Ring est, à mon avis, comme iQ, à l'état de prototype. Mais le principal défaut de ring est de se baser sur les temps de réponse. Il risque d'être donc inéfficace, voir de donner des réponses érronées en cas de réseau congestionné (perte de paquets), de serveur srurchargé...
D'ailleurs, Snort a été recement victime d'un DoS (un paquet ICMP formé je ne sait plus trop comment le faisait vautrer), relayé de facon trés médiatique par ISS.
Qq semaines plus tard, un buffer overflow était découvert dans les produits BlackIce et RealSecure Server Sensor (voir BID 4025). La aussi c'est un déni de service provoqué par des ping flood qui peuvent faire rebooter la machine (enfin le windows quoi).
Normallement, on ne met pas un IDS sur un firewall, mais sur une machine à part qui écoute sur le réseau avec une carte sans adresse, et une seconde carte, qui est connectée sur un réseau d'admin.
De toutes façons, on ne met pas de services du tout sur un firewall: imaginez qu'un service soit vulnérable à un buffer overflow, et qu'on puisse passer root sur le firewall à distance !
Je ne parle pas forcement d'un admin, mais plutot d'un responsable sécurité qui, si il est au courant, est sensé avoir le pouvoir nécessaire au sein de la direction pour imposer la correction d'un pb de ce type.
Et c'est le boulot du RSSI de vérifier que les dev réalisés ont un niveau de sécurité conforme aux attentes de sa société.
J'en profite pour rappeler la loi:
les responsables sécurité ou directeurs informatique sont passibles de peines similaires que des pirates s'ils n'ont pas pris les précautions nécessaires pour assurer la sécurité de leur système d'information.
Mettre ses machines en adressage prive est une bonne protetction (meme si ce n'est pas suffisant): il n'est pas possible d'atteindre des adresses privees a moins de rebondir sur une faille d'une machine de la dmz par exemple.
Meme si le filtrage du fw ou routeur d'entree ne filtre pas les adresses privees, des paquets a destination d'adresses privees ne devraient pas quitter le provider de l'emetteur (par definition, les adresses privees ne sont pas routables).
Il y a plus de trois ans, j'ai achete un graveur. Dans la boite, il y avait easy-cd creator ou je ne sais quel autre soft. J'ai demande chez mon assembleur favori si c'etait possible de l'avoir sans le soft, et a ma grande surprise ils on dit oui tout de suite et sans rechigner et m'ont fait une remise de 150 F (je crois).
Bon peut-etre qu'ils l'ont revendu apres 200 F, mais bon, tout le monde est content.
Oui mais l'adsl (enfin je parle de Netissimo), ca reste une cata en upload depuis le modem (donc pour les site webs avec un minimum de traffic, ca ne va pas etre la joie.
Et puis, de temps en temps, la connexion tombe et on est obligé d'aller rebooter le modem, sinon ca ne revient pas !
Il faut aussi rajouter l'abonnement telephonique (ca doit etre 11 ou 12 euros) qui est obligatoire pour l'ADSL et que FT et co se mettent ds la poche contrairement aux providers concurents.
Voir aussi samhain ( http://la-samhna.de/samhain/(...) ) qui est un systeme de controle d'integrite des fichiers (enfin HIDS quoi) client/serveur avec de nombreuses fonctionalitees.
Il y a une possibilite; on peut au demarrage, mettre les fichiers de log en "append only" (comme propose + haut), et juste appres, supprimer la possibilite de modifier les capabilites (et oui, c'est possible).
Par contre c'est tres chiant, car pour supprimer (ou faire tourner) ces fichiers de logs, il faut rebooter et aller sur la console !
Le probleme, c'est que souvent quand on veut mettre en place un nouveau type de service (pour beaucoup de decideurs qui ne sont plus tous jeunes, le web c'est plutot nouveau), on ne sait pas quoi mettre, donc on prends 01, et on voit la pub (ou article, c'est la meme chose) vantant les merites d'IIS.
Et une fois qu'on se rend compte qu'IIS pose de nombreux problemes (securite, perf, admin...), si on a en plus derriere une base ms SQL server, et toute une panoplie de technos krosoft, le portage demande beaucoup de travail.
Oui mais cette emission est la chamionne quand il faut s'attaquer aux petits escrocs du coin de la rue qui exploitent les vieux naifs sans aucun scrupule, mais quand il s'agit de s'attaquer a un grand group commercial, il n'y a plus personne (si je me souviens bien, ils avaient finalement supprime tous les passages genants pour EDF, au cours d'une emission mettant en cause EDF).
> En général ce que fait MS n'est pas illégal ou jamais de manière flagrante
Oui, ben n'exagérons pas quand meme. Il n'y a pas si longtemps, il facturaient les constructeurs de PC non pas aux nb de windows vendus avec les PCs, mais aux nombres de PC vendus, qu'ils le soient avec ou sans zin.
Et puis, je ne parle pas des drivers souris qui etaient incompatibles avec les souris Logitech (qui etaient, et sont toujours, mieux et moins cheres que les souris ms).
Et le Java version ms, non compatible. Procès perdu, d'ailleurs.
Et doublespace du dos 6.0, qui avait été pompé sur stack ou je ne sais plus trop quoi (sauf que celui de ms plantait). Pour ca aussi ils ont été condamné.
...
Ben oui, qq part c'est bien ce que j'est dit: "L'exploit ne fonctionne pas. Ce qui ne signifie pas que Debian n'est pas vulnérable à cette faille"
Donc le but de ma réponse etait aussi de savoir si qq en avait une fonctionant avec Debian.
L'exploit ne fonctionne pas en effet sous Debian. Ce qui ne signifie pas que Debian n'est pas vulnérable à cette faille (par une autre exploit par ex.).
Si qq en à une ?
[^] # Re: RING
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche OS fingerprinting : du nouveau.. Évalué à 2.
[^] # Re: Cool! XFree86 4.1!
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche Woody est (presque) là. Évalué à -4.
[^] # Subversion ?
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche Apache 2.0 disponible pour tous. Évalué à 7.
[^] # Re: Pas sur les firewall !
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche Introduction à SNORT. Évalué à 10.
Qq semaines plus tard, un buffer overflow était découvert dans les produits BlackIce et RealSecure Server Sensor (voir BID 4025). La aussi c'est un déni de service provoqué par des ping flood qui peuvent faire rebooter la machine (enfin le windows quoi).
# Pas sur les firewall !
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche Introduction à SNORT. Évalué à 10.
De toutes façons, on ne met pas de services du tout sur un firewall: imaginez qu'un service soit vulnérable à un buffer overflow, et qu'on puisse passer root sur le firewall à distance !
[^] # Re: décevant mais pas étonnant
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche StarOffice 6.0 ne sera pas gratuit !. Évalué à 10.
Ben si il y a des scripts sous StarOffice. Le language de dev est meme du javascript.
[^] # Re: Test inintéressant.
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche Test de Red Flag: la distribution de l'Empire du Milieu. Évalué à 5.
[^] # Re: Entrave à la liberté d'expression
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche kitetoa condamné. Évalué à 3.
Et c'est le boulot du RSSI de vérifier que les dev réalisés ont un niveau de sécurité conforme aux attentes de sa société.
[^] # Re: Entrave à la liberté d'expression
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche kitetoa condamné. Évalué à 10.
les responsables sécurité ou directeurs informatique sont passibles de peines similaires que des pirates s'ils n'ont pas pris les précautions nécessaires pour assurer la sécurité de leur système d'information.
[^] # Re: Les machines en adressage privé sont scannables !
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche Scan par témoin. Évalué à 9.
Meme si le filtrage du fw ou routeur d'entree ne filtre pas les adresses privees, des paquets a destination d'adresses privees ne devraient pas quitter le provider de l'emetteur (par definition, les adresses privees ne sont pas routables).
[^] # Re: est-ce réellement comparable ?
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche Multi-systems & Internet Security Cookbook (MISC). Évalué à 3.
Ni leur sujet, ni le francais !
[^] # Re: Vente liée avec périphériques
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche Vente liée et Microsoft. Évalué à 1.
Bon peut-etre qu'ils l'ont revendu apres 200 F, mais bon, tout le monde est content.
[^] # Re: aucun !
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche IBM apporterait son soutien à Passport. Évalué à 3.
Ou un journaliste tout court :)
[^] # Re: Business model ?
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche Rien ne va plus chez Lycos France. Évalué à 5.
Et puis, de temps en temps, la connexion tombe et on est obligé d'aller rebooter le modem, sinon ca ne revient pas !
# Abonnement RTC
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche L'ADSL de France Telecom n'est pas assez cher. Évalué à 10.
[^] # Re: Les NIDS et HIDS :)
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche L'IDS à l'honneur. Évalué à 9.
[^] # Re: autre methode
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche Vous fiez-vous à vos logs système ?. Évalué à 7.
Par contre c'est tres chiant, car pour supprimer (ou faire tourner) ces fichiers de logs, il faut rebooter et aller sur la console !
[^] # Re: syslog-ng
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche Vous fiez-vous à vos logs système ?. Évalué à 9.
[^] # Re: serveurs secure...
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche Etudes Netcraft et Security Space. Évalué à 8.
Et une fois qu'on se rend compte qu'IIS pose de nombreux problemes (securite, perf, admin...), si on a en plus derriere une base ms SQL server, et toute une panoplie de technos krosoft, le portage demande beaucoup de travail.
[^] # Re: Faut pas ce laisser faire Bordel !!!
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche Au revoir IpFrance. Évalué à 2.
[^] # Re: Est ce légal??
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche Msn.com à accès restreint. Évalué à 1.
Oui, ben n'exagérons pas quand meme. Il n'y a pas si longtemps, il facturaient les constructeurs de PC non pas aux nb de windows vendus avec les PCs, mais aux nombres de PC vendus, qu'ils le soient avec ou sans zin.
Et puis, je ne parle pas des drivers souris qui etaient incompatibles avec les souris Logitech (qui etaient, et sont toujours, mieux et moins cheres que les souris ms).
Et le Java version ms, non compatible. Procès perdu, d'ailleurs.
Et doublespace du dos 6.0, qui avait été pompé sur stack ou je ne sais plus trop quoi (sauf que celui de ms plantait). Pour ca aussi ils ont été condamné.
...
# Virer la toolbar au demarage
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche GNU/Emacs 21 :-). Évalué à 1.
[^] # Re: Utilisateurs de Debian : pas de root exploit
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche Noyau Linux, 3xpl01t r00t & DoS. Évalué à -2.
Donc le but de ma réponse etait aussi de savoir si qq en avait une fonctionant avec Debian.
[^] # Re: Utilisateurs de Debian : pas de root exploit
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche Noyau Linux, 3xpl01t r00t & DoS. Évalué à -3.
Si qq en à une ?
[^] # Re: Sur le plan judiciaire....
Posté par Mathieu Dessus (site web personnel) . En réponse à la dépêche La RIAA relance l'offensive. Évalué à 2.
Petite note: si je me souviens bien, la SACEM ne publie pas ses comptes !