Munich ne change pas le code, ils packagent des softs existants dans une distrib, c'est sacrement different.
La proposition plus haut qui vise a modifier le code pour qu'un exploit ne marche plus, c'est une tout autre paire de manche, car ca implique devoir faire le support/maintenance du fork soi-meme, integrer chaque patch a la main, faire la batterie de tests, avoir des gens pour repondre au support car IBM/Redhat ne le fera pas… Mandriva n'a jamais eu a faire cela a cette echelle, bcp des softs etaient juste pris en batch tel quels et simplement le packaging changeait, et leur support etait a des lieux de ce qui doit se faire pour un deployment a cette echelle.
Au milieu de tout ses flux illégitimes, comment repérer celui qui t'intéresse?
C'est assez simple en fait, c'est celui auquel ta machine repond… Parce que si ta machine se met a repondre aux scanners, t'as de sacres problemes…
Si tu veux vraiment etre serieux, tu repands une vingtaine/centaine de machines sur la planete, et tu fais ton analyse sur toutes ces machines. La probabilite d'avoir le meme genre d'acces a travers toute la plenete est tres, tres, faible, ca te permet d'isoler ce qui est vraiment suspect.
Inutile de dire evidemment que les entites ayant un interet la dedans n'ont pas attendu mon post sur linuxfr pour ausculter ce qui passe sur le reseau avec une machine de base.
Ben non, parce que les particuliers/gamins, ils ne trouvent pas leur failles en faisant des revues de code, ils le font en faisant du fuzzing dans quasiment tous les cas. Pas besoin des sources pour ca.
Des failles logiques on en trouve encore aujourd'hui dans des produits sortis il y a des annees (cf. les problemes de serialization/deserialization de Java/.NET par exemple), un audit ne suffit de loin pas, parce qu'il faut d'abord savoir ce qu'on cherche.
Hahaha. Tu veux dire que Microsoft, qui gère un écosystème logiciel comparable à une distribution à lui tout seul, est aussi riche et puissant que tout l'État chinois ? En retirant, bien sûr, la division XBox et tutti quanti.
Moi je regardes la realite, aucun pays le fait.
Tu regardes nos comptes, tu vois que la division Windows fait des milliards de benefs, mais ils coutent aussi des milliards en R&D, et ils emploient des milliers de gens qualifies qu'il a bien fallu trouver. Nous on les trouve en allant embaucher partout sur la planete, si c'est un developpement securitaire et qu'il ne faut que des employes citoyens du pays, ben bonne chance pour les trouvers tes milliers d'ingenieurs qualifies, surtout avec les salaires francais…
Tu veux dire que tu testes le programme sur quelques entrées seulement ??? Donc tu ne passes jamais sur les entrées particulières qui justement activent la branche dont le cas négatif n'est pas testé et qui sert à la faille ?
Analyse statique : tu construit une representation abstraite du code, et c'est ca que tu compares. Vu que les differences sont minimes, rarement cross-procedure(si il y en a tu poses une alerte et un humain ira voir car ca devrait etre rare), t'as pas besoin de garder des etats de bouts en bouts et d'avoir une explosion exponentielle des etats. Tu te retrouves frequemment a des points ou tu peux dire "ok tout est identique", et tu peux repartir de la en faisant abstraction de ce qui precede.
Si tu prends 2 implementations totalement differentes d'un probleme (disons le moteur HTML de IE et de Firefox), alors il est evident que c'est intraitable, mais ici on parle du meme code source compile par le meme compilateur, t'as au final 2 binaires tres tres proches, et tu utilises cet etat de fait pour mettre des contraintes fortes : un changement "consequent" est automatiquement une erreur, la ou dans le cas IE vs. Firefox ca pourrait etre le meme comportement avec 2 implementations totalement differentes et il faudrait une analyse globale des contraintes, ce qui est trop gros pour etre fait.
Demandes toi si l'armee Francaise utilises des PCs construit maison avec des OS fait maison pour toute son infrastructure. Il y a evidemment des cas specialises, mais ca n'est pas faisable a l'echelle du pays.
Recompiler, executer et deployer des versions modifiees ne sert pas a grand-chose quand le produit a une taille monstre tel qu'une distrib ou Windows.__ Haha.
Non c'est une realite, que tu ne comprends probablement pas. La France n'a tout simplement pas les moyens de gerer un OS totalement modifie. Redhat/Debian/… ne vont pas te filer de support vu que ton code est different, ce sera a toi de tout gerer: debuggage des problemes, maintenance du fork pour le garder a jour, etc…
Ca a un cout enorme. Personne ne s'amuse a forker de distrib et la gerer soi-meme a part la Chine, et encore ils ne l'utilisent que tres peu, ca en dit long.
On parle des failles de sécurité logicielle, pas logiques. Pour les failles logiques, un audit (dans les cas simples) et sinon (d'après le lien que je donne ci-dessus) carrément faire les couches crypto en interne est ce qu'il y a de mieux.
Ah ben oui, un audit ca trouve toutes les failles, suis-je bête… On aurait du nous le dire avant, on aurait regle le probleme !
Sinon, une faille logique ca peut pas etre une faille securite ? Grande nouvelle.
D'autant qu'avec un peu de chance, même l'analyse statique, surtout sur des gros paquets de code, ne prouvera rien du tout : prouver que deux programmes font la même chose est indécidable en général.
En general oui.
Quand c'est sense etre le meme soft par contre, avec le meme compilateur, c'est tres different. Tu pars du meme point, tu suis les chemins en parrallele, les differences sont sensees etre minimes (optimisations locales du compilo) et resolvables, quoi que ce soit d'autre est une alerte.
Au final c'est tres faisable vu que c'est un cas particulier.
Ah clair, on l'enleverait du code, comme ca ils se rendraient vite compte que le code compile a une difference claire avec le binaire qu'ils ont sur leur DVD.
Tant qu'on ne peut pas recompiler et exécuter et déployer les versions modifiées, ça ne sert à rien, et c'est plus pour rassurer l'homme politique qu'autre chose. La décision d'utiliser Windows n'est pas sur des critères techniques mais politiques.
Oui oui, c'est quand meme gonflant cette attitude de gars moyen de linuxfr qui a pour habitude de mieux s'y connaitre que tous les ingenieurs securite de la DGSE, du ministere de la defense, …
Recompiler, executer et deployer des versions modifiees ne sert pas a grand-chose quand le produit a une taille monstre tel qu'une distrib ou Windows.
Et une simple recompilation, qui modifie le placement en mémoire de certaines structures par exemple et la structure de certains bouts de code suffit à se protéger de bouts de code malveillants préparés à l'avance sur une version générique du logiciel.
Faux. Ca ne protége par exemple pas de failles dues au design (au hasard tout ce qui est crypto, tout ce qui du aux concepts tels qu'isolation de domaine web, …)
A mon avis, moins intéressant quand on cible une personne précise. Ca n'engage que moi.
Les serveurs ont pour sale manie d'avoir des admins compétents qui regardent plus le réseau.
Quand on cible une personne oui, quand on cible une entreprise (genre les societes de defense US qui visiblement ont des fans en Chine, ou EADS que les americains aiment bien) c'est autre chose.
Regarder le reseau ne va rien dire a l'enorme majorite des admins, les gars dont on parle ici ne sont pas des script kiddies, c'est du boulot de professionel. Tu regardes Stuxnet ou Flame qui ont servi a attaquer l'Iran, tu vois que c'est des attaques solides, difficiles a detecter, et qui sont plus solides a chaque iteration.
La SEULE methode qui est valide, c'est une analyse statique du binaire compile pour s'assurer que son comportement est identique au binaire de reference.
C'est quelque chose qui se fait dans le monde de la securite pour diverses raisons (analyse de nos patchs pour y trouver la faille qu'on a patche par exemple…)
Ensuite, comme tu l'as dit, cacher un bug subtil est extremement simple. Et ca, tout le monde y est sujet, nous, openbsd, Linux, Chrome, Firefox…
Il est assez simple pour la NSA de regarder nos offres d'emploi, proposer un gars fort qui se fera engager et voila. Idem pour les projets open-sources ou ils prennent un gars qui envoient de bons patchs pendant un petit moment histoire de mettre la confiance, et hop un jour il insere un petit bug…
Possible (j'ai pas regarde dernierement), mais le fait est que pendant longtemps, le principal compilo du monde open source a eu ce comportement. Qu'on ne vienne pas me dire que c'est un truc fantaisiste / bug ou autre.
Pour le reste, j'imagines que bcp de gros softs utilisent du profile guided optimization, donc faudrait aussi filer ces fichiers de profile pour arriver au meme resultat.
Les différences sont : - Taille critique Facebook, Google… ont été prié de filer des choses. pas l’agrégateur du coin.
Redhat c'est situe ou deja ? Ils ont combien de developpeurs qui posent du code dans le noyau et ailleurs ?
Mozilla et les developpeurs de Chrome, ceux qui developpent les principaux browsers pour Linux, tu sais les vecteurs principaux d'entree sur un systeme pour une attaque, ils sont situes ou eux aussi ?
- Si Linux sur le desktop devenait intéressant pour la NSA, plus de monde a potentiellement la possibilité de scanner.
a) Et les serveurs ca compte pas ? Et vu que le code entre les serveurs et desktops et en grosse partie le meme…
b) Le potentiel c'est sympa, mais on a tres bien vu ce que ca donne en pratique
-fno-guess-branch-probability Do not guess branch probabilities using a randomized model.
Sometimes gcc will opt to use a randomized model to guess branch probabilities, when none are available from either profiling feedback (-fprofile-arcs) or __builtin_expect. This means that different runs of the compiler on the same program may produce different object code.
Les gouvernements d'habitude ne s'interessent pas a employer un exploit sur 3 millions de machines, c'est pour des attaques tres ciblees (un activiste chinois, un terroriste X, etc…) et ils savent d'habitude tres bien quel systeme cibler. Bref, c'est pas un probleme pour eux.
Pour le spammer qui veut se faire un botnet c'est different.
a) 100% d'accord avec ca. Tu remarqueras qu'avec ce modele, Linux est exactement a la meme enseigne.
b) Les gouvernements rapportent de temps en temps des failles, et certaines fois les gardent pour eux…
En fait, la France, la Chine, la Russie, plein d'autres gouvernements et meme societes, ont acces aux sources.
Et pourtant, elles continuent toutes a utiliser ce Windows bourre de backdoors de la NSA.
Qu'est ce qu'ils sont stupides quand meme… Ils trouvent la backdoor, ok ils peuvent pas en parler a cause du NDA, mais ils continuent a utiliser l'OS !!!
Heureusement les gars de LinuxFr eux savent mieux qu'eux…
Mais quelle arrogance quand meme ici… c'est franchement dingue.
Le jour ou il sera possible de blinder 30 millions de lignes de code C/C++ tu me fais signe, j'ai un poste pour toi chez MS paye 10 millions par an(au moins). Et probablement un prix Nobel aussi.
Ton ordinateur est quantique, doté d'un générateur aléatoire pour générer les binaires ? Cet argument me paraît mauvais, avec le même code source et la même version du compilateur je vois mal comment tu pourrais obtenir des binaires différents. Normalement il va optimiser de la même manière car c'est le même code !
Gcc le fait, cf. ma reponse a Zenitram. Comme quoi il faudrait penser a reevaluer ces "on-dit" traditionels que tout le monde repete mais que personne ne s'amuse a verifier dans le monde reel.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 0.
Munich ne change pas le code, ils packagent des softs existants dans une distrib, c'est sacrement different.
La proposition plus haut qui vise a modifier le code pour qu'un exploit ne marche plus, c'est une tout autre paire de manche, car ca implique devoir faire le support/maintenance du fork soi-meme, integrer chaque patch a la main, faire la batterie de tests, avoir des gens pour repondre au support car IBM/Redhat ne le fera pas… Mandriva n'a jamais eu a faire cela a cette echelle, bcp des softs etaient juste pris en batch tel quels et simplement le packaging changeait, et leur support etait a des lieux de ce qui doit se faire pour un deployment a cette echelle.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 1.
Certains etats regardent des parties de code tres specifiques, ils se foutent pas mal de regarder le code de calc.exe ou le demineur.
[^] # Re: Windows backdoor
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 1.
Au milieu de tout ses flux illégitimes, comment repérer celui qui t'intéresse?
C'est assez simple en fait, c'est celui auquel ta machine repond… Parce que si ta machine se met a repondre aux scanners, t'as de sacres problemes…
Si tu veux vraiment etre serieux, tu repands une vingtaine/centaine de machines sur la planete, et tu fais ton analyse sur toutes ces machines. La probabilite d'avoir le meme genre d'acces a travers toute la plenete est tres, tres, faible, ca te permet d'isoler ce qui est vraiment suspect.
Inutile de dire evidemment que les entites ayant un interet la dedans n'ont pas attendu mon post sur linuxfr pour ausculter ce qui passe sur le reseau avec une machine de base.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 0.
Ben non, parce que les particuliers/gamins, ils ne trouvent pas leur failles en faisant des revues de code, ils le font en faisant du fuzzing dans quasiment tous les cas. Pas besoin des sources pour ca.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 0.
a) Il est possible de le compiler
b) Il est possible de le faire tourner
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 0.
Des failles logiques on en trouve encore aujourd'hui dans des produits sortis il y a des annees (cf. les problemes de serialization/deserialization de Java/.NET par exemple), un audit ne suffit de loin pas, parce qu'il faut d'abord savoir ce qu'on cherche.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 2.
Hahaha. Tu veux dire que Microsoft, qui gère un écosystème logiciel comparable à une distribution à lui tout seul, est aussi riche et puissant que tout l'État chinois ? En retirant, bien sûr, la division XBox et tutti quanti.
Moi je regardes la realite, aucun pays le fait.
Tu regardes nos comptes, tu vois que la division Windows fait des milliards de benefs, mais ils coutent aussi des milliards en R&D, et ils emploient des milliers de gens qualifies qu'il a bien fallu trouver. Nous on les trouve en allant embaucher partout sur la planete, si c'est un developpement securitaire et qu'il ne faut que des employes citoyens du pays, ben bonne chance pour les trouvers tes milliers d'ingenieurs qualifies, surtout avec les salaires francais…
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 3.
Tu veux dire que tu testes le programme sur quelques entrées seulement ??? Donc tu ne passes jamais sur les entrées particulières qui justement activent la branche dont le cas négatif n'est pas testé et qui sert à la faille ?
Analyse statique : tu construit une representation abstraite du code, et c'est ca que tu compares. Vu que les differences sont minimes, rarement cross-procedure(si il y en a tu poses une alerte et un humain ira voir car ca devrait etre rare), t'as pas besoin de garder des etats de bouts en bouts et d'avoir une explosion exponentielle des etats. Tu te retrouves frequemment a des points ou tu peux dire "ok tout est identique", et tu peux repartir de la en faisant abstraction de ce qui precede.
Si tu prends 2 implementations totalement differentes d'un probleme (disons le moteur HTML de IE et de Firefox), alors il est evident que c'est intraitable, mais ici on parle du meme code source compile par le meme compilateur, t'as au final 2 binaires tres tres proches, et tu utilises cet etat de fait pour mettre des contraintes fortes : un changement "consequent" est automatiquement une erreur, la ou dans le cas IE vs. Firefox ca pourrait etre le meme comportement avec 2 implementations totalement differentes et il faudrait une analyse globale des contraintes, ce qui est trop gros pour etre fait.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 2.
Sinon visiblement, d'après http://www.lepoint.fr/actualites-technologie-internet/2010-01-06/nicolas-sarkozy-a-teste-le-teorem-son-futur-telephone-crypte/1387/0/411021 quand il s'agit de réellement protéger un secret par ces gens-là, tout est fait from scratch en interne, jusqu'au composant (donc forcément le logiciel qui tourne dessus, et toutes les couches supérieures).
Demandes toi si l'armee Francaise utilises des PCs construit maison avec des OS fait maison pour toute son infrastructure. Il y a evidemment des cas specialises, mais ca n'est pas faisable a l'echelle du pays.
Recompiler, executer et deployer des versions modifiees ne sert pas a grand-chose quand le produit a une taille monstre tel qu'une distrib ou Windows.__
Haha.
Non c'est une realite, que tu ne comprends probablement pas. La France n'a tout simplement pas les moyens de gerer un OS totalement modifie. Redhat/Debian/… ne vont pas te filer de support vu que ton code est different, ce sera a toi de tout gerer: debuggage des problemes, maintenance du fork pour le garder a jour, etc…
Ca a un cout enorme. Personne ne s'amuse a forker de distrib et la gerer soi-meme a part la Chine, et encore ils ne l'utilisent que tres peu, ca en dit long.
On parle des failles de sécurité logicielle, pas logiques. Pour les failles logiques, un audit (dans les cas simples) et sinon (d'après le lien que je donne ci-dessus) carrément faire les couches crypto en interne est ce qu'il y a de mieux.
Ah ben oui, un audit ca trouve toutes les failles, suis-je bête… On aurait du nous le dire avant, on aurait regle le probleme !
Sinon, une faille logique ca peut pas etre une faille securite ? Grande nouvelle.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -1.
D'autant qu'avec un peu de chance, même l'analyse statique, surtout sur des gros paquets de code, ne prouvera rien du tout : prouver que deux programmes font la même chose est indécidable en général.
En general oui.
Quand c'est sense etre le meme soft par contre, avec le meme compilateur, c'est tres different. Tu pars du meme point, tu suis les chemins en parrallele, les differences sont sensees etre minimes (optimisations locales du compilo) et resolvables, quoi que ce soit d'autre est une alerte.
Au final c'est tres faisable vu que c'est un cas particulier.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 1.
Ca n'arriverait pas sauf bug du compilo, car quoi qu'il genere, le resultat du code execute doit etre garanti identique.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 2.
Leur reputation ? Les bugs securite trouves jusqu'a maintenant on detruit leur reputation ?
Tu sais si un de ces bugs etait une backdoor ou juste une erreur ? Moi non
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 2.
Ah clair, on l'enleverait du code, comme ca ils se rendraient vite compte que le code compile a une difference claire avec le binaire qu'ils ont sur leur DVD.
Que vous etes malins quand meme…
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -1.
Tant qu'on ne peut pas recompiler et exécuter et déployer les versions modifiées, ça ne sert à rien, et c'est plus pour rassurer l'homme politique qu'autre chose. La décision d'utiliser Windows n'est pas sur des critères techniques mais politiques.
Oui oui, c'est quand meme gonflant cette attitude de gars moyen de linuxfr qui a pour habitude de mieux s'y connaitre que tous les ingenieurs securite de la DGSE, du ministere de la defense, …
Recompiler, executer et deployer des versions modifiees ne sert pas a grand-chose quand le produit a une taille monstre tel qu'une distrib ou Windows.
Et une simple recompilation, qui modifie le placement en mémoire de certaines structures par exemple et la structure de certains bouts de code suffit à se protéger de bouts de code malveillants préparés à l'avance sur une version générique du logiciel.
Faux. Ca ne protége par exemple pas de failles dues au design (au hasard tout ce qui est crypto, tout ce qui du aux concepts tels qu'isolation de domaine web, …)
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 3.
A mon avis, moins intéressant quand on cible une personne précise. Ca n'engage que moi.
Les serveurs ont pour sale manie d'avoir des admins compétents qui regardent plus le réseau.
Quand on cible une personne oui, quand on cible une entreprise (genre les societes de defense US qui visiblement ont des fans en Chine, ou EADS que les americains aiment bien) c'est autre chose.
Regarder le reseau ne va rien dire a l'enorme majorite des admins, les gars dont on parle ici ne sont pas des script kiddies, c'est du boulot de professionel. Tu regardes Stuxnet ou Flame qui ont servi a attaquer l'Iran, tu vois que c'est des attaques solides, difficiles a detecter, et qui sont plus solides a chaque iteration.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 3.
La SEULE methode qui est valide, c'est une analyse statique du binaire compile pour s'assurer que son comportement est identique au binaire de reference.
C'est quelque chose qui se fait dans le monde de la securite pour diverses raisons (analyse de nos patchs pour y trouver la faille qu'on a patche par exemple…)
Ensuite, comme tu l'as dit, cacher un bug subtil est extremement simple. Et ca, tout le monde y est sujet, nous, openbsd, Linux, Chrome, Firefox…
Il est assez simple pour la NSA de regarder nos offres d'emploi, proposer un gars fort qui se fera engager et voila. Idem pour les projets open-sources ou ils prennent un gars qui envoient de bons patchs pendant un petit moment histoire de mettre la confiance, et hop un jour il insere un petit bug…
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -9.
Informations techniques != code source
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 2.
Possible (j'ai pas regarde dernierement), mais le fait est que pendant longtemps, le principal compilo du monde open source a eu ce comportement. Qu'on ne vienne pas me dire que c'est un truc fantaisiste / bug ou autre.
Pour le reste, j'imagines que bcp de gros softs utilisent du profile guided optimization, donc faudrait aussi filer ces fichiers de profile pour arriver au meme resultat.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 3.
Les différences sont :
- Taille critique Facebook, Google… ont été prié de filer des choses. pas l’agrégateur du coin.
Redhat c'est situe ou deja ? Ils ont combien de developpeurs qui posent du code dans le noyau et ailleurs ?
Mozilla et les developpeurs de Chrome, ceux qui developpent les principaux browsers pour Linux, tu sais les vecteurs principaux d'entree sur un systeme pour une attaque, ils sont situes ou eux aussi ?
- Si Linux sur le desktop devenait intéressant pour la NSA, plus de monde a potentiellement la possibilité de scanner.
a) Et les serveurs ca compte pas ? Et vu que le code entre les serveurs et desktops et en grosse partie le meme…
b) Le potentiel c'est sympa, mais on a tres bien vu ce que ca donne en pratique
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 4.
C'etait le cas a l'epoque de gcc 3.x : http://gcc.gnu.org/onlinedocs/gcc-3.2/gcc/Optimize-Options.html
-fno-guess-branch-probability Do not guess branch probabilities using a randomized model.
Sometimes gcc will opt to use a randomized model to guess branch probabilities, when none are available from either profiling feedback (-fprofile-arcs) or __builtin_expect. This means that different runs of the compiler on the same program may produce different object code.
[^] # Re: 0 day
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 3.
Les gouvernements d'habitude ne s'interessent pas a employer un exploit sur 3 millions de machines, c'est pour des attaques tres ciblees (un activiste chinois, un terroriste X, etc…) et ils savent d'habitude tres bien quel systeme cibler. Bref, c'est pas un probleme pour eux.
Pour le spammer qui veut se faire un botnet c'est different.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 1.
a) 100% d'accord avec ca. Tu remarqueras qu'avec ce modele, Linux est exactement a la meme enseigne.
b) Les gouvernements rapportent de temps en temps des failles, et certaines fois les gardent pour eux…
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 1.
C'est drole.
En fait, la France, la Chine, la Russie, plein d'autres gouvernements et meme societes, ont acces aux sources.
Et pourtant, elles continuent toutes a utiliser ce Windows bourre de backdoors de la NSA.
Qu'est ce qu'ils sont stupides quand meme… Ils trouvent la backdoor, ok ils peuvent pas en parler a cause du NDA, mais ils continuent a utiliser l'OS !!!
Heureusement les gars de LinuxFr eux savent mieux qu'eux…
Mais quelle arrogance quand meme ici… c'est franchement dingue.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à -1.
Le jour ou il sera possible de blinder 30 millions de lignes de code C/C++ tu me fais signe, j'ai un poste pour toi chez MS paye 10 millions par an(au moins). Et probablement un prix Nobel aussi.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 1.
Ton ordinateur est quantique, doté d'un générateur aléatoire pour générer les binaires ?
Cet argument me paraît mauvais, avec le même code source et la même version du compilateur je vois mal comment tu pourrais obtenir des binaires différents. Normalement il va optimiser de la même manière car c'est le même code !
Gcc le fait, cf. ma reponse a Zenitram. Comme quoi il faudrait penser a reevaluer ces "on-dit" traditionels que tout le monde repete mais que personne ne s'amuse a verifier dans le monde reel.