| 20-02-2011 18:19:20 | #1 | |
| Slevin | Hello à vous tous. J'ai une flopée de question pour vous, en vu de l'ébauche d'un nœud portable (type link) très très résistant. Je ne fais pas vous lâcher toutes mes questions d'un coup sinon ça risquerait de vite devenir fouillis ou sordide. Alors commençons par la première : Je ne comprends pas vraiment comment fonctionne l'authentification par Chaîne de Confiance (p. 63 Unwired VF). Ils parlent bien que l'indice de Système sert d'indice de référence (comme celui d'un vérificateur de SIN), mais à quoi l'oppose t'on ? Ce serait quoi le niveau de crédibilité d'un connexion ? Merci. | |
| 20-02-2011 18:25:43 | #2 | |
| okhin | Ça doit être utilisé comme un système de vérification de SIN, donc tu testes ton SIN contre le Système. Vu qu'on st dans une chaine de confiance,tu associe le login à l'ID du personnage. Ça peut aussi être le seuil pour un jet de Falsification (Spoof) pour voler un compte. Ou quelque chose du genre. Okhin | |
| 21-02-2011 09:30:43 | #3 | |
| Slevin | Oui mais lors du hacking d'un noeud, lorsqu'on se créer un compte, on rajoute quelque chose au final. Cependant qu'est ce qu'on oppose justement dans le cas d'une chaine de confiance ? Exemple : Sur le Noeud 1, le hackeur se créer un compte grâce à l'exploitation. Il veut passer sur le Noeud 2 qui lui est connecter en filaire avec le premier et relier par un portail. Le Noeud 2 lui est configurer pour vérifier (par la chaine de confiance) que la connexion établie sur le Noeud 1 est réelle et légitime. Il fait donc un test de Système contre quelle valeur ?? Est-ce que effectivement ce serait un pseudo seuil que le hackeur aurait atteint lors de la falsification de sa piste matricielle? ... en tout cas, c'est assez obscure non? | |
| 22-02-2011 09:16:30 | #4 | |
| Slevin | Bon pas d'idée ? Quelle est le niveau de crédibilité d'un compte ? On est (si je reprends Unwired) dans le cas de compte standard que le hackeur souhaiterait créer (créer plus que falsifier), créer dans le but qu'il soit le plus crédible possible... | |
| 23-02-2011 17:33:01 | #5 | |
| okhin | Alors,il fait un test de Firewall + Analyse contre Furtivité du hacker, puisque ce dernier, pour se connecter, devra utiliser Hacking. Cela étant dit, le réseau de confiance n'est valable que si l'ensemble des noeuds/compte en font parti. Si un compte du réseau de confiance est compromis (et que donc l'utilisateur a réussi à se connecter sur un node en temps qu'utlisatuer bien précis), l'ensemble du réseau de confiance est mort puisque l'ensemble ds comptes/nodes de ce réseau font confiance à un compte compromis. Donc, déjà, ton architecture a une faille (un noeud possédant des comptes de confiance et des comptes ordinaires). Et donc, on ne peut pas 'créer' de compte dans un réseau de confiance, sans que celui-ci ne soit certifié. Donc créé par un membre du réseau de confiance. En terme de jeu, cela nécessite demettre la main sur la clef d'un compte utilisateur (et donc, trés probablement une de ces clefs physique). Après, je dirai que le compte est donc associé à une SIN et que celle-ci est vérifié par le niveau de sécurité du compte (mettons donc un jet en opposition de Système VS indice de la Fausse SIN). Okhin | |
| 23-02-2011 18:45:45 | #6 | |
| Valérian | Il y a plusieurs manière de voir les choses : Manière "rienafout'" : When a character hacks into a node, whether on the fly or by probing, she is actually circumventing normal authentication routines and setting up a fake account that the system believes has access at the privilege level the hacker chose at the start of the attempt. This account is almost never perfect, but the node accepts it as legitimate (Unwired page 65). Donc en fait, du moment que tu rentres dans le node par hacking, tu te crée un compte pour l'occasion et tu ne te fou de savoir comment marchait l'authentification qui ne concerne au final que les vrais utilisateurs. Le soucis de cette approche, c'est que du coup, on se demande à quoi sert de claquer plein de pognon dans des clés alchimiques ou d'autres moyens d'authentification complexes. Manière "par interprétation" : si on regarde la manière dont est construit le paragraphe "authentification", on voit qu'il présente plusieurs méthodes qui sont dans l'ordre : par access ID, par réseau de confiance, par login/mot de passe, par clés physiques. Si on considère qu'ils sont rangés dans par ordre de sécurisation, on s'aperçoit que le réseau de confiance est en fait moins sécurisé qu'un système classique par login/mot de passe. En fait, on peut se faire passer dans les noeuds configurés de la sorte (ils donnent un exemple d'une bibliothèque municipale) pour un utilisateur avec seulement un faux SIN qui devra passer toutefois le test de vérification de SIN. Après, on doit aussi pouvoir hacker sauvagement le noeud et se créer un compte bidon par la méthode habituelle. Donc si ton but, Slevin, c'était de créer un noeud très sécurisé, il ne faut pas partir dans un réseau de confiance mais plus sur un système par clés physiques. De mémoire, il me semble qu'il est suggéré qu'un tel système a un temps de réponse suite à l'entrée d'un hacker bien plus rapide qu'un noeud classique car une fois connecté, on lui demande un code qu'il ne peut fournir. | |
| 23-02-2011 19:36:41 | #7 | |
| GenoSicK | Valérian a écrit: Il y a plusieurs manière de voir les choses : Manière "rienafout'" : When a character hacks into a node, whether on the fly or by probing, she is actually circumventing normal authentication routines and setting up a fake account that the system believes has access at the privilege level the hacker chose at the start of the attempt. This account is almost never perfect, but the node accepts it as legitimate (Unwired page 65). Donc en fait, du moment que tu rentres dans le node par hacking, tu te crée un compte pour l'occasion et tu ne te fou de savoir comment marchait l'authentification qui ne concerne au final que les vrais utilisateurs. Le soucis de cette approche, c'est que du coup, on se demande à quoi sert de claquer plein de pognon dans des clés alchimiques ou d'autres moyens d'authentification complexes. C'est fou, ça rappelle très nettement le problème des DRMs sur les jeux vidéos actuels, où les plus emmerdés sont les utilisateurs légaux et pas les vilains petits pirates.  | |
| 24-02-2011 11:44:44 | #8 | |
| Slevin | Le truc c'est que pour les clefs physiques, l'interrogation du Système n'aura lieu qu'après Système tours... Autrement dit, le hackeur a entre 4 et 6 tours pénard pour faire ses opérations avant que, de sûr, l'alarme se déclenche ... quoi que ça dépend si le hackeur en question n'a pas modifié le journal d'accès ... coté sécurité, j'ai vraiment pas l'impression que la méthode des clefs soient très balèse. J'ai cru comprendre, comme Valérian l'avait souligné, que justement, quelque soit la méthode choisie pour l'authentification, c'était inclus dans le test de hacking ... donc j'ai du mal à vraiment comprendre même l'intérêt de tout le chapitre et les explicatifs sur les authentifications, si de toute manière ça ne changera rien ... | |
| 24-02-2011 11:56:27 | #9 | |
| Carmody | Une manière de donner des idées au MJ pour des systèmes "spéciaux" de type ressort scénaristique non couvert par les règles ? | |
| 24-02-2011 12:16:16 | #10 | |
| Guyde | une manière de développer les moyens de se connecter à un noeud sans passer par la compétence hacking (genre faut tout falsifier mais aussi avoir la clé ou une clé falsifiée... je sais pas trop)... ou pour sécuriser un peu plus les noeuds filaires peut-être... | |
| 24-02-2011 12:29:48 | #11 | |
| Valérian | A mon avis, c'est juste décrit pour qu'on sache un peu comment ca marche en vrai... sans qu'un hackeur vienne y mettre les pieds. | |
| 24-02-2011 19:20:29 | #12 | |
| Le Dieu Fred | Ben a priori, un nœud nécessitant une clef physique pour se connecter ne devrais pas pouvoir être "hacké" sans voler/falsifier la clef physique. ça ne servirais a rien sinon d'investir des millions dans ce genre de système si ça n'augmente pas la difficulté pour le hacker de façon classique. D'un autre côté ce sera rarement utilisé sur un système portatif, parce que dans ce cas il suffit de poser un flingue sur la tempe du porteur pour avoir accès au nœud en question. C'est a priori plus souvent pour un serveur de données ultra sécurisé, genre les données de recherche du labo en "zéro zone". Globalement tant qu'au moins une clef n'est pas insérée, le nœud serait éteint, donc inaccessible donc non piratable. | |