L'open-source c'est gratuit (quand
Le
The Mover
Le logiciel libre c'est bien, la sécurité par l'obscurité c'est caca et
tout est secure tralalalaC'est bien beau les principes, mais quand il
n'y a personne pour auditer correctement du code, ben c'est l"économie
mondiale qui trinque !!!
Je pense qu'Heartbleed coûtera au minimum 1 milliards de $ à l’économie
mondiale, certainement le double.
Ça a déjà couté 500 millions de $ à cloudfare, sur un mois et ça va
continuer :
<http://blog.cloudflare.com/the-hard-costs-of-heartbleed>
Donc l’estimation d'un milliard, c'est le minimum.
Si vous avez l'exemple d'une faille windows qui a coûtée 500 millions de
dollars à une firme sur un mois je suis preneur.
--
http://w.tf
tout est secure tralalalaC'est bien beau les principes, mais quand il
n'y a personne pour auditer correctement du code, ben c'est l"économie
mondiale qui trinque !!!
Je pense qu'Heartbleed coûtera au minimum 1 milliards de $ à l’économie
mondiale, certainement le double.
Ça a déjà couté 500 millions de $ à cloudfare, sur un mois et ça va
continuer :
<http://blog.cloudflare.com/the-hard-costs-of-heartbleed>
Donc l’estimation d'un milliard, c'est le minimum.
Si vous avez l'exemple d'une faille windows qui a coûtée 500 millions de
dollars à une firme sur un mois je suis preneur.
--
http://w.tf
"The activity of browsers downloading the Globalsign CRL generated
around 40Gbps of net new traffic across the Internet. If you assume that
the global average price for bandwidth is around $10/Mbps, just
supporting the traffic to deliver the CRL would have added $400,000USD
to Globalsign's monthly bandwidth bill."
C'est surtout à cause d'une pratique honteuse des opérateurs (de gros)
qui facturent au trafique. Qu'on facture à la bande passante c'est une
chose, qu'on facture au trafique, c'est inique et ça devrait être
interdit au même titre que l'usure.
En effet, les failles Windows ont la propriété magique de rapporter de
l'argent. L'insécurité, c'est un business, un très gros business...
https://www.youtube.com/watch?v=XsqPeqhKJ7Q
--
Usenet, demain, j'arrête...
entreprises qui encaissent une somme mirifique pour avoir passé deux
coups fils et générer une clef SSL en cliquant sur un bouton... On est
quand même pas loin de l'escroquerie, mais bon, bref... )
--
Usenet, demain, j'arrête...
Non c'est surtout que le principe de révocations des certifs (CRL) est
boiteux, et certainement pas prévu pour gérer des millions de révocs d'un
coup.
Du coup, faut vérifier tous les certifs à la mimine (tout du moins ceux
qui ne sont pas dans httpseverywhere).
Sinon tu laisses ton naviga, pardon spyware le faire, mais y'a des riques:
Et là Cloudflare, a utilisé une autre option, d'où les millions pour leur
gueule... Et ni leur clients, ni les utilisateurs des sites cdnisés, et
encore moins les CA, ne payeront rien.
Si suite à ça Cloudfare stoppe leur offre gratuite de CDN il faudra dire
un grand merci à la communauté du libre...
Et sinon "forward secrecy" empêchait heartbleed, même avec un openssl
vulnérable:
<https://www.eff.org/deeplinks/2014/04/why-web-needs-perfect-forward-
secrecy>
Je parle d'une faille, pas de toutes les failles. SInon on rajoute au
coût d'heartbleed, le coût de tcpbleed... Non c'est la faille windows qui
a couté 500millions à une boite sur un mois qui m’intéresse !
J'ai posté les liens sur les boites qui font de l'offensive security, qui
sont leur clients, etc etc etc....
Tiens :
Par contre la faille windows de prix là, j'attends l'exemple.
--
http://w.tf
C'est un autre problème ça, de plus on peut auto-signer les certifs, ça
se fait beaucoup, juste pour les mails ça coince (tu m'étonnes!!!).
--
http://jtebaise.tumblr.com/
Hum, ils ont une part faible, mais sont quand même bien implanté, et
surtout dans les administrations, serives, ce qui est flippant.
Sinon les certifs, SSL (open ou pas), c'est pas juste coté serveur, y'a
le navigateur aussi.
Pour les parcs de grosses admin c'est pas gagné, par exemple XP sera
toujours mise à jour...sur les bécanes du trésor US...
Et il n'y a que voir le temps que ça a pris à la gendarmerie pour migrer
sous linux: nickel coté serveur, par contre niveau utilisateur final,
c'est toujours pas au point, alors que les mecs devaient juste utiliser
thunderbird au lieu d'outlook, firefox au lieu d'IE et libre-office au
lieu de... Du coup des pandores ramènes leur vieux portable sous XP pour
taper les PV (bonjour la sécu..).
Superbe faille TCP découverte ce jour, elle traînait depuis combien de
temps ?
Bon on va la faire plus simple, est-ce que sur une même periode
l'ensemble des failles windows a couté aussi cher qu'heartbleed ?
C'est le problème de tous les datacenters ça, sinon (j'ai peut être loupé
l'info), mais j'ai pas trop vu la Fondation Linux et les grosses distro
investir dans le "Green IT".
--
http://phrack.org/issues/54/8.html
Windows XP. Tout simplement.
L'abonnement au support de XP aurait couté 25 millions d'euros par an
a l'administration britannique.
Pourquoi souscrire à ce genre d'extension de support si ce n'est pour
corriger des failles ?
Considérez tout de même que ce chiffre de 500 millions d'euros n'est
qu'une farce.
--
papappaapapapa mow mow
Moins d'un an.
C'est une faille qui provoque surtout un DOS en faisant planter le noyau.
Sans compter qu'un simple
scrub in all
dans le pare-feu suffit à éviter l'attaque. C'est une option assez courante.
Répondez vous même, combien ont coûté ces failles:
https://technet.microsoft.com/library/security/2588513
https://technet.microsoft.com/library/security/977377
https://technet.microsoft.com/library/security/ms12-006
Ou plutôt, si personne n'a cherché à le calculer, pourquoi ?
Toutes ces failles permettent la divulgation d'information ou
l'usurpation d'identité.
Donc, une remise à plat des clefs, des indentifiants des mots de passe
de tous les systèmes...
Mais pas chez Windows. Chez Windows le problème se résoud par une mise à
jour. Les identitiés usurpées ne le sont plus, les mots de passe ou les
clefs qui n'ont pourtant pas changés ne sont plus vulnérables.
Magique.
--
Bend over, I'll drive.
Ha ben tiens, SSL ça ne marche que sur XP avec IE ?
Et certainement autant à l’administration française, j'ai refait faire
mon passepoprt car périmé... Il était sur quoi l'ordi ? Et quand tu
penses que c'est pour de l'anthropométrique, ça rajoute du flip au flip.
Pourquoi ne pas auditer correctement un logiciel libre, alors que le code
source est accessible à tous ? Problèmes de compétences ?
On peut pas comparer les deux (ou 3,4 ?) lignes de codes qu'ont
(volontairement?) pwné un logiciel (OpenSSL) et les millions de ligne de
code d’un OS, aussi pourri soit il.
Ce n'est pas parce qu'XP est défaillant que OpenSSL (ou TCP sur freebsd)
doit l'être aussi.
Oui bien sur, mais dans le catégorie "faille qui coûte des millions", le
logiciel libre à mis la barre très très très haut.
--
"Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir."
Emil Cioran
Ben faut lire le certif, le chemin etc etc. Et tu peut donner
l'autorisation temporairement.
Le navigateur acceptera un certif auto-signé si tu lui dit, que tu sois
root,user ou invit... Pour les mails, ils paraient que ça ne passe pas
(pas testé, juste lu ça).
--
http://www.bondyblog.fr/201404250001/beurette-autopsie-dun-mort-ne-
francais/
OKay, c'était pas un 0day, mais une 0year !!!
Et puis y'a "pf" c'est ça non?
Même histoire, répétée Adnoiseam: les 0days, ça se monnaye (légalement ou
pas, mais c'est autre débat).
Faudrait comparer le prix d'une 0day d'un Os open-source et celui d'un
closed-source (Win ou MAc).
99,99% des 0days de systemes fermés ne permettent juste que d'envoyer des
pop-up sur le navigateur alors que les rares 0days sous *nix permettent
un contrôle total du systéme (je baises les privilèges à l'endoit et à
l'envers:!!!).
Plus fort qu'Heartbleed ? Sans laisser de traces ? Nan, ça existe sous
windwos ?
Oui, bien sur, mais faut la bonne approche, et celle de Cloudflare me
semble la bonne pour le moment. T'as lu l'article, et le coüt des révocs ?
C'est vrai que sous OPenSSL il suffaisit juste de refuser la dernière
mise à jour pour ne pas être en rade... Ou avoir implémenter forward
secrecy tout simplement...
--
"Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir."
Emil Cioran