Le préambule est une reprise d'un article de ZipiZ publié dans MISC 1 sur les "dangers" du firewall. Nous avons ce court préambule (2 pages) car il résume parfaitement toute la situation vis-à-vis des firewalls.
Tous les autres articles sont intégralement nouveaux. Concernant celui sur netfilter, nous avons voulu présenter ses mécanismes internes en détails, plutôt que de donner un exemple de configuration. En effet, d'une part, un tel exercice soulève souvent plus de questions que ça n'apporte de réponses puisque chacun possède des besoins et une configuration particulière, qui ne correspond donc jamais à l'exemple qui serait traité dans l'article. D'autre part, de tels articles foisonnent par ailleurs sur le net.
Dernier point, concernant l'article sur les backdoors furtives. J'epsère qu'il sera lu par les personnes qui vendent des FW (personnels en particulier) en prétendant que leur(s) produit(s) protège(nt) de toutes les attaques, connues ou non ... et qu'ils arrêteront alors de dire n'importe quoi.
Pour les marchands de journaux, demande de le commander avec le code L 19018 - 4. On ne peut pas le commander auprès de Diamond tant qu'il est en vente chez les buralistes.
Pour commander le 3 chez Diamond, tu fais comme pour commander le 1 ou le 2 ... sauf que ce n'est pas encore en ligne. Si tu as un problème, maile moi ou bien directement cial@ed-diamond.com, adresse qui nous permet de gérer les abonements et les commandes d'anciens numéros.
> Le md5sum du site d'origine est seul à faire foi évidemment...
sauf si le serveur principal est corrompu : aucun md5sum n'est fiable ;-)
> je crois que les distributions modernes font ça
Les rpms sont signés (depuis longtemps) mais pas les .deb
Pour les .deb, la politique sera probablement de signer un fichier contenant les md5sums des packages. Mais il n'y a rien pour le moment.
Juste une précision. La plupart des personnes croient que l'intégrité des sources constitue une sécurité : c'est faux, l'intégrité des sources n'apporte AUCUNE sécurité.
L'intégrité repose sur une fonction de hachage. Il n'y a aucun secret dans la fonction (MD5 en général) et donc aucune sécurité. La seule et unique propriété apportée par ces fonctions, c'est de permettre de détecter un changement.
Or, suppose que le serveur ait été piraté et que le méchant pirate ait remplacé l'archive .tgz des sources. On peut penser que le type n'est pas trop con et qu'il aura fait un :
$ md5sum mon_archive_trojanée_à_moi.tgz > MD5SUM
et roule ma poule, personne n'y voit rien.
Dans ce cas, on peut détecter l'erreur en comparant les MD5 distribués sur différents serveurs ... mais même ça ne constitue aucunement une assurance que l'archive récupérée est saine. Il se pourrait que le serveur principal soit corrompu, puis tous les mirroirs, et dans ce cas, personne ne voit plus rien.
Bref, le haché (md5 ou autre) permet simplement de vérifier que le téléchargement s'est bien passé.
La seule solution est d'utiliser une signature cryptographique. C'est le seul moyen de garantir que tout est sain.
Vous avez la possibilité de lui demander de le commander.
Bon, c'est clair, le buraliste, il doit pas trop savoir ce que c'est ;-/ Pour cela, il faut lui donner le numéro servant de référence au magazine (qui est le numéro situé sur le code barre, à savoir L 19018 pour MISC 4)
Sinon, sans vouloir faire de pub, je pense que les "maisons de la presse" et les relay devraient être mieux pourvus que les petits buralistes.
Bah, le firewall offre une sécurité précise, mais encore faut-il en connaître les limites.
Comme le signale pBpG, les failles clients sont un problème que le firewall ne peut résoudre seul (enfin, il commence à y avoir des FW qui agissent aussi au niveau applicatif, mais bon ...)
Autre problème, les tunnels. Même si tous les INPUTs sont fermés, si tu as un seul port sur lequel tu peux te connecter en sortie, tu peux alors construire un tunnel et passer au travers du FW.
Et plus drôle encore, tu peux parfois utiliser l'équipement même qui est chrgé de filtrer. Voir ce qu'on peut faire avec la méthode POST sur les proxies ...
Que le magazine ne te plaise pas, ne t'intéresse pas ou je en sais quoi n'était pas le but de ma remarque et tu peux tout à fait avoir ton opinion, c'est même bien mieux que la pensée unique :-]
En revanche, là où ça me dérange, c'est quand tu écris un truc faux, parce que tu ne prends même pas le temps de vérifier si tu dis une bêtise ou pas, et ce malgré la précaution oratoire que tu as bien pris soin de mettre (il me semble ...).
Désolé si tu avais mal interprété ma remarque, j'aurais peut-être dû préciser cela dès le début.
Bon, alors il y en a qui râlent sur le français, mais là, bravo !!! C'est en fait "ingénierie".
Ensuite, plutôt que de le feuilleter chez ton marchand de journaux, tu aurais mieux fait de l'acheter, ça t'aurait évité de dire une connerie : on n'a jamais proposé un tel article dans MISC.
Parfois, je me demande d'où viennent certaines informations ....
Il me semble nécessaire de préciser certains points :
seules les personnes travaillant chez Diamond ou Posse Presse sont à mêmes de donner des informations précises sur ces éditeurs, et personne d'autre.
je ne vous en dis pas plus pour le moment, mais MISC n'est pas mort :))) Votre aide à tous nous a été bien utile : merci !
les "pigistes" de MISC ne sont justement pas des pigistes, ce qui supposerait un contrat de travaille, mais sont quand même rémunérés pour leur travail.
Tout ça pour dire que c'est quand même magnifique l'imagination humaine ;-)
J'ai donc pris la mauvaise habitude de remettre tout les zines linux, et secu devant ;) Ca prend 5 secondes, et c'est positif pour le linuxien qui passe derrière.
Je fais pareil ... et je pousse même le vice encore plus en "couchant" les magazines qui ne me plaisent pas pour qu'ils soient bien cachés ;-)
Oui, ça ne peut pas faire de mal (je ferai une réponse plus détaillée ci dessous).
Pour information, les chèques sont à mettre à l'ordre de DIAMOND EDITION et à adresser chez Diamond Edition directement (enfin, ceux qui veulent m'envoyer un chèque directement, ne vous privez pas mais je ne garantie pas la livraison du magazine ;-)
Tout est dans le sujet.
La décision se fera en fonction des ventes du 3. A suivre donc ...
PS: Merci à Jules pour avoir posté la nouvelle et fait le site web :) Etant en vacances, mais geek malgré tout, je n'ai pu m'empêcher de venir voir ce qui se passait ici ;-)
Si un de ces N tests retourne la valeur faux alors p n'est pas premier.
D'ailleurs, en pratique, dès le premier échec, on arrête le test car on est certain que le nombre testé n'est pas premier (cf. ce que tu mets sur l'implication et la logique)
... par le fait que le théorème de Fermat est une implacation ...
En toute rigueur, il s'agit du petit théorème de Fermat.
Mais la réciproque est fausse. En revanche on peut prouver que la proposition p est premier est vraie avec une certaine probabilité.
FAUX (sauf en logique flou et d'une manère plus générale avec les logiques pour lesquelles les valeurs possibles d'un théorème ne sont pas que vrai ou faux - logiques dites multimodales mais je ne suis pas certain du terme)
Dans le cas de Miller-Rabin (voir http://www.security-labs.org/index.php3?page=5(...)) on part de l'hypothèse qu'un entier n impair est fortement pseudo-premier par rapport à b pour au plus 25% des nombres b (0<b<n). Cela signifie que si n et b ne sont pas fortement pseudo-premiers, alors n n'est pas premier.
Ainsi, pour chaque b testé, on a une probabilité de 0.25 que n soit composite. Si on répète le test p fois, la probabilité que n soit composite descend alors à 0.25^p
Bref, tout cela pour dire que les tests probabilistes donnent comme information une probabilité pour qu'un nombre soit composite.
Concernant l'article sur la guerre de l'information, il décrit un scénario fictif avec quand même certaines exagértion. Par exemple, je ne pense pas qu'on trouve un seul livreur de pizza qui entre dans une salle d'audience au milieu d'un procés.
Ce scénario ne repose pas que sur des moyens informatiques. L'informatique est un des vecteurs d'attaques. Mais les données importantes, dans ce scénario, sont juridiques. L'attaque nécessite donc l'intervention d'un juriste :
pour faire le tri parmi tous les documents récupérer chez la cible
pour fabriquer de faux documents crédibles
Je voulais juste préciser ce point et donc abonder dans ton sens : l'informatique seule ne suffit pas.
[^] # une reprise et que des nouveaux
Posté par pappy (site web personnel) . En réponse à la dépêche HS LMF 12 : Le firewall, votre meilleur ennemi. Évalué à 10.
Tous les autres articles sont intégralement nouveaux. Concernant celui sur netfilter, nous avons voulu présenter ses mécanismes internes en détails, plutôt que de donner un exemple de configuration. En effet, d'une part, un tel exercice soulève souvent plus de questions que ça n'apporte de réponses puisque chacun possède des besoins et une configuration particulière, qui ne correspond donc jamais à l'exemple qui serait traité dans l'article. D'autre part, de tels articles foisonnent par ailleurs sur le net.
Dernier point, concernant l'article sur les backdoors furtives. J'epsère qu'il sera lu par les personnes qui vendent des FW (personnels en particulier) en prétendant que leur(s) produit(s) protège(nt) de toutes les attaques, connues ou non ... et qu'ils arrêteront alors de dire n'importe quoi.
[^] # Re: groupf ;-)
Posté par pappy (site web personnel) . En réponse à la dépêche HS LMF 12 : Le firewall, votre meilleur ennemi. Évalué à 4.
Pour commander le 3 chez Diamond, tu fais comme pour commander le 1 ou le 2 ... sauf que ce n'est pas encore en ligne. Si tu as un problème, maile moi ou bien directement cial@ed-diamond.com, adresse qui nous permet de gérer les abonements et les commandes d'anciens numéros.
[^] # groupf ;-)
Posté par pappy (site web personnel) . En réponse à la dépêche HS LMF 12 : Le firewall, votre meilleur ennemi. Évalué à -1.
Excuse 2 : oui, bon, ben, c'est la matin et je buvais mon café en même temps ... ca arrive à tout le monde non ;-)
[^] # distributions
Posté par pappy (site web personnel) . En réponse à la dépêche Cheval de Troie découvert dans la libpcap et tcpdump. Évalué à 5.
sauf si le serveur principal est corrompu : aucun md5sum n'est fiable ;-)
> je crois que les distributions modernes font ça
Les rpms sont signés (depuis longtemps) mais pas les .deb
Pour les .deb, la politique sera probablement de signer un fichier contenant les md5sums des packages. Mais il n'y a rien pour le moment.
[^] # intégrité des sources : pourquoi faire ?
Posté par pappy (site web personnel) . En réponse à la dépêche Cheval de Troie découvert dans la libpcap et tcpdump. Évalué à 10.
L'intégrité repose sur une fonction de hachage. Il n'y a aucun secret dans la fonction (MD5 en général) et donc aucune sécurité. La seule et unique propriété apportée par ces fonctions, c'est de permettre de détecter un changement.
Or, suppose que le serveur ait été piraté et que le méchant pirate ait remplacé l'archive .tgz des sources. On peut penser que le type n'est pas trop con et qu'il aura fait un :
$ md5sum mon_archive_trojanée_à_moi.tgz > MD5SUM
et roule ma poule, personne n'y voit rien.
Dans ce cas, on peut détecter l'erreur en comparant les MD5 distribués sur différents serveurs ... mais même ça ne constitue aucunement une assurance que l'archive récupérée est saine. Il se pourrait que le serveur principal soit corrompu, puis tous les mirroirs, et dans ce cas, personne ne voit plus rien.
Bref, le haché (md5 ou autre) permet simplement de vérifier que le téléchargement s'est bien passé.
La seule solution est d'utiliser une signature cryptographique. C'est le seul moyen de garantir que tout est sain.
[^] # L 19018
Posté par pappy (site web personnel) . En réponse à la dépêche MISC 4 : Internet, un chateau construit sur du sable ?. Évalué à 1.
Bon, c'est clair, le buraliste, il doit pas trop savoir ce que c'est ;-/ Pour cela, il faut lui donner le numéro servant de référence au magazine (qui est le numéro situé sur le code barre, à savoir L 19018 pour MISC 4)
Sinon, sans vouloir faire de pub, je pense que les "maisons de la presse" et les relay devraient être mieux pourvus que les petits buralistes.
[^] # Re: Achetez le !
Posté par pappy (site web personnel) . En réponse à la dépêche MISC 4 : Internet, un chateau construit sur du sable ?. Évalué à 1.
Enfin, jetez vous dessus et non déçu (d décevoir ... ;-)
[^] # A suivre
Posté par pappy (site web personnel) . En réponse à la dépêche MISC 4 : Internet, un chateau construit sur du sable ?. Évalué à 1.
De plus, vous trouverez d'ici une quinzaine de jours un hors-série "MISC powered" consacré aux firewalls.
Donc ...
[^] # Re: Linux Magazine France 44
Posté par pappy (site web personnel) . En réponse à la dépêche Linux Magazine France 44. Évalué à 1.
[^] # Re: Placenet / Gitoyen etc.
Posté par pappy (site web personnel) . En réponse à la dépêche LinuxFr cherche nouvel hébergeur, et plus si affinités.... Évalué à 1.
Tout le monde sait que tu couches Fabien ;-)
# patch Openwall
Posté par pappy (site web personnel) . En réponse à la dépêche Noyau 2.2.22. Évalué à 10.
Il est fort ce Solar ;-)
http://www.openwall.com/linux/(...)
[^] # tunnels
Posté par pappy (site web personnel) . En réponse à la dépêche Plus de sécurité informatique avec Linux ?. Évalué à 5.
Comme le signale pBpG, les failles clients sont un problème que le firewall ne peut résoudre seul (enfin, il commence à y avoir des FW qui agissent aussi au niveau applicatif, mais bon ...)
Autre problème, les tunnels. Même si tous les INPUTs sont fermés, si tu as un seul port sur lequel tu peux te connecter en sortie, tu peux alors construire un tunnel et passer au travers du FW.
Le tunnel le plus classique :
http://www.nocrew.org/software/httptunnel.html(...)
Et plus drôle encore, tu peux parfois utiliser l'équipement même qui est chrgé de filtrer. Voir ce qu'on peut faire avec la méthode POST sur les proxies ...
# rebol sur linuxfocus.org
Posté par pappy (site web personnel) . En réponse à la dépêche Login Hors-Série n°14 - Programmer en Rebol. Évalué à 10.
[^] # Pensée unique
Posté par pappy (site web personnel) . En réponse à la dépêche Linux Magazine n°42 est sorti. Évalué à 5.
En revanche, là où ça me dérange, c'est quand tu écris un truc faux, parce que tu ne prends même pas le temps de vérifier si tu dis une bêtise ou pas, et ce malgré la précaution oratoire que tu as bien pris soin de mettre (il me semble ...).
Désolé si tu avais mal interprété ma remarque, j'aurais peut-être dû préciser cela dès le début.
[^] # de toute façon, la réponse est ...
Posté par pappy (site web personnel) . En réponse à la dépêche Linux Magazine n°42 est sorti. Évalué à 2.
[^] # Re: reverse ? Ingénieurie ? Ni l'un ni l'autre ...
Posté par pappy (site web personnel) . En réponse à la dépêche Linux Magazine n°42 est sorti. Évalué à 3.
Note pour moi-même : virer cette référence à MISC 4 surtout que cet article est dans LMF 42 ...
[^] # reverse ? Ingénieurie ? Ni l'un ni l'autre ...
Posté par pappy (site web personnel) . En réponse à la dépêche Linux Magazine n°42 est sorti. Évalué à 10.
Ensuite, plutôt que de le feuilleter chez ton marchand de journaux, tu aurais mieux fait de l'acheter, ça t'aurait évité de dire une connerie : on n'a jamais proposé un tel article dans MISC.
[^] # Précisions pour les devins, astrologues et autres Pythies
Posté par pappy (site web personnel) . En réponse à la dépêche Login n°98 - Septembre 2002. Évalué à 7.
Il me semble nécessaire de préciser certains points :
Tout ça pour dire que c'est quand même magnifique l'imagination humaine ;-)
[^] # pareil :)
Posté par pappy (site web personnel) . En réponse à la dépêche Sauvez MISC. Évalué à 5.
J'ai donc pris la mauvaise habitude de remettre tout les zines linux, et secu devant ;) Ca prend 5 secondes, et c'est positif pour le linuxien qui passe derrière.
Je fais pareil ... et je pousse même le vice encore plus en "couchant" les magazines qui ne me plaisent pas pour qu'ils soient bien cachés ;-)
[^] # Et tu as aimé ?
Posté par pappy (site web personnel) . En réponse à la dépêche Sauvez MISC. Évalué à 5.
Tu peux m'appeler Monsieur et acheter MISC quand même ;-)
[^] # commander les anciens numéros
Posté par pappy (site web personnel) . En réponse à la dépêche Sauvez MISC. Évalué à 9.
Pour information, les chèques sont à mettre à l'ordre de DIAMOND EDITION et à adresser chez Diamond Edition directement (enfin, ceux qui veulent m'envoyer un chèque directement, ne vous privez pas mais je ne garantie pas la livraison du magazine ;-)
Bref, merci :)
[^] # Re: SOUTENIR MISC
Posté par pappy (site web personnel) . En réponse à la dépêche Sauvez MISC. Évalué à -1.
[^] # Pas de nouvelle
Posté par pappy (site web personnel) . En réponse à la dépêche Les articles de M.I.S.C. en ligne !. Évalué à 10.
La décision se fera en fonction des ventes du 3. A suivre donc ...
PS: Merci à Jules pour avoir posté la nouvelle et fait le site web :) Etant en vacances, mais geek malgré tout, je n'ai pu m'empêcher de venir voir ce qui se passait ici ;-)
[^] # Re: Compléments
Posté par pappy (site web personnel) . En réponse à la dépêche Encore plus de Nombres Premiers. Évalué à 10.
D'ailleurs, en pratique, dès le premier échec, on arrête le test car on est certain que le nombre testé n'est pas premier (cf. ce que tu mets sur l'implication et la logique)
... par le fait que le théorème de Fermat est une implacation ...
En toute rigueur, il s'agit du petit théorème de Fermat.
Mais la réciproque est fausse. En revanche on peut prouver que la proposition p est premier est vraie avec une certaine probabilité.
FAUX (sauf en logique flou et d'une manère plus générale avec les logiques pour lesquelles les valeurs possibles d'un théorème ne sont pas que vrai ou faux - logiques dites multimodales mais je ne suis pas certain du terme)
Dans le cas de Miller-Rabin (voir http://www.security-labs.org/index.php3?page=5(...)) on part de l'hypothèse qu'un entier n impair est fortement pseudo-premier par rapport à b pour au plus 25% des nombres b (0<b<n). Cela signifie que si n et b ne sont pas fortement pseudo-premiers, alors n n'est pas premier.
Ainsi, pour chaque b testé, on a une probabilité de 0.25 que n soit composite. Si on répète le test p fois, la probabilité que n soit composite descend alors à 0.25^p
Bref, tout cela pour dire que les tests probabilistes donnent comme information une probabilité pour qu'un nombre soit composite.
[^] # Guerre de l'information
Posté par pappy (site web personnel) . En réponse à la dépêche Login Hors Série "Spécial Sécurité". Évalué à 3.
Concernant l'article sur la guerre de l'information, il décrit un scénario fictif avec quand même certaines exagértion. Par exemple, je ne pense pas qu'on trouve un seul livreur de pizza qui entre dans une salle d'audience au milieu d'un procés.
Ce scénario ne repose pas que sur des moyens informatiques. L'informatique est un des vecteurs d'attaques. Mais les données importantes, dans ce scénario, sont juridiques. L'attaque nécessite donc l'intervention d'un juriste :
Je voulais juste préciser ce point et donc abonder dans ton sens : l'informatique seule ne suffit pas.