Sortie de Nessus 1.2

Posté par Benoît Sibaud (site web personnel) le 22 avril 2002 à 19:16. Modéré par Amaury.

Étiquettes :

avr.

2002

Vu sur fr.comp.securite :

« Nessus 1.2 vient de sortir, il inclut une tonne de nouvelles
fonctionnalités (scans différentiels, support de SSL, évasion d'IDS,
meilleur support de SMB, ...) et un magnifique client Win32 nommé
NessusWX. »

Nessus est un célèbre détecteur de failles distantes, avec une interface conviviale, et une large bibliothèque à jour de failles.

Aller plus loin

Annonce (2 clics)
Téléchargement (4 clics)

# Quelques tests

Posté par Foxy (site web personnel) le 22 avril 2002 à 19:30. Évalué à 10.

Suite à une conf. de Renaud Deraison (dev. principal de Nessus) la semaine dernière, j'ai installé et testé Nessus 1.2 today. Il propose plein de nouvelles features intéressantes : - possibilité d'utiliser les techniques classiques d'évasion d'IDS (encodage des séquences d'attaques...) - on peut sauvegarder des sessions de scan sur le serveur (encore expérimental) - les scans se font en // (+ rapide et performant surtout sur de gros réseaux) - on peut utiliser les "safe checks" pour les plugins de test : test de faille "amoindri" pour éviter de crasher un environnement de prod. :-( De +, une version Web de l'interface va sortir d'ici peu. Renaud a fait une demo et ça a l'air prometteur. Il parait que certaines boites veulent "vendre" des tests de Nessus via un mode ASP !!!
- [^] # Re: Quelques tests
  
  Posté par Olivier le 22 avril 2002 à 21:43. Évalué à 10.
  
  > Il parait que certaines boites veulent "vendre" des > tests de Nessus via un mode ASP !!! Oui y'en a même déjà qui, à force de multiples envois en spam, proposent de vendre (à prix fort j'imagine) des "tests d'intrusion". Bien sûr, nulle part sur la page vous ne trouverez une quelconque allusion à Nessus, ni à la GPL, mis à part les différents screenshot de ce super logiciels qu'ils vendent... L'URL : http://www.vidati.com/deuxieme-resolution.htm (la moindre chose serait au moins de montrer quelque reconaissance du ventre)
  - [^] # Re: Quelques tests
    
    Posté par Laurent Saint-Michel le 22 avril 2002 à 22:28. Évalué à 10.
    
    Est-ce qu'ils contribuent en retour au logiciel ? Si oui, c'est bien (des couillons payent à priori fort cher pour aider indirectement un logiciel libre) et c'est probablement un créneau à prendre (analyse/audit de sécurité, conseil et suivi des corrections) dans lequel le logiciel est bien et normalement intégrè Si non, c'est bien dommage et il faut le dire et le répéter pour faire une contre publicité négative à ce parasite.Et là je regrette un peu la clause "publicitaire" qui oblige (obligeait ?) un programme sous license BSD repris de mentionner l'origine BSD du programme car même s'il est "légalement" normal de profiter du travail d'autrui dans le cadre des logiciels libres, il faut _au moins_ rendre hommage aux personnes derrières ces logiciels. /troll on Remarque que niveau boulot il ne doivent pas chömer car ils proposent : 1ère bonne résolution 2002: je sécurise mes ordinateurs Windows NT ou 2000 (source : http://www.vidati.com/news1.htm ) /troll off
    - [^] # Re: Quelques tests
      
      Posté par Foxy (site web personnel) le 22 avril 2002 à 23:11. Évalué à 10.
      
      source : www.vidati.com/news1.htm Quelle honte :-) Ca m'a l'air de sacrés clochards dans cette boite, quand on voit leur site Web. Est-ce qu'ils contribuent en retour au logiciel ? Dans l'ensemble, NON et c'est bien là le problème. En effet, beaucoup de sociétés utilisent Nessus pour leurs tests de sécurité et certaines SSII les vendent mais très peu de ces personnes contribuent au code de Nessus ou à l'écriture des plugins d'attaque :-( D'ailleur, il y a quelques mois, Renaud Deraison avait poussé une gueulante et voulait prendre des mesures coercitives. Je crois que ça s'est réglé mais je ne sais pas comment...
      - [^] # Re: Quelques tests
        
        Posté par Toufou (site web personnel) le 23 avril 2002 à 10:00. Évalué à 10.
        
        Du moment qu'ils n'utilisent pas un source modifié, on pourrait considérer qu'ils ne font que vendre leur savoir faire autour du logiciel, ce qui n'a rien de répréhensible en soi je trouve. Il me semble que la gueulante avait été poussée parce que le service vendu était basé sur une version modifiée 'maison' de nessus qui, elle, n'était pas diffusée alors qu'ils vendaient un service dessus. Il y a nettement plus matière à l'avoir mauvaise je trouve.
      - [^] # Re: Quelques tests
        
        Posté par d alex le 23 avril 2002 à 11:11. Évalué à 3.
        
        http://www.vidati.com/les%20solutions%20e-security_files/error.htm délire leur page d'erreur est une copie parfaite de celle de IE avec un lien vers support microsoft
        
        [^] # Re: Quelques tests
        
        Posté par Jean le 23 avril 2002 à 19:12. Évalué à 4.
        
        D'apres lynx, le site tourne sous IIS, ça doit être pour ça...
        
        HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Content-Location: http://www.vidati.com/index.htm(...) Date: Tue, 23 Apr 2002 17:10:07 GMT Content-Type: text/html Accept-Ranges: bytes Last-Modified: Mon, 15 Apr 2002 20:08:30 GMT ETag: "86914550b9e4c11:9ea" Content-Length: 8618
        
        HS => -1
      - [^] # LL exploités sous forme de services web => Affero General Public License
        
        Posté par 1984 le 23 avril 2002 à 11:22. Évalué à 10.
        
        J'ai plusieurs remarques sur le sujet : 1. Sur le site http://www.nessus.org il est difficile de trouver clairement quelle est la licence de distribution de Nessus. Imaginez une personne non sensibilisée à ce qu'est un logiciel libre, elle ne verra que l'aubaine pour son commerce et rien d'autre. La solution : le site devrait avoir un menu "License" à coté des menus "Doc", "Download", etc. 2. Les services web peuvent aussi bénéficier de la protection de la GPL. Un article de la FSF France vous en dira plus : La Free Software Foundation (FSF) s'est déclarée favorable à la première licence publique destinée a protéger les logiciels distribués sous forme de services web: l'Affero General Public License (AGPL). L'AGPL ajoute à la GNU General Public License (GNU GPL) version 2 une clause qui concerne les logiciels utilisés par le public via un réseau. Cette nouvelle clause assure à l'auteur que les utilisateurs ont le droit d'utiliser, étudier, copier, modifier et redistribuer ce logiciel, grâce a un mécanisme qui permet de télécharger les sources et qui empêche la suppression de ce mécanisme. < http://france.fsfeurope.org/news/article2002-03-27-01.fr.html >
    - [^] # Re: Quelques tests
      
      Posté par Anne Onimousse le 25 avril 2002 à 10:58. Évalué à 2.
      
      Est-ce qu'ils contribuent en retour au logiciel ?
      Non, ils n'ont pas d'intérêt économique à le faire.
      
      Si ils ont choisi Nessus, c'est pour faire des économies au niveau du développement, donc ils ne développent rien du tout (si ce n'est l'interface) et concentrent toutes leurs ressources sur le marketing.
      
      De plus, si ils développaient quelque chose ça serait quand même idiot de leur part d'en faire cadeau à leurs concurrents.
      
      Ce qui est plus embétant, c'est que :
      a) certains d'entre-eux pour des raisons marketing vont prétendre avoir développé un scanner proprio
      b) La GPL les contraints à redistribuer le source seulement si ils distribuent le binaire.
      
      En mode ASP (application hébergée accessible via une plateforme internet), le client n'a pas accès au binaire donc ils n'ont pas l'obligation de redestribuer le source voir d'avouer utiliser Nessus.
  - [^] # Re: Quelques tests
    
    Posté par Jean le 23 avril 2002 à 19:15. Évalué à 2.
    
    Les photos d'écran sont repompés sur la section démonstration de nessus.org. C'est vraiment pas sérieux...
    
    http://www.nessus.org/demo/third.html(...)
    
    HS => -1
  - [^] # réponse officielle de VIDATI
    
    Posté par Mauro Israel le 11 septembre 2002 à 11:08. Évalué à 1.
    
    Bonjour,
    
    Je suis Mauro ISRAEL le CTO de VIDATI, et à ce titre je pense que ce forum est le meilleur endroit pour répondre au plus grand nombre de Linuxiens:
    
    Contrairement aux allégations de "guiness" et de certains autres sur ce forum, nos tests sont GRATUITS et ce depuis le premier jour, de manière à trouver les failles de sécurité avec l'outil le plus performant à savoir NESSUS, qui est clairement mentionné dans la page de notre site (copies d'écran à l'appui);
    
    Le fait de dire que nos tests sont payants (et chers) est un MENSONGE, preuve qu'il suffit de vérifier en allant sur le site VIDATI;
    
    Par ailleurs, nous avons mis en place un serveur LINUX avec de la bande passante pour permettre à tous d'utiliser un serveur NESSUS, et nous avons mis au point un protocole de confirmation des tests par fax; Un certain nombre d'entreprises et d'administrations ou d'universités ont fait appel à ce service ce qui prouve son intérêt;
    
    Et quel est notre intérêt ? C'est de vendre des prestations de sécurisation INDUITES des failles qui ont été trouvées par NESSUS, pas de vendre NESSUS que nous trouvons REMARQUABLE; Nous faisons de même avec les failles de Windows avec le logiciel Shavlik-MBSA (et c'est vrai qu'il y a un boulot monstre induit!!!)
    
    Par ailleurs, nous contribuons à un certain nombre de forums à travers le monde sur la sécurité et participons notamment à la conférence NETFOCUS depuis 4 ans;
    
    Je vous confirme ici que le concepteur ne nous à JAMAIS contacté, que nous sommes prêts par ailleurs à DECONNECTER le service de tests d'intrusion, s'il se sent lésé ou pour toute autre raison, mais je vous rappelle que tout le monde ne peut pas s'installer un serveur pour faire ce genre de tests, encore moins dans une entreprise ou une administration qui doit suivre des règles d'architecture.
    
    D'autres sociétés vendent effectivement des tests d'intrusion en ASP (et fort cher), et l'une d'elles a même basé son moteur sur... NESSUS. Ne comptez pas sur moi pour "balancer" les noms, mais je trouve que ce n'est pas correct de condamner des gens à priori, sans même vérifier sur notre site que ce service est GRATUIT, donc dans l'esprit du "libre";
    
    Une dernière précision: Chez VIDATI nous fonctionnons en mode "organique": toute personne qui est capable d'intervenir dans le domaine de la e-security peut faire partie de notre "réseau" et avoir du travail, sans supérieur hiérarchique et sans contrainte horaire; J'espère qu'à travers ces quelques lignes vous comprendrez mieux le concept de VIDATI et que de nombreux "ethical hackers" vont nous rejoindre;
    a+
    Mauro Israel
    le NETWIZZ
    http://www.netwizz.com(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.