[Logo]
[Titre]

[Retour]

Archive for mars, 2013

Citation du jour

Jeudi, mars 28th, 2013

Qu’est ce qu’un intégriste ?

C’est quelqu’un qui n’a rien compris au monde qui l’entour et qui cherche désespérément à rendre universelle son ignorance.

Tuer l’ordinateur pour le sauver

Lundi, mars 18th, 2013

Je repose ici en partie une réflexion personnelle rédigée sur nebule : Tuer l’ordinateur pour le sauver – 2

Il est encore aujourd’hui difficile de dire quel est le principal problème dans l’architecture de nos systèmes d’information. Il est d’ailleurs fort probable que ce soit un cumul de plusieurs causes qui rendre l’ensemble du SI si difficile à sécuriser. La conséquence, c’est que nous avons bien du mal à endiguer des attaques toujours plus complexes et nombreuses malgré les moyens considérables que nous déployons. Ces moyens sont de plusieurs ordres : financiers, organisationnels, humains et technologiques.

Est-ce la façon qu’on nos machines de communiquer sur l’internet qui est à revoir ?
A cette question, il est très tentant de répondre oui. Il faut filtrer, segmenter. Si l’on bloque l’internet mondial en le fermant au niveau des frontières, on résoudra une grande partie des problèmes. Mais on ne résoudra pas vraiment les vraies causes de nos problèmes. Cela ne fera que réduire la portée des conséquences. Et, en faisant cet enclavement, je pense que l’on ne fait que repousser à plus tard la résolution de ces problèmes.
Il faut peut-être plus simplement revoir comment nos machines communiquent et modifier la pile réseau. Mais cela ne tient pas compte des autres moyens de communication comme les périphériques de stockage amovibles.

Est-ce l’architecture de nos machines qui est vulnérable ?
Les attaques sur le SI ont de multiples formes parce qu’elles ont autant de buts différents. Le réseau est rarement la cible d’une attaque, alors qu’un serveur est une cible de choix. Et le serveur est une cible exposée si il veut remplir son rôle : servir. Les attaques sur les serveurs sont toujours passées par les interfaces, les entrées/sorties. Mes ces attaques n’ont de raison d’être que parce que le serveur est un objet actif, interactif. Et cette activité siège avant tout dans le processeur.
Le processeur permet l’exécution du code des programmes et notamment le système d’exploitation. Tous les systèmes d’exploitations actuels ont un (ou plusieurs) compte ou pseudo compte super-administrateur, qu’il s’appelle root ou SYSTEM. Or, le processeur ne sait pas reconnaître un compte. Il se contente d’exécuter le système d’exploitation qui, lui, contient toute la logique d’exploitation des comptes et de séparation des privilèges. Qu’est ce qui garantie aujourd’hui l’intégrité de cette logique ? Pas grand chose. Les élévations de privilèges sont courantes suite à des attaques.
D’un autre côté, le système d’exploitation repose sur un ordonnanceur. Celui-ci permet de répartir le temps de calcul du processeur entre les différents programmes, et donc de faire du multitâches entre les applications. Mais le processeur lui-même est fondamentalement monotâche. Le processeur dispose aussi d’un mécanisme, le RING, mais les systèmes d’exploitation ne l’exploitent qu’à moitié. La séparation entre les différents programmes est de fait artificielle parce que logiciel, et donc faible.
On en arrive à une aberration conceptuelle. Le super-utilisateur a plus de pouvoir sur le système que l’utilisateur qui manipule ses données, ce qui est normal. Mais ce qui l’est moins, c’est qu’il a aussi plus de pouvoir sur les données de l’utilisateur que ce dernier. En l’état de la technologie actuelle, le problème de confidentialité est insoluble sauf à considérer que l’utilisateur est le super-utilisateur. Et c’est sans compter les élévations de privilèges.
Et dire qu’un utilisateur est super-utilisateur de son système est aujourd’hui reconnu comme une aberration. La boucle est bouclée.

Ajout de photos

Dimanche, mars 17th, 2013

Ajout d’un balade : 2013.01.20_Paris_sous_la_neige

Et des photos :

Ajout de photos

Dimanche, mars 17th, 2013

Cet hiver, on a eu de la chance à Paris, on a eu assez de neige :-)

Ajout d’une balade : 2013.01.18_Paris_sous_la_neige

Ajout de photos dans photo.starend.org :

   .  

Erreur C01 sur Samsung NaviBot SR8855

Samedi, mars 16th, 2013

Depuis quelques temps, j’avais une erreur C01 sur le robot aspirateur. C’est un Samsung NaviBot modèle SR 8855. Cette erreur arrive dans mon cas après une petite dizaines de secondes après le début du travail. En clair, le robot est inutilisable en l’état.

Les réponses sur les forums à ce problème sont assez nombreuses, variées et souvent incohérentes ou incomplètes.

J’ai pris enfin le temps dimanche dernier pour le démonter presque entièrement. Un des commentaires des forums parlait du code d’erreur. Ce serait due à un blocage de la brosse principale. Ça m’a permit de faire la corrélation avec une petite anomalie que j’avais déjà constaté. La brosse principale est enclenchée dans un embout carré, lui-même faisant partie d’une pièce rotative qui permet de transmettre le mouvement de rotation d’un moteur à la-dite brosse. Bien que tournant toujours, le roulement rudimentaire autour de la pièce rotative avait déjà visiblement surchauffé et fait légèrement fondre le plastique autour. Ce n’était pas bon signe… mais comme ça fonctionnait toujours à cette époque là… j’ai laissé faire.

Donc j’ai démonté le robot pour accéder à cette partie qui fait tourner la brosse. soyons clair tout de suite, il faut tout ouvrir. Un vrai chantier. Si on connaît l’intérieur, il n’est à priori nécessaire de démonter la plaque électronique du robot et sa vingtaine de petits connecteurs. Donc ce sera obligatoire pour la première fois que l’on y met les mains…

La conception mécanique générale est assez surprenante. Il y a des parties qui paraissent très bien conçues et d’autres qui sont clairement ficelées à l’arrache. Le chassie a une bonne base, mais il est clair que l’appareil n’est pas bien adapté à son milieu : proche du sol, le nez dans la poussière en permanence. Je dirais que le robot semble avoir subit une phase d’accélération de son développement pour répondre à des objectifs commerciaux et non qualitatifs. Bref, tout ça pour dire que, par exemple, certains éléments qui auraient dus être facilement accessible pour être nettoyés régulièrement obligent en fait le démontage complet de la machine à cette fin.

Après avoir enfin extrait la boite de transmission et le moteur, je peux voir ce qui s’y passe. Et c’est pas beau à voir. Une petite courroie de transmission pleine de graisse fait le lien entre le moteur et la pièce rotative dans laquelle s’insère la brosse.

De fines poussières ou des cheveux broyés au choix sont passés par le roulement pour se mélanger à la graisse. Le mix résultant est venu s’accumuler autour des parties en mouvement au point de les gêner, les écarter, d’augmenter le frottement et donc la températures de l’ensemble. Cela explique la surchauffe du roulement au point de faire fondre le plastique autour. Après nettoyage, il m’a fallu faire refondre un peu le plastique pour remettre en place le roulement.

Résultat, 400 euros de sauvés. Mais le malade, le robot, gardera définitivement des séquelles. Il faut déjà prévoir ses futures opérations…

WOW64 et le pâturage web

Dimanche, mars 3rd, 2013

Je regardais les logs du serveur web à la recherche de mon adresse IP pour un déboggage… m’attendant à voir de paisibles navigateurs sur le vaste pâturage de l’Internet. Et, horreur, qui est-donc ce vil WOW64 qui essaye de se logger aléatoirement sur mes blogs ???

La vermine est dénoncée par son user-agent assez visible. Pourtant il est officiel, au moins sous Windows, cf http://fr.wikipedia.org/wiki/User-Agent. Mais on est pas nombreux à prétendre pouvoir se connecter à ces blogs. Et on est presque tous sous Linux, alors un user-agent WOW64 apparenté à du Windows 64bits… c’est louche. Et surtout que ces tentatives surviennent toutes les 10 minutes en moyenne depuis des adresses IP presque toujours différentes.

La chaîne du user-agent : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0

Bref, solution radicale s’il en est, je décide de rejeter ce WOW64 sur le serveur. Certes je vais aussi bloquer des utilisateurs légitimes, mais ce ne sera que pour un temps. Le temps que ces connexions disparaissent…

Sous Apache, ajouter pour tous les sites visés les directives suivantes :

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} WOW64 [NC]
RewriteRule .* - [F,L]