Journal PrivateBin sécurise vos partages de texte en version 1.1

18
26
déc.
2016
Ce journal a été promu en dépêche : PrivateBin sécurise vos partages de texte en version 1.1.

PrivateBin est un service libre de pastebin, qui permet d'héberger et de partager des données textuelles. Sont supportés le texte brut, le code, et les documents Markdown. La version 1.1 vient de sortir, mais avant d'en reparler, voyons un peu ce qu'est PrivateBin et quelles en sont les fonctionnalités-clefs.

Un panier sécurisé pour vos partages de texte

Né des cendres de Zerobin, qui a déjà été présenté en dépêche il y a quelques années, PrivateBin met l'accent sur (...)

Journal Des p'tits trous, des p'tits trous, toujours des p'tits trous

Posté par (page perso) . Licence CC by-sa
6
21
déc.
2016

Après les routeurs troués, les smartphones, dont Archos : http://www.numerama.com/tech/218593-archos-zte-et-lenovo-sont-aussi-empetres-dans-laffaire-du-backdoor-chinois.html
Il est grand temps d'avoir du matériel Open Source avec des OS comme Replicant. Qu'en est-il des projets en cours ?

Journal Retour d'expérience sur Qubes OS: un peu plus de sécurité pour votre desktop

Posté par (page perso) . Licence CC by-sa
Tags :
41
17
déc.
2016

Bonjour nal,

Je t’écris aujourd’hui pour te narrer mon expérience sur Qubes OS. Alors, d’abord, qu’est-ce ? En 2 mots, c’est un système qui simplifie l’usage de plusieurs VM en desktop pour isoler ses tâches. Concrètement, cela veut dire que l’OS sur lequel vous allez démarrer n’est qu’un hyperviseur dom0 Xen qui démarre d’autres VM. Un point à noter, je n’ai testé que des VM Linux, il est possible d’après la doc d’utiliser d’autres systèmes comme NetBSD1. Voire de (...)

Forum général.général Tentative d'intrusion depuis... localhost

Posté par (page perso) . Licence CC by-sa
Tags :
5
31
oct.
2016

Ce n'est pas une question, c'est juste quelque chose que j'ai vu la semaine dernière en parcourant les logs de plusieurs de mes serveurs: fail2ban qui blackliste "localhost".

Après investigation, c'est une machine au Vietnam qui tente de forcer l'accès ssh par force brute et qui renvoie "localhost" lorsque fail2ban fait du reverse mapping. J'étais assez incrédule, mais en effet, un "host XXX.XXX.XXX.XXX" renvoie "localhost"… Je ne sais pas quelles sont les implications exactes au niveau sécurité (j’avais pensé à (...)

Forum Programmation.web Lancement de SSH via script CGI

Posté par (page perso) . Licence CC by-sa
1
24
oct.
2016

Bonjour à tous,

Je cherche une solution pour démarrer SSH à la demande et ainsi sécuriser cet accès.
J'ai vu les solutions de Knocking mais cela ne me convient pas(j'ai souvent des restrictions de ports chez mes clients).

Avez-vous déjà mis en place une solution de SSH à la demande via une page CGI?

J'ai commencé à écrire quelque chose mais je souhaite éviter de réinventer la "roue"…

Merci,
Antoine

Journal Qui traite des autorités SSL WoSign, Startcom et du peu de professionnalisme qui a causé leur perte

50
27
sept.
2016

Chers lectrices, lecteurs, auditrices et auditeurs pour les éventuel(le)s aveugles et autres malvoyant(e)s qui utilisent un lecteur d’écran,



Je souhaite aujourd’hui vous parler de ce que vient d’annoncer Mozilla (en anglais et avec JavaScript, cookies et tout le bataclan, disponible ici en PDF ou en PNG pour les réfractaires à l’overkill) au sujet de Starcom et WoSign.

Pour ceux qui ignoreraient l’identité de ces deux organismes, Startcom est une autorité de certification SSL (...)

Forum Linux.debian/ubuntu sécuriser user dédié pour tunnel ssh

Posté par . Licence CC by-sa
0
24
sept.
2016

Salut la communauté.

Je souhaiterais restreindre au maximum les privilèges d'un user côté serveur : en gros il ne doit que pouvoir recevoir des tunnels de données à acheminé vers 127.0.0.1:port comme dans ce tuto. Je souhaiterais qu'il ne puisse pas faire un "ls /" ni autre commande, ni effectuer de montage sftp/sshfs.

distro : xubuntu

Merci d'avance pour votre aide :)

Forum général.général Sécurité, https, et Doku Wiki

Posté par (page perso) . Licence CC by-sa
0
22
sept.
2016

Bonjour,

2 questions pour le prix d'une ;-)

Ecouter aux portes le trafic internet

Je sais qu'en théorie, si on a des données sensibles dans des pages web, un pirate pourrait intercepter le trafic réseau et lire le contenu des pages webs.

Mais en pratique, pour lire le trafic réseau, à part en cas d'utilisation par appareils mobile (et donc en wifi) avec lecture du trafic wifi, y a t'il possibilité pour un pirate d'écouter le trafic internet ?

https et DokuWiki

(...)

Journal Un ransomware tout à fait déloyal ... et inquiétant

Posté par . Licence CC by-sa
9
2
sept.
2016

Il semblerait que des serveurs linux aient été attaqués par un ransomware particulièrement violent. Il s'attaque aux fichiers systèmes non pas en les chiffrant, mais en les détruisant. Ce qui ne l'empêche pas de demander une rançon en assurant qu'il va restituer les fichiers.

La chose s'appelle Fairware… ce qui est particulièrement cocasse pour un truc aussi peu "fair" que possible.

Celui qui rapporte sa mésaventure précise :

ma machine Linux a été piratée (…) avec un accès root et (...)

Kernel Recipes 2016 : découvrez la 5e édition de la conférence sur le noyau Linux

18
1
sept.
2016
Noyau

hupstream est fier de vous présenter la 5e édition de Kernel Recipes. Cette édition aura lieu dans les locaux de Mozilla à Paris, du 28 au 30 septembre 2016. Les 4 premières années ont été l'occasion de belles rencontres avec des gens passionnés et passionnants. Nous fêtons cette édition en conservant l'idée que l'événement doit être abordable pour tous, à taille humaine pour favoriser les échanges, convivial.

logo KR

Wiki LUKS

1
31
août
2016

Astuce : Faire son coffre fort numérique : un disque virtuel chiffré & camouflé

tout d'abord installer cryptsetup :

sudo apt-get install cryptsetup

ensuite on veut créer un fichier qui nous servira de disque dur, pour cela on utilise l'utilitaire dd qui nous permet de créer un fichier block par block avec le périphérique /dev/zero qui produit des bits a "0" en indiquant a la commande que l'on veut des blocs de 4 megaoctet (bs=4M).

Créer son disque virtuel

Il convient de bien choisir sa taille : suffisamment grande pour stocker nos données mais pas trop pour rester discret et être transportable pour l'exemple on créera un disque de 2.1Go pour cela on fera 512 création de block de 4Mo.

dd if=/dev/zero of=disque-secret.img bs=4M count=512

on obtient ainsi un fichier de 2.1Go (illisible pour l'instant car il ne contient que des octets de valeur 0)
Pour pouvoir travailler sur ce fichier (qui au final a les mêmes caractéristiques qu'un disque dur), il va falloir en faire un périphérique (ici loop0), pour cela la commande losetup va être bien utile:

sudo losetup /dev/loop0 disque-secret.img

'Formater' et chiffrer le tout

il va falloir "formater" ce fichier, et comme on veut aussi le chiffrer on va utiliser cryptsetup, qui permet de gérer des fichiers chiffré via dm-crypt et de les utiliser comme des périphériques de stockage complété par la commande luksFormat (luks permet de piloter plus simplement la création d'archives chiffré qu'en 'plain dm-crypt'), puis mk2fs.ext4 pour créer le système de fichier (en ext4):

sudo cryptsetup --verbose --verify-passphrase luksFormat /dev/loop0

il faudra ensuite rentrer une passphrase robuste… qui servira a chiffrer/déchiffer le volume afin qu'il ne soit pas décryptable par des yeux indiscrets…

sudo mkfs.ext4 -j /dev/mapper/disque-secret.img

Utilisation :

il ne reste plus qu'a déchiffrer

sudo cryptsetup luksOpen disque-secret.img

puis monter le disque pour l'utiliser, pour cela on crée un répertoire pour monter le disque (on peut aussi utiliser temporairement un répertoire existant (et la on ne laisse pas de trace)

mkdir tmp && sudo mount /dev/mapper/disque-secret.img tmp

et pour refermer le tout :

sudo umount tmp && sudo cryptsetup luksClose disque-secret.img

et supprimer le périphérique /dev/loop0

sudo losetup -d /dev/loop0

Pour vivre heureux vivez caché

pour bien cacher ce fichier (disque-secret.img) il suffit de changer son nom et son extension et le mettre dans un repertoir inattendu : par exemple bieber-song.mp3 ou video.ogg ou catalogue.pdf ou programe-systeme.bin : votre imagination fera le reste (soyez logique par rapport a la taille du fichier et choisissez un fichier que l'on a en général pas envie d'ouvrir…)
Il faut aussi être conscient que luks insère des header qui peuvent être repérable par un scan, même si le fichier chiffré semble bien caché donc si la confidentialité des données est essentielle, voir vitale, il convient alors d'utiliser du plain-dm (ou autre) pour le chiffrement du disque.

bien sur pour réouvrir l'ensemble :

1 / on crée /dev/loop0 avec losetup (sudo losetup /dev/loop0 bieber-song.mp3)
2 / on le déchiffre avec cryptsetup (sudo cryptsetup luksOpen /dev/loop0 bieber-song.mp3)
3/ on le monte sudo mount /dev/mapper/bieber-song.mp3 )
4/ quand on a fini on démonte le fichier et on re-chiffre (dans nautilus cela se fait en même temps)

vous voila avec un fichier anodin, transportable, chiffré dans lequel vous pouvez ranger en toute tranquillité vos mots de passes et autres fichiers sensible.

Journal un vrai coffre fort numérique

Posté par . Licence CC by-sa
46
31
août
2016

En tant que fidèle lecteur de DLFP, euh, je voulais dire Linuxfr, je me disais qu'il serai enfin temps de contribuer un petit peu.

L'actualité mouvementée de ces derniers mois (et non je ne parle pas d'une tenue de plage controversée) m'a donné un sujet fort intéressant : le chiffrement !

Et non, ce ne sera pas un billet sur le risque ou l'avantage de chiffrer ses données, mais une petite astuce bien pratique pour qui veut garder certaines informations secrètes (...)

SELKS 3.0 une distro pour l’analyse réseau et sécurité

55
15
août
2016
Sécurité

SELKS est une distribution autonome (live) et installable qui fournit une solution de détection d’intrusion réseau et de supervision de la sécurité orientée réseau basée sur le moteur Suricata. SELKS utilise les outils Elastic pour le stockage et l’analyse des données. La version 3.0 intègre Elasticsearch 2.x et Kibana 4.x, offrant ainsi une analyse des données plus flexible et performante que dans les versions précédentes.

L'interface de gestion

Concrètement, SELKS vous permet d’analyser le trafic d’un réseau en temps réel pour extraire des informations protocolaires et détecter des anomalies. Suricata réalise cette analyse et les outils Elastic se chargent, eux, de stocker et de représenter les données générées.

Mozilla annonce la troisième édition du Winter of Security (MWoS)

Posté par (page perso) . Édité par palm123, Nils Ratusznik, Benoît Sibaud et ZeroHeure. Modéré par ZeroHeure. Licence CC by-sa
23
2
août
2016
Mozilla

Tous les ans, les équipes Sécurité de Mozilla ouvrent une douzaine de projets aux étudiants du monde entier. Le programme Winter of Security (MWoS) permet aux étudiants qui doivent effectuer un projet universitaire autour de la sécurité de réaliser ce dernier sur un sujet proposé et encadré par Mozilla.

Logo MWoS

L’édition 2016 propose 12 projets qui couvrent la cryptographie dans NSS, la sécurité web avec ZAP et la sécurité des infrastructures avec MIG et ssh_scan. La liste détaillée des projets est disponible sur le wiki de Mozilla.

Pour participer à MWoS, les étudiants doivent former des équipes de 1 à 4 personnes et trouver un professeur pour encadrer l’équipe. Chaque équipe doit présenter un dossier de candidature par projet. Les candidatures sont ouvertes jusqu'au 15 septembre, et les équipes sélectionnées seront annoncées deux semaines après la clôture des candidatures.

Journal Nuit du Hack 2016 & ANSSI

Posté par . Licence CC by-sa
15
1
juil.
2016

L'Agence Nationale de la Sécurité des Systèmes d'Informations sera de nouveau présente à l'édition 2016 de la Nuit du Hack. NDH2016 se déroule demain, à Paris, non à Marnes La Vallée, non à Chessy … Bref c'est ce week end et c'est en région parisienne !

L'ANSSI tiendra donc un stand cette année également. Et présentera à cette occasion une nouvelle distribution Linux, nommée "CLIP", qui a pour objectif :

fournir des mécanismes de cloisonnement qui rendent possible le (...)