L'open-source c'est gratuit (quand

Le
The Mover
Le logiciel libre c'est bien, la sécurité par l'obscurité c'est caca et
tout est secure tralalalaC'est bien beau les principes, mais quand il
n'y a personne pour auditer correctement du code, ben c'est l"économie
mondiale qui trinque !!!

Je pense qu'Heartbleed coûtera au minimum 1 milliards de $ à l’économie
mondiale, certainement le double.

Ça a déjà couté 500 millions de $ à cloudfare, sur un mois et ça va
continuer :
<http://blog.cloudflare.com/the-hard-costs-of-heartbleed>

Donc l’estimation d'un milliard, c'est le minimum.

Si vous avez l'exemple d'une faille windows qui a coûtée 500 millions de
dollars à une firme sur un mois je suis preneur.

--
http://w.tf
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
sedenion
Le #26107772
Le 30/04/2014 13:50, The Mover a écrit :
Le logiciel libre c'est bien, la sécurité par l'obscurité c'est caca et
tout est secure tralalala...C'est bien beau les principes, mais quand il
n'y a personne pour auditer correctement du code, ben c'est l"économie
mondiale qui trinque !!!

Je pense qu'Heartbleed coûtera au minimum 1 milliards de $ à l’économie
mondiale, certainement le double.

Ça a déjà couté 500 millions de $ à cloudfare, sur un mois et ça va
continuer :



"The activity of browsers downloading the Globalsign CRL generated
around 40Gbps of net new traffic across the Internet. If you assume that
the global average price for bandwidth is around $10/Mbps, just
supporting the traffic to deliver the CRL would have added $400,000USD
to Globalsign's monthly bandwidth bill."

C'est surtout à cause d'une pratique honteuse des opérateurs (de gros)
qui facturent au trafique. Qu'on facture à la bande passante c'est une
chose, qu'on facture au trafique, c'est inique et ça devrait être
interdit au même titre que l'usure.

Si vous avez l'exemple d'une faille windows qui a coûtée 500 millions de
dollars à une firme sur un mois je suis preneur.



En effet, les failles Windows ont la propriété magique de rapporter de
l'argent. L'insécurité, c'est un business, un très gros business...
https://www.youtube.com/watch?v=XsqPeqhKJ7Q

--
Usenet, demain, j'arrête...
sedenion
Le #26107802
( Et c'est sans parler des sommes astronomiques engrangé par les CA,
entreprises qui encaissent une somme mirifique pour avoir passé deux
coups fils et générer une clef SSL en cliquant sur un bouton... On est
quand même pas loin de l'escroquerie, mais bon, bref... )

--
Usenet, demain, j'arrête...
The Mover
Le #26107852
sedenion a écrit :

Je pense qu'Heartbleed coûtera au minimum 1 milliards de $ à l’économie
mondiale, certainement le double.

Ça a déjà couté 500 millions de $ à cloudfare, sur un mois et ça va
continuer :



"The activity of browsers downloading the Globalsign CRL generated
around 40Gbps of net new traffic across the Internet. If you assume that
the global average price for bandwidth is around $10/Mbps, just
supporting the traffic to deliver the CRL would have added $400,000USD
to Globalsign's monthly bandwidth bill."

C'est surtout à cause d'une pratique honteuse des opérateurs (de gros)
qui facturent au trafique. Qu'on facture à la bande passante c'est une
chose, qu'on facture au trafique, c'est inique et ça devrait être
interdit au même titre que l'usure.




Non c'est surtout que le principe de révocations des certifs (CRL) est
boiteux, et certainement pas prévu pour gérer des millions de révocs d'un
coup.

Du coup, faut vérifier tous les certifs à la mimine (tout du moins ceux
qui ne sont pas dans httpseverywhere).

Sinon tu laisses ton naviga, pardon spyware le faire, mais y'a des riques:


Et là Cloudflare, a utilisé une autre option, d'où les millions pour leur
gueule... Et ni leur clients, ni les utilisateurs des sites cdnisés, et
encore moins les CA, ne payeront rien.
Si suite à ça Cloudfare stoppe leur offre gratuite de CDN il faudra dire
un grand merci à la communauté du libre...

Et sinon "forward secrecy" empêchait heartbleed, même avec un openssl
vulnérable:

<https://www.eff.org/deeplinks/2014/04/why-web-needs-perfect-forward-
secrecy>

Si vous avez l'exemple d'une faille windows qui a coûtée 500 millions
de dollars à une firme sur un mois je suis preneur.



En effet, les failles Windows



Je parle d'une faille, pas de toutes les failles. SInon on rajoute au
coût d'heartbleed, le coût de tcpbleed... Non c'est la faille windows qui
a couté 500millions à une boite sur un mois qui m’intéresse !

ont la propriété magique de rapporter de
l'argent. L'insécurité, c'est un business, un très gros business...




J'ai posté les liens sur les boites qui font de l'offensive security, qui
sont leur clients, etc etc etc....

Tiens :


Par contre la faille windows de prix là, j'attends l'exemple.

--
http://w.tf
The Mover
Le #26107842
sedenion a écrit :

( Et c'est sans parler des sommes astronomiques engrangé par les CA,
entreprises qui encaissent une somme mirifique pour avoir passé deux
coups fils et générer une clef SSL en cliquant sur un bouton... On est
quand même pas loin de l'escroquerie, mais bon, bref... )



C'est un autre problème ça, de plus on peut auto-signer les certifs, ça
se fait beaucoup, juste pour les mails ça coince (tu m'étonnes!!!).

--
http://jtebaise.tumblr.com/
The Mover
Le #26107962
sedenion a écrit :

Le 30/04/2014 15:50, The Mover a écrit :
Par contre la faille windows de prix là, j'attends l'exemple.



Il faut comparer ce qui est comparable, Windows n'est pas implanté sur
le marché des serveurs.



Hum, ils ont une part faible, mais sont quand même bien implanté, et
surtout dans les administrations, serives, ce qui est flippant.

Sinon les certifs, SSL (open ou pas), c'est pas juste coté serveur, y'a
le navigateur aussi.

Mettez des Windows Server à la place des Debian,



Pour les parcs de grosses admin c'est pas gagné, par exemple XP sera
toujours mise à jour...sur les bécanes du trésor US...

Et il n'y a que voir le temps que ça a pris à la gendarmerie pour migrer
sous linux: nickel coté serveur, par contre niveau utilisateur final,
c'est toujours pas au point, alors que les mecs devaient juste utiliser
thunderbird au lieu d'outlook, firefox au lieu d'IE et libre-office au
lieu de... Du coup des pandores ramènes leur vieux portable sous XP pour
taper les PV (bonjour la sécu..).

FreeBSD,



Superbe faille TCP découverte ce jour, elle traînait depuis combien de
temps ?

OpenBSD etc, et vous aurez une estimation du "prix" de la
"sécurité windows",



Bon on va la faire plus simple, est-ce que sur une même periode
l'ensemble des failles windows a couté aussi cher qu'heartbleed ?

sans oublier de comptabiliser le surcoût en
climatisation des datacenters du monde entier à cause des processeurs et
des disques dur qui surchauffent...



C'est le problème de tous les datacenters ça, sinon (j'ai peut être loupé
l'info), mais j'ai pas trop vu la Fondation Linux et les grosses distro
investir dans le "Green IT".

--
http://phrack.org/issues/54/8.html
David Marec
Le #26108452
Le 30-04-2014, The Mover

Si vous avez l'exemple d'une faille windows qui a coûtée 500 millions de
dollars à une firme sur un mois je suis preneur.




Windows XP. Tout simplement.

L'abonnement au support de XP aurait couté 25 millions d'euros par an
a l'administration britannique.

Pourquoi souscrire à ce genre d'extension de support si ce n'est pour
corriger des failles ?

Considérez tout de même que ce chiffre de 500 millions d'euros n'est
qu'une farce.


--
papappaapapapa mow mow
David Marec
Le #26108642
Le 30-04-2014, The Mover

FreeBSD,



Superbe faille TCP découverte ce jour, elle traînait depuis combien de
temps ?



Moins d'un an.

C'est une faille qui provoque surtout un DOS en faisant planter le noyau.

Sans compter qu'un simple
scrub in all
dans le pare-feu suffit à éviter l'attaque. C'est une option assez courante.


Bon on va la faire plus simple, est-ce que sur une même periode
l'ensemble des failles windows a couté aussi cher qu'heartbleed ?




Répondez vous même, combien ont coûté ces failles:

https://technet.microsoft.com/library/security/2588513
https://technet.microsoft.com/library/security/977377
https://technet.microsoft.com/library/security/ms12-006

Ou plutôt, si personne n'a cherché à le calculer, pourquoi ?

Toutes ces failles permettent la divulgation d'information ou
l'usurpation d'identité.

Donc, une remise à plat des clefs, des indentifiants des mots de passe
de tous les systèmes...
Mais pas chez Windows. Chez Windows le problème se résoud par une mise à
jour. Les identitiés usurpées ne le sont plus, les mots de passe ou les
clefs qui n'ont pourtant pas changés ne sont plus vulnérables.
Magique.

--
Bend over, I'll drive.
The Mover
Le #26108632
David Marec a écrit :

Le 30-04-2014, The Mover

Si vous avez l'exemple d'une faille windows qui a coûtée 500 millions
de dollars à une firme sur un mois je suis preneur.




Windows XP. Tout simplement.



Ha ben tiens, SSL ça ne marche que sur XP avec IE ?

L'abonnement au support de XP aurait couté 25 millions d'euros par an a
l'administration britannique.



Et certainement autant à l’administration française, j'ai refait faire
mon passepoprt car périmé... Il était sur quoi l'ordi ? Et quand tu
penses que c'est pour de l'anthropométrique, ça rajoute du flip au flip.

Pourquoi souscrire à ce genre d'extension de support si ce n'est pour
corriger des failles ?



Pourquoi ne pas auditer correctement un logiciel libre, alors que le code
source est accessible à tous ? Problèmes de compétences ?

On peut pas comparer les deux (ou 3,4 ?) lignes de codes qu'ont
(volontairement?) pwné un logiciel (OpenSSL) et les millions de ligne de
code d’un OS, aussi pourri soit il.



Ce n'est pas parce qu'XP est défaillant que OpenSSL (ou TCP sur freebsd)
doit l'être aussi.

Considérez tout de même que ce chiffre de 500 millions d'euros n'est
qu'une farce.



Oui bien sur, mais dans le catégorie "faille qui coûte des millions", le
logiciel libre à mis la barre très très très haut.

--
"Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir."
Emil Cioran
The Mover
Le #26108722
sedenion a écrit :

Le 30/04/2014 15:55, The Mover a écrit :
C'est un autre problème ça, de plus on peut auto-signer les certifs, ça
se fait beaucoup, juste pour les mails ça coince (tu m'étonnes!!!).



Non, ça ne se fait pas, car les navigateurs sont fait pour hurler au
danger mortel d'holocauste informatique à chaque fois qu'on tombe sur un
certificat qui n'est pas signé par un CA qui va bien. Ca marche à titre
privé, entre gens qui savent, et cliquent sur le bouton "non j'ai même
pas peur, obtient le certificat et tagle !"



Ben faut lire le certif, le chemin etc etc. Et tu peut donner
l'autorisation temporairement.

Le navigateur acceptera un certif auto-signé si tu lui dit, que tu sois
root,user ou invit... Pour les mails, ils paraient que ça ne passe pas
(pas testé, juste lu ça).

--
http://www.bondyblog.fr/201404250001/beurette-autopsie-dun-mort-ne-
francais/
The Mover
Le #26108772
David Marec a écrit :

FreeBSD,



Superbe faille TCP découverte ce jour, elle traînait depuis combien de
temps ?



Moins d'un an.



OKay, c'était pas un 0day, mais une 0year !!!

C'est une faille qui provoque surtout un DOS en faisant planter le
noyau.

Sans compter qu'un simple
scrub in all
dans le pare-feu suffit à éviter l'attaque. C'est une option assez
courante.



Et puis y'a "pf" c'est ça non?

Bon on va la faire plus simple, est-ce que sur une même periode
l'ensemble des failles windows a couté aussi cher qu'heartbleed ?




Répondez vous même, combien ont coûté ces failles:

https://technet.microsoft.com/library/security/2588513
https://technet.microsoft.com/library/security/977377
https://technet.microsoft.com/library/security/ms12-006

Ou plutôt, si personne n'a cherché à le calculer, pourquoi ?



Même histoire, répétée Adnoiseam: les 0days, ça se monnaye (légalement ou
pas, mais c'est autre débat).

Faudrait comparer le prix d'une 0day d'un Os open-source et celui d'un
closed-source (Win ou MAc).

99,99% des 0days de systemes fermés ne permettent juste que d'envoyer des
pop-up sur le navigateur alors que les rares 0days sous *nix permettent
un contrôle total du systéme (je baises les privilèges à l'endoit et à
l'envers:!!!).

Toutes ces failles permettent la divulgation d'information ou
l'usurpation d'identité.



Plus fort qu'Heartbleed ? Sans laisser de traces ? Nan, ça existe sous
windwos ?

Donc, une remise à plat des clefs, des indentifiants des mots de passe
de tous les systèmes...



Oui, bien sur, mais faut la bonne approche, et celle de Cloudflare me
semble la bonne pour le moment. T'as lu l'article, et le coüt des révocs ?

Mais pas chez Windows. Chez Windows le problème se résoud par une mise à
jour. Les identitiés usurpées ne le sont plus, les mots de passe ou les
clefs qui n'ont pourtant pas changés ne sont plus vulnérables.
Magique.



C'est vrai que sous OPenSSL il suffaisit juste de refuser la dernière
mise à jour pour ne pas être en rade... Ou avoir implémenter forward
secrecy tout simplement...
--
"Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir."
Emil Cioran
Publicité
Poster une réponse
Anonyme