Les bugs des processeurs des failles en puissance ?

erik.lallemand a écrit:

Ce que j'aime dans tes commentaires, c'est leur clarté, le degré de réflexion qui en transparait et le respect omniprésent qui en émane...

@Ariakas: Le Monsieur est ironique ici.... :jap:

comme si on avait pas remarqué que les pc c 'étaient des passoires

quinxstar a écrit:
comme si on avait pas remarqué que les pc c 'étaient des passoires

Tu connais beaucoup de systemes informatiques avec des CPU sans un seul bug toi ?

mais svp lisez les news et jusqu'au bout!...il ne s'agit pas de l'editeur de logiciel antivirus KASPERSKY mais de kris Kaspersky! on peut dire que c'est un petit genie de l'informatique(un programmeur),qui divulgue regulierement des failles de securité.Alors pour ceux qui ralent et qui pensent que les hackers viennent de decouvrir ce genre de faille,c'est navrant... on contraire on peut lui dire merci et m.... aux fabricants de processeurs... sur ce a+

[:paysan]

0ff a écrit:
Oui donc au final les clefs RSA publiques en clair dans nos PC (d'ailleurs il y en a plein dans la base de registres et dans les sous dossiers de \Document And Settings\) ou sur les CB c'est tout sauf dangereux.

Euh...
Gu0sur20 et moi parlons de clé privée depuis le début

Comment diable est-ce que je pourrais ignorer ce qu'est la crypto à clé asymétrique quand je sais décrire une timing attack sur le RSA ?

LittleMic a écrit:

0ff a écrit:
Oui donc au final les clefs RSA publiques en clair dans nos PC (d'ailleurs il y en a plein dans la base de registres et dans les sous dossiers de \Document And Settings\) ou sur les CB c'est tout sauf dangereux.

Euh...
Gu0sur20 et moi parlons de clé privée depuis le début

Comment diable est-ce que je pourrais ignorer ce qu'est la crypto à clé asymétrique quand je sais décrire une timing attack sur le RSA ?

+1

catseye a écrit:

quinxstar a écrit:
comme si on avait pas remarqué que les pc c 'étaient des passoires

Tu connais beaucoup de systemes informatiques avec des CPU sans un seul bug toi ?

les Acorn?
le BBC micro?
:paf:

et comme je l'explique longuement il n'y a pas de clef privée dans nos pc ni dans les programmes qui utilisent le RSA, ni dans les CB. Elles sont stockées sur des serveurs distants, mais comme nous fonctionnons en tant que clients je ne vois pas l'intérêt de toutes ces superbes attaques théoriques.

En parvenant à s'introduire sur ces serveurs là bien sûr ça change la donne.

Tout est résumé ici (et ça date de 2007) :

interstices.info...

Donc qui d'entre nous va aller s'introduire sur un serveur pour poser un processus espion ? Personne. Et quand bien même on aurait accès à un partage sur un serveur distant, tu crois que les admins vont te laisser installer et exécuter des softs inconnus ? S'ils sont compétents et sérieux ça n'arrivera jamais...
Edité le 16/07/2008 à 14:33

0ff a écrit:
et comme je l'explique longuement il n'y a pas de clef privée dans nos pc ni dans les programmes qui utilisent le RSA, ni dans les CB. Elles sont stockées sur des serveurs distants...

- on parlait d'attaque sur les serveurs depuis le début

- j'ai trouvé des clés privées sur ma machine qui n'est pourtant pas un serveur... dans le répertoire
C:\Users\[MonUser]\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-[...]42445225-1003
Tu devrais regarder la partie authentification cliente de SSL et la signature de document électronique

Mais tu peux sans doute aussi écrire 3 longues pages pour m'expliquer que j'ai du rêver... :-/

T'as de la doc ici :

technet2.microsoft.com...

Donc tu possèdes windows Vista ou Serveur 2008. Tu peux transformer ta machine en serveur Active Directory Light et utiliser le SSL pour crypter tes échanges avec les PC qui se connecteraient sur ton serveur. Elles te servent à rien ces fameuses clefs.

On en revient donc au cas du serveur.

et le fonctionnement intrinsèque du stockage des clefs ici :

msdn.microsoft.com...

To comply with common criteria (CC) requirements, the long-lived keys must be isolated so that they are never present in the application process. CNG currently supports the storage of asymmetric private keys by using the Microsoft software KSP that is included with Windows Server 2008 and Windows Vista and installed by default.

Key isolation is enabled by default in Windows Server 2008 and Windows Vista.

CNG stores the public portion of the stored key separately from the private portion.

Comme tu le vois donc, les clefs ne sont jamais utilisées par les applications et ce, grâce à un système complexe d'isolation de ces clefs.

Mais tout ça on s'en fout, car en tant que clients du moment qu'on n'a pas pénétré le serveur pour justement s'attaquer à ce processus d'isolation on peut pas faire grand chose.

Et puis avec un contrôle total d'une machine j'irai pas m'embêter à poser un processus espion pour récup tes clefs privées, j'irai directement les lire dans tes fichiers :ane:

...
On finit par converger ~_^

Mais je persiste (également) à te répéter qu'on trouve des clés privées UTILES sur une machine CLIENTE !

Tu peux m'expliquer comment j'ai signé ma déclaration d'impôt sans clé privée sur ma machine ? Je t'assure que la clé privée que j'ai utilisée se trouve dans ce répertoire.

Ou comment je me connecte à mon serveur VPN SSL ? ou à quoi sert le fichier id_rsa qui se trouve dans mon répertoire .ssh ?

C'est bizarre les classiques pro-AMD qui ont l'habitude de nous sortir de l'info de luxe en direct de the inquirer ou fudzilla n'interviennent pas sur ce sujet.
Pourtant, la démo se fait sur du intel core 2!
conference.hitb.org...
Ce qui ouvre à de nombreuses hypothèses intéressantes:
- AMD c'est mieux les bugs sont moins graves
- Le mec pour des raisons x ou y s'est penché sur le cas Intel. La démo étant les bugs dans les cpus en général, intel étant juste un exemple
- Le mec n'est peut-être pas si inconscient et il fait une démo sur des bugs qui ont déjà une solution bios.
:neutre:

Un autre point intéressant est que le gars veut au delà des malwares, parler des effets des bugs cpu sur l'endommagement des données sur les disques durs. Point qui n'est pas abordé dans la news clubic.

I will also share with the participants my experience in data recovery and how CPU bugs have actually contributed in damaging our hard drives without our knowledge.

Tu trolles en préventif?? [:shy]

hisvin a écrit:
Tu trolles en préventif?? [:shy]

Je suis démasqué :ane: