Blaster et le black out de NY

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
17
déc.
2003
Sécurité
Dans sa dernière édition, crypto-gram avance une hypothèse sur la coupure d'électricité d'août dernier à New York.
Pour souvenir cette coupure avait coupé totalement l'électricité pendant plusieurs heures. Les companies d'électricité canadiennes et américaines s'étaient renvoyées la faute.
Bruce Schneier avance l'hypothèse selon laquelle cette coupure est dûe (NdM: en partie) au ver Blaster.

Crypto-gram est une lettre mensuelle gratuite sur la sécurité rédigée par Bruce Schneier qui est au monde de la sécurité ce que RMS est au monde du libre. Il a écrit de nombreux ouvrages et est l'inventeur de l'algorithme BlowFish.

Aller plus loin

  • # Il faudrait nuancer la niouze

    Posté par . Évalué à 10.

    Bruce Schneieraffirme seulement que la présence du vers Blaster est l'un, parmis beaucoup d'autres, des facteurs explicatifs dans le chaîne des défaillances qui est partie de l'Ohio.
    Let's be fair. I don't know that Blaster caused the blackout. The report doesn't say that Blaster caused the blackout. Conventional wisdom is that Blaster did not cause the blackout. But it seems more and more likely that Blaster was one of the many causes of the blackout
  • # Re: Blaster et le black out de NY

    Posté par (page perso) . Évalué à 10.

    Cette hypothèse ne milite pas pour l'utilisation du système de billou. C'est assez scandaleux que des systèmes critiques comme ceux ci soit exploités sur des systèmes aussi fragiles.
    Moralité : utilisez du logiciel blindé pour les systèmes critiques, et débranchez de l'Internet ! Si je veux conserver un diamant je vais le mettre dans un coffre chez moi, je vais pas le mettre au milieu de la rue devant chez moi, dans une vitrine en verre avec alarme...

    La sécurité, c'est avant tout la volonté de vouloir la mettre en oeuvre.
    • [^] # Re: Blaster et le black out de NY

      Posté par . Évalué à 2.

      mortalité, heuuu moralité : lire la licence....
    • [^] # Re: Blaster et le black out de NY

      Posté par . Évalué à 1.

      Boarf, la supervision n'est pas critique en soi.Pas plus que les postes bureautique qui permettent de se conencter aux équipements serveurs, dans d'autres lieux.

      Sauf que si tu as un problème, là, ça peut devenir critique. C'est cela qui est dit.
    • [^] # Re: Blaster et le black out de NY

      Posté par . Évalué à 4.

      « Si je veux conserver un diamant je vais le mettre dans un coffre chez moi, je vais pas le mettre au milieu de la rue devant chez moi, dans une vitrine en verre avec alarme... »

      Je pense que cet exemple est mal choisis. La méthode que tu donnes est justememt celle de Microsoft(r) : « security through obscurity », ils cachent bien le diamant, mais au final ils se font quand même voler...
      • [^] # Re: Blaster et le black out de NY

        Posté par (page perso) . Évalué à 5.

        Je suis d'accord sur la philosophie.
        Mais faut bien reconnaitre que les gens malveillants ne sont pas toujours philosophes, et je préfère éviter les bombes plutot qu'essayer de leur expliquer qu'exploser c'est pas cool.
        Rapellons quand même qu'il est difficile de pirater une machine déconnextée sur laquelle on a pas accès physique, même un windows.
      • [^] # Re: Blaster et le black out de NY

        Posté par . Évalué à 7.

        Heu je ne pense pas que ca soit de la securite par l'obscurite mais uniquement du bon sens !

        Quand tu vois qu'une centrale nucleaire canadienne à du être arreter y'a 6 mois par ce qu'elle etait connectée à internet et avait subit blaster (je suis plus sur que ce soit blaster).

        Connecter de systèmes critiques à internet est une stupidité dans la plupart des cas. Ce n'est en rien de la sécurité par l'obscurité c'est du bon sens...

        Et ce n'est pas cacher le diamant amha, c'est faire qu'il ne soit pas accessible sans passer par une couloir particulier et plus ou moins controler/able
        • [^] # Re: Blaster et le black out de NY

          Posté par (page perso) . Évalué à 4.

          L'exemple du diamant est pour le moins surprenant : Un diamant dans un coffre : ça sert à quoi ? Personne ne le voit, personne ne s'en sert...
          Et puis même si on le voit, il ne sert qu'à être vu, ce qui n'en démontre pas l'utilité.

          Oui, je sais, je suis trop rationnel, c'est bien ce que me dit ma femme !
    • [^] # Re: Blaster et le black out de NY

      Posté par . Évalué à 4.

      Il n'y a pas de système fragile, seulement des systèmes mal paramétrés.

      Mais il est vrai que si cette hypothèse (car n'oublions pas que ce n'est qu'une hypothèse) reflète la réalité, il est clair qu'il y'a une faute majeure de la part des responsables informatiques.

      Un système critique doit être considéré comme tel et donc toutes les mesures de protection adéquates envisagées.
    • [^] # Re: Blaster et le black out de NY

      Posté par . Évalué à 0.

      Rahhhh ! Enfin une bonne def de la sécurité... Allez, tiens, +1 parce que je peux pas plus....
  • # dans la même veine

    Posté par . Évalué à 10.

    dans la même théorie,
    Je me souvient de ce texte

    http://www.securityfocus.com/news/6767(...)

    Slammer worm crashed Ohio nuke plant network

    By Kevin Poulsen,

    The Slammer worm penetrated a private computer network at Ohio's Davis-Besse nuclear power plant in January and disabled a safety monitoring system for nearly five hours, despite a belief by plant personnel that the network was protected by a firewall, SecurityFocus has learned.

    En gros, il explique que le vers s'est propagé dans le réseau énergétique david.Besse et qu'il a fait planté les systèmes de surveillance pendant quelques heures.

    Pourtant la licence de MS précise - de mémoire - que ses systèmes ne doivent pas être utilisés sur des systèmes de ce genre la.

    vivement le e-gouvernement...
    • [^] # Re: dans la même veine

      Posté par . Évalué à 2.


      ...
      Pourtant la licence de MS précise - de mémoire - que ses systèmes ne doivent pas être utilisés sur des systèmes de ce genre la.
      ...


      Je pense que plus ou moins toutes les licences doivent dire cela, il n'y a pas grand monde qui doit vouloir prendre la responsabilité d'affirmer que son systeme et totalement fiable et peut etre utilisé pour controler une centrale nucléaire, surtout aux USA
      De mémoire, il me semble que la licence du JDK/JRE dit ca aussi
  • # Re: Blaster et le black out de NY

    Posté par . Évalué à 8.

    La démonstration est très jolie.

    Même si l'exposé n'est qu'une hypothèse, la conclusion est la plus importante à mon avis. Selon lui, les équipements de monitoring (déjà infectés par le passé) tournent sous windows, et se seraient pris slammer.

    L'idée c'est que les ordinateurs "vitaux" sont géénralement bien protégés, les serives annexes, comme la supervision, le sont moins. Il faut donc mettre l'accent sur la protection de ces équipeemnts, pour éviter de perdre la vue en cas de panne, ce qui peut aboutir (c'est tout à fait pluaisble, que ce soit avéré ou non) au black-out du 14/08.
  • # Re: Blaster et le black out de NY

    Posté par . Évalué à 2.

    Je dirai plutot Bruce Schneier est au monde de la sécurité, ce que Lagaf est à TF1: un clown.
    Avez-vous déjà lu sa lettre (heureusement qu'elle est gratuite) ? De quoi passer le temps 5min et encore si ce n'est pas pour lire les auto-congratulations de Bruce. A défaut d'être crédible, elle a le mérite de me faire rire tous les 15 du mois.

    Sinon, il faut démystifier Bruce, il a peut être été bon à une époque en crypto mais il me semble bien (via des *vrais* spécialistes en la matière) qu'il profite maintenant plus de ses thésards pour écrire ses papers et coller sa signature derrière. Et puis blowfish est surtout connu car il en parle dans SON livre. (un peu comme CDP sur fmc) Petit sondage: qui est tombé dans le piege et a acheté son dernier livre Practical Cryptography ? En etes vous vraiment satisfait ?

    Et la sécurité ? Version 01 peut-être.... avec des trucs super haut niveau. Il faut être sérieux un peu, il a codé quoi concrètement ?

    Allez demain je prend mes bookmarks et je publie Kilo-Gram avec plein de phrases chocs dans un anglais douteux.
    • [^] # Re: Blaster et le black out de NY

      Posté par . Évalué à 7.

      il me semble bien [...] qu'il profite maintenant plus de ses thésards pour écrire ses papers et coller sa signature derrière

      Euh... C'est précisément à ça que ça sert, les thésards, non ?

      Bon ->[]
    • [^] # Re: Blaster et le black out de NY

      Posté par (page perso) . Évalué à 3.

      Il me semble qu'il n'y a pas que Blowfish.
      Y'a aussi Twofish qui est un bon algo symétrique (il a été finaliste du concours de l'AES Advanced Encryption Standard...le remplaçant du DES quoi )
      y'a aussi Yarrow (Un générateur pseudo-aléatoire qui est considéré comme de très grande qualité)

      maintenant je sais pas si c'est son équipe qui se tape le vrai boulot ou pas....mais c'est quand même une qualité que de choisir et de diriger une bonne équipe non ?
      • [^] # Re: Blaster et le black out de NY

        Posté par . Évalué à 3.

        Le livre de Bruce Schneier (applied cryptography) fait partie des livres dont je sais qu'il faudra que j'y jette un oeil. Au même titre que les bouquins de Donald KNUTH (bon, la je jette un oeil dans "structure et interpretation des programmes informatiques", je peux pas tout faire).
        De plus, gérer une équipe permet aussi de faire avancer le monde.
        Qu'il fasse le boulot lui-même ou choisisse les bonne personnes pour le faire et les encadrer c'est pas mal du tout.

        Et Torwalds, il code beaucoup pour le noyau maintenant peut-être?

        Ca me semble l'évolution normale d'une personne (faire soi-même puis encadrer).
        Passer de la pratique au stratégique en somme.

        :O)
        • [^] # Re: Blaster et le black out de NY

          Posté par . Évalué à 4.

          Le livre de Bruce Schneier (applied cryptography) fait partie des livres dont je sais qu'il faudra que j'y jette un oeil. Au même titre que les bouquins de Donald KNUTH (bon, la je jette un oeil dans "structure et interpretation des programmes informatiques", je peux pas tout faire).

          Ouhlala, lalalala ! Dites, j'arrive plus du tout à suivre moi. Est-ce que ça veut dire que RMS est le Donald Knuth des recettes de cuisine, ou bien que Bruce Schneier est le Patrick Chêne du logiciel libre ??
    • [^] # Re: Blaster et le black out de NY

      Posté par . Évalué à 5.

      C'est vrai blowfish n'est pas du tout connu pour être l'un des trois algos qui gère les mots de passe sur les *BSD....
  • # Re: Blaster et le black out de NY

    Posté par (page perso) . Évalué à -3.

    C'est quoi cet article de merde ?

    Selon ce gus, il suffit de remarquer que plusieurs systèmes sont tombé en rade les un à la suite des autres pour indiquer qu'il s'agit d'un vers ... et donc de blaster ! J'aimerais savoir a quelles info ce gars a accès pour tirer de telles conclusions.

    ps : je dit peut être des conneries, mais je n'ai pas réussit a lire son article jusqu'a la fin.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.