Sujet: DistrRTgen - Distributed Rainbow Table Generator

[[AF>Libristes] nico8313]

C'est l'utilisation de la bande passante que traite le server ????
C'est sur le graphique numéro 2  ici  ??

http://boinc.freerainbowtables.com/distrrtgen/graphs.php

EDIT:

[Jaehaerys Targaryen]

ok....

[[AF>Libristes] nico8313]

Ah mais non Poly !
Je te présente toutes mes confuses ! 
J'ai mis un point d’exclamation au lieu d'une interrogation.
C'était donc une question 

[[AF>Libristes] Dudumomo]

C'est l'utilisation de la bande passante que traite le server ????
C'est sur le graphique numéro 2  ici  ??

http://boinc.freerainbowtables.com/distrrtgen/graphs.php

EDIT:

A ne pas confondre avec le projet non CPU intensif qui analyse le reseau.
Le second graph correspond a l'utilisation de la bande passante liee a la reception et l'envoi d'unite BOINC par le serveur.

[jip]

Ben moi finalement, après réflexion, je me suis mis dessus (ça doit commencer à se voir un peu je pense ...).

En effet, ce qui me gênait c'était le coté "obligé" les dév à améliorer la sécurité.

Mais finalement je considère qu'il faut plutôt comprendre "pousser les dév à".

Et que malheureusement, il faut souvent que les failles soient visibles, démontrables et vérifiable pour que ça bouge ...

car là, vu la transparence, les dév pourront aussi et surtout vérifier les risques par eux-même ... et ce que ce soit des pros de grosses boites ou des petits indépendants amateurs (notamment ceux du libre ...) ...

après il y aura toujours le risque du détournement de ces outils par des malveillants. mais ça c'est le cas de tous les outils du domaine de la sécurité, même les officiels reconnus et autorisés ...

je pense qu'effectivement, tout comme la recherche de nombres premiers pour le chiffrage, les tables générées par ce projet sont à l'autre bout de la sécurité, afin de vérifier la validité des protections.

De plus, en général les vrais "cracker" ne cherche pas à étaler les failles sur la place publique, pour pouvoir les exploiter tranquillement sans qu'elles soient comblées. Et ça circule plutôt sous le manteau, sur des sites dans l'ombre ...

Or là, ils cherchent à rendre les choses visibles par tous et notamment les concepteurs.



Donc, compte tenu de l'aspect très transparent du projet, je proposerais bien de le sortir des "déconseillés",

même si je sais bien que ça va se heurter à la réticence de tous ceux qui pense qu'au contraire tout ceci doit rester caché, discret et réservé aux "pros" qui se préoccupent tellement, prioritairement et exclusivement à notre bien informatique (ça doit être pour ça que sony a assurer comme une bête du coté de la sécurité en stockant des données en clair et n'avait aucun responsable de la sécurité jusqu'à ce que des "hackers" démontrent cet état de fait et l'étale en place publique. et on doit pourvoir trouver d'autres exemples comme ça ...) et à la protection de nos données personnelles (ça doit être pour ça qu'il n'a pas été nécessaire de créer des lois dans ce domaine, et qu'on a pas eu besoin de créer une instance de surveillance qu'on aurait pu nommer la CNIL par exemple ...  puisque les "pros" veillent à tous cela ... ) ...

Un autre exemple au hasard de la bienveillance des "pros" envers nous : http://www.lemonde.fr/technologies/article/2009/07/22/amazon-jette-1984-dans-le-trou-de-memoire_1221324_651865.html ... c'est mieux les "pros" qui considèrent que nos disques sont à leur disposition quelle qu'en soit la raison ?????  en tous cas ça démontre quand même un peu qu'une des principale faille de sécurité c'est les logiciels "proprio" et opaque que nous utilisons, non ?

[Ryzen]

ca serait une bonne question pour la CAA non?

[jip]

ca serait une bonne question pour la CAA non?

ben habituellement, on débattait ça directement dans le topic du projet concerné. comme là.

mais si la CàA veut se saisir de la question pourquoi pas ...

mais je n'ai pas souvenir que ça ait été dans ses attributions ...  ... mais rien n'est figé je pense ... à voir ...

[Ryzen]

je t’avouerais que je sais pas comment ça se passe, c'est juste une idée.

Etant donné que la CAA est censé représenté les l'AF, ça serait peut être intéressant de passer par elle.

Ce qui me pose juste problème c'est que si on fait ça sur ce sujet, cela n'a aucune visibilité. Seul ceux intéressés par le projet voterons.

Et un projet déconseillé par l'AF est quand même une décision qui doit se prendre avec un certain poids. Il serait logique que les instances de l'alliance prennent position sur le sujet.

Après au niveau du sujet pur de déconseillé ou non le projet, moi qui n'y connait rien en informatique et en hackage, ça me parait bizarre, même s'il y a une bonne transparence , de calculer pour des projets dans ce genre qui en plus surcréditent.

Je trouve ça "dangereux" que l'AF puisse suivre ce genre de projet qui touche au hack. Après c'est mon avis personnel.

[jip]

le hack, c'est un peu la base de ce qu'est l'informatique aujourd'hui ... comme je l'ai déjà dit, bien faire la différence entre les hackers et les crackers ....

beaucoup des grands personnages actuels dans ce domaine, étaient de petits étudiants boutonneux, et hackers à 5 gus dans leur garage ....

et ça a donné, apple, microsoft, google, etc .... mais ça c'est juste ceux qui en plus avaient la fibre commerciale ....

les autres sont restés dans l'ombre, et sont connus d'une minorité, voire pas du tout ...

[Ryzen]

Comme partout il y a des "gentils et des "méchants" ça je le comprends bien après c'est juste que ok il y a de la transparence, ce qui est positif, mais bon le but est quand même pas super clean je trouve.

[jip]

ben c'est un peu comme l'incitation à passer du wep, au wpa, puis au wpa2, pour le wifi ... si beaucoup n'avaient pas constater la relative facilité à casser le wep, aurait-on aujourd'hui le wpa2 presque partout ???

j'ai un peu l'impression que c'est ce type de stratégie qu'ils ont adopté.

en gros l'incitation, par la démonstration, que c'est insuffisant, et qu'il faut faire mieux ..

non ?

[Ryzen]

oui je comprends bien mais est ce qu'ils ont besoin de nous pour savoir ça?? en sachant que toutes les institutions plus ou moins importantes se font pirater de plus en plus souvent. J'espère pour eux qu'ils ont comprit que la sécurité sur internet était tjrs en évolution et qu'il fallait si possible être en avance sur les pirates. (chose compliquée je pense au vu de l’évolution rapide et immaitrisée du web).

C'est dans ce sens là, je comprends que ça puisse servir si c'est bien utilisé mais on n'en est pas sur et mettre ce projet déconseillé par l'AF (et je dis bien l'AF, si il y a des personnes qui veulent cruncher dessus personne ne va les en empêcher) serait plutôt dans un principe de précaution.

[jip]

oui, enfin, selon le principe de précaution, certains te dirait qu'il ne faut pas cruncher sur des projets bio, car ça finit juste par engraisser les labos pharmaceutiques ... ou pas de recherche sur l'adn pour pas aider monsanto à faire du fric ... etc ...

mais bon, malgré tout je conçois et comprends tes réticences ...

[Ryzen]

oui, enfin, selon le principe de précaution, certains te dirait qu'il ne faut pas cruncher sur des projets bio, car ça finit juste par engraisser les labos pharmaceutiques ... ou pas de recherche sur l'adn pour pas aider monsanto à faire du fric ... etc ...

Tu as tout à fait raison, on ne sait jamais sur quoi on crunch réellement, et c'est sur qu'à un moment ou à un autre les résultats des projets bio ou physiques auront des retombées commerciales c'est obligatoire. Dans notre système on ne peut pas créer un médicament sans chercheurs et sans unités de production et sans réseau de commercialisation,il faut qu'il y ait des retombées derrières. Après si on arrive à trouver des médicaments contre telle ou telle maladies grâce aux calcul j'en serait très content même si malheureusement il y a de grande chance que les bénéfices pécuniers se retrouvent dans les mains des labos, on pourra au moins dire que cela sert aussi à l'être humain.

Concernant la mise du projet en déconseillé ou non, il serait justement peut être intéressant d'avoir une procédure simple au niveau de l'AF pour gérer ce genre de chose.

[RLDF]

Juste une remarque, les projets déconseillés ne le sont que pour l'AF, ils sont au FB s'ils respectent les conditions du FB
les grosses équipes n'ont vraiment pas l'air de bouder ce projet :








et nous :


personnellement, je ne me suis pas inscrit dessus, il ne m'intéresse pas mais c'est un risque de laisser 25 point FB d'avance à SG par exemple 

[Infomat]

Et la stratégie de ce projet pourrait bien faire l'objet d'un interview de l'admin ou autre de ce projet par les journalistes, non ???

[[AF>Libristes] Dudumomo]

En dehors du fait que les autres equipes n'ont pas l'air de bouder le projet (Critere qui ne peut rentrer en compte en fait), je viens encore de voir un peu les news sur leur forum.
Ils prennent de bonne decisions je trouve. Ils ont des soucis avec leur serveur (I/O trop eleve, ils attendent le nouveau serveur), il font pas mal de bonne chose pour limiter la casse. (Maintenance de nuit pour ameliorer quelques tables MySQL, limitation de la monte en charge pour ne pas mettre a genou le serveur, etc...)

Leur communication est bonne, claire et me semble tres transparente.
Ils ne proposent aucun service obscur (Type crackage de mot de passe pour XXX euros, etc..), il s'agit vraiment d'un projet scientifique sur l'amelioration des techniques de securite en prouvant l'inefficacite de celles actuelles.

Je suis d'accord avec Jip sur le point du crackage WEP. Si cela n'aurait pas ete aussi simple et aussi mis en avant, nous n'aurions jamais eu le WPA2.
Il vaut mieux qu'une faiblesse dans un type de securite soit expose et mis en avant a tout le monde que cela reste cacher, opaque, etc...
(Sony est un bon exemple, mais aussi TMG avec son defaut de securisation etc....). Bref, la transparence n'a jamais vraiment nuit dans la securite.

Donc le debat sur la nature du projet est plutot axe sur son but uniquement.
Creer des tables de hash complexes et performantes pour cracker les mots de passe MD5 et demontrer son inefficacite est il une bonne solution pour ameliorer la securite ?

Pour ma part, ma reponse est simple:
Cracker des mots de passe pour casser des securite, je dis NON
Cracker des mots de passe pour prouver l'insecurite du systeme (Surtout qu'on se sert enormement du MD5) ET QU'ON PROPOSE D'AUTRES PISTES POUR AMELIORER LA SECURITE, je dis OUI !

Je vais contacter un des admins pour avoir plus d'info.
EDIT: Message poste.
En revanche, en reflechissant un peu plus au MD5,
Il s'avere que c'est une technologie qui a deja fait couler pas mal d'encre.
Selon wikipedia, en 1996, une faille importante a ete trouve (possibilité de créer des collisions à la demande) et il etait fort recommande d'utiliser un algo plus securise comme le SHA-1.
En 2004, une equipe chinoise a carrement casse le MD5 (Collisions completes).

Il est donc certains que ce probleme n'est pas recent, alors que d'autres alternatives sont deja possible. Le SHA-1 est tout de meme assez vieux, mais le SHA-2 est bien plus robuste. De puis, une competition internationale pour le SHA-3 est en cours depuis quelques annees, les resultats seront pour 2012 normalement. Le MD6 est dispo mais ne semble pas tres populaire en revanche.

Clairement, ca me fait pense au WEP/WPA et WPA2 il y a quelques annees. On utilise encore en masse une vieille technologie qui n'a plus lieu d'etre alors que d'autres sont deja prete. Seulement, il n'y a encore aucune volonte pour changer.
Il y a quelques annees le nombre de point d'acces WEP etaient enorme, maintenant le WPA et WPA2 a largement pris le dessus, au plus grand bonheur de tous (En attendant mieux)

Le projet est claire, transparent et les admins de bonne foi.
Le but du projet est important, utile et profitera a tous, surtout que la releve est deja prete. Il faut seulement pousser les dev a changer leurs habitudes.

Bref, pour moi, ce projet n'a plus lieu d'etre en non-recommande.

[kasur]

Salut,

je suis completement perdu surement car je ne comprend pas ce que sont ces "tables".
Pouvez vous me dire si il casse des protections réelles sans l'autorisation de leur proprio?
Car rien n'empeche de créer un wifi ou un cryptage sans aucunes données derrière et de le casser pour montrer la vulnaribilité du système.

[RLDF]

Salut,

je suis completement perdu surement car je ne comprend pas ce que sont ces "tables".
Pouvez vous me dire si il casse des protections réelles sans l'autorisation de leur proprio?
Car rien n'empeche de créer un wifi ou un cryptage sans aucunes données derrière et de le casser pour montrer la vulnaribilité du système.

La grande question, en fait, est de savoir si l'admin est un black-hat ou un white-hat ...

[kasur]

Il est hébergé dans un pays connu pour sa tolérance envers les pirates?

[jip]

http://geo.flagfox.net/?ip=192.80.49.45&host=boinc.freerainbowtables.com

http://whois.domaintools.com/freerainbowtables.com

[Jaehaerys Targaryen]

Site américain, mais le domaine à un australien et l'organisation à un Danois ?!

[samuel debergh]

quelqun fait ce projet en cpu? si oui combien de points ? merci d'avance.

[[AF>Libristes] Guepi]

Je vais réagir sur le principe des Rainbow Tables.

Ces Rainbow Tables sont des tables qui permettent de trouver le mot de passe en clair d'un mot de passe crypté.
Exemple : le mot de passe de ma session Windows est : azerty
Windows stocke ses mots de passe avec l'algorithme NTLM (qui, je crois, conserve le nombre de caractères), ce qui -supposons- donne 5%Tx3-

Le pirate (ou le virus) qui a accès au fichier des mots de passe de votre ordinateur trouve ce mot de passe : 5%Tx3-
Il questionne la Rainbow Table qu'il a chargé en mémoire et obtient presque immédiatement le mot de passe en clair : azerty.
Il a maintenant un accès total à votre machine !

Cela sert, certes, à démontrer les faiblesses de ce mode de cryptage des mots de passe, mais aussi et surtout à des gens mal intentionnés.
Le principe de mettre ces tables en téléchargement libre me laisse à penser que l'admin du projet fait ça de manière sincère, sans intention d'en tirer un quelconque bénéfice et serait donc plus un White-Hat hacker.

Personnellement, je ne suis pas pour retirer ce projet des projets déconseillés, simplement parce que la majorité du parc des ordinateurs est sous Windows, que la majorité des utilisateurs de Windows ne sait même pas ce qu'un mot de passe sécurisé veut dire et que ce faisant, si on laisse à disposition de n'importe quel script-kiddie un accès à ces rainbow tables, il aura vite fait de générer un nouveau virus venant grossir le rang des virus et de remplir nos boîtes mails de pourriels.
On a bien vu ce que Microsoft fait pour lutter contre le piratage de ses systèmes d'exploitation ... pas grand chose d'efficace. C'est aussi ce qui contribue au succès de leur système.
Alors imaginons que Microsoft décide de sécuriser *vraiment* ses systèmes d'exploitation ... ça n'arrivera jamais. Même en démontrant par A + B que leur sécurité est pourrie.

EDIT : Correction de "mot de cryptage" en "mode de cryptage"

[Jaehaerys Targaryen]

Merci pour tes précisions....