Le Challenge SecuriTech est un concours de sécurité informatique en ligne, gratuit et ouvert à tous.

À partir du samedi 11 juin 2005 à 00h00, plus de 15 épreuves de sécurité vous seront proposées. Vous aurez alors 3 semaines pour les résoudre. Elles couvriront de nombreux aspects de la sécurité tels que les failles web et applicatives, l'analyse réseau, le reverse engineering, la cryptanalyse, la stéganographie, le forensics, etc. Chaque épreuve résolue vous apportera un certain nombre de points, permettant d'effectuer un classement. De nombreux lots récompenseront les meilleurs.

Deux nouveautés viendront agrémenter cette troisième édition : tout d'abord l'intégration des challenges au sein d'un scénario, ensuite l'orientation des niveaux, plus proches de vraies problématiques de sécurité.

Venez tester, améliorer et comparer vos connaissances en sécurité avec plus de 2500 autres participants !

Les inscriptions sont ouvertes sur http://www.challenge-securitech.com/

Le challenge « SecuriTech » est organisé par le Mastère Spécialisé « Sécurité de l’Information et des Systèmes » de l’ESIEA, formation BAC+6 accréditée par la commission des Grandes Ecoles.

La version de Linux Virtual Server disponible dans la distribution Red
Hat 6.2 contient une backdoor qui permet à un utilisateur distant
d'executer des commandes sur la machine.
La source est de wideopen.

NdM. : cette dépêche a été initialement publiée le 26/05/2000 à 10h34, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Pour les sysadmins qui n'ont pas le temps de lire tous les jours des
avertissements du CERT ou bugtraq (je sais, ce n'est pas serieux…). `Sans
Institut', qui a constaté que les crackers utilisaient souvent les memes
vulnerabilités, a écrit le "top 10" de celles-ci.
Un minimum à savoir donc…

NdM. : cette dépêche a été initialement publiée le 02/06/2000 à 23h09, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Tout est dans le sujet !
Note: Ca parle de logiciels de tests d'intrusion.

NdM. : cette dépêche a été initialement publiée le 06/06/2000 à 18h28, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Le jeudi 2 juin, le Cetic organise un groupe de discussion sur l'utilisation des critères communs en sécurité.

La certification Common Criteria (ou CC) est une norme mondialement reconnue (ISO-IEC 15408) pour l’évaluation de la sécurité des produits et des systèmes informatiques.

Eric Gheur, de Galaxia, fera une introduction aux Common Criteria. Jean-François Molderez, du Cetic, présentera l’utilisation et la modélisation des concepts Common Criteria en vue d’une meilleure maitrise du processus de certification.

Enfin, Yann Droneaud, de Mandriva, présentera les rapports entre Linux et les Common Criteria. Il abordera la signification des certifications EAL3 de SuSE et Red Hat Linux ainsi que le développement en cours d'un système à base de noyau Linux et visant la certification EAL5.

INTRINsec annonce deux outils open source pour la sécurité : VultureNG et Owl.

VultureNG est une solution de proxy inverse basée sur Apache et mod_perl intégrant la gestion de l'authentification et sa propagation sur les applications (SSO) sans modifications. Vous pouvez également vous en servir localement vers des sites distants pour profiter de l'authentification unique et accéder à vos différents comptes (webmail, banque, linuxfr, intranet, etc.) directement.

VultureNG est dans les contribs de Mandriva et l'arbre Portage de Gentoo, et des RPMs pour d'autres distributions sont disponibles sur le site.

Pour sa part, Owl est un outil de gestion de bande passante. Il permet d'utiliser simultanément plusieurs connexions Internet. Owl assure également l'optimisation de la bande passante en s'appuyant sur le shaper HTB.init (NdM : HTB="Hierachical Token Bucket").

Une interface d'administration permet de configurer le tout et de consulter les graphiques des statistiques d'utilisation par connexion et par protocole.

Voici Nuface, une interface web intuitive pour administrer les pare-feux EdenWall/NufW. Cet outil de haut niveau d'abstraction permet également d'administrer des pare-feux Netfilter non authentifiants.

La philosophie de l'outil est de définir et de manipuler des objets de haut niveau (tels que des protocoles, des ressources et des sujets), et de les combiner pour créer aisément des listes d'accès (ACLs). Ces ACLs sont alors interprétées par l'outil et déclinées en règles Netfilter. Pour ce qui concerne les pare-feux EdenWall/NuFW, Nuface met également à jour les listes d'accès dans l'annuaire LDAP pour satisfaire à la politique de sécurité choisie.

Les récents déboires de Fortinet avec la licence GPL ont poussé de nombreuses personnes à s'interroger sur la manière dont les autres éditeurs travaillent avec les composants open source.

Heureusement, certaines entreprises (trop peu nombreuses ?) jouent le jeu de l'open source et n'hésitent pas, tant que possible, à partager le fruit de leurs développements. C'est notamment le cas de la société Arkoon Network Security, décrit à travers une récente interview donnée au portail Vulnerabilite.com, qui base un tiers de ses développements sur des composants open source et qui contribue en parallèle aux projets « Freeswan/Openswan », « Linux Kernel », « BusyBox » et « jftpgw ».

Le collectif GPL-Violations.org, à l'origine de la plainte contre Fortinet, a le mérite d'avoir provoqué une réelle prise de conscience des entreprises et à l'heure qu'il est, il est fort probable que de nombreuses sociétés travaillent discrètement pour mettre en conformité leurs solutions avec les licences open source.

La reconnaissance de l'open source est en marche. Il est simplement dommage qu'elle ait dû passer par des voies juridiques pour se faire entendre.

Whoppix, le Live-CD spécialisé dans les tests d'intrusion, nous a quitté à sa version 2.7.1 final. Son auteur a annoncé ce week-end la mort du Live-CD basé sur Knoppix au profit d'un nouveau, basé sur SLAX (le Live-CD de Slackware) et baptisé logiquement WHAX (en majuscules, s'il vous plaît).

La version 1.3 de 'Security & Optimizing' est sortie. Allez vite faire
un tour sur le lien.

Note du modérateur: 'Security and Optimizing' est un livre sur Linux aux
éditions Red Hat. Apparemment il est très complet et couvre comme son nom
l'indique la sécurité sous Linux ainsi que les optimisations possibles.

NdM. : cette dépêche a été initialement publiée le 13/06/2000 à 19h19, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Onetelnet, le fameux fai illimité connait des failles de sécurité dans ses routeurs. Plus d'infos dans le lien NdM. : cette dépêche a été initialement publiée le 14/06/2000 à 07h37, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Le Laboratoire de sécurité et de cryptographie de l'EPFL (Ecole
Polytechnique fédérale de Lausanne) a découvert une faille de sécurité dans
le protocole SSL (utilisé pour sécuriser les transactions électroniques sur
Internet).
Selon l'EPFL, cette faille existerait aussi dans le protocole de cryptage
des mails (S/MIME).

NdM. : cette dépêche a été initialement publiée le 05/07/2000 à 15h58, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Le site Secuobs.com, notamment sponsor du concours de sécurité Challenge-Securitech qui se déroule en ce moment même et cela jusqu'au 1 juillet, met à votre disposition un dossier spécial sur la conférence de sécurité CanSecWest 2005 qui a eu lieu à Vancouver au début du mois de mai.

Au programme vous trouverez notamment un article sur la présentation par Philippe Biondi de l'utilitaire Scapy dont il est le créateur et qui s'impose progressivement comme le couteau suisse de la manipulations de paquets (IP, ARP).

Vous trouverez également dans ce dossier un article sur la présentation de HD Moore et SpoonM à propos de la sortie de la version 2.4 de l'environnement de travail Metasploit qui permet entre autre de tester des exploits (code permettant d'exploiter une faille) sur vos propres serveurs.

A voir également parmi les autres articles de ce dossier :

- le système métrique d'évaluation de la criticité des failles CVSS (Common Vulnerability scoring system) basé sur les propos de Mike Schiffman (Packetfactory),

- une réflexion menée par Brian Martins & Jake Kouns (Opensource Vulnerabilities DataBase - OSVDB) sur la qualité du service offert aujourd'hui par les VDB et son rapport à la vitesse de diffusion.

- et finalement une synthèse des conférences de Maximillian Dornseif (LDDS) & David Maynor (ISS) sur les failles qui émergent de l'accès à la mémoire centrale via DMA (Direct Memory Access) par les périphériques de type USB/PCMCIA/Firewire de plus en plus nombreux, supportés et usités par les utilisateurs de système libre (cf. Open Host Controller Interface - OHCI).

NFWS2005, le Netfilter Workshop aura lieu cette année du 3 au 8 octobre à Séville.

Cet événement comportera :
- L'atelier des développeurs avec un programme impressionnant : support IPv6, support de nouveaux protocoles (VoIP, H.323, PPTP), support de la Haute Disponibilité...
- Une conférence des utilisateurs : outils d'aide au déploiement, projets tiers (avec notamment une présentation de NuFW, le pare-feu authentifiant), et bien sûr quelques mots sur les violations récentes de la GPL par des fabricants de boîtes noires.
- Et deux jours supplémentaires de codage intensif.

Événement incontournable pour ceux qui s'intéressent de près au filtrage IP sous Linux, l'atelier Netfilter est avant tout un lieu de rencontre et de partage, qui permettra aux développeurs, comme les années précédentes, de faire connaissance avec les "nouveaux" et de définir les développements à venir.

Secuobs.com propose un tutoriel sur un ensemble de logiciels libres (Tor, Privoxy, Switchproxy) permettant d'assurer le respect de votre privée. Cet anonymat peut être assuré pour l'ensemble des applications reposant sur le protocole TCP (Transport Control Protocol) sous GNU/Linux.

Vous y trouverez également des informations sur la conférence tenue par Roger Dingledine (mainteneur du projet Tor) lors du Woodstock numérique What The Hack qui a réuni plus de 3000 participants (hackers et geeks) en juillet dernier près de Eindhoven aux Pays-Bas.

Ce tutoriel fait parti d'un dossier sur ce rassemblement, vous y trouverez notamment un article sur la pétition commune de XS4ALL et l'EDRI contre la rétention des données de connexion.

L'acceptation du projet de directive se joue en ce moment même au parlement européen, votre soutien est plus que le bienvenu.

Privacy is not a crime...

Vandyke Technologies viennent d'annoncer que la dernière version de SecureCRT, un logiciel de connexion ssh pour Windows, marche avec OpenSSH v1 et v2. Il existe aussi des logiciels de ce type en libre, mais celui-çi est souvent utilisé et bien pratique tout de meme. NdM. : cette dépêche a été initialement publiée le 05/07/2000 à 13h02, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Un bug permetant à n'importe quel utilisateur de faire planter votre
BitchX depuis IRC en utilisant la commande INVITE a été découvert, un patch
est disponible depuis quelques jours. Après m'être fait planter le mien
quelques fois je dois dire que je l'ai apprecié :)

NdM. : cette dépêche a été initialement publiée le 07/07/2000 à 10h23, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Un ENORME trou de sécu a été découvert dans Outlook, permettant à un
méchant virus de s'éxecuter dès que outlook place le mail dans Inbox.

L'utilisateur n'a même plus besoin de lire le mail pour être affecté, ça
laisse présager le pire…

Microsoft devrait mettre à disposition un patch aujourd'hui.

NdM. : cette dépêche a été initialement publiée le 19/07/2000 à 18h36, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

La précédente version majeure (0.9.7) datait de fin 2002. Depuis, les sorties de versions mineures concernaient principalement des corrections de bugs et de sécurité. Après que l’évolution des fonctionnalités ait été bloquée et qu’une première version Bêta soit publiée au mois de mai, voici enfin une nouvelle version majeure.

Les changements notables depuis la dernière version majeure sont :
- implémentation du protocole DTLS permettant la sécurisation des échanges par datagrammes (UDP)
- implémentation d’algorithmes de cryptographie par courbe elliptique (ECDH et ECDSA)
- amélioration du traitement des grands nombres
- ajout d'un mini compilateur ASN.1 en ligne de commande
- SHA-1 devient l’algorithme de hachage par défaut à la place de MD5
- support des adresses IPv6 dans les certificats
- support d’architectures 64 bits
- amélioration des performances

Pour ceux qui ne connaissent pas, OpenSSL est un composant de sécurité Open Source intégré dans beaucoup d’applications. Par exemple, Apache l’utilise pour les connexions sécurisées du type https ; on peut encore citer OpenSSH, OpenPGP, OpenCA, Samba, Bind, Sendmail, Postfix, QMail...

Rule Set Based Access Control (RSBAC) 1.2.5 vient de sortir !

Le noyau 2.6 propose un module de modèles de sécurité qui permet ainsi de s'affranchir du modèle de sécurité classique d'Unix basé sur le triplet (user, group, other). Par exemple, des modèles de sécurité basés sur les ACL (Access Control List), et MAC (Mandatory Access Control) sont déjà disponibles via le module SELinux développé par la NSA (National Security Agency aux Etats Unis).

RSBAC se positionne comme une alternative aux solutions telles que SELinux. De par sa structure, RSBAC permettra d'utiliser les règles et le modèle de sécurité SELinux et GrSecurity dans un futur proche.

Afin de tester la chose, un Live CD basé sur Debian à été concocté, il est disponible sur le site.

Tout test ou commentaire est le bien venu :-)

Dans Libération ce matin nous avons droit à 2 articles concernant les
libertés et le Net : le premier sur le système Carnivore et le second sur
"Big browser". Bref, bonne lecture.

NdM. : cette dépêche a été initialement publiée le 22/07/2000 à 04h47, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Une série de failles ont été découvertes dans le protocole ICMP (et non pas ses implémentations) par l'argentin Fernando Gont, professeur, administrateur système et chercheur en réseau. Il a tenté dès le début, en août 2004, d'en informer tous les auteurs d'implémentation du protocole ICMP avant de publier les failles sur Internet. Il a commencé par écrire un document qu'il a envoyé à l'IETF. Il a également contacté CERT/CC et NISCC, les auteurs de systèmes d'exploitation libre (OpenBSD, NetBSD, FreeBSD, Linux, etc.), ainsi que Microsoft, Cisco et Sun Microsystems. Il a décrit chaque faille pour leur permettre de corriger les implémentations avant de publier ses découvertes.

Fernando a alors commencé à recevoir des e-mails de Cisco demandant des informations techniques précises. Deux mois plus tard, il a reçu un e-mail d'un avocat de Cisco disant que Cisco allait breveter son travail ! L'avocat n'a pas voulu donner plus de détails. Encore deux mois plus tard, il y a eu un échange de mails entre Cisco, Linus Torvalds et David Miller où Fernando a été mis en copie. David a fait remarquer que Linus Torvalds utilisait déjà depuis plusieurs années le « sequence tracking » dans Linux et par là même, le brevet ne pouvait être déposé pour cause d'antériorité du travail de Linus.

Cisco a alors accusé Fernando de coopérer avec les terroristes alors qu'en même temps Cisco voulait breveter son travail. Plus tard Cisco a aussi demandé à Fernando qu'il travaille pour CERT/CC.

Aujourd'hui Cisco a abandonné son idée de brevet, mais ça laisse quand même réfléchir sur le fait de publier anonymement ses failles ou non !

Nessus, le scanner de vulnérabilité bien connu, avait déjà connu un changement de licence en janvier, passant de la GPL à la « GPL plus quelques restrictions » (concernant notamment le délai de mise à disposition et la réutilisation des plugins).

Aujourd'hui, on apprend que la nouvelle version 3, qui arrive dans quelques jours, sera binaire uniquement, et sa redistribution interdite. L'argument principal des auteurs, c'est qu'en fait pratiquement personne n'a jamais contribué au développement du moteur de Nessus. Ce qui fait dire à Fyodor, l'auteur de Nmap, que si les logiciels libres sont censés pouvoir bénéficier de nombreuses contributions, ceci n'est pas forcément le cas dans la réalité, et qu'il y a de quoi sérieusement s'inquiéter pour leur avenir face aux logiciels propriétaires.

La journée technique orientée sécurité est organisée par le département ASI (Architecture des Systèmes d'Information) de l'INSA de Rouen. Cette manifestation aura lieu le Mardi 22 Novembre 2005, à partir de 09h00 dans le Grand Amphithéâtre de l'INSA-ROUEN sur le site du Madrillet.
Il s'agit à la fois de sensibiliser les entreprises mais aussi de leur présenter des solutions techniques.

La Debian 2.2 (i.e. Potato) a été testée sur Security Portal. Il en ressort qu'elle n'est pas si mal mais que de (trop) nombreux problèmes de sécurité persistent (des options d'installation par défaut aux versions de démons trouées). Du boulot en perspective pour ceux qui maintiennent les paquets. NdM. : cette dépêche a été initialement publiée le 30/08/2000 à 13h41, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).