Davantage de spams en 2010 : bug malencontreux dans SpamAssassin

Posté par (page perso) . Modéré par Benoît Sibaud.
Tags :
20
2
jan.
2010
Sécurité
En ce premier janvier 2010, un bug fâcheux a été découvert dans SpamAssassin.

En effet, il existe une règle nommée FH_DATE_PAST_20XX dont le but est d'augmenter de 3.4 points le score d'un courriel (donc la probabilité qu'il s'agisse d'un spam/pourriel) lorsque celui-ci a son champ “Date:” dans un futur trop lointain. Or il se trouve que la règle se déclenche lorsque le courriel a été posté à partir de… 2010.

La majeure partie des installations standards de SpamAssassin verront donc le score des courriels analysés surévalué.

Un correctif[2] a été commité en juillet dernier, mais il n'est ni présent dans la dernière version de SpamAssassin, ni dans les règles mises à jour par sa-update.

Journal MALWARE LINUX

Posté par (page perso) .
5
10
déc.
2009
On vient de découvrir un malware dans un .deb sur gnome-look

Bien sûr, c'est un incident isolé, mais nos distribs ne sont pas prêtes à lutter contre ce genre d'attaque.

Pour cela, il faudrait:

A) Empêcher l'installation
Mais un script d'installation d'un .deb a tout pouvoir sur le système. Qu'il soit signé ou pas, d'ou qu'il vienne. Il n'existe pas (ou alors, de façon confidentiel) d'anti virus qui empêcherait ce genre d'attaque.

B) Permettre à l'utilisateur de s'apercevoir de l'attaque
(...)

Faille locale dans les fonctions pipe_*_open() du noyau Linux

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags :
38
5
nov.
2009
Sécurité
Une situation de compétition (race condition) a été trouvée le 14 octobre dans les fonctions pipe_read_open(), pipe_write_open() et pipe_rdwr_open() du noyau Linux par Earl Chew, bug vieux de plus de dix ans. Deux jours plus tard, Earl a écrit un patch corrigeant le bug (commité le 21 octobre, il fait partie de la version 2.6.32-rc6).

L'histoire pourrait s'arrêter là, mais Eugene Teo de Red Hat a découvert cinq jours plus tard que le bug est une faille de sécurité. La faille est facile à exploiter avec la boîte à outils de Brad Spengler. Comme les dernières failles du noyau Linux (vmsplice(), tun_chr_pool() et perf_counter), la faille est liée au déréférencement d'un pointeur NULL. Brad Spengler a écrit un exploit (pouvoir passer root à partir d'un compte utilisateur) fonctionnant sur, au moins, Debian Etch, Fedora (6, 10 et 11), et RedHat (5.3 et 5.4). L'exploit contourne les protections SELinux dans le cas de Fedora 10 et RedHat 5.4. Il devrait publier son exploit dans les prochains jours.

Pour se protéger (ou vérifier si votre système est vulnérable ou non), assurez-vous que la valeur de /proc/sys/vm/mmap_min_addr ne soit pas nulle. Debian Sid, Mandriva Linux 2010.0, Fedora 12, Ubuntu (Ibex et supérieurs) et les noyaux patchés avec grsecurity ne sont pas vulnérables. Alors que Debian Lenny et Squeeze ont une valeur nulle par exemple (il est prévu de changer ça à partir de Debian 5.0.4). Comme l'option mmap_min_addr a été introduite dans Linux 2.6.23, Debian Etch (qui utilise un noyau 2.6.18) est vulnérable : vous pouvez utiliser les paquets etchhalf pour installer un noyau 2.6.24. Des correctifs pour RedHat sont déjà disponibles.

Votre smartphone est-t-il un mouchard en puissance ?

Posté par (page perso) . Modéré par Bruno Michel.
26
13
oct.
2009
Mobile
Harald Welte a publié ce matin sur son blog un rapport sur le déploiement d'OpenBSC lors de Hacking-at-random 2009. Pour rappeler les faits, OpenBSC est un logiciel sous GPL permettant d'utiliser une station GSM Siemens BS11 microBTS, et donc de simuler un véritable réseau GSM (2G pour le moment). Le but est d'avoir un outil pour pouvoir tester la sécurité et le fonctionnement des protocoles de téléphonie mobile.

L'utilisation des fréquences étant soumise à autorisation, une demande a été formulée et accordée afin de valider le système avec une charge suffisante et un jeu de terminaux mobiles diversifié. Une expérimentation similaire pour le système OpenBTS (similaire à OpenBSC, mais basé sur GnuRadio et USRP) avait été réalisée lors des festivals Burning Man 2008 et 2009 au Nevada.

Le rapport d'Harald est relativement précis sur le système mis en place et les conditions de tests, mais le point le plus important est la fin du rapport, où il explique qu'ils ont cherché à vérifier si certains smartphones implémentent RRLP, Radio Resource LCS (Location) Protocol. Le protocole permet à un opérateur de demander la localisation d'un terminal sans authentification aucune, ce dernier utilisant les signaux GPS pour connaître sa position (s'il y a un récepteur, bien sûr). Sur le marché, les téléphones équipés d'un récepteur GPS sont assez nombreux, notamment la gamme basé sur Android de HTC, l'iPhone et les téléphones Nokia N95 ou équivalents. Le rapport ne précise pas beaucoup plus d'informations à ce sujet, car la fonctionnalité n'a été testée que le dernier jour, mais il semble qu'un certain nombre de ces appareils suivent à la lettre les spécifications, permettant une localisation GPS sans que cela soit signalé à l'utilisateur.

On se souvient du scandale du Palm pré découvert par Joey Hess, Palm ayant ajouté un logiciel dans webOS envoyant via internet les coordonnées GPS ainsi que le temps d'utilisation de chaque application sur le téléphone.

Encore plus récemment, c'est l'iPhone qui a fait parler de lui suite à la découverte d'une application récoltant les numéros de téléphones des utilisateurs afin d'alimenter une base de client. La boite à l'origine de MogoRoad, le logiciel en question, a dû retirer son logiciel de l'AppStore, mais il semble que d'autres applications du même tonneau existent encore.

Cette nouvelle découverte jette une fois de plus le discrédit sur le respect de la vie privé par le monde de la téléphonie mobile.

Faille dans le noyau 2.6.31 : Brad remet le couvert

Posté par (page perso) . Modéré par Bruno Michel.
27
19
sept.
2009
Noyau
Brad Spengler a décidé de faire parler de lui cette année :-) Il a écrit le 16 septembre dernier un exploit pour le noyau 2.6.31 tout chaud, à peine sorti du four (le 9 septembre). Il a d'abord posté des vidéos sur Youtube puis, le 18 septembre, le code de son exploit.

La faille se situe dans perf_counter, fonctionnalité introduite dans Linux 2.6.31. Elle n'impacte donc que cette version. La faille a été corrigée le 15 septembre (perf_counter: Fix buffer overflow in perf_copy_attr()), la veille de la première vidéo.

Malgré les corrections apportées à SELinux (ex: Security/SELinux: seperate lsm specific mmap_min_addr), cet exploit arrive à contourner SELinux en utilisant, encore une fois, le mode unconfined_t. Ce mode est utilisé pour les applications ne pouvant pas être confinées dans SELinux, comme par exemple WINE.

FRHack : Conférence de RMS en accès gratuit

Posté par (page perso) . Modéré par Mouns.
Tags :
12
5
sept.
2009
Sécurité
Dans le cadre du colloque FRHack, Richard M. Stallman (RMS) animera une conférence en anglais : "Free Software in Ethics and in Practice", lundi 7 septembre à 17h30. Contrairement aux autres conférences du colloque celle-ci sera accessible gratuitement à cette adresse : http://mediatux.com/webtvstream.php

FRHack est un colloque international sur la sécurité informatique et les NTIC en France (au Grand Kursaal de Besançon), programmée du 7 au 11 Septembre 2009.

Retour d'expérience sécurité sur 11 ans de LinuxFr.org

Posté par (page perso) . Modéré par baud123.
Tags :
17
10
juil.
2009
LinuxFr.org
Bruno Michel et Benoît Sibaud ont donné une conférence lors des Rencontres Mondiales du Logiciel Libre 2009, intitulée « LinuxFr.org : retour d’expérience sécurité d’un site Web à fort trafic ».

Il s'agissait d’une part de faire un retour sur une expérience riche et variée sur le sujet (divulgation involontaire d'informations confidentielles, failles XSS, failles CSRF, erreurs de générateur aléatoire, ingénierie sociale sur les utilisateurs, audit de sécurité non demandé effectué sur notre serveur, etc. sans compter les bugs exotiques genre horloge cyclant sur une période de 4s…) sur un site à fort trafic et stockant des données personnelles.

D’autre part les webmestres LinuxFr.org sont prêts à parler des problèmes de sécurité rencontrés et des solutions apportées, parce qu’il s’agit d’un site fait par et pour les communautés du logiciel libre, qui peut jouer la transparence et n’a pas à cacher les problèmes sous le tapis comme d’autres sites commerciaux ou gouvernementaux.

L'angle retenu (retour d'expérience et typologie variée de problèmes pour illustrer) a trouvé son public, la conférence ayant été faite dans une salle comble.

Journal Au coeur de la cyberguerre

Posté par (page perso) .
Tags :
16
23
juin
2009
Un article assez intéressant sur les systèmes d'exploitations sécurisés se trouve ici.

Alors attention, quand je dis "assez intéressant" cela ne signifie pas que nous allons bénéficier de détails techniques...c'est un article généraliste (sans sources d'ailleurs) qui est posté sur un site de webnews. Je ne sais pas quelle est la réputation du site knowckers.org.

Bon toujours est-il que l'article évoque le système d’exploitation chinois Kylinqui est censé être un truc ultra-sécurisé qui résiste à la CIA et (...)

La République Populaire de Chine impose un logiciel de contrôle d'accès défaillant

Posté par . Modéré par Florent Zara.
Tags :
13
18
juin
2009
Rien à voir
Au premier juillet 2009 et conformément à une directive du 19 Mai 2009 émise par le Ministère de l'industrie, de l'information et des technologies (MIIT), tout ordinateur vendu en Chine devra être livré avec 绿坝·花季护航 (la muraille verte, l'escorteur de mineurs) un logiciel de contrôle d'accès dont l'objectif officiel est de protéger les mineurs de la pornographie toujours réprimée en Chine. Il pourra être pré-installé ou livré sur CD-ROM. Les fabricants devront rapporter aux autorités le nombre de machines distribuées avec le logiciel.

Le 11 juin 2009, trois chercheurs de l'université du Michigan (Scott Wolchok, Randy Yao et J. Alex Halderman) ont révélé deux failles importantes (dépassement de tampon) affectant 绿坝·花季护航. Une simple page Web fait ainsi planter un navigateur (ou un onglet). Des shellcodes plus raffinés sont déjà disponibles : exploit .NET pour Internet Explorer (contourne les contre-mesures DEP et ASLR de Windows).

绿坝·花季护航 (prononcez Lubà·Huajì Hùháng) utilise OpenCV (bibliothèque de traitement d'image libre, développée à la base par Intel, spécialisée dans le traitement d'image temps réel) en violation de sa licence BSD puisque sans mention du copyright. Il utilise en outre des données issues de CyberSitter un concurrent développé par la société Solid Oak.

Ce projet formalisé officiellement en décembre 2008 sous l'impulsion des dirigeants chinois est financé par le MIIT pour environ six millions d'euros (41,7 millions de yuan). Testé depuis octobre 2008 dans plusieurs grandes métropoles chinoises, il a été réalisé par la société Jinhui en collaboration avec une université pékinoise qui a déjà développé des produits similaires pour l'armée populaire de libération.

NdM : Selon l'article Wikipédia anglophone, 绿坝·花季护航 (Green Dam) est inefficace. Utiliser Mac OS X et Linux suffit pour contourner le filtrage par exemple. Green Dam n'est pas non plus capable de détecter un contenu pornographique pour des peaux de couleur rouge ou noire. De plus, plusieurs failles de sécurité peuvent mener à une attaque massive (botnet ou attaque ciblée) des ordinateurs équipés de Green Dam.

Journal 10 millions ou vous ne reverrez jamais vos données !

Posté par (page perso) .
14
7
mai
2009
L'Etat de Virgine a un site web qui s’occupe de gérer les données médicales des patients. Ce "Virginia Department of Health Professions" liste toutes les prescriptions qui sont faites et enregistre les délivrances de médicaments par les pharmaciens.
Ce beau site web, visible ici, a été attaqué par un ou des pirates et la page d'accueil a été remplacée par le message suivant (traduction de votre serviteur):

"J'ai toute votre merde ! J'ai actuellement en *ma* (...)

Herdict.org pour contourner la censure de l'internet

Posté par (page perso) . Modéré par Mouns.
Tags :
4
20
avr.
2009
Internet
Le site Herdict.org propose de centraliser en temps réel les informations relatives à l'accessibilité (ici disponibilité sur le réseau) des sites web de manière à déterminer la portée des éventuels problèmes.

L'idée du professeur Jonathan Zittrain se situe dans la progression naturelle de l'OpenNet Initiative (ONI) dont le projet vise à étudier le filtrage d'internet et les pratiques de sa surveillance par les différents états. Ce projet emploie de nombreux moyens techniques, ainsi qu'un réseau international, afin de déterminer l'étendue et la nature des programmes gouvernementaux de filtrage d'internet.

À l'heure d'autres projets tels que le projet loi Hadopi, peut-être est-il temps de nous sentir tous concernés ?

Journal La sécurité des gestionnaires de paquets

Posté par (page perso) .
Tags :
24
10
avr.
2009
Dans la livraison de février du magasine ;Login, un article au format pdf propose une intéressante analyse de la sécurité des différents gestionnaire de paquets de nos distributions Linux.

Les auteurs sont étudiants à l'université d'Arizona et post-doc à l'université de Washington et ils travaillent sur un tout nouveau gestionnaire de paquet nommé Stork(Cigogne). Dans le cadre de leur recherche ils se sont intéressés aux attaques qu'il était possible d'effectuer contre les gestionnaires de paquets déjà existants et (...)

Journal Un ver s'attaque à la Marine française

Posté par (page perso) .
Tags :
34
5
fév.
2009
Conficker est le nom d'un ver qui infecte les machines sous Microsoft Windows. Il s'attaque au processus SVCHOST.EXE et il permet d'exécuter du code à distance.
Un truc sérieux donc mais, hélas, pas inhabituel dans le monde merveilleux de Windows.

Ce qui est plus inhabituel en revanche c'est qu'il semble que ce ver a réussi a se propager au sein du réseau informatique de la Marine Nationale (Intramar). L'isolation du réseau a été décidée mais elle a été trop tardive (...)

La convention Netfilter en 2008 à Paris

Posté par . Modéré par Florent Zara.
Tags :
0
20
mai
2008
Sécurité
Après les éditions 2005 à Séville et 2007 à Karlsruhe, la convention Netfilter se déroule cette année à Paris, du 29 septembre au 3 octobre 2008. La convention Netfilter est l'événement annuel mondial de rencontre de tous les développeurs Netfilter, et l'occasion pour les auteurs et contributeurs du projet de travailler sur les prochaines orientations.

Cette année, la convention se déroulera en deux étapes :
  • Une journée Utilisateurs, ouverte au public. L'appel à soumission est d'ores et déjà publié sur le site officiel de l'événement, les soumissions seront particulièrement appréciées si elles correspondent à des utilisations intensives ou originales de Netfilter ;
  • Quatre journées Développeurs (l'atelier), auxquelles participent les membres de l'équipe de développement officielle (la core team) ainsi que quelques invités. Les personnes intéressées peuvent répondre à l'appel à participation qui a été lancé.
En qualité d'organisateur de l'événement cette année, INL profite de cette annonce pour réaliser l'appel à sponsors pour l'événement. Les entreprises sponsors retenues par la core team disposeront d'une visibilité sur le site web de la convention Netfilter et lors de la journée Utilisateurs.

Découverte d'une faille de sécurité critique dans OpenSSL de Debian

Posté par . Modéré par Bruno Michel.
Tags :
1
15
mai
2008
Debian
Le 13 mai, un message publié sur la liste de sécurité Debian identifiait une anomalie impactant le paquet openssl. Ce bug a été introduit par un mainteneur Debian, qui a eu la main lourde en voulant "corriger" des alertes remontées par Valgrind (un logiciel qui audite le code). Résultat des courses : le générateur de nombres aléatoires, composant critique de nombreux systèmes de chiffrements, n'est au final pas si aléatoire que ça, voire carrément prévisible.
En conséquence, tous les certificats et clefs SSL/SSH générés sur une Debian (ou dérivée) depuis 2006 l'ont été à partir d'un univers des possibles très restreint (environ 250 000 clefs, à confirmer) et présentent donc un niveau de sécurité largement inférieur à celui estimé.

Cette vulnérabilité touche Debian ainsi que toutes les distributions utilisant des paquets Debian (Ubuntu, Xandros...).

Pour prendre un exemple parlant, imaginez Securor, un fabricant de serrures qui seraient utilisées un peu partout sur la planète. Au bout de deux ans, alors que des millions de personnes ont installé des serrures pour protéger leur maison, on se rend compte qu'en fait il n'existe que 3 modèles uniques de clefs, les autres ne sont que des copies d'un des 3 modèles d'origine. Si bien qu'un voleur peut très facilement concevoir un trousseau contenant les 3 modèles de clefs, en ayant la certitude que toute serrure rencontrée pourra être ouverte avec l'une de ces clefs...

Concrètement, si vous utilisez une Debian, ou dérivée, vos VPN peuvent être cassés (adieu confidentialité des échanges), des faux certificats peuvent être signés (adieu confiance en votre système de PKI), votre serveur SSH ne filtre plus grand monde (adieu système sécurisé)...

Que faire ?
  1. Mettre à jour votre distribution Debian pour installer les nouveaux paquet.
  2. Vérifier sur tous vos systèmes qu'une clef faible n'est pas présente. Pour cela, un outil est disponible : dowkd.pl
    Si une clef faible est présente, il sera nécessaire de la générer à nouveau, avec tous les impacts que cela peut avoir (fichiers authorized_keys & know_hosts obsolètes...). Même problème pour les certificats : j'espère que personne n'a mis en place de PKI sous Debian depuis 2006, il va falloir regénérer les certificats...
  3. lire le wiki Debian http://wiki.debian.org/SSLkeys qui vous guidera pas à pas en fonction des logiciels installés sur votre machine.
Reste à savoir quelles seront les conséquences de cette affaire : depuis 2 ans, un bug introduit par un contributeur et impactant un système critique est resté indétecté dans une des distributions les plus utilisées au monde...

NdM : lire également les articles sur Planet Debian-Fr.