Nouveau concours de sécurité sur MacOS X

Le par  |  52 commentaire(s) Source : VNUnet
MacOSX Tiger

Mécontente de la façon dont s'est passé un récent concours de hacking autour de MacOS X, l'administrateur système de l'Université du Wisconsin lance à son tour une initiative similaire, mais dans un contexte, disons, plus réaliste.

Mécontente de la façon dont s'est passé un récent concours de hacking autour de MacOS X, l'administrateur système de l'Université du Wisconsin lance à son tour une initiative similaire, mais dans un contexte, disons, plus réaliste...'

Macosx tigerEn réponse à un article plutôt critique de nos confrères de ZD Net Australie, dont nous nous sommes récemment fait l'écho, Dave Schroeder, administrateur des systèmes informatiques de l'Université d'état du Wisconsin, a choisi d'organiser lui aussi son concours de hacking.

Spécialiste des configurations sous UNIX et MacOS X, qu'il gère au quotidien, Schroeder voudrait prouver que ces dernières plate-formes ne sont pas aussi vulnérables que le laissait penser le dernier concours organisé par un Suédois peut-être un peu naïf. Il commence cependant son annonce par ces mots : "MacOS X n'est pas invulnérable. Comme tout système d'exploitation, il présente des défauts en matière de sécurité. Cependant, l'architecture générale et la philosophie de MacOS X, associées à l'emploi de solutions open-source, font de ce système une plate-forme extrêmement sûre."

Reprenant une configuration proche de celle du précédent concours, Schroeder a configuré en serveur un Mac Mini sous MacOS X 10.4.5 entièrement patché et mis à jour, avec deux comptes d'utilisateur, et un accès SSH et HTTP entièrement ouverts, même si ces deux derniers points représentent déjà, selon Schroeder, une anomalie rarement rencontrée en situation réelle.

Les hackers qui voudront se mesurer à MacOS X se verront fournir un URL (une adresse Web) menant à un site, dont ils devront corrompre le contenu pour prouver qu'ils sont parvenus à entrer dans le système d'exploitation de la machine de test. Pas d'escalade de privilèges ici, donc, mais du hacking pur et dur, et l'occasion pour Apple, qui garde le silence à l'heure qu'il est, de redorer son blason. Et de tirer les enseignements de cette initiative, lorsqu'elle sera clôturée, ce qui semble déjà être le cas.

Mais chacun sait que l'on fait dire à ce genre d'expérience un peu ce que l'on veut. Nous jugerons sur pièce lorsque les résultats de ce concours, purement honorifique, seront publiés...


Complément d'information

Vos commentaires Page 1 / 6

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #91490
Bon moi je lance un concours

Combien de Windowsiens vont venir ici aujourd hui jajajaja
Le #91498
ZD Net Australie n'a pas arrêté de balancer de l'intox sur tout ce qui n'est pas MS depuis quelque temps... Suffit de jeter un oeil sur les commentaires de Slashdot, c'est assez jouissif
Le #91506
sacré concours en perspective.

meme cause, meme effet...'

wait and see
Le #91510
"Spécialiste des configurations sous UNIX et MacOS X, qu'il gère au quotidien"
Rien qu'a partir de la, le test est deja pipe et ca ne vaut pas linteret daller plus loin : Qui peut se pretendre specialistes des config UNIX et MAC os X '... Quelques personnes sans doutes mais certainement pas 99.9% des personnes utilisant un MAC/PC... Ca ne peut pas etre considere comme une situation objective !!..
Le #91518
y a une idee de la date de publication des resultat du concour '
je sent qu'on va rire
Le #91519
Moi j aimerais une chose

Voir des personnes sous windows faire les memes test juste histoire de voir ...

Un titre genre :
Nouveau concours de sécurité sur WINDOWS XP
Le #91520
Je pense que ce second test n'a pas grand intérêt pour les particuliers, qui ont rarement un serveur web.

Ce qui compte pour éventuels futurs virus Mac, c'est de pouvoir voler les privilèges root pour infecter tout le système. Les fans de MacOS X ne cessent de répéter que le défaut de Windows est que tout utilisateur lambda est root (ce qui est un réel défaut) et que MacOS a cet avantage énorme qu'est la séparation des droits et la présence d'un compte root (ce qui est bien en soi).

Seulement les résultats du premier concours montrent que cette séparation des droits, c'est du vent. Et que les virus, s'ils existaient, pourraient faire les mêmes dégâts que sous Windows.

On revient donc au point de discorde : si MacOS X n'est pas touché par les virus, c'est uniquement à cause de sa faible popularité, parce que les droits root se piratent comme un rien. Il reste certes la possibilité d'infecter une machine distante, mais sous Windows beaucoup de virus se propagent par mail, et le firewall s'occupe de bien d'autres. Et on verra selon les résultats de cette seconde expérience...
Le #91525
Permets moi d'être en désaccord avec ta conclusion.

Le 1er test a été franchement biaisé, et cela prouve le HAUT NIVEAU D'INCOMPÉTENCE de ZD Net Australia.

"Seulement les résultats du premier concours montrent que cette séparation des droits, c'est du vent. Et que les virus, s'ils existaient, pourraient faire les mêmes dégâts que sous Windows."

http://www.osnews.com/comment.php'news_id=13886

Ce commentaire est intéressant car il montre que le test de ZD-Net, c'est du vent et rien d'autre :

"[...]But to date the only thing that they have been able to do is deface the site which is run in the local user space. Not so severe after all IMHO.

ZDNet's article is completely misleading.

"It probably took about 20 or 30 minutes to get root on the box."

What root' The disabled, non-running root' If he had root, then he should have rm -rf the box. But he didn't... Why' Cause he didn't have root!!!![...]"

Si les droits roots avaient été pris, les dégats auraient été plus importants. Et non pas uniquement "défacé" le site.

"parce que les droits root se piratent comme un rien."

Une preuve de cette affirmation ' Car si tu ouvres un accès SSH, tu peux faire pas mal de chose.

Je maintiens que l'histoire des parts de marché, CELA NE VEUT STRICTEMENT RIEN DIRE.

J'en reviens toujours au même point ; un logiciel sera attaqué en fonction :

- de la qualité de son code
- de la politique économique de la boite qui produit le dit code
- de la politique de sécurité de la boite qui produit le dit code

Qui vivra verra, mais sans être fanatique, je suis presque sur du résultat, au grand désespoir des cassandres : Symantec, McAffee, et compagnie.
Le #91526
"The testing period is now closed.
# The response has been very strong.
# Traffic to the host spiked at over 30 Mbps.
# Most of the traffic, aside from casual web visitors, was web exploit scripts, ssh dictionary attacks, and scanning tools such as Nessus.
# The machine was under intermittent DoS attack. During the two brief periods of denial of service, the host remained up.
# The test machine was a Mac mini (PowerPC) running Mac OS X 10.4.5 with Security Update 2006-001, had two local accounts, and had ssh and http open with their default configurations.
# There were no successful access attempts during the 38 hour duration of the test period."

Dommage pour les cassandre, ZD Net l'a profond dans le --- !
Le #91538
"the only thing that they have been able to do is deface the site which is run in the local user space."
Le gars a quand même réussi à pénétrer un autre compte que le sien. Imagine que t'arrives à accéder au compte de tout le monde sur un gros serveur ' Y compris celui que l'admin utilise quand il ne veut pas être root '

"What root' The disabled, non-running root' If he had root, then he should have rm -rf the box. But he didn't... Why' Cause he didn't have root!"
Les points d'interrogation le montrent : ce n'est que pure spéculation. On ne sait pas s'il a été root (on ne sait pas grand chose d'ailleurs).


"parce que les droits root se piratent comme un rien."
"Une preuve de cette affirmation ' Car si tu ouvres un accès SSH, tu peux faire pas mal de chose."
Je parle JUSTEMENT du cas où tu as un accès local (ou ssh, c'est pareil ici), comme quand les utilisateurs lancent un exécutable reçu par mail, ou bien simplement *décompressent* une archive reçue par mail, cf. la récente faille (maintenant bouchée il me semble). Actuellement les virus qui ont du "succès" sont ceux qui exploitent la crédulité et l'ignorance des gens (cf. la montée du phishing).

Cela veut dire aussi que s'il existait des logiciels packagés avec des spywares, ceux-ci pourraient s'enraciner dans le système, tout comme sous Windows. La principale raison pour laquelle cela n'arrive pas est que les sociétés éditrices de spywares négligent ce marché ridicule : si elles voulaient, elles pourraient.


"- de la qualité de son code" ->on n'a pas accès à tout le code de MacOS X, notamment à l'interface qui peut très bien être bourrée de failles
"- de la politique économique de la boite qui produit le dit code" ->i.e. ' Tu veux parler du fait qu'Apple fait payer certaines mises à jour de Mac OS X '
"- de la politique de sécurité de la boite qui produit le dit code" ->Apple a l'air d'avoir encore plus négligé la sécurité que Microsoft ! (cf. l'article de GNT qui comptabilisait les failles)

Mis à part le flou qui les entoure, je ne suis pas du tout d'accord avec ces critères. Un logiciel est *d'abord* attaqué *parce que* (au sens de la motivation) on a intérêt à toucher un maximum de pigeons : les pirates actuels veulent se faire des sous en envoyant du spam, ils ne font pas ça pour la gloire.

Ensuite, et *ensuite* *seulement*, le *succès* des attaques est plus ou moins déterminé par ce que tu as dit.

Pour Mac vu que le premier critère n'est pas rempli, on ne sait rien sur le second. En effet pas grand monde a vraiment essayé de pirater un Mac : même les pseudo-virus de proof of concept étaient bogués (sic) !


Quant au résultat de l'expérience, il démontre "juste" les qualités de MacOS X en tant que serveur *distant*, que je n'ai jamais déniées mais qui ne sont pas les seules à avoir pour un particulier. Quid si on a un compte dessus '
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]