(réécrite et réaffectée suite à une purge de compte)

Le HOWTO « post-link-time code modification of ELF executables under Linux/i386 » indique diverses manières d'interférer dans des binaires ELF pour un système GNU-Linux.

Rebelote...
Selon le CERT et d'après un rapport de Rapid7, de nombreuses version de logiciels SSH possède une faille permettant de lancer des commandes de l'extérieur avec les privilèges de l'utilisateur du processus SSH ou de permettre des attaques par saturation (DOS).

Tout comme MD5 et SHA-0 l'été dernier, c'est au tour de SHA-1 de plier sous les coups de butoir d'une équipe de cryptographes chinois. C'est ce qu'annonce sur son blog Bruce Schneier, l'auteur du célèbre Applied Cryptography.

Une attaque en 2^69 opérations aurait été trouvée, c'est à dire plus rapide d'un facteur 2000 par rapport à l'attaque par force brute en 2^80 (Cependant, 2^69 opérations reste à l'heure actuelle hors de portée du commun des ordinateurs). Cette attaque, basée sur l'attaque de SHA-0, est un résultat très important dans le domaine de la cryptanalyse. Il faut maintenant attendre que l'équipe publie son papier pour avoir les détails de l'attaque.

Le nombre de fonctions de hachage cryptographique sûres commence à se réduire et, comme le disait d'ailleurs Bruce Schneier quand les collisions sur MD5 et SHA-0 avaient été publiées, il est peut-être temps de réfléchir à un nouveau standard.

NuFW 1.0.0 "European Parliament, Save me!" est sortie hier inaugurant une nouvelle branche stable du projet. Cette version est dédiée aux personnes luttant contre les brevets logiciels en Europe.

Pour rappel, NuFW est un parefeu authentifiant pour GNU/Linux disponible sous GPL : il réalise l’authentification des connexions passant à travers le filtre IP. Des politiques de sécurités telles que : « Bill peut se connecter au serveur imap si il utilise Mozilla sous Linux 2.6.10 » peuvent être implémentées au moyen d'une règle d'accès NuFW unique.

Wapiti est un logiciel libre développé en Python qui va se charger d'auditer la sécurité d'une application web en testant différentes attaques comme l'aurait fait un pirate. Ce logiciel libre est capable de détecter différentes failles de sécurité, par exemple : les injections SQL, les inclusions de fichiers locaux ou distants et les failles XSS.

Pour fonctionner, le logiciel extrait les liens et formulaires à attaquer. Pour chaque script acceptant des paramètres, il va appeler le script en question en testant chaque paramètre les uns après les autres. Toute la force de Wapiti se trouve dans le fait qu'il utilise les paramètres existants pour réaliser ses attaques. En utilisant un code Javascript inoffensif contenant l'url et le champ vulnérables encodés en hexadécimal et un système d'expressions régulières il est capable de retrouver quel script se cache derrière cette faille. Wapiti scanne l'arborescence une première fois pour récupérer les urls des scripts attaquables. Ensuite il va 'fuzzer' les paramètres et voir quelles failles sont présentes. Il re-scanne alors les pages pour voir s'il n'y a pas des XSS permanents.

Wapiti a été notamment utilisé par l'auteur pour traquer les failles de sécurité XSS dans un logiciel libre en PHP/MySQL, ce qui a permis d'identifier puis de corriger quelques failles de sécurité.

La nouvelle version opensource du logiciel d'archivage de messagerie d'OCTANT, Open Mail Archive (OMA2), est en ligne.

La messagerie est devenue un véritable outil de production au sein des collectivités. Pour apporter la sécurité, OCTANT a développé le logiciel Open Mail Archive, qui permet l'archivage des courriels, mais aussi leur restauration avec des outils qui facilitent la tâche des administrateurs système.

La version 2, publiée en licence GNU/GPL, vient d'être mise en ligne sur le site d'OCTANT.

OMA est un système d'archivage de messagerie en PHP basé sur une architecture Postfix/Mysql/Apache/PHP. Il archive tous les flux provenant d'architectures hétérogènes basés sur le standard SMTP.

Voir la suite de l'article pour le détail des fonctionnalités

Un éditeur de plate-forme de filtrage de courriel a tenté une expérience intéressante : soumettre 10 antivirus Linux à quelques virus connus pour éprouver leurs capacités de détection.

Le résultat est étonnant : face à un échantillon de 18 virus connus, un antivirus en laisse passer 17 (!), et seuls 3 antivirus détectent les 18 codes malveillant. Un autre test met les logiciels en contact avec des virus soumis par des internautes, l'échantillon utilisé pour ce deuxième test est donc moins répandu. Heureusement, car au cours du test, tous les antivirus ont laissé passer au moins un virus et certains en ont détecté moins de la moitié.

Les logiciels qui sortent grandis de cette étude sont Kaspersky, un logiciel propriétaire possédant un excellent moteur de détection, et ClamAV, un antivirus libre régulièrement décrié par ses concurrents. La célérité de ClamAV a d'ailleurs été louée par les auteurs du test. Le moteur de ClamAV est également présent dans ClamWin, ce qui en fait un excellent antivirus libre pour systèmes Windows.

Bien que forcément non exhaustive (il manque par exemple NOD32), cette étude illustre le fait que les antivirus sont loin d'être infaillibles.

NdM : d'autres comparatifs d'antivirus sur des échantillons plus larges Clubic juillet 2007, av-comparatives.org février 2007, mai 2007 et PC Mag mai 2007 (seul ce dernier test parle de ClamAV). Un antivirus sous GNU/Linux sert à protèger la machine des rares virus existant pour ce système, et pour les serveurs de courriel, de fichiers, etc. à filtrer les contenus malveillants.

Scapy est un utilitaire Open Source en Python développé par Philippe Biondi, cet outil vous permet de disséquer, de forger, de recevoir et d'émettre des paquets (et des trames) de données pour un grand nombre de protocoles que vous pourrez également décoder : DNS, DHCP, ARP, SNMP, ICMP, IP, TCP, UDP.

L'un des seuls points faibles connu à ce jour, concernant Scapy, est son manque de documentation officielle ou non, notamment francophone, permettant de le destiner à un plus large public que les experts du domaine ; partant de ce constat, le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, met à disposition de tous un document venant combler une partie de ce manque.

Vous y apprendrez notamment comment installer et configurer Scapy ainsi que les rêgles rudimentaires relatives à son utilisation (commandes basiques et avancées) et à la manipulation de paquets (et de trames) de données dont un exemple de génération de graphiques 2D/3D à partir des résultats d'un traceroute réalisé à l'aide de Scapy.

Je profite de la publication de la première version stable d'OpenVAS pour faire un point sur l'état des forks de Nessus.

Créé en 1998 par Renaud Deraison, Nessus a longtemps été le scanner de vulnérabilités de référence du monde libre. Ce succès à permis à son auteur de monter la société Tenable Network Security qui commercialise une offre d'audits de vulnérabilités. Face à une concurrence utilisant sans vergogne son logiciel, comme le permet la GPL, et au vu de la faiblesse des contributions de la communauté au moteur du logiciel, la société a décidé d'utiliser une licence propriétaire pour la version 3 de Nessus fin 2005 .

La réaction de la communauté ne s'est pas faite attendre et de nombreux forks de la version 2 de Nessus ont été lancés dans la foulée, par exemple GNessUs, Porz-Wahn et Sussen parmi les projets ayant été annoncés officiellement.
L'objectif était de continuer à disposer d'un scanner de vulnérabilité libre et performant. Voilà plus de 2 ans que ces forks ont été lancés, force est de constater qu'aucun d'entre eux n'a acquis la renommée de leur ancêtre commun. En effet, au delà des bonnes intentions, la quasi totalité de ces projets n'ont jamais réussi à rassembler suffisamment de développeurs pour permettre de reprendre le flambeau.

Le site de Porz-Wahn est figé depuis son ouverture et tout laisse à penser que le projet est mort, en fait Porz-Wahn a fusionné en toute discrétion avec GNessUs fin 2005.

L'histoire de Sussen est différente des autres forks. Lancé courant 2004, avant le changement de licence de Nessus, Sussen -"nessus" à l'envers :-)- était au départ un client Gnome codé en Mono/C#/GTK# supposé s'interfacer avec le serveur Nessus.
À la suite de la sortie de Nessus 3.0, le projet a pris une tournure différente et la version actuelle n'a plus rien à voir avec le client Nessus originel. Ce logiciel est maintenu par un seul développeur qui, à l'instar de Renaud Deraison, travaille dans une société de services en sécurité. La version de développement actuelle, disponible pour Linux et Windows, est sortie courant 2007. Elle est certifiée OVAL (un standard pour l'échange d'informations relatives aux vulnérabilités). Un seul message ayant été posté sur la liste de diffusion depuis sa création, le blog du développeur reste le meilleur moyen d'avoir des nouvelles de ce logiciel.

Last but not least, GNessUs a changé de nom et s'appelle dorénavant OpenVAS. Il s'agit du seul fork de Nessus encore actif. C'est autour de ce logiciel lancé par un chercheur en sécurité anglais qu'une communauté s'est formée. Suite à la fusion avec Porz-Wahn, des développeurs allemands ont rejoint l'équipe et le projet a d'ailleurs reçu des subventions du gouvernement allemand. Il a aussi retenu l'attention du SPI, une association qui subventionne des projets libres. C'est donc en toute discrétion, après quand même deux ans de travail, que les premières versions stables d'OpenVAS ont été publiées il y a quelques jours à peine, conformément à la feuille de route.
La communauté dispose donc enfin d'un scanner de vulnérabilités libre. Certes son architecture date un peu et de nombreuses améliorations seront nécessaires avant de se rivaliser avec la version actuelle de Nessus, mais c'est un premier pas dans la bonne direction.
N'hésitez donc pas à vous abonner à la liste de diffusion du projet et à contribuer si vous vous en sentez capable.

Vous connaissez Echelon ? C'est le super big brother de nos voisins
d'outre atlantique. Depuis plusieurs années, certains pensent (à juste
titre) qu'Echelon décortique tous les e-mails de la planête, écoutant tout
ce qui se dit.
Que faire ? C'est aujourd'hui 21 octobre qu'il faut agir en tentant de
saturer Echelon de messages électroniques…
Allez-y, foncez !

NdM. : cette dépêche a été initialement publiée le 20/10/1999 à 22h30, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Je ne saurais trop conseiller la lecture de l'oeuvre intégrale de Neal Stephenson.
Son style, ses références, son érudition scientifique, et son humour "sont fait pour nous les geeks" :-) :

* Zodiac, un eco-thriller qui est devenu le bouquin de chevet de nombreux eco-activistes Américains.

* SnowCrash (Le samouraï Virtuel) : remet au gout du jour le cyberpunk avec un bonne dose d'humour. Il contient au moins une idée originale par page.

* Diamond Age (L'age du Diamant) : pour moi le premier bouquin à donner une vision complète des futures technologies Nanotechs et crytographiques.

* Cryptonomicon : un pavé de 900 pages se déroulant sur trois générations, entre la 2ème guerre mondiale et la création d'un dat-heaven de nos jours. Le tout tournant bien entendu autour de la cryptographie (on y parle aussi de Finux...). Attention c'est le premier tome d'une trilogie.

L'essentiel est dans le titre.
Ce patch permet :
- de rendre la pile non exécutable
- de limiter l'accés à /proc
- restrictions des liens et des FIFO dans /tmp
- ...

Il existe depuis peu un concurrent français aux géants Verisign, Thawte et Baltimore. Le petit nouveau s'appelle Certinomis, et propose, comme ses concurrents, des certificats X509 pour sécuriser les échanges de données via HTTP, mais aussi pour identifier les personnes qui se connectent à un site Web.
C'est d'autant plus intéressant que contrairement à ces derniers, Certinomis n'offre pas un outil simplement "technique", mais aussi une assurance juridique (puisque la signature électronique a maintenant une valeur juridique en France). Certinomis propose de télécharger gratuitement un certificat personnel de test, d'une validité de 3 mois.
Note du modérateur : Certinomis est une filiale commune de La Poste et de la Sagem

Bon, je sais que l'info est sur /. mais comme tout le monde ne le lit pas forcément et que le sujet intéresse nombre d'entre nous: RootPrompt a fait une série d'articles intéressants sur la manière de sécuriser Linux pour le connecter à un réseau hostile (genre Internet) sans craindre les script kiddies. Et pour les amateurs de Debian (il y en a pas mal aussi par ici je crois ;-), une section spéciale qui vous explique comment "cacher" votre ordinateur favori pour éviter les scans.
Très bien fait, en partculier pour celui qui n'est pas un expert en sécurité, mais en anglais malheureusement.

PGP, le logiciel de cryptage bien connu, a été racheté en 1997 par Network Associates (ex- McAfee Associates), et depuis ce temps il semble que le programme antique sous MS-DOS Unix s'est transformé peu à peu en une grosse windozerie. Des utilisateurs français qui n'ont pas digéré les derniers bugs (2 bugs en 3 mois, faut dire, dont un dans la version 5.0 Linux) en ont eu marre et tapent du poing sur la table. Ils déconseillent la nouvelle version 7.0 et conseillent GnuPG (GnuPG 1.0.3 vient de sortir avec l'algo RSA dont le brevet tombait ce mois-ci dans le domaine public).

Tout est dans le titre.
Il faut tout de même précisé qu'il existe des correctifs que les administrateurs réseaux connaissent sûrement...

Note du modérateur: Encore un article pour l'internaute moyen qui va lui faire prendre peur :)

Vous désirez connecter un réseau local à l'Internet et vous ne savez pas comment vous y prendre, ou alors vous aimeriez aborder OpenBSD et le situer par rapport à Linux dans un même contexte d'utilisation mais vous ne savez pas dans quel livre regarder, celà tombe bien nous avons lu un livre qui pourrait bien répondre à vos attentes.

Extrait :
De nos jours il est de plus en plus fréquent aussi bien à la maison ou au sein des petites entreprises que le ou les réseaux locaux soient connectés à l'Internet ; or peu d'ouvrages présentent de façon pratique une telle connexion. "Building Linux and OpenBSD firewalls", comme son titre l'indique montre de façon pratique comment réaliser une telle connexion sous ces 2 systèmes d'exploitation. "

Voilà, une adresse qui peut intéresser ceux qui sont effrayés à l'idée de configurer leur firewall eux-même.
Le site propose la création automatique d'un script firewall en fonction de vos paramètres. Une fois le fichier édité, un copier-coller dans un fichier, et voilà.

Europe Online propose un accès Internet par satellite. Seulement il s'avère que les transmissions ne sont pas du tout sécurisées et il est ainsi tout à fait possible d'espionner ce que consultent les autres utilisateurs (plusieurs milliers).

D'autre part le logiciel utilisé pour recevoir des fichiers offline, Fazzt, n'est pas plus sécurisé.

J'en profite également pour dénoncer les pratiques scandaleuse d'Europe Online et de son revendeur français Easynet (débit en constante baisse, surf impossible,...)

D'après Linux Weekly News, un bug de l'utilitaire /bin/su permettrait à n'importe quel utilisateur d'obtenir un shell root sans avoir à saisir de mot de passe. Il est recommandé de désactiver su sur les machines ayant des utilisateurs locaux, en attendant un correctif.

Dès l'instant ou vous avez un système qui utilise SNMP, vous pouvez le surveiller et avec mtrg générer des rapports accessibles par le Web. C'est ce que l'on vous propose de réaliser chez OReilly. Bonne lecture.

Sur Upside Today, un bref article explique l'attitude adoptée par les développeurs OpenBSD vis à vis des vulnerabilités de type 'format strings'. Rappelons que ce type d'attaque est due à une mauvaise utilisation de fonctions prenant un nombre variable d'arguments, tels printf(3). Avec de telles fonctions, une chaine de format bien choisie sans paramètre supplementaire permet de lire ou écrire dans des zones non prévues.

A noter que ce type de vulnerabilité a été découverte assez récemment et a été reportée dans de *nombreux* logiciels libres, tous systèmes confondus.

En 1997, le gouvernement américain lançait un appel aux chercheurs du monde entier pour qu'ils développent un algorithme cryptographique (autrement dit une méthode de codage secret), destiné à remplacer un standard universel, le DES, une méthode de codage en vigueur depuis 1977. Au bout d'une véritable course qui a duré trois ans et que le gouvernement qualifie "d'olympiades de la cryptographie", c'est une équipe de deux chercheurs belges (Joan Daemen de chez Proton World, et Vincent Rijmen de la Katholiek Universiteit Leuven) qui a remporté la "médaille d'or" de cette épreuve marathon.

Multimedium (vu sur nospoon) a publié un article intéressant sur la sécurité de deux systèmes en vigueur: L'open source et le logiciel propriétaire.
Plusieurs dizaines de problèmes de sécurité sont corrigés tous les jours dans plusieurs logiciels open-source mais plusieurs autres apparaissent très régulièrement. Trop régulièrement! (Freshmeat, Bugtaq et confrères).
Ce qui met vraiment la puce à l'oreille et qui blesse aussi, c'est de savoir que même OpenBSD peut etre vulnérable. PGP, qui a subi moults audits nous a gratifié récemment d'une belle faille de sécurité. Les deux systèmes étaient deux ténors de la sécurité.
Nous pouvons aussi faire le compte de tous les problèmes de sécurité dans les logiciels propriétaires. Windows NT est un système *très* répandu et pourtant le nombre de failles ne me parait pas grandir de manière journalière.
Mon propos ne se veut pas insultant. Loin de la. Mais comment ne pas penser qu'un système fermé, si bien programmé et en connaissance de cause, peut etre plus sécurisé. La discussion est ouverte. Trolleurs en tout genre s'abstenir

Décidément...
Le site web de l'APRIL vient de publier un article de Lol Zimmerli sur OpenSSH, une implémentation libre de SSH développé par l'équipe de OpenBSD. A lire !
Quoi ? T'utilises pas encore OpenSSH ?! :-)