Misc a écrit 6299 commentaires

A vue de nez, la plupart ne le sont pas. j'ia 157 services sur mon serveur, et un grep me dit ça:

[misc@sarkhan system]$ grep -s -l Restart= -- *
autovt@.service
console-getty.service
dbus-org.freedesktop.login1.service
dbus-org.freedesktop.machine1.service
debug-shell.service
getty@.service
lvm2-lvmetad.service
portreserve.service
serial-getty@.service
spamassassin.service
sshd.service
systemd-journald.service
systemd-logind.service
systemd-machined.service
systemd-udevd.service

Il y a sshd qui est relancé en cas de plantage et surtout des services comme systemd ou les ttys.

Non, tu va continuer à utiliser RHEL 6 dessus et voila.

Enfin, dans le cas de OpenBSD, ce qui est le plus triste, c'est
que le jour où ils mettront la clé sous la porte faute de moyens
et/ou par lassitude, nombre de grosses boites constateront à
quel point ça leur coûtera plus cher sans eux qu'avec quelques
petites donations.

Bien que je ne vois pas ça arriver (mais je peux me tromper), je me pose la question de savoir si c'est déjà arrivé un jour. J'ai bien des cas de softs ayant été fermé suite à des abus (nessus par exemple, ou snort, etc), est ce qu'on a un cas ou il y a eu une grosse disruption ?

Dans le cas de openbsd, le jour ou ça coule, je pense que les boites iront sur un autre BSD, ou quelqu'un reprendras le code. Et dans tout les cas, le code sera encore disponible.

Car bon, il se passe quoi le jour ou theo organise un hackathon chez lui, et paf, explosion de gaz ?

C'est plus compliqué que ça. Les gens débarquent rarement en disant "tiens, je vais foutre la zone en utilisant mon vrai nom et mon vrai CV linkedin", du moins dans le cas du commentateur du post g+.

Il me semble établi que les comportements des leaders d'une communautés sont imités en parti par la communauté ( d'ou le concept de leader ), et que si les leaders jugent que c'est acceptable de faire tel chose, et qu'on les admirent pour ça, alors d'autre vont le faire. Et je pense que c'est ce mécanisme qui est en jeu, pas la simple envie de déranger pour une motivation quelconque. Bien sur, ensuite, la différence entre ce que je décrit et une personne qui ferait totalement semblant dans le but exacte de faire croire que c'est la réalité est ténu.

Mais je concède bien volontiers que pour tirer une conclusion significative, il faut bien plus d'exemples.

Le problème est a priori complètement différent, conséquence de
deux façons différentes de considérer la publication des failles
de sécurité, plus le fait que les deux projets travaillent sur
le même code, donc on peut imaginer qu'ils se tiendraient au
courant en priorité, ou justement tout le contraire, mais c'est
difficile d'imaginer qu'ils « oublient » l'autre.

Non, ça me semble pas difficile. Déjà, c'est un embargo, y a des régles simples. On en parle pas avant la fin de l'embargo, sauf pour les gens qui doivent savoir. Le jour ou un des participants laissent échapper un truc, on va rien lui faire, ça arrive une erreur, mais on va moins lui faire confiance. Il va le refaire une autre fois, etc, et à un moment, on va se dire "tu sors". Donc il y a déjà une question de crédibilité à ne pas le faire.

Ensuite, personne n'a envie de traiter avec Theo. La virulence dont il fait preuve en publique n'est rien par rapport au vitriol qu'il envoie en privé, d'après les gens avec qui j'ai discuté.

Tertio, il a clairement dit qu'il est contre les embargos, donc c'est pas dur de voir ce qui va se passer si il reçoit l'information. Il va corriger (ou faire corriger) le plus vite possible, puis le projet va dire "faut mettre à jour". Dans le meilleur des cas, il va pas dire pourquoi. Dans le pire, il va dire pourquoi, puis il va pourrir openssl de pas avoir mis à jour ( lui ou une partie de la communauté ).

Autant dire que la personne qui va avoir violé l'embargo va risquer gros, pour pas grand chose. Au final, ça donne juste 1 journée de plus de vulnérabilité, ce qui est pas grand chose à payer par rapport à l'épuisement de traiter avec openbsd, et la coordination du chaos par les distributeurs.

Surtout dans la mesure ou, si j'en croit la timeline, le fait d'avoir eu du temps pour regarder le patch a permis de corriger 2 erreurs. Ce qui évite de passer par un lourd processus de validation des updates 2 fois d'affilés, un souci qui est déjà arrivé à openssh quelque fois, avec à chaque fois "vite, faut mettre à jour". ( 3.6/3.6.1, 3.7/3.7.1, 4.9/5.0 ).

Ça je veux bien croire mais s'ils voulaient vraiment être
informés, ils se serait renseigné pour savoir où passait l'info
plutôt d'attendre que ça arrive tout seul dans leur boîte mail.
C'est quand même via cette mailing list qu'est passé l'info
d'heartbleed et les liens ont circulé un peu partout (ce n'est
pas une information de référence mais ça aurait pu mettre la
puce à l'oreille).

J'ai vraiment du mal à croire que les gens découvrent d'un coup l'existence de la liste. Je suis sorti professionnellement du milieu de la sécurité, je participe à des projets de distros depuis moins longtemps que Theo, et pourtant, je savais qu'elle était la. C'est une chose pour quelqu'un de pas savoir quoi faire d'une faille de sécurité. C'est autre chose pour une personne qui est dans le milieu depuis 15 ans de prétendre ne pas le savoir.

Visiblement, openbsd avait été contacté en 2012. Et ils ont refusés, car ils sont contre les embargos, ce qui est leur droit. Mais du coup, faut bien se rendre compte que ça implique de pas recevoir les informations sur les embargos si la première chose qu'ils vont faire est de le violer en poussant un patch publique.

Soit l'équipe est vraiment centré sur son nombril et n'a vraiment pas regardé ailleurs du tout. C'est triste, mais ok. Soit ils sont de mauvaise foi, et c'est difficile d'accorder crédit à ce niveau.

Visiblement oui, vu qu'il y a encore des gens qui l'acceptent, le suivent, et reproduisent son schéma de pensée. Exemple, l'utilisateur openbsd qui va pourrir Mark J Cox sur son article g+ ( https://plus.google.com/+MarkJCox/posts/L8i6PSsKJKs ). Le mec est consultant en sécurité, mais il est pas capable de se renseigné sur le fonctionnement des distributions en la matière, et ne se remets pas en cause ( malgré avoir été contredit ), commence par une attaque personnelle, réponds à sa place ( cf la partie sur la traduction ). On retrouve un peu le comportement du narcissique de base.

Et le lien que je donne cite le narcissisme collectif comme un facteur d'agression intergroupe, et le narcissisme individuel comme facteur de comportement contre productif au travail. Ça me parait pas une bonne chose en soi, et pourtant, en disant rien, je pense qu'on laisse Theo continuer à servir de modèle, ce qui donne encore plus de narcissique dans le domaine de la sécurité. Ou peut être que c'est le milieu qui veut ça bien sur.

Et franchement, je n'ai jamais vu de volonté de pourrir tous les
gens qui utilisent le logiciel sans payer : ça me semble
s'adresser uniquement à des entreprises qui en profitent
vraiment et pour qui un petit retour serait insignifiant.

Ça reste des utilisateurs aussi. Je me doute bien aussi que theo s’adresse à elles parce qu'elles ont les moyens de payer et pas sur les particuliers.

Mais par exemple, je le voit pas râler sur les militaires ou les gouvernements qui bénéficient autant et qui ont autant les moyens de payer. D'ailleurs, si j'était patron de la NSA, je ferait exactement ça, je donnerais des thunes juste pour faire troller tout le monde :)

Ça ne veut pas dire que tu dois considérer normal de ne rien
recevoir en retour.

ça dépend des gens. Encore une fois, j'ai pas de souci avec le fait de faire du BSD. j'ai plus de souci avec le fait de faire du BSD, de dire que les gens qui font de la GPL font pas du vrai libre parce que ça rajoute des contraintes et ensuite, venir mettre soi même une pression sociale sur les autres après avoir défendu leur droit a exactement faire ça.

Et en fait, je pense que c'est un des soucis de la perception autour de Theo. Il va jamais s'excuser ou dire qu'il a tort après s'être comporté comme un tête de mule. Exemple dans le thread dont on discute, il soutient mordicus que Kurt Seifried gére la liste privée de coordination pour la sécurité inter distribution ( http://marc.info/?l=openbsd-tech&m=140202939732165&w=2 ), ne fait pas de recherches sur le web ( genre, c'est pas dur de trouver le twitter de Mark J Cox et son cv sur linkedin, et de voir le lien avec openssl ). Et jamais il va dire "ok, j'ai eu tort". Mais ne va jamais lâcher si quelqu'un dit le contraire.
Et ensuite, il va se comporter comme un gamin à étaler tout sur la place publique quand on lui parle en privé, et sans doute râler si quelqu'un fait pareil. ( l'étalage sur la place publique qui remplit d'ailleurs aussi un critère que j'avais loupé ).

Donc c'est pas avec le fait de demander des donations qui me pose souci. Ni même le fait de vouloir ça malgré le choix de la licence. C'est le changement d'avis précédé d'un pourrissage en règle.

Disons que ça me choquerais pas si c'était affiché et transparent depuis le début. Mais la, j'ai plus le sentiment que c'est "on avait du pognon donc on a pu se permettre de faire du BSD et de pourrir la GPL, mais une fois qu'on a plus eu de pognon, on va pourrir tout les gens qui utilisent le logiciel sans payer".

Je me souviens pas vraiment de demande de don avant, bien que je me souvienne d'avoir Wim qui vendait des tshirts un peu partout (après une dispute avec Theo, ce qui rends les choses encore plus amusantes).

Pour moi, ne pas recevoir d'argent, ç'est comme un BSDiste qui se plaindrait de pas recevoir de contribution de code d'Apple aprés avoir bien dit "je préfère la BSD car je veux laisser le droit de faire du proprio".

Ensuite, ouais, ils peuvent espérer, et je pense qu'en effet, ils devraient être fondé correctement ( bien que le coté "j'ai besoin de plus de pognon car je fait des choix non économiquement viables" est un autre point discutable )

Et il y a aussi Theo qui visiblement semble craquer:

http://www.mail-archive.com/misc@openbsd.org/msg129626.html

Et je doit reconnaitre que la réaction de Theo est relativement surprenante ( surtout http://www.mail-archive.com/misc@openbsd.org/msg129628.html ), on croirait la marionnette de Jean Jacques Bourdin dans les guignols.

Et plus je le lit, plus j'ai le sentiment de faire face à un cas de narcissisme ( cf le tableau https://en.wikipedia.org/wiki/Group_narcissism ). Exemple, si on prends les caractéristiques :

"People never give me enough recognition for the things I've done"

cf le fait de publiquement pourrir tout les users qui se font des millions avec le soft sous license BSD ( license BSD choisi car le credo etait qu'il est plus important que les gens puissent faire du proprio pour avoir du code secure que de edfendre le libre, et j'ai du mal à voir la naïveté de se dire "je donne tout gratos" et ne pas voir que les gens prennent ça ).

"I wish people would recognize my authority" , cf le dernier mail

"Your one-word answers to the following questions will decide your reputation regarding open source security, my reputation regarding open source security, or the reputation of others."

Ou "I insist upon getting the respect that is due to me" ,

On voit clairement dans les demandes d'avoir les choses fait comme il veut, sans même lire les réponses et les justifications. Je pense que bien que non parfait ( inégalitaire, compliqué pour les petites distributions, etc ), le système d'avoir une liste privé pour les notifications en avance semble être un bon compromis entre le full disclosure et la liste privé en permanence, et la plupart des gens le reconnaissent, sauf OpenBSD qui fait tout un fromage de pas avoir été prévenu en avance.

En fait, ça rejoint aussi :

"If I ruled the world it would be a much better place".

Bien que je ne soit pas à priori clinicien, je pense que les références sont troublantes.

Le souci, c'est que les gens sont contre la diversité, sauf si ça implique de changer ce qu'ils utilisent, auquel cas, c'est liberticide.

Exemple, systemd, gnome3, etc.

Donc tenter de résoudre ça de façon générique est impossible, il y aune balance, et la balance est "celui fait le travail décide". Bien sur, ça va faire des frustrations, mais bon, les gens sont libres.

Il y a des dizaines et dizaines d'exemple d'exactement ca, a la
virgule pres. Aucun ne s'est jamais fait poursuivre.

Ceci dit, les gens sont pas à l'abri d'un changement d'avis de la part de l'éditeur, suite à un changement de direction. Le souci n'est pas de faire confiance ou pas aux gens maintenant, mais de faire confiance à des gens totalement différent dans le futur.

Par contre pour la sécurité, seulement une petite partie des
failles est trouvée par une analyse du code source, et d'autre
techniques comme le fuzzing donnent des résultats autrement
plus intéressants.

J'aurais tendance à dire au contraire que de nos jours, la majeur partie des failles se trouvent par analyse automatisé du code. Et que le code est corrigé avant la release.

Il y a fort à parier que les gouvernements ont accès aux mêmes outils que Microsoft, voir potentiellement moins ( vu que microsoft a quand même une equipe qui bosse sur son propre compilateur ). Les boites comme coverty vendent leur logiciel à tout le monde, donc la seule distinction serait de rajouter des tests, et/ou de faire son propre logiciel. Faire son propre logiciel serait une gageure pour un gouvernement. Et rajouter des tests, ça serait se retrouver en concurrence avec le domaine privé, une des choses ou les organismes gouvernementaux ont du mal ( la preuve, même la NSA réutilise l'infra de tracking des publicitaires ).

Donc à mon sens, le code est pas la pour trouver les failles avant ( car Microsoft a tout intérêt à corriger ça avant publication, donc va utiliser les tests automatisés et du fuzzing, et dispose de plus de moyens ), mais plus pour analyser l'impact des failles après divulgation. Regarder tout le code est une tache colossale. Regarder juste la partie que tu sais avoir un souci est bien moins couteux.

Et bon, si il y avait tellement de gens capable de lire le code source pour trouver des failles au point d'aller bosser pour le service publique, on aurait pas tant de mal à trouver ce genre de profil. Voir même, si la demande était si forte, quelqu'un aurait fini par faire un cursus universitaire sur le sujet qui tienne la route.

Et puis, ils montrerait un bout de code, on devrait les croire
sur parole qu'il est bien dans Windows.

Nan, on peut faire comme d'habitude et croire sur parole sans voir le code du tout.

Tout le monde pensera que c'est une faille tout simplement, car
je suis pas idiot, je vais pas mettre un commentaire au dessus
disant que c'est une backdoor, et je vais pas faire un
system("ssh monserver a moi") non plus, et tout le monde
continuera a l'utiliser.

Ton opinion des autres développeurs est bien haute, cf CVE-2001-0008 :)

C'était l’hypothèse défendu par kadalka ( https://linuxfr.org/nodes/98837/comments/1466947 ) entre ses divers délires sur la stratégie.

On noteras que le dit Kadalka n'a plus donné signe de vie nulle part depuis 1 an ( ni sur son wordpress, ni sur son pinterest ). Donc de la à dire que le cycle de moinssage soit quelque chose qui a tué totalement son envie de contribuer, il y a un pas que je ne franchirais pas ( car 1 personne n'est pas un échantillon, et parce que je continue de douter du fait que Kadalka ne soit pas un sock puppet, pour reprendre les termes de Wikipedia ).

C'est dommage car j'avais un beau fichier de fortune :

$ fortune kadalka
Alien existait déjà pour fédérer des paquets donc Steve 
Jobs n'a rien inventé.

https://linuxfr.org/nodes/98264/comments/1450572

$ fortune kadalka
La plupart des applications modernes utilisent des pages 
web pour être configurées…
Webmin est un exemple typique.

https://linuxfr.org/nodes/97929/comments/1448515

Bonne question, tu accepterais combien pour faire ça ?

Car si tout le monde a un prix, on devrait obtenir facilement une estimation pour savoir à partir de combien ça deviens plus facile et rapide d'utiliser une voie alternative.

Disons qu'on a eu suffisament d'exemple ces quelques dernieres
années qui prouvent que personne ne relit le code, ou tout du
moins pas de facon suffisament serieuse

Ton affirmation est des plus douteuses. Tu prends comme référentiel les fois ou du code foireux est passé, mais combien de fois est ce que du code foireux n'est pas passé ? À partir de la, comment tu peux dire que personne ne relit le code, alors que le code est visiblement relu au vu des failles trouvés après publication ou au vue du code refusé dans le kernel à longueur de journée, etc, etc.

Le souci, c'est que faire du code, c'est compliqué. On peut tourner autour du pot sans arrêt, il faut bien voir que si on passe des années à apprendre à le faire, c'est que c'est pas trivial. Et tu as beau dire "le C, c'est tout pourri", le fait est qu'openstack, écrit en python, a aussi régulièrement des soucis de sécurité ( cf oss-security@ ).

Ensuite, je pense que l'idée même d'agent dormant est toxique.

Toxique parce que ça ne peux qu'aboutir à moins de collaboration à terme, et c'est exactement ce que Assange a tenté de faire avec Wikileaks ( ie, réduire la collaboration entre divers groupes cachés en augmentant leur paranoia http://blogs.cornell.edu/info2040/2012/11/01/julian-assange-on-governments-as-networks/ ). Et moins de collaboration pour le libre, c'est contre la nature même du libre. Et je pense que j'ai pas besoin de citer la mort de Staline comme exemple extrême de dégâts de la paranoia.

Toxique parce que ça part hors du domaine du rationnel et dans le domaine au mieux de l'intuition, et qu'on s'éloigne du raisonnement scientifique qu'on aimerais tous avoir pour juger le code. Ça s'éloigne tellement du rationnel que le simple fait de combattre l'idée renforce son existence en l'alimentant, car bien sur, malgré le fait que rien ne le prouve, si quelqu'un dit qu'il y a rien, alors il est peut être lui même dans le secret.

Le problème (entre autres) de la certification c'est que le
processus n'est pas public.

tu parles de quel certification ?

Des trucs comme FIPS sont publics, c'est globalement juste une liste de chose à mettre ou ne pas mettre. Une certification E4L+ est aussi public, tu connais les critères et tu peux techniquement faire la vérification toi même.

Le souci, c'est que les gens savent pas exactement ce que la certif veut dire. Un appareil certifié NF ne va pas forcément être de qualité et durer 10 ans. mais on sait qu'il va marcher sur les prises francaises. Un logiciel certifié FIPS-140-2 va pas forcément avoir du code sans bug ( loin de la ), mais tu sais qu'il implémente une liste précise d'algo et qu'il retire d'autres, etc. Bien sur comme les certifications sont des documents longs et chiants, personne ou presque ne les lit, et les gens comprennent pas ( ce qui implique aussi le responsable marketing moyen et le décideur moyen, voir le codeur moyen qui est à 100 lieux d'avoir le recul pour voir ce que ça recouvre et le but ).

Je te cite :
"c'est de recommander des produits que l'on sait être pourvus de porte(s) dérobée(s) (obligation légale pour les société américaines). "

FISA et Patriot Act, c'est kif kif, le second "patchant" la première. Et ça concerne les communications et les données, ce qui est différent des logiciels vendus ( je dit vendu, pas loué, au contraire du modèle SaaS dans le cloud computing ).

L'obligation de donner accès aux données ( chose qu'on retrouve dans beaucoup de législation je pense ) ne veut pas dire "obligation de mettre une porte dérobé". Et Calea concerne les entreprises du domaine des télécoms, ce qui est différent des "entreprises américaines", qui sous entends quand même "toute les entreprises américaines". Et je pense que Calea implique pas forcement une backdoor logiciel, mais plus que la FBI soit capable de demander à faire une écoute sur ton installation, ou le fait d'avoir la possibilité de le faire. Dans le cas d'un routeur cisco, ça serait sans doute équivalent à la fonction de port mirroring, qui sert aussi pour le debug. Si faire une écoute, ça se fait en mettant un compte pour eux, pareil, ça satisfait la loi. On est bien loin de "mettre des backdoors".

Visiblement, au vue des liens qui pointent sur des articles pas forcément utiles ( car bon, le wikipedia fr donne juste "Calea est un genre végétal de la famille des Asteracées" ), je voit que c'est pas la précision et le souci du détail qui t'étouffe.

Quand à déduire à partir du nom d'une variable la présence d'une backdoor, ça me semble des plus faible. Surtout si c'est pour dire "elle existe encore, mais on ne voit plus rien", ie que rien ne prouve quoi que ce soit, mais qu'il faut faire acte de foi dans ce qu'un inconnu dit sans avoir le moindre fait.

Tu crois que distribuer le code source va empecher l'insertion
d'une backdoor ?

Si tu veux faire une backdoor, tu as 2 choix. Soit tu fait un truc générique pour tout le monde, et je pense que oui, certains clients vont voir que le code fait pas la même chose que le binaire. Soit tu fait un rpm pour un client spécifique et tu lui donnes, mais du coup, ça implique de mettre vachement plus de gens au courant ( genre l'équipe QA qui va devoir tester la backdoor, l'équipe support qui va devoir savoir quoi répondre, les gens qui gèrent les miroirs, etc ). Et ils sont pas tous aux USA, loin de la pour des questions évidentes de support 24/7.

Donc le risque est de mettre au courant plein de gens qui sont pas forcément sous ta juridiction ( voir potentiellement des agents ennemis ). Autant dire qu'aucune agence de renseignement ne va prendre ce risque, et on le voit via l'unité qui rajoute les firmwares customs dans les routeurs.

Et il reste donc le fait de demander de rajouter une backdoor générique pour tous. Et la, c'est pareil. Si la NSA demande un patch difficile à justifier à ajouter par une ou deux personnes, ça change rien au fait que tout le monde peut voir, à commencer par les concurrents qui se feront un plaisir de leaker la chose pour pourrir la boite. Ce qui implique donc de griller un agent et/ou une personne, ce qu'ils veulent visiblement éviter.

On noteras aussi que pour le moment, la majorité des méthodes sont soit via les moyens légaux ( ie, des écoutes légales ), soit via du parasitisme ( ie, l'ajout de sonde au niveau réseau ). Il n'y a que des suppositions non fondés sur la présence d'agent dormant, pas le moindre document publié que je sache.

Justement si. Tous les fournisseurs de services sont dans le
même panier, tous les fournisseurs d'OS sont dans le même
panier aussi

Je ne doute pas que ça arrangerais bien Microsoft, surtout vu la nouvelle direction visant à se positionner autrement, et je veux bien laisser le bénéfice du doute à Microsoft. Mais tu peux dire ce que tu veux, le fait de publier le code pour tous change radicalement les choses et complexifie grandement la tache de rajouter une backdoor.

Tout comme le fait d'avoir des signatures sur les rpms pour vérifier la provenance ( car par exemple, je ne pense pas qu'une installation Windows soit vérifiable vis à vis d'une base signé des hashs des fichiers pour voir que personne n'a modifié l'OS avant de le donner ).

obligation légale pour les société américaines

je demande à voir, parce que je pense que ta compréhension des textes est fausse, et semble oublier pas mal de choses, genre les conditions d'applications. Donc plutôt qu'une affirmation non fondé, donne un lien vers un texte juridique.

Red hat ne fait quasiment pas d’hébergement et pas envers des particuliers ( ie, openshift online se destine plus pour les entreprises et les startups, et comme c'est sur amazon, je pense qu'ils peuvent directement se passer de demander à RH et directement aller chez Amazon ).

Quand à rajouter une backdoor, ça serait relativement pas discret, vu que Red Hat distribue le code source ( sauf à violer la GPL ) des logiciels. Il serait aussi plus efficace d'aller directement upstream.

Et bon, on noteras aussi que Red hat ( ni même les autres fournisseurs de systéme d'exploitation libre, à l'exception de Google ) n'apparaissent dans une liste publié par Edward Snowden.

Donc mon hypothése est que la NSA s'est surtout focalisé sur les actions directs et ciblés sur les données via les fournisseurs SaaS que sur les logiciels, ne serais que parce que c'est moins couteux, bien plus facile à justifier et moins risqué.

Donc c'est bien tenté de mettre tout le monde dans le même panier, mais c'est pas le cas.

Ça vient de Django Reinhart, le musicien.

C'est globalement ce qui se passe quand tu payes une boite pour bosser sur un logiciel libre qu'elle produit au lieu de passer par les versions communautaires du truc. Genre, quand tu payes puppetlabs au lieu de prendre le puppet depuis les sources et de refaire le taf toi même.

Sauf que l'état, comme la majorité des clients, préfèrent payer des millions d'euros à des boites qui vendent cher leur truc et de mégoter sur les boites plus petites.