Martin Roesch, l'auteur de Snort, s'est fendu d'un démenti officiel afin de calmer les esprits depuis qu'un groupe de pirates affirme avoir pénétré le réseau de Sourcefire et placé une porte dérobée dans Snort.
Selon Martin Roesch la rumeur d'une backdoor viendrait d'un groupe de pirates qui ne seraient parvenus qu'à pénétrer un serveur périphérique de Sourcefire, déconnecté du réseau de production et du repository des sources. Et c'était il y a plus d'un an. Entre temps (depuis mai de cette année), le code aurait subi trois audits, dont deux indépendants, et aucune porte dérobée n'aurait été trouvée.
Pas de backdoor, donc, mais un sale coup à la réputation si cette info circule plus rapidement que son démenti.
Aller plus loin
# Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par arapaho . Évalué à 10.
On balance que Snort contient une backdoor, on lance le soft sur le marché [il est bien sur multi-plateforme et pas cher], Snort est décridibilisé, on gagne des sous.
Tout ceci n'est bien qu'une pure invention de ma part. Je suis d'accord que ce peut être également une intervention d'un groupe partageant le même neurone et désirant faire chier le monde...
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par davB (site web personnel) . Évalué à -1.
[troll]
M$ Windows XP contient tout plein de Backdoors, et tout plein de trous de sécurité,
donc utilisez l'os de l'opportuniste Linus et de ses amis GNU, qu'ils gagnent des parts de
marché, et ensuite, ils passeront les licenses en proprio, et gagneront plein de sous ....
[/troll]
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par Olivier BENDRIES (site web personnel) . Évalué à -1.
Euh... Parcontre la backdoor sous les Win* existe, c'est pas un troll !!
C'est la celebre histoire de la NSAKey http://www.schneier.com/crypto-gram-9909.html#NSAKeyinMicrosoftCryp(...)
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par dinomasque . Évalué à 10.
http://www.capeutservir.com/verbes/verbes.php(...)
et je sors -> []
BeOS le faisait il y a 20 ans !
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par Matthieu Moy (site web personnel) . Évalué à 1.
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par Misc (site web personnel) . Évalué à 2.
http://www.uzine.net/article1891.html(...)
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par TSelek . Évalué à 1.
Le dementi disait aussi que la situation était encore pire que ça : la clé privée root qui est censée protégée la lib crypto de MS est, euh comment dire, à poil quoi.
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par sedget (site web personnel) . Évalué à 2.
Franchement vous pensez que toutes ces sociétés qui investissent dans linux le fond pour le plaisir.
Maintenant que l'OS est bien avancé, toutes pointent le bout de leur nez, car ca sent le fric a ramasser dans pas longtemps.
Fini le temps des geeks au fond de leur garage a pc qui programmaient des softs pour le fun en opensource...
M'enfin je me fait pas de soucis, quand linux sera mort ou plutot pourri par le pognon, un autre nouvel OS viendra prendre ca place dans notre coeur.
Le pire c'est que ce n'est pas un troll, c'est la triste impression que me donne le milieu linux en ce moment, et je ne pense pas être le seul a partager cet avis !
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par ookaze . Évalué à 2.
Il n'y a que dans les textes marketings pour les béotiens que l'on parle de geek au fond de son garage. Les geeks ne sont pas assez stupides pour installer leur machine dans un garage. Tout le monde devrait savoir que le garage de la plupart des geeks sont des universités ou des écoles : super le garage.
Linux ne semble pas le moins du monde pourri par le pognon pour l'instant, alors le temps dont tu parles, à mon avis, est bien loin encore. Il y a des choses autrement plus dangereuses pour Linux en ce moment.
Je ne sais pas où tu traînes pour dire que le milieu Linux est comme cela en ce moment, mais change vite d'endroit : de Linux, cet endroit n'a que le nom.
Ca m'a l'air tout l'air d'un troll finalement ...
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par JSL . Évalué à 2.
Personne n'oblige à suivre IBM et Co. si leurs volonté sont néfastes à nos vues. Un exemple tout bête : l'EVMS d'IBM n'a pas été intégré dans le kernel 2.6, gageons que cela eut été fort différent dans le monde du propriétaire.
> «un autre nouvel OS viendra prendre ca place dans notre coeur.»
L4Hurd... bon d'accord je -->[]
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par a_jr . Évalué à 2.
C'est neanmoins tres risque, cf ce que dit l'auteur de la news:
mais un sale coup à la réputation si cette info circule plus rapidement que son démenti.
Il est moins risque de dire qu'on se fait attaquer de toute part mais qu'on resiste efficacement. La, on peut avoir un doute sur l'objectif d'une telle communication.
C'est le cas d'OpenBSD d'ailleurs: une seule faille de securite en je ne sais plus combien d'annees dans la config par defaut. Mais quand on sait ce que ca veut dire, config par defaut chez openbsd, c'est normal ! (c'etait pas dans mon intention de lancer un troll - voyons si y'en a qui enchainent :)
Ici, c'est trop risque je pense, c'est surement pas calcule.
Le bonjour chez vous,
Yves
# Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par vga1523 . Évalué à 2.
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par a_jr . Évalué à 5.
Techniquement, tu as raison. Techniquement, le debat est clos.
Mais il s'agit la de communication. Quand une rumeur est lancee, on a beau dire "ouaih, c'est pas vrai, d'ailleurs regardez les sources". Ca ne suffit pas. Il faut communiquer. Il faut dire de maniere forte que tout ca c'est du pipo, parce qu'il n'y a pas grand monde qui va lire les sources.
Il y a aussi du monde qui va lire qu'il y a une faille dans snort, qui n'est pas concerne par snort, donc qui ne va pas lire les sources. Mais ces gens risquent de vehiculer la rumeur quand meme !
Quand une attaque est technique, on repond par une mesure technique.
Quand une attaque est de la communication, le technique peut servir, mais il faut utiliser la communication pour se defendre. C'est le but du dementi.
Et pour illustrer, quand on attaque avec une epee, on ne se defend pas avec un vaccin contre les attaques bacteriologiques, on sort l'armure. Le vaccin peut etre un complement pour le cas ou y'aurait une attaque bacteriologique en plus.
Le bonjour chez vous,
Yves
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par Éric (site web personnel) . Évalué à 8.
Ni le temps, ni l'argent, ni les compétences. Faudrait arrêter avec cette légende. Mon système j'ai beau avoir les sources ça ne l'empechera pas d'avoir des trappes. Tout au plus je peux compter sur quelqu'un pour qu'elles soient détectées plus rapidement que si les sources n'étaient pas dispo.
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par JSL . Évalué à 4.
Toi peut-être pas, mais si quelqu'un accuse snort d'avoir une backdoor sans être fichu, lui, de mettre le doigt dessus dans le code source, que tout à chacun (lui et toi) peut obtenir, alors c'est une accusation sans preuve.
Pire, s'il est incapable d'étayer son propos avec le source, comment diable peut-il savoir qu'il y a une backdoor ? La solution restante est qu'il connaîtrait la procédure pour exploiter cette backdoor, or encore une fois, rien de tel !
Bref, s'il y avait vraiment embrouille, depuis le temps, ça se saurait, et ceci grâte au source, puisque personne n'a été capable de pointer une backdoor dedans.
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par a_jr . Évalué à 3.
Avoir les sources, ca veut dire qu'il est possible de demontrer techniquement que l'embrouille est infondee.
Avoir les sources n'empeche pas la rumeur de courir.
Avoir les sources empeche juste des situations a la SCO de trainer. Ca ne les empeche pas d'arriver, et ca necessite un dementi quand meme.
Le bonjour chez vous,
Yves
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par Matthieu Moy (site web personnel) . Évalué à 4.
Si j'ai bien compris, ce n'est pas comme ça que ça s'est passé.
Des gens ont piraté un serveur. Ils disent avoir introduit une backdoor. Bien sur, ils ne vont pas dire ou elle est. Ce n'est pas une accusation, c'est une revendication ! Juste pour foutre la m****.
Un peu comme le gars qui téléphone chez les flics et qui dit "J'ai mis une bombe. Cherchez-la". Il va pas te dire ou il l'a mise non plus ;-) Et toi, tu ne va pas lui répondre "bah fais la pêter pour nous le prouver", a priori !
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par vga1523 . Évalué à 2.
nous, non, mais les grosses boites, les assoces du libre, voire les experts judiciaires, militaires ont les moyens.
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par Barbapapa . Évalué à 1.
Mais le font-elles ? En fait on a un peu l'impression que tout le monde se dit qu'il y a bien quelqu'un qui audite le code mais personne ne sait qui. Au final t'as un code non audité dont tout le monde est persuadé qu'il l'est.
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par Moby-Dik . Évalué à 1.
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par Ramso . Évalué à 4.
Je te conseille de retrouver et lire un court mais intéressant article de Ken Thompson dans lequel il explique qu'il avait placé du code dans le compilateur d'UNIX (l'original) qui ajoutait une backdoor à la commande login. Il pouvait ainsi se connecter sur tout système qui utilise « sa » commande login. Le code source de cc et login étaient visibles. Je te laisse conclure.
(j'ai pas lu mais c'est peut-être ça : http://www.acm.org/classics/sep95/(...) )
Sinon, dis-toi que snort doit faire au bas mot 10.000 lignes de code. Tu peux commencer dès maintenant à les compulser, ça risque d'être long :)
# Depêche imprécise
Posté par spell (site web personnel) . Évalué à -5.
Et Sourcefire? c'est quoi Sourcefire ?
Rien n'est dit sur la licence de Snort, comme y'a des audits de code, j'ai pensé que c'etait propriétaire.
Et bien ce n'est pas le cas, Snort est un logiciel de détection d'intrusion GPL dont un mirroir c'est fait piraté.
Moi personnellement je comprends rien à ce qui se passe. Pourquoi trois audits de code ?
Un seul suffit et encore !
Pour moi voila la manière dont ca devrait se passer :
Une machine de dev séparé physiquement d'internet, ou il code et relève le md5 à chaque release. Pas de piratage possible; Pas d'audit de code à faire, juste comparer les signatures avec ce qu'il a noté sur son bout de papier !
Après c'est vrai qu'il faut que les mirroirs ne soient pas piratés.
Mais en sécurité, il s'y connait mieux que moi non ?
Pour résumer : 1 - la news n'explique rien; quand on la lit on comprends rien de quoi ca parle
2 - La manière de développer Snort me semble "insécure". Le simple fait que trois audit de code soient faits montrent que l'auteur ne maitrise pas ce qu'il fait.
Conclusion, laissez tomber Snort.
[^] # Re: Depêche imprécise
Posté par Matthieu Moy (site web personnel) . Évalué à 5.
??? Les logiciels libres n'ont pas besoin qu'on relise leur code, c'est bien connu ! :-)
> Pourquoi trois audits de code ?
> Un seul suffit et encore !
Oui, pour toi. Pour des gens normaux comme moi, même après la troisième relecture, il reste encore des bugs. Incroyable !
> Le simple fait que trois audit de code soient faits montrent que l'auteur ne
> maitrise pas ce qu'il fait.
C'est comme Windows, ils arrêtent pas de faire faire des audits de code, alors que si c'était un système bien sécurisé, il n'y aurait même pas besoin de relire le code.
Les vrais, de toutes façons, il écrivent le code et ils le publient directement, sans même voir si ça compile, parce que de toutes façons, ils *savent* que ça compile et que c'est correct.
C'est ça ? ;-)
[^] # Re: Depêche imprécise
Posté par spell (site web personnel) . Évalué à 0.
Mais si, mais de toute manière ca change tout le temps (release early, release often)
> Oui, pour toi. Pour des gens normaux comme moi, même après la troisième relecture, il reste encore des bugs. Incroyable !
J'avais compris que les audits étaient pour déceller cette backdoor.
mea culpa
Pour moi l'audit de code ne s'applique pas au gpl. Parce que justement, t'as beaucoup plus de gens qui vont lire ton code, que de gens qui vont l'auditer; Du coup la publication GPL est plus fiable que l'audit de code !
Désolé pas fait exprès d'être aggressif.
Je viens de regarder www.snort.org, et le download propose bien le md5. Du coup, je vois vraiment pas pourquoi les gens s'inquiètent. snort est victime de fud, puisque personne ne montre cette backdoor.
[^] # Re: Depêche imprécise
Posté par Matthieu Moy (site web personnel) . Évalué à 1.
Désolé d'être tombé dans le troll. Pas pu m'empêcher ;-)
[^] # Re: Depêche imprécise
Posté par pasBill pasGates . Évalué à 3.
A choisir entre 1000 personnes composees d'etudiants, administrateurs systemes, developpeurs qui ne sont pas specialistes en securite,... et 20 experts en securite qui font ca toute la journee et qui ont de l'experience dans le domaine, je choisis vite.
[^] # Re: Depêche imprécise
Posté par Simon Huet . Évalué à 1.
Ok ---> []
[^] # Re: Depêche imprécise
Posté par Matafan . Évalué à 2.
Mais sinon, a supposer que ça soit possible, alors sans hésiter les 1000 personnes composées d'étudiants, administrateurs systèmes, et développeurs. Simplement parce que les « experts sécurité » ne s'y connaissent pas forcément plus en sécurité que des personnes que la sécurité intéresse suffisament pour qu'ils y consacrent leur temps libre.
Parenthèse : depuis que je bosse je m'apperçois de plus en plus que la compétence n'est pas toujours dans les boites d'info. En particulier en France où on a une facheuse tendance à porter plus d'importance au diplôme qu'a la passion/enthousiasme/expérience des jeunes candidats. Et ça m'énnerve de voir que de brillants diplomés, qui jusqu'au premier CV n'en avaient rien a foutre de l'info, décrochent des postes en claquant des doigts quand de jeunes passionés en bavent pour trouver un job. C'est vrai dans l'info, c'est vrai ailleurs aussi. Essayez d'allez vendre des vélo chez Decathlon sans le bac...
[^] # Re: Depêche imprécise
Posté par Stéphane Pontier (site web personnel) . Évalué à 2.
[^] # Re: Depêche imprécise
Posté par Matafan . Évalué à 1.
[^] # Re: Depêche imprécise
Posté par a_jr . Évalué à 1.
C'est quoi cette comparaison a 2 balles ?
Une publication GPL permet un audit de code par tout le monde, pas seulement par un cabinet d'experts (en esperant que ce sont des experts) paye pour cela et donc partial. j'imagine que c'est cela que tu as voulu dire, d'une maniere tres maladroite.
Il ne faut surtout pas ne pas auditer un code sous pretexte qu'il est GPL, m'enfin, voyons !
Le bonjour chez vous,
Yves
[^] # Re: Depêche imprécise
Posté par jmfayard . Évalué à 4.
Il n'a pas fait ces trois audits de code uniquement pour voir qu'il n'y avait pas cette faille.
Il fait des audits de code à intervalle régulier parceque Snort est un outil de sécurité (d'ailleurs classé n°3 dans le célèbre http://www.insecure.org/tools.html(...) )
[^] # Re: Depêche imprécise
Posté par Bilbo . Évalué à 5.
> 1 - la news n'explique rien; quand on la lit on comprends rien de quoi ca parle
Personnellement, je l'ai trouvé claire et concise, directe. Je conçois que la plupart des gens ne savent même pas ce qu'est un IDS (Intrusion Detection System), mais cette news ne s'adresse pas à eux.
> 2 - La manière de développer Snort me semble "insécure". Le simple fait que trois audit de code soient faits montrent que l'auteur ne maitrise pas ce qu'il fait.
C'est un peu comme dire qu'il n'y a pas de fumée sans feu, et que si quelqu'un l'a dit, il doit y avoir un fond de vérité. Si Snort n'avait pas été victime de cette calomnie, tu aurais sans doute trouvé que cette triple vérification était utile...
Conclusion, laissez tomber Snort.
Surement pas ! C'est mon cochon préféré :-)
[^] # Re: Depêche imprécise
Posté par enicolas . Évalué à 2.
Ca me semble le minimum lorsqu'on publie un soft de sécurité.
Pour mémoire, la vérification MD5 est ce qui avait été fait après la découverte de l'intrusion dans un serveur de fichier racine de la FSF pour vérifier que les sources des logiciels GNU n'avaient pas été modifiés.
**
Je suis aussi d'accord pour dire : le fait d'avoir les sources ne rassure en rien sur l'absence de back door. Si Snort fait 10,000 lignes (ce dont je doute), ça doit être assez rapide de faire un audit pour voir s'il n'y en a pas, mais pour des softs de plusieurs centaines de milliers de lignes (genre Mozilla, GCC, ...) c'est une autre paire de manche !
# [OTP] lesnouvelles.net
Posté par Yom . Évalué à 2.
La prochaine fois ce sera un lien vers Verisign ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.