GuiGui's Show

:D

« I need an extension for my research project because I spent all month trying to figure out whether learning Dvorak would help me type it faster. » :')

« Il existe plusieurs services « historique DNS » ou « passive DNS » qui permettent de remonter dans le temps et de consulter les données qui étaient associées à un nom de domaine. J'ai déjà parlé ici de DNSDB, voici un nouveau, https://PassiveDNS.cn.

[...]

Tous ces services reposent sur le même principe : un ensemble de sondes écoute passivement le trafic DNS près de gros résolveurs, et stocke les réponses, avec leurs dates, dans une base de données, qu'il n'y a plus qu'à interroger. En ne stockant que le contenu des réponses (pas les requêtes, pas les adresses IP du requêtant), on évite pas mal de problèmes liés à la vie privée. Ces services se différencient par leurs conditions d'utilisation (aucun n'est public), par la quantité de données (qui dépend entre autres de la position des sondes), la géographie de leurs sondes (DNSDB a l'air d'avoir surtout des sondes aux États-Unis) et leurs qualités logicielles. Ils sont des outils essentiels aux chercheurs et aux professionnels de la sécurité.

[...]

Le premier enregistrement est correct, les autres (notez leur durée plus courte) sont des empoisonnements de cache ou d'autres manipulations du DNS, dont la Chine est coutumière (on ne voit pas ces réponses anormales depuis DNSDB). »

Bonnes remarques mais ça reste toujours du vent ... sur le fait qu'il faut arrêter de brasser du vent et proposer du concret. :D

Excellent rappel sur le bon compromis de SSH entre sécurité et utilisabilité :
« Dans une discussion sur Twitter, Okhin vantait le modèle de clés de X.509 (utilisé dans TLS et donc dans HTTPS) comme étant plus simple : l'utilisateur n'a aucune vérification à faire. Mais Okhin oublie de dire que le prix à payer est la sous-traitance complète de sa sécurité aux autorités de certification qui valent... ce qu'elles valent. Si on veut protéger sa vie privée, devoir faire confiance à ces entreprises n'est pas l'idée la plus géniale qui soit. Autre solution au problème de la gestion de clés, SSH et son principe TOFU (Trust On First Use). Il est amusant que SSH soit si rarement cité par ceux qui réclament des logiciels de sécurité plus faciles à utiliser. Car SSH est justement une réussite de l'interface utilisateur, puisqu'il est plus simple que ne l'était son concurrent non sécurisé, telnet. Si on veut un exemple de conception réussie, il ne faut pas regarder TLS ou OTR mais certainement plutôt le grand succès qu'est SSH (cf. annexe A.3 du RFC 5218). Mais, là encore, rien n'est parfait. SSH est facile grâce au TOFU : la première fois qu'on se connecte à un nouveau serveur, la clé est vérifiée (en théorie...) et elle est automatiquement mémorisée pour la suite. Ce principe est assez bon (c'est un compromis raisonnable entre utilisabilité et sécurité) mais il a aussi des inconvénients : vulnérabilité lors du premier usage, difficulté à changer les clés par la suite... »

« Outre la notion de compromis, essentielle en sécurité (mais trop rarement citée dans les articles réclamant des logiciels plus simples), il y a une autre notion essentielle, et souvent oubliée : l'éducation. »
-> Éducation oui mais pas à la programmation (mouvance actuelle), pas sur comment on allume un ordinateur et les composants techniques (mouvance "de mon temps") ni comment on utilise tel ou tel logiciel. Ou alors vraiment comme une courte introduction car c'est inutile : les nouvelles générations trouveront, s'échangeront le savoir et ce savoir (tel logiciel marche comme ça dans sa version untelle) se périme. Il faut rester générique et parler des concepts clés apportés par les nouvelles technos notamment Internet (espace public, culture de l'écrit pour écrire à une masse indéfinie, on « publie » sur FB/Twitter, indépendance versus monopoles, ...)

Je recommande *vivement* la lecture de cette entrevue avec Jacob Appelbaum. C'est très très intéressant et révélateur de la puissance du renseignement et des États en général contre les citoyens.

« Toutes ces années de harcèlement - c’était en raison de votre participation à WikiLeaks ?

La piste des données que vous laissez derrière vous raconte une histoire sur vous, mais pas nécessairement la vérité. Même si elle est composée de faits. Pendant des années, le gouvernement américain m’a harcelé parce qu’ils pensaient que Bradley Manning, maintenant Chelsea Manning, m’avait donné des documents. Mais c’est faux.

[...]

Ensuite, il y a ceux qui disent des choses comme : « Eh bien, qu’est-ce que nous apprenons de Snowden que nous ne savions pas déjà ? »

Il y a une différence entre soupçonner et savoir quelque chose, comme le fait que les Bahamas sont sous surveillance totale. Il y a une différence entre comprendre que les programmes de métadonnées sont utilisés pour tuer les gens avec les frappes de drones et spéculer à ce sujet. Il y a une différence entre supputer que la chancelière Merkel est espionnée comme chef d’Etat et de découvrir que c’est tout à fait le cas. En raison de mon expérience, j’en sais quelque chose sur de la différence entre une possibilité et une certitude, entre ce qui est légal et ce qui se passe. Pour le restant de mes jours, je ne me coucherai plus jamais dans un lit avec la certitude que ma maison n’est pas surveillée. Je ne serai plus jamais capable d’avoir une conversation libre dans ma maison aussi longtemps que je vivrai ...

Alors, comment faire passer les gens à l’étape suivante - de la sensibilisation à l’action ?

Il faut beaucoup plus que simplement des actions individuelles. Mon recyclage ne sauvera pas l’environnement. C’est un acte utile au sein d’un problème beaucoup plus vaste. Nous avons besoin d’une action collective à l’échelle planétaire. Par exemple, nous devons repenser la façon dont les systèmes de télécommunications fonctionnent. Pourquoi la NSA peut-elle mettre sur écoute des pays entiers ? Parce que l’infrastructure est conçue pour être sur écoute et ils l’exploitent. Il faut changer ça. La réalité est que la plupart des gens font confiance aux défauts de leurs appareils électroniques. Jusqu’à ce que l’architecture soit « privacy by design » [conçue pour assurer la confidentialité – ndt], la vie privée sera régulée par la politique. La confidentialité par la politique sera toujours violée par des gens qui ne se sentent pas concernées par les limites imposées par la politique. Nous devons travailler à changer la façon dont fonctionne notre infrastructure. Pour la rendre réellement sécurisée.

Mais beaucoup ne se sentent pas concernés – comme utilisateurs d’Internet, ils veulent seulement accomplir certaines tâches et ne sont pas gênés que des entreprises ou des politiques utilisent leurs données personnelles....

Se dire « Oh, ça ne m’intéresse pas, personne ne voudra me surveiller » comme un moyen de faire face à ce stress est compréhensible. Ce à quoi je répondrai ceci « les services de renseignement sont des gens normaux ». Les capacités nécessaires à l’exploitation d’un téléphone cellulaire coûtent 1000 € ou moins. Les méthodes sont disponibles pour tout le monde - un ex-amant, un journaliste concurrent ... C’est donc une question de choix, pas de savoir si oui ou non vous avez quelque chose à cacher. Il y a des entreprises qui exploitent le manque de connaissance des gens, et, oui, nous devrions remettre en cause la centralisation des entreprises comme Facebook et Twitter. Nous devons faire face à la surveillance des entreprises et celle des gouvernements et les liens entre eux. C’est un gros problème. Mais un problème que nous pouvons résoudre.

Vous avez appelé Facebook "Stasibook" ...

Oui, en raison de son étroite collaboration avec l’Etat. Ils ont tout un département qui ne fait rien à part livrer les données à la police, aux gouvernements et aux autres parties requérantes. Je suis sûr que le FBI s’est rendu sur Facebook pour toutes les données qu’ils avaient sur moi. Le ministère de la Justice est allé sur Twitter et Google pour moi. Je pense que la grosse erreur est de penser que parce que les gens utilisent Facebook, ils ne se soucient pas de la vie privée. Mais quelle est l’alternative pour la plupart des gens ? La réalité est que si vous vivez à Londres, lorsque vous marchez dans la rue, vous subissez une violation constante de votre vie privée. Mais que pouvez-vous faire ? Vous ne pouvez pas vous enfermer chez vous, ce qui ne signifie pas que vous devez ignorez les caméras. Nous devons donc construire des alternatives afin que les gens puissent choisir. Et nous pouvons le faire. »

Via http://shaarli.cafai.fr/?Zba1kQ

« J'ai suivi les 2ème Rencontres Parlementaires de la Cybersécurité via Twitter (hashtag #RPCyber)

[...]

Premier constat: le cyber est aux mains des militaires. La première édition se déroulait au siège de la Gendarmerie, la deuxième édition à l'école militaire. Toute la fine fleur des industriels "de confiance" était là (Thales, Airbus ex-Cassidian, Sogeti, …) au côté des amiraux et des députés. Pas de représentants de la société civile, sauf les sponsors.

Quant au contenu des tables rondes: cyber-criminalité, cyber-guerre, cyber-espionnage (dit APT).

Bref, on n'était pas là pour faire de la philosophie comparée entre le Java et le OCaml, mais plutôt pour dézinguer du cyber-terroriste. Ca va filer droit et sécuriser sec.

[...]

La cyberguerre: il sera temps de la faire quand elle arrivera.

[...]

La sensibilisation: ça ne marche pas.

[...]

La formation: ça ne marche pas.

Mais le fond du problème, c'est que "la cyber" n'intéresse personne. Au lieu de se retrouver contractuel dans l'administration ou consultant en SSII/ESN/whatever à réinstaller des postes compromis pendant ses week-ends, le jeune qui maitrise un minimum son sujet va plutôt monter un réseau social ou un site de rencontres (c'est pareil) et le revendre dans la Silicon Valley.

Le peu de gens qui se sont quand même lancés dans la cyber-aventure se sont vite lassés … absence de reconnaissance morale et financière, structures étouffantes, impact nul (refaire le même pentest année après année pour le même client, avec les mêmes résultats ?), absence de perspectives à moyen terme … certains de nos meilleurs experts ont fini dans des trous à rat d'où ils attendent la retraite, les autres sont partis faire autre chose.

[...]

Les PME innovantes en cyber-sécurité: ça n'a aucun intérêt.

Le fond du problème, c'est donc le statut du développeur logiciel: grouillot boutonneux en France, star dans la Silicon Valley. Une fois que le logiciel et les services en ligne fonctionneront sans subventions en France, l'intendance suivra.

Et pour cela, il faut que l'informatique trouve la place qu'elle mérite dans les entreprises … et dans le cœur des gens.

[...]

Les problèmes: ils sont devant nous, et personne n'y a encore touché.

J'ai du mal à partager l'optimisme général sur les progrès fabuleux réalisés dans le domaine de la sécurité informatique, sans vouloir minorer le volontarisme de l'Etat.

Vu de l'extérieur de la cyber-bulle, rien n'a changé: les gens se font voler leur mot de passe et parfois même leur identité numérique, les fraudes sont de plus en plus nombreuses, les entreprises se font pirater et racketter en masse (la fraude au président connaît un succès qui ne se dément pas – tout comme les APT), le dépôt de plainte relève du chemin de croix, les enquêtes ne débouchent sur rien, personne n'est responsable de la situation.

[...]

Pour conclure, je crois qu'il faut arrêter avec le (ou la ? Peut-être The) cyber.

Utiliser un iPhone pour téléphoner à son pote le dealer n'est pas une cyber-attaque.

[...]

La "cybernétique", c'est la science du gouvernement, devenue la science des systèmes complexes. Un mot déjà désuet à l'époque d'Ampère.

Le reste c'est de la délinquance, de l'espionnage ou de la guerre - pratiqué avec des outils modernes. »

Très bon billet qui vise juste comme d'habitude. Dommage de taper large (exemple parmi d'autres : la *version* de Java installée/requise est un faux problème soyons honnêtes, les vraies questions c'est a-t-on besoin de faire telle action en ligne (voter en l'occurence) et si oui, comment le faire sans Java mais avec des technos web normalisées qui juste marchent  ...)

« Pourtant, quand Niklas reçoit un message l’invitant à rejoindre une équipe d’ingénieurs chez Google, il a le front de décliner, dans une lettre ouverte où il explique ses raisons.

C’est cet échange de courrier que nous avons traduit pour vous. Notez que cette fois-ci c’est Google qui est sur la sellette (parce qu’il le vaut bien) mais ce pourrait être tout autant un des autres géants du Net centralisateurs et prédateurs de nos données…

[...]

Mon père s’en est vite rendu compte et nous avons eu une longue discussion sur ce qui est important dans la vie. Il m’a dit de ne pas être imprudent sinon le monde de demain consisterait en une tyrannie d’une part et des gens dépourvus de pouvoir de l’autre. Il m’a dit que, dans le futur, la répartition des pouvoirs dans le monde dépendrait beaucoup de ceux que je considère aujourd’hui comme des cypherpunks ou des hackers.
J’ai l’impression que l’avenir que mon père me décrivait quand j’étais enfant est aujourd’hui notre présent. Google dit « ne rien faire de mal » d’une part, mais de l’autre Google lit aussi le contenu des messages électroniques de ses utilisateurs et piste leur comportement sur Internet — deux choses que je décrirais clairement comme « le mal ». Google lit les courriels que ma mère écrit et piste ce que mes amis achètent. À des fins publicitaires, prétend Google… mais nous n’en avons découvert les véritables conséquences que plus tard, quand Edward Snowden a lancé l’alerte.

[...]

Je me vois mal développer un jour les outils tyranniques indispensables à Google pour continuer sa course. Je suis de l’autre bord. J’ai conçu le projet que vous saluez, panic_bcast, pour que les services de sécurité aient davantage de difficultés à récolter des informations sur des militants politiques au moyen d’attaques du type « démarrage à froid ». Ce qui motive ma participation à d’autres projets de ce genre est ma conviction de la nécessité d’une circulation libre et sans contraintes de l’information sur l’Internet public. »

Via http://sebsauvage.net/links/?3dGUiA

Bien utile quand un shell interactif (shell Oracle, MySQL, ...) n'implémente pas les fonctionnalités de base comme l'historique des commandes et les raccourcis clavier : ledit (line editor) agit comme un wrapper et implémente ces fonctionnalités essentielles.

ÉDIT DU 12/07/2015 à 11h05 : Benvii me signale que rlwrap est quand même plus mieux meilleur vu qu'il fonctionne aussi via telnet. FIN DE L'ÉDIT.

« Ainsi, l’étude Data Miles, réalisée à partir d’un sondage organisé en août 2014 sur la plate-forme communautaire Tonula auprès de 4000 personnes (dont 1000 en France) utilisant les transports en commun, révèle que chaque employé quitte son bureau avec 470 Go de données en moyenne. Soit mille fois plus que le volume qu’il échange sur Internet dans le même laps de temps, selon le rapport prévisionnel Cisco VNI 2013-2018. A titre d’exemple, chaque jour, pas moins de 350 pétaoctets de données (350 millions de Go) transitent physiquement par la seule ville de Paris qui reste bien modeste en regard des 1,4 exaoctets (1400 Po) de New York. Le métro parisien en transporte à lui seul 138 Po quotidiennement.

Des volumes impressionnants qui resteraient anecdotiques si les risques qui accompagnent leur circulation physique ne constituaient pas un réel problème. De fait, l’étude estime que 41% des utilisateurs ont perdu un appareil contenant des données de l’entreprise au cours des 12 derniers mois. « D’énormes quantités de données professionnelles sont en péril aux heures de pointe », note l’étude un brin alarmiste. En région parisienne, c’est sur le RER A, entre Cergy (Val d’Oise) et Paris, que la densité de données qui empruntent les transports en commun est la plus soutenue (45 Po). »

Ces chiffres sont intéressants en eux-mêmes mais à prendre avec des pincettes : « Mozy la solution de sauvegarde en ligne simple, automatique et sécurisé pour les entreprises et particuliers. » ... Le côté alarmiste de cette étude en prend un coup.

Via : http://seenthis.net/messages/308652

« The Name Service Switch (NSS) configuration file, /etc/nsswitch.conf, is used by the GNU C Library to determine the sources from which to obtain name-service information in a range of categories, and in what order. Each category of information is identified by a database name. »

Pour bypasser le fichier /etc/hosts (sauf localhost ;) ), il faut indiquer « hosts: dns » dans ce fichier en lieu et place de « hosts: files dns ».

Pour bypasser /etc/services, « services: db » au lieu de « services: db files ». Même chose pour /etc/protocols.

« Le raid matériel est très performant, les contrôleurs sont très chers, les groupes raid créés ne sont pas “portables” sur un autre type de contrôleur (en cas de panne, de changement de matériel…). Le raid matériel est totalement transparent pour l'utilisateur et le système. Le “fake raid” n'a aucun avantage sur le raid logiciel, il est même moins souple et pas plus performant. Son seul atout pourrait-être une relative “transparence” pour l'utilisateur. »

+ une liste des commandes utiles et indispensables.