Je m'emerveille toujours de l'absence totale de reflexion apportee dans le milieu de la securite face a des problemes comme celui recent de OpenSSH sous Debian/Ubuntu. Aussi bien du cote des developpeurs, que du cote des journalistes (With the Quickness: HD Moore sets new land speed record with exploitation of Debian/Ubuntu OpenSSL flaw).
Pour "l'exploit" (grincement de dents), il suffit de generer 32768 cles pour les differents algorithmes possibles et longueurs de cles. Trop dur. Tres 2000 comme technique. Et le sieur HDM, il ne s'est pas fait suer a reimplementer la generation de la cle, il s'est just contente d'une bibliotheque falsifiant le pid et de 31 xeons. Et le plus deprimant, c'est que ca marchera mieux que tous les overflows imaginables, car totalement independant de l'architecture, de la version, etc (modulo la presence de la vulnerabilite).
Le talent et la reflexion, c'est tres surfait au final.
5 new protections on Google Messages to help keep you safe
-
Posted by Jan Jedrzejowicz, Director of Product, Android and Business
Communications; Alberto Pastor Nieto, Sr. Product Manager Google Messages
and RCS Spa...
1 week ago
3 comments:
jalouse va!
;o)
Moi je dis que d'autres l'avaient testé avant lui:
http://chdir.org/~nico//blog/posts/Pire_que_je_croyais.../
OK, en Europe, on se lève plus tôt :)
AH AH AH !!!
1/ J'avais raison
(Les buffers overflows c'est trop compliqué à utiliser en pentest, rien ne vaut un bon mot de passe).
2/ J'avais raison
(Au temps pour le "many eyes" et autres idées reçues sur la sécurité de l'open source. Il n'y a que les gens qui sont payés pour appliquer des procédures qui arrivent à suivre des cycles de développement sécurisés).
Post a Comment