Selon toutes vraisemblances, le code volé concernerait la version 12.3 de Cisco IOS. Il est donc probable que cet événement concerne quasiment 90% des équipements réseau. Cisco est en "alerte rouge" sur le sujet.
Aller plus loin
- Securitylab (8 clics)
- La dépêche sur Slashdot (5 clics)
- Dépêche ZDNet (3 clics)
# Ployglotte à mort !
Posté par tipmeabout . Évalué à 3.
C'est fort sur ce coup là! Les modérateurs sont-ils à ce point polyglotte?
[^] # Re: Ployglotte à mort !
Posté par Meap . Évalué à 6.
[^] # Re: Ployglotte à mort !
Posté par Meap . Évalué à 10.
http://www.securitylab.ru/45222.html(...)
a été retiré suite à la demande de cisco. Trop tard...
[^] # Re: Ployglotte à mort !
Posté par petit_bibi . Évalué à 7.
http://fr.news.yahoo.com/040517/7/3szog.html(...)
[^] # Re: Ployglotte à mort !
Posté par ouah (site web personnel) . Évalué à -1.
[^] # Re: Ployglotte à mort !
Posté par Gonéri Le Bouder (Mastodon) . Évalué à -1.
[^] # Re: Ployglotte à mort !
Posté par Beretta_Vexee . Évalué à -1.
http://www.deviantart.com/deviation/7119465/(...)
# Plus de détails...
Posté par Antoine Jacquet (site web personnel) . Évalué à 8.
http://fr.news.yahoo.com/040517/7/3szog.html(...)
# "security through obscurity" quand tu nous tiens
Posté par fouinto . Évalué à 10.
En revanche, le fait que Cisco soit en alerte rouge n'est pas rassurant... hé oui, tout le modèle de "security through obscurity" s'effondre ! je crois que c'est un exemple (et non une preuve) que ce modèle ne fonctionne pas à terme...
Je crois que ça montre l'un des intérêt majeur de l'open source : Cisco ne serait pas si inquiet si leurs codes avaient déjà été relus par des milliers de personnes...
Voilà qui devrait pousser tout le monde à faire au moins un premier pas vers l'Open Source... après, il n'y a plus qu'un pas à faire pour passer au libre :)
En d'autres termes, amha, ce n'est pas une mauvaise chose pour le Logiciel Libre.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par iug . Évalué à 6.
Ce qui fait marrer c'est qu'ils se disent "en alerte rouge". Sa signifie quoi, qu'ils sont plus très surs de la fiabilité de l'OS :)
Le reviewing de source par un expert sécurité c'est très efficace niveau découverte d'exploits. C'est là l'intérêt de la diffision des sources.
J'aimerais pas être à leur place.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . Évalué à -2.
C'est vrai, le reviewing par un expert en securite c'est tres efficace.
C'est pour ca que Cisco et autres engagent des societes specialisees pour relire le code, plutot que compter sur monsieur tout le monde qui soit :
1) N'a pas les competences
2) N'a pas le temps
3) N'a pas l'envie
Ca fait des mois que le code de Windows est dans la nature, a part le bug d'IE qui avait d'ailleurs deja ete corrige, personne n'a rien trouve, pourtant le code de Windows, c'est le genre de truc qui s'est downloade a tours de bras. Ca en dit long sur le mythe de l'efficacite de l'open-source niveau securite au meme titre que la qualite de softs tels que sendmail, wu_ftpd, openssh, bind,...
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
Comment le sais-tu ?
1) Tu es au courant de toutes les failles remontées à l'équipe sécurité de MS, qui pourrait être en train de colmater des brèches non encore divulguées ?
2) Tu espère que les vilains méchants vont te prévenir s'ils trouvent quelque chose ? (se rappeler du cas InterBase http://linuxfr.org/2001/01/15/1904.html(...) )
3) Tu n'agiterais pas beaucoup les bras des fois ?
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . Évalué à 0.
Eh oui, j'en corriges meme certaines quand elles arrivent, c'est mon boulot je te rappelle.
Tu espère que les vilains méchants vont te prévenir s'ils trouvent quelque chose ? (se rappeler du cas InterBase http://linuxfr.org/2001/01/15/1904.html(...(...)) )
Les vraiment vilains mechants non, et ils feraient de meme avec des softs open-source, le 99% des gens oui.
Tu n'agiterais pas beaucoup les bras des fois ?
Certaines fois probablement, pas cette fois
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Gilles Crebassa . Évalué à -2.
C'est toi qui a corrigé tous les bug de windows 2000 pour que XP soit plus "stable".
Félicitations et encore merci (ca m'evite de reformatter les machines des copains qui ont cliquer où fallait pas).
Allez, travaille bien.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . Évalué à 2.
On n'en a toujours pas recu une venant de gens ayant eu les sources(a part les boites qu'on a paye pour ca j'entends), donc faut croire que non.
Avoir les sources donne la possibilite d'auditer, si personne le fait ou ceux qui le font n'en ont pas les capacites, ca sert pas a grand-chose par contre.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Fabimaru (site web personnel) . Évalué à 5.
Ils vont tout de même pas dire "bonjour, je m'appelle Jean-Pierre Dupont, 13 rue des lilas à Niort, j'ai trouvé une faille grace aux sources récupérées illégalement".
Comment savoir si une faille a été découverte avec les sources ou avec un débugger ?
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . Évalué à -1.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Raphaël G. (site web personnel) . Évalué à 1.
Celui qu'il ont bien voulu me montrer permettait d'executer un octet par dépassement de mémoire donc pas exploitables, mais il en aurrai découvert un qui semble plus exploitable et ils travaillent dessus...
Quand à ce qui est du buffer overflow de 1 octet il est toujours présent depuis sa découverte 2 jours après la publication du code et tjs utilisable pour l'autre j'ai pas eu de news, sa montre que y a 0% des personne qui ont eu le code en main qui ont remonté le bug...
enfin sa montre bien les limites du modèle M$...
Ils essayent de se convaincre eux-même que leur modèle tiendra...
On rira encore plus lorsque des pirates vont piquer le code de la longhorn sur les passoire qui servent de serveur de test chez M$...
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . Évalué à 1.
Publie ? Un lien ?
enfin sa montre bien les limites du modèle M$...
Ils essayent de se convaincre eux-même que leur modèle tiendra...
Ah bon ? Parce que si ils font de meme avec les softs open-source en ne reportant pas les problemes ca va etre mieux ?
On rira encore plus lorsque des pirates vont piquer le code de la longhorn sur les passoire qui servent de serveur de test chez M$...
Remarque, nous, nos source servers n'ont jamais connu le sort des serveurs de Debian, gnu.org, etc...
Mais il fallait bien que tu lances une petite connerie non fondee et non argumentee sur MS, c'etait inevitable, ton post aurait pris le risque de paraitre interessant sinon.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Brice Carpentier . Évalué à 1.
La différence essentielle à mon sens, c'est que les gens ont globalement envie d'aider le libre, alors que (tout en utilisant MS/Windows) ils n'arretent pas de cracher sur le nom de Bill Gates.
Ce n'est amha pas une question de modèle, mais plus de réputation / image de marque de l'entreprise.
Sans compter bien entendu qu'une personne découvrant un exploit avec des sources récupérées illégalement prend un risque en le remontant.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Prosper . Évalué à 3.
a la tres grande difference que les sources servers de MS sont pas en frontal sur le grand ternet , alors gnu.org , debian savanah ou encore gentoo le sont ( cvs , bugzilla... ), forcement avec autant de service ouverts , les chances de se faire troufigner sont d autant plus grande . j aimerais bien voir les sources server MS en frontal sans aucun acces , a mon avis y aurait de quoi rigoler....
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par soulflyb (Mastodon) . Évalué à 6.
d'une part car cela aurait pour conséquence probable que du code windows se retrouve dans du code opensource (on en a largement discuter)
d'autre part car ils passent suffisament de temps sur des projets qui ne dépendent pas d'une multinationale
je crois que la raison du "peu de remontées" est là et pas dans le fait que le modèle opensource (i.e. l'audit du code par des centaines de personnes étrangères au projet) n'est pas viable
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Philip Marlowe . Évalué à 7.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par HappyCrow . Évalué à 2.
> Donc, si je comprends bien, ne pas donner les sources,c'est mal, mais quand les
> sources sont disponibles, ca te permet de corriger des failles que tu aurais mis pas
> mal de temps à trouver ?
Lis le début de "applied cryptography" de B. Schneier, il t'explique ça mieux que
je ne saurais le faire.
De plus, si tu publies les sources de ton soft: il se pourrait qu'un hacker, un vrai
(barbu et ventripotant) te montre des erreurs que tu n'aurais peut-être jamais
vu/testé. S'il est sympa (il a une âme de guru), il t'expliquera pourquoi et
te filera même un patch qui corrige le problème.
(là c'est pBpG, je m'énerve)
> On n'en a toujours pas recu une venant de gens ayant eu les sources(a part les
> boites qu'on a paye pour ca j'entends), donc faut croire que non.
C'est normal _PATATE_ : il est illégal de posséder les sources de MS en les
téléchargeant par P2P. Tu crois quand même pas que les gens vont se mettre
dans l'ilégalité pour corriger vos merdes et puis qu'ils vont vous donner leurs
coordonnées ensuite!!!
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . Évalué à 0.
téléchargeant par P2P. Tu crois quand même pas que les gens vont se mettre
dans l'ilégalité pour corriger vos merdes et puis qu'ils vont vous donner leurs
coordonnées ensuite!!!
Si t'appelles machintruc@yahoo.com une coordonnee identifiable, c'est que t'es pas du meme monde que moi.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par plic . Évalué à 3.
La faculté de citer est un substitut commode à l'intelligence -- Somerset Maugham
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . Évalué à 1.
Vous pouvez chercher des explications aussi longtemps que vous voudrez, la realite est qu'avec une bonne partie des sources de l'OS le plus vise de la planete dehors, personne n'a encore devoile de faille. Et dire que les sources de Windows ne sont pas d'interets aux gens cherchant des failles, c'est un gros gag.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Buto . Évalué à 1.
Faux. Sur Bugtraq, moins d'une semaine après l'annonce de la fuite des sources, quelqu'un a trouvé un "Integer Overflow" :
http://www.securityfocus.com/archive/1/354059(...)
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . Évalué à 1.
Bref rien ne dit qu'il n'a pas vu la vulnerabilite en live et retrouve le code source depuis la faille.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Skanx (site web personnel) . Évalué à 2.
Bien sûr, Mr MS, c'est le 213.xxx.xx.xxx
Merci bien Mr Yahoo :-)
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . Évalué à -2.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Black Fox . Évalué à 2.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par olympien . Évalué à 2.
Mais d'un point de vue philosophique, c'est triste de penser que le rassemblement de plusieurs personnes, le partage, l'entre aide, toutes ces valeurs magnifiques de l'open source, soient infèrieur au modèle propriétaire.
Je n'entrerai meme pas dans la polémique au point de vue "technique" des deux modèles, mais je tenais juste à donner un peu d'humanité pour relativiser tes propos.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Miair Patreau . Évalué à 8.
Quant au code de Windows, effectivement, tout le monde s'en cogne, sauf les adolescents qui ro><0r da W0rld et écrivent des virus pour prouver au monde que la pile du x86 n'a aucun secret pour eux. Le code source de windows est dans la nature, mais on n'a pas spécialement le droit d'en faire quelque chose, donc c'est tout comme s'il ne l'était pas. En tout cas pour la grande majorité des passionnés et/ou professionnels de systèmes d'exploitation.
Pour la dernière partie, je m'écrase, j'ai rien à dire. Si ce n'est que certes, même avec du logiciel libre on a souvent les mêmes défauts qu'avec du propriétaire close-source, mais l'utilisateur a au moins la possibilité d'y remédier.C'est mieux que rien, donc < foi modif="mauvaise" >a fortiori< /foi > mieux que close-source ;-).
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Wharf . Évalué à 0.
5 universitès françaises ont officiellement le code source des versions récentes de Windows....
[^] # Et pq pas les 2 ?
Posté par Seazor . Évalué à 2.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par ufoot (site web personnel) . Évalué à 2.
Bizarre moi on m'a rien montré... ...pourtant je travaille dans un service informatique, pour l'Etat français, on pourrait s'attendre à ce que je fasse partie des heureux élus qui ont le droit de le lire le code. Et d'ailleurs j'imagine qu'il y a des clauses à accepter avant de le lire le code, hein? Du genre a-t-on le droit de raconter tout ce qu'on a trouvé dedans? mmm? Et le dévoiler, quand on veut, sans prévenir MS? mmm? On a le droit de faire ça? Dire j'ai trouvé une faille le code est fait de telle et telle manière, et ce dans un lieu public, et sans être soumis à une quelconque validation de MS? On a le droit de faire ça?
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . Évalué à -1.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Gilles Crebassa . Évalué à -8.
J'aurais honte pour toi d'avoir dit ce genre de truc.
<Mode follie>
Tiens, ma société c'est fait piraté , le code source s'est fait volé mais si vous le voulez,allez rue des champs-élizé , arbre 12 (celui avec la croix bleu), dans la poubelle à gauche.
</Mode follie>
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par bad sheep (site web personnel) . Évalué à 5.
Il y a effectivement une partie de MSHTML dans une version ancienne... ok... mais il manque pas mal de choses : les composants réseaux, le kernel, ce genre de choses, qui sont habituellement utilisés pour les "exploits" (je sais, c'est un mauvais angliscisme :-)
C'est d'ailleurs assez dommage, si y'avait eu le code utilisé pour CIFS ou NTFS, ça aurait ptet permit quelques avancées pour l'interopérabilité.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . Évalué à 3.
2) Il y a des parties importantes du kernel entre autres
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Fred . Évalué à 1.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . Évalué à 2.
T'enleves tout ca, ca fond.
Les sources, je les ai sur ma machine, le package de Kazaa je l'ai vu, je sais ce qu'il contient.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Matthieu Moy (site web personnel) . Évalué à 3.
Oui, enfin, tant que c'est pas 100%, ça ne facilite pas la tache au niveau de l'audit de code. Pour comprendre comment marche un truc, perso, j'aime bien le compiler, le faire tourner un peu, jouer un peu du déboggeur pour comprendre comment s'enchainent certains trucs, ... Et ça, avec 10% du source, ou même avec 95%, c'est pas évident !
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par modr12 . Évalué à -1.
j'envois de ce pas ton signalement a la police puique tu l'as téléchargé
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par AlphA . Évalué à 6.
Le code source n'est pas complet. Il ne touche pas de composants critiques de l'OS. C'est MS lui même qui le disait à l'époque.
La faille corrigée sans rien dire à personne, c'est peut être pas la meilleure référence à sortir dans le cadre d'une discussion sur closed vs open. Du secure computing en patchant à la va vite, sans rien dire à personne, histoire de pas trop se faire charrier...
Vais en rajouter un peu tiens :
Pour un code source qui est sensé avoir été revu, par des dév ayant eu des formations sécu et tout, comme le disait les annonces bien marketing de l'époque. Le résultat est pas terrible quand on regarde les derniers mois. Blaster, sasser, etc.
Les OS sécurisés à grand renfort d'annonce alors que la protection anti stack overflow de win2k3 se contourne en 30 sec, ça fait quand même bien rire :) un brave pop,pop,ret et hop, fini la protection. Et ho, ironie suprème, cette séquence d'opcodes qui va bien, on la trouve, entre autre, dans l'exception handler associé à la détection d'une modification du "canari" .
Donc bon, pas de quoi se moquer de cisco ou tenter de faire une quelconque morale :p
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . Évalué à 3.
Il y a une bonne partie du code, dont une partie du kernel.
La faille corrigée sans rien dire à personne, c'est peut être pas la meilleure référence à sortir dans le cadre d'une discussion sur closed vs open. Du secure computing en patchant à la va vite, sans rien dire à personne, histoire de pas trop se faire charrier...
Va expliquer ca a Mozilla, ils font la meme chose.
Pour un code source qui est sensé avoir été revu, par des dév ayant eu des formations sécu et tout, comme le disait les annonces bien marketing de l'époque. Le résultat est pas terrible quand on regarde les derniers mois. Blaster, sasser, etc.
Compte le nombre de failles, pas l'impact. Regardes le nombre de failles jugees critiques sur WS03, le nombre est tres faible.
Les OS sécurisés à grand renfort d'annonce alors que la protection anti stack overflow de win2k3 se contourne en 30 sec, ça fait quand même bien rire :)
Il y a une protection anti-stack overflow dans win2k3 ? Ah bon, je suis pas au courant. Dans visual studio, et ils disent qu'elle est pas parfaite, mais pas dans Win2k3
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par hex . Évalué à 2.
Il y a un article sur le sujet dans l'avant dernier numéro de MISC. D'après l'auteur, c'est efficace contre les stack overflow "académiques". Mais si j'ai bien compris, des solutions existent pour détecter et contourner ce genre protection.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . Évalué à 5.
D'autre part, si tu lis la doc sur cette feature (cf. http://msdn.microsoft.com/library/default.asp?url=/library/en-us/vc(...) ) ils disent clairement que ca ne protege pas de tous les BO.
Bref, rien de nouveau
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Gilles Crebassa . Évalué à -2.
Aprés avoir payer pour faire une migration complete d'un parc de 200 machines, il faudrait passer à 2003 ? Et quoi encore ? c'est normal qu'il n'y a pas de reports de bug , il n'y a pas d'utilisateurs !!
En plus, on se choppent quand même les virus,donc ...
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par AlphA . Évalué à 4.
oui, tout à fait. Mais pas tout. Si j'ai un bout de code B qui utilise les fonctions d'une API A. Si je n'ai pas le code de A, c'est difficile de faire une étude exhaustive de B puisque par exemple, un problème de boundaries dans A peut avoir des conséquences dans B, etc. Donc pour pallier à ca, ben j'ai pas beaucoup d'autres choix que de tenter un désasm de la dll qui fournit A ou éventuellement faire un peu de fuzzing en prenant des cas potentiellement fournissable à A par B. Désolé, c'est pas clair. Mais enfin tout ça pour dire que ça aide pas d'avoir que des bouts. Mais je t'accorde que la très probable analyse de tout ces bouts par des tas de gens n'a pas donné grand chose.
> Va expliquer ca a Mozilla, ils font la meme chose.
One point. Remarque, les changelogs et diffs sont publiques :p (j'ai pas dit lisible)
> Compte le nombre de failles, pas l'impact. Regardes le nombre de failles jugees critiques sur WS03, le nombre est tres faible.
OK. Mais une faille critique ça reste une faille critique. Un système sous contrainte forte, il suffit d'une faille pour qu'il soit par terre. :/ Puis, je trouve que s'intéresser au nombre de faille, ça fait un peu comme les admins qui utilisent le top 10 du SANS institute pour dire qu'ils sont protégés. "Je suis immunisé contre les 10 failles les plus courantes". Too bad quand la 11ème lui tombe sur le coin de la tronche ;) En fait peu importe le nombre de failles, ou leur criticité. Il suffit parfois juste d'une faille ou d'une sucsession de petite faille pour compromettre un système particulier. L'impact des derniers vers découlent effectivement dans ce cas plus d'un grand nombre de machines sous win (et d'admin formé chez kinder) et pas du grand nombre de failles. Donc ok, le nombre de faille a effectivement diminué mais il existe toujours une menace majeure du à l'énorme majorité de win et au fait qu'il suffit donc d'une faille.
> Il y a une protection anti-stack overflow dans win2k3 ? Ah bon, je suis pas au courant. Dans visual studio, et ils disent qu'elle est pas parfaite, mais pas dans Win2k3
http://www.nextgenss.com/papers/defeating-w2k3-stack-protection.pdf(...)
LE flag /GS introduit dans le dernier visual studio a été utilisé pour compiler certaines parties de win2k3. Comme IIS 6 et pas mal de dll.
IIS dont certains bouts ont été exportés en kernel land alors que dans la même période khttp était marqué deprecated dans le noyau 2.6 :ppp
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par yoho (site web personnel) . Évalué à -7.
C'est qui ce blaireau de pasBill pasGates ?
J'ai lu tout ses commentaires et ils sont aussi inintéressants les uns que les autres
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Nico . Évalué à 4.
pBpG bosse chez microsoft et même si nombre de ses commentaires semblent plus que discutables je ne pense pas qu'il soit de mauvaise foi.
C'est ton commentaire pas constructif qui me semble inintéressant...
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par yoho (site web personnel) . Évalué à -2.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Xavier Teyssier (site web personnel) . Évalué à 3.
C'est pour ca que Cisco et autres engagent des societes specialisees pour relire le code,
Mais alors pourquoi sont ils passés en "alerte rouge" dès que les sources sont parties se baladées ?
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . Évalué à 6.
Je te laisse imaginer l'effet si dans 3 jours 80% des routeurs du backbone tombent.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par SoWhat . Évalué à 5.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Miair Patreau . Évalué à 1.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Stéf . Évalué à 2.
Et puis c'est déjà arrivé, wanadoo en avait fait les frais avec ses routeur cisco
ET puis concernant le kernel de W2K, perso je vois pas trop qq'un avoir les compétences suffisantes pour la lecture->recherche->écriture d'exploit surtout avec une partie du code.
Surtout qu'on doit pas en compter + d'une 100 aine par pays et qu'ils sont tous généralement ds des bonnes boites :)
Faut pas se leurrer, y aura _toujours_ des trous de sécurité dans windows comme ds nunux, bon ok sauf multideskos !
aujourd'hui intel va sortir des puces contre le buferoverflow (au secours ) qui lui à encore de beau jour devant
Mais qui dit que demain ce genre de faille ne sera pas re-découverte par un groupe du genre ADM ? hein ? rien.
Maintenant que tt le monde s'affole dès qu'une partie de code est révélé c'est qd même étrange ( code rouge, alerte mondiale, blablabla..)
Faut pas se demander si linux à autant de crédibilité aujourdh'ui c'est parce que des audits il en à eu quelques uns, et que son code ben il ets ouvert et qu'on voit pas non plus, plus de faille que ça.
[^] # Re: Code source Windows volé ?
Posté par Amaury . Évalué à 2.
C'est vraiment le code source de Windows qui a été H4X0risé ? Je croyais que ce n'était qu'une partie, non critique, du code d'une "vieille" version de Windows.
[^] # Re: Code source Windows volé ?
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Colin Leroy (site web personnel) . Évalué à 2.
Sasser, ça a pas un rapport? (vraie question)
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par petit_bibi . Évalué à 2.
Moi, ça me fait tout de suite penser à la guerre, avec le sous-marin plein de gyrophares rouges.
Alors que souvent, pour eviter la guerre, un tout petit peu d'ouverture aurait suffit... ;-)
Un programme est potentiellement une arme.
à ce rythme, proche est le jour ou le fait de penser(tm) ce programme suffira pour être catalogué comme terroriste.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par petit_bibi . Évalué à 5.
sisi, imagine, si CISCO devient ciSCO,
Ils riqueraient de retrouver des morceaux de ce code dans netfilter... Le prix de la license linux va encors augmenter mes petits... ;-)
Bon d' accord, je suis parano, mais avec les brevets logiciels, la LEN etc , il y a de quoi ...
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par mamelouk . Évalué à 3.
ou peut etre que ca va augmenter le pouvoir de lobbyistes de l'informatique qui vont faire voter des lois encore pire.
Ca peut etre autant un argument en faveur du libre qu'un argument pour la protection des codes proprietaires...
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par Miair Patreau . Évalué à 1.
"La souscription d'un abonnement internet pour un particulier doit être soumis à l'agrément du Consortium des Entreprises pour la Confiance des Transmission.
La CECT a de plus tout pouvoir de faire annuler temporairement ou définitivement le droit d'utilisation de cet abonnement. Dans ce dernier cas, le particulier est autorisé à résilier son abonnement, en respectant 6 mois de préavis."
;-) ?
# Souvenez vous, c'était hier ...
Posté par FRLinux (site web personnel) . Évalué à 10.
Maintenant pour le piratage d'informations sensibles, les compagnies vont peut être se rendre compte que tourner un OS tel que Microsoft n'est pas une bonne idée. Je ne lance pas un FUD mais Valve Software l'a payé cher il y a 6 mois avec Half Life 2 partiellement recopié grâce a des stations Windows mises en backdoor ... http://hl2.ogaming.com/(...)
J'étais en contact avec des revendeurs Cisco et aie participé à une démo dans les locaux mêmes de la boite à Dublin. Ils démontraient une solution d'IP telephony. Quand j'ai demandé quel système tournait le serveur, on m'a répondu Windows 2000 customisé. J'ai donc demandé s'ils comptaient sortir un équivalent Linux et Cisco m'a dit que oui ... C'était il y a 5 mois. Pas de nouvelles depuis.
Steph
[^] # Re: Souvenez vous, c'était hier ...
Posté par pasBill pasGates . Évalué à 9.
Remarque, le code source de Windows a ete vole grace a une station Linux hackee... si il faut en tirer la meme conclusion, on va tous finir sous MultideskOS
[^] # Re: Souvenez vous, c'était hier ...
Posté par Fabien Jakimowicz . Évalué à 2.
[^] # Re: Souvenez vous, c'était hier ...
Posté par pasBill pasGates . Évalué à 0.
[^] # Re: Souvenez vous, c'était hier ...
Posté par Clément Stenac (site web personnel) . Évalué à 1.
Rien ne dit que le code que l'on recoit est celui tel qu'il a été volé, c'est bien le problème avec tous ces contenus illégaux, c'est qu'il est difficile de leur faire confiance (on estime que 50% des exécutables dans les réseaux p2p sont des virus/trojans)
[^] # Re: Souvenez vous, c'était hier ...
Posté par wismerhill . Évalué à 1.
[^] # Re: Souvenez vous, c'était hier ...
Posté par Gilles Crebassa . Évalué à -2.
<Mode flashback kernel=http://linuxfr.org/comments/411484,1.html(...) >
PS: tu n'a pas encore fini ton script en VBA pour faire un graphique avec les évolutions des patchs du kernel ? non ? dommage, le concours est fini et tu as perdu <game over>
</Mode flashback kernel>
[^] # Re: Souvenez vous, c'était hier ...
Posté par pasBill pasGates . Évalué à 8.
Si le monsieur savait de quoi il parlait, il saurait que le code source a ete vole a une societe qui fait des portages Unix<->Windows, pas chez MS
[^] # Re: Souvenez vous, c'était hier ...
Posté par Matthieu Moy (site web personnel) . Évalué à 10.
Vous pourriez arrêter de vous enfoncer SVP ?
Le code source de Windows n'a pas été volé chez MS, mais chez quelqu'un qui avait obtenu le source via le programme shared source de MS.
Une partie du code concernait un portage Linux de je-sais-plus-quoi, ce qui explique qu'il ait été utilisé sous Linux. On trouve des fichiers gnumakefile, et même un core dump de vim, paraît-il.
Maintenant, sur le fait que le code ai été volé sur la machine Linux en question, je n'avais pas eu cette info. Tu pourrais nous en dire plus PbPg ?
> Peut-être qu'ils ont rien compris à la configuration ?
comme ces abrutis d'administrateurs de debian.org, et autres qui se sont fait piratés en cascade fin 2003 ?
Ah, on me soufle dans l'oreillette que ce ne sont pas des abrutis, mais qu'ils se sont fait pirater quand même ...
Faudrait arreter de répendre l'idée que Linux est 100% sécurisé. Oui, Linux est relativement bien sécurisé, mais non, il n'est pas invincible. Avec un Linux pas mis à jour depuis 1 an, il y a un paquet de façons de prendre le controle de la machine à distance et de passer root, et ce n'est pas très intelligent d'affirmer le contraire pour la crédibilité du mouvement du libre.
[^] # Re: Souvenez vous, c'était hier ...
Posté par pasBill pasGates . Évalué à 2.
Le code etait utilise par MainSoft, une boite qui fait des portages Unix<->Windows, dans le package on pouvait trouver un core dump de vim, et des textes pondus par un gars de Mainsoft.
[^] # Re: Souvenez vous, c'était hier ...
Posté par Matthieu Moy (site web personnel) . Évalué à 4.
> dans le package on pouvait trouver un core dump de vim,
Oui, c'est ce que disais mon commentaire, ça :o)
Mais ça ne prouve pas du tout que la machine sur laquelle a été volé le code était une machine Linux. C'est vraissemblable, mais pas sur du tout sur. Ca peut aussi bien être un répertoire recopié sur une autre machine, un .tar.gz envoyé par mail non crypté, un CD de backup qui traine au fond d'un tirroir, ... ou même quelqu'un qui avait accès légalement au source et qui l'a mis volontairement (et illégalement) à dispo sur Kazaa !
[^] # Re: Souvenez vous, c'était hier ...
Posté par majinboo . Évalué à 1.
Pas du tout le code source aété volé dans une boite exterieure à microsoft et ce n'etait pas le code source de windows 2000 mais celui d'un service pack de windows 2000 ce qui limite pas mal. Apres je vois pas pourquoi microsoft n'utiliserait pas de pc sous linux, ils ont bien des mac pour faire tourner les logiciels adobe qui servent à faire leur livres microsoft press.
[^] # Re: Souvenez vous, c'était hier ...
Posté par drac . Évalué à 3.
Je suis étudiant, et je n'ai pas de quoi m'offrir des logiciels comme Windows, Office, ou Photoshop. J'utilise donc une solution libre et gratuite (qui marche pas trop mal à mon gout). De plus, je n'aime pas le principe de la sécurité par l'obscurentisme, j'aime bien savoir ce qu'il se passe sur mon/mes machines, et Linux me le permet, à la limite je peux même faire des modifications si cela me chante.
Enfin voilà, Linux c'est différent, et c'est pour cela que je l'aime.
[^] # Re: Souvenez vous, c'était hier ...
Posté par pasBill pasGates . Évalué à 6.
Linux a des bon points pour lui, ces mythes n'en font pas partie.
[^] # Re: Souvenez vous, c'était hier ...
Posté par Jimmy . Évalué à 4.
Ca fait quoi si on dénonce à Microsoft un de ses client qui ne respecte pas le CLUF ?
JiM
[^] # Re: Souvenez vous, c'était hier ...
Posté par Jak . Évalué à 5.
Microsoft te répond (sur du très beau papier, je trouve) de te démerder avec le revendeur et puis d'aller te faire voir. J'ai la lettre de madame Véronique G. du département juridique de Microsoft sous les yeux juste là qui se résume à peu près en ces termes.
[^] # Re: Souvenez vous, c'était hier ...
Posté par ZedAhU . Évalué à 2.
[^] # Re: Souvenez vous, c'était hier ...
Posté par Gilles Crebassa . Évalué à -1.
bon,je --->[]
# "Cisco, des réseaux qui se protègent tout seuls !"
Posté par CityHunter . Évalué à 8.
Pub mensongère ? Voila une news qui devrait faire réfléchir les décideurs pressés...
Je n'aime pas le piratage mais quand on veut faire croire aux gens qu'un réseau peut se protéger tout seul.... Cisco l'a bien mérité, à mon avis.
[^] # Re: "Cisco, des réseaux qui se protègent tout seuls !"
Posté par arapaho . Évalué à 2.
Je suis également capable de me défendre tout seul. Dans certaines limites. Et dans certaines conditions.
Les publicités de n'importe quelles sociétés sont toujours vagues, avec souvent des bandeaux-écrits-tout-petit-défilant-à-fond-la-caisse-en-bas-de-l'écran
C'est fait pour attirer. Après libre à toi de faire 100% confiance à la pub et de te ruer sur le nouveau produit sans faire gaffe, ou bien d'observer le produit, récupérer des feedbacks, et tester ce produit si jamais tu considères que d'après les informations récoltées, il parait viable.
Si le test se révèle concluant, tu pourras ensuite consommer ce produit.
Essaie avec du pain de mie tu verras :)
[^] # et IBM ?
Posté par Seazor . Évalué à 2.
Tu comptes en dire la même chose ?
[^] # Re: et IBM ?
Posté par Raphaël G. (site web personnel) . Évalué à 1.
Ce qui n'est plus de la pub mensongère puisque tout dépend de ce que tu met derrière le presque...
Alors que cisco se permet de ne pas laisser la marge d'erreur, IBM a eu la sagesse(expérience) de laisser une marge d'erreur...
[^] # Re: et IBM ?
Posté par Christophe Martel . Évalué à 3.
http://www.poudreverte.com/(...)
# 800 Mo ?
Posté par url . Évalué à 1.
Je me pose une question, naïve, ou disons la première question d'un non développeur, mais que représentent 800 Mo de code source ? Ca me paraît énorme, il y a les textures avec ou quoi ? Toutes les versions (i.e. cvs ou autre), des documents de conception ? Ou bien juste du code source (commenté) ? (je ne parle pas des source d'IOS en particulier évidemment mais en règle générale).
[^] # Re: 800 Mo ?
Posté par Raphaël G. (site web personnel) . Évalué à 0.
[^] # Re: 800 Mo ?
Posté par Gwenaël Casaccio . Évalué à 1.
Si ils sont beaucoup plus nombreux et qu'ils gardent toutes les versions ca doit être possible :s
[^] # Re: 800 Mo ?
Posté par Michel Rodriguez . Évalué à 0.
Ce projet emploie plus d'une 30aine de personne
800Mo ca paraît effectivement enorme mais si les docs sont faites avec MS-Word, et qu'elles sont incluses, pas de doutes, c'est possible :-))
[^] # Re: 800 Mo ?
Posté par ZedAhU . Évalué à 1.
mais qu'au dela de cette base il y a enormement de code spécifique pour chaque plateforme (routeur, switch, carte d'extension). Et que même pour une version d'IOS donnée pour un équipement donné, il existe plusieurs dérivées, par exemple support de tel ou tel protocols ou de fonctions de crypto etc. Donc ce n'est pas si énorme que ca, surtout quand on voit que certains routeurs qui date sont encore supportés dans les dernieres version. En résumé IOS ce n'est pas un projet mais plusieurs projets.
# code source retiré du site russe
Posté par oumpa . Évalué à 2.
Src : http://www.secuobs.com/news/18052004ciscocs.html(...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.