dimanche 20 avril 2008

Special K.

Je dédie ce papier à un franco-américain bien connu dans le monde de la sécurité.

Pour faire court, il a été résumé ici par le SANS.

Pour faire encore plus court (et en français), les auteurs prétendent avoir créé un outil qui fabrique automatiquement, à partir des patches Microsoft, un exploit (quasiment) fonctionnel, le tout en 3 minutes.

Alors, FUD ou réalité d'après vous ? ;)

PS. J'ai quand même l'impression qu'on croûle sous les "papiers" ces derniers temps ... Un effet de bord du regain d'intérêt des universitaires pour la sécurité ?

samedi 19 avril 2008

Toujours aussi illimité ...

Il faut vraiment faire attention aux conditions d'utilisation de la fameuse "3G" dont on nous rebat les oreilles, car elles changent souvent :

Pour ceux qui n'ont pas le courage de lire :

(5) [...] Afin de permettre à tous les abonnés d'accéder à Internet dans des conditions optimales, le réseau 3G/3G+ étant mutualisé, le débit maximum de connexion sera ajusté à 128Kb/s au-delà de 1Go d'échange de données par mois, jusqu'à la prochaine date de facturation.

Ah oui j'oubliais :
100% compatible ? Je ne vais pas faire le malin avec OpenBSD ... il suffit de savoir que les clés écoulées jusqu'au début de cette année n'étaient pas compatibles Vista.

Tout cela vous semble moisi ? Et bien ils ne s'en cachent même plus maintenant :)

PS. Juste pour le troll, le prochain Asus EEE sera proposé sous Windows XP :)

vendredi 4 avril 2008

De l'utilisation intelligente du "grey listing"

C'est probablement la saison qui veut ça (avec l'approche des impôts), mais les call centers se déchainent en ce moment.

Inspiré par l'efficacité du greylisting pour lutter contre le spam courriel, j'ai décidé de le mettre en place dans ma vie de tous les jours également (même si cela risque de me rapporter moult points au geek test).

Donc je ne réponds plus au téléphone dès le premier appel : si c'est vraiment important, les correspondants rappellent immédiatement ou laissent un message.

Je n'ouvre plus ma porte non plus. Si quelqu'un sait que je suis là (par exemple parce que je lui ai donné rendez-vous), il appelle sur le portable ou sonne une deuxième fois.

Le seul problème : certains call centers appellent même au bureau désormais ! Parfois l'interlocuteur dispose d'informations qui laissent vaguement supposer d'où il tire son listing de contacts, mais j'en suis resté là pour le moment.

Il ne me reste plus qu'à militer pour faire ajouter à la charte sécurité de l'entreprise l'interdiction de décrocher son téléphone s'il n'a pas déjà sonné dans les 2 minutes précédentes - ce qui finalement est largement aussi justifiable que l'interdiction d'introduire des appareils photos encore affichée à l'entrée de nombreux sites industriels ...

Mais tout n'est pas si noir : le spam (courriel ou téléphonique) permet de s'assurer périodiquement que l'infrastructure de communication continue à fonctionner. C'est le Nagios^H^H^HMicrosoft System Center du pauvre en quelque sorte !