jeudi 08 janvier
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Derniers journaux de patrick_g :

Journal : HoneyMonkeys

Posté par patrick_g (page perso, ) le 11 août 2005
0
Je sais je sais c'est un projet Microsoft qui n'a rien à faire ici...mais j'ai trouvé le concept vraiment astucieux et original.
L'idée du projet HoneyMonkeys est la suivante : au lieu de mettre en place un honeypot pour voir si il existe des méchants pirates ayant un exploit contre les serveurs pourquoi ne pas faire l'inverse ? Envoyer des machines clientes roder sur tous les sites possibles pour voir si elles se font compromettre et analyser automatiquement l'exploit pour pouvoir y faire face. Le marketing MS nomme ceci "Automated Web Patrol".
Microsoft a mis en place 25 machines qui vont browser sur 5000 sites potentiellement dangereux : une partie en XP SP1, une autre en XP SP2, une troisième en SP2+certains patchs et enfin une dernière partie des machines en full XP SP2 avec tous les derniers patchs.
les résultats :
SP1 se fait bouffer sur 688 URL.
SP2 se fait bouffer sur 204 URL.
SP2+patchs se fait bouffer sur 17 URL.
SP2+tous les derniers patchs ne se fait pas bouffer.
L'intérêt c'est de pouvoir analyser les failles et de sortir des fixs...mais aussi d'engager des actions légales pour faire fermer les sites de "pirates".


Un article sur HoneyMonkeys : http://www.desktoppipeline.com/shared/article/printablePipelineArti(...)

Un pdf technique sur le sujet : ftp://ftp.research.microsoft.com/pub/tr/TR-2005-72.pdf(...)

> Lire le journal (27 commentaires, moyenne: 3,3).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

le temps de survie de la machine en sp1

Posté par Bemixam (page perso, ) le 11/08/2005 à 09:48. (lien). Évalué à 8.

j'espere qu'il ont un master pour la machine en sp1
parceque ca doit etre bien lourd de la reinstaller toutes les 10 minutes.

--
scooba : herbergeur alternatif gratuit

  • [^]Re: le temps de survie de la machine en sp1

    Posté par Ulrich VANDENHEKKE (Jabber id, page perso, ) le 11/08/2005 à 09:59. (lien). Évalué à 6.

    Ils peuvent faire tourner des machines qui a chaque reboot réinitialise tout automatiquement (comme un VMWare qui n'enregistre pas réélement les données sur la partition mais dans un fichier à part).

    Je sais qu'il y a des programmes qui permette de faire ca automatiquement.

    --
    Ulrich
    Java pas bien, Java l'dire à ma mère.

    • [^]Re: le temps de survie de la machine en sp1

      Posté par TImaniac (Jabber id, page perso, ) le 11/08/2005 à 11:42. (lien). Évalué à 4.

      ou tout simplement ils utilisent leur VMWare à eux : Virtual PC.

et millenium ?

Posté par FärvÄrdiN (page perso, ) le 11/08/2005 à 10:10. (lien). Évalué à 10.

A noter que windows millenium ne s'est fait bouffer par aucun site : en effet, il a planté tout seul avant.

--
RMS is like sex, it's better when it's clean...

  • [^]Re: et millenium ?

    Posté par Nadine () le 11/08/2005 à 15:55. (lien). Évalué à 2.

    je crois que windows Millenium n'est pas un système d'exploitation vraiment, mais il est une version de Windows 98. Peut-être je me trompe?
    Il faut dire windows 98 Millenium edition

    • [^]Re: et millenium ?

      Posté par scand1sk (page perso, ) le 11/08/2005 à 17:18. (lien). Évalué à 9.

      Je crois qu'on peut arrêter ta phrase juste avant le "vraiment"...

      --
      Les meilleurs jeux de plateau !

      • [^]Re: et millenium ?

        Posté par FärvÄrdiN (page perso, ) le 11/08/2005 à 23:04. (lien). Évalué à 2.

        on peut aussi l'arrêter avant le "millénium" et la reprendre juste après, et ensuite l'arrêter avant le "vraiment", cela nous fait une nouvelle phrase bien sympatique et il me semble tout à fait juste, enfin, cela dépend ce que l'on entend par "exploitation". Dans un certain sens c'est vraiment LE système qui exploite par excellence.

        --
        RMS is like sex, it's better when it's clean...

        • [^]Re: et millenium ?

          Posté par Ulrich VANDENHEKKE (Jabber id, page perso, ) le 12/08/2005 à 07:28. (lien). Évalué à 2.

          Je pense que le seul system d'exploitation qui existe chez Microsoft est la version Advanced Server (le seul qui porpose des outils réseaux, et aucune limitation).
          Les autres sont des demi system, enfin pas des vrais quoi.

          Problème, leur seul system d'exploitation qu'ils ont, coute la peau de mes fesses (que je n'en vend pas pour rien)

          --
          Ulrich
          Java pas bien, Java l'dire à ma mère.

[+] ça serait possible???

Posté par Sixel (page perso, ) le 11/08/2005 à 10:42. (lien). Évalué à -1.

engager des actions légales pour faire fermer les sites de "pirates"

et si je mets des mines dans mon jardin, que mon voisin rentre chez moi sans ma permission et se fait sauter la tronche sachant pertinemment le risque qu'il courait, il pourrait engager des actions légales contre moi? (enfin, si les petits bouts n'ont pas été trop éparpillés...)

et le pire dans tout ça est que c'est ce qu'il risque de se passer dans le cas de Microsoft et ses HoneyMonkeys...

--
"Il faut" (Ezekiel 18:4) "forniquer" (Corinthiens 6:9, 10) "avec des chiens" (Thessaloniciens 1:6-9) "morts" (Timothée 3:1-10).

  • [^]Re: ça serait possible???

    Posté par Guillaume Knispel () le 11/08/2005 à 10:49. (lien). Évalué à 7.

    1) un site public n'est pas privé ... (<--- c'était la réflexion profonde du jour)

    2) non, il est strictement interdit de pieger sa maison, son jardin, whatever, meme en foutant des avertissements. C'est au moins un délit en soit, et tu peux surrement te faire inculper d'homicide involontaire si quelqu'un se fait peter :p

    • [^]Re: ça serait possible???

      Posté par Sylvain Briole (page perso, ) le 11/08/2005 à 11:40. (lien). Évalué à 4.

      D'un autre côté, je ne sais même pas si le terme "involontaire" est applicable : les explosifs, dans le jardin, ils ne sont pas là pour faire dégager les taupes....

    • [^]Re: ça serait possible???

      Posté par ham () le 11/08/2005 à 11:45. (lien). Évalué à 1.

      pour le 2), tu as des pointeurs??

      IL y avais eu l'histoir du gars qui avais piégé un poste radio (aprés 4 vol) et ca avais trop bien fonctionné. IL a été condamné, mais pas pour avoir posé un piege, mais parceque celui-ci etais disproportioné.

      c'est a peu prés interdit en belgique http://www.stopvol.be/interviews/interv_criminologue.php(...)

      Mais si on suppose que c'est la même chose en france, les pièges sont autorisé, il faut juste qu'il ne fasse pas de mal et ne retiennent pas prisonniers les voleurs (les alarmes peuvent étre d'aprés le texte etre considéré comme des pièges).

      Mais bon, en belgique les bombe anti agression sont interdite alors qu'en france si.

      • [^]Re: ça serait possible???

        Posté par kra () le 11/08/2005 à 12:19. (lien). Évalué à 2.

        les pièges sont autorisé, il faut juste qu'il ne fasse pas de mal et ne retiennent pas prisonniers les voleurs
        mouarf, ca c'est un piege efficace!!

        sinon, en france on a le droit de tuer, mais seulement si la victime ne meurt pas.

        • [^]Re: ça serait possible???

          Posté par Black Fox (page perso, ) le 11/08/2005 à 13:25. (lien). Évalué à 2.

          Ca sous entends que tu as le droit de piéger quelqu'un mais que le fait de l'apréhander ou de les punir est du ressort de la police et de la justice.

  • [^]Re: ça serait possible???

    Posté par Rin Jin (page perso, ) le 11/08/2005 à 10:49. (lien). Évalué à 6.

    C'est plutôt comme si un supermarché était truffée de pick-pocket payés par le magasin, et dans ce cas tu peux porter plainte. Un site web ressemble plus à un lieu public qu'à un domicile privé.

    Pour une fois que Microsoft a une bonne idée, il y en a toujours pour se plaindre.

    --
    "On obtient plus de chose en étant poli et armé qu'en étant juste poli" Al Capone

Partagé...

Posté par thom_ra () le 11/08/2005 à 11:41. (lien). Évalué à 3.

Je trouve cette idée intéressante. Par contre, pour pouvoir réellement tirer une quelconque conclusion des statistiques, il ne faudrait pas que ça soit MS qui choisisse l'échantillon d'URL...

Mais l'idée est très bien. Ah oui, je l'ai déjà dit ;-))

oui, mais

Posté par modr123 () le 11/08/2005 à 13:12. (lien). Évalué à 2.

au depart je trouvais l'idée bonne
en fait n'importe quelle technicaux-commercial vera l'intérêt de se genre de choses ,démontrer qu xp avec les derniers patchs est invulnérable :)

le probléme est bien que le test est fait avec des sites utilisant des failles connues et corrigés
je pense que'une société comme microsoft connait déja les vulnérabilités des différentes vesion de xp , le vérifier grandeur nature me semble du foutage de gueule
maintenat si le but est de savoir quelle site utilise tel vulnérabilité , il suffit de prendre celui qui est le moins bien protégé et ca fait la même chose

--
pour protester contre la dadvsi , je n'achete plus de produit soumis au droit d'auteur ou voisins

  • [^]Re: oui, mais

    Posté par Sylvain Briole (page perso, ) le 11/08/2005 à 13:22. (lien). Évalué à 2.

    je pense que'une société comme microsoft connait déja les vulnérabilités des différentes vesion de xp , le vérifier grandeur nature me semble du foutage de gueule

    Non, pas dans un but de "statistique", de manière à pouvoir suivre l'évolution.

  • [^]Re: oui, mais

    Posté par patrick_g (page perso, ) le 11/08/2005 à 13:39. (lien). Évalué à 4.

    >> le probléme est bien que le test est fait avec des sites utilisant des failles connues et corrigés

    Je comprends pas trop ta phrase. Pourquoi ce test serait-il limité aux sites utilisant des failles connues et corrigés ? Il me semble qu'ils vont sur tous les sites de haxors/pirates/blackhats possibles et imaginables et qu'ils regardent juste si leur OS se fait manger tout cru. Si oui ils peuvent analyser l'exploit et ainsi proposer un fix. Ce n'est en rien limité aux failles anciennes. C'est juste la technique de la chèvre/appat qui est appliqué au grand ternet.

  • [^]Re: oui, mais

    Posté par tene (page perso, ) le 11/08/2005 à 15:23. (lien). Évalué à 2.

    en fait n'importe quelle technicaux-commercial vera l'intérêt de se genre de choses ,démontrer qu xp avec les derniers patchs est invulnérable :)

    Pas d'accord, tu crois vraimetn que ms montrerait que son XP SP1 se mange la gueule sur près de 10% de ses sites tests?

    Perso je vois deux choses: un effort, genre on va quand même regarder comment c'est pourri, et surtout te pousser à mettre à jour ton système... et ça aussi bien sous windows, que linux ou que n'importe quoi... c'est bien©®.

    Bref, je retourne à mon java :p

    • [+] [^]Re: oui, mais

      Posté par Nadine () le 11/08/2005 à 15:59. (lien). Évalué à -1.

      Aussi, Microsoft veux todos avec Windows XP service pack 2 , non?

  • [^]Re: oui, mais

    Posté par voodoo () le 11/08/2005 à 16:26. (lien). Évalué à 3.

    On a pas du lire les mêmes docs. Il me semble que microsoft a découvert un exploit 0day sur la faille JView profile dans l'un des sites.

    D'autre part les black hat ne lourdent pas des exploits de qualité bêtement sur des sites web. En général ils les vendent ou les utilisent quand c'est utile (encore que des boites rachètent des 0days pour des spyware ...).

    Ce projet à le même intérêt que des honeynets mais côté client, donc entre autres trouver des méthodes d'exploitation de v ulnérabilités, de nouvelles vulns, etc ... Après comme pour les honeynets faut voir les ip sources utilisées par les machines (si ce sont des plages appartenant à microsoft ou des filiales c'est pas trop dur à reconnaître :p).

    ps : on utilise pas une vulnérabilité, on l'exploite ;)

Marrant

Posté par toto29 () le 12/08/2005 à 07:46. (lien). Évalué à 1.

Donc un SP2 avec tous les derniers patchs resiste a un attaquant qui exploite toutes les failles connues (et donc corrigees par les patch).

  • [^]Re: Marrant

    Posté par TImaniac (Jabber id, page perso, ) le 12/08/2005 à 07:50. (lien). Évalué à 2.

    exploite toutes les failles connues (et donc corrigees par les patch).
    Résonment complètement idiot. La faille peut n'être connue que de l'attanquant au moment de la visite du site. Exemple : un virus sort avant un patch.

    • [^]Re: Marrant

      Posté par Ulrich VANDENHEKKE (Jabber id, page perso, ) le 16/08/2005 à 07:14. (lien). Évalué à 3.

      La plus part des virus sorte aprés les patchs. C'est l'incapacité des utilisateurs à mettre à jour leur système régulièrement qui fait leur vulnérabilité de ces systèmes.

      Un hacker qui découvre les failles avant la sortie des patches sont trés rare (et souvent sont plus des hacker que des crackers, et prefère prévenir de la faille plutot que de l'exploiter)

      --
      Ulrich
      Java pas bien, Java l'dire à ma mère.

    • [^]Re: Marrant

      Posté par toto29 () le 28/08/2005 à 19:12. (lien). Évalué à 2.

      Crois tu que l'outil de Microsoft decouvre des failles qu'eux meme ne connaissent pas deja? Et donc ont (esperons le) fournit un patch.

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.1086s (dont 0.0112 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !