Le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique et ses outils libres, propose un dossier sur les systèmes qui permettent de renforcer la sécurité de la branche 2.6 des noyaux Linux.
Ce dossier francophone, en libre l'accès pour tous, porte sur l'activation de
ASLR (Address Space Layout Randomization), de
GrSecurity et de
PaX ainsi que sur celle de
SELinux ; vous y retrouverez les procédures d'installation, de configuration et d'administration de ces mécanismes ainsi que des exemples d'attaques.
Vous pourrez également vous servir de la base d'exploits ExploitTree, basée sur CVS, et de sa plateforme de recherche en Perl afin de tester l'ensemble de ces fonctions de renforcement des noyaux Linux de cette branche.
Il existe actuellement différents CDROM de type Live CD que l'on dit aussi « bootables » et qui sont basés sur les distributions GNU/Linux.
Les Live CD concernant le domaine de la sécurité des systèmes d'informations et de communication sont tout aussi nombreux parmi ceux-ci, ils sont pour la plupart disponibles en téléchargement sur internet et notamment BackTrack2 qui est l'un des plus populaires parmi eux.
Ces Live CD ont été développés pour donner la possibilité à leurs utilisateurs d'y ajouter leurs propres outils et scripts, ils présentent cependant tous un défaut majeur dès lors que l'on souhaite effectuer la mise à jour du système et des outils qui les composent.
Cette opération est soit impossible dans la plupart des cas soit tellement compliquée à réaliser qu'elle n'est pas envisageable pour les utilisateurs lambda ; ils sont alors contraints d'attendre les avancées des développeurs afin de profiter des dernières versions.
Le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, vous propose un document présentant une méthode originale qui permettra à tout un chacun de réaliser son propre Live CD, orienté sécurité ou pas.
Scapy est un utilitaire Open Source en Python développé par Philippe Biondi, cet outil vous permet de disséquer, de forger, de recevoir et d'émettre des
paquets (et des
trames) de données pour un grand nombre de protocoles que vous pourrez également décoder :
DNS,
DHCP,
ARP,
SNMP,
ICMP,
IP,
TCP,
UDP.
L'un des seuls points faibles connu à ce jour, concernant Scapy, est son manque de documentation officielle ou non, notamment francophone, permettant de le destiner à un plus large public que les experts du domaine ; partant de ce constat, le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, met à disposition de tous un document venant combler une partie de ce manque.
Vous y apprendrez notamment comment installer et configurer Scapy ainsi que les rêgles rudimentaires relatives à son utilisation (commandes basiques et avancées) et à la manipulation de paquets (et de trames) de données dont un exemple de génération de graphiques 2D/3D à partir des résultats d'un traceroute réalisé à l'aide de Scapy.
Secuobs.com propose un tutoriel sur un ensemble de logiciels libres (
Tor,
Privoxy,
Switchproxy) permettant d'assurer le respect de votre privée. Cet anonymat peut être assuré pour l'ensemble des applications reposant sur le protocole TCP (Transport Control Protocol) sous GNU/Linux.
Vous y trouverez également des informations sur la conférence tenue par Roger Dingledine (mainteneur du projet Tor) lors du Woodstock numérique
What The Hack qui a réuni plus de 3000 participants (hackers et geeks) en juillet dernier près de Eindhoven aux Pays-Bas.
Ce tutoriel fait parti d'un dossier sur ce rassemblement, vous y trouverez notamment un article sur la pétition commune de XS4ALL et l'EDRI contre la rétention des données de connexion.
L'acceptation du projet de directive se joue en ce moment même au parlement européen, votre soutien est plus que le bienvenu.
Privacy is not a crime...
Dans le cadre du Challenge Securitech 2004, Pierre Betouin, organisateur, donna une conférence le 7 juin 2004 lors des réunions du groupe SWNT de l'OSSIR. Lors de celle ci, il a été abordé les détails techniques, logistiques et juridiques de l'organisation d'un concours de ce type ainsi que la résolution des niveaux, le monitoring, les problèmes rencontrés et les contraintes de sécurité. À voir également les insolites : résolution des niveaux de cryptographie avec un tableur !
Le site secuobs.com vous propose le choix entre une retranscription du flux vidéo ou la version audio de cette intervention qui dure 40 minutes. La vidéo est disponible au format MPEG4 (le son est en AAC) regardable avec mp4player/gmp4player (mpeg4ip), mplayer ainsi que les dernières versions de Quicktime (6). L'audio est au format Ogg Vorbis, mp3 et aac. Le tout est disponible en ligne (embed html) ou au format tar+gz en téléchargement.
Le site Secuobs.com vous propose un tutorial de 6 pages sur l'implémentation et la sécurisation du serveur web apache pour Linux. L'utilité, l'installation et la configuration des composants suivants sont expliqués dans ce document : Apache avec DSO (Dynamic Shared Object), Openssl, Php4, Mysql, Mod_ssl, Mod_rewrite, Mod_perl, Mod_security avec Snort2modsec.pl et snortrules-snapshot-CURRENT.
Le tutorial se décompose en deux parties : une partie classique d'installation et de configuration manuelle à la manière des "how-to", et une partie automatisée qui vous permettra en récupérant l'unique script exoweb.pl d'installer et de configurer automatiquement l'ensemble de ces composants. A noter que chaque composant peut également être installé séparément et automatiquement via des mini-scripts shell en fonction de ceux que vous souhaitez installer ou de ceux que vous avez déjà installés.
Mise à jour importante du tutorial : intégration de la nouvelle version stable de mod_security 1.8 nouvellement sortie, activation du chroot par mod_security dans la configuration par défaut de la procédure automatisée, bugfixes de la procédure chroot manuelle et automatisée
Dans le cadre du Challenge Securitech 2004, concours de sécurité informatique organisé par des élèves de troisième année de l'Ecole Supérieure d'Informatique Electronique Automatique (ESIEA), une conférence de clôture a été organisée le 7 mai 2004.
Lors de cette conférence, Nicolas Brulez, responsable de la sécurité au sein de la société Sillicon Realms notamment éditeur du logiciel de système de protection Armadillo, est intervenu sur la résolution du troisième niveau de la catégorie Reverse Engeenering du concours, il est le créateur de ce niveau.
L'équipe du site Secuobs.com spécialisée dans la sécurité informatique a réalisé et mis en ligne un enregistrement audio de 30 minutes de cette intervention accompagné d'une interview de 3 pages en format html de Nicolas Brulez et du slide de présentation au même format utilisé lors de la conférence.
"La licence GPL est avant tout une sorte de contrat entre le développeur et les utilisateurs" Renaud Deraison, la personne à l'origine du projet Nessus, revient dans cette interview sur le choix de la licence GPL pour le logiciel d'audit de vulnérabilités.
Il exprime également ses opinions sur des sujets comme :
- l'organisation du projet Nessus
- les futures fonctionnalités de Nessus 2.2,
- les logiciels développés par la société Tenable Network Security dont il est l'un des fondateurs avec Ron Gula.
A lire : Sa position sur le paysage de la sécurité en France et notamment la loi sur la confiance dans l'économie numérique.
Challenge Securitech est un concours de sécurité informatique qui a eu lieu du 10 avril au 1er mai.
Le concours vient donc de se terminer ce week-end. Dans le cadre du challenge est organisée une conférence le vendredi 7 mai 2004 à 17h dans le 5ème arrondissement de Paris.
Seront notamment présents, Kostya Kortchinsky, responsable du CERT RENATER et Nicolas Brulez, The Armadillo Software Protection System :
Kostya Kortchinsky animera une présentation sur les shellcode ~crosoft.
Nicolas Brulez présentera quant à lui les techniques de reverse engineering.
Les solutions des 20 niveaux du Challenge seront également débattues.
Le site de sécurité informatique Secuobs.com propose un service gratuit de scan de vulnérabilités en ligne basé sur le logiciel opensource, Nessus, qui permet de tester simplement la vulnérabilité d'une machine ou d'une passerelle face notamment à la faille découverte par Paul Watson sur l'injection de paquet dans une connexion tcp pouvant mener à un déni de service ...
Sony vient d'annoncer la sortie de "Micro Vault Finger Print" qui n'est autre qu'une clef USB à laquelle le fabricant a rajouté un lecteur d'empreintes digitales. Ce petit gadget permet grâce à une pression du doigt de reconnaître jusqu'à dix profils différents. La clef autorise une capacité de stockage de 128 Mo.
On ne peut s'empêcher de rapprocher ce produit de la distribution Linux "Flonix", qui pèse 60 Mo et s'installe sur une clef USB (nécessite un BIOS récent pour booter sur un périphérique USB). Cela donnerait une distribution Linux sécurisée par un système biométrique et logeant sur une clef USB permettant de stocker 68 Mo de données en plus du système.
