pasBill pasGates a écrit 16169 commentaires

Ben non, parce que les particuliers/gamins, ils ne trouvent pas leur failles en faisant des revues de code, ils le font en faisant du fuzzing dans quasiment tous les cas. Pas besoin des sources pour ca.

a) Il est possible de le compiler
b) Il est possible de le faire tourner

Des failles logiques on en trouve encore aujourd'hui dans des produits sortis il y a des annees (cf. les problemes de serialization/deserialization de Java/.NET par exemple), un audit ne suffit de loin pas, parce qu'il faut d'abord savoir ce qu'on cherche.

Hahaha. Tu veux dire que Microsoft, qui gère un écosystème logiciel comparable à une distribution à lui tout seul, est aussi riche et puissant que tout l'État chinois ? En retirant, bien sûr, la division XBox et tutti quanti.

Moi je regardes la realite, aucun pays le fait.

Tu regardes nos comptes, tu vois que la division Windows fait des milliards de benefs, mais ils coutent aussi des milliards en R&D, et ils emploient des milliers de gens qualifies qu'il a bien fallu trouver. Nous on les trouve en allant embaucher partout sur la planete, si c'est un developpement securitaire et qu'il ne faut que des employes citoyens du pays, ben bonne chance pour les trouvers tes milliers d'ingenieurs qualifies, surtout avec les salaires francais…

Tu veux dire que tu testes le programme sur quelques entrées seulement ??? Donc tu ne passes jamais sur les entrées particulières qui justement activent la branche dont le cas négatif n'est pas testé et qui sert à la faille ?

Analyse statique : tu construit une representation abstraite du code, et c'est ca que tu compares. Vu que les differences sont minimes, rarement cross-procedure(si il y en a tu poses une alerte et un humain ira voir car ca devrait etre rare), t'as pas besoin de garder des etats de bouts en bouts et d'avoir une explosion exponentielle des etats. Tu te retrouves frequemment a des points ou tu peux dire "ok tout est identique", et tu peux repartir de la en faisant abstraction de ce qui precede.

Si tu prends 2 implementations totalement differentes d'un probleme (disons le moteur HTML de IE et de Firefox), alors il est evident que c'est intraitable, mais ici on parle du meme code source compile par le meme compilateur, t'as au final 2 binaires tres tres proches, et tu utilises cet etat de fait pour mettre des contraintes fortes : un changement "consequent" est automatiquement une erreur, la ou dans le cas IE vs. Firefox ca pourrait etre le meme comportement avec 2 implementations totalement differentes et il faudrait une analyse globale des contraintes, ce qui est trop gros pour etre fait.

Sinon visiblement, d'après http://www.lepoint.fr/actualites-technologie-internet/2010-01-06/nicolas-sarkozy-a-teste-le-teorem-son-futur-telephone-crypte/1387/0/411021 quand il s'agit de réellement protéger un secret par ces gens-là, tout est fait from scratch en interne, jusqu'au composant (donc forcément le logiciel qui tourne dessus, et toutes les couches supérieures).

Demandes toi si l'armee Francaise utilises des PCs construit maison avec des OS fait maison pour toute son infrastructure. Il y a evidemment des cas specialises, mais ca n'est pas faisable a l'echelle du pays.

Recompiler, executer et deployer des versions modifiees ne sert pas a grand-chose quand le produit a une taille monstre tel qu'une distrib ou Windows.__
Haha.

Non c'est une realite, que tu ne comprends probablement pas. La France n'a tout simplement pas les moyens de gerer un OS totalement modifie. Redhat/Debian/… ne vont pas te filer de support vu que ton code est different, ce sera a toi de tout gerer: debuggage des problemes, maintenance du fork pour le garder a jour, etc…

Ca a un cout enorme. Personne ne s'amuse a forker de distrib et la gerer soi-meme a part la Chine, et encore ils ne l'utilisent que tres peu, ca en dit long.

On parle des failles de sécurité logicielle, pas logiques. Pour les failles logiques, un audit (dans les cas simples) et sinon (d'après le lien que je donne ci-dessus) carrément faire les couches crypto en interne est ce qu'il y a de mieux.

Ah ben oui, un audit ca trouve toutes les failles, suis-je bête… On aurait du nous le dire avant, on aurait regle le probleme !

Sinon, une faille logique ca peut pas etre une faille securite ? Grande nouvelle.

D'autant qu'avec un peu de chance, même l'analyse statique, surtout sur des gros paquets de code, ne prouvera rien du tout : prouver que deux programmes font la même chose est indécidable en général.

En general oui.
Quand c'est sense etre le meme soft par contre, avec le meme compilateur, c'est tres different. Tu pars du meme point, tu suis les chemins en parrallele, les differences sont sensees etre minimes (optimisations locales du compilo) et resolvables, quoi que ce soit d'autre est une alerte.

Au final c'est tres faisable vu que c'est un cas particulier.

Ca n'arriverait pas sauf bug du compilo, car quoi qu'il genere, le resultat du code execute doit etre garanti identique.

Leur reputation ? Les bugs securite trouves jusqu'a maintenant on detruit leur reputation ?

Tu sais si un de ces bugs etait une backdoor ou juste une erreur ? Moi non

Ah clair, on l'enleverait du code, comme ca ils se rendraient vite compte que le code compile a une difference claire avec le binaire qu'ils ont sur leur DVD.

Que vous etes malins quand meme…

Tant qu'on ne peut pas recompiler et exécuter et déployer les versions modifiées, ça ne sert à rien, et c'est plus pour rassurer l'homme politique qu'autre chose. La décision d'utiliser Windows n'est pas sur des critères techniques mais politiques.

Oui oui, c'est quand meme gonflant cette attitude de gars moyen de linuxfr qui a pour habitude de mieux s'y connaitre que tous les ingenieurs securite de la DGSE, du ministere de la defense, …

Recompiler, executer et deployer des versions modifiees ne sert pas a grand-chose quand le produit a une taille monstre tel qu'une distrib ou Windows.

Et une simple recompilation, qui modifie le placement en mémoire de certaines structures par exemple et la structure de certains bouts de code suffit à se protéger de bouts de code malveillants préparés à l'avance sur une version générique du logiciel.

Faux. Ca ne protége par exemple pas de failles dues au design (au hasard tout ce qui est crypto, tout ce qui du aux concepts tels qu'isolation de domaine web, …)

A mon avis, moins intéressant quand on cible une personne précise. Ca n'engage que moi.
Les serveurs ont pour sale manie d'avoir des admins compétents qui regardent plus le réseau.

Quand on cible une personne oui, quand on cible une entreprise (genre les societes de defense US qui visiblement ont des fans en Chine, ou EADS que les americains aiment bien) c'est autre chose.

Regarder le reseau ne va rien dire a l'enorme majorite des admins, les gars dont on parle ici ne sont pas des script kiddies, c'est du boulot de professionel. Tu regardes Stuxnet ou Flame qui ont servi a attaquer l'Iran, tu vois que c'est des attaques solides, difficiles a detecter, et qui sont plus solides a chaque iteration.

La SEULE methode qui est valide, c'est une analyse statique du binaire compile pour s'assurer que son comportement est identique au binaire de reference.

C'est quelque chose qui se fait dans le monde de la securite pour diverses raisons (analyse de nos patchs pour y trouver la faille qu'on a patche par exemple…)

Ensuite, comme tu l'as dit, cacher un bug subtil est extremement simple. Et ca, tout le monde y est sujet, nous, openbsd, Linux, Chrome, Firefox…
Il est assez simple pour la NSA de regarder nos offres d'emploi, proposer un gars fort qui se fera engager et voila. Idem pour les projets open-sources ou ils prennent un gars qui envoient de bons patchs pendant un petit moment histoire de mettre la confiance, et hop un jour il insere un petit bug…

Informations techniques != code source

Possible (j'ai pas regarde dernierement), mais le fait est que pendant longtemps, le principal compilo du monde open source a eu ce comportement. Qu'on ne vienne pas me dire que c'est un truc fantaisiste / bug ou autre.

Pour le reste, j'imagines que bcp de gros softs utilisent du profile guided optimization, donc faudrait aussi filer ces fichiers de profile pour arriver au meme resultat.

Les différences sont :
- Taille critique Facebook, Google… ont été prié de filer des choses. pas l’agrégateur du coin.

Redhat c'est situe ou deja ? Ils ont combien de developpeurs qui posent du code dans le noyau et ailleurs ?
Mozilla et les developpeurs de Chrome, ceux qui developpent les principaux browsers pour Linux, tu sais les vecteurs principaux d'entree sur un systeme pour une attaque, ils sont situes ou eux aussi ?

- Si Linux sur le desktop devenait intéressant pour la NSA, plus de monde a potentiellement la possibilité de scanner.

a) Et les serveurs ca compte pas ? Et vu que le code entre les serveurs et desktops et en grosse partie le meme…
b) Le potentiel c'est sympa, mais on a tres bien vu ce que ca donne en pratique

C'etait le cas a l'epoque de gcc 3.x : http://gcc.gnu.org/onlinedocs/gcc-3.2/gcc/Optimize-Options.html

-fno-guess-branch-probability Do not guess branch probabilities using a randomized model.
Sometimes gcc will opt to use a randomized model to guess branch probabilities, when none are available from either profiling feedback (-fprofile-arcs) or __builtin_expect. This means that different runs of the compiler on the same program may produce different object code.

Les gouvernements d'habitude ne s'interessent pas a employer un exploit sur 3 millions de machines, c'est pour des attaques tres ciblees (un activiste chinois, un terroriste X, etc…) et ils savent d'habitude tres bien quel systeme cibler. Bref, c'est pas un probleme pour eux.

Pour le spammer qui veut se faire un botnet c'est different.

a) 100% d'accord avec ca. Tu remarqueras qu'avec ce modele, Linux est exactement a la meme enseigne.
b) Les gouvernements rapportent de temps en temps des failles, et certaines fois les gardent pour eux…

C'est drole.

En fait, la France, la Chine, la Russie, plein d'autres gouvernements et meme societes, ont acces aux sources.

Et pourtant, elles continuent toutes a utiliser ce Windows bourre de backdoors de la NSA.

Qu'est ce qu'ils sont stupides quand meme… Ils trouvent la backdoor, ok ils peuvent pas en parler a cause du NDA, mais ils continuent a utiliser l'OS !!!

Heureusement les gars de LinuxFr eux savent mieux qu'eux…

Mais quelle arrogance quand meme ici… c'est franchement dingue.

Le jour ou il sera possible de blinder 30 millions de lignes de code C/C++ tu me fais signe, j'ai un poste pour toi chez MS paye 10 millions par an(au moins). Et probablement un prix Nobel aussi.

Ton ordinateur est quantique, doté d'un générateur aléatoire pour générer les binaires ?
Cet argument me paraît mauvais, avec le même code source et la même version du compilateur je vois mal comment tu pourrais obtenir des binaires différents. Normalement il va optimiser de la même manière car c'est le même code !

Gcc le fait, cf. ma reponse a Zenitram. Comme quoi il faudrait penser a reevaluer ces "on-dit" traditionels que tout le monde repete mais que personne ne s'amuse a verifier dans le monde reel.

Si même config en entrée --> résultat différent, tu me fais peur. Microsoft met un rand() quelque part?

Tu devrais aller demander aux gars de gcc comment fguess-branch-probability fonctionne… tu vas etre surprise

J'ose imaginer qu'il y a une clé publique W pour vérifier la signature de celui qui se connecte, et donc sans la clé privée, je ne peux rien démontrer du tout de cette manière.
Raté.

Tu penses ? Tu crois que demontrer la presence de la cle publique dans le code et le fait que la verification ouvre une porte ne va rien montrer ?

Si poster les sources prouve quelque chose, alors poster le code assembleur venant du binaire officiel donne EXACTEMENT le meme resultat.

Mon argument n'est certainement pas plus fallacieux que cette connerie du compilo de Ken Thompson qui fait rire tout le monde dans le monde de la securite.

Le kernel Linux, avec les drivers, c'est des millions de lignes de code. L'OS entier encore plus. Idem pour Windows.

Faudrait vraiment etre con pour s'emmerder a inserer une backdoor dans le compilo alors qu'il suffit d'inserer un petit integer overflow qui ressemble a une erreur quelque part dans ces millions de lignes.

La question est de savoir si on arrive à avoir exactement le même binaire (même SHA-512) de chaque fichier.
Si un bit change, tout ce qu'on peut dire c'est que le source filé est bon, mais on ne peut rien dire sur le binaire filé (qui peut s'être pris un .patch dans un coin).

Bien qu'en theorie vrai, c'est en fait faux.
a) Le header par exemple va changer (il y a un timestamp dans le header PE)
b) Le compilo(meme version du compilo, memes sources) pourrait optimiser de maniere differente le code

La seule maniere c'est de faire une analyse statique du code binaire entre les 2 fichiers et s'assurer que le code execute a le meme comportement.

Personne avant Snowden avait senti le besoin de dire que PRISM existait, sans doute à cause de ce qu'il lui arrive en ce moment (pas forcément agréable de vivre dans une zone internationale d'aéroport russe, tout comme il n'est pas agréable d'être bloqué dans une ambassade), peux-tu dire sans mentir que la personne qui postera une telle démonstration ne se prendra pas les foudres des Etats-Unis avec la même violence juste parce qu'il a osé le dire?

Je bosses pour X(gouvernement, universite, entreprise…), j'ai acces aux sources de Windows. Je decouvres la backdoor. Je prends un binaire officiel (DVD de Windows), et je decris comment trouver la faille a partir du binaire officiel. (= impossible de tracer que j'ai acces aux sources)

Je me crees un compte sur mail.ru ou mail.cn, je m'installes une VM toute propre, je prends ma voiture et me gare a cote d'un café avec acces Wi-Fi ou autre, je postes la description sur tous les forums que je veux.

Bonne chance pour me retrouver.