maintenant savanah , qui sera le suivant ? - Linux et OS Alternatifs
Marsh Posté le 03-12-2003 à 23:10:50
Je pense que à niveau, il devient évident que tout ça est organisé par qlq1 ou qlq chose contre le monde du libre
Marsh Posté le 03-12-2003 à 23:57:29
bah oui. j'espère qu'en mettant les données qu'ils ont ils pourront remonter un peu.
Marsh Posté le 04-12-2003 à 00:22:36
C'est clair que ca en fout un sacré coup.
Bon, qui essaie de faire ca chez microsoft ?
Ah ouai, microsoft c'est simple mais ils ont du fric pour te retrouver et ils communiquent pas
Marsh Posté le 04-12-2003 à 00:25:49
pour tenter des crackers, il faut avant tout un challenge
Marsh Posté le 04-12-2003 à 10:33:55
Taz a écrit : pour tenter des crackers, il faut avant tout un challenge |
Et pour les lamers il faut quoi?
Marsh Posté le 04-12-2003 à 11:29:54
tetedeiench a écrit : C'est clair que ca en fout un sacré coup. |
ils ont un serveur et un répertoire ftp://mirror5.ftp.microsoft.com/p [...] P/Pro/main ? qu'on pourrait essayer d'attaquer?
Y a bien des ISO, c'est vrai, mais le lien commence par ed... et quant à la légalité de la chose, sans parler de la sécurité
_/_/_/_/_/
Là pour savannah, du 2/11 au 1er/12 ça fait un sacré bout de temps pour s'en rendre compte Dans le cas de Gentoo, ce sont qqes heures (Debian j'ai pas suivi)
Marsh Posté le 04-12-2003 à 11:49:36
La prochaine cible pourrait bien être Sourceforge, si ce n'est déjà fait.
En plus ça ne doit pas être hyper compliqué vu que tous ceux qui ont un projet dessus disposent d'un shell.
Marsh Posté le 04-12-2003 à 12:02:44
T1 ça s'affiche sur la home page de mon mldonkey je croyais que ct une page fixe
Marsh Posté le 04-12-2003 à 12:43:00
il y a truc qui me chagrine ds cette histoire, ce serait quelqu un qui en voudrait au libre ?
Mais ne faut il pas qd meme avoir de bonnes connaissances sur linux et donc de l' utiliser depuis un bon moment pour etre capable de découvrir des failles et les exploiter ?
(Attention c' est pas trop mon domaine, je donne juste mon avis meme si je peux me tromper)
Maintenant ce serait un dev de chez crosoft qui se serait amusé a lire le code de linux et cherché des failles, je pense qu' ils ont deja largement de quoi faire chez eux de ce coté la
ensuite le root-kit découvert Suckit qui est distribué sous la licence gnu, quelquepart c' est quelqu' un qui s' interresse au libre, non perso je trouve que ca colle pas.
Marsh Posté le 04-12-2003 à 13:01:54
Faut pas être bon pour attaquer mais par contre en étant prévoyant, on peut se dire qu'on va se mettre à dos une partie non négligeable des contributeurs du logiciel libre. Et ce sont pour une bonne part des gens très compétents en réseau, sécurité&co qui vont se faire un plaisir de mettre tous les moyens en oeuvre pour remonter jusqu'au(x) fautif(s) ...
Alors vaut mieux être très compétent pour effacer les traces d'effraction et aussi pas trop bavard quand on a face à soi des cadors qui ont du temps devant eux
Marsh Posté le 04-12-2003 à 13:12:25
Ekxon a écrit : il y a truc qui me chagrine ds cette histoire, ce serait quelqu un qui en voudrait au libre ? |
Si étonnant que ça? Y a des parts de marché et du pognon en jeu, c'est une forme de guerre économique. Décridibiliser est une arme aussi efficace que de réellement pénétrer un serveur.
L'inverse est tout aussi courant: des "gens du libre" qui s'en prennent aux "autres" ...
Ekxon a écrit : Maintenant ce serait un dev de chez crosoft qui se serait amusé a lire le code de linux et cherché des failles, je pense qu' ils ont deja largement de quoi faire chez eux de ce coté la |
Microsoft est de loin pas la seule société ou organisme étatique intéressé par ce genre d'opération (elle a beaucoup plus à perdre que n'importe qui d'autre en se faisant pincer d'ailleurs). Pour imposer un produit, détruire celui de l'adversaire est aussi efficace que d'améliorer le sien.
Ekxon a écrit : ensuite le root-kit découvert Suckit qui est distribué sous la licence gnu, quelquepart c' est quelqu' un qui s' interresse au libre, non perso je trouve que ca colle pas. |
Un outil existe et il est libre, c'est pas marqué: ne marche pas contre le libre, au contraire! Et pour nuire au logiciel libre, la première chose à faire est de s'y intéresser pour comprendre où sont les failles, comment est organisée la pyramide des serveurs de distrib (faut s'en prendre à la racine, pas ailleurs) ... enfin comprendre la tactique de "l'adversaire" si on veut avoir la moindre chance contre lui, comprendre ses défenses et anticiper ses réactions de défense.
Marsh Posté le 04-12-2003 à 13:54:56
je prefere qu il y ait des attaques et qu on en entende parler plutot qu un silence absolue de la part de l organisme attaquee, puis l adoption d une politique soit disante "secure".
Je ne vise aucune societe nord americaine base a Seattle mais ca commence par micro et ca finit par soft.
Marsh Posté le 04-12-2003 à 14:30:38
Par contre on notera que la SuSe ne s'est pas faite attaquée. On sent la gestion professionnelle des machines de production par une équipe compétente et efficace.
Marsh Posté le 04-12-2003 à 14:32:26
icewinddale a écrit : Par contre on notera que la SuSe ne s'est pas faite attaquée. On sent la gestion professionnelle des machines de production par une équipe compétente et efficace. |
Un multi tout neuf ?
Marsh Posté le 04-12-2003 à 14:32:53
icewinddale a écrit : Par contre on notera que la SuSe ne s'est pas faite attaquée. |
c'est pour ça qu'on a bien précisé que c'était le monde du libre qui avait été attaqué
A+
Marsh Posté le 04-12-2003 à 14:36:44
Pourquoi tout de suite Microsoft ? & si c'était SCO qui le faisait a partir des failles liés a leur code a eux qu'on a volé & qui serait inclue dans le kernel 2.4x ?
Ne serait ce pas la preuve que l'on a réellement volé leur code( pourri en l'occurence ici ) ?
Marsh Posté le 04-12-2003 à 15:59:25
Tu parles d'une faille dans le ReadCopyUpdate pour processeur 64bits dans les machines SMP qui n'ont finalement jamais été commercialisées ?
Marsh Posté le 04-12-2003 à 19:28:29
Tiens par contre on sait maintenant comment le serveur Gentoo a été compromis : faille dans rsync. Une nouvelle version de rsync vient de sortir pour la corriger.
Marsh Posté le 03-12-2003 à 23:00:29
apres gnu , debian , gentoo , voila savanah !
http://savannah.gnu.org/statement. [...] text/plain
On December 1st, 2003, we discovered that the "Savannah" system, which is maintained by the Free Software Foundation and provides CVS and development services to the GNU project and other Free Software projects, was compromised at circa November 2nd, 2003.
The compromise seems to be of the same nature as the recent attacks on Debian project servers; the attacker seemed to operate identically. However, this incident was distinctly different from the modus operandi we found in the attacks on our FTP server in August 2003. We have also confirmed that an unauthorized party gained root access and installed a root-kit ("SucKIT" ) on November 2nd, 2003.
In the interest of continuing cooperation and in helping to improve security for all essential Free Software infrastructure, and despite important philosophical differences, we are working closely with Debian project members to find the perpetrators and to secure essential Free Software infrastructure for the future. We hope to have future joint announcements that discuss a unified strategy for addressing these problems.
For the moment, we are installing replacement hardware for the Savannah system, and we will begin restoring the Savannah software this week. Initially, there will be some security related changes which may be inconvenient for our developers. We will try to ease these as we find secure ways to do so. We are in particular researching ways to ensure secured authentication of the source code trees stored on the system.
We will send more detailed announcements about efforts to verify the authenticity of the source code hosted on Savannah, and how the community can help in that effort once we've brought the system back online.
We hope to have at least minimal services back up by Friday 5 December 2003.
Message édité par houplaboom42 le 03-12-2003 à 23:01:33