Savannah et Gentoo attaqués également

Posté par  (site web personnel) . Modéré par Nÿco.
Étiquettes :
0
5
déc.
2003
Sécurité
Savannah, le système de developpement "sourceforge-like" proposé par le projet GNU, a été compromis, et cela depuis le 2 novembre.

Il semble que la faille utilisée pour accéder au système soit la même que celle utilisée pour accéder aux serveurs de Debian le 20 novembre dernier.
- Utilisation de la même faille de sécurité dans le kernel do_brk()
- Installation du même rootkit (Suckit)

Les serveurs de Savannah ne seront remis en route qu'au mieux pour le 5 décembre.

Le 2 décembre, c'est un serveur Gentoo qui a été compromis, mais aucun fichier n'a été affecté.

Update : le serveur rsync a été compromis en utilisant une faille de rsync lui-même (heap overflow). Toutes les versions <= 2.5.6 sont vulnérables à cette faille qui a été corrigée dans la version 2.5.7 sortie hier. Seuls les rsync fonctionnant en mode serveur sont affectés. Merci à Baptiste Simon pour cette information. Il est conseillé de passer immédiatement ses serveurs rsync en 2.5.7 et de combiner cette migration avec la migration (si ce n'est déjà fait) vers des noyaux 2.4.23 ou > au 2.6.0-test6. De même, l'équipe de développement de rsync souhaite voir rapidement des mises à jour disponibles chez les distributeurs.

De même, il est déconseillé de mettre la variable use chroot à no dans le /etc/rsync.conf.

Aller plus loin

  • # Et les autres ?

    Posté par  (site web personnel) . Évalué à -1.

    Et HURD ils vont se faire compromettre aussi ? :)
    -> []
    • [^] # Re: Et les autres ?

      Posté par  . Évalué à 10.

      Ça dépend, ils tournent sous quelle version de linux? ;)
      On ne va pas essayer de me faire croire qu'ils tournent sous windows quand même!
      Pom, pom, pom...
  • # Un aspect positif

    Posté par  . Évalué à 10.

    Il y'aura au moins un aspect positif à l'affaire : cela a acceleré la mise en place d'une nouvelle machine. Nous avions un PIII bi-proc, nous avons maintenant un Xeon bi-proc.

    Pour le reste, je préciserais ce que j'ai déjà dit dans un commentaire dans un journal : oui, un mois c'est long. Il est clair qu'à l'avenir, les tests contre les rootkits seront effectués de manière systématique et régulière, car autant le cas de Debian que le notre montre qu'il ne suffit pas d'attendre qu'un phénomène étrange se produise (kernel oops dans le cas de Debian).

    Sans avoir aucune preuve de rien, je trouve que c'est un hasard bien trop important que, de manière subite, de nombreuses machines aient été attaquées en exploitant une faille qui apparaissait dans le ChangeLog du noyau comme un problème trivial. En d'autres termes, l'hypothèse que tout ceci ne soit pas une action d'un malin isolé mais une opération financée par un groupe ayant un intérêt à réaliser ce type d'opérations marketing, me parait tout à fait plausible.

    Mais il est clair que même si cette hypothèse est exacte, le problème n'est pas là. Ce n'est pas une excuse d'avoir des « ennemis », le problème est de parvenir à gérer toute opération offensive.


    J'ajouterais que même si ce n'est pas précisé dans le message annonçant la faille, il est conseillé à quiquonque ayant téléchargé un logiciel sur Savannah de s'en méfier.
    Un point positif est le fait qu'il est peu évident de modifier un fichier sur un arbre CVS sans que cela se voie.
    Par contre, pour ce qui est de paquets à télécharger, c'est plus douteux.
    Je précise que les paquets des projets GNU sont sur ftp.gnu.org, donc pas concernés par le problème.
    • [^] # Re: Un aspect positif

      Posté par  (site web personnel) . Évalué à 10.

      Il faudrait relancer l'idée de signature obligatoire des paquets téléchargeables car il est clair qu'un md5sum n'est pas suffisant.
      Ensuite il faudra mettre le serveur de clés en mode paranoïaque avec vérification de la présence d'un rootkit toutes les deux minutes. ;)
      • [^] # Re: Un aspect positif

        Posté par  . Évalué à 10.

        Paul Fisher (sysadmin employé de la FSF) à mis en place une nouvelle politique de sécurité concernant les paquets allant sur ftp.gnu.org. Je pense que nous allons aller dans cette direction.
    • [^] # Re: Un aspect positif

      Posté par  . Évalué à 10.

      >Sans avoir aucune preuve de rien, je trouve que c'est un hasard bien trop important que, de manière subite, de nombreuses machines aient été attaquées en exploitant une faille qui apparaissait dans le ChangeLog du noyau comme un problème trivial. En d'autres termes, l'hypothèse que tout ceci ne soit pas une action d'un malin isolé mais une opération financée par un groupe ayant un intérêt à réaliser ce type d'opérations marketing, me parait tout à fait plausible.

      ah ah ah ;)
      J'aime cette théorie du complot. Il est bien évident que les pirates informatiques sont tous pour l'open-source, d'ailleur on devrait dire pirate informatique éthique non ?
      Trêve de plaisanterie, fluffy bunny l'a déjà démontré avec le piratage de la fondation apache si je me souviens bien, les pirates se moquent totalement des problèmes éthiques (enfin pour la plupart).

      Mais il est vrai que la théorie du complot est largement plus fascinante que l'hypothese qu'un remote buffer overflow a été découvert et qu'un exploit écrit est utilisé par opportunisme.

      D'un autre coté, linux est devenu pratiquement aussi populaire que windows, nous devions savoir qu'il allait devenit la cible des mêmes attaques. Mais surtout, arrrêtons de faire de la diffamation pour nous chercher des excuses.

      Linux n'est pas bug-free et tous les pirates n'ont pas un sens de l'hétique exacerbé.
      • [^] # Re: Un aspect positif

        Posté par  (site web personnel, Mastodon) . Évalué à 10.

        Finalement, dans un optimisme débridé, on pourrait dire que c'est une "bonne nouvelle".
        On "accusait" Linux de ne pas être victime de virus car pas intéressant pour le pirate moyen => pas assez déployé.
        Avec ces attaques, ca confirme que ca devient intéressant (vu du pirate, bien sûr).

        Donc, ca confirme de Linux devient une réalité dans toutes les couches de la société. Même dans celles qui ne sont guère recommandables.

        Bon, je ne suis quand même pas sur à 100% que ce soit une bonne nouvelle...
      • [^] # Re: Un aspect positif

        Posté par  (site web personnel) . Évalué à 6.

        Sauf que tu n'entends jamais parler des attaques ciblés de ce genre sur des machines windows. Leur admin font tout pour éviter que cela s'ébruite.

        "La première sécurité est la liberté"

        • [^] # Re: Un aspect positif

          Posté par  . Évalué à 9.

          Peut-être parce que les serveurs sous windows sont le plus souvent des serveurs d'entreprises qui craignent pour leur image si cela venait à se savoir ?! non ?

          ah non, suis-je bête, tous les admins windows sont stupides,méchants, bêtes et en plus mauvais. Mais avec un peu de chance ils verront la vérité et linux les conduira vers l'illumination.

          Touch the screen !
          • [^] # Re: Un aspect positif

            Posté par  . Évalué à 7.

            Parce que selon toi, s'il est légitime pour une entreprise de craindre pour son image, Debian, GNU et Gentoo ne pourraient pas avoir ce type de craintes, alors que ces groupes sont focalisés sur l'informatique ?
            • [^] # Re: Un aspect positif

              Posté par  . Évalué à -1.

              Pour des groupes commerciaux, l'image a un impact direct sur les ventes. Je doute que debian ai très peur des conséquences commerciales, de même pour GNU.
              Et leur communication ne se dirige pas vers les mêmes cibles. tout ce qu'une grande partie des consommateur retient lorsqu'un entreprise admet le fait qu'elle se soit fait voler des informations, c'est qu'il ne faut pas en devenir client.

              Enfin, je dis ça je dis rien hein.
              • [^] # Re: Un aspect positif

                Posté par  . Évalué à 1.

                GNU et Debian ne s'adressent pas qu'à un public très éclairé en matière informatique, un public qui saurait faire la différence entre un serveur cracké et un poste personnel cracké via un courriel.

                GNU et Debian ont aussi besoin de popularité, même si ce n'est pas directement lié à des conséquences commerciales.
                • [^] # Re: Un aspect positif

                  Posté par  . Évalué à 2.

                  GNU et Debian ont beaucoup plus à perdre en ne jouant pas sur la transparence qu'un groupe commercial. Car justement ils ne visent pas le même publique. Les utilisateurs de debian ont quand même une certaine culture informatique par exemple.
                  • [^] # Re: Un aspect positif

                    Posté par  . Évalué à 8.

                    La question ne porte pas sur les utilisateurs actuels, mais sur les utilisateurs à venir. Et ni GNU ni Debian n'espèrent pas toucher un jour un public sans culture informatique.
                    • [^] # Re: Un aspect positif

                      Posté par  . Évalué à -1.

                      C'est fort dommage! Pour moi le Logiciel Libre devrait être accessible à tous, sans barrières de langues, de compétences, et d'argent!
                      </utopie> je sais...
                      • [^] # Re: Un aspect positif

                        Posté par  . Évalué à 5.

                        Je pense que tu m'as mal compris, je reformule : je pense que GNU et Debian s'adressent aussi à un public « sans culture informatique », peu importe la situation de fait actuelle.
                        • [^] # Re: Un aspect positif

                          Posté par  . Évalué à 2.

                          Oops désolé j'étais pas bien réveillé, je me disais aussi que cette déclaration était surprenante :)
                        • [^] # Contrat social (et moral)

                          Posté par  . Évalué à 1.

                          Oui, oui... d'ailleurs c'est inscrit en toutes lettres dans le "Contrat Social" de Debian :

                          "Social Contract" with the Free Software Community
                          ...
                          [snip]
                          ...
                          4. Our Priorities are Our Users and Free Software

                          We will be guided by the needs of our users and the free-software community. We will place their interests first in our priorities (*). We will support the needs of our users for operation in many different kinds of computing environment. We won't object to commercial software that is intended to run on Debian systems, and we'll allow others to create value-added distributions containing both Debian and commercial software, without any fee from us. To support these goals, we will provide an integrated system of high-quality, 100% free software, with no legal restrictions that would prevent these kinds of use.

                          (*) Nous définirons leurs (celui des utilisateurs et de la communauté du LL) intérêts comme la première de nos priorités
                          ...
                          [snip]
                          ...



                          Et je trouve qu'au-delà de toutes préoccupations, c'est ce "Contrat social" qui est le plus séduisant dans l'approche du LL selon Debian : garantie de la liberté d'utilisation et de redistribution, implication unilatérale (désintéressée), non dissimulation (on l'a encore vu récemment), engagement envers l'utilisateur et la communauté, non discrimination (ce que certains oublient trop souvent) et ouverture (branche "contrib")...

                          A lire sans modération : http://www.debian.org/social_contract(...)
                          • [^] # Re: Contrat social (et moral)

                            Posté par  . Évalué à 3.

                            je ne vois absolument pas où il est écrit que Debian cherche à se rapprocher des utilisateurs non informaticiens...
                            • [^] # Re: Contrat social (et moral)

                              Posté par  . Évalué à 2.

                              Dans our users and the free-software community, j'y comprends plus tout utilisateur (effectif ou potentiel) que juste les utilisateurs actuels (et futurs)...
                              A mon sens, il faut distinguer deux approches :
                              1. la première, issue d'une logique commerciale, associe aux termes "nos utilisateurs" la base d'utilisateurs avérés d'un système/logiciel, base qu'il s'agit d'étendre par tous les moyens (pas toujours très éthiques soit dit en passant)
                              2. la seconde, conclusion logique d'un souhait communautaire sans préoccupations commerciales, donne un sens plus indéterminé au pronom possessif "nos"

                              On peut effectivement y voir pure interprétation de ma part mais en lisant l'ensemble des termes Debian et en constatant de visu l'étendue du travail fourni par ses contributeurs, je me dis que je ne dois pas être si loin de la vérité...

                              Encore une fois, relis http://www.debian.org/social_contract(...) dans sa totalité et donne moi une phrase/expression qui pourrait faire douter de cette volonté de satisfaire... sans "discrimination"... le plus grand nombre.
                              Au delà, et c'est encore une fois gage d'une approche communautaire saine, je ne décèle aucune volonté de "convertir", juste celle d'offrir et de proposer : libre à chacun.

                              Et cette liberté, on la retrouve dans d'autre domaines (http://www.debian.org/devel/constitution(...))
                              [Extrait de la constitution Debian]

                              2.1. General rules
                              1. Nothing in this constitution imposes an obligation on anyone to do work for the Project. A person who does not want to do a task which has been delegated or assigned to them does not need to do it. However, they must not actively work against these rules and decisions properly made under them.
                              2. A person may hold several posts, except that the Project Leader, Project Secretary and the Chairman of the Technical Committee must be distinct, and that the Leader cannot appoint themselves as their own Delegate.
                              3. A person may leave the Project or resign from a particular post they hold, at any time, by stating so publicly.

                              Pourtant le project fonctionne de manière plus que satisfaisante : il y aurait sans doute matière à s'inspirer non ?

                              Après si tu estimes que ton investissement pour utiliser une distribution comme Debian serait trop important... encore une fois tu es libre. Je pense juste que tu passes à côté d'une belle aventure humaine (à supposer que tu éprouves un intérêt même mineur pour ce domaine, i.e informatique, bien entendu)

                              PS: il existe aussi d'autres projets "Debian" destinés à un public moins "averti"...
                      • [^] # Re: Un aspect positif

                        Posté par  . Évalué à 6.

                        euh, je pense que tu as mal compris le message auquel tu réponds (il est vrai que la double négation n'aidait pas ;))
                        il dit justement que GNU et Debian espèrent tous deux toucher un jour un public beaucoup plus large
                    • [^] # Re: Un aspect positif

                      Posté par  . Évalué à -2.

                      Et ni GNU ni Debian n'espèrent pas toucher un jour un public sans culture informatique.

                      L'incohérence de ta phrase montre l'état de ta pensée parvenu à ce point de la discussion ; mais c'est mieux qu'une cohérence qui se laisserait traverser comme un discours marketing, et au moins le débat était ouvert.

                      Les intérêts sont trés diffèrents entre des organismes issus de personnes désintéressées et des personnes morales engagées dans la lutte pour la survie.

                      Mème si il y a nuisance par les mèmes causes, et un peu par les mèmes effets, les stratégies seront aussi différentes que les moyens disponibles.
                      Ma petite vieille d'opinion.
      • [^] # Re: Un aspect positif

        Posté par  . Évalué à 1.

        Je trouve assez désolant de lire des réponses de ce genre, qui citent une partie dans message et qui s'amusent à ignorer superbement l'autre partie d'un message qui abordent de manière directe la question qu'ils adressent.

        Rechercher des « théories [...] fascinantes » ne me semble pas être ce dont il est question ici.
        • [^] # Re: Un aspect positif

          Posté par  . Évalué à -5.

          Mais sérieux, tu en sais à peu prêt autant que ma grand mère sur le pourquoi du hacking de serveurs Debian/GNU/Savannah/Gentoo. Alors inutile de ressasser sans cesse "la théorie du complot", laissons l'extraterestre de Rooswelt, les hommes en noir et les hommes en blanc à leur place...
          • [^] # Re: Un aspect positif

            Posté par  . Évalué à -3.

            Tu en sais plus ? Si ce n'est pas le cas, on en sait tous autant que ta grand mère, alors.

            Donc si tu sais rien, tu n'as pas à dire que l'hypothèse d'une action coordonnée est comparable aux histoires de Roswell, tu n'en sais rien.

            Ce n'est pas une hypothèse purement gratuite mais une hypothèse raisonnable. Et tu n'as rien de raisonnable pour prétendre que cette hypothèse n'a aucun sens.
            • [^] # Re: Un aspect positif

              Posté par  (Mastodon) . Évalué à 4.

              «Ce n'est pas une hypothèse purement gratuite mais une hypothèse raisonnable. Et tu n'as rien de raisonnable pour prétendre que cette hypothèse n'a aucun sens.»

              Et pourquoi le crash d'un vaisseau extraterrestre à Roswell ne serait pas une hypothèse raisonnable ? Tu en sais quelque chose ?

              Moralité, personne ne sait rien, et tout le monde adore en parler ;-)
              • [^] # Re: Un aspect positif

                Posté par  . Évalué à 3.

                « Tu en sais quelque chose ? »

                Je ne vois rien de raisonnable dans l'idée qu'il devrait avoir des extraterrestres utilisant des vaisseaux ressemblant étrangement à des productions du cerveau humain, extraterrestres naturellement avec des bras, yeux, jambes.

                Dans l'hypothèse concernant le problème actuel, je ne vois pas ce qu'il y a de bien étrange et extra-ordinaire. Ca ne devrait pas être un choc d'entendre une telle hypothèse. Il y a aussi des gens qui croient que les virus sont forcement écris pour le plaisir, sans penser que peut-être le crime profite largement à quelqu'un.

                Bref, quand il y a un problème, si tu arrives à trouver des mobiles plausibles à des groupes de personnes précis, dire qu'il est parfaitement farfelu de penser que ces groupes ne sont pas tout à fait étranger à l'affaire n'est pas choquant.

                On en revient au même point : je donne une hypothèse, vous prétendez qu'elle est forcement stupide. Pourtant, on est tous d'accord pour dire qu'on manque d'éléments, éléments qui seuls permettraient de faire une affirmation : éléments qui seuls permettraient de dire que l'hypothèse est farfelue.
                • [^] # Re: Un aspect positif

                  Posté par  (Mastodon) . Évalué à 3.

                  Je prétend pas que ton hypothèse est stupide (non non, vérifie), je me moque de votre joute verbale à base de "tu ne sais rien".

                  "Je ne vois rien de raisonnable dans l'idée qu'il devrait avoir des extraterrestres [...]"

                  Et ben le monsieur au dessus ne voyait rien de raisonnable dans l'idée que Microsoft paye des vilains pirates pour saboter des serveurs de la "communauté". Après, c'est facile de dire "mon hypothèse est plus raisonnable que la tienne", mais ça n'apporte rien au débat, ça montre juste lequel est le plus acharné.
            • [^] # Re: Un aspect positif

              Posté par  . Évalué à 2.

              Tu en sais plus ? Si ce n'est pas le cas, on en sait tous autant que ta grand mère, alors.

              Et elle en sait des choses ma grand mère, 80 années d'apprentissages de la vie, elle a vue la guerre ma grand mère, c'est pas le cas de tout le monde !!! :-)

              Donc si tu sais rien, tu n'as pas à dire que l'hypothèse d'une action coordonnée est comparable aux histoires de Roswell, tu n'en sais rien.

              Ce genre de raisonnement à sens unique c'est totalement ridicule. Tu as le droit de partir sans cesse (si encore c'était la première fois..) sur des raisonnements de grand complot organisé par des méchants anti-libre, basé sur des élèments inexistant, mais l'on n'aurait pas le droit de sortir l'inverse, ni de sortir que ce que tu sors est ridicule car justement basé sur rien.

              Ce n'est pas une hypothèse purement gratuite mais une hypothèse raisonnable.

              C'est une hypothèse totalement gratuite basé sur rien. Et a peu prêt aussi raisonnable que de manger du saucissons au petit déjeuné avec le café et la confiture de prunes, mais je suis d'accord, c'est possible.

              Et tu n'as rien de raisonnable pour prétendre que cette hypothèse n'a aucun sens.

              Et tu n'a rien pour prouver que tu as raison et que ce ne sont pas des élucubrations dignent d'un Matrix 4. Je veux bien que tu nous expose sur quoi tu te base pour nous maintenir contre vents et marées que c'est un complot des méchants et pas autre chose.

              Allez tient, de la même façon, c'est "des gens du libre" qui ont créé MS Blaster pour discrédité Microsoft Windows aux yeux du monde (dommage qu'il soit aveugle).

              Faut pas non plus tomber dans l'extrémisme et y voir toujours le mal de grandes organisations, elles sont bien trop occupé à se contempler le nombril pour penser à ce genre de mesquinnerie. Mais visiblement certains y pensent, peut être que certains agirait de cette manière la s'ils le pouvaient.
              • [^] # La langue française.

                Posté par  . Évalué à -1.

                « Ce genre de raisonnement à sens unique c'est totalement ridicule. Tu as le droit de partir sans cesse (si encore c'était la première fois..) sur des raisonnements de grand complot organisé par des méchants anti-libre, basé sur des élèments inexistant, mais l'on n'aurait pas le droit de sortir l'inverse, ni de sortir que ce que tu sors est ridicule car justement basé sur rien. »

                Tu ne comprends pas bien ce que toi et moi faisons : je formule des hypothèses, tu affirmes.

                On manque d'élément : la seule attitude sage en pareilles circonstances est de se contenter d'hypothèses, et en aucun cas d'affirmations.

                En la matière, je pense que le ridicule n'est pas de mon coté.


                « C'est une hypothèse totalement gratuite basé sur rien. Et a peu prêt aussi raisonnable que de manger du saucissons au petit déjeuné avec le café et la confiture de prunes, mais je suis d'accord, c'est possible. »

                J'ai détaillé sur quoi est basée mon hypothèse :
                - nuire à ces serveurs nuit à la réputation du logiciel libre
                - il existe des personnes qui ont un intérêt marketing à cette nuisance
                - ces personnes ont par le passé déjà agit de manière considérée peu morale
                - une opération de cet ordre pourrait nécessiter du fric, et les personnes sus-citées ont du fric


                Désires-tu contredire ces éléments, qui eux ne sont pas de l'ordre de l'hypothèses ?

                Il ne suffit pas de dire qu'une hypothèse est gratuite pour qu'elle le soit : il faut montrer en quoi.

                En la matière, je pense que la gratuité n'est pas de mon coté.



                « Et tu n'a rien pour prouver que tu as raison »

                Cette phrase montre bien que tu, apparement, ne parviens pas à saisir le sens des mots employés : lorsqu'on formule une hypothèse, on n'est pas en train de « prouver » qu'on a « raison ».

                « tu te base pour nous maintenir contre vents et marées que c'est un complot des méchants et pas autre chose »

                Parce que tu ignores, délibérement ou pas, le sens des mots, tu fais des requêtes farfelues. Je ne vais pas « maintenir [...] que c'est un complot » puisque je n'ai jamais fait cette affirmation. Je n'ai jamais employé la forme verbale « c'est » ; j'ai au contraire toujours dit qu'on ne sait pas ce que « c'est ».
                • [^] # Re: La langue française.

                  Posté par  . Évalué à -1.

                  Ah oui okay !

                  Donc quand on dit "c'est peu être ma grand mère qui a hacké les serveurs Debian", on a le droit, vu que c'est une hypothése, et que donc, même si cette hypothése est farfellu et ne tient pas vraiment debout, peut importe, puisque c'est une "hypothése".

                  Ben moi je te dis (et c'est ce que j'ai dis en premier post) que ton hypothése m'agace à être sans cesse ressasser parce que justement c'est une hypothése, que des hypothéses de ce style on peu en sortir des centaines de milliers :

                  C'est des gens de Debian qui ont écrit MS Blast, parceque :

                  - ça nuit à Microsoft et revalorise donc Linux
                  - Il existe des personnes qui ont un intérêt marketing à cette nuisance
                  - Ces personnes sont très doué techniquement et l'on déjà prouvé par le passé.
                  - Une opération de ce genre ne nescessite pas de fric et ça tombe plutot bien car ils n'en n'ont pas outre mesure.

                  Désires-tu contredire ces éléments, qui eux ne sont pas de l'ordre de l'hypothèses ?

                  :-)
                  • [^] # Re: La langue française.

                    Posté par  . Évalué à -1.

                    « c'est peu être ma grand mère qui a hacké les serveurs Debian", on a le droit, vu que c'est une hypothése, et que donc, même si cette hypothése est farfellu et ne tient pas vraiment debout, peut importe »

                    Je ne trouve pas mon hypothèse farfelue. Celle-ci l'est évidemment, je doute que ta grand mère ait le moindre intérêt dans l'affaire et les compétences necessaires.


                    « Désires-tu contredire ces éléments, qui eux ne sont pas de l'ordre de l'hypothèses ? »

                    Ces éléments oublient que les membres de Debian ne sont pas connu pour avoir un comportement immoral, ce qui attenue largement tes points 1 et 2.

                    Aussi, Debian a un fonctionnement globalement relativement public, on ne peut donc que très difficilement envisager que ce type d'opérations soient chapeautées par Debian.

                    En conclusion, c'est possible dans l'absolu, mais pas probant du tout.

                    Bref, je pense que ta demonstration est un échec : aucun de tes deux exemples ne tiennent la comparaison et ne montre, ce qui était ton but, qu'il est facile de faire un hypothèse qui ne veut rien dire.
                    • [^] # Re: La langue française.

                      Posté par  . Évalué à -1.


                      Ces éléments oublient que les membres de Debian ne sont pas connu pour avoir un comportement immoral, ce qui attenue largement tes points 1 et 2.


                      Ouais, et 10 minutes avant de mourrir le canard etait encore en vie, n'oublie pas...C'est n'importe quoi cet argument, ca n'attenue rien du tout.
                • [^] # Re: La langue française.

                  Posté par  (site web personnel) . Évalué à 5.

                  émètre trop fort une hypothèse négative c'est parfois à la limite de la diffamation, et c'est ton cas.

                  Si un crime dans mon quartier, je suis heureux que mon voisin ne puisse pas crier sur tous les toits "ça pourrait très bien être mon voisin, d'autant que personne ne l'a vu à cette date".

                  Ok, ce n'est qu'une hypothèse, mais c'est aussi une grosse insinuation méchante, sans aucune base ni aucune raison. Et heureusement, si il fait ça je pourrait me retourner contre lui.


                  Non, parce que ça pourrait aussi être les mainteneurs Debian principaux qui se sont piratés seuls puis ont piraté les autres, dans l'unique but de faire accuser MS et augmenter le capital d'antipathie à son encontre.
                  Ah ben oui, techniquement c'est possible, ça n'est pas moins viable que ce que tu racontes, mais heureusement que MS ne sort pas un truc comme ça sinon tu serais le premier à crier au scandale.
                  • [^] # Re: La langue française.

                    Posté par  . Évalué à 2.

                    « émètre trop fort une hypothèse négative c'est parfois à la limite de la diffamation, et c'est ton cas. »

                    Non. (hypothèse != affirmation, et ce n'est pas émis "très fort").

                    « Si un crime dans mon quartier, je suis heureux que mon voisin ne puisse pas crier sur tous les toits "ça pourrait très bien être mon voisin, d'autant que personne ne l'a vu à cette date". »

                    Mais au LinuxFr du coin (aka le Café du Commerce), l'hypothèse ne manquera pas d'être évoquée. Et ce ne sera pas « sur tous les toits ». Une dépêche complète dans laquelle quelqu'un défendrait ça en première page serait sans doute de trop. Un commentaire, qui n'est pas violemment affirmatif, surement pas.

                    « Non, parce que ça pourrait aussi être les mainteneurs Debian principaux qui se sont piratés seuls puis ont piraté les autres, dans l'unique but de faire accuser MS et augmenter le capital d'antipathie à son encontre. »

                    Si ça peut te faire plaisir. Mais franchement, ce qu'a dit Yeupou a le mérite de la cohérence, contrairement à cette hypothèse là. Je ne pense pas qu'il s'agisse de se "fixer" sur cette hypothèse là, de s'en convaincre. Je n'y crois pas non plus, mais on peut se faire la remarque, sachant que 1. on n'en saura jamais plus 2. si les attaques de serveurs du libre se multiplient, on n'oubliera pas d'y repenser.

                    Franchement il a pris suffisamment de précautions pour rappeler que c'était juste une hypothèse, il partage une réflexion qu'il s'est faite et qui, à sa surprise, ne lui a finalement pas paru si extravagante en y regardant de plus près.
                    • [^] # Re: La langue française.

                      Posté par  . Évalué à 1.

                      En oubliant malheureusement une chose fondamental : l'objectivité.

                      Une entreprise qui s'amuse à hacker ? Oula, qu'elle ne se fasse pas prendre la main dans le sac car elle aurait tout à y perdre. Pour gagner quoi finalement ? Les deux entreprises ne jouent pas sur le même terrain, tant qu'il restera (et il en reste un grans paquet) de DSI/Directeur Techniques qui ne jugent que par ce qui à un prix, un support, une image, un passé, un marketing, Linux aura encore du mal à s'imposer.

                      Mais ça viendra, ça ne fait absolument aucun doute, ça viendra, faut juste pas être pressé.
                      • [^] # Re: La langue française.

                        Posté par  . Évalué à 2.

                        « Une entreprise qui s'amuse à hacker ? Oula, qu'elle ne se fasse pas prendre la main dans le sac car elle aurait tout à y perdre. Pour gagner quoi finalement ? »

                        Convaincre que les solutions libres sont moins sûres. Quant à faire quelque chose d'illégal ce ne serait pas la première fois.

                        Je ne vois pas pourquoi tu veux faire comme s'il s'agissait d'une affirmation. C'est une question qui s'est posée, il y a quelques aspects qui sont remarquables, et un minimum de cohérence. Ca ne me suffit pas pour y croire pour l'instant, mais je ne vois pas où est le mal de considérer ça comme ce que c'est : une hypothèse, sans prétention.
                      • [^] # Re: La langue française.

                        Posté par  . Évalué à 2.

                        « En oubliant malheureusement une chose fondamental : l'objectivité. »

                        1) L'objectivité n'existe pas. Ignorer ce fait, c'est produire un discours ignorant sa propre subjectivité, un discours des plus subjectifs, justement.
                        L'objectivité est censé être une utopie : un but à atteindre, en gardant à l'esprit qu'il n'est pas atteignable, rien de plus.

                        2) Si on veut tendre vers un raisonnement objectif, on argumente sur la question, de manière claire.

                        Si j'ai bien compris, ton propos porte sur le risque que pour une entreprise constituerait des actions illicites. Cela ne nuance en rien les éléments à l'origine de mon hypothèse : je n'ai jamais imaginé qu'une telle action aurait pu se dérouler dans le cadre formel d'une entreprise. En d'autres termes, « prendre la main dans le sac » ne me parait de toute façon pas possible. Si c'est ton seul argument tendant à invalider mon hypothèse, il me semble relativement pauvre, pas de nature à invalider cette hypothèse.
                      • [^] # Re: La langue française.

                        Posté par  . Évalué à 6.

                        Oula, qu'elle ne se fasse pas prendre la main dans le sac car elle aurait tout à y perdre. Pour gagner quoi finalement ?

                        Quand tu es une grosse entreprise et que tu as beaucoup d'argent a ta disposition (et que ca peux en rapporter) il est relativement simple d'effectuer ce genre d'actions. Et contrairement a ce que tu dis, ils ont beaucoup de choses a y gagner. On le voit, MS en ce moment essaie par tout les moyens de faire penser au gens que Linux est très peu sécurisé, et ce genre d'actions contre debian, gentoo et savannah vont completement dans leur sens, meme si l'on a aucun element permettant de prouver qu'ils en sont l'origine.
                        <mode type="science fiction">
                        Et puis quand MS nous annonce qu'ils partent a la recherche des failles de Linux, ca ne ressemble pas un peu a "Si tu es au courant de quelquechose, que tu as envie de gagner beaucoup d'argent, n'hesites pas à nous contacter" ?
                        De toue facon s'ils payent des gens pour analyser la sécurité de Linux, il y a des chances qu'ils aient vu passer ca dans le ChangeLog ...
                        Après il ne reste plus qu'a prendre le camion pour aller trouver la 1ère borne wifi en libre accès, permettant de trouver quelques machines en russie vulnerables à la faille qu'on vient de decouvrire, pour ensuite se connecter chez debian, gentoo, etc ...
                        </mode>
                        De toute facon il a beaucoup de societés (editeurs d'antivirus, etc ...) chez qui l'arrivée de Linux pourrait provoquer un manque à gagner, et quand on voit le nombre de traffics divers qu'il peu y avoir dans le monde (ceux dont on entend parler), je ne pense pas qu'on puisse dire que cette hypothèse soit farfelue, tout le monde n'est pas honete, et il serait au contraire étonnant que certaines societés de ce type se privent de ce genre d'actions quand elles en ont la possibilité.
                  • [^] # Re: La langue française.

                    Posté par  . Évalué à -1.

                    Attention, je n'ai jamùais insinué que Debian avait quelque agissement malhonnéte à son actif, j'essayais juste de montrer qu'il est facile de sortir des hypothéses quelquonques sans fondement, avec juste un peu de "c'est possible" dedans.

                    Mais j'aime beaucoup ton argumentation, et c'est je trouve qu'elle s'applique parfaitement à Houba Houba Hop.
                    • [^] # Re: La langue française.

                      Posté par  . Évalué à 0.

                      Comme tu répètes toujours les mêmes affirmations, je vais formuler la même réponse : non ce n'est pas facile de « sortir des hypothèses » fondées.

                      1) Tu ignores délibérement en quoi mon hypothèse est fondée
                      2) Cela semble lié au fait que tu sembles incapable de comprendre qu'une hypothèse peut être fondée sans pour autant être une affirmation
                      3) Tes exemples ne sont que des hypothèses non fondées, comme je l'ai détaillé plus haut, elles ne tiennent pas la comparaison.

                      « Mais j'aime beaucoup ton argumentation, et c'est je trouve qu'elle s'applique parfaitement à Houba Houba Hop. »

                      1) Une argumentation intelligente n'est pas liée à une personne mais à un propos. 2) Il n'est pas surprenant que tu encenses un discours rejoignant le tiens, c'est presque de l'autocongratulation.
      • [^] # Re: Un aspect positif

        Posté par  . Évalué à 9.

        Il n'est pas impossible de penser qu'il pourrait y avoir un rapport avec ça:
        http://linuxfr.org/2003/11/16/14592.html(...)
        mais seulement si on est parano quoi..
        • [^] # Re: Un aspect positif

          Posté par  . Évalué à 3.

          Non, on peut penser qu'il existe un lien sans pour autant souffrir d'une maladie mentale.

          Ensuite, on est d'accord : il ne s'agit que d'hypothèses et elles ne resolvent pas le problème.

          Quand bien même ces attaques auraient été organisées par un groupe précis, ce n'est pas éradiquer ce groupe qui est une option mais éradiquer les failles.
          • [^] # Re: Un aspect positif

            Posté par  (site web personnel) . Évalué à 10.

            Non, on peut penser qu'il existe un lien sans pour autant souffrir d'une maladie mentale.

            Qui a dit que la paranoïa était une maladie mentale? Dans le monde merveilleux des sysadmins, c'est une qualité ;-)
            • [^] # Re: Un aspect positif

              Posté par  . Évalué à -1.

              Et chez les RSSI c'est carrément une compétence obligatoire.
              • [^] # Re: Un aspect positif

                Posté par  . Évalué à 9.

                Chez les mathématiciens, on n'est pas paranoïaque: le monde est vraiment contre nous, les choses ne peuvent que tourner du plus mal au pire!

                Par exemple: dès qu'on fait une division sans vérifier, paf! C'était une division par zéro! Rrraaahhh... Rien laisser au hasard, rien, sinon on est foutus!

                Snark
                • [^] # Re: Un aspect positif

                  Posté par  . Évalué à 1.

                  dès qu'on fait une division sans vérifier, paf! C'était une division par zéro! Rrraaahhh... Rien laisser au hasard, rien, sinon on est foutus!

                  Je confirme, j'ai voulu de plusser parce que ça m'a fait marrer, mais il semble que ça veuille pas... ça merde donc aussi avec l'addition ;)
      • [^] # Re: Un aspect positif

        Posté par  . Évalué à 7.

        Je trouve cette remarque plutot déplacée. Ces attaques non rien avoir avec des attaques d'opportunistes comme cet été par exemple.
        On parle ici d'un local exploit et non d'un remote. Il à donc fallut obtenir un accès à la machine avant de pouvoir faire quoique ce soit (cf compte rendu de debian). Ce sont donc des attaque ciblées, très bien organisée et conduite à la mimine (pas de script pour tout automatiser).
        Donc la descriditation peut en etre la motivation, tout comme le defi technique ...
    • [^] # Re: Un aspect positif

      Posté par  . Évalué à 6.

      les tests contre les rootkits seront effectués de manière systématique et régulière

      Booter sur un CD (read only) ou sur une disquette protégée, me semble être le moyen le plus simple de se prémunir de l'installation des rootkits. Dans le même genre d'idée, diriger les logs vers la bonne vieille matricielle (write only) permet de conserver les traces.
      Certes, ca ne garantira pas l'abscence de failles locales, mais des images ISO devraient converger vers des systèmes simples et vérouillés, où l'attention des sysadmins se concentrera sur l'intégrité des données. N'est on pas en train de payer le prix d'une trop grande complexité ?

      Il me semble que pour monter un serveur FTP ou un miroir, c'est jouable de se baser sur des OS minimaux. Dans quelle mesure pourrait on mettre en place ce schéma sur des systèmes assurément plus complexes comme Savannah ?
      • [^] # Rootkit et DigSig

        Posté par  (site web personnel) . Évalué à 10.

        Pour les foux furieux de sécurité (ou les serveurs "sensibles"), l'outil DigSig est un module kernel qui permet de vérifier l'authenticité d'un binaire avant son exécution :

        * on signe les binaires à protéger avec l'outil bsign avec un couple clé publique/clé privée (ajout d'une signature "à la GPG" dans les headers ELF du binaire)
        * à chaque appel du syscall "exec", on vérifie la signature du binaire vis à vis de la clé publique GPG stockée sur un support fiable

        Ce système permet d'assurer l'intégrité des binaires du système et empêche l'utilisation d'une partie d'un rootkit (modification de ps, ls, netstat...).
        Mais visiblement, cela diminue les perfs du système (normal, pour chaque 'exec', on fait une vérif de signature). Avec ça, plus besoin d'avoir une vérif d'intégrité régulière, elle est fait systématiquement à chaque exécution.

        URL de DigSig : http://sourceforge.net/projects/disec/(...)
        • [^] # Re: Rootkit et DigSig

          Posté par  . Évalué à 3.

          ca porte un nom ca : DRM
          • [^] # Re: Rootkit et DigSig

            Posté par  . Évalué à 4.

            Peut-être mais dans ce cas c'est libre et on peut savoir à quoi s'attendre et on a le choix de l'utiliser ou non!
            • [^] # puces opaques

              Posté par  . Évalué à 2.

              j'ajoute que dans le cas des puces de "sécurité" et des puces DRM (qui sont souvent les mêmes), on ne peut pas voir le source du code interne ni le modifier !
        • [^] # Re: Rootkit et DigSig

          Posté par  . Évalué à 2.

          Pour ceux qui ne connaissent pas, je conseillerais :

          http://grsec.linux-kernel.at/news.php(...)

          ... pour les parano, pas pour les malades mentaux ;o)
        • [^] # Re: Rootkit et DigSig

          Posté par  . Évalué à 1.

          Je doute de l'efficacité de ce DigSig. D'abord, les rootkits les plus dangereux se situent dans le kernel. (Et pour rappel, certains peuvent s'installer en modifiant directement la mémoire kernel, et dans ce cas pas moyen de les reconnaître en surveillant les LKM.) Il ne peuvent donc pas être neutralisés par ce système. Ensuite, la plupart des exploits consistent à injecter du code à exécuter dans un process existant. Pas moyen d'interdir l'installation d'un rootkit kernel, donc, si cette installation à lieu dans un shellcode exécuter à cause d'un buffer overflow sur un suid root, par exemple.
          Ce système ne semble être juste une solution plus souple que monter les partitions user-writable en noexec, si l'on veut interdire l'utilisation d'autres programmes que ceux installé. Cependant ces sécurités restent faibles. Il existe de nombreuses vulnérabilités parmi les applications standard, mais non privilégiées, qui permettent d'exécuter du code arbitraire. L'occasion de montrer l'importance, pas si secondaire que ça, de la sécurité des programmes non suid, surtout si la sécurité du système repose sur des limitations semblables à DigSig.
          Il s'agit une fois de plus d'un exemple de mesure bonne à rendre la tache du pirate plus difficile, mais dont un attaquant déterminé viendra à bout - laissant peut-être le temps à l'administrateur de se rendre compte de la manoeuvre. A jauger, selon les risques, et à utiliser comme protection complémentaire.
      • [^] # Re: Un aspect positif

        Posté par  . Évalué à 5.

        Dans le même genre d'idée, diriger les logs vers la bonne vieille matricielle (write only) permet de conserver les traces.

        J'aimerais te voir faire des grep, awk, sort et autres sur ta matricielle moi :-p

        La parano, c'est bien, en abuser ça craint !
        • [^] # Re: Un aspect positif

          Posté par  (site web personnel) . Évalué à 2.

          Ca existe les scanners à listings ? Il suffirait d'un coupler un avec un OCR :-)
          Plus simplement, envoyer les logs sur une autre machine hyper protégée (sans shell distant par exemple) serait tout aussi sécurisé et bien plus pratique.
          • [^] # Re: Un aspect positif

            Posté par  . Évalué à 3.

            Plus simplement, envoyer les logs sur une autre machine hyper protégée (sans shell distant par exemple) serait tout aussi sécurisé et bien plus pratique.

            Et sensiblement plus écologique...
    • [^] # Re: Un aspect positif

      Posté par  . Évalué à 3.

      Si c'est le fait d'une organisation...le calcul est soit astucieu soit débile...

      Si ils sont identifiés, ils peuvent s'attendre à un retour du boomerang dans la tronche. Des actions légales pourraient être initiées contre eux, mais bien sur il y aurait certainement et malheureusement des actions de piratage.

      C'est là qu'est l'os..hélas.

      Il pouraient se servir des faits pour faire de l'anti-pub contre les logiciels libres "peu sécurisés et dangereux", et en même temps se plaindre de l'état d'esprit "pirate" de la communauté du libre, qui attaque aveuglément un organisme qui "n'y est pour rien", pour ce venger.

      Donc si c'est le cas, si la thérorie complotiste est démontrée, je pense qu'il ne faudrai pas céder à la tentation de la vengeance en dehors des systèmes légaux...mais bon, il y aura toujours des chiens fous pour lancer des attaques en représailles.
      • [^] # Re: Un aspect positif

        Posté par  . Évalué à 1.

        Moi j'aime bien les chiens fous.
        Et meme plus: les loups enragés courant sauvagement dans l'enfer numérique...
      • [^] # Re: Un aspect positif

        Posté par  . Évalué à 1.

        S'il est possible qu'une organisation qui finance l'opération, ce serait parfaitement surprenant que l'opération se déroule dans ses locaux, avec des membres de son personnel.

        Donc je doute qu'on ait une réponse à cette question de toute façon...
    • [^] # Re: Un aspect positif

      Posté par  (site web personnel) . Évalué à 9.

      <<
      En d'autres termes, l'hypothèse que tout ceci ne soit pas une action d'un malin isolé mais une opération financée par un groupe ayant un intérêt à réaliser ce type d'opérations marketing, me parait tout à fait plausible.
      >>

      Tu veux dire un groupe de hacker qui vit de la notoriete hackeresque que lui attire ses victoires. Ca me parait en effet tout a fait plausible. Le financement serait le meme que le financement habituel, la gloire. Le prestige est immense, imaginez: debian, gentoo, savannah, des references quand meme en matiere de logiciel libre et en terme de securite. Le prestige est immense. Oui vraiment, je pense que ton hypothese est la plus plausible.
    • [^] # Re: Un aspect positif

      Posté par  . Évalué à 2.

      "l'hypothèse que tout ceci ne soit pas une action d'un malin isolé mais une opération financée par un groupe ayant un intérêt à réaliser ce type d'opérations marketing, me parait tout à fait plausible"

      Moi aussi ca me parait tout à fait plausible. J'ai jutement été attaqué le 2 décembre (meme jour que gentoo) avec installation du rootkit Sukit ! En plus de ce rootkit, le pirate avait installé un faux démon ntp qui était en fait un serveur ssh lancé à partir du fichier rc.sysinit et surtout créé un compte nommé "admin" sur ma machine ! (admin ... windows ?)

      L'attaque s'est à priori passée de la manière suivante :
      (je précise que mon PC n'était pas du tout à jour, avec beaucoup de services lancés, pas (plus) de firewall et que j'avais l'ADSL depuis quelques jours).
      L'attaque a eu lieu vers 2H30 du matin le pirate est à priori rentrée par un faille de samba ( 2.2.6, cf : http://www.securityfocus.com/bid/7294(...) ). Le pirate a lancé suckit, ce qui a eu pour effet de remplacer mon /sbin/init, l'ancien ayant été renommé en /sbin/initkid. Le pirate a également installé un faux serveur ntp (xntps) qui était en fait un serveur ssh sur le port 1987.
      J'ai détecté l'attaque quand j'ai voulu eteindre mon PC, le halt a renvoyé un truc du genre "/dev/null [...] FUCK: can't find kmalloc()!" (bug de suckit ?). J'ai utilisé tripwire pour trouver le nom du rootkit.

      A mon avis, le fait que l'attaque ait eu lieu le meme jour que gentoo, avec le meme rootkit n'est pas un hasard. Il me parait tout à fait possible qu'elle ait été commanditée.
  • # Re: Savannah et Gentoo attaqués également

    Posté par  (site web personnel) . Évalué à 8.

    À la même date, c'est un serveur Gentoo qui a été compromis, mais aucun fichier n'a été affecté.

    c'est pas ce que je lis dans l'alerte gentoo:

    "On December 2nd at approximately 03:45 UTC, one of the servers that makes up
    the rsync.gentoo.org rotation was compromised via a remote exploit."

    02/11 pour savannah (soit un mois entre la compromission et sa découverte)
    02/12 pour gentoo (soit 1 jour entre la compromission et sa découverte)
  • # Re: Savannah et Gentoo attaqués également

    Posté par  (site web personnel) . Évalué à -3.

    Quelqu'un leur à dit chez Microsoft, que quand on faisait des tests, il ne fallait pas les faire sur des vrais serveurs, mais installer des serveurs de tests ?

    Ou alors, il n'ont pas réussi à allez au bout d'une installation de Debian ou Gentoo, et du coup, se sont repliés sur des tests en live.

    http://www.adullact.org/breve.php3?id_breve=87(...)

    http://www.silicon.fr/click.asp?id=2007(...)

    D'après vous, combien de temps vont-ils mettre à envoyé un mail aux admins des serveurs de Debian et Gentoo, pour faire le point avec eux sur les correctifs de sécurité à appliqués ?
  • # L'origine du remote exploit ?

    Posté par  (site web personnel) . Évalué à 10.

    le site de rsync vient de publier un security advisory à propos de la version 2.5.6 de rsync qui contiendrait une vulnérabilité qui permettrait un exploit par débordement de pile. Ceci couplé à l'exploit do_brk() aurait permis un remote exploit comme pour la gentoo. La version 2.5.7 devrait résoudre le problème

    Donc pour les utilisateurs de rsync (coté serveur uniquement), à vos updates.

    Pour la petite URL : http://rsync.samba.org/(...)
    Et l'advisory (repris sur la page principale du site) : http://www.mail-archive.com/rsync@lists.samba.org/msg08782.html(...)
  • # Re: Savannah et Gentoo attaqués également

    Posté par  . Évalué à 8.

    Ces deux autres attaques, suite à celle de Debian, bien que facheuses, montrent au moins deux choses :

    - c'est le Logiciel Libre en général qui est visé
    - celà discrédite l'hypothèse farfelue d'une vengeance de barbu
    • [^] # Re: Savannah et Gentoo attaqués également

      Posté par  . Évalué à 7.

      Meuh non.

      C'est un type qui a un exploit et qui l'utilise. On ne change pas une équipe qui gagne.

      "Oauis, j'ai réussi à rentrer ici... et si j'essayais là ?"

      Il paraît que nous sommes équipés d'un cerveau, servons-en nous !

      Et le mot de pass sniffé de debian, ça peut très bien être le voisin de bureau d'un dévelopeur, qui ne fais pas gaffe, et reagrde par dessus l'épaule, ou sniffe les paquets laors que le DD utilise telnet et non ssh...
      Genre un étudiant à la fac, quoi. Y'a deux bouts au réseau. Local, et remote. Tu mets le sniffer où tu veux. Ca aussi, il ne faudrait pas l'oublier.

      C'est une attaque planifiée, oui. Une conspiration ? Pffrr... arrêtez james-bond, et sortez dans les rues ! La gloriole entre copains permet de justifier ces attaques (réussies).
      • [^] # Re: Savannah et Gentoo attaqués également

        Posté par  . Évalué à 2.

        Impossible de sniffer une connexion ssh ???

        Et que fait tu d'une attaque man in the middle ?

        Si le dév en question n'as pas fait gaffe il as trés bien put ce faire sniffer ça connexion ssh.

        Quod erat demonstrandum !
        • [^] # Re: Savannah et Gentoo attaqués également

          Posté par  (site web personnel) . Évalué à 6.

          > Et que fait tu d'une attaque man in the middle ?

          Tu ne devrais pas voir un changement de clé dans la transaction ? chez moi SSH me sort un gros averto dans la figure et refuse de fonctionner tant que je n'ai pas supprimé l'ancienne clé publique.
          • [^] # Re: Savannah et Gentoo attaqués également

            Posté par  . Évalué à 2.

            Exact mais est ce qu'as chaque fois que tu change de machine (de compte) tu garde l'ancienne clef ou est ce que tu la retélécharge ?

            Comment as tu obtenus la clef du serveur X ou Y ?

            Il suffit qu'un dév n'est pas fait attention (n'as pas vérifier) et l'attaque man in the middle etais réalisable :-(
  • # Parade ?

    Posté par  (site web personnel) . Évalué à 3.

    Savez-vous si il existe des parades à ces problèmes comme la faille do_brk() du noyau ?

    Est-ce que des solutions comme le chargement aléatoire des librairies, la protection de la pile, etc, aurait pû permettre d'éviter cette attaque ?
    • [^] # Re: Parade ?

      Posté par  . Évalué à -2.

      un noyau chrooté .... ?....mouai, et encore
      • [^] # Re: Parade ?

        Posté par  . Évalué à 0.

        Non. Cela ne marcherai pas.
    • [^] # Re: Parade ?

      Posté par  . Évalué à 7.

      - le soft rendant impossible d'exécuter un ELF non signé a déjà été signalé dans un commentaire ci-dessus

      - systrace permet non seulement d'interdire des appels systèmes mais permet aussi de controler les paramètres de certains appels qu'on ne peut pas interdire (c'est le cas de brk qui est utilisé par malloc), notamment en interdisant des valeurs extrèmes et inhabituelles (celles qui justement sont susceptibles de déclencher un overflow)
      http://systrace.org(...)

      - des outils de vérification de l'intégrité des fichiers du système (dont le noyau) sont disponibles depuis longtemps (tripwire), mais ils supposent de faire régulièrement un reboot sur un support read-only (CD,floppy,clé USB en mode readonly) pour être efficaces à 100% (c'est d'ailleurs la seule méthode que je connaisse pour être sûr de détecter un rootkit à 100%)

      - les micronoyaux comme ceux du GNU/Hurd améliorent l'audit du code des appels sytèmes (qui sont moins nombreux et moins complexes)
      • [^] # Re: Parade ?

        Posté par  . Évalué à 2.

        ah j'ai oublié de parler des noyaux virtuels comme UserModeLinux, plex86 et bochs
  • # Re: Savannah et Gentoo attaqués également

    Posté par  . Évalué à 0.

    comment ils ont été aussi rapide à détecter l'attaque chez gentoo ? et comment sont-ils sur qu'aucun fichier n'a été modifié sur le serveur ? c'est que ça contient bcp de fichiers un serveur
    • [^] # Re: Savannah et Gentoo attaqués également

      Posté par  (site web personnel) . Évalué à 2.

      Comme le dit l'article... IDS (intrusion detection system) plus un "file integrity checker".
      • [^] # Re: Savannah et Gentoo attaqués également

        Posté par  . Évalué à 0.

        Première règle en sécu : ne jamais faire confiance aux applications...
        C'est tellement facile [tout est relatif] de berner un programme.
        Qui te dit pas que l'IDS a été modifié ?

        #jedi > ids! tout va bien (hop de la main)
        #ids> (hypno) touuuut va biennn @@
        • [^] # intégrité & procédures

          Posté par  . Évalué à 2.

          Pas du tout efface... ;o))
          quote : ne jamais faire avoir une confiance aveugle aux dans les applications

          parce lorsq'il s'agit de vérifier l'intégrité de quelques 10'000 fichiers je vois mal l'oeil avisé de l'Homme ne pas y laisser sa santé (surtout s'il s'agit de le faire toutes les deux heures...).

          En revanche, je te rejoins en précisant qu'il faut mettre en place des procédures strictes visant à pallier les défaillances (i.e compromissions) possibles de l'applicatif : vérifications redondantes, sources/outils externes non modifiables, périodicités aléatoires, changements réguliers des mots de passe...

          Bref, une politique globale de sécurité
      • [^] # Re: Savannah et Gentoo attaqués également

        Posté par  . Évalué à 1.

        Et l'équpe gentoo était particulièrement au parfum, ça sentait à plein nez l'attaque en règle, quand même !

        N'importe quel sysadmin regarde deux fois ses logs au lieu de sa boite à mail, après une annonce de la descente de serveurs sensés être aussi protégés que apache, ou debian !
      • [^] # IDS...

        Posté par  . Évalué à 2.

        Côté Debian, il y a aussi debsums à connaitre...
        ainsi que aide (non Debian-specific) que je trouve un peu lourd à utiliser mais bon... la sécurité n'a pas de prix (?) ;o))

        PS: désolé pas de lien : packages.debian.org is down at the moment.
    • [^] # Re: Savannah et Gentoo attaqués également

      Posté par  . Évalué à 4.

      En bas de la news, y a du texte qu'apparait en bleu, quand tu passes dessus, le curseur de ta souris change, ça s'appelle un "lien hypertexte", et quand tu cliques dessus, t'obtiens des infos. Dans le cas présent, si tu cliques sur le lien où il y a écrit "Gentoo", t'auras plus d'explications.
      C'est magique internet
    • [^] # Re: Savannah et Gentoo attaqués également

      Posté par  . Évalué à 2.

      Comme dit dans l'annonce, ils ne savent pas encore si des fichiers ont etes modifies sur le serveur, et c'est pour ca qu'ils conseillent au personnes ayant fait une mise a jour depuis ce serveur apres qu'il soit attaque (ca concerne une 20aine de personnes) de refaire une mise a jour (sur un autre serveur).
    • [^] # Re: Savannah et Gentoo attaqués également

      Posté par  . Évalué à 9.

      C'est eux les auteurs des autres attaques et ils se sont attaqués eux-mêmes pour écarter les soupçons.

      Ah, les salauds... Bon, je retourne lire Agatha Christie...
  • # Sourceforge ?

    Posté par  . Évalué à 9.

    Il ne serait pas impossible que Sourceforge soit la prochaine cible, à moins que ce ne soit déjà trop tard.

    Vu que tous les développeurs disposent d'un compte shell sur leur plate-forme, ce n'est sans doute pas hyper complexe :(
  • # Attaque local : telnet/ssh

    Posté par  . Évalué à 1.

    La faille 'kernel do_brk()' est local.
    Il faut déjà être loggué sur la machine pour pouvoir l'exploiter. D'où la nécessité de sniffer un mot de passe comme première étape de l'attaque.
    Je croyais qu'il existait des méthodes pour se connecter à distance sans risquer d'être sniffer (ssh?).

    Dois-je comprendre qu'il est possible de se logguer sur tous ces serveurs hyper-sensibles (debian, savannah, gentoo) avec une technique pas sécurisée genre telnet ?
    • [^] # Re: Attaque local : telnet/ssh

      Posté par  . Évalué à 1.

      non.
      en utilisant deux exploit successifs.
      un à distance pour obtenir un shell X (failles dans apache, openssh ...) , le second local pour prendre la main en root.
      • [^] # Re: Attaque local : telnet/ssh

        Posté par  . Évalué à 0.

        euh ... non, apparement c'était qq'un qui avait un compte il m'a semblé lire!

        ce qui m'amène à pensé que c'est un ...développeur debian ?
        ils ont aucun moyen de remonter les logs genre avec logcheck ?
        • [^] # Re: Attaque local : telnet/ssh

          Posté par  . Évalué à 1.

          Et ce serait aussi ce même développeur Debian, dans les cas Gentoo et Savannah ? (bof, ça ne tient pas).

          Chez Gentoo, il ont détecté l'intrusion à peine une heure après la compromission.
          Vu que cet espace de temps est très restreint, on peut peut-être espérer qu'ils trouvent des pistes solides à remonter.
          • [^] # Re: Attaque local : telnet/ssh

            Posté par  . Évalué à 10.

            Microsoft a l'intention de réaliser une démonstration publique visant à mettre en évidence les lacunes sécuritaires de Linux, le but étant de démontrer à ses clients potentiels que Linux n'est qu'une vulgaire passoire.

            Quand ils disent une demonstration publique cela signifie:

            Ca ne se passera pas sur une machine du labo M$
            Ca sera connu par les IT et ca fera du bruit.
            On ne va pas prendre des developpeurs de chez nous pour le faire.
            La communaute linux n'a pas les moyens d'offrir une prime trouver les coupables .

            Mais bien sur ca n'a rien a voir...
            • [^] # Re: Attaque local : telnet/ssh

              Posté par  . Évalué à 3.

              Le problème, avec cette hypothèse farfelue du complot qui vous plaît tant, c'est qu'on ne voit nulle part de communication Microsoft autour de ces attaques. Or une démonstration publique ne l'est vraiment que si le public est averti/présent/informé.
              Et si vous êtes un tant soit peu attentif, on ne parle de ces attaques que sur des sites spécialisés sur lesquels le public ne traîne pas, en ignorant jusqu'à l'existence. Faîtes donc l'expérience de cherhcher Debian, Gentoo, Savannah dans Gala ou Paris Match, Les Echos ou La Tribune, le 20h de TF1 ou France2, etc...
              Et même mieux, pour le commun des mortels qui utilisent vaguement un ordinateur parce qu'au boulot on leur en a posé un sur le bureau, je vous assure que le mot Linux est inconnu, de même que OS, système d'exploitation, etc.
              Honnêtement, je pense avoir l'esprit ouvert, j'ai 45 ans et joue avec un PC depuis mon premier 386DX33, et je suis passé à Linux depuis 6 ou 7 mois seulement. Et bien je vous assure que Linux je savais ce que c'était, mais jamais je n'aurais pu citer Debian Mandrake Suse Red Hat et autres...
              Donc les petits hommes verts de Redmond ne sont AMA pour rien dans cette affaire.
              • [^] # Re: Attaque local : telnet/ssh

                Posté par  . Évalué à 4.

                A cause de ça par exemple ? http://linuxfr.org/2003/11/16/14592.html(...)
                Il suffit qu'un departement de com d'une boite qqconque parle de ce genre d'exploits aux echos par ex, et t'inquiete pas qu'ils en parleront
              • [^] # Re: Attaque local : telnet/ssh

                Posté par  (site web personnel) . Évalué à 4.

                La nouvelle du 11-11-2003 : http://www.infoworld.com/article/03/11/11/HNmsassault_1.html(...) est assez claire, si ce n'est pas l'assaut annoncé, ça lui ressemble étrangement.

                C'est évident qu'ils ne vont pas en parler tout de suite, ça ferait trop cousu de fil blanc. Il suffit d'attendre quelques semaines.
                Il semble que l'attaque n'ait pour l'instant servi qu'à placer des rootkits. La suite logique aurait été une corruption simultanée de tous ces serveurs.
                Ce qui me parait évident maintenant, c'est que Mandrake, RedHat, SuSE, Slackware et les autres ont intérêt à faire des contrôles soignés sur leurs serveurs car il y a fort à parier qu'ils sont aussi au centre de la cible.

                Je pense que cette attaque pourrait être un casus belli si son origine se confirme.
  • # Re: Savannah et Gentoo attaqués également

    Posté par  . Évalué à 3.

    Hors-sujet mais ce matin, en téléchargeant des MAJ via Up2date Fedora, il me télécharge le dernier rpm du noyau source et me dit que sa signature GPG est invalide (alors qu'hier soir, j'ai fait cette même MAJ sur un autre poste...)... J'hésite un peu là.
  • # Re: Savannah et Gentoo attaqués également

    Posté par  (site web personnel) . Évalué à 4.

    Chroot à no !?
    De l'advisory, je lis l'inverse. Le serveur a été compromis et ça a marché efficacement parce qu'il avait chroot=no, ce qui n'est jamais une bonne idée...
    Mise à jour s'il vous plait :-)
    • [^] # Re: Savannah et Gentoo attaqués également

      Posté par  . Évalué à 1.

      je vais poser une question béte (me jetter pas de caillou plz!):
      N'y a t il pas moyen de détecter ou à defaut de soupconner une compromission sur un serveur en réseau (dû par exemple a une faille d'un des services tournant sur la machine qui permettrais un depassement de pile puis un accés root) en visualisant les logs généré par syslog? un message qui puisse nous mettre sur la voie ..etc
      en addmettant biensur que ces logs soient envoyé sur une autre machine via réseau pour des logs plus sur.
  • # Re: Savannah et Gentoo attaqués également

    Posté par  (site web personnel) . Évalué à 6.

    Maintenant que c'est avéré qu'il y a une attaque en règle contre les serveurs à base de pingouins, il faut se dire :

    tail -n 1000 /var/log/syslog tous les jours

    apt-get update ; apt-get upgrade souvent
    make config
    make dep && make bzImage &&make modules && make modules_install
    make install
    de temps en temps

    et puis bien sur pour ceux qui y arrive un maximum de correction de bugs dès qu'on les voit, les bugs.

    --
    " 1 fois incompétence
    2 fois coincidence
    3 fois malveillance" SexCrimes

    \_o<

    • [^] # Re: Savannah et Gentoo attaqués également

      Posté par  (site web personnel) . Évalué à 3.

      s/pinguoin/manchot/
    • [^] # Re: Savannah et Gentoo attaqués également

      Posté par  . Évalué à 1.

      Autant dire qu'on peut désormais décider de passer tout son temps à surveiller ses logs et à installer toute mise à jour "mineure" parce qu'elle corrige la dernière faille de sécurité trouvée sur tel logiciel.

      On doit aussi s'amuser à surveiller les outils de surveillance ;-D

      Quel bonheur. Je savais bien que personne ne bosse jamais assez :-P

      Sérieusement, je pense qu'on ne pourra jamais être à l'abri de toute attaque, et que bien que fortement travaillés sur l'aspect sécuritaire, nos sympathiques petits logiciels libres, comme tout autre chose, ne sont pas parfaits*.

      Sinon, il y a aussi un moyen simple de ne pas se faire attaquer : on ne propose plus rien ; mais du coup, ça n'a plus beaucoup d'intérêt :-)

      Bref, il faut savoir se poser des limites "convenables".

      (ah là là déjà 01:35... je vais encore peu dormir cette nuit --> dodo)

      __________
      *Excepté beaucoup de femmes fatales, mais ce ne sont pas des choses :-P
      D'autre part, elles ont également leurs petits défauts, mais qui jouent après coup de tout leur charme...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.