Commentaires sur : Half-Life et autres futilités estivales

Par : Bruno Kerouanton

Bruno Kerouanton — Sat, 23 Aug 2008 00:02:07 +0000

Merci pour ce lien, je ne l’avais pas lu Très intéressante cette attaque sur OSPF, c’est de toi? Bravo!

Par : pello

pello — Thu, 21 Aug 2008 11:16:22 +0000

Et même quand MD5 est là .. pello n’est pas loin : http://snurl.com/3i6gj

Par : Bruno Kerouanton

Bruno Kerouanton — Mon, 18 Aug 2008 11:54:52 +0000

Merci Pello pour cette explication limpide. En effet c’est bien à quoi je pensais L’avenir nous dira de toute manière comment faire face à tout cela, mais je reste confiant (après tout les protocoles sécurisés utilisant des hash et des certificats existent, reste à les mettre en oeuvre !… même si je reste sceptique avec DNSSEC, il faudrait que tout le monde s’y mette en même temps, or il y aura *forcément* des individus qui n’y auront pas intérêt (spammers, personnes physiques et organisations), donc je n’y crois pas trop. Pour BGP il existe aussi des méthodes pour sécriser le tout à l’aide de hashes, mais c’est comme SNMP, NTP et en général tous les protocoles « d’architecture réseau », malheureusement dans ma vie je n’ai vu que très rarement des implémentations sécurisées en production… même une simple vérification MD5 sur les serveurs NTP ou SNMP pour authentifier le système distant ou les messages échangés n’est pas courante, alors que ce n’est vraiment pas la mer à boire !

Par : pello

pello — Sun, 17 Aug 2008 16:13:54 +0000

Hello Bruno,
BGP c’est grossièrement dit, avoir une confiance aveugle à un inconnu.
Par exemple, tu as un ISP aux USA qui est relié (avoir une session commune dans la config BGP) à la fois à la Géorgie et aussi à la Russie.
Sans avoir aucun contrôle sur les routeurs Géorgiens, il est possible d’indiquer au protocole BGP que pour atteindre l’AS de la Géorgie il est plus court de passer par les routeurs de la Russie.
C’est techniquement possible dès lors qu’il n’y a pas de filtrage des préfixes et AS reçus par l’ISP aux USA.

Pour un peu qu’un gouvernement anti-Géorgien ait accès à une config BGP reliée à pleins d’autres ISP intercontinentaux, ils peuvent se faire plaiz

Ensuite c’est un peu le chat et la souris, c’est à dire que l’ISP Géorgien devra bidouiller sa config BGP pour redevenir meilleure chemin pour peu que les ISP d’en face ne veulent pas modifier leur configuration …

Les solutions de sécurité type Arbor, Lancope ou Narus savent identifier cette activité réseau. Il ne faut donc pas s’étonner si dans la console d’admin on voit deux « subnet hijacking » car finalement une machine n’est pas encore assez intelligente pour dire que ces préfixes étaient bien à la Géorgie et pas à la Russie (etc…) et suivre l’actu politique

Par : miib

miib — Thu, 14 Aug 2008 18:17:23 +0000

Comment ça ?? une semaine sans PC et deux semaines et demi sans Internet…. dis-moi tu avais un pistolet sur la tempe tenu par Madame ?
D’après ton billet, c’est plutôt toi qui semblait tenir un « gun » !

Concernant l’histoire de nos trois pieds nickelés, je trouve dommage de faire parler de soi à coup de « Cain » qui est à la portée du premier venu : cela me fait penser à johns200/xsmith qui a écrit « Freezer » pour enregistrer les flux de DEEZER et qui défend son appli à coup de « Je ne fais que parler d’une faille et n’encourage aucun piratage ! » (cf [http://www.clubic.com/forum/logiciel-multimedia/freezer-programme-preuve-de-concept-demontrant-la-possibilite-de-telecharger-sur-deezer-et-jiwa-en-un-clic-id472480-page1.html])

En tout cas, si tu croises un zombie en Suisse, n’hésites pas à la faire passer de « mort à trépas » !

Par : Cédric Pernet

Cédric Pernet — Thu, 14 Aug 2008 08:58:18 +0000

Boaaaah, ne t’excuse pas Bruno, y’a pire, en matière de non-maintien de blog… Mais je vais m’y remettre prochainement )