Les trous de sécurité doivent rester secrets !

Posté par Frédéric RISS le 17 octobre 2001 à 12:57. Modéré par Val.

Étiquettes :

oct.

2001

D'après un éditorial sur le site de Microsoft, il est temps de se lancer dans la chasse à «l'anarchie de l'information». Monsieur Culp (responsable du 'Security Response center') explique dans son petit billet qu'il n'y aurait pas de vers et de virus s'il n'y avait pas cette bande d'anarchistes irrésponsables qui trouvent les bugs et les publient.
Moi je suis d'accord avec lui, et je pense que toute personne faisant un rapport de bug devrait être sévèrement punie par la loi. Non mais franchement...

Aller plus loin

L'article sur Newsbytes (3 clics)
L'éditorial en question (3 clics)

# Toutafe.

Posté par Eddy le 17 octobre 2001 à 13:04. Évalué à 10.

Non seulement, cette personne devrait ete punie severement, mais en plus, on devrait poster dans les journaux ( a ses frais, evidemment) son adresse et son lieu de travail.
Comme ca, chacun pourrait venir jeter des pierres dans son jardin, ou casser les fenetres de son bureau.
Et chacun devrait se sentir oblige de passer un coup de fil au milieu de la nuit pour que ces irresponsables, qui ne font qu'ajouter du bruit dans la symphonie numerique jouee par notre bien aimee societe de logiciels.

Je vais deposer un brevet sur la maniere de rapporter un bug, et le premier qui utilise mon brevet son mon avis, hop, il ecoute Lara Fabian pendant une semaine non stop, et je le denonce a la DST.
- [^] # Re: Toutafe.
  
  Posté par analogue o/ (site web personnel) le 17 octobre 2001 à 13:15. Évalué à 7.
  
  moa je suis plutot content de lire des trucs pareils =)
  
  ca ne peut qu'entacher l'image de microsoft et donc aider la concurence.
  
  continuez balmer & co !
- [^] # Re: Toutafe.
  
  Posté par matiasf le 17 octobre 2001 à 16:01. Évalué à -3.
  
  Le score actuel de ton post est de 11 actuellement. Je n'arrive pas à comprendre les votes positifs pour ce type de mail.
  
  çà donne un image de rebelle à l'utilisateur de Linux. Une image de "sauvageon".
  
  Linux n'est pas prèt d'être pris au sérieu avec ce type d'attitude.
  - [^] # Re: Your book : M$ Needs For Control
    
    Posté par Anonyme le 17 octobre 2001 à 17:31. Évalué à -1.
    
    let's contrib.
  - [^] # Re: Toutafe.
    
    Posté par Anonyme le 17 octobre 2001 à 18:53. Évalué à -2.
    
    çà donne un image de rebelle à l'utilisateur de Linux. Une image de "sauvageon".
    
    Linux n'est pas prèt d'être pris au sérieu avec ce type d'attitude.
    
    Hum, le rapport avec la choucroute ?
- [^] # Re: Toutafe.
  
  Posté par Anonyme le 18 octobre 2001 à 08:20. Évalué à 1.
  
  anti.security.is ? c un peu la ^m chose non ?
# Culp est un nom prédestiné !

Posté par Talou (site web personnel) le 17 octobre 2001 à 13:05. Évalué à 10.

Que peut-on attendre d'autre de la part d'un responsable "sécurité" chez MS ? Toutes les merdes qui leur arrivent en ce moment sont dues à ce genre de publications récupérées par quelques script kiddies...
Une telle vulnérabilité est intolèrable. Alors évidemment , au lieu de balayer devant sa porte en nettoyant ses logiciels, MS demande la carte de la répression.
Le problème c'est que MS, mais d'autres aussi pensent de cette façon, et ils sont puissants... Je ne veux pas avoir l'air parano, mais après la puce discrète, la demande d'accès aux machines des pirates de musique/films, la restriction des libertés personnelles en France... et la guerre qui justifie tout, ça va devenir bien propret, le monde !

--
m'en vais re-vomir !
- [^] # Your name is Culp? Right?
  
  Posté par Ano le 17 octobre 2001 à 13:36. Évalué à 10.
  
  Ben ça... On peut aller loin... Un petit raisonnement par l'absurde:
  
  Sous win, quand mon écran devient bleu marine, c'est qu'il y a un bug...
  
  Et si je dis "c'est curieux, quand je clique là et là, ca devient bleu", c'est un constat de bug...
  
  Donc d'après lui il faut m'enfermer d'urgence...
  
  Donc la bonne méthode pour utiliser un produit kro, c'est subir ses insuffisances et ne pas en parler, right?
  
  Donc le logiciel libre, c'est en plus avoir la liberté de parole et de critique, non? Bientot seul le libre garantiera la liberté tout court...
  
  Enfin bon, des bugs, s'il n'y en avait pas tant, ils seraient plus difficiles à trouver...
  - [^] # Re: Your name is Culp? Right?
    
    Posté par Anonyme le 17 octobre 2001 à 14:29. Évalué à -3.
    
    le logiciel libre, c'est en plus avoir la liberté de parole et de critique
    
    ben tiens, essaye de dire du mal de sendmail (parce qu'il le vaut bien), de linux, d'emacs, de vi ou de je ne sais quoi de libre et tu te fais enguirlander comme pas possible... le libre, c'est aussi la liberté de ce faire emmerder par ceux qui n'admettent pas qu'on critique leur bô logiciel qu'ils ont mis tant d'amour à développer (bien sûr, je parle de critiques fondée du style 'Emacs, ça met 20 ans à se lancer', ou 'Mandrake sux').
    - [^] # Re: Your name is Culp? Right?
      
      Posté par Anonyme le 17 octobre 2001 à 14:34. Évalué à 1.
      
      Ouais ! C'est bien connu, les tenors de Linux publient des articles officiels dans lesquels ils traitent la concurrence de Cancer, ou plaident l'illégalité !!
      
      Nan mais on lit n'importe quoi de nos jours..
# Et la marmotte ?

Posté par Francois Revol (site web personnel) le 17 octobre 2001 à 13:06. Évalué à 6.

C'est ça...
et on fait pareil avec les bagnoles, comme ça vu qu'on a rien dit, on a rien corrigé et tout le monde se plante et on a 5000 morts en 1 mois...
Y en a qui devrait réfléchir un peu plus (dans la limite des moyens à leur disposition bien entendu :D )
- [^] # Re: Et la marmotte ?
  
  Posté par Eric Leblond (site web personnel) le 17 octobre 2001 à 13:21. Évalué à 10.
  
  Pour argumenter dans ton sens :
  "Long before the worms were built, vendors had delivered security patches that eliminated the
  vulnerabilities. (...) when these worms tore through the user community, it was clear that few people had applied these fixes. "
  Ah, oui donc si on avertit encore moins que va-t-il se passer ?
  
  Pour le plaisir, je vous rajoute quelques extraits:
  "Good Intentions Gone Awry"
  En plus, ils ne savent même pas écrire :-)
  Une deuxième :
  "an administrator doesn't need to know how a vulnerability works in order to understand how to protect against it, any more than a person needs to know how to cause a headache in order to take an aspirin."
  Bref, soit bête et patch !
  - [^] # Re: Et la marmotte ?
    
    Posté par Anonyme le 17 octobre 2001 à 13:28. Évalué à 2.
    
    Effarant !!!
    
    Je verrais plutot l'administrateur comme le médecin.
    Alors heureusement que le médecin il sait pourquoi il va appliquer tel ou tel traitement.
  - [^] # Re: Et la marmotte ?
    
    Posté par Anonyme le 17 octobre 2001 à 14:20. Évalué à -2.
    
    aucun rapport, mais pourrais-tu demander à l'administrateur de ftp.lip6.fr pourquoi la RedHat 7.2 est là, mais le répertoire interdit d'accès, et si il a des nouvelles du coté de Redhat ?
    
    désolé de polluer, mais après tout c bien un problème linux...
    - [^] # Re: Et la marmotte ?
      
      Posté par Eric Leblond (site web personnel) le 17 octobre 2001 à 15:20. Évalué à -1.
      
      Il faut lire les message de logs des serveurs ;-)
      -- BIENVENUE SUR LE NOUVEAU SERVEUR FTP LIP6/JUSSIEU --
      Utilisez le compte `anonymous' avec votre adresse e-mail comme mot de passe
      Merci de signaler les problèmes éventuels à ftpmaint@lip6.fr.
      
      PS : désolé, mais je n'ai pas de moyen d'intervenir directement.
    - [^] # Re: Et la marmotte ?
      
      Posté par PLuG le 17 octobre 2001 à 15:54. Évalué à -1.
      
      pourquoi la RedHat 7.2 est là, mais le répertoire interdit d'accès,
      
      parce que sur lip6 c'est un mirroir de ftp.redhat.com et que ce repertoire existe sur le ftp.redhat.com avec les memes droits ...
      
      peut etre que tu compte demander a redhat pourquoi ?
      - [^] # Re: Et la marmotte ?
        
        Posté par Anonyme le 17 octobre 2001 à 17:45. Évalué à -1.
        
        pfff... redhat a expressément demandé aux administrateurs de leur mirroirs d'attendre leur feu vert pour ouvrir le répertoire. donc je demande si il y a des nouvelles de ce coté là... et si on a une idée de la date à laquelle ils vont ouvrir. ça devait etre entre le 15 et le 22
  - [^] # Re: Et la marmotte ?
    
    Posté par Anonyme le 17 octobre 2001 à 15:00. Évalué à -1.
    
    "Good Intentions Gone Awry"
    En plus, ils ne savent même pas écrire :-)
    
    J'ai rien compris. Pourquoi dis-tu qu'ils ne savent pas écrire ?
# bah oui...

Posté par i mac le 17 octobre 2001 à 13:08. Évalué à 7.

Si personne ne cherche les bugs personne ne les trouve, donc y a pas de bugs, donc windows est le meilleur des os vu que y a pas de bugs.

Oh, y sont fort chez micro$oft.
- [^] # Re: bah oui...
  
  Posté par Anonyme le 17 octobre 2001 à 13:14. Évalué à 2.
  
  ben le probleme de windows, y'a pas besoin de chercher pour les trouver, les bugs.
  - [^] # Re: bah oui...
    
    Posté par Anonyme le 17 octobre 2001 à 14:42. Évalué à 1.
    
    Ca me fait penser à PasBillPasGates qui venait nous raconter qu'on n'avait pas idée de la batterie de test que Microsoft faisait subir à ses programmes avant de les publier ;)
    Si ca se trouve, chez MS, ils ne savent meme pas ce que c'est que c'est un écran bleu de la mort..
    - [^] # Re: bah oui...
      
      Posté par Anonyme le 17 octobre 2001 à 14:45. Évalué à -2.
      
      mdr, il avait osé écrire ça ? si il y a bien un truc que microsoft connait pas, c l'intégration !!!
      à leur décharge, je dois dire qu'ils sont pas les seuls. Netscape était très très fort en la matière aussi... une cata leurs serveurs...
- [^] # Re: bah oui...
  
  Posté par a_jr le 17 octobre 2001 à 14:42. Évalué à 5.
  
  Plutot que d'inventer des systemes de protection contre le vol, on a une loi qui interdit les vol, non?
  Pas con l'idee de microsoft.
  
  Seulement, tant que c'est pas interdit, je vais me permettre de rapporter un bug dans l'idee de microsoft: toujours avec l'analogie de la loi contre le vol, y'a rien dans la loi qui interdit de dire a quelqu'un qu'il a perdu un truc, et encore moins de lui rendre le truc si possible.
  
  Enfin bon, moi, je participe 100% a cette initiative de Microsoft, je ne rapporte pas de bugs sur leur OS.
  
  Le bonjour chez vous,
  Yves
# Apres lecture ...

Posté par Jaimé Ragnagna (site web personnel) le 17 octobre 2001 à 13:11. Évalué à 10.

J'aime beaucoup cette phrase :
But regardless of whether the remediation takes the form of a patch or a workaround, an administrator doesnt need to know how a vulnerability works in order to understand how to protect against it, any more than a person needs to know how to cause a headache in order to take an aspirin.

En clair, il dit que si les administrateurs ne savent pas comment marche un ordinateur, un OS etc ... c'est pas grave !!! Il y a juste a cliquer 2x sur le patch, un reboot et hop voila.
Peuple des administrateurs, endormez vous !

Bon, mais avec un titre : Its Time to End Information Anarchy, c'est sur qu'on peut se poser la question du bien fondé de l'article ...
Trop d'information tue l'information, peut etre, mais ca n'a jamais fait de tort a personne de s'informer !
- [^] # Re: Apres lecture ...
  
  Posté par Anonyme le 17 octobre 2001 à 14:06. Évalué à 1.
  
  ouaip, j'ai l'impression que MS a oublie qu'il essaie de vendre des OS "pro" a une clientele "pro" et pas de la lessive au meussieur en survet jaune au fond du magasin.
  - [^] # Re: Apres lecture ...
    
    Posté par Anonyme le 17 octobre 2001 à 14:38. Évalué à 2.
    
    Il n'ont rien oublier, ils ne l'ont jamais fait. Aucun soft de m$ tient la route devans une solution alternative. M$ n'as jamais fait des outils pouvant aller en production (as400, SAP, MAPICS, Apache, PAO, CAO, SQL, ...). Ils n'ont fait que des jouets. La seule raison de leur succès est la rétention d'informations grâce à l'OS. Maintenant cette rétention n'existe plus et c'est vraiment finis pour eux.
# Mort de rire

Posté par Anonyme le 17 octobre 2001 à 13:14. Évalué à 10.

Sérieux, j'ai lu l'article, et je suis mais trop mort de rire.. c'est la meilleure de l'année !!! et le pire c'est que certains (ir)responsables de la "communauté de la sécurité" approuvent !!!

Bon, bref, perso, je trouve que c'est même pas la peine d'argumenter là dessus, c'est tellement stupide...

Par contre, ça semble signifier une chose: Microsoft est aux abois. Peut etre que le changement de position de plusieurs organes de presse et de consulting "importants" (WallStreet Journal, Gartner, etc.) leur a fait énormément de mal en fait...
- [^] # Re: Mort de rire
  
  Posté par Pierre le 17 octobre 2001 à 13:22. Évalué à 0.
  
  C'est clair que c'est assez affolant !
  Avant d'essayer de faire des "Security response", ils feraient mieux de se poser des "security questions" :p
- [^] # Re: Mort de rire
  
  Posté par Anonyme le 17 octobre 2001 à 13:39. Évalué à 0.
  
  Ce qui me fait marrer c'est à quel point ils montrent qu'ils sont de purs incompétents. Non contents de faire les plus mauvais produits du marché, dès qu'il y a des critiques, ils essaient de reporter la faute ailleurs, mais c'est tellement gros qu'ils sont vraiment ridicules.
  - [^] # Re: Mort de rire
    
    Posté par Obsidian le 18 octobre 2001 à 00:06. Évalué à 2.
    
    Oh il y a probablement des gens très compétents chez M$ quand même, et cela même si j'en pense la même chose que tout le monde.
    
    Si l'équipe Gnome avait sorti le Pack Office, tout le monde aurait montré à quel point le logiciel est génial ...
    
    Le problème, et c'est pareil dans toutes les grandes entreprises, à mon goût, c'est qu'il y a un max de bureaucrates, de superviseurs, et de responsables qui doivent justifier leur salaires et qui donnent leur avis à tout bout de champ.
    
    D'ailleurs, depuis « Linux Myths », j'ai l'impression que (pratiquement) n'importe qui chez Microsoft peut pondre un mémo et le publier en ligne.
    
    A priori, j'ai rien contre çà, jamais j'aurais pu faire la même chose dans la SSII où je travaillais, mais bon: Lui visiblement ne s'en prive pas et pourtant:
    
    Qui, déjà, parle de « mettre fin à l'anarchie de l'information », hmm ?
    
    L'ennui, c'est que tout le monde ne suit pas DLFP, et pour la plupart des directeurs informatiques, un texte issu d'une telle source représente forcément la parole divine (j'entend par là que tout esprit critique est desactivé si c'est un mémo officiel venant de chez Kro).
# pas le jour de la distribution de cerveau ?

Posté par Stéphane Salès le 17 octobre 2001 à 13:15. Évalué à 10.

Très bien si on suit son raisonnement
je trouve un "exploit", je suis donc pas trop
mauvais en info, je ne le divulgues pas, et du coup
comme "personne" ne connait cette faille je peux
utiliser pénard mon exploit, sans aucun risque qu'il
soi corrigé.

Pas bete, falait bosser chez m$ pour y penser :)
- [^] # Re: pas le jour de la distribution de cerveau ?
  
  Posté par gege le 17 octobre 2001 à 13:22. Évalué à 10.
  
  Non, ce n'est pas le raisonnement chez M$ !
  
  Ca c'est un raisonnement normal : on trouve une exploit, on le met dans un bug report, et c'est corrigé.
  
  Avec M$, on trouve un exploit, on cherche ou on peut envoyer un bug report (y'en a pas), on essaye eventuellement de téléphoner (impossible). Si une de ces tentatives réussit, le bug report est mit au fond d'une pile des choses les moins importantes à faire. Comment expliquer sinon que Windows soit toujours aussi buggé avec le nombre d'utilisateurs qu'ils ont !!!
  
  Aller, -1
  - [^] # Re: pas le jour de la distribution de cerveau ?
    
    Posté par wismerhill le 17 octobre 2001 à 15:25. Évalué à 0.
    
    Simplement parceque quand un utilisateur de windows trouve un bug il réinstalle windows...
# chanson

Posté par Star_Dust le 17 octobre 2001 à 13:19. Évalué à 10.

<raclement de gorge>
hum hum...
</raclement de gorge>

Sur l'air du : déserteur

1...2...3...4

Monsieur le responsable
du Security Response center
Je vous envoie cette letter
de mon PC portable

Je viens d'lire l'édito
sur microsoft.com
et vraiment ça déconne
on est pas des idiots

car la sécurité
c'est pas de la magie
pas des beni oui-oui
on l'a pas dans l'obscurité

faudrait peut-être voir
a penser avec vot' cerveau
et nous lacher les burnes, oh !
votre cas est sans espoir.

ps : pas trop inspiré ce coup-ci, moi... je ferai mieux plus tard...

A+++
# Toujours le même problème

Posté par LABE le 17 octobre 2001 à 13:25. Évalué à 7.

En fait le problème que soulève ce monsieur est la question suivante:

- Doit-on indiquer toute faille de sécurité dès qu'on l'aperçoit au risque que des petits malins en profitent le temps que le développeur fournisse un patch?

- ou bien ne rien dire et attendre que le patch existe avant d'annoncer la faille, ce qui au passage permet aux utilisateurs de ne pas perdre de l'argent?

<PARALLELE type="douteux">
Microsoft préfèrerait donc attendre qu'un vaccin contre le virus du SIDA existe avant de dire qu'il est contaminé...
</PARALLELE>

All of these worms made use of security flaws in the systems they attacked, and if there hadnt been security vulnerabilities in Windows®, Linux, and Solaris®

Ah bon??? On est désolé effectivement mais ce n'est pas forcément le but de LINUX (sans le ®) que de protéger les machines windows ou IIS, faut pas pousser le bouchon trop loin... A chacun de balayer devant sa porte déjà ça fera le plus grand bien à certains... La communauté Linux fait son possible, mais elle peut difficilement protéger quelquechose qui pourrit de l'intérieur...

Je propose donc à ce cher monsieur 2 alternatives:
- sécuriser IIS (et puis Windows aussi tant qu'il y est), bon d'accord y'a du boulot, mais ça sert à rien de sortir une version n+1 si la version sur laquelle on s'appuie n'est pas sécurisée...

- passer à un tout autre environnement...euh...Linux par exemple qui a fait ses preuves, ne fait pas perdre des millions et qui je crois (pour les fichiers de log) serait bien content qu'il y ait un peu moins d'IIS dans le monde...
- [^] # Re: Toujours le même problème
  
  Posté par PLuG le 17 octobre 2001 à 13:48. Évalué à 10.
  
  En fait je pense que tu es a coté du problème soulevé par cet incapable.
  
  En général, les trous de sécurité sont publiés (bugtrack ...) APRES que l'editeur du logiciel concerné ai été prévenu et APRES qu'il ait répondu/pondu un patch.
  Il est courant de lire des annonces de bug stipulant que la firme bidule a été prévenue 3 mois plus tôt.
  
  Mais les vers internet ciblant IIS se sont répandu malgré l'existance des patchs. De ce coté la, MS n'y peut pas grand chose (ok ils auraient pu faire un soft sans bug dès le départ, mais personne n'est à l'abris d'un bug ...). MS avait daigné répondre lors de la décourverte du bug, l'annonce sur bugtrack à été faite APRES que le patch existe ...
  De ce coté la rien à redire donc.
  
  Si on veut améliorer la situation il y a plusieurs voies possibles:
  1/ upgrade système automatique à travers internet. oui mais faut faire confiance à MS (qualité des patchs) et ne pas avoir a rebooter la machine n'importe quand ...
  2/ faire confiance aux admins NT, on a vu ou cela nous mène, on recoit TOUJOURS des scan sur le port 80 de nimda!!
  3/ la nouvelle solution MS: ne plus prévenir des trous de sécurité, on diminue le nombre d'attaques (script kiddies), par contre les attaques qui restent sont quasiement impossible à contrer puisque seuls les black-hat ont les connaissances pour hacker les machines.
  4/ y ont il pensé ? vendre un service de maintenance avec l'OS qui permette d'assister (et d'insister) pour patcher les machines.
  - [^] # Re: Toujours le même problème
    
    Posté par Anonyme le 17 octobre 2001 à 14:30. Évalué à -1.
    
    Il faudrait effectivement supprimer ces rapports de bugs. Trop dangereux.
    Mais il serait aussi tres utile de mettre en place une base de données centralisée avec les coordonnées des administrateurs systèmes et les versions des patchs appliquées sur leurs bécanes.
    On pourrait ainsi envoyer les services packs directement par mail aux bonnes personnes.
    Ca permettra aussi de virer les incompétents notoires qui n'appliquent pas ce qu'il faut où il faut quand il faut.
    
    C'est une question de philosophie : va t'on préfèrer prévenir (une bonne fois pour toutes) ou est ce qu'on se résoud à guérir (ad vitam eternam) ?
- [^] # Re: Toujours le même problème
  
  Posté par Anonyme le 17 octobre 2001 à 14:02. Évalué à 5.
  
  En fait le problème que soulève ce monsieur est la question suivante:
  - Doit-on indiquer toute faille de sécurité dès qu'on l'aperçoit au risque que des petits malins en profitent le temps que le développeur fournisse un patch?
  - ou bien ne rien dire et attendre que le patch existe avant d'annoncer la faille, ce qui au passage permet aux utilisateurs de ne pas perdre de l'argent?
  
  En fait, le vrai problème n'est pas de savoir si on doit indiquer les failles de sécurité, mais plutôt de savoir s'il faut fournir la procédure complète pour exploiter la faille.
  Ce que ce monsieur de chez microsoft soulève, c'est que les exploits de vulnérabilité par les "méchants" ne sont souvent que de la pure repompe du code divulgué.
  Les script kiddies n'ont qu'à faire un copier-coller et le tour est joué...
  - [^] # Re: Toujours le même problème
    
    Posté par bad sheep (site web personnel) le 18 octobre 2001 à 01:44. Évalué à 1.
    
    Oui, mais les vers qui ont ravagés récemment les serveurs sous IIS n'étaient pas du tout à la portée de script kiddies justement...
    Par ailleurs, ne pas révéler la manière de procéder n'encouragerait pas les dév à corriger le prob. Pire, une description même succinte du bug permettrai de toute manière à une personne mal intentionnée de nuire. Si on dit qu'il y a un buffer overflow dans outlook (comment ça, y'en avait déjà un ? :), n'importe quel bidouilleur acharné parviendra à le trouver pour l'exploiter avec un peu de patience.
# Dictatures

Posté par Stanis Humez le 17 octobre 2001 à 13:27. Évalué à 5.

Vous avez remarqué comme les dictatures et autres régimes totalitaires pouvaient avoir envie de contrôler l'information, la culture et la connaissance ?

C'est vrai avec l'inquisition, les régimes taliban et les propagandes en général. J'estime que ce que nous apportent les logiciels libres est fondamental : la connaissance de ce qu'on utilise. La culture et le niveau de connaissance des gens est un facteur d'évolution positif de notre civilisation. Vive l'internet et vive les logiciels libres. M... à la fin, quoi, c'est vrai ;-)
- [^] # Re: Dictatures
  
  Posté par Anonyme le 17 octobre 2001 à 13:40. Évalué à 0.
  
  Pas la peine d'aller jusqu'aux talibans. Avec ses dernières déclarations, va déja expliquer ça à Jospin :(
- [^] # Re: Dictatures
  
  Posté par Anonyme le 17 octobre 2001 à 13:40. Évalué à -1.
  
  En parlant de taliban, en voilà un terrible... je pense que beaucoup d'entre vous l'ont reçu, mais c trop trop fort (et totalement hors sujet)
  
  http://www.touristguy.com(...)
# mon trou à moi

Posté par Troy McClure (site web personnel) le 17 octobre 2001 à 13:29. Évalué à 8.

Moi aussi j'ai eu l'occasion d'implémenter une belle faille de sécurité dans un logiciel animalier... Je comprends un peu ce qui les turlupine: avant d'expliquer à tout le monde pourquoi le bug et comment l'exploiter, j'ai attendu que tout le monde ait upgradé vers une version non buggée, et pendant ce temps j'ai stressé un maximum, et je me suis mordu les couilles (c'est une image, je ne suis malheureusement pas assez souple ;-)

Et je pense qu'en l'occurence c'était le meilleur choix.
- [^] # Re: mon trou à moi
  
  Posté par Jaimé Ragnagna (site web personnel) le 17 octobre 2001 à 13:38. Évalué à 0.
  
  Hum, peut etre, mais bon, la difference, c'est quand meme que ta faille était limitée (qui est loggé en tant que root, hein ??).
  
  En plus, tu as annoncé clairement que il y avait un bug. Je ne sais pas si d'autre auraient eu cette franchise et n'auraient pas simplement endormi l'affaire ...
  
  Voila
  - [^] # Re: mon trou à moi
    
    Posté par Troy McClure (site web personnel) le 17 octobre 2001 à 13:42. Évalué à 0.
    
    limitée c'est vite dit! un rm -rf $HOME ça fait quand même mal !
    - [^] # Re: mon trou à moi
      
      Posté par gege le 17 octobre 2001 à 13:49. Évalué à -1.
      
      ca fait mal à ton trou à toi ? ;-)
      
      Je sais, -1 (on se croirait sur la tribune)
    - [^] # Re: mon trou à moi
      
      Posté par gle le 17 octobre 2001 à 14:43. Évalué à 9.
      
      Absolument! Il faut comprendre que les données sont des choses irremplaçables et sont votre réelle richesse.
      
      Si un virus vous efface votre /usr/bin, il n'y a qu'à réinstaller. Une demi-journée de perdue.
      
      S'il vous efface votre /home avec votre rapport de stage dedans, il n'y a qu'à tout retaper s'il n'y a pas de backup fiable. Une bonne semaine de bouôt en perspective, et encore rien ne dit que le résultat final vaudra ce que vous avez perdu.
      
      C'est comme quand on se fait cambrioler: Si les voleurs prennent votre télé, vous pouvez en racheter une, s'ils emmènent des choses qui ont une valeur sentimentale (photos, lettres, ...), RIEN ne permettra de les remplacer vraiment.
- [^] # Re: mon trou à moi
  
  Posté par Frelon le 17 octobre 2001 à 13:52. Évalué à 7.
  
  C'est sans doute parce que TU as découvert la faille.
  Imagine si un autre l'avait découvert (et exploitée) sans te prévenir .
  La difficulté est de prévenir les personnes susceptibles de corriger ,sans prévenir les script kiddies.
- [^] # Re: mon trou à moi
  
  Posté par G. R. (site web personnel) le 17 octobre 2001 à 13:54. Évalué à 3.
  
  D'ailleur, contrairement à ce que dit Monsieur Culp, c'est bel et bien ce qui passe [presque] tout le temps avec le logiciel libre.
  
  L'annonce de la faille vient avec le patch.
# Linux ?

Posté par Anonyme le 17 octobre 2001 à 13:39. Évalué à 1.

"if there hadn't been security vulnerabilities in Windows®, Linux, and Solaris®, none of them could have been written"

J'ignorais que Nimda et consorts avaient touché Linux et Solaris...

encore une bonne blague probablement.
- [^] # Re: Linux ?
  
  Posté par Eric Leblond (site web personnel) le 17 octobre 2001 à 16:21. Évalué à 1.
  
  Je ne me rappelle pas du dernier trou de sécurité de Linux qui ait été utilisé (à grande échelle).
  Quelqu'un pourrait peut-être me rafraichir la mémoire.
- [^] # Re: Linux ?
  
  Posté par nodens le 17 octobre 2001 à 16:55. Évalué à 1.
  
  Il fait allusion à Lion (voir paragraphe précédent).
  
  Cela dit, jamais cela n'a eu l'ampleur de nimda ou code multicolore (parce qu'il y a(vait) moins de linux ? possible.)
- [^] # Re: Linux ?
  
  Posté par oliv le 17 octobre 2001 à 17:14. Évalué à 2.
  
  Je n'ai pas envie de défendre un article de cette qualité, mais en l'occurence, relis le, il commence par:
  "Code Red. Lion. Sadmind. Ramen. Nimda. In the past year, computer worms with these names have attacked computer networks around the world, causing billions of dollars of damage."
  
  lion : http://www.sans.org/y2k/lion.htm(...)
  ramen : http://www.cert.org/incident_notes/IN-2001-01.html(...)
  
  Ces deux vers ont touché les unix, dont linux. Sadmind est un ver solaris.
# Arretez de troller sur microsoft !

Posté par Axel R. (site web personnel) le 17 octobre 2001 à 13:40. Évalué à -2.

C'est indigne de la horde des trolleurs.
Cet article est trop facilement trollable ! :-)

A votre avis, l'auteur de cet article est stupide ou crétin ?

- Les deux !

- Attendez, je demande confirmation au grand miam ! Bonne réponse ! le point va à l'équipe mayo

Axel - 584
# l'edito frau soft en français

Posté par kasi le 17 octobre 2001 à 13:46. Évalué à 5.

On trouve le même esprit sur le site fr de microsoft

http://www.microsoft.com/france/technet/edito/archives_edito.asp(...)

bonne lecture ;-)
- [^] # Re: l'edito frau soft en français
  
  Posté par Gnurou (site web personnel) le 17 octobre 2001 à 16:30. Évalué à 3.
  
  Merci, je me suis bien marré :). A voir absolument:
  
  http://www.microsoft.com/france/technet/edito/edito6.asp(...)
  Le pauvre gars qui a écrit ca devrait s'instruire un peu sur l'informatique pour faire tomber ses mythes... La réponse de MS est pas mal non plus. Mon dieu, on nage en plein délire...
# Point Bugnon

Posté par Anonyme le 17 octobre 2001 à 13:49. Évalué à 1.

Je pense qu'on peut décerner à Culp un point Pierre Bugnon. D'ailleurs étant dans la meme boite, c'est pas étonnant. Mais l'un est-il l'élève de l'autre, et si oui lequel ? Ou est-ce qu'ils se sont tous fait microsoftborguer en entrant chez m$ ?
+-------------------+ | ................. | | .... 1 POINT .... | | "BUGNON le PUANT" | | ................. | +-------------------+
- [^] # Re: Point Bugnon
  
  Posté par kasi le 17 octobre 2001 à 15:22. Évalué à 1.
  
  ouaip
  il est grave et de mauvaise foi, ou il défend son bifteck alors
- [^] # Re: Point Bugnon
  
  Posté par Benjamin le 18 octobre 2001 à 00:38. Évalué à 2.
  
  Tout faux, c'est Olivier Ezratty, le spécialiste des virus, qui enseigne.
  D'ailleurs
  +-------------------+ |..... 1 POINT .....| |......EZRATTY .....| |..Double la valeur.| |.du point BUGNON si| |.vos enfants sont..| |....a la crèche....| +-------------------+
  Bugnon, c'est le spécialiste du FUD, c'est le prof de PBPG
# Ouarf!

Posté par jeanphy le 17 octobre 2001 à 14:03. Évalué à 0.

J'imagine des maisons vendues sans porte d'entrée ni fenetres ...
L'informatique et internet existait AVANT microsoft, faudrait qu'ils arretent de prendre les informaticiens autre qu'eux pour des c.ns. (quoique, jusqu'à maintenat , ça a l'air d'etre une bonne méthode commerciale ;-))
- [^] # Re: Ouarf!
  
  Posté par Anonyme le 17 octobre 2001 à 14:09. Évalué à -2.
  
  faudrait qu'ils arretent de prendre les informaticiens autre qu'eux pour des c.ns. (quoique, jusqu'à maintenat , ça a l'air d'etre une bonne méthode commerciale ;-))
  ben oui, mais c t les commerciaux qu'ils prenaient pour des c.ns... et tu t'étonnes que ça marche ? ;-))
# Le mec a raison

Posté par Coox le 17 octobre 2001 à 15:39. Évalué à 2.

Il y aurait plus de vers qui attaquent Apache si on pouvait en trouver les sources!

Hein, dites-moi ?

Non ?
- [^] # Re: Le mec a raison
  
  Posté par Julien Olivier le 17 octobre 2001 à 16:08. Évalué à -1.
  
  Qu'est-ce qu tu racontes ?
  
  Apache est open-source ! En plus, il y a bien plus de vers dans IIS, qui n'est pas (mais alors pas du tout...) open-source.
  
  Donc j'ai du mal à suivre ton raisonnement...
  - [^] # Re: Le mec a raison
    
    Posté par nodens le 17 octobre 2001 à 16:57. Évalué à 1.
    
    euh, section humour, coox fait de l'humour (j'espère). Non ?
# boarf

Posté par Dugland Bob le 17 octobre 2001 à 16:55. Évalué à 2.

Un petit TP d'audit :

bash-2.02$ uname -a
SunOS paludenn-gw 5.7 Generic_106541-04 sun4m sparc SUNW,SPARCstation-5

bash-2.02$ ls /var/sadm/patch/
106541-04 106857-04 106978-06

à comparer avec :
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=patch&doc=7(...)

mais ça doit être que notre admin est trop balaise et qu'il a pas mis les patch dans l'endroit standart.

une petite idée de la taille du réseau :
bash-2.02$ ypcat passwd.byname|sort|uniq|wc -l
519
+les utilisateurs de win qui sont tous sous le même compte

bash-2.02$ ypcat hosts.byname|sort|uniq|wc -l
303
+ ~100 pour les machines sous win

juste pour le département info
ça doit être un ancien de chez MS notre admin !
- [^] # Re: boarf
  
  Posté par Anonyme le 17 octobre 2001 à 17:35. Évalué à 1.
  
  Je te conseille aussi le Vulnerability Calculator chez bugtraq: http://securityfocus.com/cgi-bin/unix_vulncal.pl(...)
  C'est assez monstrueux le nombre de bugs que j'ai pu trouver sur nos bonnes vieilles stations Sun pas patchees ....
  
  et puis un autre petit exploit bien sympa, que j'ai pas retrouve sur bugtraq, mais qui marche nickel ici:
  
  #include <pwd.h>
  main()
  {
  struct passwd *p;
  while(p=getpwent())
  printf("%s:%s:%d:%d:%s:%s:%s\n", p->pw_name, p->pw_passwd,
  p->pw_uid, p->pw_gid, p->pw_gecos, p->pw_dir, p->pw_shell);
  }
  
  Je te laisse deviner le but de ce petit bout de code ... rha franchement quelle bande de bollets ces admins (non je ne dirais pas de quelle ecole je viens ... ha si, je precise juste: c'est une ecole d'ingenieur publique ...)
  - [^] # Re: boarf
    
    Posté par matiasf le 17 octobre 2001 à 18:01. Évalué à 1.
    
    Il faut m'expliqué car je vois pas de problème dans ce code.
    Normalement, /etc/passwd est accessible est lecture pour tous.
    
    Je pense que ce code doit marcher sur toutes machines GNU/Linux correctement configurées.
    - [^] # Re: boarf
      
      Posté par kadreg le 17 octobre 2001 à 18:17. Évalué à -2.
      
      Oui.
      
      Effectivement, heureusement qu'il ne donne pas le nom de son école, on risquerais de se moquer d'eux.
    - [^] # Re: boarf
      
      Posté par Anonyme le 17 octobre 2001 à 18:19. Évalué à 2.
      
      Oui mais le md5sum des pass est normalement dans /etc/shadow si ton systeme est bien configure. Alors qu'ici ... bah tu peux le recuperer, le passer a john, et hop, tour de magie, t'obtient les pass de n'importe qui (ok, sauf du root...)
      - [^] # Re: boarf
        
        Posté par Anonyme le 17 octobre 2001 à 18:39. Évalué à -1.
        
        Ah oui, si je dis que mon ecole est a Rennes, je pense qu'il n'y a plus de suspens. Quelqu'un a trouve ? (pour vous aider, on dit aussi que tous les ingenieurs en info qui sortent d'ici sont des merdes; et c'est vrai!)
  - [^] # Re: boarf
    
    Posté par Dugland Bob le 18 octobre 2001 à 13:46. Évalué à 1.
    
    heuu... t'es un gros naze ou c'est moi ?
    
    la commande ypcat passwd.byname donne exactement ce qu tu viens de dire (on est sur NIS).
    
    Les shadows c'est pas fait pour les chiens. Le pb c'est qu'en NIS tu peux pas faire de shadow.
# Il a tort mais tout de même.

Posté par Lagaffe Gaston le 17 octobre 2001 à 20:19. Évalué à 2.

Il ne faut pas nier: la bonne démarche a avoir quand on trouve un bug ou une vuln (l'un comprend l'autre je sais :)), la premiere démarche, c'est de contacter le maintainer et non de divulger sans rien dire comme cartains... (faut pas croire c'est pas rare).
# pas la peine d'en parler...

Posté par Anonyme le 17 octobre 2001 à 21:35. Évalué à 0.

- legalement impossible ( 1er amendement US)
- techniquement impossible
- efficacité pour avoir des softs securisés: nulle.

affaire suivante.

( les news dans la rubrique humour et de surcroit qui parlent de microsoft ne devraient meme pas passer en homepage IMHO )
# mieux encore...

Posté par Anonyme le 17 octobre 2001 à 21:58. Évalué à 0.

Je crois que l'on ne va pas encore assez loin.. le mieux serait de punir ceux qui sont à l'origine des bugs et pire, les obligés a rembourser 10 fois le prix de l' OS par bug rencontré.. M$ n'a pas fini de payer.. :-))
# C'est clair

Posté par Anonyme le 18 octobre 2001 à 11:46. Évalué à 0.

Au fond ce que ce Monsieur veut correspond à la politique microsoft :
L'informatique aux informaticiens et les informaticiens à Microsoft. Les autres doivent UNIQUEMENT acheter (et utiliser si possible)
# hihi

Posté par Anonyme le 20 octobre 2001 à 02:33. Évalué à 0.

> bande d'anarchistes irrésponsables
capitaliste irrésponsable ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.