PPassKeeper, interface de stockage de données sensibles.

Posté par (page perso) . Modéré par patrick_g.
Tags :
13
27
nov.
2008
Sécurité
Que vous soyez développeur ou simple utilisateur, la sauvegarde de données sensibles telles que les mots de passe est source de soucis.
En tant qu'utilisateur, on aime avoir le choix. C'est d'autant plus vrai en sécurité où chacun a ses propres exigences et sa propre topologie.
En tant que développeur, stockages variés et plus sécurisés riment avec moins de portabilité.

Pour essayer de concilier les deux mondes, la bibliothèque "PPasskeeper" voit le jour.

La version 0.9 venant tout juste de sortir (version que je considère comme étant la bêta 1), n'hésitez pas à l'essayer via son utilitaire de gestion de mot de passe graphique ou en ligne de commande.
Je n'ai pu tester la bibliothèque que sous Linux et Windows (XP et Vista), de plus, la liste des modules est assez courte (KWallet, registre Windows et fenêtres de demande de mot de passe en GTK, Win32 ou Qt).

Le Conseil de l'UE refuse la divulgation des documents secrets de l'ACTA à la FFII

Posté par (page perso) . Modéré par baud123.
Tags :
12
12
nov.
2008
Sécurité
D'après un communiqué de la FFII daté du 10 novembre, le Conseil des Ministres de l'Union Européenne a refusé la demande de la FFII déposée la semaine dernière de divulguer les documents secrets utilisés dans la négociation de l'ACTA (ou Traité commercial anti-contrefaçon), au prétexte que la publication de ces documents affaiblirait la position de l'Union Européenne dans la négociation et affecterait les relations entre les parties en présence.

Sous la traditionnelle excuse de sécurité, l'ACTA prévoit de nombreuses mesures disparates susceptibles de nuire à la vie privée des citoyens, et le fait même que la discussion reste secrète démontre un évident mépris de la démocratie, et la FFII dans sa réponse s'interroge sur le prix à partir duquel une négociation devient plus importante que la démocratie.

Des centaines d'associations à travers le monde telles que EFF (son dossier ACTA), Act Up et Médecins Sans frontières entre autres ont également dénoncé ce dysfonctionnement démocratique de l'ACTA.

NdM : merci aussi à Éric Cousin pour sa proposition de dépêche sur le même sujet.

Le chiffrement WPA-TKIP aurait été cassé par deux chercheurs

Posté par . Modéré par Mouns.
Tags : aucun
5
11
nov.
2008
Sécurité
Numerama nous apprend que le WPA-TKIP servant à sécuriser des réseaux Wi-Fi aurait été partiellement cassé par deux chercheurs.

Cette méthode pourrait être utilisée pour briser le chiffrement en un quart d'heure à peine. Cette technique ne repose pas sur une attaque « brute force » comme il est de coutume, mais sur de solides algorithmes mathématiques ainsi que sur une faille du système de chiffrement. Ce système de chiffrement était réputé comme quasiment impossible à « casser » sans posséder de matériel très performant : les deux chercheurs semblent avoir prouvé le contraire.

L'article de Numerama rappelle à juste titre aux législateurs (NdR : de la loi "Création et Internet" entre autres) :
[...] qu'aucune protection quelle qu'elle soit ne peut garantir la sécurité des données sur un ordinateur ou sur un réseau. La loi Création et Internet, qui veut faire supporter de fait aux abonnés une obligation de résultat dans la protection de leur accès à Internet, est en cela redoutable. S'il n'est pas possible techniquement de prouver que l'on a fait l'objet d'une attaque, cette obligation de sécurisation doit être refusée puisqu'elle est incompatible avec les droits de la défense [...].

Les deux chercheurs présenteront leur méthode lors du PacSec à Tokyo, le semaine prochaine.

NdM : il ne s'agit pour l'instant que d'une annonce, même si d'après les commentaires du journal de fleny68 sur le même sujet, des ajouts ont été faits à un outil d'attaque des clés Wi-Fi pour exploiter une faille, dont l'ampleur et la méthode utilisée restent à décrire plus précisément.

D-Link DIR-655, le routeur déroutant

Posté par (page perso) . Modéré par Nÿco.
Tags : aucun
21
6
nov.
2008
Sécurité
La dernière version du « firmware » (microcode) pour le routeur D-link DIR-655 introduirait une nouvelle « fonctionnalité » : le détournement de trafic à des fins de sécurité (sic). Lorsqu'un internaute se promène sur le web, le routeur prendrait l'initiative de l'envoyer sur un site commercial pour lui vendre des produits commercialisés par D-Link (abonnement à une fonctionnalité de sécurité baptisée SecureSpot).

Cette fonctionnalité serait désactivable, mais activée par défaut. Cela semble douteux pour dire le moindre (les mots interception et détournement de communication privée viennent à mon esprit). Par ailleurs, d'un point de vue éducation et sécurité, prétendre améliorer la sécurité en faisant du détournement de trafic semble un peu antinomique.
Ce n'est pas une nouveauté sur le principe, la société Belkin l'avait appris à ses dépens en 2003.

Et la partie « amusante », D-Link publie son (ou une partie de son) code sous GPL...

Hack.lu 2008 arrive à grands pas.

Posté par . Modéré par Florent Zara.
Tags : aucun
3
24
sept.
2008
Sécurité
Hack.lu est une convention et un espace de discussion sur la sécurité informatique, la vie privée, les technologies de l'information et ses implications dans la société. Le but de la convention est de créer une passerelle entre les différents acteurs du domaine de la sécurité informatique.

L'événement a lieu du 22 au 24 octobre, au Luxembourg.

Inscription à la journée utilisateur du Netfilter Workshop

Posté par (page perso) . Modéré par Florent Zara.
Tags :
14
5
sept.
2008
Sécurité
La convention Netfilter qui rassemble les développeurs de la couche pare-feu de Linux aura lieu cette année à Paris. Cet événement international débutera par une journée de conférences ouvertes aux utilisateurs. Le lieu et le programme de cette journée sont maintenant établis.
Elle se déroulera le 29 septembre à l'école d'ingénieur ESIEA, Paris 5ème.

Des développeurs de Netfilter et des utilisateurs avancés présenteront leur vision et leur utilisation du filtrage IP sous Linux. Les conférences seront variées allant de la présentation de l'utilisation intensive de Netfilter/iptables chez un ISP danois à l'exposé sur le successeur d'iptables par Patrick McHardy, actuel leader du projet, en passant par une présentation de ses derniers travaux par David Miller, mainteneur de la couche réseau de Linux.

La journée est libre et gratuite. Une inscription est souhaitée pour des aspects logistiques.

Comment matériel numérique et données peuvent s'envoler dans un aéroport...

Posté par (page perso) . Modéré par Mouns.
Tags : aucun
2
12
août
2008
Sécurité
Ceci est susceptible d'intéresser les développeurs et utilisateurs de logiciels libres qui souhaiteraient se rendre aux États-Unis (et d'autres pays en train de mettre en place la même législation). Le Département états-unien de la sécurité intérieure (DHS) a publié un texte autorisant les douaniers à saisir n'importe quel appareil électronique (portables, mobiles, disques durs portables, smartphones, CD, DVD, tous supports numériques, etc.) au nom de la sécurité, pour permettre la « découverte d'informations relatives au terrorisme, aux trafics de stupéfiants ou à l'immigration illégale. » Cela comprend donc une éventuelle confiscation et analyse du contenu (avec traduction et/ou tentative de déchiffrement si nécessaire). Les mesures sont déjà en vigueur et selon « IDG News Service, plusieurs voyageurs ont rapporté s'être faits saisir leur ordinateur portable sans que leur bien leur soit restitué par la suite. »

Ce texte fait partie de l'Anti-Counterfeiting Trade Agreement (ACTA, littéralement « Traité commercial anti-contrefaçon ») , entre les États-Unis, l'Union européenne, le Japon, la Suisse, l'Australie, le Canada et la Nouvelle Zélande (voir les détails sur le blog de Laurent Guerby). Vous aurez noté que l'ACTA concerne plus la contrefaçon que la (traditionnelle excuse de la) sécurité nationale...

L'EFF (Electronic Frontier Foundation) craint que « les ordinateurs [ne] renferment des informations familiales, médicales, financières, qui pourraient facilement être copiées et se retrouver dans les bases de données gouvernementales ».

On pourrait bien entendu évoquer des solutions techniques (le déni plausible, apprendre par coeur sa clé SSH et télécharger ses données une fois sur place, etc.), mais c'est bien l'adoption d'une telle législation et ses conséquences qui devraient faire réfléchir, et pas les hypothétiques et tortueux contournements techniques possibles.

Éclosion de Picviz

Posté par . Modéré par Nÿco.
Tags :
0
8
août
2008
Sécurité
Picviz vient de sortir. Il s'agit d'un programme libre publié sous licence GPLv3 permettant de tracer des graphes sur des axes parallèles, permettant ainsi de voir N-dimensions sur une surface en 2D.

Ce programme trouve plus particulièrement des applications dans le data mining, la détection de collision dans le contrôle aérien et dans la sécurité informatique, ce pourquoi Picviz a principalement été écrit.

Picviz cherche à répondre à la problématique de recherche d'une aiguille dans une botte de foin, où le nombre de données devient trop important pour être compris et analysé par des recherches de motifs connus... surtout si l'on ne sait pas ce que l'on cherche.

Grâce à un langage simple, fortement inspiré de Graphviz, il est aisé d'automatiser la création de graphes et de trouver des éléments remarquables (des convergences, divergences, des éléments éloignés par rapport aux autres, etc.).

Légalisation riposte graduée / spyware : Le Monde.fr confirme

Posté par (page perso) . Modéré par Mouns.
Tags :
0
26
mai
2008
Sécurité
Le Monde.fr vient de publier une enquête sur des amendements déposés au Parlement Européen, dans le cadre de l'examen des directives du Paquet Télécom. Des représentants du film et du disque (SACD, GESAC) y confirment l'analyse publiée par le collectif Quadrature du Net.
Leurs amendements visent à abaisser le niveau de protection de la vie privée, à évacuer l'autorité judiciaire et à imposer aux internautes des mouchards les dénonçant s'ils suspectent une atteinte à un droit d'auteur. Pascal Rogard, directeur général de la SACD explique ainsi que « la protection de la vie privée porte atteinte à d'autres libertés », tandis que sa représentante à Bruxelles précise qu'« il faut passer par un juge pour associer une adresse IP [qui identifie un ordinateur sur les réseaux] à un individu », ce qui empêche la mise en oeuvre de la riposte graduée.
Les propos de la représentante du GESAC sont encore plus clairs : « Je ne vois pas un grand problème à mettre l'Internet sous surveillance ; on doit pouvoir soit filtrer, soit disposer d'une sorte d'alarme qui indiquerait que telle adresse IP fait quelque chose d'illicite. »

La convention Netfilter en 2008 à Paris

Posté par . Modéré par Florent Zara.
Tags :
0
20
mai
2008
Sécurité
Après les éditions 2005 à Séville et 2007 à Karlsruhe, la convention Netfilter se déroule cette année à Paris, du 29 septembre au 3 octobre 2008. La convention Netfilter est l'événement annuel mondial de rencontre de tous les développeurs Netfilter, et l'occasion pour les auteurs et contributeurs du projet de travailler sur les prochaines orientations.

Cette année, la convention se déroulera en deux étapes :
  • Une journée Utilisateurs, ouverte au public. L'appel à soumission est d'ores et déjà publié sur le site officiel de l'événement, les soumissions seront particulièrement appréciées si elles correspondent à des utilisations intensives ou originales de Netfilter ;
  • Quatre journées Développeurs (l'atelier), auxquelles participent les membres de l'équipe de développement officielle (la core team) ainsi que quelques invités. Les personnes intéressées peuvent répondre à l'appel à participation qui a été lancé.
En qualité d'organisateur de l'événement cette année, INL profite de cette annonce pour réaliser l'appel à sponsors pour l'événement. Les entreprises sponsors retenues par la core team disposeront d'une visibilité sur le site web de la convention Netfilter et lors de la journée Utilisateurs.

LSC, un nouveau logiciel d'alimentation d'annuaire

Posté par (page perso) . Modéré par Bruno Michel.
Tags : aucun
0
19
mai
2008
Sécurité
À l'occasion de la sortie de la 1.0rc1, voici l'annonce d'un nouveau logiciel libre d'alimentation d'annuaire LDAP : le LSC (ou Ldap Synchronization Connector).

Il s'agit d'un logiciel écrit en Java pour alimenter un annuaire LDAP à partir d'une base de données, d'un autre annuaire LDAP ou d'un fichier CSV. Il vise à simplifier au maximum les tâches automatisables (via de la génération de code, de fichiers de propriétés...) pour ne plus à avoir qu'à écrire la partie "intelligente" : les règles, les filtrages de valeurs...

NdM : LSC est publié sous licence AGPLv3.

Sortie de Wolfotrack 1.0

Posté par . Modéré par Christophe Guilloux.
0
28
avr.
2008
Sécurité
Netfilter est un pare-feu à état. Il permet donc de garder l'état d'une connexion afin de n'accepter que celles qui sont liées à, par exemple, une connexion sortante.

Il est parfois difficile de tuer facilement une connexion existante sur un pare-feu en production, d'où l'idée de Wolfotrack, qui reprend la version GPL du jeu Wolfenstein 3D (NdM : FPS du siècle dernier) pour lier chaque personnage à une connexion de Netfilter. Ainsi, pour tuer une connexion il suffit simplement de tuer le personnage qui lui est associé.

Avec Netfilter, la table de suivi de connexion s'appelle le "connection tracking", et peut être facilement interrogée avec la commande conntrack -E. C'est ce qui est utilisé par des applications telles que pyctd. Les sources de Wolfenstein 3D étant disponibles et faciles à hacker, et hop, il devenait simple d'avoir un outil utilisant Netfilter enfin user-friendly !

Pourquoi Wolfenstein 3D et pas Doom me diriez-vous ? Tout simplement parce qu'avec des armes comme le BFG9000, cela s'avérait trop dangereux.

NdM : Dans la lignée de psdoom pour abattre vos processus et autres zombies (basé sur Doom) ou l3dgeworld l'outil réseau pour surveiller le trafic malicieux (basé sur Open Arena), nul doute que ces outils 3D vont permettre aux administrateurs système et réseau de se défouler.

OpenToken : un projet de token d'authentification matérielle ouvert

Posté par . Modéré par Benoît Sibaud.
Tags : aucun
0
21
avr.
2008
Sécurité
Double information tournant autour de l'authentification forte. Consultez la deuxième partie de la depêche pour en savoir plus.
Tout d'abord, le consortium OATH a publié les spécifications de deux algorithmes permettant de concevoir des tokens matériels :
  • Une première spécification publiée courant 2004 concerne les générateurs de mots de passe en mode asynchrone : à chaque appui sur un bouton du token, un nouveau mot de passe est généré ;
  • Une deuxième spécification, publiée il y a quelques jours à peine (d'où cette dépêche) traite d'un mode de génération de mots de passe à usage unique dépendant du temps, où chaque mot de passe possède une durée de vie de quelques secondes.
Ces deux documents permettent d'imaginer des tokens matériels d'authentification forte libres. Pas gratuits, ça non, mais ouverts, ce qui serait déjà un grand pas en avant.

Et justement, le projet OpenToken vise à concevoir des tokens ouverts, ainsi que les outils logiciels associés, en se basant sur la dernière spécification OATH afin de garantir un fonctionnement transparent. Pour l'instant le projet est en cours de lancement et les objectifs sont ambitieux, n'hésitez donc pas à vous abonner à la liste de diffusion opentoken-devel pour contribuer.

Si le concept vous intéresse, ces informations sont présentées plus en détails dans la suite de la dépêche...

Configurez votre pare-feu Netfilter avec Nuface 2.0

Posté par (page perso) . Modéré par Jaimé Ragnagna.
Tags :
0
28
mar.
2008
Sécurité
Nuface est une interface web haut niveau de configuration de pare-feu Netfilter. Écrite en PHP5 et distribuée sous licence GPL v3, elle simplifie la gestion des règles en offrant une vue haut niveau du pare-feu et une aide contextuelle expliquant directement les options de filtrage. Travaillant de concert avec NuFW et Nulog2, Nuface permet également de gérer des règles d'accès par utilisateur, par application ou par système d'exploitation, et propose le filtrage par plage horaire. Il permet également de voir à partir des journaux affichés par Nulog quelle règle a permis la connexion.

Pour la version 2.0, un effort a été fait sur l'amélioration de l'ergonomie, notamment via des formulaires simplifiés, l'ajout d'une aide contextuelle, et la mise en place d'un historique de navigation. Les règles locales (INPUT et OUTPUT) ont maintenant un formulaire dédié. Pour chaque ACL, on peut décider de tracer (avec ulogd et NuFW) ou non les connexions avec un message de log personnalisé, exploitable notamment avec le logiciel Nulog ou n'importe quel analyseur de journaux. Enfin, la mise en place initiale a été revue et facilitée avec la création d'un outil d'auto-configuration réseau (interfaces, réseaux et routes).

N'hésitez pas à venir rencontrer les développeurs à l'install party le 2 avril prochain. L'ensemble des outils seront présentés (Nuface2, NuFW et Nulog2).

Sortie de Lemonldap::NG 0.9

Posté par (page perso) . Modéré par Nÿco.
Tags : aucun
0
10
mar.
2008
Sécurité
Lemonldap::NG est un système de protection des sites web de type Web-SSO. La nouvelle version est sortie il y a quelques jours.

Principale innovation : l'intégration d'un portail d'authentification compatible Liberty-Alliance. Cette composante « service provider » permet à un utilisateur de se trouver authentifié sur le service protégé par Lemonldap::NG tout en étant authentifié auprès d'un fournisseur d'identité de son choix. Au menu également quelques corrections de bugs et de nombreuses améliorations des API.

Dernière nouvelle enfin et pas des moindres, Lemonldap::NG est désormais intégré à Debian (la version 0.9 passera de « unstable » à « testing » dans quelques jours).

Administration de serveur Unix en DMZ via serveur de rebond

Posté par (page perso) . Modéré par Mouns.
Tags : aucun
1
7
mar.
2008
Sécurité
Dans ce qui va suivre, j'essaierai de vous présenter une technique que j'utilise pour accéder à mes serveurs via des points de montage sshfs (basé sur fuse) encapsulé dans des tunnels SSH.

Dans ce qui va suivre, je ferai des références à un ensemble de produits. Je vais en faire ici une rapide présentation :
  • openssh (que je ne présenterai pas)
  • fuse : module noyau permettant de manipuler des points de montage en tant qu'utilisateur lambda
  • tsocks : bibliothèque permettant l'encapsulation des requêtes réseaux d'un programme.
  • afuse : utilitaire permettant de se servir de fuse pour faire des automounts.

TestDisk & PhotoRec 6.9

Posté par (page perso) . Modéré par Jaimé Ragnagna.
Tags :
1
14
fév.
2008
Sécurité
La version 6.9 de TestDisk et PhotoRec, logiciels de récupération de données multi-plateformes sous licence GPL, vient de sortir.

Cette version apporte de nombreuse améliorations dont le support EFI GPT (MacBook, MacPro, Itanium...), une meilleure identification des disques sous Linux (présence du modèle), la récupération des partitions chiffrées LUKS, Mac HFSX, Linux Raid md 1.0/1.1/1.2 (en plus de 0.9), la possibilité de copier des fichiers depuis une partition FAT retrouvée (déjà possible pour NTFS), la récupération de fichiers depuis l'espace libre d'une partition ext2/ext3...

Sortie de la première version stable d'OpenVAS (fork Nessus)

Posté par . Modéré par Jaimé Ragnagna.
Tags :
1
14
fév.
2008
Sécurité
Je profite de la publication de la première version stable d'OpenVAS pour faire un point sur l'état des forks de Nessus.

Créé en 1998 par Renaud Deraison, Nessus a longtemps été le scanner de vulnérabilités de référence du monde libre. Ce succès à permis à son auteur de monter la société Tenable Network Security qui commercialise une offre d'audits de vulnérabilités. Face à une concurrence utilisant sans vergogne son logiciel, comme le permet la GPL, et au vu de la faiblesse des contributions de la communauté au moteur du logiciel, la société a décidé d'utiliser une licence propriétaire pour la version 3 de Nessus fin 2005 .

La réaction de la communauté ne s'est pas faite attendre et de nombreux forks de la version 2 de Nessus ont été lancés dans la foulée, par exemple GNessUs, Porz-Wahn et Sussen parmi les projets ayant été annoncés officiellement.
L'objectif était de continuer à disposer d'un scanner de vulnérabilité libre et performant. Voilà plus de 2 ans que ces forks ont été lancés, force est de constater qu'aucun d'entre eux n'a acquis la renommée de leur ancêtre commun. En effet, au delà des bonnes intentions, la quasi totalité de ces projets n'ont jamais réussi à rassembler suffisamment de développeurs pour permettre de reprendre le flambeau.

Le site de Porz-Wahn est figé depuis son ouverture et tout laisse à penser que le projet est mort, en fait Porz-Wahn a fusionné en toute discrétion avec GNessUs fin 2005.

L'histoire de Sussen est différente des autres forks. Lancé courant 2004, avant le changement de licence de Nessus, Sussen -"nessus" à l'envers :-)- était au départ un client Gnome codé en Mono/C#/GTK# supposé s'interfacer avec le serveur Nessus.
À la suite de la sortie de Nessus 3.0, le projet a pris une tournure différente et la version actuelle n'a plus rien à voir avec le client Nessus originel. Ce logiciel est maintenu par un seul développeur qui, à l'instar de Renaud Deraison, travaille dans une société de services en sécurité. La version de développement actuelle, disponible pour Linux et Windows, est sortie courant 2007. Elle est certifiée OVAL (un standard pour l'échange d'informations relatives aux vulnérabilités). Un seul message ayant été posté sur la liste de diffusion depuis sa création, le blog du développeur reste le meilleur moyen d'avoir des nouvelles de ce logiciel.

Last but not least, GNessUs a changé de nom et s'appelle dorénavant OpenVAS. Il s'agit du seul fork de Nessus encore actif. C'est autour de ce logiciel lancé par un chercheur en sécurité anglais qu'une communauté s'est formée. Suite à la fusion avec Porz-Wahn, des développeurs allemands ont rejoint l'équipe et le projet a d'ailleurs reçu des subventions du gouvernement allemand. Il a aussi retenu l'attention du SPI, une association qui subventionne des projets libres. C'est donc en toute discrétion, après quand même deux ans de travail, que les premières versions stables d'OpenVAS ont été publiées il y a quelques jours à peine, conformément à la feuille de route.
La communauté dispose donc enfin d'un scanner de vulnérabilités libre. Certes son architecture date un peu et de nombreuses améliorations seront nécessaires avant de se rivaliser avec la version actuelle de Nessus, mais c'est un premier pas dans la bonne direction.
N'hésitez donc pas à vous abonner à la liste de diffusion du projet et à contribuer si vous vous en sentez capable.

Sortie de SignServer 3.0

Posté par . Modéré par Jaimé Ragnagna.
Tags :
0
12
fév.
2008
Sécurité
La version 3.0 de l'application SignServer vient d'être annoncée. SignServer est, comme son nom le laisse à penser, un serveur de signature. Il permet dans sa dernière version de signer les PDF et les documents OpenOffice. En complément du serveur de courriel JamesServer, il permet de réaliser des opérations de signatures et de chiffrements au niveau du serveur de mail.

Signserver peut aussi faire office de serveur d'horodatage. La précédente version intègre la signature de passeport de nouvel génération (MRTD) et de signature en XML-Dsig. La prochaine version fournira la signature Xades (Signature XML avancée).

Ce logiciel est réalisé par les suédois de PrimeKey, à l'origine de la PKI OpenSource EJBCA.

A noter que le logiciel est publié sous deux versions de la LGPL : la LGPL v2.1 et LGPL V3. La version LGPL V3 contient des composants supplémentaires eux même sous LGPL V3, composants retirés de la version LGPL V2.1

Pare-feu authentifiant : sortie de NuFW Live

Posté par . Modéré par Sylvain Rampacek.
Tags :
0
7
fév.
2008
Sécurité
Après plusieurs mois de travail, la première version stable du LiveCD NuFW.Live est disponible. Basé sur une knoppix, ce LiveCD permet à ses utilisateurs de tester facilement et rapidement les fonctionnalités du pare-feu NuFW, et les outils d'administration qui permettent de le gérer : Nulog2, Nuface2 en RC4, pyctd le "tueur de connexion Netfilter" ...

Le LiveCD contient également NuApplet2, un client NuFW pour Linux, ce qui permet de réaliser des tests sans rien installer, en utilisant le LiveCD sur deux machines.

NuFW.Live [version 1.0.1] est téléchargeable en HTTP et en Bittorent. Les volontaires pour fournir un miroir de téléchargement seront les bienvenus.

Concours sécurité Insomni'hack 08

Posté par . Modéré par Jaimé Ragnagna.
Tags : aucun
0
23
jan.
2008
Sécurité
Le 8 février prochain se déroulera la première édition du concours Insomni'hack.
Le concours, gratuit et ouvert à tous, se déroulera en Suisse (Préverenges à côté de Lausanne) est composé d'une série d'épreuves de tous niveaux (faciles à difficiles) orientées sécurité.

Le concours repose entièrement sur des développements spécifiques autour de logiciels libres (dont aucun produit commercial), le but du concours n'étant pas d'utiliser des exploits/failles mais plutôt de mettre en oeuvres des concepts généraux relatifs à la sécurité informatique.

Les épreuves toucheront à divers domaines :

Nulog 2 est disponible

Posté par . Modéré par Nÿco.
Tags :
0
18
jan.
2008
Sécurité
Voici la 2ème génération de l'incontournable outil d'analyse de fichiers journaux de pare-feu. Nulog2, presque 6 ans après la v1, s'appuie toujours sur un format de journalisation SQL, mais présente les informations de manière plus synthétique, et beaucoup plus exploitable.

Au menu des nouveautés :
  • Réécriture complète du code, passage de PHP à Python avec Twisted Matrix ;
  • Génération à la volée de diagrammes et de camemberts, au souhait de l'utilisateur ;
  • Personnalisation totale de la page d'accueil, pour chaque utilisateur ;
  • Refonte de l'ergonomie de l'outil et de la manipulation des critères d'affichage des connexions réseaux ;
  • Possibilités de recherches beaucoup plus avancées ;
  • Export des données affichées en CSV pour traitement personnalisé ;
  • Passage à la licence GPLv3.

Bien entendu, Nulog2, permet, comme la v1, d'exploiter des logs authentifiés par un pare-feu NuFW. Il est donc très simple de créer ses propres indicateurs à placer sur sa page d'accueil, par exemple "Histogramme des derniers paquets droppés des trois dernières heures de l'IP 10.56.140.47 ou de l'utilisateur Martin".

Fusillez vos applications avec Fusil 0.6

Posté par (page perso) . Modéré par Jaimé Ragnagna.
Tags :
0
19
déc.
2007
Sécurité
Le fuzzing est une technique d'assurance qualité logicielle visant à rechercher des bugs en injectant des données invalides. Fusil est un framework dédié au fuzzing comprenant divers outils pour créer des processus, surveiller un processus existant ou encore injecter des erreurs dans un fichier.

Chaque exécution de la cible se voit attribuer une note de -100% à +100% en utilisant diverses sondes pour déterminer si l'application a planté ou non. Des sondes surveillent l'état d'un processus et sa consommation processeur, d'autres surveillent des fichiers texte tel que syslog, d'autres encore se basent sur la durée d'exécution, etc. Le système de notation est réutilisé pour autoconfigurer Fusil : l'agressivité, nombre d'erreurs injectées, évolue en fonction des notes précédentes. Divers exemples sont fournis pour essayer Fusil et voir de quoi il est capable : Mplayer, Image Magick, ClamAV, PHP, printf, etc. Un dossier temporaire est généré pour chaque exécution. Il est utilisé comme répertoire de travail et est conservé en cas de plantage de la cible.

OpenID 2.0 est arrivé

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags : aucun
0
7
déc.
2007
Sécurité
Hier se tenait la dernière journée de travail du "Internet Identity Workshop", une suite de conférences abordant le thème de la gestion de l'identité sur l'Internet. En effet, si la gestion des identités peut paraître simple (quoique) dans une organisation donnée, le problème est beaucoup plus complexe sur l'Internet où les acteurs sont multiples et n'ont pas les mêmes objectifs.

Le projet OpenID a l'ambition d'apporter une solution à ce difficile problème et ce d'une façon complètement décentralisée. De plus en plus de grandes entreprises (comme Orange) se rallient à cette norme et OpenID semble avoir le vent en poupe.

À l'occasion de l'Internet Identity Workshop, David Recordon, Dick Hardt et Josh Hoyt ont annoncé les spécifications finales du projet OpenID 2.0. Selon eux, cette spécification peut contribuer à accélérer le processus d'adoption de cette procédure d'authentification :"General consensus is that it's the finalization of 2.0 that many big players have been waiting on." (le consensus général est que c'est la finalisation de [la version] 2.0 que beaucoup de grands acteurs ont attendu).
La nouvelle norme propose, entre autre, des protocoles cryptographiques plus solides, ainsi que la possibilité de recycler les logins utilisés précédemment.

Ceux qui ne connaissent pas ce projet trouveront des réponses à leurs questions sur ce Wiki, ainsi qu'une synthèse des risques et/ou dérives de ce genre de système. La complexité du système reste un de ses points faibles : "OpenID is too hard to add to your site, it's too unfriendly to login to as a use."

SecUbuLive un Live CD GNU/Linux personnalisable et facile à mettre à jour

Posté par . Modéré par Bruno Michel.
Tags :
0
27
oct.
2007
Sécurité
Il existe actuellement différents CDROM de type Live CD que l'on dit aussi « bootables » et qui sont basés sur les distributions GNU/Linux.

Les Live CD concernant le domaine de la sécurité des systèmes d'informations et de communication sont tout aussi nombreux parmi ceux-ci, ils sont pour la plupart disponibles en téléchargement sur internet et notamment BackTrack2 qui est l'un des plus populaires parmi eux.

Ces Live CD ont été développés pour donner la possibilité à leurs utilisateurs d'y ajouter leurs propres outils et scripts, ils présentent cependant tous un défaut majeur dès lors que l'on souhaite effectuer la mise à jour du système et des outils qui les composent.

Cette opération est soit impossible dans la plupart des cas soit tellement compliquée à réaliser qu'elle n'est pas envisageable pour les utilisateurs lambda ; ils sont alors contraints d'attendre les avancées des développeurs afin de profiter des dernières versions.

Le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, vous propose un document présentant une méthode originale qui permettra à tout un chacun de réaliser son propre Live CD, orienté sécurité ou pas.