Dans Les Echos.net, supplément du journal les echos du 30 Avril 2001, un article intéressant sur les "Web bugs", des espions invisibles installés sur les sites marchands. C'est en première page et page 17.
En prime quelques articles sur le piratage des DVD.

Michael Zalewski vient de publier un article de recherche sur l'utilisation des méthodes mathématiques des systèmes formels (désolé pour ceux qui sont déjà lachés; les fans de chaos me comprendront) pour la prédiction des numéros de séquence TCP/IP : "Strange Attractors and TCP/IP Sequence Number Analysis".

Cet article est très intéressant pour la sécurité TCP/IP et montre que notre OS favori ainsi que OpenBSD ont les implémentations TCP/IP les pus sûres contre ce type d'attaque.

D'abord c'était pas vrai, leurs modems étaient nickels...

Suite à la publication de l'avis du CERT, les gens d'Alcatel ont
soudain revu leur communication. Les marketoides on encore tout
compris :-/

Grosso modo, ils préconisent la vérification de la conf du modem, l'usage d'un FW et confirment la technique du bounce.

Dans la page "UPDATE ON ALCATEL SPEED TOUCH MODEM" il y a un détail
qui me chiffone:


"According to recent tests, the primary vulnerability referred
to in the advisories do not apply to the vast majority of
mainstream operating systems used by residential and
small business subscribers, such as Windows 95, 98,
98se, ME, and typical installations of NT4.0 Workstation,
2000 Professional and the latest commercial releases of Linux"

Sans commentaires...

Un article intéressant sur www.technosphere.tm.fr va réveiller les paranos que nous sommes. Souriez vous êtes tracé! fiché, cookifié et espionné!
La version francaise des Big Brother Award s'est déroulée en décembre 2000, et n'a rien à envier à celle des Etâts Unis...
Brrrr ça fait froid dans le dos...

Il a été souvent question de sécurité ces derniers temps concernant linux et sécuriser sa petite boîte n'est pas chose aisée. Réjouissez-vous, le projet libre Bastille arrive dans sa nouvelle version. Elle supporte presque totalement mandrake 8 beta ainsi que redhat 7.1 dans sa version 1.2.0rc2.

Cette version ajoute précisemment les derniers rafinements en matière de sécurité mais aussi une interface graphique en tk/Perl fort sympathique. Le setup vous permet de paramétrer votre machine sous trois types de sécurite : faible, moyenne ou paranoïaque et ensuite le type de machine : station de travail ou serveur. C'est bien fait, le projet est mis à jour régulièrement et la finale ne saurait tarder !

La réponse d'Alcatel... Il y avait pas de quoi s'inquiéter. Toutes les failles indiquées ne pouvaient être utilisées que de l'intérieur et les OS Win95/98/2000/NT et Linux n'ont pas de port "bounce". De plus, aucune démonstration d'infiltration n'a été faite pour l'instant.
On peut quand même admirer la rapidité de la réponse d'Alcatel ...

Une faille de sécurité vient d'etre découverte dans le firewall des noyaux 2.4 (Netfilter) . Si vous utilisez le module ip_conntrack_ftp, un attaquant est en mesure de s'affranchir du filtrage vers le serveur sur n'importe quels ports. Il peut par exemple se connecter en telnet sur la machine hébergeant un FTP depuis l'extérieur, meme si cette règle a été interdite. Les machines effectuant du masquerading sont tout aussi touchées.

IPFilter, qui est aux *BSD ce que IPChains est à Linux (mais en beaucoup plus puissant), comporte une faille dans la gestion des paquets fragmentés.

Par exemple, si le Firewall autorise les connexion vers le port 80 d'un serveur web dans une DMZ, l'exploitation de cette faille permet de se connecter à TOUS les ports ouverts sur cette machine, outrepassant les règles du firewall.

Les détails sont dans un post de Bugtraq, et la version 3.4.17 d'IPFilter corrige ce problème.

A vérifier, mais une faille de sécurité assez cruciale, semble avoir été découverte dans les noyaux 2.2, comme l'article date du 28 Mars on ne peux exclure un poisson d'avril, je suis tombé sur la news et j'ai rien eu le temps de vérifier, à vos remarques ....
Note du modérateur: Effectivement il faut upgrader en 2.2.19.
Frédéric Raynal nous dit:
« D'après les messages que j'ai lus rapidement, l'idée est d'utiliser la fonction ptrace(). Le programme crée un processus fils puis le remplace avec le progamme SUID à exploiter (n'importe quel prog suid convient) via un execl(). Le processus fils conserve donc le même PID. Un signal est envoyé au processus père pour lui signaler que le prog suid est lancé. Dès lors, le père change les registres du processus fils de sorte à ce que le registre d'instruction %eip pointe sr le shellcode à exécuter. »

Un nouveau vers vient d'être découvert sous linux: Adore. Il semble dater du 1° avril. En suivant le lien, vous trouverez un script qui détecte et permet de supprimer le vers de votre système (au cas où vous en auriez besoin), et aussi les liens vers les patches corrigeant les problèmes dans LPRng, rpc-statd, wu-ftpd et BIND.

Le monde a lancé une interview de Stéphane Fermigier à propos des vers sous Linux.

Depuis hier, notre cher pays est dote d'un decret qui permet de signer electroniquement....
Désormais, «l'écrit sur support électronique a la même force probante que l'écrit sur support papier», selon la loi votée en mars 2000. Mais il ne suffit pas de taper son nom au clavier ou de scanner une feuille avec son paraphe: le décret publié samedi précise qu'une signature électronique ne bénéficie de la même présomption de fiabilité qu'un paraphe manuscrit qu'à condition de s'appuyer sur un «prestataire de services de certification» (PSC).

Après Kioto, l'administration Bush dénonce l'accord conclu entre les Etats-Unis et l'Union européenne concernant l'application de la directive européenne de protection des données personnelles.
Une très bonne analyse est en ligne sur le site d'infoguerre.

Avoir le Net au bureau c'est pratique, on peut surfer, écrire à plein
de gens sans bourse délier. Oui mais, la situation est elle vraiment aussi idylique qu'il y parait ? Certaines rumeurs font état de surveillance des communications électroniques par les employeurs. Si l'on en croit cet article ce sont plus que des rumeurs puique la CNIL a commis un rapport : "cybersurveillance des salariés dans l'entreprise".

Avec le kernel 2.4 iptables (netfilter) remplace ipchains. Plus de fonctionnalités (dont un NAT fonctionnel), syntaxe un peu diffèrente.
Un petit tutoriel ne fait pas de mal ;-).

Depuis que l'hébergeur multimania (ex Mygale) offre l'utilisation de PHP à ces membres, les pages qui utilisent ce module sont très souvent inaccessibles. Pire encore, ce samedi, les pages utilisant PHP étaient à la disposition de tous, le code n'étant plus exécuté. Le problème, c'est que les mots de passe utilisateurs apparaissent alors dans la source à la vue de tous.
Pas pratique pour donner confiance à des membres très souvent en colère.

Note du modérateur: L'auteur de cette nouvelle proposait un lien sur un site de Multimania comme exemple, nous l'avons retiré pour éviter les abus. Ce n'est pas dur de trouver un exemple si vous voulez voir les codes des sites hébergés...

le 21 mars dernier, l'IETF Secure Shell Working Group a rejeté la demande de Tatu Ylonen pour la reconnaissance de sa marque déposée "SSH" par un vote de 3 contre 1.

En effet, les membres du Working Group ont décidé que "Secure Shell" et "SSH" sont des termes génériques qui ne peuvent être protégés par des dépôts de marque.

Apparemment, Tatu était très déçu par cette décision qu'il a considéré comme injuste vu que c'est lui qui a inventé le terme et le protocole. La différentiation de ses produits à travers sa société SSH.com coûterait trop cher. Il va donc consulter ses avocats.

Allons-nous éviter le 'mv /usr/bin/ssh /usr/bin/secsh' ?

Un article du N.Y. Times d'hier indique qu'une société Tchèque, ICZ, aurait trouvé une faille de sécurité dans PGP. Il ont déjà prevenu << P.G.P. engineering >> et publieront sur leur page le problème dès demain.

Mais pas de panique : la faille résiderait dans le cassage de la protection de la clef privée : il faut déjà y accéder !

GPG aurait-il le même genre de soucis ? Peut-être pas... plus d'infos demain, donc.

Note: pour lire l'article du NY Times, c'est gratuit, mais il faut s'inscrire.

Tous les serveurs sous ProFTPd sont vulnérables à un déni de service. Il suffit de se connecter normalement puis de lancer la commande
ls */../*/../*/../*/../*/../* (etc.) pour que le démon prenne subitement toutes les ressources (cpu et mémoire) de la machine qui finit par s'écrouler.
Le serveur FTP de NetBSD semble avoir le meme problème et il est possible que d'autres logiciels soient concernés par la meme faille.
L'équipe de ProFTPd tente de résoudre le bug, classé critique.

update: PureFTPd, qui n'aurait pas avoir avoir ce bug (mais qui l'a quand même). L'auteur s'est fait avoir à son propre jeu, hihihi :-)

IBM publie la première partie d'une évaluation des modifications proposées par la NSA dans sa version Linux "Security Enhanced" (SE). C'est extrêmement intéressant (et constructif, contrairement à la paranoïa aveugle de certains).

Vu dans Login Mars 2001: la NSA (l'espionnage made in USA, fort connu grâce au projet Echelon) sortirait une distribution entièrement GPL où elle aurait ajouté des sytèmes de sécurité. On la soupçonnait d'avoir fait mettre dans Windows des backdoors, maintenant elle voudrait renforcer la sécurité d'un système déjà mieux sécurisé que ce dernier ?
Update: le précédent modérateur n'a pas fait son travail, la nouvelle est déjà passée au moins 1 fois. Désolé.

A lire, c'est déconcertant. Vous y verrez que la NSA n'a pas besoin de déployer tout son arsenal technologique pour espionner la Commission Europeenne :(

Extrait:
"Comme son titre le laisse suggérer, cet ouvrage se veut une véritable référence en matière de cryptographie pratique. Avons-nous là un successeur du fameux livre de Bruce Schneier ? ".

La version 2.5.1 d'OpenSSH est disponible. Cette version intégre maintenant un client sftp (Secure FTP) en standard ainsi que bien sur le sftp server qui est maintenant activé par défaut dans le fichier de conf. Parmi les goodies:
-support en natif des protocoles 1.3, 1.5 et 2.0
-code cleaning de SSH2
-agent forwarding
-misc. bugs.
Il est conseillé d'upgrader à cette version. Pour celles/ceux qui veulent la sécurité, il n'y a plus qu'à !

On en parlait depuis un moment, la rumeur est confirmée : Zimmerman quitte Network Associates, dont il dénonce la décision de fermer l'accès au source des futurs développement du logiciel.
Le site openPGP s'en réjouit et pose la question cruciale: "Un programme informatique aussi révolutionnaire que PGP, le logiciel du secret absolu, est-il soluble dans une compagnie commerciale ?". Il dénonce notamment l'ajout de "gadgets inutiles voir dangereux" et la "windozerie" excessive" de Network Associates... A lire absolument :)