dvrasp a écrit 68 commentaires

Ce n'est pas facile de faire des journaux de qualité en ce moment. La presse papier est en train de gentiment agoniser, et tout particuliérement la presse informatique - qui fait rarement le poids face au Web. Pour équilibrer les coûts exorbitants de l'impression et de la distribution, alors que les ventes en kiosque baissent inexorablement, la seule solution reste souvent de réduire les budgets rédactionnels ou de rogner sur les finitions (relecture, entre autre).

Les solutions des éditions précédentes sont dispo ici, au moins en partie :

• http://www.challenge-securitech.com/archives/2005/printlevel(...)
• http://web.archive.org/web/20050205202521/www.challenge-secu(...)
• http://web.archive.org/web/20041030052733/www.challenge-secu(...)

La bonne manière de faire, dans ce cas précis, est plutôt :

ls | while read f
do
 echo "$f"
done

Si la liste est grande, tout est mis en mémoire d'un coup avec une boucle for, avant même que la boucle ne commence. Avec read, on a vraiment un traitement ligne par ligne.

Pour créer une collision CRC32, il suffit de modifier (ou d'ajouter) 4 bytes du fichier dont on veut forger la somme.
Pour SHA-1, je ne sais pas si toutes les combinaisons de 80 bits donnent toutes des hash différents. Si c'est le cas, on peut théoriquement forger la signature d'un document en n'en modifiant au maximum que 80 bits. Dans le cas contraire, le nombre de bits à modifier doit tout de même rester dans le même ordre de grandeur.
Ce qu'apporterait cette découverte dans ce contexte (en attendant la publication du papier), c'est que pour trouver la combinaison de bits qui permet de forger une signature quelconque, il n'est pas nécessaire de tester toutes les possibilité de manière exaustive (2000 fois moins de tests). C'est dans ce sens qu'on dite que SHA-1 aurait été cassé, même si le temps de calculs nécessaire reste encore astronomique (de l'ordre de l'année, à vue de nez, avec des moyens sérieux).

C'est pas tout à fait exact. Beaucoup de script kiddies, et pas forcément les plus doués, ont leurs réseaux, et s'échange des exploits pour des failles qui ne sont pas encore publiées (0-day).
Les gens qui cherchent et découvrent des vulnérabilités ne sont d'ailleurs pas tous enclins à poster leurs résultats sur des listes publiques, ou même à prévenir les développeurs. Mais un exploit finit toujours par se diffuser, à plus ou moins grande échelle, avant que la vulnérabilité ne soit officiellement publiée.

Alors il faudra se mettre d'accord avec mon pote Robert qui dit que crypter vient du grec kruptos (caché), et que ça consiste à rendre incompréhensible. Il y a même une référence aux chaines de télévision cryptées.
Enfin, je ne pourais pas dire que je n'ai pas d'estime pour l'Académie...
Vu qu'on peut faire des recherches avec des expressions régulières, c'est intéressant de voir qu'il y a peut de mots qui contiennent "crypt" dans la liste.

PS : décryptement est aussi dans le Robert.

Juste.
Mais puisqu'il s'agit de chipoter, je ne suis pas d'accord avec ta dernière remarque. Crypter n'est pas exactement l'inverse de décrypter : on le fait respectivement avec et sans clé, comme tu le dis. Donc le cryptage serait logiquement le fait de crypter.
Et pourquoi pas cryptement ?

La dernière version disponible sur le site est faite pour gimp-2.0. Ça se compile avec gimptool (package libgimp-dev).
Attention cependant, il faudra probablement recompiler le binaire resynth pour votre système, parcequ'il est fourni précompilé dans le tarball (rm resynth ; make install).

Les responsabes du projet cherchent un traducteur pour la version française. Elle est en effet pour l'instant incomplète et très moyenne (passer par la mailing list).
Pour info, il y a seulement quelques centaines d'expressions à traduire.

C'est sans compter, par exemple, sur un script php mal sécurisé, qui permettrait d'exécuter des commandes shell (donc uploader et exécuter un programme dans /tmp). Le safe-mode n'est pas toujours pratiquable, selon les applications.
Ça peut aussi être un service non privilégié, mais vulnérable. Même dans un chroot très restrictif, on peut exploiter ce bug kernel directement dans un shellcode.
Il ne faut pas minimiser l'importance d'une vulnérabilité parce qu'elle n'est exploitable qu'en « local ».

Sauf que l'html répond aux besoins d'une majorité. Il y a les images, mais aussi la possibilité d'écrire en couleur, avec des polices spéciales. Sans parler des signatures, et autres cartes de visites. Y en a qui aiment, et je ne pense pas qu'on puisse changer ces habitudes.
Une solution : réduire l'html au formatage seul. Il existe des filtrages efficaces, pouvant limiter l'html à des tags bien définis (comme sur ce site), en utilisant une approche white list, secure by design (HTML::StripScript, par ex.).

Du coup, fini le javascript, fini les frames. Mais il reste les fichiers attachés.

Tu oublies :
- ne pas cliquer sur les fichiers attachés

De plus, certains bugs de sécurité de IE utilisés en fishing (le \0, par exemple, si mes souvenirs sont bons) ont eu leurs équivalents sur Mozilla.

Même si ne pas utilise IE/Outlook permet de rendre inopérant une bonne partie des techniques de fishing, ça n'empêchera pas les arnaques qui passent plus par l'émotionnel que par des bugs de sécu de fonctionner. Exemple : mail en html, un scénario alarmiste parlant de clôture de compte et un formulaire login/password pour ebay.
Tant que les utilisateurs ne seront pas mieux éduqués, c'est pas gagné.

Pour certains types de shémas, je trouve tgif bien pratique (du genre de xfig, avec des fonctionalités bizarres).

http://bourbon.usc.edu:8001/tgif/(...)

On ne peut pas espérer concevoir une protection infaillible. On peut juste espérer décourager les crackers assez longtemps pour que les ventes soient rentables ;>

Sinon c'est vrai que la protection des binaires Linux est une question qui sucite mois d'intérêt, vu que les logiciels propriétaires y sont encore plus rares, en comparaison, que les LL sur Windows. Ironiquement, il y a pourtant une forte demande du côté des pirates, qui cherchent à ne pas se faire voler leurs 0-days.
Les techniques sont globalement les mêmes que sur Windows, à l'exceptions de quelques tricks spécifique, probablement, mais qui risquent de poser des problèmes de compatibilité. On peut citer Shiva (http://www.securereality.com.au/(...)).

Et pour en revenir à ta dernière assertion, n'est-il pas possible de fournir des binaires compilés statiquement avec une certaine version de la libc ? Ça ne résoud pas tous les problèmes, bien sûr (kernel, toolkits graphique, perfs, etc.).
Il me semble que les binaires de certains logiciels libres sont fournis sous cette forme (blender ?). Quelqu'un a-t-il de l'expérience sur ce sujet ?

En tant que rédac' chef de THJ depuis octobre 2003 (et lecteur assidu de dlfp), j'aimerais metter au point certaines choses.
D'abord, The Hackademy Journal n'est pas Hackerz Voice. Même si l'éditeur est le même, le journal et l'équipe sont entièrement différents. Ainsi je vous invite à le feuilleter en kiosque, si vous voulez vous en faire une opinion plus juste que seulement fondée par les anciens numéro de HZV. Par exemple, vous verriez qu'on parle beaucoup - et de plus en plus, je m'y attache - de logiciels libres et de Linux.
THJ est d'un niveau volontairement accessible, et pas trop technique. Mais vous pouvez aussi jetter un coup d'oeil à The Hackademy Magazine, plus technique, et plus orienté vers la sécurité UNIX/Linux.

Cela dit, je ne prétend pas que ces journaux sont parfaits. Je suis donc ouvert à vos suggestions et critiques - mais un peu moins aux trolls ;>

« contourner » ?

Pour ceux qui tombent ici depuis un moteur de recherche, j'ai retrouvé, je crois, ce que je cherchais :

flowgraph :
http://www.big.net.au/~silvio/coding/graphing/(...)

À voir aussi :
http://www.cartel-securite.fr/pbiondi/python/bin2graph.py(...)

Ça donne au moins l'occasion de parler des séquences d'échappement de SSH !
Supported escape sequences:
~. - terminate connection
~C - open a command line
~R - Request rekey (SSH protocol 2 only)
~^Z - suspend ssh
~# - list forwarded connections
~& - background ssh (when waiting for connections to terminate)
~? - this message
~~ - send the escape character by typing it twice

Il y a fenris de Michal Zalewski, qui me semble pouvoir faire ça :
http://lcamtuf.coredump.cx/fenris/(...)

J'ai trouvé aussi ça :
http://www.ida.liu.se/~vaden/cgdi/(...)
http://kprof.sourceforge.net/(...)

Mais j'ai le souvenir d'un post de slashdot, bugtraq ou autre, qui présentait un autre soft qui m'a parru meilleur. Pas moyen de le retrouver.

En passant, on en trouve aussi ici :

http://www.w3.org/Amaya/User/AmayaGL.html(...) (SVG+GL)
http://www.w3.org/2002/09/amaya-darwin(...) (OS/X)

Petit détail intéressant bien qu'hors sujet. La chanson originale finissait par :

Si vous me poursuivez
Prévenez vos gendarmes
Que j'emporte des armes
Et que je sais tirer...

qui est devenu :

Si vous me poursuivez
Prévenez vos gendarmes
Que je n'aurai pas d'arme
Et qu'ils pourront tirer.

Sans quoi la chanson n'aurait pas pu être publiée...

ecamegapedal ne fonctionne qu'avec une source unique, j'ai l'impression. Pour pouvoir faire des branchements complexes, tu devrais plutôt utiliser galan.
Et dans la série des transformations sympas, je te conseille aussi freqtweak.

Voici la position de The Hackademy, qui donne des précision sur ce que signifie la commission paritaire :

http://forum.dmpfrance.com/phpBB2/viewtopic.php?t=5131(...)

C'est le poly de Lausanne.

http://lasecpc13.epfl.ch/ntcrack/(...)

Je pense qu'il faut rajouter ceci :

http://www.espgame.org/(...)

qui est une apporche très intéressante du problème de la catégorisation des images du web.
Une sorte de seti@home, mais où l'on donne des « cycles » de son cerveau...