Les trous de sécurité doivent rester secrets !
Hellow, Voici une news passé sur linuxfr.org qui fait peur quand à la politique de la sécurité chez microsoft : D'après un éditorial sur le site de Microsoft, il est temps de se lancer dans la chasse^ à «l'anarchie de l'information». Monsieur Culp (responsable du 'Security Response center') explique dans son petit billet qu'il n'y aurait pas de vers et de virus s'il n'y avait pas cette bande d'anarchistes irrésponsables qui trouvent les bugs et les publient. Moi je suis d'accord avec lui, et je pense que toute personne faisant un rapport de bug devrait être sévèrement punie par la loi. Non mais franchement... Article sur Newsbytes : http://www.newsbytes.com/news/01/171173.html L'éditorial de Microsoft en question : http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/noarch.asp @++ JC -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: Les trous de sécurité doivent rester secrets !
On Thursday 18 October 2001 12:36, Jean-Claude Schopfer wrote: ... Article sur Newsbytes : http://www.newsbytes.com/news/01/171173.html L'éditorial de Microsoft en question : http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/ security/noarch.asp Commentaires persos : -- 1) Celà fait déjà longtemps que j'applique les règles mentionnées par MS dans son article. Par exemple, je me défend de forwarder¨ tout mail mentionnant des virus et trous de sécurités à toute personne utillisant W*. Comme ça je me contente d'être un spectateur passif des dégats causés par ces bugs/virus. Pour une fois, je suis fière d'appliquer les règles fixées par MS* ! 2) Je suis en train de lire un exellent livre concernant les firewall (sous Linux... désolé...). Les types d'attaques sur les ports IP sont décrits en détails, ainsi que la manières dont on peut les bloquer. On y parle aussi des proxy, IP forwarding at masquerading. Tout ce qui est expliqué dans ce bouquin est applicable avec n'importe quel OS (CP/M si ça vous chante). La firme de Redmond peut aussi l'acheter et, comme moi, décider quel OS est plus approprié pour parer à ces attaques. 3) Il n'existe aucune information publique concernant la déprotection de Windows XP et de pleins d'autre produits tournant sous W*. Pourtant, moins d'une semaine après la disponibilités des premières version betas d'XP, il êtait possible de se procurer le CD déprotégé... à Hong-Kong (CAD sans avoir besoin de s'enregistrer à Redmond !). Sans doute ces personnes travaillent-elles en étroite collaboration avec MS* ? Daniel PS : Titre du livre mentionné plus haut, à disposition par mail privé. On y parle de trous de sécurités; ça pourrait indisposer certains :-) -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: Les trous de sécurité doivent rester secrets !
On Thursday 18 October 2001 14:48, Philippe Strauss wrote: hum.. jean-claude DECONNAIT, c'etait sarcastique. toi t'es serieux? si c'est le cas, hum excuse mais tu m'a l'air assez grave comme linuxien. Oui, je suis sans doute grave comme linuxien... mais tu vois, je n'ai même pas d'outils me permettant de déterminer si un mail d'alerte au virus est vrai ou pas, je ne sais pas si je dois être moi-même un virus en forwardant ce mail à toute personne se trouvant dans ma liste d'adresse. Bon d'accord, je ne vais pas le faire 40 fois pandant les 20 heures suivantes, ni allé modifier le registry de mes copains... mais y'a pas loin ! Je suis sérieux toutes les secondes paires et je déconne pendant les impaires. J'ai un signe zodiacal ascendant bouffon... c'est à dire que dans le cas présent, je mets le doigt sur un problème connu (les mails d'alerte). Le bouffon dit qu'il ne sait pas séparer le bon grain de l'ivraie et qu'il est un bon élève appliquant les nouvelles règles que MS* voudait généraliser. Peut-être que je le fais, peut-être que je ne le fais pas; je te laisse deviner ! Lis bien l'article mentionné et explique-moi où est le problème. reflechi un peu au role de l'information dans notre societe, en evitant les biais egoistes. J'ai pas mal d'amis menottés à W*, ils savent à quoi s'en tenir en ce qui me concerne. Pour le reste... no troll :-) Daniel -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: Les trous de sécurité doivent rester secrets !
On Thu, Oct 18, 2001 at 03:22:37PM +0200, Daniel Cordey wrote: On Thursday 18 October 2001 14:48, Philippe Strauss wrote: hum.. jean-claude DECONNAIT, c'etait sarcastique. toi t'es serieux? si c'est le cas, hum excuse mais tu m'a l'air assez grave comme linuxien. Oui, je suis sans doute grave comme linuxien... mais tu vois, je n'ai même pas d'outils me permettant de déterminer si un mail d'alerte au virus est vrai ou pas, je ne sais pas si je dois être moi-même un virus en forwardant ce mail à toute personne se trouvant dans ma liste d'adresse. non ca je suis tout a fait d'accord, mais c'est sur le fait de retenir l'information et de se placer au dessus qui me derange. Je suis sérieux toutes les secondes paires et je déconne pendant les impaires. J'ai un signe zodiacal ascendant bouffon... c'est à dire que dans :) le cas présent, je mets le doigt sur un problème connu (les mails d'alerte). Le bouffon dit qu'il ne sait pas séparer le bon grain de l'ivraie et qu'il c'est bien le but des exploit publie par les firmes de securites independantes. comment attester du fait que tu as belle et bien trouve un bug sans donner a d'autres le moyen de le verifier? l'exploit, c'est un lien entre la theorie et la pratique, nombre de fois que j'en ai utiliser pour verifier que j'avais mis a jour des machines que j'administrai. j'ai ete abbones a bugtrak, et il faut constater que sans exploit, les vendeurs de logiciels, tres souvent, se foutent bien de corriger leur bug. est un bon élève appliquant les nouvelles règles que MS* voudait généraliser. Peut-être que je le fais, peut-être que je ne le fais pas; je te laisse deviner ! Lis bien l'article mentionné et explique-moi où est le problème. le seul probleme, c'est que les utilisateurs de windows sont la plupart du temps bien loin de capter ce qu'est une faille de securite, et ce n'est pas de leur fautes, c'est simplement la consequence de vendre un outil tres complexe et opaque, sans livrer avec l'education au sujet de l'utilisation d'un engin aussi tranchant, brut de fonderie. ce qui fait la force de microsoft, c'est d'avoir compris en premier que la ou il y avait du fric a prendre, en quantite colossales, c'est la ou il y a le plus gros fosse informationelle au niveau de la societe: entre le simple pekin qui veut se mettre a l'informatique, et la grosse societe bien rassurrante en apparence, detentrice d'un bon gros tas d'informations techniques abstraites. et les fosses informationelles, ca ce bouche en faisant circuler l'information specifique pendant une a deux generation, ensuite ca devient la norme (esperons). le pauvre pekin, qui pensait bien faire en suivant le discours normatif chantant la modernite profere par les geants de l'infos, se fait refourguer un produit 10 fois tros gros et trop complexe pour son usage, mais la complexite, c bien pour le gros geant, ca permet de garder une quantite difficilement controlable d'imperfections logiciels, qui font vivre des informaticiens emmagasinant les quantites d'infos pour slalomer entre les bug, sans leur laisser la tete claire pour comprendre les principes sur lesquel repose la conception du produit, ce qui leur permetrai d'evoluer, de grandir dans leur job. a la prochaine version du logiciel, justifiee par l'imperfection de la precedente, grand geant a corriger des bugs, mais ajouter tellement de code pas franchement utile voir franchement superflu, et hop, le petit savoir durement acuis par le petit informaticien est rendu obsolete. Donc quand MS se plein d'une information trop circulante a leur gout, je rigole doucement. aplus -- Philippe Strauss http://philou.ch/ L'indifférence est le plus grand risque de notre temps, la forme civilisée de la cruauté. -- Zenta Maurina -- -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: Les trous de sécurité doivent rester secrets !
On Thursday 18 October 2001 16:57, Philippe Strauss wrote: non ca je suis tout a fait d'accord, mais c'est sur le fait de retenir l'information et de se placer au dessus qui me derange. Soit rassuré ! Je passe un max d'information utile. Le plus souvent sous la forme de documents publics. Code Red II est un bon exemple pour lequel il a été possible de trouver rapidement de l'information décrivant dans le détail la technique utillisée pour infecter les systèmes. Cette information a été très utile à plusieurs de mes amis chargés d'administrer des systèmes W*. C'est là que je me suis rendu compte que l'information dont ils disposaient êtait fausse... Mais comme il s'agissait de documents décrivant la manière dont le système êtait infecté, selon la nouvelle vision de MS*, je devrais être considéré comme un criminelle; le document pouvant arriver entre les mains de gens mal-intentionnés ! D'où ma vision dérision du memo MS* dans le point 1) de mon mail. Le problème reste donc entier !!! le seul probleme, c'est que les utilisateurs de windows sont la plupart du temps bien loin de capter ce qu'est une faille de securite, et ce n'est pas de leur fautes, c'est simplement la consequence de vendre un outil tres complexe et opaque, sans livrer avec l'education au sujet de l'utilisation d'un engin aussi tranchant, brut de fonderie. Juste. Raison pour laquelle notre rôle consiste aussi à informer de manière neutre à partir de faits. Le livre que j'ai mentionné dans mon mail peut-être lu par un adminsiatrateur W*. Toutefois, ce genre d'information est très technique et il y a de fortes chances que ces gens soient complètement déboussolés. Il sont sciemment maintenus dans l'ignorance, par qui l'on sait, afin d'avoir de l'emprise sur eux; la peur les rendant réfractaires à toute initiative ou réflexion. En informant le plus possible (et les cours du GULL sont aussi là pour ça), on peut aider ces gens à faire leur travail correctement. Donc quand MS se plein d'une information trop circulante a leur gout, je rigole doucement. C'est simplement parcequ'elle ne leur est pas favorable, sinon tu penses bien que les pages des magazines en parlerait de long en large :-) -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.