firewall pizzahut-powered

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
10
avr.
2002
Sécurité
En surfant au hasard je suis tombé sur ce site anglais proposant un firewall Linux tenant dans une boite en carton de pizza.

Le plus gros est qu'on peut effectivement la commander en ligne :-)

Malheureusement le site ne dit pas s'il faut rajouter de la mozarella...

Entrevue avec Steve Gibson

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
5
avr.
2002
Sécurité
PortaZero a interviewé Steve Gibson au sujet de la sécurité, de l'Internet et du fait d'utiliser FreeBSD à la place de Linux.

« Mon système d'exploitation est FreeBSD UNIX. Il est incroyablement stable, mûr et sûr. Je suis quelque peu inquiet du fait que Linux soit devenu "courant", ses qualités peuvent souffrir du fait de la pression (pour avoir de nouvelles fonctionnalités ou pilotes). [...]
Pour cela je ne commencerais pas à l'utiliser maintenant. J'ai plutot choisi FreeBSD. »

La suite dans l'article...

NdR: Cette nouvelle est une libre adaptation (et/ou adaptation libre ;) ) de celle de RootPrompt
NdR2: portazero.info se veut le site de la securité italien !

Création d'une mailing list de signature de clé GPG

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
3
avr.
2002
Sécurité
Annoncé aujourd'hui sur la mailing list de gnupg-users, la création d'une mailing list keysignings@lists.alt.org permettant à tous ceux qui ont des clés GPG d'annoncer leur passage dans une ville à l'avance, de sorte à pouvoir utiliser un voyage pour rencontrer des gens et signer leurs clés. Autrement dit, organiser un first d'échange de signature, à la volée, n'importe ou et n'importe quand.

Introduction à SNORT

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes : aucune
0
3
avr.
2002
Sécurité
LinuxFrench.net nous gratifie une nouvelle fois d'un bon article, et cette fois nous présente l'outil de détection d'intrusion (IDS) SNORT.

Bien souvent actif sur les firewall, cet outil permet de détecter d'éventuelles attaques en comparant le trafic réseau qu'il capture avec une base de données d'attaques connues. Il génère ensuite des logs qu'il est facile de mettre dans une base de donnée pour une exploitation facilitée.

Au menu donc:
- sniffer le réseau
- générer les logs
- détecter les intrusions

A voir ou revoir

Virus pour tout le monde

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
2
avr.
2002
Sécurité
Un article dans le Monde décrit les risques viraux nouveaux qu'entrainent l'interconnexion croissante des appareils électroniques. Des virus pour PDA, consoles de jeux jusqu'au virus pour réfrigérateurs !

L'article est plutot complet, il y juste une petite remarque issue d'un interview d'un membre du Clusif qui m'a fait réagir : [pour qu'un virus puisse être developpé] " il faut aussi qu'il existe des informations, des documents sur son fonctionnement". Comme si le closed source était gage de sécurité contre les virus.

Connexion au travers d'une passerelle

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
2
avr.
2002
Sécurité
«Depuis toujours nous supposions que les connexions vers l'extérieur étaient illimitées i.e. que vous pouviez établir autant de connexions TCP sortantes que vous vouliez. Même dans notre débat sur les pare-feux nous avons supposé qu'ils n'étaient restrictifs que sur le trafic entrant. Mais dans un environnement plus sécurisé ou plus règlementé, celà peut ne pas être le cas: en effet, il peut ne pas y avoir de connexion IP directe vers le monde extérieur.

Dans le monde des entreprises, il est souvent nécessaire de passer au travers d'un serveur proxy ou d'une passerelle: une machine connectée à la fois au réseau de l'entreprise et à l'extérieur. Bien que connectée aux deux réseaux, une passerelle ne fonctionne pas comme un routeur, et les réseaux restent séparés. De préférence, elle limite les accès au niveau applicatif entre les deux réseaux.»

Dans cette étude de cas, OnLamp aborde l'utilisation de SSH dans un tel environnement.

NdR: Le début de cet article est une libre traduction du début de l'article.

Script de création de répertoires cryptés (FS crypto)

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
29
mar.
2002
Sécurité
De plus en plus de distributions (SuSE 7.3, Mandrake 8.2) contiennent un noyau pré-compilé avec les patchs crypto pour gérer les FS cryptés. Mais elles n'incluent pas de GUI ou de script, et il faut se taper toute une procédure à coups de dd, de losetup et de chown, pour créer son container crypté.

MKCRYPTFS est un script complet qui fait tout le boulot, et qui est compatible avec les principaux systèmes de loop crypto actuels (loop-AES, cryptoapi, kerneli), avec ext2 et ext3, et avec tout noyau adapté pour.

Steghide en français !

Posté par  . Modéré par Benoît Sibaud.
Étiquettes :
0
28
mar.
2002
Sécurité
Le steghide nouveau est arrivé !

Ce programme de stéganographie, entièrement en GPL, en est maintenant à sa version 0.4.5 !
Mais, point important : il est francisé (grace au programme gettext) ! La francisation est loin d'être totale (messages d'erreur/d'aide pour l'instant), mais avance rapidement.

Voilà donc une bonne raison de tester ce programme... et cacher vos données les plus secrètes dans une gentille photo de votre grand mêre (ça n'est qu'une suggestion ;).

Pour ceux qui ne connaissent pas, un logiciel de stéganographie est, en gros, un programme qui permet de camoufler des données sensibles dans des fichiers anodins (souvent son ou image).

Géolocalisation disponible chez Bouygtel

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes : aucune
0
28
mar.
2002
Sécurité
Bouygues Telecom propose désormais la Géolocalisation pour ses clients pro. Pour l'instant ce n'est reservé qu'aux entreprises, pour permettre de localiser les coursiers par exemple. Espérons seulement que les employeurs notifieront bien les employés qu'ils utilisent le système.
Les commerciaux ne pourront plus vraiment mentir sur leur position. Contrairement aux prochaines solutions d'Orange et SFR, Bouygtel offre une meilleure précision (théorique, tout dépend de la couverture effective et du relief, des bâtiments...) grâce au sim-toolkit, donc une partie de la géolocalisation se fait côté client (mobile).

Galiléo est lancé

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
26
mar.
2002
Sécurité
Les ministres des 15 ont officiellement lancé Galiléo cet après-midi en débloquant 450 millions d'euros pour le lancement du projet. A terme, le projet coûtera 3,4 milliards d'euros (hors dépassement de budget ;-)).

Le premier lien pointe vers la brève de Yahoo!, le second vers un article déjà paru ici concernant les pressions américaines.

NdM: Galileo est (sera) un système de radionavigation par satellite européen qui permettra de ne plus dépendre de l'armée américaine comme pour le GPS.

Faille importante sous UNIX

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
20
mar.
2002
Sécurité
Une faille, affectant le daemon X Display Management Console Protocol (XDMCP) vient d'être relayée par le CERT sous le numéro VU#634847.

Cette faille n'affecte pas tous les systèmes UNIX mais quelques déclinaisons. La distribution Linux Mandrake serait affectée (jusqu'à la version 8.0) ainsi que les systèmes Solaris 2.6 (Intel et Sparc) et Solaris 7 Sparc.
En revanche, RedHat 7.2 ne serait pas vulnérable...

Cette faille permet une connexion en root sur le système attaqué.
Avant que la faille ne soit corrigée, il est recommandé de désactiver les connexions à distance et de filtrer le port 177.

Evaluation d'IPCop

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
18
mar.
2002
Sécurité
SecurityFocus nous propose une évaluation de la distribution IPCop.
IPCop est une distribution spécifique destinée à tourner sur une passerelle/firewall/proxy. Elle dérive du projet SmoothWall.

L'article nous explique que le support de SmoothWall est trop axé sur la version commerciale de cette distribution, voila pourquoi IPCop n'existe qu'en GPL.

On y trouve:
* firewall basé sur IPChains
* interface externe qui peut être un modem analogique, RNIS ou ADSL, et peut supporter les connexions PPtP ou PPPoE ADSL vers des modems USB ou Ethernet.
* support DMZ
* système d'administration par page web
* serveur SSH pour accès ditant
* serveur DHCP
* cache DNS
* TCP/UDP port forwarding
* système de détection d'intrusion (Snort)
* support VPN basé sur IPSec (FreeSWAN)

A découvrir d'urgence pour ceux que SmoothWall ont déçu, ou ceux qui cherchent une solution simple à mettre en oeuvre pour sécuriser un réseau.

Les Américains cherchent à couler Galileo.

Posté par  . Modéré par trollhunter.
Étiquettes :
0
17
mar.
2002
Sécurité
Galileo est un projet de l'Union concurrent du GPS américain.
Rappelons que le GPS permet de connaître une position au mètre prés sur toute la surface de la terre.
Au mètre prés, ou au kilomètre prés quand les Américains le décident.
Et ils ne s'en privent pas pour faire pression sur la diplomatie française. Car le GPS est massivement utilisé par l'Armée.
On imagine sans mal les problèmes qu'une précision kilométrique peut entrainer pour certaines applications.
C'est donc un élément stratégique indispensable à un pays souverain.
De plus Galileo n'est pas très coûteux à mettre en place, et il rapportera de l'argent.

Nouvel OpenSSH

Posté par  . Modéré par orebokech.
Étiquettes :
0
16
mar.
2002
Sécurité
Après les bugs "off by one" & "zlib double free", l'équipe d'OpenSSH est en train de travailler à une nouvelle version qui la rendrait insensible à ce type de bug, grâce à une séparation des privilèges.

De l'avis des développeurs :
"Previously any corruption in the sshd could lead to an immediate remote root compromise if it happened before authentication, and to local root compromise if it happend after authentication. Privilege Separation will make such compromise very difficult if not impossible."

Le code est actuellement utilisable sur OpenBSD, mais le portage vers d'autre *nix ne sera pas difficile.

Source : OpenBSD journal

Écriture de virus ELF pour Linux i386

Posté par  . Édité par Benoît Sibaud. Modéré par Amaury.
Étiquettes : aucune
1
14
mar.
2002
Sécurité

(réécrite et réaffectée suite à une purge de compte)

Le HOWTO « post-link-time code modification of ELF executables under Linux/i386 » indique diverses manières d'interférer dans des binaires ELF pour un système GNU-Linux.

Bridge filtrant avec Netfilter

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
8
mar.
2002
Sécurité
Pour le moment, pour mettre en place un pont filtrant sous Linux, on n'avait pas beaucoup le choix : en attendant quelque chose de propre et documenté avec le kernel 2.4 et NetFilter, il fallait se résigner à revenir en kernel 2.2 et lire le HOWTO Bridge+Firewall+DSL. Mais ce temps est révolu ! A nous les joies des ponts filtrants avec NetFilter !



Pour ceux qui ne comprennent pas ce que cela représente, imaginez que votre firewall Linux devienne "invisible" et qu'il puisse s'intercaler entre deux équipements (serveurs, routeurs, modems...) sans changer aucune configuration sur le reste de votre réseau (même plan d'adressage, rêgles de routage inchangées sur tous les équipements...). Si Si, c'est possible !
En gros, votre firewall Linux devient un switch mais il ne laisse passer que ce que vous autorisez... Pour ceux qui souhaitent intégrer un firewall dans un réseau déjà en place, c'est la solution idéale.

TEMPEST, version optique

Posté par  . Modéré par trollhunter.
Étiquettes : aucune
0
8
mar.
2002
Sécurité
Markus G. Kuhn, qui s'était déjà fait remarquer pour le déshabillage de cartes à puces, vient de présenter ses dernières études : il est possible de reconstituer l'affichage de votre écran à partir de senseurs optiques rapides, même à une certaine distance et après reflexion !
En effêt, ce qui nous semble être une image n'est qu'un spot se promenant sur des points de phosphore, une analyse dans le domaine optique permet de reconstituer la trame.
Joe Loughry propose aussi une application aux LEDs, de même que l'image d'un écran, la lumière d'une LED nous semble fixe alors qu'elle peut très bien clignoter (en général pour des raisons de basse consommation). Et dans le pire des cas, cette LED peut clignoter au rythme binaire de Rx ou Tx...

Trou de securite dans OpenSSH 2.0 -> 3.02

Posté par  . Modéré par Amaury.
Étiquettes :
0
7
mar.
2002
Sécurité
Un trou de sécurité a été
découvert dans plusieurs versions de OpenSSH qui permet
aux utilisateurs ayant un compte de passer r00t !

L'exploit pour cela n'a pas encore été publié...

Le PINE-CERT recommande une mise à jour rapide et
classe ce risque comme HIGH (le patch est déja disponible et
intégré dans le CVS d'OpenSSH).

Trou de sécurité dans Netfilter

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes : aucune
0
6
mar.
2002
Sécurité
Des programmeurs ont trouvé un point de vulnérabilité dans Linux qui pourrait permettre à des utilisateurs malveillants d'accéder à un réseau sécurisé par le firewall.

Cette faille, qui affecte les version de Linux allant des versions 2.4.14 à 2.4.18-pre9, est située dans une composante du logiciel pare-feu Netfilter. Cette composante est impliquée quand deux utilisateurs d'ordinateurs discutent entre eux via le sytème "Internet Relay Chat (IRC)".

Tous les détails sur le lien...

Le RSA en danger

Posté par  (site web personnel) . Modéré par Amaury.
Étiquettes :
0
27
fév.
2002
Sécurité
Une news fait beaucoup de bruit dans le monde de la cryptographie depuis quelques jours. En effet, le mathématicien DJ Berstein a publié un article de recherche donnant une technique théorique sur la factorisation de nombres entiers en facteurs premiers, permettant de "casser" le RSA 4x plus vite qu'actuellement.

Dans son article, il propose aussi une application pratique permettant de construire un "RSA breaker" 4x plus performant à coût égal. En conséquence, les clés PGP/RSA de taille plus petite que 2048 bits seraient cassables "facilement".

Et certains en profitent pour ajouter que "nos amis" de la NSA ont déjà ça dans leur carton (gravés dans le silicium) depuis un moment :-(

OpenSSH dépasse SSH ... en nombre

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
0
27
fév.
2002
Sécurité
OpenSSH.org a "scanné" 2,4 millions d'IP entre décembre et février sur l'utilisation des produits ssh. D'après les stats, OpenSSH obtient 59.4% de "part de marché", contre 37.3% pour SSH.

Commentaire de Theo : "Most major Linux distributions install OpenSSH by default."

Source : OpenBSD journal.

Tinfoil Hat Linux: la distribution pour paranoïaques

Posté par  (site web personnel) . Modéré par Amaury.
Étiquettes :
0
21
fév.
2002
Sécurité
Vous pensez que la Terre entière va vouloir attaquer votre ordinateur? Piller vos ressources ô combien confidentielles? Le camion de plombier en bas de chez vous est à la solde du projet TEMPEST? Le livreur de pizzas est un espion venu du froid? =)

Alors Tinfoil Hat Linux est faite pour vous! Cette distribution se dit sûre, tient sur une seule disquette et pourra s'occuper de vos clefs PGP, du chiffrement et de la signature de vos fichiers.

Pleins d'autres fonctionnalités sont à découvrir sur leur site (compilation statique des binaires, tous les fichiers temporaires sont créés dans un RAMdisk chiffré et détruit à l'extinction de la machine, ...)

Assurément c'est *la* distrib' pour paranoïaques avertis ;)

L'OpenSource dynamise la sécurité

Posté par  (site web personnel) . Modéré par Amaury.
Étiquettes : aucune
0
20
fév.
2002
Sécurité
Un groupe de développeurs issus de l'OpenSource s'échine à mettre au point un standard industriel en ce qui concerne les tests de sécurité. Leur laborieux travail, le OSSTMM (Open Source Security Testing Methodology Manual) ou Manuel de Méthodologie de Tests de sécurité OpenSource, sortira dans sa nouvelle version courant du mois.

Ideahamster.org (nom de leur groupe/organisation) a commencé à travailler sur ce manuel l'année dernière. Ils en avaient assez de lire des descriptions de méthodologies de tests sans intérêt ou trop superficielles.

Le groupe, qui comprend en outre les experts en sécurité et des développeurs, prone le fait que l'établissement d'un standard industriel en terme de sécurité sera un premier pas pour évaluer les produits de sécurité.

NdR: la version 1.5 est disponible en téléchargement (.ps, .pdf, .rtf, .html), tandis que la version 2.0 draft n'est disponible qu'au format .rtf et .html.

kitetoa condamné

Posté par  (site web personnel) . Édité par Benoît Sibaud. Modéré par Amaury.
Étiquettes : aucune
0
18
fév.
2002
Sécurité

Après avoir montré l'existence d'une faille de sécurité sur le site de tati.fr, kitetoa se voit poursuivi en justice. Bilan, le TGI de paris condamne avec sursis kitetoa à payer 1000 € pour fraude informatique.

Moralité : si vous découvrez une faille, gardez-vous bien de faire quoi que ce soit. Kitetoa prévient toujours les admins du serveur avant de publier quoi que ce soit sur leur site.