Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Affichage des résultats du sondage: L’introduction de faux bogues pour le renforcement de la sécurité d’une application ...

Votants
14. Vous ne pouvez pas participer à ce sondage.
  • est une méthode à explorer à fond par les industriels

    2 14,29%
  • n'a aucune chance de devenir un standard de l'industrie

    9 64,29%
  • Autres, à préciser

    3 21,43%
  1. #21
    Membre averti Avatar de KsassPeuk
    Homme Profil pro
    Post-Doctorant
    Inscrit en
    juillet 2013
    Messages
    98
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Post-Doctorant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 98
    Points : 416
    Points
    416

    Par défaut

    Citation Envoyé par Aurelien.Regat-Barrel Voir le message
    C'est dingue l’agressivité que déclenche ce papier... Ces sont juste des chercheurs qui font leur boulot d'explorer des pistes qui n'ont jamais été explorées jusqu'ici. Pour info il est là :
    https://arxiv.org/pdf/1808.00659.pdf
    J'ai pas de problème avec le fait de faire de la recherche et d'essayer de nouvelles idées. J'ai beaucoup plus de problèmes avec un papier qui n'est cité nulle part et où le seul bibtex qu'on peut avoir (sur arxiv) n'indique aucune conférence ou journal (et après avoir cherché ailleurs, il y a toujours aucune trace d'une conf/journal associé).

    Et d'un point de vue validité, j'ai aussi beaucoup de problèmes avec un papier qui indique pouvoir créer des bugs " provably (but not obviously) non-exploitable" ... justement sans fournir la moindre preuve. Il n'y a rien non plus qui évalue l'impact de ces bugs "inexploitables" sur l'exploitabilité des bugs qui pourraient se trouver dans l'application avant de commencer les injections.

    Citation Envoyé par Aurelien.Regat-Barrel Voir le message
    As-tu des outils à recommander ?
    Pour le C :

    • Frama-C
    • Infer static analyzer
    • Astrée
    • Polyspace
    • Verifast
    • Microsoft VCC


    Et après, on peut prendre du moins intégré et travailler un peu plus le problème à bras le corps, comme ce qui a été fait pour seL4 par exemple, ou ce qui est fait régulièrement à travers PVS Specification & Verification System, ou avec différents Model-Checkers, ou avec des assistants de preuve genre Isabelle ou Coq (pour les plus courageux).

  2. #22
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Cyber sécurité
    Inscrit en
    mai 2004
    Messages
    9 534
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Cyber sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 534
    Points : 28 221
    Points
    28 221

    Par défaut

    La vérification formelle, c'est encore autre chose, il faut l'impliquer dès le début du projet, sinon c'est extrèmement compliqué à ajouter après -- comme la sécurité d'ailleurs.

    Je reste persuadé, comme BufferBob, qu'un code sécurisé, clair, vérifié et validé reste la meilleure des protections. Néanmoins, il existe aussi des cas d'applications (fonctionels) qui ne sont pas courants et dans lesquels on pourrait avoir besoin d'autres pistes de sécurisation, pourquoi pas comme celle-ci. En effet, dans certains cas, les besoins peuvent nécessiter des fonctionalités qui ne sont pas applicables aux cas courant, et dans ce cas il est souvent intéressant d'avoir des pistes plus ou moins exotiques.
    Modérateur "C", "Informatique Générale & Hardware" et "Unix"
    Les règles du forum

  3. #23
    Invité
    Invité(e)

    Par défaut

    Celà voudrait dire que... Microsoft est visionnaire?


    J'aimerai quand même qu'on teste la performance d'un code rempli de leurres de ce type.
    Puisque tout code exécuté prend du temps et de l'énergie; pas sûre qu'une appli sécurisée de la sorte ne soit ni green, ni rapide à exécuter.

    Enfin on sait bien que l'idée d'un code performant est abandonné depuis belle lurette (il n'y a qu'à voir les langages à la mode maintenant )

  4. #24
    Membre habitué Avatar de pascaldm
    Profil pro
    Expert sécurité informatique
    Inscrit en
    février 2013
    Messages
    38
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert sécurité informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2013
    Messages : 38
    Points : 156
    Points
    156

    Par défaut

    Le papier du projet LAVA (Large-scale Automated Vulnerability Addition) mentionne qu'il ne produit que des buffers overflow. Cela est suffisant à un attaquant pour déclencher une attaque ROP (Return Oriented Programming) en écrasant l'adresse retour dans la pile par une ROP-chain. De plus, l'article nous informe que LAVA introduit des bugs non intentionnels concernant des pointeurs (déférencement de pointeur et use-after-free).
    A défaut de corriger le programme, LAVA rajoute des bugs volontaires ou non... Pour les supprimer, les chercheurs du projet LAVA ont dû utiliser des outils de détections de vulnérabilités puis ils ont supprimé ces vulns . Ne suffisait-il pas d'utiliser directement les outils de détection de vulns sans en introduire de nouvelles avec LAVA ?

    Aujourd'hui, les techniques de recherches de vulnérabilité sont automatisées, on utilise du fuzzing, du monitoring d'application, de l'instrumentation du binaire (ou du noyau de l'OS). On peut utiliser également de l'exécution symbolique avec MIASM (merci Serpi !) ou angr. Il suffit au chercheur de vulns de trouver un seul bug exploitable dans le code original (ou code LAVA ).

    LAVA ne supprime pas les bugs mais en ajoute (au pire sans le vouloir). En plus, il faut de toute façon faire une recherche de vulns classique après avoir utilisé LAVA...

    Le problème est qu'il faut bien justifier le travail réalisé et publier (sinon adieu les futurs budgets) même si au final cela n'est pas utile. Dure loi de la recherche académique.

  5. #25
    Membre confirmé
    Profil pro
    Ingénieur Syslog-ng
    Inscrit en
    juillet 2008
    Messages
    191
    Détails du profil
    Informations personnelles :
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur Syslog-ng

    Informations forums :
    Inscription : juillet 2008
    Messages : 191
    Points : 535
    Points
    535

    Par défaut Porte et pêne

    Citation Envoyé par Alvaten Voir le message
    C'est un peu le principe du pot de miel. Ca sert surtout à identifier les attaquants et pas à protéger directement son système.

    C'est un peu comme installer 10 fausses serrures sur une porte pour qu'un cambrioleur perde du temps à savoir laquelle fracturer. Je suis vraiment pas sur sur résultat, celui qui voudra entrer prendra le temps qu'il faut pour cela. Ca va faire une belle jambe à mes client de savoir que mon appli a été hacké par quelqu'un qui à mis 2 jours ou un mois à entrer. Peut être que ca va décourager certains, mais celui qui veut vraiment entrer y arrivera, sans compter que même si tous les attaquant se contente de 1 essai, il y a sur le nombre certains qui vont tomber dessus directement.
    J'adore cette analogie avec la porte. Ça s'est vu mainte et mainte fois, une porte avec 3 verrous différents, et les cambrioleurs s'attaquent aux charnières, voire à la cloison en placo à coté qui se découpe au cutter.

Discussions similaires

  1. Réponses: 0
    Dernier message: 07/03/2012, 17h30
  2. Réponses: 5
    Dernier message: 11/12/2009, 14h20
  3. Que faut-il pour une applic sur PC sans Acc
    Par rlejeune dans le forum Modélisation
    Réponses: 5
    Dernier message: 05/10/2009, 16h03
  4. [Kylix] Execution d'une application hors de l'edi
    Par Sadam Sivaller dans le forum EDI
    Réponses: 1
    Dernier message: 21/04/2002, 00h22
  5. Réponses: 2
    Dernier message: 15/04/2002, 13h56

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo