Hack de Imageshack pour arrêter le full disclosure : Un combat juste ?
| Nb visites : 473 |
Anti-Sec est un groupe qui réclame que la pratique du full disclosure dans l’industrie de la sécurité soit définitivement stoppée.
Le full disclosure, ça consiste à rendre public la moindre faille et les « exploits » qui y sont associés (exploit = petit bout de code permettant d’exploiter la faille). Les raisons que mettent en avant Anti-Sec, c’est que le full disclosure est une publicité permanente pour les éditeurs d’antivirus, de firewalls et aux sociétés dont le métier est la sécurité mais aussi parce que les scripts kiddies (petits crackers en culotte courte) s’emparent des exploits pour casser tout ce qui est cassable.
L’objectif de tout ça est donc selon AntiSec d’instaurer une espèce de peur pour l’internaute et les entreprises, qui dépenseront par conséquent beaucoup plus d’argent pour leur sécurité (enfin, la sécurtié de leurs données).
Tout ceci est donc une question de point de vue… Doit on ou non, rendre public chaque faille / exploit trouvé dans le moindre logiciel ?
En ce qui me concerne, j’aime bien voir comment ça fonctionne et comment c’est fait donc je serai plutôt partisan du full disclosure et d’un autre côté, c’est vrai que les script kiddies sont un fléau.
Bref, tout ça pour dire que le groupe Anti Sec s’est lancé cette nuit dans une bataille acharnée et a commencé par cracker le service d’hébergements d’images : Imageshack.us
A la place de chaque image hebergée sur Imageshack et affichée sur le moindre site, les internautes ont pu voir ceci :
Sympa non ? Rassurez vous, aucune image n’a été supprimée et tout est revenu à la normale actuellement, mais le coup de pub était bon.
Quoiqu’il en soit, maintenant que Anti Sec est parti sur des chemins obscurs, leur message va être plus difficile à faire passer. On ne prône pas la paix en faisant la guerre (avis perso hein… je sais qu’il y en a qui pratiquent 
mais j’ai des doutes sur l’efficacité de la chose… Arf !
Et vous qu’en pensez vous ?
Merci à Jean Yves pour l’info
Je vous recommande aussi la lecture des sujets suivants
- Et le Full Disclosure devient illégal
- Grosse faille dans les noyaux Linux !
- Protéger des CD et DVD avec un système anti-copie
- Télécharger sur MegaUpload sans entrer le captcha
- Faille de sécurité dans MySpace… Alicia Keys en fait les frais
- Immunity Debugger – Plus fort que Softice et Ollydbg
- Groupe anti-Microsoft sur Flickr
- Comment bien compiler un exploit
- Answer to SNEP
- Devenez The Master of BSoD grâce à Android
ATP
Les Anti-Sec, c’est bien eux aussi qui s’en sont prit récemment à l’un des serveurs d’Astalavista (récit et détail sur Tux-Planet.fr).
Posté le 11 juillet 2009 à 09:02:14
 nineosoe
« En ce qui me concerne, j’aime bien voir comment ça fonctionne et comment c’est fait donc je serai plutôt partisan du full disclosure et d’un autre côté, c’est vrai que les script kiddies sont un fléau. »
+1 Korben, c’est plus fort que moi, ca me grignotte le ventre de savoir
mais c’est plus par curiosité technique que machiavelique.
Posté le 11 juillet 2009 à 09:18:08
Félix Aimé
La publication d’exploits publics ainsi que des failles est nécessaire afin de corriger les systèmes ainsi que pour réaliser des fois empreintes du flux de données (couche application) pour les NIDS/HIDS.
Perso, je suis pour une totale publication des exploits et vulnérabilités rencontrées. Cependant, je suis par ailleurs pour le sabotage des sploits empêchant donc les SK de s’amuser avec car il faut regarder dans les lignes où est le problème.
Si l’on ferme la publication des vulnérabilités, les chercheurs en sécu informatique ayant une petite âme de pirates s’en donneront à cÅ“ur joie…
Aussi un petit lien (où ils insultent le SANS suite à leur article) : http://tinyurl.com/kr46z6
Posté le 11 juillet 2009 à 09:41:06
aciDben
oué mais non, quand on voit les exploits en VB pour les PHPBB ou wordpress par exemple, où il ne suffit que de rentrer l’url du site dans un petit exe pour etre admin, et qu’on voit que des gamins de 14ans se régalent a défacer tout ce qu’il trouvent juste pour passer sur Zataz et se prendre pour Mitnik, je suis 100% Ok avec Anti-Sec.
Si ta porte ferme mal faut pas le dire a tout ton quartier, Lao-Tseu l’as dit
Posté le 11 juillet 2009 à 09:51:46
Félix Aimé
Dans ton article aussi, tu oublie que par ailleurs, il faut mentionner que cette histoire est en partie connue suite à la possible découverte par ce groupe d’une faille dans OpenSSH (version 4.3 à 4.5). Cela reste qu’une rumeur mais depuis quelques jours, elle ébranle la scène upper & underground mondiale, car personne ne sait si les hacks ont étés commis par Bruteforce où bien par un sploit élaboré sur une vulz.
Posté le 11 juillet 2009 à 09:53:00
Rufo
Vue à quelle vitesse certains admin « s’empressent » d’appliquer les patch de sécurité, je pense que révéler les failles les forcent à aller plus vite. De même, pour les dév, ça leur permet de progresser et pas refaire les mêmes erreurs.
Posté le 11 juillet 2009 à 09:54:34
guillnux
tous ce que l’homme construit l’homme peut le détruire
c’est un jeu sans fin
je suis partisan d’etre contre tous ce que les gouvernements font et dans les haute sphère
je trouve ca bien qu il ce batte
Posté le 11 juillet 2009 à 09:56:02
backup
personnellement j’aimerais bien savoir si mon modèle de voiture a un problème de sortie d’usine et a quelle niveau avant de prendre le volant (valable pour tout ce qui est usuel), maintenant si cela met toute une frange de société de sécurisation sur la paille et bien c’est dommage; mais ils n’ont qu’a les intégrer dans leur structure de fabrication de logiciel, l’utilisateur aura donc un vrais produit fini et ne devra pas payer deux fois une pour le logiciel et une pour la sécurité de celui ci, et rendre publique les erreurs des société met a mal leurs profits…
Posté le 11 juillet 2009 à 11:20:15
cynoque
la révolution sans violence…
il a été prouvé (?) que c’est inutile.
la violence est (j’en suis de plus en plus persuadé) nécessaire pour faire tomber certaines choses plus ancrées dans le béton que la tour Eiffel, choses qui font souffrir beaucoup de monde et ne sont là que pour rendre heureux une petite poignée d’habitants des hautes sphères.
faire tomber une injustice est plus difficile tant l’injustice est forte…
(oui je sais je suis un peu hors sujet mais on parle bien d’une sorte de révolution qu’engage ce goupe, non?)
ceci dit je ne suis pas d’accord sur le principe (le sujet)
Posté le 11 juillet 2009 à 12:23:18
psychoz
heu non tout n’est pas revenu a la normal
Posté le 11 juillet 2009 à 12:26:54
bliz
moi je suis pour devoiler les failles mais pas les script ou en tout cas pas tout de suite
la raison est simple une faille devoilée sera plus vite corrigée (regarder les failles de chez microsoft…)
apres anti sec qui « pirate » pour dire ca je trouve ca un peut moin bof ! meme si c’est pas tres nuisible dans ce cas
Posté le 11 juillet 2009 à 12:37:50
Yurexa
Je trouve que les hackers ont su garder la mentalité si rare du vrai hacker : hacker un site juste pour avertir les utilisateurs, et ce sans aucune destruction de donnée !
Je suis tout à fait pour ce genre de pratique qui permet de mettre en garde les utilisateurs/administrateurs/… et qui les obligent à améliorer leurs codes.
Posté le 11 juillet 2009 à 12:57:46
ATP
@Yurexa : oui, enfin dans l’histoire avec l’un des admins d’Astalavista (cf. premier post), ce groupe a été jusqu’à jusqu’à effacer irrémédiablement l’ensemble des données et des backups distants.
Pour rééquilibrer un peu la « balance » il me semble qu’il y a une histoire de provocations de la part de cet admin, mais bon, il devait y avoir des manières plus correctes de se venger, puisque tel était le but de la démarche semble t-il.
Posté le 11 juillet 2009 à 13:07:20
Raool
Et ils prônent quoi exactement ?
Le retour à la Sécurité par l’Obscurité ? (Cf http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_par_l%27obscurit%C3%A9)
La fin du logiciel libre ?
@Korben
« On ne prône pas la paix en faisant la guerre »
Héhyé, c’est tout à fait ça
Posté le 11 juillet 2009 à 13:10:32
hichamsoft
En se qui me concerne je croie que tout les Hacker confirmé, voir la plupart d’entre eux sont passé par le stade de scripts kiddies alors pourquoi en faire toute une histoire. Et se qui m’intrigue le plus c’est qu’il attaque des sites web pour défendre leurs poins de vue ce qui donne une images plutôt genre « scripts kiddies » quoi
Allez je vais allé sauvegardé ma base de donné mdr
Ah oui autres chose si les duplicateurs mettez des exploits avec du code moquant sa serai bien, comme sa les poussera à apprendre le langage en question, sa s’ils ne trouve pas une autre solution
Posté le 11 juillet 2009 à 13:23:34
mapics
Perso j’utilise un petit site http://www.pix-host.com comme ça pas de problème d’affichage d’image.
Posté le 11 juillet 2009 à 13:37:39
Félix Aimé
@hichamsoft: C’est déjà le cas pour certains sploits.
@Raool: Non, simplement la non divulgation des sploits & failles au grand public. Cela n’a rien à voir avec le logiciel libre (tout du moins l’open source). L’obsfucation de code c’est du côté des développeurs, non du côté des attaquants. L’openSource est l’une des meilleures choses en sécurité car toute une communauté peut chercher dans le code des failles (donc pas uniquement les développeurs) sans passer uniquement par des méthodes de fuzzing. Ce qui permet de déceler les failles plus rapidement.
Posté le 11 juillet 2009 à 13:43:38
MikeZ
Tout d’abord si tu trouve une faille tu prévient le site victme pour qu’il corrige et tu gardes ca pour toi..
Si au bout d’une certaine période (genre un mois ou deux) la faille n’est pas corrigée, tu la balance dans la nature pour forcer les gens à réagir..
C’est ce qu’un hacker confirmé ferait je pense.
Ou alors il garde la faille pour lui et l’utilise
Le groupe Anti machin la c’est de la poudre aux yeux. Ce qu’il veulent c’est pas empêcher les kiddies c’est garder les failles pour eux et les exploiter
en secret… Franchement quel bande de #@&~!}
On avait par mégarde accédé (/admin) à la partie admin d’un petit site marchand non protégé (par défaut dans OScommerce, c’est la faute du système libre sur le coup), on aurais pu me faire envoyer des saucissons gratos :p..
On a prévenu le type. Normal.
Je pense à truc. Le rendu public d’une faille c’est ptet aussi se la raconter « regardez, j’ai la plus grosse, j’ai trouvé une faille dans google ».. La ok , j’aime pas !
Posté le 11 juillet 2009 à 14:15:45
ap0
La sécurité par l’obscurité est une imbécillité énorme.
Rendre les faille spubliques, c’est forcer les gens à les corriger.
Imaginez une « elite », seule au courant des failles…
Posté le 11 juillet 2009 à 14:25:23
Targhan
Moi je suis pour une solution entre les deux :
Black Out le temps de la sortie du patch + un délai de déploiements de ce patch. Et ensuite expliquer en détail comment le hack fonctionnait.
Et si la société ne corrige pas le trou de sécurité au bout de X semaines, on dévoile quand même.
Posté le 11 juillet 2009 à 14:46:41
Idris
@Targhan: Exactement, cela s’appelle le Responsable Disclosure si je ne m’abuse. Je pense vraiment que c’est la solution qu’il faut adopter !
Posté le 11 juillet 2009 à 15:06:30
ap0
@Idris et Targhan : et pour l’openSource, on fait comment ?
Posté le 11 juillet 2009 à 18:13:47
Idris
@ap0: Quel est le problème pour l’Open Source ?
Posté le 11 juillet 2009 à 21:21:53
backup
@ap0: pour l’open source vue que c’est pour tous et par tous, les failles sont testées par tous et sont solutionnées par tous aussi….
et en plus tu ne payes pas une fois pour le produit et une deuxième fois pour sa sécurisation….:o) que du bonheur quoi…
Posté le 11 juillet 2009 à 22:44:51
Raool
Le Full Disclosure, c’est pas interdit en France (Cf LCEN) ?
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164&dateTexte=
Posté le 11 juillet 2009 à 23:52:30
Bjnn
Je pense qui faut pas pousser le vice trop loin, pour exploiter un exploit quel qu’il soit faut un minimum savoir comme ça marche, et c’est loin d’être à la porté de tout les script-kiders. C’est surtout les trojans qui se font passer pour de gentil logiciel de gestion a distance qui faudrait éradiqué u_u, mettez un vrai scipt-kiders sur millworm ou devant un dictionaire chinois->polonais c’est pareil.
Les defacers/méchants hackers restent une minorité, et mieux vaux une diffusion public de ces faille permettant leurs corrections que leurs circulations dans un cercle restreint de méchant du net.
Posté le 12 juillet 2009 à 02:30:26
Eno
La grande différence entre un hacker et un script kiddie, c’est que le hacker ne va pas deface en random site pour le plaisir.
Posté le 12 juillet 2009 à 05:00:41
Nispaur
@Eno: Faux, dans les « hackers » il y a deux familles, les White Hats et les Black Hats.
Ceux qui préférent la philosophie White hats, trouvent divulgent les failles et aident à les corriger notemment sur les projets Open Source.
Les Black hats quant à eux, utilisent leurs exploits pour… le plaisir de detruire gratuitement (?), ou revendiquer une action quelquonque.
Le script kiddie lui se contente d’aller sur milw0rm aller chercher le code d’un des deux type de hackers et de les utiliser à tout bout de champ pour diverses raisons (vengeance, sentiment de toute puissance dans cet age ou l’être est si perturbé, etc…)
- Pour plus d’informations –
http://fr.wikipedia.org/wiki/Black_hat
http://fr.wikipedia.org/wiki/White_hat
http://fr.wikipedia.org/wiki/Script_kiddie
(Pas exact à 100%, normal c’est wikipedia, et la version anglaise est beaucoup plus détaillée à ce sujet)
Posté le 12 juillet 2009 à 10:24:31
Galdon
J’ai vu ça hier sur un forum, et j’avais pas trop compris ce que voulais dire le texte.
Maintenant ça va.
Posté le 12 juillet 2009 à 11:03:29
R.
@Nispaur: Faux aussi, les limites sont très floues dans la scène, des fois les chats sont les souris et les souris sont des chats. Il y’a a pas de « Black hat » ou de « White hat » à 100%. Tout dépend de leur cible. C’est pour cela que la majorité des pirates se disent « Grey » Hat afin de mettre fin à ce troll. (quoi, qui dit que je débute un troll ?)
Après il y a l’industrie de la sécurité, qui elle ne se définie pas… car elle en rentre pas du tout dans la philosophie du piratage et du hacking, voulant simplement faire de l’argent sur le dos de certains, donnant leur sources gratuitement (et c’est aussi contre cela qu’anti sec se bat…)
Posté le 12 juillet 2009 à 11:52:42
XPO
Ce qui est ambigu dans leur démarche, c’est que leur volonté de lutter contre l’industrie de la sécurité se concrétise par des activités qui ne font qu’alimenter le FUD ambiant et renforcer le besoin des gestionnaires vis à vis des solutions de cette industrie.
Posté le 12 juillet 2009 à 15:35:28
MikeZ
White hat/black hat quelle ânerie..
C’est le monde des bisounours ou ya le gentil et le méchant
On est ptet l’un des deux a un instant T mais bon
En hackant comme ca un site super connu tu fais grimper les sociétés de sécurisation.. Sont vraiment cons dans leur démarche
Tant qu’a faire ils auraient du parler des relations entre les sociétés d’antivirus et les auteurs de virus… Ca c’est vraiment trouble et abusé !
En mettant bien sur la fiabilité des infos de feu le « Virus Informatique » dans la balance, on peu quand même remarquer que quand ils on voulut évoquer le sujet ils se sont fait laminer , campagnes de calomnies et j’en passent…
Moi je vous le dit, les vrai pourris sont chez les éditeurs d’antivirus.
Je m’avance pas plus , ou korben va avoir des problèmes : DDOS du site, débarquement de Roland Garcia l’expert INDEPENDANT (LOL) mystère qui sort de sa boite et manie la menace des tribunaux des que l’on a le malheur de mettre en doute ses « constatations ».
Posté le 12 juillet 2009 à 16:16:02
lemuria
Stop pleurer , un webmaster qui ne corrige pas les failles de son site est un mauvais webmaster , go faire un skyblog ou autre….La vente d’antivirus n’a rien a voir avec la divulgation de failles , et tant mieux pour eux si il y a encore des gros con qui achetent des licences..Ensuite les S-k ne sont pas une menace , il obligenre les webmaster a se tenir au courant … ENsuite le full disclosure est con , car la minorité des cracker connaisant une faille va l’utiliser a ses propore fin ( argent , pouvoir ,etc..
).
ENsuite je lance peut etre un troll , mais un hacker c’est gentil , un cracker c’est mechant , merci de faire la difference …
Posté le 12 juillet 2009 à 18:42:45
lemuria
@Nispaur
« Le script kiddie lui se contente d’aller sur milw0rm aller chercher le code d’un des deux type de hackers et de les utiliser à tout bout de champ pour diverses raisons (vengeance, sentiment de toute puissance dans cet age ou l’être est si perturbé, etc…) »
Arrete de dire n’importe quoi , stop analyser leur « sentiment de toute puissance » , j’ai 15 ans et je t’em***de cordialement.
Edit : Ce collectif est composé de cracker , le hack de 2 site en est la preuve , sir ce qu’il avance est vrai , il aurait pu allez se faire embaucher facilement..
Posté le 12 juillet 2009 à 18:55:51
rl0
@lemuria:
Stop pleurer
stop analyser
il obligenre
go faire
il aurait pu allez se faire
Sérieusement, au lieu de faire kikoolol j’ai 15 ans et j’analyse les hacker, « go école » comme tu dis
Ah,
« j’ai 15 ans et je t’em***de cordialement. »
La politesse arrive aussi à la puberté ?
Posté le 12 juillet 2009 à 19:32:05
MikeZ
Sans parler de mentallement perturbé je dirais surtout
« oué regarde je h@ck da wolrd j’ai TELECHARGE Subseven , yeah »
« oué ta rézon tu RoXXe mdr lol ptdr »
« oué, je suis 1 den G pour le monde libre, PHEAAAAR !! »
« Vien on dessine des tetes de mort partout »
(fautes d’origine
« j’ai 15 ans et je t’em***de ** »
Voila typiquement une réaction puérile doublée d’une réponse constructive :p. J’ai pas compris :
* Tu défend le « script kidding? » -> OMG pauvre ptit va..
* Tu réfutes les accusations qu’on fait aux kiddies?
C’est pas possible , le principe du kiddie c’est
* j’exploite un truc tout fait où j’ai rien à faire pour hacker
* « c moi kai la plus grosse »
* « je h@ck da world »
mais uniquement pendant les heures de gouter attention !
* Tu n’est pas un kiddie et tu maitrise
dans ce cas, pourquoi défendre ces petits m*rdeux?
Parce que pour les défendre faut vraiment en etre un…
Le kiddie est incapable de réfléchir par lui même pour hacker.
hacker , cracker : personne n’est d’accord..
A la base hacker ca veut dire bidouilleur, pas pirate !
Et « cracker » est beaucoup plus employé pour les fabriquants de « patch » ou « keygens » qui déplombent les logiciels…
Tous ca c’est des querelles de clocher stériles cette sémantique
Posté le 12 juillet 2009 à 19:46:31
Swopyl
La seule chose que les scripts kiddies maitrisent c’est Google…
Posté le 12 juillet 2009 à 20:38:18
kruggs
Perso, je prefere voir les code source exploit, vuln etc partout sur le net.
Pourquoi : c’est tout simple
Si on planque les failles qui les devinera ?
parceque faut pas rêver, il n’y pas que les grosse boite qui trouve les failles…ils pompe sur le net aussi pour faire leur business.
De plus si seul les societes gardes les exploits, euu on se protege comment nous ? on attend que la boite sorte un patch, et ou que on paye un boite en securité ?? loool tout sa pour avoir plus de pognon…
En ayant droit a ces sources on apprend a reagir, et reflechir comme les hacker ou autre, du coup on sais comment patcher sois meme, et surtout c’est une veille important je trouve d’etre au courant des vulnerabilité.
Enfin bon c’est comme toute choses, les gros veulent tout planker pour garder pour eux
Posté le 12 juillet 2009 à 20:38:22
M
La semi disclosure est indispensable a toute réelle sécurité
Pourquoi uniquement semi ?
Parceque ça laisse un temps à l’admin / dévellopeur de remercier et corriger la faille et ou a propager les MAJ afin que personne ne soit bêtement hacké par des kiddies en manque d’occupation
Pourquoi quand même semi ?
Parceque dans le cas d’un admin/dev/sté/orga véreuse ou qui s’en fout « tant que ça marche on laisse comme c’est » powered, ça les pousse a s’activer et a corriger, sous la menace que ça devienne public un jour, ça les pousse a auditer leur code et a dev / bosser un peu plus proprement
Dans les deux cas cela profite a l’utilisateur final
Posté le 12 juillet 2009 à 21:46:17
lemuria
Je vois qu’il a plein de personne qui ont réagit
Je ne défend pas les sk , je dénnonce le fait d’attribuer au SK un age particulier ( Mon age :p ) . Et je pense que les s-k qui arrivent a cracker certaine sécurité on un minimum d’experience , pas assez pour se rendre que ce qu’il font ne sert a rien. Un minimum d’experience , car il faut maitriser des langages de programmation pour utiliser la majorité des failles mise en ligne sur milw0rm par exemple . Ensuite les programmes dans lequel on entre une adresse et qui hack automatiquement , je pense que c’est un mythe , mais si ca éxiste , ce n’est plus du hacking.
@rl0 Si tu veut que je fasse des phrases longues et construites , moi ca ne me gene pas c’est juste plus long.Pour l’orthographe , j’avoue , je suis mauvais.
Ensuite ton message a part critiquer ma sémantique , il ne sert a rien , on va dire que je fait une Métonymie , si tu vois ce que je veut dire…
@mikez Ton message je l’aime bien
Pour ceux qui connaisent je traine sur hack-bbs
Edit : +1 Kruggs et M
Posté le 12 juillet 2009 à 23:11:35
MikeZ
Je vois :p A ceci près que si il sait cracker un peu la sécurité, c’est plus un kiddie du tout, sauf il se comporte comme un neuneu ! Mais on joue sur les mots quoi
Et puis par « kiddie » on entend SURTOUT mentalité hein, pas l’age.. Il faut quand même avouer que la plupart sont dans cet age dit ingrat (je suis pas beaucoup plus vieux j’ai pas 28 ans ) du kikoolol..
Sinon pareil que M.
Il se fait tard bonne nuit
Posté le 13 juillet 2009 à 00:52:06
Félix Aimé
J’aime bien ce débat tellement il est lamentable car rentrant de plus en plus dans le troll vu maintes et maintes fois. Ce petit débat « anti-SK » est vieux, même si au fond, tous les pirates et responsables en SSI utilisent des exploits, qu’ils soient simples d’exploitation (demandant que le target, et des fois le port) ou plus difficiles à mettre en Å“uvre (demandant l’application de diverses variables d’environnement, le target, l’élaboration de son propre shellcode, un playload etc.).
J’imagine par ailleurs un DSSI ou autres (hackers, crackers, pirates (rayez la mention inutile)) auditant l’intégralité des codes sources ou faire du fuzzing ou reverse afin de posséder ses propres exploits. C’est inimaginable.
Tous les RSSI, DSSI et tout ce qui se fini en SSI utilisent des exploits (local ou remote) durant leur pentests contre des systèmes et ce n’est pas pour cela que ce sont des « SK ».
Oui, il y a des personnes sur les scènes se servant des exploits des autres, n’ayant vraiment pas de connaissance dans les langages de programmation ou en systèmes d’exploitation voulant pirater le plus possible, leur piratage se limitant simplement à un stade peu élaboré dont la plart son simplement la cible de certains sites web et n’iront pas au delà des bastions. On les rencontre beaucoup dès qu’une vulnérabilité est décelée par exemple sur certains CMS où ils s’amusent à rechercher les sites faillibles grâce à leur signature à partir de Google et font des mass deface, ils sont peut-être la base de la pyramide mais il faut faire avec.
Je pense que ces débats sont inutiles, puérils et ne mènent à rien… après tout, nous sommes tous le « SK » de quelqu’un.
Posté le 13 juillet 2009 à 01:10:58
kruggs
alors la Félix Aimé, je le pensais, mais j’hésitais a le dir de cette maniere:p
et ce n’est pas pour cela qu’on est SK
mais tu a tout a fait raison :p
d’une on va pas réinventé la roue, si des exploit existe et qu’il marche on prend
et puis bon, sert a rien tout ce debat :p
Posté le 13 juillet 2009 à 01:37:50
Gogopex
@Félix Aimé: Bah oui, mais maintenant j’ai plus rien a dire !
Posté le 13 juillet 2009 à 09:22:32
MikeZ
Tout à fait.. Mais bon si on peut plus faire des trucs stériles
Sinon rien à dire j’adhère.. Si tu me relis tu vera que les responsables IT j’en parle pas et ca,volontairement.
Posté le 13 juillet 2009 à 14:32:11
omgwtf
Personnellement je prone un full disclosure « sauvage » en opposition au soit disant full disclosure « responsable » qui consiste à atteindre que l’éditeur de logiciel fixe le bug avant que les détails de la faille soit publiés.
On a vu où ça menait, par exemple avec Microsoft qui peux mettre entre deux mois et une année à corriger certaines vulnérabilités (un site regroupait toutes ces vulns microsoft, je ne sais pas s’il existe toujours) et pendant ce laps de temps ce sont les utilisateurs qui trinquent.
Après la carotte, il n’y a que la technique du baton qui fonctionne… mais il faut avouer que ça c’est amélioré : maintenant toutes les grosses boites communiquent sur leurs pbs de sécu en ouvrant des blogs sur le sujet (comme le fameux blog « Microsoft Hackers » qui toutefois n’apporte pas grand chose d’intéressant… heureusement ya Mark Russinovich pour remonter le niveau)
Et le no-disclosure et bien on le voit toutes les semaines, des failles exploitées direct in-the-wild qui créent des botnets à gogo ou des patchs discrets qui corrigent des failles sans que l’éditeur ne les déclare publiquement et dont les patchs sont très vite analysés à des fins « malicieuses ».
Maintenant un france, en allemagne, on interdit le full-disclosure ou la publication d’outils d’attaque… encore une fois c’est aller dans le sens des éditeurs et pas des utilisateurs. Même le gov lui même trinque de cette bétise puisqu’il est utilisateur et c’est pas du côté du THC qu’on me contradira…
Et enfin (pour terminer) à côté de ça il y a un sacret business autour des exploits, des sites d’enchère spécialisés ou des concours style pwn2own où des mecs touchent un pactole pour vendre leurs outils… on dit même que les govs ne sont pas les derniers à dépenser de l’argent pour ce genre de code
Posté le 13 juillet 2009 à 14:42:47
Phantasmes
Ma réaction : lol.
Posté le 13 juillet 2009 à 15:25:39
Rick Hunter
Arrgh, j’utilise Imageshack pour mon blog, je n’ai rien vérifié ce week-end, j’espère que ça s’est pas trop vu.
Posté le 15 juillet 2009 à 10:40:42
UNTITLED.BLOG » Blog Archive » 0dayz openSSH et précautions à prendre
[...] L’attaque d’imageshacks par Korben [...]
Posté le 21 août 2009 à 14:58:58
amassine
j’utilise imagesshacks mais je ne l’aime pas
Posté le 22 novembre 2009 à 16:35:59