Journal Faille sur les routeurs Linksys WRT54GL

Posté par . Licence CC by-sa
11
15
jan.
2013

Bonjour,

DefenseCode a découvert une faille dans le firmware d'origine des routeurs Linksys (Cisco), qui permet un accès root à distance. Cette vulnérabilité a été testée sur le WRT54GL, qui est plutôt bien connu ici, mais les autres routeurs Linksys seraient aussi touchés.

La société a prévenu Cisco, qui aurait patché la faille dans leur dernier firmware (4.30.14), mais cette faille serait toujours présente.

DefenseCode publiera les détails de cette faille dans 2 semaines sur leur site et Full Disclosure, (...)

Journal Vulnérabilités sérieuses dans des dizaines d'applis utilisant TLS (ex-SSL)

33
8
déc.
2012

The Most Dangerous Code in the World : Validating SSL Certificates in Non-Browser Software par Martin Georgiev, Subodh Iyengar, Suman Jana, Rishita Anubhai, Dan Boneh et Vitaly Shmatikov

Une excellente étude sur les vulnérabilités des applications utilisant TLS (autrefois nommé SSL), à l’exclusion des navigateurs Web. Des tas d’applications parfois peu connues et discrètes (par exemple pour réaliser la mise à jour des logiciels d’un système) utilisent, comme les navigateurs Web, TLS pour se protéger contre un méchant qui essaierait (...)

Journal Cours gratuits sur la sécurité et l'intrusion web (en Anglais)

Posté par . Licence CC by-sa
17
29
oct.
2012

Bonjour,

J'ai développé un ensemble d'exercices libre sur le thème de l'intrusion d'application web et de la sécurité (audit de système Linux) que quelqu'un ici pourrait être intéressé. J'ai donc pensé que je devrais poster un lien ici. Le tout est uniquement (malheureusement) disponible en Anglais pour le moment.

https://pentesterlab.com/exercises
https://twitter.com/pentesterlab

Louis

Domotique libre, où en sommes‐nous ?

61
8
oct.
2012
Do It Yourself

La domotique, d’après Wikipédia, est l’ensemble des techniques de l’électronique, de physique du bâtiment, d’automatisme, de l’informatique et des télécommunications utilisées dans les bâtiments et permettant de centraliser le contrôle des différents applicatifs de la maison (système de chauffage, volets roulants, porte de garage, portail d’entrée, prises électriques, etc.). La domotique vise à apporter des fonctions de confort (gestion d’énergie, optimisation de l’éclairage et du chauffage), de sécurité (alarme) et de communication (commandes à distance, signaux visuels ou sonores, etc.) que l’on peut retrouver dans les maisons, les hôtels, les lieux publics, etc.

La domotique est également très proche de la gestion technique du bâtiment (GTB) et de la gestion technique centralisée (GTC), cet ensemble de techniques est régulièrement mis en avant pour atteindre les buts de ville intelligente et de réseau de distribution d’électricité « intelligent », et est perçu comme un moyen incontournable pour atteindre une meilleure efficacité énergétique.

Les plus curieux quant aux possibilités offertes se référeront au très bon article de Wikipédia : Domotique.

Cette dépêche est une introduction à la pratique de la domotique avec des logiciels libres pour un public ayant de bonnes connaissances en informatique et réseau. La première partie contient un résumé des protocoles couramment utilisés dans le domaine, et permettra au lecteur de prendre connaissance des principes sous‐jacents et de l’empilement protocolaire mis en œuvre. La seconde partie traite des logiciels libres qui peuvent être utilisés pour contrôler une installation domotique. Elle traite également des briques logicielles libres permettant de réaliser une telle application pour un développeur.

N.D.A. : Merci à baud123, Benoît, detail_pratique, Epy, jihele, kYc0o, Olivier Esver, patrick_g et Raoul Hecky pour leur participation à la rédaction de cette dépêche.

Journal Un article sur la conception sécurisée des serveurs graphiques (X, Wayland)

Posté par .
26
28
sept.
2012

Dans la lignée de mon journal sur le sandboxing dans Chrome et surtout le troll sur le modèle de sécurité de l'Apple Store, je pense que les lecteurs et lectrices de LinuxFR qui aiment les questions de conception sécurisée des applications seront intéressé-e-s par cet article de Linux Weekly News:

XDC2012: Graphics Stack Security

Martin Peres and Timothée Ravier's session on day one of XDC2012 looked at security in the graphics stack. They considered user expectations around security in (...)

Journal Un miroir SourceForge a été compromis

Posté par .
Tags :
32
26
sept.
2012

http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php

Une backdoor a été trouvée dans le package PhpMyAdmin qui se trouvait sur le miroir cdnetworks-kr-1 de SourceForge.net.

Il est probable que d'autres packages présents sur ce miroir ait été modifiés pour inclure des backdoors, je vous suggères donc de vérifier et revérifier la source de vos différents packages si vous avez téléchargé des packages de SourceForge dernièrement.

NdM : journal promu en dépêche.

Journal Un article sur le sandboxing de Chrome sous Linux

Posté par .
21
8
sept.
2012

En ce moment, le principe de moindre privilège pour sécuriser les applications UNIX, c'est un peu mon dada. J'en ai parlé dans une dépêche sur Capsicum, qui est un modèle de sécurité très riche et très intéressant mais pas encore porté sous Linux (il est maintenant disponible dans FreeBSD par contre), une dépêche sur seccomp-filter, une autre technologie pour Linux beaucoup plus bas niveau mais (secrètement) reliée, et indirectement dans le troll sur le modèle de sécurité de (...)

Journal Java ça pue c'est trop libre.

Posté par (page perso) . Licence CC by-sa
45
28
août
2012

Finalement j'ai l'impression que c'était inéluctable, que ça devait arriver un jour ou l'autre…

public void init()
{
   try
      {
       disableSecurity();

Alors là évidemment quand ça commence comme ça…

Bon, pour ceusses qui l'ignorent encore ou ont toujours leur plugin Java d'activé dans leur navigateur, il y a un 0Day qui circule depuis au moins 2 jours:
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://eromang.zataz.com/2012/08/27/java-7-applet-rce-0day-gondvv-cve-2012-4681-metasploit-demo/

A priori Linux serait également impacté, mais je n'ai pas pu le vérifier : je n'ai pas le JRE (...)

Kernel Recipes 2012

Posté par (page perso) . Édité par Benoît Sibaud et Nÿco. Modéré par Nÿco. Licence CC by-sa
26
24
août
2012
Noyau

Kernel Recipes aura lieu le vendredi 21 septembre 2012, de 9h30 à 18h40, au Carrefour Numérique de la Cité des Sciences de La Villette, à Paris.

Kernel Recipes est la première journée de conférences dédiée au noyau Linux. La journée se veut un moment privilégié pour échanger avec ceux qui font le noyau au quotidien, ceux qui l'utilisent dans des projets professionnels ou non.

Une journée de conférences et d'échanges, avec une possibilité pour les participants d'inscrire un projet, une réflexion aux lightning talks (conférences éclair).

Il est prévu de prolonger les discussions durant le déjeuner proposé sur place, ainsi que le soir pour ceux qui se joindront au dîner.

Pour y participer, merci de vous enregistrer.

Journal Jouer avec la sécurité web

Posté par (page perso) . Licence CC by-sa
28
23
août
2012

Stripe organise un challenge autour de la sécurité des applications web. Le but du jeu est de capturer un drapeau (12 chiffres) en passant 9 niveaux (numérotés de 0 à 8). Pour passer un niveau, il faut réussir à récupérer le mot de passe d'une petite application web.

Les premiers niveaux sont faciles d'accès avec des attaques tout ce qu'il y a de plus classique comme des injections SQL et des XSS. Le dernier niveau est, par contre, bien plus (...)

Journal Des firmwares, des backdoors et du libre

22
8
août
2012

Certains d'entre vous ont sans doute entendu parler ou vue la présentation de Rakshasa, c'est la POC d'une superbe backdoor qui fait froid dans le dos : cela permettrais d'infecter les bios de cartes mères, de cartes réseaux, en gros pas mal de composants ayant un firmware non libre (ou ayant un firmware libre, mais dans ce cas nous pourrions le recompiler et le reflasher).
C'est développé avec du libre (coreboot, SeaBIOS, iPXE…) mais ne (...)

État des lieux de la sécurité industrielle

Posté par . Édité par Nils Ratusznik, baud123, Benoît Sibaud, Nÿco et patrick_g. Modéré par Benoît Sibaud. Licence CC by-sa
63
7
août
2012
Sécurité

Depuis la découverte de Stuxnet en juin 2010 et son analyse, les experts se sont aperçu que certaines des failles utilisées par le malware étaient inconnues (0-day) et de très haut niveau, et que certaines autres étaient au contraire connues et relativement triviales, cette dernière catégorie est majoritairement représentée parmi celles affectant les systèmes SCADA Siemens WinCC (Supervisory Control And Data Acquisition, télésurveillance et acquisition de données).

Depuis, beaucoup de personnes se sont intéressées à la sécurité des systèmes de contrôle industriel au sens large. Les systèmes SCADA sont dorénavant bien connus pour être vulnérables mais ils ne sont pas les seuls.

Le monde de la sécurité informatique découvre depuis peu ce que beaucoup de gens savent déjà, les systèmes de contrôle industriel sont de vraies passoires et la mise en péril d'un processus industriel est relativement simple.

Le SIEM Prelude est de retour dans les bacs en version 1.0.1

Posté par . Édité par Benoît Sibaud et tuiu pol. Modéré par tuiu pol.
18
23
juil.
2012
Sécurité

Prelude OSS est de retour sur Internet avec une nouvelle version 1.0.1.

Prelude est un logiciel SIEM (Security Information & Event Management) qui permet de superviser la sécurité de votre système d'information. Prelude collecte, normalise, trie, agrège, corrèle et affiche tous les événements de sécurité indépendamment des types d'équipements surveillés. Au-delà de sa capacité de traitement de tous types de journaux d’événements (logs système, syslog, fichiers plats, etc.), Prelude est nativement compatible avec de nombreuses sondes anti-intrusion open-source (snort, suricata, ossec, samhain, etc.) grâce à l'utilisation du format IDMEF (RFC 4765).

Démarré en 1998 sous la forme d'un projet libre d'une sonde IDS, Prelude devient le premier SIEM hybride open-source à partir de 2003, année à laquelle se crée la société Prelude Technologies qui commercialise la version Entreprise.

Prelude sera repris en 2009 par la société Edenwall et sera malheureusement entraîné dans sa mise en faillite. Le logiciel est alors racheté par la société CS, intégrateur de systèmes critiques, en début d'année 2012, société qui propose déjà une solution open-source de supervision de performances complémentaire avec Vigilo. Suite au rachat, le site Prelude est remis en ligne mais sans les sources de la version OSS. Cette nouvelle version signe donc le retour de Prelude OSS sur Internet.

Les nouveautés de la v1.0.1 :

  • Correction de nombreux bugs
  • Rafraîchissement des interfaces Web
  • Amélioration des traductions
  • Ajout de nouvelles règles LML
  • Mise à jour des copyrights
  • Transfert des fonctions relaying dans la version Entreprise

Journal SPF désigné vainqueur dans le match contre Sender ID

42
21
juil.
2012

L'IETF avait créé en 2004 un groupe de travail nommé MARID, qui avait pour tâche de normaliser un mécanisme d'authentification faible du courrier électronique par le biais de la publication dans le DNS des serveurs autorisés à envoyer du courrier pour un domaine. Deux propositions étaient sur la table, SPF et Sender ID. Microsoft avait pratiqué une intense obstruction contre SPF, pour promouvoir sa propre solution, Sender ID. Six ans après est publié le RFC 6686 qui conclut enfin officiellement (...)