Certains d'entre vous sauraient-il si le cryptage mis en oeuvre
dans des logiciels de prise de commande à distance est d'une qualité
suffisante ou bien s'il s'agit d'une véritable passoire pour une
personne déterminée a intercepter la transmission.
Il s'agit, pour exemple, de logiciel dans le style de VNC ou de
Remote Administrator.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Gustav
Je ne veux pa troller mais ma reponse va sembler le faire :)
Tu peux pas faire confiance en un systeme proprietaire utilisant des technologies fermees. Le probleme n'est pas l'application uniquement mais le systeme d'exploitation qui est derriere et son admin, evidement :)
Souvent, ces applications n'utilisent pas des algos de chiffement/generation de random dignes car "censures" a l'export. Ou parfois meme, pas d'encryption du tout comme PCAnyWhere a ses debuts.
Avez-vous jete un oeil sur www.securityfocus.com et/ou les newsgroups discutant justement des vulnerabilites en general? ou VNC en particulier ;-)
Tu donnes un log fait avec tcpdump sur le firewall en face de ton appli VNC, nous ne saurons probablement rien en faire or si maintenant le contenu de ton buffer memoire est envoye par Email au monde entier sans meme que tu ne le saches, ou que la clef d'encryption est le nom de ton chien ou votre date de naissance (ou meme rien) c'est une autre affaire ;-)
GuS
Bonjour,
Questions pour les experts ici présents:
Certains d'entre vous sauraient-il si le cryptage mis en oeuvre dans des logiciels de prise de commande à distance est d'une qualité suffisante ou bien s'il s'agit d'une véritable passoire pour une personne déterminée a intercepter la transmission.
Il s'agit, pour exemple, de logiciel dans le style de VNC ou de Remote Administrator.
Merci d'avance pour vos lumières.
Je ne veux pa troller mais ma reponse va sembler le faire :)
Tu peux pas faire confiance en un systeme proprietaire utilisant des
technologies fermees. Le probleme n'est pas l'application uniquement mais
le systeme d'exploitation qui est derriere et son admin, evidement :)
Souvent, ces applications n'utilisent pas des algos de
chiffement/generation de random dignes car "censures" a l'export. Ou
parfois meme, pas d'encryption du tout comme PCAnyWhere a ses debuts.
Avez-vous jete un oeil sur www.securityfocus.com et/ou les newsgroups
discutant justement des vulnerabilites en general? ou VNC en particulier ;-)
Tu donnes un log fait avec tcpdump sur le firewall en face de ton appli
VNC, nous ne saurons probablement rien en faire or si maintenant le
contenu de ton buffer memoire est envoye par Email au monde entier sans
meme que tu ne le saches, ou que la clef d'encryption est le nom de
ton chien ou votre date de naissance (ou meme rien) c'est une autre
affaire ;-)
GuS
Bonjour,
Questions pour les experts ici présents:
Certains d'entre vous sauraient-il si le cryptage mis en oeuvre
dans des logiciels de prise de commande à distance est d'une qualité
suffisante ou bien s'il s'agit d'une véritable passoire pour une
personne déterminée a intercepter la transmission.
Il s'agit, pour exemple, de logiciel dans le style de VNC ou de
Remote Administrator.
Je ne veux pa troller mais ma reponse va sembler le faire :)
Tu peux pas faire confiance en un systeme proprietaire utilisant des technologies fermees. Le probleme n'est pas l'application uniquement mais le systeme d'exploitation qui est derriere et son admin, evidement :)
Souvent, ces applications n'utilisent pas des algos de chiffement/generation de random dignes car "censures" a l'export. Ou parfois meme, pas d'encryption du tout comme PCAnyWhere a ses debuts.
Avez-vous jete un oeil sur www.securityfocus.com et/ou les newsgroups discutant justement des vulnerabilites en general? ou VNC en particulier ;-)
Tu donnes un log fait avec tcpdump sur le firewall en face de ton appli VNC, nous ne saurons probablement rien en faire or si maintenant le contenu de ton buffer memoire est envoye par Email au monde entier sans meme que tu ne le saches, ou que la clef d'encryption est le nom de ton chien ou votre date de naissance (ou meme rien) c'est une autre affaire ;-)
GuS
Bonjour,
Questions pour les experts ici présents:
Certains d'entre vous sauraient-il si le cryptage mis en oeuvre dans des logiciels de prise de commande à distance est d'une qualité suffisante ou bien s'il s'agit d'une véritable passoire pour une personne déterminée a intercepter la transmission.
Il s'agit, pour exemple, de logiciel dans le style de VNC ou de Remote Administrator.
Merci d'avance pour vos lumières.
Jacques Caron
Salut,
On Mon, 01 Mar 2004 16:50:28 GMT, Richard <*core* wrote:
Il s'agit, pour exemple, de logiciel dans le style de VNC ou de Remote Administrator.
Il n'y a pas de chiffrement dans VNC. Il faut le mettre dans un tunnel (IPsec) ou un port forwarding (SSH) ou une encapsulation dans SSL/TLS pour en avoir.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On Mon, 01 Mar 2004 16:50:28 GMT, Richard <*core*administrator@nsa.org>
wrote:
Il s'agit, pour exemple, de logiciel dans le style de VNC ou de
Remote Administrator.
Il n'y a pas de chiffrement dans VNC. Il faut le mettre dans un tunnel
(IPsec) ou un port forwarding (SSH) ou une encapsulation dans SSL/TLS pour
en avoir.
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
On Mon, 01 Mar 2004 16:50:28 GMT, Richard <*core* wrote:
Il s'agit, pour exemple, de logiciel dans le style de VNC ou de Remote Administrator.
Il n'y a pas de chiffrement dans VNC. Il faut le mettre dans un tunnel (IPsec) ou un port forwarding (SSH) ou une encapsulation dans SSL/TLS pour en avoir.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
methodyk
"Jacques Caron" a écrit dans le message de news:
Salut,
On Mon, 01 Mar 2004 16:50:28 GMT, Richard <*core* wrote:
Il s'agit, pour exemple, de logiciel dans le style de VNC ou de Remote Administrator.
Il n'y a pas de chiffrement dans VNC. Il faut le mettre dans un tunnel (IPsec) ou un port forwarding (SSH) ou une encapsulation dans SSL/TLS pour en avoir.
Jacques.
Exact, le protocole mis en oeuvre dans les softs de type VNC n'ont aucun chiffrement ! Les données sont compressées à l'envoie et decompressé à la réception, mais pas de chiffrement.
Il est possible de chiffrer le flux (explication claire donnée par Jacques précédemment)
Des infos sur VNC over SSH : - article généraliste : http://www.winnetmag.com/Web/Article/ArticleID/24839/Web_24839.html - ici du tunneling de traffic VNC avec une surcouche SSH2 depuis Win NT : http://www.shebeen.com/vnc_ssh/
Un petit conseil : un client VNC qui intègre le tunneling SSH existe deja et sous le nom de TightVNC -> mais bien sur il te faut un server VNC over SSH avant ;-) site officiel : http://www.tightvnc.com
Cordialement, meth
"Jacques Caron" <jc@imfeurope.com> a écrit dans le message de
news:opr366l8hgq1hokb@news.free.fr...
Salut,
On Mon, 01 Mar 2004 16:50:28 GMT, Richard <*core*administrator@nsa.org>
wrote:
Il s'agit, pour exemple, de logiciel dans le style de VNC ou de
Remote Administrator.
Il n'y a pas de chiffrement dans VNC. Il faut le mettre dans un tunnel
(IPsec) ou un port forwarding (SSH) ou une encapsulation dans SSL/TLS pour
en avoir.
Jacques.
Exact, le protocole mis en oeuvre dans les softs de type VNC n'ont aucun
chiffrement !
Les données sont compressées à l'envoie et decompressé à la réception, mais
pas de chiffrement.
Il est possible de chiffrer le flux (explication claire donnée par Jacques
précédemment)
Des infos sur VNC over SSH :
- article généraliste :
http://www.winnetmag.com/Web/Article/ArticleID/24839/Web_24839.html
- ici du tunneling de traffic VNC avec une surcouche SSH2 depuis Win NT :
http://www.shebeen.com/vnc_ssh/
Un petit conseil : un client VNC qui intègre le tunneling SSH existe deja et
sous le nom de TightVNC -> mais bien sur il te faut un server VNC over SSH
avant ;-)
site officiel : http://www.tightvnc.com
On Mon, 01 Mar 2004 16:50:28 GMT, Richard <*core* wrote:
Il s'agit, pour exemple, de logiciel dans le style de VNC ou de Remote Administrator.
Il n'y a pas de chiffrement dans VNC. Il faut le mettre dans un tunnel (IPsec) ou un port forwarding (SSH) ou une encapsulation dans SSL/TLS pour en avoir.
Jacques.
Exact, le protocole mis en oeuvre dans les softs de type VNC n'ont aucun chiffrement ! Les données sont compressées à l'envoie et decompressé à la réception, mais pas de chiffrement.
Il est possible de chiffrer le flux (explication claire donnée par Jacques précédemment)
Des infos sur VNC over SSH : - article généraliste : http://www.winnetmag.com/Web/Article/ArticleID/24839/Web_24839.html - ici du tunneling de traffic VNC avec une surcouche SSH2 depuis Win NT : http://www.shebeen.com/vnc_ssh/
Un petit conseil : un client VNC qui intègre le tunneling SSH existe deja et sous le nom de TightVNC -> mais bien sur il te faut un server VNC over SSH avant ;-) site officiel : http://www.tightvnc.com
Cordialement, meth
pornin
According to Richard <*core*:
Certains d'entre vous sauraient-il si le cryptage mis en oeuvre dans des logiciels de prise de commande à distance est d'une qualité suffisante ou bien s'il s'agit d'une véritable passoire pour une personne déterminée a intercepter la transmission.
Transposée dans le domaine automobile, votre question devient : "est-ce que vous savez si les voitures ont une bonne tenue de route ?"
Et la seule réponse adaptée est : "bin, ça dépend de la voiture."
Il y a des tas de logiciels et systèmes de ce type. Il faut voir en fonction de chaque logiciel, sa documentation, et la qualité de son implémentation.
VNC n'a pas de chiffrement en lui-même. Il a une authentification par mot de passe mais tout ça passe en clair sur la ligne : s'il n'y a pas une couche de chiffrement supplémentaire (genre un tunnel IPsec), ça ne tient pas longtemps face à quelqu'un qui espionne simplement la ligne.
--Thomas Pornin
According to Richard <*core*administrator@nsa.org>:
Certains d'entre vous sauraient-il si le cryptage mis en oeuvre
dans des logiciels de prise de commande à distance est d'une qualité
suffisante ou bien s'il s'agit d'une véritable passoire pour une
personne déterminée a intercepter la transmission.
Transposée dans le domaine automobile, votre question devient : "est-ce
que vous savez si les voitures ont une bonne tenue de route ?"
Et la seule réponse adaptée est : "bin, ça dépend de la voiture."
Il y a des tas de logiciels et systèmes de ce type. Il faut voir en
fonction de chaque logiciel, sa documentation, et la qualité de son
implémentation.
VNC n'a pas de chiffrement en lui-même. Il a une authentification par
mot de passe mais tout ça passe en clair sur la ligne : s'il n'y a pas
une couche de chiffrement supplémentaire (genre un tunnel IPsec), ça ne
tient pas longtemps face à quelqu'un qui espionne simplement la ligne.
Certains d'entre vous sauraient-il si le cryptage mis en oeuvre dans des logiciels de prise de commande à distance est d'une qualité suffisante ou bien s'il s'agit d'une véritable passoire pour une personne déterminée a intercepter la transmission.
Transposée dans le domaine automobile, votre question devient : "est-ce que vous savez si les voitures ont une bonne tenue de route ?"
Et la seule réponse adaptée est : "bin, ça dépend de la voiture."
Il y a des tas de logiciels et systèmes de ce type. Il faut voir en fonction de chaque logiciel, sa documentation, et la qualité de son implémentation.
VNC n'a pas de chiffrement en lui-même. Il a une authentification par mot de passe mais tout ça passe en clair sur la ligne : s'il n'y a pas une couche de chiffrement supplémentaire (genre un tunnel IPsec), ça ne tient pas longtemps face à quelqu'un qui espionne simplement la ligne.