Au menu, d'excellents articles sur le 'arithmetic overflow', que vous *devez*
connaître si vous voulez vous prétendre un programmeur un tant soit peu sérieux.
Je vous mets en lien quelques bugs courants qu'on a tous fait un jour et que vous ne devez plus jamais faire après lecture de ces excellents articles.
Vendredi 3 janvier est sorti le numéro 5 de MISC, magazine sur la sécurité informatique, avec comme thème principal les virus.
Sommaire complet dans la suite de l'article
Note du modérateur : voir aussi la page avec les anciens articles en ligne
Après Smoothwall voici son "fork libre" qui sort sa nouvelle version.
Pour rappel, IPCop est une distribution linux spécialisée qui transforme un simple PC en firewall totalement configurable.
Tous à vos graveurs, les images iso sont disponibles.
L'adoption de l'EUCD était prévue le dimanche 22 au soir. Seuls la Grèce et le Danemark ont signé, pour intégrer l'EUCD dans leur législation locale. Pour les autres pays, tout est encore possible, mais pour combien de temps ?
Même si un moteur de recherche produit à peu près le même effet, vous pouvez avec kartoo obtenir une représentation visuelle de votre recherche. On voit ainsi se former des "nébuleuses". Essayez de taper votre nom/pseudo ou votre adresse e-mail pour voir...
Surement plus grave encore, en tapant le nom de plusieurs personnes, vous pouvez voir visuellement les liens eventuels qui les lient.
Réel progrès dans la recherche sur l'Internet ou danger pour votre vie privée ?
S'il vous est comme moi, un jour, arrivé d'avoir besoin de laisser des utilisateurs déposer des fichiers sur une machine sans avoir autre chose que Ssh (scp et sftp). Vous vous êtes surement aussi demandé, si ces utilisateurs étaient sérieux et s'ils n'allaient pas se logguer directement (via ssh).
Pour faire bref, si vous souhaitez que vos utilisateurs ne puissent faire que du scp et du sftp, sans pouvoir se logguer (genre telnet pour ceux qui ne suivent pas). Je ne saurais trop que vous conseiller scponly.
Rebelote...
Selon le CERT et d'après un rapport de Rapid7, de nombreuses version de logiciels SSH possède une faille permettant de lancer des commandes de l'extérieur avec les privilèges de l'utilisateur du processus SSH ou de permettre des attaques par saturation (DOS).
Big brother is watching you !
Le Pentagone a reconnu mettre en place une gigantesque base de données. Celle-ci va recueillir toute transaction jugée « inhabituelle » dans le but de détecter des comportements de terroristes : achat de billet aller simple,...
Elle enregistrera les transactions financières, les achats...
Alexander Viro, l'un des principaux programmeurs de la couche d'abstraction des systèmes de fichiers dans Linux, a décidé de jeter un coup d'oeil au noyau d'OpenBSD.
Il y a découvert un code de mauvaise qualité, simple à faire planter, et s'étonne que personne d'autre ne se soit préalablement penché dessus. Il s'agit principalement de "races" : on part d'une affirmation (résultat d'un test, assignation...) et on considère plus tard qu'elle est toujours vraie alors qu'en réalité, des facteurs externes ont pu la fausser dans l'intervalle.
Morceaux choisis :
"It's not just sloppy. It's obviously broken - obviously for anyone with half of clue."
"Finding and fixing these bugs is a simple matter of grep. So far it hadn't been done. I've proposed to help with that, but apparently it got no interest"
"This code had never been read through, let alone audited. And that's the core kernel. Moreover, the same bugs had been fixed in FreeBSD half a year ago."
"...Linux tree, where an audit of relevant areas had been done nearly two years ago"
Il soulève indirectement le problème du manque de coopération entre les différents systèmes d'exploitation libres.
L'éditeur d'E-smith vient tout juste de sortir une nouvelle version de sa distribution sécurisée sous la référence E-Smith SME server 5.6. Au programme des améliorations : un noyau 2.4, le système de fichiers Ext3, une nouvelle version de FreeS/WAN ... Faisant preuve de changements conséquents, cette nouvelle version peut être la bonne occasion pour la tester ou la mettre à jour.
Je rappelle que quelques problèmes de sécurité étant apparus récemment sur les kernels (2.2, 2.4 et 2.5 sont sensibles à un DoS), sur KDE (2.x et 3.x) et Samba (2.2.2 à 2.2.6), certains patches (rustines?) et mises à jours sont disponibles.
Curious Yellow est un super-vers (théorique), capable d'infecter rapidement des hôtes vulnérables à une ou plusieurs failles données, dans la lignée des Flash-worm et autres Warhol-worm.
Cet article décrit plus précisément les mécanismes de duplication d'un tel ver, ainsi que les moyens de le contrôler, de le mettre à jour ou même de le combattre (Curious Blue).
Note: que ça soit avec Curious Yellow ou Curious Blue, l'utilisateur final perd en partie le contrôle de sa machine, non ?
Petercam est la plus importante société de bourse indépendante en Belgique. Aussi implantée en Hollande, au Luxembourg, en Suisse et en Irlande.
Après avoir testé plusieurs solutions de PKI OpenSources et commerciales, Petercam a choisi
NewPKI,
"pour des raisons de respect des conditions OpenSource, pour la facilité de portage, pour sa souplesse d'utilisation et pour le support fourni".
Un LUG de Houston a découvert la présence d'un Cheval de Troie dans les dernières sources de la libpcap et de tcpdump disponibles sur le site de tcpdump.
Il semblerait que certains miroirs soient deja infectés.
Suite aux attaques régulières des industriels, depuis deux ans, sur le front du droit à la copie privée et du "fair use", de plus en plus d'experts et de personnalités prennent position contre les mesures délirantes (telles Palladium et TCPA) préconisées dans le but de "faire respecter les droits d'auteur" sur supports numériques (politique résumée sous l'abréviation DRM - Digital Rights Management).
Ainsi, John Halderman, de l'Université de Princeton, a examiné trois systèmes anticopie intégrables aux CD audio. Leur principe est simpliste : empêcher toute lecture depuis un lecteur évolué, i.e. capable d'accéder à toutes les tables d'allocation du disque (lecteurs de CD-ROM, etc.). Non seulement les mises à jour logicielles et matérielles rendront très vite ces technologies obsolètes, mais l'idée même d'une protection empêchant la lecture sur autre chose qu'un bête lecteur de salon est vouée à l'échec. Le chercheur propose l'alternative la plus intelligente et raisonnable qui soit : baisser le prix des CDs.
La société mi2g spécialisée dans la gestion de risque va publier une étude classant les attaques recensées dans les dix premiers mois de l'année selon le système d'exploitation (OS) sur lequel elles ont été observées.
Une comparaison du nombre de failles relevées sur chaque système d'exploitation par rapport au niveau d'utilisation de ces systèmes dans le monde montre que Linux est affecté par un grand nombre de failles par rapport à sa part de marché.
Note du modérateur : les failles comptées concernent « les systèmes d'applications, les logiciels serveurs et les applications tierces ». Une distribution GNU/Linux contient largement plus de logiciels que les autres systèmes étudiés. On ne sait pas si les failles ont été comptées pour chaque distribution ou pour chaque paquet (genre apache et apache-ssl).
MISC, le magazine de la sécurité informatique, est sorti. Un peu en retard, certes, mais avec une nouvelle PAO tout en conservant le même contenu : virus, droit (un scan de port est-il légal ?), programmation, réseau, etc.
Le dossier est consacré aux protocoles réseau, et aux problèmes liés à leur structure même. En particulier, nous étudions les cas de DHCP et de DNS. Cependant, il existe aussi des attaques plus générales : l'homme du milieu et les dénis de services.
Mon cher Paul,
Désormais il ne saurait y avoir de réconciliation entre nous. Le dernier rapport de bogues sous Linux ne me laisse aucune illusion. Tes fichiers sont là où tu les as laissés. Si tu passes en semaine, tu sais comment m'allumer, si tu viens en week-end, le mot de passe est sous le clavier. N'oublie surtout pas de me quitter en sortant.
Julien ! des trous de sécurité il y en a dans tous les ordinateurs du monde :
dans les PC Windows de la gendarmerie, sous le capot de la babasse à Torvalds,
dans tous les BSD, les MacOS et les Amiga, et même dans les stations ultra-sécurisées de la NSA !
...
Windows, windows la porte ouverte comme tu disais, installé pour les jeux comme tu disais, m'a fait voir sans passer par Linux et sans console de jeu a midi les virus,
et à minuit les disques dur en feu !
Adrien ! comment as-tu pu croire que ton système est sans bogue !? tu sais bien que c'est avec l'âge qu'on acquiert de l'expérience. Sur windows, plus âgé, c'est aux fonctionnalités qu'on reconnaît les programmeurs. La sécurité c'est une affaire de marketing. Les copains de cellule veillent sur les rapports de bogues. Victor ! ton Linux n'a pas de chargé de comm'.
Désormais il ne saurait y avoir de réconciliation entre nous et cette lettre n'a d'autre objet que de mettre fin à la partition désormais sans système qui unissait une console
toute vibrante des remous et des assauts d'un clavier et un geek toujours hésitant entre le script kiddy sur windows et l'3l33t sous Linux.
Signé: Ta station
Je sais c'est pas très réussi. C'est un pastiche (de mémoire) du poème « Réponse de la bergère au berger », de Jean-Pierre Rosnay. Je voulais attirer votre attention sur l'article « Is Linux Really More Secure Than Windows? » posté sur osopinion.com (qui fait penser à une dépêche postée il y a quelques jours). On y sort le grand pipotron. On dirait du marketing viral bien orchestré.
Pas content Dom quand on pique l'argent du projet abiword... Un conseil, si vous avez des sous chez Paypal, comptez vos billes ...
NdM: PayPal est un système qui permet d'effectuer des transferts d'argent, c'est une sorte de banque en ligne. Il semblerait cependant que le projet AbiWord ait eu quelques soucis avec, puisqu'ils y ont perdu 600$. Si LinuxFr devait faire un système de dons en ligne, lequel pourrions-nous utiliser alors ? Quelqu'un a t-il des contacts avec des banques pour que ça ne nous coûte pas trop cher ? :-)
Pour aider les administrateurs réseau, l'agence fédérale participe au recensement des 20 failles de sécurité les plus critiques sous Windows et Unix. Une initiative qui fait suite au plan Bush sur la "cybersécurité".
Self-Certifying File System (ou SFS) est un projet sponsorité par DARPA dont le but est de permettre un accès global et sécurisé à un système de fichiers avec un contrôle décentralisé.
A l'aide de SFS, n'importe quel utilisateur peut accéder à n'importe quel serveur sans reposer sur des parties tierces ou des administrateurs système ayant le contrôle sur le serveur.
SFS fonctionne sous systèmes Unix-like et Linux. Le seul prérequis est le support de NFS v3. Il a été testé sur *BSD, Solaris et Linux.
Packet Excalibur est un nouvel outil de fabrication et d'analyse de packets, graphique et multi-plateformes. Ses intérêts sont une vision claire des couches réseaux - si vous voulez mieux les comprendre, c'est simple comme un clic -, la possibilité d'avoir des scripts d'envoi et de réception de packets, et une description de chaque protocole sous forme de fichier texte.
Non, ce n'est pas un outil pour script-kiddies, c'est aussi un outil d'apprentissage et de tests.
David A. Wheeler a écrit un excellent HOWTO concernant la sécurisation des applications que l'on développe. Et ceci non seulement pour les langages « traditionnels » mais aussi pour d'autres comme langages comme le perl, le php, le shell, ...
C'est une réelle mine d'or qui gagne à être sur votre bureau à tous les stades du développement.
Voici un petit dossier de 01net sur les solutions de sécurité réseau en Open Source. Il s'agit surtout de les comparer avec les logiciels propriétaires disponibles. On y parle de filtrage IP, de détection d'intrusion et de PKI.
On y retrouvera les habituels arguments, à savoir d'une part la qualité des logiciels Open Source face aux logiciels propriétaires, et d'autre part, le manque d'intégration et d'interface centralisée entre les composants Open Source.
On y trouve aussi des exemples de sociétés ayant fait le choix des solutions ouvertes.
Il est fortement conseillé de mettre à jour vos serveurs web: de nouveaux trous de sécurité ont été trouvés dans Apache 1.3.26 et versions précedentes. Entre autres: des risques de Denial-of-Service locaux, des risques de "cross site scripting" via les pages d'erreur 404 et divers "buffer overflows". (cf. le link ci dessous pour plus de détails). Merci à Tomasera@#linuxfr pour l'info :-)
