À propos de la publication de code d’EdenWall

J’ai cofondé la société INL en 2004. Renommée en 2009 EdenWall, suite à une levée de fonds et un changement de métier,
le nouveau business model de la société fut la commercialisation d’appliances de sécurité basées sur le logiciel libre NuFW
que j’avais initié en 2003. NuFW, couche logicielle ajoutant l’authentification des flux à Netfilter, est resté le
moteur technologique de la société mais n’était pas d’un accès facile car nécessitant des compétences bas niveaux pour
son déploiement. Nous avons donc distribué sous licence libre des briques complémentaires à partir de 2005. Nulog,
projet d’analyse de journaux, que j’avais commencé en 2001 et Nuface, interface de configuration de politiques de
filtrage en 2005. La conclusion de cette démarche d’ouverture a été NuFirewall, une solution autonome de pare-feu
basée sur les briques EdenWall qui a été distribuée en 2010. Il s’agissait d’une version
libre des appliances EdenWall distribuée sous forme d’une distribution indépendante publiée sous licence GPL.
L’idée des fondateurs était d’avoir une structure de produits similaires à une offre comme celle de VirtualBox avec
une distribution sous double licence : une solution libre convenant au plus grand nombre et une version avec des
fonctionnalités Entreprise.

Suite à un enchainemenent d’événements malheureux, la société EdenWall a fait faillite en courant d’année 2011.
Les différents logiciels libres se sont alors retrouvés orphelins. La FSF en relation avec une partie
des anciens développeurs de la société a décidé de coordonner les efforts pour la reprise des différents
logiciels libres. Je m’étais battu pour la publication de ses briques et solutions et je me suis donc montré
très enthousiaste quant à l’idée de remonter un site hébergeant ce qui avait été publié sous licence libre. C’est
ce que j’exprime dans la citation reprise dans le communiqué de presse de la FSF.

Cc’est toutefois la majeure partie du code
de la société EdenWall qui a été publié. Cette publication est peut-être valable au point de vue juridique comme expliqué
dans le communiqué de la FSF mais
elle ne reflète en rien mon positionnement moral personnel. Je ne cautionne donc pas cette publication globale
mais uniquement la reprise des projets NuFW et NuFirewall et de manière plus globale du code qui avait déjà été publié
sous licence libre par EdenWall.

Playing a bit with vim macros

During one of my recent coding, I had to modify a signature file for suricata. The file was looking like this:

alert pkthdr any any -> any any (msg:"SURICATA ICMPv4 unknown code"; decode-event:icmpv4.unknown_code; sid:2200024; rev:1;)
alert pkthdr any any -> any any (msg:"SURICATA ICMPv4 truncated packet"; decode-event:icmpv4.ipv4_trunc_pkt; sid:2200025; rev:1;)
alert pkthdr any any -> any any (msg:"SURICATA ICMPv4 unknown version"; decode-event:icmpv4.ipv4_unknown_ver; sid:2200026; rev:1;)
alert pkthdr any any -> any any (msg:"SURICATA ICMPv6 packet too small"; decode-event:icmpv6.pkt_too_small; sid:2200027; rev:1;)
alert pkthdr any any -> any any (msg:"SURICATA ICMPv6 unknown type"; decode-event:icmpv6.unknown_type; sid:2200028; rev:1;)
alert pkthdr any any -> any any (msg:"SURICATA ICMPv6 unknown code"; decode-event:icmpv6.unknown_code; sid:2200029; rev:1;)

The modification was to decrease the number behind by 24 for each signatures.

At first, I did not know how to substract 24 to a number. The only operation I know is CTRL+x (deadly ennemy of CTRL+a) which decreases the next number on the right of the cursor by 1. I then thought to the command iterator. In a perfect world, it should work on multi key command. And it was working! Taping:

24CTRL+x

Decrease the next number on the current line by 24.

All that was needed now was to record a macro and apply it to all lines. Start recording a macro in register a is simply done with the command qa. My macro was the following:

0 # got at start of the line
/sid # search sid
24CTRL+X # decrease sid number
Arrow down # go to next line

Followed by ESC q to leave macro recording.

Macro application is done via the @a command, and by doing 42@a, I could apply it on all the file (42 being the number of lines to change).

In fact this solution is too complicated because you must know how much lines you want to change. It is possible to apply a macro b on a visual selection by using:

:normal @b

Plese note you must not hit ESC before taping :. By removing the Arrow down macro from the a, I was able to apply my modification to the selected lines easily.

This last tips is taken from Vim Tips Wiki.

Upgrading Galaxy S from Android 2.1 to 2.3.3 under Linux

After some time lost by trying in vain to have Kies (of Death) from Samsung oder Odin working under Virtualbox, I’ve found about the exitence of Heimdall. This software has been developped to flash firmware onto Samsung Galaxy S devices.

It did work quiet easily. Upgrade procedure only requires some files download and in my case some usage of the tar command.

The command line was long but simple:
[bash]heimdall flash -pit s1_odin_20100512.pit –factoryfs factoryfs.rfs \
–cache cache.rfs –dbdata dbdata.rfs –param param.lfs \
–kernel zImage –modem modem.bin \
–primary-boot boot.bin –secondary-boot Sbl.bin \
–verbose[/bash]

A GUI named heimdall-frontend is available for people who do not like command line.

Here’s a list of problems I’ve encountered during this update :

  • Going to download mode was not possible on the phone: I had to use adb
  • adb is 32 bit and I had to install 32 bit libs: aptitude install ia32-libs
  • heimdall uses a device /dev/ttyACM0 which is read/write for dialout (and I was not in the group)
  • I had to chain command adp reboot download with heimdall command to have the upgrade starting
  • The first restart was blocked at “Galaxy S” display, I’ve run an adb reboot recover to return to normal behaviour
  • I had no data connection (3G) after upgrade: Restoring default APN configuration fixed the issue

If we omit this little points, the upgrade procedure was fine. Heimdall was very efficient compare to every crap I’ve tried to use on the Windows. Thanks a lot for their work !

Something behind the herbs.

Sometime, you are really excited when you take a picture. In this case I was simply a little bit afraid. Being on foot, with a giant elephant going in my way was a tremendous experience:

DSC_3680.jpg
Happy not to be on first row

That photo was fun to take but I really prefer the following:

DSC_3645
Something behind the herbs.

My only problem is that I don’t remember if the focus point was intentional.

Vers une nouvelle agora ?

Récemment, le Nouvel Observateur a réalisé un dossier intitulé “Internet en procès”. Ce dossier a semble-t-il été motivé par l’apparition de plus en plus fréquente d’informations qui font suffisamment de bruit sur Internet pour devoir être reprises par les médias classiques. Le dossier est intéressant mais l’avis des partisans d’un contrôle d’internet me fascine. L’éternel tentation de la censure est toujours bien présente. On peut certes comprendre qu’au vu des affaires récentes (Jean Sarkozy ou Frédéric Mitterand) une envie d’étouffer la contestation naisse dans l’esprit de certaines personnes.

Pour moi, cette envie est d’autant plus forte que la source de l’information n’a pas de visage, ou plutôt qu’elle n’a pas de visage identifiable. Twitter est l’outil par excellence de cette propagation virale et presque anonyme de l’information. Celle-ci se distingue complètement de ce qui se faisait dans les médias standards où tout finit par prendre un visage (le porte parole d’un collectif quel qu’il soit par exemple). Et s’il n’y a pas de visage c’est par un sondage (qui traite de réponses à des questions formulées par le média lui-même) que la voix du peuple s’exprime. Dans cette fabrication de l’information, la communication se fait toujours d’un individu identifié vers le grand nombre. Or, qui dit identification, dit possibilité de contrôle (par contre direct ou par pression par exemple) et c’est pour cela en bonne partie que les médias traditionnels n’effraient aucun homme politique.

Internet fait d’autant plus peur que 2009 a été l’année de l’émergence de Internet comme lieu politique. De nombreux événements ont été architecturés ou conditionnés par Internet :

  • L’élection de Barack Obama qui a fait une campagne utilisant intelligemment les moyens offert par Internet
  • La contestation en Iran (Internet intervenant notamment pour la diffusion des images et pour la synchronisation des manifestants)
  • La manifestation anti-berlusconi du 5 décembre à Rome organisée par des blogueurs

Ces trois événements relèvent du champ de la politique mais Internet est aussi l’endroit de toutes les contestations. J’en tiens pour preuve que Rage Against The Machine a été le numéro 1 de Noël des charts anglais avec “Killing in the Name of” une chanson de 18 ans d’age. L’origine de ce fait inédit est une volonté d’échapper à la “dictature de X-factor” qui s’est matérialisé par un groupe Facebook dont la popularité a explosé en quelques jours. Là aussi, pas de leader charismatique de la contestation mais un intérêt commun qui se nourrit des contributions de chacun et renverse une institution (ici la programmation médiatique de la prise de la tête des charts par le vainqueur de X-factor). Cette histoire est certes anecdotique mais elle montre que l’influence des médias classiques (ici comme prescripteur) peut-être contrée par un mouvement né spontanément sur Internet.

L’équilibre des forces semble être sur le point de basculer. Internet a maintenant la potentialité de devenir une nouvelle agora globalisée, unique et multiple à la fois. Un lieu où une information plus fluide rend possible un échange des idées et un refus de l’arbitraire. Un lieu où des volontés particulières se concertent, se concentrent et font entendre leur voix. Un lieu où des “gus dans un garage” peuvent changer des lois.

GUG !

Debian, le retour de la faille SSL

La distribution Debian GNU/Linux est habituée au problème de hasard pas si aléatoire que ça. Cela s’était illustré avec la faille openssl et cela vient d’être confirmé par le debian logo en ascii art du boot.

J’en tiens pour preuve le screenshot suivant :

Debian et le retour du SSL

Hé oui, on a clairement sur l’avant-dernière ligne -)SSL,,

Deux hypothèses :

  • Un manque de chance lors de la génération du log par le système image vers ASCII
  • Une jolie autodérision

Hadopi, partage et création

Bon, oui c’est vrai, je n’ai pas grand chose à dire là dessus. Alors, je laisse la parole à ceux qui savent l’utiliser :

Partager n’est pas voler de La Quadrature du Net.

Si l’on considère les propos de notre ministre de la culture “ce qui compte c’est l’avenir de l’industrie”, il est facile d’avoir un majorant du prix de la liberté du peuple français dans son entier : c’est le chiffre d’affaire des industries “culturelles”.

Lenteur de subversion en image.

J’utilise de plus en plus git mais de nombreux projets sur lesquels je travaille utilise “encore” subversion. Récemment dans le cadre d’une séance de debug nocturne avec Pollux, j’ai tapé une commande subversion sur les sources de NuFW :

svn log -r 5437:5443

Là, ça a pris du temps, beaucoup de temps. Bon, d’accord, subversion ne stocke pas l’historique et il faut aller chercher les informations sur le réseau mais tout de même.

J’ai lancé nf3d pour voir la tête des connexions ouvertes par subversion pour réaliser sa tâche. L’analyse des dégâts a été rapide comme le montre le screenshot suivant :

nf3d : svn log sur le projet NuFW
nf3d : svn log sur le projet NuFW

En blanc, on peut voir les connexions de svn. Je ne m’étonne plus du tout de la lenteur en voyant ce carnage…