Comprendre et bien utiliser le fichier hosts, quel que soit votre système d'exploitation.

Le fichier hosts ?
Presque un gros mot pour la plupart des utilisateurs lambda, mais qui a le mérite d'être facile à comprendre et puissant dans son utilisation.

Dans cet article, il n'y aura pas grand-chose de très technique.

Invisible Things Lab est une société polonaise spécialisée dans la sécurité. Elle est à l'origine de QubesOs, un projet où les applications bureau tournent toutes dans une machine virtuelle Xen, ce afin de renforcer le plus possible la sécurité.

C'est un membre de cette équipe, Rafal Wotjtczuk, qui a trouvé un moyen légitime, sans aucun bug donc, d'obtenir des privilèges root à travers une application graphique pour faire des actions malicieuses.

Cette vulnérabilité, révélée le 17 août et découverte deux mois plus tôt, est maintenant comblée dans les noyaux 2.6.27.52, 2.6.32.19, 2.6.34.4, et 2.6.35.2.

Self Service Password est une interface web très simple permettant à un utilisateur de changer son mot de passe dans un annuaire LDAP. Cet annuaire peut être Active Directory ou un annuaire LDAP conforme au standard.

Le logiciel est en PHP, sous licence GPL.

Cette nouvelle version apporte les nouveautés suivantes :

• Réinitialisation par question/réponse
  
• Réinitialisation par jeton envoyé par mail
  
• Contrôle des caractères spéciaux dans le mot de passe
  
• Possibilité d'interdire certains caractères dans le mot de passe

L'interface est désormais traduite en 5 langues : anglais, français, allemand, espagnol et brésilien.

La documentation a également été entièrement réécrite.

La conférence Black Hat, dédiée à la sécurité informatique, se finit aujourd'hui à Las Vegas. Les téléphones mobiles évolués dits smartphones tels que iPhone ou Android et les problèmes de confidentialité inhérents y ont eu une place importante. La société Lookout a assisté à la conférence et a présenté un projet, App Genome, qui a révélé d'intéressantes informations à propos de la sécurité des applications mobiles... mais n'est-ce pas pour mieux faire de la pub à sa propre application (propriétaire jusqu'aux oreilles) Lookout, qui permet de garder les utilisateurs à l'abri d'applications malintentionnées... selon eux ?

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 1.9.0 de PacketFence. Ce dernier est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

PacketFence possède un grand nombre de fonctionnalités. Parmi celles-ci, on retrouve :

• L'enregistrement des composantes réseau grâce à un puissant portail captif ;
  
• Le blocage automatique, si souhaité, des appareils indésirables ;
  
• L'enrayement de la propagation de vers et virus informatiques ;
  
• Le freinage des attaques sur vos serveurs ou diverses composantes réseaux ;
  
• La vérification de la conformité des postes présents sur le réseau (logiciels installés, configurations particulières, etc.).

PacketFence est une solution non-intrusive qui fonctionne avec une multitude d'équipements réseaux (filaire ou sans fil) tels ceux de Cisco, Aruba, Nortel, Hewlett-Packard, Enterasys, Accton/Edge-corE/SMC, 3Com, D-Link, Intel, Dell et plus encore.

PacketFence supporte dorénavant les contrôleurs sans fil WiSM, la série 1800 ISR, ainsi que les commutateurs 3750 et 4500 de Cisco. Le commutateur Foundry FastIron 4802 est dorénavant supporté avec téléphonie IP et les commutateurs HP ProCurve 3400cl, SMC8824M et SMC8848M sont maintenant supportés. De nouvelles fonctionnalités telles la catégorisation de composantes réseau pour l'assignation dynamique de VLAN ainsi que la prise en charge du matériel flottant ont été ajoutées. Des paquets pour Red Hat Enterprise Linux (ou CentOS) sont disponibles sur le site officiel du projet ainsi qu'une version pré-configurée dans une image de type VMWare.

Depuis 2001, les Assises de la Sécurité et des Systèmes d’Information réunissent un millier de professionnels : 600 DI, DSI, RSSI, Risk managers et experts sont présents, soit la quasi-totalité des décisionnaires grands comptes stratégiques des secteurs publics et privés.

Le Lauréat 2010 est le logiciel Digital Forensics Framework développé par la société ArxSys spécialisée dans l'informatique légale.

L'article bien documenté de l'AFUL insiste particulièrement sur le fait que c'est la première fois en près de dix ans qu'un logiciel libre est primé par cette institution. Cela montre non seulement que les logiciels libres sont performants (nous le savions déjà !) mais aussi que leur crédibilité a atteint les milieux d'affaires privés et publics.

NdM : on peut traduire le nom du logiciel par « ensemble d'outils numériques pour la criminalistique », donc l'étude après-coup des fichiers après erreur ou plantage, la recherche et l'analyse d'éléments de preuves.

Le Sharkfest est un événement annuel qui se déroule aux États-Unis, centré sur l'incontournable Wireshark. Anciennement connu sous le nom d'Ethereal, c'est un « packet sniffer » libre (GPLv2) multi-plates-formes (Linux, Solaris, FreeBSD, Windows, Mac OS X). Véritable couteau suisse de l'analyse de protocole (il en reconnait pas loin de 800), ses utilisations sont multiples : des plus légitimes dépannage, analyse réseau, développement et rétro-ingénierie de protocoles , au plus controversées comme le piratage (au même titre que tout autre logiciel - P2P - ou couteau de cuisine)

Le dernier en date Sharkfest - troisième du nom - s'est déroulé du 14 au 17 Juin 2010 sur le campus de l'université de Stanford à Palo Alto, CA. Les quelques sessions ci-dessous, tirées des programmes officiels, donnent la teneur des échanges :

• Scripting and Extending Nmap and Wireshark with Lua ;
  
• Visibility into the DMZ Network with Wireshark ;
  
• Advanced Threat Intelligence and Session Analysis.
  

Gageons que les présentations seront bientôt disponibles. En attendant, les impatients pourront se plonger dans la lecture des présentations - pas toujours dans un format ouvert d'ailleurs - des deux années précédentes.

Metasploit est une boîte à outils servant à faciliter les tests d'intrusion. À l'origine c'était un jeu réseau, mais il a évolué pour devenir en 2003 un outil facilitant l'exploitation de failles. Il propose une base de données d'exploit (permettant d'exploiter les vulnérabilités des logiciels pour entrer sur une machine et en prendre le contrôle) à utiliser en conjonction avec une base de données de payload (shellcodes, permettant d'effectuer diverses actions sur la machine attaquée).

Cette nouvelle version corrige de nombreux bugs, apporte cent nouveaux exploits, mais également de nouvelles cibles pour les outils de découverte de mots de passe par force brute, et de nombreuses améliorations pour meterpreter : capture d'écran de la machine attaquée, compression et obfuscation des échanges réseau, etc.

Suite à une dépêche de pBpG sur la sécurité et le "Threat Modeling", j'ai eu une intéressante discussion avec ce dernier.
Je suis parti de l'idée que pour améliorer la sécurité, il fallait commencer par fournir des garanties aux utilisateurs de logiciel.

Aujourd'hui, je reçois Crypto-Gram, par Bruce Schneier. Le dernier article traite des assurances dans le domaine de la sécurité logiciel et émet l'avis qu'elles sont nécessaires pour faire réellement avancer la sécurité et que les nouvelles méthodes n'apporteront rien.

J'ai donc tenté l'exercice (fort difficile) de la traduction, Lord, have mercy...

Dans le monde connecté d'aujourd'hui, beaucoup d'applications se retrouvent à communiquer à droite à gauche avec d'autres, et se mettent à stocker des informations privilégiées de valeur : numéros de carte de crédit, mots de passe, numéros de sécurité sociale, correspondance privée, etc. Sécuriser une application et s'assurer qu'elle est robuste est donc une étape importante du développement du logiciel. Cela passe notamment par ce que l'on appelle chez les mangeurs de hamburgers le threat modeling (modélisation de menaces pour les non-anglophones).

Le threat modeling s'est imposé chez Microsoft après une période que l'on peut qualifier de "noire" au début des années 2000 et a grandement aidé à améliorer la sécurité de ses logiciels depuis. Toutefois, elle n'est pas forcément des plus faciles à implémenter.

Quelles sont vos expériences sur le sujet ? Est-ce que ce processus est utilisé dans vos développements informatiques ? Si oui, quels sont vos retours d'expérience ? Si non, pourquoi ?

InvisibleThings et plus précisément Joanna Rutkowska, chercheuse polonaise en sécurité, vient d'annoncer Qubes, un environnement Xen de travail sécurisé. J. Rutkowska a publié de nombreuses attaques (avec leur implémentation) sur Xen, la virtualisation matérielle ou plus récemment TrueCrypt.

L'objectif du projet est de fournir un environnement sécurisé par isolation (une VM pour le travail, une pour le surf, une pour le surf sécurisé etc) tout en fournissant les fonctionnalités nécessaires à sa réelle exploitation au quotidien.

Pour la cinquième années, ACISSI organise le Salon Informatique de Maubeuge, qui grandit et change de nom, pour devenir les RSSIL, Rencontres des Solutions de Sécurité et d'Informatique Libre.
En 2009, les RSSIL ont eu l'immense plaisir d'accueillir pas moins de 2000 visiteurs, 36 exposants, 300 concurrents pour les challenges.
Alors, en 2010, la recette reste la même, mais les quantités augmentent, comme pour un gâteau que l'on veut partager avec plus de monde.
Au programme :

• La partie exposition, avec cette année pas moins de 60 stands disponibles pour des présentations et des démonstration afférentes au Libre. Comme pour les éditions précédentes, des LUGs et des association vous présenterons, vous expliquerons et vous aiderons dans l'utilisation de nombreux logiciels Libres !
  
• Les conférences sur divers sujets du Libre, de l'économie du Logiciel Libre aux lois liberticides, en passant par la présentation des outils par les développeurs eux-même !
  
• Le challenge de sécurité Hacknowledge, avec la participation de membres de divers projets (dont BackTrack 4) pour la création des épreuves ;
  
• Le challenge des IUT de France, et ses trois épreuves (Applicative - Web - Sécurité) ;
  
• La nuit de Jeux en réseau (LAN) ;
  
• Et tant d'autres animations ...

Le logiciel libre, la sécurité, les challengers, les visiteurs, les exposants et les conférenciers de haut vol... tous les ingrédients d'un rendez-vous à ne surtout pas manquer !

Où ça ?

À l'Espace Sculfort
Rue Jean-Jaurès / N39
59600 MAUBEUGE

Quelques dates :

• Date limite de soumission : 10 Avril 2010 ;
  
• Déroulement des conférences : 4 & 5 Juin 2010.
  

Pour plus d'infos, rendez-vous sur le site officiel rssil.org.

L'écosystème des distributions GNU/Linux est saturé. Le site Distrowatch en recense plus de 300 et ce chiffre est sans doute une sous-estimation.
On trouve bien entendu les "grandes" que tout le monde connaît (Red Hat/Fedora, Debian GNU/Linux, Ubuntu, Mandriva Linux, etc) mais il existe une multitude de petits projets spécialisés, de forks plus ou moins amicaux, d'expérimentations diverses et variées.
Certaines de ces distributions ont choisi de se spécialiser dans le secteur de la sécurité et il m'a semblé intéressant de regarder d'un peu plus près ce qu'elles avaient à proposer.

Il n'est pas question ici des live-CD spécialisés qui permettent de vérifier la sécurité d'un réseau ou d'un poste local (du type Network Security Toolkit ou bien HoneyWall). Ces distributions sont incontestablement intéressantes mais ce n'est pas le sujet de cette dépêche. Ce qui va être examiné ce sont les distributions installables qui veulent proposer une sécurité au dessus de la moyenne. Seront également examinés certains patchs ou paquets spéciaux pour des distributions préexistantes.
La niche écologique de ces distributions spéciales, ou de ces variantes, c'est la promesse d'une sécurité supérieure par le biais de diverses améliorations techniques.

Dans la suite de la dépêche nous examinerons donc :

• OpenWall
  
• EnGarde Secure Linux
  
• Grsecurity/Pax
  
• NetSecL
  
• Bastille Unix
  
• Hardened Gentoo/Hardened Debian
  

Décidément, ça bouge chez EdenWall Technologies (anciennement INL) ! Deux semaines après la sortie d'une nouvelle version majeure de NuFW, l'éditeur nous gratifie d'un pare-feu complet et modulaire, NuFirewall, géré via une interface graphique conviviale. Il est composé de différentes briques :

• Administration système (réseau, DNS, annuaire d'utilisateurs...) ;
  
• Création de règles de filtrage Netfilter et NuFW ;
  
• Analyse graphique des logs ;
  
• Parefeu identifiant ;
  
• Gestion des certificats (PKI).
  

La seconde partie de la dépêche détaille les différentes briques.

Si je ne me trompe, la dernière annonce sur LinuxFr concernant OpenSSH date d'octobre 2006, c'était la version 4.4. Depuis, du boulot, des améliorations mais dans la continuité. Cependant, le 8 mars 2010 tombe dans les bacs la version 5.4 qui apporte des changements de grandes ampleurs qui sont passés en revue dans la seconde partie de la dépêche.

Petite présentation pour commencer: OpenSSH implémente un client et un serveur pour les différentes versions du protocole SSH ainsi que le support pour le SFTP (à ne pas confondre avec le FTPS qui est du FTP dans un tunnel SSL). OpenSSH est distribué sous licence libre BSD et c'est un peu le fer de lance des développeurs d'OpenBSD. Il permet de se connecter à distance sur une machine et intègre un nombre impressionnant d'opérations utiles : shell distant, transfert de fichier, redirection de ports, tunnel...

La société EdenWall Technologies, anciennement INL, a annoncé ce 2 mars 2010 la sortie de NuFW 2.4.0 après deux ans de travail. Cette nouvelle version du pare-feu identifiant sous licence GPL apporte des gains conséquents en terme de performance et d'extensibilité.

On notera notamment un protocole extensible par des greffons coté client et serveur ainsi qu'une optimisation drastique des temps de réponse sur les réseaux à forte latence.

Enfin, le projet NuFW a un nouveau site web rassemblant les différents logiciels liés au pare-feu identifiant.

Si vous vous intéressez un tant soit peu aux mécanismes de sécurisation d'un système GNU/Linux, il ne vous aura pas échappé qu'un nombre croissant de barrières contre les malveillances est maintenant proposé pour empêcher l'exécution de code dangereux.

De la méthode de protection NX (pour No eXecute), à l'ASLR (Address Space Layout Randomization) remplissant aléatoirement des zones mémoire ou variables liées aux processus, en passant par les "Stack canaries" destinés à empêcher les dépassement de tampon, nombre de protections standard existent.

Mais comment savoir si ces protections additionnelles, activées la plupart du temps sans l'aval de l'utilisateur final, sont réellement effectives ou si leur mise en œuvre est plutôt aléatoire au sein du système ?

C'est dans cet esprit que Tobias Klein (de TRAPKIT.de) a écrit le script checksec.sh, avoir en quelques commandes l'état de protection/d'activation sur processus et exécutables (ou processus en cours), librairies liées ou exécutables d'un dossier.

Les commandes disponibles
checksec.sh --proc
checksec.sh --proc-all
checksec.sh --proc-libs
checksec.sh --file
checksec.sh --dir

Le script checksec.sh est intéressant pour apprécier le niveau de solidité d'une distribution par défaut, peut-être raison pour laquelle la distribution Tin Hat l'a adopté récemment et intégré au système .

Self Service Password est une interface web très simple permettant à un utilisateur de changer son mot de passe dans un annuaire LDAP. Cet annuaire peut être Active Directory ou un annuaire LDAP conforme au standard.

La version 0.3 vient de sortir avec son lot de nouveautés :

• Mode SAMBA ;
  
• Traduction allemande ;
  
• Politique locale de mot de passe ;
  
• Nouvelle feuille de style.

Quelques informations complémentaires sur ces nouvelles fonctionnalités :

• Mode SAMBA : lors du changement de mot de passe, le mot de passe SAMBA est également mis à jour ; le mot de passe SAMBA est en effet maintenu dans un attribut différent avec une empreinte particulière (MD4) ;
  
• Politique locale de mot de passe : bien qu'il soit conseillé de laisser l'annuaire contrôler la solidité du mot de passe, il est possible d'activer une politique locale qui permet de jouer sur les contraintes suivantes :
  • Taille minimale ;
    
  • Taille maximale ;
    
  • Nombre minimal de minuscules ;
    
  • Nombre minimal de majuscules ;
    
  • Nombre minimal de chiffres.

Cette politique peut être présentée à l'utilisateur avant qu'il change son mot de passe.

Le projet LDAP Tool Box rassemble plusieurs outils destinés à faciliter la mise en place d'annuaires LDAP. Par exemple, des RPMs pour la dernière version stable d'OpenLDAP (2.4.21) ont été publiés très récemment. Il existe également un ensemble de greffons pour Nagios ou Cacti.

Après plus d'un an de développement, PPasskeeper arrive en bêta 2. PPassKeeper est une bibliothèque d'abstraction de stockage de mots de passe accessible en C/C++, ligne de commande et Python. Elle est basée sur un système de greffons et est sous licence LGPL v2.

Sa création part du constat que les applications multi plate-formes sauvegardent le plus souvent des données utilisateur sensibles dans des fichiers textes en clair. Cela peut s'expliquer simplement par le fait que ces applications ne peuvent pas se permettre de programmer la prise en charge de chaque système de stockage de mots de passe disponibles. Pour simplifier le travail des programmeurs multi plate-formes et pour augmenter la liberté des utilisateurs de choisir où stocker leurs données, PPassKeeper a vu le jour.

Des paquets sont disponibles pour Linux (ArchLinux, Fedora et Ubuntu) et pour Windows. Des contributions pour les améliorer ou ajouter la prise en charge de nouvelles distributions seraient les bienvenus.

Avec un temps de développement de bientôt 2 ans, PPassKeeper commence à atteindre une certaine maturité dans son développement. Cette version attend vos commentaires à la fois sur l'API, des idées de greffons, sur la façon dont les greffons peuvent être configurés ou sur toute autre chose qui vous intéresserait.

En ce premier janvier 2010, un bug fâcheux a été découvert dans SpamAssassin.

En effet, il existe une règle nommée FH_DATE_PAST_20XX dont le but est d'augmenter de 3.4 points le score d'un courriel (donc la probabilité qu'il s'agisse d'un spam/pourriel) lorsque celui-ci a son champ “Date:” dans un futur trop lointain. Or il se trouve que la règle se déclenche lorsque le courriel a été posté à partir de… 2010.

La majeure partie des installations standards de SpamAssassin verront donc le score des courriels analysés surévalué.

Un correctif[2] a été commité en juillet dernier, mais il n'est ni présent dans la dernière version de SpamAssassin, ni dans les règles mises à jour par sa-update.

APITUX vous invite au petit déjeuner organisé par Libertis, le réseau opérationnel des sociétés de services en logiciels libres, le vendredi 18 décembre 2009 de 9h à 10h30 chez XSALTO, rue Pasteur, à Digne-les-Bains.

Autour d'un café, pour échanger sur le thème la sécurité des données grâce au logiciel libre.

Avec les interventions de :

• Jean-Christophe Becquet (APITUX) : utiliser des formats ouverts pour garantir la pérennité des données
  
• Renaud Zigmann (XSALTO) : sécuriser son réseau et ses données avec des logiciels libres

Après près d'un an de développement et de mise au point. Le logiciel EvalSMSI est disponible au téléchargement.

EvalSMSI est une application WEB, sous licence GPL, développée en PHP/MySQL, permettant de réaliser l'évaluation d'un Système de Management de la Sécurité de l'Information (SMSI).

S'appuyant sur la méthodologie proposée par la norme ISO 27001, cet outil a pour objectif de faciliter les opérations d’audit interne et de suivi des actions liées au management de la sécurité de l’information dans un organisme ou dans un groupement d'organismes.

Ses principales fonctionnalités sont :

• la réalisation d'évaluations internes à partir d'un questionnaire,
  
• la génération de graphes radars pour les résultats,
  
• la gestion d'un tableau de bord pour les évaluateurs,
  
• le suivi des évaluations sur plusieurs années,
  
• la génération automatique de rapports...

Une situation de compétition (race condition) a été trouvée le 14 octobre dans les fonctions pipe_read_open(), pipe_write_open() et pipe_rdwr_open() du noyau Linux par Earl Chew, bug vieux de plus de dix ans. Deux jours plus tard, Earl a écrit un patch corrigeant le bug (commité le 21 octobre, il fait partie de la version 2.6.32-rc6).

L'histoire pourrait s'arrêter là, mais Eugene Teo de Red Hat a découvert cinq jours plus tard que le bug est une faille de sécurité. La faille est facile à exploiter avec la boîte à outils de Brad Spengler. Comme les dernières failles du noyau Linux (vmsplice(), tun_chr_pool() et perf_counter), la faille est liée au déréférencement d'un pointeur NULL. Brad Spengler a écrit un exploit (pouvoir passer root à partir d'un compte utilisateur) fonctionnant sur, au moins, Debian Etch, Fedora (6, 10 et 11), et RedHat (5.3 et 5.4). L'exploit contourne les protections SELinux dans le cas de Fedora 10 et RedHat 5.4. Il devrait publier son exploit dans les prochains jours.

Pour se protéger (ou vérifier si votre système est vulnérable ou non), assurez-vous que la valeur de /proc/sys/vm/mmap_min_addr ne soit pas nulle. Debian Sid, Mandriva Linux 2010.0, Fedora 12, Ubuntu (Ibex et supérieurs) et les noyaux patchés avec grsecurity ne sont pas vulnérables. Alors que Debian Lenny et Squeeze ont une valeur nulle par exemple (il est prévu de changer ça à partir de Debian 5.0.4). Comme l'option mmap_min_addr a été introduite dans Linux 2.6.23, Debian Etch (qui utilise un noyau 2.6.18) est vulnérable : vous pouvez utiliser les paquets etchhalf pour installer un noyau 2.6.24. Des correctifs pour RedHat sont déjà disponibles.

Le projet LDAP Tool Box (aussi connu comme LTB project) est une compilation de petits outils destinés aux administrateurs d'annuaires LDAP. Certains de ces outils sont dédiés à OpenLDAP, mais la plupart peuvent être utilisés sur n'importe quel annuaire compatible avec le standard LDAPv3.

On trouve par exemple dans ces outils des scripts de supervision pour Nagios et Cacti, des RPMs de la dernière version stable d'OpenLDAP, ou encore une interface de changement de mot de passe.

LDAP Tool Box est publié sous licence GPLv2.

Hack.lu est une convention/conférence où les spécialistes peuvent discuter sur la sécurité informatique, les aspects de la vie privée, les technologies de l’information et son implication dans la société. Le but de cette convention est de réaliser des liens entre les différents acteurs du monde de la sécurité informatique.

Les sujets abordés pendant cette édition sont d’actualité, à la pointe de ce qui se fait actuellement. Entre autres :

• New advances in Office Malware analysis ;
  
• PDF- Penetration Document Format ;
  
• Some Tricks For Defeating SSL In Practice ;
  
• etc.
  

Cette convention est le lieu idéal pour créer des liens avec des interlocuteurs spécialistes de la sécurité, se tenir au courant des dernières bonnes pratiques dans le domaine, ainsi que de s’informer sur le matériel disponible.

Comme l'année passée, celle-ci se tiendra à Luxembourg-Ville à l'Alvisse Parc Hotel. Les dates retenues sont du 28 au 30 octobre. Réservez votre entrée dès maintenant afin de pouvoir bénéficier du tarif réduit (entre 100 et 500€ selon votre statut (étudiant ou non) et la date de la réservation).