Logo

Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

samedi 31 décembre 2005

Pot pourri

Matrix laugh

Ç

a faisait un petit moment que je n'étais pas venu prendre des nouvelles de nos consultantes préférées (Émilie, Amandine et Muriel). Et je dois dire que pour le mois de décembre, Émilie nous a gâtés avec sa série Le tool pourri du jour. Dans un élan lyrique digne d'un bon Fighting sadness with crappy tools, elle nous fait part de quelques une de ses découvertes, parfois assez grâtinées il faut bien l'avouer.

Du code Perl mal écrit (mais peut-il en être autrement me souffle-t-on ?) à la cryptographie de garage, des descriptions malheureuses aux pompeurs de code, en passant évidemment par les super softs qui, quand par miracle ils compilent, se traînent comme une tortue rhumatissante, il y en a pour tous les goûts. On a même droit à une perle de blog. On regrettera juste que cette diatribe soit limitée au mois de décembre 2005 et qu'elle ne se poursuive pas sur 2006, tant il y a à commenter dans ce beau domaine qu'est la sécurité informatique.

Lire la suite...

Note : 5.0/5 pour 1 vote

dimanche 25 décembre 2005

Joyeux Noël / Merry Christmas

Sapin de Noël

C

omme la majorité de la blogosphere, je vous souhaite un Joyeux Noël.

Like a vast majority of blogs does, I wish you a Merry Christmas.

Note : 0.0/5 pour 0 vote

mardi 20 décembre 2005

DADVSI mon amour

Handcuffs

F

allait que j'en parle. J'ai réussi à me retenir de tomber dans ce sujet trollesque à souhait jusqu'à aujourd'hui, date à laquelle notre cher parlement s'attèle à l'examen de ce texte, transposition en loi française de la déjà controversée directive européenne EUCD. Je ne me lancerai cependant pas dans un énième commentaire du texte, parce que beaucoup l'ont fait avant moi, et surtout parce que je ne dispose pas de toute la compétence et l'éloquence d'un vrai juriste pour m'y risquer.

Lire la suite...

Note : 0.0/5 pour 0 vote

dimanche 18 décembre 2005

Découverte BD du week-end

Penseur

A

u beau milieu de ma course aux cadeaux de Noël, je suis tombé sur Le complot[1] de Will Eisner. Cette BD nous raconte l'histoire des Protocoles des Sages de Sion, un célèbre faux, écrit à la fin du 19e. Décrivant un hypothétique complot juif pour la conquête et la domination du monde, ce document reste encore aujourd'hui un des véhicules majeurs de l'antisémitisme dans le monde. L'auteur nous décrit le contexte qui a conduit à l'élaboration, la diffusion et l'utilisation, de 1848 à nos jours, d'un outil de propagande pourtant démasqué depuis 1921.

C'est une excellente lecture qui m'a procuré beaucoup de plaisir, tant sur la forme que le fond, par un grand de la bande dessinée qui nous a quitté cette année, début janvier. Un exemple parfait d'une BD abordant un sujet historique des plus sérieux avec une justesse et une simplicité rarement égalée, où les dessins parlent souvent mieux qu'un long discours.

Notes

[1] Ouvrage édité chez Grasset, ISBN 2246686016

Note : 0.0/5 pour 0 vote

lundi 12 décembre 2005

Au doigt et à l'œil

Doigt

E

n me balladant sur Slashdot, je suis tombé sur un article selon lequel une chercheuse avait réussi à tromper des lecteurs d'empreintes digitales avec de la simple pâte à modeler. Le taux de réussite de sa technique est annoncé à 90%. Replacé en perspective avec un article de Tsutomu Matsumoto publié en 2002, dans lequel il expliquait pouvoir tromper des lecteurs avec des moulages en gélatine alimentaire, cet article tendrait-il à montrer le peu de progrès fait par ce type d'identification biométrique ? Il n'y a qu'un pas, et un tout petit...

Lire la suite...

Note : 4.0/5 pour 1 vote

mercredi 7 décembre 2005

Fix your fuckin' MTA...

BOFH

F

rom time to time, I happen to post on mailing lists with lots of suscribers like SecurityFocus ones. Every time, you have to cope with all thoses vacation messages, bounces, errors and so on. But three days later, they're all gone and that's it. But this time...

So I went posting on that Penetration Testing mailing list. And since, I keep receiving bounces for three messages from paran.com domain.

To: xxxxxxx@hitel.net, 402 Local User
   Inbox Full (xxxxxxx@hitel.net) 4,20971,38310

I'm not particularly angry at that guy who, like so many others, must have subscribed dozains of heavy traffic mailing lists and quickly reached his quota. No. I'm really angry at the MTA administrator. Look at the error report. Error code: 402... Codes beginning with 4 means transient errors, which does not include errors related to user mailbox management that should be treated with permanent error code, begining with 5. That's why RFC821 defines error 552 for exceeded storage allocation for quota related stuff. And by the way, using 0 as second digit means syntax error. I really don't see how a syntax error could be transient. Hummm guy, your command syntax is wrong, but keep trying until RFC is updated ? Come on... So, with their 402, they just tell the MTA just above to keep trying again and again to deliver such messages on a full mailbox, resulting in tons of bounces and useless queue allocation. Great...

So, for 4 days, I keep receiving around 100 hundred bounces (triggered by only three messages) a day from theses bummers, just because someone felt great at breaking his MTA configuration setting an exotic error code in some kind of artistic inspiration[1]. And I forgot to mention that postmaster bounces, and I got no answer from any address returned by whois or mentionned on their website. Thanks a lot guys, you're giving me another reason to love Sieve.

Notes

[1] Broken MTA software could be involved as well, but honestly, I've never seen something like that before

Note : 0.0/5 pour 0 vote

mardi 6 décembre 2005

Le driver libre pour cartes WiFi Broadcom est fonctionnel

Bcm-43xx logo

A

vant-hier soir, Michael Buesch, le développeur principal du projet bcm-43xx annonçait sur les listes de diffusion bcm-43xx-dev et LKML le fonctionnement de son driver.

I am writing this mail on my PowerBook and it is sent wireless to my AP. That means, we can transmit real data, if you did not get it, yet. :)

On me dira qu'il y a plein de projets de drivers libre pour divers type de matériels, alors pourquoi un billet sur celui-là en particulier ? Tout simplement parce qu'il n'a profité d'aucune aide de quelque sorte de Broadcom : pas de spécification, pas de code, pas de binaire, pas de HAL. Rien du tout, nada. Contrairement à Atheros, Intel ou encore Ralink, aucun effort de cette compagnie pour fournir un driver libre à la communauté, même moyennant une HAL ou un firmware propriétaire. Le pire dans cette histoire, c'est que ces gens ont un driver pour Linux, qu'ils fournissent sympathiquement moyennant rétribution et signature de NDA aux équipementiers intégrant leurs chipsets, comme Linksys avec sa célèbre lignée de routeurs WiFi WRT54G. Ces gars sont donc parti de rien, il y a deux ans et demi, pour en arriver aujourd'hui à du code qui tourne.

Un autre aspect intéressant dans ce projet est son déroulement dit en Clean Room. Il s'agit d'une méthode de reverse engineering faisant intervenir deux équipes pour d'un côté exécuter la phase de reverse et documenter les spécifications du chipset, et de l'autre coder le driver à partir des spécifications produites par la première équipe. Ce type d'organisation permet en particulier de s'assurer que les développeurs ne cèdent pas à la tentation d'importer directement du code depuis le logiciel original et donc tomber dans les travers de la contrefaçon. Mais ça rend le travail plus fastidieux.

Respect donc à l'équipe de développement de bcm-43xx pour leur travail, qui devrait permettre aux utilisateurs contraints et forcés de matériel Broadcom de pouvoir l'utiliser sous Linux sur d'autres architectures que x86 (pour lesquelles Ndiswrapper existe), ou tout simplement de profiter d'un driver libre et toutes les fonctionnalités qui vont avec (mode monitor, mode master, etc.).

Note : 0.0/5 pour 0 vote

jeudi 1 décembre 2005

Le logiciel libre aussi pourri que le transport aérien ?...

Linux plane

M

on passage quotidien sur Slashdot m'a fait découvrir un article assez original. Otto Z. Stern, l'auteur, y compare le monde du logiciel libre à celui du transport aérien, après nous avoir énuméré nombre de tracasseries qui font du passager aérien l'être le plus persécuté de la Terre (retards, surbookings, fouilles, bagages perdus, service douteux, etc.) et qui tendent à lui faire très facilement (et rapidement) pêter un câble lorsqu'il se retrouve à faire un Vancouver-Paris en plus de 48h avec un arrêt non prévu à... Casablanca... L'intéressé se reconnaîtra :)

Lire la suite...

Note : 3.5/5 pour 2 votes