[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
RE: [linux] Alcatel, la solution
-pol-
On Tue, 10 Apr 2001, Alexandre Dulaunoy wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> En effet, EXPERT est encodée dans un brol statique dans le code meme de l'OS du
> router. Donc, c'est bien entendu de manière intentionnelle...
>
> La meilleur solution est de ne pas utiliser Alcatel...
Ben on utilise quoi a la place ?
>
> En effet, on peut utiliser des solutions de "packet de filtering" en front du
> router Alcatel mais cela n'enlève pas la backdoor. Cela ne dit pas non plus si
> Alcatel n'a placé d'autres backdoors... (genre interpretation des fragments IP,
> dans l'encodage SDLC/HDLC sur PPP, l'interpretation d'autre (cf. loki...))
>
> A mon avis, la meilleur solution est d'avoir le code source mais bon cela n'est
> pas encore entré dans les moeurs de certaines sociétés.
>
> Le problème est assez redundant et à mon avis ne peut que se résoudre par la
> disponiblités des sources (cf. interbase backdoor). Le "peer reviewing" des
> sources par une grande masse de personne est la meilleure chose qui peut
> arriver à un logiciel !
>
> Tout le monde connait le proverbe : "La sécurité ne se fait pas par
> l'obscurité." (cf. DeCSS, GSM-A4, SIC/SmartCard,...)
>
> Alx
>
>
> On 10-Apr-2001 blenderman wrote:
> > Yop tlm !
> >
> > J'ai un peu cherche de documentation sur le bd des Speed Touch HOME et
> > voila comment se proteger...
> >
> > Le bug d'alcatel est que n'importe qui se connectant en Telnet peut
> > rentrer sans mot de passe. C'est deja 1 grande faille de securite
> >
> > Le plus etrange(et 1 peu degeulasse) c'est que tous les users peuvent se
> > logguer sans mot de passe saut l'user: EXPERT (respecter les majuscules)
> > (pour trouver le mot de passe de l'user EXPERT:
> > http://security.sdsc.edu/self-help/alcatel/challenge.cgi)
> >
> > Une fois logge, tappez: system
> > puis, tappez setpassword
> > a l'invite, entrez un password.
> >
> > Faites CTRL+C et reessayez de vous connecter en user normal...ca marche ?
> >
> > Cela ne veut pas dire que vous etes proteges. essayer de rentrer sur votre
> > modem avec l'user EXPERT...ca marche pas...et bien, ca, on ne peut pas
> > changer son mot de passe, la meilleure securite est de bloquer les paquets
> > arp vers la carte rezo connectee au modem:
> >
> > Exemple: ifconfig eth1 -arp 10.0.0.1
> >
> >
> > Voila, normalement, vous etes protege...
> >
> > J'espere que ca aide qques uns
> >
> > -pol-
> >
> > P.S: les commentaires sont les bienvenues !
> >
> >
> > [ Soyez précis dans vos sujets svp afin de déterminer directement ]
> > [ le type de demande... ]
> > [ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php ]
> > [ http://LinuxBe.org Contact: listmaster@linuxbe.org ]
>
> Alexandre Dulaunoy
> http://www.foo.be/
> AD993-RIPE
>
> "It is ridiculous claiming that video games influence
> children. For instance, if Pac-man affected kids born
> in the eighties, we should by now have a bunch of
> teenagers who run around in darkened rooms and eat
> pills while listening to monotonous electronic music."
> Anonymous...
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.0.4 (GNU/Linux)
> Comment: Where is my key ? http://www.foo.be/key.txt
>
> iD8DBQE602dPaY1aKQ+qq/4RArBeAJ4jLKfGNbORPlJ4CPekYEWMKKvLbACfTc7b
> ZjpHtIlPu0Bh5rmzOipeSEY=
> =sAka
> -----END PGP SIGNATURE-----
>
> [ Soyez précis dans vos sujets svp afin de déterminer directement ]
> [ le type de demande... ]
> [ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php ]
> [ http://LinuxBe.org Contact: listmaster@linuxbe.org ]
>
>
[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php ]
[ http://LinuxBe.org Contact: listmaster@linuxbe.org ]