<mode vieux con atteint de daronite aigu level=board/chauvounet>
```En vrai, ça me choque de plus en plus les fautes d'orthographe. La SF est un genre que j'aime beaucoup, j'aime aussi beaucoup l'image de couverture, mais le fait de voir tes posts avec des fautes d'orthographe m'ont refroidi. Je crains sauter au plafond toutes les 10 lignes pour un accord hasardeux, une graphie surprenante ou une typographie négligée.
Sur les posts écrits à l'arrache dans un forum, ça passe encore (et encore des fois quand ça nuit grandement au sens, c'est pas simple de s'accrocher), mais un auteur de bouquin c'est contrariant :(
```> J'ai même plusieurs phases de relecture purement orthographique.
je vais peut-être aller le lire quand même du coup :)
Vous vous mettez des contraintes, gardez ces contraintes pour vous, ça n'en fait pas des généralités, ce sont des limites que vous acceptez et d'autres vivent sans ces limites en choisissant des banques qui ne font pas chier.
on peut étendre ce raisonnement à plein de trucs. Genre: "passez tous sous windows et faites pas chier, vos généralités à deux balles on s'en fiche, de toute façon, le jour ou y'aura plus que windows, vous passerez dessous et c'est qu'une excuse parmi d'autres pour ne pas assumer avoir juste du mal à suivre le mouvement etc.."
bref, des contraintes il y en a, j'ai vécu (très longtemps) avec des chèques uniquement (une carte bleue ça coûte des sous tous les mois et quand tu es près de tes sous, ça compte. si si). Des gens ont pris l'usage de X ou Y, et y trouvent leur avantage.
Et puis le niveau des arguments o
moi je peux faire ça avec la solution X et pas faire autre truc
Perso j'ai fait autre truc avec Y et "chez moi ça marche (c)" parceque j'ai pas besoin de tel truc
Pis bon en changeant 2-3 mots:
"Surtout pour le chèque où c'est très franco-français, sans se demander comment les autres vivent sans."
Surtout pour linux ou c'est très geek ado boutonneux, sans se demander comment les autres vivent sans.
--> le niveau de l'argumentaire
tiens, faudrait déterrer les commentaires des gens qui hurlaient sur systemd permettant pas X ou Y et voir comment ils vivent de nos jours avec systemd
je m'abstiens très fort de ne pas répondre en vrai.
La certification de l’âge doit passer par une «attestation numérique» dont les détails techniques ne sont pas encore finalisés.
Genre:
[ ] J'ai plus de 18 ans
[ ] J'ai moins de 18 ans
Ah, après lecture, c'est évoqué dans l'article: "Un bouton «je suis majeur» n'est pas suffisant".
C'est toujours un problème technique. J'ai entendu l'histoire du permis de conduire. Il est à peu près certain qu'un mineur ne sait pas où est rangé le permis de conduire de ses parents, que tous les adultes ont un permis de conduire, ou encore que les permis de conduire sont bien stockés de manière sécurisée chez le fournisseur d'images dénudées.
Blague à part, ChatGPT trust la première page d'hackernews depuis 2 mois maintenant et donc repris par l'ensemble de la presse française.
oui, et j'y ai surtout lu beaucoup de fantasmes, des bêtises sans nom, et des banalités pour le plus intéressant.
Tu laggues un peu sans compter qu'à force ça lasse
alors oui, cet article je l'ai laissé traîner longtemps, il a eu plusieurs versions très différentes. Fallait-il mettre la question avant, fallait il montrer 2 articles? Fallait il le faire (selon toi non).
Après l'avoir utilisé pendant pas mal de temps (presque depuis le début), je voulais montrer que finalement, il s'en sort pas trop mal à la création de texte un peu neutre et vide. L'écriture est pas mal, il fait des petites fautes. La démonstration par l'exemple semblait le meilleur moyen.
Après, ouais ça lasse. De toute façon, chatgpt devient inutilisable, ça fonctionne un peu le matin (heure française) l'AM, tous les américains doivent s'y connecter et il est juste indisponible.
à part l'adresse email, la longue chaine de caractères semble etre un mdp chiffré. N'y connaissant rien : est ce que celui ci est fort? a t-il déjà été déchiffré?
Alors est-il chiffré? La réponse est non. Il est haché.
Est-ce que celui-ci est fort? Non, il s'agit d'un hash de type SHA1 qui se bruteforce très bien. Est-ce que ton prestataire a enrobé le hachage avec un sel? non plus, donc le prestataire est plutôt mauvais.
A t-il déjà été déchiffré? Oui, il s'agit même de "clearmind". (je le donne ici, il m'a fallu moins d'une seconde pour le casser, donc donner ton hash ou ton clair, c'est la même chose).
mais $ù!:, quel est le mdp qu'ils ont piraté?
cf ci-dessus
à priori il existe certaines formes de chiffrement faibles qui auraient été utilisées et seraient facilement déchiffrables.
alors non, il existe certaines formes de hachage (sans sel, sans itérations) qui sont un peu faible face à une recherche par force brute. Ton mot de passe étant un mot anglais, il a fallu un temps très court pour parcourir tout le dico, calculer les sha1 et les comparer à a4a9d969bc4b2b144783d71368d4a4be55995397
L'avez vous remarqué? Ce n'est pas moi qui ait écrit cet article. J'ai posé ça comme requête à chatgpt:
"A la manière de linuxfr, peux tu écrire un article de taille moyenne vantant les usages de chatgpt, et en terminant sur une note plus sombre en évoquant les problèmes d'écriture automatique d'article à l'aide de chatgpt?"
Je conseille lynis, c'est un outil assez bien fichu qui te donnera une visu à un instant T de l'état de tes machines. Ca remplace pas un suivi au quotidien, mais ça peut être une bonne base de départ
Quand j'étais à Microsoft, c'était notre boulot journalier
"notre" ? Tu étais dans quelle équipe? Ca devait être cool comme job (0 ironie ici).
De même que rester exposés à des failles car ils ne sont même pas au courant qu'une faille existait et qu'ils n'ont dés lors pas patché, c'est un vrai gros problème pour eux.
je vais me faire l'avocat du diable, mais pousser des correctifs le 2e mardi du mois, c'est quelque fois pénible aussi. "ooops le bug, là, il est pas complètement patché, va falloir attendre le mois prochain, allez salut"
mais cela ne change rien au fait qu'un bug de securité, c'est à dire un bug qui est exploitable hein sinon c'est pas un problème de sécurité
Et c'est là ou ça devient subtil. "qui est exploitable", peux tu me définir cette notion?
Parceque typiquement, aujourd'hui qu'est ce qui te permet de dire qu'un bug va être exploitable ou pas? Genre un overflow quelconque. Souvent, c'est "bah ça dépend, on sait pas trop, à priori y'a des défenses, ou ptet le compilo qu'a sanitizé l'array, mais faut voir, et y'a de l'aslr donc si y'a pas de leak ça devrait être inexploitable, sauf si etc etc…". J'ai vu des vulns totalement inexploitables (le compilo qui ajoute un abort() si tu débordes), du coup, on dit que c'est pas un bug de sécurité puisqu'inexploitable? mais du coup, faut tagger la vuln en sécu ou pas? Et si quelqu'un compile différemment?
J'ai déjà vu pas mal de bulletins microsoft qui t'annoncent un bug avec exploitability index très bas, en mode, "balek frr, va pas arrêter ta prod pour ça, c'est clairement inexploitable" puis 15j après un sploit public sort, et là "oulala, patchez vite, on remonte l'index".
quelque chose qui doit être clairement marqué, histoire que les gens puissent évaluer si cela les concerne, si ils doivent patcher vite, etc…
si on reprend l'idée des caméras USB, ouais t'as intérêt d'être vite mis au courant, mais c'est être mis au courant des bugs au sens large.
Un bug sécurité n'est pas juste un bug, et ne pas clarifier que ces bugs ont un impact sécurité est un énorme problème.
donc un bug de sécurité a un impact … de sécurité? C'est bien ça?
Un bug qui t'empêche disons de connecter une caméra USB moi je ne peux rien en faire pour détruire ta vie ou tes finances.
Petit point de vue de la lorgnette. Imaginons que je monte un service de vidéosurveillance. Ton bug de caméra USB va détruire mes finances. A l'opposé, ton bug CVSS maxi plus bestof 11.0 qui permet de leak 2 bytes de la mémoire kernel, je m'en contrefiche. Ton bug ksmbd? mouhahaha, mais qui fait ça, en vrai? Par contre, m'expliquer qu'à cause de spectre, je vais perdre 30% de perfs, ça impacte fortement mes achats de serveurs. Et devoir subir un audit ou un zozo reprend la liste des CVE critiques genre "une socket mal fermée peut dans certains cas provoquer un leak de fd" et m'empêche d'avoir une certification car j'ai pas redémarré le datacenter suite à la dernière vuln alakon, bah ça impacte les finances.
Un bug qui me donne accès a distance a ta machine par contre, cela me permet de choper tout ce que tu fais sur ta machine : tes photos en string léopard, les mots de passe de ta banque, tes clefs Bitcoin, etc..
oui, alors ce genre de bug, c'est pas tous les bugs taggés "sécurité" qui permettent de faire ça, et c'est un problème (de taxonomie).
Et pour mes photos en string léopard, j'en suis très fier et je les poste publiquement, donc au pire si le pirate me les vole, ça me fera un backup de plus :D [et si le pirate voit mon niveau de finance, ça l'attendrira et il me donnera du fric devant le vide abyssal demon compte en banque]
Un bug sécurité est très différent et c'est bien pour cela que le monde de la sécurité trouve l'approche des gens du noyau complètement stupide.
Parcequ'ils ont le nez dans le guidon de la sécuritay! sécuritay!
99% des bugs sécurité valent pas un fifrelin. Publie une chaîne complète qui bypasse l'intégralité des défenses, et là, je veux bien en reparler. Et comme 99% des bugs sécu, c'est le fait des gens qui ont un ego démesuré, qui voudraient que le monde s'arrête pour prendre le temps de les flatter (et corriger le bug), ouais je crois que les devs kernels ont pris la bonne décision: un bug est un bug, et on le corrige. Pour le security circus, les posts de blogs, les name dropping, les petites glorioles, les "c'est la fin du monde", c'est pas par là.
"And yet, surveys have shown that the Linux kernel (and much of the Linux software stack overall) is patched for security holes a magnitude faster than any other vendor."
Ceci dit, oui, le point de vue de Linus est intéressant. Un bug est un bug et doit être corrigé. Ajouter des labels "CVE" ou "securité" ne fait qu'ajouter des problèmes, flatte l'égo des découvreurs de faille et ne résoud rien. Donc un bug == un bug, et c'est tout.
Par contre, ta banque, elle est bien sécurisée? Et ton médecin?
et c'est une raison de de pas sécuriser notre infra perso ? parce qu'il y a peu être, potentiellement une faille quelque part on dois rien sécuriser ?
ah non non non, c'est juste en réaction à son message qui dit :
"je suis sous linux" == "mes données personnelles, mes contacts sont bien protégés"
autant sécuriser chez soi c'est bien, mais comme nos données personnelles sont éparpillées chez des gens qui en prennent moins soin que nous, c'est dur de dire qu'elles sont protégées :-/
Depuis 22 ans, tous mes ordinateurs sont sous Linux.
BIOS y compris? firmware de tes cartes réseaux? De ton disque dur? Si oui, chapeau.
Je n'installe que les applications disponibles dans le dépôt
quel dépôt? Distro? npm? pypy? github? il n'a pas été attaqué?
et aucun autre appareil n'est branché sur mon réseau.
Même pas une box internet?
Quasiment tout est donc Libre ou Open Source, transparent,
bravo.
j'en ai la maîtrise et mes données sont sécurisées (fichiers sensibles chiffrés, sauvegardes…). Je peux m'en servir sereinement pour accéder à mes comptes bancaires ou médicaux et mes données personnelles, mes contacts sont bien protégés.
Par contre, ta banque, elle est bien sécurisée? Et ton médecin?
J'ai donc demandé un ordiphone et un abonnement avec un forfait pour les données pour y connecter l'ordinateur du travail pendant le télétravail.
Pourquoi tu ne segmentes pas ton réseau?
Si une entreprise se fait infiltrer (ce qui arrive sans cesse car elles sont toutes sous Windows)
Alors… Si tu crois qu'être sous linux t'empêche de te faire infiltrer, I have some bad news for you kid.
Posté par octane .
En réponse au journal FranceConnect+ et vous?.
Évalué à 2.
Dernière modification le 21 novembre 2022 à 14:10.
Y a aussi ce que la faille permet de faire.
Bah "RCE", ça veut dire "remote command execution", donc RCE un sendmail tu vas pouvoir lire tous les messages d'une organisation. Tu vas pas cramer 200000$ pour envoyer du spam …
Un router: 10000… Et un routeur voit passer tout ton trafic ce qui permet à un attaquant de faire plein de trucs intéressants.
Une faille pegasus, 2millions5, ok. Par contre, juste un contournement de kaslr sur smartphone -> 100000$. Et 100k, pour avoir … rien (kaslr quoi, même pas d'exec de code). Contournement de kaslr sur linux -> 0, ça n'est même pas dans la liste.
Bref, ceci pour dire que je suis tombé de haut et sur cette liste l'autre jour. Le noyau linux sécurisé tout ça, bin en fait quand on voit le prix d’achat des failles, ça fait réfléchir. Je pense que eux ont estimé le vrai coût d'une faille, et que plus c'est compliqué, plus ça vaut cher. (et je parle pas d'un DOS ou de spam, je parle d'une vraie faille de sécurité).
Il est pas forcément simple d'évaluer la sécurité d'un système. Je propose qu'on aille se renseigner sur le dark web (haha).
Non, sans rire, d'après vous, quelle est la valeur d'une vulnérabilité sur un de ces systèmes? Plus le système est moisi (ou vulnérable), plus le prix d'achat sera bas.
Ca tombe bien, il y a un site web qui propose d'acheter des failles. Et les prix sont surprenants: hxxps://zerodium[.]com/program.html (je veux pas leur faire de la pub)
Pour une élévation de privilèges sous linux : 50000$
Pour une exécution de code distante sous sendmail/postfix/exim: 200000$
dit autrement le kernel linux est moins bien codé que sendmail…
Allons un peu plus loin, quel est le prix d'achat d'une vulnérabilité sous android? 2millions 500000$
je remet le coût d'achat d'une faille sous linux: 50000$
Après, on peut discuter des heures comme quoi on utilise du LL et qu'on fait apt-get update && apt-get upgrade toutes les 25 minutes, le fait est que ça semble plus difficile de rooter un android qu'un linux. (Disclaimer: j'y connais rien).
le niveau de sécurité général.
La sécu d'un PC fixe est lamentable par rapport à la sécu d'un téléphone. c'est pour ça que les banques filent des apps smartphones et pas des applis lourdes sur PC.
Sauf que téléphone rooté et téléphone dont je suis admin, c'est synonyme. Considérer un système rooté comme moins sûr, c'est considérer que le fait que j'en sois administrateur le rend moins sûr.
alors, en fait non.
Le système de permission fait qu'1 appli == 1 uid.
rooter un téléphone, ça veut dire qu'il existe un binaire "su" qui fait passer un uid quelconque à un uid root.
Dit autrement, une appli quelconque peut devenir root, et accède à toutes les autres applis du coup.
Maintenant, je suis dev d'une appli, Android me garantit que le schéma de sécurité empêche la fuite de données d'une appli à une autre. Grosso modo, tu installes 'grosseAppliPourrie.apk', bin elle pourra jamais interférer avec 'maJolieAppliBancaire.apk'. Du coup, le dev il est content, il fait attention à la sécurité des clients de son appli, il est heureux.
Sauf que si un binaire "su" permet à grosseAppliPourrie de défoncer maJolieAppliBancaire, ça plait pas au dev. Donc s'il détecte un téléphone rooté, l'appli maJolieAppliBancaire refuse de s'installer. Tout ça pour la sécu des gens.
Le fait que tu sois admin ou pas, c'est finalement très secondaire.
Sauf erreur de ma art, c'est du bruteforce via des boitiers spécifiques qui vont simuler le fait d'être un clavier et qui vont relancé le tel au bon moment.
une société qui a pignon sur rue (Cellebrite) propose de déchiffrer les téléphones. c'est pas du bruteforce, c'est des failles de sécurité (bah oui, scoop, il y a des vulnérabilités dans les téléphones).
Donc bon. En gros, c'est soit tu files ton code, soit on met ton téléphone dans la machine, mais la "loi" aura tes infos.
C'est quand même assez souvent des questions de pognon.
Voyons voir, quelles pourrait être les raisons ?
- c'est utile !
- ça sert à une large communauté !
- c'est fun !
Déjà, redécouvrir le plaisir de jouer sur un bon vieux jeu, plonger dans les origines du gaming, c'est une expérience extraordinaire !
alors, c'est une noble motivation :D
ceci dit, je pense vraiment que compiler un vieux truc sur une distrib récente, c'est chercher plein d'ennuis. Surtout que tu changes de CPU…. Rien que compiler des softs prévu pour intel 32 bits en 64 bits ça peut être tristouille, je te recommande plutôt de tout faire en émulation:
un KVM est raisonnablement rapide, tu installes une debian d'époque, et tu joues sur la distrib d'époque.
Mais pourquoi? en vrai, pourquoi vouloir recompiler wesnoth en version 1.2 ?
La meilleure pour l'instant est je trouve de compiler le bazar avec un g++ d'époque (soit fin 2007 début 2008).
bin, euh, oui. Tu compiles avec les libs d'époque et les compilos d'époque.
Mais en vrai, je comprends pas bien le but du truc???
Ensuite, si tu veux vraiment faire ce genre de choses, tu prends une distro linux qui date de l'époque du logiciel (genre une debian de 2007), tu l'installes sans mettre à jour, tu compiles le bazar.
La logique, c'est que tu as du fric, tu es puissant, tu veux que tout se plie à ta volonté. Il y a pas de finesse ou d'intelligence. Tu payes -> tu as. Les journalistes sont pénibles, tu les arroses à la sulfateuse. Au mieux ça marche, au pire ça servira d'exemple au suivant.
Ca se verra? Et puis? Ca changera quoi?
ça se verrait, les lecteurs hurleraient et ça serait un bad buzz coupant leur rémunération donc la vie des entreprises derrière encore plus sûrement qu'avec le procès
Euh… Tu peux me citer un bad buzz récent qui a coupé leur rémunération? Avisa sentait déjà le souffre. Ca a changé quelque chose pour eux?
L'idée est un suicide sans le dire?
D'un côté tu as le "camp du bien" qui veut que la vérité jaillisse de la manière la plus éclatante, de l'autre tu as des intérêts financiers énormes qui s'en battent les steaks mais sont pétés de thunes. Donc l'idée, c'est de montrer que le fric gagne. Il n'y a pas de règles.
On est dans un monde ou des ministres accusés peuvent être en poste pépouzes, ou des sociétés peuvent fracasser la planète, et des hommes d'affaire s'enrichir sur la pauvreté humaine. Un journal a l'outrecuidance de ne pas les présenter comme bienfaiteurs de l'humanité en leur baisant les pieds? Bah procès, menaces, et autres méchancetés. "Mauvaise presse" ? Mais quand ils ont fait autant d'horreurs, tu crois vraiment qu'ils ont peur d'une mauvaise presse? C'est comme si tu demandais à Al Capone de moins fumer le cigare car ça risque de nuire à son image. Je pense qu'il s'écroulerait de rire. Bah là, c'est pareil.
[^] # Re: Et en vrai livre ?
Posté par octane . En réponse au journal Décohérence -- un roman en CC By-SA. Évalué à 2.
```> J'ai même plusieurs phases de relecture purement orthographique.
je vais peut-être aller le lire quand même du coup :)
[^] # Re: moi j'aime pas l'argent liquide
Posté par octane . En réponse au lien Le Mouvement de liberté suisse demande à sanctuariser l’argent liquide - letemps.ch. Évalué à 7.
on peut étendre ce raisonnement à plein de trucs. Genre: "passez tous sous windows et faites pas chier, vos généralités à deux balles on s'en fiche, de toute façon, le jour ou y'aura plus que windows, vous passerez dessous et c'est qu'une excuse parmi d'autres pour ne pas assumer avoir juste du mal à suivre le mouvement etc.."
bref, des contraintes il y en a, j'ai vécu (très longtemps) avec des chèques uniquement (une carte bleue ça coûte des sous tous les mois et quand tu es près de tes sous, ça compte. si si). Des gens ont pris l'usage de X ou Y, et y trouvent leur avantage.
Et puis le niveau des arguments o
Pis bon en changeant 2-3 mots:
Surtout pour linux ou c'est très geek ado boutonneux, sans se demander comment les autres vivent sans.
--> le niveau de l'argumentaire
je m'abstiens très fort de ne pas répondre en vrai.
[^] # Re: Wait and see
Posté par octane . En réponse au lien La France prévoit de bloquer l'accès aux sites pornographiques pour les mineurs - letemps.ch. Évalué à 8.
Genre:
[ ] J'ai plus de 18 ans
[ ] J'ai moins de 18 ans
Ah, après lecture, c'est évoqué dans l'article: "Un bouton «je suis majeur» n'est pas suffisant".
C'est toujours un problème technique. J'ai entendu l'histoire du permis de conduire. Il est à peu près certain qu'un mineur ne sait pas où est rangé le permis de conduire de ses parents, que tous les adultes ont un permis de conduire, ou encore que les permis de conduire sont bien stockés de manière sécurisée chez le fournisseur d'images dénudées.
[^] # Re: Ce qu'il y a bien avec les avis
Posté par octane . En réponse au journal Mon avis sur chatGPT. Évalué à 3.
oui, et j'y ai surtout lu beaucoup de fantasmes, des bêtises sans nom, et des banalités pour le plus intéressant.
alors oui, cet article je l'ai laissé traîner longtemps, il a eu plusieurs versions très différentes. Fallait-il mettre la question avant, fallait il montrer 2 articles? Fallait il le faire (selon toi non).
Après l'avoir utilisé pendant pas mal de temps (presque depuis le début), je voulais montrer que finalement, il s'en sort pas trop mal à la création de texte un peu neutre et vide. L'écriture est pas mal, il fait des petites fautes. La démonstration par l'exemple semblait le meilleur moyen.
Après, ouais ça lasse. De toute façon, chatgpt devient inutilisable, ça fonctionne un peu le matin (heure française) l'AM, tous les américains doivent s'y connecter et il est juste indisponible.
# mot de passe faible
Posté par octane . En réponse au message cybersécu, fuite : quid du mdp? (question noob). Évalué à 3.
Alors est-il chiffré? La réponse est non. Il est haché.
Est-ce que celui-ci est fort? Non, il s'agit d'un hash de type SHA1 qui se bruteforce très bien. Est-ce que ton prestataire a enrobé le hachage avec un sel? non plus, donc le prestataire est plutôt mauvais.
A t-il déjà été déchiffré? Oui, il s'agit même de "clearmind". (je le donne ici, il m'a fallu moins d'une seconde pour le casser, donc donner ton hash ou ton clair, c'est la même chose).
cf ci-dessus
alors non, il existe certaines formes de hachage (sans sel, sans itérations) qui sont un peu faible face à une recherche par force brute. Ton mot de passe étant un mot anglais, il a fallu un temps très court pour parcourir tout le dico, calculer les sha1 et les comparer à a4a9d969bc4b2b144783d71368d4a4be55995397
# mouais bof
Posté par octane . En réponse au journal Mon avis sur chatGPT. Évalué à 9.
L'avez vous remarqué? Ce n'est pas moi qui ait écrit cet article. J'ai posé ça comme requête à chatgpt:
"A la manière de linuxfr, peux tu écrire un article de taille moyenne vantant les usages de chatgpt, et en terminant sur une note plus sombre en évoquant les problèmes d'écriture automatique d'article à l'aide de chatgpt?"
# Préaudit
Posté par octane . En réponse au message Respect d'une PSSI. Évalué à 6.
Je conseille lynis, c'est un outil assez bien fichu qui te donnera une visu à un instant T de l'état de tes machines. Ca remplace pas un suivi au quotidien, mais ça peut être une bonne base de départ
https://cisofy.com/lynis/
[^] # Re: N'importe quoi...
Posté par octane . En réponse au journal L'entreprise est-elle responsable des fuites de données dans le cadre du télétravail ?. Évalué à 3.
"notre" ? Tu étais dans quelle équipe? Ca devait être cool comme job (0 ironie ici).
je vais me faire l'avocat du diable, mais pousser des correctifs le 2e mardi du mois, c'est quelque fois pénible aussi. "ooops le bug, là, il est pas complètement patché, va falloir attendre le mois prochain, allez salut"
[^] # Re: N'importe quoi...
Posté par octane . En réponse au journal L'entreprise est-elle responsable des fuites de données dans le cadre du télétravail ?. Évalué à 3.
Et c'est là ou ça devient subtil. "qui est exploitable", peux tu me définir cette notion?
Parceque typiquement, aujourd'hui qu'est ce qui te permet de dire qu'un bug va être exploitable ou pas? Genre un overflow quelconque. Souvent, c'est "bah ça dépend, on sait pas trop, à priori y'a des défenses, ou ptet le compilo qu'a sanitizé l'array, mais faut voir, et y'a de l'aslr donc si y'a pas de leak ça devrait être inexploitable, sauf si etc etc…". J'ai vu des vulns totalement inexploitables (le compilo qui ajoute un abort() si tu débordes), du coup, on dit que c'est pas un bug de sécurité puisqu'inexploitable? mais du coup, faut tagger la vuln en sécu ou pas? Et si quelqu'un compile différemment?
J'ai déjà vu pas mal de bulletins microsoft qui t'annoncent un bug avec exploitability index très bas, en mode, "balek frr, va pas arrêter ta prod pour ça, c'est clairement inexploitable" puis 15j après un sploit public sort, et là "oulala, patchez vite, on remonte l'index".
si on reprend l'idée des caméras USB, ouais t'as intérêt d'être vite mis au courant, mais c'est être mis au courant des bugs au sens large.
[^] # Re: N'importe quoi...
Posté par octane . En réponse au journal L'entreprise est-elle responsable des fuites de données dans le cadre du télétravail ?. Évalué à 6.
donc un bug de sécurité a un impact … de sécurité? C'est bien ça?
Petit point de vue de la lorgnette. Imaginons que je monte un service de vidéosurveillance. Ton bug de caméra USB va détruire mes finances. A l'opposé, ton bug CVSS maxi plus bestof 11.0 qui permet de leak 2 bytes de la mémoire kernel, je m'en contrefiche. Ton bug ksmbd? mouhahaha, mais qui fait ça, en vrai? Par contre, m'expliquer qu'à cause de spectre, je vais perdre 30% de perfs, ça impacte fortement mes achats de serveurs. Et devoir subir un audit ou un zozo reprend la liste des CVE critiques genre "une socket mal fermée peut dans certains cas provoquer un leak de fd" et m'empêche d'avoir une certification car j'ai pas redémarré le datacenter suite à la dernière vuln alakon, bah ça impacte les finances.
oui, alors ce genre de bug, c'est pas tous les bugs taggés "sécurité" qui permettent de faire ça, et c'est un problème (de taxonomie).
Et pour mes photos en string léopard, j'en suis très fier et je les poste publiquement, donc au pire si le pirate me les vole, ça me fera un backup de plus :D [et si le pirate voit mon niveau de finance, ça l'attendrira et il me donnera du fric devant le vide abyssal demon compte en banque]
Parcequ'ils ont le nez dans le guidon de la sécuritay! sécuritay!
99% des bugs sécurité valent pas un fifrelin. Publie une chaîne complète qui bypasse l'intégralité des défenses, et là, je veux bien en reparler. Et comme 99% des bugs sécu, c'est le fait des gens qui ont un ego démesuré, qui voudraient que le monde s'arrête pour prendre le temps de les flatter (et corriger le bug), ouais je crois que les devs kernels ont pris la bonne décision: un bug est un bug, et on le corrige. Pour le security circus, les posts de blogs, les name dropping, les petites glorioles, les "c'est la fin du monde", c'est pas par là.
[^] # Re: DMZ
Posté par octane . En réponse au journal L'entreprise est-elle responsable des fuites de données dans le cadre du télétravail ?. Évalué à 7.
et il y a eu dernièrement la compétition du pwn2own, qui comporte pas mal de routeurs. Ils se sont tous fait défoncer aussi bien LAN que WAN.
[^] # Re: N'importe quoi...
Posté par octane . En réponse au journal L'entreprise est-elle responsable des fuites de données dans le cadre du télétravail ?. Évalué à 4.
et on peut citer également un des tweet qui suit:
"And yet, surveys have shown that the Linux kernel (and much of the Linux software stack overall) is patched for security holes a magnitude faster than any other vendor."
Ceci dit, oui, le point de vue de Linus est intéressant. Un bug est un bug et doit être corrigé. Ajouter des labels "CVE" ou "securité" ne fait qu'ajouter des problèmes, flatte l'égo des découvreurs de faille et ne résoud rien. Donc un bug == un bug, et c'est tout.
[^] # Re: bin...
Posté par octane . En réponse au journal L'entreprise est-elle responsable des fuites de données dans le cadre du télétravail ?. Évalué à 5.
ah non non non, c'est juste en réaction à son message qui dit :
"je suis sous linux" == "mes données personnelles, mes contacts sont bien protégés"
autant sécuriser chez soi c'est bien, mais comme nos données personnelles sont éparpillées chez des gens qui en prennent moins soin que nous, c'est dur de dire qu'elles sont protégées :-/
# bin...
Posté par octane . En réponse au journal L'entreprise est-elle responsable des fuites de données dans le cadre du télétravail ?. Évalué à 10.
BIOS y compris? firmware de tes cartes réseaux? De ton disque dur? Si oui, chapeau.
quel dépôt? Distro? npm? pypy? github? il n'a pas été attaqué?
Même pas une box internet?
bravo.
Par contre, ta banque, elle est bien sécurisée? Et ton médecin?
Pourquoi tu ne segmentes pas ton réseau?
Alors… Si tu crois qu'être sous linux t'empêche de te faire infiltrer, I have some bad news for you kid.
[^] # Re: Masquer le root ?
Posté par octane . En réponse au journal FranceConnect+ et vous?. Évalué à 2. Dernière modification le 21 novembre 2022 à 14:10.
Bah "RCE", ça veut dire "remote command execution", donc RCE un sendmail tu vas pouvoir lire tous les messages d'une organisation. Tu vas pas cramer 200000$ pour envoyer du spam …
Un router: 10000… Et un routeur voit passer tout ton trafic ce qui permet à un attaquant de faire plein de trucs intéressants.
Une faille pegasus, 2millions5, ok. Par contre, juste un contournement de kaslr sur smartphone -> 100000$. Et 100k, pour avoir … rien (kaslr quoi, même pas d'exec de code). Contournement de kaslr sur linux -> 0, ça n'est même pas dans la liste.
Bref, ceci pour dire que je suis tombé de haut et sur cette liste l'autre jour. Le noyau linux sécurisé tout ça, bin en fait quand on voit le prix d’achat des failles, ça fait réfléchir. Je pense que eux ont estimé le vrai coût d'une faille, et que plus c'est compliqué, plus ça vaut cher. (et je parle pas d'un DOS ou de spam, je parle d'une vraie faille de sécurité).
bref, on s'égare du sujet de Franceconnect+ :D
[^] # Re: Masquer le root ?
Posté par octane . En réponse au journal FranceConnect+ et vous?. Évalué à 0.
Il est pas forcément simple d'évaluer la sécurité d'un système. Je propose qu'on aille se renseigner sur le dark web (haha).
Non, sans rire, d'après vous, quelle est la valeur d'une vulnérabilité sur un de ces systèmes? Plus le système est moisi (ou vulnérable), plus le prix d'achat sera bas.
Ca tombe bien, il y a un site web qui propose d'acheter des failles. Et les prix sont surprenants: hxxps://zerodium[.]com/program.html (je veux pas leur faire de la pub)
Pour une élévation de privilèges sous linux : 50000$
Pour une exécution de code distante sous sendmail/postfix/exim: 200000$
dit autrement le kernel linux est moins bien codé que sendmail…
Allons un peu plus loin, quel est le prix d'achat d'une vulnérabilité sous android? 2millions 500000$
je remet le coût d'achat d'une faille sous linux: 50000$
Après, on peut discuter des heures comme quoi on utilise du LL et qu'on fait apt-get update && apt-get upgrade toutes les 25 minutes, le fait est que ça semble plus difficile de rooter un android qu'un linux. (Disclaimer: j'y connais rien).
[^] # Re: Masquer le root ?
Posté par octane . En réponse au journal FranceConnect+ et vous?. Évalué à 2.
parce qu’ils sont présents, quelle question!
Tu as un niveau supérieur de sécurité, autant l'utiliser, non? Genre tu as 2 API, une fiable, et une non fiable, laquelle utilises-tu?
[^] # Re: Masquer le root ?
Posté par octane . En réponse au journal FranceConnect+ et vous?. Évalué à 2.
le niveau de sécurité général.
La sécu d'un PC fixe est lamentable par rapport à la sécu d'un téléphone. c'est pour ça que les banques filent des apps smartphones et pas des applis lourdes sur PC.
[^] # Re: Masquer le root ?
Posté par octane . En réponse au journal FranceConnect+ et vous?. Évalué à 4.
alors, en fait non.
Le système de permission fait qu'1 appli == 1 uid.
rooter un téléphone, ça veut dire qu'il existe un binaire "su" qui fait passer un uid quelconque à un uid root.
Dit autrement, une appli quelconque peut devenir root, et accède à toutes les autres applis du coup.
Maintenant, je suis dev d'une appli, Android me garantit que le schéma de sécurité empêche la fuite de données d'une appli à une autre. Grosso modo, tu installes 'grosseAppliPourrie.apk', bin elle pourra jamais interférer avec 'maJolieAppliBancaire.apk'. Du coup, le dev il est content, il fait attention à la sécurité des clients de son appli, il est heureux.
Sauf que si un binaire "su" permet à grosseAppliPourrie de défoncer maJolieAppliBancaire, ça plait pas au dev. Donc s'il détecte un téléphone rooté, l'appli maJolieAppliBancaire refuse de s'installer. Tout ça pour la sécu des gens.
Le fait que tu sois admin ou pas, c'est finalement très secondaire.
[^] # Re: on n'est pas sorti de l'auberge…
Posté par octane . En réponse au lien Le refus de communiquer le code de déverrouillage d’un téléphone portable peut constituer un délit. Évalué à 3.
une société qui a pignon sur rue (Cellebrite) propose de déchiffrer les téléphones. c'est pas du bruteforce, c'est des failles de sécurité (bah oui, scoop, il y a des vulnérabilités dans les téléphones).
Donc bon. En gros, c'est soit tu files ton code, soit on met ton téléphone dans la machine, mais la "loi" aura tes infos.
exactement
[^] # Re: on n'est pas sorti de l'auberge…
Posté par octane . En réponse au lien Le refus de communiquer le code de déverrouillage d’un téléphone portable peut constituer un délit. Évalué à 3.
c'est pas un truc du genre:
dmsetup table --showkey myvolume
[^] # Re: Ta config nginx
Posté par octane . En réponse au message site internet: me guider de l'achât d'un nom de domaine (namecheap, done), ouverture de ports (?!??). Évalué à 2.
pourquoi? Quel est le risque? D'un bruteforce? Avec un bon mot de passe, ça devrait tenir non?
[^] # Re: mais?
Posté par octane . En réponse au message [Résolu] Compiler wesnoth-1.2. Évalué à 4.
alors, c'est une noble motivation :D
ceci dit, je pense vraiment que compiler un vieux truc sur une distrib récente, c'est chercher plein d'ennuis. Surtout que tu changes de CPU…. Rien que compiler des softs prévu pour intel 32 bits en 64 bits ça peut être tristouille, je te recommande plutôt de tout faire en émulation:
un KVM est raisonnablement rapide, tu installes une debian d'époque, et tu joues sur la distrib d'époque.
# mais?
Posté par octane . En réponse au message [Résolu] Compiler wesnoth-1.2. Évalué à 4.
Mais pourquoi? en vrai, pourquoi vouloir recompiler wesnoth en version 1.2 ?
bin, euh, oui. Tu compiles avec les libs d'époque et les compilos d'époque.
Mais en vrai, je comprends pas bien le but du truc???
Ensuite, si tu veux vraiment faire ce genre de choses, tu prends une distro linux qui date de l'époque du logiciel (genre une debian de 2007), tu l'installes sans mettre à jour, tu compiles le bazar.
[^] # Re: Campagne de pub gratuite
Posté par octane . En réponse au lien Next Inpact attaqué en justice par Avisa Partners suite à un article sur le papier de Fakir.. Évalué à 6.
La logique, c'est que tu as du fric, tu es puissant, tu veux que tout se plie à ta volonté. Il y a pas de finesse ou d'intelligence. Tu payes -> tu as. Les journalistes sont pénibles, tu les arroses à la sulfateuse. Au mieux ça marche, au pire ça servira d'exemple au suivant.
Ca se verra? Et puis? Ca changera quoi?
Euh… Tu peux me citer un bad buzz récent qui a coupé leur rémunération? Avisa sentait déjà le souffre. Ca a changé quelque chose pour eux?
D'un côté tu as le "camp du bien" qui veut que la vérité jaillisse de la manière la plus éclatante, de l'autre tu as des intérêts financiers énormes qui s'en battent les steaks mais sont pétés de thunes. Donc l'idée, c'est de montrer que le fric gagne. Il n'y a pas de règles.
On est dans un monde ou des ministres accusés peuvent être en poste pépouzes, ou des sociétés peuvent fracasser la planète, et des hommes d'affaire s'enrichir sur la pauvreté humaine. Un journal a l'outrecuidance de ne pas les présenter comme bienfaiteurs de l'humanité en leur baisant les pieds? Bah procès, menaces, et autres méchancetés. "Mauvaise presse" ? Mais quand ils ont fait autant d'horreurs, tu crois vraiment qu'ils ont peur d'une mauvaise presse? C'est comme si tu demandais à Al Capone de moins fumer le cigare car ça risque de nuire à son image. Je pense qu'il s'écroulerait de rire. Bah là, c'est pareil.