En examinant les caractéristiques du trafic (taille des paquets, intervalle entre chaque paquets, symétrie de la connexion,...) indépendamment de son contenu on peut généralement déterminer beaucoup de choses. Donc si le tunnel est utilisé pour faire passer du HTTP par exemple, ça va se voir (si on est observateur).
En pratique, sshow utilise ce genre de technique pour récupérer des informations sur les mots de passes qui passent dans une connexion ssh : http://www.openwall.com/articles/SSH-Traffic-Analysis et fl0p (mentionné dans p0f/docs/existential-notes.txt) généralise la technique avec une base de signature qui peut s'appliquer à tout type de trafic (SSL, SSH,...) : http://lcamtuf.coredump.cx/
Un admin réseau qui souhaite laisser passer le SSH vers l'extérieur est il donc condamné à autoriser également le port forwarding ?
Dans le cas général, je pense que oui. En pratique, il peut détecter certains types de trafic avec une fiabilité relativement grande et décider de sévir en conséquence (automatiquement bloquer la connexion, logguer les infractions suspectées et investiguer en examinant le poste client concerné, faire un rapport à la direction,...) ou non.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Ou bien tu l'installes sur une machines qui va se connecter « légitimement » à la cible. Il faut évidemment que la cible réponde. Dans les versions précédentes de p0f on pouvait même fingerprinter un système qui refuse la connexion mais je ne vois plus cette option dans la v3.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Et en tant que francophone évidemment il faut pouvoir assumer le nom de la boite sur le CV. Mais ça incite à faire carrière à l'international après :op
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Systemtap est le prétendant naturel [...] Mais aucun ne joue vraiment dans la même cour que dtrace. Par ailleurs les équivalent sous Solaris se basent sur dtrace désormais.
Qu'est-ce que tu penses qui manque à SystemTap pour « jouer dans la même cour » que DTrace ? Tous les cas d'utilisation que tu cites peuvent être implémentés avec SystempTap.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
C'est le même type de raisonnement qui te pousse à dire que tu ne sais pas copier l'image d'une VM VMware. C'est pas parce que tu ne sais pas le faire que tu ne peux pas l'apprendre. Modulo les contraintes de temps évidemment mais si tu veux pas payer pour une solution toute faite il te faudra de toute façon passer du temps à peaufiner quelque chose qui marche. Faut juste voir ce qui sera le plus utile/productif.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Raison de plus. Ça va mettre un peu de temps pour scripter le tout mais le jour où tu devra changer de plateforme (VM, OS, hardware,...) tu aura des instructions détaillées de ce qu'il faut faire pour récupérer un système pratiquement identique.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Plutôt que de sauvegarder une image de chaque VM il me semble plus intéressant de sauvegarder (et versionner) sa configuration de manière à pouvoir la réinstaller de zéro de plus ou moins automatiquement. C'est ce que permettent les outils de gestion de configuration à la CfEngine, Puppet, Chef,...
L'avantage c'est que ça prend beaucoup moins de place, c'est plus pratique à manipuler (tu peux examiner le contenu des fichiers sans à devoir monter un filesystem ou utiliser des logiciels spécifiques) et tu peux versionner de manière pratique et efficace (tout dans git/hg/svn/whatever vs backups incrémentaux dont il n'est pas toujours pratique d'examiner les différences). Selon la taille de l'image ça peut aussi être bien plus rapide aussi bien pour la sauvegarde que la restauration.
Ça ne remplace évidemment pas les backups des données mais c'est une problématique différente qui ne nécessite pas vraiment de support au niveau de la VM.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Bah non. Tu peux définir une fonction de hashage qui n'examine que les N premiers caractères par exemple. Ça sera O(1). En pratique ça peut même être une bonne idée selon les données et qu'on veut pas s'amuser à implémeter un trie.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Effectivement. Bon du coup c'est la CSS qui met pas le message assez en évidence ou bien on pourrait remplacer le lien de commentaire par un message indiquant que le journal est archivé.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Et évidemment les headers sont pas passés. J'ouvrirais bien un ticket pour expliquer que la « balise triple backquote » est cassée mais je laisse ça pour un autre jour.
J'imagine que le choix est laissé au compilateur. Mais dans le sens où le type est connu à la compilation ça semblerait idiot de faire ça à l'exécution.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Le seul problème que je rencontre, mais qui plutôt ennuyeux c'est que je peux pas sortir de mon serveur.
D'après ce que tu décris je suis à peu près sûr que c'est faux. À tous les coups les paquets du client partent bien sur internet via ton serveur mais la machine avec laquelle tu essais d'établir une connexion ne sait évidemment pas par où passer pour répondre à 10.8.0.6. Il te faut aussi du NAT (ou utiliser une IP routable) pour que la connexion semble provenir de ton serveur.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Ah vrai dire je pense qu'il devrait être possible d'utiliser sepsql en conjonction avec un système à la CryptDB. On fait du contrôle d'accès au niveau de la structure de la base de données et le contenu n'est déchiffré que par les clients. Les deux systèmes ne protègent pas la même chose mais ils ne me semble pas incompatibles.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
dlopen est gentil, mais deja que dans un autre commentaire je précise que ca va finir par ramer, alors la reouvrir une lib a chaque appel ...
Je vois pas pourquoi tu voudrais ouvrir une lib à chaque appel.
Je ne comprends pas ta remarque sur syscall et LD_PRELOAD, peux tu etayer par un exemple ? je ne vois pas en quoi ca empeche une autre soft de reimplémenter ses appels standards.
LD_PRELOAD contient une liste de bibliothèques à charger. Si l'une d'elle remplace write() par exemple et qu'elle utilise syscall() pour transférer l'appel, ça court-circuite tous les autres. Puis il y a le problème des syscalls qui n'en sont pas (fork() par exemple).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# passive traffic analysis
Posté par Krunch (site web personnel) . En réponse au message Détecter le remote port forwarding via SSH. Évalué à 2.
En examinant les caractéristiques du trafic (taille des paquets, intervalle entre chaque paquets, symétrie de la connexion,...) indépendamment de son contenu on peut généralement déterminer beaucoup de choses. Donc si le tunnel est utilisé pour faire passer du HTTP par exemple, ça va se voir (si on est observateur).
En pratique, sshow utilise ce genre de technique pour récupérer des informations sur les mots de passes qui passent dans une connexion ssh : http://www.openwall.com/articles/SSH-Traffic-Analysis et fl0p (mentionné dans p0f/docs/existential-notes.txt) généralise la technique avec une base de signature qui peut s'appliquer à tout type de trafic (SSL, SSH,...) : http://lcamtuf.coredump.cx/
Du côté de la défense, le plus efficace pour brouiller les pistes semble être de multiplexer. Voir par exemple http://events.ccc.de/congress/2010/Fahrplan/events/4140.en.html ou http://events.ccc.de/congress/2006/Fahrplan/events/1478.en.html (les vidéos sont sur le wiki du Congress correspondant et probablement dans le google).
Donc pour répondre à la question :
Dans le cas général, je pense que oui. En pratique, il peut détecter certains types de trafic avec une fiabilité relativement grande et décider de sévir en conséquence (automatiquement bloquer la connexion, logguer les infractions suspectées et investiguer en examinant le poste client concerné, faire un rapport à la direction,...) ou non.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Forum général.cherche-logiciel Monitoring web de tables SQL
Posté par Krunch (site web personnel) . En réponse au message Monitoring web de tables SQL. Évalué à 2.
Ah merde, moi qui pensait que c'était de fournir un service ou produit utile à la société.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Question de la part d'un néophyte
Posté par Krunch (site web personnel) . En réponse à la dépêche pof pof p0f la prise d'empreintes réseau passive !. Évalué à 4.
Ou bien tu l'installes sur une machines qui va se connecter « légitimement » à la cible. Il faut évidemment que la cible réponde. Dans les versions précédentes de p0f on pouvait même fingerprinter un système qui refuse la connexion mais je ne vois plus cette option dans la v3.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: London ?
Posté par Krunch (site web personnel) . En réponse au message Stage - ASRALL. Évalué à 2.
Les dates collent.
http://www.acunu.com/careers/test-engineer-jobs/
http://www.acunu.com/careers/university/
Oui je sais le titre correspond pas mais toute notre infrastructure IT est gérée par la même équipe. C'est pas marqué « stage » mais on fait ça aussi. Envoi moi un mail à adk@ si tu veux en discuter.
Et en tant que francophone évidemment il faut pouvoir assumer le nom de la boite sur le CV. Mais ça incite à faire carrière à l'international après :op
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# London ?
Posté par Krunch (site web personnel) . En réponse au message Stage - ASRALL. Évalué à 2.
Il faut que ça soit en France ? Quelle durée ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Pub
Posté par Krunch (site web personnel) . En réponse au journal VDB. Évalué à 10.
Exactement. D'ailleurs je suis pour le spam : ça fait vivre l'économie et de toute façon je les filtre.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: dtrace un jour ?
Posté par Krunch (site web personnel) . En réponse à la dépêche Le noyau Linux 3.2 est disponible. Évalué à 3.
Qu'est-ce que tu penses qui manque à SystemTap pour « jouer dans la même cour » que DTrace ? Tous les cas d'utilisation que tu cites peuvent être implémentés avec SystempTap.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Bof
Posté par Krunch (site web personnel) . En réponse à la dépêche C11 n'est pas encore mort. Évalué à 4.
On attend le journal donc.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: éviter la sauvegarde d'images de VMs ?
Posté par Krunch (site web personnel) . En réponse au message demande de conseils en virtualisation. Évalué à 2.
C'est le même type de raisonnement qui te pousse à dire que tu ne sais pas copier l'image d'une VM VMware. C'est pas parce que tu ne sais pas le faire que tu ne peux pas l'apprendre. Modulo les contraintes de temps évidemment mais si tu veux pas payer pour une solution toute faite il te faudra de toute façon passer du temps à peaufiner quelque chose qui marche. Faut juste voir ce qui sera le plus utile/productif.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: éviter la sauvegarde d'images de VMs ?
Posté par Krunch (site web personnel) . En réponse au message demande de conseils en virtualisation. Évalué à 4.
Raison de plus. Ça va mettre un peu de temps pour scripter le tout mais le jour où tu devra changer de plateforme (VM, OS, hardware,...) tu aura des instructions détaillées de ce qu'il faut faire pour récupérer un système pratiquement identique.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# éviter la sauvegarde d'images de VMs ?
Posté par Krunch (site web personnel) . En réponse au message demande de conseils en virtualisation. Évalué à 2.
Plutôt que de sauvegarder une image de chaque VM il me semble plus intéressant de sauvegarder (et versionner) sa configuration de manière à pouvoir la réinstaller de zéro de plus ou moins automatiquement. C'est ce que permettent les outils de gestion de configuration à la CfEngine, Puppet, Chef,...
L'avantage c'est que ça prend beaucoup moins de place, c'est plus pratique à manipuler (tu peux examiner le contenu des fichiers sans à devoir monter un filesystem ou utiliser des logiciels spécifiques) et tu peux versionner de manière pratique et efficace (tout dans git/hg/svn/whatever vs backups incrémentaux dont il n'est pas toujours pratique d'examiner les différences). Selon la taille de l'image ça peut aussi être bien plus rapide aussi bien pour la sauvegarde que la restauration.
Ça ne remplace évidemment pas les backups des données mais c'est une problématique différente qui ne nécessite pas vraiment de support au niveau de la VM.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: N-2
Posté par Krunch (site web personnel) . En réponse au journal Electromagnetic Field 2012: un hacker camp albionesque. Évalué à 2.
Le site n'est évidemment pas à jour mais des rumeurs circulent comme quoi l'édition 2012 est en train de s'organiser.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# faux papiers
Posté par Krunch (site web personnel) . En réponse au journal Google en 2012 deviendra encore plus intrusif. Évalué à 6.
Bon au moins si tu décides de te faire des faux papier tu devrais pas avoir trop de mal : http://gewalker.blogspot.com/2011/08/firsthand-examination-of-google-profile.html
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: python + dictionnaire
Posté par Krunch (site web personnel) . En réponse au message pour changer massivement les permissions dans 5To de données. Évalué à 2.
En quoi ça serait plus simple que du bash/sed/awk ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Les vrais théoriciens s'en foutent
Posté par Krunch (site web personnel) . En réponse à la dépêche Le colonel Moutarde, sur la table (de hachage), avec un livre de maths. Évalué à 3. Dernière modification le 31 décembre 2011 à 19:53.
Bah non. Tu peux définir une fonction de hashage qui n'examine que les N premiers caractères par exemple. Ça sera O(1). En pratique ça peut même être une bonne idée selon les données et qu'on veut pas s'amuser à implémeter un trie.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: et après ?
Posté par Krunch (site web personnel) . En réponse au sondage Pourquoi avez-vous installé Linux, la première fois ?. Évalué à 6.
Haiku ?
ReactOS ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: ezines
Posté par Krunch (site web personnel) . En réponse au sondage Pourquoi avez-vous installé Linux, la première fois ?. Évalué à 3.
Les seuls ezines que je connais sont plutôt orienté sécurité mais phrack est toujours vivant et « récemment » j'ai vu passer (IN)SECURE et ClubHACK.
http://www.phrack.org/
http://www.net-security.org/insecuremag.php
http://chmag.in/
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Contenu de plus de trois mois.
Posté par Krunch (site web personnel) . En réponse à l’entrée du suivi la page de nouveau commentaire redirige vers le contenu sans permettre de commenter. Évalué à 2 (+0/-0).
Effectivement. Bon du coup c'est la CSS qui met pas le message assez en évidence ou bien on pourrait remplacer le lien de commentaire par un message indiquant que le journal est archivé.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# avec les headers
Posté par Krunch (site web personnel) . En réponse à l’entrée du suivi la page de nouveau commentaire redirige vers le contenu sans permettre de commenter. Évalué à 2 (+0/-0).
Et évidemment les headers sont pas passés. J'ouvrirais bien un ticket pour expliquer que la « balise triple backquote » est cassée mais je laisse ça pour un autre jour.
Les headers donc :
GET /nodes/41682/comments/nouveau HTTP/1.1
Host: linuxfr.org
[...]
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: https://linuxfr.org/users/slyce/journaux/von-inutilitaires-pr%C3%A9f%C3%A9r%C3%A9s
Cookie: remember_account_token=mekmitasdigoat; https=1; linuxfr.org_session=loremipsum
HTTP/1.1 302 Found
Server: nginx/0.7.67
Date: Wed, 28 Dec 2011 21:50:14 GMT
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=5
Status: 302 Found
X-Served-By: 15625
X-Revision: 61482a4c3c1640f7de44b24021345676711f626a
Location: https://linuxfr.org/users/slyce/journaux/von-inutilitaires-pr%C3%A9f%C3%A9r%C3%A9s
x-ua-compatible: IE=Edge,chrome=1
Cache-Control: no-cache, private
Set-Cookie: linuxfr.org_session=loremipsum; path=/; secure; HttpOnly
X-Runtime: 0.008130
X-Rack-Cache: miss
X-Frame-Options: DENY
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# phk n'aime pas C11
Posté par Krunch (site web personnel) . En réponse à la dépêche C11 n'est pas encore mort. Évalué à 10.
https://www.varnish-cache.org/docs/trunk/phk/thetoolsweworkwith.html
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: sélection générique de fonctions
Posté par Krunch (site web personnel) . En réponse à la dépêche C11 n'est pas encore mort. Évalué à 5.
J'imagine que le choix est laissé au compilateur. Mais dans le sens où le type est connu à la compilation ça semblerait idiot de faire ça à l'exécution.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# et internet il fait comment pour savoir qu'il doit passer par ton serveur pour parler à 10.8.0.6 ?
Posté par Krunch (site web personnel) . En réponse au message Mise en place d'un Proxy tcp crypté (vpn). Évalué à 3.
D'après ce que tu décris je suis à peu près sûr que c'est faux. À tous les coups les paquets du client partent bien sur internet via ton serveur mais la machine avec laquelle tu essais d'établir une connexion ne sait évidemment pas par où passer pour répondre à 10.8.0.6. Il te faut aussi du NAT (ou utiliser une IP routable) pour que la connexion semble provenir de ton serveur.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# refactoring
Posté par Krunch (site web personnel) . En réponse au message Recherche des appels. Évalué à 4.
Le mot clé est « refactoring ». C'est comme ça que les IDE appelle ce genre de fonctionnalité.
Si rien n'existe déjà, il te reste à écrire un parser de PHP qui puisse te permettre de le faire.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: SELinux
Posté par Krunch (site web personnel) . En réponse au journal CryptDB : un bond en avant pour la sécurité des base de données. Évalué à 2.
Ah vrai dire je pense qu'il devrait être possible d'utiliser sepsql en conjonction avec un système à la CryptDB. On fait du contrôle d'accès au niveau de la structure de la base de données et le contenu n'est déchiffré que par les clients. Les deux systèmes ne protègent pas la même chose mais ils ne me semble pas incompatibles.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: pour linux
Posté par Krunch (site web personnel) . En réponse à la dépêche Sortie de Ultracopier 0.3 pour Noël. Évalué à 1.
Je vois pas pourquoi tu voudrais ouvrir une lib à chaque appel.
LD_PRELOAD contient une liste de bibliothèques à charger. Si l'une d'elle remplace write() par exemple et qu'elle utilise syscall() pour transférer l'appel, ça court-circuite tous les autres. Puis il y a le problème des syscalls qui n'en sont pas (fork() par exemple).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.