![[OpenBSD]](../images/smalltitle.gif){kind=small}
"And then the new features: FFS2, support for the Advanced Host Controller Interface, IP balancing in CARP, layer 7 manipulation with hoststated, Xenocara, and more!"
Il se poursuit par une discussion de chacune de ces fonctionnalités avec leurs implémenteurs.
"Many of the technologies that Microsoft has employed to bolster the security of Windows Vista are not new. In fact, most are derived from the groundwork originally laid by open-source operating systems such as Linux and OpenBSD, the PaX and Stackguard projects, as well as numerous academic publications.... The majority of these technologies first appeared in Windows XP SP2 [Service Pack 2]. Windows XP SP2, at the time of its release, was also billed as the most secure version of Windows."Donc souvenez-vous, s'il s'agit de sécurité vous en avez certainement déjà entendu parler ici, bien avant que Microsoft ne "l'invente".
The most important property of bcrypt (and thus crypt_blowfish) is that it is adaptable to future processor performance improvements, allowing you to arbitrarily increase the processing cost of checking a password while still maintaining compatibility with your older password hashes. Already now bcrypt hashes you would use are several orders of magnitude stronger than traditional Unix DES-based or FreeBSD-style MD5-based hashes.This is just plain cool."
Cet article peut aussi être trouvé en ligne aux Appels Académiques for un meilleur suivis des bogues (uk.builder.com).
"Cependant, afin de traiter la sécurité à l'image de BSD, davantage d'efforts doivent être fait dans l'audit de code à la recherche de failles, une activité bien moins sexy qui attire un autre genre de développeurs," ajouta Zymaris.
Le composants "closed-source" requis pour utiliser ce matériel est complètement indépendant des systèmes d'exploitation associés, et est de ce fait complètement indépendant de l'équipe d'ingénierie, de l'équipe de sécurité, du processus d'audit, et des procédures de contrôle de la qualité qui sont normalement des étapes intégrantes de la mise au point du système d'exploitation...
Ceci pourrait être d'autant plus problématique que nous parlons d'un morceau de code dans le système d'exploitation, fonctionnant avec le niveau le plus élevé de privilèges (le noyau), et qui est fournit par le vendeur tiers. Ce code pourrait faire d'autres choses une fois lancé, comme mettre en défaut les clefs WEP actives, collecter des statistiques d'utilisation, sniffer et dévoiler le trafic réseau, et ceci pourrait également introduire une backdoor subtile dans le système d'exploitation lui-même (tout comme n'importe quel driver sur un système d'exploitation fermé).
Bien que certains de ces scénarios soient un peu extrêmes, la possibilité qu'ils existent est bien présente. Ceci devient réellement un problème de confiance, directement adjacent avec une bonne politique de sécurité : comment leurs faire confiance, et à quel degré ?
Et il commente ceci comme étant "tel une rue à sens unique" : les vendeurs désirent que vous leur fassiez confiance, mais ils ne veulent pas vous faire confiance et vous laissez connaître comment leur matériel fonctionne. Ce manque de confiance est une des raisons pour lesquelles OpenBSD a récemment fait un "reverse-engeneering" complet sur le driver des cartes sans-fil Atheros initialement fournit via un driver binaire.
"... which is more secure - Windows or Linux?Sans surprise, la réponse est négative. Bonne discussion sur les raisons qui font que le système d'exploitation de Microsoft n'est pas encore vraiment sécurisé. L'article s'achève en concluant que si vous devez utiliser MS-Windows, alors faites le mais utilisez une autre machine hébergeant un système d'exploitation "avec un profil de risque plus bas" pour la consultation de votre messagerie, le web et les autres activités en ligne. Cela pourrait être OpenBSD (enregistrement préalable requis).
A snide answer is OpenBSD, which has an exemplary record with respect to security. But let's stick to the two most broadly used platforms in IT today.
Microsoft's hired analysts claim that Windows is more secure than Linux. Should we believe them?"
because it takes a "tough love" approach; when it spots a virus on a computer, it automatically blocks that machine, "blackholing" the user, and notifies Grant... "The Airlok has the best firewall I have ever seen," says Grant, who believes the product could even change the Web itself. "Imagine if Comcast or other ISPs started using Airloks. If someone got a virus, the system would just shut that person down before it could spread. This could make hackers obsolete."Ca releve un peu de l'hyperbole, mais le produit semble bon, et sert d'exemple à ce qu'on peut faire avec OpenBSD.
There's lots of open-source software out there that no one has analyzed and is no more secure than all the closed-source products that no one has analyzed. But then there are things like Linux, Apache or OpenBSD that get a lot of analysis. When open-source code is properly analyzed, there's nothing better.
Just as brilliant scientists are capable of making spelling mistakes, brilliant coders can also make fatal mistakes in their software perhaps because writing good software is both a science and an art.Puis il cite Theo :
"Also, more people in the coding community are writing code, while fewer are reading or auditing code."
On peut aussi trouver cet article en ligne à l'adresse suivante :
Puis sur quelques sites, l'histoire se modifie. Un porte-parole du DARPA est cité : "Nous sommes désolés que ce changement de position apparaisse ainsi sur plusieurs sites d'information et qu'il soit interprété comme un effort pour supprimer l'effort de développement" (si ce n'est pas une annulation, alors pourquoi Mark West de l'UPENN a téléphoné à Hyatt Calgary pour annuler toutes les réservations, avant même qu'OpenBSD ne soit informé de cette décision par Jonathan Smith dont le courrier électronique indique que "Penn a été contacté par l'Air Force et QU'AUCUN COUT SUPPLEMENTAIRE NE SERA DESORMAIS COUVERT, effectif aujourd'hui, 17 avril 2003" et "tous les sous-contrats sont annulés, A COMPTER D'AUJOURD'HUI" et que "Penn doit mettre un terme immédiat aux contrats et obligations tels que le réservations aux Hyatt et les frais de déplacements. Mark, veuillez suivre ces instructions aussi tôt que possible afin de satisfaire nos engagements vis-à-vis du gouvernement". Les articles qui suivent ont repris les "informations" propagées, d'autres continuant sur l'ancienne histoire :
Note: les matériaux en relation avec le projet POSSE sont en miroir ici
"Smith et les membres de Penn, l'équipe de développement du consortium OpenBSD, la fondation Apache Software et le groupe OpenSSL proposent d'utiliser le modèle du développement open source où les programmeurs partagent leurs avancées de manière ouverte afin de développer de meilleures fonctionnalités de sécurité au sein des ordinateurs, et pas seulement ceux développés pour les militaires ou les organisations recherchant un haut niveau de sécurité. Le gouvernement pourra alors en bénéficier en utilisant des machines de meilleur prix, standardisées tout en conservant un bon niveau de sécurité".
vi et le shell "C Shell" retenu par défaut, il donne un bon
avis d'OpenBSD et de son installation par disquette par réseau, le
mécanisme d'étude du système, le filtrage IP et le NAT (translation
d'adresses).
make disponibles, et il souligne
également le mécanisme "fake" d'OpenBSD qui permet de créer des
paquetages que l'on peut distribuer facilement tout en conservant une
capacité d'utilisation de ces derniers au sein des ports.
fuzz, un outil qui teste les lignes de commande
avec l'injection d'arguments générés aléatoirement. Le principal
développeur du projet OpenBSD, Theo de Raadt, l'a utilisé sous OpenBSD
et a découvert des erreurs de traitement des arguments dans plus d'une
dizaine de commandes, bien qu'aucune ne soit liée à des fonctions de
sécurité au sein du système d'exploitation. L'article reprend l'envoi de
Theo et ses commentaires. Bien que l'exercice soit intéressant, l'outil
en fait que montrer les zones à regarder de plus près mais ce n'est en
aucun cas un substitut possible à l'audit du code source.
Connected to spanweb.glasgowky.com.
Escape character is
'^]'.
OpenBSD/mac68k (spanweb.glasgow- ky.com) (ttyp0)
www@openbsd.org