Les autorités fédéral américaines ont attribué au couple IBM / Suse, le CC (Commun Critera).
L'ordinateur doit respecter un certain nombre de règles pour que l'ordinateur soit jugé fiable en terme de protection des données.
Encore une preuve supplémentaire de la qualité de notre OS préféré (pour ceux qui en douteraient)
Aller plus loin
- Critères communs (2 clics)
- Google (Rubrique connexes à l'article) (3 clics)
- L'Article de TV5 (2 clics)
- Document CC en francais (v 2.0) part1 (2 clics)
- Document CC en francais (v 2.0) part2 (2 clics)
- Document CC en francais (v 2.0) part3 (2 clics)
# Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Torquemada . Évalué à 6.
on peut voir dans leur liste que même windows 2000 est certifié pour la sécurité, alors je me pose quand même quelques questions sur cet organisme...
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Boa Treize (site web personnel) . Évalué à -5.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par or zax . Évalué à 5.
Avant d'être sous linux j'ai travaillé sous 2000 et je n'ai rien à reprocher à cet OS, ni en stabilité ni en sécurité, et je pense que c'est vraiment le meilleur de la série, je ne me prononce pas pour XP car je ne le connais pas.
Même si je recommande n'importe quel UNIX ou alternative libre pour les serveurs (FreeBSD, Linux), c'est avant tout pour le respect des standard, de l'inter-opérabilité, le respect de la vie privée, la transparence et non la sécurité.
D'autant plus que microsoft fait vraiment son maximum pour réduire le temps entre le moment où on découvre une faille et le moment où il livre un patch, ce qui est un des aspects les plus déterminants de la sécurité.
Je ne vois pas en quoi il est choquant que cet organisme déclare windows 2000 comme un système sûre.
zax
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par couriousous . Évalué à 8.
http://informatics.ntu.edu.au/staff/kgilbert/security/shatter_attac(...)
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par pasBill pasGates . Évalué à 0.
C'est comme avoir un shell root qui a un socket ouvert et accepte des connections de n'importe qui, c'est pas le systeme la faille, c'est le shell qui fait le con.
[^] # c'est la faute des applications !
Posté par free2.org . Évalué à 4.
et moi je crois tout ce que le système me dit :)
bon dans la pratique on sait qu'il y aura toujours des failles de sécurité dans les applications qui ne sont pas de petite taille, c'est donc au système de proposer d'exécuter facilement et efficacement ces applis dans une sandbox protégeant des overflows et controlant TOUS les appels sytèmes.
Et Linux le fait, lui.
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à 0.
bon dans la pratique on sait qu'il y aura toujours des failles de sécurité dans les applications qui ne sont pas de petite taille, c'est donc au système de proposer d'exécuter facilement et efficacement ces applis dans une sandbox protégeant des overflows et controlant TOUS les appels sytèmes.
Et Linux le fait, lui.
Aucune des grosses distrib Linux sur le marche ne le fait, ce ne sont que des patchs non supportes par les distrib, bref inutilisables.
[^] # Debian apt-get
Posté par free2.org . Évalué à 3.
LSM, SElinux, systrace, fireflier, userModeLinux et plex86 sont tous dans Debian: je te conseille de taper man apt-get ou de consulter ma page APT sécurisé "pour les nuls" http://free2.org/d/(...)
un des avantages des softs libres, c'est qu'on peut les étudier avec Valgrind avant de leur faire confiance (apt-get valgrind aussi)
[^] # Re: Debian apt-get
Posté par pasBill pasGates . Évalué à 2.
Ces compagnies ne te font du support que si tu ne changes pas les paquets qu'ils te filent, sinon c'est bonjour la cata et elles garantissent rien.
[^] # Re: Debian apt-get
Posté par NebuchadnezzaR . Évalué à 2.
Ben pour ce qui est de Suse, ici au CCC y'a eu un presentation de SELinux et un des deux gars était de chez suse... c'est tout ce que j'en sais, mais bon certain pourront troller à tout va en disant tout le mal qu'ils pensent des su-cités, moi je préfère pas utiliser ;-)
[^] # Re: Debian apt-get
Posté par - - . Évalué à 7.
windows n' a rien de tout cela, que cela soit en offre commercial et pro de la part de microsoft ou pour le bidouilleur
tandis que linux n'aurait pas encore d'utilisation mature et professionnelle de ces nouvelles fonctionnalités
mais le connaisseur et admin motivé peut déjà les mettre en place.
c'est déjà ça, non ?
que l'offre commercial soit mauvaise ne condamne pas a mettre la tete ds un bloc de beton
que les "autres ne le font pas" ne vous obligent pas a faire l'autruche.
openBSD a divers systemes pour sécuriser la machine de puis longtemps. si vous avez un besoin critique, il vaut mieux se renseigner sur lui, plutot que de dire "baaah, y a pas de support des grands".
utilisateur pro de windows 2000 ,je vois pas en quoi il serait si sécurisé
on a quand même eu plus d'alertes de sécurités grave avec win que linux
et attention, ds le cas de windows c toujours lié a des services de bases.
la sécurité, c pas seulement une histoire de bugs
car win 2K est nettement moins buggé que NT ou win me, c un bon windows.
non, c surtout lié a un manque de transparence de windows et microsoft
que sait on des protocoles dedans ? comment savoir exactement ce que fait tel ou tel service ? il y a beaucoup moins de confiances avec windows que avec linux.
je me rappelle encore du fait que pas mal de programmes microsoft integrent un minu-serveur sql qui buggé, pouvait provoquer un trou de sécurité sur je ne sais plus quel port (54xx ? )
voit on cela sous les projets opensources de linux ? et combien même, vu que le linux est fourni de base avec pléthore de fonctions pour voir ce qui se passe, l'admin tatillon peut vite tout savoir. si on utilise des projets opensources on a les moyens de savoir ce qui se passe.
la différence avec windows ? de base, linux aide d'avantage a ce que le systeme soit transparent. pour l'admin c'est lui donner plus de moyens pour sécuriser.
[^] # Re: Debian apt-get
Posté par pasBill pasGates . Évalué à 1.
C'est bien que ca existe, mais tant que c'est a ce stade ca apporte pas grand chose de reeel aux utilisateurs.
on a quand même eu plus d'alertes de sécurités grave avec win que linux
et attention, ds le cas de windows c toujours lié a des services de bases.
T'appelles quoi services de base ? des elements de base du systeme ou livres par defaut ?
Car IE, IIS et Outlook peuvent difficilement etre consideres comme elements de base du systeme.
que sait on des protocoles dedans ? comment savoir exactement ce que fait tel ou tel service ? il y a beaucoup moins de confiances avec windows que avec linux.
Les services, une simple recherche 5 minutes sur le net te dit ce qu'ils font(peut-etre ecrit dans le manuel ou dans le help, pas sur), les protocoles, euh je vois pas l'utilite.
Cependant je suis assez d'accord que Windows donne une impression plus "opaque" que Linux a l'utilisation.
[^] # support Debian IBM, Alcove, EasterEggs
Posté par free2.org . Évalué à 3.
http://www-5.ibm.com/fr/netgen/linux.html(...)
http://www.ibm.com/Search?v=11&lang=fr&cc=fr&q=debian&a(...)
http://www.alcove.com/fr/FR/press/releases/2000/20000405(...)
http://www.easter-eggs.com/(...)
Suse supporte plusieurs extensions de sécurité dont SE Linux qui controle tous les appels sytèmes
Redhat supporte des trucs sympas comme exec-shield qui controle les overflows
Bref change 1 peu ton (très) vieux discours sur le manque support Linux
[^] # Re: Debian apt-get
Posté par CityHunter . Évalué à 1.
Pourtant, les avocats de Bill, lors du procès, ont prétendu que IE était un élément de base de windows et qu'ils ne pouvaient pas le dissocier du système.
Le son de cloche est décidément bien différent entre les dévs et les marketeux... (Et malheureusement ce type de conduite n'est pas l'apanage de Krosoft)
[^] # Re: Debian apt-get
Posté par Gloo . Évalué à 1.
Mouahahahaha....
[^] # Re: Debian apt-get
Posté par un_brice (site web personnel) . Évalué à 2.
http://www.gentoo.org/proj/en/hardened/(...)
[^] # Re: c'est la faute des applications !
Posté par couriousous . Évalué à 2.
Pour celui qui doute de la faisabilité, essaie, tu verras ;) ... ( perso, j'ai essayé sur Win98.
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à 2.
Certains pourtant continuent a le faire, c'est exactement similaire a un shell root sous Unix qui a un socket ouvert au monde.
C'est la maniere dont l'OS est concu, et ils ne comptent pas le changer. Ensuite si ton appli tourne en root et qu'elle decide de faire des conneries, Linux ou Windows, ca va finir en queue de poisson.
Les attaques sont differentes sous Linux et Windows, car les systemes sont differents, mais ces attaques ne sont pas dues au systeme lui meme, mais a des applications qui sont codees a l'encontre des principes du systeme.
Sinon pour Win98, Win98 n'a aucune notion d'utilisateur, donc ca ne sert a rien d'essayer cette attaque en particulier, t'as de toute facon la possibilite de jouer avec tous les process du systeme...
On parle de W2k et XP ici.
[^] # monopole clavier xterm
Posté par free2.org . Évalué à 1.
non. ca ressemble de loin à une application root sous X qui accepterait des commandes sans qu'elles viennent d'un clavier monopolisé (les xterms ont une option de monopole du clavier, sans meme avoir besoin d'utiliser xsupervisor ou Xsecurity)
la différence (énorme), c'est que sous X on peut pas forcer une application root à faire quelque chose, et encore moins à lancer des commandes arbitraires si cette application n'est pas un shell
enfin l'usage qui veut que les GUI ne soient jamais imposées pour toutes les taches effectuables sous Linux, permet d'exécuter tous les programmes qu'on estime importants (pas seulement ceux de root) en mode console exclusivement
[^] # Re: monopole clavier xterm
Posté par Nap . Évalué à 2.
ca me fait penser...
est-ce possible via un programme de piloter une appli X ?
c'est-à-dire écrire blabla dans un champ de texte, actionner un bouton etc...
ou peut-etre faut il taper plus haut dans la bibliothèque graphique (qt, gtk...) et la encore est-ce possible ?
est-ce possible de récupérer la liste des fenetres, avec pour chaque fenetre les containeurs, les widgets de chaque containeur etc... et ensuite y accéder comme je le précise juste au dessus
de manière a detecter une certaine fenetre et réagir lorsqu'elle apparait en cliquant sur un bouton par exemple
[^] # pilotage appli X
Posté par free2.org . Évalué à 3.
oui. par défaut (ie si l'utilisateur n'active pas le mode untrusted de la "security extension" ou xsupervisor) une application qui a le droit de se connecter au serveur X (via xauth, donc par défaut seules les applications appartenant à l'utilisateur du X) peut observer les événements que recoit une appli X (sauf pour les application ayant demandé le monopole du clavier/souris), lire et écrire dans le presse-papier, copier l'affichage des autres fenetres et envoyer des événements (grace à Xtest extension ou Xtrap extension)
avec pour chaque fenetre les containeurs, les widgets de chaque containeur etc
là il faudrait passer par qt/gtk car X ne manipule que des bitmaps et des fontes en fait
de manière a detecter une certaine fenetre et réagir lorsqu'elle apparait en cliquant sur un bouton par exemple
c'est donc possible uniquement si les réglages de sécurité du X le permettent
quelques softs: xmacro, xtrap, xmx (pour travailler en même temps à plusieurs et à distance avec la même application)
[^] # Re: monopole clavier xterm
Posté par Tab Tab . Évalué à 1.
[^] # Re: c'est la faute des applications !
Posté par Philippe F (site web personnel) . Évalué à 4.
Deuxieme point, l'enchainement et la dependance des services a l'interieur de windows est tellement compliquee qu'il est tres dur de ne faire tourner que les services dont tu as besoin (et ca, c'est pas moi qui le dit, c'est un mec de Microsoft, cf les document Halloween)
> On parle de W2k et XP ici.
Ca veut dire en gros que Micrsoft commence a se preoccuper de la securite de son systeme depuis 2000 alors qu'il le developpe depuis 1986. Sous unix, la securite est un principe qui est present depuis beaucoup plus longtemp. Present et mis en application.
Et puisqu'on parlait des applications, microsoft est lui-meme responsable de la plus grande passoire de tous les temps, a elle seule responsable de pertes de milliards de dollar a l'echelle mondiale, j'ai nomme: Outlook et son execution automatique de code VB dans un mail,( ou comment abaisser la barriere technique pour ecrire un virus).
Bref, je pense que niveau securite, microsoft est indefendable. Ils sont tout simplement mauvais et c'est une honte qu'une boite qui fournit autant de logiciel en ait aussi peu a foutre de la securite de ses clients. Je parle en tant que professionnel de l'informatique et chef d'entreprise.
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à 0.
Deuxieme point, l'enchainement et la dependance des services a l'interieur de windows est tellement compliquee qu'il est tres dur de ne faire tourner que les services dont tu as besoin
Expliques moi donc quels sont ces problemes
Ca veut dire en gros que Micrsoft commence a se preoccuper de la securite de son systeme depuis 2000 alors qu'il le developpe depuis 1986
Bon je vais etre plus precis alors.
Depuis NT, c'est a dire 1992. J'ai dit 2000/XP car c'est les OS d'aujourd'hui
Et puisqu'on parlait des applications, microsoft est lui-meme responsable de la plus grande passoire de tous les temps, a elle seule responsable de pertes de milliards de dollar a l'echelle mondiale, j'ai nomme: Outlook et son execution automatique de code VB dans un mail,( ou comment abaisser la barriere technique pour ecrire un virus).
Outlook n'est pas pire que wu_ftpd ou sendmail niveau securite, simplement vu qu'il est plus utilise et qu'il est utilise par des novices, ca a plus d'impact.
Bref, je pense que niveau securite, microsoft est indefendable. Ils sont tout simplement mauvais et c'est une honte qu'une boite qui fournit autant de logiciel en ait aussi peu a foutre de la securite de ses clients. Je parle en tant que professionnel de l'informatique et chef d'entreprise.
Moi je dirais plutot que tu parles en tant que linuxien qui prefere ne voir que le mal chez l'autre, mais ce n'est que mon avis, et je le partages.
[^] # Re: c'est la faute des applications !
Posté par saorge . Évalué à 5.
Outlook n'est pas pire que wu_ftpd ou sendmail niveau securite, simplement vu qu'il est plus utilise et qu'il est utilise par des novices, ca a plus d'impact.
Ben, une différence fondamentale dans ta comparaison :
- Outlook : MUA, application cliente exécutée par des gens pas forcément spécialiste en informatique
- wu_ftp et sendmail : application serveur, normalement exécutée par des professionnels de l'informatique
Donc, je pense que l'on ne peux pas vraiment comparer ces programmes. A la limite, on peut comparer sendmail et Messenger. Mais pour comparer Outlook à un programme libre, il faudrait prendre evolution, etc.
Faut faire gaffe avec les comparaisons !
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à -1.
[^] # Re: c'est la faute des applications !
Posté par ptit_tux . Évalué à 2.
> Outlook n'est pas pire que wu_ftpd ou sendmail niveau securite
Je m'inscrit en hyper faux. Outlook a des trous de sécurité au niveau de la conception. Autorité VB (qui n'a pas le niveau de sécurité de java en applet par exemple) dans les mails est une ÉNORME connerie. D'ailleur MS le sait très bien et a dit qu'à l'avenir, entre fonctionnalité (avoir VB) et sécurité ils supprimeront la fonctionnalité.
Ainsi, à l'avenir des fonctionnalités vont être supprimées à cause d'erreur de conception grossière (d'où la nécessité d'avoir un anti-virus qui filtre avant d'attaquer Outlook). Mais dans wu_ftpd ou sendmail, pour assurer la sécurité :
- Il n'y a pas d'antivirus
- Le renforcement de la sécurité ou la correction d'un trou de sécurité ne passe pas par la suppression de fonctionnalités.
Et puis wu_ftpd et sendmail sont très utilisés....
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à 0.
Sauf faille dans le code, VB ne va pas t'executer tout et n'importe quoi, ce n'est donc pas un probleme de conception, mais des failles comme d'autres.
Mais dans wu_ftpd ou sendmail, pour assurer la sécurité :
- Il n'y a pas d'antivirus
- Le renforcement de la sécurité ou la correction d'un trou de sécurité ne passe pas par la suppression de fonctionnalités.
Non, par contre il y a un patchage regulier, tout comme Outlook.
Outlook, t'as pas besoin d'anti-virus tant que personne ne clicke sur un attachement executable, hors la plupart des novices le font, donc faut les proteger contre eux-meme, et Outlook mainetnant bloque meme l'arrivee d'attachements executables, a cause d'un manque de connaissances de l'utilisateur, pas a cause d'une faille de l'appli.
[^] # Re: c'est la faute des applications !
Posté par ptit_tux . Évalué à 3.
Ben le patch on l'attend depuis longtemps. Et tu peux me pointer sur un advisory de MS sur ce point ?
> Outlook, t'as pas besoin d'anti-virus tant que personne ne clicke sur un attachement executable
Et sous Linux même si tu clickes sur un attachement executable t'as pas besoin d'anti-virus.
> hors la plupart des novices le font, donc faut les proteger contre eux-meme
Ça ne fait pas parti des buts d'un OS généraliste ça ?
> Outlook mainetnant bloque meme l'arrivee d'attachements executables, a cause d'un manque de connaissances de l'utilisateur
Ben ils ont fini par la corriger cette faille de sécurité.... En combien de temps ?
T'es en train d'expliquer que Outlook n'est pas sûre pour un novice et que c'est de la faute des novices car ce ne sont pas des experts... Tu vois pas un problème dans ton raisonnement.
Sous Linux il faut être un "expert" pour exécuter les pièces attachées. Tu ne peux pas l'excécuter directement. Il faut sauvegarder, changer le mode du fichier et l'excécuter. C'est pas un problème technique mais un chois de conception pour des raisons évidentes de sécurité. Avec un navigateur c'est la même chose. Sous Linux le fait de visualiser un document (Ooo par exemple) ne te fait pas courir des risques. Sous Linux il n'y a pas une option pour règler le niveau de sécurité du navigateur. Le navigateur est sûre par défaut, de part sa conception.
Puis compares Java à VB lorsqu'il est dans un document. La conception de java ne te permet pas de fouiller le carnet d'adresse, de supprimer des fichiers...
T'aime bien Windows, et pour ma part j'ai beaucoup de respect pour les compétences techniques de MS (de toute manière on ne devient pas le numéro 1 pour rien).
Mais là ton "amour" frise l'aveuglement alors que les pertes liés à cette "fonctionnalité" (je sens que tu vas dire "à l'incompétence des novices") sont énormes.
[^] # Re: c'est la faute des applications !
Posté par allcolor (site web personnel) . Évalué à 5.
Ceci est totalement faux... outlook a eu plusieurs problèmes de sécurité lié à l'exécution automatique de script vb à l'affichage dans la fenêtre de pré-visualisation... c'est facile de dire que c'est les utilisateurs les neuneus...
[^] # Re: c'est la faute des applications !
Posté par allcolor (site web personnel) . Évalué à 2.
http://www.securiteam.com/windowsntfocus/5AP0L0U6LW.html(...)
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: c'est la faute des applications !
Posté par Gruik Man . Évalué à 2.
http://www.securityfocus.com/archive/1/330513/2003-07-23/2003-07-29(...)
http://www.securityfocus.com/archive/1/331072/2003-07-23/2003-07-29(...)
Et ça, c'est pas une erreur de conception, peut-être? : )=
[^] # Re: c'est la faute des applications !
Posté par allcolor (site web personnel) . Évalué à 2.
Et maintenant de dire : Oui, mais ca c'est des bugs de code, pas de conception
ça me fait une belle jambe que ça vienne pas de la conception... en attendant si je perds toutes mes données ça change quoi d'où provient le problème...
Ni une ni deux, soit tu jettes outlook à la poubelle... soit t'installes un anti-virus... parce que moi mes données elles sont plus importantes que de savoir si le problème vient de la conception ou de la mauvaise programmation....
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à -1.
[^] # Re: c'est la faute des applications !
Posté par allcolor (site web personnel) . Évalué à 2.
[^] # Re: c'est la faute des applications !
Posté par allcolor (site web personnel) . Évalué à 0.
===> [-1]
[^] # Re: c'est la faute des applications !
Posté par ptit_tux . Évalué à 2.
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à -2.
J'en connais un pour Eudora par contre :
http://www.quickheal.com/xgen.htm(...)
Bref, Outlook n'a rien de special a ce niveau.
[^] # Re: c'est la faute des applications !
Posté par ptit_tux . Évalué à 2.
Bizarre mais il n'y a pas eu de virus pour netscape (qui fait mailer aussi). Bizarre, Bizarre.
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à -1.
Car il n'y en avait pas ca veut dire que c'etait pas utile ?
Il n'y avait pas d'anti-virus pour Outlook non plus a une epoque.
[^] # Re: c'est la faute des applications !
Posté par ptit_tux . Évalué à 1.
Je trouve comique que tu refuses de critiquer la sécurité dans les produits de Microsoft alors que Microsoft a fait son auto-critique. Le niveau de sécurité de Windows/Office c'est déjà grandement amélioré. D'ailleur je suis convaincu que les virus sous Windows seront épisodique dans 3 ou 4 ans pour leur nouveaux produits. Et ce jour là tu seras bien dans la merde pour expliquer pourquoi les anti-virus ne sont plus nécessaires. MS semble avoir sérieusement pris en compte le problème. Mais pas toi.
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à 1.
Les anti-virus sont la pour proteger le systeme des utilisateurs principalement.
Sur Amiga il y a 12 ans, il n'y avait pas de TCP/IP, pourtant les virus se promenaient partout.
Pourquoi ? Parce que les utilisateurs ne comprenaient rien et lancaient toto.exe pour une raison x ou y. Pourtant il y avait pas de lecteur de mail qui leur permettait de tout lancer automatiquement, ils devaient le faire eux meme et le faisaient.
Resultat : des anti-virus sont apparus, pour verifier au lancement les executables.
Moi je suis sur que les virus ils seront toujours la dans 3-4 ans sous Windows, et si Linux se repand sur le desktop, il aura des petits amis parasites aussi qui apparaitront.
[^] # Re: c'est la faute des applications !
Posté par couriousous . Évalué à 1.
[^] # Re: c'est la faute des applications !
Posté par allcolor (site web personnel) . Évalué à 1.
[^] # Re: c'est la faute des applications !
Posté par couriousous . Évalué à 1.
[^] # Re: c'est la faute des applications !
Posté par allcolor (site web personnel) . Évalué à 1.
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à 1.
Un truc qui se met entre le fileystem et le systeme et regarde ce qui accede au disque, de quelle maniere,...
[^] # Re: c'est la faute des applications !
Posté par Pierre Jarillon (site web personnel) . Évalué à 1.
Cherche un peu...
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à 0.
Un virus c'est quoi ? Un executable ou un script.
Comment est-ce qu'un soft peut savoir si il faut permettre a un executable/script X de se lancer ou pas ? En ayant une signature des scripts/executables dangereux, bref un anti-virus.
Voila, toute la raison pour un anti-virus.
C'etait identique sur Amiga, qui pourtant n'avait pas d'Outlook a l'epoque, le web n'existait pas encore.
Les virus c'est dans 99% des cas un probleme de l'utilisateur qui lance qqe chose qu'il ne connait pas, et ca aucune application ne peut rien faire contre, sauf a etre un anti-virus qui check l'executable contre des signatures pour voir si c'est un virus connu.
[^] # Re: c'est la faute des applications !
Posté par free2.org . Évalué à 2.
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à 0.
Et prouves moi le contraire si tu n'es pas d'accord.
[^] # Re: c'est la faute des applications !
Posté par PeYotL . Évalué à 1.
hmm je suis pas vraiment sur de ces 99% ..
je parle d'une experience personnelle : je n'ai aucun chiffre, mais ca j'ai une mon 2k completement detruit 3 fois par des virus, sans avoir executé de programme verolé, ni meme lancé une seule piece jointe et d'apres analyse post mortem, par des virus differents..
j'avoue etre tout le temps logué en administrateur, mais sous windows 2k, passer en woot temporairement pour effectuer une tache d'administration toute simple, installer un soft, est pas vraiment pratike, sans compter les soft qui ne fonctionnent mal ou meme pas en mode utilisateur de base.. (a moins qu'un sudo ou qqch dans le genre existe sous win32,. mais j'ai pas trouvé..)
et contrairement a ce que tu dit, une bonne partie des utilisateur a fini par etre sensibilisée au virus : ils n'executent plus de binaires inconnus, ou louches.. et ca n'empeche malheureusement l'infection..
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à 1.
Il se pourrait bien que tu te soit fait avoir a ton insu, c'est tout a fait possible, cependant c'est pas le cas de la grande majorite des gens.
j'avoue etre tout le temps logué en administrateur, mais sous windows 2k, passer en woot temporairement pour effectuer une tache d'administration toute simple, installer un soft, est pas vraiment pratike, sans compter les soft qui ne fonctionnent mal ou meme pas en mode utilisateur de base.. (a moins qu'un sudo ou qqch dans le genre existe sous win32,. mais j'ai pas trouvé..)
sudo == runas.exe, ca devrait resoudre bcp de tes soucis.
et contrairement a ce que tu dit, une bonne partie des utilisateur a fini par etre sensibilisée au virus : ils n'executent plus de binaires inconnus, ou louches.. et ca n'empeche malheureusement l'infection..
Ben je comptes plus le nombre de fois que j'ai recu des kournikova.jpg.vbs de la part de gens qui avaient mon e-mail par exemple, et ca c'est un virus que tu choppes d'une unique maniere : en cliquant dessus.
Les gens maintenant ne cliquent plus sur les attachements car Outlook bloque par defaut tout ce qui peut s'executer, mais ca empeche pas certains de decompresser le truc et le lancer quand meme, un comble...
[^] # Re: c'est la faute des applications !
Posté par Gruik Man . Évalué à 1.
[^] # Re: c'est la faute des applications !
Posté par ptit_tux . Évalué à 2.
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à 1.
Me reste plus qu'a m'installer un firewall sur le corps.
[^] # Re: c'est la faute des applications !
Posté par Pierre Jarillon (site web personnel) . Évalué à 4.
Unix/Linux fait de la prévention. Il n'y a donc pas besoin de faire un traitement curatif.
Microsoft a pris l'option inverse : ne pas faire de prévention et vendre des anti-virus. C'est la logique du fric US. C'est la même que l'industrie pharmaceutique : Il vaut mieux que les gens attrapent des maladies graves, on leur vendra beaucoup de médicaments...
Avec tout le fric gagné par Microsoft, il y aurait eu de quoi sécuriser Windows depuis très longtemps. Mais ce n'était pas rentable.
Fais attention au jour où Pasbill Pasgates sera moins rentable !
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à 1.
Microsoft a pris l'option inverse : ne pas faire de prévention et vendre des anti-virus. C'est la logique du fric US. C'est la même que l'industrie pharmaceutique : Il vaut mieux que les gens attrapent des maladies graves, on leur vendra beaucoup de médicaments...
N'importe quoi.
Unix/Linux ils sont tres peu affectes principalement car les utilisateurs sont pour l'enorme majorite des admin systeme et des power users, hors un virus ca compte enormement sur l'ignorance de l'utilisateur pour s'executer.
Le jour ou Linux aura 20% du marche desktop, on verra bien ce qui va arriver niveau virus, et ca va pas etre triste...
Windows et Linux sont IDENTIQUES au niveau protection contre les virus, on ne peut rien faire contre pour la simple raison que ce sont des executables comme les autres. Il n'y a aucun moyen pour un utilisateur novice de savoir qu'il est en train de lancer un virus et pas autre chose quand il clique sur un soft.
[^] # Re: c'est la faute des applications !
Posté par un_brice (site web personnel) . Évalué à 1.
*Je sais qu'on peut faire avec la winchose, mais on parlait du débutant. Et bein le débutant il a un compte root sous window$ (quand tu te laisse guider ça fait ça et les softs refusent la plupart du temps de s'installer sinon) et user sous GNU/Linux (quand tu te laisse guider ça fait ça et on te demande ton mot de passe seulement quand tu veut installer/configurer un truc).
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à -1.
Le jour ou Linux sera sur tous les desktops, les non-informaticiens vont s'echanger des executables par e-mail, alors soit ils vont apprendre a faire chmod u+x, soit ils vont avoir un client mail qui lancera le truc pour eux. Ils vont aussi avoir un client mail qui affiche d'office xyz car c'est plus agreable, et un jour il y aura un buffer overflow dans ce module, etc...
Et un utilisateur novice, le chmod u+x il va le faire sur n'importe quoi et le lancer, car il se doute pas que ca peut etre dangereux.
Ce qui protege Unix, c'est le niveau de connaissances de ses utilisateurs qui fait que pour l'instant un virus a tres peu de chances d'etre execute, mais le jour ou Linux aura une bonne part de marche desktop, ca va changer, et les virus vont pousser.
[^] # Re: c'est la faute des applications !
Posté par free2.org . Évalué à 2.
ils n'ont pas besoin de s'échanger des binaires non signés comme sous win
et les binaires lancés par un utilisateur ne peuvent pas modifier le reste d'un système Linux
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à 1.
ils n'ont pas besoin de s'échanger des binaires non signés comme sous win
Pour l'instant.
Attends de voir a quoi ca va ressembler quand le marche de masse du desktop arrivera sur Linux, ca pas etre different du comportement sous Windows.
et les binaires lancés par un utilisateur ne peuvent pas modifier le reste d'un système Linux
Sous Windows non plus
[^] # Re: c'est la faute des applications !
Posté par un_brice (site web personnel) . Évalué à 1.
soit ils vont avoir un client mail qui lancera le truc pour eux. Ils vont aussi avoir un client mail qui affiche d'office xyz car c'est plus agreable, et un jour il y aura un buffer overflow dans ce module, etc...
</blockquote>
Facile à dire. Pour l'instant aucune prémice d'un tel logiciel n'existe, alors que beaucoup des autres projets sont très avancés (à mois que m$ ne prépare un "Outlook Express.org" pour GNU/Linux lol).
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: c'est la faute des applications !
Posté par Gruik Man . Évalué à 2.
C'est vrai. C'est pourquoi quiconque décide, en entreprise, wu_ftpd, Sendmail... ou Outlook mérite de se faire virer pour faute grave : p
[^] # Re: c'est la faute des applications !
Posté par Gloo . Évalué à 0.
Re... Mouhahahahaha....
Va falloir que microsoft sorte de sa bulle.
[^] # Re: c'est la faute des applications !
Posté par Olivier (site web personnel) . Évalué à 1.
Tu as raison, les distribs n'utilisent jamais de patch... Il n'y a qu'à voir la Mandrake par exemple, qui patch à fond son kernel (ce qui en soit n'est pas une critique, je suis par exemple bien content d'avoir l'automount quand je fais une présentation à des newbies).
[^] # Re: c'est la faute des applications !
Posté par pasBill pasGates . Évalué à -2.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Philippe F (site web personnel) . Évalué à -1.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par pasBill pasGates . Évalué à 3.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par ptit_tux . Évalué à 1.
Je dit un truc que j'installe sur une machine A et j'utilise la machine B d'une manière non prévue par l'admin. Et surtout un outil qui n'utilise pas un trou de sécurité (un bug quoi) mais fait une utilisation prévue, normale de la bécane.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Gloo . Évalué à 1.
Moi oui: ssh, en root. héhé
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par ptit_tux . Évalué à 1.
Si je fais un ssh chez toi c'est que tu m'as donné le mot de passe root, que tu as activé ssh et autorité root à se loggué via ssh.
[^] # le succès de backorifice est du aux faiblesses de win
Posté par free2.org . Évalué à 2.
le succès de backorifice et de ses clones s'explique à mon avis par 2 choses:
1. il est courant pour les utilisateurs win de lancer un binaire (ou une macro) du Net non signé par une autorité centrale (contrairement aux nombreux binaires et scripts libres signés par les distribs linux)
2. une fois ce programme win non signé lancé, il peut utiliser des techniques connues de privilege escalation (comme celle cité plus haut qui est inhérente aux specs de win) pour installer un troyen root, ou encore infecter les comptes d'autres utilisateurs (ce qui reste possible même sur les machines n'ayant pas de fenetres root)
[^] # Re: le succès de backorifice est du aux faiblesses de win
Posté par pasBill pasGates . Évalué à 1.
Sauf faille dans un service(qui sera des lors patche), le truc plus haut n'est pas possible. Donc si tu tiens ta machine a jour, ce n'est pas faisable de cette maniere.
Sinon, tu m'expliqueras comment infecter les comptes d'autres utilisateurs sans etre root.
[^] # privilege escalation inhérente à win
Posté par free2.org . Évalué à 2.
tu as réussi à accéder aux droits du service S via une faille dans ce service
si un utilisateur U est connecté (ou se connecte ensuite)et a des fenetres ouvertes alors tu peux utiliser l'exploit évoqué plus haut pour accéder aux droits de U
je cite http://informatics.ntu.edu.au/staff/kgilbert/security/shatter_attac(...)
Any application on a given desktop can send a message to any window on the same desktop, regardless of whether or not that window is owned by the sending application, and regardless of whether the target application wants to receive those messages. There is no mechanism for authenticating the source of a message; a message sent from a malicious application is indistinguishable from a message sent by the Windows kernel.
[^] # Re: privilege escalation inhérente à win
Posté par pasBill pasGates . Évalué à 1.
Start Menu -> Run -> services.msc -> proprietes des services -> LogOn et tu verras que les services ne peuvent pas interagir avec le desktop.
Bref, pas de bol, faudra trouver autre chose.
[^] # Re: privilege escalation inhérente à win
Posté par free2.org . Évalué à 1.
(tu vas encore me dire que ces vilains ne respectent pas les recommandations MS ... )
sinon n'importe quel client internet peut faire l'affaire: ftp/browser/mail/chat/etc.
[^] # Re: privilege escalation inhérente à win
Posté par pasBill pasGates . Évalué à 1.
Tout comme ecrire un daemon qui tourne en root et qui accepte des connexion sans rien verifier.
Sinon, n'importe quel client internet ne fait pas l'affaire, pour la simple raison que si tu prends le controle du client web, ben ca te sert a rien d'essayer de controler un autre process du meme user a travers les fenetres, vu que tu controles deja ce process.
[^] # Re: privilege escalation inhérente à win
Posté par free2.org . Évalué à 1.
sinon tu attends qu'un autre user se logge pour prendre controle du compte de ce user
(tu as du mal à te mettre dans la peau d'un intrus, tu ferais un mauvais spécialiste en sécurité)
[^] # Re: privilege escalation inhérente à win
Posté par pasBill pasGates . Évalué à 1.
Linux il va se faire entuber si tu fais tourner dessus un shell root avec acces a travers un socket sans authentication.
C'est exactement similaire a la situation de Windows avec les fenetres, et le systeme lui meme n'y peut rien.
Si le gars qui a code le soft a decide d'etre stupide, le systeme peut pas l'en empecher sauf settings de l'administrateur(pour bloquer les sockets ouverts par root ou empecher un service d'etre interactif par exemple).
[^] # Re: privilege escalation inhérente à win
Posté par couriousous . Évalué à 3.
Tandis que l'interface graphique sous win est inséparable avec le reste de l'OS. Voila l'erreure de conception windows.
Berf, à nouveau, tu fait preuve d'une mauvaise foi flagrande.
[^] # Re: privilege escalation inhérente à win
Posté par pasBill pasGates . Évalué à 1.
Ben oui, ceux qui le font font une connerie, tout comme ceux qui utilisent un service qui interagit avec le desktop !
Tandis que l'interface graphique sous win est inséparable avec le reste de l'OS. Voila l'erreure de conception windows.
Ouaip, et l'interface graphique n'est pas dangereuse, si elle est utilisee correctement, tout comme les sockets ne sont pas dangereux quand ils sont utilises correctement.
Berf, à nouveau, tu fait preuve d'une mauvaise foi flagrande.
Plutot toi qui ne comprend rien au probleme et au fait que le systeme de messages entre fenetres est identique au systeme de sockets niveau securite
[^] # Re: privilege escalation inhérente à win
Posté par couriousous . Évalué à 2.
Sous win, il est "intuitif" d'utiliser l'interface graphique pour TOUT ! ( d'ailleur c'est comme ca que Ms à "éduqué" ses clients: le clicodrome ! ) Donc l'administareur fera bcp plus rapidement cette connerie. Contrairement à linux ou il faut vraiment le vouloire ! ( de plus ton histoire de socket, les firewall, ca existe ! )
Petite métaphore, je compart Win à un tableau de commandesur lequel, il y a un bouton rouge. Si tu presse dessus, tout explose. Certe, tu sais très bien qu'il ne faut pas presser dessus.
Par la même méthaphore, je prend linux, c'est le même tableau de bord, sauf que le bouton est cadenassé. La clé est à côté.
Sous win, tu peux presser par "mégarde". Sous linux, il faut décadenasser puis presser dessus. C'est volontaire.
Tu t'aveugle devant l'erreur de windows, avoule la ! c'est pas une honte ! Il suffit juste d'y remèdier !
[^] # Re: privilege escalation inhérente à win
Posté par pasBill pasGates . Évalué à 1.
Utiliser la GUI de Windows n'est PAS dangereux pour quoi que ce soit.
Ce qui est dangereux c'est d'ecrire un soft qui tourne avec droits root comme un porc.
Tu prends un Windows, t'installes les SP/patches, t'installes Office, Mozilla, Eudora, ....
Ton systeme n'est PAS vulnerable a cette attaque.
Ton systeme il sera vulnerable uniquement quand t'auras installe une application qui elle est vulnerable.
Ce n'est pas du au systeme, c'est du a l'application.
L'administrateur il est libre d'utiliser la GUI, il court aucun risque tant qu'il a pas une appli trouee sur son systeme, tout comme sur Linux.
[^] # Re: privilege escalation inhérente à win
Posté par allcolor (site web personnel) . Évalué à 1.
Sous windows... au mieux erreur de protection générale... reboot...
Si ça c'est pas une erreur de conception... qu'est-ce que c'est qu'une erreur de conception...
[^] # Re: privilege escalation inhérente à win
Posté par pasBill pasGates . Évalué à 0.
Sous windows... au mieux erreur de protection générale... reboot...
N'importe quoi.
C'etait en partie vrai sous Win9x, c'est totalement faux sous Win2000/XP
[^] # Re: privilege escalation inhérente à win
Posté par allcolor (site web personnel) . Évalué à 1.
[^] # Re: privilege escalation inhérente à win
Posté par couriousous . Évalué à 2.
La raison qui fait croire que l'écran bleu a disparut est que, lorsque Win en arrivé la, il reboot immédiatement. Mais tu peux désactiver cela.
[^] # Re: privilege escalation inhérente à win
Posté par pasBill pasGates . Évalué à -1.
[^] # Re: privilege escalation inhérente à win
Posté par allcolor (site web personnel) . Évalué à 1.
[^] # Re: privilege escalation inhérente à win
Posté par pasBill pasGates . Évalué à 0.
Sauf bug ce n'est pas sense arriver, exactement comme sous Linux, et si il y a bug, ce sera corrige.
[^] # Re: privilege escalation inhérente à win
Posté par allcolor (site web personnel) . Évalué à 1.
Ça me l'a fait sur une station windows 2000 avec le sp3 au boulot...
[^] # Re: privilege escalation inhérente à win
Posté par pasBill pasGates . Évalué à 0.
Word fait un tas d'appels differents qui finissent par passer a travers les drivers.
Comment as tu etabli que la faille etait dans le systeme lui-meme et pas dans les drivers ?
cf. les nombreux freezes et autres sous Linux avec les jeux, tout le monde dit que c'est les drivers Nvidia qui en sont la cause.
[^] # Re: privilege escalation inhérente à win
Posté par allcolor (site web personnel) . Évalué à 2.
Ben ça j'en sais rien... mais c'est l'écran bleu qui a dit... module wordkekchose gnagnagna in kernel32.exe ...
[^] # Re: privilege escalation inhérente à win
Posté par pasBill pasGates . Évalué à 0.
Un peu court pour affirmer qu'une appli peut faire planter le systeme non ?
[^] # Re: privilege escalation inhérente à win
Posté par allcolor (site web personnel) . Évalué à 2.
[^] # Re: privilege escalation inhérente à win
Posté par pasBill pasGates . Évalué à 1.
Ca aussi c'est un probleme de drivers, mais bizarrement sous Windows la meme chose est rangee dans les failles de l'OS.
La mauvaise foi tu te la gardes.
Tu es incapable de demontrer que c'etait un plantage applicatif, tu ne sais pas ce qui a plante, donc evite d'accuser sans preuves.
[^] # Re: privilege escalation inhérente à win
Posté par allcolor (site web personnel) . Évalué à 1.
Solution: connexion ssh au pc... killall X... et voilà... pas besoin de rebouter...
[^] # Re: privilege escalation inhérente à win
Posté par pasBill pasGates . Évalué à 1.
http://linuxfr.org/comments/190312.html(...)
...
Tous les oops dans les changelog du kernel
...
Tu as de la chance.
[^] # Re: privilege escalation inhérente à win
Posté par couriousous . Évalué à 1.
Et pour le deuxième, si tu ne veux pas de freeze ! simple, utilise le driver nv à la place de nvidia. ( tu n'aura pas de 3d, certes. Et il existe une solution pour palier au freeze des drivers nvidia: baisser la fréquance d'horloge de la carte. ( avec nvclock ) ) De plus, il se pourrait que il soit victime du fameux bug des processeur amd.
[^] # Re: privilege escalation inhérente à win
Posté par pasBill pasGates . Évalué à 1.
Lancer une appli peut faire crasher le systeme sans que ce soit le systeme le responsable, c'est tout ce que je compte montrer.
[^] # Re: privilege escalation inhérente à win
Posté par couriousous . Évalué à 2.
Bref, c'est ton interprétation contre la mienne.
De plus, si tu compare windows à linux, Win est plus vulnérable, car un socket sur win est aussi possible. Tandit que le privilage escalation de win, est impossible sous linux.
[^] # Re: privilege escalation inhérente à win
Posté par pasBill pasGates . Évalué à 1.
Sur un systeme installe comme precite, il n'y a aucun process avec droits privilegies qui affiche des fenetres, ils utilisent tous les techniques correctes pour afficher des GUI.
Resultat: tu peux t'amuser a peter tes propres process, comme sous Unix, mais t'iras pas plus loin.
[^] # Re: privilege escalation inhérente à win
Posté par couriousous . Évalué à 1.
Et dis en moi un peux plus sur ces techniques dites "correctes"?
Les process intéragissant avec la GUI on quels droit alors ? un pseudo utilisateur est créé ? C'est runas.exe qui le lance ? mais alors, comment la GUI arrive à modifier les options ( ben oui, l'affichage de la GUI c'est pour configurer le serveur, si la gui tourne en untilisateur normal, elle ne peux pas effecteuer les changement demandé par l'utilisateur, sinon, n'importe quel utilisateur peux modifier quoi que ce soit. )
[^] # Re: privilege escalation inhérente à win
Posté par pasBill pasGates . Évalué à 2.
Les process intéragissant avec la GUI on quels droit alors ? un pseudo utilisateur est créé ? C'est runas.exe qui le lance ? mais alors, comment la GUI arrive à modifier les options ( ben oui, l'affichage de la GUI c'est pour configurer le serveur, si la gui tourne en untilisateur normal, elle ne peux pas effecteuer les changement demandé par l'utilisateur, sinon, n'importe quel utilisateur peux modifier quoi que ce soit. )
La GUI des services est sensee tourner avec les droits de l'utilisateur, et elle communique par IPC avec les services, tu peux mettre n'importe quel ACL sur un named pipe par exemple, et seuls ceux qui sont autorises a s'y connecter le pourront.
cf. http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dl(...)
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Julien Wajsberg . Évalué à 3.
http://www.pivx.com/larholm/unpatched/(...)
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Christophe Merlet (site web personnel) . Évalué à -1.
Hier, j'ai configuré un Windows XP *Professionnel*.
J'y ai appliqué TOUTES les mise à jour de Microsoft dispo via Windows Update et en particulier toutes celle liés à la sécurité.
J'ai laissé le PC branché sur l'ADSL toute la nuit pour voir si le modem ne se déconnectait pas inopinément.
Le lendemain matin j'avais des messages porno affiché à l'écran que des gugus sur Internet m'avait envoyé via le service de notification de messages de windows !!
Donc j'insiste, Windows C'EST DE LA MERDE.
Qui a besoin d'un système qui n'est meme pas foutu de protéger SA VIE PRIVÉE et ne vous offre meme pas une protection minimal sur Internet.
Et je ne parle meme pas des dossiers partagés en accès complet et autres saloperies du meme genre que Microsoft vous offre en standard.
C'est pas sous GNU/Linux que je risque de voir ce genre de chose !
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par pasBill pasGates . Évalué à 0.
Ah, le service Messenger a revele qqe chose a ton propos ?
Non.
T'as pas utilise le firewall livre en standard(qui aurait bloque ces popups) ? Pourtant l'OS te propose par defaut de le mettre sur ta connexion ADSL, t'as donc refuse, t'assumes.
Quand aux dossiers partages en acces complet en standard, montre moi lesquels que je rigole.
Vive la mauvaise foi.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par couriousous . Évalué à 0.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par or zax . Évalué à 1.
En tant que client c'est clair qu'il est tout sauf sûr, mais bien configuré, je ne vois pas de problème, si ce n'est que si tu regardes les failles exploitées, c'est souvent du à l'incompétence des administrateurs. Et c'est d'ailleur une des raisons pour lequel je ne veux pas de serveur sous windows, car il existe trop peu de personnes compétentes pour trouver l'information rapidement en cas de problèmes.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par couriousous . Évalué à 2.
C'est comme je l'ai dit, une erreure de conception de l'OS, et ca, microsoft ne peux pas l'admettre, car ils devrait romprent la compatibilitée ascendente de leur OS.
C'est pour cela que je m'indigne contre le fait que l'on puisse considérer microsoft comme sécurisé !
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par dvrasp . Évalué à 3.
Plus exactement : une application peut envoyer n'importe quel message à n'importe quelle fenêtre d'une autre application (peu importe les privilèges). Certains de ces messages peuvent être envoyés avec des paramètres faussés qui permettent de modifier la mémoire du processus ciblé et donc de lui faire exécuter un programme arbitraire avec ses privilèges.
Ce qui permet de modifier la mémoire du processus ne tient pas du buffer overflow : on utilise des messages qui modifient des structures, et l'on donne des pointeurs détournés pour ces structures, de sortes que certains mots de la mémoire sont modifiés comme s'ils étaient des paramètres d'un élément de la GUI.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par couriousous . Évalué à 2.
;p
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par pasBill pasGates . Évalué à 1.
Sur un systeme installe de base(donc pur MS), tu remarqueras qu'aucun service tournant en root ne vas t'afficher de GUI en utilisant un process root.
Bref, sur ce systeme, t'es pas vulnerable.
Si t'installes apres toi-meme un service qui fait pas ce qu'il faut, MS n'y peut rien, on a dit comment ca devait se faire pourtant.
Sur un systeme avec Terminal Services(plusieurs users sur la meme machine), les messages ne peuvent pas transiter d'un desktop a l'autre, donc tu peux pas acceder aux process des autres users.
Si ca te chante, tu peux meme faire de meme pour un process en particulier, les API sont la pour ca.
Bref, je crois surtout que tu ne connais pas le probleme
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par couriousous . Évalué à 1.
Ms dit: c'est pas de notre faute! vous avez un programme tournant en root. Mais malheureusement, ce programme est la pour parrer au déficiences de Ms...
C'est la poule ou l'oeuf ?!?!
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par pasBill pasGates . Évalué à 1.
2) Expliques moi en quoi un anti-virus palie aux deficiences d'un OS qu'on rigole. Notamment, dis moi la difference entre Linux et Windows sur ce point la, je sens qu'on va bien rigoler.
3) Il y a des anti-virus qui font les choses proprement quand ils affichent une GUI, eTrust en est un exemple.
Donc c'est ni la poule ni l'oeuf, c'est toi qui ne sait pas de quoi tu parles.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Christophe Merlet (site web personnel) . Évalué à 1.
hahahahaha
C'est pas Microsoft qui a justifier le rachat de l'éditeur d'antivirus GeCAD en disant que cela les aiderait à sécuriser Windows ?
Attends je vérifie... ha si c'est bien ça... je cite
« Customers told us they needed a safer, more trustworthy computing experience to help combat the threats posed by those who write viruses and malicious code, said Mike Nash, corporate vice president of the Security Business Unit at Microsoft. This acquisition will help us and our partner antivirus providers further mitigate risks from these threats. »
ou encore...
« The knowledge and experience acquired from GeCAD will contribute to Microsofts understanding of how systems are attacked, enabling Microsoft to more effectively focus on platform improvements that will benefit customers and partners alike. »
Allez, je suis gentil, je te done meme le lien du communiqué de presse de crosoft http://www.ravantivirus.com/pages/shownews.php?i=154(...)
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par pasBill pasGates . Évalué à -1.
Des gens ecrivent des virus pour plateforme Windows, genre l'executable en attachement, il y a un joli nom genre kournikova.jpg.exe , les novices cliquent dessus et l'executent, paf ils sont infectes.
Dis moi ou est la faille du systeme la-dedans ?
En quoi Linux est different ? Il est capable d'empecher un novice qui veut lancer un soft a lui de le faire ?
C'est dingue quand meme les conneries que vous pouvez sortir.
[^] # win specs privilege escalation exploit
Posté par free2.org . Évalué à 1.
le première chose que fait un intrus qui a réussi à s'emparer du compte d'un programme serveur (qui normalement ne devrait pas avoir tous les privileges de root), c'est utiliser ce compte pour devenir root
les specs de win dont on parle permettent à n'importe quel compte C de s'emparer d'un autre compte D à partir du moment où D a des fenetres ouvertes (visibles ou même sous forme de controles invisibles). Si D a des fichiers intéressants ou si il est privilégié (root)alors on peut aussi s'emparer de ses fichiers et de ses privilèges.
[^] # Re: win specs privilege escalation exploit
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: win specs privilege escalation exploit
Posté par free2.org . Évalué à 1.
de toutes façons "shatter attacks" n'évoque meme pas la nécessité de créer une fenetre/controle: il suffit juste d'envoyer quelques messages pour exploiter cette faille inhérente aux specs de win
[^] # Re: win specs privilege escalation exploit
Posté par pasBill pasGates . Évalué à 1.
Prends un Windows 2000 de base, sans aucun autre soft installe que les patch/service packs.
Il est impermeable a cette attaque(sauf bug de notre part dans un service et qui sera fixe).
[^] # Re: win specs privilege escalation exploit
Posté par free2.org . Évalué à 1.
toutes ces applications peuvent être exploitées par le "shatter attacks" pour obtenir les droits (privilégiés ou non) de l'utilisateur U
[^] # Re: win specs privilege escalation exploit
Posté par pasBill pasGates . Évalué à -1.
En ayant un truc qui tourne sur le desktop de l'user, seule maniere d'envoyer des messages aux fenetres/controles.
Qu'est ce qui tourne sur le desktop de l'user ? Des applis de l'user.
Donc si tu peux controler les applis de l'user, c'est que tu es deja cet user.
C'est pour ca que MS dit depuis longtemps "pas d'interaction avec le desktop pour les services qui tournent avec d'autres droits que celui de l'user"
[^] # Re: win specs privilege escalation exploit
Posté par free2.org . Évalué à 1.
[^] # Re: win specs privilege escalation exploit
Posté par pasBill pasGates . Évalué à 1.
Il faudrait modifier le design de Linux pour empecher des users non authentifies de se connecter a un socket sur la machine ?
[^] # Re: win specs privilege escalation exploit
Posté par couriousous . Évalué à 1.
en effet, ta question pourquoi est sans sens. Car la réponse était dans le fil de la discution : à cause des escalade de privilèges que permet la GUI.
De plus, ta dernière phrase est hors context, pour défendre Windows, tu accuse linux.... Magnifique !
Et soit dit en passant, aucun administateur ne va laisser un socket inutile ouvert....... Tandit que sur windows, essaie d'enlever la GUI !
[^] # Re: win specs privilege escalation exploit
Posté par pasBill pasGates . Évalué à 1.
Pourquoi je parles de socket sur Linux(ou windows, ca revient au meme) ?
Parce que c'est le meme genre de probleme que cette histoire de GUI.
Hors, personne ne s'en plaint, et c'est tout a fait normal car ca fait partie du design et les developpeurs d'application sont senses faire ce qu'il faut pour eviter de mettre en danger le systeme.
Sinon, sur Windows il n'y a rien de plus simple que d'empecher un service d'interagir avec le desktop, ca demande un clic de souris(ou un script qui change la registry, selon les gouts).
[^] # Re: win specs privilege escalation exploit
Posté par couriousous . Évalué à 2.
La gui est indispensable pour tout travail sur Win ( d'ailleur, tu ne peux PAS empêcher sont démarrage ). C'est une erreure de conseption car, sous linux ( comme tu aime bien la comparaison ) l'os n'est PAS livré avec un socket ouvert sur l'extérieur sans autentification ( d'ailleur, je me répète, ca ne sert strictement à rien d'avoir une telle application ). Or pour configuer quoi que ce soit, tu est obligé d'avoire une interface root. Donc, tu ne peux pas utiliser ton win, car sans interface graphique, c'est 0. C'est pourquoi l'attaquant ( avec de la patience ) peux très bien attendre le moment fatidique de la configuration de l'OS ( ou de l'application de patchs ) afin de gagner les privilèges root. C'est démontré, Windows à une erreur de conception ( et pas qu'une! ). A nouveau, tu ne veux pas comprendre le problème et tu répond à côté, bref, tu agis comme ton employeur.
[^] # Re: win specs privilege escalation exploit
Posté par pasBill pasGates . Évalué à 1.
Linux n'a aucun socket ouvert sur l'exterieur sans authentification par defaut.
Windows n'a pas une GUI susceptible d'etre attaquee par cette attaque par defaut.
Je te le repete, tu n'as rien compris au probleme.
Tu ne sais pas comment Windows fonctionne, ce que sont les desktops et winstation, comment les services de base interagissent avec l'utilisateur, etc... pourtant tu continues de sortir des idioties.
[^] # Re: win specs privilege escalation exploit
Posté par couriousous . Évalué à 1.
Ah non, ... tu lance une GUI en root, et paf, tu te fait baiser !
[^] # Re: win specs privilege escalation exploit
Posté par pasBill pasGates . Évalué à 1.
Donc ca ne change strictement rien
[^] # Re: win specs privilege escalation exploit
Posté par couriousous . Évalué à 2.
Si cette faille n'existait pas, tu pourrait ne jamais tu logger entièrmenent en root, et lancer uniquement les application dont tu a besoin ( à l'aide de runas.exe, comme tu l'as dit ) depuis le compte normal. Ce qui serait un gain de sécurité ( car quand tu lance une session root tu peux bcp plus facilement effectuer qqch de mal. D'ailleur c'est bien connu qu'il ne faut jamais être entièrement loggé en root. ). C'est pour cela que windows à une erreur de conception ( ou une faiblaisse, je te l'accorde ;) ). Car sous linux, si ton compte utilisateur est vérolé, il est bcp plus difficile à une application de gagner les droit root si une application root tourne.
[^] # sécurité linux blindable
Posté par free2.org . Évalué à 5.
systrace ou LSM (linux security module) pour controler l'accès à tous les appels systèmes (!) et vous demander votre autorisation en cas de changement de comportement d'une application (peut-être le meilleur IDS imaginable), xsupervisor pour la sécurité de X, fireflier pour iptables, exec-shield pour les overflows
sans compter les linux virtuels de UserModeLinux et plex86, voir bochs si on privilégie la paranoia (mon hardware est-il de confiance :) ) aux performances ! (de quoi attendre le système complet en mode user que nous promet GNU Hurd)
sans compter que la plupart des softs libres, quelle que soit leur origine, sont fréquemment mis à jour et signés cryptographiquement par les distribs (ce qui évite quelques troyens/virus)
je ne suis pas sûr que toutes ces fonctions soient dispos sous Win (et à quel prix, et quelle confiance accorder à des softs de sécurité opaques ?)
[^] # Re: sécurité linux blindable
Posté par Nap . Évalué à 3.
ca m'interesse, pour faire un firewall personnel
exemple : galeon essaie d'ouvrir une socket vers www.linuxfr.org, le programme est mis en pause et une interface demande a l'utilisateur si il accepete, et si il acceptera toujours ou le temps de sa session actuelle les ouvertures de socket par galeon
si il accepte, la socket est ouverte et le programme continue
idem pour les connexions depuis l'exterieur
d'ailleurs je me demande comment on peut identifier a coup sur un executable dans ce cas... empreinte MD5 ?
[^] # Re: sécurité linux blindable
Posté par free2.org . Évalué à 4.
y'a des digests + fiables que md5 (comme sha1 et ses successeurs)
si la session de l'utilisateur est controlée par systrace, alors tous les programmes qu'il lancera exprès (ou sans le faire exprès) seront controlés aussis
[^] # Re: sécurité linux blindable
Posté par Nap . Évalué à 1.
je v mater fireflier
sinon pour md5 ct juste pour illustrer l'idée
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par HappyCrow . Évalué à 0.
(win2000 avait eu le meme "satisfecit")
Pour moi oui!
(patati, patata)
>Avant d'être sous linux j'ai travaillé sous 2000 et je n'ai rien à reprocher à cet OS
(/patati, patata )
Tu travailles chez M$ ou quoi?!
(patati, patata)
D'autant plus que microsoft fait vraiment son maximum pour réduire le temps entre le moment où on découvre une faille et le moment où il livre un patch, ce qui est un des aspects les plus déterminants de la sécurité.
(/patati, patata )
Si le code source n'est pas ouvert, rien ne te garanti que le proprietaire ne cache
pas des backdoors, pour venir pomper des donnees chez toi, ou par exemple
parce qu'un organisme (genre NSA) les y a oblige.
Dailleurs j'ai entendu parler d'une rumeur sur une instruction de ce genre
dans les processeurs Intel (backdoor imposee par NSA). Cependant je
n'ai rien lu/trouve de sur la dessus.
C'est une des raisons pour lesquels les logiciels aux sources ouvertes
sont toujours plus sur que des logiciels proprietaires (si il y a une backdoor,
tout le monde est en mesure de la voir).
>Je ne vois pas en quoi il est choquant que cet organisme déclare windows 2000 >comme un système sûre.
Moi je vois, et j'espere que tu vois aussi maintenant.
:O)
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Nap . Évalué à 1.
sont toujours plus sur que des logiciels proprietaires
ok pour ton argument, mais j'ai l'impression que ce n'est pas à ça que tu pensais quand tu as sous entendu que w2k n'était pas sécurisé
car si on suit ton argument, il devient méprisable de considérer n'importe lequel des OS proprios comme sécurisé : windows 2k mais aussi les Unix célèbres comme solaris ou AIX
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Éric (site web personnel) . Évalué à 1.
> ne cache pas des backdoors
Ok pour la théorie. En pratique le problème existe aussi avec les sources ouvertes. Pourquoi ?
Parce que la plupart ne recompilent pas à partir des sources mais utilisent les binaires de la distrib ou de l'éditeur. Aucun moyen de s'assurer qu'il n'y a pas de backdoor dans le binaire. Le principe est donc de faire confiance à son éditeur ou sa distrib, c'est la même chose pour Windows.
Imaginons que tu utilises une distribution comme gentoo et que tu compiles tout à partir des sources. Le problème reste entier parce que tout le monde n'a pas le temps et les compétences pour faire un audit sur toutes les applications utilisées. Tu as audité ton Linux ? non ? alors il est où l'avantage ?
Comme tous le monde tu fais confiance aux autres pour faire cet audit. Les autres c'est vague et ca regroupe plus ou moins ta distribution et le groupe qui fait l'application. Bref, encore une fois il s'agit de faire confiance. Certains font confiance à MS, voilà tout.
Imaginons que tu compiles à partir des sources, que tu audites toi même toutes les sources de ton OS (bonne chance ;) le problème n'est pas réglé car pour compiler tout ca il te faut ... un compilateur. Ce compilateur peut lui aussi être compilé à partir des sources mais pour ca tu auras besoin d'un autre compilateur, sous forme exécutable. Bref, on ne s'en sort pas et tu as toujours besoin d'un compilateur sans pouvoir y vérifier la présence de backdoor. Le cas n'est pas imaginaire, c'est le concept d'une backdoor faite il y a pas mal de temps (je crois sur AIX mais pas sur).
Il ne te reste qu'une solution : tout compiler à partir des sources, auditer complètement les sources de ton OS et des librairies, faire du reverse engeneering sur le compilateur et les libs utilisées pour être sûr qu'il n'y a pas de backdoor. Tu es toujours sur que l'accès au source te garanti l'absence de backdoor ?
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par J. de N. (site web personnel) . Évalué à 2.
http://www.dooki.com/cgi-bin/foldoc.cgi?backdoor(...)
Voila.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par jojo2002 . Évalué à 6.
Il y a plusieurs modes de certification (ITSEC, CC) et chaque pays à un organisme chargé de délivré des certifications (en France la DCSSI).
Le demandeur choisi un niveau de certification souhaité (EAL2+ pour Linux chez Suse par ex) et plus le niveau est élevé, plus la rigueur d'analyse des mécanismes de sécurité sera importante : c'est l'évaluation qui n'est pas réalisé par l'organisme certificateur mais par un tiers indépendant (en France , les CESTI cf http://www.ssi.gouv.fr(...)). De plus, la certification porte souvent sur une sous-partie du produit : c'est la cible d'évaluation. Cela regroupe ce qui est analysé et en regardant ce document qui est public, on peut voir que des coupes sont souvent effectuées. Ensuite dans le certificat, il y a des conditions d'emploi nécessaire au fonctionnement en mode "certifié" : par exemple Windows NT4 était certifié mais en standalone (sans réseau). Pour Win2K ce n'est plus le cas, mais tout çà pour dire que la certification en elle-même c'est bien mais il y a des détails à regarder pour évaluer la confiance que l'on peut avoir en un produit (cible et contraintes d'utilisation).
En schématisant, pour un bas niveau, une simple doc commerciale pourrait suffire et pour les niveaux élevés, il faut des preuves formelles (modèle mathématique, etc...). Pour le logiciel, les hauts niveaux sont très difficiles car on tire bcp de dépendances qu'on ne maîtrise pas (librairie C par exemple) et qu'on ne sait modéliser.
Bref, plus on monte dans les niveaux, plus on doit affiner la présentation des dispositifs de sécurité en énumérant les risques auxquelles ils peuvent être confrontés et les contre mesures mises en oeuvre. Et si tout çà est cohérent et que le produit résiste aux attaques "état de l'art", on le certifie.
Mais le certificat est valable un jour et il ne prémunit pas contre la découverte de nouvelles failles. Pour le logiciel, une analyse rigoureuse du code source peut être effectuée dans des niveaux élevés de certification. Or, Win2k n'est pas certifié à un tel niveau, donc on ne peut garantir l'absence de failles type buffer overflow par exemple. Par contre, on sait que l'authentification çà marche comme çà et que c'est robuste (syskey par exemple), pareil pour d'autres éléments de sécurité.
Le fait que Linux soit à un niveau inférieur à Win2k ne veut pas dire qu'il est moins bon. Mais la certification c'est compliqué et on ne se lance pas bille en tête dans une évaluation haut niveau (çà coûte cher). Donc Suse commence EAL2 puis il vont monter les niveaux
(cf. http://www.suse.com/en/company/press/press_releases/archive03/secur(...))
vers EAL3 et on verra après.
Au fait, ils font çà parce qu'une loi ou directive est passée aux Etats Unis qui oblige à présenter des produits certifiés pour fournir la défense ou tout les ministères (je sais plus trop bien).
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Philippe F (site web personnel) . Évalué à 1.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par TSelek . Évalué à 1.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par pasBill pasGates . Évalué à 1.
C'est NT4 qui etait non connecte.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Pierre Jarillon (site web personnel) . Évalué à 1.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par jojo2002 . Évalué à 1.
Les gens qui achètent des produits certifiés (défense, secteurs sensibles) le savaient donc. Par contre, savoir ce qu'il en ferait c'est autre chose...
Il s'agissait peut être d'une statégie de MS. En effet, comme je le dis plus bas, la certification çà ne s'improvise pas. Suse a fait le choix de monter progressivement les niveaux pour moduler la difficulté.
MS avait peut être fait le choix de partir sur un niveau qu'il se fixait comme objectif mais pour faciliter le travail il a joué sur la cible d'évaluation. Comme çà il a, pour NT, un beau certificat pour un produit inutilisable. Pour Win2K la cible s'est élargie mais il y a encore pas mal de coupe je crois.
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Houbaa . Évalué à 1.
[^] # sécurité des GUI
Posté par free2.org . Évalué à 3.
"X security extension" et maintenant xsupervisor répondent plutot bien à ces problèmes, d'autant + que les GUI ne sont jamais obligatoires sous linux
(voir la remarque de couriousous tout en haut)
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par HappyCrow . Évalué à 1.
Il a ete traduit en francais surement.
Cependant le bonhomme a l'air d'etre un sacre bougre (plein de bouquins
d'info de reference, dont un sur les reseaux).
Il a ecrit une "nouvelle" version du meme bouquin ou il parle d'OS distribues.
Et la il parle d'amoeba, plus de minix.
On trouve ses bouquins dans pas mal de bibliotheques universitaires
(on les trouve presque tous a la BU de Toulouse).
Le bouquin que tu cites est celui qui aurait permis a Linus d'apprendre
"quoi c'est un OS, comment ca s'implente".
Le probleme est que Linus se la peta assez vite du genre
"les micro noyaux ca pu, les noyaux monolithiques ca va plus vite".
Or si l'on suit l'histoire, les modules dans le noyau, ca fait que le noyau
n'est pas si monolithique que ca. De plus HURD est base sur un micro noyaux, et je sais pas si vous avez lu les specifications de HURD mais c'est assez allechant.
:O)
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Nicolas Roard (site web personnel) . Évalué à 2.
Ben oui, c'est Tanenbaum, c'est une référence.
Le probleme est que Linus se la peta assez vite du genre
"les micro noyaux ca pu, les noyaux monolithiques ca va plus vite".
Pas exactement ... Linus a pas dit que les µ-noyaux puaient, absolument pas.
Simplement il se trouve qu'il a développé linux en monolithique, parce qu'il voulait faire un OS simple pour apprendre l'archi du x86, qui a évolué ensuite pour faire tourner quelques logiciels, etc.
Citation : «True, linux is monolithic, and I agree that microkernels are nicer. With a less argumentative subject, I'd probably have agreed with most of what you said. From a theoretical (and aesthetical) standpoint linux looses. If the GNU kernel had been ready last spring, I'd not have bothered to even start my project: the fact is that it wasn't and still isn't. Linux wins heavily on points of being available now.»
Il ne l'a pas commencé pour faire un OS qui tue au niveau théorie des OS, juste pour avoir un truc qui tourne rapidement.
Il se trouve après que Linux a généré un engrenage et que de plus en plus de personnes ont contribuées, dont pas mal de gens qui à l'époque utilisaient Minix.
Minix étant un OS programmé par Tanenbaum, mais plus dans une optique d'enseignement des concepts liés aux Unix que dans une optique utilisation réelle, du coup pas mal d'utilisateurs étaient assez frustrés.
Quand linux a commencé à prendre plus d'importance, Tanenbaum a fait la remarque que l'utilisation d'un kernel monolithique était pas une idée géniale. Linus a dessus rétorqué que ça permettait au moins d'aller plus vite, etc.
discussion célébre que l'on peut trouver ici : http://groups.google.com/groups?threadm=12595%40star.cs.vu.nl(...) ou là : http://people.fluidsignal.com/~luferbu/misc/Linus_vs_Tanenbaum.html(...)
(avec le célèbre mort de Tanenbaum : «I still maintain the point that designing a monolithic kernel in 1991 is a fundamental error. Be thankful you are not my student. You would not get a high grade for such a design :-)»
Résultat, au bout de quelques années, on s'aperçoit que 1) Linux a évolué vers un kernel très modulaire, plus vraiment du monolithique pur jus 2) ça n'a pas empêché de porter Linux sur pleins d'architectures 3) d'autres µ-kernels ont fait le chemin inverse pour des questions de rapidité (Windows NT, Mac OS X)
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Gruik Man . Évalué à 1.
Le problème est que, pour l'instant, seules les spécifications sont alléchantes : p
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par pasBill pasGates . Évalué à -2.
Il lui manque juste le support pour l'ecran, le clavier et la souris :+)
# Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par kagouou . Évalué à 2.
C'est un plus qui va permettre aux organismes américains d'installer du Linux.
C'est pas une bonne nouvelle ça ?!
[^] # Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par or zax . Évalué à 2.
Tout le monde a entendu parlé de linux, maintenant il faut qu'il soit connu comme un excellent produit dans les esprits de tous le monde sans se soucier des autres systèmes d'exploitations.
# IBM va exploser SCO :-)))
Posté par Christophe Merlet (site web personnel) . Évalué à 4.
* Violations de brevets dans 4 logiciels de SCO
* Violations de la GPL
http://news.com.com/2100-1016_3-5060965.html(...)
[^] # Re: IBM va exploser SCO :-)))
Posté par Ano nyme (site web personnel) . Évalué à 3.
[^] # Re: IBM va exploser SCO :-)))
Posté par un_brice (site web personnel) . Évalué à 0.
-_-
Déjà ça parrait pas valable paske $CO n'était (officiellement) pas au courant de la présence de ce code.
Mais surtout si ils gagnent ça va être encore pire: ça signifierais que si quelqu'un planque du code dans un logiciel libre et que son proprietaire diffuse ledit logiciel, le code volé passe GPL; ce qui accentuerais la réticence des boites à contribuer à des softs libres.
Y'a quelque chose qui m'a echappé, ou IBM voit pas plus loin que le bout de son nez ? (ou alors ils en ont juste rien à f**tre)
[^] # violations de la GPL + courantes que l'inverse
Posté par free2.org . Évalué à 4.
Déjà ça parrait pas valable paske $CO n'était (officiellement) pas au courant de la présence de ce code.
Euh paske qui était (à supposer que ce soit vrai) officiellement au courant de la présence du code sco (non dévoilé) dans Linux ?
faut être logique: c'est quand meme + facile de vérifier l'existence d'un code sous GPL public dans du code sous NDA qu'on possède, que de trouver du code sous NDA qu'on possède pas dans un code GPL public !
en fait je ne vois que 3 raisons qui fait que le code est toujours non dévoilé:
1. il n'est pas au final l'exclusivité de sco (il était deja sous GPL, ou BSD ou vient vraiment d'IBM)
2. empecher les gens de légalement supprimer (ca concernerait que certains SMP 64 bits) ou de remplacer les quelques lignes incriminées: car toutes les autres lignes (99,99%) du noyau seront toujours distribuables légalement car leurs droits n'appartiennent pas à sco de toutes facons.
3. générer le maximum de FUD
[^] # Re: IBM va exploser SCO :-)))
Posté par Nicolas Roard (site web personnel) . Évalué à 3.
Mais surtout si ils gagnent ça va être encore pire: ça signifierais que si quelqu'un planque du code dans un logiciel libre et que son proprietaire diffuse ledit logiciel, le code volé passe GPL; ce qui accentuerais la réticence des boites à contribuer à des softs libres.
Attends, c'est quand même normal non ?
Tu écrit un soft (propriétaire). Un des barbus communistes d'IBM se procure ton code on ne sait trop comment et l'inclu dans un soft GPL. Jusque là, tout le monde est d'accord, le barbu communiste a fait quelque chose d'illégal et le soft GPL est corrompu par du code proprio.
Maintenant, tu décide de prendre le soft GPL parce qu'il est super bien et de le vendre. Il est peut être un peu normal de faire un audit du code d'un logiciel que tu VENDS, non ? au moins pour justement être sûr que ce logiciel n'inclu pas ton code (si tu est une boite dont le code aurait pu être utilisé). C'est facile d'arriver la bouche en coeur en disant que tu n'était pas au courant ! distribuer du code et faire de l'argent dessus implique à mon avis un minimum de responsabilité (au moins celle de vérifier que le logiciel n'enfreigne pas ton propre code !!!)
SCO a distribué et continue à le faire le kernel linux sous licence GPL, et pire, des développeurs SCO ont bossés sur le kernel avec IBM. On ne peut pas croire honnêtement qu'ils n'étaient pas au "courant" si effectivement il y avait du code SCO dans le kernel. Ou plus exactement, même si c'est le cas, je pense qu'ils ont fait alors preuve d'une incompétence caractérisée et que d'un point de vue juridique ça ne peut que se retourner contre eux.
Maintenant, ce que ça veut dire c'est juste que SCO peut difficilement, à mon avis, revenir sur le fait que le code soit passé en GPL (si code il y a, ce dont on peut douter très fortement). Par contre, SCO peut parfaitement (et c'est ce qu'ils font, si on met de côté les FUDs plus généraux) se retourner pour rupture de contrat ou violation de propriété intellectuelle vers IBM.
Et de toute façon, même si un tribunal considère que le code a été injustement passé en GPL (ce qui est tangent, vu le peu d'importance accordé par SCO à la protection de sa propre propriété intellectuelle), la seule chose qu'il peut demander c'est le retrait de ce code du programme GPL.
Parce que bon, les fuddeurs parlent à tout va du caractère "viral" de la GPL, mais enfin, SCO nous fait pour l'occasion une sacré démonstration de virus de code propriétaire ! 80 lignes de code propriétaire arrivant à corrompre un kernel linux de plus d'un million de lignes !
C'est absolument risible, et ils vont se faire exploser la gueule, à juste titre.
Par contre, le fait qu'IBM utilise les brevets logiciels dans sa contre-attaque... brr...
[^] # Re: IBM va exploser SCO :-)))
Posté par jmfayard . Évalué à 2.
Maintenant, tu estimes qu'ils sont au courant ?
Alors toi aussi, télécharges ton noyau SCO Linux sous GPL
ftp://ftp.sco.com/pub/updates/OpenLinux/3.1.1/Server/CSSA-2003-020(...)
[^] # Re: IBM va exploser SCO :-)))
Posté par Julien Wajsberg . Évalué à 1.
# Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par Kalimhero . Évalué à 2.
Donc on peut trouver ici => http://www.suse.de/en/company/press/press_releases/archive03/securi(...) l'article de Suse concernant cette "certification".
Le produit concerné est SuSE Linux Enterprise Server 8 (SLES 8) sur un IBM xSeries.
On y voit que la certification obtenue est l'EAL2+ et qu'ils espère (à juste titre :) ) obtenir l'EAL3+ dans le courant de cette année.
De plus, ils s'attendre à obtenir cette année le Common Operating Environment (COE) qui est la "certification" validé par le Département de la Defense Américaine (US DoD) et le gouvernement. pour leurs systemes de controles et de commandes.
[^] # Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par Kalimhero . Évalué à 1.
(désolé pour l'orthographe et la grammaire du post précédent ...mais il fait trop chaud ;-) )
[^] # Orthographe
Posté par François Palaci (site web personnel) . Évalué à 1.
[^] # Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par ptit_tux . Évalué à 1.
RedHat a obtenue cette certification en février avec IBM eServer xSeries 330.
http://www.redhat.com/about/presscenter/2003/press_coe.html(...)
[^] # Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par Kalimhero . Évalué à 1.
Il serait interessant de faire un journal avec toutes les "certifications" et tous les "awards" recus par des distributions Linux.
Si vous avez ce type d'infos envoyez moi çà afin de synthétiser tout cà :)
(Et cette fois ci sans fôtes d'orthographes ...)
[^] # Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par ptit_tux . Évalué à 1.
[^] # Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par skimmy . Évalué à 2.
Cette info est AMHA assez importante pour montrer les rapprochements et utilisations des softs/distrib.
# Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par TSelek . Évalué à 3.
Ne jamais parler d'un EAL sans indiquer le PP ! Sauf si vous voulez passer soit pour un marketeur soit pour un charlot...
[^] # Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par jojo2002 . Évalué à 2.
Les communiqués de presse et les publicités des sites attirent toujours le chaland en signalant que le produit a été certificié. Le petit mensonge par omission est le fait que le produit est rarement certifié dans sa globalité mais une sous-partie seulement.
Par exemple, je dit peut être des conneries n'ayant pas regarder les cibles d'évaluation de Win2k ou de Suse, mais vous pouvez imaginer que Windows Media Player ou Mplayer sur Suse ne font pas partie de la cible hors ces derniers peuvent avoir des buffers overflows mettant à mal le système...
Les professionnels de la sécurité ou plutot les utilisateurs avertis en sécurité (défense, systèmes sensibles), sont les vrais demandeurs de produits certifiés et eux savent lire un PP, une cible d'évaluation et un rapport de certification. Les autres néophytes ne voient en général que le discours marketing qui consiste à dire je suis certifié à tel niveau (sous entendu j'écrase tous les autres) alors que le niveau n'est pas directement lié à la qualité du produit en terme de sécurité mais plutot à la finesse de l'analyse qui a été effectuée. Plus l'analyse est poussée, plus la confiance peut être grande et donc indirectement plus le produit peut être considéré comme robuste. Tout est dans la notion de considération et de confiance mais il ne s'agit pas d'une mesure brute du niveau de sécurité d'un produit...
[^] # Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par TSelek . Évalué à 1.
Mais déjà rien que le titre de la news est affarant :
Linux et IBM reçoivent un satisfecit de Washington
Je ne pensais vraiment pas qu'il s'agissait de CC, mais alors vraiment pas... Pq ?
1/ les CC sont maintenant une norme ISO, internationale dès le début
2/ Washington ? même à l'époque des FIPS c'est pas le NIST qui certifiait, jamais...
Pas grand monde connait les shémas de certifications en fait...
[^] # Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par Kalimhero . Évalué à 1.
Il faisait chaud, j'etais fatigué, je voulais juste mettre les lecteurs de linuxfr au courant de cette certification.... J'ai fais un mauvais copier-coller ...
Désolé je ferais mieux la prochaine fois, et merci Tselek et Jojo pour les rectifications :)
[^] # Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par skimmy . Évalué à 1.
[^] # Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par jojo2002 . Évalué à 3.
Je voulais juste indiquer que ce n'était pas comme çà qu'on lit une certification. Je rajoute que, en dehors de problème de programmation et de celui indiqué autour des interfaces graphiques, le modèle de sécurité de windows 2000 tient à peu près la route.
Tous les annonces de failles sont souvent liées à des erreurs de prog. qui peuvent être contournés par des correctifs mais ne viennent pas remettre complètement en cause le modèle de sécurité.
Le problème de Win2k, c'est que bien configuré, cela peut être un très bon produit en terme de sécurité mais par défaut, c'est quasiment une horreur. De leur côté, les distributions linux sont souvent plus robustes de base mais la mise en place de barrières encore plus solides demande des compétences (comme sur Win2k).
Un exemple, l'authentification sur windows. Autant sur NT, le HashLM et NTLMv1 c'était tout pourri, autant win2k avec NTLMv2 et Kerberos, y'a pas grand chose à redire (sauf des bugs d'implémentation :) ). Le problème est que Win2K (pour compatibilité ascendante) accepte les authentifiants pourris par défaut et l'administrateur doit, à la main, modifier ces paramètres.
A propos de l'authentification, sur une Debian, qd vous passez en stockage des password MD5, vous avez remarqué que la longueur maximale d'un mot de passe reste à 8, ce qui est un comble pour du MD5 (y a déjà un bug report où les gens disent qu'il faut le changer à la main mais aucun avertissement visible n'indique cette astuce).
Je ne suis en aucun cas un partisan de microsoft et l'avantage principal que je vois au libre par rapport au propriétaire pour la sécurité c'est une plus forte réactivité (microsoft améliore sensiblement son image de ce côté mais pas d'autres éditeurs) et surtout la disponibilité du code qui n'est pas en soit une garantie contre la présence de failles. Cependant, je pense (supputation), que les projets libres (les plus critiques, pas ceux fait sur un coin de table) ont sans doute une meilleur qualité dans l'écriture du code en terme de rigueur (on code moins avec les pieds). En effet, si qqun n'est pas satisfait d'une implémentation, il peut proposer une alternative...
[^] # Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par Wharf . Évalué à 1.
1/ SUSE et IBM ont obtenu une certification EAL2+ par rapport à une cible de sécurité (TOE) publiée par eux
http://www.bsi.de/zertifiz/zert/reporte/0216b.pdf(...) http://www.bsi.de/zertifiz/zert/reporte/0216a.pdf.(...)
Le niveau EAL2 signifie que SUSE et IBM ont financé une étude qui prouve que, par rapport à cette TOE (cible de sécurité), la structure de la solution (hard+soft) a été jugée conforme.
EAL2 c'est donc un critère de qualité de définition de la structure, mais pas une garantie de sécurité.
EAL2 - structurally tested
EAL2 requires the cooperation of the developer in terms of the delivery of design information and test results, but should not demand more effort on the part of the developer than is consistent with good commercial practice. As such it should not require a substantially increased investment of cost or time.
EAL2 is applicable in those circumstances where developers or users require a low to moderate level of independently assured security in the absence of ready availability of the complete development record. Such a situation may arise when securing legacy systems, or where access to the developer may be limited.
cest bizzare dans le cas de Linux, pour obtenir un niveau dévaluation EAL2, laccessibilité au code source de l'OS nest même pas nécessaire (seulement à partir d'EAL3)
Pour obtenir EAL3 il faudra du temps, beaucoup de sous, et l'analyse des sources.
Pour obtenir EAL4, il faudrait des milions d'Euros, et que SUSE soit développé dans une "usine à logiciel" équipée d'outil de gestion du cycle de vie, et de méthodologie normalisée: pas simple pour la communauté du libre , et assez incompatible avec le "bazar" qui offre d'autres avantages tels que la spontanéité généreuse !!!
2/ Windows 2000 SP3 a obetnu une certification EAL4+ par rapport à une cible de sécurité aussi publiée (elle comprend IPSEC, l'authentification Kerberos, et l'accès LDAP)
http://niap.nist.gov/cc-scheme/CCEVS-VID402.html(...)
Le process de certif aurait duré environ 2 ans !!
EAL4 exige l'analyse du code source, pour vérifier que les assertions de la TOE sont vraies, que le code a été conçu et documenté en vue d'un audit de sécurité ultérieur, et que le process de développement permette de maintenir dans le temps cette certification.
EAL4 - methodically designed, tested and reviewed
EAL4 permits a developer to maximize assurance gained from positive security engineering based on good commercial development practices. Although rigorous, these practices do not require substantial specialist knowledge, skills, and other resources. EAL4 is the highest level at which it is likely to be economically feasible to retrofit to an existing product line. It is applicable in those circumstances where developers or users require a moderate to high level of independently assured security in conventional commodity TOEs, and are prepared to incur additional security-specific engineering costs.
An EAL4 evaluation provides an analysis supported by the low-level design of the modules of the TOE, and a subset of the implementation. Testing is supported by an independent search for vulnerabilities. Development controls are supported by a life-cycle model, identification of tools, and automated configuration management.
Autre point, ce n'est pas la version SUSE "standard" qui a passé la certif, mais une version modifiée « certification-sles-eal2 » uniquement disponible auprès deux, qui doit etre compilée par SUSE, et la certif n'est valide que sur le hard IBM indiqué dans la doc.
Donc cette certif de SUSE/IBM n'est pas applicable à Mandrake, Red Hat ou autre, ... qui devront se faire sponsoriser par un autre partenaire,.
Il va leur falloir des millions d'Euros s'ils veulent plus que le niveau EAL2 !!!!
Bye
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.