Comme d'habitude, c'est de la faute des commerciaux et des directeur des ventes de boites d'informatique
Ils ont plusieurs objectifs en appelant le version N+1 de leur produit sous un autre nom qui fait trop classe. Ils peuvent:
- te le vendre une deuxième fois.
- Te la représenter sous un autre angle si tu l'as refusé dans ton budget l'année précédente.
- çà facilite les ventes car sur un nom abscons, tu peux y voir une éventuel "réponse à tes besoins". çà ne sera surement pas le cas mais si ils arrivent à te le vendre, ils s'en foutent plein les poches.
- Enfin le temps nécessaire pour t'impliquer dans leur jargon , tu n'as pas le temps d'aller voir ailleurs.
Par exemple, le mec qui va vouloir te vendre de "l'Enterprise 2". En fait, il veut te vendre un Intranet avec un Wiki et une fonction de recherche !
Il y a 4 ans, on parlait d'Intranet maintenant on parle Enterprise 2.
D'ailleurs le wiki, il l'aura surement renommé sous un autre nom pour toucher ton directeur qui ne sait pas ce que c'est un wiki.
Il ne faut pas confondre. Je n'ai pas dit qu'on pouvait inventer une méthode qui permettrait d'identifier de manière deterministe un bon programme du mauvais programme.
Je suggére juste qu'on peut fournir à un utilisateur averti les moyens de contrôler les points stratégiques où pourrait s'installer un programme malveillant.
Même si c'est simple pour toi. Je sais ce qui est simple pour moi.
Manipuler un programme sous la forme d'une chaine de caractères et l'executer avec un eval(...) . C'est à ma portée donc à priori à la portée de plein personne qui s'étime bien supérieur à moi au vu de leur langage.
Cette facilité et cette difficulté à identifier, ce type de menace est quand même la chose que je soutiens depuis le début de cette longue discussion.
Toutefois, tu m'expliqueras comment tu peux faire varier l'empreinte de ton loader qui sera probablement le point d'identification pour les antivirus.
Enfin quid de la portabilité du code sur d'autre système ,une infection sous forme de script se moque du type de loader, de gestion des librairies dynamique ou du type du système d'exploitation tant qu'elle a accès à l'essentiel.
> tant qu'à faire, virer cron, pas vrai ?
Non, serieux, j'ai déjà vu des distribs où c'était configuré par défaut de cette manière.
> c'est quoi l'interêt du .bashrc alors ?
Mon .bashrc, je dois le modifier qu'une fois ou deux fois après la création de mon compte.
Je vois pas beaucoup non plus l'interêt de le laisser en écriture
> "personne ne t'empêche te mettre ton /home en lecture seule (ça
> revient au même qu'écraser les fichiers souvent)
Pas tout à fait, tu le reconnaitras. Au même titre que les cookies, tu peux avoir plusieurs attitudes les refuser, les supprimer à chaque redemarrage ou les laisser en permanences.
Je dois reconnaitres que je ne sais pas si Firefox réecrit souvent prefs.js ?
> petit malin d'essayer d'enterrer l'autre journal où tu racontes tant de
> merde, çuilà est pareil en fait
Etre grossier ou impoli ne comble pas un manque d'argument.
man ptrace...
L'appel-système ptrace fournit au processus parent un moyen de contrôler l'exécution d'un autre processus et d'éditer son image mémoire. L'utilisation primordiale de cette fonction est l'implémentation de points d'arrêt pour le débugging.
donc çà ne marche pas.
Vous êtes serieux quand vous soutenez qu'il est plus simple de modifier un binaire de manière automatique que dinserer un morceau de script dans un script !
>Chez eux enfermé a double tours sans jamais voir personne et en
>n'utilisant aucun objet dont tu ne connais pas la provenance.
Je ne dis pas qu'il faut rien faire.
Je dis juste qu'il faut envisager ce type de problème et modifier nos habitudes pour limiter ce type de problème à l'avenir.
Sur certain système, ce type de changement est déjà anticipé:
- Limite l'accès au cron pour les utilisateurs
- Blocage de l'édition de .bashrc et des autres scripts lancé au démarrage.
- écraser régulierement les fichiers de Firefox de l'utilisateur pouvant contenir un virus.
Tu vas pas me dire que c'est monstrueux et bloquant comme securité.
>Dans ce cas, là, c'est pareil pour tout les programmes qui utilisent >pour beaucoup des scripts, sans parler des scripts php ruby, python >des applis web etc... Tu en a plein des programmes basés sur des >scripts.
Principe des virus exploitait des failles phpBB. Il était à ma connaissance jamais root mais il faisait quand même énormement de degat.
> M'enfin si on t'écoutait, il ne faudrait plus utiliser sa bécane quoi...
Tout ceux qui sont passer d'un système avec droit d'admin par défaut à un système avec droit utilisateur restreint. Ce font la même reflexion.
Assez simple pas si sur que çà, si on considére que les programmes qui reste user simple. Ils ont relativement peut d'endroit ou s'installer.
C'est sur que si tu les considères comme admin. Là, il n'y a pas soucis pour eux.
Mais sous Windows, comme sous Linux, tu peux te limiter au compte user.
C'est pourquoi, je suggère qu'il faut penser un système de manière à limiter ces points d'ancrage et de les rendre analysable simplement.
Au moin au niveau de l'utilisateur, une fois qu'un programme a des droits système, il peut partir du principe qu'il peut faire ce qu'il veut et même se cacher des outils de detections.
> C'est faux, il y a enorment d'endroits ou il est possible d'inserer des
> virus, et ca ne se limite pas a la base de registre.
Et il y a de très bon outil qui t'en font faire rapidement le tour.
> Tu fais comment pour retirer un virus qui s'insere dans notepad.exe
> ou machintruc.dll ?
Je ne parle de virus qui ont besoin de s'executer en "root".
Le trois quart des malwares n'ont pas besoins d'être root pour accomplir leurs objectifs. Donc, tu peux oublier les programmes qui modifie des exe ou des dll qui serait protégé par le système.
> Le seul moyen de s'assurer que la machine n'est pas infectee,
> c'est de calculer les sommes md5 (ou equivalent) de tous les
> binaires, et les comparer avec ceux des binaires originaux.
Juste comme çà le prefs.js du répertoire de Firefox change en fonction de tes préferences utilisateur ;-).
Donc, tu auras probablement un MD5 diférrent de l'original
Dans le répertoire firefox du home, tu as des script .js qui sont lancé au démarrage genre prefs.js, ou tous les autres scripts que tu trouves pour les extensions, plugins, ...
Il suffit que tu ais une fois un programme qui t'infecte un de ces scripts en exploitant une faille ou une erreur de ta part pour que tu ais peu de chance de t'en appercevoir un de ces jours ...
Et tu seras d'accord avec moi que dans un ces fichiers là, tu es en dehors de la sandbox des javascript de Firefox donc tu peux faire quasiment tout ce que l'utilisateur peut faire :)
çà pourrait régler une partie des problèmes pour Firefox.
Par contre pour les autres scripts qui sont executé par un programme tel que bash ou une autre machine virtuel. La gestion des droits d'accès est plus difficile à mettre en oeuvre.
En fait sur l'indentification de virus se fait souvent sur l'empreinte que va laisser le compilateur donc au pire,
ils pourront rentrer rapidement dans une base de virus.
Dernier point, il est plus difficile à ma connaissance pour un programme de patcher un autre programme sous forme binaire afin de s'injecter dedans.
Justement, c'est un problème de conception mais aussi des usages courant accumuler depuis des années.
Fournir à l'utilisateur avertie la possibilité de scripter tout, c'est bien mais je cherche à souligner les problèmes que çà souleve d'un point de vue sécurité.
Je me repete mes sous Windows, il existe des outils pour identifier les programmes qui seront executé au démarrage.
Tu peux pas lancer un script à partir d'un service.
[^] # Re: tu n'en as pas assez avec ton syslog ?
Posté par syj . En réponse au journal Abscence de communication autour du risque potentiel de corruption de cache DNS. Évalué à 1.
Sinon çà ne serait pas plutôt tes utilisateurs de ton dns qui demande un test sur le site doxpara.com
Tu as pensé à mettre en place une petite regle iptable pour filtrer ce qui vient "not-an-attack.dan-kaminsky.browse-deluvian.doxpara.com"
[^] # Re: La forme et le fond...
Posté par syj . En réponse au journal Abscence de communication autour du risque potentiel de corruption de cache DNS. Évalué à 1.
En fait, j'ai opté pour stage d'orthographe dans le cadre du DIF.
Sinon Antidote, j'y songe depuis un moment en plus je crois que c'est une boite Française qui le développe.
Merci beaucoup.
[^] # Re: WOW!
Posté par syj . En réponse au journal Abscence de communication autour du risque potentiel de corruption de cache DNS. Évalué à -1.
Enfin , les quelques recherches google sur Linuxfr.org ne m'avais rien donné.
http://www.google.fr/search?hl=fr&sa=X&oi=spell&(...)
Et ce qui m'intéresse et plutôt de comment bien informé les utilisateurs des risques.
[^] # Re: configuration de base
Posté par syj . En réponse au message [besoin d'aide] Relais SMTP. Évalué à 1.
Sinon la commande telnet 192.168.60.20 25 devrait te proposer une invit du type:
220 ServeurMail ESMTP Postfix (Ubuntu)
Tu l'obtiens bien si tu execute cet commande sur le serveur de mail ?
[^] # Re: configuration de base
Posté par syj . En réponse au message [besoin d'aide] Relais SMTP. Évalué à 1.
Question bête: tu es certains que ton daemon est bien lancé ?
Sinon le telnet 192.168.60.20 25 devrait te renvoyer un texte de présentation du type.
220 192.168.60.25 ESMTP Postfix (Ubuntu)
Tester cette commande sur le client et sur le serveur.
[^] # Re: Business Loto
Posté par syj . En réponse à la dépêche Annonce de Nuxeo WebEngine : framewok Java pour applications orientées contenus. Évalué à 2.
Ils ont plusieurs objectifs en appelant le version N+1 de leur produit sous un autre nom qui fait trop classe. Ils peuvent:
- te le vendre une deuxième fois.
- Te la représenter sous un autre angle si tu l'as refusé dans ton budget l'année précédente.
- çà facilite les ventes car sur un nom abscons, tu peux y voir une éventuel "réponse à tes besoins". çà ne sera surement pas le cas mais si ils arrivent à te le vendre, ils s'en foutent plein les poches.
- Enfin le temps nécessaire pour t'impliquer dans leur jargon , tu n'as pas le temps d'aller voir ailleurs.
Par exemple, le mec qui va vouloir te vendre de "l'Enterprise 2". En fait, il veut te vendre un Intranet avec un Wiki et une fonction de recherche !
Il y a 4 ans, on parlait d'Intranet maintenant on parle Enterprise 2.
D'ailleurs le wiki, il l'aura surement renommé sous un autre nom pour toucher ton directeur qui ne sait pas ce que c'est un wiki.
# Un bon anniversaire ne se passe pas sans un bon vieux troll
Posté par syj . En réponse à la dépêche LinuxFR.org a dix ans !. Évalué à 2.
Très bon anniversaire et je vous souhaite encore de longues et heureuses années
[^] # Re: Possible
Posté par syj . En réponse au journal A l'avenir, Linux et Firefox seront-ils plus sensible que Windows/IE au logiciel malveillant.. Évalué à -1.
Comment savoir, où ce programme s'est installé. s'il y a plein d'endroit où il peut se nicher.
Donc tu vois, je m'interroge pas sur le vecteur de propagation comme tu l'as dis l'interface chaise/clavier et la pire faille de sécurité qui existe.
Je m'interroge sur les méthodes qui permettent à un virus de devenir résident dans un compte utilisateur.
[^] # Re: ouarf
Posté par syj . En réponse au journal Un système véritablement sécurisé devrait.... Évalué à 0.
[^] # Re: absolument n'importe quoi !
Posté par syj . En réponse au journal A l'avenir, Linux et Firefox seront-ils plus sensible que Windows/IE au logiciel malveillant.. Évalué à 0.
Je suggére juste qu'on peut fournir à un utilisateur averti les moyens de contrôler les points stratégiques où pourrait s'installer un programme malveillant.
[^] # Re: absolument n'importe quoi !
Posté par syj . En réponse au journal A l'avenir, Linux et Firefox seront-ils plus sensible que Windows/IE au logiciel malveillant.. Évalué à -1.
Par contre, je pense qu'on peut faciliter la tâche d'un utilisateur averti en lui permettant de contrôler des points stratégique de son système.
[^] # Re: Mouai
Posté par syj . En réponse au journal Un système véritablement sécurisé devrait.... Évalué à -1.
ref à ma réponse au-dessus.
[^] # Re: Mouai
Posté par syj . En réponse au journal Un système véritablement sécurisé devrait.... Évalué à 0.
Même si c'est simple pour toi. Je sais ce qui est simple pour moi.
Manipuler un programme sous la forme d'une chaine de caractères et l'executer avec un eval(...) . C'est à ma portée donc à priori à la portée de plein personne qui s'étime bien supérieur à moi au vu de leur langage.
Cette facilité et cette difficulté à identifier, ce type de menace est quand même la chose que je soutiens depuis le début de cette longue discussion.
Toutefois, tu m'expliqueras comment tu peux faire varier l'empreinte de ton loader qui sera probablement le point d'identification pour les antivirus.
Enfin quid de la portabilité du code sur d'autre système ,une infection sous forme de script se moque du type de loader, de gestion des librairies dynamique ou du type du système d'exploitation tant qu'elle a accès à l'essentiel.
Ce qui la rend beaucoup plus attractifs
[^] # Re: l'architecture de Firefox dangereuse
Posté par syj . En réponse au journal Un système véritablement sécurisé devrait.... Évalué à 0.
Non, serieux, j'ai déjà vu des distribs où c'était configuré par défaut de cette manière.
> c'est quoi l'interêt du .bashrc alors ?
Mon .bashrc, je dois le modifier qu'une fois ou deux fois après la création de mon compte.
Je vois pas beaucoup non plus l'interêt de le laisser en écriture
> "personne ne t'empêche te mettre ton /home en lecture seule (ça
> revient au même qu'écraser les fichiers souvent)
Pas tout à fait, tu le reconnaitras. Au même titre que les cookies, tu peux avoir plusieurs attitudes les refuser, les supprimer à chaque redemarrage ou les laisser en permanences.
Je dois reconnaitres que je ne sais pas si Firefox réecrit souvent prefs.js ?
> petit malin d'essayer d'enterrer l'autre journal où tu racontes tant de
> merde, çuilà est pareil en fait
Etre grossier ou impoli ne comble pas un manque d'argument.
[^] # Re: Mouai
Posté par syj . En réponse au journal Un système véritablement sécurisé devrait.... Évalué à -2.
L'appel-système ptrace fournit au processus parent un moyen de contrôler l'exécution d'un autre processus et d'éditer son image mémoire. L'utilisation primordiale de cette fonction est l'implémentation de points d'arrêt pour le débugging.
donc çà ne marche pas.
Vous êtes serieux quand vous soutenez qu'il est plus simple de modifier un binaire de manière automatique que dinserer un morceau de script dans un script !
J'hallucine ! les c0wb0yz !
[^] # Re: l'architecture de Firefox dangereuse
Posté par syj . En réponse au journal Un système véritablement sécurisé devrait.... Évalué à 1.
>n'utilisant aucun objet dont tu ne connais pas la provenance.
Je ne dis pas qu'il faut rien faire.
Je dis juste qu'il faut envisager ce type de problème et modifier nos habitudes pour limiter ce type de problème à l'avenir.
Sur certain système, ce type de changement est déjà anticipé:
- Limite l'accès au cron pour les utilisateurs
- Blocage de l'édition de .bashrc et des autres scripts lancé au démarrage.
- écraser régulierement les fichiers de Firefox de l'utilisateur pouvant contenir un virus.
Tu vas pas me dire que c'est monstrueux et bloquant comme securité.
[^] # Re: ouarf
Posté par syj . En réponse au journal Un système véritablement sécurisé devrait.... Évalué à 1.
Principe des virus exploitait des failles phpBB. Il était à ma connaissance jamais root mais il faisait quand même énormement de degat.
> M'enfin si on t'écoutait, il ne faudrait plus utiliser sa bécane quoi...
Tout ceux qui sont passer d'un système avec droit d'admin par défaut à un système avec droit utilisateur restreint. Ce font la même reflexion.
[^] # Re: l'architecture de Firefox dangereuse
Posté par syj . En réponse au journal Un système véritablement sécurisé devrait.... Évalué à 0.
C'est sur que si tu les considères comme admin. Là, il n'y a pas soucis pour eux.
Mais sous Windows, comme sous Linux, tu peux te limiter au compte user.
C'est pourquoi, je suggère qu'il faut penser un système de manière à limiter ces points d'ancrage et de les rendre analysable simplement.
Au moin au niveau de l'utilisateur, une fois qu'un programme a des droits système, il peut partir du principe qu'il peut faire ce qu'il veut et même se cacher des outils de detections.
[^] # Re: absolument n'importe quoi !
Posté par syj . En réponse au journal A l'avenir, Linux et Firefox seront-ils plus sensible que Windows/IE au logiciel malveillant.. Évalué à 0.
> virus, et ca ne se limite pas a la base de registre.
Et il y a de très bon outil qui t'en font faire rapidement le tour.
> Tu fais comment pour retirer un virus qui s'insere dans notepad.exe
> ou machintruc.dll ?
Je ne parle de virus qui ont besoin de s'executer en "root".
Le trois quart des malwares n'ont pas besoins d'être root pour accomplir leurs objectifs. Donc, tu peux oublier les programmes qui modifie des exe ou des dll qui serait protégé par le système.
> Le seul moyen de s'assurer que la machine n'est pas infectee,
> c'est de calculer les sommes md5 (ou equivalent) de tous les
> binaires, et les comparer avec ceux des binaires originaux.
Juste comme çà le prefs.js du répertoire de Firefox change en fonction de tes préferences utilisateur ;-).
Donc, tu auras probablement un MD5 diférrent de l'original
[^] # Re: ouarf
Posté par syj . En réponse au journal Un système véritablement sécurisé devrait.... Évalué à 1.
Il suffit que tu ais une fois un programme qui t'infecte un de ces scripts en exploitant une faille ou une erreur de ta part pour que tu ais peu de chance de t'en appercevoir un de ces jours ...
Et tu seras d'accord avec moi que dans un ces fichiers là, tu es en dehors de la sandbox des javascript de Firefox donc tu peux faire quasiment tout ce que l'utilisateur peut faire :)
[^] # Re: l'architecture de Firefox dangereuse
Posté par syj . En réponse au journal Un système véritablement sécurisé devrait.... Évalué à 1.
[^] # Re: rbac
Posté par syj . En réponse au journal Un système véritablement sécurisé devrait.... Évalué à 1.
gradm2 - Administration program for the grsecurity2 RBAC based ACL system
Il va falloir que j'essaie.
http://www.grsecurity.net/
[^] # Re: rbac
Posté par syj . En réponse au journal Un système véritablement sécurisé devrait.... Évalué à 1.
çà pourrait régler une partie des problèmes pour Firefox.
Par contre pour les autres scripts qui sont executé par un programme tel que bash ou une autre machine virtuel. La gestion des droits d'accès est plus difficile à mettre en oeuvre.
Merci pour cet info.
[^] # Re: Mouai
Posté par syj . En réponse au journal Un système véritablement sécurisé devrait.... Évalué à -2.
ils pourront rentrer rapidement dans une base de virus.
Dernier point, il est plus difficile à ma connaissance pour un programme de patcher un autre programme sous forme binaire afin de s'injecter dedans.
[^] # Re: l'architecture de Firefox dangereuse
Posté par syj . En réponse au journal Un système véritablement sécurisé devrait.... Évalué à 1.
Fournir à l'utilisateur avertie la possibilité de scripter tout, c'est bien mais je cherche à souligner les problèmes que çà souleve d'un point de vue sécurité.
Je me repete mes sous Windows, il existe des outils pour identifier les programmes qui seront executé au démarrage.
Tu peux pas lancer un script à partir d'un service.