Herdict.org pour contourner la censure de l'internet

Posté par (page perso) . Modéré par Mouns.
Tags :
4
20
avr.
2009
Internet
Le site Herdict.org propose de centraliser en temps réel les informations relatives à l'accessibilité (ici disponibilité sur le réseau) des sites web de manière à déterminer la portée des éventuels problèmes.

L'idée du professeur Jonathan Zittrain se situe dans la progression naturelle de l'OpenNet Initiative (ONI) dont le projet vise à étudier le filtrage d'internet et les pratiques de sa surveillance par les différents états. Ce projet emploie de nombreux moyens techniques, ainsi qu'un réseau international, afin de déterminer l'étendue et la nature des programmes gouvernementaux de filtrage d'internet.

À l'heure d'autres projets tels que le projet loi Hadopi, peut-être est-il temps de nous sentir tous concernés ?

Journal La sécurité des gestionnaires de paquets

Posté par (page perso) .
Tags :
24
10
avr.
2009
Dans la livraison de février du magasine ;Login, un article au format pdf propose une intéressante analyse de la sécurité des différents gestionnaire de paquets de nos distributions Linux.

Les auteurs sont étudiants à l'université d'Arizona et post-doc à l'université de Washington et ils travaillent sur un tout nouveau gestionnaire de paquet nommé Stork(Cigogne). Dans le cadre de leur recherche ils se sont intéressés aux attaques qu'il était possible d'effectuer contre les gestionnaires de paquets déjà existants et (...)

Journal Un ver s'attaque à la Marine française

Posté par (page perso) .
Tags :
34
5
fév.
2009
Conficker est le nom d'un ver qui infecte les machines sous Microsoft Windows. Il s'attaque au processus SVCHOST.EXE et il permet d'exécuter du code à distance.
Un truc sérieux donc mais, hélas, pas inhabituel dans le monde merveilleux de Windows.

Ce qui est plus inhabituel en revanche c'est qu'il semble que ce ver a réussi a se propager au sein du réseau informatique de la Marine Nationale (Intramar). L'isolation du réseau a été décidée mais elle a été trop tardive (...)

La convention Netfilter en 2008 à Paris

Posté par . Modéré par Florent Zara.
Tags :
0
20
mai
2008
Sécurité
Après les éditions 2005 à Séville et 2007 à Karlsruhe, la convention Netfilter se déroule cette année à Paris, du 29 septembre au 3 octobre 2008. La convention Netfilter est l'événement annuel mondial de rencontre de tous les développeurs Netfilter, et l'occasion pour les auteurs et contributeurs du projet de travailler sur les prochaines orientations.

Cette année, la convention se déroulera en deux étapes :
  • Une journée Utilisateurs, ouverte au public. L'appel à soumission est d'ores et déjà publié sur le site officiel de l'événement, les soumissions seront particulièrement appréciées si elles correspondent à des utilisations intensives ou originales de Netfilter ;
  • Quatre journées Développeurs (l'atelier), auxquelles participent les membres de l'équipe de développement officielle (la core team) ainsi que quelques invités. Les personnes intéressées peuvent répondre à l'appel à participation qui a été lancé.
En qualité d'organisateur de l'événement cette année, INL profite de cette annonce pour réaliser l'appel à sponsors pour l'événement. Les entreprises sponsors retenues par la core team disposeront d'une visibilité sur le site web de la convention Netfilter et lors de la journée Utilisateurs.

Découverte d'une faille de sécurité critique dans OpenSSL de Debian

Posté par . Modéré par Bruno Michel.
Tags :
1
15
mai
2008
Debian
Le 13 mai, un message publié sur la liste de sécurité Debian identifiait une anomalie impactant le paquet openssl. Ce bug a été introduit par un mainteneur Debian, qui a eu la main lourde en voulant "corriger" des alertes remontées par Valgrind (un logiciel qui audite le code). Résultat des courses : le générateur de nombres aléatoires, composant critique de nombreux systèmes de chiffrements, n'est au final pas si aléatoire que ça, voire carrément prévisible.
En conséquence, tous les certificats et clefs SSL/SSH générés sur une Debian (ou dérivée) depuis 2006 l'ont été à partir d'un univers des possibles très restreint (environ 250 000 clefs, à confirmer) et présentent donc un niveau de sécurité largement inférieur à celui estimé.

Cette vulnérabilité touche Debian ainsi que toutes les distributions utilisant des paquets Debian (Ubuntu, Xandros...).

Pour prendre un exemple parlant, imaginez Securor, un fabricant de serrures qui seraient utilisées un peu partout sur la planète. Au bout de deux ans, alors que des millions de personnes ont installé des serrures pour protéger leur maison, on se rend compte qu'en fait il n'existe que 3 modèles uniques de clefs, les autres ne sont que des copies d'un des 3 modèles d'origine. Si bien qu'un voleur peut très facilement concevoir un trousseau contenant les 3 modèles de clefs, en ayant la certitude que toute serrure rencontrée pourra être ouverte avec l'une de ces clefs...

Concrètement, si vous utilisez une Debian, ou dérivée, vos VPN peuvent être cassés (adieu confidentialité des échanges), des faux certificats peuvent être signés (adieu confiance en votre système de PKI), votre serveur SSH ne filtre plus grand monde (adieu système sécurisé)...

Que faire ?
  1. Mettre à jour votre distribution Debian pour installer les nouveaux paquet.
  2. Vérifier sur tous vos systèmes qu'une clef faible n'est pas présente. Pour cela, un outil est disponible : dowkd.pl
    Si une clef faible est présente, il sera nécessaire de la générer à nouveau, avec tous les impacts que cela peut avoir (fichiers authorized_keys & know_hosts obsolètes...). Même problème pour les certificats : j'espère que personne n'a mis en place de PKI sous Debian depuis 2006, il va falloir regénérer les certificats...
  3. lire le wiki Debian http://wiki.debian.org/SSLkeys qui vous guidera pas à pas en fonction des logiciels installés sur votre machine.
Reste à savoir quelles seront les conséquences de cette affaire : depuis 2 ans, un bug introduit par un contributeur et impactant un système critique est resté indétecté dans une des distributions les plus utilisées au monde...

NdM : lire également les articles sur Planet Debian-Fr.

Effets pervers du modèle de sécurité BitFrost de OLPC

Posté par . Modéré par Nÿco.
Tags :
0
15
avr.
2008
Matériel
OLPC : One Laptop Per Child (un portable par enfant) est un projet lancé par des professeurs du MIT aux États-Unis qui a pour but de promouvoir un ordinateur portable à 100 dollars US pour permettre à chaque enfant dans le monde l'accès à la connaissance et aux formes modernes d'éducation. Déjà commandé à plus de 600 000 exemplaires, il est principalement destiné aux pays où les moyens financiers, l'infrastructure électrique et l'accès à Internet ne permettent pas d'utiliser du matériel classique.

L'ordinateur en lui même s'appelle le XO, et il implémente un modèle de sécurité appelé BitFrost qui impose un certain nombre de principes adaptés aux utilisateurs et aux infrastructures dans lesquelles le XO est censé être utilisé.

À l'occasion de la conférence UPSEC (USENIX Usability, Psychology and Security), trois personnes ont publié un document qui analyse de façon pertinente les effets pervers de certaines des mesures de sécurité de BitFrost. Le document ne propose pas de solution magique, mais invite à réfléchir sur les implications et sur les manques du modèle BitFrost afin de le compléter ou de le faire évoluer en prenant en compte les différents sujets évoqués.

Journal des drm dans la cao

Posté par .
0
25
mar.
2008
PTC qui vient juste d'abandonner le support de linux pour son logiciel pro engineer wildfire 4.0, malgré le fait que ce logiciel profitait grandement d'une meilleure gestion de la mémoire sur les gros assemblages, implante un système de drm "Pour une protection durable et dynamique de votre propriété intellectuelle"

http://www.ptc.com/WCMS/files/64778/fr/3055_DRM_WP_FR.pdf

Un pas de plus vers la démocratisation du sftp

Posté par (page perso) . Modéré par Bruno Michel.
Tags :
2
22
fév.
2008
OpenBSD
Une nouvelle fonctionnalité se rajoute à OpenSSH : ChrootDirectory. Ainsi, il est facile de chrooter suite à la connexion d'un utilisateur. Cela permet de limiter la vision du système de fichier à un sous-ensemble lorsque cet utilisateur se connecte en ssh.

Combiné au serveur sftp intégré à sshd, il est possible de limiter l'utilisateur à une partie du système de fichier ne possédant aucun binaire, aucune bibliothèque, ni aucun node, comme ça aurait du être le cas si le server sftp n'était pas intégré à sshd. Par exemple, les hébergeurs web pourront maintenant, grâce à cette fonctionnalité, remplacer ftp par sftp.

Important bug de sécurité sur noyau 2.6.17 à 2.6.24

Posté par . Modéré par Christophe Guilloux.
0
13
fév.
2008
Noyau
Une importante faille de sécurité a été mise en évidence ce week-end sur l'ensemble des noyaux Linux 2.6 récents (2.6.17-2.6.24.1). Elle permet à un utilisateur local d'obtenir les priviléges root. Le code d'exploitation est disponible publiquement depuis la fin du week-end.
Une mise à jour rapide du noyau Linux est donc nécessaire.
Le dernier noyau en date (2.6.24.2) règle définitivement le problème. Certaines distributions ont déjà rétropropagé le correctif. Les autres distributions ne devraient pas tarder.
Si vous utilisez un serveur dédié, pensez à regarder les forums de votre hébergeur pour obtenir la marche à suivre pour la mise à jour. Un lien sur le fil de discussion correspondant au sujet chez OVH a été mis en lien ci dessous, avec la marche à suivre pour leurs serveurs dédiés.
Les noyaux durcis (Grsec) sont affectés.

NdM: Merci à inico et à Victor Stinner pour leurs journaux sur le sujet.

Pare-feu authentifiant : sortie de NuFW Live

Posté par . Modéré par Sylvain Rampacek.
Tags :
0
7
fév.
2008
Sécurité
Après plusieurs mois de travail, la première version stable du LiveCD NuFW.Live est disponible. Basé sur une knoppix, ce LiveCD permet à ses utilisateurs de tester facilement et rapidement les fonctionnalités du pare-feu NuFW, et les outils d'administration qui permettent de le gérer : Nulog2, Nuface2 en RC4, pyctd le "tueur de connexion Netfilter" ...

Le LiveCD contient également NuApplet2, un client NuFW pour Linux, ce qui permet de réaliser des tests sans rien installer, en utilisant le LiveCD sur deux machines.

NuFW.Live [version 1.0.1] est téléchargeable en HTTP et en Bittorent. Les volontaires pour fournir un miroir de téléchargement seront les bienvenus.

Nulog 2 est disponible

Posté par . Modéré par Nÿco.
Tags :
0
18
jan.
2008
Sécurité
Voici la 2ème génération de l'incontournable outil d'analyse de fichiers journaux de pare-feu. Nulog2, presque 6 ans après la v1, s'appuie toujours sur un format de journalisation SQL, mais présente les informations de manière plus synthétique, et beaucoup plus exploitable.

Au menu des nouveautés :
  • Réécriture complète du code, passage de PHP à Python avec Twisted Matrix ;
  • Génération à la volée de diagrammes et de camemberts, au souhait de l'utilisateur ;
  • Personnalisation totale de la page d'accueil, pour chaque utilisateur ;
  • Refonte de l'ergonomie de l'outil et de la manipulation des critères d'affichage des connexions réseaux ;
  • Possibilités de recherches beaucoup plus avancées ;
  • Export des données affichées en CSV pour traitement personnalisé ;
  • Passage à la licence GPLv3.

Bien entendu, Nulog2, permet, comme la v1, d'exploiter des logs authentifiés par un pare-feu NuFW. Il est donc très simple de créer ses propres indicateurs à placer sur sa page d'accueil, par exemple "Histogramme des derniers paquets droppés des trois dernières heures de l'IP 10.56.140.47 ou de l'utilisateur Martin".

Journal Fusillez vos applications (Fusil le fuzzer)

Posté par (page perso) .
0
28
nov.
2007
Fusil est un framework de fuzzing écrit en Python et distribué sous licence GNU GPLv2. Pour ceux qui ne connaissent pas la technique du fuzzing, c'est une façon simple simple, rapide et efficace de trouver des bugs dans des logiciels. Certains sont mineurs (dénis de service), d'autres bugs peuvent se révéler être des failles de sécurité (prise de contrôle du flux d'exécution).

Fusil permet d'écrire facilement des « projects de fuzzing » avec un ensemble de fonctions et la puissance (...)

Dossier sur le renforcement des fonctions de sécurité du noyau sur Secuobs.com

Posté par . Modéré par Jaimé Ragnagna.
Tags :
0
15
nov.
2007
Noyau
Le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique et ses outils libres, propose un dossier sur les systèmes qui permettent de renforcer la sécurité de la branche 2.6 des noyaux Linux.

Ce dossier francophone, en libre l'accès pour tous, porte sur l'activation de ASLR (Address Space Layout Randomization), de GrSecurity et de PaX ainsi que sur celle de SELinux ; vous y retrouverez les procédures d'installation, de configuration et d'administration de ces mécanismes ainsi que des exemples d'attaques.

Vous pourrez également vous servir de la base d'exploits ExploitTree, basée sur CVS, et de sa plateforme de recherche en Perl afin de tester l'ensemble de ces fonctions de renforcement des noyaux Linux de cette branche.

SecUbuLive un Live CD GNU/Linux personnalisable et facile à mettre à jour

Posté par . Modéré par Bruno Michel.
Tags :
0
27
oct.
2007
Sécurité
Il existe actuellement différents CDROM de type Live CD que l'on dit aussi « bootables » et qui sont basés sur les distributions GNU/Linux.

Les Live CD concernant le domaine de la sécurité des systèmes d'informations et de communication sont tout aussi nombreux parmi ceux-ci, ils sont pour la plupart disponibles en téléchargement sur internet et notamment BackTrack2 qui est l'un des plus populaires parmi eux.

Ces Live CD ont été développés pour donner la possibilité à leurs utilisateurs d'y ajouter leurs propres outils et scripts, ils présentent cependant tous un défaut majeur dès lors que l'on souhaite effectuer la mise à jour du système et des outils qui les composent.

Cette opération est soit impossible dans la plupart des cas soit tellement compliquée à réaliser qu'elle n'est pas envisageable pour les utilisateurs lambda ; ils sont alors contraints d'attendre les avancées des développeurs afin de profiter des dernières versions.

Le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, vous propose un document présentant une méthode originale qui permettra à tout un chacun de réaliser son propre Live CD, orienté sécurité ou pas.

Documentation non officielle en français pour Scapy sur Secuobs.com

Posté par . Modéré par Bruno Michel.
Tags :
1
27
oct.
2007
Sécurité
Scapy est un utilitaire Open Source en Python développé par Philippe Biondi, cet outil vous permet de disséquer, de forger, de recevoir et d'émettre des paquets (et des trames) de données pour un grand nombre de protocoles que vous pourrez également décoder : DNS, DHCP, ARP, SNMP, ICMP, IP, TCP, UDP.

L'un des seuls points faibles connu à ce jour, concernant Scapy, est son manque de documentation officielle ou non, notamment francophone, permettant de le destiner à un plus large public que les experts du domaine ; partant de ce constat, le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, met à disposition de tous un document venant combler une partie de ce manque.

Vous y apprendrez notamment comment installer et configurer Scapy ainsi que les rêgles rudimentaires relatives à son utilisation (commandes basiques et avancées) et à la manipulation de paquets (et de trames) de données dont un exemple de génération de graphiques 2D/3D à partir des résultats d'un traceroute réalisé à l'aide de Scapy.