Michel A's troll blog

[en] a portscanner killer

2011-04-06T20:46:00.004+02:00

Here is a small tool I wrote a while ago: ipqRST
To use it, rewrite your iptables rules and replace -j DROP or -j REJECT on closed ports by -j QUEUE and make sure that you run ipqRST2.pl as root somewhere (screen or nohup will help you).
Do not use it on open ports as you might disrupt your applications or open holes in your filtering policy!

How it works: when packets are received, the tool delays them a little before letting them go. Little by little, the RTT between the scanner and the target seems to increase.
It severely disrupts several known portscanners which slow down to a crawl.
Nessus is immune to that, by the way...

You should not use this toy in production. Firewalls that return rate limited ICMP packets are already very efficient against portscanners . i.e. you should prefer iptables -j REJECT to iptables -j DROP

Ordinateur fou

2011-01-26T12:53:00.014+01:00

Simplicime, anciennement Débitel, était un opérateur téléphonique de bon goût: un poil moins cher que les trois grands, mais surtout, leurs contrats étaient compréhensibles. Je n'ai pas signé avec mon sang un engagement de 42 ans, je ne leur sacrifierai pas mon premier né, et je n'ai pas eu à vendre mon âme pour envoyer une demie douzaine SMS par mois.
Et puis, début 2010, ils ont eu la mauvaise idée de changer de système informatique qui fonctionnait jusqu'alors. "If it ain't broken, don't fix it". À partir de ce moment là, le service commercial est parti en vrille.
J'ai commencé à recevoir des relances pour une facture impayée "de euros", et puis, comme je n'ai pas envoyé un chèque vide, j'ai reçu une mise en demeure avec inscription au GIE Préventel (le genre de truc dont on sort très difficilement). Allez savoir pourquoi, ça ne m'a pas fait rire et je me suis fendu d'un mel assassin au service commercial leur conseillant vivement de mettre ce logiciel de daube sur le trottoir avant qu'il coule leur boite. Je n'ai jamais eu de réponse mais le système est retombé en marche. Aurait-il écouté mes suggestions?

[en] Watchdog on Jetway NC9C-550-LF mobo

2010-12-05T01:15:00.003+01:00

A watchdog is available on the Jetway NC9C-550-LF mini-ITX motherboard. It is managed by the super IO chip, which appears to be a Fintech F71869.
Linux 2.6.36 has support for some Fintech watchdogs. This small patch adds the F71869.


--- ./drivers/watchdog/f71808e_wdt.c 2010-10-20 22:30:22.000000000 +0200
+++ /tmp/f71808e_wdt.c 2010-12-05 01:19:48.819567802 +0100
@@ -52,6 +52,8 @@
 #define SIO_F71882_ID  0x0541 /* Chipset ID */
 #define SIO_F71889_ID  0x0723 /* Chipset ID */
 
+#define SIO_F71869_ID  0x0814
+
 #define F71882FG_REG_START  0x01
 
 #define F71808FG_REG_WDO_CONF  0xf0
@@ -98,7 +100,7 @@
 MODULE_PARM_DESC(start_withtimeout, "Start watchdog timer on module load with"
  " given initial timeout. Zero (default) disables this feature.");
 
-enum chips { f71808fg, f71858fg, f71862fg, f71882fg, f71889fg };
+enum chips { f71808fg, f71858fg, f71862fg, f71882fg, f71889fg, f71869 };
 
 static const char *f71808e_names[] = {
  "f71808fg",
@@ -106,6 +108,7 @@
  "f71862fg",
  "f71882fg",
  "f71889fg",
+ "f71869",
 };
 
 /* Super-I/O Function prototypes */
@@ -308,6 +311,10 @@
   superio_set_bit(watchdog.sioaddr, 0x29, 1);
   break;
 
+ case f71869:
+  /* GPIO14 --> WDTRST# */
+  superio_clear_bit(watchdog.sioaddr, 0x29, 4);
+  break;
  default:
   /*
    * 'default' label to shut up the compiler and catch
@@ -708,6 +715,9 @@
  case SIO_F71882_ID:
   watchdog.type = f71882fg;
   break;
+ case SIO_F71869_ID:
+  watchdog.type = f71869;
+  break;
  case SIO_F71862_ID:
  case SIO_F71889_ID:
   /* These have a watchdog, though it isn't implemented (yet). */

[en] Nessus "local checks" for Cisco IOS

2010-09-01T10:10:00.002+02:00

Parsing the advisories in HTML was a huge pain in the back, but we have the scripts, at last.

[en] new web app application tests

2010-07-26T23:21:00.003+02:00

New web application tests for Nessus:

on site request forgery
malicious redirections
Injectable parameters (this is a weakness only)

Quicker tests based upon the result of torture_cgi_injectable_param.nasl:

Cross site scripting
Cookie manipulation
Header injections

[en] nmap on a multihomed machine with "Linux advanced routing" -> fail

2010-06-19T18:33:00.006+02:00

# nmap -sS scanme.insecure.org

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-19 18:34 CEST
nexthost: failed to determine route to scanme.insecure.org (64.13.134.52)
QUITTING!
# nmap -sT scanme.insecure.org

Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-19 18:34 CEST
nexthost: failed to determine route to scanme.insecure.org (64.13.134.52)
QUITTING!
# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.4.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.4.0 192.168.4.2 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
81.57.108.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
#

Vodafone Greece "Mobile Broadband on Demand"

2010-05-14T16:15:00.005+02:00

Vodafone sells USB keys with a 10 days "unlimited" 3G access (fair use 10 GB).You'll have only GPRS in remote locations (like small islands).
Linux is unsupported, officially.
On my Gentoo, the key was recognized by the system and I did not even have to configure usb_modeswitch. Just in case, this cannot hurt:

in /etc/usb_modeswitch.conf

# Vodafone Mobile
DefaultVendor= 0x19d2
DefaultProduct= 0x2000
TargetVendor= 0x19d2
TargetProduct= 0x0063
MessageEndpoint=0x01
MessageContent="5553424308E0CC852400000080000C85000000240000000000000000000000"

in /etc/udev/rules.d/91-usb_modeswitch.rules

# Vodafone Mobile
SUBSYSTEMS=="usb", ATTRS{idVendor}=="19d2", ATTRS{idProduct}=="2000", RUN+="/usr/sbin/usb_modeswitch"

All you need is the PAN. I googled for it and found "internet" or "internet.vodafone.gr". None of them work.
The right PAN is web.session in fact. No username/password.

The key behavior is erratic, even under Windows. Once, I had to unplug it half a dozen times before it worked. I do not know which is responsible, of the phone network or the hardware.

[en] New Nessus web app tests

2010-05-03T17:53:00.004+02:00

Four new web application tests:

[en] HMAP

2010-03-02T20:01:00.003+01:00

HMAP is an HTTP fingerprinting tool that was written by Dustin Lee.
I slightly changed hmap.py (it raised an exception if the Server field was void) and collected several new signatures.
http://michel.arboi.free.fr/download/hmap.tar.gz

[en] SQL injection test

2009-12-14T23:07:00.004+01:00

Another blind SQL injector for Nessus.
It implements an old technique, but it may still be useful.
Unfortunately, it is limited to MS SQL, not too old MySQL, and very new PostgreSQL.

[en] Yet another Mantis XSS

2009-11-30T18:13:00.004+01:00

http://HOST/mantis/view_all_bug_page.php?tag_string=%3C/td%3E%3Cscript%3Ealert%2842%29;%3C/script%3E%3Ctd%3E

Found by Nessus torture_cgi_cross_site_scripting.nasl, again...

[en] Nessus: 1 / Mantis: 0

2009-11-15T20:21:00.002+01:00

torture_cgi_cross_site_scripting.nasl found that against Mantis 1.1.8:
http://HOST//mantis/view_filters_page.php?target_field=%22%3C/script%3E%3Cscript%3Ealert%2842%29;%3C/script%3E

[fr] Nmap 5.0 est sorti

2009-07-27T15:41:00.002+02:00

Je suis embêté: cette carte mère ne sait gérer que 4 Go de RAM. Comment faire?

Rouge: RAM en Ko (RSS)
Bleu: mémoire virtuelle en Ko (MEM)
Le temps est en secondes.

[en] nmap 5.0 is out

2009-07-27T15:06:00.004+02:00

Looks like it slightly leaks memory .
Here it is on a 64 bits system with 4 GB of RAM.
Red: real memory in KB (RSS)
Blue: virtual memory in KB (MEM)
Time is in seconds.

[en] webmasters, tonight, ye dine in hell!

2009-06-20T01:07:00.005+02:00

An updated plugin feed has successfuly been pushed.
Serial : 200906191634
Changes :

P DDI_Directory_Scanner.nasl
U display_http_cookies.nasl
P find_service.nasl
U http_audit_settings.nasl
P open_nntp_server.nasl
P opera_925.nasl
P os_fingerprint_http.nasl
U pci_compliance.nbin
U pci_compliance_test_req.nbin
P scan_info.nasl
P sql_injection.nasl
P tomcat_error_version.nasl
U torture_cgi.inc
U torture_cgi_command_exec.nasl
U torture_cgi_cross_site_scripting.nasl
U torture_cgi_directory_traversal.nasl
U torture_cgi_header_injection.nasl
U torture_cgi_remote_file_inclusion.nasl
U torture_cgi_timeout.nasl
P torturecgis.nasl
U web_app_test_settings.nasl
P webmirror.nasl
P websphere_6_1_0_25.nasl
P www_too_long_cookie.nasl
P www_too_long_header.nasl

The old torturecgis.nasl has been deprecated and replaced by torture_cgi_*.nasl.
As far as I know, the new scripts are more efficient, especially the XSS detector.

Nessus forum
Tenable blog

[en] Calling Nikto from Nessus

2009-05-04T19:10:00.000+02:00

Nikto is a small and fast web scanner written by Sullo. It is based on RFP's LibWhisker.
The nikto.nasl plugin can call it from Nessus. I updated it four months ago to support Nikto2.
The latest Nikto version is 2.02 and it "works for me" with the standard distribution.

Several Nessus users have reported problems running the plugin. Here are the critical points:

First you need to run the Nessus daemon on Unix. nikto.nasl will not run on Nessus for Windows.
nikto.pl has to be found in $PATH when nessusd is run, i.e. when the plugins are compiled and when the daemon is started. Nessus does not look for any other command name (nikto, nikto.sh, etc.) that may be installed by any distro-tuned package.
The file (under /opt/nessus/lib/nessus/plugins) is nikto.nasl, the script ID is 14260, the name is "Nikto (NASL wrapper)", you should find in the "CGI abuses" family. If you do not see it, fix your $PATH, make sure that nikto.pl is executable, rerun nessusd -R and restart the daemon.
A good place to set up $PATH is your Nessus start-up script; try /etc/init.d/nessusd or /etc/init.d/rc
Some people/distros install nikto.pl into a specific directory like /opt/nikto-2.02/ and add a link /usr/local/bin/nikto.pl. This will not work as you need to go into the Nikto directory before launching the command; otherwise, Nikto will not find its data files. Nessus does not read the link and would chdir to /usr/local/bin instead of /opt/nikto-2.02.
If the plugin is listed, it is run (according to /opt/nessus/var/nessus/nessusd.messages) but it does not produce any output, you may well be in this bad configuration.
Either remove the link or make sure that /opt/nikto-2.02 appears before /usr/local/bin in $PATH.
Last but not least, nikto.nasl is disabled by default. You'll have to change its preferences (if you are running NessusClient3, edit your policy, click on the "Advanced" tab and select "Nikto (NASL wrapper)"). Change "Enable Nikto" from "no" to "yes".

This installation sequence should work:
cd /opt
tar jxvf ..../nikto-2.02.tar.bz2
# This will create a nikto-2.02 directory
# make sure that /opt/nikto-2.02/nikto.pl exists and is executable
PATH=/opt/nikto-2.02:$PATH; export PATH
nessusd -R
killall nessusd # if necessary
nessusd -D # add other options if necessary

The plugin automatically selects some options, like SSL support or virtual host name (which is supported by HTTP/1.1 only). It will not run against web server that do not send back a 404 code on non existent pages, because Nikto is prone to verbose false alerts in that case.
I did not play with all options, some of them may be broken or incompatible with Nessus. Feel free to e-mail me if you find such cases.

DNS... WTF?

2009-01-17T14:00:00.004+01:00

Jan 17 13:53:33 [named] client 69.50.142.11#8500: query (cache) './NS/IN' denied
Jan 17 13:53:34 [named] client 69.50.142.11#62054: query (cache) './NS/IN' denied
Jan 17 13:53:34 [named] client 69.50.142.11#50405: query (cache) './NS/IN' denied
Jan 17 13:53:37 [named] client 69.50.142.11#38682: query (cache) './NS/IN' denied
Jan 17 13:53:39 [named] client 69.50.142.11#47266: query (cache) './NS/IN' denied

# bzgrep -l "client 69.50.142.11#" log-2009-*.bz2
log-2009-01-08-14:01:54.bz2
log-2009-01-16-20:01:54.bz2
log-2009-01-16-23:01:42.bz2
log-2009-01-17-02:01:49.bz2
log-2009-01-17-05:01:55.bz2
log-2009-01-17-08:01:50.bz2
log-2009-01-17-11:01:04.bz2
# bzgrep "client 69.50.142.11#" log-2009-*.bz2 | wc -l
33464
#

Update
I got a quick answer from their hosting company. According to them, the source IP is fake and this is a DOS.
Rather lame, IMHO: a DNS answer is small. If the cracker can fake the source IP, he can directly flood the victim with more data than my DNS server...

[fr] le lièvre, la tortue et le portscanner

2008-08-23T17:48:00.006+02:00

Je loue depuis peu un petit serveur disposant d'une connexion à 100 Mb/s sur Internet. J'ai scanné ma connexion ADSL depuis la bête. Le RTT fluctue entre 35 et 70 ms environ.
nessus_tcp_scanner: 15 ports ouverts, 1 port rejeté, 3 ports silencieux, 65516 ports fermés. Tout ça en 101 s.
nmap v4.53, aggressive timing (-T 4): 15 ports ouverts,4 ports filtrés, 65516 ports fermés. En 658 s.
Répétez après moi: "nmap est le meilleur scanner du marché".

[fr] Chi va piano va sano et va lontano

2008-08-04T21:29:00.005+02:00

Dimanche, en sirotant mon café matinal, je mets à jour l'arbre des portages Gentoo et je suis étonné de voir passer une mise à jour de BIND, alors que je crois vaguement me souvenir d'en avoir vu passer une ultra-importante (bien qu'ultra-secrète et totalement obfusquée <grin>) peu de temps auparavant. Mon café fini et mon cerveau plus en marche, ça se confirme: bind 9.4.2_p2 veut s'installer sur mes pingouins.
Allons donc chercher le Changelog du monstre.
Pour la 9.4.2_p1, c'est vite vu:

2375. [security] Fully randomize UDP query ports to improve forgery resilience. [RT #17949]

Simple, net, et même sans café, j'arrive à m'en souvenir tellement j'en ai entendu parler.
Pour la 9.4.2_p2, accrochez-vous!

2406. [bug] Some operating systems have FD_SETSIZE set to a low value by default, which can cause resource exhaustion when many simultaneous connections are open. Linux in particular makes it difficult to increase this value. To use more sockets with select(), set ISC_SOCKET_FDSETSIZE. Example:
STD_CDEFINES="-DISC_SOCKET_FDSETSIZE=4096" ./configure
(This should not be necessary in most cases, and never for an authoritative-only server.) [RT #18328]
2404. [port] hpux: files unlimited support.
2403. [bug] TSIG context leak. [RT #18341]
2402. [port] Support Solaris 2.11 and over. [RT #18362]
2401. [bug] Expect to get E[MN]FILE errno internal_accept() (from accept() or fcntl() system calls). [RT #18358]
2399. [bug] Abort timeout queries to reduce the number of open UDP sockets. [RT #18367]
2398. [bug] Improve file descriptor management. New, temporary, named.conf option reserved-sockets, default 512. [RT #18344]
2396. [bug] Don't set SO_REUSEADDR for randomized ports. [RT #18336]
2395. [port] Avoid warning and no effect from "files unlimited" on Linux when running as root. [RT #18335]
2394. [bug] Default configuration options set the limit for open files to 'unlimited' as described in the documentation. [RT #18331]
2392. [bug] remove 'grep -q' from acl test script, some platforms don't support it. [RT #18253]
2322. [port] MacOS: work around the limitation of setrlimit() for RLIMIT_NOFILE. [RT #17526]

Je vous laisse compter les termes "limit" et "exhaustion" puis élaborer des hypothèses fumeuses sur la sortie en catastrophe de ce patch.
Je vous rappelle que si Deputy Dan a caché les détails de son attaque, c'était pour laisser aux vendeurs le temps de se retourner et de nous préparer des beaux patchs bien testés, mais pour faire sa pub, hein?
J'espère sincèrement qu'il aura son pwnie award!

[fr] Du bon usage du conditionnel

2008-05-12T16:38:00.005+02:00

Quand on est un gentil youzeur qui a acheté (cher) son Windows, on a droit aux mises à jour qui protègent des haX0rz, des virus et du phyloxéra. Microsoft, dans sa grande bonté, et dans le souci de protéger Internet et ses fidèles clients des script kiddies distribue depuis quelque temps le Service Pack3 de Windows XP.
Avant d'appuyer sur "Installer", on voit ceci:

Windows XP Service Pack 3 (SP3) est une mise à jour de Windows XP qui intègre les principaux commentaires transmis par nos clients. Cette mise à jour cumulative inclut toutes les mises à jour publiées précédemment pour Windows XP, y compris les mises à jour de sécurité. Windows XP SP3 comprend un petit nombre de nouvelles mises à jour, mais ne devrait pas modifier de manière significative les fonctionnalités de ce système d'exploitation. Une fois cette installation terminée, vous serez peut-être amené à redémarrer l'ordinateur.

Un lecteur averti aura remarqué les précautions oratoires dont s'entoure Microsoft pour annoncer la sortie du petit dernier. Mais voila: le youzeur de base n'est pas averti, il clique sur "Yes", "Oui", "Da", "Ja", "Si"..., dès qu'on lui demande s'il veut installer un screensaver, un spyware, un cheval de Troie, un antivirus ou un patch. Ensuite il gueule et ça donne du grain à moudre aux journalistes compatissants: Windows XP SP3 sows Havoc, users complain.
Il s'avère que les fonctionnalités du dit système d'exploitation sont modifiées de manière significative (ça ne marche plus), ou que les youzeurz auraient bien été contents d'être amenés à redémarrer l'ordinateur, parce que justement, il ne démarre plus.
Étant joueur mais pas complètement cinglé non plus, j'ai pris un snapshot de ma machine virtuelle avant d'installer cette saleté, pour voir, des fois que le patch affecterait de manière significative (voire délètère) le fonctionnement de ~~cette poubelle~~ ce système.
Ça s'estbien terminé, il n'y a de la chance que pour la canaille.

[en] Calling Nikto from Nessus

2008-05-01T12:53:00.011+02:00

First you need to run the Nessus daemon on Unix. nikto.nasl will not run on Nessus for Windows.
nikto.pl has to be found in $PATH when nessusd is run, i.e. when the plugins are compiled and when the daemon is started. Nessus does not look for any other command name (nikto, nikto.sh, etc.) that may be installed by any distro-tuned package.
The file (under /opt/nessus/lib/nessus/plugins) is nikto.nasl, the script ID is 14260, the name is "Nikto (NASL wrapper)", you should find in the "CGI abuses" family. If you do not see it, fix your $PATH, make sure that nikto.pl is executable, rerun nessusd -R and restart the daemon.
A good place to set up $PATH is your Nessus start-up script; try /etc/init.d/nessusd or /etc/init.d/rc
Some people/distros install nikto.pl into a specific directory like /opt/nikto-2.02/ and add a link /usr/local/bin/nikto.pl. This will not work as you need to go into the Nikto directory before launching the command; otherwise, Nikto will not find its data files. Nessus does not read the link and would chdir to /usr/local/bin instead of /opt/nikto-2.02.
If the plugin is listed, it is run (according to /opt/nessus/var/nessus/nessusd.messages) but it does not produce any output, you may well be in this bad configuration.
Either remove the link or make sure that /opt/nikto-2.02 appears before /usr/local/bin in $PATH.
Last but not least, nikto.nasl is disabled by default. You'll have to change its preferences (if you are running NessusClient3, edit your policy, click on the "Advanced" tab and select "Nikto (NASL wrapper)"). Change "Enable Nikto" from "no" to "yes".

[en] Does Vista piss you off?

2008-04-12T22:36:00.004+02:00

If Vista pisses you off, don't worry, that's perfectly normal: it was designed to. That's official now:
SAN FRANCISCO--A Microsoft manager has said that one of the security features in Vista was deliberately designed to "annoy users" to put pressure on third-party software makers to make their applications more secure.

Unfortunately, Microsoft software also triggers the PITA (Pain In The A...) function.
It's not a bug, it's a feature.

[fr] Vista est chiant!

2008-04-12T22:33:00.002+02:00

Vista est chiant, c'est officiel. Et en plus, c'est fait pour.
SAN FRANCISCO -- Un dirigeant de Microsoft a dit que l'une des fonctions de sécurité de Vista a été délibérément conçue pour "ennuyer les utilisateurs" pour faire pression sur les fabricants de logiciels tiers pour rendre leurs applications plus sûres.
Ce qui n'est pas dit dans ce beau titre plein de bonnes intentions, c'est que des applications Microsoft déclenchent aussi la fonction chiante.
It's not a bug, it's a feature.

[en] Nessus 3.2 is out!

2008-03-15T17:08:00.007+01:00

Nessus 3.2 was announced on 2008-03-12. It contains many improvements for which I have no responsibility, and a new version of nessus_tcp_scanner.

Simplified options

Two former boolean options (and a new one that was not seen by anybody but me) were merged into a single Firewall detection four level cursor:

Disabled

Do not detect RST rate limitation

Normal / automatic

Ignore closed ports

Congestion detection was removed, it is now hidden in nessusd.conf
Scan ports in random order is still here, although I don't think that many people will ever touch it.

Unfiltered ports are regularly probed.
I added that first to get a better RTT (ping time) estimation; this is a crucial parameter for a userland TCP scanner. This feature is also (mainly?) used now to detect congestion.
This piece of code works on any OS and is more sensitive than the previous kernelland (Linux only) detector -- I don't criticize the Penguin, I'm still amazed that this kernelland detector works with a such a psychotic software; portscan is definitely not a "normal" use of a TCP/IP stack.
As the detector detects rather well, I slightly increased the aggressivity of the cyber-monster.
I hope that very slow links can now be scanned in a reasonable time without being overloaded even in hellish conditions (lost packets, long & changing RTT), at worst by using the most cautious parameters:

safe_checks=1
max_checks=1
Firewall detection=Disabled

To avoid interminable scans (they do not make much sense), the scanner gets restless after 40 minutes (default value). At the first timeout, it moves the aggressivity cursor to the fourth choice (ignore closed ports), at the second, it stops at the end of the current phase, at the third, it does sepuku at once.
Finally, for the ones who are eager to shoot themselves in the foot, here are a few hidden option from nessusd.conf, with their default values:

nessus_tcp_scanner.send_regular_probes=yes
nessus_tcp_scanner.unlimited_rtt=no
nessus_tcp_scanner.portscan_timeout=2400
use_kernel_congestion_detection=no (was "yes" en 3.0 et 3.1)
stop_scan_on_disconnect=yes
nessus_tcp_scanner.max_pass=16

[fr] Nessus 3.2 est sorti!

2008-03-12T23:50:00.006+01:00

Nessus 3.2 est sorti le 12/03/2008 et outre moult améliorations dans lesquelles je n'ai pas trempé because closed source, il inclut une nouvelle version de nessus_tcp_scanner.

Préférences simplifiées

Deux anciennes options booléennes (et une nouvelle que personne n'a jamais vue) ont été fusionnées en un seul curseur Firewall detection, qui offre 4 niveaux:

Disabled

Do not detect RST rate limitation

Normal / automatic

Ignore closed ports

Congestion detection a été supprimée, elle est maintenant cachée dans nessusd.conf
L'option Scan ports in random order reste, bien que je ne sois pas sûr que grand monde la touche.

Les ports non filtrés sont régulièrement sondés.
J' avais ajouté ça dans un premier temps pour obtenir une meilleure estimation du RTT (ping time), paramètre crucial pour un TCP scanner en userland. On s'en sert aussi (surtout?) pour détecter la congestion.
Ce code marche sur tous les OS et est plus sensible que le détecteur kernelland de Linux précédemment utilisé (ne critiquons pas le pingouin, que ce détecteur kernel fonctionne avec un logiciel aussi psychopathe qu'un portscanner est miraculeux).
Le détecteur détectant bien, j'ai un peu lâché la bride du monstre.
J'espère que les liens très lents pourront être scannés en un temps raisonnable sans être surchargés même dans des conditions infernales (pertes de paquets, RTT important et fluctuant), en mettant les paramètres au minimum dans le pire des cas:

safe_checks=1
max_checks=1
Firewall detection=Disabled

Pour éviter les scans interminables, qui n'ont pas grand sens, le scanner s'impatiente au bout d'un temps de 40 min par défaut. Au premier coup de gong, il pousse le curseur d'agressivité à fond, au second, il termine la passe en cours et s'arrête, au troisième, il fait sepuku immédiatement.
Enfin, pour ceux qui ont envie de se tirer dans le pied, la bête offre quelques options cachées dans nessusd.conf, dont voici les valeurs par défaut:

nessus_tcp_scanner.send_regular_probes=yes
nessus_tcp_scanner.unlimited_rtt=no
nessus_tcp_scanner.portscan_timeout=2400
use_kernel_congestion_detection=no (c'était "yes" en 3.0 et 3.1)
stop_scan_on_disconnect=yes
nessus_tcp_scanner.max_pass=16

[en] Crude port scanner

2008-03-05T00:35:00.004+01:00

It takes less than 2 pages of code, and on a LAN, it is quick and reliable. On a WAN, it is brutal, not very reliable, but not so awful. Writing a smart portscanner is nothing but a waste of time...

[en] Real men don't scan

2008-03-05T00:27:00.004+01:00

Portscan is for the weak users who cannot open 65535 sockets at once.

You'll probably need to be root to run this. And you'd better check that you have enough file descriptors on your operating system.

[fr] excès de vitesse

2008-02-03T23:24:00.000+01:00

J'adore quand les journalistes donnent des chiffres précis... mais faux. Lu sur actu.voila.fr:

La chanson voyagera dans l'univers à la vitesse de quelque 307.000 km à la seconde.

Les physiciens ont décidé de leur côté que la lumière se trainerait dans le vide à seulement 299792,458 km/s.
À moins qu'il y ait eu une petite inflation lors du passage à l'euro?

[en] Medusa

2008-01-20T19:33:00.000+01:00

Medusa NASL wrappers for Nessus...
http://michel.arboi.free.fr/download/medusa.tgz

NB: you'll have to set nasl_no_signature_check=yes in /opt/nessus/etc/nessus/nessusd.conf
or add my key in /opt/nessus/var/nessus/

[fr] aïlle spique globiche

2007-11-02T11:54:00.000+01:00

Voila que je reçois des spams en dialecte anti-français. Au secours super Dupont!
bogofilter n'y a vu que du feu, mais SpamAssassin l'a salé -- il aurait dû finir à la poubelle, il faut que je répare mes filtres.
Ça m'aura fait bien ricaner en tout cas.

Bonjour
Mr.Ekoh Joseph

Je suppose que cette e-mail vous surprise , mais c'est moi est véritablement, pendant une routines de ré-examen dans ma Banque(Standard- une banque de sud Afrique)où je travaille, sur une compte a été pousséque pas demandé, où derzeit $12,500,000 (Douze millione, cinq cents mille dollard' États-Unis ) est crédité.a Cette compte Monsieur appartenu

Manfred Becker qui était un Kunde dans notre banque qui estmalheureusement décédé.Monsieur Becker était un citoyen French. Afin qu'il soit possible pour moi cette argent $12,500,000 j'aimerais avoir la coopération d'un partenaire étranger comme vous qui va m'aider comme l'homme a qui est a

l'argent.Vous allez aussi utiliser cette argent de faire toutes ce que nous voulons, moi et mes colleagues Apres avoir faire tout, nous puissions prendre l'argent Pour ce soutien, vous recevez 30% et les 70% restants divisez entre moi et mes deux collègues avec qui je travail et qui me soutiennent également pour cette transaction. si vous êtes intéressér, pouvez vous me demandez un e-mail d'envoyer, afin que je puisse vous faire parvenir plus de détails.

Veuillez envoyer votre réponse à ce adresse E-Mail:jekoh2@aim.com

Merci beaucoup et salutations distinguées

Mr.Ekoh Joseph

[fr] abuse

2007-05-12T00:12:00.000+02:00

J'ai reçu cette semaine un message d'abuse@mon_FAI me demandant de cesser de tenter de pirater le site d'un quidam. J'avais osé envoyé vers ce site ces abomiffreuses requêtes:
HEAD / HTTP/1.0
OPTIONS / HTTP/1.0
Après un bref échange durant lequel je n'ai pas caché mon agacement, abuse a capitulé et est parti vaquer à d'autres occupations — peut-être lire les RFC 1945 et 2616 que je lui avais "conseillés"?

J'ai envoyé ensuite un message assez corrosif au crétin qui s'était plaint. Il a encore trouvé le moyen de ramener sa gueule.
Le problème avec Internet, c'est qu'on a une frontière avec le monde entier. Ça augmente fortement la quantité de cons qu'on peut croiser.

[en] Nmap 4.20

2006-12-10T00:35:00.000+01:00

Nmap 4.20 is out. I had a look at it, just in case some annoying ~~bugs~~ features were fixed.
Against my good old BSD, nessus_tcp_scanner ran on 352 s (with max_check=4) or 254 s (max_check=5). nmap -T 4 ran in 774 s without --defeat-icmp-rate-limitation, or in 658 s with it. Similar to the previous 11 minutes; no gain.

Considering the memory size, I'm afraid that things did not improved.
Here is the result of "nmap -sS -sV -O -v -p- ..." against a vicious configuration.
Memory sizes are in MB, time in seconds. The blue line is the allocated virtual memory, the red line the occupied RAM; the host machine is 32 bits, with 1.5 GB RAM.

[fr] l'art de bien emballer

2006-08-06T14:38:00.000+02:00

Non, il ne s'agit pas d'une technique de drague mais d'un vulgaire carton qui va encombrer ma poubelle.
L'object commandé (un Nikon FH-3) mesure 1 x 5,5 x 27 cm dans son étui; le carton avec les gros autocollants "fragile" fait 12x23x30 cm. L'emballage est donc 55 fois plus gros que l'emballé.
Et on va encore me casser les c... avec des histoires de recyclage et de tri sélectif.

Je dois noter que contrairement à mon étagère en verre trempé livrée "en kit" par Ikéa, le FH-3 est arrivé entier. Encore heureux...

[fr] Get a life!

2006-07-23T18:36:00.001+02:00

Ça fait un mois queje n'ai pas dit du mal de Nmap, mais je ne suis pas gravement malade. Je suis l'heureux possesseur d'un Nikon Coolscan V . Je reprendrai mes méchancetés quand j'aurai converti mes quelques milliers de photos argentiques en 0 et 1.
J'ai quelques projets pour Nessus, comme le porter sur Zaurus (c'est fait) avec de bonnes performances (ce n'est pas gagné) mais il faudra attendre un peu que le virus photographique me lâche.

[fr] Nmap 4.10: la saga continue

2006-06-18T11:39:00.000+02:00

Fyodor a annoncé une nouvelle option dans Nmap 4.10: --defeat-rst-ratelimit
J'ai recompilé cette merveille, rallumé mon vieux 486 sous OpenBSD, et lancé le scan de 65535 ports.
Bilan: au lieu de mettre 660 secondes, il met maintenant 11 minutes. Je ricane.

[en] ssh_get_info + Telnet + SNMP

2006-05-11T20:33:00.000+02:00

One of my customers never use SSH, but rather Telnet. This is frustrating as ssh_get_info cannot be used. So I patched ssh_get_info.nasl to support other protocols: Telnet, rexec, rsh & rlogin.
The code is now cleaner IMHO, and it should be easier to add more protocols, if this is really necessary.
We have to test all this to check that nothing is broken, do not expect to see this released too soon.

I also wrote a new snmp_get_info.nasl, but few systems give useful information through the (out of the box) SNMP agent: AIX, SuSE...
Maybe this script will never go into the official repository.

[fr] Nmap au régime

2006-02-01T08:28:00.000+01:00

D'après Fyodor, Nmap 3.93 pouvait consommer une mémoire excessive "quand on scannait des centaines de milliers de ports"; c'est-à-dire, comme on me l'avait fort justement fait remarquer... à partir de 2 machines!
C'est censé être corrigé à partir de Nmap 3.95. Si l'on considère que bouffer 250 Mo est raisonnable, alors oui.

Voici nmap -sS -sV -p- -O 127.0.0.1/8 à l'oeuvre (en abscisse le temps en secondes, en ordonnées la taille mémoire consommée en kilo-octets).

Pour ceux qui s'imagineraient qu'un tel comportement est normal compte tenu de la taille des bases de fingerprinting, ou bien que Nmap a encore été dégraissé après la 3.95, voici la 3.9999 face à une configuration un peu bizarre. J'ai dû l'arrêter, je n'ai que 1,5 Go de RAM sur mon desktop, et il ne serait pas allé bien plus loin sur une machine 32 bits.

Je n'ai pas d'explication sur ce bug mystérieux, mais ceux qui comptent faire tourner nmap longtemps face à un gros réseau sont prévenus...

[en] Free software & copyrights

2005-12-29T10:27:00.000+01:00

Quiz: read this page and try to find all errors.
http://www.webzcan.com/Vulns/WZV11834.html

Hint: source routed packets are an old obsession: I wrote that Nessus script in 2003.

Solution:

My name does not appear anywhere on this page.
"Nessus" does not appear anywhere on this page.
As this is an English text, it is not regulated by software licence but by common copyright.

This is just an example: many companies do this, and nobody cares. But when Renaud tries to protect his intellectual property by closing the source code, everybody whines.

We definitely need something stronger than GPL. And maybe a couple of trials...

[en] Ubuntu Security Notices

2005-11-11T19:58:00.000+01:00

I've converted Ubuntu security advisories into Nessus "local tests".
Nice distro, by the way...

[en] Nessus and the art of bullshit

2005-11-05T17:48:00.000+01:00

Once upon a time, another of my favourite competitors wanted to check if the Windows machines that he was auditing were up to date with security patches.
For whatever reason, he could not start his laptop on Unix (maybe he just could not install Unix, like so many 3L33T security consultants) so he booted a Knoppix or Auditor Live CD, ran Nessus and said "all clear".

There is one little problem: GPL live CD use GPL Nessus, and nearly all Windows tests are © Tenable, they are not included in the GPL Live CDs, as they are available through the direct feed.
It was no use running the test, we already know the result: no problem.

People actually pay for this kind of "audit". Isn't it amazing?

[fr] Europa

2005-11-05T17:44:00.000+01:00

On disait qu'afin d'acquérir cette maîtrise, le signor avait vendu
son âme au diable, mais Lord Douglas fit remarquer qu'il y avait
belle lurette que le diable avait renoncé à ce genre de marché, vu
l'abondance extrême de marchandise qui lui était offerte et qu'il
payait à vil prix, avec de la menue monnaie.
Romain Gary, in Europa

[en] Nessus licence

2005-10-20T12:19:00.000+02:00

A while ago, a consultant from a competitor company launched a scan on a live network.
I don't know exactly what tool he used - Nessus or Nmap, I suspect. And I don't know what options he chose.
The main problem is that he probably did not know either.
As a result, the whole network crashed.

There should be a Nessus licence, just like there are driving licences.

[en] New version of nessus_tcp_scanner

2005-08-20T16:03:00.001+02:00

The new nessus_tcp_scanner will be quicker but more reliable, I hope. It estimates the Round Trip Time instead of using the default fixed timeout, it runs several passes against a slow target and tries to detect heavily firewalled machines or BSD systems with RST rate limitation. This way, it does a full TCP scan of a BSD system in a couple of minutes instead of eleven.
You'll have to wait for Nessus 2.2.6 to get this marvel.

OK, I should drop this topic and get a life.
Or at least, instead of practicing witchcraft, I should try to build a model for port scan.
Thinking before doing... Looks like a good idea.

[en] Port scanning, again

2005-06-29T08:30:00.000+02:00

I scanned a friend's machine a week ago.
nessus_tcp_scanner took 380 s, "nmap -T aggressive" took more than 1500 s.

[update 2005-07-27]
Nmap looks badly broken in some cases, but I was unable to reproduce that as the configuration of the target machine was changed since.
Meanwhile, I broke nessus_tcp_scanner...

[fr] Construisons l'Europe

2005-04-24T11:45:00.000+02:00

Je viens de découvrir un peuple encore plus mauvais que les Français en langues étrangères: les Espagnols.
(les Américains sont hors concours)
Difficile d'en trouver qui causent français ou anglais.
Qu'on ne me fasse pas croire que c'est un problème inhérent aux Latins, les Portugais ou les Roumains se débrouillent fort bien.

Évidemment, je n'ai qu'à causer Espagnol au lieu d'essayer vainement d'apprendre des langues tordues.
Je crois que je vais me mettre au basque, c'est une langue officielle là bas.

[en] Guillermito vs Tegam

2005-03-09T10:25:00.000+01:00

At least some excitement in the French computer security little world!
Tegam has found a new protection against security holes: they do not patch, they bring the publisher to justice. As far as I know, they never did the same against virus writers. Isn't it odd?
Finally, Guillermito was lightly condemned because he used a pirated copy of Viguard. The court did not even judge that Guillermito had defamed their software.
All this is not so important, even for Frenchmen: Tegam is a small company, virtually unknown outside of the country.
Anyway, if you intend to buy their products, you'd better read the contract several times.

[en] There shall be weeping and gnashing of teeth

2004-12-15T11:32:00.000+01:00

Tenable Security has changed the way Nessus plugins are distributed. There are now two feed:

one for the ~ 3000 GPL plugins: they are available freely and can be redistributed freely.
one for the ~ 3000 Tenable plugins. To get them, you have to register, and pay if you want them at once, or get them with a delay of one week.

This modification is not a licence change: Renaud has been warning for years on the mailing lists that some plugins were not necessarily GPLed.
It is not really a surprise either: Tenable is a privately owned company and has to make money. This move clearly targets ASP which resell Nessus and the plugins without authorization, often violating the GPL and intellectual property of C code or plugins contributers.

As usual, some people were pissed off by this move and yelled on the mailing list, mostly for bad reasons.
I did not hear them when ASP violated my intellectual property.
Strange, isn't it?

[en] Slackware "local tests"

2004-12-04T17:24:00.000+01:00

I have finished my conversion tool from SSA to NASL. Nessus will be able to do "local tests" on Slackware (i.e. check through an SSH connection that all patches are applied)
Once again, parsing English in Perl was easier than processing XML.
What's the use of this buzzword compliant crap? Can anybody tell?

[fr] Slackware Security Advisories

2004-12-04T16:34:00.000+01:00

J'ai écrit une moulinette de conversion des avis de sécurité Slackware en NASL (nessus Attack Script Language). Une fois encore, parser de l'anglais a été plus rapide que traiter du XML.

En résumé, au cas où vous n'auriez pas compris, XML c'est gros, c'est moche et ça ne sert à rien.
Ça va mieux en le disant.

[en] Zen and the art of automation

2004-12-03T13:45:00.000+01:00

I dislike doing a silly job. And I really hate doing it twice.
Whenever I have to do such a f*ing job, I give it to a robot. Robots do not complain, never get tired and are usually better than me for any task that do not require a brain.
Working on robots is more fun than doing silly jobs.
That's why I work on Nessus. Not the only reason, but the main one: looking for security patches on a server is definitely stupid, 150000 lines of C will do it well.
(some stupid tasks need a little subtlety and more than one page of Perl)

Nessus is working, and rather well (much better than its competitors in my humble but biaised opinion) and anybody who'd want to spend a little energy could write patches or test plugins, or concentrate on higher level tasks, like deciding if the whole IT system is vulnerable, to which threat, which sensitive data is exposed, etc.
Nessus scans each machine independantly of the others, and it does not know your network architecture or the sensitivity of your data or servers; in fact, it is not his job, it is ours.

It seems that I overestimate human beings. I know that homo sapiens sapiens is not that sapiens, but I have not lost all hope that people sometimes wants to improve, some way or another.
Many people have improved indeed: they were lusers, they became "security consultants". They run Nessus and sell the raw report.
Added value: none.

After WW3, only robots will survive.
Good.

[en] Automatic updates

2004-11-30T22:50:00.000+01:00

Unless you have been living under a rock, you know that Microsoft published Windows XP SP2 and made a lot of fuzz about it. If you are not masochist enough to run Windows, maybe you do not know that one of the new "features" is that you are strongly advised to enable the automatic Windows Update. If you disable it, the "security center" will warn you that your system may be at risk, and that you really should enable Windows Update back.
If you are masochist enough to run Windows, I guess you also have an antivirus scanner. And the gizmo updates itself regularly, and warns you when its signature database is out of date.

I have good news and bad news:

The number of security advisories is still climbing, watching them takes more and more time. Some people are taking care of your computer security, you don't have to read Bugtraq.
The price you pay is that you are losing control of this f*ing machine. You did not control it much, but it is definitely going to be worse.

[fr] Rions avec Systran

2004-11-27T16:34:00.000+01:00

Un client a tenté de traduire les premières lignes de mon dernier rapport d'anglais en français avec SYSTRAN.
"A remote cracker could deface the web server"
est devenu :
"Un biscuit à distance pourrait défigurer le serveur web".

Appliquez toujours les patchs de sécurité, sinon ça va laisser des miettes partout !

[en] Yet Another TCP Scanner

2004-11-19T22:58:00.000+01:00

I wrote a new TCP scanner, at last.

It was easy.
It is simple (less than two pages of C)
It is quick, even against a firewalled machine
It grabs banners, and save times for the service identification phases later.

Of course, it doesn't have all the bells & whistles of more advanced scanners like Nmap, but in most cases, we don't need them.

[fr] Port scanner...

2004-11-17T16:33:00.000+01:00

J'ai écrit un port scanner TCP ce week-end. J'aurais dû le faire plus tôt.
- il va vite, même contre une machine méchamment firewallée
- il ramasse aussi les bannières des services, ce qui économise moult opérations nessussiennes par la suite.
- il fait moins de deux pages de code, parce qu'il s'appuie sur le noyau pour ouvrir des connexions TCP. Mais c'est un peu le boulot du noyau, non ?
- il n'est pas discret et c'est tant mieux.

Évidemment, il ne ressemble pas à un outil de hacker (non, je n'ai cité personne).
Tant mieux, ça m'évitera de prendre des coups de botin dans les bureaux de la DST.

[fr] Comment faire fonctionner le driver nVidia sous Linux

2004-11-11T16:32:00.000+01:00

nVidia fait d'excellentes cartes graphiques 3D, idéales pour votre simulateur de vol préféré, surtout quand il a été écrit avec les pieds et part du principe que vous avez une carte 3D kivabien.
Ils en ont tellement vendues qu'elles ne coûtent plus rien.
nVidia, comme Matrox à son époque de gloire, a décidé que ses drivers étaient très secrets et qu'ils ne dévoileraient pas ce que leurs concurrents savent probablement déjà.
Mais, ô joie, ils pensent aux gentils pingouins et distribuent un driver partiellement binaire, qu'ils tiennent à jour en plus. C'est sympa.
Seules petites ombres au tableau, 1) la puce est munie d'un petit ventilateur qui est parfois terriblement bruyant... 2) et le driver Linux est parfois pris de folie.
Le bug est connu depuis belle lurette, existe avec toutes les versions de cartes, a été abondamment décrit (le serveur X part dans une boucle sans fin de gettimeofday en bouffant toute la CPU) et la réponse de nVidia est invariablement "impossible à reproduire".
J'ai décidé de résoudre le problème. J'ai commencé par trifouiller toutes les options (la méthode hamster), puis je me suis souvenu d'un de mes vieux trucs de développeurs : ne jamais forcer un logiciel malade à tomber en marche. Ne pas hésiter à abréger ses souffrances.
J'ai acheté une Matrox G550.

[fr] Mon premier morceau de bouquin...

2004-10-28T16:36:00.000+02:00

Comme c'est émouvant !

J'ai reçu mes bouquins sur Nessus des USA. J'ai accepté qu'ils reproduisent en appendice mon manuel de référence sur NASL2 en échange de cinq copies -- je suis trop con, je ne savais pas combien facturer un document que j'ai toujours diffusé gratuitement.

On voit la couverture ici :
http://www.syngress.com/catalog/sg_main.cfm?pid=2850
OK, il n'y a même pas mon nom sur la couverture mais je suis dedans, promis juré.

Si vous voulez lire seulement mon oeuvre, voici comment économiser 50$ :
http://www.nessus.org/doc/nasl2_reference.pdf

[fr] Nessus 2.2 is out!

2004-10-28T16:35:00.000+02:00

Menu ce soir chez les concurrents commerciaux : soupe à la grimace.
Encore.
Comme tous les jours.

[fr] Pourquoi XML ?

2004-10-05T16:29:00.000+02:00

Doug a peut-être trouvé l'Explication Ultime de l'engouement pour le XML: c'est facile à écrire ou à générer.

Ensuite, l'autre bout de la communication se débrouille, mais ceci est un autre problème.
"Passe à ton voisin".

[fr] English vs XML

2004-10-02T00:00:00.000+02:00

J'aurai mis moins de temps à convertir les avis de sécurité Debian depuis du WML que les avis de sécurité Gentoo depuis XML.
J'admets que les DSA sont un poil plus simples que les GLSA. Mais finalement, parser du WML et de l'anglais à grand coups de regex, c'est plus facile que de dépioter des sous-champs optionnels au fin fond d'une structure.
Il me semblait bien qu'il y avait arnaque.
J'avais dit que XML était conçu pour ceux qui ne savaient pas écrire un parser. Je l'ai surestimé : les bonnes vieilles expressions régulières sont plus utiles que ce machin.

[fr] Debian Security Advisories

2004-09-29T16:47:00.000+02:00

Au menu ce soir chez ISS et eEye: soupe à la grimace.

Je viens de me cogner la conversion des avis de sécurité Debian, les "DSA", en NASL (le langage de Nessus).
Les concurrents commerciaux de Nessus qui ont les yeux rivés sur le nombre de tests vont verdir. Nous sommes à 4700 scripts, et nous allons passer à plus de 5200.
Énervant, hein ? Inquiétant, même...

[fr] G00gl3 rul3z

2004-09-19T16:44:00.000+02:00

La récente paranoïa d'un pote à propos de Google Mail (*) a fait remonter à la surface de ma pauvre cervelle une vieille interrogation.
Google est le plus gros moteur de recherche existant, et il scanne en permanence le web -- je suis fasciné par la vitesse à laquelle il repasse sur ma misérable page perso.
Leur base contient forcément plus d'informations que ce qui est affiché.
En particulier, une superbe collection de sites web troués et de serveurs web vulnérables, qui pourraient tomber très rapidement sous le contrôle de hackers un peu organisés, sans compter diverses informations confidentielles qui sont filtrées par le moteur.

La NSA s'intéresse de près à la technologie de Google. Mais c'est un hasard, hein ?

(*) http://www.gmail.com à qui l'on reproche 1. de fouiner dans les messages pour balancer des pubs, 2. d'archiver indéfiniment.
Lire http://gmail-is-too-creepy.com/

[fr] XML: parsing for dummies

2004-09-05T16:55:00.000+02:00

Le cerveau du youzeur contient plus de neurones que prévu et il faut une usine à gaz pour le remplacer.

Je me suis longtemps demandé

d'où venait le succès de XML,
pourquoi je ne le comprenais pas.

Je suis convaincu que bricoler un langage adapté à un problème particulier est (i) terriblement rigolo, (ii) très utile. "Languages shape the way we think" (Dijkstra).

Malheureusement, écrire un parser capable d'avaler le dialecte inventé n'est pas à la portée de n'importe qui, plus par méconnaissance du sujet qu'à cause d'une réelle difficulté technique: les outils existent et il suffit de ne pas se laisser impressionner par le problème.

Comment éviter à Monsieur Toutlemonde de se blesser en écrivant un parser? Tout simplement en lui amenant un truc tout fait: XML.
Le génie de ce bazar, si l'on peut dire, c'est que le parser est universel. Ça se paie cher: les DTD et autres XBZZZ saletés sont de vrais romans pas bien éloignés d'une grammaire Bison, la moindre bibliothèque XML pèse quelques Mo et son API est un vrai plat de nouille plein d'options, de machins et de sous-trucs.

Finalement, XML est presque un langage de programmation. Mais les données sont statiques, contrairement au code: on arrive à comprendre son sens en le regardant bouger.

Autre grand principe méconnu: commenter le code ne sert à rien. Si le code est vraiment illisible, il faut le réécrire. Ce qui est important, c'est d'expliciter la sémantique des structures de données.
Et ça, XML ne l'impose pas.

[fr] Et hop !

2004-08-28T16:54:00.000+02:00

Où l'on découvre en avant première que ça va être la soupe à la grimace Lundi chez ISS et eeye.

Ça y est ! J'ai triomphé du monstre XML ! Nessus est capable de vérifier la liste des packages Gentoo installés.
Les concurrents commerciaux vont tirer une tronche de 6 pieds de longs, ils détestent quand la liste des scripts de test s'allonge brutalement.

[fr] XML baaaaaad!

2004-08-27T16:43:00.000+02:00

Plaidoyer pour le logiciel libre et le programmeur en cage.

Déjà tout petit, je me méfiais du XML.
Là, je suis en train d'essayer de mouliner automatiquement des avis de sécurité et je commence à détester.

Le XML, ça permet à n'importe qui de mettre n'importe quoi n'importe où, charge à celui qui lit le fichier de se démerder pour l'interpréter correctement. À partir du moment où la syntaxe est correcte, l'émetteur estime avoir fait son boulot. Fire and forget.

On retrouve un principe méconnu en informatique: ce qui est important n'est pas ce qu'on autorise mais ce qu'on interdit.
Un logiciel puissant et efficace est un système qui opprime les youzeurz et les programmeurs.

Je suis un cyberfasciste.

[fr] XP SP2 : 1 / Dell : 0

2004-08-23T16:41:00.000+02:00

Où l'on confirme, si besoin était, que l'informatique est vraiment de la sorcellerie

We installed SP2 on 4 different Dell D600 laptops. One of the laptops
experienced a crash that may or may not be related to the service pack.
Upon reloading the laptop with Windows XP, adding SP2 and all drivers; and adding all necessary applications, it blue screened. We called Dell and they said that if you don't have BIOS version A12 or later, then you can experience hard drive corruption.