Retour d'expérience sécurité sur 11 ans de LinuxFr.org

Posté par (page perso) . Modéré par baud123.
Tags :
17
10
juil.
2009
LinuxFr.org
Bruno Michel et Benoît Sibaud ont donné une conférence lors des Rencontres Mondiales du Logiciel Libre 2009, intitulée « LinuxFr.org : retour d’expérience sécurité d’un site Web à fort trafic ».

Il s'agissait d’une part de faire un retour sur une expérience riche et variée sur le sujet (divulgation involontaire d'informations confidentielles, failles XSS, failles CSRF, erreurs de générateur aléatoire, ingénierie sociale sur les utilisateurs, audit de sécurité non demandé effectué sur notre serveur, etc. sans compter les bugs exotiques genre horloge cyclant sur une période de 4s…) sur un site à fort trafic et stockant des données personnelles.

D’autre part les webmestres LinuxFr.org sont prêts à parler des problèmes de sécurité rencontrés et des solutions apportées, parce qu’il s’agit d’un site fait par et pour les communautés du logiciel libre, qui peut jouer la transparence et n’a pas à cacher les problèmes sous le tapis comme d’autres sites commerciaux ou gouvernementaux.

L'angle retenu (retour d'expérience et typologie variée de problèmes pour illustrer) a trouvé son public, la conférence ayant été faite dans une salle comble.

Journal Au coeur de la cyberguerre

Posté par (page perso) .
Tags :
16
23
juin
2009
Un article assez intéressant sur les systèmes d'exploitations sécurisés se trouve ici.

Alors attention, quand je dis "assez intéressant" cela ne signifie pas que nous allons bénéficier de détails techniques...c'est un article généraliste (sans sources d'ailleurs) qui est posté sur un site de webnews. Je ne sais pas quelle est la réputation du site knowckers.org.

Bon toujours est-il que l'article évoque le système d’exploitation chinois Kylinqui est censé être un truc ultra-sécurisé qui résiste à la CIA et (...)

La République Populaire de Chine impose un logiciel de contrôle d'accès défaillant

Posté par . Modéré par Florent Zara.
Tags :
13
18
juin
2009
Rien à voir
Au premier juillet 2009 et conformément à une directive du 19 Mai 2009 émise par le Ministère de l'industrie, de l'information et des technologies (MIIT), tout ordinateur vendu en Chine devra être livré avec 绿坝·花季护航 (la muraille verte, l'escorteur de mineurs) un logiciel de contrôle d'accès dont l'objectif officiel est de protéger les mineurs de la pornographie toujours réprimée en Chine. Il pourra être pré-installé ou livré sur CD-ROM. Les fabricants devront rapporter aux autorités le nombre de machines distribuées avec le logiciel.

Le 11 juin 2009, trois chercheurs de l'université du Michigan (Scott Wolchok, Randy Yao et J. Alex Halderman) ont révélé deux failles importantes (dépassement de tampon) affectant 绿坝·花季护航. Une simple page Web fait ainsi planter un navigateur (ou un onglet). Des shellcodes plus raffinés sont déjà disponibles : exploit .NET pour Internet Explorer (contourne les contre-mesures DEP et ASLR de Windows).

绿坝·花季护航 (prononcez Lubà·Huajì Hùháng) utilise OpenCV (bibliothèque de traitement d'image libre, développée à la base par Intel, spécialisée dans le traitement d'image temps réel) en violation de sa licence BSD puisque sans mention du copyright. Il utilise en outre des données issues de CyberSitter un concurrent développé par la société Solid Oak.

Ce projet formalisé officiellement en décembre 2008 sous l'impulsion des dirigeants chinois est financé par le MIIT pour environ six millions d'euros (41,7 millions de yuan). Testé depuis octobre 2008 dans plusieurs grandes métropoles chinoises, il a été réalisé par la société Jinhui en collaboration avec une université pékinoise qui a déjà développé des produits similaires pour l'armée populaire de libération.

NdM : Selon l'article Wikipédia anglophone, 绿坝·花季护航 (Green Dam) est inefficace. Utiliser Mac OS X et Linux suffit pour contourner le filtrage par exemple. Green Dam n'est pas non plus capable de détecter un contenu pornographique pour des peaux de couleur rouge ou noire. De plus, plusieurs failles de sécurité peuvent mener à une attaque massive (botnet ou attaque ciblée) des ordinateurs équipés de Green Dam.

Journal 10 millions ou vous ne reverrez jamais vos données !

Posté par (page perso) .
14
7
mai
2009
L'Etat de Virgine a un site web qui s’occupe de gérer les données médicales des patients. Ce "Virginia Department of Health Professions" liste toutes les prescriptions qui sont faites et enregistre les délivrances de médicaments par les pharmaciens.
Ce beau site web, visible ici, a été attaqué par un ou des pirates et la page d'accueil a été remplacée par le message suivant (traduction de votre serviteur):

"J'ai toute votre merde ! J'ai actuellement en *ma* (...)

Herdict.org pour contourner la censure de l'internet

Posté par (page perso) . Modéré par Mouns.
Tags :
4
20
avr.
2009
Internet
Le site Herdict.org propose de centraliser en temps réel les informations relatives à l'accessibilité (ici disponibilité sur le réseau) des sites web de manière à déterminer la portée des éventuels problèmes.

L'idée du professeur Jonathan Zittrain se situe dans la progression naturelle de l'OpenNet Initiative (ONI) dont le projet vise à étudier le filtrage d'internet et les pratiques de sa surveillance par les différents états. Ce projet emploie de nombreux moyens techniques, ainsi qu'un réseau international, afin de déterminer l'étendue et la nature des programmes gouvernementaux de filtrage d'internet.

À l'heure d'autres projets tels que le projet loi Hadopi, peut-être est-il temps de nous sentir tous concernés ?

Journal La sécurité des gestionnaires de paquets

Posté par (page perso) .
Tags :
24
10
avr.
2009
Dans la livraison de février du magasine ;Login, un article au format pdf propose une intéressante analyse de la sécurité des différents gestionnaire de paquets de nos distributions Linux.

Les auteurs sont étudiants à l'université d'Arizona et post-doc à l'université de Washington et ils travaillent sur un tout nouveau gestionnaire de paquet nommé Stork(Cigogne). Dans le cadre de leur recherche ils se sont intéressés aux attaques qu'il était possible d'effectuer contre les gestionnaires de paquets déjà existants et (...)

Journal Un ver s'attaque à la Marine française

Posté par (page perso) .
Tags :
34
5
fév.
2009
Conficker est le nom d'un ver qui infecte les machines sous Microsoft Windows. Il s'attaque au processus SVCHOST.EXE et il permet d'exécuter du code à distance.
Un truc sérieux donc mais, hélas, pas inhabituel dans le monde merveilleux de Windows.

Ce qui est plus inhabituel en revanche c'est qu'il semble que ce ver a réussi a se propager au sein du réseau informatique de la Marine Nationale (Intramar). L'isolation du réseau a été décidée mais elle a été trop tardive (...)

La convention Netfilter en 2008 à Paris

Posté par . Modéré par Florent Zara.
Tags :
0
20
mai
2008
Sécurité
Après les éditions 2005 à Séville et 2007 à Karlsruhe, la convention Netfilter se déroule cette année à Paris, du 29 septembre au 3 octobre 2008. La convention Netfilter est l'événement annuel mondial de rencontre de tous les développeurs Netfilter, et l'occasion pour les auteurs et contributeurs du projet de travailler sur les prochaines orientations.

Cette année, la convention se déroulera en deux étapes :
  • Une journée Utilisateurs, ouverte au public. L'appel à soumission est d'ores et déjà publié sur le site officiel de l'événement, les soumissions seront particulièrement appréciées si elles correspondent à des utilisations intensives ou originales de Netfilter ;
  • Quatre journées Développeurs (l'atelier), auxquelles participent les membres de l'équipe de développement officielle (la core team) ainsi que quelques invités. Les personnes intéressées peuvent répondre à l'appel à participation qui a été lancé.
En qualité d'organisateur de l'événement cette année, INL profite de cette annonce pour réaliser l'appel à sponsors pour l'événement. Les entreprises sponsors retenues par la core team disposeront d'une visibilité sur le site web de la convention Netfilter et lors de la journée Utilisateurs.

Découverte d'une faille de sécurité critique dans OpenSSL de Debian

Posté par . Modéré par Bruno Michel.
Tags :
1
15
mai
2008
Debian
Le 13 mai, un message publié sur la liste de sécurité Debian identifiait une anomalie impactant le paquet openssl. Ce bug a été introduit par un mainteneur Debian, qui a eu la main lourde en voulant "corriger" des alertes remontées par Valgrind (un logiciel qui audite le code). Résultat des courses : le générateur de nombres aléatoires, composant critique de nombreux systèmes de chiffrements, n'est au final pas si aléatoire que ça, voire carrément prévisible.
En conséquence, tous les certificats et clefs SSL/SSH générés sur une Debian (ou dérivée) depuis 2006 l'ont été à partir d'un univers des possibles très restreint (environ 250 000 clefs, à confirmer) et présentent donc un niveau de sécurité largement inférieur à celui estimé.

Cette vulnérabilité touche Debian ainsi que toutes les distributions utilisant des paquets Debian (Ubuntu, Xandros...).

Pour prendre un exemple parlant, imaginez Securor, un fabricant de serrures qui seraient utilisées un peu partout sur la planète. Au bout de deux ans, alors que des millions de personnes ont installé des serrures pour protéger leur maison, on se rend compte qu'en fait il n'existe que 3 modèles uniques de clefs, les autres ne sont que des copies d'un des 3 modèles d'origine. Si bien qu'un voleur peut très facilement concevoir un trousseau contenant les 3 modèles de clefs, en ayant la certitude que toute serrure rencontrée pourra être ouverte avec l'une de ces clefs...

Concrètement, si vous utilisez une Debian, ou dérivée, vos VPN peuvent être cassés (adieu confidentialité des échanges), des faux certificats peuvent être signés (adieu confiance en votre système de PKI), votre serveur SSH ne filtre plus grand monde (adieu système sécurisé)...

Que faire ?
  1. Mettre à jour votre distribution Debian pour installer les nouveaux paquet.
  2. Vérifier sur tous vos systèmes qu'une clef faible n'est pas présente. Pour cela, un outil est disponible : dowkd.pl
    Si une clef faible est présente, il sera nécessaire de la générer à nouveau, avec tous les impacts que cela peut avoir (fichiers authorized_keys & know_hosts obsolètes...). Même problème pour les certificats : j'espère que personne n'a mis en place de PKI sous Debian depuis 2006, il va falloir regénérer les certificats...
  3. lire le wiki Debian http://wiki.debian.org/SSLkeys qui vous guidera pas à pas en fonction des logiciels installés sur votre machine.
Reste à savoir quelles seront les conséquences de cette affaire : depuis 2 ans, un bug introduit par un contributeur et impactant un système critique est resté indétecté dans une des distributions les plus utilisées au monde...

NdM : lire également les articles sur Planet Debian-Fr.

Effets pervers du modèle de sécurité BitFrost de OLPC

Posté par . Modéré par Nÿco.
Tags :
0
15
avr.
2008
Matériel
OLPC : One Laptop Per Child (un portable par enfant) est un projet lancé par des professeurs du MIT aux États-Unis qui a pour but de promouvoir un ordinateur portable à 100 dollars US pour permettre à chaque enfant dans le monde l'accès à la connaissance et aux formes modernes d'éducation. Déjà commandé à plus de 600 000 exemplaires, il est principalement destiné aux pays où les moyens financiers, l'infrastructure électrique et l'accès à Internet ne permettent pas d'utiliser du matériel classique.

L'ordinateur en lui même s'appelle le XO, et il implémente un modèle de sécurité appelé BitFrost qui impose un certain nombre de principes adaptés aux utilisateurs et aux infrastructures dans lesquelles le XO est censé être utilisé.

À l'occasion de la conférence UPSEC (USENIX Usability, Psychology and Security), trois personnes ont publié un document qui analyse de façon pertinente les effets pervers de certaines des mesures de sécurité de BitFrost. Le document ne propose pas de solution magique, mais invite à réfléchir sur les implications et sur les manques du modèle BitFrost afin de le compléter ou de le faire évoluer en prenant en compte les différents sujets évoqués.

Journal des drm dans la cao

Posté par .
0
25
mar.
2008
PTC qui vient juste d'abandonner le support de linux pour son logiciel pro engineer wildfire 4.0, malgré le fait que ce logiciel profitait grandement d'une meilleure gestion de la mémoire sur les gros assemblages, implante un système de drm "Pour une protection durable et dynamique de votre propriété intellectuelle"

http://www.ptc.com/WCMS/files/64778/fr/3055_DRM_WP_FR.pdf

Un pas de plus vers la démocratisation du sftp

Posté par (page perso) . Modéré par Bruno Michel.
Tags :
2
22
fév.
2008
OpenBSD
Une nouvelle fonctionnalité se rajoute à OpenSSH : ChrootDirectory. Ainsi, il est facile de chrooter suite à la connexion d'un utilisateur. Cela permet de limiter la vision du système de fichier à un sous-ensemble lorsque cet utilisateur se connecte en ssh.

Combiné au serveur sftp intégré à sshd, il est possible de limiter l'utilisateur à une partie du système de fichier ne possédant aucun binaire, aucune bibliothèque, ni aucun node, comme ça aurait du être le cas si le server sftp n'était pas intégré à sshd. Par exemple, les hébergeurs web pourront maintenant, grâce à cette fonctionnalité, remplacer ftp par sftp.

Important bug de sécurité sur noyau 2.6.17 à 2.6.24

Posté par . Modéré par Christophe Guilloux.
0
13
fév.
2008
Noyau
Une importante faille de sécurité a été mise en évidence ce week-end sur l'ensemble des noyaux Linux 2.6 récents (2.6.17-2.6.24.1). Elle permet à un utilisateur local d'obtenir les priviléges root. Le code d'exploitation est disponible publiquement depuis la fin du week-end.
Une mise à jour rapide du noyau Linux est donc nécessaire.
Le dernier noyau en date (2.6.24.2) règle définitivement le problème. Certaines distributions ont déjà rétropropagé le correctif. Les autres distributions ne devraient pas tarder.
Si vous utilisez un serveur dédié, pensez à regarder les forums de votre hébergeur pour obtenir la marche à suivre pour la mise à jour. Un lien sur le fil de discussion correspondant au sujet chez OVH a été mis en lien ci dessous, avec la marche à suivre pour leurs serveurs dédiés.
Les noyaux durcis (Grsec) sont affectés.

NdM: Merci à inico et à Victor Stinner pour leurs journaux sur le sujet.

Pare-feu authentifiant : sortie de NuFW Live

Posté par . Modéré par Sylvain Rampacek.
Tags :
0
7
fév.
2008
Sécurité
Après plusieurs mois de travail, la première version stable du LiveCD NuFW.Live est disponible. Basé sur une knoppix, ce LiveCD permet à ses utilisateurs de tester facilement et rapidement les fonctionnalités du pare-feu NuFW, et les outils d'administration qui permettent de le gérer : Nulog2, Nuface2 en RC4, pyctd le "tueur de connexion Netfilter" ...

Le LiveCD contient également NuApplet2, un client NuFW pour Linux, ce qui permet de réaliser des tests sans rien installer, en utilisant le LiveCD sur deux machines.

NuFW.Live [version 1.0.1] est téléchargeable en HTTP et en Bittorent. Les volontaires pour fournir un miroir de téléchargement seront les bienvenus.

Nulog 2 est disponible

Posté par . Modéré par Nÿco.
Tags :
0
18
jan.
2008
Sécurité
Voici la 2ème génération de l'incontournable outil d'analyse de fichiers journaux de pare-feu. Nulog2, presque 6 ans après la v1, s'appuie toujours sur un format de journalisation SQL, mais présente les informations de manière plus synthétique, et beaucoup plus exploitable.

Au menu des nouveautés :
  • Réécriture complète du code, passage de PHP à Python avec Twisted Matrix ;
  • Génération à la volée de diagrammes et de camemberts, au souhait de l'utilisateur ;
  • Personnalisation totale de la page d'accueil, pour chaque utilisateur ;
  • Refonte de l'ergonomie de l'outil et de la manipulation des critères d'affichage des connexions réseaux ;
  • Possibilités de recherches beaucoup plus avancées ;
  • Export des données affichées en CSV pour traitement personnalisé ;
  • Passage à la licence GPLv3.

Bien entendu, Nulog2, permet, comme la v1, d'exploiter des logs authentifiés par un pare-feu NuFW. Il est donc très simple de créer ses propres indicateurs à placer sur sa page d'accueil, par exemple "Histogramme des derniers paquets droppés des trois dernières heures de l'IP 10.56.140.47 ou de l'utilisateur Martin".