Un article intéressant sur l'intérêt des pots de miel et leur mise en place a été publié sur SecurityFocus.
Les pots de miel, à condition d'être bien configurés, sont d'un très grand intérêt éducatif puisque leur but est de permettre d'apprendre les attaques et les méthodologies d'attaque employées par les pirates. C'est un complément très intéressant aux lectures de publications comme "Halte aux hackers" ou "Intrusion Signatures and Analysis" (chez New Riders) et à la mise en oeuvre des exploits publiés sur Bugtraq & cie qui permet de voir en direct la manière de procéder des pirates. Mais la mise en place d'un pot de miel est un art à part entière car si vous ouvrez trop de ports par exemple sur le pot de miel, seuls les script kiddies s'acharneront dessus et l'intérêt est tout de suite moindre.
L'auteur utilise RedHat 7.1 comme pot de miel et Snort comme IDS et s'appuie sur iptables en firewall amont. Seul bémol, il utilise VMWare pour mettre des pots de miel de différents OS sur la même machine et quand on sait que la licence coûte 300USD env. pour la 3.0...
Jared Stanbrough vient de découvrir un "exploit" (faille) touchant les noyaux Linux de la série 2.4.x < 2.4.21, comportant le support NFSv3
Cet exploit consiste via les appels de données XDR à donner une valeur "inexacte" à une routine d'appel, ce qui peut provoquer une copie de bloc mémoire très importante dans l'espace Noyau (Kernel Space) et provoquer rapidement un Kernel Panic (plantage du système)
La fonction incriminée et un exemple d'attaque sont présents sur le BugTraq. Rassurez-vous néanmoins, la seule façon détectée aujourd'hui pour attaquer un hôte vulnérable est d'exporter un répertoire qui serait accessible à une personne mal intentionnée. Toutefois les risques méritent d'être signalés.
Suite à l'article précédent sur systrace GTK (définition interactive des droits d'accès d'un programme aux appels systèmes, et peut-etre le meilleur IDS pour linux) voici fireflier QT, qui permet de définir interactivement les règles du firewall iptables et d'etre sollicité quand des paquets sont refusés.
Avec ces 2 systèmes, avoir une sécurité maximale sous Linux n'a jamais été aussi simple. Ou presque.
Il nous manque maintenant cruellement le meme genre d'outil pour la sécurité de X : par défaut tous les process qui accèdent à un serveur X peuvent observer et interagir avec le clavier et toutes les fenetres de ce serveur ! Ce qui rend systrace et fireflier en partie inutiles (pensez aux overflows dans les programmes internet qui ont accès à votre serveur X, comme votre browser ...)
Sur le forum Usenet sci.crypt, un certain Beale Screamer a annoncé qu'il avait réussit a cracker le Digital Right Management de Microsoft.
Cet ensemble de composants est censé faire respecter les droits que les licences accordent aux utilisateurs. Ainsi un éditeur peut vous accorder une licence vous permettant d'envoyer tutut.wma vers les baffles, mais vous interdira de l'expédier sur le réseau.
C'est MS-DRM qui s'occupe du respect des licences en utilisant des canaux cryptés (de manière à éviter l'espionnage) entre des composants certifiés (de manière à éviter les indésirables).
Le crack de Screamer permet de délivrer le fichier des restrictions qui lui ont été attribués. Pour arriver a ceci, il a exploité les failles du schéma :
- Pour avoir des canaux cryptés, il va falloir que l'OS stocke des clefs privés qu'il aimerait vous cacher;
- L'OS peut certifier des composants, mais l'inverse n'est pas vrai. Un composant n'a pas de moyen de vérifier que l'OS est sain.
Screamer aprés avoir bien détaillé la cuisine interne, indique ses motivations à la fin du message. Il s'adresse aux utilisateurs, à Microsoft, aux DOJ, aux artistes, aux éditeurs. Il n'a pas travaillé la dessus pour qu'on se mette à déchirer toutes les licences mais pour attirer l'attention sur une situation qu'il pense préoccupante.
Microsoft a indiqué qu'il corrigerait promptement pour contrer l'exploit. Screamer précise que ca leur sera effectivement facile et conseille de ne pas upgrader.
Vu sur /.
Apparemment, une exploit dans le Dashboard de la Xbox permet entre autre d'installer Linux sans avoir à intervenir au niveau matériel. Le détail de l'exploit (voir ci-dessous) est assez complet.
Apparemment l'équipe Free-X a essayé de contacter Microsoft pour l'informer de cette découverte. Microsoft n'ayant pas réagi, FreeX a publié l'exploit.
Dans le cadre du thème Sécurité des Rencontres Mondiales du Logiciel Libre 2003, nous avons décidé d'organiser une rump session le Vendredi 11 (matin). Une adresse d'inscription est ouverte depuis aujourd'hui : security-rump@lsm.abul.org .
Je sollicite donc vos contributions. Cette rump session est l'occasion de présenter des travaux récents en matière de sécurité. Les sujets retenus auront droit à 10 min d'exposé et 5 min de questions.
Merci à tous ! Venez nombreux aux RMLL !
NdM : (tiré de l'annonce sur fr.comp.securite) « la rump session permet à des personnes de venir présenter brièvement des sujets particulièrement intéressants. Nous prévoyons 10 min d'exposé puis 5 min de questions. »
Le problème se situerait dans la manière dont le noyau gère les tables de routage.
Il semble qu'il soit possible, en forgeant des paquets émis par des adresses bien choisies, de paralyser un système Linux (même sans outils GNU) avec seulement 400 paquets par seconde.
Une faille de sécurité locale semble également avoir été detectée. Elle permet à un utilisateur normal d'utiliser tous les ports d'entrées/sorties sans restrictions.
Note : cette faille date du 15 mai.
Une petite faille (buffer overflow) vient d'être annoncée sur securityfocus (ex bugtraq) concernant apache 1.x.
Il s'agit d'une erreur d'entier signé/non-signé pour allocation d'un tampon mémoire, qui peut-être exploitée, selon X-Force, découvreur du bug, sur les plate-formes WIN32 mais pas (pour l'instant ?) sur *n*x (NdM: il semblerait qu'on ait une erreur de segmentation du processus apache concerné si on a un Unix 32 bits et peut être plus embétant en 64 bits).
Note du modérateur: J'ai supprimmé le patch qui était inclus dans la news, vous pouvez le trouver sur le premier lien mais l'annonce d'apache indique qu'il ne corrige pas vraiment le problème.
Ingo Molnar, célèbre développeur du noyau Linux et actuellement employé par Red Hat, a présenté Exec Shield, une méthode implémentée dans le noyau (actuellement disponible sous forme de patch pour le 2.4.21-rc1) pour réduire fortement sous x86 les risques de débordement de tampon (buffer overflows et associés) de façon transparente pour les applications, c'est-à-dire sans recompilation. Rappelons que les débordements de tampons permettent de faire exécuter sur la machine victime un code arbitraire, sous les droits de l'application victime.
Le RedHat Advanced Server 2.1 est la première distribution à être certifiée COE. La certification a été réalisée sur un IBM eServer® xSeries® 330 . La certification COE (Common Operating Environment) est nécéssaire pour l'utilisation d'un système d'exploitation par l'armée Américaine dans les domaines critiques : commande, contrôle, communication, etc...
Jusque là, cette dépêche fait de la propagande pour RedHat.
Mais elle fait écho à une dépêche précédente sur le manque de confiance des Américains sur les solutions GNU/Linux et peut les rassurer. Enfin, ce n'est pas si spécifique RedHat que ça. J'ai jeté un coup d'oeil au fichier .spec de construction du noyau et je n'ai rien trouvé de spécifique à cette certification (mais je peux me tromper). Bref, cette certification ne dénature pas GNU/Linux et est à la portée de tous les distributeurs.
NB: le RH SA n'est pas très « accessible ». Il est coûteux et seules les sources sont disponibles en téléchargement.
Une analyse assez intéressante des conséquences de la relaxe en appel de Kitetoa.
On y apprend notamment (l'auteur ayant mené une contre-enquête) que l'intrusion n'a "pas été rendus possibles par l'utilisation des fonctionnalités habituelles d'un navigateur, mais par l'utilisation d'un outil spécifique et non documenté intégré à Netscape Navigator qui permettait la détection et l'administration à distance des serveurs de la marque".
C'est à dire que Kitetoa ajoutait "/quelquechose" à la fin de l'url, laissant penser que l'url existait, alors qu'avec n'importe quel autre navigateur on aurait eu une erreur 404.
Un ancien collègue est en train de développer une solution en Open Source qui permet le déploiement facile d'une solution de détection d'intrusion (IDS en bon anglais ;o)
Il recherche de l'aide pour faire avancer son projet.
Une nouvelle version d'apache est disponible 2.0.45 afin de contrer les attaques de types DoS, qui sont destinées à saturer un réseau et ainsi à rendre inaccessible les requêtes fondées.
Il semblerait que pour la version 2.0.44 tous les OS soient touchés. Et que malheureusement pour Os/2 cette nouvelle mouture ne règle pas entièrement les problèmes, il faudra attendre la 2.0.46.
Une nouvelle faille de sécurité vient d'être mise à jour dans Sendmail, versions 8.12.8 et précédentes. Il n'est pas impossible que cette faille puisse mener à un accès root distant. Elle serait aussi plus facilement exploitable sur les systèmes petit boutistes. Seuls les systèmes dont le type char est signé sont vulnérables tels quels.
Bien sûr une version corrigée de Sendmail est d'ores et déjà disponible
Phpnuke est un CMS, Content Manager System très largement utilisé sur Internet. Il serait utilisé par plus de 25.000 webmasters afin de construire leur site facilement en php et en utilisant la base de données MySQL. Une importante vulnérabilité vient dêtre découverte dans un des scripts PHP composant Phpnuke, permettant de modifier nimporte quel article en ligne sur un site utilisant le système phpnuke.
