Ma petite parcelle d'Internet...

ela fait près de trois semaines que ces histoires de faille DNS monopolisent la bande passante et le temps de cerveau disponible. Heureusement pour nous, le monde ne s'est pas pour autant arrêté de tourner. Alors, maintenant que vos serveurs sont patchés, autant remettre un peu le nez dehors.

Quelques lectures futiles donc, pour changer de sujet, et réfléchir deux secondes :

• un excellent billet de FX sur la perception des vulnérabilités ;
• ce petit panorama des joyeusetés annoncées par Richard Bejtlich ;
• les backdoors dans Skype ;
• les statistiques de vol/perte de données ;
• le support libre du 802.11n chez Atheros ;
• un billet de Me Eolas sur l'utilisation de nos propres publications.

Lire la suite...

e décrivais hier les propositions de Halvar Flake et Thomas Ptacek. Et vous faisais également part de mes interrogations sur leur fonctionnement. En effet, je me suis quand même dit que tout ça méritait quelques vérifications. J'ai donc monté rapidement un serveur DNS récursif pour l'occasion. Il s'agit d'un BIND 9.5.0, provenant du paquet fournit par la Sid de Debian. Il est configuré sans forwarder et tape donc directement les serveurs racines.

Et se faisant, je ne suis pas parvenu à faire fonctionner les attaques proposées, et en particulier celle de Ptacek. Loin de baisser les bras, je me suis mis à essayer des variantes, basées d'une part sur l'observation de requêtes spécifiques et la lecture d'un peu de documentation, en particulier la RFC 2181. Et finalement, c'est passé...

Lire la suite...

ui, oui, c'est bien ce que vous pensez. Le fameux bug DNS qui tient la presse en haleine depuis deux semaines a finalement été (re)découvert. Et c'est précisément l'hypothèse de Halvar Flake que je vous signalais hier en update qui remporte la palme. Ou presque.

Comment est-ce qu'on le sait ? Parce que Matasano a malencontreusement leaké la réponse. Dans un billet rapidement retiré, Thomas Ptacek confirme et explicite la solution. Malheureusement pour lui, le net oubli peu de choses, et le contenu se retrouve à présent mirroré et commenté à pas mal d'endroits. Vive les caches. Kaminsky, de son côté, ne commente pas, mais confirme et recommande de patcher vite :)

Lire la suite...

a y est. Les nominations pour les Pwnie Awards 2008 sont annoncées. Voilà qui conclue un mois durant lequel chacun aura pu proposer ce qui lui passait par la tête dans chacune des catégories proposées. Et je dois avouer que cette année non plus, la sélection n'est pas piquée des vers et tiens tout à fait la route face au palmarès de l'an dernier.

On notera l'introduction de deux nouvelles catégories, Most Epic FAIL et Lifetime Achievement, portant leur nombre à neuf. Pour la liste des nominés et mes choix personnels, que vous pouvez appeler pronostics si ça vous chante, pour chacune d'entre elles, c'est par ici...

Lire la suite...

e n'est pas moi qui le dit. C'est Linus Torvalds qui l'affirme dans un thread sur la LKML qui sombre bien vite dans le troll. Et au passage d'en passer une petite couche sur nos amis adeptes d'OpenBSD.

Si on peut trouver la boutade plaisante, ce n'est cependant pas le fond du problème. La question porte sur le traitement des bugs de sécurité au sein du noyau, lesquels sont souvent corrigés silencieusement, ou sans description permettant d'en comprendre les conséquences. Pour ne pas donner de grain à moudre aux script kiddies paraît-il...

Lire la suite...

ermaine, sort le deux-coups, le riz, les boites de cassoulet, les bouteilles d'eau et les sacs de sable, l'Internet mondial est en train de sombrer. À pic. Façon Titanic. Et oui chers lecteurs, DNS vient de prendre un coup de douze. Un autre. Et probablement pas le dernier.

J'ai l'air taquin comme ça, mais ne vous y trompez pas. Vu comment les éditeurs se sont bougés le cul pour corriger le problème, il y a bien quelque chose qui ne tourne pas rond. C'est clair. Mais d'ici à sombrer dans l'alarmiste crétin, voire un crétinisme alarmant, il y a un pas que d'aucuns devraient peut-être se garder de franchir...

Lire la suite...

ors de la conférence BlackHat Europe 2008, et précedemment à Kiwicon 2007, Nick Breese a annoncé être capable de calculer 1.9 milliards de hachages MD5 par seconde sur sa Playstation 3. Ce chiffre, pour le moins suprenant, a été mis en doute par de nombreuses personnes. Par la suite, la présentation a été modifiée sur le site officiel et les liens retirés de la page des publications. Et pour cause, le véritable résultat ne serait que de 80 millions de MD5 par seconde.

Cette présentation a cependant généré un gros buzz dans les médias, d'autant plus que l'auteur proclame être le premier à faire ça, alors que tout le monde sait que c'est moi : "I haven't seen any implementations of this technique anywhere else". Ce qui prouve encore une fois que l'utilisation de Google n'est pas à la portée de tous. Bien sûr, un rapide coup d'œil sur son code, du niveau de aping, ou sur l'efficacité de son implémentation aurait du immédiatement alerter le public.

Lire la suite...