Le NIST (National Institute of Standard and Technology, organisme US définissant les standards gouvernementaux) vient d'annoncer la release officielle d'AES (Advanced Encryption Standard).
L'AES est destiné à remplacer le DES devenu trop faible au niveau sécurité. Après plusieurs années de mise au point et de processus de sélection, en octobre 2000, l'algo Rjindael (développé par 2 chercheurs belges) a été retenu pour devenir l'AES.
La version 3.0 d'OpenSSH, l'implémentation libre de SSH, vient de sortir. Outre les habituelles corrections de bugs, cette version est la première à utiliser le protocole version 2 par défaut.
Le gros changement au niveau utilisation concerne les fichiers /etc/ssh_known_hosts2, ~/.ssh/known_hosts2 et /.ssh/authorized_keys2 qui sont maintenant obsolètes, il faut les renommer en known_hosts et authorized_keys, qui contenaient autrefois les clés associées au protocole version 1.
Un article intéressant sur l'intérêt des pots de miel et leur mise en place a été publié sur SecurityFocus.
Les pots de miel, à condition d'être bien configurés, sont d'un très grand intérêt éducatif puisque leur but est de permettre d'apprendre les attaques et les méthodologies d'attaque employées par les pirates. C'est un complément très intéressant aux lectures de publications comme "Halte aux hackers" ou "Intrusion Signatures and Analysis" (chez New Riders) et à la mise en oeuvre des exploits publiés sur Bugtraq & cie qui permet de voir en direct la manière de procéder des pirates. Mais la mise en place d'un pot de miel est un art à part entière car si vous ouvrez trop de ports par exemple sur le pot de miel, seuls les script kiddies s'acharneront dessus et l'intérêt est tout de suite moindre.
L'auteur utilise RedHat 7.1 comme pot de miel et Snort comme IDS et s'appuie sur iptables en firewall amont. Seul bémol, il utilise VMWare pour mettre des pots de miel de différents OS sur la même machine et quand on sait que la licence coûte 300USD env. pour la 3.0...
Un site entièrement consacré à la sécurité sur Mandrake Linux, des liens, des ressources, des articles, un forum, des listes de discussion...
On trouve tout ça sur MandrakeSecure.
Note du modérateur : attention à l'URL pour vos bookmarks. si vous entrez www.mandrakesecure.net sans le /en et que le langage préféré de votre navigateur est le français -> erreur 404
Voici une FAQ sympa pour gérer le spam sous Qmail. Qmail est un serveur de courrier dont les points forts sont la sécurité, la fiabilité, la vitesse, etc. Nous entendons par SPAM l'envoi en masse de courrier non-solicité, généralement de la publicité. A noter également le dossier sur Qmail dans la revue Login de ce mois.
LinuxSecurity publie sur son site l'excellent travail d'Alexander Reelsen et Javier Fernández-Sanguino Peña sur les moyens de renforcer la sécurité d'une distribution Debian GNU/Linux.
Laissons la parole à LS :
"Ce document décrit les procédures pour sécuriser et renforcer l'installation par défaut d'une distribution Debian. Il couvre les mesures les plus communes pour installer et sécuriser un environnement réseau à partir d'une Debian GNU/Linux. Ce document vous indique simplement ce que vous pouvez faire pour augmenter la sécurité de votre système Debian GNU/Linux."
Le FBI reconnait par l'intermédiaire de son porte parole D. Bresson, travailler sur un virus qui permettrait de récupérer les mots de passe et autres frappes au clavier. Le projet s'appelle Magic Lantern.
L'info a été reprise aujourd'hui par Libération, mais provient de MSNBC.
La société Intersect Alliance (spécialisée dans la sécurité) vient de rendre disponible les sources et les binaires du module noyau SNARE (System iNtrusion Analysis and Reporting Evironment).
Ce module dynamique du noyau permet d'obtenir un niveau de sécurité C2 pour notre OS préféré, en ajoutant des capacités d'audit et de détection d'intrusion au niveau 'host' (et non réseau comme des projets tel que Snort).
SNARE se compose d'un module noyau à installer ou à recompiler (snare-core) et d'une interface graphique (snare-gui) pour définir le paramétrage de l'audit et avoir un journal d'événements (voir screenshots très ressemblant au journal événement de NT).
En cherchant dans le cache de google une page d'un site malencontreusement hacké, je suis tombé sur un site de statistiques de compromission de serveurs. De là je trouve un graphique à faire peur... (regardez bien en bas de la page, la couleur rouges>Jaune).
Graphique au soufre heureusement tempéré par un autre résultat sur le second lien que je vous livre.
Note du modérateur : L'idée de classer par OS peut paraître impertinente dans ce cas car la raison des mauvaises statistiques de Linux en octobre vient principalement du trou de sécurité récent de PHPNuke, et non pas à un trou Linux.
Update : leur site est à nouveau accessible
Avez vous déjà entendu parler de Tempest ? Eh bien voici un petit programme destiné à prouver que ca fonctionne vraiment, le principe est d'utiliser les ondes emises par votre moniteur pour emettre de la musique que vous ecoutez sur votre radio AM. J'ai testé, ca fonctionne vraiment bien, lisez bien le README pour les instructions! Bon amusement!
Source : slashdot
Note du modérateur : si je ne me trompe pas, Tempest est un code qui identifie un nombre de normes pour limiter l'émission d'ondes électromagnétiques des différents appareils que vous utilisez (télé, écran, clavier, etc) afin qu'elles ne puissent pas être reçues par une tierce personne. Une démonstration avait été faite au HIP97 où on avait vu une vieille télévision afficher la même chose que ce qu'affichait un écran de PC soi-disant aux normes qui se trouvait à quelques mêtres de là, en utilisant des technologies vieilles de plusieurs années.
D'un côté, certains MUA (NdM: Mail User Agent) comme Kmail font du PGP "in line", c'est à dire dans le corps du mail. D'autres utilisent des messages PGP/MIME (NdM: la signature est dans une partie MIME). Bien entendu, ce n'est pas vraiment compatible, et il est pénible de lire les mails de l'un avec l'autre.
Qu'en disent les RFC ? A l'origine, PGP était "in line", comme le définit la RFC 1991 qui date de 1996... Mais depuis, les RFC 2015 et 3156 (la 3156 est une maj de la RFC 2015 datée de 2001) définissent clairement PGP/MIME comme "proposed standard".
Mutt par exemple, utilise PGP/MIME... mais c'est quasiment le seul (oui oui il y a aussi Gnus). Kmail utilise le PGP inline...
Avant que tout le monde passe en PGP/MIME, il est préférable bien entendu de pouvoir utiliser les deux.
En attendant ça, vous pouvez utiliser 3 scripts Perl pour permettre à Kmail de lire les mails cryptés/signés en PGP/MIME, ou bien passer à Gnus (en bricolant un peu il doit surement faire les deux et même plus :p)
Note du modérateur: la version CVS de Gnus (Oort Gnus) supporte tous les modes d'utilisation de PGP, dans le corps comme en détaché, de manière transparente et sans qu'il y ait besoin de "bricoler". Je vous rappelle également qu'il existe GnuPG, une implémentation libre du protocole OpenPGP, qui remplace complètement la version commmerciale nommée PGP. Voir le lien dans la boîte Edito :)
On parle beaucoup de sécurité, mais combien d'entre nous peuvent prétendre d'avoir un système correctement sécurisée.
Le développement de "distributions" permettant de mettre en place un firewall facilement accessible à tous et ne nécessitant pas des connaissances trop pointues dans ce domaine est en plein renouveau.
On a souvent parlé de la distrib Smoothwall, permettant de recycler son vieux 486, mais une autre alternative existe Startup Linux, qui a mon goût est plus complet et inclus le minimun pour celui qui veut faire le maximun s'en pour autant être un expert. Bien sûr un expert préfèrera toujours faire sa propre sécurité avec son propre firewall et sa DMZ, mais ce genre de produit s'adresse aux débutants soucieux de se sécuriser un minimun tout en adoptant un produit fiable et gratuit, comme aux utilisateurs plus avancés.
Pour pouvoir se consacrer tranquillement à autre chose, et se préparer plus sereinement à une configuration personnelle.
Vive l'alternative.
Le FDI a rendu public aujourd'hui sa première recommandation sur les données de connexion. Notamment, il demande au Gouvernement de ne pas obliger à stocker les adresses de courrier électronique, les URL, et les adressees IP des serveurs visités. En outre, en matière de délai de garde, le FDI demande un délai variable. Enfin, voir aussi la position de la SACEM qui était favorable à une position plus stricte :-/
Une version mineure d'OpenSSL est disponible depuis le 21 décembre, avec principalement des corrections et l'intégration du support de Broadcom, SureWare et quelques autres.
Le Phrack #58 est enfin sortie au sommaire plein de truc intéressant, comme l'interception de fonctions, le patching au vol du noyau par /dev/kmem, etc.
Deux nouvelles versions de mutt (une dans chaque série : 1.2 et 1.3) sont sorties avec la nouvelle année. Elle corrigent un important trou de sécu et méritent qu'on s'en occupe sur le champ.
Une nouvelle version est dispo pour Debian (potato) depuis le 2 janvier ...
DaemonNews fait le point sur la sécurité de vos logs systèmes. Une occasion de faire connaissance avec Modular Syslog, une solution de remplacement au démon syslog traditionnel incluant la cryptographie :)
Une technique souvent utilisée par les crackers informatiques, et les voleurs éprouvés, consiste à effacer ses empruntes digitales de la scène du crime. Celà consiste habituellement à effacer ou modifier les logs stockés sur l'ordinateur et qui les exposeraient en cas d'examen consciencieux. Des logs non protégés rendront impossibles la vérification du système dans la plupart des cas. Quand un cracker prend le contrôle d'un système, il prend également le pouvoir de lire, modifier et effacer n'importe quel log.
on n'a jamais autant parlé des systèmes de détection d'intrusion. Tout d'abord SecurityFocus publie un article de Paul Innella et Oba McMillan (Tetrad Digital Integrity) et qui constitue un excellent point de départ pour qui veut connaître les IDS.
Ce document fournit un excellent point de départ pour toute personne intéressée par la détection d'intrusion. La détection d'intrusion est l'art de détecter les activités anormales, inappropriées et inexactes (...).
Voilà, avec tout ça les Script Kiddies boutonneux devraient avoir quelques difficultés à mettre à mal vos serveurs (vu que la plupart ne comprennent même pas ce qu'ils font) - A vous de jouer :)
Après quelques annonces catastrophes sur le développement des virus Linux dans un futur proche, un dossier d'interêt de la revue login sur le même sujet, voici enfin le tour des solutions anti-virus Open-Source (GNU vaincra!!!) :
Un projet lancé il y a quelques semaines sur dnsi.info:
Bon suite à une petite réflexion sur la liste, ainsi qu'aux nombreux messages private que j'ai reçu, on lance officiellement un projet de création d'antivirus libre, sous license GPL.
Aucune caratéristique précise n'a été établie. En vrac voici les idées que j'en ai : moteur "intelligent" (analyse de comportement viral, etc...), analyse de signatures (classique), language de script/intéraction système, permettant de créer ses propres règles génériques, par ex ou autre action à entreprendre.
Projet dors-et-déjà mis en concurrence ( >=> ) comme le prouve cette news de LinuxSecurity :
OpenAntivirus est une plate-forme pour des personnes intéressées par la recherche anti-virus, la sécurité réseaux, la sécurité des communications inter-ordinateurs, le développement de solutions à divers problèmes de sécurité ainsi que le développement de nouvelles technologie en sécurité. (...)
A vos clavier!!!
Signalant au passage la sortie du linuxfocus de ce mois, vous seriez bien avisés de coller vos mimines dans ce documents ma foi fort complet :
Qu'est-ce que chroot ?
Chroot redéfinit l'univers de fonctionnement d'un programme. Plus précisément, il détermine un nouveau répertoire "ROOT" ou "/" pour un programme ou une session. Schématiquement, tout ce qui est à l'extérieur du répertoire "chrooté" n'existe pas pour un programme ou un shell.
Pourquoi est-ce utile ? Si quelqu'un s'introduit dans votre ordinateur, il ne pourra pas voir la totalité des fichiers de votre système. Le fait de ne pas voir vos fichiers limite les commandes qu'il peut lancer et ne lui donne pas la possibilité d'exploiter des fichiers qui seraient vulnérables. L'inconvénient majeur, c'est que ça n'empêche pas l'analyse des connexions réseau ou autre. Ainsi, vous devrez faire bien d'autres choses qui n'entrent pas vraiment dans le cadre de cet article (...) :
Je vous laisse découvrir le reste :)
LinuxSecurity décrit un trou de sécurité dans le loop device encrypté de Linux.
A cause de cela, un attaquant peut modifier le contenu du device encrypté sans être détecté.
Un texte est proposé pour rêgler ce problème en autentifiant le device.
NdR: C'est aussi un bon moyen de mettre le nez dans le cryptage, des pointeurs intéressants sont donnés.
Demain soir(dimanche), sur France 2, a 22h40, sera diffuse une reportage sur Echelon, avec une reflexion sur le droit a la vie privee dans cette aube du XXI siecle.
Note du modérateur: la news n'est pas longue mais peut intéresser beaucoup d'entre nous (titre original: "Les Documents du dimanche" Echelon, le pouvoir secret).
Une première factorisation en nombres premiers a été réalisée par l'université de Stanford et IBM. Bon, ce n'est pas encore utilisable pour cracker les cryptages actuels, mais cela montre bien que c'est réalisable.
En d'autres termes, les beaux jours de la cryptologie traditionnelle commencent à être comptés.
Le SANS propose une documentation contenant une foule de conseils pour sécuriser son site/serveur web.
Ces conseils sont plus théoriques que réellement techniques et relèvent bien souvent du bon sens. La partie relative aux liens contient un grand nombre de pointeurs qui permettrons de développer certains points précis.
C'est un bon point de départ pour ceux qui débutent dans le domaine et parfois de bons rappels pour ceux qui y sont familiers. ;)
Sous Windows les clients ssh ne sont pas légions... et pas gratuits,.. Heureusement : Une nouvelle version du client ssh libre est sortie, en bêta, la 0.52. Malgré son nom, je l'ai trouvé stable et utilisable.
Ca nous donne un client ssh et telnet sous Windows en licence proche de la BSD, composé de plusieurs binaires, similaires aux binaires Unix (scp, sftp, agent...).
Il peut même être combiné à une interface graphique de transfert de fichiers, secure Xplorer en version 0.12 (largement utilisable, elle aussi, malgré sa dénomination numérique).
Une alternative plus qu'intéressante !
