Capsicum, une séparation fine des privilèges pour UNIX

Posté par . Modéré par tuiu pol. Licence CC by-sa
94
21
mar.
2011
Sécurité

Le projet Capsicum, lancé l'année dernière, tente d’adapter le modèle de sécurité par capacités (« capabilities ») aux systèmes UNIX. En deux mots, il s’agit de permettre aux applications de faire tourner certaines parties de leur code dans des « sandboxes » (bacs à sable) aux droits très restreints, gérés finement, avec la possibilité de recevoir ou de déléguer dynamiquement une partie de ces droits.

C’est une approche de la sécurité qui mise sur la flexibilité et l’intégration directe dans les applications (au contraire de politiques externes décidées par l’administrateur système, comme avec SELinux) pour respecter le Principle of Least Authority, qui recommande qu’un bout de programme donné fonctionne avec seulement les droits dont il a besoin pour accomplir sa tâche. Ainsi, les conséquences d’une faille sont réduites et les vecteurs d’attaque diminuent énormément. Par exemple, je ne veux pas que le logiciel qui lit mes fichiers PDF ait le droit de lire le contenu de mon répertoire personnel et d’envoyer des e-mails.

Capsicum introduit de nouveaux appels et objets système, qui demandent une (relativement petite) modification du noyau, ainsi qu’une bibliothèque logicielle en espace utilisateur pour utiliser ces nouveaux appels système. FreeBSD a déjà fait les modifications nécessaires, et les chercheurs ont pu facilement convertir plusieurs applications au modèle Capsicum : tcpdump, dhclient, gzip et, avec l’aide d’un développeur Google, le navigateur Web chromium.

Capsicum peut ainsi renforcer considérablement la sécurité des applications UNIX classiques, sans demander de les recoder entièrement. Reste à voir si les développeurs du monde du Libre seront convaincus par ces approches compartimentées, et prêts à les prendre en compte lors de la conception de leurs logiciels.

Sortie du scanner de vulnérabilités OpenVAS 4

Posté par . Modéré par Xavier Teyssier. Licence CC by-sa
34
21
mar.
2011
Sécurité

La version 4 du scanner de vulnérabilités libre OpenVAS vient de sortir! OpenVAS (pour "Open source Vulnerability Assessment Scanner") est une plateforme de gestion des vulnérabilités (vulnerability management). Les changements introduits dans cette version en font la plus importante de l'histoire du projet.

Présentation

À l'origine était Nessus, scanner de vulnérabilités. En 2005, l'auteur décida de quitter les chemins du libre et de continuer le développement sous forme d'un logiciel privateur. La communauté créa un fork à partir de la dernière version libre. Initialement appelé GNessUs, le projet fut renommé OpenVAS.

Il est maintenant la pierre angulaire de l'activité de plusieurs sociétés, sur trois continents. Ces sociétés développent activement le logiciel et ont construit tout un modèle économique autour de lui.

OpenVAS est constitué de plusieurs modules:

  • Le scanner, qui va lancer des tests de vulnérabilités (plus de 20000 actuellement, mis à jour quotidiennement) contre les cibles. Il peut s'agir de tests non-authentifiés, comme un scan de ports ou une injection SQL sur une application web, mais également de tests locaux. OpenVAS peut se connecter en SSH et SMB aux hôtes du réseau, et effectuer toute une batterie de tests (étude des logiciels installés, versions, système d'exploitation etc).

  • Le manager, qui est un serveur réseau servant d'interface entre le(s) client(s) et le(s) scanner(s).

  • L'administrateur est un logiciel permettant de gérer simplement les différents comptes utilisateurs.

  • Greenbone Security Assistant (GSA): une interface web permettant de se connecter au manager et planifier des scans, observer les résultats, l'évolution des menaces sur le réseau... GSA se lance comme un daemon et est donc ensuite accessible par un simple browser.

  • Greenbone Security Desktop (GSD): une application indépendante, en Qt, permettant également de se connecter au manager mais sans avoir à lancer GSA.

  • OpenVAS CLI est un client en ligne de commande.

Journal Compromission de RSA

Posté par . Licence CC by-sa
6
21
mar.
2011

Cher journal,

Ca sent quand même assez bien le sapin pour RSA, depuis l'annonce de l'attaque qu'ils ont subie récemment. Il semblerait que des infos concernant SecurID aient été compromises. Cédric Blancher en parle sur son blog, et Bruce Schneier n'est pas tendre non plus. Ils vous expliquerons tout ça bien mieux que moi.

Y a-t-il des utilisateurs de SecurID sur linuxfr ? Quelles sont les mesures prises par les clients face à ce "petit désagrément" ?

Journal Effacer proprement ses données

Posté par (page perso) . Licence CC by-sa
Tags :
19
20
mar.
2011

Cher journal,

Il semblerait que, dans le cardre de l'affaire Fortis¹, les avocats de la banque ait transmis des données sur une clef USB à la police. Cependant, afin de ne pas être trop transparent et d'éviter que des informations qui pourraient être compromettantes circule n'importe, les avocats du service juridique ont supprimer certains fichiers. La police a cependant fait une analyse un peu poussée du support et a découvert ces fichiers qui avaient été supprimé (et pas réécrit).

Tout (...)

Journal Sûreté nucléaire : mise en réseau des données sur la radioactivité

19
13
mar.
2011

Bonjour,

en écoutant France Info ce matin, j'ai entendu dire par un expert de sécurité nucléaire que le système de mesure de radioactivié atmosphérique existe en France uniquement dans le Languedoc Roussillon.

Il renchérissait en disant qu'il est difficile pour la sécurité nucléaire française d'avoir des données au sein même de l'union européenne, et a fortiori au sein des autres pays étrangers tels que les USA.

Cette dernière remarque m'a fait prendre conscience que cet état de fait est tout (...)

Wiki Paranoia

0
8
mar.
2011

Vous avez quelque chose à cacher ? Les chinois du FBI vous en veulent ? Vous connaissez l'assassin de JFK et de Charles Bronson ? Cette page est faite pour vous !

Gérer ses mots de passe

Le meilleur chiffrement du monde ne sert à rien si vous utilisez "maman" comme mot de passe pour tous vos comptes.

Problème de mémoire

On le sait tous, il faut utiliser de multiples mots de passe de 36 caractères. Seulement votre mémoire est limitée. Comment les gérer ?

Les passgrids

Un site de référence expliquant en anglais ce que sont les passgrids :
Un générateur de passgrid en html/javascript: Devnewton passgrid generator et aussi Password Grid Generator.

Chiffrer ses données

Parce que les DVD de vos œuvres littéraires ou de vos photos de poneys (OMG!!! ponies!!! 111!!!) risquent un jour de tomber dans de mauvaises mains.

Logiciels

  • EncFS
  • LUKS
  • Truecrypt et sa ré-implémentation libre obtenue par ingénierie inverse : tc-play originaire de DragonFlyBSD puis portée sur Linux

Journal Bercy dit être victime de piratage informatique

Posté par (page perso) . Licence CC by-sa
31
7
mar.
2011

Ce seraient les documents du G20 qui intéresseraient les pirates du Net
http://www.leparisien.fr/economie/g20-bercy-reconnait-que-ses-ordinateurs-ont-ete-espionnes-07-03-2011-1347144.php

Encore une administration qui a oublié d'installer le pare-feu OpenOffice. Je pense qu'on devrait leur couper la connexion Internet pour négligence caractérisée !

Quand a ceux qui incriminerait la sécurité intrinsèque de Windows, Outlook et Internet Explorer, je les arrêtes net. Je rappelle que Balmer a eu la légion d'honneur, lui il « comprend les valeurs humanistes de la France et de l’Europe » ! Rien a (...)

Wiki Web propre

13
2
mar.
2011

Liste des modules indispensables pour butiner sereinement

  • Adblock : bloque les publicités
  • FlashBlock : bloque le flash
  • NoScript : désactive le JavaScript
  • Self-destructing cookies : détruit les cookies d'un site qui n'est plus ouvert

  • IpFuck : ajoute un champ dans les entêtes http pour faire croire aux sites que la requête se fait derrière un proxy (Attention, cette extension pose problème sur certains sites, dont LinuxFr.org)

  • HttpsEverywhere : Redirige automatiquement les sites vers leurs version https si elle existe.

  • OpenOffice : excellent pare-feu

Configuration

Adblock Plus

Virer les "J'aime" et les cadres Facebook des autres sites

    ||facebook.com/widgets/*  
    ||facebook.com/plugins/*

Virer les avatars sur LinuxFr.org

    ||linuxfr.org/avatars/*

Alternatives aux modules

Utiliser un navigateur léger et rapide ne permettant pas de se faire salir son écran par des images. On peut par exemple citer ELinks ou W3M.
Ces types de navigateur charment par leur apparence rétro et beaucoup expliquent leurs avantages en terme de facilité de navigation, rapidité, productivité, etc.

Privoxy

Permet de gérer et modifier finement les requêtes, et ainsi de conjuguer l'intérêt de plusieurs extensions de Firefox à la fois (Adblock, HTTPS Everywhere, UserAgentSwitcher, et certainement d'autres), dans un serveur proxy plus léger et qui ne fait donc pas dépendre d'un navigateur en particulier. Il faut cependant configurer l'ensemble de ces fonctions "à la main" et cela peut demander du temps et quelques compétences pré-requises que l'installation de modules ne nécessite pas.

Quelques options de Firefox
  • dom.event.contextmenu.enabled = false pour pouvoir utiliser le clic droit sans que n'importe quel site ne puisse vous en empêcher
  • dom.event.clipboardevents.enabled = false pour pouvoir copier/coller du texte tranquillement, sans qu'un site ne se permette de l'intercepter ou le filtrer
  • geo.enabled = false pour éviter que Firefox ne vous embête pas toutes les 3 secondes avec la géolocalisation sur certains sites
  • browser.urlbar.formatting.enabled = false et browser.urlbar.trimURLs = false pour avoir une barre d'URL normale

Journal Notre logiciel libre du lundi : picotin, du PHP dans les mails

Posté par (page perso) .
6
28
fév.
2011

Vous connaissez certainement Childéric Monfair, l'auteur, notamment, de l'extension FrigouLaid pour Firefox.

Il a récemment mis à disposition de la communauté picotin en version 0.3b. Picotin permet d'embedder du code PHP dans les mails. Palliant ainsi les faiblesses des mails seulement en HTML et JS, picotin s'appuie sur le moteur Ohgrah de Fabienne Daubiez pour l'interfaçage avec la couche PHP présente sur les machines Unix. Pour la plateforme windows, picotin peut fonctionner pour peu qu'on le lui demande gentiment et (...)

Journal "casse-toi" identifié comme du SPAM par le postmaster de Free!

Posté par .
6
10
fév.
2011
J'ai pris une grosse claque hier en tentant d'envoyer un mail à propos de la LOPPSI 2
Dans mes commentaires sur le lien que j'envoyais, j'avais mis:

faudra pas juste dire "casse-toi!", même à plein

et le message d'alerte de débouler:

Une erreur est survenue lors de l'envoi du courrier. Le serveur a répondu : 5.0.0 Spam Detected
- Mail Rejected
5.0.0 Please see our policy at:
5.0.0 http://postmaster.free.fr/#spam_detected. Veuillez vérifier le message et essayer à nouveau.


N'y croyant pas, (...)

Le FBI a-t-il introduit des portes dérobées dans OpenBSD ?

Posté par . Modéré par j.
Tags :
3
22
déc.
2010
OpenBSD
Le système d'exploitation OpenBSD réputé pour sa robustesse (seulement deux vulnérabilités à distance dans l'installation par défaut, depuis très longtemps) aurait contenu des portes dérobées déposées volontairement par le FBI. Ces backdoors (portes dérobées) auraient été introduites dans le système d'exploitation il y a une dizaine d'années.

Rappelons qu'à l'époque ce système d'exploitation était celui des 13 serveurs DNS racine. En raison de l'expiration du délai de la clause de confidentialité signée avec le FBI, c'est Gregory Perry, un ancien contributeur du projet de cryptographie d'OpenBSD qui nous révèle ça.

Le but était de surveiller la circulation de données chiffrées, en insérant du code malicieux dans la pile réseau IPSEC d'OpenBSD. Theo de Raadt, le fondateur du projet OpenBSD, incite les utilisateurs de ce système à faire un audit du code concerné.

NdM : À ce jour, il est de rigueur d'être prudent : sur la liste de diffusion OpenBSD, Jason L. Wright explique que c'est un problème qui n'est plus d'actualité et relève de la légende urbaine. L'audit de code lancé par les développeurs a permis de trouver au moins deux bugs mais il serait hasardeux de les relier aux allégations de Gregory Perry. Pour plus de détails voir le nouveau mail de Theo de Raadt.

NdM 2 : A la suite des précisions apportées dans les commentaires de cette dépêche il s'avère que Gregory Perry n'a jamais été un contributeur du projet OpenBSD et que cet OS n'était pas installé sur les serveurs DNS racine.

PacketFence 2.0.0 - Un puissant contrôleur d'accès au réseau

Posté par (page perso) . Modéré par Xavier Teyssier.
23
16
déc.
2010
Sécurité
Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 2.0.0 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Firesheep

Posté par (page perso) . Modéré par baud123.
Tags :
17
29
oct.
2010
Pirate
Ce bon vieux et néanmoins ami protocole HTTP fonctionne selon le principe très simple de "question-réponse" (ou requête-réponse). Rapidement les cookies ont été ajoutés au protocole afin de pouvoir garder un état lors d'une série de transactions, par exemple, d'un magasin en ligne, ou d'un site d'actualités tel LinuxFr.org. Depuis l'arrivée du cookie, c'est devenu le moyen de maintenir une session pour les utilisateurs des sites.

Personne n'est dupe et l'on sait très bien que ce cookie est un simple morceau de texte passant en clair dans les entêtes du protocole HTTP. Nous savons aussi qu'il suffit d'obtenir ce texte afin de voler l'identité de la personne. Nous savons que le meilleur moyen pour s'en protéger est d'utiliser la version sécurisée du protocole HTTP soit HTTPS.

Malheureusement, les sites comme Facebook ou Twitter utilisent le HTTP si rien d'autre ne leur est demandé. Pire, le site Facebook n'est pas entièrement fonctionnel via HTTPS (le seul que j'ai personnellement testé), le chat ne fonctionne pas.

C'est là qu'interviennent Eric Butler et Ian "craSH" Gallagher. "Comment faire réagir ces sites" a dû être la question de départ. Après maintes réflexions (je suppose), ils ont décidé d'amener la possibilité de détourner une session HTTP à un clic de souris de tous les utilisateurs de Firefox.

Et ils ont créé Firesheep, à utiliser sur tous vos wifi non-protégés. Cet outil va permettre de sniffer le réseau à la recherche de cookies se baladant et vous afficher, dans une interface simple et intuitive, la liste des personnes ayant un compte sur divers sites sociaux et sur le même réseau que vous. Il ne vous reste plus qu'à cliquer pour obtenir l'identité de cette personne sur le site en question.

Enfin, c'est ce que dit la publicité. Je ne l'ai pas testé, la version Linux n'est pas encore dehors, il y a uniquement la version Windows et la bêta pour Mac OS X. Mais comme c'est du logiciel Libre, vous pouvez rapidement adapter le code pour tourner sur Linux.

NdM : concernant LinuxFr.org, la liste des cookies utilisés est dans l'aide, et nous invitons à préférer l'accès par HTTPS (un cookie permet de forcer tous les accès suivants en HTTPS si quelqu'un se loggue en HTTPS). Voir aussi la discussion précédente sur Cadriciel d'espionnage/gestion de témoin de connexion evercookie 0.3.

Compte rendu en temps réel de l'atelier Netfilter 2010

Posté par (page perso) . Modéré par Xavier Teyssier.
Tags :
16
19
oct.
2010
Noyau
Le septième Netfilter Workshop se tient cette année à Séville en Espagne. Il réunit les principaux développeurs de Netfilter, la couche pare-feu de Linux, plus connue par son outil iptables.

Cette rencontre permet aux développeurs du projet Netfilter de se rencontrer pour définir les orientations du projet, et également d'avancer sur les mises à jour de technologies à venir.

L'évènement se déroule du 18 au 21 octobre et un compte rendu est proposé par EdenWall. Le site est mis à jour en temps réel en suivant les différentes présentations des intervenants.

HSTS arrive dans Firefox 4

Posté par . Modéré par baud123.
Tags :
23
17
sept.
2010
Mozilla
Mozilla a annoncé le 27 août 2010 que Firefox 4 inclurait le HSTS (HTTP Strict Transport Security). Cette amélioration permet d'éviter des problèmes de sécurité liés au basculement de HTTP au HTTPS en permettant au site web d'exiger une connexion sécurisée.