Au risque de passer pour un ralleur mais j'ai essayé xymon justement il y a pas longtemps.
Il a enchainé les segfault et j'ai voulu voir ce qui se passait.
Pour cela j'ai regardé le code et horreur....
Un logiciel qui test pas le retour de ces malloc peux il être qualifié de grand qualité ?
Et je parle pas des autres fonctions critiques qui sont a moitié testée (write etc...)
De même que le makefile qui supporte même pas la compilation parallele.
En mettant Urlwatch en cron, on obtient un diff des pages entre 2 moments.
Cela permet de surveiller notament les pages "download" des projets. (independament de leur systeme de version).
Seul probleme, les sites avec pubs aleatoires et/ou compteur de vistes.
Ca marche pour surveiller l'upstream de 90% des ebuilds que je maintient.
Enfin d'apres #grsecurity
<spender> you see that n--,buf++ change in 2001? :P
<spender> was the difference between always using only the first byte of entropy for its PRNG, and using the whole buffer that it was supposed to :p
Le commit avec la faille http://www.openbsd.org/cgi-bin/cvsweb/src/sys/dev/rnd.c.diff?r1=1.35;r2=1.36
Et le correctif http://ftp.openbsd.org/pub/OpenBSD/patches/2.8/common/017_rnd.patch
Mon pere utilise NVDA ( http://www.nvda-project.org/ http://www.nvda.fr/)
C'est un descripteur d'écran, c'est à dire que ca décrit ce qui s'affiche sur la fenetre active.
NVDA permet donc de lire l'affichage de firefox par exemple.
En matiere de navigation web c'est selon les sites malheuresement car ca décrit tous ce qu'il y a dans la page web.
Sur des sites épurés comme google ca passe, mais sur des sites remplis de pubs/liens c'est assez long.
Il me semble que jaws (pareil que NVDA mais propriétaire) avait les meme problemes.
Comment le logiciel pourrait deviner les liens/infos à lire des liens/infos inutiles (inutile étant subjectif en plus) ?
J'ai tenté avec des bloqueurs de pubs mais ca ne suffit pas.
En plus GRSecurity suivra aussi cette branche:
We will of course continue to follow the latest kernel releases in
addition to this long-term stable kernel support.
Encore une fois, il lance son exploit en contexte SELinux unconfined_t ce qui fait que SELinux est deja "desactivé" pour lui.
Et la 2eme video, j'ai pas vu de trace de SELinux.
Bon ok, a partir du moment où on passe en kernel land on fait ce qu'on veux.
Il a l'air de dire que SELinux c'est pourri mais son exploit ne marche que parseque il est executé en contexte unconfined_t, ce qui n'arriverais pas si SELinux était "vraiment" utlisé (aka utilisateur en user_t, pulseaudio en pulseaudio_t etc... )
(information confirmé sur #selinux)
PS: unconfined_t ca veux dire "pas confiné par SELinux", pour ceux qui n'en ont jamais fait.
UPDATE: not just that, SELinux lets any user in unconfined_t map at
0, overriding the mmap_min_addr restriction! pulseaudio is not
needed at all! Having SELinux enabled actually *WEAKENS* system
security for these kinds of exploits!
Il y a des RBL qui permettent de detecter les noeuds tor (exemple parmis d'autres http://efnetrbl.org/).
Et malheuresement sur IRC, beaucoup de petit rigolo utilise TOR pour faire chier. Donc a mon avis les RBL de efnet sont "efficaces" contre TOR. Au risque qu'une ip dynamique y reste à vie dans la RBL.
De plus beaucoup d'autres RBL blacklist (sans le savoir ?) des noeuds TOR. Je l'ai vu en testant diverses RBL, les noeuds TOR sont toujours au moins dans une autre RBL (spamhaus, drone rbl etc...).
Il suffit que 1 spammeur utilise un noeud de sortie TOR pour qu'il (le noeud de sortie) risque d'etre considéré comme machine piratée/spammeuse.
L'ipv4 n'est pas fait pour mutualiser les personnes sur une meme IP malheuresement. une personne qui fait le con = l'ip banni pour tous le monde.
Vous avez oublié les liens vers le site de NVDA.
http://www.nvda-project.org/
et pourquoi pas le lien vers le site des utilisateurs Francophones http://www.nvda.fr/
NVDA est une synthése vocale d'un trés bon niveau.
D'aprés mon père (aveugle), elle est (pour son utilisation simple d'un ordinateur) aussi bien que JAWS. voir même mieux dans le support de firefox et thunderbird.
Une exelente alternative à la synthése JAWS (qui tous de facon ne marchait plus sur son nouveau PC à cause de la nouvelle carte vidéo... un comble pour un logiciel pour aveugle).
Diverses fonctionnalités de sécurité issues de la branche exec-shield maintenue par Ingo Molnar font leur entrée dans le noyau officiel.
On peut citer, pour l'architecture x86, la randomisation de la pile ou encore celle des exécutables.
Ce sont les mêmes types de randomisation que offrent grsecurity/pax ?
Et bien moi je dis que SI, la ligne de commande est accessible à tout le monde.
Et je le prouve:
J'étais formateur en Bac PRO en MRIM (reseaux et informatique) avec des eleves de 16 a 50 ans venant d'horizon tres divers (sanitaire et social, plombiers etc..).
Et ben la ligne de commande était plus facile pour eux qu'utiliser windows.
un clic = un resultat aleatoire (par aleatoire je veux dire on voit pas focement le resultat ilmédiat du clic) ( en plus cest clic gauche ou clic droit? ou double clique gauche ou double clic droit?).
La souris, il n'ya rien de pire pour derouter les débutants. Il save pas où cliquer et comment cliquer.
Alors que une commande = un resultat a lecran. Une commande c'est plus facile à noter sur un papier et à reternir.
Et je ne parle meme pas de mes parents qui sous dos était autonome et qui ne le sont plus depuis windows 98.
> qu'elle a été votre participation (projet perso, traduction, patches...) ?
J'ai contribué au projet Lm_sensors et Linux sous forme de patches.
Mais une contribution très utile aussi est la relecture de patches d'autres personnes.
> Pour quelle raison avez-vous "tenu" à participer
J'avais besoin d'un driver pour mon serveur et il n'existait pas. Ca tombait bien car j'avais envie de bosser sur un projet sérieux et j'arrivais pas à me décider sur quoi.
C'est la qu'on voit l'importance du logiciel libre. Avec un système propriétaire je n'aurais jamais pu avoir mon driver aussi facilement/rapidement (voir pas avoir du tous). De plus mon travail profite aux autres.
> comment cela s'est-il passé?
Très très bien. Contribuer à un projet est très intéressant, je le recommande. On apprend plein de choses au contact d'autres programmeurs.
<Mode mégalo>
Et puis ca fait toujours classe de dire "j'ai fait un driver Linux".
</Mode mégalo>
Pour l'homogénéité suffit d'utiliser les commandes shell ifconfig, route, ping ya pas plus homogene, même windows les a.
Et c'est pas plus compliqué de dire "tape ifconfig" que "clic bouton droit sur l'icone machin". Les utilisateurs de base se trompent toujours avec le clic droit/gauche/double clic/glisser déposer
Et ne dites pas "la ligne de commande c'est nul", mes parents en chient avec les modes graphiques alors que sous DOS ils étaient autonome.
Deja pour la renumeration il y a des limites légales (pas plus de 25% du SMIC par exemple (ce sont mes souvenirs le 25%))
Si dépassement de cette limite il y a, le stagiaire devra payer des impots dessus.
(A verifier, mais logiquement les responsables stages des écoles le savent et peuvent vous renseigner dessus)
Pour les écoles, tous etudiant en master 2 (ex DESS) dois faire un stage de 6 mois.
Plus qu'a trouver des écoles fesant des M2 :).
installe lspci.
Cest dans le package pciutils je crois.
En l'installant tu installe un fichier idquelqechose. (sous gentoo on voit le nom car il le telecharge)
Et dans ce fichier tu as tous les id reconnu.
et surtous quand tu tape lspci tu obtient tous ce qui est connu:
par exemple
00:00.0 Host bridge: Advanced Micro Devices [AMD] AMD-760 MP [IGD4-2P] System Controller (rev 11)
00:01.0 PCI bridge: Advanced Micro Devices [AMD] AMD-760 MP [IGD4-2P] AGP Bridge
00:07.0 ISA bridge: Advanced Micro Devices [AMD] AMD-768 [Opus] ISA (rev 04)
00:07.1 IDE interface: Advanced Micro Devices [AMD] AMD-768 [Opus] IDE (rev 04)
00:07.3 Bridge: Advanced Micro Devices [AMD] AMD-768 [Opus] ACPI (rev 03)
00:10.0 PCI bridge: Advanced Micro Devices [AMD] AMD-768 [Opus] PCI (rev 04)
01:05.0 VGA compatible controller: ATI Technologies Inc Rage 128 Pro Ultra TF
02:05.0 Ethernet controller: National Semiconductor Corporation DP83815 (MacPhyter) Ethernet Controller
jarrive pas a retrouver le nom de ce fichier mais avec un find/locate tu devrais y arriver.
# Ca existe
Posté par Denis Montjoie (site web personnel) . En réponse au journal Logiciel d'audit/conseils - Guider les utilisateurs/admins novices. Évalué à 2.
Essaye lynis, tiger voir mieux yasat (http://yasat.sourceforge.net)
[^] # Re: Et les autres ? (enfin un surtout)
Posté par Denis Montjoie (site web personnel) . En réponse à la dépêche Quelques brèves sur la supervision. Évalué à 5.
Au risque de passer pour un ralleur mais j'ai essayé xymon justement il y a pas longtemps.
Il a enchainé les segfault et j'ai voulu voir ce qui se passait.
Pour cela j'ai regardé le code et horreur....
Un logiciel qui test pas le retour de ces malloc peux il être qualifié de grand qualité ?
Et je parle pas des autres fonctions critiques qui sont a moitié testée (write etc...)
De même que le makefile qui supporte même pas la compilation parallele.
# sinon utilise urlwatch
Posté par Denis Montjoie (site web personnel) . En réponse au journal euscan: trouver les ebuilds pas à jour. Évalué à 3.
En mettant Urlwatch en cron, on obtient un diff des pages entre 2 moments.
Cela permet de surveiller notament les pages "download" des projets. (independament de leur systeme de version).
Seul probleme, les sites avec pubs aleatoires et/ou compteur de vistes.
Ca marche pour surveiller l'upstream de 90% des ebuilds que je maintient.
# Il y a bien une faille
Posté par Denis Montjoie (site web personnel) . En réponse au journal Backdoor dans OpenBSD ?. Évalué à 3.
<spender> you see that n--,buf++ change in 2001? :P
<spender> was the difference between always using only the first byte of entropy for its PRNG, and using the whole buffer that it was supposed to :p
Le commit avec la faille http://www.openbsd.org/cgi-bin/cvsweb/src/sys/dev/rnd.c.diff?r1=1.35;r2=1.36
Et le correctif http://ftp.openbsd.org/pub/OpenBSD/patches/2.8/common/017_rnd.patch
Donc en gros la faille a ete presente 1 an.
# Erreur de ciblage
Posté par Denis Montjoie (site web personnel) . En réponse au journal La fin d'une époque. Évalué à 10.
Je dirais plutot l'équipe de France de football, car personnellement je ne me sens pas affecté par cette humiliation.
[^] # Re: Avec du Flash et du JS ?
Posté par Denis Montjoie (site web personnel) . En réponse au journal Internet accessible à tous. Évalué à 5.
C'est un descripteur d'écran, c'est à dire que ca décrit ce qui s'affiche sur la fenetre active.
NVDA permet donc de lire l'affichage de firefox par exemple.
En matiere de navigation web c'est selon les sites malheuresement car ca décrit tous ce qu'il y a dans la page web.
Sur des sites épurés comme google ca passe, mais sur des sites remplis de pubs/liens c'est assez long.
Il me semble que jaws (pareil que NVDA mais propriétaire) avait les meme problemes.
Comment le logiciel pourrait deviner les liens/infos à lire des liens/infos inutiles (inutile étant subjectif en plus) ?
J'ai tenté avec des bloqueurs de pubs mais ca ne suffit pas.
# GRSecurity suivra aussi cette branche
Posté par Denis Montjoie (site web personnel) . En réponse au journal Le noyau 2.6.32 est l'élu. Évalué à 2.
We will of course continue to follow the latest kernel releases in
addition to this long-term stable kernel support.
http://grsecurity.net/pipermail/grsecurity/2010-January/0010(...)
Pratique pour ceux qui veulent avoir grsecurity avec une même branche stable de Linux.
Il me semble que c'est la 1ere fois que GRSecuirty fait ca.
# cette exploit arrive à contourner SELinux
Posté par Denis Montjoie (site web personnel) . En réponse au journal Brad remet le couvert. Évalué à 1.
Et la 2eme video, j'ai pas vu de trace de SELinux.
Bon ok, a partir du moment où on passe en kernel land on fait ce qu'on veux.
# SELinux
Posté par Denis Montjoie (site web personnel) . En réponse à la dépêche Exploit local dans le noyau Linux 2.6.30. Évalué à 2.
(information confirmé sur #selinux)
PS: unconfined_t ca veux dire "pas confiné par SELinux", pour ceux qui n'en ont jamais fait.
UPDATE: not just that, SELinux lets any user in unconfined_t map at
0, overriding the mmap_min_addr restriction! pulseaudio is not
needed at all! Having SELinux enabled actually *WEAKENS* system
security for these kinds of exploits!
[^] # Re: À ta place...
Posté par Denis Montjoie (site web personnel) . En réponse au journal De la sécurité des informations personnelles sur Internet. Évalué à 8.
[^] # Re: petit exemple dans la catégorie "offre légale de merde"
Posté par Denis Montjoie (site web personnel) . En réponse au journal La riposte graduée déjà obsolète. Évalué à 1.
Prenons l'exemple de la VF de ken le survivant avec les attaques hokuto à pain.
[^] # Re: Ils bloquent bien les relais
Posté par Denis Montjoie (site web personnel) . En réponse au journal LDLC m'a pwn3d : Tor ? Dehors !. Évalué à 2.
Et malheuresement sur IRC, beaucoup de petit rigolo utilise TOR pour faire chier. Donc a mon avis les RBL de efnet sont "efficaces" contre TOR. Au risque qu'une ip dynamique y reste à vie dans la RBL.
De plus beaucoup d'autres RBL blacklist (sans le savoir ?) des noeuds TOR. Je l'ai vu en testant diverses RBL, les noeuds TOR sont toujours au moins dans une autre RBL (spamhaus, drone rbl etc...).
Il suffit que 1 spammeur utilise un noeud de sortie TOR pour qu'il (le noeud de sortie) risque d'etre considéré comme machine piratée/spammeuse.
L'ipv4 n'est pas fait pour mutualiser les personnes sur une meme IP malheuresement. une personne qui fait le con = l'ip banni pour tous le monde.
# J'ai eu peur
Posté par Denis Montjoie (site web personnel) . En réponse au journal Ca fuse chez Xorg. Évalué à 2.
Je suis rassuré.
Quoi que, sur un serveur, ca pourrait etre utile? Déjà que les GPU peuvent être détournés de leur utilisation première...
# quelques oublis
Posté par Denis Montjoie (site web personnel) . En réponse à la dépêche Install Party accessibilité. Évalué à 2.
Vous avez oublié les liens vers le site de NVDA.
http://www.nvda-project.org/
et pourquoi pas le lien vers le site des utilisateurs Francophones http://www.nvda.fr/
NVDA est une synthése vocale d'un trés bon niveau.
D'aprés mon père (aveugle), elle est (pour son utilisation simple d'un ordinateur) aussi bien que JAWS. voir même mieux dans le support de firefox et thunderbird.
Une exelente alternative à la synthése JAWS (qui tous de facon ne marchait plus sur son nouveau PC à cause de la nouvelle carte vidéo... un comble pour un logiciel pour aveugle).
# randomisation ?
Posté par Denis Montjoie (site web personnel) . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 5.
On peut citer, pour l'architecture x86, la randomisation de la pile ou encore celle des exécutables.
Ce sont les mêmes types de randomisation que offrent grsecurity/pax ?
[^] # Re: En passant...Et bien moi je dis que SI
Posté par Denis Montjoie (site web personnel) . En réponse au journal Mac OS X et Dtrace. Évalué à 3.
Et je le prouve:
J'étais formateur en Bac PRO en MRIM (reseaux et informatique) avec des eleves de 16 a 50 ans venant d'horizon tres divers (sanitaire et social, plombiers etc..).
Et ben la ligne de commande était plus facile pour eux qu'utiliser windows.
un clic = un resultat aleatoire (par aleatoire je veux dire on voit pas focement le resultat ilmédiat du clic) ( en plus cest clic gauche ou clic droit? ou double clique gauche ou double clic droit?).
La souris, il n'ya rien de pire pour derouter les débutants. Il save pas où cliquer et comment cliquer.
Alors que une commande = un resultat a lecran. Une commande c'est plus facile à noter sur un papier et à reternir.
Et je ne parle meme pas de mes parents qui sous dos était autonome et qui ne le sont plus depuis windows 98.
[^] # Re: Ca s'appelle...
Posté par Denis Montjoie (site web personnel) . En réponse au journal Rootkit bénéfiques ?. Évalué à 2.
# Il faut contribuer
Posté par Denis Montjoie (site web personnel) . En réponse au journal Et vous, avez-vous déjà participé à un LL?. Évalué à 5.
J'ai contribué au projet Lm_sensors et Linux sous forme de patches.
Mais une contribution très utile aussi est la relecture de patches d'autres personnes.
> Pour quelle raison avez-vous "tenu" à participer
J'avais besoin d'un driver pour mon serveur et il n'existait pas. Ca tombait bien car j'avais envie de bosser sur un projet sérieux et j'arrivais pas à me décider sur quoi.
C'est la qu'on voit l'importance du logiciel libre. Avec un système propriétaire je n'aurais jamais pu avoir mon driver aussi facilement/rapidement (voir pas avoir du tous). De plus mon travail profite aux autres.
> comment cela s'est-il passé?
Très très bien. Contribuer à un projet est très intéressant, je le recommande. On apprend plein de choses au contact d'autres programmeurs.
<Mode mégalo>
Et puis ca fait toujours classe de dire "j'ai fait un driver Linux".
</Mode mégalo>
[^] # Re: Plusieurs points de vue
Posté par Denis Montjoie (site web personnel) . En réponse au journal [HS] La caisse automatique et les supermarchés. Évalué à 7.
Pas sur, ca paiera/engraissera peut etre les actionnaires...
Apres va falloir que les actionnaires creent de l'emplois...
Mais vu l'état de la mode économique, j'ai cru comprendre que les actionnaires prefere virer du monde pour faire du bénéf..
[^] # Re: En gros...
Posté par Denis Montjoie (site web personnel) . En réponse au journal Solaris mon amour. Évalué à 10.
# Vous êtes en retard avec le Web "3.0"
Posté par Denis Montjoie (site web personnel) . En réponse au journal Le web 2.0 ne fait plus assez de buzz? Pas d'inquiétude, voilà le web 3.0. Évalué à 2.
Même le web 14.5 ou le web 2008 sont en retard.
Moi j'attend le Web "NG"
Sinon qui veux programmer le plugin flash en ascii art/libcaca pour lynx ?
[^] # Re: Liberté de choix
Posté par Denis Montjoie (site web personnel) . En réponse au journal Tanenbaum et les microkernels. Évalué à 2.
Et c'est pas plus compliqué de dire "tape ifconfig" que "clic bouton droit sur l'icone machin". Les utilisateurs de base se trompent toujours avec le clic droit/gauche/double clic/glisser déposer
Et ne dites pas "la ligne de commande c'est nul", mes parents en chient avec les modes graphiques alors que sous DOS ils étaient autonome.
# Renumeration
Posté par Denis Montjoie (site web personnel) . En réponse au journal Critères pour un stage d'info (côté employeur). Évalué à 0.
Si dépassement de cette limite il y a, le stagiaire devra payer des impots dessus.
(A verifier, mais logiquement les responsables stages des écoles le savent et peuvent vous renseigner dessus)
Pour les écoles, tous etudiant en master 2 (ex DESS) dois faire un stage de 6 mois.
Plus qu'a trouver des écoles fesant des M2 :).
# lspci
Posté par Denis Montjoie (site web personnel) . En réponse au journal noyau: modules.* map {pci,usb,...}. Évalué à 1.
Cest dans le package pciutils je crois.
En l'installant tu installe un fichier idquelqechose. (sous gentoo on voit le nom car il le telecharge)
Et dans ce fichier tu as tous les id reconnu.
et surtous quand tu tape lspci tu obtient tous ce qui est connu:
par exemple
00:00.0 Host bridge: Advanced Micro Devices [AMD] AMD-760 MP [IGD4-2P] System Controller (rev 11)
00:01.0 PCI bridge: Advanced Micro Devices [AMD] AMD-760 MP [IGD4-2P] AGP Bridge
00:07.0 ISA bridge: Advanced Micro Devices [AMD] AMD-768 [Opus] ISA (rev 04)
00:07.1 IDE interface: Advanced Micro Devices [AMD] AMD-768 [Opus] IDE (rev 04)
00:07.3 Bridge: Advanced Micro Devices [AMD] AMD-768 [Opus] ACPI (rev 03)
00:10.0 PCI bridge: Advanced Micro Devices [AMD] AMD-768 [Opus] PCI (rev 04)
01:05.0 VGA compatible controller: ATI Technologies Inc Rage 128 Pro Ultra TF
02:05.0 Ethernet controller: National Semiconductor Corporation DP83815 (MacPhyter) Ethernet Controller
jarrive pas a retrouver le nom de ce fichier mais avec un find/locate tu devrais y arriver.
[^] # Re: Palmarès LinuxFr
Posté par Denis Montjoie (site web personnel) . En réponse à la dépêche Concours de sécurité informatique Challenge-SecuriTech 2006. Évalué à 7.
Moi toutes mes classes sont presque forcés a le faire en TP :D
car le challenge securitech est un exellent moyen d'aprendre plein de choses.
PS: moi jai été dans le top 100 ya deux ans:D