En fait Linux, c'est comme MacOS : c'est pas que j'aime pas le système, mais plutôt les gens qui l'utilisent.
Faut quand même avouer qu'ils sont d'une mauvaise foi totale, allant jusqu'à affirmer que leur anatomie est 1cm plus large que la moyenne (je me tiens à disposition pour contre-expertise, en tant qu'utilisateur Windows patenté).
Ce qui doit expliquer pourquoi une jeune fille ne peut pas utiliser Linux, même si c'est une Ubuntu.
Le plus simple, ça reste d'adopter la posture de McAfee : faire comme si Linux n'existait pas :)
PS. Pensez-vous que la distrib' Unbreakable Linux sera ... unbreakable ? En tout cas l'action Red Hat a déjà baissé de $5.
Message totalement personnel : Phil, si tu lis ce blog, sache que j'ai vu ça (pas la peine de me le signaler).
dimanche 29 octobre 2006
mercredi 25 octobre 2006
Microsoft pête les plombs
Non je ne parle pas de Vista cette fois-ci ... mais plutôt de quelques sites assez inattendus.
Buffer overflow [nm] : Un buffer overflow consiste à faire crasher un programme en écrivant dans un buffer (zone de mémoire temporaire) plus de données qu'il ne peut en contenir. But du jeu : rendre instable la machine où tourne l'application vulnérable.
Hmmm ... un buffer overflow c'est un simple déni de service alors ? ;)
- Le jargonaute : le g33k sp34ch expliqué aux n00bz (par Microsoft).
Buffer overflow [nm] : Un buffer overflow consiste à faire crasher un programme en écrivant dans un buffer (zone de mémoire temporaire) plus de données qu'il ne peut en contenir. But du jeu : rendre instable la machine où tourne l'application vulnérable.
Hmmm ... un buffer overflow c'est un simple déni de service alors ? ;)
- Frimr : le portail de la frime.
- Cexcellent : ou comment faire une série sur l'administration de système Windows.
- Coming Zune : le meilleur de tous.
vendredi 20 octobre 2006
Groupe des Utilisateurs Windows Vista
Le GUWIV : j'y étais.
Le contexte : malgré un status d'association Loi 1901, la chose est 0wn3d à 100% par Microsoft (qui n'avait pas son T-Shirt MVP ou MVS ?). D'ailleurs ça se passait dans les locaux de Microsoft, rue de l'Université.
Pour cette première réunion, le public était quant à lui assez éclectique : consultant, développeur, vendeur chez Darty, dépanneur chez SosPC ...
Malgré une orientation assez "happening" de l'évènement, j'ai quand même glané quelques informations intéressantes sur Vista (de mon point de vue, bien sûr :).
La technique de vente Microsoft
Visiblement c'est toujours la même : "notre précédent produit n'était pas vraiment abouti, pour celui-là on est reparti de la feuille blanche, tout est mieux".
L'interface graphique (dites "aéro" si vous ne voulez pas passer pour un plouc)
Visiblement c'est The Big Thing chez Microsoft. Ne dites pas "ah les fenêtres en 3D quant on a une carte graphique plus puissante que son CPU", dites "la plateforme de développement du futur en terme d'expérience utilisateur" :)
Ils ont même créé un site (en Flash) pour vous en convaincre.
Et le pire, c'est que des grands comptes français ont accroché ! Il semblerait que pour le lancement de Vista au grand public (janvier 2007 selon les prévisions), plusieurs sites majeurs du Web français adoptent un look "aéro". Je ne sais pas pourquoi, mais je sens qu'Orange s'est encore laissé embarqué dans cette affaire :)
Bien sûr, ce que l'histoire ne dit pas, c'est que pour utiliser l'API WinFX, le site Web doit télécharger et exécuter des assemblies .NET 3.0 sur le poste de l'utilisateur (si j'ai bien lu entre les lignes :).
En parlant de look-n-feel (pardon, d'expérience utilisateur), faut quand même avouer que ca ressemble bigrement à Mac OS X. Sherlock (= Windows Desktop Search), widgets (= gadgets) de bureau, navigation dans les répertoires par colonne, même les papiers peints sont identiques !
La compatibilité
Alors là j'ai découvert que pour éviter les embrouilles avec les applications "legacy" (= Windows XP) qui demandent trop de droits, il y a carrément une instance Virtual PC à l'intérieur de Vista ! A priori c'est pas du Virtual PC comme à la maison mais plutôt une version "Express".
Sinon la version 64 bits de Vista ne sera pas capable de faire tourner les applications 16 bits, contrairement à la version 32 bits.
DRM
Là encore c'est The Big Thing chez Microsoft. Pas mal de composants dans le système ont été pensés pour le DRM, à commencer par le moniteur d'intégrité (CI.DLL) qui évite les cafouillages dans Windows Media Player.
Mais le plus énorme, c'est que Windows Vista 32 bits ne sera pas capable de lire les HD-DVD (BluRay), contrairement à la version 64 bits. Pourquoi ? Parce que le consortium qui gère les HD-DVD engage plus ou moins contractuellement les éditeurs de logiciel à empêcher que les clés de déchiffrement ne "leakent" trop rapidement. Et Microsoft ne voulait pas assumer le risque financier avec une version de Windows jugée trop facile à "cracker" par rapport à la version 64 bits et ses drivers signés.
En résumé, si vous n'avez pas d'antivirus sur Vista 64 bits, c'est à cause de la MPAA (entre autres).
La protection logicielle
Tout simplement excellent. Ayant par le passé souffert des vols de clés en volume (Volume Licence Keys), Microsoft introduit le système VLK 2.0. En résumé :
Mais la vraie nouveauté, c'est qu'un Windows n'ayant pas pu vérifier sa licence pendant 180 jours va passer en mode "dégradé", incluant par exemple l'impossibilité d'utiliser les fenêtres en 3D (!). Et la seule application que vous pourrez exécuter, c'est Internet Explorer pendant 1h (!!!).
Bien entendu, on imagine pas que Windows Vista soit utilisé dans des panneaux de contrôle d'avions ou de centrales nucléaires ... mais ça pourrait être fun si c'était le cas et que le système venait à se bloquer :)
La soirée de lancement
Pour finir, il semblerait que Microsoft prépare un évènement de lancement exceptionnel, incluant au moins un appart' truffé de Webcams et de PCs. Et les invités seront les blogueurs les plus en vus, donc je tente ma chance :
Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista
Le contexte : malgré un status d'association Loi 1901, la chose est 0wn3d à 100% par Microsoft (qui n'avait pas son T-Shirt MVP ou MVS ?). D'ailleurs ça se passait dans les locaux de Microsoft, rue de l'Université.
Pour cette première réunion, le public était quant à lui assez éclectique : consultant, développeur, vendeur chez Darty, dépanneur chez SosPC ...
Malgré une orientation assez "happening" de l'évènement, j'ai quand même glané quelques informations intéressantes sur Vista (de mon point de vue, bien sûr :).
La technique de vente Microsoft
Visiblement c'est toujours la même : "notre précédent produit n'était pas vraiment abouti, pour celui-là on est reparti de la feuille blanche, tout est mieux".
L'interface graphique (dites "aéro" si vous ne voulez pas passer pour un plouc)
Visiblement c'est The Big Thing chez Microsoft. Ne dites pas "ah les fenêtres en 3D quant on a une carte graphique plus puissante que son CPU", dites "la plateforme de développement du futur en terme d'expérience utilisateur" :)
Ils ont même créé un site (en Flash) pour vous en convaincre.
Et le pire, c'est que des grands comptes français ont accroché ! Il semblerait que pour le lancement de Vista au grand public (janvier 2007 selon les prévisions), plusieurs sites majeurs du Web français adoptent un look "aéro". Je ne sais pas pourquoi, mais je sens qu'Orange s'est encore laissé embarqué dans cette affaire :)
Bien sûr, ce que l'histoire ne dit pas, c'est que pour utiliser l'API WinFX, le site Web doit télécharger et exécuter des assemblies .NET 3.0 sur le poste de l'utilisateur (si j'ai bien lu entre les lignes :).
En parlant de look-n-feel (pardon, d'expérience utilisateur), faut quand même avouer que ca ressemble bigrement à Mac OS X. Sherlock (= Windows Desktop Search), widgets (= gadgets) de bureau, navigation dans les répertoires par colonne, même les papiers peints sont identiques !
La compatibilité
Alors là j'ai découvert que pour éviter les embrouilles avec les applications "legacy" (= Windows XP) qui demandent trop de droits, il y a carrément une instance Virtual PC à l'intérieur de Vista ! A priori c'est pas du Virtual PC comme à la maison mais plutôt une version "Express".
Sinon la version 64 bits de Vista ne sera pas capable de faire tourner les applications 16 bits, contrairement à la version 32 bits.
DRM
Là encore c'est The Big Thing chez Microsoft. Pas mal de composants dans le système ont été pensés pour le DRM, à commencer par le moniteur d'intégrité (CI.DLL) qui évite les cafouillages dans Windows Media Player.
Mais le plus énorme, c'est que Windows Vista 32 bits ne sera pas capable de lire les HD-DVD (BluRay), contrairement à la version 64 bits. Pourquoi ? Parce que le consortium qui gère les HD-DVD engage plus ou moins contractuellement les éditeurs de logiciel à empêcher que les clés de déchiffrement ne "leakent" trop rapidement. Et Microsoft ne voulait pas assumer le risque financier avec une version de Windows jugée trop facile à "cracker" par rapport à la version 64 bits et ses drivers signés.
En résumé, si vous n'avez pas d'antivirus sur Vista 64 bits, c'est à cause de la MPAA (entre autres).
La protection logicielle
Tout simplement excellent. Ayant par le passé souffert des vols de clés en volume (Volume Licence Keys), Microsoft introduit le système VLK 2.0. En résumé :
- Soit vous êtes une PME, dans ce cas vous utilisez des clés MAK donc votre Windows doit contacter Microsoft tous les 180 jours.
- Soit vous êtes un grand compte et dans ce cas vous avez un service KMS en interne, chargé de vérifier les licences à partir d'un certificat délivré par Microsoft (qui remplace la VLK). Comme dit Microsoft, "c'est une demande de nos clients car ils veulent des outils pour suivre leur parc logiciel au mieux" :)
Mais la vraie nouveauté, c'est qu'un Windows n'ayant pas pu vérifier sa licence pendant 180 jours va passer en mode "dégradé", incluant par exemple l'impossibilité d'utiliser les fenêtres en 3D (!). Et la seule application que vous pourrez exécuter, c'est Internet Explorer pendant 1h (!!!).
Bien entendu, on imagine pas que Windows Vista soit utilisé dans des panneaux de contrôle d'avions ou de centrales nucléaires ... mais ça pourrait être fun si c'était le cas et que le système venait à se bloquer :)
La soirée de lancement
Pour finir, il semblerait que Microsoft prépare un évènement de lancement exceptionnel, incluant au moins un appart' truffé de Webcams et de PCs. Et les invités seront les blogueurs les plus en vus, donc je tente ma chance :
Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista Microsoft Windows Vista
Revue de presse "spécialisée"
Comme ceux qui me connaissent bien le savent, j'achète à peu près tous les magazines dont le titre contient les chaines de caractères "hack" ou "pirate" ... (J'ai quand même fini par arrêter d'acheter les compilations de logiciels téléchargés sur Internet, vendues 10 euros).
Un jour peut-être (si j'ai le courage) je vous ferai une critique circonstanciée des nombreux magazines existants, leurs origines, leurs auteurs et leur contenu.
Mais pour rester dans les choses simples, voici quelques news :
Un jour peut-être (si j'ai le courage) je vous ferai une critique circonstanciée des nombreux magazines existants, leurs origines, leurs auteurs et leur contenu.
Mais pour rester dans les choses simples, voici quelques news :
- Pirate Mag', c'est fini ! On savait que le magazine avait des problèmes, essentiellement financiers, mais là c'est vraiment la fin de la presse "d'avant" (le Virus Informatique nous ayant déjà quitté depuis longtemps).
- NetHackers, édité par AC'ISSI (une spin-off de The Hackademy), est devenu NetSecret's. Bizarre comme changement de nom, car si "NetHackers" était difficile à référencer correctement sur Google, "NetSecrets" l'est encore plus ! Mais le plus drôle, c'est qu'ils s'apprêtent à sortir un NetSeniors ! C'est pour ceux qui n'ont plus la carte 12/25 ?
- The Hackademy vend principalement en PDF maintenant (je n'ai jamais réussi à mettre la main sur l'édition papier dans un kiosque parisien).
- Hakin9 devient mensuel à partir de l'année prochaine.
- Et enfin, pour ceux qui se demandent ce que devient le MISC Allemand, sachez que la traduction était tellement pauvre qu'ils n'ont jamais dépassé le 1er numéro.
mercredi 18 octobre 2006
20 ans de sécurité informatique ...
... pour en arriver là.
Opera 9
Publiée le 15 septembre 2006
A flaw exists within Opera when parsing a tag that contains a URL. A heap buffer with a constant size of 256 bytes is allocated to store the URL, and the tag's URL is copied into this buffer without sufficient bounds checking of its length. The vulnerable code would look something like this in C/C++:
char *local_url = malloc(256);
strcpy(local_url, tag_url);
Note : ce bug a été introduit dans la version 9, il n'affecte pas la version 8 ...
Apache, mod_tcl
Publiée le 16 août 2006
Due to programmer error, user supplied data is passed as the format string specifier to several calls to an internally defined variable argument function. The function 'set_var' is declared as follows:
mod_tcl.h:117:void set_var(Tcl_Interp *interp, char *var1, char *var2, const char *fmt, ...);
Several insecure calls to this function are made through out the code, as seen below:
tcl_cmds.c:437: set_var(interp, nm_var, (char*) key, (char*) val);
tcl_cmds.c:2231: set_var(interp, nm_env, env[i], sptr + 1);
tcl_core.c:650: set_var(interp, namespc, vl[i].var2, vl[i].var3);
Cisco
Publiée le 12 octobre 2006
The Cisco Wireless Location Appliance software contains a default password for the 'root' administrative account. A user who logs in using this username has complete control of the device.
[...]
If the password has not previously been changed, the default username for the administrator login is "root" (without the quotes), and the default password is "password" (without the quotes).
Mambo
Publiée le 5 octobre 2006
Mambo is vulnerable to an Authentication Bypass issue that is due to an SQL Injection in the login function. The SQL Injection is possible because the $passwd variable is only sanitized when it is not passed as an argument to the function.
En résumé ...
Un strcpy() dans un buffer de 256 octets, une format string, un mot de passe root en dur, une injection SQL dans le champ password, ...
C'est bon, j'ai encore du boulot pour les 20 prochaines années :)
Opera 9
Publiée le 15 septembre 2006
A flaw exists within Opera when parsing a tag that contains a URL. A heap buffer with a constant size of 256 bytes is allocated to store the URL, and the tag's URL is copied into this buffer without sufficient bounds checking of its length. The vulnerable code would look something like this in C/C++:
char *local_url = malloc(256);
strcpy(local_url, tag_url);
Note : ce bug a été introduit dans la version 9, il n'affecte pas la version 8 ...
Apache, mod_tcl
Publiée le 16 août 2006
Due to programmer error, user supplied data is passed as the format string specifier to several calls to an internally defined variable argument function. The function 'set_var' is declared as follows:
mod_tcl.h:117:void set_var(Tcl_Interp *interp, char *var1, char *var2, const char *fmt, ...);
Several insecure calls to this function are made through out the code, as seen below:
tcl_cmds.c:437: set_var(interp, nm_var, (char*) key, (char*) val);
tcl_cmds.c:2231: set_var(interp, nm_env, env[i], sptr + 1);
tcl_core.c:650: set_var(interp, namespc, vl[i].var2, vl[i].var3);
Cisco
Publiée le 12 octobre 2006
The Cisco Wireless Location Appliance software contains a default password for the 'root' administrative account. A user who logs in using this username has complete control of the device.
[...]
If the password has not previously been changed, the default username for the administrator login is "root" (without the quotes), and the default password is "password" (without the quotes).
Mambo
Publiée le 5 octobre 2006
Mambo is vulnerable to an Authentication Bypass issue that is due to an SQL Injection in the login function. The SQL Injection is possible because the $passwd variable is only sanitized when it is not passed as an argument to the function.
En résumé ...
Un strcpy() dans un buffer de 256 octets, une format string, un mot de passe root en dur, une injection SQL dans le champ password, ...
C'est bon, j'ai encore du boulot pour les 20 prochaines années :)
lundi 16 octobre 2006
Inattendu ...
Dimanche 15 octobre 2006 ...
Journal de France 2, 20h20'38" heure locale ...
Sujet sur le 300,000,000-ème américain ...
Le journaliste avait besoin d'un clipart "informatique" pour figurer le bureau du recensement américain ...
Et là, c'est le drame.
Journal de France 2, 20h20'38" heure locale ...
Sujet sur le 300,000,000-ème américain ...
Le journaliste avait besoin d'un clipart "informatique" pour figurer le bureau du recensement américain ...
Et là, c'est le drame.
dimanche 15 octobre 2006
A propos d'inforensique* mémoire ...
L'inforensique est une activité rarement pratiquée par les consultants, car rarement demandée par les clients. Il faut dire que dans la plupart des cas, les pirates entrent par brute-force SSH ... Les travaux du Honeynet Project sont particulièrement édifiants sur le niveau moyen des pirates.
Dans ce contexte, l'inforensique mémoire, destiné à contrer les intrusions "tout en mémoire", tient de la science-fiction. A ma connaissance, il n'y a eu que 2 expérimentations publiques sur de l'inforensique mémoire :
La solution du challenge Securitech n'est pas en ligne. A contrario, le challenge DRFWS 2005 a produit 2 outils intéressants : MemParser et KntList. Jusqu'à récemment, ces outils n'étaient pas disponibles publiquement, mais les présentations qui en ont été faits sont très alléchantes [MemParser-PDF, KntList-PDF]. Je vous laisse méditer sur cette reconstruction graphique des structures ETHREAD et EPROCESS.
Vous comprendrez donc mon excitation lorsqu'on m'a dit que MemParser était passé sur SourceForge cet été, dans l'anonymat le plus total !
* Inforensique = traduction officielle de forensics
Dans ce contexte, l'inforensique mémoire, destiné à contrer les intrusions "tout en mémoire", tient de la science-fiction. A ma connaissance, il n'y a eu que 2 expérimentations publiques sur de l'inforensique mémoire :
- Le challenge DRFWS 2005
- Le challenge Securitech 2005, niveau 16 (qui n'est malheureusement plus disponible en ligne)
La solution du challenge Securitech n'est pas en ligne. A contrario, le challenge DRFWS 2005 a produit 2 outils intéressants : MemParser et KntList. Jusqu'à récemment, ces outils n'étaient pas disponibles publiquement, mais les présentations qui en ont été faits sont très alléchantes [MemParser-PDF, KntList-PDF]. Je vous laisse méditer sur cette reconstruction graphique des structures ETHREAD et EPROCESS.
Vous comprendrez donc mon excitation lorsqu'on m'a dit que MemParser était passé sur SourceForge cet été, dans l'anonymat le plus total !
* Inforensique = traduction officielle de forensics
jeudi 5 octobre 2006
Les abus dans la sécurité informatique
Quelques idées qui me sont venues en vrac, en lisant quotidiennement les dizaines de mailing lists et de blogs consacrés à la "sécurité informatique" (vaste sujet s'il en est, du virus VBScript au distributeur de billets backdooré).
J'en viens quand même à la conclusion qu'il y a de nombreux abus dans ce milieu, en voici quelques uns :
Google n'est pas en reste puisqu'il poursuit toutes les publications qui utilisent le verbe "to google", malgré son apparition dans le Oxford English Dictionnary ...
De même H. D. Moore avec "The Hacker Foundation" nous prépare sans doute quelquechose aux petits oignons !
16 novembre 2006 : Conférence CLUSIF - Paris
Sécurité physique : crochetage de serrures - Jérôme Poggi
http://www.clusif.asso.fr/
N'hésitez pas à me signaler si vous avez d'autres histoires à raconter !
[1] En particulier les propriétaires de Mac, habituellement assez bornés :)
J'en viens quand même à la conclusion qu'il y a de nombreux abus dans ce milieu, en voici quelques uns :
- La sécurité WiFi
- Les end-users [1]
- Les services juridiques
Google n'est pas en reste puisqu'il poursuit toutes les publications qui utilisent le verbe "to google", malgré son apparition dans le Oxford English Dictionnary ...
- Les "chercheurs" en sécurité
De même H. D. Moore avec "The Hacker Foundation" nous prépare sans doute quelquechose aux petits oignons !
- Les businessmen
- Les consultants
16 novembre 2006 : Conférence CLUSIF - Paris
Sécurité physique : crochetage de serrures - Jérôme Poggi
http://www.clusif.asso.fr/
N'hésitez pas à me signaler si vous avez d'autres histoires à raconter !
[1] En particulier les propriétaires de Mac, habituellement assez bornés :)