La troisième édition du concours de sécurité informatique « Challenge SecuriTech » se déroulera du 11 juin au 1er juillet 2005.

Posté par (page perso) . Modéré par Jaimé Ragnagna.
Tags :
0
1
juin
2005
Sécurité
Le Challenge SecuriTech est un concours de sécurité informatique en ligne, gratuit et ouvert à tous.

À partir du samedi 11 juin 2005 à 00h00, plus de 15 épreuves de sécurité vous seront proposées. Vous aurez alors 3 semaines pour les résoudre. Elles couvriront de nombreux aspects de la sécurité tels que les failles web et applicatives, l'analyse réseau, le reverse engineering, la cryptanalyse, la stéganographie, le forensics, etc. Chaque épreuve résolue vous apportera un certain nombre de points, permettant d'effectuer un classement. De nombreux lots récompenseront les meilleurs.

Deux nouveautés viendront agrémenter cette troisième édition : tout d'abord l'intégration des challenges au sein d'un scénario, ensuite l'orientation des niveaux, plus proches de vraies problématiques de sécurité.

Venez tester, améliorer et comparer vos connaissances en sécurité avec plus de 2500 autres participants !

Les inscriptions sont ouvertes sur http://www.challenge-securitech.com/

Le challenge « SecuriTech » est organisé par le Mastère Spécialisé « Sécurité de l’Information et des Systèmes » de l’ESIEA, formation BAC+6 accréditée par la commission des Grandes Ecoles.

Faille de sécurité dans les protocoles IPSec

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags :
0
13
mai
2005
Sécurité
Des chercheurs anglais ont découvert une grave faille de sécurité dans les protocole IPSec, utilisés pour le cryptage des paquets dans les réseaux VPN.

Cette faille concerne les tunnels IPSec ESP (Encapsulating Security Payload) et certaines configurations utilisant AH (Authentification Header), et permet à l'attaquant de récupérer en clair le contenu d'un paquet qui ne lui est pas destiné par un message d'erreur ICMP. Elle est considérée comme grave, et cible potentiellement un grand nombre de réseaux d'entreprise.

Des solutions sont d'ors et déjà disponibles, mais elles imposent la modification de la configuration du VPN.

Nouvelle version de Linux PAM

Posté par . Modéré par Jaimé Ragnagna.
Tags :
0
1
avr.
2005
Sécurité
Linux PAM, le système d'authentification pour Linux, est sorti avec en version 0.79.

Elle apporte, en plus de la correction de nombreux bugs, le support des limitations du noyau 2.6 dans le module pam_limits, ainsi qu'un support expérimental du système de détection d'intrusions Prelude IDS, qui permet à Linux PAM d'agir comme une sonde pour rapporter des alertes à Prelude à chaque fois qu'un utilisateur est appelé à s'authentifier.

NuFW 1.0.0, le parefeu authentifiant pour Linux

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags :
1
9
mar.
2005
Sécurité
NuFW 1.0.0 "European Parliament, Save me!" est sortie hier inaugurant une nouvelle branche stable du projet. Cette version est dédiée aux personnes luttant contre les brevets logiciels en Europe.

Pour rappel, NuFW est un parefeu authentifiant pour GNU/Linux disponible sous GPL : il réalise l’authentification des connexions passant à travers le filtre IP. Des politiques de sécurités telles que : « Bill peut se connecter au serveur imap si il utilise Mozilla sous Linux 2.6.10 » peuvent être implémentées au moyen d'une règle d'accès NuFW unique.

Le projet PaX compromis

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags :
0
7
mar.
2005
Sécurité
PaX est un projet visant à apporter à Linux des moyens de prévenir et/ou de minimiser l'impact des failles donnant accès à l'espace d'adressage d'une tâche, comme les dépassements de tampon (buffer overflow), les format string attacks, etc. Il est une partie importante de grsecurity, qui fournit un ensemble d'améliorations liées à la sécurité pour Linux (protection renforcée des chroot , RBAC, etc.).

Le projet a annoncé le 4 mars la présence d'une faille majeure dans le code même de PaX, permettant d'obtenir à un utilisateur simple de gagner des droits plus importants sur le système, voire des droits administrateurs. Cette faille est exploitable localement, mais une exploitation à distance semble peu probable.

Une version mise à jour du patch est bien sûr disponible sur le site de PaX, ainsi que la version 2.1.2 de grsecurity qui inclut le correctif. Dans l'urgence,

# echo "0 0" > /proc/sys/vm/pagetable_cache

...permet d'éviter le principal vecteur d'exploitation potentiel.

Les auteurs de PaX ont par ailleurs déclaré qu'au vu de la gravité de la faille et pour d'autres raisons, le développement de celui-ci serait arrêté au 1er avril 2005. Brad Spengler, un des auteurs de grsecurity, s'est cependant porté volontaire pour reprendre le flambeau.

NdM : merci à mmenal pour avoir contribué à la news.

SHA-1 aurait été cassé

Posté par (page perso) . Modéré par Florent Zara.
Tags : aucun
1
16
fév.
2005
Sécurité
Tout comme MD5 et SHA-0 l'été dernier, c'est au tour de SHA-1 de plier sous les coups de butoir d'une équipe de cryptographes chinois. C'est ce qu'annonce sur son blog Bruce Schneier, l'auteur du célèbre Applied Cryptography.

Une attaque en 2^69 opérations aurait été trouvée, c'est à dire plus rapide d'un facteur 2000 par rapport à l'attaque par force brute en 2^80 (Cependant, 2^69 opérations reste à l'heure actuelle hors de portée du commun des ordinateurs). Cette attaque, basée sur l'attaque de SHA-0, est un résultat très important dans le domaine de la cryptanalyse. Il faut maintenant attendre que l'équipe publie son papier pour avoir les détails de l'attaque.

Le nombre de fonctions de hachage cryptographique sûres commence à se réduire et, comme le disait d'ailleurs Bruce Schneier quand les collisions sur MD5 et SHA-0 avaient été publiées, il est peut-être temps de réfléchir à un nouveau standard.

Les versions de développement de Prelude maintenant indisponibles

Posté par . Modéré par Jaimé Ragnagna.
Tags : aucun
0
19
jan.
2005
Sécurité
L'équipe Prelude annonce sur le site prelude-ids.org que les versions de développement du logiciel de détection d'intrusions (sous licence GPL) ne sont plus accessibles en ligne.

Comme il est expliqué sur le site, l'équipe a choisi de couper provisoirement les accès à la suite d'un différend avec une société. Cette société aurait choisi de ne pas renouveler un accord consistant à salarier un développeur en contrepartie du développement de certaines fonctionnalités par l'équipe de Prelude. L'équipe expose dans le communiqué sa vision des détails de l'accord et des conditions de la non reconduction.

Les versions "stables" de Prelude restent néanmoins disponibles sur le site.

Espérons que cet incident ne remettra pas en question le développement de ce logiciel prometteur.

Mise à jour : la société a publié un communiqué à ce sujet (3ème lien).

Mise à jour : l'équipe de Prelude vient de publier une réponse au communiqué précédent.

NdM : Merci à Killix pour cette information.

CHRONOMIUM GPL passe un cap avec la version 0.9

Posté par . Modéré par Nÿco.
Tags :
0
22
déc.
2004
Sécurité
Après quelques longs mois de développement, le live CD de décontamination automatique CHRONOMIUM Virus Live franchit une étape lui permettant d'être efficace avec sa version entièrement GPL.

Le projet lancé en même temps que l'association Antesis.org, courant mars 2004 a mûri assez rapidement, et parvient à contourner les contraintes qui avaient fait proposer une version non GPL à contre-coeur.

FreeRadius 1.0.1

Posté par (page perso) . Modéré par Amaury.
Tags :
0
21
oct.
2004
Sécurité
Le plus célèbre des serveurs RADIUS libres est maintenant considéré comme stable. Après la sortie de la version 1.0 finale, la 1.0.1 corrige des petits bugs applicatifs.

RADIUS est un protocole client/serveur qui permet de centraliser l'authentification des utilisateurs, l'accès aux ressources, et la comptabilité des informations des utilisateurs distants et des ressources utilisées. C'est ce que l'on nomme AAA (Authentication, Authorization Accounting).

Ce type de serveur est très utilisés chez les FAI pour pouvoir autoriser la connexion ou non à tel utilisateur. Mais il permet aussi pour son réseau sans fil domestique d'utiliser l'authentification 802.1X qui permet de restreindre l'accès au réseau de façon beaucoup plus sécurisée qu'une clé WEP.

NdMR : Radius est un standard IETF, voir les nombreuses RFC du 3ème lien.

Sortie de IPCop V1.4.0

Posté par . Modéré par Christophe Guilloux.
Tags :
0
2
oct.
2004
Sécurité
L'équipe IPCop est fière de vous annoncer la sortie le 1er octobre de la version finale V1.4.0.

IPCop Linux est une distribution complète dont le seul objectif est de protéger les réseaux dans lesquels il est installé. Il est extrêmement facile pour n'importe qui d'installer et de configurer le système.
Le pare-feu IPcop s'installe sur un ordinateur dédié, le plus souvent en 10 à 15 minutes.

Red Hat rachète Netscape Enterprise Suite

Posté par . Modéré par jerome.
Tags : aucun
0
1
oct.
2004
Sécurité
Red Hat rachète cette suite à AOL, pour la passer en open source
Cette suite contient essentiellement :
- Netscape Directory Server
- Netscape Certificate Management System
- Netscape Enterprise [web] Server

Avec OpenLDAP, nous aurons donc deux annuaires openSource, qui potentiellement peuvent occuper la majeure partie du marché. Mais, actuellement, c'est probablement la version de Sun (basée sur la même souche issue du partenariat avec AOL) qui est la plus répandue.

Il reste cependant du boulot (Red Hat envisage une commercialisation dans les 6 à 12 mois), sachant par exemple que la version courante de Directory Server date de décembre 2003.
À noter que cette opération rend disponible en open source (et donc potentiellement gratuitement) une plateforme de gestion de certificats, et donc de la sécurité, robuste, reconnue et bien déployée.

Vulnérabilité via des formats d'images : Windows - GNU/Linux

Posté par . Modéré par Jaimé Ragnagna.
Tags : aucun
0
24
sept.
2004
Sécurité
Coup sur coup deux annonces assez similaires sont sorties sur les deux systèmes.

Pour Windows, c'est la bibliothèque Graphic Device Interface Plus (ou GDI+) qui est en cause. Il est en théorie possible de compromettre un système vulnérable à la seule lecture d'une image piégée au format JPEG.
À ce jour les premiers exploits commencent à sortir, cela va du plantage de la machine à l'ouverture d'un interpréteur de commande.
Les patchs étant disponibles, il est fortement conseillé de faire les mises à jour.

Pour GNU/Linux, le hasard a voulu que des vulnérabilités similaires soient publiées ces derniers jours. Elles concernent GdkPixBuf qui pourrait être exploité pour provoquer des dénis de service (DoS) ou des compromissions.

Les vulnérabilités sont décrites dans la suite de l'article.

Les correctifs sont normalement disponibles pour la plupart des distributions.

Nmap 3.70 est sorti

Posté par (page perso) . Modéré par jerome.
Tags :
0
6
sept.
2004
Sécurité
Nmap, l'outil de sécurité bien connu (celui-là même utilisé dans le film Matrix) vient de sortir en 3.70.

Au programme, de nombreuses nouveautés dont une réécriture complète du moteur le rendant beaucoup plus rapide et lui permettant de scanner de nombreuses cibles en parallèle (par exemple, un scan d'un million d'adresses (NdM : d'un réseau que l'on administre) par la 3.55 durait 2 semaines alors que la pre-3.70 le fait en moins d'une journée).

L'option --exclude permet d'exclure une liste de cibles d'une plage d'adresses.

À noter également une correction/contournement de bug pour que Nmap continue à fonctionner sous Windows XP malgré le SP2.

Clin d'oeil : Nmap se souhaite maintenant un joyeux anniversaire quand il est lancé en mode verbeux le 1er septembre...

SpamAssassin devient un projet Apache, et corrige une faille de sécurité

Posté par (page perso) . Modéré par Benoît Sibaud.
Tags :
0
12
août
2004
Sécurité
Le filtre anti-spam SpamAssassin a été officiellement accepté comme projet par la fondation Apache. Cette modification implique que la nouvelle version (3.0.0, actuellement en préversion) sera publiée sous licence Apache version 2.

Par ailleurs, l'équipe a publié une dernière version (la 2.64) sous licence GPL/Artistic pour corriger une faille de sécurité permettant un déni de service.

Failles de sécurité dans la libpng

Posté par . Modéré par Benoît Sibaud.
Tags :
0
9
août
2004
Sécurité
Des failles de sécurité ont été découvertes dans la bibliothèque de gestion d'images libre libpng (PNG portable network graphics).

Ces failles permettent à quelqu'un de mal intentionné d'exécuter du code à distance sur les systèmes Windows, MacOS et Linux.
Les vulnérabilités ont été détectées au niveau de la libpng dans un module où diverses applications piochent les ressources pour décoder les images au format PNG. En créant une image piégée et en la plaçant dans un site Internet ou dans un courriel, celles-ci permettent d'exécuter du code à distance en créant un « buffer overflow » (dépassement de mémoire tampon).
Le Cert-IST a émis le 5 août un avis non public, avec un indice de dangerosité « moyen ».

Des correctifs sont d'ores et déjà disponibles pour les distributions Linux et pour la suite Mozilla.

NdM : voir aussi les annonces sécurité Debian et Redhat.

Nouvelle forme d'arnaque : l'usurpation d'identité de site web via XUL

Posté par . Modéré par Benoît Sibaud.
Tags : aucun
0
29
juil.
2004
Sécurité
Un nouveau type d'usurpation d'identité (étrangement dénommé phishing) apparaît avec XUL. Un site web peut fabriquer de toutes pièces une interface de navigation pour faire croire au visiteur qu'il est sur un autre site web.

Il s'agit d'un inquiétant problème de sécurité, apparemment non-résolu pour le moment.

Avec Gecko, un nouveau langage est apparu : le XUL. Ce langage permet la création d'applications complètes. Ainsi Mozilla peut servir de plate-forme pour lancer tout un tas d'applications écrites en XUL. Au premier rang de ces applications figure bien sûr le navigateur de Mozilla.

Mais voila, une nouvelle forme de « phishing » apparaît en même temps. En effet quand on fait pointer Gecko sur une URL « XUL », il lance l'application. Mais voila, que faire si la dite application simule une nouvelle fenêtre de navigation, avec l'URL de votre banque dans la barre d'adresse, un petit cadenas dans le coin, un vrai-faux certificat etc ... ?!

Zabbix : un nouvel outil de monitoring

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags :
0
19
juil.
2004
Sécurité
Zabbix est un outil relativement méconnu jusqu'ici, qui se propose de remplacer à la fois Nagios et MRTG. Il permet de suivre l'état complet d'un réseau (débits, etc.) et des systèmes le composant (utilisations processeur, disque, mémoire, processus, etc.) en proposant des graphiques personnalisables de chacune des caractéristiques surveillées et de déclencher des alertes sur des seuils personnalisables ou prédéfinis. Il est extrêmement configurable au travers d'une interface web.

Veridicom propose un kit de développement pour Linux

Posté par . Modéré par Jaimé Ragnagna.
Tags : aucun
0
16
juil.
2004
Sécurité
Veridicom, société spécialisée dans les produits de sécurisation informatique par authentification digitale (NdM : digitale pour « avec les doigts », pas comme mauvaise traduction pour numérique), a annoncé ce jeudi 15 Juillet la sortie d'une suite logicielle pour les systèmes Linux (NdM²: GNU/Linux). Seuls seront supportés les noyaux et distributions suivants :

• Red Hat Enterprise Linux 3 Update2, noyau 2.4.21-15.EL
• Red Hat Enterprise Linux 3 , noyau 2.4.21-4.EL
• Red Hat 8.0, noyau 2.4.15
• Red Hat 7.3, noyau 2.4.5
• Slackware 9.1, noyau 2.4.22
• SUSE 8.1, noyau 2.4.19-4GB
• SUN SUSE 8.1, noyau 2.4.19-4GB/

Pour commencer, seules les sondes FPS200 seront gérées. Mais Veridicom assure qu'ils planifient le support de l'ensemble de leurs produits sous les systèmes Linux (NdM²: GNU/Linux) et prévoient le support du noyau 2.6 dans les mois qui viennent.

Le kit de développement (SDK) de Veridicom coûte 1700 $ et sera disponible le 1er août. Aucune information sur la licence de la partie logicielle du produit n'est mentionnée.

Sortie de Nessus 2.1.0

Posté par . Modéré par Christophe Guilloux.
Tags :
0
15
juil.
2004
Sécurité
La version 2.1.0 de Nessus est sortie. Nessus est un scanner de vulnérabilités, permettant d'identifier à distance certaines failles présentes sur les machines d'un réseau.
La grande nouveauté de la version 2.1.0 par rapport aux précédentes versions est le "test local", c'est-à-dire la capacité à pouvoir s'identifier sur les machines distantes par SSH et de vérifier que tous les bons patches ont été appliqués.
Les OS supportés pour le moment sont FreeBSD, Red Hat Enterprise Linux, Solaris et MacOS X. Apparemment, le support de SuSE et Debian est en cours de développement.

La norme de communications sans-fil 802.11i validée

Posté par . Modéré par Benoît Sibaud.
Tags : aucun
0
13
juil.
2004
Sécurité
Le 23 juin 2004, lors de la conférence à Piscataway (N.J) le groupe de travail 802.11 de l'IEEE a homologué et certifié la norme de communication de réseau local sans-fils 802.11i.

Elle a pour seul but d'amener une réelle couche de sécurité au protocole 802.1x.

Avec l'utilisation de ce protocole dans nos réseaux non filaires GNU/Linux et BSD, nous devrions être en mesure de travailler réellement à la sécurité du réseau et non plus à contourner les faiblesses du protocole.
En effet, comment profiter d'une infrastructure fiable si le protocole est vérolé !

Nouveau CA gratuit

Posté par (page perso) . Modéré par Nÿco.
Tags :
0
6
juil.
2004
Sécurité
L'organisation à but non lucratif CA-Cert a ouvert un Certificate Autority (autorité de certification) gratuit et accessible à tous.
Ils vous proposent :
- certificats de signatures numériques
- certificats pour serveurs

Le CA-Cert est dépendant du CERT Australien.

Retranscription vidéo/audio Pierre Betouin (Challenge Securitech)

Posté par . Modéré par Mouns.
Tags :
0
30
juin
2004
Sécurité
Dans le cadre du Challenge Securitech 2004, Pierre Betouin, organisateur, donna une conférence le 7 juin 2004 lors des réunions du groupe SWNT de l'OSSIR. Lors de celle ci, il a été abordé les détails techniques, logistiques et juridiques de l'organisation d'un concours de ce type ainsi que la résolution des niveaux, le monitoring, les problèmes rencontrés et les contraintes de sécurité. À voir également les insolites : résolution des niveaux de cryptographie avec un tableur !

Le site secuobs.com vous propose le choix entre une retranscription du flux vidéo ou la version audio de cette intervention qui dure 40 minutes. La vidéo est disponible au format MPEG4 (le son est en AAC) regardable avec mp4player/gmp4player (mpeg4ip), mplayer ainsi que les dernières versions de Quicktime (6). L'audio est au format Ogg Vorbis, mp3 et aac. Le tout est disponible en ligne (embed html) ou au format tar+gz en téléchargement.

NuFW 0.7.1 est sorti, proposant un nouveau système pour le SSO

Posté par (page perso) . Modéré par Nÿco.
Tags :
0
30
juin
2004
Sécurité
La version 0.7.1 de NuFW est sortie la semaine dernière. NuFW est un parefeu authentifiant basé sur Netfilter.

Il permet de :
- réaliser un filtrage par utilisateur (même sur les machines multi-utilisateurs)
- définir la qualité de services par utilisateur
- suivre de l'activité des utilisateurs (utilisant syslog, MySQL ou PostgreSQL)

La version 0.7.1 introduit une nouvelle option qui permet de réaliser une table de suivi des connexions authentifiées en temps réel. Le stockage SQL de cette table permet de réaliser un système d'authentification unique centralisé.

Un module Apache, mod_auth_nufw, utilisant cette méthode pour réaliser l'authentification vient d'être publié en GPL. Il est donc désormais possible de s'authentifier de manière transparente sur un ensemble de serveurs Apache utilisant ce module.

Enregistrement Audio et Interview de Nicolas Brulez sur le Reverse Engeenering

Posté par . Modéré par Christophe Guilloux.
Tags :
0
25
mai
2004
Sécurité
Dans le cadre du Challenge Securitech 2004, concours de sécurité informatique organisé par des élèves de troisième année de l'Ecole Supérieure d'Informatique Electronique Automatique (ESIEA), une conférence de clôture a été organisée le 7 mai 2004.
Lors de cette conférence, Nicolas Brulez, responsable de la sécurité au sein de la société Sillicon Realms notamment éditeur du logiciel de système de protection Armadillo, est intervenu sur la résolution du troisième niveau de la catégorie Reverse Engeenering du concours, il est le créateur de ce niveau.
L'équipe du site Secuobs.com spécialisée dans la sécurité informatique a réalisé et mis en ligne un enregistrement audio de 30 minutes de cette intervention accompagné d'une interview de 3 pages en format html de Nicolas Brulez et du slide de présentation au même format utilisé lors de la conférence.

Réaction de l'Europe au projet Echelon

Posté par (page perso) . Modéré par Benoît Sibaud.
Tags : aucun
0
19
mai
2004
Sécurité
Dans le but de lutter contre Echelon et l'espionnage numérique, l'Union européenne a décidé d'investir € 11 millions dans un projet de sécurité des communications à base de cryptographie quantique. Le projet d'une durée de 4 ans, inclut des universités, instituts de recherches et entreprises, au total 41 participants provenant de 12 pays différents (France).

NdM : on se rappelera que le rapport européen sur Echelon préconisait la crypto et en particulier les outils libres, mais que le 11 septembre est passé par là, modifiant la perception de la crypto.