Si c'est possible ils vont voir pour s'organiser avec le staff de securitech pour enregister en vidéo & audio avec une leur cam numérique + diffuser après sur leur site ou répartir.
Ils m'ont dit qu'il me tiendrait au courant quand ils auront plus d'infos sur la faisabilité.
J'ais posté la news sur la fin du concours et la clôture lu sur l'article de secuobs dimanche mais bon le temps de modérer pour que ça arrive içi c'est vrai que ça fait un peu short pour s'organiser maintenant pour ceux qui sont pas sur Paris ou peuvent pas se libérer.
Mais bon pour ceux qui peuvent je pense que ça peut être sympa d'y aller.
j'avais deja posté une news sur un article de ce site ou été notamment mentionné leur scanner de vulnérabilité gratuit en ligne pour tester la faille "tcp rst", ce scanner a été associé au concours de Challenge Securitech (cf. le sommaire concours) ---> http://linuxfr.org/2004/04/27/16092.html(...) <--- si t'av été voir et surfer un peu sur le site t'aurai surement eu l'info pour la conf ;)
Mais bon à mon avis ils vont la couvrir aussi la conf donc y aura des résumés et autres dessus je posterai içi pour vous dire si je vois passer ces articles la bas.
Mais toi t'es capable d'installer snort, c'est pas le cas de tout le monde ; et encore l'installer c'est pas vraiment suffisant, faut le configurer correctement et comprendre ce qui en ressort afin d'être capable de mettre en place les solutions concordantes.
Le fait de pousser la sécurité vers le haut pour les non-initiés ne doit pas être freiner par l'inutilité que cela représente pour ceux qui sont déjà habitués aux rouages de ce domaine.
c'est pas un scanner de ports, c'est un scanner de vulnérabilité même si nessus utilise également nmap, le rapport ne t'affiche les ports ouverts que si il arrive à les corréler avec des infos plus ou moins pertinentes vis à vis d'une faille potentielle, .
Les rapports vides sous nessus c'est soit :
- pas de failles (notamment qd les options d'Os fingerprinting ne sont pas activées comme cela semble être le cas),
- soit que la machine ou la connexion a été coupée pendant le scan,
- soit effectivement des rêgles de filtrage sur icmp, le host ne répond pas, il n'est donc pas considéré comme alive par nessus sauf en activant l'option -P0 dans nmap qui permet d'effectuer le scan sans checker la réponse au ping.
Tu vas quand meme pas te plaindre de pas avoir de failles :)
Mais tu devrai tout de même avoir honte d'avoir des alertes, moi j'ai rien ! :)
Plus sérieusement un warning ça peut vite se transformer en faille potentielle si t'as quelqu'un en face de toi qui connait un peu ce qu'il fait, tout dépend de l'alerte, c'est quoi tes alertes ? :°)
En même temps c'est basé sur un scanner de vulnérabilité, pas sur un environnement intégré de tests d'intrusions ... alertes infos & failles au rendez vous c'est le but, ça permet de se faire rapidement une idée de l'état d'une machine quand on a pas de nessus sous la main.
Si tu regardes sur les pages des stats, tu verras que ça peut aussi trouver autres choses que des alertes :
le truc c'est que meme si on ne peut pas sécuriser un systeme contre toutes les tentatives d'intrusion, on peut tout au moins ne pas en faciliter l'acces et la mise en place de systeme de biométrie va dans ce sens à condition que le systeme ne soit pas compromis lui même ...
L'acces à un batiment physique par biométrie associé à une carte magnétique ca reste de la sécurité ;) de nombreux datacenter utilisent ces techniques pour l'acces aux salles blanches et autres.
voir le post sur les spécifications accessibles sur le site de sony,
Sur les Os non crosoft (linux, mac), le stockage est possible mais les fonctions avancées de biométrie ne sont pas disponibles sur cette version de la clé d'ou la justification de la compatibilité uniquement "crosoft" dans le papier de Xavier Poli sur Secuobs.
Faut se renseigner un minimum qd meme avant de critiquer le travail des autres ;)
Microsoft Windows XP Professional/Home Edition, Windows 2000 Professional, Windows ME
Windows 98/98SE: Installation requires included driver software
Mac OS 9.0 and higher: To be used as storage device only. Fingerprint and password protection not available.
Micro Vault media contains a system management area that requires 4MB of storage.
One year warranty
Comme pour MacOS la clé doit pouvoir etre utilisable mais sans les fonctions de biométrie donc la clé avec toutes ses fonctions semblent n'etre compatible qu'avec les systemes de crosoft
selon sony la clé ou tout du moins le systeme de biométrie n'est compatible ni pour les users de systeme linux, ni pour les users de mac, pourquoi sony se retirerait des arguments commerciaux de compatibilité si celle ci etait effective ? c'est pas logique sauf si ils ont passé un contrat d'exclusivité avec microsoft ...
c'est une actu, pas un test de hardware, il y a une différence ...
sony a communiqué sur le fait que ces clés usb ne sont compatibles qu'avec les systemes d'exploitation Windows dans ses versions XP Pro et familiale, 2000 Pro, ME, et également 98 ou 98SE,
rien ne dit que la clé usb testé par william soit la même que celle que sony vend à 130 euros et donc que celles çi soient compatibles pour le moment avec les systemes linux ...
...
J'ai joué avec une clef à base de capteur sony il n'y a pas très longtemps. Le matching était fait en hard sur la clef. Niveau OS, elle n'était vue et reconnue qu'à partir du moment où elle reconnaissait ton empreintes, et ce comme n'importe quelle autre clef USB. Elle marchait et marche toujours très bien sous Linux après un formatage en ext2 ou ext3.
...
Et si ca n'etait pas le cas pour ces clés la, l'interet c'est justement de dire que ca serait bien que ca le devienne d'une maniere ou d'autre ! et pis ca fait un peu de pub pour la flonix qui a la particularité de tourner sur un clé usb meme si ca date un peu tout le monde ne la connait pas.
A la fin de l'article tu verras également un appel à contribution pour aider tuxfamily (flonix etait hebergé par tuxfamily), ca peut pas faire de mal, non ? ;)
De toutes facons la plupart sinon tous les systèmes actuels sont faillibles face à une personne qui a les compétences, les ressources et la motivation pour le contourner.
Maintenant gageons que ces fonctions biométriques empecheront n'importe quel quidam de pouvoir lire les données chiffrées d'une clé usb protégée par biométrie qu'elle ait été volée ou perdue.
encore une fois je ne pense pas que ce produit soit effectivement adapté à un environnement pro à haute valeur technologique, il se destine plutot au marché des particuliers et des semi-pro, il faut le voir comme un gadget mais ce gadget peut ouvrir des possibilités pour des offres professionnelles plus adaptés par la suite avec plus de fonctionnalités, plus de sécurité et surement à un prix bien plus elevé, pour 130 euro il ne faut pas s'attendre à un miracle non plus.
en parlant de sécurité sur le meme site (secuobs) y a un scanner de vulnérabilité en ligne, c'est gratos et c'est basé sur nessus alors pour ceux qui veulent essayer, moi j'ais recu mon scan 10 minutes apres l'avoir lancé, je suis en adsl netissimo 1 avec nerim comme fai ...
disons que pour 130 euros, il ne faut pas s'attendre non plus au must de la biométrie, apparement le produit de sony a été fait pour pouvoir proteger les données si la clé est volée par quelqu'un.
à partir du moment ou on imagine pouvoir avoir affaire à des personnes qui vont faire de fausses empreintes, qui vont vous couper le doigt ou vous menacer pour que vous apposiez votre doigt sur la clé, je pense qu'effectivement des systemes plus évolués seront nécéssaires,
c'est une premiere version de ces clés destinés je pense à un large panel d'utilisateur, de la à dire que c'est un gadget il n'y a qu'un pas ... cependant ça ouvre des perspectives pour des utilisations plus professionnelles, à voir comment va évoluer et etre décliné ce type de produit.
[^] # Re: Un enregistrement ?
Posté par oumpa . En réponse à la dépêche Conférence Challenge Securitech 2004. Évalué à 5.
Si c'est possible ils vont voir pour s'organiser avec le staff de securitech pour enregister en vidéo & audio avec une leur cam numérique + diffuser après sur leur site ou répartir.
Ils m'ont dit qu'il me tiendrait au courant quand ils auront plus d'infos sur la faisabilité.
[^] # Re: Un enregistrement ?
Posté par oumpa . En réponse à la dépêche Conférence Challenge Securitech 2004. Évalué à 3.
# Qui à l'intention de venir ?
Posté par oumpa . En réponse à la dépêche Conférence Challenge Securitech 2004. Évalué à -1.
# suite pb section sécurité
Posté par oumpa . En réponse à la dépêche Conférence Challenge Securitech 2004. Évalué à 5.
# problèmes sur la section sécurité de linuxfr.org
Posté par oumpa . En réponse à la dépêche Conférence Challenge Securitech 2004. Évalué à 2.
The requested URL /sections/S%C3%A9curit%C3%A9.html was not found on this server.
je sais pas trop à qui envoyer ça alors si y a un modéro ou un webmaster qui passe par là ...
[^] # Re: conférence securitech
Posté par oumpa . En réponse à la dépêche Conférence Challenge Securitech 2004. Évalué à 2.
[^] # Re: conférence securitech
Posté par oumpa . En réponse à la dépêche Conférence Challenge Securitech 2004. Évalué à 9.
J'ais posté la news sur la fin du concours et la clôture lu sur l'article de secuobs dimanche mais bon le temps de modérer pour que ça arrive içi c'est vrai que ça fait un peu short pour s'organiser maintenant pour ceux qui sont pas sur Paris ou peuvent pas se libérer.
Mais bon pour ceux qui peuvent je pense que ça peut être sympa d'y aller.
secuobs a d'ailleurs largement couvert le concours et annoncé plusieurs fois la date de la conf --> http://www.secuobs.com/sommaires/concours.html(...)
j'avais deja posté une news sur un article de ce site ou été notamment mentionné leur scanner de vulnérabilité gratuit en ligne pour tester la faille "tcp rst", ce scanner a été associé au concours de Challenge Securitech (cf. le sommaire concours) ---> http://linuxfr.org/2004/04/27/16092.html(...) <--- si t'av été voir et surfer un peu sur le site t'aurai surement eu l'info pour la conf ;)
Mais bon à mon avis ils vont la couvrir aussi la conf donc y aura des résumés et autres dessus je posterai içi pour vous dire si je vois passer ces articles la bas.
# fake ... cf full disclosure
Posté par oumpa . En réponse au journal Une faille dans OpenSSH ?. Évalué à 10.
Hash: SHA1
This post did not come from iDEFENSE Labs.
All iDEFENSE Labs public advisories are posted to http://www.idefense.com/application/poi/display?type=vulnerabilitie(...)
at the same time that they are submitted to mailing lists.
Michael Sutton
Director, iDEFENSE Labs
www.idefense.com
-----BEGIN PGP SIGNATURE-----
Version: PGP 8.0.3
iQA/AwUBQJaKmV8ufGaIwaKhEQKjZACfZKmMzoVFqIDejQTNtWUpLpVu2foAnR+T
EmiDUIkYDhkSrfnqjSyDH0Qt
=G0db
-----END PGP SIGNATURE-----
[^] # Re: Testez votre vulnérabilité à la faille "TCP spoofed Connexion"
Posté par oumpa . En réponse à la dépêche Testez votre vulnérabilité à la faille "TCP spoofed Connexion". Évalué à 1.
Le fait de pousser la sécurité vers le haut pour les non-initiés ne doit pas être freiner par l'inutilité que cela représente pour ceux qui sont déjà habitués aux rouages de ce domaine.
[^] # Re: Testez votre vulnérabilité à la faille "TCP spoofed Connexion"
Posté par oumpa . En réponse à la dépêche Testez votre vulnérabilité à la faille "TCP spoofed Connexion". Évalué à 1.
Les rapports vides sous nessus c'est soit :
- pas de failles (notamment qd les options d'Os fingerprinting ne sont pas activées comme cela semble être le cas),
- soit que la machine ou la connexion a été coupée pendant le scan,
- soit effectivement des rêgles de filtrage sur icmp, le host ne répond pas, il n'est donc pas considéré comme alive par nessus sauf en activant l'option -P0 dans nmap qui permet d'effectuer le scan sans checker la réponse au ping.
[^] # Re: Testez votre vulnérabilité à la faille "TCP spoofed Connexion"
Posté par oumpa . En réponse à la dépêche Testez votre vulnérabilité à la faille "TCP spoofed Connexion". Évalué à 1.
[^] # Re: Testez votre vulnérabilité à la faille "TCP spoofed Connexion"
Posté par oumpa . En réponse à la dépêche Testez votre vulnérabilité à la faille "TCP spoofed Connexion". Évalué à 1.
[^] # Re: Testez votre vulnérabilité à la faille "TCP spoofed Connexion"
Posté par oumpa . En réponse à la dépêche Testez votre vulnérabilité à la faille "TCP spoofed Connexion". Évalué à 2.
Mais tu devrai tout de même avoir honte d'avoir des alertes, moi j'ai rien ! :)
Plus sérieusement un warning ça peut vite se transformer en faille potentielle si t'as quelqu'un en face de toi qui connait un peu ce qu'il fait, tout dépend de l'alerte, c'est quoi tes alertes ? :°)
En même temps c'est basé sur un scanner de vulnérabilité, pas sur un environnement intégré de tests d'intrusions ... alertes infos & failles au rendez vous c'est le but, ça permet de se faire rapidement une idée de l'état d'une machine quand on a pas de nessus sous la main.
Si tu regardes sur les pages des stats, tu verras que ça peut aussi trouver autres choses que des alertes :
- http://www.secuobs.com/statist.html(...)
- http://www.secuobs.com/exotoptests.shtml(...)
Mais bon de toutes façons rien n'oblige à l'utiliser alors pour un service gratuit on va pas faire la fine bouche ;)
[^] # Re: Biométrie et sécurité.....
Posté par oumpa . En réponse à la dépêche Linux avec accès biométrique sur une clef USB ?. Évalué à 1.
[^] # Re: Biométrie et sécurité.....
Posté par oumpa . En réponse à la dépêche Linux avec accès biométrique sur une clef USB ?. Évalué à 1.
[^] # Re: Linux avec accès biométrique sur une clef USB ?
Posté par oumpa . En réponse à la dépêche Linux avec accès biométrique sur une clef USB ?. Évalué à 1.
Sur les Os non crosoft (linux, mac), le stockage est possible mais les fonctions avancées de biométrie ne sont pas disponibles sur cette version de la clé d'ou la justification de la compatibilité uniquement "crosoft" dans le papier de Xavier Poli sur Secuobs.
Faut se renseigner un minimum qd meme avant de critiquer le travail des autres ;)
[^] # Re: Linux avec accès biométrique sur une clef USB ?
Posté par oumpa . En réponse à la dépêche Linux avec accès biométrique sur une clef USB ?. Évalué à 2.
Specifications top of page
Microsoft Windows XP Professional/Home Edition, Windows 2000 Professional, Windows ME
Windows 98/98SE: Installation requires included driver software
Mac OS 9.0 and higher: To be used as storage device only. Fingerprint and password protection not available.
Micro Vault media contains a system management area that requires 4MB of storage.
One year warranty
Comme pour MacOS la clé doit pouvoir etre utilisable mais sans les fonctions de biométrie donc la clé avec toutes ses fonctions semblent n'etre compatible qu'avec les systemes de crosoft
[^] # Re: Linux avec accès biométrique sur une clef USB ?
Posté par oumpa . En réponse à la dépêche Linux avec accès biométrique sur une clef USB ?. Évalué à 1.
[^] # Re: Linux avec accès biométrique sur une clef USB ?
Posté par oumpa . En réponse à la dépêche Linux avec accès biométrique sur une clef USB ?. Évalué à 3.
sony a communiqué sur le fait que ces clés usb ne sont compatibles qu'avec les systemes d'exploitation Windows dans ses versions XP Pro et familiale, 2000 Pro, ME, et également 98 ou 98SE,
rien ne dit que la clé usb testé par william soit la même que celle que sony vend à 130 euros et donc que celles çi soient compatibles pour le moment avec les systemes linux ...
[^] # Re: Linux avec accès biométrique sur une clef USB ?
Posté par oumpa . En réponse à la dépêche Linux avec accès biométrique sur une clef USB ?. Évalué à 1.
...
J'ai joué avec une clef à base de capteur sony il n'y a pas très longtemps. Le matching était fait en hard sur la clef. Niveau OS, elle n'était vue et reconnue qu'à partir du moment où elle reconnaissait ton empreintes, et ce comme n'importe quelle autre clef USB. Elle marchait et marche toujours très bien sous Linux après un formatage en ext2 ou ext3.
...
Et si ca n'etait pas le cas pour ces clés la, l'interet c'est justement de dire que ca serait bien que ca le devienne d'une maniere ou d'autre ! et pis ca fait un peu de pub pour la flonix qui a la particularité de tourner sur un clé usb meme si ca date un peu tout le monde ne la connait pas.
A la fin de l'article tu verras également un appel à contribution pour aider tuxfamily (flonix etait hebergé par tuxfamily), ca peut pas faire de mal, non ? ;)
[^] # Re: Linux avec accès biométrique sur une clef USB ?
Posté par oumpa . En réponse à la dépêche Linux avec accès biométrique sur une clef USB ?. Évalué à 1.
Maintenant gageons que ces fonctions biométriques empecheront n'importe quel quidam de pouvoir lire les données chiffrées d'une clé usb protégée par biométrie qu'elle ait été volée ou perdue.
[^] # Re: Linux avec accès biométrique sur une clef USB ?
Posté par oumpa . En réponse à la dépêche Linux avec accès biométrique sur une clef USB ?. Évalué à 3.
[^] # Re: Linux avec accès biométrique sur une clef USB ?
Posté par oumpa . En réponse à la dépêche Linux avec accès biométrique sur une clef USB ?. Évalué à 1.
[^] # Re: Linux avec accès biométrique sur une clef USB ?
Posté par oumpa . En réponse à la dépêche Linux avec accès biométrique sur une clef USB ?. Évalué à 1.
[^] # Re: Linux avec accès biométrique sur une clef USB ?
Posté par oumpa . En réponse à la dépêche Linux avec accès biométrique sur une clef USB ?. Évalué à 1.
à partir du moment ou on imagine pouvoir avoir affaire à des personnes qui vont faire de fausses empreintes, qui vont vous couper le doigt ou vous menacer pour que vous apposiez votre doigt sur la clé, je pense qu'effectivement des systemes plus évolués seront nécéssaires,
c'est une premiere version de ces clés destinés je pense à un large panel d'utilisateur, de la à dire que c'est un gadget il n'y a qu'un pas ... cependant ça ouvre des perspectives pour des utilisations plus professionnelles, à voir comment va évoluer et etre décliné ce type de produit.