ASafety - AntiSecurity Un projet qui vous tiendra @coeur...

[Dish]

Arpès un silence radio de http://www.milw0rm.com depuis quelque temps maintenant, je me suis mis en quête d'un nouveau site réunissant les derniers exploits en date, et ma recherche a porté ses fruits.

Je vous conseille donc : http://www.exploit-db.com/ où vous trouverez une base de donnée d'exploits triés par genre à la manière de milw0rm.

Currently Archiving 9533 Exploits.

Have phun

[x[@♥]]

Excellent, bonne nouvelle si une relève se met en place
Mais bon, la référence publique nous manquera à tous...

Faites en bon usage!

[x[@♥]]

Très amusant d'ailleurs leur DNS de redirection:

http://www.explo.it ^^

[Croat']

C'est créé par offensive-security, pas mal présent sur Hackin9, un site purement légal donc. J'ai peur que si certains éditeurs de logiciels leur demandent d'effacer certaines failles... ils le fassent

[x[@♥]]

Chacun son avi, j'en doute qu'ils les effacent personnellement. Hackin9 partagent des choses qui pourraient faire de gros dégâts dans leur articles/news/magazines (comme Offensive').

Et puis de toute façon, les éditeurs de logiciels sont conscients de deux choses :

- Ça ne sert à rien d'empêcher la divulgation d'une faille par des pots de vins par exemple, car tôt ou tard quelqu'un de moins influençable trouvera la même et l'exploitera à des fins néfastes. Autant que les éditeurs soient mis au courant le plus tôt possible afin qu'ils se mettent à développer un patch de sécurité au plus vite, plutôt qu'ils ignorent les faits et que des "branleurs" exploitent et détruisent de multiples cibles de part le net. Ce qui, bien entendu, ferait très mauvaise pub aux éditeurs. Donc, dans leur cas, il leur faut choisir entre assumer la présence d'une faille et la corriger sans qu'il n'y ait trop de dégâts, ou ne pas l'assumer (la cacher), dans quel cas beaucoup de dégâts sont à prévoir et une mauvaise publicité.

- Le deuxième point que je soutiens entièrement, est le fait que les éditeurs savent à qui ils ont affaire. Ils savent pertinemment bien que les découvreurs de failles/faiblesses/vulnérabilités ne sont pas (toujours) des amateurs, inconscient, sans morale, et surtout, sans ÉTHIQUE. Ce terme, est très souvent rallié à la cause des "hackers", les premier à déceler des failles de sécurité, et je peux t'assurer qu'ils y tiennent à ce terme et à l'image qu'ils en donnent. Ainsi, bien qu'on associe souvent le "hacker" à un "hors la loi", je me permet de reformuler cette "idée reçue" en affirmant que la plupart d'entre eux respectent et suivent à la lettre leurs propres lois, qui, elles, sont loin d'être immorales et allant à l'encontre de la "législation". (je me comprend et pèse mes mots, mais le choix de certains peu paraître inadapté, bien qu'au contraire, il est mûrement réfléchi ^^).
Ainsi, les éditeurs, conscient de cet état d'esprits, savent que malgré les tentatives de corruption, les "hackers" privilégieront le partage de la connaissance gratuite et pour tous, plutôt que de cacher la vérité à des fins égoïstes, lucratives et personnelles.

Il va de soi, et je ne le nie pas, que bien des contre-exemples de mes propos existent, que hélas tout n'est pas blanc/noir et que ces règles et "éthique" se perdent avec les nouvelles générations de "pirates" que je ne nommerai pas "hackers" mais qui s'en croient.

En une phrase : on est pas près de voir les sites de sécurité, légaux ou non, s'empêcher de partager des exploits.

Le seul frein qui risque d'arriver avec le temps, c'est le développement de frameworks ultra-révisées, relues, corrigées, sécurisées, que la plupart des nouveaux développeurs utiliseront à l'aveuglette, sans comprendre le fonctionnement derrière, mais qui ralentira la découverte de failles...
Concernant ce point, tu dois bien me comprendre vu la formation que tu as faite : tu dois facilement voir que les nouvelles générations d'informaticiens/développeurs ne sont pas moins compétentes, au contraire il font des choses de plus en plus pointues en terme technologique, mais c'est grâce aux anciennes générations, qui, elles, se sont pris la tête sur des problèmes simples aux fins de les optimiser, sécuriser et de les léguer aux futurs générations.

Qui entre un informaticien OldSchool et un fraichement diplômé est à même de comprendre au mieux le fonctionnement interne (et donc d'y déceler des faiblesses au niveau de la base) d'un système informatique?

Je terminerai là dessus ^^, j'ai fait mon pâté du soir ^^!

[x[@♥]]

Tiens d'ailleurs, explo.it vient de mettre à disposition un outil utile.

Par la présence de ce bout de code dans la page index:

Code: Tout sélectionner

<link rel="search" type="application/opensearchdescription+xml" title="exploit-db" href="/exploitsearch.xml">

Qui link automatiquement un fichier XML:

Code: Tout sélectionner

<?xml version="1.0" encoding="UTF-8"?>
<OpenSearchDescription xmlns="http://a9.com/-/spec/opensearch/1.1/"
                       xmlns:moz="http://www.mozilla.org/2006/browser/search/">
  <ShortName>exploit-db</ShortName>
  <Description>search for exploits</Description>
  <Url type="text/html" method="get" template="http://www.exploit-db.com/list.php?description={searchTerms}"/>
  <Image width="16" height="16">http://www.exploit-db.com/favicon.ico</Image>
  <Developer>barbsie@remote-exploit.org</Developer>
  <InputEncoding>UTF-8</InputEncoding>

  <moz:SearchForm></moz:SearchForm>
  <Url type="application/opensearchdescription+xml" rel="self" template="http://www.exploit-db.com/exploitsearch.xml"/>
  <moz:UpdateUrl>http://www.exploit-db.com/exploitsearch.xml</moz:UpdateUrl>
</OpenSearchDescription>



http://www.explo.it devient utilisable via la barre d'outil de recherche intégrée à Firefox.

Voyez par vous même dans la vidéo qu'ils présentent !