Compte-rendu SANS Network Security 2000

Posté par . Modéré par Fabien Penso.
Tags :
0
21
déc.
2000
Sécurité
HSC (consultants sécurité) publient sur leur site un compte-rendu de la conférence System Administration, Networking & Security qui s'est déroulée en Octobre dernier. Plusieurs infos intéressantes sur l'évolution de la conférence avec le temps, les DDOS et les initiatives visant à améliorer la sécurité en entreprise.

Il y a de moins en moins de Français à SANS alors si vous êtes passionés de sécurité et que vous avez été gentil, demandez un billet au Père Noël pour le prochain meeting SANS ;-)

OpenWall Project patch pour 2.2.18 disponible

Posté par . Modéré par Fabien Penso.
Tags :
0
15
déc.
2000
Sécurité
Juste pour signaler que le patch openwall pour le noyau 2.2.18 est sorti. Comme d'habitude :
- la pile est non exécutable, ce qui limite les risques de buffer overflows ;
- des restrictions sur les liens dans /tmp (cool avec les récents problèmes de csh et bash) et les FIFOs
- limitations sur le /proc
- protection des file descriptors 0, 1, 2 pour les programmes SUID/SGID
...

[Note du modérateur : ce patch est utilisé pour augmenter la sécurité du noyau]

digi quoi ?

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
14
déc.
2000
Sécurité
Un procédé « révolutionnaire » et « bête comme chou ». C'est en ces termes que Dominique Guatelli et Victor Victor Maillard décrivent le procédé anti-piratage, Digiprotect, qui devrait aller du CD audio au CD-ROM...

Une bonne ou une mauvaise blague à votre avis ?

J'ai comme idée que ce sera pas en GPL...

Convention sur le Cybercrime : le Conseil de l'Europe se moque des droits de l'homme

Posté par . Modéré par Yann Hirou.
Tags : aucun
0
13
déc.
2000
Sécurité
Un projet de Convention européenne sur le Cybercrime est en préparation depuis plusieurs mois. Ca avait été tenu secret, mais il y a deux mois la coaltion GILC qui regroupe des associations comme l'EFF ou l'ACLU (et en France IRIS) a mis à jour le texte et publié une lettre ouverte demandant à ce qu'il soit réécrit. Le Conseil de l'Europe a dit "Oops, on est désolé, on s'excuse, on le refera plus". La nouvelle version du projet de Convention vient de sortir, mais visiblement ils n'ont pas écouté la GILC. Résultat : celle-ci publie une seconde lettre ouverte dénonçant la seconde version du projet. Mais on se demande à quoi ça sert puisque le Conseil de l'Europe s'en moque...

Plus de bulletins de sécurité Microsoft sur BugTraq

Posté par . Modéré par Fabien Penso.
Tags :
0
11
déc.
2000
Sécurité
Microsoft a changé dernièrement le format de ses bulletins de sécurité qui étaient auparavant repris par BugTraq (mailing-list d'annonces de sécurité la plus connue et suivie...). Il faut maintenant visiter une page Web chez Microsoft pour avoir l'annonce en entier.

Elias Levy (administrateur de Bugtraq) a alors décidé de reprendre un de ces bulletins dans son intégralité sur Bugtraq la semaine dernière, ce qui n'a pas du tout plu à M$.

Les administrateurs de Bugtraq ont donc décidé en conséquence de ne plus publier d'annonces de sécurité de M$ tant qu'ils ne reviendront pas à leur ancien format.

Un Os crypté avec sauvegarde distante !

Posté par . Modéré par Fabien Penso.
Tags :
0
10
déc.
2000
Sécurité
Si vous êtes recherché par la NSA, la DST, le FSB et le FBI, et que voulez pouvoir bosser tranquille quand même, utilisez ce système !
Moot est un Os dont le noyau est crypté. Typiquement vous avez un CD-ROM sur lequel est l'OS et vos fichiers persos sont sur Internet. Cela vous permet un maximum de confidentialité.

Libéralisation de la crypto

Posté par . Modéré par trollhunter.
Tags : aucun
0
8
déc.
2000
Sécurité
Vu dans Libé,

La Loi sur la Société de l'Information (LSI) qui doit passer l'an prochain au Parlement sera l'occasion de libéraliser la crypto. (promis en janvier par Jospin et réaffirmé par Fabius)

D'autre part, les décrets d'application de la loi sur la signature électronique devraient être publiés «avant la fin de l'année».

Open source ou Closed source ?

Posté par . Modéré par Fabien Penso.
Tags :
0
5
déc.
2000
Sécurité
Ce matin à la Défense, un séminaire sécurité organisé par ISS, RSA, Lucent et d'autres. Quelques démos de piratage, assez basique et anciennes. Toutefois intéressant car reproductible par n importe qui.
J ai posé quelques questions, et en résumé il y a une relative humilité de la part des prestataires. Malgré cela, ISS a mis en avant X-Force, en prétendant qu'ils allaient plus vite que les Hackers.
Enfin, pour ce qui est des produits, tout est closed source, ce qui pour moi n'est pas un gage de confiance. De plus on amuse la galerie avec les démos, mais que dans les discussions, il semble que vraies solutions intégrées ou l'on considere toute la chaine de l'information ne sont pas légion.

Et un nouveau virus, un !

Posté par . Modéré par Fabien Penso.
Tags :
0
1
déc.
2000
Sécurité
Un virus de plus sous windows, c'est pas original. D'autant plus qu'il n'est pas finaud: un .exe attaché aux emails, qui se fait passer pour une animation shockwave, et qui se réplique via le carnet d'adresse de OutLook. Mais celui-ci a la particularité de conseiller à la personne infectée de remplacer son windows par linux:
- les fichiers .jpg et .zip sont renommés en ajoutant "change atleast now to LINUX" à leur nom.
- l'auteur du virus a signé "The Penguin"

Si j'avais tendance à voir des complots partout, je me dirais: ce genre d'acte ne va-t-il pas faire passer les aficionados de linux pour de dangeureux terroristes ? Aurait-il pour but de faire du tord à Tux ?

SSH : guide pratique

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
21
nov.
2000
Sécurité
Une excellente doc sur l'utilisation de SSH (tunneling sur X11, ftp sécurisé ...) au travers d'exemples concrets et pratiques.
Bref à ne pas manquer pour ceux qui utilisent SSH juste comme un telnet sécurisé !

Installation et configuration d'OpenSSH

Posté par . Modéré par trollhunter.
Tags : aucun
1
21
nov.
2000
Sécurité
Cet intéressant article décrit parfaitement l'administration du logiciel de connexion sécurisé OpenSSH. Il aborde, en premier lieu, les raisons techniques de la nécessité du cryptage des connexions sur internet avant de rentrer dans les méandres de sa configuration... (source mynews.free.fr)

Configurez correctement votre Apache !

Posté par . Modéré par Yann Hirou.
Tags : aucun
0
20
nov.
2000
Sécurité
Multimania a failli faire les frais d'un oubli dans sa configuration Apache : la fonction "exec" des Server Side Includes n'avait pas été désactivée...
Conséquence : un admirateur anonyme en avait profité pour mettre sur sa page le fichier de config du serveur Apache, ainsi que dans un coin des "rm -rf * /".
Conclusion : ça arrive même aux plus gros...
Merci à Orphée pour l'info.

Mention spéciale tout de même pour les administrateurs de Multimania : réactivité inférieure à 5mn une fois avertis du problème. Bravo.
Nous avons choisi de les contacter avant de passer la news... ça mérite bien un lien sur multimania vers LinuxFR, non ? ;-)

Une nouvelle faille pour EOL

Posté par . Modéré par Fabien Penso.
Tags :
0
19
nov.
2000
Sécurité
Europe Online est un fournisseur d'accès Internet par satellite. Plusieurs failles de sécurité avaient déjà été découvertes par Satspy. Cette fois-çi, il s'agit d'une faille sérieuse à propos de leur site web www.europeonline.net.
Il est effectivement possible de pénétrer dans la partie dite "sécurisée" du site, de se faire passer pour un autre utilisateur et d'obtenir des informations confidentielles le concernant telles que nom, prénom, adresse, numéro de téléphone, adresse email, numéro de carte de crédit, etc.
Il est également possible de modifier le mot de passe de cet utilisateur et d'utiliser alors son compte pour avoir une bande passante plus importante.

Un document a été réalisé pour expliquer de façon approfondie la faille de sécurité.

bug pour cron et openssh - updatez !

Posté par . Modéré par I P.
Tags :
0
18
nov.
2000
Sécurité
Une nouvelle version de OpenSSH est disponible. Un bug permet au serveur accedé en ssh de forcer le client en mode agent ainsi que la redirection X11. Des updates sont disponibles pour Debian et certainement d'autres distributions.
De meme pour le programme cron qui est attaquable localement.

A vos updates !

Vulnérabilité dans StarOffice 5.2

Posté par . Modéré par Laurent.
Tags :
0
14
nov.
2000
Sécurité
Un problème de sécurité a été découvert lors de l'utilisation de StarOffice en mode multi-utilisateurs. En effet les permissions d'accès au répertoire temporaire /tmp/soffice.tmp sont établies à 0777. Donc pensez à modifier le répertoire tmp par default pour qu'il soit créer dans l'espace utilisateur ($home).

Windows 2000 n'est pas assez sûr pour l'instant

Posté par . Modéré par Yann Hirou.
Tags : aucun
0
8
nov.
2000
Sécurité
Telle est la conclusion d'un analyste du Gartner Group lors d'un symposium à Cannes. Win2K ne serait en effet pas assez sécurisé pour l'utilisation d'un serveur Web. Cet analyste recommande d'attendre la fin de l'année prochaine avant de l'utiliser.

On note également que Solaris et HP-UX sont suffisamment sur pour être déployés sur la toile et que Linux sera la solution la plus sûre dans les 5 ans à venir.

Sources de Tripwire disponibles

Posté par . Modéré par Fabien Penso.
Tags :
0
30
oct.
2000
Sécurité
La société Tripwire vient de publier les sources de son outil Tripwire comme elle l'avait annoncé il y a plusieurs mois. Je rappelle que Tripwire est un outil pour vérifier l'intégrité de parties sensibles de son système de fichiers (/usr/bin, /sbin, /etc par exemple) et est très utile pour cette tache (même si on trouve des équivalents Open-Source depuis un moment).

Droit de réponse Digital Network

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
30
oct.
2000
Sécurité
Bonjour, j'ai récemment lut sur ce site une information comme quoi notre site aurait été "piraté".
Puis-je vous faire remarquer que le site de Digital Network est depuis plusieurs mois (Je viens de vérifier, cela fait 4 mois) http://www.securite-reseaux.net
Le site www.digital-network.org, ne sert que pour les développeurs qui veulent tester différentes choses. Il n'y a absoluement rien sur ce site.
D'ailleurs pour ceux qui ont vu la base, la seule chose qu'ils ont trouvé, sont des morceaux d'une base destinée (il y a 3 mois !!) à une office de Tourisme.
Voilà, pour ceux qui voudrait jouer aux "pseudos" crackers, un serveur sera disponible d'ici quelques mois à cet effet.
cordialement,
Digital Network

Note du modérateur: Même si un site ne sert qu'à des développeurs internes, est-il raisonnable de laisser les droits d'admin pour tout le monde ? Chacun a sa vision de "sécurité" apparemment...

Interview d'un des deux concepteurs de Rijndael (AES)

Posté par . Modéré par Fabien Penso.
Tags :
0
27
oct.
2000
Sécurité
Sur LinuxSecurity, on trouve une interview de Vincent Rijmen, l'un des deux concepteurs de l'algorithme de chiffrement Rijndael, qui a été élu comme nouveau standard de chiffrement symétrique (AES, Advanced Encryption Standard), en remplacant du vieillissant DES (Data Encryption Standard). L'interview traite de diverses choses, notamment du processus très ouvert de conception et d'analyse de l'algorithme.

Crypto et open source

Posté par . Modéré par I P.
Tags : aucun
0
20
oct.
2000
Sécurité
Transfert.net a interviewé deux traducteurs français de la version Windows de PGP qui se prononcent contre le nationalisme en matière de sécurité informatique. C'est un peu pointu comme discussion, mais grosso modo ils soulignent que le nationalisme informatique n'a plus de sens à l'heure de l'open source.

On a retrouvé la machine Enigma

Posté par . Modéré par I P.
Tags : aucun
0
18
oct.
2000
Sécurité
Une machine Enigma (machine de cryptage mécanique utilisée par les nazis pendant la 2ème guerre mondiale) avait été volée à Bletchley Park (site où Turing et des chercheurs anglais ont cassé Enigma en 1940) en Avril. Une demande de rançon pour la restitution de la machine avait fait suite à ce vol.

La machine vient d'être restituée (en fait envoyée à un journaliste de la BBC) de manière énigmatique. Bonne nouvelle, car il ne reste plus que peu d'exemplaires d'Enigma encore en état de fonctionner (une douzaine si mes infos sont bonnes).

Trustix : enfin la sécurité sous Linux ?

Posté par . Modéré par Yann Hirou.
Tags :
0
13
oct.
2000
Sécurité
Trustix est une distribution suédoise spéciale serveur, étudiée pour une sécurité optimale (ce qui n'est pas le cas de toutes les distribs).

Ils viennent de clore un concours de hacks qui a duré du 5 au 8 octobre et qui a montré que leur distrib n'a pu être prise en défaut. Ils auraient subi 400000 attaques de crackers en 3 jours (sans succès).

Trustix fournit du support commercial et développe des outils d'aministration et de sécurité pour Linux mais offre aussi sa distrib en Open Source sur Trustix.net

PS : quelqu'un a déjà essayé cette distrib et peut nous faire une synthèse sur le sujet ?

Article sur OpenSSH

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
9
oct.
2000
Sécurité
Décidément...
Le site web de l'APRIL vient de publier un article de Lol Zimmerli sur OpenSSH, une implémentation libre de SSH développé par l'équipe de OpenBSD. A lire !
Quoi ? T'utilises pas encore OpenSSH ?! :-)