Anonyme a écrit 62265 commentaires

-une équipe (heureusement purement pour la démo) qui récupère des milliers de mots de passe en posant des noeuds de sortie Tor

Tu peux faire la meme chose en posant une borne wifi dans un café ou une gare. Et sur n'importe quelle autre connection aussi il y a toujours des gens qui ont la possibilité d'écouter ce qui passe. Donc c'est de toutes les connections qu'il faut se mefier, et utiliser du SSL quand c'est possible.

-la NSA opérerait elle-même un certain nombre de noeuds histoire de voir ce que font les gens qui "se cachent"

C'est une legende, et en réalité personne n'en sait rien. Mais de toute facon la NSA n'a pas besoin d'operer eux meme des noeuds de sortie pour voir ce qui sort du reseau tor, puisqu'ils ecoutent deja à pas mal d'endroits.

Whow, nix amer !

Il n'y a vraiment rien de verrouillé ou de propriétaire là-dedans.

En regardant les conditions du site:
Warning: Any reproduction, display, translation, adaptation, or quotation of elements from this site, whether complete or partial, whatever the process, is strictly prohibited without permission from the company NANOCLOUD SAS, except as provided by Article L.112-5 of the Code of intellectual property.

Donc on a pas le droit de redistribuer les VMs telechargées sur le site ?

Le script fourni avec l'archive des VMs peut parfaitement être utilisé pour créer d'autres VMs, avec des modifications mineures pour insérer une image ISO. Il n'y a vraiment rien de verrouillé ou de propriétaire là-dedans.

Ou sont ces scripts ? C'était ma question de départ en fait. Au debut on me dit qu'il n'y en a pas. En insistant il y en a, mais on ne veut pas les donner. Maintenant il y a soit disant un script quelquepars, mais ou exactement ?

La plupart des sites proposant des VMs ne fournissent même pas ce genre de script, même simple, fourni sur vm4nerds.

Oui, et on ne peut pas faire confiance à la plupars des sites proposant des VMs.

Mais dans les vrais projets open source, comme docker par exemple, les scripts utilisés pour créer les images de bases sont disponibles, directement dans le depot git:
https://github.com/dotcloud/docker/blob/master/contrib/mkimage-debootstrap.sh

Pour les backdoors, c'est un éternel débat, qui peut s'appliquer à n'importe quel code, même avec un code source de 10 lignes (voir les articles "le coin du barbu" de Linux Magazine).

Exactement le meme argument qui est donné par les editeurs de logiciels proprietaires: l'open source ca sert à rien, par ce qu'on peut quand meme cacher une backdoor dans le code. On peut le faire, mais c'est beaucoup plus compliqué que dans un code fermé ou la c'est trivial.

Ce que cela me donne comme impression, comme souvent, c'est que quand on est une petite startup française, une méfiance quasi automatique se met en place, alors que consommer de la VM au kilomètre chez AWS, cela ne choque pas grand monde. Il y a un coté très latin là-dedans.

La difference c'est que AWS est un service clairement commercial, ils ne pretendent pas faire ca pour le plaisir du partage avec les developpeurs, et je ne les ai jamais vu poster un article sur linuxfr pour faire la pub de leur service. Et quand ils te demandent ton addresse email c'est pas soit disant pour eviter les abus, mais pour pouvoir t'avertir de leur nouvelles offres.

Pourquoi, c'est sale le travail manuel ? :) On a évidemment quelques scripts pour aider.

Donc vous avez des scripts, mais c'est proprietaire ?

En fait vous avez un business model d'editeur de logiciel proprietaire: les sources sont proprietaires, le resultat est gratuit en echange d'un email sur lequel pourront etre envoyées des offres commerciales. Il n'y a rien de mal à faire ca, mais c'est assez curieux de venir en faire la promo sur un site comme linuxfr.

Les deux dernières questions ont déjà été traitées (dont la dernière dans l'interview lui-même).

Tu veux parler de la partie qui dit d'utiliser netcat pour verifier qu'il n'y a pas de backdoor ? C'est ce que disent aussi les editeurs de soft proprietaires. Si j'ajoute par exemple une clef ssh dans un authorized_keys (et autre equivalent plus discret), netcat ne va pas le voir.

VM4nerds n'est pas un réseau social. Il ne s'agit que de technologie et d'alternative. Faire de l'auto-promo avec les e-mails est ce que Eric Ries (auteur de The lean startup) appellerait une métrique vaniteuse.

Oui par ce que les entreprises qui fournissent un service gratuit limité en echange de ton email, pour t'envoyer plus tard de la pub pour leurs services payants, tout le monde sait bien que ca ne se fait jamais.

Il n'y a pas d'outil pour générer ces VMs. Par contre, elles peuvent servir de templates.

Et comment sont crées ces VMs ? Quand meme pas à la main ?

However, to avoid abuses, it is necessary to impose authentication on vm4nerds.com.

Quel genre d'abus ?

On the other hand, we guarantee to privately keep your e-mail address in our database and to not communicate it to any third part.

Et vous garantissez aussi que vous n'allez pas rajouter une backdoor sur les VMs de certains utilisateurs ciblés, puisque le telechargement anonyme n'est pas permis ?

Et qu’est-ce qui te fait dire que je ne parlais pas de ceux-là mêmes qui ont trouvé le hack en question ? Rien.

Quels sont les outils utilisés pour génerer ces images ? Sont ils disponibles ?

Et sinon il est dommage d'etre obligé d'avoir un compte pour simplement télécharger ces images.

Lorsqu’arrivé à la fin de la page, j’ai été comme hypnotisé… je n’arrive pas à savoir pourquoi… j’espère juste que je n’irai pas chasser les zombies nazies à dos d’avion de tourisme.

Donc ça gêne personne le bordel dans ~?

Tu preferes du bordel dans ~/.config ?

Ça ne serait pas possible sans quelques éléments dont la plasticité n’est pas aussi facile à mettre en œuvre que le logiciel. Mais bon, c’est un autre monde.

Tu dois en connaître un rayon sur la question ;)

C’est un hack. C’est comme couper une piste de carte processeur pour augmenter sa fréquence de 100MHz 8D

sinon il y a la solution, mettre ta station dans 2 boite pour l'insonorisé, avec de la laine de roche. Pour le refroidissement des event piege a bruit devrais largement suffire

l'image est un qrcode pour l'url http__://__33b540ca-ed24-4423-8169-5ce65c60011f.mobapp.at?src=qr&p=%7Bsize%3A175%7D

comme toutes les distributions reposant sur des dépôts empaquetant des logiciels compilés

J'ai opté pour the ultimate boot cd qui a l'avantage d'avoir différents outils diagnostics, une distribution partedmagic prête à l'emploi, et la possibilité de rajouter assez simplement toute iso ou qui seraient jugée intéressante pour compléter cette panoplie, dans mon cas l'iso netinstall de debian testing.

Le tout installé sur la première partition formatée en vfat de ma clé usb. La deuxième est cryptée et formatée avec un btrfs compressé pour stocker mes fichiers de conf, mes projets et les containers lxc nécessaires à leur mise en oeuvre.

Pas très malin d'avoir mis dans la vidéo une boîte à rythme qui couvre à moitié la voix du mec.

Vu la vidéo sans le son. Ça va très bien.

On peut aussi implémenter BCP38.

Sur un routeur GNU/Linux il y a deux manière de faire :

• passer la valeur de net.ipv4.conf.default.rp_filter à 1 (à la place de default, on peut aussi mettre le nom d’une interface spécifique) ;
• avec un noyau et un iptables récents (linux 3.3 et iptables 1.4.13) : iptables -t raw -A PREROUTING -i <interface> -m rpfilter --invert -j DROP.

La première solution ne fonctionne qu’en IPv4 et est dépréciée, la seconde ne fonctionnera pas sous Debian Wheezy puisque le noyau est trop vieux (cependant, la version d’iptables est bonne donc un noyaux backporté fera l’affaire).

Par contre, c’est le genre de chose que j’aurai aimé trouver plus facilement en faisant des recherches. Malheureusement, j’ai du fouiller un peu avant de trouver une documentation.

Voilà les référence que j’ai touvé :

• Florian Westphal: Moving rp_filter into netfilter ;
• Secure use of iptables and connection tracking helpers ;
• Man page of iptables-extensions - Section rpfilter ;
• Le patch dont il semble être question dans le premier article.

Ici c’est nxlog -> es -> kibana. Marche bien aussi :) Je ne connaissais pas Flume par contre.

Voir les nombreux posts de blog de lennart qui explique tout ce qu'il fait et pourquoi, ses conferences et autres …

Y a-t-il des incompatibilités (au niveau de la KDB) entre KeePass et KeePassX ?

Si je pose la question c’est parce qu’on cherche un moyen de synchroniser notre base de mot de passe en interne dans notre boite et qu’on a pas trouvé mieux que de la mettre dans notre filer (en fait on cherche même une application centralisé de gestion de mot de passe type TeamPass).

et pub !
http://weboob.org/applications/translaboob

Ça tombe bien, je n’ai demandé d’aide à personne.