Le code source de Cisco IOS volé ?

Posté par  . Modéré par Nÿco.
Étiquettes : aucune
0
18
mai
2004
Sécurité
D'après une entreprise russe spécialisée dans le domaine de la sécurité, ainsi que plusieurs sites web d'informations, le géant du réseau a été attaqué par un pirate. Celui-ci aurait volé environ 800 Mo de "code source", mais on ne sait pas trop ce que contient ce code.

Selon toutes vraisemblances, le code volé concernerait la version 12.3 de Cisco IOS. Il est donc probable que cet événement concerne quasiment 90% des équipements réseau. Cisco est en "alerte rouge" sur le sujet.

Aller plus loin

  • # Ployglotte à mort !

    Posté par  . Évalué à 3.

    On se plaint parfois de ne pas avoir de lien vers la source de l'info, mais la donner en Russe ne m'avance pas non plus!
    C'est fort sur ce coup là! Les modérateurs sont-ils à ce point polyglotte?
  • # Plus de détails...

    Posté par  (site Web personnel) . Évalué à 8.

    Un peu plus de détails (en français :)) sur Yahoo!
    http://fr.news.yahoo.com/040517/7/3szog.html(...)
  • # "security through obscurity" quand tu nous tiens

    Posté par  . Évalué à 10.

    Je ne veux pas dire que je suis pour ce genre d'action car je suis COMPLÈTEMENT contre...

    En revanche, le fait que Cisco soit en alerte rouge n'est pas rassurant... hé oui, tout le modèle de "security through obscurity" s'effondre ! je crois que c'est un exemple (et non une preuve) que ce modèle ne fonctionne pas à terme...

    Je crois que ça montre l'un des intérêt majeur de l'open source : Cisco ne serait pas si inquiet si leurs codes avaient déjà été relus par des milliers de personnes...

    Voilà qui devrait pousser tout le monde à faire au moins un premier pas vers l'Open Source... après, il n'y a plus qu'un pas à faire pour passer au libre :)

    En d'autres termes, amha, ce n'est pas une mauvaise chose pour le Logiciel Libre.
    • [^] # Re: "security through obscurity" quand tu nous tiens

      Posté par  . Évalué à 6.

      Si les exploits commencent à trop pleuvoir, ce qui ne manquera pas d'arriver, ils vont pouvoir migrer vers OpeBSD :)

      Ce qui fait marrer c'est qu'ils se disent "en alerte rouge". Sa signifie quoi, qu'ils sont plus très surs de la fiabilité de l'OS :)

      Le reviewing de source par un expert sécurité c'est très efficace niveau découverte d'exploits. C'est là l'intérêt de la diffision des sources.

      J'aimerais pas être à leur place.
      • [^] # Re: "security through obscurity" quand tu nous tiens

        Posté par  . Évalué à -2.

        Le reviewing de source par un expert sécurité c'est très efficace niveau découverte d'exploits. C'est là l'intérêt de la diffision des sources.

        C'est vrai, le reviewing par un expert en securite c'est tres efficace.

        C'est pour ca que Cisco et autres engagent des societes specialisees pour relire le code, plutot que compter sur monsieur tout le monde qui soit :
        1) N'a pas les competences
        2) N'a pas le temps
        3) N'a pas l'envie

        Ca fait des mois que le code de Windows est dans la nature, a part le bug d'IE qui avait d'ailleurs deja ete corrige, personne n'a rien trouve, pourtant le code de Windows, c'est le genre de truc qui s'est downloade a tours de bras. Ca en dit long sur le mythe de l'efficacite de l'open-source niveau securite au meme titre que la qualite de softs tels que sendmail, wu_ftpd, openssh, bind,...
        • [^] # Re: "security through obscurity" quand tu nous tiens

          Posté par  (site Web personnel) . Évalué à 10.

          > Ca fait des mois que le code de Windows est dans la nature, a part le bug d'IE qui avait d'ailleurs deja ete corrige, personne n'a rien trouve

          Comment le sais-tu ?
          1) Tu es au courant de toutes les failles remontées à l'équipe sécurité de MS, qui pourrait être en train de colmater des brèches non encore divulguées ?
          2) Tu espère que les vilains méchants vont te prévenir s'ils trouvent quelque chose ? (se rappeler du cas InterBase http://linuxfr.org/2001/01/15/1904.html(...) )
          3) Tu n'agiterais pas beaucoup les bras des fois ?
          • [^] # Re: "security through obscurity" quand tu nous tiens

            Posté par  . Évalué à 0.

            Tu es au courant de toutes les failles remontées à l'équipe sécurité de MS, qui pourrait être en train de colmater des brèches non encore divulguées ?

            Eh oui, j'en corriges meme certaines quand elles arrivent, c'est mon boulot je te rappelle.

            Tu espère que les vilains méchants vont te prévenir s'ils trouvent quelque chose ? (se rappeler du cas InterBase http://linuxfr.org/2001/01/15/1904.html(...(...)) )

            Les vraiment vilains mechants non, et ils feraient de meme avec des softs open-source, le 99% des gens oui.

            Tu n'agiterais pas beaucoup les bras des fois ?

            Certaines fois probablement, pas cette fois
            • [^] # Re: "security through obscurity" quand tu nous tiens

              Posté par  . Évalué à -2.

              Donc, si je comprends bien, ne pas donner les sources,c'est mal, mais quand les sources sont disponibles, ca te permet de corriger des failles que tu aurais mis pas mal de temps à trouver ?

              C'est toi qui a corrigé tous les bug de windows 2000 pour que XP soit plus "stable".


              Félicitations et encore merci (ca m'evite de reformatter les machines des copains qui ont cliquer où fallait pas).

              Allez, travaille bien.
              • [^] # Re: "security through obscurity" quand tu nous tiens

                Posté par  . Évalué à 2.

                Donc, si je comprends bien, ne pas donner les sources,c'est mal, mais quand les sources sont disponibles, ca te permet de corriger des failles que tu aurais mis pas mal de temps à trouver ?

                On n'en a toujours pas recu une venant de gens ayant eu les sources(a part les boites qu'on a paye pour ca j'entends), donc faut croire que non.

                Avoir les sources donne la possibilite d'auditer, si personne le fait ou ceux qui le font n'en ont pas les capacites, ca sert pas a grand-chose par contre.
                • [^] # Re: "security through obscurity" quand tu nous tiens

                  Posté par  (site Web personnel) . Évalué à 5.

                  On n'en a toujours pas recu une venant de gens ayant eu les sources
                  Ils vont tout de même pas dire "bonjour, je m'appelle Jean-Pierre Dupont, 13 rue des lilas à Niort, j'ai trouvé une faille grace aux sources récupérées illégalement".
                  Comment savoir si une faille a été découverte avec les sources ou avec un débugger ?
                  • [^] # Re: "security through obscurity" quand tu nous tiens

                    Posté par  . Évalué à -1.

                    T'envoies le report depuis une adresse e-mail russe ou autre, pas plus complique.
                    • [^] # Re: "security through obscurity" quand tu nous tiens

                      Posté par  (site Web personnel) . Évalué à 1.

                      Sa me fait bien rire, il y a eu au moins un buffer overflow exploitable découvert par des potes...

                      Celui qu'il ont bien voulu me montrer permettait d'executer un octet par dépassement de mémoire donc pas exploitables, mais il en aurrai découvert un qui semble plus exploitable et ils travaillent dessus...

                      Quand à ce qui est du buffer overflow de 1 octet il est toujours présent depuis sa découverte 2 jours après la publication du code et tjs utilisable pour l'autre j'ai pas eu de news, sa montre que y a 0% des personne qui ont eu le code en main qui ont remonté le bug...

                      enfin sa montre bien les limites du modèle M$...
                      Ils essayent de se convaincre eux-même que leur modèle tiendra...

                      On rira encore plus lorsque des pirates vont piquer le code de la longhorn sur les passoire qui servent de serveur de test chez M$...
                      • [^] # Re: "security through obscurity" quand tu nous tiens

                        Posté par  . Évalué à 1.

                        Quand à ce qui est du buffer overflow de 1 octet il est toujours présent depuis sa découverte 2 jours après la publication du code et tjs utilisable pour l'autre j'ai pas eu de news, sa montre que y a 0% des personne qui ont eu le code en main qui ont remonté le bug...

                        Publie ? Un lien ?

                        enfin sa montre bien les limites du modèle M$...
                        Ils essayent de se convaincre eux-même que leur modèle tiendra...


                        Ah bon ? Parce que si ils font de meme avec les softs open-source en ne reportant pas les problemes ca va etre mieux ?

                        On rira encore plus lorsque des pirates vont piquer le code de la longhorn sur les passoire qui servent de serveur de test chez M$...

                        Remarque, nous, nos source servers n'ont jamais connu le sort des serveurs de Debian, gnu.org, etc...
                        Mais il fallait bien que tu lances une petite connerie non fondee et non argumentee sur MS, c'etait inevitable, ton post aurait pris le risque de paraitre interessant sinon.
                        • [^] # Re: "security through obscurity" quand tu nous tiens

                          Posté par  . Évalué à 1.

                          Ah bon ? Parce que si ils font de meme avec les softs open-source en ne reportant pas les problemes ca va etre mieux ?
                          La différence essentielle à mon sens, c'est que les gens ont globalement envie d'aider le libre, alors que (tout en utilisant MS/Windows) ils n'arretent pas de cracher sur le nom de Bill Gates.
                          Ce n'est amha pas une question de modèle, mais plus de réputation / image de marque de l'entreprise.
                          Sans compter bien entendu qu'une personne découvrant un exploit avec des sources récupérées illégalement prend un risque en le remontant.
                        • [^] # Re: "security through obscurity" quand tu nous tiens

                          Posté par  . Évalué à 3.

                          Remarque, nous, nos source servers n'ont jamais connu le sort des serveurs de Debian, gnu.org, etc...

                          a la tres grande difference que les sources servers de MS sont pas en frontal sur le grand ternet , alors gnu.org , debian savanah ou encore gentoo le sont ( cvs , bugzilla... ), forcement avec autant de service ouverts , les chances de se faire troufigner sont d autant plus grande . j aimerais bien voir les sources server MS en frontal sans aucun acces , a mon avis y aurait de quoi rigoler....
                • [^] # Re: "security through obscurity" quand tu nous tiens

                  Posté par  . Évalué à 6.

                  amha les contributeurs opensource ont d'autres choses à faire que de télécharger les sources de windows, incomplètes et pas à jour en plus
                  d'une part car cela aurait pour conséquence probable que du code windows se retrouve dans du code opensource (on en a largement discuter)
                  d'autre part car ils passent suffisament de temps sur des projets qui ne dépendent pas d'une multinationale

                  je crois que la raison du "peu de remontées" est là et pas dans le fait que le modèle opensource (i.e. l'audit du code par des centaines de personnes étrangères au projet) n'est pas viable
                • [^] # Re: "security through obscurity" quand tu nous tiens

                  Posté par  . Évalué à 7.

                  Suffit pas d'avoir les sources, il faut aussi avoir l'envie et des raisons de s'investir dedans.
                • [^] # Re: "security through obscurity" quand tu nous tiens

                  Posté par  . Évalué à 2.

                  (c'est pas pBpG là, C donc sûrement une question/remarque d'intérêt)
                  > Donc, si je comprends bien, ne pas donner les sources,c'est mal, mais quand les
                  > sources sont disponibles, ca te permet de corriger des failles que tu aurais mis pas
                  > mal de temps à trouver ?

                  Lis le début de "applied cryptography" de B. Schneier, il t'explique ça mieux que
                  je ne saurais le faire.
                  De plus, si tu publies les sources de ton soft: il se pourrait qu'un hacker, un vrai
                  (barbu et ventripotant) te montre des erreurs que tu n'aurais peut-être jamais
                  vu/testé. S'il est sympa (il a une âme de guru), il t'expliquera pourquoi et
                  te filera même un patch qui corrige le problème.

                  (là c'est pBpG, je m'énerve)
                  > On n'en a toujours pas recu une venant de gens ayant eu les sources(a part les
                  > boites qu'on a paye pour ca j'entends), donc faut croire que non.

                  C'est normal _PATATE_ : il est illégal de posséder les sources de MS en les
                  téléchargeant par P2P. Tu crois quand même pas que les gens vont se mettre
                  dans l'ilégalité pour corriger vos merdes et puis qu'ils vont vous donner leurs
                  coordonnées ensuite!!!
                  • [^] # Re: "security through obscurity" quand tu nous tiens

                    Posté par  . Évalué à 0.

                    C'est normal _PATATE_ : il est illégal de posséder les sources de MS en les
                    téléchargeant par P2P. Tu crois quand même pas que les gens vont se mettre
                    dans l'ilégalité pour corriger vos merdes et puis qu'ils vont vous donner leurs
                    coordonnées ensuite!!!


                    Si t'appelles machintruc@yahoo.com une coordonnee identifiable, c'est que t'es pas du meme monde que moi.
                    • [^] # Re: "security through obscurity" quand tu nous tiens

                      Posté par  . Évalué à 3.

                      En fait je suis un W4rl0rdZ, j'ai téléchargé sur Kazaa du code source de Windows de Kro$oft rien que pour créer des super virus qui feront retentir mon nom et ma toute puissance dans la cyber-galaxie pour l'éternité, donc sans problème sur du gruyère de code (10 %) je trouve plein de bugs et de failles (oui je sais je suis balèze), mais je vais quand même me créer une adresse spéciale pour remonter les bugs à M$, vu que j'aime bien faire son boulot à sa place, que télécharger ce code est illégal, le lire aussi, et que j'aime perdre mon temps totalement gratuitement et philantropiquement. On verra plus tard pour être roi du monde, il y a des priorités dans la vie.

                      ­La faculté de citer est un substitut commode à l'intelligence -- Somerset Maugham

                      • [^] # Re: "security through obscurity" quand tu nous tiens

                        Posté par  . Évalué à 1.

                        Il n'y en a eu aucun de reporte sur aucune ML de securite, bugtraq ou autres, le gars aurait pu se faire une bonne grosse pub pourtant, et nombre de hackers le font regulierement.

                        Vous pouvez chercher des explications aussi longtemps que vous voudrez, la realite est qu'avec une bonne partie des sources de l'OS le plus vise de la planete dehors, personne n'a encore devoile de faille. Et dire que les sources de Windows ne sont pas d'interets aux gens cherchant des failles, c'est un gros gag.
                    • [^] # Re: "security through obscurity" quand tu nous tiens

                      Posté par  (site Web personnel) . Évalué à 2.

                      Bonjour, Mr Yahoo, pourriez-vous me donner l'adresse IP qui s'est connectée à votre messagerie sous le nom machintruc@yahoo.com ces dernières 24 heures ?

                      Bien sûr, Mr MS, c'est le 213.xxx.xx.xxx

                      Merci bien Mr Yahoo :-)
        • [^] # Re: "security through obscurity" quand tu nous tiens

          Posté par  . Évalué à 2.

          Peut être tu as raison ...

          Mais d'un point de vue philosophique, c'est triste de penser que le rassemblement de plusieurs personnes, le partage, l'entre aide, toutes ces valeurs magnifiques de l'open source, soient infèrieur au modèle propriétaire.

          Je n'entrerai meme pas dans la polémique au point de vue "technique" des deux modèles, mais je tenais juste à donner un peu d'humanité pour relativiser tes propos.
        • [^] # Re: "security through obscurity" quand tu nous tiens

          Posté par  . Évalué à 8.

          En même temps, il n'y a pas que des monsieurs tout le monde ayant au moins l'un des trois critères dans la nature.

          Quant au code de Windows, effectivement, tout le monde s'en cogne, sauf les adolescents qui ro><0r da W0rld et écrivent des virus pour prouver au monde que la pile du x86 n'a aucun secret pour eux. Le code source de windows est dans la nature, mais on n'a pas spécialement le droit d'en faire quelque chose, donc c'est tout comme s'il ne l'était pas. En tout cas pour la grande majorité des passionnés et/ou professionnels de systèmes d'exploitation.

          Pour la dernière partie, je m'écrase, j'ai rien à dire. Si ce n'est que certes, même avec du logiciel libre on a souvent les mêmes défauts qu'avec du propriétaire close-source, mais l'utilisateur a au moins la possibilité d'y remédier.C'est mieux que rien, donc < foi modif="mauvaise" >a fortiori< /foi > mieux que close-source ;-).
        • [^] # Et pq pas les 2 ?

          Posté par  . Évalué à 2.

          Je peux me tromper mais c'est pas nmap (pourtant ouvert) qui passe des audits tous les x mois ?
        • [^] # Re: "security through obscurity" quand tu nous tiens

          Posté par  (site Web personnel) . Évalué à 2.

          > Ca fait des mois que le code de Windows est dans la nature, a part le bug d'IE qui avait d'ailleurs deja ete corrige, personne n'a rien trouve, pourtant le code de Windows, c'est le genre de truc qui s'est downloade a tours de bras.
          Bizarre moi on m'a rien montré... ...pourtant je travaille dans un service informatique, pour l'Etat français, on pourrait s'attendre à ce que je fasse partie des heureux élus qui ont le droit de le lire le code. Et d'ailleurs j'imagine qu'il y a des clauses à accepter avant de le lire le code, hein? Du genre a-t-on le droit de raconter tout ce qu'on a trouvé dedans? mmm? Et le dévoiler, quand on veut, sans prévenir MS? mmm? On a le droit de faire ça? Dire j'ai trouvé une faille le code est fait de telle et telle manière, et ce dans un lieu public, et sans être soumis à une quelconque validation de MS? On a le droit de faire ça?
          • [^] # Re: "security through obscurity" quand tu nous tiens

            Posté par  . Évalué à -1.

            Le code il est sur Kazaa et autre, devoiler une faille, c'est pas plus complique que la balancer sur bugtraq depuis un e-mail bidon.
            • [^] # Re: "security through obscurity" quand tu nous tiens

              Posté par  . Évalué à -8.

              Cool, maintenant, il suffit de donner son adresse et <pasBill pasGates> vous envoie le cd par la poste.

              J'aurais honte pour toi d'avoir dit ce genre de truc.
              <Mode follie>
              Tiens, ma société c'est fait piraté , le code source s'est fait volé mais si vous le voulez,allez rue des champs-élizé , arbre 12 (celui avec la croix bleu), dans la poubelle à gauche.
              </Mode follie>
            • [^] # Re: "security through obscurity" quand tu nous tiens

              Posté par  (site Web personnel) . Évalué à 5.

              Mouais... enfin le code disponible ne concerne qu'une infime partie de Windows... et pas la plus intéressante : je ne pense pas que le code de Notepad ou d'un screensaver soit réellement hyper intéressant.
              Il y a effectivement une partie de MSHTML dans une version ancienne... ok... mais il manque pas mal de choses : les composants réseaux, le kernel, ce genre de choses, qui sont habituellement utilisés pour les "exploits" (je sais, c'est un mauvais angliscisme :-)

              C'est d'ailleurs assez dommage, si y'avait eu le code utilisé pour CIFS ou NTFS, ça aurait ptet permit quelques avancées pour l'interopérabilité.
              • [^] # Re: "security through obscurity" quand tu nous tiens

                Posté par  . Évalué à 3.

                1) C'est pas une partie infime, c'est pas la majorite, mais il y a facile plus de 10% du code
                2) Il y a des parties importantes du kernel entre autres
                • [^] # Re: "security through obscurity" quand tu nous tiens

                  Posté par  . Évalué à 1.

                  Non, il y a un lien dans la news sur ZNet qui parle du vol de code Windows. On peut lire que le code décompressé ferais 600 Mo mais que les sources complète ferais 40 Go. Je suis pas super bon en math mais chez moi 10% de 40Go ça fait 4Go et pas 600 Mo.
                • [^] # Re: "security through obscurity" quand tu nous tiens

                  Posté par  (site Web personnel) . Évalué à 3.

                  > 1) C'est pas une partie infime, c'est pas la majorite, mais il y a facile plus de 10% du code

                  Oui, enfin, tant que c'est pas 100%, ça ne facilite pas la tache au niveau de l'audit de code. Pour comprendre comment marche un truc, perso, j'aime bien le compiler, le faire tourner un peu, jouer un peu du déboggeur pour comprendre comment s'enchainent certains trucs, ... Et ça, avec 10% du source, ou même avec 95%, c'est pas évident !
            • [^] # Re: "security through obscurity" quand tu nous tiens

              Posté par  . Évalué à -1.

              il est illégal de le télécharger , donc on ne peut pas point barre
              j'envois de ce pas ton signalement a la police puique tu l'as téléchargé
        • [^] # Re: "security through obscurity" quand tu nous tiens

          Posté par  . Évalué à 6.

          > Ca fait des mois que le code de Windows est dans la nature, a part le bug d'IE qui avait d'ailleurs deja ete corrige, personne n'a rien trouve

          Le code source n'est pas complet. Il ne touche pas de composants critiques de l'OS. C'est MS lui même qui le disait à l'époque.

          La faille corrigée sans rien dire à personne, c'est peut être pas la meilleure référence à sortir dans le cadre d'une discussion sur closed vs open. Du secure computing en patchant à la va vite, sans rien dire à personne, histoire de pas trop se faire charrier...

          Vais en rajouter un peu tiens :
          Pour un code source qui est sensé avoir été revu, par des dév ayant eu des formations sécu et tout, comme le disait les annonces bien marketing de l'époque. Le résultat est pas terrible quand on regarde les derniers mois. Blaster, sasser, etc.

          Les OS sécurisés à grand renfort d'annonce alors que la protection anti stack overflow de win2k3 se contourne en 30 sec, ça fait quand même bien rire :) un brave pop,pop,ret et hop, fini la protection. Et ho, ironie suprème, cette séquence d'opcodes qui va bien, on la trouve, entre autre, dans l'exception handler associé à la détection d'une modification du "canari" .

          Donc bon, pas de quoi se moquer de cisco ou tenter de faire une quelconque morale :p
          • [^] # Re: "security through obscurity" quand tu nous tiens

            Posté par  . Évalué à 3.

            Le code source n'est pas complet. Il ne touche pas de composants critiques de l'OS. C'est MS lui même qui le disait à l'époque.

            Il y a une bonne partie du code, dont une partie du kernel.

            La faille corrigée sans rien dire à personne, c'est peut être pas la meilleure référence à sortir dans le cadre d'une discussion sur closed vs open. Du secure computing en patchant à la va vite, sans rien dire à personne, histoire de pas trop se faire charrier...

            Va expliquer ca a Mozilla, ils font la meme chose.

            Pour un code source qui est sensé avoir été revu, par des dév ayant eu des formations sécu et tout, comme le disait les annonces bien marketing de l'époque. Le résultat est pas terrible quand on regarde les derniers mois. Blaster, sasser, etc.

            Compte le nombre de failles, pas l'impact. Regardes le nombre de failles jugees critiques sur WS03, le nombre est tres faible.

            Les OS sécurisés à grand renfort d'annonce alors que la protection anti stack overflow de win2k3 se contourne en 30 sec, ça fait quand même bien rire :)

            Il y a une protection anti-stack overflow dans win2k3 ? Ah bon, je suis pas au courant. Dans visual studio, et ils disent qu'elle est pas parfaite, mais pas dans Win2k3
            • [^] # Re: "security through obscurity" quand tu nous tiens

              Posté par  . Évalué à 2.

              Il y a une protection anti-stack overflow dans win2k3 ?

              Il y a un article sur le sujet dans l'avant dernier numéro de MISC. D'après l'auteur, c'est efficace contre les stack overflow "académiques". Mais si j'ai bien compris, des solutions existent pour détecter et contourner ce genre protection.
            • [^] # Re: "security through obscurity" quand tu nous tiens

              Posté par  . Évalué à -2.

              Qui utilise Windows 2003 ?
              Aprés avoir payer pour faire une migration complete d'un parc de 200 machines, il faudrait passer à 2003 ? Et quoi encore ? c'est normal qu'il n'y a pas de reports de bug , il n'y a pas d'utilisateurs !!

              En plus, on se choppent quand même les virus,donc ...
            • [^] # Re: "security through obscurity" quand tu nous tiens

              Posté par  . Évalué à 4.

              > Il y a une bonne partie du code, dont une partie du kernel.

              oui, tout à fait. Mais pas tout. Si j'ai un bout de code B qui utilise les fonctions d'une API A. Si je n'ai pas le code de A, c'est difficile de faire une étude exhaustive de B puisque par exemple, un problème de boundaries dans A peut avoir des conséquences dans B, etc. Donc pour pallier à ca, ben j'ai pas beaucoup d'autres choix que de tenter un désasm de la dll qui fournit A ou éventuellement faire un peu de fuzzing en prenant des cas potentiellement fournissable à A par B. Désolé, c'est pas clair. Mais enfin tout ça pour dire que ça aide pas d'avoir que des bouts. Mais je t'accorde que la très probable analyse de tout ces bouts par des tas de gens n'a pas donné grand chose.

              > Va expliquer ca a Mozilla, ils font la meme chose.

              One point. Remarque, les changelogs et diffs sont publiques :p (j'ai pas dit lisible)

              > Compte le nombre de failles, pas l'impact. Regardes le nombre de failles jugees critiques sur WS03, le nombre est tres faible.

              OK. Mais une faille critique ça reste une faille critique. Un système sous contrainte forte, il suffit d'une faille pour qu'il soit par terre. :/ Puis, je trouve que s'intéresser au nombre de faille, ça fait un peu comme les admins qui utilisent le top 10 du SANS institute pour dire qu'ils sont protégés. "Je suis immunisé contre les 10 failles les plus courantes". Too bad quand la 11ème lui tombe sur le coin de la tronche ;) En fait peu importe le nombre de failles, ou leur criticité. Il suffit parfois juste d'une faille ou d'une sucsession de petite faille pour compromettre un système particulier. L'impact des derniers vers découlent effectivement dans ce cas plus d'un grand nombre de machines sous win (et d'admin formé chez kinder) et pas du grand nombre de failles. Donc ok, le nombre de faille a effectivement diminué mais il existe toujours une menace majeure du à l'énorme majorité de win et au fait qu'il suffit donc d'une faille.

              > Il y a une protection anti-stack overflow dans win2k3 ? Ah bon, je suis pas au courant. Dans visual studio, et ils disent qu'elle est pas parfaite, mais pas dans Win2k3

              http://www.nextgenss.com/papers/defeating-w2k3-stack-protection.pdf(...)

              LE flag /GS introduit dans le dernier visual studio a été utilisé pour compiler certaines parties de win2k3. Comme IIS 6 et pas mal de dll.
              IIS dont certains bouts ont été exportés en kernel land alors que dans la même période khttp était marqué deprecated dans le noyau 2.6 :ppp
            • [^] # Re: "security through obscurity" quand tu nous tiens

              Posté par  (site Web personnel) . Évalué à -7.

              Je veux bien qu'on me moinsse, mais j'aimerais quand même poser une question :

              C'est qui ce blaireau de pasBill pasGates ?

              J'ai lu tout ses commentaires et ils sont aussi inintéressants les uns que les autres
        • [^] # Re: "security through obscurity" quand tu nous tiens

          Posté par  (site Web personnel) . Évalué à 3.

          C'est vrai, le reviewing par un expert en securite c'est tres efficace.

          C'est pour ca que Cisco et autres engagent des societes specialisees pour relire le code,


          Mais alors pourquoi sont ils passés en "alerte rouge" dès que les sources sont parties se baladées ?
          • [^] # Re: "security through obscurity" quand tu nous tiens

            Posté par  . Évalué à 6.

            Parce qu'il y a un risque, aussi petit soit-il, et si ca arrive(une faille decouverte), c'est l'infrastructure mondiale du net qui est en jeu.

            Je te laisse imaginer l'effet si dans 3 jours 80% des routeurs du backbone tombent.
            • [^] # Re: "security through obscurity" quand tu nous tiens

              Posté par  . Évalué à 5.

              tous ceux qui zonent sur le web pendant la journée vont être obligés de bosser. pfff ... pas dôle ?
            • [^] # Re: "security through obscurity" quand tu nous tiens

              Posté par  . Évalué à 1.

              En même temps, il y a constament un risque, aussi minime soit-il.
            • [^] # Re: "security through obscurity" quand tu nous tiens

              Posté par  . Évalué à 2.

              3 jours .... perso je parie sur 5 jours.
              Et puis c'est déjà arrivé, wanadoo en avait fait les frais avec ses routeur cisco

              ET puis concernant le kernel de W2K, perso je vois pas trop qq'un avoir les compétences suffisantes pour la lecture->recherche->écriture d'exploit surtout avec une partie du code.
              Surtout qu'on doit pas en compter + d'une 100 aine par pays et qu'ils sont tous généralement ds des bonnes boites :)

              Faut pas se leurrer, y aura _toujours_ des trous de sécurité dans windows comme ds nunux, bon ok sauf multideskos !

              aujourd'hui intel va sortir des puces contre le buferoverflow (au secours ) qui lui à encore de beau jour devant
              Mais qui dit que demain ce genre de faille ne sera pas re-découverte par un groupe du genre ADM ? hein ? rien.

              Maintenant que tt le monde s'affole dès qu'une partie de code est révélé c'est qd même étrange ( code rouge, alerte mondiale, blablabla..)
              Faut pas se demander si linux à autant de crédibilité aujourdh'ui c'est parce que des audits il en à eu quelques uns, et que son code ben il ets ouvert et qu'on voit pas non plus, plus de faille que ça.
        • [^] # Re: Code source Windows volé ?

          Posté par  . Évalué à 2.

          >Ca fait des mois que le code de Windows est dans la nature

          C'est vraiment le code source de Windows qui a été H4X0risé ? Je croyais que ce n'était qu'une partie, non critique, du code d'une "vieille" version de Windows.
        • [^] # Re: "security through obscurity" quand tu nous tiens

          Posté par  (site Web personnel) . Évalué à 2.

          Ca fait des mois que le code de Windows est dans la nature, a part le bug d'IE qui avait d'ailleurs deja ete corrige, personne n'a rien trouve, pourtant le code de Windows, c'est le genre de truc qui s'est downloade a tours de bras.

          Sasser, ça a pas un rapport? (vraie question)
      • [^] # Re: "security through obscurity" quand tu nous tiens

        Posté par  . Évalué à 2.

        Ce qui est amusant, c' est le terme "alerte rouge".
        Moi, ça me fait tout de suite penser à la guerre, avec le sous-marin plein de gyrophares rouges.

        Alors que souvent, pour eviter la guerre, un tout petit peu d'ouverture aurait suffit... ;-)

        Un programme est potentiellement une arme.
        à ce rythme, proche est le jour ou le fait de penser(tm) ce programme suffira pour être catalogué comme terroriste.
    • [^] # Re: "security through obscurity" quand tu nous tiens

      Posté par  . Évalué à 5.

      > En d'autres termes, amha, ce n'est pas une mauvaise chose pour le Logiciel Libre.

      sisi, imagine, si CISCO devient ciSCO,
      Ils riqueraient de retrouver des morceaux de ce code dans netfilter... Le prix de la license linux va encors augmenter mes petits... ;-)

      Bon d' accord, je suis parano, mais avec les brevets logiciels, la LEN etc , il y a de quoi ...
    • [^] # Re: "security through obscurity" quand tu nous tiens

      Posté par  . Évalué à 3.

      Voilà qui devrait pousser tout le monde à faire au moins un premier pas vers l'Open Source...

      ou peut etre que ca va augmenter le pouvoir de lobbyistes de l'informatique qui vont faire voter des lois encore pire.

      Ca peut etre autant un argument en faveur du libre qu'un argument pour la protection des codes proprietaires...
      • [^] # Re: "security through obscurity" quand tu nous tiens

        Posté par  . Évalué à 1.

        Genre
        "La souscription d'un abonnement internet pour un particulier doit être soumis à l'agrément du Consortium des Entreprises pour la Confiance des Transmission.
        La CECT a de plus tout pouvoir de faire annuler temporairement ou définitivement le droit d'utilisation de cet abonnement. Dans ce dernier cas, le particulier est autorisé à résilier son abonnement, en respectant 6 mois de préavis."

        ;-) ?
  • # Souvenez vous, c'était hier ...

    Posté par  (site Web personnel) . Évalué à 10.

    Je me rappelle de la première fois que Cisco a sortit IOS en clamant que c'était l'OS le plus sur et qu'il n'y aurait pas de failles dessus. C'était la principale raison avancée d'ailleurs pour ne pas ouvrir ses spécifications et ne donner aucun renseignement à ses clients. 6 mois plus tard, hop, un petit gars arrive et délivre un bel exploit qui touchait toutes les versions d'IOS ...

    Maintenant pour le piratage d'informations sensibles, les compagnies vont peut être se rendre compte que tourner un OS tel que Microsoft n'est pas une bonne idée. Je ne lance pas un FUD mais Valve Software l'a payé cher il y a 6 mois avec Half Life 2 partiellement recopié grâce a des stations Windows mises en backdoor ... http://hl2.ogaming.com/(...)

    J'étais en contact avec des revendeurs Cisco et aie participé à une démo dans les locaux mêmes de la boite à Dublin. Ils démontraient une solution d'IP telephony. Quand j'ai demandé quel système tournait le serveur, on m'a répondu Windows 2000 customisé. J'ai donc demandé s'ils comptaient sortir un équivalent Linux et Cisco m'a dit que oui ... C'était il y a 5 mois. Pas de nouvelles depuis.

    Steph
    • [^] # Re: Souvenez vous, c'était hier ...

      Posté par  . Évalué à 9.

      les compagnies vont peut être se rendre compte que tourner un OS tel que Microsoft n'est pas une bonne idée. Je ne lance pas un FUD mais Valve Software l'a payé cher il y a 6 mois avec Half Life 2 partiellement recopié grâce a des stations Windows mises en backdoor ... http://hl2.ogaming.com/(...(...))

      Remarque, le code source de Windows a ete vole grace a une station Linux hackee... si il faut en tirer la meme conclusion, on va tous finir sous MultideskOS
      • [^] # Re: Souvenez vous, c'était hier ...

        Posté par  . Évalué à 2.

        C'est sur qu'on a eu des informations totalement credible et sure de la part de microsoft concernant ce fait. Je ne dis pas que vu que c'est un linux hacke c'est totalement faux, mais il ne faut pas forcemment prendre pour une verite ce qui sort des societes comme celles-ci.
        • [^] # Re: Souvenez vous, c'était hier ...

          Posté par  . Évalué à 0.

          Tu downloade le package sur Kazaa, tu regardes le contenu, marrant, il y a un fichier core dedans, et c'est fou ce qu'on peut trouver dans un fichier core...
          • [^] # Re: Souvenez vous, c'était hier ...

            Posté par  (site Web personnel) . Évalué à 1.

            Je ne considère pas vraiment ca comme étant une preuve que le code source a été volé sur une machine Linux (bien que je n'affirme pas le contraire).

            Rien ne dit que le code que l'on recoit est celui tel qu'il a été volé, c'est bien le problème avec tous ces contenus illégaux, c'est qu'il est difficile de leur faire confiance (on estime que 50% des exécutables dans les réseaux p2p sont des virus/trojans)
      • [^] # Re: Souvenez vous, c'était hier ...

        Posté par  . Évalué à 1.

        Ah bon, vous développez windows sous Linux :-))
      • [^] # Re: Souvenez vous, c'était hier ...

        Posté par  . Évalué à -2.

        Ooouuhhhaaaaa , le code source de windows est piraté grâce (ou à cause <barré la mention inutile>) à une machine Linux ? Dans les locaux de Microsoft ? Peut-être qu'ils ont rien compris à la configuration ? en tous cas,IBM et Apple l'ont echappés belles , il avait eteints les Macs et OS/2.

        <Mode flashback kernel=http://linuxfr.org/comments/411484,1.html(...) >
        PS: tu n'a pas encore fini ton script en VBA pour faire un graphique avec les évolutions des patchs du kernel ? non ? dommage, le concours est fini et tu as perdu <game over>
        </Mode flashback kernel>
        • [^] # Re: Souvenez vous, c'était hier ...

          Posté par  . Évalué à 8.

          Ooouuhhhaaaaa , le code source de windows est piraté grâce (ou à cause <barré la mention inutile>) à une machine Linux ? Dans les locaux de Microsoft ? Peut-être qu'ils ont rien compris à la configuration ? en tous cas,IBM et Apple l'ont echappés belles , il avait eteints les Macs et OS/2.

          Si le monsieur savait de quoi il parlait, il saurait que le code source a ete vole a une societe qui fait des portages Unix<->Windows, pas chez MS
        • [^] # Re: Souvenez vous, c'était hier ...

          Posté par  (site Web personnel) . Évalué à 10.

          > Dans les locaux de Microsoft ?

          Vous pourriez arrêter de vous enfoncer SVP ?

          Le code source de Windows n'a pas été volé chez MS, mais chez quelqu'un qui avait obtenu le source via le programme shared source de MS.

          Une partie du code concernait un portage Linux de je-sais-plus-quoi, ce qui explique qu'il ait été utilisé sous Linux. On trouve des fichiers gnumakefile, et même un core dump de vim, paraît-il.

          Maintenant, sur le fait que le code ai été volé sur la machine Linux en question, je n'avais pas eu cette info. Tu pourrais nous en dire plus PbPg ?

          > Peut-être qu'ils ont rien compris à la configuration ?

          comme ces abrutis d'administrateurs de debian.org, et autres qui se sont fait piratés en cascade fin 2003 ?

          Ah, on me soufle dans l'oreillette que ce ne sont pas des abrutis, mais qu'ils se sont fait pirater quand même ...

          Faudrait arreter de répendre l'idée que Linux est 100% sécurisé. Oui, Linux est relativement bien sécurisé, mais non, il n'est pas invincible. Avec un Linux pas mis à jour depuis 1 an, il y a un paquet de façons de prendre le controle de la machine à distance et de passer root, et ce n'est pas très intelligent d'affirmer le contraire pour la crédibilité du mouvement du libre.
          • [^] # Re: Souvenez vous, c'était hier ...

            Posté par  . Évalué à 2.

            Maintenant, sur le fait que le code ai été volé sur la machine Linux en question, je n'avais pas eu cette info. Tu pourrais nous en dire plus PbPg ?

            Le code etait utilise par MainSoft, une boite qui fait des portages Unix<->Windows, dans le package on pouvait trouver un core dump de vim, et des textes pondus par un gars de Mainsoft.
            • [^] # Re: Souvenez vous, c'était hier ...

              Posté par  (site Web personnel) . Évalué à 4.

              > Le code etait utilise par MainSoft, une boite qui fait des portages Unix<->Windows,
              > dans le package on pouvait trouver un core dump de vim,

              Oui, c'est ce que disais mon commentaire, ça :o)

              Mais ça ne prouve pas du tout que la machine sur laquelle a été volé le code était une machine Linux. C'est vraissemblable, mais pas sur du tout sur. Ca peut aussi bien être un répertoire recopié sur une autre machine, un .tar.gz envoyé par mail non crypté, un CD de backup qui traine au fond d'un tirroir, ... ou même quelqu'un qui avait accès légalement au source et qui l'a mis volontairement (et illégalement) à dispo sur Kazaa !
        • [^] # Re: Souvenez vous, c'était hier ...

          Posté par  . Évalué à 1.

          >Ooouuhhhaaaaa , le code source de windows est piraté grâce (ou à cause <barré la mention inutile>) à une machine Linux ? Dans les locaux de Microsoft ?

          Pas du tout le code source aété volé dans une boite exterieure à microsoft et ce n'etait pas le code source de windows 2000 mais celui d'un service pack de windows 2000 ce qui limite pas mal. Apres je vois pas pourquoi microsoft n'utiliserait pas de pc sous linux, ils ont bien des mac pour faire tourner les logiciels adobe qui servent à faire leur livres microsoft press.
      • [^] # Re: Souvenez vous, c'était hier ...

        Posté par  . Évalué à 3.

        Je suis assez d'accord sur le fait que l'on trouve aussi des machines sous Linux hackees. Il est même des fois très difficile de s'en apercevoir quand on est pas vraiment orienté sécurité (un bon petit rootkit ...). Mais ce n'est pas la raison pour laquelle j'utilise Linux personnellement.

        Je suis étudiant, et je n'ai pas de quoi m'offrir des logiciels comme Windows, Office, ou Photoshop. J'utilise donc une solution libre et gratuite (qui marche pas trop mal à mon gout). De plus, je n'aime pas le principe de la sécurité par l'obscurentisme, j'aime bien savoir ce qu'il se passe sur mon/mes machines, et Linux me le permet, à la limite je peux même faire des modifications si cela me chante.

        Enfin voilà, Linux c'est différent, et c'est pour cela que je l'aime.
        • [^] # Re: Souvenez vous, c'était hier ...

          Posté par  . Évalué à 6.

          T'es tout a fait libre de ton choix, je le remets pas en cause, c'est les mythes avances par certains que je remets en cause.

          Linux a des bon points pour lui, ces mythes n'en font pas partie.
          • [^] # Re: Souvenez vous, c'était hier ...

            Posté par  . Évalué à 4.

            Ben, non, on n'est pas tout à fait libre de son choix : les PC, et notamment les portables, sont presque tous vendus avec Windows & co pré-installés (et licence pré-acceptée). Et les vendeurs se foutent royalement du CLUF et de sa clause de résiliation/remboursement.

            Ca fait quoi si on dénonce à Microsoft un de ses client qui ne respecte pas le CLUF ?

            JiM
            • [^] # Re: Souvenez vous, c'était hier ...

              Posté par  . Évalué à 5.

              > Ca fait quoi si on dénonce à Microsoft un de ses client qui ne respecte pas le CLUF ?
              Microsoft te répond (sur du très beau papier, je trouve) de te démerder avec le revendeur et puis d'aller te faire voir. J'ai la lettre de madame Véronique G. du département juridique de Microsoft sous les yeux juste là qui se résume à peu près en ces termes.
    • [^] # Re: Souvenez vous, c'était hier ...

      Posté par  . Évalué à 2.

      Customisé c'est vite dit. Ce n'est juste qu'un Windows 2000 avec les derniers patch de sécurtiés et certains services déactivés. Pour la version linux, le CallManager 5 existera sous deux version une Windows et une Linux. Je crois qu"il sortira fin 2005. Ce qui est dommage c'est que la version Linux sera moins avancée que la version windows :(
  • # "Cisco, des réseaux qui se protègent tout seuls !"

    Posté par  . Évalué à 8.

    "Cisco, des réseaux qui se protègent tout seuls !"

    Pub mensongère ? Voila une news qui devrait faire réfléchir les décideurs pressés...

    Je n'aime pas le piratage mais quand on veut faire croire aux gens qu'un réseau peut se protéger tout seul.... Cisco l'a bien mérité, à mon avis.
    • [^] # Re: "Cisco, des réseaux qui se protègent tout seuls !"

      Posté par  . Évalué à 2.

      Mmh ce n'est pas vraiment pour défendre Cisco, mais cette phrase veut tout dire et rien dire à la fois.

      Je suis également capable de me défendre tout seul. Dans certaines limites. Et dans certaines conditions.

      Les publicités de n'importe quelles sociétés sont toujours vagues, avec souvent des bandeaux-écrits-tout-petit-défilant-à-fond-la-caisse-en-bas-de-l'écran
      C'est fait pour attirer. Après libre à toi de faire 100% confiance à la pub et de te ruer sur le nouveau produit sans faire gaffe, ou bien d'observer le produit, récupérer des feedbacks, et tester ce produit si jamais tu considères que d'après les informations récoltées, il parait viable.
      Si le test se révèle concluant, tu pourras ensuite consommer ce produit.

      Essaie avec du pain de mie tu verras :)
    • [^] # et IBM ?

      Posté par  . Évalué à 2.

      C'est pas la dernière pub d'IBM qui vantent leur serveur qui s'administre, s'optimise et se répare tout seul ?
      Tu comptes en dire la même chose ?
      • [^] # Re: et IBM ?

        Posté par  (site Web personnel) . Évalué à 1.

        C'est pas tout a fait ça, IBM a eu la sagesse de dire dans sa pub : "et qui se réparent presque tout seul."

        Ce qui n'est plus de la pub mensongère puisque tout dépend de ce que tu met derrière le presque...

        Alors que cisco se permet de ne pas laisser la marge d'erreur, IBM a eu la sagesse(expérience) de laisser une marge d'erreur...
      • [^] # Re: et IBM ?

        Posté par  . Évalué à 3.

        c'est grace a la poudre verte...
        http://www.poudreverte.com/(...)
  • # 800 Mo ?

    Posté par  . Évalué à 1.

    Salut,

    Je me pose une question, naïve, ou disons la première question d'un non développeur, mais que représentent 800 Mo de code source ? Ca me paraît énorme, il y a les textures avec ou quoi ? Toutes les versions (i.e. cvs ou autre), des documents de conception ? Ou bien juste du code source (commenté) ? (je ne parle pas des source d'IOS en particulier évidemment mais en règle générale).
    • [^] # Re: 800 Mo ?

      Posté par  (site Web personnel) . Évalué à 0.

      Ca se résume en trois mots : Usine à gaz
    • [^] # Re: 800 Mo ?

      Posté par  . Évalué à 1.

      Bah pour mon stage je dois faire un petit programme en boulotant plus où moins 2h à 3h par jours :p j'ai un code source de 2 mo, je suis seul sur le projet et ca doit faire 3 mois que je suis sur le programme...
      Si ils sont beaucoup plus nombreux et qu'ils gardent toutes les versions ca doit être possible :s
    • [^] # Re: 800 Mo ?

      Posté par  . Évalué à 0.

      Pour info, le projet sur lequel je travaille pour une "grande banque" à 10 ans de vie, il y a 54 megs de source divers (C awk SQL shell...), plus 130 megs pour la partie graphique.
      Ce projet emploie plus d'une 30aine de personne

      800Mo ca paraît effectivement enorme mais si les docs sont faites avec MS-Word, et qu'elles sont incluses, pas de doutes, c'est possible :-))
      • [^] # Re: 800 Mo ?

        Posté par  . Évalué à 1.

        C'est effectivement gros Mais il faut aussi voir qu'IOS à une base commune
        mais qu'au dela de cette base il y a enormement de code spécifique pour chaque plateforme (routeur, switch, carte d'extension). Et que même pour une version d'IOS donnée pour un équipement donné, il existe plusieurs dérivées, par exemple support de tel ou tel protocols ou de fonctions de crypto etc. Donc ce n'est pas si énorme que ca, surtout quand on voit que certains routeurs qui date sont encore supportés dans les dernieres version. En résumé IOS ce n'est pas un projet mais plusieurs projets.
  • # code source retiré du site russe

    Posté par  . Évalué à 2.

    apparement ca a été retiré à la demande de Cisco ...

    Src : http://www.secuobs.com/news/18052004ciscocs.html(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.