Renaud Deraison a annoncé sur la liste de Nessus que la future version
majeure du moteur Nessus (la v3) serait toujours gratuite (d'un point de
vue financier) mais plus open-source (ie. distribution de binaires
seulement).
Les modifications techniques apportées par la v3 sont principalement
situées du côté des performances réseau (annoncé comme 2x plus rapide en
LAN) et de la charge du scanneur (RAM, processeur, disque).
La version 2 devrait rester en GPL et être maintenue encore quelques
temps (au moins pour les bug-fixes).
Renaud Deraison a annoncé sur la liste de Nessus que la future version majeure du moteur Nessus (la v3) serait toujours gratuite (d'un point de vue financier) mais plus open-source (ie. distribution de binaires seulement).
Les modifications techniques apportées par la v3 sont principalement situées du côté des performances réseau (annoncé comme 2x plus rapide en LAN) et de la charge du scanneur (RAM, processeur, disque).
La version 2 devrait rester en GPL et être maintenue encore quelques temps (au moins pour les bug-fixes).
Je pense même qu'elle sera forkée, du moins je l'espère. Car nessus à permis d'introduire l'audit de vulnérabilité dans des sociétés peu réceptives à la sécurité et donc peu enclines à payer pour de tels produits.
Laurent
-- Laurent, newbie FreeBSD'iste ;-)
Nicob wrote:
Renaud Deraison a annoncé sur la liste de Nessus que la future version
majeure du moteur Nessus (la v3) serait toujours gratuite (d'un point de
vue financier) mais plus open-source (ie. distribution de binaires
seulement).
Les modifications techniques apportées par la v3 sont principalement
situées du côté des performances réseau (annoncé comme 2x plus rapide en
LAN) et de la charge du scanneur (RAM, processeur, disque).
La version 2 devrait rester en GPL et être maintenue encore quelques
temps (au moins pour les bug-fixes).
Je pense même qu'elle sera forkée, du moins je l'espère. Car nessus à
permis d'introduire l'audit de vulnérabilité dans des sociétés peu
réceptives à la sécurité et donc peu enclines à payer pour de tels produits.
Renaud Deraison a annoncé sur la liste de Nessus que la future version majeure du moteur Nessus (la v3) serait toujours gratuite (d'un point de vue financier) mais plus open-source (ie. distribution de binaires seulement).
Les modifications techniques apportées par la v3 sont principalement situées du côté des performances réseau (annoncé comme 2x plus rapide en LAN) et de la charge du scanneur (RAM, processeur, disque).
La version 2 devrait rester en GPL et être maintenue encore quelques temps (au moins pour les bug-fixes).
Je pense même qu'elle sera forkée, du moins je l'espère. Car nessus à permis d'introduire l'audit de vulnérabilité dans des sociétés peu réceptives à la sécurité et donc peu enclines à payer pour de tels produits.
Laurent
-- Laurent, newbie FreeBSD'iste ;-)
Emmanuel Florac
Le Fri, 07 Oct 2005 12:17:55 +0000, Nicob a écrit :
Renaud Deraison a annoncé sur la liste de Nessus que la future version majeure du moteur Nessus (la v3) serait toujours gratuite (d'un point de vue financier) mais plus open-source (ie. distribution de binaires seulement).
Je dois avouer que la démarche me laisse perplexe. Tout d'abord, Nessus 3 sera un freeware, donc il ne rapportera pas plus d'argent. Bon. Ensuite Nessus 3 est une réécriture du moteur "from scratch"; il va donc forcément passer par un stade plus ou moins long et douloureux de débogage, le fait d'être à source fermée ne peut être dès lors qu'un handicap. Enfin, Nessus est un outil de sécurité avant tout, pour lesquels la disponibilité des sources est un gros point positif.
À mon avis, Il va surtout comprendre ce qu'il a réellement à perdre par ce changement de politique... (rien ne l'empéchait par ailleurs d'appliquer une double licence proprio/GPL pour les OEMs et autres). Si le mouvement peut passer pour neutre ou positif pour les lecteurs de PC expert amateurs des produits Symantec, je pense que les gens sérieux sur le point de la sécurité n'apprécieront pas, et resteront sur Nessus 2.
-- Ce qu'il y a d'enivrant dans le mauvais goût c'est le plaisir aristocratique de déplaire. C. Baudelaire.
Le Fri, 07 Oct 2005 12:17:55 +0000, Nicob a écrit :
Renaud Deraison a annoncé sur la liste de Nessus que la future version
majeure du moteur Nessus (la v3) serait toujours gratuite (d'un point de
vue financier) mais plus open-source (ie. distribution de binaires
seulement).
Je dois avouer que la démarche me laisse perplexe. Tout d'abord, Nessus 3
sera un freeware, donc il ne rapportera pas plus d'argent. Bon. Ensuite
Nessus 3 est une réécriture du moteur "from scratch"; il va donc
forcément passer par un stade plus ou moins long et douloureux de
débogage, le fait d'être à source fermée ne peut être dès lors qu'un
handicap. Enfin, Nessus est un outil de sécurité avant tout, pour
lesquels la disponibilité des sources est un gros point positif.
À mon avis, Il va surtout comprendre ce qu'il a réellement à perdre par
ce changement de politique... (rien ne l'empéchait par ailleurs
d'appliquer une double licence proprio/GPL pour les OEMs et autres). Si le
mouvement peut passer pour neutre ou positif pour les lecteurs de PC
expert amateurs des produits Symantec, je pense que les gens sérieux sur
le point de la sécurité n'apprécieront pas, et resteront sur Nessus 2.
--
Ce qu'il y a d'enivrant dans le mauvais goût c'est le plaisir
aristocratique de déplaire.
C. Baudelaire.
Le Fri, 07 Oct 2005 12:17:55 +0000, Nicob a écrit :
Renaud Deraison a annoncé sur la liste de Nessus que la future version majeure du moteur Nessus (la v3) serait toujours gratuite (d'un point de vue financier) mais plus open-source (ie. distribution de binaires seulement).
Je dois avouer que la démarche me laisse perplexe. Tout d'abord, Nessus 3 sera un freeware, donc il ne rapportera pas plus d'argent. Bon. Ensuite Nessus 3 est une réécriture du moteur "from scratch"; il va donc forcément passer par un stade plus ou moins long et douloureux de débogage, le fait d'être à source fermée ne peut être dès lors qu'un handicap. Enfin, Nessus est un outil de sécurité avant tout, pour lesquels la disponibilité des sources est un gros point positif.
À mon avis, Il va surtout comprendre ce qu'il a réellement à perdre par ce changement de politique... (rien ne l'empéchait par ailleurs d'appliquer une double licence proprio/GPL pour les OEMs et autres). Si le mouvement peut passer pour neutre ou positif pour les lecteurs de PC expert amateurs des produits Symantec, je pense que les gens sérieux sur le point de la sécurité n'apprécieront pas, et resteront sur Nessus 2.
-- Ce qu'il y a d'enivrant dans le mauvais goût c'est le plaisir aristocratique de déplaire. C. Baudelaire.
Nicolas Krebs
Nicob écrivit dans l'article news:
Renaud Deraison a annoncé sur la liste de Nessus que la future version majeure du moteur Nessus (la v3) serait toujours gratuite (d'un point de vue financier) mais plus open-source (ie. distribution de binaires seulement).
« Le choix de passer Nessus 3 sous licence propriétaire est évidemment une mauvaise nouvelle, mais d'un autre côté, j'ai tendance, même si je n'adhère pas, à en comprendre certaines raisons. » (Cédric Blancher, 06/10/2005, http://www.linuxfr.org/comments/633250.html#633250 ) « En gros, ils se retrouvent dans une situation où ils financent leur propre concurrence. » (Cédric Blancher, 07/10/2005, http://www.linuxfr.org/comments/633553.html#633553 ) « anecdote vécue[ : ...] Monsieur le vendeur de "boîte à scan", c'est très intéressant tout ça, mais pourquoi votre moteur utilise-t-il comme login lorsqu'il teste l'accès anonyme sur mon serveur FTP ? » (Cédric Blancher, 07/10/2005, http://www.linuxfr.org/comments/633574.html#633574 )
Nicob écrivit dans l'article
news:pan.2005.10.07.09.57.25.884795@I.hate.spammers.com
Renaud Deraison a annoncé sur la liste de Nessus que la future version
majeure du moteur Nessus (la v3) serait toujours gratuite (d'un point de
vue financier) mais plus open-source (ie. distribution de binaires
seulement).
« Le choix de passer Nessus 3 sous licence propriétaire est évidemment
une mauvaise nouvelle, mais d'un autre côté, j'ai tendance, même si je
n'adhère pas, à en comprendre certaines raisons. »
(Cédric Blancher, 06/10/2005,
http://www.linuxfr.org/comments/633250.html#633250 )
« En gros, ils se retrouvent dans une situation où ils financent leur
propre concurrence. » (Cédric Blancher, 07/10/2005,
http://www.linuxfr.org/comments/633553.html#633553 )
« anecdote vécue[ : ...] Monsieur le vendeur de "boîte à scan", c'est
très intéressant tout ça, mais pourquoi votre moteur utilise-t-il
nessus@nessus.org comme login lorsqu'il teste l'accès anonyme sur mon
serveur FTP ? » (Cédric Blancher, 07/10/2005,
http://www.linuxfr.org/comments/633574.html#633574 )
Renaud Deraison a annoncé sur la liste de Nessus que la future version majeure du moteur Nessus (la v3) serait toujours gratuite (d'un point de vue financier) mais plus open-source (ie. distribution de binaires seulement).
« Le choix de passer Nessus 3 sous licence propriétaire est évidemment une mauvaise nouvelle, mais d'un autre côté, j'ai tendance, même si je n'adhère pas, à en comprendre certaines raisons. » (Cédric Blancher, 06/10/2005, http://www.linuxfr.org/comments/633250.html#633250 ) « En gros, ils se retrouvent dans une situation où ils financent leur propre concurrence. » (Cédric Blancher, 07/10/2005, http://www.linuxfr.org/comments/633553.html#633553 ) « anecdote vécue[ : ...] Monsieur le vendeur de "boîte à scan", c'est très intéressant tout ça, mais pourquoi votre moteur utilise-t-il comme login lorsqu'il teste l'accès anonyme sur mon serveur FTP ? » (Cédric Blancher, 07/10/2005, http://www.linuxfr.org/comments/633574.html#633574 )
gomor-usenet
Nicob écrivit dans l'article news:
Renaud Deraison a annoncé sur la liste de Nessus que la future version majeure du moteur Nessus (la v3) serait toujours gratuite (d'un point de vue financier) mais plus open-source (ie. distribution de binaires seulement). [..]
Je répond à ce thread, parce que ca m'énerve.
Oui, Nessus passe en licence "non-opensource". So what ? Ils ont créé un besoin. So what ?
Cédric Blancher dit qu'ils financent leur propre concurrence. Oui, ils la financent. Renaud Deraison l'a lui même exprimé.
Et bien oui, quand on fait un truc opensource, ca arrive que des entités commerciales s'en emparent, et fassent de la thune avec. Ce sont les risques du métier.
Donc, changer d'avis, quand on voit ce qui se passe, ca ne me choque pas le moins du monde. Mais c'est très (trop) prévisible.
Maintant, l'autre gars qui dit: "les gens sérieux sur le point de la sécurité n'apprécieront pas, et resteront sur Nessus 2." ben, j'ai envie de répondre:
"Les gens sérieux d'un point de vue de la sécurité n'uilisent pas Nessus.".
Nicob écrivit dans l'article
news:pan.2005.10.07.09.57.25.884795@I.hate.spammers.com
Renaud Deraison a annoncé sur la liste de Nessus que la future version
majeure du moteur Nessus (la v3) serait toujours gratuite (d'un point de
vue financier) mais plus open-source (ie. distribution de binaires
seulement).
[..]
Je répond à ce thread, parce que ca m'énerve.
Oui, Nessus passe en licence "non-opensource". So what ?
Ils ont créé un besoin. So what ?
Cédric Blancher dit qu'ils financent leur propre concurrence. Oui,
ils la financent. Renaud Deraison l'a lui même exprimé.
Et bien oui, quand on fait un truc opensource, ca arrive que des
entités commerciales s'en emparent, et fassent de la thune avec. Ce
sont les risques du métier.
Donc, changer d'avis, quand on voit ce qui se passe, ca ne me
choque pas le moins du monde. Mais c'est très (trop) prévisible.
Maintant, l'autre gars qui dit: "les gens sérieux sur le point
de la sécurité n'apprécieront pas, et resteront sur Nessus 2."
ben, j'ai envie de répondre:
"Les gens sérieux d'un point de vue de la sécurité n'uilisent pas
Nessus.".
Renaud Deraison a annoncé sur la liste de Nessus que la future version majeure du moteur Nessus (la v3) serait toujours gratuite (d'un point de vue financier) mais plus open-source (ie. distribution de binaires seulement). [..]
Je répond à ce thread, parce que ca m'énerve.
Oui, Nessus passe en licence "non-opensource". So what ? Ils ont créé un besoin. So what ?
Cédric Blancher dit qu'ils financent leur propre concurrence. Oui, ils la financent. Renaud Deraison l'a lui même exprimé.
Et bien oui, quand on fait un truc opensource, ca arrive que des entités commerciales s'en emparent, et fassent de la thune avec. Ce sont les risques du métier.
Donc, changer d'avis, quand on voit ce qui se passe, ca ne me choque pas le moins du monde. Mais c'est très (trop) prévisible.
Maintant, l'autre gars qui dit: "les gens sérieux sur le point de la sécurité n'apprécieront pas, et resteront sur Nessus 2." ben, j'ai envie de répondre:
"Les gens sérieux d'un point de vue de la sécurité n'uilisent pas Nessus.".
Le Sat, 08 Oct 2005 21:03:09 +0000, gomor-usenet a écrit :
Maintant, l'autre gars qui dit: "les gens sérieux sur le point de la sécurité n'apprécieront pas, et resteront sur Nessus 2." ben, j'ai envie de répondre:
"Les gens sérieux d'un point de vue de la sécurité n'uilisent pas Nessus.".
Ah mais ça je le pense aussi, mais je n'ai pas voulu que le troll soit si grossier :) Il est absolument évident qu'un système qui prétend détecter des problèmes d'après une base de signatures, comme le font les antivirus et comme le fait Nessus, est un système voué à l'échec et qui ne peut pas assurer une sécurité optimale, et qu'on peut utiliser uniquement en "bonus", ou pour vérifier que les protections que l'on a par ailleurs ont bien fonctionné.
C'est le fameux débat "ouvert par défaut" contre "fermé par défaut". Ce que nessus ne détecte pas comme une faille est supposé sûr, c'est donc un fonctionnement "ouvert par défaut", donc peu fiable par nature...
-- Toutes les organisations ont leur règles, et les Femmes Algériennes doivent avoir aussi leurs règles. Aït Ahmed.
Le Sat, 08 Oct 2005 21:03:09 +0000, gomor-usenet a écrit :
Maintant, l'autre gars qui dit: "les gens sérieux sur le point
de la sécurité n'apprécieront pas, et resteront sur Nessus 2."
ben, j'ai envie de répondre:
"Les gens sérieux d'un point de vue de la sécurité n'uilisent pas
Nessus.".
Ah mais ça je le pense aussi, mais je n'ai pas voulu que le troll soit si
grossier :) Il est absolument évident qu'un système qui prétend
détecter des problèmes d'après une base de signatures, comme le font
les antivirus et comme le fait Nessus, est un système voué à l'échec
et qui ne peut pas assurer une sécurité optimale, et qu'on peut utiliser
uniquement en "bonus", ou pour vérifier que les protections que l'on a
par ailleurs ont bien fonctionné.
C'est le fameux débat "ouvert par défaut" contre "fermé par défaut".
Ce que nessus ne détecte pas comme une faille est supposé sûr, c'est
donc un fonctionnement "ouvert par défaut", donc peu fiable par nature...
--
Toutes les organisations ont leur règles, et les Femmes Algériennes
doivent avoir aussi leurs règles.
Aït Ahmed.
Le Sat, 08 Oct 2005 21:03:09 +0000, gomor-usenet a écrit :
Maintant, l'autre gars qui dit: "les gens sérieux sur le point de la sécurité n'apprécieront pas, et resteront sur Nessus 2." ben, j'ai envie de répondre:
"Les gens sérieux d'un point de vue de la sécurité n'uilisent pas Nessus.".
Ah mais ça je le pense aussi, mais je n'ai pas voulu que le troll soit si grossier :) Il est absolument évident qu'un système qui prétend détecter des problèmes d'après une base de signatures, comme le font les antivirus et comme le fait Nessus, est un système voué à l'échec et qui ne peut pas assurer une sécurité optimale, et qu'on peut utiliser uniquement en "bonus", ou pour vérifier que les protections que l'on a par ailleurs ont bien fonctionné.
C'est le fameux débat "ouvert par défaut" contre "fermé par défaut". Ce que nessus ne détecte pas comme une faille est supposé sûr, c'est donc un fonctionnement "ouvert par défaut", donc peu fiable par nature...
-- Toutes les organisations ont leur règles, et les Femmes Algériennes doivent avoir aussi leurs règles. Aït Ahmed.
Nicob
On Sat, 08 Oct 2005 21:03:09 +0000, gomor-usenet wrote:
ben, j'ai envie de répondre: "Les gens sérieux d'un point de vue de la sécurité n'uilisent pas Nessus."
Tiens, je suis étonné, là ... Tu peux développer ce point de vue ?
Nicob
On Sat, 08 Oct 2005 21:03:09 +0000, gomor-usenet wrote:
ben, j'ai envie de répondre: "Les gens sérieux d'un point de vue de
la sécurité n'uilisent pas Nessus."
Tiens, je suis étonné, là ...
Tu peux développer ce point de vue ?
C'est bizarre que je sois le seul à être cité parmi les quelques 170 commentaires :)))
Mon point de vue est le suivant.
1. En tant qu'utilisateur, j'aurais évidemment préféré que Nessus 3 soit GPL, mais ce choix ne m'appartient pas. Il appartient aux auteurs. Pour autant, combien de personnes ont regardé le code du moteur NASL par exemple ? Je ne parle pas de lire le code des plugins, qui resteront disponible, d'après l'annonce, mais bien du moteur.
2. Si les auteurs ne sont plus satisfaits de la GPL comme licence de leur logiciel, alors ils ont parfaitement le droit d'en changer à condition d'avoir obtenu l'autorisation du moindre contributeur (si qui est facile en l'absence de contribution externe), et ce choix leur appartient totalement, sans aucune obligation de se justifier. Renaud l'a fait cependant. Libre à n'importe qui de penser ce qu'il veut des raisons qu'ils avancent, ce sont les leurs. Point barre.
3. Nessus 2 est sous GPL et le restera donc toujours (GPL un jour, GPL toujours), ce qui permet à n'importe qui de forker un nouveau projet ou se mettre à contribuer pour le faire évoluer, puisque cette version sera encore maintenue, sous GPL toujours. Donc au lieu de chougner à droit et à gauche, il "suffit" de se sortir les doigts du cul et de profiter pleinement de la GPL.
Sinon, ça a tendance à me rappeler le vaste débat Snort vs. SourceFire (sur le point de recommencer avec le rachat par CheckPoint) qui, avec le recul et le temps, devrait faire réfléchir les gens face à une situation qui ne me semble pas si différente...
-- il faut bien commencer par publier pour publier ensuite plus sérieusement - c'est-à-dire, entrer en conflit, avec l'injustice et le "on" de la mondanité consensuelle appellée ici netiquette. -+- RC in: Guide du Neuneu d'Usenet - Le neuneu ridicule pédante -+-
Le Sat, 08 Oct 2005 17:34:46 +0000, Nicolas Krebs a écrit :
C'est bizarre que je sois le seul à être cité parmi les quelques 170
commentaires :)))
Mon point de vue est le suivant.
1. En tant qu'utilisateur, j'aurais évidemment préféré que Nessus 3
soit GPL, mais ce choix ne m'appartient pas. Il appartient aux auteurs.
Pour autant, combien de personnes ont regardé le code du moteur NASL par
exemple ? Je ne parle pas de lire le code des plugins, qui resteront
disponible, d'après l'annonce, mais bien du moteur.
2. Si les auteurs ne sont plus satisfaits de la GPL comme licence de leur
logiciel, alors ils ont parfaitement le droit d'en changer à condition
d'avoir obtenu l'autorisation du moindre contributeur (si qui est facile
en l'absence de contribution externe), et ce choix leur appartient
totalement, sans aucune obligation de se justifier. Renaud l'a fait
cependant. Libre à n'importe qui de penser ce qu'il veut des raisons
qu'ils avancent, ce sont les leurs. Point barre.
3. Nessus 2 est sous GPL et le restera donc toujours (GPL un jour, GPL
toujours), ce qui permet à n'importe qui de forker un nouveau projet ou
se mettre à contribuer pour le faire évoluer, puisque cette version sera
encore maintenue, sous GPL toujours. Donc au lieu de chougner à droit et
à gauche, il "suffit" de se sortir les doigts du cul et de profiter
pleinement de la GPL.
Sinon, ça a tendance à me rappeler le vaste débat Snort vs. SourceFire
(sur le point de recommencer avec le rachat par CheckPoint) qui, avec le
recul et le temps, devrait faire réfléchir les gens face à une
situation qui ne me semble pas si différente...
--
il faut bien commencer par publier pour publier ensuite plus
sérieusement - c'est-à-dire, entrer en conflit, avec l'injustice et le
"on" de la mondanité consensuelle appellée ici netiquette.
-+- RC in: Guide du Neuneu d'Usenet - Le neuneu ridicule pédante -+-
C'est bizarre que je sois le seul à être cité parmi les quelques 170 commentaires :)))
Mon point de vue est le suivant.
1. En tant qu'utilisateur, j'aurais évidemment préféré que Nessus 3 soit GPL, mais ce choix ne m'appartient pas. Il appartient aux auteurs. Pour autant, combien de personnes ont regardé le code du moteur NASL par exemple ? Je ne parle pas de lire le code des plugins, qui resteront disponible, d'après l'annonce, mais bien du moteur.
2. Si les auteurs ne sont plus satisfaits de la GPL comme licence de leur logiciel, alors ils ont parfaitement le droit d'en changer à condition d'avoir obtenu l'autorisation du moindre contributeur (si qui est facile en l'absence de contribution externe), et ce choix leur appartient totalement, sans aucune obligation de se justifier. Renaud l'a fait cependant. Libre à n'importe qui de penser ce qu'il veut des raisons qu'ils avancent, ce sont les leurs. Point barre.
3. Nessus 2 est sous GPL et le restera donc toujours (GPL un jour, GPL toujours), ce qui permet à n'importe qui de forker un nouveau projet ou se mettre à contribuer pour le faire évoluer, puisque cette version sera encore maintenue, sous GPL toujours. Donc au lieu de chougner à droit et à gauche, il "suffit" de se sortir les doigts du cul et de profiter pleinement de la GPL.
Sinon, ça a tendance à me rappeler le vaste débat Snort vs. SourceFire (sur le point de recommencer avec le rachat par CheckPoint) qui, avec le recul et le temps, devrait faire réfléchir les gens face à une situation qui ne me semble pas si différente...
-- il faut bien commencer par publier pour publier ensuite plus sérieusement - c'est-à-dire, entrer en conflit, avec l'injustice et le "on" de la mondanité consensuelle appellée ici netiquette. -+- RC in: Guide du Neuneu d'Usenet - Le neuneu ridicule pédante -+-
gomor-usenet
On Sat, 08 Oct 2005 21:03:09 +0000, gomor-usenet wrote:
ben, j'ai envie de répondre: "Les gens sérieux d'un point de vue de la sécurité n'uilisent pas Nessus."
Tiens, je suis étonné, là ... Tu peux développer ce point de vue ?
Nicob
Oui.
Je me place dans la situation qui est la mienne, c'est-a-dire auditer de très petits réseaux (4 IP max). La majeur partie de mon travail consiste à analyser une application Web. Nessus ne m'est d'aucun secours.
Pour le reste, je passe plus de temps à "nettoyer" le rapport que Nessus me fournit pour en tirer les informations les plus graves.
Par informations graves, j'entend les failles vraiment importantes. Un pauvre memory leak exploitable sous deux millions de conditions, ca ne m'intéresse pas. Ou encore un déni de service qui dure le temps de l'attaque. Et quand un rapport me sort que j'ai un Apache 1.3.31 en face, a la limite, qu'il me dise qu'il y a des failles, c'est bien, mais de toute facon la recommandation est toujours la meme, installer la dernière version. Et ca, je peux le faire tout seul directement, pas besoin de passer par un processus lourd.
De plus, j'ai travaillé quelques années dans une société (dont je terrais le nom, mais c'est pas dur à trouver) à développer un scanneur de vulnérabilités. Ma conclusion est que cela ne fonctionne pas, dans le sens ou cela ne remplacera jamais la corrélation qu'un humain peut faire autour de certaines petites informations (genre des commentaires dans un bout de code HTML, ou bien tout simplement le nom d'un fichier JSP, pour citer des exemples récents).
Bien sur, je ne renie pas ce que Nessus apporte à de nombreux administrateurs systèmes et réseaux, et c'est très bien que ce genre d'outil existe. Mais se contenter de ca, c'est un peu lège, meme si c'est mieux que rien.
Pour finir, un truc à moi (ca reste à travailler) ;)
Automation SHOULD help humans. Automation MUST NOT replace humans. Automation MAY BE avoided.
PS: mais, heu, je crois qu'on s'éloigne du thread originel.
On Sat, 08 Oct 2005 21:03:09 +0000, gomor-usenet wrote:
ben, j'ai envie de répondre: "Les gens sérieux d'un point de vue de
la sécurité n'uilisent pas Nessus."
Tiens, je suis étonné, là ...
Tu peux développer ce point de vue ?
Nicob
Oui.
Je me place dans la situation qui est la mienne, c'est-a-dire
auditer de très petits réseaux (4 IP max). La majeur partie de
mon travail consiste à analyser une application Web. Nessus
ne m'est d'aucun secours.
Pour le reste, je passe plus de temps à "nettoyer" le rapport
que Nessus me fournit pour en tirer les informations les plus
graves.
Par informations graves, j'entend les failles vraiment
importantes. Un pauvre memory leak exploitable sous deux
millions de conditions, ca ne m'intéresse pas. Ou encore un
déni de service qui dure le temps de l'attaque. Et quand un
rapport me sort que j'ai un Apache 1.3.31 en face, a la limite,
qu'il me dise qu'il y a des failles, c'est bien, mais de toute
facon la recommandation est toujours la meme, installer la dernière
version. Et ca, je peux le faire tout seul directement, pas
besoin de passer par un processus lourd.
De plus, j'ai travaillé quelques années dans une société (dont
je terrais le nom, mais c'est pas dur à trouver) à développer un
scanneur de vulnérabilités. Ma conclusion est que cela ne
fonctionne pas, dans le sens ou cela ne remplacera jamais la
corrélation qu'un humain peut faire autour de certaines petites
informations (genre des commentaires dans un bout de code HTML,
ou bien tout simplement le nom d'un fichier JSP, pour citer des
exemples récents).
Bien sur, je ne renie pas ce que Nessus apporte à de nombreux
administrateurs systèmes et réseaux, et c'est très bien que ce
genre d'outil existe. Mais se contenter de ca, c'est un peu lège,
meme si c'est mieux que rien.
Pour finir, un truc à moi (ca reste à travailler) ;)
Automation SHOULD help humans.
Automation MUST NOT replace humans.
Automation MAY BE avoided.
PS: mais, heu, je crois qu'on s'éloigne du thread originel.
On Sat, 08 Oct 2005 21:03:09 +0000, gomor-usenet wrote:
ben, j'ai envie de répondre: "Les gens sérieux d'un point de vue de la sécurité n'uilisent pas Nessus."
Tiens, je suis étonné, là ... Tu peux développer ce point de vue ?
Nicob
Oui.
Je me place dans la situation qui est la mienne, c'est-a-dire auditer de très petits réseaux (4 IP max). La majeur partie de mon travail consiste à analyser une application Web. Nessus ne m'est d'aucun secours.
Pour le reste, je passe plus de temps à "nettoyer" le rapport que Nessus me fournit pour en tirer les informations les plus graves.
Par informations graves, j'entend les failles vraiment importantes. Un pauvre memory leak exploitable sous deux millions de conditions, ca ne m'intéresse pas. Ou encore un déni de service qui dure le temps de l'attaque. Et quand un rapport me sort que j'ai un Apache 1.3.31 en face, a la limite, qu'il me dise qu'il y a des failles, c'est bien, mais de toute facon la recommandation est toujours la meme, installer la dernière version. Et ca, je peux le faire tout seul directement, pas besoin de passer par un processus lourd.
De plus, j'ai travaillé quelques années dans une société (dont je terrais le nom, mais c'est pas dur à trouver) à développer un scanneur de vulnérabilités. Ma conclusion est que cela ne fonctionne pas, dans le sens ou cela ne remplacera jamais la corrélation qu'un humain peut faire autour de certaines petites informations (genre des commentaires dans un bout de code HTML, ou bien tout simplement le nom d'un fichier JSP, pour citer des exemples récents).
Bien sur, je ne renie pas ce que Nessus apporte à de nombreux administrateurs systèmes et réseaux, et c'est très bien que ce genre d'outil existe. Mais se contenter de ca, c'est un peu lège, meme si c'est mieux que rien.
Pour finir, un truc à moi (ca reste à travailler) ;)
Automation SHOULD help humans. Automation MUST NOT replace humans. Automation MAY BE avoided.
PS: mais, heu, je crois qu'on s'éloigne du thread originel.
déni de service qui dure le temps de l'attaque. Et quand un rapport me sort que j'ai un Apache 1.3.31 en face, a la limite, qu'il me dise qu'il y a des failles, c'est bien, mais de toute facon la recommandation est toujours la meme, installer la dernière version.
Je nuancerai tout de même cette réponse, installer systématiquement la dernière version n'est pas forcément un choix judicieux (du tout), il y a des cas où on n'a pas vraiment le choix (vulnérabilité critique), mais dans le cas de simples mises à jour n'impliquant pas la sécurité, il vaut bien mieux, tester sur une plateforme de test (et un bon moment de préférence) avant de migrer systématiquement dans la dernière version.
déni de service qui dure le temps de l'attaque. Et quand un
rapport me sort que j'ai un Apache 1.3.31 en face, a la limite,
qu'il me dise qu'il y a des failles, c'est bien, mais de toute
facon la recommandation est toujours la meme, installer la dernière
version.
Je nuancerai tout de même cette réponse, installer systématiquement la
dernière version n'est pas forcément un choix judicieux (du tout), il y a
des cas où on n'a pas vraiment le choix (vulnérabilité critique), mais dans
le cas de simples mises à jour n'impliquant pas la sécurité, il vaut bien
mieux, tester sur une plateforme de test (et un bon moment de préférence)
avant de migrer systématiquement dans la dernière version.
déni de service qui dure le temps de l'attaque. Et quand un rapport me sort que j'ai un Apache 1.3.31 en face, a la limite, qu'il me dise qu'il y a des failles, c'est bien, mais de toute facon la recommandation est toujours la meme, installer la dernière version.
Je nuancerai tout de même cette réponse, installer systématiquement la dernière version n'est pas forcément un choix judicieux (du tout), il y a des cas où on n'a pas vraiment le choix (vulnérabilité critique), mais dans le cas de simples mises à jour n'impliquant pas la sécurité, il vaut bien mieux, tester sur une plateforme de test (et un bon moment de préférence) avant de migrer systématiquement dans la dernière version.
On Sun Oct 09 2005 at 11:26, Emmanuel Florac wrote:
Il est absolument évident qu'un système qui prétend détecter des problèmes d'après une base de signatures, comme le font les antivirus et comme le fait Nessus, est un système voué à l'échec
Certes, mais Nessus ne fait pas que de la comparaison de versions de packages ou de bannières. Les scripts "génériques" ont déjà trouvé des failles inconnues, ou du moins non publiées.
On Sun Oct 09 2005 at 11:26, Emmanuel Florac wrote:
Il est absolument évident qu'un système qui prétend
détecter des problèmes d'après une base de signatures, comme le font
les antivirus et comme le fait Nessus, est un système voué à l'échec
Certes, mais Nessus ne fait pas que de la comparaison de versions de
packages ou de bannières. Les scripts "génériques" ont déjà trouvé des
failles inconnues, ou du moins non publiées.
On Sun Oct 09 2005 at 11:26, Emmanuel Florac wrote:
Il est absolument évident qu'un système qui prétend détecter des problèmes d'après une base de signatures, comme le font les antivirus et comme le fait Nessus, est un système voué à l'échec
Certes, mais Nessus ne fait pas que de la comparaison de versions de packages ou de bannières. Les scripts "génériques" ont déjà trouvé des failles inconnues, ou du moins non publiées.
