2326 Netsky! qui dit mieux?

Le Wed, 21 Apr 2004 23:49:22 +0000, Eugene Krampon a écrit :

Ma solution sécurité (pour l'instant) chez les newbies de ma
connaissance : Dualboot Windows/Linux, Windows pour toutes taches
courantes avec suppression de la connexion internet, Linux pour le Surf
et le courrier, avec une partition Fat32 pour faire le join entre les
deux.

Changer d'OS ne changera rien au problème. Le jour où Linux tiendra ne
serait-ce que 30% des parts de marché de l'informatique domestique (un
jouuuuuuuuur, mon prince viendraaaaaaaa), il fera de l'objet de worm qui
s'avèreront tout aussi efficaces que ceux pour Windows. Il n'y a en effet
pas trop besoin d'être root pour réaliser ce que font les vers de
messagerie. Et on te répondra quoi ? "Putain, mais tu as dit que Linux
c'était trop secure et que je pouvais cliquer où je voulais", et toi de
leur expliquer qu'on ne clique pas sur porn.jpg.sh sans faire attention...
Et puis viendra le jour où comme sous Windows les auteurs maîtriserons
l'intégration de failles locales, et là tu entendras "Quoi ? Mettre à
jour le noyau ? C'est quoi un noyau ? Quand je vais sur le soft d'update,
j'ai 20Mo de packages à ramener et c'est trop long avec mon 56K".

Le problème est une question d'_éducation_. "Science sans conscience
n'est que ruine l'âme" écrivait Rabelais et cette phrase prend là toute
sa signification. Je veux pas être méchant avec toi, mais ce que tu
viens d'écrire, c'est du bullshit en barre puissance 10. C'est la
politique de l'autruche, et ça ne résoud rien, ça déplace juste le
problème dans le temps. C'est du même acabit, voire même pire, que de
dire qu'en empêchant le full-disclo, on rendra Internet plus sûr...


--
Monsieur gagnerait en credibilite en etayant ses accusations;
Tel quel, c'est minable. Bah, yaka attendre - on verra bien
a quel gaz est gonflee cette baudruche.
-+-TC in : Guide du Neuneu d'Usenet - Le neuneu se déballonne -+-

Le Wed, 21 Apr 2004 23:49:22 +0000, Eugene Krampon a écrit :

Chez des copains ce soir, je passe Stinger et je trouve 2326 occurrences de
Netsky.

Un constat: Windows et Internet pour le péquin moyen c'est foutu.
(..)

Ma solution sécurité (pour l'instant) chez les newbies de ma connaissance :
Dualboot Windows/Linux, Windows pour toutes taches courantes avec
suppression de la connexion internet, Linux pour le Surf et le courrier,
avec une partition Fat32 pour faire le join entre les deux.

bonne chance.

jeep

c'est ma solution depuis 3 ans et je me porte bien, mes ordis aussi. Je
l'implémente partout où je passe, windows pour les jeux en local et
Linux pour le reste du monde :o))

c'est bien connu :
Hiroshima 45, Tchernobyl 86, Windows 95 ...

xy

Cedric Blancher wrote:

Changer d'OS ne changera rien au problème. Le jour où Linux tiendra ne
serait-ce que 30% des parts de marché de l'informatique domestique (un
jouuuuuuuuur, mon prince viendraaaaaaaa), il fera de l'objet de worm qui
s'avèreront tout aussi efficaces que ceux pour Windows.

C'est la rengaine des commerciaux de Microsoft. Mais, dans les faits,
la sécurité a été pensées dès le début sous Unix (et donc de son dérivé
Linux), ce qui limite les problèmes.
Le problème, c'est que la base de Windows, c'est le GUI. La base d'Unix,
c'est le noyau. Et partir du GUI pour arriver à la sécurité, c'est dangereux.
(Tu veux que je développe le sujet avec les erreurs de conception de base
qui ont été commises sous Windows (genre le coup du setwindowlong en user
pour prendre les droits administrateur?) ?)

Et il y a largement un facteur 1000 entre le nombre de virus Windows et Linux,
et il n'y a pas un facteur 1000 entre le nombre d'utilisateurs respectifs de
ces OS.

Ah, on peut aussi parler du nombre de failles sur les applications utilisateur.
Je parle bien des applis "end user", pas des failles de Bind/Apache/etc. qui
n'intéressent pas le pékin moyen. Non, les failles du navigateur, du lecteur
de courrier, etc.. Compare entre les deux OS: ouch!
Le problème des virus, c'est aussi les applicatifs mal conçus (Outlook et ses
pièces jointes, Outlook et ses pages HTML avec (vb|java)script), et
l'intégration et l'uniformisation trop forte (le tandem Windows-IE-Outlook)

Sous Linux/Unix, on a un peu n'importe quoi (ce n'est pas péjoratif) et donc
attaquer une application donnée n'est pas efficace. C'est aussi pour cela que
les dégats sont limités.

leur expliquer qu'on ne clique pas sur porn.jpg.sh sans faire attention...

A ma connaissance on ne peut pas lancer de script comme ça, même dans les
clients graphiques, sous Linux.

Maintenant, c'est vrai, avec une politique de sécurité sérieuse, on peut aussi
s'en tirer avec un environnement Windows. Mais dire que "ca sera la même chose
le jour où Linux sera populaire", cela me parait faire preuve d'une cécité
étonnante.

Le Thu, 22 Apr 2004 09:08:18 +0000, Xavier Roche a écrit :

Maintenant, c'est vrai, avec une politique de sécurité sérieuse, on peut aussi
s'en tirer avec un environnement Windows. Mais dire que "ca sera la même chose
le jour où Linux sera populaire", cela me parait faire preuve d'une cécité
étonnante.

Déjà, je vais passer sur le "commercial Miscrosoft". Mais franchement,
je ne sais pas qui est le plus aveugle ici.

Oui Linux est nettement plus sûr que Windows. C'est quelque chose que je
soutiens à droite et à gauche depuis assez longtemps, mais mon laïus ne
porte pas là dessus. Il porte que l'éducation de l'utilisateur. Je ne
sais par quel miracle de la nature, mais il semble qu'on considère que
dès qu'un utilisateur passe à Linux, il perd ses mauvaises habitudes. Il
se met à faire des updates régulièrement, à se tenir au courant des
failles de sécurité, à ne plus cliquer à droite et à gauche, à lire
tous les popups de son navigateur, etc.

Exemple. Le ver Swen ne s'exécute pas tout seul dans le mailer.
L'utilisateur doit le faire lui-même, c'est à dire cliquer dessus et
confirmer l'exécution. Ça l'empêche de vivre ? Naaaaannnn, j'en reçoit
encore 4 par jour. Et pourtant (je viens de tester sur un OE6) pas mal de
mailers te préviennent que ça peut être dangereux. Le ver NetSky.P se
trimballe souvent dans un fichier ZIP. S'exécute-t-il directement depuis
le mailer ? Non plus. Il faut ouvrir le ZIP et exécuter la pièce qui est
dedans. Ça l'empêche de se répandre ? J'en reçois une 10e par jour. Et
je parle même pas de l'autre qui arrivait dans un ZIP chiffré. J'ouvre
le ZIP, je rentre le mot de passe et j'exécute le contenu...

Oseras-tu me dire qu'un utilisateur qui est capable de se faire infecter
par NetSky.P ne se fera pas infecter si je lui envoie un binaire dans un
tgz et que je lui dis de l'exécuter, du moment qu'il utilise Linux ?

Je vais essayer bien clarifier le point que je veux soulever, puisque
manifestement ce n'est pas passé. Le problème quand on parle de "station
de travail", c'est à dire un poste avec un mec derrière toute la
journée, ce n'est pas tellement la sécurité intrinsèque de l'OS et de
ses applications, mais clairement l'éducation de l'utilisateur. Dans un
contexte professionnel, tu peux encore t'en sortir, en déballant des
masters super restreints, configurés au petits oignons, sous Windows
comme sous Linux (et encore mieux sous Linux). Mais pour M. Lambda et Mme
Michu, tu fais quoi ? Comment tu fais pour changer leurs sales _habitudes_.

C'est pour ça que quand je lis des trucs du genre "t'es un gland en info,
t'y comprends rien, passe à Linux, tu verras, ce sera plus sûr". Et bien
je dis non. Même en utilisateur et supporter convaincu de Linux.


En conclusion, Linux oui, à fond, mais avec la couche d'éducation qui va
avec.


--
BOFH excuse #260:

We're upgrading /dev/null

Eugene Krampon <jpdeng99@laposte.net> wrote:

Ma solution sécurité (pour l'instant) chez les newbies de ma connaissance :
Dualboot Windows/Linux, Windows pour toutes taches courantes avec
suppression de la connexion internet, Linux pour le Surf et le courrier,
avec une partition Fat32 pour faire le join entre les deux.

Tu peux aussi regarder du côté d'OS X d'Apple : du BSD à la racine & une
surcouche graphique soignée par dessus, pas de virus/worms/troyens
depuis sa création sauf les macros Word (par contre 1 principe vient
d'être démontré il y a quelques semaines). Tu as donc & de la sécurité
unix & une interface graphique très travaillée permettant de gérer les
tâches courantes sans avoir à rebooter.


PS je n'ai pas d'antivirus sur ma machine depuis sept ans & c'était un
freeware développé par une université qui s'en servait comme outil pour
apprendre la programmation.

--
Benoît Leraillez

La douleur des autres est tout à fait supportable, hors les cris.

On Thu, 22 Apr 2004 08:14:47 +0000, Cedric Blancher wrote:

Changer d'OS ne changera rien au problème. Le jour où Linux tiendra ne
serait-ce que 30% des parts de marché de l'informatique domestique (un
jouuuuuuuuur, mon prince viendraaaaaaaa), il fera de l'objet de worm qui
s'avèreront tout aussi efficaces que ceux pour Windows.

Faux.

Le problème tient au fait que plus de 90% des utilisateurs utilisent non
seulement Windows, mais aussi Internet Explorer et Outlook/Outlook
Express. Même si une grosse proportion des utilisateurs étaient sous
Linux, les choses ne seraient pas aussi simples pour autant, parce qu'il
n'y a pas, sous ce système, de client de messagerie vraiment dominant
(evolution, Kmail, mozilla, balsa, et bien d'autres, et je ne site que les
clients graphiques). Le virus qui utiliserait une faille d'un client de
messagerie n'attaquerait donc qu'une petite partie des utilisateurs, ce
qui signifie qu'il s'éteindrait assez rapidement (de même qu'une
épidémie a du mal à se propager dans une population majoritairement
vaccinée).

Par ailleurs, je vois régulièrement des virus dans ma boîte aux lettres
sous Linux. S'ils se présentent commun un document jpg mais sont en fait
un exécutable (exécutable Linux, script perl, etc...), j'aurais beau
cliquer comme un fou sur la pièce jointe, le client exxayera de l'ouvrir
comme ce qu'elle prétend être, et appellera un logiciel d'affichage
d'images, lequel me dira qu'il ne peut pas ouvrir le document.

Le problème avec Windows (en tout cas avec IE/OE), c'est que quand
j'essaye d'ouvrir la pièce jointe que je crois être une image, Windows
la reconnait bien comme un exécutable et lance l'exécution sans autre
forme de procès. Et ceci, c'est un défaut de conception majeur, tant du
système que du client de messagerie.

Le Thu, 22 Apr 2004 10:17:56 +0000, Gilles Berger Sabbatel a écrit :

Faux.

Voir ma réponse à Xavier.

Vous partez tous les deux du principe que pour se reproduire, un ver doit
exploiter une faille. Il peut évidemment le faire, mais il se reproduit
très bien (sinon mieux) en exploitant la crédulité de l'utilisateur
pour laquelle il n'y a pas de patch sinon l'éducation. Et un utilisateur
non éduqué sous Linux est amha largement aussi vulnérable que s'il
était sous Windows.

Je connais des gens qui utilisent Mozilla et qui n'en ramassent pas moins
des virus parce qu'ils exécutent les .exe qu'ils reçoivent (malgré le
warning du mailer)... S'ils étaient sous Linux, BSD ou autre, qu'est-ce
qui les empêcherait de faire de même avec le moindre binaire ? Swen
marche comme ça, et il vit très bien sa vie.

C'est le point que je voulais soulever, mais manifestement, j'ai été
maladroit dans mon emportement.


--
pour moi un lamer C qu'un pov' nul qui se prendre pour dieu parce qu'il
à trouvé un prog de hacking sur le net ! C aussi qq1 qu'est nul et qu'a
rien envie d'apprendre !
-+- pip99 in GPJ : Auto-portrait -+-

Xavier Roche wrote:

Cedric Blancher wrote:

Changer d'OS ne changera rien au problème. Le jour où Linux tiendra
ne serait-ce que 30% des parts de marché de l'informatique
domestique (un jouuuuuuuuur, mon prince viendraaaaaaaa), il fera de
l'objet de worm qui s'avèreront tout aussi efficaces que ceux pour
Windows.

C'est la rengaine des commerciaux de Microsoft. Mais, dans les faits,
la sécurité a été pensées dès le début sous Unix (et donc de son
dérivé Linux), ce qui limite les problèmes.

Pardon?
Unix a bien été conçu comme un système multi-utilisateur relativement
cloisonné avec des droits assez bien gérés, mais de là à dire qu'il a été
conçu avec la sécurité en tête il ne faudrait quand même pas pousser. Le
password en shadow par exemple, ne date pas des début d'unix... Le vers
Morris ne date pas de Mickey$oft non plus. Plus tard avec l'avênement du
(presque) tout réseau les passwords en clair et les service r sont sympa.
uucp et la clique ne sont pas mal dans le genre non plus!

Le problème, c'est que la base de Windows, c'est le GUI. La base
d'Unix,
c'est le noyau. Et partir du GUI pour arriver à la sécurité, c'est
dangereux. (Tu veux que je développe le sujet avec les erreurs de
conception de base
qui ont été commises sous Windows (genre le coup du setwindowlong en
user
pour prendre les droits administrateur?) ?)

Qu'il y ait de (amha grave) défaut de conception dans Windows personne n'en
doute (sauf peut être le gus qui s'est foutu de ma gueule une fois quand je
lui disait que la base de registre à la M$ avec la possibilité de corrompre
plein de service d'un coup ce n'était pas terrible ; sa réponse? vous devez
vous tromper, ils ont les meilleurs ingénieurs du monde (sic)). Je suis
d'accord avec toi qu'un clickodrome favorise l'émergence de
pseudo-admin-applicateur-de-recette-de-cuisine [1]
Neanmoins Linux comme pas mal d'Unixes souffre de défaut de conception du
même ordre, qui ne sont comblés que par des add-on (ACL, RBAC etc). Le mode
user/group/other est quand même un peut limité. Le setgroupid bit pour les
répertoires n'est pas si vieux non plus...

Et il y a largement un facteur 1000 entre le nombre de virus Windows
et Linux, et il n'y a pas un facteur 1000 entre le nombre
d'utilisateurs respectifs de ces OS.

Hum? Outre que j'ai une tendance naturelle de me méfier des chiffres
balancés à la volée (ma peau est 17% plus éclatante!...), comme te l'a fait
remarquer Cédric, on en reparlera le jour ou linux représentera une part
très significative des machines *grand public*

Ah, on peut aussi parler du nombre de failles sur les applications
utilisateur. Je parle bien des applis "end user", pas des failles de
Bind/Apache/etc. qui n'intéressent pas le pékin moyen. Non, les
failles du navigateur, du lecteur de courrier, etc.. Compare entre
les deux OS: ouch!

Jamais de faille sur KDE, X etc?
Tiens en parlant de X, ton pekin moyen il sait que c'est plus qu'un GUI? A
merde, si je ne fais pas gaffe on peut piloter mon PC nunux à l'insu de mon
plein gré? Même "voir" mes frappe clavier? Ben oui. Et puisqu'il n'y a pas
de faille, il ne profitera pas du fait que X tourne en root avec un exploit
local.
Ben oui, un nunux ça se patche aussi.
Et que fait le pekin quand la 2.4.25 est troué et qu'un nouveau noyau est à
mettre en place? Un "au secours" de sa voix stridente?

Le problème des virus, c'est aussi les applicatifs mal conçus
(Outlook et ses pièces jointes, Outlook et ses pages HTML avec
(vb|java)script), et l'intégration et l'uniformisation trop forte (le
tandem Windows-IE-Outlook)

Ca fait longtemps qu'il existe sous Windows d'autre solution que le couple
OE/IE (regarde sous quoi j'écris :) ). Il y a juste à expliquer au
utilisateurs qu'ils suppriment une grosse majorité de ses problème par ce
simple geste.
Le gros problème des virus (finalement peu s'auto-exécutent) reste que
l'utilisateur moyen semble débrancher son cerveau avant de servir
d'interface entre la chaise et la clavier. Je connais une boite ou ils en
sont à leur troisième virus destructeur. Mais bon, à Pâques c'est normal de
recevoir un screen saver et de se faire crucifier avec (désolé, c'est
mauvais mais avec mon gros déficit de sommeil je n'ai pas résisté! :) ).

Sous Linux/Unix, on a un peu n'importe quoi (ce n'est pas péjoratif)
et donc attaquer une application donnée n'est pas efficace. C'est
aussi pour cela que les dégats sont limités.

Et quand on utilise linux en multi-user, tu lui explique au péquin moyen les
finesses d'attaques par un répertoire avec des droit en écriture, un mauvais
PATH, un su sans l'hyphen?
Ce qu'est un prog suid root (ou pas root d'ailleurs)? Les attaques ne
viennent pas seulement de l'extérieur, et de toute façon une fois une faille
utilisée l'agresseur distant peut se retrouver en local.
Et sous Linux on a effectivement n'importe quoi (et ce n'est pas péjoratif
:) ). Et comment il fait le gars sous sa mandrake, RedHat ou bidule quand
son pote lui dit "fait gaffe à ça qui arrive. Pour te mettre à jour un
apt-get ...."? Au moins sous Windows il y a Windows Update (et ceux qui me
connaissent ne risque pas de me prendre pour un pro-Mickey).

leur expliquer qu'on ne clique pas sur porn.jpg.sh sans faire
attention...

A ma connaissance on ne peut pas lancer de script comme ça, même dans
les clients graphiques, sous Linux.

Ca ne va pas tarder, je parie sur une implémentation rapide d'un truc à la
"open" du Mac OS/X (très pratique d'ailleurs quand on passe du côté
développeur de soft).
Et de toute façon sans lancer un binaire "pur" il y a à faire avec les zips
qui tuent, les commentaires dans les jpegs qui explosent, et les plugins qui
s'installent facilement dans les browsers). Il n'y a pas de raison (à mon
sens) de penser que la même personne va commencer à lire les avertissement à
l'écran simplement parce qu'elle passe sous linux.
Et puis de toute façon elle aura désactivé son fw parce que c'était marqué
qu'il fallait le faire sur un site web pour se protéger contre autre chose
avec un produit à télécharger!

Maintenant, c'est vrai, avec une politique de sécurité sérieuse, on
peut aussi s'en tirer avec un environnement Windows. Mais dire que
"ca sera la même chose le jour où Linux sera populaire", cela me
parait faire preuve d'une cécité étonnante.

Pour rester dans ton ton je ne suis pas persuadé que tu fasse preuve de la
plus grande clairvoyance... Un des grands dangers reste l'utilisateur, et il
commence à passer à nunux par effet de mode, pas par prise de conscience
sécuritaire.

Eric

[1] Ceci dit bien que je ne mette jamais X sur mes serveur je pense qu'une
interface graphique bien pensée est une aide et un confort indéniable à
condition que l'utilisateur comprenne les conséquences de ses actions. En
caricaturant vive les GUI quand on sait fonctionner à la ligne de commande.

--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.

On Thu, 22 Apr 2004 08:14:47 +0000, Cedric Blancher wrote:

Changer d'OS ne changera rien au problème. Le jour où Linux tiendra ne
serait-ce que 30% des parts de marché de l'informatique domestique (un
jouuuuuuuuur, mon prince viendraaaaaaaa), il fera de l'objet de worm qui
s'avèreront tout aussi efficaces que ceux pour Windows.

Faux.

Le problème tient au fait que plus de 90% des utilisateurs utilisent non
seulement Windows, mais aussi Internet Explorer et Outlook/Outlook
Express.

S'ils ne peuvent pas se défaire de IE/OE il ne faut pas compter qu'ils
passent un jour sous Linux. Il y a une grande majorité d'utilisateurs
presse-bouton/installe_tout qui s'infectent "volontairement", ces gens
là adopteront toujours l'OS et les logiciels qui le permettent
facilement.

En exploitant Windows rationnellement (comportement unixien) on peut
très facilement se passer des virus.

Roland Garcia

On 22 Apr 2004 08:14:47 GMT, Cedric Blancher
<blancher@cartel-securite.fr> wrote:

Le jour où Linux tiendra ne
serait-ce que 30% des parts de marché de l'informatique domestique (un
jouuuuuuuuur, mon prince viendraaaaaaaa), il fera de l'objet de worm

"Le jour où [...]", peut-être.
Le Monsieur il parle du 22 avril 2004.
En informatique il n'y a aucune solution définitive. Si un truc répond
aux besoins aujourd'hui et (vraisemblablement) pour les prochains
mois, c'est déjà bien.

Je parie même que le jour où le soleil explosera, tous les PC sous
Linux seront grillés.

--
;-)
FLL, Epagneul Breton