Foxy a écrit 662 commentaires

Clair, je viens d'aller voir : le choix des couleurs est à gerber :(

Je reste toujours simple avec mes configs. Je doit reconnaitre que Systrace, je m'en fous un peu voir complètement. Unix a un système de protection plutôt cohérant. L'utilisation de Systrace, avec l'accroissement de privilège, est un détournement des principes de base d'unix et rend le système moins cohérant, il y a un moins bonne visibilité sur la sécurité. Attention, je ne nie pas son intérêt dans quelques cas particuliers.

Je suis d'accord que pour le "commun des utilisateurs Linux", Systrace est un outil complexe et peut-être pas nécessaire.

Néanmoins, je pense que sur des configs serveurs, cela peut être utile de "blinder" des applications avec Systrace afin qu'elles ne puissent pas être détournées. Pour moi, le problème que je cite en exemple (un buffer overflow distant sur WU-FTP donnant un shell root sur la machine) pourrait être évité avec une config Systrace correcte pour le démon ftpd.

Mais il est vrai que l'on peut déjà sécuriser un serveur de nombreuses façons (chrooting, utilisation de LIDS sur Linux...) et que pour des non-spécialistes, cela reste complexe et surperflu.

Systrace est développé par les "furieux" de la sécurité sur OpenBSD et sur cet OS, toute amélioration de ce point est primordiale (voir aussi l'ajout actuel de Propolice à OpenBSD).

A ce propos, j'ai récupéré une station Sun/Sparc SS20 mais je n'ai pas d'écran et mon écran VGA ne supporte pas le mode vidéo de Sun malgré un adaptateur 13W3/DF15 (trop vieux) :-(

Je recherche un retour d'expérience d'install d'OS open-source (Aurora et surtout OpenBSD) via un cable série null-modem entre une station Sun et un Linux/i386 : comment configurer le terminal série et quel soft utiliser pour récuperer la console Sun correctement via le port série ?

Ton résumé un peu brumeux me fait penser au livre "Sur l'onde de choc" de John Brunner : excellent bouquin de SF. C'est l'histoire d'un super pirate qui navigue d'identité en identité pour échapper aux autorités, il code des super vers pour voler de la money, changer d'identité, effacer des infos et effectivement la fin s'apparente plutôt à un retour aux sources sans technologie. Dis moi si c'est bien ça.

A noter, la rétrospective Perl pour 2002 est faite par un pote français : Rafael Garcia-Suarez.

Il est aussi le responsable officiel de résumés hebdo du développement de Perl5 : voir http://use.perl.org(...) et auteur de plusieurs articles sur Subversion sur O'ReillyNet.

Son site Web perso : http://rgarciasuarez.free.fr/(...) et son journal sur Use Perl : http://use.perl.org/~rafael/journal(...)

J'ai aussi vu l'émission qui m'a bien fait de la peine, comme d'hab quand on aborde ce sujet dans les médias TV (et surtout sur TF1). Il suffit de voir le discours idiot de Pascal Nègre pour partir en courant.

Un gars (je ne sais pas qui c'était) qui trouvaient scandaleux que des oeuvres tombent dans le domaine publique au bout de X années

Il s'appelle Patrick Zelnik je crois. C'est l'ancien responsable de Virgin en France et dirige aujourd'hui le label Naïve. Il est généralement pas trop bête mais là il atteignait des sommets. Il se plaignait que des oeuvres comme Brassens ou les Beatles puissent tomber dans le domaine public au bout de plusieurs dizaines d'années : évidemment, ces auteurs se vendent encore très bien et il serait dommage que les maisons de disque perdent "l'énorme" marge qu'ils se font dessus.

Mais le pire reste encore l'exploitation scandaleuse des marges faites sur la musique classique.

et hier soir, apparition de connections en TCP/4662 , alors que edonkey n'est pas un truc qui m'interesse ... et que je n'avais pas trop vu ce genre de port avant. Donc wait&see mais il est possible que 4662 soit effectivement aussi de la partie !!

Le port 4662 est bien utilisé par EDonkey pur faire du P2P mais n'a rien à voir dans cette affaire.

Ton problème est une question récurrente des connectés en ADSL : ton IP dynamique était auparavant utilisé par quelqu'un qui faisait du P2P avec Edonkey. Les requêtes que tu vois arriver sur ton port 4662 correspondent aux clients avec lesquels il était en connexion et qui cherchent encore à la joindre. Le problème est que ce genre de requêtes génèrent du trafic à n'en plus finir :-(

Sur tous les accès ADSL que j'ai vu ces derniers temps, les requêtes sur port 4662 sont présentes à tous les coups que tu fasses du Edonkey ou pas.

Ca m'étonnerait que tu es une réponse de Zataz : Damien Bancal (Zataz) ne pane rien à la technique et se contente d'écrire des conneries plus grosses que lui comme celle à laquelle tu fais réference.

un accord tacite

Effectivement mon terme "tacite" est mal choisi. Ce que je veux dire par là, c'est qu'évidemment il y a un contrat écrit entre les 2 parties lors d'un accord de peering mais qu'il est gratuit car c'est du "Win-Win" comme on dirait dans la nouvelle économie ;-)

Traduction : les 2 opérateurs s'entendent pour se raccorder, ils signent un contrat mais il n'y a pas de rétribution financière pour ces données car les 2 parties y gagnent.

Dans son conflit avec Free, FT aurait vraiment pu faire l'enflure en coupant l'accès à OpenTransit de Proxad.

Certainement pas tu oublies un peu vite que le lien OpenTransit est payant pour Free et que donc, un contrat commercial lient FT et Free sur ce point. Donc d'unepart, FT n'en a pas le droit sans s'exposer à des poursuites judiciaires, d'autre part ils perdraient de l'argent (ils sont pas si cons que ça !).

De plus, je suis sûr que par contrat, FT est obligé de fournir une qualité de service à Free sur OpenTransit sinon c'est indemnités financières. Donc la coupure d'OpenTransit par FT n'est pas prête de se produire.

Cela est très différent d'un contrat de peering qui est un accord tacite pour le bien des 2 parties sans contrepartie financière (malgre ce que dit FT suite à l'incident avec Free).

Je vois que certains sont perdus dans cette discussion et que d'autres au contraire, comprennent bien la situation et que ça vole haut pour les autres. Donc une peu de pédagogie :

- un accord de peering entre opérateurs/FAi consistent à s'entendre pour interconnecter des grosses liaisons de part et d'autre sur un routeur commun. Cela permet que les flux Opérateur1/Opérateur2 passe directement par cette voie et évite des multiples hop pour que les réseaux puissent se joindre. Ce sont généralement des accords gratuits puisque ça arrange les les 2 parties.

- en France, il existe plusieurs gros points de Perring entre FAI :
* Sphinx Renater (réseau CNRS, univeristé, grandes écoles...)
* Parix : celui de FT
* FreeIx
* MAE UUnet

- ici le problème est que la liaison qui vient de FT sur le point de peering de Free sature. Free demande à ce qu'elle soit upgradée pour que les clients de Wanadoo n'est pas de pb à accéder aux sites de Free/Online/Proxad (puisqu'ils sont à la fois FAI particulier, professionnel, hébergeur). Pour une raison politique (concurrence de Free sur ADSL), FT traine des pieds et en a rien à foutre de pénaliser ces utilisateurs...

Pour une bonne intro au peering et à l'existant français, voir Lyonix : http://www.lyonix.net/index.php(...)
C'est un projet de point de peering à Lyon : éviter aux utilisateurs lyonnais de 2 réseaux différents de passer par Paris i.e éviter Free Lyon --> Free Paris --> FT Paris --> FT Lyon mais faire plutôt Free Lyon --> Lyonix --> FT Lyon.

Je confirme : depuis heir soir, je ne peux plus me connecter au serveurs de Free (Webmail, WWW, IMAP, POP) depuis mon boulot vu que l'on passe par Wanadoo et Oleane :-(( Plus de connexion SSH non plus, fait chier !!!

En plus, plus de LinuxFR non plus. Heureusement que je suis rentré chez moi ce midi pour me connecter depuis mon ADSL Free :-)

Cette note d'information est intéressante pour ceux dont la sécurité n'est pas la tâche primordiale. Elle permet de donner une bonne vision d'una attaque "courante", des outils de hack utilisés et des buts recherchés par cette intrusion.

Néanmoins, la question que je me pose est la validité technique de la démonstration : quels outils sont utilisés à posteriori pour le suivi des modifs du système de fichiers ?

Je pense particulièrement aux lignes du type suivant présentes dans le document :

La première activité suspecte est visible à 04:28:33. Le pirate télécharge (via la commande lynx) une première archive (.a. signifie que la date d'accès a été modifiée):

Oct 15 2002 04:28:23 1102236 .a. -rwxr-xr-x 0 0 663612 /usr/bin/lynx

Le pirate parvient peu de temps après à télécharger une archive, rk.tgz.

Oct 15 2002 04:29:12 382403 m.. -rw------- 0 7 1462 /rk.tgz (deleted)

Quel outil le CERTA utilise car il ne le précise pas dans la note ?

URPMI est vraiment un super outil une fois que l'on a configuré ses médias (voir Easy URPMI pour cela : http://plf.zarb.org/~nanardon/ ) Je n'utilise plus que ça sur mes Mandrake quand je ne veux pas recompiler un package moi-même. Cette intro à urpmi a l'air pas mail mais il faudrait ajouter des tips & tricks pour certaines confs, IMHO. Par exemple, l'autre jour @Work, j'ai eu besoin d'utiliser URPMI via un proxy avec authentification : pas évident à priori et impossible à faire avec MandrakeUpdate (conf proxy possible mais pas avec auth., en tout cas sur la 8.2). LE TIPS : Pour UPRMI, créer un fichier de conf pour wget (~/.wgetrc pour root par ex.) : http_proxy = ... ftp_proxy = ... proxy-user=... proxy-passwd=... Utiliser URPMI avec wget : # urpmi --wget PACKAGE_TO_INSTALL et là ça marche super bien avec le proxy et l'authentification

Tout ca pour dire que les 2.4 millions d'utilisateurs "gratuits" n'ont rien a se reprocher tout de meme.

Effectivement, ils n'ont rien à se reprocher "sur le fond" : la Mandrake se conforme à la GPL, est downloadable gratuitement, installable et utilisable gratuitement quelque soit le nombre de postes ou les tâches effectuées (genre n serveurs de production).

Par contre, c'est une question de "forme" : lorsqu'on est content d'un produit "gratuit", qu'on l'utilise pour des tâches professionnelles, qu'on s'en sert quotidiennement, qu'on utilise les services Web de support de la distrib (mailing-listes, MandrakeUpdate, MandrakeForum...), la moindre des choses serait de consentir à donner quelques euros comme rétribution. C'est une question "d'honnêteté intellectuelle" et de reconnaissance d'un travail bien fait qui nous est utile (car le packaging d'une distrib est loin d'être simple et aisé, sans parler du développement des softs complémentaires).

Néanmoins, je dis ça mais j'utilise Mandrake depuis la version 5.2 (quelques années) et je ne suis toujours pas inscrit au Mandrake Club alors que la description précedente s'applique pleinement à mon cas. Honte à moi ;-)

Gagnant bien ma vie aujourd'hui, je vais d'ailleurs m'y inscrire dans les jours qui viennent et j'espère que d'autres personnes concernées suivront cette voie.

la majorite sont hors sujet

Faut dire que c'est toi qui ne fait pas d'effort : dans le cas de vsound, j'ai dit toute source audio venant de /dev/dsp (Realplayer n'est qu'un exemple et pas un pré-requis). De même pour sound-recorder, fait un effort !

Boulet va ;-)

Perso, j'utilise le petit utilitaire Vsound qui permet d'enregistrer toute sortie audio du /dev/dsp. Il me permet d'enregistrer en WAV les émissions de radio que je veux conserver lorsque je les écoute via RealPlayer par exemple. Un petit coup de Lame après coup et tu auras un joli enregistrement en MP3 :-)

Voir http://www.xenoclast.org/vsound/(...)

La bonne nouvelle de cette news, c'est surtout que la partie A (faire tourner Linux sur une XBox modifiée) de la récompense (100000$) va être distribuée aux développeurs :

Distribution of the monies to several hackers for part A is expected to be completed by the end of January.

Je ne sais pas combien de personnes sont concernées, mais IMHO, ce sera un joli cadeau de nouvelle année pour eux. Comme quoi, hacker bénevolement, ça peut rapporter ;-)

Pour ceux intéressés, reste la partie B qui est remise en jeu pour 2003 : faire tourner Linux sur Xbox sans modification matérielle.

Michael Robertson has decided to extend the deadline for part B for another year.

Hier soir j'étais d'astreinte sur le site ;)

Ouais et c'est pour ça que tu t'es amusé à valider ma news à 23h30 alors que je l'ai posté la veille (30/12) vers 19h. Merci pour moi, je suis comme ça le dernier posteur de 2002 :-)

PS: tiens maintenant j'arrive à faire des 180° jumpé en roller

Dans la série, Fabien aime les trucs extrèmes pour se casser un bras ou une jambe, après la moto à donf (et sur circuit), voila les sauts de la mort en roller ;-)

Si Marc Espie ou Miod Vallat (développeurs français d'OpenBSD) ou d'autres ont donné leur accord pour cette distribution, désolé de mettre emporté dans mes critiques.

Je n'achète plus Login depuis (très) longtemps étant donné la pauvreté technique du contenu.

Mais en plus quand je vois qu'il fournisse ce mois-ci une release d'OpenBSD 3.2 sur CD, il dépasse vraiment les bornes ! La vente des CD d'OpenBSD est une des seules voies pour les développeurs de gagner de l'argent pour continuer à développer le projet. En plus, ils contredisent le politique officielle de Theo de Raadt (pas d'ISO d'OpenBSD pour x86). Même si ce n'est pas une ISO (je n'irai pas acheter Login pour voir), cela reste vraiment une mauvaise initiative.

Bien que ce soit un bon point de vouloir diffuser cet excellent OS qu'est OpenBSD, ce n'est pas une raison pour aller à l'encontre des souhaits des développeurs. Ce n'est pas pour rien s'il existe très peu de serveurs FTP où on peut trouver une ISO d'OpenBSD faite "à la main".

Plus d'infos sur OpenBSD et les ISO ici : http://openbsd.org/faq/faq3.html#ISO(...)

il est pas du FBI Shimomura.

Sauf qu'il est un peu copain avec pas mal d'agences gouvernementales US dont la NSA puisse qu'il bosse (bossait je sais pas actuellement) au NSCC (National Super Computer Center) : labo travaillant très activement avec la NSA.

Voir sa bio là : http://www.takedown.com/bio/tsutomu.html(...) (attention pas très objectif)

Voir un bon résumé de l'affaire Shimomura/Mitnick ici : http://www.gulker.com/ra/hack/(...)

Ouais si fouiller les poubelles de bureaux du FBI pour trouver des accès PABX s'appelle du "social enginnering", alors oui c'est son point fort ;-)

Effectivement, il y a 2 versions de l'histoire :
- celle de John Markoff (journaliste au NY Times) et de T. Shimomura où il s'attribue tous les lauriers de l'arrestation de Mitnick
- celle de Mitnick assez différente sur les raisons de son arrestation.

Rien que de très normal selon le rôle que l'on tient dans l'histoire : celui du chat ou de la souris.

Néanmoins, ce qui est sûr c'est que Kevin Mitnick à "hacker" les machines perso de Tsutomu Shimomura via de l'IP Spoofing et que c'est Shimomura qui a publié les traces de l'attaque (tcpdump) et son explication technique sur Bugtraq à l'époque.

Après le rôle de Shimomura reste sujet à caution même s'il est certain qu'il a remonté la trace de Mitnick via ses connaissances personnelles (Dan Farmer entre autres).

Pour plus d'infos lire le bouquin de Markoff et Shimomura "Cybertraque".

Pour les chaines hertziennes, une carte Hauppage plus simple avec télécommande doit suffire; comme la Hauppauge WinTV Primio (chez LDLC : http://www.ldlc.fr/fiche/PB00001910.html(...))