Journal Security quotes of the (past) week

Posté par .
12
6
avr.
2012

Lu sur LWN :
“We wouldn’t share this with Google for even $1 million,” says [Vupen's Chaouki] Bekrar. “We don’t want to give them any knowledge that can help them in fixing this exploit or other similar exploits. We want to keep this for our customers.”

Those customers, after all, don’t aim to fix Google’s security bugs or those of any other commercial software vendor. They’re government agencies who ­purchase such “zero-day” exploits, or hacking techniques that use undisclosed flaws in software, with the ­explicit ­intention of invading or disrupting the computers and phones of crime suspects and intelligence targets.

Soit à peu près :
"Nous ne partagerions pas ça avec Google, même pour un million de dollars", déclare [Vupen's Chaouki] Bekrar. "Nous ne voulons pas leur donner la moindre idée qui leur permettrait de corriger cette faille, ou d'autres similaires. Nous réservons ça à nos clients."

Après tout, ces clients ne souhaitent pas corriger les failles de sécurité de Google, ni celles d'autres éditeurs. Des agences gouvernementales acquièrent des exploits zero-day ou des techniques de piratage qui exploitent des failles non divulguées dans le but avoué de détourner les ordinateurs et téléphones de suspects ou de cibles d'agences de renseignement.

Lien original.

  • # Est-ce que c'est pas un peu

    Posté par . Évalué à 0.

    du FUD ?

    4 mecs dans une startup arriveraient à trouver des failles que des milliers de développeurs répartis dans plusieurs entreprise, et des milliers de développeurs amateurs passionnés n'arriveraient pas à trouver ?

    Permettez moi d'en douter, surtout avec les compétences qu'il y a en face.

    Knowing the syntax of Java does not make someone a software engineer.

    • [^] # Re: Est-ce que c'est pas un peu

      Posté par (page perso) . Évalué à 0.

      Et pourquoi Google ne demande pas l'info directement aux clients de Vupen?

      • [^] # Re: Est-ce que c'est pas un peu

        Posté par . Évalué à 8.

        Ces clients ont payé pour pouvoir exploiter ces failles. Faudrait qu'ils soient vraiment très con pour ensuite aller en parler a Google pour qu'il les corrige !

    • [^] # Re: Est-ce que c'est pas un peu

      Posté par . Évalué à 2. Dernière modification le 06/04/12 à 18:31.

      4 mecs dans une startup […] Permettez moi d'en douter

      Surtout si leurs compétences en hacking sont comparables à leur maîtrise du html :

                                   
      
      

      mais aussi

      <div align="center">
      
      

      et ma préférée

      <li class="none">
      
      
      • [^] # Re: Est-ce que c'est pas un peu

        Posté par . Évalué à 9.

        C'est vrai que moi aussi je juge les qualités d'un cuisinier par la façon dont il choisit sa garde robe.

        • [^] # Re: Est-ce que c'est pas un peu

          Posté par . Évalué à 10.

          Et tu as bien raison, car en l'occurrence il y a des traces de merde sur ses vêtements.

          • [^] # Re: Est-ce que c'est pas un peu

            Posté par . Évalué à 0.

            il y a des traces de merde sur ses vêtements.

            ça n'a toujours rien à voir avec la façon dont il s'habille.

        • [^] # Re: Est-ce que c'est pas un peu

          Posté par (page perso) . Évalué à 3.

          J'y vais de mon cliché du vendredi.
          Les gens qui cherchent, publient et vendent des exploits appartiennent (comme moi à mes heures) à l'espèce des critiques : ils ne peuvent faire pas mais tirent leur gloriole d'expliquer au public comment ceux qui font auraient dû s'y prendre.

          Je crois que ce parallèle est de JL Ezine mais je n'en suis pas sûr.

          • [^] # Re: Est-ce que c'est pas un peu

            Posté par (page perso) . Évalué à 10.

            Sauf que non. Écrire un bon exploit est généralement bien plus compliqué que d'écrire un patch pour corriger le bug. Cependant écrire une bonne critique me semble plus facile que d'écrire un livre.

            Enfin, les analogies c'est comme les poissons rouges : des fois elles n'ont rien a voir avec le sujet.

            pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

            • [^] # Re: Est-ce que c'est pas un peu

              Posté par (page perso) . Évalué à 0.

              Tout est dans la définition "bon". En fait, les aptitudes requises ne sont pas les mêmes pour l'analyse et l'exploitation d'un dépassement et pour l'ingénierie logicielle générale.
              De fait, on a tous vu des exploits présentés sous forme de preuve de concept mal léchée et accompagnés de fanfaronades, même si ce n'est pas toujours le cas.

    • [^] # Re: Est-ce que c'est pas un peu

      Posté par (page perso) . Évalué à 6.

      C'est dur à savoir. Mais il est absolument certain qu'il y a des failles non connues dans tous les OS. Tu as beau avoir des milliers de participants chevronnés à ton projet, c'est impossible de penser à toutes les manières d'exploiter un système qui fait 15 millions de ligne de code.

      • [^] # Re: Est-ce que c'est pas un peu

        Posté par . Évalué à 3.

        À chaque fois que je regarde les résultat des concours de Hacking du type « prenez le contrôle d'un ordinateur sous GNU/Linux ». 01net titre bien sur « exploit sur Linux ». Alors que quand tu lis le compte-rendu c'est juste une faille flash.

        Mais après, loin de moi de dire « il n'y a aucune faille. » Il y en a, c'est sur, mais j'ai plus confiance en Alan Cox et David S. Miller pour les trouver.

        Knowing the syntax of Java does not make someone a software engineer.

    • [^] # Re: Est-ce que c'est pas un peu

      Posté par (page perso) . Évalué à 7.

      4 mecs dans une startup

      J'ai pas lu l'article mais le business des 0 days c'est un peu plus qu'une startup et ça date pas de ya 2 mois. De ce que je comprend il y a généralement plus d'argent a se faire a développer et revendre des exploits a plusieurs clients qu'a l'organisation qui a développé le logiciel original. Et c'est même généralement légal.

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

    • [^] # Re: Est-ce que c'est pas un peu

      Posté par . Évalué à 8.

      Ce n'est absolument pas du FUD. VUPEN est tres connu dans le monde de la securite est c'est tres tres loin d'etre des guignols.

      Quand aux milliers de developpeurs amateurs passiones, fais-moi rire, tres peu d'entre eux ont des competences en securite, et sur ceux qui restent combien passent le temps necessaire a auditer/attaquer le code ? Quasiment aucun.

      • [^] # Re: Est-ce que c'est pas un peu

        Posté par . Évalué à 3.

        Surtout que c'est bien plus facile d'attaquer un système que de le défendre. L'attaquant cherche un seul point faible. Le défenseur doit vérifier la chaine en entier.

        "La première sécurité est la liberté"

    • [^] # Re: Est-ce que c'est pas un peu

      Posté par . Évalué à 9.

      un étudiant aurait développé un noyau unix dans sa chambre ? permettez moi d'en douter.

      Sérieux, il y a maintenant assez d'exemple qui démontre que des gars motivés dans un garage peuvent changer le monde.

      Donc, mettre la tête dans le sable n'est pas une option très pertinente

    • [^] # Re: Est-ce que c'est pas un peu

      Posté par . Évalué à 0.

      Il doit être possible d'obtenir plus de précisions auprès du greffe du TC putéolien mais ce qu'on trouve sur les sites grand public d'informations comptables : http://www.bilansgratuits.fr/VUPEN-SECURITY--47850212300050.htm

      En résumé, ils existent depuis 2004 et ils font un CA honorable (sans être exceptionnel) pour les 3-5 employés. Leur siège social est de mieux en mieux placé (5 déménagements).

      L'histoire du million est probablement équivalent à leur CA net pour 2012, ils doivent avoir peu de failles en stock. La révélation de la faille en question doit mette en péril leur activité.

  • # Il me fait gerber...

    Posté par (page perso) . Évalué à 2.

    Que ce soit du simple FUD ou de la pub auto-promotionnelle on risque de ne jamais le savoir comme avec tous ces gray|black hats.
    Par contre je trouve que l'analogie faite dans l'article avec les vendeurs d'armes est tout à fait recevable. (oui l'espionnage d'opposants à certain régimes peut causer des morts).
    Et puis garder pour soi des failles de LL pour en faire un commerce c'est simplement à l'opposé de l'idée que je me fais du libre.
    D'ailleurs… http://www.journaldunet.com/solutions/securite/interview/le-plus-mauvais-eleve-est-incontestablement-l-organisation-linux-kernel.shtml

    Il faut vraiment n'avoir aucun scrupule…

    • [^] # Re: Il me fait gerber...

      Posté par . Évalué à 6.

      D'ailleurs… http://www.journaldunet.com/solutions/securite/interview/le-plus-mauvais-eleve-est-incontestablement-l-organisation-linux-kernel.shtml

      journaldunet, 01net… Même combat.

      Le truc met un titre qui accroche, et quand on lis l'article on vois que ça n'a rien avoir. Apparemment le mec « découvre des failles sous Linux » (d'après le titre). Mais quand on lis l'interview, on découvre qu'il cherche des failles Firefox et ActiveX :

      le nombre de vulnérabilités des applications Web a doublé.

      L'utilisation des techniques de fuzzing […] a permis la découverte d'un grand nombre de failles dites coté-client, c'est à dire les navigateurs web […] La faiblesse des contrôleurs ActiveX explique elle aussi, en partie, la recrudescence des attaques contre les navigateurs.

      Mais le plus marrant c'est la phrase complète du titre, qui une fois lu en entier, ne veux plus dire la même chose.

      Le plus mauvais élève est incontestablement l'organisation Linux Kernel qui corrige les vulnérabilités du noyau Linux sans en indiquer la criticité ou les conséquences, et sans publier de bulletin dédié.

      Le titre suggère que le noyau Linux a une sécurité nulle, alors qu'en fait il reproche juste au noyau Linux de ne pas faire un beau site pour les bulletins de sécurité (car tout est sur la LKML en réalité).

      Tout ça pour dire, que comme 01net, le journaldunet titre n'importe quoi, le décideur pressé lis juste le titre « Chaouki Bekrar (VUPEN Security) “Le plus mauvais élève est incontestablement l'organisation Linux Kernel” », et donc se dis « Linux c'est pas sécu ».

      Knowing the syntax of Java does not make someone a software engineer.

      • [^] # Re: Il me fait gerber...

        Posté par (page perso) . Évalué à 3.

        (car tout est sur la LKML en réalité)

        Mais c'est dans le reste des discussions, ce n'est pas terrible pour faire le tri si on n'est pas intéressé par le développement. Et je comprend qu'on ne puisse pas être d'accord avec la justification de Linus sur l'absence de notifier une correction de bugs comme correction de faille de sécurité ou non.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Traduction

    Posté par . Évalué à 4.

    says [Vupen's Chaouki] Bekrar

    Se traduit par « déclare [Chaouki] Bekrar [de chez Vupen, en face] ».

    • [^] # Re: Traduction

      Posté par . Évalué à 3.

      J'ai vu que j'avais oublié ça juste après avoir posté :/

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.