A vérifier, mais une faille de sécurité assez cruciale, semble avoir été découverte dans les noyaux 2.2, comme l'article date du 28 Mars on ne peux exclure un poisson d'avril, je suis tombé sur la news et j'ai rien eu le temps de vérifier, à vos remarques ....
Note du modérateur: Effectivement il faut upgrader en 2.2.19.
Frédéric Raynal nous dit:
« D'après les messages que j'ai lus rapidement, l'idée est d'utiliser la fonction ptrace(). Le programme crée un processus fils puis le remplace avec le progamme SUID à exploiter (n'importe quel prog suid convient) via un execl(). Le processus fils conserve donc le même PID. Un signal est envoyé au processus père pour lui signaler que le prog suid est lancé. Dès lors, le père change les registres du processus fils de sorte à ce que le registre d'instruction %eip pointe sr le shellcode à exécuter. »
IPFilter, qui est aux *BSD ce que IPChains est à Linux (mais en beaucoup plus puissant), comporte une faille dans la gestion des paquets fragmentés.
Par exemple, si le Firewall autorise les connexion vers le port 80 d'un serveur web dans une DMZ, l'exploitation de cette faille permet de se connecter à TOUS les ports ouverts sur cette machine, outrepassant les règles du firewall.
Les détails sont dans un post de Bugtraq, et la version 3.4.17 d'IPFilter corrige ce problème.
Vous êtes sans doute familier de SSH, le Shell sécurisé, mais vous aimeriez en savoir plus. Celà tombe bien, UnixReview a posté la critique d'un ouvrage consacré à SSH.
Si l'on en croit cet article de libération, nos chers modems Alcatel ADSL ont une backdoor. Le découvreur de cette "fonctionalité" n'est pas exactement un plaisantin puisqu'il a largement contribué à l'arrestation d'un certain Kevin M.
La réponse d'Alcatel... Il y avait pas de quoi s'inquiéter. Toutes les failles indiquées ne pouvaient être utilisées que de l'intérieur et les OS Win95/98/2000/NT et Linux n'ont pas de port "bounce". De plus, aucune démonstration d'infiltration n'a été faite pour l'instant.
On peut quand même admirer la rapidité de la réponse d'Alcatel ...
Une faille de sécurité vient d'etre découverte dans le firewall des noyaux 2.4 (Netfilter) . Si vous utilisez le module ip_conntrack_ftp, un attaquant est en mesure de s'affranchir du filtrage vers le serveur sur n'importe quels ports. Il peut par exemple se connecter en telnet sur la machine hébergeant un FTP depuis l'extérieur, meme si cette règle a été interdite. Les machines effectuant du masquerading sont tout aussi touchées.
Un article intéressant sur www.technosphere.tm.fr va réveiller les paranos que nous sommes. Souriez vous êtes tracé! fiché, cookifié et espionné!
La version francaise des Big Brother Award s'est déroulée en décembre 2000, et n'a rien à envier à celle des Etâts Unis...
Brrrr ça fait froid dans le dos...
Vous avez besoin d'un routeur ou d'un firewall, mais vous êtes fauché, ou radin, et en plus feignant. Vous voudriez bien utiliser le vieux clou et son disque dur de 200 Mo...
Smoothwall est fait pour vous: téléchargez une petite iso, brûlez là, et voilà! Le CD est autoboot, s'installe en un clin d'oeil, reconnait automatiquement le materiel PCI, se configure par une page web... Le travail est tout mâché...
Merci qui?
Bon je sais que c'est pas un scoop puisque vous lisez vous aussi bugtraq tous les jours ...
Mais cette faille me paraît d'importance puisqu'elle touche les daemon ntp livrés avec nos distributions linux et bsd... mais aussi celles de certains unix proprietaires (sun...).
L'exploit livré sur bugtraq ne concerne que linux et bsd sur x86, mais quelqu'un de pas trop c.n pourra le porter sur sun, linux pour alpha...
De plus on peut craindre que l'accès public aux serveurs NTP sur internet ne soit coupé pendant un certain temps... voir peut-être coupé tout simplement.
Note du modérateur : heureusement qu'un patch est sorti le jour même... donc si les admins font leur boulot, pas de risque que les accès aux serveurs soient coupés :-)
CanSecWest/core01 (28-30 mars à Vancouver BC) fut un véritable succès !
Note du modérateur: bon ca fait un peu cours comme news, mais allez jeter un oeil aux photos, c'est amusant.
Il a été souvent question de sécurité ces derniers temps concernant linux et sécuriser sa petite boîte n'est pas chose aisée. Réjouissez-vous, le projet libre Bastille arrive dans sa nouvelle version. Elle supporte presque totalement mandrake 8 beta ainsi que redhat 7.1 dans sa version 1.2.0rc2.
Cette version ajoute précisemment les derniers rafinements en matière de sécurité mais aussi une interface graphique en tk/Perl fort sympathique. Le setup vous permet de paramétrer votre machine sous trois types de sécurite : faible, moyenne ou paranoïaque et ensuite le type de machine : station de travail ou serveur. C'est bien fait, le projet est mis à jour régulièrement et la finale ne saurait tarder !
D'abord c'était pas vrai, leurs modems étaient nickels...
Suite à la publication de l'avis du CERT, les gens d'Alcatel ont
soudain revu leur communication. Les marketoides on encore tout
compris :-/
Grosso modo, ils préconisent la vérification de la conf du modem, l'usage d'un FW et confirment la technique du bounce.
Dans la page "UPDATE ON ALCATEL SPEED TOUCH MODEM" il y a un détail
qui me chiffone:
"According to recent tests, the primary vulnerability referred
to in the advisories do not apply to the vast majority of
mainstream operating systems used by residential and
small business subscribers, such as Windows 95, 98,
98se, ME, and typical installations of NT4.0 Workstation,
2000 Professional and the latest commercial releases of Linux"
Sans commentaires...
Dans Les Echos.net, supplément du journal les echos du 30 Avril 2001, un article intéressant sur les "Web bugs", des espions invisibles installés sur les sites marchands. C'est en première page et page 17.
En prime quelques articles sur le piratage des DVD.
Michael Zalewski vient de publier un article de recherche sur l'utilisation des méthodes mathématiques des systèmes formels (désolé pour ceux qui sont déjà lachés; les fans de chaos me comprendront) pour la prédiction des numéros de séquence TCP/IP : "Strange Attractors and TCP/IP Sequence Number Analysis".
Cet article est très intéressant pour la sécurité TCP/IP et montre que notre OS favori ainsi que OpenBSD ont les implémentations TCP/IP les pus sûres contre ce type d'attaque.
Un "web agency" vient de sortir un rapport plutôt intéressant que pas mal de personnes qui affirment que "Internet est sûr" devraient lire. Ce n'est pas technique et tout le monde devrait comprendre (même le directeur marketing ;-)
Voici les points testés :
1. Utilisation de SSL
2. Niveau de cryptographie : taille de la clé
3. Date des certificats
4. Informations sur le cryptage
5. Début du cryptage
6. Vérification de la cryptographie
Je cite un extrait de la conclusion :
« Ces résultats permettent de souligner que la majorité des sites de e-commerce, de banque et de bourse français n'intègrent pas la confiance dans leur stratégie Internet. Ils négligent les attentes des internautes en matière de sécurité et de protection de leur vie privée.
Cette négligence s'exprime :
- dans des choix techniques laxistes en matière de sécurité (cryptographie à 40 bits plutôt qu'à 128, cryptage des informations de carte bancaire au détriment des autres informations personnelles) ;
- dans l'absence de pédagogie qu'ils mettent en place pour compenser l'inquiétude des internautes liées à Internet, ;
- dans un design qui déroute l'internaute et l'empêche de vérifier facilement la sécurité du site.
Les sites des banques, qui pourtant devraient montrer l'exemple dans ce domaine, font preuve d'un laxisme paradoxal.»
A lire avant de faire des achats en ligne ...
Lu sur infoguerre.com :
"Selon transfert.net, un groupe de hackers " the cult of the death cow " a annoncé le lancement lors du prochain Defcon de juillet 2001, d'un navigateur qui permettrait de surfer anonymement: Peekabooty. (...)". La suite de l'article sur infoguerre.
Amanda est un système très sophistiqué qui organise les backups même ceux de Windows, en somme toute le rêve pour un admin.
Malheureusement la doc laisse à désirer, et la configuration d'Amanda est un véritable cauchemar.
Linuxsecurity.com présente un lien vers un très bon article sur Amanda.
En complément de l'article du 15 mai, un autre script de configuration pour la partie firewall (netfilter) du noyau 2.4.
Ce script, très complet, suppose une connexion PPP, un réseau local et une DMZ. Cependant, une adaptation à ses propres besoins est relativement aisée.
Entre humour et sécurité :
Voici un article sur cnet qui parle d'un nouveau "worm" pour Linux.
Ce vers a une particularité unique : il guérit (du moins, il essaye de guérir) votre système si ce dernier est vulnérable aux autres vers et/ou à certains 'rootshell'.
L'intention est louable.. (à mon avis)
Comme dirait le gars qui a posté l'info sur slashdot : "qu'est-ce qu'ils attendent pour faire un vers qui désactive vbs sous outlook ?" =]
Après Cheese Worm, le virus qui patche votre machine, voici le virus qui a pour but de saturer Echelon...
Avant échelon, ce sont nos MX qui vont encore faire la gueule.
Le ministère des finances commence à mettre en oeuvre des procédures de déclaration et paiement en ligne de certaines taxes & impots, comme teletva pour la TVA.
Pour y participer, il faut bien sur une clef publique, à la norme X509 mais surtout reconnue officiellement : en créer une c'est facile et gratuit par openssl mais il faut pour s'en servir pour les impots qu'elle soit absoluement passée par une autorité de certification... elle payante.
Joli business plan : "./openssl x509 ...."
Ne serait-il pas plus simple et plus facile de créer son certificat et d'en donner une copie au ministère ? Avec pgp ou gpg on met sa clef sur un site public et tout est si simple.... Pourquoi ne pas faire sinon une asso 1901 de certification ? Ou pourquoi ne pas tout simplement se servir d'une structure existante comme les mairies, qui font déjà cette certification pour la demande de carte d'identité ?
Lorsque un acte gratuit comme la création de certificats devient un business de l'aveu même du ministère ("faisant appel à des autorités de certification du marché, dans un esprit d?ouverture favorisant la concurrence.") qui privatise une mission de service public, ce n'est pas dans le plus grand intérêt des contribuables...
Lu sur Bugtraq: on peut "écouter" à distance la souris et le clavier sans fil Logitech. Ce qui met à la portée de tout le monde l'espionnage! Car la version "haute-technologie", qui marche avec tous les PC, est TEMPEST, via l'écoute des émanations des moniteurs, demande un peu plus de materiel.
Apparement, il y avait une importance breche de sécurité sur SourceForge qui a obligé les admins à fermer les accès pour "maintenance imprévue". Extrait de l'email recu par les utilisateurs:
"[...] The SourceForge team takes security very seriously. This week, one of our systems was compromised. We have promptly taken the necessary steps to correct this situation.
You have been contacted, because according to our log files, you have used SourceForge during the past week and may have used the system that was compromised. In order to complete the security fix, we are asking all users who used the system to change their password immediately. We've reset your password to a randomly generated string."
La société française MatraNet vient de sortir M>Manager 2.0 !
Ce proxy tendrait à restreindre l'acces à internet.
Big Brother is Watching you :( PS : perso je ne pensais pas que MatraNet écrivait encore des Logiciels !
Alexander Viro, l'un des principaux programmeurs de la couche d'abstraction des systèmes de fichiers dans Linux, a décidé de jeter un coup d'oeil au noyau d'OpenBSD.
Il y a découvert un code de mauvaise qualité, simple à faire planter, et s'étonne que personne d'autre ne se soit préalablement penché dessus. Il s'agit principalement de "races" : on part d'une affirmation (résultat d'un test, assignation...) et on considère plus tard qu'elle est toujours vraie alors qu'en réalité, des facteurs externes ont pu la fausser dans l'intervalle.
Morceaux choisis :
"It's not just sloppy. It's obviously broken - obviously for anyone with half of clue."
"Finding and fixing these bugs is a simple matter of grep. So far it hadn't been done. I've proposed to help with that, but apparently it got no interest"
"This code had never been read through, let alone audited. And that's the core kernel. Moreover, the same bugs had been fixed in FreeBSD half a year ago."
"...Linux tree, where an audit of relevant areas had been done nearly two years ago"
Il soulève indirectement le problème du manque de coopération entre les différents systèmes d'exploitation libres.
