Thursday, May 15, 2008

Et le talent dans tout ca?

Je m'emerveille toujours de l'absence totale de reflexion apportee dans le milieu de la securite face a des problemes comme celui recent de OpenSSH sous Debian/Ubuntu. Aussi bien du cote des developpeurs, que du cote des journalistes (With the Quickness: HD Moore sets new land speed record with exploitation of Debian/Ubuntu OpenSSL flaw).

Pour "l'exploit" (grincement de dents), il suffit de generer 32768 cles pour les differents algorithmes possibles et longueurs de cles. Trop dur. Tres 2000 comme technique. Et le sieur HDM, il ne s'est pas fait suer a reimplementer la generation de la cle, il s'est just contente d'une bibliotheque falsifiant le pid et de 31 xeons. Et le plus deprimant, c'est que ca marchera mieux que tous les overflows imaginables, car totalement independant de l'architecture, de la version, etc (modulo la presence de la vulnerabilite).

Le talent et la reflexion, c'est tres surfait au final.

3 comments:

  1. Moi je dis que d'autres l'avaient testé avant lui:

    http://chdir.org/~nico//blog/posts/Pire_que_je_croyais.../

    OK, en Europe, on se lève plus tôt :)

    ReplyDelete
  2. AH AH AH !!!

    1/ J'avais raison

    (Les buffers overflows c'est trop compliqué à utiliser en pentest, rien ne vaut un bon mot de passe).

    2/ J'avais raison

    (Au temps pour le "many eyes" et autres idées reçues sur la sécurité de l'open source. Il n'y a que les gens qui sont payés pour appliquer des procédures qui arrivent à suivre des cycles de développement sécurisés).

    ReplyDelete