Après les bugs "off by one" & "zlib double free", l'équipe d'OpenSSH est en train de travailler à une nouvelle version qui la rendrait insensible à ce type de bug, grâce à une séparation des privilèges.

De l'avis des développeurs :
"Previously any corruption in the sshd could lead to an immediate remote root compromise if it happened before authentication, and to local root compromise if it happend after authentication. Privilege Separation will make such compromise very difficult if not impossible."

Le code est actuellement utilisable sur OpenBSD, mais le portage vers d'autre *nix ne sera pas difficile.

Source : OpenBSD journal

SecurityFocus nous propose une évaluation de la distribution IPCop.
IPCop est une distribution spécifique destinée à tourner sur une passerelle/firewall/proxy. Elle dérive du projet SmoothWall.

L'article nous explique que le support de SmoothWall est trop axé sur la version commerciale de cette distribution, voila pourquoi IPCop n'existe qu'en GPL.

On y trouve:
* firewall basé sur IPChains
* interface externe qui peut être un modem analogique, RNIS ou ADSL, et peut supporter les connexions PPtP ou PPPoE ADSL vers des modems USB ou Ethernet.
* support DMZ
* système d'administration par page web
* serveur SSH pour accès ditant
* serveur DHCP
* cache DNS
* TCP/UDP port forwarding
* système de détection d'intrusion (Snort)
* support VPN basé sur IPSec (FreeSWAN)

A découvrir d'urgence pour ceux que SmoothWall ont déçu, ou ceux qui cherchent une solution simple à mettre en oeuvre pour sécuriser un réseau.

A cause d'une mauvaise gestion des arguments trop longs, la fonction d_path() des noyaux Linux jusqu'au 2.2.20 et 2.4.18 permettent l'execution des processus avec des privilèges usurpés. Pensez à mettre à jour !

De plus en plus de distributions (SuSE 7.3, Mandrake 8.2) contiennent un noyau pré-compilé avec les patchs crypto pour gérer les FS cryptés. Mais elles n'incluent pas de GUI ou de script, et il faut se taper toute une procédure à coups de dd, de losetup et de chown, pour créer son container crypté.

MKCRYPTFS est un script complet qui fait tout le boulot, et qui est compatible avec les principaux systèmes de loop crypto actuels (loop-AES, cryptoapi, kerneli), avec ext2 et ext3, et avec tout noyau adapté pour.

Bouygues Telecom propose désormais la Géolocalisation pour ses clients pro. Pour l'instant ce n'est reservé qu'aux entreprises, pour permettre de localiser les coursiers par exemple. Espérons seulement que les employeurs notifieront bien les employés qu'ils utilisent le système.
Les commerciaux ne pourront plus vraiment mentir sur leur position. Contrairement aux prochaines solutions d'Orange et SFR, Bouygtel offre une meilleure précision (théorique, tout dépend de la couverture effective et du relief, des bâtiments...) grâce au sim-toolkit, donc une partie de la géolocalisation se fait côté client (mobile).

Le steghide nouveau est arrivé !

Ce programme de stéganographie, entièrement en GPL, en est maintenant à sa version 0.4.5 !
Mais, point important : il est francisé (grace au programme gettext) ! La francisation est loin d'être totale (messages d'erreur/d'aide pour l'instant), mais avance rapidement.

Voilà donc une bonne raison de tester ce programme... et cacher vos données les plus secrètes dans une gentille photo de votre grand mêre (ça n'est qu'une suggestion ;).

Pour ceux qui ne connaissent pas, un logiciel de stéganographie est, en gros, un programme qui permet de camoufler des données sensibles dans des fichiers anodins (souvent son ou image).

«Depuis toujours nous supposions que les connexions vers l'extérieur étaient illimitées i.e. que vous pouviez établir autant de connexions TCP sortantes que vous vouliez. Même dans notre débat sur les pare-feux nous avons supposé qu'ils n'étaient restrictifs que sur le trafic entrant. Mais dans un environnement plus sécurisé ou plus règlementé, celà peut ne pas être le cas: en effet, il peut ne pas y avoir de connexion IP directe vers le monde extérieur.

Dans le monde des entreprises, il est souvent nécessaire de passer au travers d'un serveur proxy ou d'une passerelle: une machine connectée à la fois au réseau de l'entreprise et à l'extérieur. Bien que connectée aux deux réseaux, une passerelle ne fonctionne pas comme un routeur, et les réseaux restent séparés. De préférence, elle limite les accès au niveau applicatif entre les deux réseaux.»

Dans cette étude de cas, OnLamp aborde l'utilisation de SSH dans un tel environnement.

NdR: Le début de cet article est une libre traduction du début de l'article.

LinuxFrench.net nous gratifie une nouvelle fois d'un bon article, et cette fois nous présente l'outil de détection d'intrusion (IDS) SNORT.

Bien souvent actif sur les firewall, cet outil permet de détecter d'éventuelles attaques en comparant le trafic réseau qu'il capture avec une base de données d'attaques connues. Il génère ensuite des logs qu'il est facile de mettre dans une base de donnée pour une exploitation facilitée.

Au menu donc:
- sniffer le réseau
- générer les logs
- détecter les intrusions

A voir ou revoir

Annoncé aujourd'hui sur la mailing list de gnupg-users, la création d'une mailing list keysignings@lists.alt.org permettant à tous ceux qui ont des clés GPG d'annoncer leur passage dans une ville à l'avance, de sorte à pouvoir utiliser un voyage pour rencontrer des gens et signer leurs clés. Autrement dit, organiser un first d'échange de signature, à la volée, n'importe ou et n'importe quand.

PortaZero a interviewé Steve Gibson au sujet de la sécurité, de l'Internet et du fait d'utiliser FreeBSD à la place de Linux.

« Mon système d'exploitation est FreeBSD UNIX. Il est incroyablement stable, mûr et sûr. Je suis quelque peu inquiet du fait que Linux soit devenu "courant", ses qualités peuvent souffrir du fait de la pression (pour avoir de nouvelles fonctionnalités ou pilotes). [...]
Pour cela je ne commencerais pas à l'utiliser maintenant. J'ai plutot choisi FreeBSD. »

La suite dans l'article...

NdR: Cette nouvelle est une libre adaptation (et/ou adaptation libre ;) ) de celle de RootPrompt
NdR2: portazero.info se veut le site de la securité italien !

En surfant au hasard je suis tombé sur ce site anglais proposant un firewall Linux tenant dans une boite en carton de pizza.

Le plus gros est qu'on peut effectivement la commander en ligne :-)

Malheureusement le site ne dit pas s'il faut rajouter de la mozarella...

LinuxGazette propose un article assez clair sur quelques-unes des options du /proc, en particulier, celles relatives à la configuration de la couche TCP/IP du noyau Linux. Vous saurez alors quel est l'effet du fameux 'echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter'
rencontré dans certains scripts de config firewall.

Malheureusement, l'article ne survole que quelques-unes des possibilités, certes, les plus utiles, comme la non prise en compte des messages ICMP, ou la protection contre les attaques tcp_syncookies.

D'autres articles permettent de mieux couvrir certains domaines de cette partie (souvent ignorée) de la configuration du noyau Linux.

Nos confrères de ZDNet Australie abordent aujourd'hui un thème en vogue avec l'avènement du haut débit dans les foyers français : je veux parler des firewalls ou pare-feux dans la belle langue de Voltaire. De surcroit, leur attention s'est portée sur les pare-feux sous Linux.

En effet, Les solutions pare-feu sous Linux n'ont cessé de se bonifier avec le temps grâce en grande partie au couple phare : netfilter/iptables. Ces derniers fournissent une solution robuste, mais néanmoins flexible pour ce genre de tâche.

Pour ceux qui ne les connaîtraient pas encore, netfilter est le nom du projet et iptables est le nom de la composante logicielle. Le fait est que c'est un système intégré dans les noyaux Linux 2.4.x et qui a en charge le filtrage de paquets.

A découvrir d'urgence !

Il y a 2 jours, un hacker a présenté sur la liste de diffusion ids-focus un outils d'évasion d'IDS (Système de détection d'intrusions en français) : fragroute. Ce programme permet de passer un exploit ou toute autre attaque sous le nez de Snort et à la barbe de la quasi-totalité des IDS (libres ou commerciaux) sans que ceux-ci ne génèrent la moindre alerte !

Fragroute est l'implémentation des techniques d'évasion d'IDS décrites dans "Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection", un document que je conseille à toutes les personnes interressées par les IDS de lire...

Vu sur fr.comp.securite :

« Nessus 1.2 vient de sortir, il inclut une tonne de nouvelles
fonctionnalités (scans différentiels, support de SSL, évasion d'IDS,
meilleur support de SMB, ...) et un magnifique client Win32 nommé
NessusWX. »

Nessus est un célèbre détecteur de failles distantes, avec une interface conviviale, et une large bibliothèque à jour de failles.

Les versions de SSHd compilées avec le support Kerberos et AFS souffrent d'un nouveau problème de sécurité. Les conséquences peuvent être dangereuses puisque la faille permet un exploit distant pour les versions inférieures à 2.9.9 et un local pour les autres (jusqu'a 3.3).

Il est à noter que si la séparation de privilèges (à laquelle Niels Provos travaille) est activée, aucun accès privilégié n'est possible...

Une série de messages de Joost Pol (pine), James Youngman (FreeBSD) et Theo de Raadt (OpenBSD) fait état d'un grave problème dans plusieurs noyaux unix (testé et vérifié sur FreeBSD et Solaris) : les redirections standards (input, output et error) peuvent être détournées par un programme sans privilèges particuliers et ainsi permettre un élévation des droits.

La Société Astaro basée à Karlsruhe en Allemagne, propose Astaro Security Linux.

"En tant que firewall, Astaro Security Linux protège votre réseau; les proxies filtrent le trafic réseau et en utilisant les fonctionnalités VPN, votre LAN peut être facilement étendu aux sous-traitants, clients et nomades."

Au menu: noyau 2.4 modifié sécurité, proxies (DNS, HTTP, SMTP, SOCKS, etc..), prise en charge de cartes ethernet 10/100/1000Mbit/s, etc...

NdR: on peut la télécharger librement sur leur site

Les présentations de CSW/core02 sont en ligne :
- Immunix
- Owl GNU/Linux
- honeyd et pots de miel
- Outils taranis, radiate, etc.

Ainsi que des photos !

Note du modérateur : la CanSecWest Core02 est une convention sur la sécurité informatique qui s'est déroulée du 1er au 3 mai à Vancouver (Canada)

Dans le cadre de mon tfe, j'ai été amené à expliquer et à modéliser le protocole IPsec ainsi que la partie gestion de clé IKE. Il y a aussi une série de tests réalisés sur des routeurs Cisco. Ce n'est pas encore complètement terminé mais la partie descriptive elle, l'est.

Une nouvelle version de GPG (Gnu Privacy Guard) vient de sortir. Pour ceux qu'ils l'ignorent (et c'est bien dommage), GPG est un outil qui fonctionne sous Unix, Windows (NdM: et Mac) et permet de signer/chiffrer/déchiffrer des documents avec une paire de clés publique/privée (crypto asymétrique). C'est le pendant libre de PGP.

Au menu de cette nouvelle version :
- l'algo de cryptage est maintenant par défaut CAST5
- amélioration du support PGP2 et PGP6
- images pour identifier les utilisateurs
- les signatures non révocables sont supportées
- génération de clés RSA
- ...

Note du modérateur : cf l'édito « LinuxFr recommande fortement l'utilisation de GnuPG pour vos correspondances. »

Un bug a été trouvé dans l'implémentation de la translation d'adresse dans NetFilter... Lorsqu'une régle de NAT s'applique à un packet qui cause un message d'erreur ICMP, celui-ci est renvoyé avec l'adresse locale de la machine natée ! Ceci peut montrer quels ports d'un firewall sont translatés et vers quel hote d'un réseau local ou d'une DMZ... On peut trouver une version de nmap modifiée permettant ceci sur la page de Philippe Biondi, l'auteur (francais) de la découverte.

George Rushmore sur le site de Help Net Security, nous propose un article qui donne quelques conseils de base pour sécuriser un serveur Apache sous Linux.

« Si vous venez de mettre un serveur web Apache en ligne, et que vous pensez à la sécurité, ce bref article pourra vous y aider.
Par le fait d'avoir votre propre serveur, vous devez comprendre les responsabilités qui en découlent.

Bien que le serveur lui même ne soit pas un réel problème (du point de vue de la sécurité), il y a certaines choses auxquelles vous devez faire attention sur votre système. »

NdR: cela ne se veut pas un article de fond, mais les conseils qu'on y trouve sont toujours bon à prendre ou à revoir.

La nouvelle version de steghide, un logiciel de stéganographie sous licence GPL, est sortie.
Plusieurs améliorations, dont une de taille: le support des fichiers JPEG, plus largement utilisés que les fichiers BMP.
Les messages d'aide/d'erreur du programme sont francisés, mais pour les pages man, il va falloir attendre encore un peu.

Pour mémoire, la stéganographie permet de "camoufler" des données confidentielles dans des fichiers anodins.

A noter: la version 0.4.6 ne compilait pas sur certains systèmes (RedHat en particulier). La version 0.4.6b corrige tout ça.

Je viens de découvrir une excellente FAQ, sur l'épineux problème du « cross site scripting ». L'auteur de cette FAQ part de la base et décrit concrètement ce qui se passe, comment c'est fait, voire pourquoi c'est fait...
Comme toute bonne FAQ, il y a des réponses aux questions classiques.
L'article se termine par une série de liens intéressants sur le sujet.
En résumé, une bonne source si vous vous posiez des question de base sur le thème.