vnunet.com annonce l'existance d'un nouveau cheval de Troie pour Linux qui aurait été découvert par Qualys, la "célèbre" entreprise de sécurité.
L'article est très vague et fort peu technique; on y trouve les idées suivantes :

• Le cheval est similaire au célèbre outils d'administration Back Orifice
• Il s'installe sur le port UDP 5503 et plus et s'annonce sur un serveur web grand breton
• Il se propage par EMail

Mais le dernier argument fait oublier tout le reste ;-) :

• S'il se répand, il risque de faire bien plus de dégats que Code Red car 58% des serveurs tournent sous Apache, et donc majoritairement sous Linux, alors que Windows NT ne représente que 25%

Note du modérateur: Merci à Meszigues pour avoir aussi proposé cette nouvelle.

Zdnet, après le choc des attentats aux Etats Unis, propose une série d'articles concernant le bien fondé des systèmes de surveillance électronique des réseaux de communications.

En clair, comment les Etats-Unis, souvent présentés à la pointe du progrès en terme de renseignements, n'ont pas pu prévenir un drame tel que cette nation vient d'en connaitre, une opération terroriste de cette ampleur ne pouvant se faire sans un minimum de planification.

Deux argumentations sont données :
- Les moyens technologiques de renseignement, si ils peuvent être probants, ne seront jamais efficaces contre des gens déterminés. Donc les USA se sont leurrés à vouloir croire qu'ils représentaient la panacée ultime.
- Les moyens technologiques sont bons, mais l'interprétation des résultats aurait été fausse. En clair, on tombe dans l'erreur humaine, 'compréhensible' du fait du sentiment d'invulnérabilité des américains sur leur sol.

Ceci relance bien sur le débat sur la libéralisation de la cryptographie et du respect de la vie privée ...

Alors, quel est votre avis ?

PS : tous les liens proviennent de ZDNet

Note du modérateur: Désolé cette nouvelle aura mis quelques jours à être approuvée. D'autres nouvelles sont passées récemment autour du même sujet.

Suite a la propagation de nimda (admin a l'envers ...) et a la detection dans mes logs de traces, j'ai voulu faire un script qui genere un rapport d'attaque.

Il est dispo en telechargement, bien que très sommaire.

Ces dernieres semaines un nombre assez préoccupant de Worms sont apparus sur la plate-forme de M$. Le dernier est un digne représentant: nommé NIMDA (admin à l'envers) il est si efficace pour sa transmission que certains buisness conseillent d'abandonner IIS ! On peut noter aussi une prise de conscience des pouvoir publics (Le FBI est sur le coup) et une montée en fleche des actions de certaines entreprises de securite informatique.

Cette faille permettrait d'obtenir un accès depuis une machine non autorisée en utilisant l'option 'from' en utilisant des clés RSA et DSA dans le fichier "authorized_keys2"



Un patch est dispo ou vous pouvez passer en 2.9.9.


Toutefois ce bug n'est pas encore dans le bug report de openssh.


Note du modérateur: Ce bug n'affecte que la version 2 d'OpenSSH, la distribution Debian n'est pas affectée par ce problème (version 1.2.3).

Dans la section sport de Libé aujourd'hui, un article sur Passport et les risques encourus à confier et regrouper ses informations personnelles dans une seule et même base de donnée. Bon, ici c'est une base de données de Microsoft, mais le "lourd" passé de Microsoft ne pèse pas dans l'article, ce qui le rend original, surtout pour Libé !

Un trou de sécurité a été découvert dans la version 8.12.0, celui-ci pouvant être utilisé par des utilisateurs malveillants pour accéder à la file d'attente des mails. Cependant, tant que le MTA (agent de transport du courrier) accepte les connexions locales, les conséquences possibles de cette faille sont minimes. Sendmail 8.12.1 fixe également d'autres petits problèmes trouvés dans Sendmail 8.12.0 (cf. RELEASE NOTES).

LogTrend est une architecture modulaire pour la surveillance des systèmes et réseaux. Il est composé d'un serveur de stockage, d'agents pour la collecte de données, et de modules optionnels pour la visualisation ou la gestion d'alarmes complexes...
Les agents disponibles comprennent un agent système Linux, un agent SNMP et des agents logiciels pour Apache,Proftpd,Snort,...

BugTraq vient d'annoncer une superbe vulnérabilité dans PHPNuke (toutes versions sauf la 5.0 RC1). À l'aide d'une simple URL, un quelconque 5cr1p7 k1dd13z peut récupérer le config.php (et donc les mots de passe de la DB), ou encore uploader des fichiers, grâce à un script non protégé (précisons que je n'ai pas testé, pas le temps d'installer un Nuke). Pour le coup, le programmeur mérite bien un Goret Award...

[Note : puisque l'advisory a été envoyée sur BugTraq, je la propose ici. Toutefois, il serait peut-être intelligent de la garder sous le coude un moment pour éviter des 3733t h4x0r1ngs en cascade...]

LSIjolie.net, un site web qui conteste le projet de Loi sur la Société de l'Information (LSI) propose de signer une pétition (encore une) demandant la libéralisation immédiate de la cryptographie en France :

" Retirer la cryptologie du projet de "Loi sur la Société de l'Information" (LSI) et abroger les réglementations antérieures de la cryptologie en droit français.
Le Projet de Loi sur la Société de l'Information (LSI) déposé par le Gouvernement à l'Assemblée Nationale le 14 juin 2001 dispose que la fourniture de cryptologie est soumise à des autorisations ou des déclarations obligatoires.
Une telle disposition freine la diffusion et l'utilisation de cryptographie au moment où au contraire le Gouvernement devrait avoir pour souci d'accélérer la diffusion et l'utilisation de la cryptographie dans le grand public.
L'espionnage mené sur Internet par le système d'écoutes "Echelon", mais aussi l'aspiration légitime des citoyens européens au respect de l'intimité de leur vie privée, rendent la libéralisation de la cryptographie inévitable.
C'est pourquoi nous souhaitons la suppression du Chapitre II du Titre V du Projet de LSI (voir le texte du projet de Loi) et l'ajout d'un article unique abrogeant toutes les réglementations antérieures de la cryptologie."

Bruce Schneier (un des pontes de la crypto) vient de publier un numéro spécial de sa newsletter Crypto-Gram (normalement mensuelle, publié le 15 du mois).

Il revient sur les évènements du 11 septembre au USA et leurs conséquences sur le monde de la sécurité informatique et de la crypto.

Entre autres, il aborde les sujets suivants : régulation de la sécurité aérienne, la biométrie dans les aéroports, la régulation de la crypto, l'utilisation de la stéganographie par les terroristes. Et il finit en défendant la vie privée et les libertés civiles et appelant tous les informaticiens impliqués à se battre pour le protéger.

Courrez lire ce numéro spécial, ces articles sont généralement très pertinents et très argumentés.

SANS (System Administration, Networking, and Security) Institute propose un document regroupant les 20 principales lacunes à eviter pour sécuriser vos machines sur un réseau.

le document a été mis à jour hier.

Lionel Jospin a annoncé à l'Assemblée nationale un renforcement du plan Vigipirate en parlant notamment de "surveillance des e-mails".

Après enquête, le magazine Transfert croit savoir que le gouvernement va faire voter les dispositions "crypto" qui étaient incluses dans le projet LSI. Pour mémoire, il est prévu que la diffusion de logiciels de crypto devient une activité réglementée nécessitant une autorisation. Autant dire que si vous étiez développeur sur le moindre soft contenant de la crypto même à 40 bits, vous devrez vous faire enregistrer ! Et si vous mirroitiez GnuPG sur le FTP de votre fac, il faudra oublier, sinon : prison :-(

Le Monde a fait un papier sur la réaction pour l'instant timide des associations françaises qui ont essayé d'emboîter le pas aux asso américaines.

A tous ceux qui utilisent la version stable de webalizer de Debian et les autres qui même sans utiliser le package debian utilisent webalizer 1.30 ou 2.0.0, regardez vos statistiques web ; elles risquent bien de s'être arrêtées au 4 octobre.

Visiblement, il y a des problèmes au niveau des timestamps qui sont calculés en utilisant une fonction jdate refaite et basé sur le 1er janvier 1990 (?).
Mozilla et DynDNS ont subi ce bug par exemple (voir urls).
Seule la dernière version 2.0.1 ne semble pas affectée par ce Pb (voir stats li.org).

Solution :
- passer à la dernière version de webalizer
- calculer epoch depuis le 1/1/1970 au lieu du 1/1/1990 :

/* initalize epoch */
epoch=jdate(1,1,1970); /* used for timestamp adj. */
ps : ce n'est pas certain que cette dernière solution corrige tous les problèmes...

A la suite de l'abandon par sa maison mère de PGP, GPG devient de plus en plus une solution intéressante pour la crytographie dans les organismes et les entreprises. Mais l'utilisation sous linux peut etre assez "cryptique" (huhu).

J'ai donc redigé une introduction a l'utilisation de GnuPG, la mise en route et les operations de bases sont couvertes.

Note du modérateur: N'oubliez pas non plus le document de Loïc, qui est très complet.

Suite à une annonce sur Yahoo (ZDNet en fait) où il est annoncé la mort de PGP (ce n'est pas nouveau), j'ai pu lire "vive WinPT". En creusant un peu plus, il s'avère qu'il s'agit d'un "portage" basé sur GnuPG pour Windows. (Je sais que ...) Mais bon, voilà qui élargit un peu le domaine d'action de GnuPG et des utilisateurs qui l'utilisent, (c'est le but de l'article).

Certains d'entre vous connaissaient peut-être l'excellent site de Hrvoje Crvelin, qui regroupait bugs, solutions et exploits depuis 1996.
Il a malheureusement décidé d'arrêter ce travail le 9 septembre dernier, laissant bon nombre d'administrateurs en manque d'une source d'informations claire et concise.

Pour y remédier, une association vient de faire renaître Security BugWare.

Cette faille a été découverte par Christophe Casalegno et Aurélien Cabezon.
Webmin souffre d'un problème de sécurité concernant la création temporaire de fichier qui peut être utilisée pour compromettre le compte root.

En effet, Webmin crée des fichier temporaires dans /tmp qui ont les permissions : -rwxrwxrwx (777) et qui appartiennent à l'utilisateur root (ex : commandes personnalisées). N'importe qui peut modifier le fichier créé pendant l'exécution de la commande par le système. Il suffit donc pour l'attaquant de rajouter une commande dans le fichier, qui sera exécutée par le root. L'attaquant pourra donc à loisir, lancer des commandes, créer/effacer/modifier des fichiers/répertoires, etc...
Exemple:
Il suffit de rajouter la commande suivante à la fin du fichier temporaire crée par webmin pendant son exécution pour gagner les privilèges de root:
cp /bin/sh /tmp/.backdoor vous donnera un shell root dans /tmp
Le problème est situé dans le script run.cgi qui crée le fichier temporaire en lui donnant de mauvaises permissions.
$temp = &tempname();
open(TEMP,">$temp");
...blablabla...
chmod(0777, $temp);
Pour fixer le problème il suffit de hanger la ligne chmod(0777, $temp); par chmod(0700, $temp);

Note du modérateur : Il ne semble pas y avoir de confirmation sur le site de Webmin. En outre, webmin 0.89 devrait sortir sous peu.

Pour ceux qui ont accès au wireless :

Ensemble de FAQ, docs techniques, et informations sur les problèmes de sécurité posés par le Wireless.

Entre autres :

- Vue d'ensemble de la technologie Wireless LAN 802.11
- Risques majeurs
- Comment minimiser les risques WLAN


Merci au site Ouah.org ( ou je vous conseille d'aller jeter un coup d'oeil ) pour ces liens

Le centre de coordination du CERT (Computer Emergency Response Team) vient de publier un document sur les étendues que pourraient prendre les attaques par déni de service (DoS). Il ne propose pas de solution, mais permet d’alerter tout le monde sur les risques que nous encourrons.
Ce rapport insiste particulièrement sur les dénis de service distribués (DDoS).

En 2001 nous avons vu l’explosion des DDoS utilisant des outils automatisés (par exemple Code Red contenait une attaque sur www.whitehouse.gov). Mais la plus grande préoccupation vient du fait que ces attaques utilisent à présent des ordinateurs fonctionnant sous Windows ou en s’appuyant sur des routeurs.

Il est à noter que les outils de détection d’intrusion (IDS) permettent de limiter les attaques par déni de service. Si certains ont une expérience à ce sujet les commentaires sont les bienvenues...

Dans une interview vidéo donnée au webzine Internet Actu (n° du 25/10/2001), Olivier Berger, secrétaire général de l'Association pour la Promotion et la Recherche en Informatique Libre (APRIL), une association qui se consacre notamment aux logiciels libres comme GNU/Linux et BSD, considère que "la cryptographie est indispensable à une utilisation citoyenne de l'Internet et à l'utilisation professionnelle de l'Internet" .
Sur le dossier terrorisme et Internet, Olivier Berger estime aussi : "Il y a peu de choses à changer dans la législation actuelle par rapport à Internet et au terrorisme. Pourquoi ? Parce qu'en fait on s'aperçoit que les actes terroristes qui ont eu lieu sont complètement déconnectés d'Internet ; il n'y a aucune preuve que les terroristes aient utilisé la cryptographie, la stéganographie, que sais je... Pour communiquer, ils ont passé des coups de fil au vu et au su de tout le monde ; ils vivaient normalement, ils ne se cachaient pas et puis ils n'ont pas utilisé des armes de haute technologie pour faire leur attentat."

Merci à OpenPGP en français pour l'info

Infos trouvées sur www.secusys.com,
"« Ptracekm » est un module kernel pour Linux 2.2 (et probablement 2.4 mais non testé) permettant de bloquer les appels (syscall) ptrace() pour tous les utilisateurs excepté le root.
Ce module vous protègera donc contre les pirates voulant prendre le root grâce aux exploits de type ptrace()."

De plus, ne pas oublier de vérifier Webmin 0.88 qui permet la création de fichiers modifiables par tous sous /tmp avec les droits 777.... pour modifier le script run.cgi... voir la news originale pour plus de détails.

Note du modérateur : Le problème webmin, c'est un rappel, on en avait déjà parlé ici le 22 Octobre.

Le parlement européen a adopté un amendement pour l'usage des cookies. L'usage des cookies devra avoir le consentement explicite de l'utilisateur.

Ne vaudrait-il pas mieux éduquer les utilisateurs car tous les navigateurs, me semble-t-il (même IE), permettent d'accepter, d'interdire ou de poser la question sur l'installation d'un cookie.

Après plusieurs mois de travail, Hal Burgiss a terminé la première version de son guide sur la Sécurité Linux. Une version Red Hat existe également. A découvrir d'urgence :)

Note du modérateur: Guide étudié pour les débutants. Vraiment intéressant.

Security Enhanced Linux est un projet Linux mis en oeuvre par la NSA afin de développer un système Linux plus sécurisé. SELinux est un assortiment de patchs du noyau Linux et d'utilitaires conçu autours d'un système de contrôle d'accès obligatoire.
Cet article explique son installation et sa configuration.