Tout modèle vendu avec un OS va devoir être testé avec cet OS, cela ne veut pas dire chaque unité de ce modèle sur la chaine de montage va être testé à travers cet OS, mais quelque unités le seront, et cela à chaque changement du hardware (firmware, puce de NIC, …)
Va falloir développer et maintenir les tests pour chaque modèle selon le HW qu'il contient et avoir les tests modulables pour s'adapter aux diffèrentes configs possibles du modèle, avoir l'automatisation pour déployer, faire tourner les tests, rapporter les résultats, débugger les problèmes qui sont d'habitude au niveau HW donc complexes.
Cela a un coût. Allez, disons $500'000 par modèle pour être super gentil (en gros le coût d'un développeur chevronné pendant un an, ou 2 devs juniors, avec plusieurs modèles cela ferait le team chargé de construire toute l'automatisation-déployement-test-débuggage…)
Combien de systèmes Linux seront vendus en comparaison ? Avec 10'000 unités Linux vendues par modèle c'est un coût de $50 par unité. Un Windows qui en vend 100'000 cela revient a $5 par unité, un différentiel de $45
Exemple typique des avantges du cloisonnement: comment faire un serveur web light avec windows ? Avec linux on peut le faire en 500MB sans problème. Et avec Windows 10 ?
Pas que je sache, il me semble qu'ils paient comme tout le monde, mais tu as du noter que les tarifs sont dégressifs évidemment.
Il y a simplement un coût certain pour eux et un blocage en capital massif si ils devaient tout faire en interne vu leurs besoins d'être présent sur tous les continents, d'avoir des patterns d'utilisation très variables, d'avoir à gèrer l'infrastructure pour des services de base, …
Parce que faut pas oublier qu'AWS, c'est beaucoup plus que EC2 hein, il y a des services NoSQL, notification, authentication, monitoring, streaming, etc… C'est tout un tas de trucs que Netflix n'a pas besoin de gérer / maintenir / faire évoluer en interne. N'importe lequel de leurs devs peut aller se construire un prototype assez complexe en utilisant ces services sans avoir besoin de notifier un team pour augmenter la charge supportable, créer des comptes, etc… cette flexibilité permet de bouger rapidement et cela a une valeur certaine-
Ce qui est quand même hillarant c'est que tu ne fais visiblement même pas l'effort de comprendre les articles que tu cites.
Aucun de ces articles ne mentionnent d'accès à Windows 10. Les articles parlent des sites en ligne de Microsoft, ce qui est exactement ce que je disais plus haut : La loi demande un accès aux services en lignes, pas de backdoor dans l'OS.
a faire la promotion de tonton adolf…crosoft
Ah ben voila, j'avais encore un petit peu d'espoir que tu aies un cerveau, tu viens de me convaincre qu'effectivement non, tu es clown sans cervelle.
Ça a complètement biaisé ton jugement et renvoi à la cave toute ton argumentation (conflit d’intérêt)
Oui oui bien sûr… Le truc étant que je ne bosses plus pour eux depuis des années et que je bosses pour une boite qui fait du Linux depuis, mais bon hein, vu que tu préfères chercher des excuses qu'accepter une réalité que tu n'aimes pas… On a bien compris que tu préfères suivre les élements qui sont comfortable pour ta vision biaisée du monde, et que tu ignores les autres.
C'est toi qui te prétends omniscient parce que "je suis un pro de la sécurité informatique".
LOL. La diffèrence entre ce que tu sors et ce que je dis c'est que j'avances des faits avèrés qui démontrent ce que je dis et que tout le monde peut vérifier. Toi par contre…
Par ce que genre le petit utilisateur windows, pro microsoft et anti logiciel libre que tu es est tombé comme par hasard sur un nid de libriste, vraiment par hasard, et ne fait que défendre ses valeurs valeurs sincèrement?
C'est marrant, genre une fois par année ici, on tombe sur un gars qui a cette belle théorie du complot, comme quoi Microsoft vraiment a peur des gens sur LinuxFr, et paie des gens pour aller leur faire perdre leur temps.
C'est quand même hillarant de stupidité… Si on ne comptait pas le fait que je suis sur ce site depuis 16 ans et que certains ici savent exactement qui je suis.
Donc en gros tu continue de penser que la propagande d'avant l'ère snowden fonctionne encore après? Hmm intéressant.
Moi j'attends toujours que tu "démontes" mon argumentation. Tu m'as dit que c'était facile, vas-y j'attends toujours.
Non je n'aime pas l'humour de répétition… il n'y aurait pas un problème qqe part dans linuxfr ? Genre le frontend ré-éssaie d'insèrer un commentaire et cela résulte en plusieurs commentaires insèrés ? Je ne me souviens pas avoir re-essayé d'insèrer ce commentaire plusieurs fois.
Seul un expert en sécurité comme toi peut donc décider des bonnes questions ou des mauvaises questions ? :-) Tout mes proches et moi-même possédons un ordinateur de bureau sous GNU/Linux, donc de mon point de vue c'est une très bonne question
Rien à voir avec une expertise quelconque, juste à voir avec la volonté de ne pas noyer un poisson que tu essayes bien de noyer en faisant croire que si le linuxien moyen n'a pas été attaqué, alors le dev Debian ne le serait pas non plus.
Pour savoir si des gens ayant accès à des infos sensibles non ce n'est pas une bonne question.
De ta hauteur d'expert en sécurité tu n'arrives pas voir les quelques deux pour cents d'utilisateurs qui osent utiliser GNU/Linux comme ordinateur de bureau ! :-)
C'est bon ? Tu t'es bien branlé la kekette en répétant "expert sécurité" 2 fois pour t'amuser ?
Quand tu parles du pékin moyen, tu penses à Edward Snowden quand il a utilisé Tails Linux, à la gendarmerie nationale GendBuntu ou encore à moi, modeste utilisateur de GNU/Linux ?
Tu es assez naif pour croire que ce qui va attaquer Snowden est la même chose que ce qui va attaquer ton frère ou ton cousin qui est boucher à Perpignan (ou ailleurs…) ? Non, tu es plutôt d'une certaine mauvaise foi…
Mais là on parle ? Qui parle ? C'est moi qui est lancé ce sujet je demandé juste si quelqu'un connaissait des personnes ayant un bureau sous GNU/Linux ayant chopé un virus. Et je ne ne vois pas de quoi tu parles ? Qui sont ces personnes très spécifiques ? Tu parles des développeurs Debian qui fabriquent des paquets sur leurs machines ? Certains ont été la cible d'un logiciel malveillant ? Tu as des informations là dessus ? Car depuis vingt-trois ans que le projet existe, je n'ai jamais eu vent de ça.
Et oh comme c'est drôle, c'est arrivé à au moins un dev du kernel et au final kernel.org s'est fait hacké : http://pastebin.com/BKcmMd47
"Earlier today discovered a trojan existing on
HPA's personal colo machine, as well as hera. Upon some investigation
there are a couple of kernel.org boxes, specifically hera and odin1,
with potential pre-cursors on demeter2, zeus1 and zeus2, that have been
hit by this."
Mais hein, on va imaginer que les devs Debian sont très diffèrents et sont plus sûrs…
Ca explique pourquoi tu utilises la stratégie de l'autruche. T'as pas trop envie qu'on dise partout qu’enfaîte tout le monde continue d'utiliser windows piraté
Ah ben oui évidemment… Moi, qui ait vu les choses de l'intérieur pendanst 13 ans, j'utilises la strategie de l'autruche… et toi qui a sorti connerie sur connerie sur cet OS de manière répetée, qui n'a vu qu'un tout petit pan des usagers de ce système, tu connais la vérité…
Qu'est ce qu'on peut rire quand même… L'arrogance et les oeillères tu connais ?
Argument facile a retourner: prouve moi que j'ai tort alors qu'Edouard Snowden nous a bien signifié de nous méfier des "traîtres" (à coups de preuves postées autant sur wikileak que dans les média).
Mais je n'ai absolument rien à te prouver mon cher. C'est toi qui lance des accusations, à toi de les prouver. Tu me sors qu'il y a des backdoors dans l'OS, montre les moi.
Fais moi un sniff du traffic réseau de l'OS montrant un canal C&C, montrant qu'il envoie tout ce que tu tapes, etc… Et non, "traffic encrypté" n'est pas une excuse pour ne pas le faire, c'est ta machine qui encrypte, les cléfs et le code faisant l'encryption sont sur ta machine, tu as accès à tout
Mais le truc est que tu en seras totalement incapable, car rien de cela n'existe. Tu es fort pour répéter des trucs lus sur internet sans les vérifier, mais dés qu'il s'agit de prouver quoi que ce soit, ah ben c'est plus dur hein…
je dois avouer m'interroger sur un truc. Il est logique dans ce débat que tu ne saurais me faire changer d'avis et qu'en réalité tu m'incites plus a troller qu'autre chose (parce que ton argumentation est démontable facilement si on cherche un peu hein
Fais seulement mon petit, fais seulement, "démontes" mon argumentation ! Bon le problème est que jusqu'ici tu t'es planté sur toute la ligne, mais fais seulement hein…
Donc je me demande si ton intérêt est de faire de la propagande pro windows ou s'il y a une autre raison sincère
Oh je sais pas… au hasard corriger les trucs totalement faux que je lis ici ?
C'est quand même fantastique les conneries qu'on peut lire ici…
Il n'y a pas de keylogger dans Windows, et il n'y a rien de caché. Tout ce que Windows collecte et envoie est clairement décrit et documenté (cf. https://privacy.microsoft.com/en-US/windows10privacy ). L'OS offre de configurer cela au 1er démarrage, et il est possible de changer la config n'importe quand.
Ma question est de savoir si quelqu'un aurait un ou des témoignages d'utilisateurs de poste de travail sous GNU/Liunx, (je dis bien poste de travail, desktop donc pas serveur) ayant été victimes d'un virus ou un malware ?
Mais c'est une très mauvaise question que tu poses.
Linux sur le desktop est inexistant, des campagnes massives visant "le pekin moyen sur Linux" n'ont donc aucun intérèt. C'est pour cela d'ailleurs que tu as bien évité de demander la même chose pour les serveurs, car tu sais très bien que cela existe pour les serveurs.
Mais là on parle de personnes très spécifiques, qui ont un accès particulier : la possibilité d'insèrer du code dans un OS présent sur plein de serveurs.
Ces gens sont donc des cibles priviliégiées, rien à voir avec le pekin moyen sous Linux. Construire un exploit pour Linux pour viser ces gens précisement en vaut largement la peine.
Je vi (vais) dans le monde ou Microsoft avait des stats sur les Windows et tout le monde dans la division Windows les voyait. Et on va dire que c'est largement plus représentatif que ce que tu vois
Je peux t'assurer que non ;)
Idem
Non je constate en fonction de ce que je vois, c'est toi qui semble nier l'évidence (tu travail pour crosoft ?).
J'ai passé 13 ans chez Microsoft, à bosser sur Windows. On va dire qu'entre ta connaissance de l'écosystème à travers tes voisins et tes potes et la vision qui est réelle, il y a un monde.
Et comme Linux est libre s'ils écrivent volontairement une faille, se sera obligatoirement trouvé au bout d'un moment (= scandale monumentale)
Merci pour cet énorme moment d'humour !! Déjà il est super simple d'écrire une backdoor qui passe pour un bug tout con, ensuite le mythe qui veut que parce que c'est libre il est plus facile de trouver les failles a été montré comme étant une connerie monumentale.
Haha HAhahahaha elle est bonne celle-là.
Fais seulement, prouves que j'ai tort. Le texte de la loi est publique hein, fais seulement !
Linux n'a pas d'équivalent à ma connaissance de QueueUserAPC. Les signaux sont un mécanisme beaucoup plus rudimentaire et difficile à exploiter (on envoie un numéro de signal, mais c'est le processus cible qui choisit quel code à exécuter en fonction du signal, au lieu de se laisser dicter docilement un pointeur de fonction…).
ptrace te permet d'executer du code dans un processus si tu as les permissions pour y accèder. Il n'y aucune diffèrence ici. Si tu as accès en écriture au processus, les carottes sont cuites.
-il est payant et chers, donc beaucoup de gens ne font pas le dist-upgrade *1 (certaines institutions belges tournent encore sous … windows 98 (source RTBF))
Les stats internet montrent clairement que l'énorme majorité des gens sont sur Windows 7 ou plus. Et Windows 7 est tout à fait au niveau de ce que les dernières distribs Linux grand public font niveau sécurité.
-beaucoup de gens utilisent une version piratée (avec mises à jours disabled)
L'énorme majorité des gens (Chine à part) ont une version non-pirate qu'ils ont eue avec leur PC, et à part en Chine la plupart des systèmes pirates ont auto-update. Tu sors des théories de ta poche
-les users acceptent n'importe quoi (et en prétendant indubitablement "c'est pas moi qui ai installé ça")
Certains oui surement. Mais juste parce que ton voisin fait le con ne signifie pas que l'OS est moins sur et que subitement il serait plus dangereux pour toi
-Patriot Act aux USA et Lois Renseignement en France (= backdoor obligatoire sur les systèmes commerciaux)
Déjà c'est faux, il n'y a absolument aucune obligation d'avoir une backdoor dans les systèmes commerciaux. L'obligation ne s'applique qu'aux fournisseurs de service, ensuite, grande nouvelle, Redhat, Google, Intel… qui sont d'énormes contributeurs à Linux sont des boites américaines
Si tu as de la doc en français que je n'ai pas déjà lu, je suis open au partage ;)
Ben dans ce cas la diffèrence est tellement flagrante dans la sécurité des 2 approches que c'est vraiment indéfendable.
Cas Debian (on va assumer qu'ils ont 200 mainteneurs faisant ces builds) :
200 systèmes individuels, dont :
- certains ne sont pas simplement des machines de build mais des systèmes personnels ou plein d'autres softs tournent, genre firefox. Un browser web qui est une énorme surface d'attaque et qui, à part ses nombreuses vulnerabilités, n' pas de défense en profondeur et n'a pas de sandbox.
- Protection réseau ? Probablement pour certains, et pour les autres, dont notamment les systèmes qui servent de workstation personnelle, il n'y a rien à part le iptables standard
- Exposition à des menaces ? Certaines de ces machines se sont probablement promenées sur plein de réseaux diffèrents dans des coffee shops, etc… avec non seulement leur surface réseau exposée, mais ces machines se sont retrouvées en public avec leurs port USB/firewire/bluetooth… exposé en public
- Les mainteneurs de ces machines ne sont pour la plupart pas des experts sécurité et n'ont probablement pas endurci la configuration du système
- 200 mainteneurs diffèrents, on ne sait pas à quelle vitesse ces gens patchent les machines, faut croiser les doigts
Cas Microsoft :
Toutes les machines de build sont des serveurs qui ne font que cela et absolument rien d'autre. Jamais personne n'a lancé un browser web dessus. Il n'y a d'installé et lancé que ce qu'il faut pour générer les builds. La surface d'attaque est incroyablement plus petite qu'une machine personelle.
Les machines sont dans un immeuble sécurisé sur le campus de MS, dans une salle sécurisée. Il faut être employé MS pour avoir accès à l'immeuble, il faut être membre du build team pour entrer dans la pièce, il y a des caméras de sécurité. Impossible d'accéder aux ports USB/Firewire/bluetooth de ces machines, impossible de faire quoi que ce soit à travers leur interface WiFi, ils n'ent ont pas.
Le traffic réseau est filtré pour que seul le traffic nécessaire au démarrage des builds et le stockage des builds/accès lecture seule soit permis. Il n'y a quasiment aucun port ouvert.
Les machines ont une politique de patching stricte évidemment
MS a un département sécurité réseau qui s'occupe de tenir un oeil sur ces machines et sur d'autres machines sensibles. Il y a tout un système d'audit en place.
Cela ne garantit rien évidemment, il n'y a pas de sécurité parfaite. Mais le build centralisé fait proprement, comparé à 200 développeurs sans connaissances sécurité, et sans les moyens pour garder un périmètre isolé souvent, c'est sans comparaison, c'est beaucoup plus sur, et c'est clair.
Ben c'est un truc plutôt drôle qui montre à quel point la presse non-spécialsée est incapable de comprendre quelque chose de technique.
Atom bombing sous Windows demande en gros les mêmes droits que faire un appel ptrace sur un processus sous Linux, bref il faut :
avoir la possibilité d'executer du code sur le système
avoir les permissions nécessaires pour accèder à l'espace d'addresse du processus en écriture. Il faudra faire une appel OpenProcess(), et non seulement l'appel ne passera pas sans les bonnes permissions mais en plus c'est simple à détecter
Bref, c'est un gros gag. Cela ne casse aucune barrière de sécurité. Si tu as accès en écriture au processus cible ben tu peux faire absolument ce que tu veux, exactement comme sous Linux.
Cette idiotie fait le buzz parce que les gens ne comprennent pas ce que sont les APCs et ils assument que faire executer du code dans un autre processus automatiquement signifie une vulnerabilité. Ben non, ce n'est pas le cas, il faut avoir les bonnes permissions, comme sous Linux.
L'avantage est que sur nunux il faut plus de compétence pour réussir un privilège escalation. (sur windows l'user va recevoir une alerte jaune "voulez-vous autoriser" et il va l'accepter :D)
Ben non justement. Faut sortir un peu de Metasploit et comprendre comment les 2 OS sont concus et tu comprendras…
Un petit exemple simple est qu'il y a un nombre efferant d'info leaks dans le kernel linux qui donnent les addresses pour exploiter une faille kernel et permettre un privilege escalation malgré KASLR et jusqu'à il y a très peu, kernel ASLR dans Linux était une franche rigolade (cela a été grandement amélioré par un gars de Google il y a 6 mois qui… était un de mes collegues chez MS…), il n'y en a quasiment pas des kernel info leaks dans Windows, car MS a fait un effort très particulier pour les virer et Windows a un Kernel ASLR efficace et qui couvre presque tout depuis des lustres.
PS: c'est ta défense quand on parle de windows, sous entendre qu'on est stupide?
Rien à voir avec être stupide. Tout le monde ne sait pas tout sur tous les sujets. Ma spécialité est la sécurité d'OS, en retour je suis incapable de te faire un site en web dynamique et ma manière de faire des tables et requètes SQL donnerait une crise cardiaque à un dev SQL.
[^] # Re: Fuck windaube, micro$oft suxXx, mort a bill gates
Posté par pasBill pasGates . En réponse au journal Microsoft s'accroche jusqu'au bout. Évalué à 1.
Tout modèle vendu avec un OS va devoir être testé avec cet OS, cela ne veut pas dire chaque unité de ce modèle sur la chaine de montage va être testé à travers cet OS, mais quelque unités le seront, et cela à chaque changement du hardware (firmware, puce de NIC, …)
Va falloir développer et maintenir les tests pour chaque modèle selon le HW qu'il contient et avoir les tests modulables pour s'adapter aux diffèrentes configs possibles du modèle, avoir l'automatisation pour déployer, faire tourner les tests, rapporter les résultats, débugger les problèmes qui sont d'habitude au niveau HW donc complexes.
Cela a un coût. Allez, disons $500'000 par modèle pour être super gentil (en gros le coût d'un développeur chevronné pendant un an, ou 2 devs juniors, avec plusieurs modèles cela ferait le team chargé de construire toute l'automatisation-déployement-test-débuggage…)
Combien de systèmes Linux seront vendus en comparaison ? Avec 10'000 unités Linux vendues par modèle c'est un coût de $50 par unité. Un Windows qui en vend 100'000 cela revient a $5 par unité, un différentiel de $45
[^] # Re: Il oublie LES 2 raisons principales
Posté par pasBill pasGates . En réponse au journal Pourquoi Windows. Évalué à 2.
Il te semble mal, ce n'est pas le cas. Presque tous (pas tous, mais presque) les softs qui tournaient sur 7 tournent sur 8 et 10
[^] # Re: Pas sûr de tout comprendre
Posté par pasBill pasGates . En réponse au journal Pourquoi Windows. Évalué à 3.
Aussi, ca s'appelle Windows Nano Server
[^] # Re: Fuck windaube, micro$oft suxXx, mort a bill gates
Posté par pasBill pasGates . En réponse au journal Microsoft s'accroche jusqu'au bout. Évalué à 2.
Il pose aussi le problème de la batterie de tests qui va être diffèrente pour un OS diffèrent.
[^] # Re: Cloud et Grid
Posté par pasBill pasGates . En réponse au journal C'est quoi le "cloud computing" ? 1/2. Évalué à 3.
Pas que je sache, il me semble qu'ils paient comme tout le monde, mais tu as du noter que les tarifs sont dégressifs évidemment.
Il y a simplement un coût certain pour eux et un blocage en capital massif si ils devaient tout faire en interne vu leurs besoins d'être présent sur tous les continents, d'avoir des patterns d'utilisation très variables, d'avoir à gèrer l'infrastructure pour des services de base, …
Parce que faut pas oublier qu'AWS, c'est beaucoup plus que EC2 hein, il y a des services NoSQL, notification, authentication, monitoring, streaming, etc… C'est tout un tas de trucs que Netflix n'a pas besoin de gérer / maintenir / faire évoluer en interne. N'importe lequel de leurs devs peut aller se construire un prototype assez complexe en utilisant ces services sans avoir besoin de notifier un team pour augmenter la charge supportable, créer des comptes, etc… cette flexibilité permet de bouger rapidement et cela a une valeur certaine-
[^] # Re: Fuck windaube, micro$oft suxXx, mort a bill gates
Posté par pasBill pasGates . En réponse au journal Microsoft s'accroche jusqu'au bout. Évalué à 4.
Windows sur la machine et ensuite tu as Adobe, McAfee… qui paient le constructeur pour mettre leurs trucs par défaut…
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à 1.
Mhhhh… c'est bizarre, j'en déduis que le problème est coté client mais… comment se peut il qu'il y ait des previsualisations après les envois ?
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à 3.
Ce qui est quand même hillarant c'est que tu ne fais visiblement même pas l'effort de comprendre les articles que tu cites.
Aucun de ces articles ne mentionnent d'accès à Windows 10. Les articles parlent des sites en ligne de Microsoft, ce qui est exactement ce que je disais plus haut : La loi demande un accès aux services en lignes, pas de backdoor dans l'OS.
Ah ben voila, j'avais encore un petit peu d'espoir que tu aies un cerveau, tu viens de me convaincre qu'effectivement non, tu es clown sans cervelle.
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à 4.
Oui oui bien sûr… Le truc étant que je ne bosses plus pour eux depuis des années et que je bosses pour une boite qui fait du Linux depuis, mais bon hein, vu que tu préfères chercher des excuses qu'accepter une réalité que tu n'aimes pas… On a bien compris que tu préfères suivre les élements qui sont comfortable pour ta vision biaisée du monde, et que tu ignores les autres.
LOL. La diffèrence entre ce que tu sors et ce que je dis c'est que j'avances des faits avèrés qui démontrent ce que je dis et que tout le monde peut vérifier. Toi par contre…
C'est marrant, genre une fois par année ici, on tombe sur un gars qui a cette belle théorie du complot, comme quoi Microsoft vraiment a peur des gens sur LinuxFr, et paie des gens pour aller leur faire perdre leur temps.
C'est quand même hillarant de stupidité… Si on ne comptait pas le fait que je suis sur ce site depuis 16 ans et que certains ici savent exactement qui je suis.
Moi j'attends toujours que tu "démontes" mon argumentation. Tu m'as dit que c'était facile, vas-y j'attends toujours.
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à 2.
Non je n'aime pas l'humour de répétition… il n'y aurait pas un problème qqe part dans linuxfr ? Genre le frontend ré-éssaie d'insèrer un commentaire et cela résulte en plusieurs commentaires insèrés ? Je ne me souviens pas avoir re-essayé d'insèrer ce commentaire plusieurs fois.
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à -1.
Rien à voir avec une expertise quelconque, juste à voir avec la volonté de ne pas noyer un poisson que tu essayes bien de noyer en faisant croire que si le linuxien moyen n'a pas été attaqué, alors le dev Debian ne le serait pas non plus.
Pour savoir si des gens ayant accès à des infos sensibles non ce n'est pas une bonne question.
C'est bon ? Tu t'es bien branlé la kekette en répétant "expert sécurité" 2 fois pour t'amuser ?
Tu es assez naif pour croire que ce qui va attaquer Snowden est la même chose que ce qui va attaquer ton frère ou ton cousin qui est boucher à Perpignan (ou ailleurs…) ? Non, tu es plutôt d'une certaine mauvaise foi…
Et oh comme c'est drôle, c'est arrivé à au moins un dev du kernel et au final kernel.org s'est fait hacké :
http://pastebin.com/BKcmMd47
"Earlier today discovered a trojan existing on
HPA's personal colo machine, as well as hera. Upon some investigation
there are a couple of kernel.org boxes, specifically hera and odin1,
with potential pre-cursors on demeter2, zeus1 and zeus2, that have been
hit by this."
Mais hein, on va imaginer que les devs Debian sont très diffèrents et sont plus sûrs…
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à 1.
Tu oses parler de FUD ? Toi qui oses dire qu'il y a des backdoors dans un produit sans l'once d'une preuve ?
L'hypocrisie tu connais ?
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à 0.
Tu oses parler de FUD ? Toi qui oses dire qu'il y a des backdoors dans un produit sans l'once d'une preuve ?
L'hypocrisie tu connais ?
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à 0.
Tu oses parler de FUD ? Toi qui oses dire qu'il y a des backdoors dans un produit sans l'once d'une preuve ?
L'hypocrisie tu connais ?
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à 5.
Ah ben oui évidemment… Moi, qui ait vu les choses de l'intérieur pendanst 13 ans, j'utilises la strategie de l'autruche… et toi qui a sorti connerie sur connerie sur cet OS de manière répetée, qui n'a vu qu'un tout petit pan des usagers de ce système, tu connais la vérité…
Qu'est ce qu'on peut rire quand même… L'arrogance et les oeillères tu connais ?
Mais je n'ai absolument rien à te prouver mon cher. C'est toi qui lance des accusations, à toi de les prouver. Tu me sors qu'il y a des backdoors dans l'OS, montre les moi.
Fais moi un sniff du traffic réseau de l'OS montrant un canal C&C, montrant qu'il envoie tout ce que tu tapes, etc… Et non, "traffic encrypté" n'est pas une excuse pour ne pas le faire, c'est ta machine qui encrypte, les cléfs et le code faisant l'encryption sont sur ta machine, tu as accès à tout
Mais le truc est que tu en seras totalement incapable, car rien de cela n'existe. Tu es fort pour répéter des trucs lus sur internet sans les vérifier, mais dés qu'il s'agit de prouver quoi que ce soit, ah ben c'est plus dur hein…
Fais seulement mon petit, fais seulement, "démontes" mon argumentation ! Bon le problème est que jusqu'ici tu t'es planté sur toute la ligne, mais fais seulement hein…
Oh je sais pas… au hasard corriger les trucs totalement faux que je lis ici ?
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à 4.
C'est quand même fantastique les conneries qu'on peut lire ici…
Il n'y a pas de keylogger dans Windows, et il n'y a rien de caché. Tout ce que Windows collecte et envoie est clairement décrit et documenté (cf. https://privacy.microsoft.com/en-US/windows10privacy ). L'OS offre de configurer cela au 1er démarrage, et il est possible de changer la config n'importe quand.
Vraiment, la mauvaise foi de certains ici…
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à -1.
Mais c'est une très mauvaise question que tu poses.
Linux sur le desktop est inexistant, des campagnes massives visant "le pekin moyen sur Linux" n'ont donc aucun intérèt. C'est pour cela d'ailleurs que tu as bien évité de demander la même chose pour les serveurs, car tu sais très bien que cela existe pour les serveurs.
Mais là on parle de personnes très spécifiques, qui ont un accès particulier : la possibilité d'insèrer du code dans un OS présent sur plein de serveurs.
Ces gens sont donc des cibles priviliégiées, rien à voir avec le pekin moyen sous Linux. Construire un exploit pour Linux pour viser ces gens précisement en vaut largement la peine.
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à -1.
C'est vrai avec Multidesk OS, MS-DOS 6, HP/UX, AIX, … aussi.
Si les gens s'y habituaient et acceptaient les problèmes de ces OS, ben ils seraient très présent sur les desktops !
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à 3.
Je vi (vais) dans le monde ou Microsoft avait des stats sur les Windows et tout le monde dans la division Windows les voyait. Et on va dire que c'est largement plus représentatif que ce que tu vois
Idem
J'ai passé 13 ans chez Microsoft, à bosser sur Windows. On va dire qu'entre ta connaissance de l'écosystème à travers tes voisins et tes potes et la vision qui est réelle, il y a un monde.
Merci pour cet énorme moment d'humour !! Déjà il est super simple d'écrire une backdoor qui passe pour un bug tout con, ensuite le mythe qui veut que parce que c'est libre il est plus facile de trouver les failles a été montré comme étant une connerie monumentale.
Fais seulement, prouves que j'ai tort. Le texte de la loi est publique hein, fais seulement !
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à 4.
ptrace te permet d'executer du code dans un processus si tu as les permissions pour y accèder. Il n'y aucune diffèrence ici. Si tu as accès en écriture au processus, les carottes sont cuites.
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à 3.
Les stats internet montrent clairement que l'énorme majorité des gens sont sur Windows 7 ou plus. Et Windows 7 est tout à fait au niveau de ce que les dernières distribs Linux grand public font niveau sécurité.
L'énorme majorité des gens (Chine à part) ont une version non-pirate qu'ils ont eue avec leur PC, et à part en Chine la plupart des systèmes pirates ont auto-update. Tu sors des théories de ta poche
Certains oui surement. Mais juste parce que ton voisin fait le con ne signifie pas que l'OS est moins sur et que subitement il serait plus dangereux pour toi
Déjà c'est faux, il n'y a absolument aucune obligation d'avoir une backdoor dans les systèmes commerciaux. L'obligation ne s'applique qu'aux fournisseurs de service, ensuite, grande nouvelle, Redhat, Google, Intel… qui sont d'énormes contributeurs à Linux sont des boites américaines
Oh c'est sans fin.
https://blogs.technet.microsoft.com/ash/2016/03/02/windows-10-device-guard-and-credential-guard-demystified/
https://media.blackhat.com/bh-us-12/Briefings/M_Miller/BH_US_12_Miller_Exploit_Mitigation_Slides.pdf
https://msdn.microsoft.com/en-us/library/windows/desktop/mt637065(v=vs.85).aspx
http://xlab.tencent.com/en/2016/11/02/return-flow-guard/
https://blogs.windows.com/msedgedev/2016/09/27/application-guard-microsoft-edge/
etc…
A peu près tout ce qui est décrit là dedans n'existe pas dans les distribs grand public Linux
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à -1.
Ben lis ce que j'ai écris ici sur KASLR, firefox, le système de build des distribs, … cela te donnera un avant goût.
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à 4.
Ben dans ce cas la diffèrence est tellement flagrante dans la sécurité des 2 approches que c'est vraiment indéfendable.
Cas Debian (on va assumer qu'ils ont 200 mainteneurs faisant ces builds) :
200 systèmes individuels, dont :
- certains ne sont pas simplement des machines de build mais des systèmes personnels ou plein d'autres softs tournent, genre firefox. Un browser web qui est une énorme surface d'attaque et qui, à part ses nombreuses vulnerabilités, n' pas de défense en profondeur et n'a pas de sandbox.
- Protection réseau ? Probablement pour certains, et pour les autres, dont notamment les systèmes qui servent de workstation personnelle, il n'y a rien à part le iptables standard
- Exposition à des menaces ? Certaines de ces machines se sont probablement promenées sur plein de réseaux diffèrents dans des coffee shops, etc… avec non seulement leur surface réseau exposée, mais ces machines se sont retrouvées en public avec leurs port USB/firewire/bluetooth… exposé en public
- Les mainteneurs de ces machines ne sont pour la plupart pas des experts sécurité et n'ont probablement pas endurci la configuration du système
- 200 mainteneurs diffèrents, on ne sait pas à quelle vitesse ces gens patchent les machines, faut croiser les doigts
Cas Microsoft :
Toutes les machines de build sont des serveurs qui ne font que cela et absolument rien d'autre. Jamais personne n'a lancé un browser web dessus. Il n'y a d'installé et lancé que ce qu'il faut pour générer les builds. La surface d'attaque est incroyablement plus petite qu'une machine personelle.
Les machines sont dans un immeuble sécurisé sur le campus de MS, dans une salle sécurisée. Il faut être employé MS pour avoir accès à l'immeuble, il faut être membre du build team pour entrer dans la pièce, il y a des caméras de sécurité. Impossible d'accéder aux ports USB/Firewire/bluetooth de ces machines, impossible de faire quoi que ce soit à travers leur interface WiFi, ils n'ent ont pas.
Le traffic réseau est filtré pour que seul le traffic nécessaire au démarrage des builds et le stockage des builds/accès lecture seule soit permis. Il n'y a quasiment aucun port ouvert.
Les machines ont une politique de patching stricte évidemment
MS a un département sécurité réseau qui s'occupe de tenir un oeil sur ces machines et sur d'autres machines sensibles. Il y a tout un système d'audit en place.
Cela ne garantit rien évidemment, il n'y a pas de sécurité parfaite. Mais le build centralisé fait proprement, comparé à 200 développeurs sans connaissances sécurité, et sans les moyens pour garder un périmètre isolé souvent, c'est sans comparaison, c'est beaucoup plus sur, et c'est clair.
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à 5.
Ben c'est un truc plutôt drôle qui montre à quel point la presse non-spécialsée est incapable de comprendre quelque chose de technique.
Atom bombing sous Windows demande en gros les mêmes droits que faire un appel ptrace sur un processus sous Linux, bref il faut :
Bref, c'est un gros gag. Cela ne casse aucune barrière de sécurité. Si tu as accès en écriture au processus cible ben tu peux faire absolument ce que tu veux, exactement comme sous Linux.
Cette idiotie fait le buzz parce que les gens ne comprennent pas ce que sont les APCs et ils assument que faire executer du code dans un autre processus automatiquement signifie une vulnerabilité. Ben non, ce n'est pas le cas, il faut avoir les bonnes permissions, comme sous Linux.
[^] # Re: Ca veut dire quoi "être prêt pour le desktop" ?
Posté par pasBill pasGates . En réponse au journal ON Y EST ENFIN !. Évalué à 4.
Ben non justement. Faut sortir un peu de Metasploit et comprendre comment les 2 OS sont concus et tu comprendras…
Un petit exemple simple est qu'il y a un nombre efferant d'info leaks dans le kernel linux qui donnent les addresses pour exploiter une faille kernel et permettre un privilege escalation malgré KASLR et jusqu'à il y a très peu, kernel ASLR dans Linux était une franche rigolade (cela a été grandement amélioré par un gars de Google il y a 6 mois qui… était un de mes collegues chez MS…), il n'y en a quasiment pas des kernel info leaks dans Windows, car MS a fait un effort très particulier pour les virer et Windows a un Kernel ASLR efficace et qui couvre presque tout depuis des lustres.
Rien à voir avec être stupide. Tout le monde ne sait pas tout sur tous les sujets. Ma spécialité est la sécurité d'OS, en retour je suis incapable de te faire un site en web dynamique et ma manière de faire des tables et requètes SQL donnerait une crise cardiaque à un dev SQL.