« Mon système d'exploitation est FreeBSD UNIX. Il est incroyablement stable, mûr et sûr. Je suis quelque peu inquiet du fait que Linux soit devenu "courant", ses qualités peuvent souffrir du fait de la pression (pour avoir de nouvelles fonctionnalités ou pilotes). [...]
Pour cela je ne commencerais pas à l'utiliser maintenant. J'ai plutot choisi FreeBSD. »
La suite dans l'article...
NdR: Cette nouvelle est une libre adaptation (et/ou adaptation libre ;) ) de celle de RootPrompt
NdR2: portazero.info se veut le site de la securité italien !
Aller plus loin
- L'entrevue sur portazero.info (4 clics)
# Ca c'est autre chose que le FUD de MS
Posté par TSelek . Évalué à 6.
[^] # J'ajoute que....
Posté par TSelek . Évalué à 6.
[^] # Re: J'ajoute que....
Posté par Timbert Benoît . Évalué à -3.
[^] # Re: Ca c'est autre chose que le FUD de MS
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 5.
c quoi ca ?
[^] # ClickOfDeath
Posté par TSelek . Évalué à 5.
[^] # Re: Ca c'est autre chose que le FUD de MS
Posté par pasBill pasGates . Évalué à 2.
T'as deja lu http://grcsucks.com(...) ?
Oh en passant... XP est sorti il y a 6 mois maintenant, des millions de gens l'utilisent, toujours pas d'attaques massives a partir des raw sockets...
[^] # Re: Ca c'est autre chose que le FUD de MS
Posté par vazco . Évalué à 1.
Elle sert à quoi l'implémentation complète des raw sockets, dans XP home edition ?
Parce que j'ai parcouru un peu les liens et j'ai pas vu de réponse.
Ça n'est quand même pas sérieusement pour les jeux !?
[^] # Re: Ca c'est autre chose que le FUD de MS
Posté par pasBill pasGates . Évalué à 0.
C'est une possibilite de plus que tout le monde peut utiliser dans ses softs en cas de besoin.
En gros, ca sert a exactement la meme chose que sous Unix: utile pour certains cas, moins pour d'autres.
[^] # Re: Ca c'est autre chose que le FUD de MS
Posté par vazco . Évalué à 4.
Or, quand je lis ta réponse :
avec XP home edition ?!!
<lol>... je pouffe...
Tu ne devrais pas me faire rire comme ça quand je suis en train de boire mon café, tu sais... Restons sérieux, tu veux bien ?</lol>
même remarque que 1). On croit rêver !
Justement, quels besoins ? Il me semble que XP home edition est défini comme l'OS pour M. Toutlemonde, dont le dernier des soucis est de savoir comment marche sa machine (ce qui me semble tout à fait naturel, soit dit en passant). Tu m'expliques en quoi M. Toutlemonde a besoin de load-balancing de jenesaisquoi et d'analyse de protocole ou je ne sais quoi ?
Tu n'as toi-même pas l'air très fixé, on dirait...
Je tiens à ajouter que je n'avais jamais entendu parler de Steve Gibson jusqu'à cette news, donc inutile de me balancer des grcsucks.com, fuckgrc.com ou autres gibson_is_a_nut-register_said_it.com.
Afin de permettre à ceux que ça intéresse de suivre sans avoir à se taper une cinquantaine de pages, voici un résumé du débat dont M. Gibson est à l'origine :
En mai 2001, le site de M. Gibson est victime d'un déni de service distribué (DDOS): Plusieurs centaines de machines infectées par des chevaux de troie envoient des paquets ICMP et des datagrammes UDP énormes, qui après fragmentation, viennent s'écraser sur son routeur, saturant sa bande passante et coupant de fait son site du reste du monde.
Rien que de très (trop) classique.
M. Gibson, visiblement peu au fait de ce type d'attaque, l'identifie néanmoins pour ce qu'elle est et parvient avec l'aide (maladroite) de son FAI, à mettre en place un filtre avant le point d'engorgement que constitue son propre accès au réseau et redevient accessible.
Visiblement choqué par ce qui vient de se passer, il décide d'enquêter, va lire des RFC (une démarche que l'on aimerait plus fréquente dans le monde Windows, soit dit en passant) et pénètre dans le monde inquiétant et ténébreux des catacombes IRC, où règnent en maîtres les C0wb0yz, W4rl0rdz, W4r3z et autres 3133t35. L'enfer du net, quoi...
Effaré par ce qu'il y trouve (des gamins -pardon, des petits génies de l'informatique®- y ont à leur disposition des centaines de machines infectées par des chevaux de troies, prêtes à lancer des dénis de services sur tout site dont la gueule ne leur revient pas), il décide d'alerter le monde du danger.
Surtout, il met en relation ce qui vient de lui arriver et l'annonce (nous sommes en mai 2001) du prochain Windows XP, qui lave plus blanc et qui va mettre à disposition des masses une API avec implémentation complète des raw sockets, c'est-à-dire la possibilité de passer outre la couche applicative pour manipuler directement les datagrammes IP.
M. Gibson émet alors les remarques suivantes à l'intention de Microsoft :
- du fait que les machines équipées d'OS grand public Microsoft sont de loin majoritaires et présentent une certaine tendance (uhm ! uhm!) à négliger les questions de sécurité, et que leurs utilisateurs sont, à juste titre (no troll here), ignorants de ces questions, ces mêmes machines représentent la grande majorité des machines compromises par des chevaux de troie.
Je ne cherche nullement à lancer un troll sur le mérite du modèle de sécurité des OS Microsoft et suis le premier à reconnaître qu'une machine correctement administrée sous Windows 2000 sera aussi sécurisée qu'une machine correctement administrée sous *nix.
Nous parlons là :
·) de nombre,
·) du fait qu'un système destiné au grand public est forcément moins sécurisé par défaut qu'un système destiné aux professionnels car on doit nécessairement faire un compromis entre les exigences de sécurité et la facilité d'utilisation, et que l'usage grand public penche vers la facilité d'utilisation,
·) de machines non-administrées.
- jusqu'à présent, les dénis de service originaires de machines sous win 9x et NT, s'ils présentent une efficacité indéniable, restent rudimentaires et filtrables en raison d'une implémentation native partielle des raw sockets. Même s'il est effectivement possible de patcher le système pour disposer des fonctionnalités offertes par les raw sockets, cela est beaucoup plus difficile à faire pour un cheval de troie que d'utiliser simplement l'API standard, et, jusqu'à présent, nos chers W4rl0rdz ne s'en sont pas donné la peine.
- Les raw sockets ont été historiquement implémentées dans les systèmes *nix à seule fin d'expérimentation des protocoles et d'audit du réseau, nullement pour être mises à disposition des utilisateurs, qui n'en ont d'ailleurs pas besoin.
En guise de garde-fou, leur manipulation est réservée aux administrateurs. Or, il est à craindre que XP, qui doit préserver la compatibilité avec les applications win 9x, lesquelles ont l'habitude de faire comme chez elles dans tout le système, n'ait même pas cette précaution.
Toutes ces remarques sont justes et M. Gibson pose en conséquence une question tout-à-fait légitime :
J'ajouterai à titre personnel que si j'en crois ArsTechnica, on n'a pas hésité à inhiber un certain nombre de fonctionnalités réseau dans la home edition de XP, histoire d'être sûrs que les entreprises achèteront bien la version pro :
http://www.arstechnica.com/tweak/win2k/xp-versions-3.html(...)
Autant pour mon voisin, impatient de découvrir les joies de l'équilibre de charge et de je ne sais quoi tout en faisant le récit de ses vacances sous Word.
Pour répondre aux interrogations de M. Gibson, sept (7!) exécutifs de Microsoft ont organisé une téléconférence avec lui. Ces respectables managers étaient visiblement ignorants de l'existence du site grcsucks.com, sans quoi ils n'auraient pas pris la peine de répondre à un débile mental qui n'a de toute évidence jamais rien fait de constructif de toute sa vie.J'espère que la consigne a été passée.
La conférence échoue visiblement à convaincre M. Gibson de l'intérêt d'une implémentation complète des raw sockets. Mais, d'après M. Gibson, on y apprend de la part d'un développeur XP que «n'importe qui pourrait obtenir un certificat pour signer un patch qui implémenterait les fonctionnalités des raw socket et l'installer, et que donc, autant les prévoir dès le départ...»
Là, je dois dire, heureusement que j'étais assis. Moi qui croyait qu'avec le nouveau modèle de sécurité, basé sur les certificats, l'avenir serait plus beau, plus brillant, plus bleu... (tiens, j'ai pas fait exprès, pour celui-là)
On m'aurait menti à l'insu de mon plein gré ?
Au total, les réponses proposées à la question «à quoi sert l'implémentation complète des raw sockets dans XP home edition ?» sont les suivantes :
de Microsoft :
(no comment)
de M. Gibson :
(je suis sûr qu'elle va te faire bondir, celle-là :-)
de Thomas Greene, un "journaliste" du Register qui fait, je dois dire, particulièrement honneur à la réputation de sérieux de ce site :
Pour clore cette petite histoire, il semblerait que M. Gibson, qui a apparemment consacré sa vie à écrire des programmes pour DOS/Windows, ait été un peu déçu de ne pas recevoir de réponse satisfaisante.
Depuis, il dit partout que FreeBSD, c'est vachement mieux que Windows. pasBill pasGates, que ça énerve, claironne partout que grcsucks.com. :-)
Je réitère donc la question :
À quoi sert l'implémentation complète des raw sockets dans XP home edition ?
Je souhaite juste une réponse à cette question. Pas à une autre question, pas de troll, pas que je suis incompétent et que je dis n'importe quoi... Même si c'est le cas, ça n'empêche pas de répondre à cette simple question.
Désolé pour la longueur du message...
PS :
un lien sympa que j'ai trouvé dans le courrier du Register (au milieu de beaucoup de bruit), l'intervention d'Avi Rubin à Usenix 2000 :
http://media.cmpnet.com/technetcast/str0354/tnc-0354-24.mp3(...)
Rien de bien nouveau pour la plupart d'entre nous, mais plaisant à écouter néanmoins (en anglais).
Et si quelqu'un a une bonne traduction française pour raw sockets, je suis preneur...
[^] # Re: Ca c'est autre chose que le FUD de MS
Posté par pasBill pasGates . Évalué à 1.
XP Home edition c'est sense etre le debut du "hub familial" ou un tas de trucs se connectent entre eux, etc...
Pour ca, eh il faut communiquer, si une boite veut faire son propre protocole, si toi tu veux jouer avec tes machines a la maison, ... tu peux.
XP Home Edition, c'est la version "pas chere" pour les particuliers, tu preferes quoi ? devoir payer plus pour avoir cette feature ?
C'est une feature en plus, certains la trouveront utile, d'autre ne sauront surement jamais qu'elle est dans l'OS.
Sinon, tu peux stp m'expliquer pourquoi les raw sockets seraient utiles sur un serveur et pas sur un OS de maison ? Quelle utilite pour un serveur ?
C'est surement pas fait pour implementer des protocoles ou la performance est importante(cas des serveurs) vu l'implementation(sur Linux et Windows), donc, a quoi ca sert si ce n'est des cas particuliers et des utilitaires ?
[^] # Re: Ca c'est autre chose que le FUD de MS
Posté par vazco . Évalué à 1.
Tu admettras que ça représente une population restreinte et que ça équivaut plus ou moins, si je reprends ma question, à répondre :
"On ne sait pas, c'est vous qui voyez."
En ce qui me concerne, si j'étais concerné par cette "feature", je ne verrais pas d'inconvénient à aller la chercher sur le net, ou dans les options d'installation. Ce qui est ce qui se faisait, paraît-il,avant le millésime 2000. Ça coûte plus cher ?
Donc je ne comprends pas vraiment la hargne dont le sieur Gibson est visiblement l'objet.
Si j'ai dit que c'était utile pour un serveur, particulièrement pour ses performances, pan sur mon bec, parce que ça n'a rien à voir.
Mais je ne me souviens pas l'avoir dit.
Par contre, c'est indéniablement utile pour les outils d'audit de réseau, de détection d'intrusion, de filtrage de paquets.... tout ce pour quoi un accès direct aux couches de transport peut être utile.
Un service, c'est typiquement du domaine applicatif. Je ne vois pas ce que les raw socket viendraient faire dedans.
[^] # Re: Ca c'est autre chose que le FUD de MS
Posté par pasBill pasGates . Évalué à 2.
Les raw sockets ca permet d'ecrire un grand nombre de softs qui n'ont pas besoin de perfs enormes sans devoir ecrire de drivers, qui sont autrement plus complexes a ecrire.
Si c'est par defaut c'est pour une raison TRES simple:
- Si Symantec ou je ne sais qui ecrit un soft qui utilise les raw sockets, ils devraient alors te demander de remettre ton CD WinXP pour installer la chose, ce qui est pas pratique, donc c'est la par defaut.
Si les raw sockets sont inutiles, faudra alors m'expliquer ce qu'ils viennent faire sur Unix depuis des annees, l'utilite est la meme.
Rien ne t'interdit d'ecrire un mini firewall ou autre sans connaissances particuliere de l'ecriture d'un driver, et le vendre.
Si les gens sous WinXP n'ont pas de raw sockets, tu peux pas le vendre ton truc.
Etc...
Quand au sieur Gibson, c'est un gars avec une grande gueule qui invente des grandes menaces sans aucun fondement pour faire parler de lui.
Bref, j'aimerais savoir pourquoi est-ce que les raw sockets ne devraient PAS etre mis dans l'OS, pour quelle raison faudrait-il les enlever ?
[^] # Re: Ca c'est autre chose que le FUD de MS
Posté par vazco . Évalué à 0.
Ben non, puisqu'après t'être servi des raw sockets pour mettre au point ton protocole, tu vas fournir le driver qui te permettra de profiter des niveaux d'abstraction et du contrôle offerts par le noyau.
Tu le dis d'ailleurs toi-même :
...et sur un système dénué de contrôle des droits d'exécutions, en plus. Chapeau.
Pour l'utilité des raw sockets, relis mon post précédent. En tout état de cause, celà ne concerne pas le particulier (ou alors il se tournera vers autre chose que XP home edition, AMHA).
Qui plus est, la question porte sur l'implémentation complète des raw sockets, notamment sur les possiblités de spoofing.
Quant au sieur Gibson, il est clair qu'il y a un côté millénariste dans sa manière de relater les choses, mais en ce qui me concerne, les lettres rouge sang dégoulinantes et les photos "le retour de la vengeance des zombis", ça m'a fait beaucoup rire. Et çe n'est pas avec un RFC ou un post dans comp.security disant «I'm a little worried about the full raw socket implementation in the next-to-come consumer version of windows...» qu'il pouvait espérer attirer l'attention, ce qui était son but.
Je te propose de nous arrêter là.
Merci pour tes réponses.
[^] # Re: Ca c'est autre chose que le FUD de MS
Posté par pasBill pasGates . Évalué à 1.
Si t'ecris un soft sur TA machine en utilisant les raw sockets, tu arrives a la fin avec un soft standard, pas un driver. Pour le faire tourner sur d'autres machines, il faut que ces autres machines aient les raw sockets aussi.
Si les autres machines n'ont pas les raw sockets, alors tu dois fournir un driver, ce qui ajoute tout le merdier pour:
1) etre sur que ce driver fonctionne partout
2) installer le driver
Raisons pour laquelle c'est en standard dans l'OS, histoire que les dev n'aient pas a s'en preoccuper.
Finalement, Windows XP a un controle complet des droits d'execution, et il faut etre administrateur pour pouvoir creer des raw sockets, comme sur Unix.
[^] # Re: Ca c'est autre chose que le FUD de MS
Posté par vazco . Évalué à 0.
Et c'est exactement ce que reproche Gibson, si tu regardes bien.
Pour la gestion des droits d'exécutions, notamment avec les applis windows 9x, tu aurais un lien un peu technique, stp ? - je me suis noyé dans des zdnet-like...:-(
[^] # Re: Ca c'est autre chose que le FUD de MS
Posté par pasBill pasGates . Évalué à 1.
En ce qui concerne les applis Win9x, ben c'est transparent, si elles tournent sous des droits user et qu'elles essaient d'utiliser les raw sockets elles vont se faire envoyer balader par l'OS. Les droits d'execution s'appliquent totalement aux applis Win9x, elles n'ont le droit de faire que ce qui est permis a l'user, elles peuvent pas jouer avec le systeme comme elles veulent.
[^] # Re: Ca c'est autre chose que le FUD de MS
Posté par Maillequeule . Évalué à 3.
Entre autres (et ce n'est pas le moindre), j'ai eu l'occasion de tester "spinrite" pour récuperer des infos sur un disque dur à problème déclaré perdu, et bien c'est simplement magique...
Ca tient sur une disquette, ca pèse ~90 Ko, et ca fait un sacré bon boulot pour un prix qui nous a semblé ridicule après coup.
Bon après, que l'on aime le personnage ou pas, c'est autre chose.
Mike
# Décidemént ....
Posté par Timbert Benoît . Évalué à -5.
Qui sera le prochain ?
[^] # Qui sera le prochain ?
Posté par gndl (site web personnel) . Évalué à 1.
[^] # Re: Décidemént ....
Posté par Code34 (site web personnel) . Évalué à 1.
normal c est l'été !
@tte
Code34
# Hummmm
Posté par Raphael R . Évalué à 4.
Sinon, FreeBSD, c'est cool, ca supporte du materiel recent, c'est pas gros.. Y'a de bonne surprises, a vous d'essayer :)
[^] # Re: Hummmm
Posté par Blackknight (site web personnel, Mastodon) . Évalué à 9.
Pour ce qui est de la Debian, tu n'aurais pas eu le problème car tu aurais utilisé un package (.deb) mais pas les sources. Si c'est comme ça que tu veux faire, pkg_add est ton ami. Celui-ci peut utiliser un package sur tes discs FreeBSD ou tu peux aussi faire un pkg_add ftp://ftp.freebsd.org/pub/FreeBSD/packages/sysutils/portupgrade...(...)
Dans ce cas, cela télécharge le paquetage et l'installe. Voilà, je pense qu'avec ça, tu as déjà de quoi faire.
Ah si, je rajoute des liens intéressants :
d'abord, trois tutoriaux portupgrade et pkgdb
http://www.onlamp.com/pub/a/bsd/2001/11/29/Big_Scary_Daemons.html(...)
http://freebsddiary.org/pkgdb.php(...)
http://freebsddiary.org/portupgrade.php(...)
et enfin, l'incomparable Handbook
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/packages-(...)
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ports-usi(...)
N'hésites pas sinon à exposer ton problème sur la mailing-list :
http://www.freebsd-fr.org/local-fr/www/spec/mailing-lists.html(...)
[^] # Re: Hummmm
Posté par Raphael R . Évalué à 0.
[root@/usr/ports/sysutils/portupgrade]> make
....
>> ruby-1.6.6.tar.gz is not in /usr/ports/lang/ruby/distinfo.
>> Either /usr/ports/lang/ruby/distinfo is out of date, or
>> ruby-1.6.6.tar.gz is spelled incorrectly.
*** Error code 1
Trop vert, c'est un peu ca le probleme de port sous BSD, bon un petit CVSUP des familles. Argh, non, j'ai deja mis a jour /lang y'a 3 jours
[^] # Re: Hummmm
Posté par Blackknight (site web personnel, Mastodon) . Évalué à 4.
Quoi ??? Tu mets à jour que certaines parties de l'arbre ??? Tu m'étonnes que ça merde !!! Imagines que les dépendances sont justement croisées donc la dépendance que demande portupgrade n'est pas celle qui est trouvée dans ruby !!!! Remets-toi d'equerre en faisant une mise à jour complête. Tu en a pour 45 minutes maxi (enfin je pense). Une fois que tout ton arbre est d'équerre, là ça ira mieux.
Perso, je n'est jamais eu de gros problèmes avec les ports à part sur le module PHP4 où il y a avait une dépendance foireuse dans le Makefile que j'ai corrigé (et qui depuis l'est dans l'arbre des ports).
[^] # Re: Hummmm
Posté par Raphael R . Évalué à 1.
Ensuite j'ai bien essaye un cvsup des ports complet, mais ca merdait a /text/emacs21 (NO TROLL).
Donc depuis, je dois le faire par branche, et ca me branche moyen..
J'ai degagé le rep /ports et prendre le tgz de la 4.5.. Bourrin inside :)
[^] # Re: Hummmm
Posté par Blackknight (site web personnel, Mastodon) . Évalué à 1.
[^] # Re: Hummmm
Posté par laurent wan . Évalué à 1.
sinon pour les problème de mise a jour par portupgrade j'ai découvert récemment qu'il fallait remettre à jour régulièrement la base de données des packages dispo. c'est à dire faire un make index dans /usr/ports, et je peux vous dire c'est long ...
sinon il faut le faire "a la main" make clean install etc ...
pour info j'ai pas acheté de CDROM FreeBsd depuis la 4.1 et je m'en sort pas trop mal.
[^] # Re: Hummmm
Posté par RB . Évalué à 1.
rm -fr /usr/ports/*
/usr/local/bin/cvsup -g -L 2 /etc/cvsup/ports-supfile
Si tu veux pas te retaper tous les download de packages sauveguarde /usr/ports/distfiles
*En plus après ça, plus besoin de faire un make clean :-)*
[^] # Re: Hummmm
Posté par spim . Évalué à 0.
Trop vert, c'est un peu ca le probleme de port sous BSD, bon un petit CVSUP des familles. Argh, non, j'ai deja mis a jour /lang y'a 3 jours
Ouais merci de pas trop confondre FreeBSD avec les autres.
FreeBSD mise sur la quantite de ports, mais la qualite n'est pas forcement au rendez vous :/
# bof ...
Posté par ggl . Évalué à 3.
[^] # Re: bof ...
Posté par Blackknight (site web personnel, Mastodon) . Évalué à 0.
Aïe, aïe, idéologie, ça risque de troller sévère !!
Précise un peu en essayant d'éviter le troll habituel GPL vs BSD.
[^] # Re: bof ...
Posté par RB . Évalué à 4.
- Les jails qui permettent de créer des machines virtuelles associées à une IP.
- Les securelevel => les flags spéciaux sur les fichiers que l'on ne peut plus enlever à certains securelevel.
Dans les trucs moins objectifs: FreeBSD != Linux, FreeBSD ~= GNU/Linux, on recompile tout le système de base quand on veut faire des bonnes mise à jours, l'ensemble est uniforme, stable plus que les distrib linux. Les ports, moi je trouve ça génial et expérience personnelle, ça marche mieux que pas mal d'autres choses, je laisse le bénéfice du doute au système de port debian que je n'ai pas essayé suffisamment longtemps.
Pour le reste il y a des tonnes de tunning, de buffer, de machin qu'on peut régler de manière naturelle, sous linux je pense qu'il faudrait modifier les sources du noyau et recompiler pour changer les paramètres que modifie la commande 'sysctl' sous FBSD.
Et finallement, FBSP étant un système pour des admin/ISP par des gens qui sont vraiment la dedans plus qu'orientés desktop, c'est vraiment un plaisir au niveau des fichiers de config, de l'organisation.
Pour les admins, FBSD, l'essayer c'est l'adopter.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.