octane a écrit 827 commentaires

Y a aussi ce que la faille permet de faire.

Bah "RCE", ça veut dire "remote command execution", donc RCE un sendmail tu vas pouvoir lire tous les messages d'une organisation. Tu vas pas cramer 200000$ pour envoyer du spam …

Un router: 10000… Et un routeur voit passer tout ton trafic ce qui permet à un attaquant de faire plein de trucs intéressants.

Une faille pegasus, 2millions5, ok. Par contre, juste un contournement de kaslr sur smartphone -> 100000$. Et 100k, pour avoir … rien (kaslr quoi, même pas d'exec de code). Contournement de kaslr sur linux -> 0, ça n'est même pas dans la liste.

Bref, ceci pour dire que je suis tombé de haut et sur cette liste l'autre jour. Le noyau linux sécurisé tout ça, bin en fait quand on voit le prix d’achat des failles, ça fait réfléchir. Je pense que eux ont estimé le vrai coût d'une faille, et que plus c'est compliqué, plus ça vaut cher. (et je parle pas d'un DOS ou de spam, je parle d'une vraie faille de sécurité).

bref, on s'égare du sujet de Franceconnect+ :D

Il est pas forcément simple d'évaluer la sécurité d'un système. Je propose qu'on aille se renseigner sur le dark web (haha).

Non, sans rire, d'après vous, quelle est la valeur d'une vulnérabilité sur un de ces systèmes? Plus le système est moisi (ou vulnérable), plus le prix d'achat sera bas.

Ca tombe bien, il y a un site web qui propose d'acheter des failles. Et les prix sont surprenants: hxxps://zerodium[.]com/program.html (je veux pas leur faire de la pub)

Pour une élévation de privilèges sous linux : 50000$
Pour une exécution de code distante sous sendmail/postfix/exim: 200000$

dit autrement le kernel linux est moins bien codé que sendmail…

Allons un peu plus loin, quel est le prix d'achat d'une vulnérabilité sous android? 2millions 500000$
je remet le coût d'achat d'une faille sous linux: 50000$

Après, on peut discuter des heures comme quoi on utilise du LL et qu'on fait apt-get update && apt-get upgrade toutes les 25 minutes, le fait est que ça semble plus difficile de rooter un android qu'un linux. (Disclaimer: j'y connais rien).

(pourquoi) mettent-ils des contrôles de sécurité supérieur lorsqu'ils s'agit d'un logiciel pour téléphone

parce qu’ils sont présents, quelle question!

Tu as un niveau supérieur de sécurité, autant l'utiliser, non? Genre tu as 2 API, une fiable, et une non fiable, laquelle utilises-tu?

le niveau de sécurité général.
La sécu d'un PC fixe est lamentable par rapport à la sécu d'un téléphone. c'est pour ça que les banques filent des apps smartphones et pas des applis lourdes sur PC.

Sauf que téléphone rooté et téléphone dont je suis admin, c'est synonyme. Considérer un système rooté comme moins sûr, c'est considérer que le fait que j'en sois administrateur le rend moins sûr.

alors, en fait non.

Le système de permission fait qu'1 appli == 1 uid.
rooter un téléphone, ça veut dire qu'il existe un binaire "su" qui fait passer un uid quelconque à un uid root.
Dit autrement, une appli quelconque peut devenir root, et accède à toutes les autres applis du coup.

Maintenant, je suis dev d'une appli, Android me garantit que le schéma de sécurité empêche la fuite de données d'une appli à une autre. Grosso modo, tu installes 'grosseAppliPourrie.apk', bin elle pourra jamais interférer avec 'maJolieAppliBancaire.apk'. Du coup, le dev il est content, il fait attention à la sécurité des clients de son appli, il est heureux.

Sauf que si un binaire "su" permet à grosseAppliPourrie de défoncer maJolieAppliBancaire, ça plait pas au dev. Donc s'il détecte un téléphone rooté, l'appli maJolieAppliBancaire refuse de s'installer. Tout ça pour la sécu des gens.

Le fait que tu sois admin ou pas, c'est finalement très secondaire.

Sauf erreur de ma art, c'est du bruteforce via des boitiers spécifiques qui vont simuler le fait d'être un clavier et qui vont relancé le tel au bon moment.

une société qui a pignon sur rue (Cellebrite) propose de déchiffrer les téléphones. c'est pas du bruteforce, c'est des failles de sécurité (bah oui, scoop, il y a des vulnérabilités dans les téléphones).

Donc bon. En gros, c'est soit tu files ton code, soit on met ton téléphone dans la machine, mais la "loi" aura tes infos.

C'est quand même assez souvent des questions de pognon.

exactement

c'est pas un truc du genre:

dmsetup table --showkey myvolume
et avec cette clé, tu peux jouer avec cryptsetup normal pour monter ta partition?

Un autre conseil indispensable avant d'autoriser ssh sur le grand réseau, c'est de s'assurer que l'authentification par mot de passe est désactivée.

pourquoi? Quel est le risque? D'un bruteforce? Avec un bon mot de passe, ça devrait tenir non?

Voyons voir, quelles pourrait être les raisons ?
- c'est utile !
- ça sert à une large communauté !
- c'est fun !
Déjà, redécouvrir le plaisir de jouer sur un bon vieux jeu, plonger dans les origines du gaming, c'est une expérience extraordinaire !

alors, c'est une noble motivation :D

ceci dit, je pense vraiment que compiler un vieux truc sur une distrib récente, c'est chercher plein d'ennuis. Surtout que tu changes de CPU…. Rien que compiler des softs prévu pour intel 32 bits en 64 bits ça peut être tristouille, je te recommande plutôt de tout faire en émulation:

un KVM est raisonnablement rapide, tu installes une debian d'époque, et tu joues sur la distrib d'époque.

Mais pourquoi? en vrai, pourquoi vouloir recompiler wesnoth en version 1.2 ?

La meilleure pour l'instant est je trouve de compiler le bazar avec un g++ d'époque (soit fin 2007 début 2008).

bin, euh, oui. Tu compiles avec les libs d'époque et les compilos d'époque.

Mais en vrai, je comprends pas bien le but du truc???

Ensuite, si tu veux vraiment faire ce genre de choses, tu prends une distro linux qui date de l'époque du logiciel (genre une debian de 2007), tu l'installes sans mettre à jour, tu compiles le bazar.

Je n'arrive pas à comprendre la logique derrière

La logique, c'est que tu as du fric, tu es puissant, tu veux que tout se plie à ta volonté. Il y a pas de finesse ou d'intelligence. Tu payes -> tu as. Les journalistes sont pénibles, tu les arroses à la sulfateuse. Au mieux ça marche, au pire ça servira d'exemple au suivant.

Ca se verra? Et puis? Ca changera quoi?

ça se verrait, les lecteurs hurleraient et ça serait un bad buzz coupant leur rémunération donc la vie des entreprises derrière encore plus sûrement qu'avec le procès

Euh… Tu peux me citer un bad buzz récent qui a coupé leur rémunération? Avisa sentait déjà le souffre. Ca a changé quelque chose pour eux?

L'idée est un suicide sans le dire?

D'un côté tu as le "camp du bien" qui veut que la vérité jaillisse de la manière la plus éclatante, de l'autre tu as des intérêts financiers énormes qui s'en battent les steaks mais sont pétés de thunes. Donc l'idée, c'est de montrer que le fric gagne. Il n'y a pas de règles.

On est dans un monde ou des ministres accusés peuvent être en poste pépouzes, ou des sociétés peuvent fracasser la planète, et des hommes d'affaire s'enrichir sur la pauvreté humaine. Un journal a l'outrecuidance de ne pas les présenter comme bienfaiteurs de l'humanité en leur baisant les pieds? Bah procès, menaces, et autres méchancetés. "Mauvaise presse" ? Mais quand ils ont fait autant d'horreurs, tu crois vraiment qu'ils ont peur d'une mauvaise presse? C'est comme si tu demandais à Al Capone de moins fumer le cigare car ça risque de nuire à son image. Je pense qu'il s'écroulerait de rire. Bah là, c'est pareil.

pommes de terre au four
font un gratin dauphinois
et les premier froids

Un haïku (俳句, haiku?) est un poème d'origine japonaise extrêmement bref, célébrant l'évanescence des choses et les sensations qu'elles suscitent. Un haïku évoque généralement une saison (le kigo) et comporte souvent une césure (le kireji). Il est composé en principe de 17 mores réparties en trois vers suivant un schéma 5/7/5.

(merci wikipedia :) )

J'avais vu un projet qui semblait bien: https://github.com/flesueur/mi-lxc

J'ai finalement pas pu tester, mais la doc faisait vraiment envie. Tu as un réseau complet, avec des services sur certaines machines, tu peux faire du routage, ajouter des démons, etc… etc..

j'avais entendu plusieurs fois l'histoire de l'interrupteur "magic"/"more magic", mais le voir en vrai, ça fait quelque chose:

tout lier statiquement ;

Ca résoud pas toujours tout. Des fois, on compile statiquement, on envoie sur le système cible, et là:

FATAL: kernel too old

et pouf.

C'est quoi ton parfum de glace préféré ?

OOOOH!!

Faudrait se poser des questions… 😀

wopitain!!! j'ai peut-être des supers-pouvoirs \o/ allez, superman, viens on va se battre! je vais te mettre la misère (bon, tant qu'il s'agit de faire consommer du CPU, on va éviter le regard laser dans un premier temps).

Saitama, je te prends juste après!

Je suis pas d'accord. Le BIOS n'est pas "le plus sensible en terme de sécurité".

ok, du coup tu dirais quoi? (puisque bon, BIOS corrompu == plein de complications pénibles à gérer ensuite)

Il ne traite pas des données complexes venant du réseau

genre iLO? (management réseau)

sauf dans l'esprit enfiévré d'une partie de la communauté du libre qui pense que la NSA et le Mossad s'intéresse à eux

Le paranoïaque est il le seul à penser l'être suffisamment?

ah ça m'intéresse. Pour info, quand ça freeze, est-ce que le curseur de souris bougeait? Et est-ce qu'il était possible de retourner à une console texte (ctrl-alt-F1) ?

c'est toujours l'échec :-(

octane@syncli:~$ cat /etc/default/keyboard 
# KEYBOARD CONFIGURATION FILE

# Consult the keyboard(5) manual page.

XKBMODEL="macbook79"
XKBLAYOUT="fr"
XKBVARIANT="mac"
XKBOPTIONS="lv3:ralt_switch,compose:rwin"

BACKSPACE="guess"
octane@syncli:~$ grep KEYMAP /etc/initramfs-tools/initramfs.conf 
# KEYMAP: [ y | n ]
KEYMAP=y
octane@syncli:~$

J'ai relancé update-initramfs -u, mais toujours rien :-/

A chaque reboot, je me log, puis je tape:

setxkbmap -model macbook79 -layout fr -option "lv3:ralt_switch"
ça marche, mais c'est pénible :-/

Quand j'étais sous Debian, j'utilisais « dpkg-reconfigure keyboard-configuration » pour changer le mapping du clavier.

bah oui, mais non. Ca ne résiste pas à un reboot. Y'a forcément un fichier de config dans lequel est stocké le layout, mais je ne trouve pas lequel.

edit:précision En ligne de commande en tant que root (précision vraisemblablement inutile).

:-)

Une autre solution consiste à créer un fichier de (re-)configuration du clavier qui sera utilisé par la commande xmodmap

Bin je suis très content du fichier de configuration du clavier :-) je veux juste qu'il soit choisi au boot, en console et en graphique plutôt que le PC105

J'utilise un raspi3 alimenté par une prise USB de la freebox. Ca fait son job. Je m'en sers comme bastion VPN/SSH, et c'est laaaaaargement suffisant.
J'ai mis une carte SD de 16Go, je backup de temps en temps le rapsi en l'éteignant, dd la carte SD depuis un PC de bureau, puis je le rallume. C'est pratique :-)

Comparaison hautement fallacieuse: pratiquement personne ne "choisit" Windows. Il est installé sur ton ordinateur quand tu l'achètes.

parceque tu choisis systemd quand tu prends debian, redhat, etc? Il est installé avec ta distro. Qui parle de comparaison fallacieuse?

-des mainteneurs de distros, qui ont dû fournir un travail pour intégrer systemd en remplacement d'init dans leurs distros respectives, c'est pas comme si c'était arrivé brutalement un matin ou qu'ils avaient été victimes de mesures coercitives

Que le bazar des scripts shells et runlevels foireux aient été un problème, personne ne le nie je crois. Qu'on te dise que ton /usr va devenir hermetic, monolithique, et RO, parceque le développeur d'un système d'init pense que c'est le mieux, ça va un poil trop loin.

-les clients de RH

mais ils s'en br*anlent les client de RH du système d'init. On aurait pu leur coller un init quelconque, ils s'en fichent. Ca leur fait pas lever le sourcil plus haut que lors du passage d'un initrd à un initramfs. ou de /etc/machin.conf à /etc/machin.d/