CHRONOMIUM GPL passe un cap avec la version 0.9

Posté par . Modéré par Nÿco.
Tags :
0
22
déc.
2004
Sécurité
Après quelques longs mois de développement, le live CD de décontamination automatique CHRONOMIUM Virus Live franchit une étape lui permettant d'être efficace avec sa version entièrement GPL.

Le projet lancé en même temps que l'association Antesis.org, courant mars 2004 a mûri assez rapidement, et parvient à contourner les contraintes qui avaient fait proposer une version non GPL à contre-coeur.

FreeRadius 1.0.1

Posté par (page perso) . Modéré par Amaury.
Tags :
0
21
oct.
2004
Sécurité
Le plus célèbre des serveurs RADIUS libres est maintenant considéré comme stable. Après la sortie de la version 1.0 finale, la 1.0.1 corrige des petits bugs applicatifs.

RADIUS est un protocole client/serveur qui permet de centraliser l'authentification des utilisateurs, l'accès aux ressources, et la comptabilité des informations des utilisateurs distants et des ressources utilisées. C'est ce que l'on nomme AAA (Authentication, Authorization Accounting).

Ce type de serveur est très utilisés chez les FAI pour pouvoir autoriser la connexion ou non à tel utilisateur. Mais il permet aussi pour son réseau sans fil domestique d'utiliser l'authentification 802.1X qui permet de restreindre l'accès au réseau de façon beaucoup plus sécurisée qu'une clé WEP.

NdMR : Radius est un standard IETF, voir les nombreuses RFC du 3ème lien.

Sortie de IPCop V1.4.0

Posté par . Modéré par Christophe Guilloux.
Tags :
0
2
oct.
2004
Sécurité
L'équipe IPCop est fière de vous annoncer la sortie le 1er octobre de la version finale V1.4.0.

IPCop Linux est une distribution complète dont le seul objectif est de protéger les réseaux dans lesquels il est installé. Il est extrêmement facile pour n'importe qui d'installer et de configurer le système.
Le pare-feu IPcop s'installe sur un ordinateur dédié, le plus souvent en 10 à 15 minutes.

Red Hat rachète Netscape Enterprise Suite

Posté par . Modéré par jerome.
Tags : aucun
0
1
oct.
2004
Sécurité
Red Hat rachète cette suite à AOL, pour la passer en open source
Cette suite contient essentiellement :
- Netscape Directory Server
- Netscape Certificate Management System
- Netscape Enterprise [web] Server

Avec OpenLDAP, nous aurons donc deux annuaires openSource, qui potentiellement peuvent occuper la majeure partie du marché. Mais, actuellement, c'est probablement la version de Sun (basée sur la même souche issue du partenariat avec AOL) qui est la plus répandue.

Il reste cependant du boulot (Red Hat envisage une commercialisation dans les 6 à 12 mois), sachant par exemple que la version courante de Directory Server date de décembre 2003.
À noter que cette opération rend disponible en open source (et donc potentiellement gratuitement) une plateforme de gestion de certificats, et donc de la sécurité, robuste, reconnue et bien déployée.

Vulnérabilité via des formats d'images : Windows - GNU/Linux

Posté par . Modéré par Jaimé Ragnagna.
Tags : aucun
0
24
sept.
2004
Sécurité
Coup sur coup deux annonces assez similaires sont sorties sur les deux systèmes.

Pour Windows, c'est la bibliothèque Graphic Device Interface Plus (ou GDI+) qui est en cause. Il est en théorie possible de compromettre un système vulnérable à la seule lecture d'une image piégée au format JPEG.
À ce jour les premiers exploits commencent à sortir, cela va du plantage de la machine à l'ouverture d'un interpréteur de commande.
Les patchs étant disponibles, il est fortement conseillé de faire les mises à jour.

Pour GNU/Linux, le hasard a voulu que des vulnérabilités similaires soient publiées ces derniers jours. Elles concernent GdkPixBuf qui pourrait être exploité pour provoquer des dénis de service (DoS) ou des compromissions.

Les vulnérabilités sont décrites dans la suite de l'article.

Les correctifs sont normalement disponibles pour la plupart des distributions.

Nmap 3.70 est sorti

Posté par (page perso) . Modéré par jerome.
Tags :
0
6
sept.
2004
Sécurité
Nmap, l'outil de sécurité bien connu (celui-là même utilisé dans le film Matrix) vient de sortir en 3.70.

Au programme, de nombreuses nouveautés dont une réécriture complète du moteur le rendant beaucoup plus rapide et lui permettant de scanner de nombreuses cibles en parallèle (par exemple, un scan d'un million d'adresses (NdM : d'un réseau que l'on administre) par la 3.55 durait 2 semaines alors que la pre-3.70 le fait en moins d'une journée).

L'option --exclude permet d'exclure une liste de cibles d'une plage d'adresses.

À noter également une correction/contournement de bug pour que Nmap continue à fonctionner sous Windows XP malgré le SP2.

Clin d'oeil : Nmap se souhaite maintenant un joyeux anniversaire quand il est lancé en mode verbeux le 1er septembre...

SpamAssassin devient un projet Apache, et corrige une faille de sécurité

Posté par (page perso) . Modéré par Benoît Sibaud.
Tags :
0
12
août
2004
Sécurité
Le filtre anti-spam SpamAssassin a été officiellement accepté comme projet par la fondation Apache. Cette modification implique que la nouvelle version (3.0.0, actuellement en préversion) sera publiée sous licence Apache version 2.

Par ailleurs, l'équipe a publié une dernière version (la 2.64) sous licence GPL/Artistic pour corriger une faille de sécurité permettant un déni de service.

Failles de sécurité dans la libpng

Posté par . Modéré par Benoît Sibaud.
Tags :
0
9
août
2004
Sécurité
Des failles de sécurité ont été découvertes dans la bibliothèque de gestion d'images libre libpng (PNG portable network graphics).

Ces failles permettent à quelqu'un de mal intentionné d'exécuter du code à distance sur les systèmes Windows, MacOS et Linux.
Les vulnérabilités ont été détectées au niveau de la libpng dans un module où diverses applications piochent les ressources pour décoder les images au format PNG. En créant une image piégée et en la plaçant dans un site Internet ou dans un courriel, celles-ci permettent d'exécuter du code à distance en créant un « buffer overflow » (dépassement de mémoire tampon).
Le Cert-IST a émis le 5 août un avis non public, avec un indice de dangerosité « moyen ».

Des correctifs sont d'ores et déjà disponibles pour les distributions Linux et pour la suite Mozilla.

NdM : voir aussi les annonces sécurité Debian et Redhat.

Nouvelle forme d'arnaque : l'usurpation d'identité de site web via XUL

Posté par . Modéré par Benoît Sibaud.
Tags : aucun
0
29
juil.
2004
Sécurité
Un nouveau type d'usurpation d'identité (étrangement dénommé phishing) apparaît avec XUL. Un site web peut fabriquer de toutes pièces une interface de navigation pour faire croire au visiteur qu'il est sur un autre site web.

Il s'agit d'un inquiétant problème de sécurité, apparemment non-résolu pour le moment.

Avec Gecko, un nouveau langage est apparu : le XUL. Ce langage permet la création d'applications complètes. Ainsi Mozilla peut servir de plate-forme pour lancer tout un tas d'applications écrites en XUL. Au premier rang de ces applications figure bien sûr le navigateur de Mozilla.

Mais voila, une nouvelle forme de « phishing » apparaît en même temps. En effet quand on fait pointer Gecko sur une URL « XUL », il lance l'application. Mais voila, que faire si la dite application simule une nouvelle fenêtre de navigation, avec l'URL de votre banque dans la barre d'adresse, un petit cadenas dans le coin, un vrai-faux certificat etc ... ?!

Zabbix : un nouvel outil de monitoring

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags :
0
19
juil.
2004
Sécurité
Zabbix est un outil relativement méconnu jusqu'ici, qui se propose de remplacer à la fois Nagios et MRTG. Il permet de suivre l'état complet d'un réseau (débits, etc.) et des systèmes le composant (utilisations processeur, disque, mémoire, processus, etc.) en proposant des graphiques personnalisables de chacune des caractéristiques surveillées et de déclencher des alertes sur des seuils personnalisables ou prédéfinis. Il est extrêmement configurable au travers d'une interface web.

Veridicom propose un kit de développement pour Linux

Posté par . Modéré par Jaimé Ragnagna.
Tags : aucun
0
16
juil.
2004
Sécurité
Veridicom, société spécialisée dans les produits de sécurisation informatique par authentification digitale (NdM : digitale pour « avec les doigts », pas comme mauvaise traduction pour numérique), a annoncé ce jeudi 15 Juillet la sortie d'une suite logicielle pour les systèmes Linux (NdM²: GNU/Linux). Seuls seront supportés les noyaux et distributions suivants :

• Red Hat Enterprise Linux 3 Update2, noyau 2.4.21-15.EL
• Red Hat Enterprise Linux 3 , noyau 2.4.21-4.EL
• Red Hat 8.0, noyau 2.4.15
• Red Hat 7.3, noyau 2.4.5
• Slackware 9.1, noyau 2.4.22
• SUSE 8.1, noyau 2.4.19-4GB
• SUN SUSE 8.1, noyau 2.4.19-4GB/

Pour commencer, seules les sondes FPS200 seront gérées. Mais Veridicom assure qu'ils planifient le support de l'ensemble de leurs produits sous les systèmes Linux (NdM²: GNU/Linux) et prévoient le support du noyau 2.6 dans les mois qui viennent.

Le kit de développement (SDK) de Veridicom coûte 1700 $ et sera disponible le 1er août. Aucune information sur la licence de la partie logicielle du produit n'est mentionnée.

Sortie de Nessus 2.1.0

Posté par . Modéré par Christophe Guilloux.
Tags :
0
15
juil.
2004
Sécurité
La version 2.1.0 de Nessus est sortie. Nessus est un scanner de vulnérabilités, permettant d'identifier à distance certaines failles présentes sur les machines d'un réseau.
La grande nouveauté de la version 2.1.0 par rapport aux précédentes versions est le "test local", c'est-à-dire la capacité à pouvoir s'identifier sur les machines distantes par SSH et de vérifier que tous les bons patches ont été appliqués.
Les OS supportés pour le moment sont FreeBSD, Red Hat Enterprise Linux, Solaris et MacOS X. Apparemment, le support de SuSE et Debian est en cours de développement.

La norme de communications sans-fil 802.11i validée

Posté par . Modéré par Benoît Sibaud.
Tags : aucun
0
13
juil.
2004
Sécurité
Le 23 juin 2004, lors de la conférence à Piscataway (N.J) le groupe de travail 802.11 de l'IEEE a homologué et certifié la norme de communication de réseau local sans-fils 802.11i.

Elle a pour seul but d'amener une réelle couche de sécurité au protocole 802.1x.

Avec l'utilisation de ce protocole dans nos réseaux non filaires GNU/Linux et BSD, nous devrions être en mesure de travailler réellement à la sécurité du réseau et non plus à contourner les faiblesses du protocole.
En effet, comment profiter d'une infrastructure fiable si le protocole est vérolé !

Nouveau CA gratuit

Posté par (page perso) . Modéré par Nÿco.
Tags :
0
6
juil.
2004
Sécurité
L'organisation à but non lucratif CA-Cert a ouvert un Certificate Autority (autorité de certification) gratuit et accessible à tous.
Ils vous proposent :
- certificats de signatures numériques
- certificats pour serveurs

Le CA-Cert est dépendant du CERT Australien.

Retranscription vidéo/audio Pierre Betouin (Challenge Securitech)

Posté par . Modéré par Mouns.
Tags :
0
30
juin
2004
Sécurité
Dans le cadre du Challenge Securitech 2004, Pierre Betouin, organisateur, donna une conférence le 7 juin 2004 lors des réunions du groupe SWNT de l'OSSIR. Lors de celle ci, il a été abordé les détails techniques, logistiques et juridiques de l'organisation d'un concours de ce type ainsi que la résolution des niveaux, le monitoring, les problèmes rencontrés et les contraintes de sécurité. À voir également les insolites : résolution des niveaux de cryptographie avec un tableur !

Le site secuobs.com vous propose le choix entre une retranscription du flux vidéo ou la version audio de cette intervention qui dure 40 minutes. La vidéo est disponible au format MPEG4 (le son est en AAC) regardable avec mp4player/gmp4player (mpeg4ip), mplayer ainsi que les dernières versions de Quicktime (6). L'audio est au format Ogg Vorbis, mp3 et aac. Le tout est disponible en ligne (embed html) ou au format tar+gz en téléchargement.

NuFW 0.7.1 est sorti, proposant un nouveau système pour le SSO

Posté par (page perso) . Modéré par Nÿco.
Tags :
0
30
juin
2004
Sécurité
La version 0.7.1 de NuFW est sortie la semaine dernière. NuFW est un parefeu authentifiant basé sur Netfilter.

Il permet de :
- réaliser un filtrage par utilisateur (même sur les machines multi-utilisateurs)
- définir la qualité de services par utilisateur
- suivre de l'activité des utilisateurs (utilisant syslog, MySQL ou PostgreSQL)

La version 0.7.1 introduit une nouvelle option qui permet de réaliser une table de suivi des connexions authentifiées en temps réel. Le stockage SQL de cette table permet de réaliser un système d'authentification unique centralisé.

Un module Apache, mod_auth_nufw, utilisant cette méthode pour réaliser l'authentification vient d'être publié en GPL. Il est donc désormais possible de s'authentifier de manière transparente sur un ensemble de serveurs Apache utilisant ce module.

Enregistrement Audio et Interview de Nicolas Brulez sur le Reverse Engeenering

Posté par . Modéré par Christophe Guilloux.
Tags :
0
25
mai
2004
Sécurité
Dans le cadre du Challenge Securitech 2004, concours de sécurité informatique organisé par des élèves de troisième année de l'Ecole Supérieure d'Informatique Electronique Automatique (ESIEA), une conférence de clôture a été organisée le 7 mai 2004.
Lors de cette conférence, Nicolas Brulez, responsable de la sécurité au sein de la société Sillicon Realms notamment éditeur du logiciel de système de protection Armadillo, est intervenu sur la résolution du troisième niveau de la catégorie Reverse Engeenering du concours, il est le créateur de ce niveau.
L'équipe du site Secuobs.com spécialisée dans la sécurité informatique a réalisé et mis en ligne un enregistrement audio de 30 minutes de cette intervention accompagné d'une interview de 3 pages en format html de Nicolas Brulez et du slide de présentation au même format utilisé lors de la conférence.

Réaction de l'Europe au projet Echelon

Posté par (page perso) . Modéré par Benoît Sibaud.
Tags : aucun
0
19
mai
2004
Sécurité
Dans le but de lutter contre Echelon et l'espionnage numérique, l'Union européenne a décidé d'investir € 11 millions dans un projet de sécurité des communications à base de cryptographie quantique. Le projet d'une durée de 4 ans, inclut des universités, instituts de recherches et entreprises, au total 41 participants provenant de 12 pays différents (France).

NdM : on se rappelera que le rapport européen sur Echelon préconisait la crypto et en particulier les outils libres, mais que le 11 septembre est passé par là, modifiant la perception de la crypto.

Interview de l'auteur de Nessus en ligne

Posté par . Modéré par Amaury.
Tags : aucun
0
19
mai
2004
Sécurité
"La licence GPL est avant tout une sorte de contrat entre le développeur et les utilisateurs" Renaud Deraison, la personne à l'origine du projet Nessus, revient dans cette interview sur le choix de la licence GPL pour le logiciel d'audit de vulnérabilités.

Il exprime également ses opinions sur des sujets comme :
- l'organisation du projet Nessus
- les futures fonctionnalités de Nessus 2.2,
- les logiciels développés par la société Tenable Network Security dont il est l'un des fondateurs avec Ron Gula.

A lire : Sa position sur le paysage de la sécurité en France et notamment la loi sur la confiance dans l'économie numérique.

Le code source de Cisco IOS volé ?

Posté par . Modéré par Nÿco.
Tags : aucun
0
18
mai
2004
Sécurité
D'après une entreprise russe spécialisée dans le domaine de la sécurité, ainsi que plusieurs sites web d'informations, le géant du réseau a été attaqué par un pirate. Celui-ci aurait volé environ 800 Mo de "code source", mais on ne sait pas trop ce que contient ce code.

Selon toutes vraisemblances, le code volé concernerait la version 12.3 de Cisco IOS. Il est donc probable que cet événement concerne quasiment 90% des équipements réseau. Cisco est en "alerte rouge" sur le sujet.

Conférence Challenge Securitech 2004

Posté par . Modéré par Nÿco.
Tags :
0
5
mai
2004
Sécurité
Challenge Securitech est un concours de sécurité informatique qui a eu lieu du 10 avril au 1er mai.
Le concours vient donc de se terminer ce week-end. Dans le cadre du challenge est organisée une conférence le vendredi 7 mai 2004 à 17h dans le 5ème arrondissement de Paris.
Seront notamment présents, Kostya Kortchinsky, responsable du CERT RENATER et Nicolas Brulez, The Armadillo Software Protection System :
Kostya Kortchinsky animera une présentation sur les shellcode ~crosoft.
Nicolas Brulez présentera quant à lui les techniques de reverse engineering.

Les solutions des 20 niveaux du Challenge seront également débattues.

Sécuriser une installation Linux

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags : aucun
0
27
avr.
2004
Sécurité
Sous le titre Securing a fresh Linux install, Linux.com propose aux débutants trois courts articles pour les aider à sécuriser un Linux fraîchement installé.
Du choix des mots de passe à l'installation du pare-feu, ces articles se veulent avant tout un aide-mémoire permettant de dresser une liste des points auxquels il faudrait porter une attention particulière. Chacun de ces points est bien sûr à approfondir, tant le sujet est vaste.
Recommandé à tous ceux qui voudraient, par exemple, installer un serveur sans vraiment savoir par où commencer.

Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

Posté par . Modéré par Nÿco.
Tags :
0
18
mar.
2004
Sécurité
Trois vulnérabilités ont été identifiées dans OpenSSL, elles pourraient être exploitées par un attaquant distant afin de causer un Déni de Service (DoS) :
Le premier problème se situe au niveau de la fonction "do_change_cipher_spec()", le second au niveau d'une mise à jour ajoutée à la version OpenSSL 0.9.6d, la dernière vulnérabilité se situe au niveau de la routine utilisée pour le handshake SSL/TLS combiné à Kerberos ciphersuites.

Toutes les versions de 0.9.6c à 0.9.6l ainsi que de 0.9.7a à 0.9.7c sont vulnérables. Ils faut mettre à jour vers les versions 0.9.6m ou 0.9.7d en prenant soins de recompiler les binaires liés statiquement à cette librairie.

Arrêt du projet FreeS/WAN

Posté par . Modéré par Mouns.
Tags : aucun
0
10
mar.
2004
Sécurité
Depuis le 1er mars 2004, le projet FreeS/WAN n'est plus à un stade actif de dévelopemment. Les bugs de la version en cours (2.05) seront corrigés dans une ultime version (le suivi de la version finale sera assuré).

FreeS/wan implémente IPSEC dans le noyau Linux, afin de créer un VPN (NdM : Virtual Private Network, Réseau Privé Virtuel) entre plusieurs machines, ou des réseaux complets.

La raison de cet arrêt semble être la différence entre l'offre et la demande : tout le monde voudrait une couche IPSEC "feature-rich" pour les entreprises, alors que le but du projet est la banalisation de "Opportunistic Encryption".

Linux avec accès biométrique sur une clef USB ?

Posté par . Modéré par Amaury.
Tags : aucun
0
10
fév.
2004
Sécurité
Sony vient d'annoncer la sortie de "Micro Vault Finger Print" qui n'est autre qu'une clef USB à laquelle le fabricant a rajouté un lecteur d'empreintes digitales. Ce petit gadget permet grâce à une pression du doigt de reconnaître jusqu'à dix profils différents. La clef autorise une capacité de stockage de 128 Mo.

On ne peut s'empêcher de rapprocher ce produit de la distribution Linux "Flonix", qui pèse 60 Mo et s'installe sur une clef USB (nécessite un BIOS récent pour booter sur un périphérique USB). Cela donnerait une distribution Linux sécurisée par un système biométrique et logeant sur une clef USB permettant de stocker 68 Mo de données en plus du système.