[LINUX] ENORME faille découverte BACKDOOR
Le 30 mars 2024 à 14:54:07 :
Le 30 mars 2024 à 14:49:13 :
du coup c'est mieux detre sur redhat ?Si j'ai bien compris ça va être patché ou ça l'est déjà donc osef t'es safe
non mais je crois que l'open source c'est de la grosse merde enft
Le 30 mars 2024 à 14:35:22 :
Imaginez le nombre de backdoors non découverts que la NSA et les chinois doivent avoir
Ca fait réfléchir.
Ceci vous aurez beau essayer de vous protéger comme vous voulez si une agence gouvernementale veut accéder à vos données elle y arrivera
Les seules protections sûres sont matérielles : couvrir sa webcam, couvrir son micro voire ne pas connecter son PC à internet pour les plus paranos.
20 après la dernière tentative dont le code avait été validé (c'était dans le kernel, pas comme cette fois-ci) https://freedom-to-tinker.com/2013/10/09/the-linux-backdoor-attempt-of-2003/
A côté de ça on a Microsoft et la NSA qui mettent à jour Windows 11 et ses milliers (millions ? ) de backdoors chaque semaines en te forçant à redémarrer ton pc.
REDPILL : Linux est MOINS (-) SÉCURISÉ que Windows
Ayaaaaao t'as bien lu Celestin, et c'est pas mon avis, mais celui des plus gros experts mondiaux en cybersécurité
Liste non-exhaustive de ces experts : https://madaidans-insecurities.github.io/linux.html#security-researcher-views
La REDPILL : Linux est le pire OS en termes de sécurité, il est moins attaqué uniquement parce que quasiment personne l'utilise (et à justre titre https://jvflux.fr/Pav%C3%A9_Linux )
Et non, ton routeur ne compte pas Kévin, la cible principale des hackers c'est les utilisateurs et leurs données pas les modems ahi
Y'a que les script-kiddies qui pensent le contraire
Pour ceux qui veulent creuser : https://madaidans-insecurities.github.io/linux.html
Résumé pour les flemmards (on va bien se marrer ), LISTE NON-EXHAUSTIVE :
- Saviez-vous que jusqu'à très récemment, littéralement N'IMPORTE QUELLE APPLICATION installée sur votre machine Linux pouvait avoir accès à TOUT CE QUE VOUS TAPEZ sur votre clavier ? Ayaaaaaaaao on commence par du lourd, 0 protection keylogger et L'OS LUI-MEME EST UN ENORME KEYLOGGER AUQUEL TOUT LE MONDE A ACCES ayaaaaaaao renseignez-vous sur la farce qu'est X.org et c'est toujours le cas pour plein de distros d'ailleurs, la plupart ont pas migré sur Wayland
https://theinvisiblethings.blogspot.com/2011/04/linux-security-circus-on-gui-isolation.html
- AUCUN SYSTEME DE SANDBOXING INTEGRE ayaaaaaaao, toutes les applications qui tournent sur votre machine ont un accès total à TOUTES vos données évidemment c'est une folie pure, en comparaison sur MacOS toutes les applis tournent sandboxées, et Windows va dans la même direction avec UWP et Windows Sandbox (et me parlez pas de Flatpak ou je vais devenir vulgaire )
- AUCUNE MITIGATION DES EXPLOITS, déjà que tout le Kernel tourne sur du code C/C++ poussiéreux REMPLI A RAS BORD de bugs et de vulnérabilités au moins Windows a inventé des systèmes de contrôle d'intégrité pour se protéger contre ça (ACG et CIG), pareil sur MacOS sur Linux y'a littéralement des dizaines de vulnérabilités découvertes dans le noyau Linux CHAQUE MOIS
https://events19.linuxfoundation.org/wp-content/uploads/2017/11/Syzbot-and-the-Tale-of-Thousand-Kernel-Bugs-Dmitry-Vyukov-Google.pdf et spoiler : la plupart ne sont jamais patchées le kernel Linux a littéralement des décennies de retard en termes de cybersécuritéhttps://jon.oberheide.org/files/syscan12-exploitinglinux.pdf et les développeurs Linux s'en branlenthttps://www.washingtonpost.com/sf/business/2015/11/05/net-of-insecurity-the-kernel-of-the-argument/
- Sur Linux t'as même pas besoin de cracker le compte admin (root) : tu niques un compte d'utilisateur lambda et hop t'as accès à tout grâce à un faux prompt sudo sur Windows t'as l'UAC pour empêcher ça, mais bon faut croire que c'est pas venu à l'esprit de nos Linuxiens
Bon je m'arrête là, j'ai donné des sources et liens si vous voulez creuser, vous allez bien rire
Je terminerai sur cette réponse de Madaidan (dev de Whonix, référence mondiale en Linux hardening) :
- It's a common assumption that the issues within the security model of desktop Linux are only "by default" and can be tweaked how the user wishes; however, standard system hardening techniques are not enough to fix any of these massive, architectural security issues. Restricting a few minor things is not going to fix this. Likewise, a few common security features distributions deploy by default are also not going to fix this. Just because your distribution enables a MAC framework without creating a strict policy and still running most processes unconfined, does not mean you can escape from these issues. The hardening required for a reasonably secure Linux distribution is far greater than people assume. You would need to completely redesign how the operating system functions and implement full system MAC policies, full verified boot (not just for the kernel but the entire base system), a strong sandboxing architecture, a hardened kernel, widespread use of modern exploit mitigations and plenty more. Even then, your efforts will still be limited by the incompatibility with the rest of the desktop Linux ecosystem and the general disregard that most have for security. - https://madaidans-insecurities.github.io/linux.html#hardening
Donc : non seulement l'expérience utilisateur est horrible, mais en plus c'est une passoire le seul avantage de Linux, qu'on soit bien clairs, c'est l'absence de télémétrie si vous voulez pas être profilé par Microsoft mais pour ça pas besoin d'aller sur Linux, tu peux t'en protéger tout en restant sur Windows
Je suis sur que la NSA peut push directement son code sans que microsoft donne son avis.
Le 30 mars 2024 à 15:03:51 :
en language de lambda qui n'y connait rien ça veut dire quoi ?
Rien du tout parce qu'un hacker va pas se faire chier a exploit un truc d'un os utilisé que pat 1% du parc informatique mondial.
Le 30 mars 2024 à 15:01:08 :
REDPILL : Linux est MOINS (-) SÉCURISÉ que WindowsAyaaaaao t'as bien lu Celestin, et c'est pas mon avis, mais celui des plus gros experts mondiaux en cybersécurité
Liste non-exhaustive de ces experts : https://madaidans-insecurities.github.io/linux.html#security-researcher-views
La REDPILL : Linux est le pire OS en termes de sécurité, il est moins attaqué uniquement parce que quasiment personne l'utilise (et à justre titre https://jvflux.fr/Pav%C3%A9_Linux )
Et non, ton routeur ne compte pas Kévin, la cible principale des hackers c'est les utilisateurs et leurs données pas les modems ahi
Y'a que les script-kiddies qui pensent le contraire
Pour ceux qui veulent creuser : https://madaidans-insecurities.github.io/linux.html
Résumé pour les flemmards (on va bien se marrer ), LISTE NON-EXHAUSTIVE :
- Saviez-vous que jusqu'à très récemment, littéralement N'IMPORTE QUELLE APPLICATION installée sur votre machine Linux pouvait avoir accès à TOUT CE QUE VOUS TAPEZ sur votre clavier ? Ayaaaaaaaao on commence par du lourd, 0 protection keylogger et L'OS LUI-MEME EST UN ENORME KEYLOGGER AUQUEL TOUT LE MONDE A ACCES ayaaaaaaao renseignez-vous sur la farce qu'est X.org et c'est toujours le cas pour plein de distros d'ailleurs, la plupart ont pas migré sur Wayland
https://theinvisiblethings.blogspot.com/2011/04/linux-security-circus-on-gui-isolation.html
- AUCUN SYSTEME DE SANDBOXING INTEGRE ayaaaaaaao, toutes les applications qui tournent sur votre machine ont un accès total à TOUTES vos données évidemment c'est une folie pure, en comparaison sur MacOS toutes les applis tournent sandboxées, et Windows va dans la même direction avec UWP et Windows Sandbox (et me parlez pas de Flatpak ou je vais devenir vulgaire )
- AUCUNE MITIGATION DES EXPLOITS, déjà que tout le Kernel tourne sur du code C/C++ poussiéreux REMPLI A RAS BORD de bugs et de vulnérabilités au moins Windows a inventé des systèmes de contrôle d'intégrité pour se protéger contre ça (ACG et CIG), pareil sur MacOS sur Linux y'a littéralement des dizaines de vulnérabilités découvertes dans le noyau Linux CHAQUE MOIS
https://events19.linuxfoundation.org/wp-content/uploads/2017/11/Syzbot-and-the-Tale-of-Thousand-Kernel-Bugs-Dmitry-Vyukov-Google.pdf et spoiler : la plupart ne sont jamais patchées le kernel Linux a littéralement des décennies de retard en termes de cybersécuritéhttps://jon.oberheide.org/files/syscan12-exploitinglinux.pdf et les développeurs Linux s'en branlenthttps://www.washingtonpost.com/sf/business/2015/11/05/net-of-insecurity-the-kernel-of-the-argument/
- Sur Linux t'as même pas besoin de cracker le compte admin (root) : tu niques un compte d'utilisateur lambda et hop t'as accès à tout grâce à un faux prompt sudo sur Windows t'as l'UAC pour empêcher ça, mais bon faut croire que c'est pas venu à l'esprit de nos Linuxiens
Bon je m'arrête là, j'ai donné des sources et liens si vous voulez creuser, vous allez bien rire
Je terminerai sur cette réponse de Madaidan (dev de Whonix, référence mondiale en Linux hardening) :
- It's a common assumption that the issues within the security model of desktop Linux are only "by default" and can be tweaked how the user wishes; however, standard system hardening techniques are not enough to fix any of these massive, architectural security issues. Restricting a few minor things is not going to fix this. Likewise, a few common security features distributions deploy by default are also not going to fix this. Just because your distribution enables a MAC framework without creating a strict policy and still running most processes unconfined, does not mean you can escape from these issues. The hardening required for a reasonably secure Linux distribution is far greater than people assume. You would need to completely redesign how the operating system functions and implement full system MAC policies, full verified boot (not just for the kernel but the entire base system), a strong sandboxing architecture, a hardened kernel, widespread use of modern exploit mitigations and plenty more. Even then, your efforts will still be limited by the incompatibility with the rest of the desktop Linux ecosystem and the general disregard that most have for security. - https://madaidans-insecurities.github.io/linux.html#hardening
Donc : non seulement l'expérience utilisateur est horrible, mais en plus c'est une passoire le seul avantage de Linux, qu'on soit bien clairs, c'est l'absence de télémétrie si vous voulez pas être profilé par Microsoft mais pour ça pas besoin d'aller sur Linux, tu peux t'en protéger tout en restant sur Windows
Sauf pour les Jean-Ubuntu (et dérivés) qui filent leurs donnés de télémétrie à Canonical
Ceux là sont vraiment les dindons de la farce
un développeur a infiltré le développement d'un logiciel depuis 2ans pour y mettre son backdoor, complètement taré
mais ça concerne que les distributions rolling release et de test
Le 30 mars 2024 à 14:28:30 :
AyooooLes jean-Linux qui te disent "Angeugneugneu comme c'est open-source personne ne peut faire de la merde dedans ça se verra tout de suite contrairement aux OS close-source"
La preuve que non et que leurs côté "Anti-système" et "pro logiciel libre" c'est que de la gueule sans aucun argument derrière
ici on a justement pu le trouver le backdoor, contrairement a microsoft qui en crée volontairement pour que la NSA puisse l'utiliser
Le 30 mars 2024 à 14:31:45 :
Le 30 mars 2024 à 14:28:30 :
AyooooLes jean-Linux qui te disent "Angeugneugneu comme c'est open-source personne ne peut faire de la merde dedans ça se verra tout de suite contrairement aux OS close-source"
La preuve que non et que leurs côté "Anti-système" et "pro logiciel libre" c'est que de la gueule sans aucun argument derrière
Juste à lire ce que je viens de voir tu comprends rien à Linux et encore moins les politiques de sécurité et d'isolation réseau
Et pour finir, aucun distro server qui run utilise une RR quand il sont sérieux, c'est comme si tu disais au gens d'utiliser chrome canary avec windows develloper preview
Il y a des cas où c'est tout à fait sérieux d'utiliser du RR en serveur. Les serveurs de GrapheneOS tournent sous Arch. Bonne raison à ça : les non-RR ne backportent pas tous les fix de sécurité.
Le 30 mars 2024 à 15:20:23 :
Le 30 mars 2024 à 14:28:30 :
AyooooLes jean-Linux qui te disent "Angeugneugneu comme c'est open-source personne ne peut faire de la merde dedans ça se verra tout de suite contrairement aux OS close-source"
La preuve que non et que leurs côté "Anti-système" et "pro logiciel libre" c'est que de la gueule sans aucun argument derrière
ici on a justement pu le trouver le backdoor, contrairement a microsoft qui en crée volontairement pour que la NSA puisse l'utiliser
C'est un ingénieur de Microsoft qui a trouvé la backdoor justement, avec du reverse engineering, donc sans partir du code source à la base. Les gens doivent se rendre compte que ça a été découvert de façon ultra fortuite, si le mec voulait pas debug pourquoi OpenSSH était 50ms plus lent que d'habitude, ça serait passé crème pendant très longtemps.
Ça n'augure rien de bon pour plein d'autres projets FOSS et en plus, on ne sait même pas s'il y a d'autres vecteurs d'attaque dans xz. Le mec (ou l'état) qui a backdoor xz a préparé le terrain depuis 2022, avec plein de release depuis...
Données du topic
- Auteur
- Yenamarre18
- Date de création
- 30 mars 2024 à 11:22:14
- Nb. messages archivés
- 37
- Nb. messages JVC
- 35