Sécurité Première sortie de Nuface, interface Web d'administration de pare-feu

Posté par . Modéré par Mouns.
Tags :
0
18
juin
2005
Sécurité
Voici Nuface, une interface web intuitive pour administrer les pare-feux EdenWall/NufW. Cet outil de haut niveau d'abstraction permet également d'administrer des pare-feux Netfilter non authentifiants.

La philosophie de l'outil est de définir et de manipuler des objets de haut niveau (tels que des protocoles, des ressources et des sujets), et de les combiner pour créer aisément des listes d'accès (ACLs). Ces ACLs sont alors interprétées par l'outil et déclinées en règles Netfilter. Pour ce qui concerne les pare-feux EdenWall/NuFW, Nuface met également à jour les listes d'accès dans l'annuaire LDAP pour satisfaire à la politique de sécurité choisie.

Sécurité Dossier sur la conférence de sécurité CanSecWest 2005 (Vancouver@Canada) - Secuobs.com

Posté par . Modéré par Jaimé Ragnagna.
Tags : aucun
0
13
juin
2005
Sécurité
Le site Secuobs.com, notamment sponsor du concours de sécurité Challenge-Securitech qui se déroule en ce moment même et cela jusqu'au 1 juillet, met à votre disposition un dossier spécial sur la conférence de sécurité CanSecWest 2005 qui a eu lieu à Vancouver au début du mois de mai.

Au programme vous trouverez notamment un article sur la présentation par Philippe Biondi de l'utilitaire Scapy dont il est le créateur et qui s'impose progressivement comme le couteau suisse de la manipulations de paquets (IP, ARP).

Vous trouverez également dans ce dossier un article sur la présentation de HD Moore et SpoonM à propos de la sortie de la version 2.4 de l'environnement de travail Metasploit qui permet entre autre de tester des exploits (code permettant d'exploiter une faille) sur vos propres serveurs.

A voir également parmi les autres articles de ce dossier :

- le système métrique d'évaluation de la criticité des failles CVSS (Common Vulnerability scoring system) basé sur les propos de Mike Schiffman (Packetfactory),

- une réflexion menée par Brian Martins & Jake Kouns (Opensource Vulnerabilities DataBase - OSVDB) sur la qualité du service offert aujourd'hui par les VDB et son rapport à la vitesse de diffusion.

- et finalement une synthèse des conférences de Maximillian Dornseif (LDDS) & David Maynor (ISS) sur les failles qui émergent de l'accès à la mémoire centrale via DMA (Direct Memory Access) par les périphériques de type USB/PCMCIA/Firewire de plus en plus nombreux, supportés et usités par les utilisateurs de système libre (cf. Open Host Controller Interface - OHCI).

Sécurité INTRINsec annonce VultureNG et Owl

Posté par (page perso) . Modéré par Jaimé Ragnagna.
Tags :
0
12
juin
2005
Sécurité
INTRINsec annonce deux outils open source pour la sécurité : VultureNG et Owl.

VultureNG est une solution de proxy inverse basée sur Apache et mod_perl intégrant la gestion de l'authentification et sa propagation sur les applications (SSO) sans modifications. Vous pouvez également vous en servir localement vers des sites distants pour profiter de l'authentification unique et accéder à vos différents comptes (webmail, banque, linuxfr, intranet, etc.) directement.

VultureNG est dans les contribs de Mandriva et l'arbre Portage de Gentoo, et des RPMs pour d'autres distributions sont disponibles sur le site.

Pour sa part, Owl est un outil de gestion de bande passante. Il permet d'utiliser simultanément plusieurs connexions Internet. Owl assure également l'optimisation de la bande passante en s'appuyant sur le shaper HTB.init (NdM : HTB="Hierachical Token Bucket").

Une interface d'administration permet de configurer le tout et de consulter les graphiques des statistiques d'utilisation par connexion et par protocole.

Sécurité Groupe de discussion Common Criteria avec Mandriva Linux au Cetic (Belgique)

Posté par (page perso) . Modéré par Pascal Terjan.
Tags : aucun
0
1
juin
2005
Sécurité
Le jeudi 2 juin, le Cetic organise un groupe de discussion sur l'utilisation des critères communs en sécurité.

La certification Common Criteria (ou CC) est une norme mondialement reconnue (ISO-IEC 15408) pour l’évaluation de la sécurité des produits et des systèmes informatiques.

Eric Gheur, de Galaxia, fera une introduction aux Common Criteria. Jean-François Molderez, du Cetic, présentera l’utilisation et la modélisation des concepts Common Criteria en vue d’une meilleure maitrise du processus de certification.

Enfin, Yann Droneaud, de Mandriva, présentera les rapports entre Linux et les Common Criteria. Il abordera la signification des certifications EAL3 de SuSE et Red Hat Linux ainsi que le développement en cours d'un système à base de noyau Linux et visant la certification EAL5.

Sécurité La troisième édition du concours de sécurité informatique « Challenge SecuriTech » se déroulera du 11 juin au 1er juillet 2005.

Posté par (page perso) . Modéré par Jaimé Ragnagna.
Tags :
0
1
juin
2005
Sécurité
Le Challenge SecuriTech est un concours de sécurité informatique en ligne, gratuit et ouvert à tous.

À partir du samedi 11 juin 2005 à 00h00, plus de 15 épreuves de sécurité vous seront proposées. Vous aurez alors 3 semaines pour les résoudre. Elles couvriront de nombreux aspects de la sécurité tels que les failles web et applicatives, l'analyse réseau, le reverse engineering, la cryptanalyse, la stéganographie, le forensics, etc. Chaque épreuve résolue vous apportera un certain nombre de points, permettant d'effectuer un classement. De nombreux lots récompenseront les meilleurs.

Deux nouveautés viendront agrémenter cette troisième édition : tout d'abord l'intégration des challenges au sein d'un scénario, ensuite l'orientation des niveaux, plus proches de vraies problématiques de sécurité.

Venez tester, améliorer et comparer vos connaissances en sécurité avec plus de 2500 autres participants !

Les inscriptions sont ouvertes sur http://www.challenge-securitech.com/

Le challenge « SecuriTech » est organisé par le Mastère Spécialisé « Sécurité de l’Information et des Systèmes » de l’ESIEA, formation BAC+6 accréditée par la commission des Grandes Ecoles.

Sécurité Faille de sécurité dans les protocoles IPSec

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags :
0
13
mai
2005
Sécurité
Des chercheurs anglais ont découvert une grave faille de sécurité dans les protocole IPSec, utilisés pour le cryptage des paquets dans les réseaux VPN.

Cette faille concerne les tunnels IPSec ESP (Encapsulating Security Payload) et certaines configurations utilisant AH (Authentification Header), et permet à l'attaquant de récupérer en clair le contenu d'un paquet qui ne lui est pas destiné par un message d'erreur ICMP. Elle est considérée comme grave, et cible potentiellement un grand nombre de réseaux d'entreprise.

Des solutions sont d'ors et déjà disponibles, mais elles imposent la modification de la configuration du VPN.

Sécurité Nouvelle version de Linux PAM

Posté par . Modéré par Jaimé Ragnagna.
Tags :
0
1
avr.
2005
Sécurité
Linux PAM, le système d'authentification pour Linux, est sorti avec en version 0.79.

Elle apporte, en plus de la correction de nombreux bugs, le support des limitations du noyau 2.6 dans le module pam_limits, ainsi qu'un support expérimental du système de détection d'intrusions Prelude IDS, qui permet à Linux PAM d'agir comme une sonde pour rapporter des alertes à Prelude à chaque fois qu'un utilisateur est appelé à s'authentifier.

Sécurité NuFW 1.0.0, le parefeu authentifiant pour Linux

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags :
1
9
mar.
2005
Sécurité
NuFW 1.0.0 "European Parliament, Save me!" est sortie hier inaugurant une nouvelle branche stable du projet. Cette version est dédiée aux personnes luttant contre les brevets logiciels en Europe.

Pour rappel, NuFW est un parefeu authentifiant pour GNU/Linux disponible sous GPL : il réalise l’authentification des connexions passant à travers le filtre IP. Des politiques de sécurités telles que : « Bill peut se connecter au serveur imap si il utilise Mozilla sous Linux 2.6.10 » peuvent être implémentées au moyen d'une règle d'accès NuFW unique.

Sécurité Le projet PaX compromis

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags :
0
7
mar.
2005
Sécurité
PaX est un projet visant à apporter à Linux des moyens de prévenir et/ou de minimiser l'impact des failles donnant accès à l'espace d'adressage d'une tâche, comme les dépassements de tampon (buffer overflow), les format string attacks, etc. Il est une partie importante de grsecurity, qui fournit un ensemble d'améliorations liées à la sécurité pour Linux (protection renforcée des chroot , RBAC, etc.).

Le projet a annoncé le 4 mars la présence d'une faille majeure dans le code même de PaX, permettant d'obtenir à un utilisateur simple de gagner des droits plus importants sur le système, voire des droits administrateurs. Cette faille est exploitable localement, mais une exploitation à distance semble peu probable.

Une version mise à jour du patch est bien sûr disponible sur le site de PaX, ainsi que la version 2.1.2 de grsecurity qui inclut le correctif. Dans l'urgence,

# echo "0 0" > /proc/sys/vm/pagetable_cache

...permet d'éviter le principal vecteur d'exploitation potentiel.

Les auteurs de PaX ont par ailleurs déclaré qu'au vu de la gravité de la faille et pour d'autres raisons, le développement de celui-ci serait arrêté au 1er avril 2005. Brad Spengler, un des auteurs de grsecurity, s'est cependant porté volontaire pour reprendre le flambeau.

NdM : merci à mmenal pour avoir contribué à la news.

Sécurité SHA-1 aurait été cassé

Posté par (page perso) . Modéré par Florent Zara.
Tags : aucun
1
16
fév.
2005
Sécurité
Tout comme MD5 et SHA-0 l'été dernier, c'est au tour de SHA-1 de plier sous les coups de butoir d'une équipe de cryptographes chinois. C'est ce qu'annonce sur son blog Bruce Schneier, l'auteur du célèbre Applied Cryptography.

Une attaque en 2^69 opérations aurait été trouvée, c'est à dire plus rapide d'un facteur 2000 par rapport à l'attaque par force brute en 2^80 (Cependant, 2^69 opérations reste à l'heure actuelle hors de portée du commun des ordinateurs). Cette attaque, basée sur l'attaque de SHA-0, est un résultat très important dans le domaine de la cryptanalyse. Il faut maintenant attendre que l'équipe publie son papier pour avoir les détails de l'attaque.

Le nombre de fonctions de hachage cryptographique sûres commence à se réduire et, comme le disait d'ailleurs Bruce Schneier quand les collisions sur MD5 et SHA-0 avaient été publiées, il est peut-être temps de réfléchir à un nouveau standard.

Sécurité Les versions de développement de Prelude maintenant indisponibles

Posté par . Modéré par Jaimé Ragnagna.
Tags : aucun
0
19
jan.
2005
Sécurité
L'équipe Prelude annonce sur le site prelude-ids.org que les versions de développement du logiciel de détection d'intrusions (sous licence GPL) ne sont plus accessibles en ligne.

Comme il est expliqué sur le site, l'équipe a choisi de couper provisoirement les accès à la suite d'un différend avec une société. Cette société aurait choisi de ne pas renouveler un accord consistant à salarier un développeur en contrepartie du développement de certaines fonctionnalités par l'équipe de Prelude. L'équipe expose dans le communiqué sa vision des détails de l'accord et des conditions de la non reconduction.

Les versions "stables" de Prelude restent néanmoins disponibles sur le site.

Espérons que cet incident ne remettra pas en question le développement de ce logiciel prometteur.

Mise à jour : la société a publié un communiqué à ce sujet (3ème lien).

Mise à jour : l'équipe de Prelude vient de publier une réponse au communiqué précédent.

NdM : Merci à Killix pour cette information.

Sécurité CHRONOMIUM GPL passe un cap avec la version 0.9

Posté par . Modéré par Nÿco.
Tags :
0
22
déc.
2004
Sécurité
Après quelques longs mois de développement, le live CD de décontamination automatique CHRONOMIUM Virus Live franchit une étape lui permettant d'être efficace avec sa version entièrement GPL.

Le projet lancé en même temps que l'association Antesis.org, courant mars 2004 a mûri assez rapidement, et parvient à contourner les contraintes qui avaient fait proposer une version non GPL à contre-coeur.

Sécurité FreeRadius 1.0.1

Posté par (page perso) . Modéré par Amaury.
Tags :
0
21
oct.
2004
Sécurité
Le plus célèbre des serveurs RADIUS libres est maintenant considéré comme stable. Après la sortie de la version 1.0 finale, la 1.0.1 corrige des petits bugs applicatifs.

RADIUS est un protocole client/serveur qui permet de centraliser l'authentification des utilisateurs, l'accès aux ressources, et la comptabilité des informations des utilisateurs distants et des ressources utilisées. C'est ce que l'on nomme AAA (Authentication, Authorization Accounting).

Ce type de serveur est très utilisés chez les FAI pour pouvoir autoriser la connexion ou non à tel utilisateur. Mais il permet aussi pour son réseau sans fil domestique d'utiliser l'authentification 802.1X qui permet de restreindre l'accès au réseau de façon beaucoup plus sécurisée qu'une clé WEP.

NdMR : Radius est un standard IETF, voir les nombreuses RFC du 3ème lien.

Sécurité Sortie de IPCop V1.4.0

Posté par . Modéré par Christophe Guilloux.
Tags :
0
2
oct.
2004
Sécurité
L'équipe IPCop est fière de vous annoncer la sortie le 1er octobre de la version finale V1.4.0.

IPCop Linux est une distribution complète dont le seul objectif est de protéger les réseaux dans lesquels il est installé. Il est extrêmement facile pour n'importe qui d'installer et de configurer le système.
Le pare-feu IPcop s'installe sur un ordinateur dédié, le plus souvent en 10 à 15 minutes.

Sécurité Red Hat rachète Netscape Enterprise Suite

Posté par . Modéré par jerome.
Tags : aucun
0
1
oct.
2004
Sécurité
Red Hat rachète cette suite à AOL, pour la passer en open source
Cette suite contient essentiellement :
- Netscape Directory Server
- Netscape Certificate Management System
- Netscape Enterprise [web] Server

Avec OpenLDAP, nous aurons donc deux annuaires openSource, qui potentiellement peuvent occuper la majeure partie du marché. Mais, actuellement, c'est probablement la version de Sun (basée sur la même souche issue du partenariat avec AOL) qui est la plus répandue.

Il reste cependant du boulot (Red Hat envisage une commercialisation dans les 6 à 12 mois), sachant par exemple que la version courante de Directory Server date de décembre 2003.
À noter que cette opération rend disponible en open source (et donc potentiellement gratuitement) une plateforme de gestion de certificats, et donc de la sécurité, robuste, reconnue et bien déployée.

Sécurité Vulnérabilité via des formats d'images : Windows - GNU/Linux

Posté par . Modéré par Jaimé Ragnagna.
Tags : aucun
0
24
sept.
2004
Sécurité
Coup sur coup deux annonces assez similaires sont sorties sur les deux systèmes.

Pour Windows, c'est la bibliothèque Graphic Device Interface Plus (ou GDI+) qui est en cause. Il est en théorie possible de compromettre un système vulnérable à la seule lecture d'une image piégée au format JPEG.
À ce jour les premiers exploits commencent à sortir, cela va du plantage de la machine à l'ouverture d'un interpréteur de commande.
Les patchs étant disponibles, il est fortement conseillé de faire les mises à jour.

Pour GNU/Linux, le hasard a voulu que des vulnérabilités similaires soient publiées ces derniers jours. Elles concernent GdkPixBuf qui pourrait être exploité pour provoquer des dénis de service (DoS) ou des compromissions.

Les vulnérabilités sont décrites dans la suite de l'article.

Les correctifs sont normalement disponibles pour la plupart des distributions.

Sécurité Nmap 3.70 est sorti

Posté par (page perso) . Modéré par jerome.
Tags :
0
6
sept.
2004
Sécurité
Nmap, l'outil de sécurité bien connu (celui-là même utilisé dans le film Matrix) vient de sortir en 3.70.

Au programme, de nombreuses nouveautés dont une réécriture complète du moteur le rendant beaucoup plus rapide et lui permettant de scanner de nombreuses cibles en parallèle (par exemple, un scan d'un million d'adresses (NdM : d'un réseau que l'on administre) par la 3.55 durait 2 semaines alors que la pre-3.70 le fait en moins d'une journée).

L'option --exclude permet d'exclure une liste de cibles d'une plage d'adresses.

À noter également une correction/contournement de bug pour que Nmap continue à fonctionner sous Windows XP malgré le SP2.

Clin d'oeil : Nmap se souhaite maintenant un joyeux anniversaire quand il est lancé en mode verbeux le 1er septembre...

Sécurité SpamAssassin devient un projet Apache, et corrige une faille de sécurité

Posté par (page perso) . Modéré par Benoît Sibaud.
Tags :
0
12
août
2004
Sécurité
Le filtre anti-spam SpamAssassin a été officiellement accepté comme projet par la fondation Apache. Cette modification implique que la nouvelle version (3.0.0, actuellement en préversion) sera publiée sous licence Apache version 2.

Par ailleurs, l'équipe a publié une dernière version (la 2.64) sous licence GPL/Artistic pour corriger une faille de sécurité permettant un déni de service.

Sécurité Failles de sécurité dans la libpng

Posté par . Modéré par Benoît Sibaud.
Tags :
0
9
août
2004
Sécurité
Des failles de sécurité ont été découvertes dans la bibliothèque de gestion d'images libre libpng (PNG portable network graphics).

Ces failles permettent à quelqu'un de mal intentionné d'exécuter du code à distance sur les systèmes Windows, MacOS et Linux.
Les vulnérabilités ont été détectées au niveau de la libpng dans un module où diverses applications piochent les ressources pour décoder les images au format PNG. En créant une image piégée et en la plaçant dans un site Internet ou dans un courriel, celles-ci permettent d'exécuter du code à distance en créant un « buffer overflow » (dépassement de mémoire tampon).
Le Cert-IST a émis le 5 août un avis non public, avec un indice de dangerosité « moyen ».

Des correctifs sont d'ores et déjà disponibles pour les distributions Linux et pour la suite Mozilla.

NdM : voir aussi les annonces sécurité Debian et Redhat.

Sécurité Nouvelle forme d'arnaque : l'usurpation d'identité de site web via XUL

Posté par . Modéré par Benoît Sibaud.
Tags : aucun
0
29
juil.
2004
Sécurité
Un nouveau type d'usurpation d'identité (étrangement dénommé phishing) apparaît avec XUL. Un site web peut fabriquer de toutes pièces une interface de navigation pour faire croire au visiteur qu'il est sur un autre site web.

Il s'agit d'un inquiétant problème de sécurité, apparemment non-résolu pour le moment.

Avec Gecko, un nouveau langage est apparu : le XUL. Ce langage permet la création d'applications complètes. Ainsi Mozilla peut servir de plate-forme pour lancer tout un tas d'applications écrites en XUL. Au premier rang de ces applications figure bien sûr le navigateur de Mozilla.

Mais voila, une nouvelle forme de « phishing » apparaît en même temps. En effet quand on fait pointer Gecko sur une URL « XUL », il lance l'application. Mais voila, que faire si la dite application simule une nouvelle fenêtre de navigation, avec l'URL de votre banque dans la barre d'adresse, un petit cadenas dans le coin, un vrai-faux certificat etc ... ?!

Sécurité Zabbix : un nouvel outil de monitoring

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags :
0
19
juil.
2004
Sécurité
Zabbix est un outil relativement méconnu jusqu'ici, qui se propose de remplacer à la fois Nagios et MRTG. Il permet de suivre l'état complet d'un réseau (débits, etc.) et des systèmes le composant (utilisations processeur, disque, mémoire, processus, etc.) en proposant des graphiques personnalisables de chacune des caractéristiques surveillées et de déclencher des alertes sur des seuils personnalisables ou prédéfinis. Il est extrêmement configurable au travers d'une interface web.

Sécurité Veridicom propose un kit de développement pour Linux

Posté par . Modéré par Jaimé Ragnagna.
Tags : aucun
0
16
juil.
2004
Sécurité
Veridicom, société spécialisée dans les produits de sécurisation informatique par authentification digitale (NdM : digitale pour « avec les doigts », pas comme mauvaise traduction pour numérique), a annoncé ce jeudi 15 Juillet la sortie d'une suite logicielle pour les systèmes Linux (NdM²: GNU/Linux). Seuls seront supportés les noyaux et distributions suivants :

• Red Hat Enterprise Linux 3 Update2, noyau 2.4.21-15.EL
• Red Hat Enterprise Linux 3 , noyau 2.4.21-4.EL
• Red Hat 8.0, noyau 2.4.15
• Red Hat 7.3, noyau 2.4.5
• Slackware 9.1, noyau 2.4.22
• SUSE 8.1, noyau 2.4.19-4GB
• SUN SUSE 8.1, noyau 2.4.19-4GB/

Pour commencer, seules les sondes FPS200 seront gérées. Mais Veridicom assure qu'ils planifient le support de l'ensemble de leurs produits sous les systèmes Linux (NdM²: GNU/Linux) et prévoient le support du noyau 2.6 dans les mois qui viennent.

Le kit de développement (SDK) de Veridicom coûte 1700 $ et sera disponible le 1er août. Aucune information sur la licence de la partie logicielle du produit n'est mentionnée.

Sécurité Sortie de Nessus 2.1.0

Posté par . Modéré par Christophe Guilloux.
Tags :
0
15
juil.
2004
Sécurité
La version 2.1.0 de Nessus est sortie. Nessus est un scanner de vulnérabilités, permettant d'identifier à distance certaines failles présentes sur les machines d'un réseau.
La grande nouveauté de la version 2.1.0 par rapport aux précédentes versions est le "test local", c'est-à-dire la capacité à pouvoir s'identifier sur les machines distantes par SSH et de vérifier que tous les bons patches ont été appliqués.
Les OS supportés pour le moment sont FreeBSD, Red Hat Enterprise Linux, Solaris et MacOS X. Apparemment, le support de SuSE et Debian est en cours de développement.

Sécurité La norme de communications sans-fil 802.11i validée

Posté par . Modéré par Benoît Sibaud.
Tags : aucun
0
13
juil.
2004
Sécurité
Le 23 juin 2004, lors de la conférence à Piscataway (N.J) le groupe de travail 802.11 de l'IEEE a homologué et certifié la norme de communication de réseau local sans-fils 802.11i.

Elle a pour seul but d'amener une réelle couche de sécurité au protocole 802.1x.

Avec l'utilisation de ce protocole dans nos réseaux non filaires GNU/Linux et BSD, nous devrions être en mesure de travailler réellement à la sécurité du réseau et non plus à contourner les faiblesses du protocole.
En effet, comment profiter d'une infrastructure fiable si le protocole est vérolé !

Sécurité Nouveau CA gratuit

Posté par (page perso) . Modéré par Nÿco.
Tags :
0
6
juil.
2004
Sécurité
L'organisation à but non lucratif CA-Cert a ouvert un Certificate Autority (autorité de certification) gratuit et accessible à tous.
Ils vous proposent :
- certificats de signatures numériques
- certificats pour serveurs

Le CA-Cert est dépendant du CERT Australien.