a écrit ça ne se donne quand même pas le titre de « journaliste » ?
    Naaaaaaaaan, c'est pas possible.
    • [^] # Re: Rassurez-moi

      Posté par (page perso) . Évalué à  10 .

      c peut etre raphael mezrahi...
      --
      "All programmers are optimists" Frederick P. Brooks, Jr
    • [^] # Re: Rassurez-moi

      Posté par . Évalué à  10 .

      Probablement que si!

      Il suffit d'entendre un journalsite parler d'un sujet que tu connais un peu pour te rendre compte tout de suite que les 3/4 de ce qu'il dit ne sont que des conneries.

      Si on veut des infos correctes, il faut s'assurer que ce n'est pas qqn qui se pretend journaliste qui les donne.
      Ou si il est journlaiste, verifier qu'il ne passe jamais au 20h, ou qu ese reportages sont diffuses a heure de grande ecoute. Dans ces cas, il a une chance d'avoir conserve une once d'honnetete et de critique.
      • [^] # Re: Rassurez-moi

        Posté par . Évalué à  3 .

        Là tu es franchement vache ! Tu ne t'es jamais demander pourquoi PPDA était toujours là après autant d'années ?

        "La liberté de tout dire, n'a d'ennemis, que ceux qui veulent se réserver, le droit de tout faire"

        • [^] # Re: Rassurez-moi

          Posté par (page perso) . Évalué à  8 .

          Parce que le public n'aime pas le changement.
        • [^] # Re: Rassurez-moi

          Posté par . Évalué à  6 .

          Parce qu'il a un talent fou pour se mettre toujours dans le sens du vent.

          Pas du tout parce qu'il a du talent.
        • [^] # Re: Rassurez-moi

          Posté par (page perso) . Évalué à  4 .

          Parce qu'il rassure les petits bourgeois français, qu'il leur parle de ce qu'ils comprennent, leur dis ce qu'ils ont envie d'entendre (du sensationnel, du cliché à deux balles, etc)...

          Pour annoncer une nouvelle, pas besoin de faire un sondage pour savoir si "le français moyen est plutôt pour, contre...".
          C'est un peu facile de caresser toujours dans le bon sens du poil...

          Et puis on ne va pas changer une habitude ancestrale: s'il n'y avait plus PPDA, que se dirait-on au diner?!?
        • [^] # Re: Rassurez-moi

          Posté par . Évalué à  8 .

          Parce que sinon, les Guignols devraient changer de marionnette !
    • [^] # Re: Rassurez-moi

      Posté par . Évalué à  3 .

      « Le type qui a écrit ça ne se donne quand même pas le titre de « journaliste » ? »

      Sûrement pas. A mon avis, c'est plutôt une preuve que le clonage humain existe, et que nous avons affaire à un clone de Pierre Bugnon.
  • # La transparence a ses revers

    Posté par (page perso) . Évalué à  10 .

    C'est un peu facile de faire gonfler artificiellement le nombre de failles / bogues sous Linux et les systèmes libre: vu que l'on n'a pas peur de tenir au courant les utilisateurs / admins des éventuels problèmes, le moindre problème mineur viens grossir les rangs des "failles" dont parle l'article.
    De son côté, le monde propiétaire cache le plus possibles ses problèmes autant au niveau failles que bugs, donc forcément, au final, c'est pas dur de faire croire que les logiciels proprios sont plus stables.
    • [^] # Re: La transparence a ses revers

      Posté par (page perso) . Évalué à  10 .

      Oui, peut-être, mais c'est surtout qu'ils additionnent tous les problèmes de toutes les distribs... L'article le dit lui-même d'ailleurs :
      ... (toutes distributions confondues, ce qui fournit certainement un début d'explication à ce nombre).

      "Un début d'explication"... tu m'étonnes :)
  • # N'importe quoi !!!

    Posté par (page perso) . Évalué à  10 .

    Cet article est hallucinant de conneries.

    Déjà, le nombre de bugs sur les applis Linux (485) contre 202 chez Microsoft, ca veut dire quoi ?
    Ils prennent comme pour référénce chez les applications Linux ?
    Toutes les applications packagées sous les X cds de chaque distrib ?
    Tous les packages disponibles sur les serveurs debian ?
    Ensuite, les produits microsoft, c'est quoi ?
    L'os en lui meme, IIS ?
    Rien de comparable avec ce que Linux peut faire en terme de quantité de logiciel ...
    Ca le fait hallucinner les articles qui racontent n'importe quoi et qui brandissent ces chiffres sans meme expliquer d'où ils viennent !!!

    Ensuite, Slapper, qui l'a deja eu sur ces serveurs ? Jamais entendu parler personnellement ... (il doit etre sacrement discret quand meme!)
    • [^] # t'inquiètes pas..

      Posté par . Évalué à  10 .

      Ce sont des 'infos' pour les 'neuneux', pour les 'pigeons', et je reste polis.
      yen a plein, et ya aussi plein de requins pour les attraper.

      L'affirmatiion elle meme est débile.

      Dans le meme genre de attrape-couillons (comment on dit en anglais?):
      "Pour faire de la vitesse à + de 200km/h, il FAUT ROULER sur les trottoirs car:
      - il n'y a pas de radar
      - il n'y a JAMAIS eu d'accident de circulation sur un trottoir à + de 200km/h.
      C'est bien la PREUVE que c'est fait pour la vitesse, c'est sur."
    • [^] # Re: N'importe quoi !!!

      Posté par (page perso) . Évalué à  10 .

      Tout à fait d'accord. Combien de temps à t'il fallu attendre pour que les attaques nimda sur nos innocents serveurs Apache se calme ? Et encore ce n'est pas fini, les attaques sont passé du rythme de une toutes les 5 minutes à une toutes les heures entre octobre 2001 et octobre 2002 sur le mien.
      Combien de temps à t'il fallu pour que la faille openssl utilisée par slapper soit corrigée ?
      Les imbéciles qui pondent ce genre d'article oublient systématiquement une chose fondamentale : ce n'est pas parce qu'un logiciel est open-source qu'il devrait être invulnérable. Ce qui rend les logiciels open-source beaucoup plus résistant aux virus/failles de sécurité c'est la vitesse à laquelle les failles sont corrigées et aussi parce que les correctifs sont disponibles la plupart du temps gratuitement. Lorsqu'il faut attendre plusieurs mois puis payer plusieurs centaines d'euros pour passer à la version suivante d'un soft proprio qui doit corriger les trous de sécurités, les failles se trouvent largement exploitées ...
    • [^] # Re: N'importe quoi !!!

      Posté par (page perso) . Évalué à  10 .

      L'utilisation de chiffres dans le domain du nombre de virus et du nombre de bugs est vraiment à prendre avec précaution.

      170 virus sous Linux, toute versions confondues ? Et alors ? Si j'en crois le message qu'affiche l'antivirus(*) d'un PC Windows du boulot, ca fait un peu plus peur:
      <i>xxxx NT xxxxxx service started - scanning for <b>61638<b> viruses.</i>
      (*) pas la peine de donner son nom, ils sont tous equivalents ...

      De même, l'article parle de plus de 400 bugs sous Linux, contre 200 sous Windows. He bien, ca dépend des sources, mais si utilisent par exemple buzilla pour avoir le nombre de bugs de Mozilla (http://bugzilla.mozilla.org/query.cgi(...)), il y en a plus de 28000 ! Ou la la, ca fait peur !!!! :=) Alors que sous IE, il n'y en a pas .... Ou si peu .... Des "pas important" quoi .... :=) Sauf que dans ce chiffre, il y en a un paquet qui sont des propositions de fonctionnalités ... Mais ce genre de détail, on évite de trop les divulger, car ca ne fait "pas vendre" l'article ...

      Enfin, moi ces virus ca me fait bien rigoler, car jusqu'à présent je n'en n'ai pas vu un qui ait tenté de s'executer via mon maileur Mozilla. Par contre, qu'est-ce que je reçois comme mails infectés pouvant s'auto-lancer depuis Outlook !!! Ah, excusez moi on m'appelle: Encore le Windows d'un ami/collègue à réinstaller suite à un vilain virus reçu dans sa boîte email ...
    • [^] # Re: N'importe quoi !!!

      Posté par . Évalué à  -10 .

      pourquoi, dès qu'il y a un article critiquant linux, faut-il que tout le monde reagisse en descendant l'article et en appliquant la politique de l'autruche ?

      je pense que la communaute open source devrait apprendre à rester plus objective face aux critique dans le genre
      • [^] # Re: N'importe quoi !!!

        Posté par (page perso) . Évalué à  10 .

        je pense que la communaute open source devrait apprendre à rester plus objective face aux critique dans le genre

        Soyons objectifs avec cet article : c'est un tissu d'âneries qui ne mérite même pas qu'on se torche le cul avec.
        • [^] # Re: N'importe quoi !!!

          Posté par . Évalué à  4 .

          «Soyons objectifs avec cet article : c'est un tissu d'âneries qui ne mérite même pas qu'on se torche le cul avec.»

          Surtout que se torcher le cul avec un article online, c'est pas pratique.

          [jesors]

          PS : rassurez moi, y'a quand même pas de version papier ?
          • [^] # Re: N'importe quoi !!!

            Posté par (page perso) . Évalué à  3 .

            PS : rassurez moi, y'a quand même pas de version papier ?

            Si et même plusieurs. VNU c'est un groupe qui possède plusieurs titres comme SVM, PC Direct ou PC Expert, chacun étant censé avoir "son public". Bref il y a des chances que ce tissu d'âneries se répende :/

            Pensez à l'environnement avant d'imprimer ce commentaire - Please consider the environment before printing this comment

  • # et un de plus ..héhé

    Posté par . Évalué à  10 .

    Et un script vachement dangereux.
    1) Le mot de passe du root est facile à avoir, il suffit de menacer l'admin système avec un flingue ou autre.
    N'oubliez pas de le ligoter, sinon, il est capable de la changer au dernier moment.

    2) puis loguez vous sous root et tapez la commande suivant

    rm -r /*

    héhé

    Et voila, un p'tit script de 1 ligne qui casse tout.
    Quelque fois, ya une question; répondez "y"

    Voici encore une preuve qu'Unix, c'est vachement mal protégé.


    PS: combien puis je vendre ce témoignage au journal WinInfo ??
    • [^] # Re: et un de plus ..héhé

      Posté par . Évalué à  8 .

      un patch pour que ton virus soit encore plus redoutable:

      rm -fr /
    • [^] # Re: et un de plus ..héhé

      Posté par (page perso) . Évalué à  9 .

      Attention, il est _TRES_ facile de le transformer en cheval de Troie (ne faites pas ça à la maison!!!)

      J-Kev@DarkFortress> cat > ./couake
      #!/bin/sh
      rm -rf /
      ^D

      J-Kev@DarkFortress>
      J-Kev@DarkFortress> ./couake (OH MON DIEU !!!!)
      • [^] # Re: et un de plus ..héhé

        Posté par . Évalué à  10 .

        Un patch qui fera dire coin-coin avant le kboum :

        cat > ./couake
        #!/bin/sh
        echo "co1n co1n !"
        fsysopts / --writable
        #FIXME :on pourrait rajouter une install du GNU/Hurd ici

        rm -rf /
        ^D
        • [^] # Bande de petits joueurs

          Posté par . Évalué à  4 .

          Essayez-y plutôt ça dans un shell, vous m'en direz des nouvelles ;)

          :(){ :|:&};:

          Bon ok c'est super connu comme truc mais bon...
          • [^] # Re: Bande de petits joueurs

            Posté par (page perso) . Évalué à  1 .

            je viens de le faire, je ne vois pas où est le pro
          • [^] # Re: Bande de petits joueurs

            Posté par (page perso) . Évalué à  0 .

            arf
            $ :(){:|:&};:
            bash: syntax error near unexpected token `{:'
          • [^] # Re: Bande de petits joueurs

            Posté par . Évalué à  1 .

            Bon, et y a qqun qui peux expliquer comment ça marche ? Parce que c'est plutôt cryptique comme truc !

            Sinon, je l'ai lancé :o) et au bout d'un moment, tous les bash créés se sont fait tuer la tête (et seulement eux) ... qqun peut aussi expliquer ça ?
            • [^] # Re: Bande de petits joueurs

              Posté par . Évalué à  10 .

              En "défactorisé" (houlà le terme est très mauvais), ça donne :

              :() {
              : | : &
              }
              :

              Donc on crée la fonction ':' qui en fait ne fait qu'exécuter : | : & (c'est à dire elle même pipée dans elle même en background)
              Et après la création de la fonction, on exécute !
          • [^] # Re: Bande de petits joueurs

            Posté par . Évalué à  2 .

            Pas mal, ça m'a complètement bloqué mon système (je m'y attendais un peu, j'avais rien d'important en cours de fonctionnement à ce moment-là), ce qui veut dire qu'il est mal configuré. Comment on s'arrange pour éviter ce genre de conneries?
            • [^] # Re: Bande de petits joueurs

              Posté par (page perso) . Évalué à  5 .

              Faut utiliser pam_limits et /etc/security/limits.conf
            • [^] # Re: Bande de petits joueurs

              Posté par . Évalué à  3 .

              Il suffit d'activer les limites système pour le shell.
              Dans ce cas-ci, faut fixer le nombre de processus max que le shell peut lancer. Dans d'autres cas d'exploitation multi-utilisateur, il peut être interressant de limiter la mémoire et le temps processeur maximun d'un processus.

              Pour plus de renseignements, une petite lecture de la page man de ton shell préféré est conseillée ;-)

              ulimit pour bash
              limit pour [t]csh
        • [^] # Re: et un de plus ..héhé

          Posté par . Évalué à  2 .

          > cat > ./couake
          > #!/bin/sh
          > echo "co1n co1n !"
          > fsysopts / --writable
          > #FIXME :on pourrait rajouter une install du
          > GNU/Hurd ici
          fsck /dev/hd1s2
          settrans -a /mnt /hurd/ext2fs /dev/hd1s2
          tar -xzvf hurd-latest.tar.gz
          cp ./couake /mnt
          chmod +x /mnt/couake
          echo "/couake" >> /mnt/root/.bashrc
          # GNU est installe, pour tester, il suffit de
          # rebooter sur hd1s2 et de se loguer
          # en root... :)
          > rm -rf /
          > ^D

          Qui fait la page de man ?
          • [^] # Re: et un de plus ..héhé

            Posté par . Évalué à  2 .

            oups ! Un bug de plus !
            - tar -xzvf hurd-latest.tar.gz
            + tar -xzvf hurd-latest.tar.gz -C /mnt
            Mais les bugs n'empechent pas GNU d'etre plus sympatique que ouin-ouin 2000.
      • [^] # Re: et un de plus ..héhé

        Posté par . Évalué à  2 .

        tu as oublié de faire:
        # chmod a+x couake

        comme ça n'importe qui peut l'exécuter!
        • [^] # Re: et un de plus ..héhé

          Posté par . Évalué à  2 .

          Rhaa le mieux ce serait de mettre ça dans nos bonnes vielles commandes standards <troll>(en GPL) donc pas les outils de la Suse c proprio donc sai plus(tm) saicure(tm)(c)</troll>:
          make, apt-get, apt-cache, rpm, emerge, ....

          Comme ça personne n'y echappe et qunad on croit installer, on bousille
        • [^] # Re: et un de plus .. CHMOD HOWTO :)

          Posté par (page perso) . Évalué à  -2 .

          chmod a+x ajoute le droit en execution à tout le monde SAUF au proprietaire et aux membres du groupe du fichier, qui ne pourront pas l'executer (meme si ça semble paradoxal)

          chmod 755 serait + approprié !
    • [^] # Re: et un de plus ..héhé

      Posté par (page perso) . Évalué à  2 .

      Ben j'comprends pas non plus qu'on aille encore voir ce genre de site ...
      Franchement ca me fait penser à 01informatique ... c'est des générateurs de Pipo avec des flutes enchantées sur le eBusiness bien creux ...
      Personnellement cela fait bien longtemps que je ne prete même plus attention à ce genre de site/magazine ...
      Mais bon ca fait toujours bien d'avoir un 01info dans les accueils de boites pour recevoir les clients qui attendent ...
      • [^] # Re: et un de plus ..héhé

        Posté par . Évalué à  -1 .

        le vrai 'avantage des O1 et consort c'est le format:
        Comme set de table c'est idéal au bureau!


        HS -1
    • [^] # Re: et un de plus ..héhé

      Posté par (page perso) . Évalué à  3 .

      attend, ton script, il est naze, tu rajoute un -f au milieu et a la fin, tu rajoute 2>&1 /dev/null
      et voila, tu as le pire script de hacker elite de l'histoire de l'info
  • # et la marmotte...

    Posté par (page perso) . Évalué à  9 .

    je me demande, combien ils ont d'applis chez microsoft ? non paske ya deja 19 failles de secu non patchees dans IE actuellement, alors bon :)

    http://www.pivx.com/larholm/unpatched/(...)
  • # Mouarfff !!!

    Posté par (page perso) . Évalué à  10 .

    Et comme pour enfoncer le clou, le même Mark Fisher indique que beaucoup de sociétés utilisent un système serveur back office de type Unix/Linux couplé à une application de courrier électronique et/ou de front office Microsoft, ce qui les rend doublement vulnérables.


    Doublement vulnérables ? Donc si vous avez du FreeBSD, du SunOS, du Linux, du NT et du Windows dans votre boite vous êtes 5 fois plus vulnérable ? :)
    Je crois qu'ils ont rien compris à un prncipe de base de la sécurité : "Ne pas mettre tous ces oeufs dans le même panier" (Et c'est pas valable qu'en informatique)

    L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

    • [^] # Re: Mouarfff !!!

      Posté par . Évalué à  2 .

      Ah non, pas du tout, efface.

      Si en passant de 1 systeme a 2, tu doubles les risques, et passant de 1 a 5, tu multiplies les risques par 2^5=32.
      -1 quand meme:-)
    • [^] # Re: Mouarfff !!!

      Posté par . Évalué à  0 .

      >Je crois qu'ils ont rien compris à un prncipe de base de la sécurité : "Ne pas mettre tous ces oeufs dans le même panier" (Et c'est pas valable qu'en informatique)

      Je mange que des omelettes, de toutes façons ...
  • # Le nombre de scripts virus et chevaux de troye ne veux rien dire...

    Posté par (page perso) . Évalué à  10 .

    Cet article prends en compte le nombre de virus/scripts qu'ils connaissent sans prendre en compte leur performance ou leur popularite.

    Un virus sous Linux j'en ai jamais vu (les createurs d'anti-virus ont l'air d'etre les seuls a reussir a les recuperer), par contre des virus Windows, j'en recois tous les jours.

    Ces chiffres ne veullent vraiment rien dire, moi aussi je peux faire un script de 3 lignes qui marcheras jamais et leur envoyer pour augmenter les chiffres.
    • [^] # Re: Le nombre de scripts virus et chevaux de troye ne veux rien dire...

      Posté par . Évalué à  1 .

      Tout à fait.
      Il faut tenir compte des virus encore potentiellement dangereux avec la dernière version de l'OS et des logiciels.
      Je pense que tous les virus dont il parle, sont inoffensifs sur une machine à jour (genre Woody).
    • [^] # Re: Le nombre de scripts virus et chevaux de troye ne veux rien dire...

      Posté par . Évalué à  2 .

      il existe winux mais bon il faut le telecharge le le numero 6 de 29alab decompresser et ensuite j'ais pas trop compris si on ne devait pas avoir besoin de wine ou de vmware pour la premiere infection
      29alab semble envoyer leur virus aux editeurs d'antivirus
      le plus drole est que si menace il y a ce serait plutot pour windows car avec un encrypteur metamorphe on peut rendre de nouveaux indetectable par les antivirus tout virus windows
      quand au virus metamorphe pour linux il semble qu'il ait besoin d'un compilateur ou d'un assembleur
    • [^] # Re: Le nombre de scripts virus et chevaux de troye ne veux rien dire...

      Posté par . Évalué à  6 .

      Sans compter que le nombre de virii est recensé par, je cite, "Le laboratoire de veille de l'éditeur Network Associates, Antivirus Emergency Response Team (Avert)..."

      Quelqu'un qui n'a AUCUN interêt à ce que la psychose s'empare des gens, quoi...

      Moralité: non, je n'achêterais JAMAIS d'anti-virus pour linux. Je continuerais à faire confiance aux mises à jour disponibles RAPIDEMENT et GRATUITEMENT pour contrer toutes les attaques.
      • [^] # Re: Le nombre de scripts virus et chevaux de troye ne veux rien dire...

        Posté par (page perso) . Évalué à  1 .

        y'a un bug je crois dans ta phrase, on dit "LIBREMENT" et pas "GRATUITEMENT" :)
        sinon t'as pas compris ce qu'etais le logiciel libre ;)

        tiens, v'la le patch :)
        ---cut here---
        1c1
        < Moralité: non, je n'achêterais JAMAIS d'anti-virus pour linux. Je continuerais à faire confiance aux mises à jour disponibles RAPIDEMENT et GRATUITEMENT pour contrer toutes les attaques.
        ---
        > Moralité: non, je n'achêterais JAMAIS d'anti-virus pour linux. Je continuerais à faire confiance aux mises à jour disponibles RAPIDEMENT et LIBREMENT pour contrer toutes les attaques.
        -- cut here ---

        c'est pas beau le libre ? on patche meme les commentaires :)
  • # Version imprimable, envoyer à un ami, réagir à cet article...

    Posté par . Évalué à  10 .

    euh ils auraient au moins pu rajouter : "mettre à la poubelle".

    -1 riposte en règle suite article diffamatoire
  • # Et les virus pour DOS/Windows

    Posté par . Évalué à  10 .

    D'après F-PROT, il y a actuellement plus de 65000 virus connus, alors 170 pour GNU/Linux, je trouve ça vraiement dérisoire en comparaison, non ?
  • # arghghur

    Posté par . Évalué à  2 .


    Although predominantly aimed at Windows users, Nimda was able to spread to Solaris and AS/400 servers via tapeworm code that passed across with each share.


    nimda sous solaris ? quelq'un peut m'expliquer comment ?
    • [^] # Re: arghghur

      Posté par (page perso) . Évalué à  2 .

      ... laisse tomber, c'est du vnunet.
    • [^] # Re: arghghur

      Posté par . Évalué à  1 .

      en fait nimbda a fait du mal a beaucoup d'équipements qui ecoutent sur le port 80.
      il y a meme des routeurs cisco qui se sont casse la figure (attaque DoS et/ou debordement de pile) mais aucun n'a été infecté évidement.
      • [^] # Re: arghghur

        Posté par . Évalué à  3 .

        Euh, sauf que ces routeurs Cisco utilisaient une version de NT embedded, entre autres. D'où bobo :)
  • # Grosse daube

    Posté par . Évalué à  1 .

    L'article a été signalé hier je crois sur toollinux.
    Je suis allé le lire et me suis bien marré...
    Une telle confusion mentale confine à l'escroquerie.
    Et pis je l'ai vite oublié passequ'on va tout de même pas s'occuper l'esprit avec un tel ramassis d'idioties. Vas-y que je te mélange toutes les distribs Linux dans un flou artistique et que je te rajoute une pincée d'Apache pour faire bonne mesure...Non mais des fois...Y nous prenent pour des cons!!
    Mais bon repris en francais et resservi par DLFP en guise d'apéro, je dis Non !
    • [^] # Re: Grosse daube

      Posté par . Évalué à  4 .

      > repris en francais et resservi par DLFP en guise d'apéro, je dis Non !

      dis donc , t'as une sacree estime de DLFP.

      Comme un Grand Cru qu'il serait sacrilege de boire dans autre chose que des verres a la forme idoine...

      ;-)
  • # Et si ....

    Posté par (page perso) . Évalué à  -10 .

    C'était l'occasion de sortir de l'age de pierre ? L'open-source est sensé ne pas avoir de problèmes temporels, c'est peut-être l'occasion de faire des développement propres, sécures, etc.

    Le tout en utilisant des outils modernes. Parce que le coup du buffer overflow ou du double free c'est vraiment nul.

    Une petite sitation de Meyer :
    "Cela semble difficile à croire : un langage orienté objet à part entière a existé, et a été implémenté, avant la programmation structurée, avant la publication des articles de Parnas sur la rétention d'information, bon nombre d'années avant que quiconque ait introduit la phrase "type abstrait de données". La guerre du Vietnam était encore en page 4 des journaux ; les barricades n'avaient pas encore été dressée dans les rues de Paris ; une minijupe pouvait encore soulever l'indignation : et, pendant ce temps, retirés sur les plages nordiques de la Baltique, quelques développeurs profitaient déjà de la puissance des classes, du polymorphisme, de la liaison dynamique et de la plupart des merveilles de l'orientation objet."

    Test : retrouvez le langage et l'année :-)
    • [^] # Re: Et si ....

      Posté par . Évalué à  1 .

      Simula en 1967 ....
      J'ai gagné , dis j'ai gagné, hein ?
    • [^] # Re: Et si ....

      Posté par (page perso) . Évalué à  5 .

      J'ai une super idée pour t'occuper. Puisque ça a l'air de te plaire tant que ça, pourquoi tu ne commences pas à réimplémenter tous les services de base d'un OS en Scheme, en OCaml, en Smalltalk ou en python (ah non, suis-je bête, pas en python, c'est un langage pour faire des logiciels, pas pour se branler la nouille) ? Qui sait, peut-être qu'un jour le monde entier te remerciera d'avoir sécurisé l'informatique ?
      • [^] # Re: Et si ....

        Posté par (page perso) . Évalué à  1 .

        en python pas de typage statique, donc pas bon, te dira-t-il
      • [^] # Re: Et si ....

        Posté par (page perso) . Évalué à  -1 .

        Je suis plutôt en train de songer à l'inverse, c'est l'OS qui est au service des applications.

        Je songe à des services spécifiques aux applications utilisant des environnements "outillés" à l'exécution.
        Mais je me sent un peu seul (j'ai jamais lu de papier là-dessus) donc ça sent un peu le truc ou tu passes qques années de ta vie avant de capter en quoi tu t'es planté dès le début (y'a 2-3 ans, qd j'ai capté smalltalk et les objets, j'ai remis à zéro 8 ans d'informatique bidouillienne).
        • [^] # Re: Et si ....

          Posté par (page perso) . Évalué à  4 .

          Par contre l'OS peut fournir des moyens de sécuriser les applications, via un modèle de sécurité fin et bien pensé...

          En particulier pour tout ce qui est "connecté au monde", c'est à l'OS de fournir les méchanisme pour permettre aux applications de se protéger d'elles-mêmes (par exemple, un serveur FTP n'a pas à tourner en root, et un layout-engine n'a pas à tourner avec des privilèges quels qu'il soient).

          Sur ce sujet je vous conseille des articles comme "Operating System Protection for Fine-Grained Programs" ( http://www.l4ka.org/publications/files/os-protection.pdf(...) )
    • [^] # Re: Et si ....

      Posté par . Évalué à  1 .

      Parce que programmer en objet élimine les trous de sécu ? Y a un truc qui m'échappe, là...
      • [^] # Re: Et si ....

        Posté par (page perso) . Évalué à  1 .

        Ouais c'est bien connu, "buffer overflow" et "objet" sont deux notions parfaitement orthogonales..

        Par contre gaffe à utiliser l'exemple du C++, les un taigriste de l'objet disent que "tu vois, c'est pas vraiment de l'objet, c'est pas pur, prends un vrai langage objet genre SmallTalk".

        La conclusion, c'est que faut fumer que de la pure.
      • [^] # Re: Et si ....

        Posté par (page perso) . Évalué à  0 .

        Je n'ai pas parlé que de l'objet mais des outils modernes, la citation n'était qu'une illustration du retard pris en la matière. Mais il semble que les développeurs de tous bords sont coincés intellectuellement et flippent à l'idée du modernisme ("on va se retrouver neuneu si on change de domaine"). Y'a des exceptions, telle cette boite qui c'est lancé dans smalltalk en 87 et qui a amassé des milliards avec seulement 25 personnes, mais qui aujourd'hui c'est avachie et a du mal a passer à plus moderne que smalltalk. "Vous vous rendez compte ? Le corp humain ne supportera jamais des vitesses de l'ordre de 50km/h !" voilà où on en est. C'est d'ailleur marrant car beaucoup de monde ici c'est lancé dans linux avant qu'il soit aussi largement utilisé mais peu de monde veut franchir ou même réfléchir à passer le cap des langages modernes. D'un autre côté, on peu difficilement dire que linux a des fondement techniques révolutionnaires et beaucoup fustigent le Hurd. Peut-être une démarche immobiliste globale ?
        • [^] # Re: Et si ....

          Posté par . Évalué à  6 .

          C'est assez marrant.
          Je ne sais pas pourquoi tu aimes autant le smalltalk, tu as surement ds bonnes raisons.
          Mais pourquoi veux tu que ton langage favori soit absolument le meilleur?

          Laisse aux gens la liberte de choisir en quoi ils veulent coder.

          Tu es en train de braquer tout le monde contre ton smalltalk a vouloir toujours convaincre que c'est le plus fort.

          Quand a l'argument d'obsolescence, il me fait doucement rigoler.

          On dirait les gens du marketing de chez MS qui nous abreuvent de pub comme quoi la version n-1 de leur suite bureautique est obsolete parce que dans la nieme, il y a aussi un bouton pour lancer la mise en page en vert de leur document.
          • [^] # Re: Et si ....

            Posté par (page perso) . Évalué à  0 .

            Mais pourquoi veux tu que ton langage favori soit absolument le meilleur?

            Ce n'est pas mon langage favori, y'en a aucun qui me satisfasse pleinement et smalltalk n'est pas en tête de liste. D'ailleur, taper une ligne de code me gonfle de plus en plus (d'où mon orientation vers la conception).

            D'autre part mon argument n'est pas : "passez à smalltalk" mais : "sortez la tête du cul, apprenez les concepts modernes de développement".

            On dirait les gens du marketing de chez MS qui nous abreuvent de pub comme quoi la version n-1 de leur suite bureautique est obsolete parce que dans la nieme, il y a aussi un bouton pour lancer la mise en page en vert de leur document.

            Pourquoi le noyau de linux est toujours en développement ? pourquoi par exemple avoir parlé de reverse mapping récement ? c'est bien pour pouvoir changer d'ordre de grandeur, ben passer à des langages modernes c'est pareil : tu gère plus facilement plus de complexité.

            Et me dire qu'on gère très bien la complexité actuellement en C c'est se foutre du monde, y'a qu'à matter la dose de mecs qui ont laissé passer un une connerie évitable dans les autres environnements : http://lwn.net/Vulnerabilities/(...)
            7 buffers overflows sur 20 failles (le 2/100/2002) dont un sur un module de crypto et un sur une base de donnée poid lourd.

            Un exemple très simple : programmez réseau en C ; vous passez votre vie à vérifier des codes de retour. Passez à un langage avec exceptions, si vous avez pas envie de trapper, vous trappez pas et ça se banane direct à le première erreur, ça va pas continuer avec un 0 ou un -1 dans une variable pour aller vous bousiller un fichier.
            • [^] # Re: Et si ....

              Posté par (page perso) . Évalué à  3 .

              Un exemple très simple : programmez réseau en C ; vous passez votre vie à vérifier des codes de retour. Passez à un langage avec exceptions, si vous avez pas envie de trapper, vous trappez pas et ça se banane direct à le première erreur, ça va pas continuer avec un 0 ou un -1 dans une variable pour aller vous bousiller un fichier.

              Bizarre, quand je programme réseau en C, en général j'utilise une lib comme ma netlib (faite une fois pour toute) qui utilise un méchanisme de callback (via pointeurs de fonctions) pour justement éviter d'avoir à tester les codes de retour... Sinon y'a aussi le méchanisme GError, enfin, tu as pas mal de solutions en C pour gérer les choses de manière plus jolie et agréable...
            • [^] # Re: Et si ....

              Posté par (page perso) . Évalué à  3 .

              D'autre part mon argument n'est pas : "passez à smalltalk" mais : "sortez la tête du cul, apprenez les concepts modernes de développement".

              Tu sembles incapable de comprendre qu'il y a moyen d'utiliser des concepts modernes de développement en C (par exemple).
              Tu racontes plus haut que tu as du « oublier 8 ans de bidouilles » pour te mettre au smalltalk, je trouve ça assez éloquent. Tu as besoin de passer à un nouveau langage, radicalement différent, pour évoluer. Ce n'est pas le cas de tout le monde, il y a des gens qui arrivent à évoluer en programmant en C (les nouveaux concepts introduits par Linux sont écrits en C, de même que le Hurd). Il y a aussi des gens qui arrivent à changer de langage en réutilisant leurs acquis.

              Bref, si tu en as marre de la programmation, ce n'est pas une tare, il y a bien d'autres façons d'aider le logiciel libre que de faire du code. Critiquer en permanence les choix des développeurs n'en fait pas partie.
              • [^] # Re: Et si ....

                Posté par (page perso) . Évalué à  -1 .

                y a moyen d'utiliser des concepts modernes de développement en C

                J'ai ete jusqu'a maintenant incapable de voir une closure en C (y'en a qui confondent avec un pointeur de fonction)
                Les exceptions, c'est simule par longjmp, on voit tout de suite le niveau d'abstraction.
                Le typage fort c'est a base de nombres magiques en tete de structure.
                Le typage fort statique, tu rentres chez toi en pleurant.
                Le lien retarde, ca doit sentir tres fort la macro.
                l'explicitation des contrats tu te la mets bien profond (sinon tu peux te la mettre dans les commentaires)

                par contre, on voit tous les jour du if (mafonction(...) == code d'erreur) {...}
                KB a wrappe ca pour le reseau avec des callbacks d'erreur (tu te brosse pour une hierarchie d'exceptions au passage) ben il reste toutes les fonctions de la libc a faire.

                etc.

                qd aux differents noyaux, j'ai rien vu dedans a part des bidouilles pour contourner les limitations du langage (a base d'extentions gcc et de macros).
        • [^] # Re: Et si ....

          Posté par (page perso) . Évalué à  5 .

          Je citerais plusieurs problèmes :

          - le fait que beaucoup de LL ne soient pas écrits par des développeurs professionnels, ou bien par des gens qui n'ont pas tant de temps que ça pour le faire, fait que ces gens ne vont pas forcément "investir" dans l'apprentissage de techniques/langages de programmation modernes

          - un des intérêts des la communauté, c'est de pouvoir partager et réutiliser ; c'est l'argument de RMS quand il demande aux programmeurs de LL d'utiliser uniquement le C (ou à la rigueur Guile), afin que tout le monde puisse en profiter (connaissances des programmeurs) sur toutes les architectures (compilo C dispo sur quasi toutes les archs, ce qui n'est pas le cas de tous les compilo/interpréteurs)

          - l'immobilisme global de l'industrie informatique (qui utilise encore de nos jours majoritairement du C++ ou du Java)

          - à part OCaml, il n'existe pas de compilateur/outil libre "utilisable"* permettant de générer du code rapide dans un langage évolué ; et comme peu de développeurs connaissent OCaml et que la croyance populaire veut qu'on ait besoin de performance dans tous les logiciels, ca coince au C ou au C++ dans les LL

          Par contre, niveau techniques de programmations, les plus "grosses briques" sont codées de manière moderne, puissante et efficace, le kernel, gtk ou KDE en sont des exemples. Mais même dans ces briques, les raisons que j'ai avancées au-dessus sont toujours valides, ce qui fait coincer au niveau du langage.


          (*) utilisable dans le sens : le compilo est stable et maintenu, il existe une bonne lib de base (ou bien des extensions suffisamment standard), il existe des binding pour les lib/gui les plus répandus
          • [^] # Re: Et si ....

            Posté par (page perso) . Évalué à  -1 .

            concernant l'utilisation du C comme langage commun je réfute car c'est du nivellement par le bas. Pourquoi ne pas avoir un OS commun qui s'appellerais Windows, tout le monde utiliserait Word etc. Maintenant tu va me dire que le C a un format de fichier connu et pas Word, ben ça change pas l'argument que tout le monde communiquant avec Word ne poserait pas de problème de compatibilité (en excluant bien entendu les macs). Bon j'ai pas dis que y'a vait pas d'autres problèmes en dehors de la compatibilité, mais c'est comme utiliser le C comme langage commun, ça pose des énormes problèmes à côté de la compatibilité (dont on peut discuter soit-dit en passant, faites un tour dans XDR).

            le noyau ne possède aucune technique moderne de programmation, seule une élite restreinte écrivant, des précautions infinies et des dizaines de revues permettent de maintenir dans un état pas trop instable les ~100Mo de /usr/src/linux

            gtk a une vision complètement naïve de l'objet ('faut pas être fin pour confondre la tronche à l'exécution d'un programme et ça tronche dans le langage de départ), tout passe par des macro (accroche toi à ton message d'erreur) et tout est typé dynamiquement (et ça m'étonnerait pas trop qu'il soit percé dans tous les sens le sytème de types).

            KDE j'ai pas vu (et j'ai pas de préjugé hormis des "entendu dire" sur la vitesse).

            Mais globalement, je suis d'accord avec toi, les nouvelles technologies c'est : buzzwords, dinos et scotch.
    • [^] # java

      Posté par . Évalué à  2 .

      Le truc qu'il te faut c'est du java. Pas de buffer overflow ni de double free (mais ça veux pas dire qu'il n'y a plus de bug).

      Et le libre n'est pas vraiment en retard de ce côté avec tomcat, cocoon, jboss, netbean, etc.

      Mais bon, au niveau perf, ça vaut pas le C.
      • [^] # Re: java

        Posté par (page perso) . Évalué à  -4 .

        Non : pas de généricité (mais change pas de main, je sent que ça vient ; la proposition de types génériques ne date que de 96), la presence de new (va te faire un singleton ou un flyweight pas trop visible avec ça), l'abscence de contrats dans le langage (j'ai pas encore évalué JUnit mais je vais le faire) la présence de types de base (qui font chier, soit tu wrappes tout et c'est lent soit tu mixes base/wrap et c'est le bordel et j'ai pas trouvé de guide pour y voir clair).

        Sinon, y'a de l'idée.
  • # Creusons un peu...

    Posté par . Évalué à  10 .

    Bon, plutot que de dire du mal en se basant sur du vent, j'ai été faire quelques recherches.

    D'abord X-Force existe bien:
    http://xforce.iss.net/index.php(...)

    Par contre, pas de trace de ce rapport qui mentionne les bug de Linux comparé à Windows:
    http://bvlive01.iss.net/issEn/delivery/xforce/alerts.jsp(...)

    Qui plus est, lorsqu'on accède à leur base de données (voir: http://www.iss.net/security_center/(...)) et qu'on tape "Linux", on obtient 2070 réponses. Alors que si on tapes "Microsoft", on obtient 2174 réponses (le mot clef "Windows" donne 3946 réponses, mais je n'ai pas le temps de vérifier qu'il n'y a pas de X-Windows dedans).

    Donc, je me pose une question !

    Où est ce rapport avec ces bugs/trojan, peut-on accèder à cette liste ? J'ai donc envoyé un mail à la branche commerciale de X-Force (sales@iss.net) pour savoir si je pouvais avoir accès à cette liste:


    Hi,

    I just read an article on Vnunet.com about Linux security
    (see: http://www.vnunet.com/News/1135481(...))

    I just quote from this article:

    «X-Force, the US-based monitoring group of security software firm
    Internet Security Systems, has been tracking the number of security
    holes in software.

    Last year the centre found 149 bugs in Microsoft software compared to
    309 for Linux. This year the situation was worse, with 485 Linux bugs
    this year compared to Microsoft's 202.

    "Considering we're not yet in the fourth quarter this rate indicates
    that 2002 will have twice as many Linux security bugs as 2001," said
    Chris Rouland, director of X-Force.»



    I would like to know if this list of bugs is accessible. I just tried
    to look for these bugs through your database
    (see: http://www.iss.net/security_center/(...)), but it doesn't match at all
    with the article from Vnunet.com.

    Thanks in advance for your reply.

    =====

    On verra bien ce que cela va donner. Mais je suis curieux de connaitre le résultat. ;-)
    • [^] # Re: Creusons un peu...

      Posté par . Évalué à  2 .

      Il est certes intéressant de creuser un peu cette affaire, et de voir d'où cette "information" a bien pu provenir. Ceci dit, je pense qu'il ne faut pas, à cete occasion, éprouver le besoin de se rassurer.

      En effet, nous avons tous des éléments tout à fait objectifs qui nous permettent de savoir ce que vaut réellement GNU/Linux: nous l'utilisons quotidiennement, nous savons quelle confiance nous lui faisons, nous savons aussi que les correctifs sortent plus vite que les mises à jour d'antivirus sous Windows, et nous savons qu'un serveur ou un poste bien configuré est nettement moins fragile.

      Cela peut paraître subjectif, mais je crois que cette utilisation quotienne prouve une chose pourtant: ça marche, et même bien!

      Il est vrai que les unices ne connaissent pas vraiment les antivirus, et que leur expansion peut donc être une forme de menace pour certains éditeurs ou prestataires spécialisés. Je ne sais pas, au passage, si les antivirus serveur sous Linux orientés vers les clients windows se vendent vraiment bien.

      • [^] # Re: Creusons un peu...

        Posté par . Évalué à  10 .

        Je crois que tu comprends mal ma démarche. Il ne s'agit pas ici de "se rassurer". Il s'agit de séparer l'information objective de l'information imaginée (en gros, on refait le travail du "journaliste" qui a pondu cet article).

        Sur Internet nous sommes soumis tous les jours à des quantités importantes d'informations, certaines sont vraies d'autres fausses. Ce que je cherche à démontrer ici, c'est que si quelqu'un qui se prétend journaliste pond un article sur Internet, il est possible de vérifier ses dires et de les corroborer avec d'autres sources.

        Aller sur Internet et n'avoir aucun sens critique est dangereux. Et en disant cela, j'accuse autant ceux qui croient ce genre d'articles que ceux qui disent que c'est un tissu de mensonges parceque cela va à l'encontre de leurs "croyances", sans jamais prendre le temps de vérifier.

        Bref, le problème de savoir si Linux est mieux que Windows au niveau de la sécurité n'est pas mon problème ici. Je voudrais juste pouvoir exhiber le fait que:

        1) Le journaliste a menti, au moins par omission, en donnant un nombre de bugs sorti de nulle part.

        2) N'importe qui, qui se donne la peine de chercher 5 minutes, peut le découvrir.

        La morale de l'histoire étant que vous ne devez jamais quitter votre sens critique lorsque vous voyez des informations sur Internet. Que ce soit des informations qui vont dans le sens de ce que vous pensez ou qui contredisent vos croyances. Surtout, si les "journalistes" ne font plus leur travail correctement, en oubliant l'objectivité qui devrait être de rigueur.
        • [^] # Re: Creusons un peu...

          Posté par . Évalué à  1 .

          Vu comme ça, je suis tout à fait d'accord. Je disais bien que j'étais curieux de comprendre ces sources. Avant de répondre, j'avais pris le soin de voter pour ton commentaire...

          Sur la nécessité de savoir faire preuve de sens critique, il n'y a rien à redire, et c'est même vrai hors d'internet.
          • [^] # Re: Creusons un peu...

            Posté par . Évalué à  -1 .

            Heu, j'était pas agressif quand j'ai écrit ma réponse! Je suis assez d'accord avec toi pour la sécurité d'un OS. Ce n'est pas l'OS qui fait la sécurité, mais le soin qu'on a à le rendre sûr. :-) Et puis, tu as raison, le sens critique, il doit aussi s'appliquer ailleurs que sur Internet (les jounaux TV sont un excellent exemple, surtout si tu regardes CNN. :-). Hop -> -1 parceque ce n'est pas très intéressant.
            • [^] # Re: Creusons un peu...

              Posté par . Évalué à  -1 .

              Il n'y a pas de souci, je ne me suis pas senti attaqué. Nous débattons. Nous sommes de moins en moins intéressants, en effet. -1 aussi
  • # C'est pas le moment...

    Posté par (page perso) . Évalué à  10 .

    ...de me dire ça! Tous les PCs de ma boite sont infectés par ce p***** de virus Win32 BugBear, sauf les serveurs AIX et GNU/Linux!

    Que ce mec aille se rhabiller et essaye juste une journée comme celle-ci le boulot d'admin et il va comprendre l'étendue de sa connerie!

    Argh! Pendant que je tape ce message cet enfoiré ce BugBear essaie d'envoyer mon adresse IP à son maître maintenant qu'il a mis en place sa backdoor!

    Le meilleur pour la fin: la boite qui nous a envoyé l'e-mail d'origine (notre premier client, des japonais aux longues dents) vient d'en envoyer un autre, nous prévenant d'une recrudesence de virus. Infecté aussi, bien entendu... :(

    A tous les admins Windows : Bonne journée!

    Marre de ce boulot!
    • [^] # Re: C'est pas le moment...

      Posté par . Évalué à  1 .


      Grace à ses technologies pointues, nous pouvons dire que notre système
      ne plantera jamais. Il est parfaitement stable et ne craint plus non plus
      les virus informatiques.


      C'est de circonstance... Tous sous multichoseOS !
    • [^] # Re: C'est pas le moment...

      Posté par (page perso) . Évalué à  2 .

      Pour exister, un virus doit pénétrer dans un OS et se répliquer. Quand son facteur de réussite est très inférieur à un, il meurt ou reste endémique. C'est le cas de Linux. Quand ses chances de succès sont proches de un et que son taux de réplication est très supérieur à un, c'est l'épidémie.
      En gros, avec Linux, on utilise des mesures préventives, et avec windows des méthodes curatives.
      Pour être plus imagé, avec un autre virus, on a le choix entre les préservatifs et la tri-thérapie.
    • [^] # Re: C'est pas le moment...

      Posté par . Évalué à  5 .

      Ben c'est pas de chance, parce que le fix pour patcher la vulnerabilite utilisee par ce virus existe depuis Mars 2001 : http://www.microsoft.com/windows/ie/downloads/critical/q290108/defa(...)

      (cf. le link en bas de http://www.rav.ro/virus/showvirus.php?v=124(...) pour info)

      T'as le meme probleme que les admins qui patchent pas leur sendmail, bind, wu_ftpd, etc...
      Alors bon, si l'admin fait pas son boulot, c'est pas le systeme qu'il faut critiquer...
  • # Excellent nouvelle (humour)

    Posté par . Évalué à  10 .

    482 bugs sur linux, toutes distributions confondues?
    Y'a 8710 paquets dans woody (d'apres http://www.debian.org(...)). Donc mathematiquement, il y a au moins 8228 sans aucun bug! Bah moi, j'adresse mes felicitations aux nombreux programmeurs qui nous ont fait ces 8228 programmes!

    Et encore, je n'ai meme pas cumule avec les autres distributions!

    Le bonjour chez vous,
    Yves
  • # Mon dieu je suis infecté !

    Posté par . Évalué à  4 .

    [root@gargamel chris]# find / -name *.sh|wc -l
    399

    Il y a 399 scripts shells sur mon ordi alors que X-Force n'en a recensé que 30 !!!!

    Dois-je installer Norton ?
  • # Rapide calcul entre amis :)

    Posté par (page perso) . Évalué à  5 .

    Bah quoi ? les chiffres sont pas faux... ils ont juste oublié de faire passer les filtres mathématique habituelle... :)
    Nous allons donc le faire pour eux.

    400 failles recensés, sachant que la même faille est référencée plusieurs fois pour chaque distrib.
    Nous allons déjà divisé le nombre de failles par le nombre de distrib... hmm! y'a combien de distrib ? :)
    On va dire une 20ene, donc nous avons :
    400/20 = 20 failles uniques.
    (ce qui relativise la chose déjà)

    Mais puisque je pense qu'on compatibilise aussi les versions Sources, il faut le noter.
    mais là ca va être difficile de retrancher le nombre de faille uniques pour un système packages, avec les sources; plus les mecs qui ont pas mis à jour leur version et qui reposte l'année suivante le même bug déjà corrigés.

    En gros on peut trancher sur moins de 20 failles de sécurité recensé sur un an.

    Et n'oublions pas qu'un bug découvert est vite rafistolé.... Nom de nom ! :)
    Exemple parfait d'OpenSSH, la version buggé avait été déposé à 00h00. Juste avant 01h00 un utilisateur découvre la faille, l'équipe prend son matériel de couture et raccommode le trou, 07h00 l'ensemble des systèmes packagés sont misés à jour (on se croirais dans 24h chrono ;) . En gros! votre système est déjà protégé (avec un minimum d'apt, urpmi ou pkg*, voire à la mano :) alors que vous ne connaissiez pas encore la faille (cf: news du matin :)

    C'est pas beau le progrés du libres ? :)
    • [^] # Re: Rapide calcul entre amis :)

      Posté par (page perso) . Évalué à  6 .

      Juste pour rajouter que cela me pose toujours problème lorsque des sociétés d'antivirus ou bien de sécurité parle en premier des virus totalement inconnus.... a croire qu'ils sont devin et connaisse déjà les ordinateurs infectés !
      • [^] # Re: Rapide calcul entre amis :)

        Posté par (page perso) . Évalué à  -1 .

        ça me rappelle les rumeurs sur les virus dans les images jpeg et dans les tags Id3 des fichiers MP3.

        C'est fou la vie ...

        -1 on s'en fout, c'est pas libre ;op
  • # au 19/03/2002 Windows 2000 contenait encore 663 bugs

    Posté par (page perso) . Évalué à  5 .

    D'apres ma bonne copine Paula Sharick,
    au 19/03/2002, il existait 663 hot fix post SP2 windows 2000. (cf le lien suivant :
    http://www.winnetmag.com/Articles/Index.cfm?ArticleID=24514(...))

    Sachant qu'il existe 4 versions de windows 2000 (pro, server, advanced, datacenter) , il convient de multiplier le nombre de ces bugs par... 4 =)

    Bien sur, on ne compte pas les hotfix post sp6a de NT4, les hotfix Office, ceux de win98 SE/Meuh, et ceux d'IE.

    La liste originelle des hotfix post SP2 était dispo ici :
    http://support.microsoft.com/support/servicepacks/windows/2000/win2(...)

    pour la retrouver, demandez a google.

    Bien entendu, celle post SP3 n'est pas dispo aussi facilement... mais il y en a deja plus de 50, a vue de nez...

    Bref, toutes ces annonces sont savamment orchestrées par des sociétés satellites de MS, sachant que Linux est le principal adversaire de Redmond.
    Rappelez vous d'ISS et de son attitude vis a vis d'openssh lorsqu'ils ont publiés le fameux trou de sécurité il y a 3 mois...

    C'est clair que Linux ne les fera pas vivre. Par contre, vendre des produits autour des solutions Microsoft...
    • [^] # Re: au 19/03/2002 Windows 2000 contenait encore 663 bugs

      Posté par (page perso) . Évalué à  5 .

      La liste originelle des hotfix post SP2 était dispo ici :

      "http://support.microsoft.com/support/servicepacks/windows/2000/win2(...)

      desolé pour la coupure :p
    • [^] # Re: au 19/03/2002 Windows 2000 contenait encore 663 bugs

      Posté par . Évalué à  -2 .

      Superbe, mais entre un bug et un bug de securite il y a une grosse difference.

      Ces 663 bugs ne sont de loin pas tous des bugs de securite.

      Donc ton calcul ne vaut pas un clou.
      • [^] # Commentaire supprimé

        Posté par . Évalué à  2 .

        Ce commentaire a été supprimé par l'équipe de modération.

        • [^] # Re: au 19/03/2002 Windows 2000 contenait encore 663 bugs

          Posté par . Évalué à  -1 .

          Je sais pas si c'est 205, faut voir comment ils ont compte, ce qu'ils ont compte, etc...

          Donner un chiffre sans donner ce qu'on compte c'est clair que c'est pas tres malin.

          Sinon, je ne suis pas persuade du tout qu'il y ait plus de bugs de securite chez MS que chez Linux. Certains composants(IIS par exemple) ont certainement plus de faille que leur homologue libre, mais l'inverse est aussi vrai pour d'autre composants.

          Sinon, 3 mois c'est clairement trop long pour corriger un trou de securite, mais 6h c'est clairement trop court, c'est pas possible de debugger, creer un fix et faire des tests suffisament pousses en un laps de temps aussi court.
          • [^] # Re: au 19/03/2002 Windows 2000 contenait encore 663 bugs

            Posté par . Évalué à  2 .

            >Sinon, 3 mois c'est clairement trop long pour corriger un trou de securite,

            Heureusement que c'est toi qui me dit ca, si je te l'avais sorti en parlant de microsoft tu m'aurais dit que ca mettait plus de trois mois parceque c'etait pas un bug bien grave et que ca attendrait le prochain service pack.
          • [^] # Re: au 19/03/2002 Windows 2000 contenait encore 663 bugs

            Posté par . Évalué à  5 .

            Il est tout a fait possible de corriger/trouver un workaround en 6 heures ! Bien sur rien n'empeche de faire des tests plus pousses par la suite, quitte a sortir un deuxieme patch une semaine apres.

            Il s'agit d'un trou il faut le colmater vite. Quand t as une fuite dans ta salle de bain t'attends combien de temps pour trouver une solution de rechange ?
          • [^] # Commentaire supprimé

            Posté par . Évalué à  3 .

            Ce commentaire a été supprimé par l'équipe de modération.

        • [^] # Re: au 19/03/2002 Windows 2000 contenait encore 663 bugs

          Posté par (page perso) . Évalué à  1 .

          > un pour openssh (parceque le bug de apache
          > vient de openssh et pas de apache lui meme si
          > j'ai bien lu les differents articles).

          Tu as mal lu. Déjà, c'est un bug plus un trojan pour openssh. Ensuite, tu confonds OpenSSH et OpenSSL, car il y a aussi eu un bug dans ce dernier (corrigé après la version 0.9.6d). Et enfin, il y a aussi eu des problèmes spécifiques à Apache qui nous ont valu la version 1.3.26. Si on veut compléter le lot, on pourrait ajouter les problèmes avec PHP ...
          Il y a peut-être un peu plus d'un ou deux bugs, en cumulé ...

          seb.
    • [^] # Re: au 19/03/2002 Windows 2000 contenait encore 663 bugs

      Posté par . Évalué à  1 .

      admin windows c'est vraiment un boulot de dingue...
  • # 170 virus boff

    Posté par (page perso) . Évalué à  1 .

    si en un peux plus de 10 ans linux a juste 170 virus c pas trop pire .. pcq c encore moin que le nombre de virus qui apparait chaque jours sous windows quoi :) [-1, parce c inutile de le precisé]
  • # Même le bouchot n'est pas épargné contre les virus

    Posté par . Évalué à  -10 .

  • # Ah enfin !

    Posté par (page perso) . Évalué à  0 .

    J'ai toujours dit que Windows était plus sécurisé que Linux. Je suis content de voir que je suis pas le seul à le penser. Linux est fait par des amateurs, le soir, quand ils sont fatigués et qu'ils ont quelques bières en passif, alors faut pas s'étonner.
    • [^] # Re: Ah enfin !

      Posté par . Évalué à  1 .

      Trop gros. Passera pas.
      • [^] # Re: Ah enfin !

        Posté par (page perso) . Évalué à  1 .

        Surtout qu'il n'y a pas si longtemps que ça quelqu'un de microsoft (désolé j'ai oublié le nom ;op) annoncait que Windows n'avait pas été développé de manière à ce qu'il soit sécurisé ...

        il faut aider les Trolls qui ont du mal à ce lancer

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.