Un article sur SecurityFocus.org fait suite à la présentation de la technique des TARPITS (cf : lien vers l'ancienne dépêche).
Cette fois, c'est l'utilisation de deux type de honeypots différents, dont le démon honeyd, qui est détaillée, dans le cadre de la lutte contre les vers.
Le but étant de : piéger le ver pour l'étudier, ralentir sa propagation, déclencher des alarmes, prendre différentes mesures de protection, et même le contrer en désinfectant le système source de l'attaque.
En fin d'article, on a droit à un exemple de désinfection de Blaster.
Certains se demandaient si la suite Sentry qui se compose de logcheck et de portsentry allait totalement disparaitre depuis le rachat de Psionic (la société qui l'avait développée) par Cisco.
Logcheck comme son nom l'indique sert à verifier les logs et portsentry permet de détecter les scans de ports et d'y réagir directement.
Après plusieurs mois d'absence, cette suite a fait sa réapparition sur le site de sourceforge avec en plus une modification de la licence:
- GPL pour logcheck
- CPL pour portsentry
Pour les accros de la sécurité, ce petit kit très léger puisqu'il ne pèse que quelques Ko, founit un moyen très efficace de se défendre contre le nombre croissant d'analyses de failles faites par les pirates toujours plus nombreux. En plus de détecter un scan, portsentry va «logger» l'attaquant, éventuellement le bloquer et même si le coeur vous en dit lui renvoyer une bandeau de mise en garde.
Il semble que cela soit passé inaperçu, mais il est sorti ce mois-ci un nouveau mensuel : hakin9
Magasine orienté Sécurité, polonais d'origine, hakin9 s'inscrit tout de suite dans la catégorie "Technique". Sa couverture rouge clinquante avec un jolie Worm dessus ne manque pas d'attirer l'oeil !
Depuis un petit moment maintenant, il existe un serveur mandataire (« proxy ») d'accès au moteur de recherche Google. Les raisons de son existence sont expliquées en détails sur le site (cf les liens) mais cela peut se résumer à "Peut-on faire confiance à Google?" (notez l'absence de "encore"). Selon ce site, non, pour beaucoup de raisons, dont la plus pertinente est l'enregistrement pour une durée éternelle des enregistrements de session et de l'utilisation de ces données à des fins commerciales.
Espérant faire prendre conscience aux internautes de l'importance de l'existence de tels proxies et tablant sur l'émergence d'autres proxies de ce type, le site n'a pas adapté sa capacité à la demande toujours croissante de connexion. Il est donc victime de son succès mais a réussi, il faut l'espérer, à faire prendre conscience que la recherche d'information sur la toile ne doit pas tomber aux mains d'une seule et unique entreprise aux méthodes de classements douteuses.
Ndm : Reste que personne ne peut prouver que le proxy en question n'enregistre pas les recherches effectuées avec les données personnelles de l'internaute
Le developpeur principal d'xMule, Ted R. Smith (Un-Thesis), viendrait d'être attaqué par la justice américaine suite à une plainte liée au DMCA.
Il semblerait que, suite à l'alerte de sécurité récemment publiée sur xmule, la RIAA ait pris connaissance de l'existence du logiciel et ait décidé d'attaquer personnellement le developpeur principal qui a la malchance d'être américain.
Merci d'utiliser le miroir de la nouvelle, le site d'xMule va bientôt dépasser la bande passante achetée ce mois-ci.
Ndm: pour éviter tout problème, j'ai effacé le lien vers le site d'xmule, seul reste le miroir
Un article intéressant sur l'intérêt des pots de miel et leur mise en place a été publié sur SecurityFocus.
Les pots de miel, à condition d'être bien configurés, sont d'un très grand intérêt éducatif puisque leur but est de permettre d'apprendre les attaques et les méthodologies d'attaque employées par les pirates. C'est un complément très intéressant aux lectures de publications comme "Halte aux hackers" ou "Intrusion Signatures and Analysis" (chez New Riders) et à la mise en oeuvre des exploits publiés sur Bugtraq & cie qui permet de voir en direct la manière de procéder des pirates. Mais la mise en place d'un pot de miel est un art à part entière car si vous ouvrez trop de ports par exemple sur le pot de miel, seuls les script kiddies s'acharneront dessus et l'intérêt est tout de suite moindre.
L'auteur utilise RedHat 7.1 comme pot de miel et Snort comme IDS et s'appuie sur iptables en firewall amont. Seul bémol, il utilise VMWare pour mettre des pots de miel de différents OS sur la même machine et quand on sait que la licence coûte 300USD env. pour la 3.0...
Jared Stanbrough vient de découvrir un "exploit" (faille) touchant les noyaux Linux de la série 2.4.x < 2.4.21, comportant le support NFSv3
Cet exploit consiste via les appels de données XDR à donner une valeur "inexacte" à une routine d'appel, ce qui peut provoquer une copie de bloc mémoire très importante dans l'espace Noyau (Kernel Space) et provoquer rapidement un Kernel Panic (plantage du système)
La fonction incriminée et un exemple d'attaque sont présents sur le BugTraq. Rassurez-vous néanmoins, la seule façon détectée aujourd'hui pour attaquer un hôte vulnérable est d'exporter un répertoire qui serait accessible à une personne mal intentionnée. Toutefois les risques méritent d'être signalés.
Suite à l'article précédent sur systrace GTK (définition interactive des droits d'accès d'un programme aux appels systèmes, et peut-etre le meilleur IDS pour linux) voici fireflier QT, qui permet de définir interactivement les règles du firewall iptables et d'etre sollicité quand des paquets sont refusés.
Avec ces 2 systèmes, avoir une sécurité maximale sous Linux n'a jamais été aussi simple. Ou presque.
Il nous manque maintenant cruellement le meme genre d'outil pour la sécurité de X : par défaut tous les process qui accèdent à un serveur X peuvent observer et interagir avec le clavier et toutes les fenetres de ce serveur ! Ce qui rend systrace et fireflier en partie inutiles (pensez aux overflows dans les programmes internet qui ont accès à votre serveur X, comme votre browser ...)
Sur le forum Usenet sci.crypt, un certain Beale Screamer a annoncé qu'il avait réussit a cracker le Digital Right Management de Microsoft.
Cet ensemble de composants est censé faire respecter les droits que les licences accordent aux utilisateurs. Ainsi un éditeur peut vous accorder une licence vous permettant d'envoyer tutut.wma vers les baffles, mais vous interdira de l'expédier sur le réseau.
C'est MS-DRM qui s'occupe du respect des licences en utilisant des canaux cryptés (de manière à éviter l'espionnage) entre des composants certifiés (de manière à éviter les indésirables).
Le crack de Screamer permet de délivrer le fichier des restrictions qui lui ont été attribués. Pour arriver a ceci, il a exploité les failles du schéma :
- Pour avoir des canaux cryptés, il va falloir que l'OS stocke des clefs privés qu'il aimerait vous cacher;
- L'OS peut certifier des composants, mais l'inverse n'est pas vrai. Un composant n'a pas de moyen de vérifier que l'OS est sain.
Screamer aprés avoir bien détaillé la cuisine interne, indique ses motivations à la fin du message. Il s'adresse aux utilisateurs, à Microsoft, aux DOJ, aux artistes, aux éditeurs. Il n'a pas travaillé la dessus pour qu'on se mette à déchirer toutes les licences mais pour attirer l'attention sur une situation qu'il pense préoccupante.
Microsoft a indiqué qu'il corrigerait promptement pour contrer l'exploit. Screamer précise que ca leur sera effectivement facile et conseille de ne pas upgrader.
Vu sur /.
Apparemment, une exploit dans le Dashboard de la Xbox permet entre autre d'installer Linux sans avoir à intervenir au niveau matériel. Le détail de l'exploit (voir ci-dessous) est assez complet.
Apparemment l'équipe Free-X a essayé de contacter Microsoft pour l'informer de cette découverte. Microsoft n'ayant pas réagi, FreeX a publié l'exploit.
Dans le cadre du thème Sécurité des Rencontres Mondiales du Logiciel Libre 2003, nous avons décidé d'organiser une rump session le Vendredi 11 (matin). Une adresse d'inscription est ouverte depuis aujourd'hui : security-rump@lsm.abul.org .
Je sollicite donc vos contributions. Cette rump session est l'occasion de présenter des travaux récents en matière de sécurité. Les sujets retenus auront droit à 10 min d'exposé et 5 min de questions.
Merci à tous ! Venez nombreux aux RMLL !
NdM : (tiré de l'annonce sur fr.comp.securite) « la rump session permet à des personnes de venir présenter brièvement des sujets particulièrement intéressants. Nous prévoyons 10 min d'exposé puis 5 min de questions. »
Le problème se situerait dans la manière dont le noyau gère les tables de routage.
Il semble qu'il soit possible, en forgeant des paquets émis par des adresses bien choisies, de paralyser un système Linux (même sans outils GNU) avec seulement 400 paquets par seconde.
Une faille de sécurité locale semble également avoir été detectée. Elle permet à un utilisateur normal d'utiliser tous les ports d'entrées/sorties sans restrictions.
Note : cette faille date du 15 mai.
Une petite faille (buffer overflow) vient d'être annoncée sur securityfocus (ex bugtraq) concernant apache 1.x.
Il s'agit d'une erreur d'entier signé/non-signé pour allocation d'un tampon mémoire, qui peut-être exploitée, selon X-Force, découvreur du bug, sur les plate-formes WIN32 mais pas (pour l'instant ?) sur *n*x (NdM: il semblerait qu'on ait une erreur de segmentation du processus apache concerné si on a un Unix 32 bits et peut être plus embétant en 64 bits).
Note du modérateur: J'ai supprimmé le patch qui était inclus dans la news, vous pouvez le trouver sur le premier lien mais l'annonce d'apache indique qu'il ne corrige pas vraiment le problème.
Ingo Molnar, célèbre développeur du noyau Linux et actuellement employé par Red Hat, a présenté Exec Shield, une méthode implémentée dans le noyau (actuellement disponible sous forme de patch pour le 2.4.21-rc1) pour réduire fortement sous x86 les risques de débordement de tampon (buffer overflows et associés) de façon transparente pour les applications, c'est-à-dire sans recompilation. Rappelons que les débordements de tampons permettent de faire exécuter sur la machine victime un code arbitraire, sous les droits de l'application victime.
Le RedHat Advanced Server 2.1 est la première distribution à être certifiée COE. La certification a été réalisée sur un IBM eServer® xSeries® 330 . La certification COE (Common Operating Environment) est nécéssaire pour l'utilisation d'un système d'exploitation par l'armée Américaine dans les domaines critiques : commande, contrôle, communication, etc...
Jusque là, cette dépêche fait de la propagande pour RedHat.
Mais elle fait écho à une dépêche précédente sur le manque de confiance des Américains sur les solutions GNU/Linux et peut les rassurer. Enfin, ce n'est pas si spécifique RedHat que ça. J'ai jeté un coup d'oeil au fichier .spec de construction du noyau et je n'ai rien trouvé de spécifique à cette certification (mais je peux me tromper). Bref, cette certification ne dénature pas GNU/Linux et est à la portée de tous les distributeurs.
NB: le RH SA n'est pas très « accessible ». Il est coûteux et seules les sources sont disponibles en téléchargement.
