Les éditions O'Reilly viennent d'éditer un ouvrage - qui ne saurait être que de référence - sur les solutions Libre/OpenSource d'Infrastructures de Gestion de Clefs (PKI).
Les 600 pages de cet ouvrage abordent et décrivent sous tous ses aspects la problématique de mise en oeuvre d'une IGC à l'aide de logiciels Libre et OpenSource (dont OpenSSL, OpenCA, IDX-PKI).
Savannah, le système de developpement "sourceforge-like" proposé par le projet GNU, a été compromis, et cela depuis le 2 novembre.
Il semble que la faille utilisée pour accéder au système soit la même que celle utilisée pour accéder aux serveurs de Debian le 20 novembre dernier.
- Utilisation de la même faille de sécurité dans le kernel do_brk()
- Installation du même rootkit (Suckit)
Les serveurs de Savannah ne seront remis en route qu'au mieux pour le 5 décembre.
Le 2 décembre, c'est un serveur Gentoo qui a été compromis, mais aucun fichier n'a été affecté.
Update : le serveur rsync a été compromis en utilisant une faille de rsync lui-même (heap overflow). Toutes les versions <= 2.5.6 sont vulnérables à cette faille qui a été corrigée dans la version 2.5.7 sortie hier. Seuls les rsync fonctionnant en mode serveur sont affectés. Merci à Baptiste Simon pour cette information.
Knoppix, le système Linux en CD bootable, sort une mouture orientée securité avec ce qu'il faut pour transformer n'importe quel PC en machine de guerre sans rien y installer .
Le softs sont rangés suivant les catégories :
- authentication
- encryption utilities
- firewalls
- penetration tools
- vulnerability assessment
- forensic tools
- honeypots
- intrusion detection
- packet sniffers and assemblers
- network utilities
- wireless tools
- password auditing (crackers)
- servers
Werner Koch a annoncé ce matin la découverte par Phong Nguyen d'un bug critique dans GnuPG. Ce bug permet d'obtenir en quelques secondes la clé secrète de certaines personnes, pouvant ainsi usurper leur identité ou déchiffrer les courriers qui leur sont destinés.
Heureusement, seules les doubles clés utilisant ElGamal pour la signature et le chiffrement sont affectées, et leur nombre total est estimé à environ un millier.
Une vulnérabilité de type buffer overflow a été identifiée dans Apache. Le problème se situe dans les modules « mod_alias » et « mod_rewrite », l'exploitation nécessite un fichier .htaccess spécifique. Dans Apache 2 le socket AF_UNIX utilisé par « mod_cgid » afin de communiquer avec le daemon cgid ou des scripts CGI n'est pas correctement manipulé.
mod_security (Apache 2) est touché quant à lui par une vulnérabilité locale. Cette faille est causée par une erreur dans la manipulation des données générées par le serveur, ce qui pourrait être exploité via des fichiers PHP/CGI spécifiques afin d'exécuter des commandes avec les privilèges du serveur httpd.
Ce livre blanc « Filtrage de paquets sous GNU/Linux - Filtrage et politique de sécurité », d'une trentaine de pages disponible en PDF, décrit les différents aspects de la sécurité informatique d'un réseau ainsi que son implémentation par des logiciels libres.
À travers la description fonctionnelle des différentes briques de la sécurité, il décrit la place maîtresse d'un filtre de paquet dans un réseau, mais également l'importance de la définition d'une politique de sécurité et la nécessité de maîtriser tous les composants et toutes les couches de son réseau.
Le premier patch de sécurité (qui ne soit pas un système de contrôle d'accès à la SELinux ou à la RSBAC) pour le noyau 2.6 a vu le jour, il s'agit d'un port basique de la partie du patch PaX (patch utilisé pour la protection de l'espace d'adressage dans grsecurity) concernant la randomization de l'espace d'adressage.
Un article sur SecurityFocus.org fait suite à la présentation de la technique des TARPITS (cf : lien vers l'ancienne dépêche).
Cette fois, c'est l'utilisation de deux type de honeypots différents, dont le démon honeyd, qui est détaillée, dans le cadre de la lutte contre les vers.
Le but étant de : piéger le ver pour l'étudier, ralentir sa propagation, déclencher des alarmes, prendre différentes mesures de protection, et même le contrer en désinfectant le système source de l'attaque.
En fin d'article, on a droit à un exemple de désinfection de Blaster.
Dans le cadre de la refonte de son architecture d'annuaires LDAP, la Direction Générale de la Comptabilité Publique (Ministère des Finances) a récemment publié ses travaux concernant l'adaptation d'Apache en reverse proxy. Cet équipement permettra de réaliser le Single-Sign On pour de nombreuses applications métier du Trésor Public. Ce projet se situe dans un environnement technique exclusivement composé de Logiciels Libre (Linux, OpenLDAP, MySQL, Perl ...) et est actuellement utilisé en production après avoir subi une série de tests de performances très concluants.
Certains se demandaient si la suite Sentry qui se compose de logcheck et de portsentry allait totalement disparaitre depuis le rachat de Psionic (la société qui l'avait développée) par Cisco.
Logcheck comme son nom l'indique sert à verifier les logs et portsentry permet de détecter les scans de ports et d'y réagir directement.
Après plusieurs mois d'absence, cette suite a fait sa réapparition sur le site de sourceforge avec en plus une modification de la licence:
- GPL pour logcheck
- CPL pour portsentry
Pour les accros de la sécurité, ce petit kit très léger puisqu'il ne pèse que quelques Ko, founit un moyen très efficace de se défendre contre le nombre croissant d'analyses de failles faites par les pirates toujours plus nombreux. En plus de détecter un scan, portsentry va «logger» l'attaquant, éventuellement le bloquer et même si le coeur vous en dit lui renvoyer une bandeau de mise en garde.
Il existe un buffer overflow (débordement de tampon) dans mplayer qui, sous certaines conditions, est exploitable à distance. Il est conseillé de patcher.
La version 0.92 et les versions précédant la 0.90pre1 ne sont pas vulnérables. Le patch est disponible sur le site de mplayer.
Martin Roesch, l'auteur de Snort, s'est fendu d'un démenti officiel afin de calmer les esprits depuis qu'un groupe de pirates affirme avoir pénétré le réseau de Sourcefire et placé une porte dérobée dans Snort.
Des problèmes de sécurité viennent d'être révélé par le projet OpenSSL, la bibliothèque de cryptographie. La faille découverte permet un déni de services et une corruption de pile favorisant alors l'exécution de code hostile.
Toutes les versions inférieures à 0.9.6j et 0.9.7b sont affectées.
Il est recommandé de passer à la version 0.9.7c ou 0.9.6k et de recompiler les programmes liés statiquement à OpenSSL.
ISS a découvert un bug dans le traitement des téléchargements en mode ASCII, dans Proftpd.
L'attaquant peut obtenir un shell root en uploadant puis en téléchargeant en mode ASCII un fichier soigneusement choisi.
Tous les utilisateurs sont évidemment invités à patcher au plus vite.
Olivier HOUTE nous informe :
Faille dans sendmail (exploitable en local).
Une nouvelle faille de sécurité vient d'être trouvée
dans Sendmail (y compris le 8.12.9). Le site Sendmail n'est pas encore à jour, mais le patch est déjà disponible.
Samuel DUBUS nous apprend l'existence d'...
Une vulnérabilité dans la nouvelle version de OpenSSH !
Alors que la nouvelle version de OpenSSH vient à peine de sortir il y a deux jours, une vulnérabilité permettrant un déni de service sur le démon OpenSSH vient d'etre découverte. Cette vulnérabilité est exploitable sur toutes les versions d'OpenSSH jusqu'à la version 3.7. Une nouvelle version est déjà disponible sur le site de OpenSSH : la 3.7.1.
Alors, pour ceux qui ne sont pas à jour ... direction le site de téléchargement d'OpenSSH.
OpenSSH est un célèbre serveur prenant en charge les protocoles SSH version 1.3, 1.5 et 2.0.
Il vient juste de sortir une nouvelle version, la 3.7. La mise à jour est recommandée puisqu'un bug potentiellement exploitable au niveau de la sécurité a été corrigé.
NdM : La page en français n'est pas encore à jour.
La première version publique de NuFW vient de sortir. NuFW est un ensemble de démons permettant de réaliser un filtrage des paquets au niveau utilisateur.
Cette version propose :
- un démon relai à implanter sur le firewall
- un client pour linux et TCP
- un démon réalisant la synthèse des deux précédents et utilisant une base LDAP pour le stockage.
Un article sur Securityfocus nous explique comment des tests sont réalisés grâce à IPtables, pour ralentir la propagation des vers.
Attention il s'agit d'une méthode expérimentale, à ne pas utiliser sur des systèmes en production.
Le principe est d'accepter les connexions TCP, sur les ports non utilisés (les cibles potentielles d'un vers), de les garder actives un certain temps, mais sans répondre. L'effet produit est que le ver doit attendre la fin de son délai d'attente de réponse (« connection timeout »), pour déconnecter.
Bien sûr entre temps, la machine ne répond pas à d'éventuelles demandes de déconnexion du ver.
L'article indique que le patch du noyau devrait être disponible par défaut dans la distribution Gentoo.
NdM: Le serveur de netfilter ne répond pas, auraient-ils par erreur fait un iptables -A INPUT -p tcp -m tcp --dport 80 -j TARPIT ? :-)
L'informatique va-t-elle contribuer à relancer l'industrie spatiale ? C'est en tout cas ce que projette TransOrbital de La Jolla. Le but étant de proposer de mettre des données à l'abri d'un événement de type 11 septembre ou d'un conflit.
Transorbital a obtenu toutes les autorisations des départements d'état des États-Unis, de l'armée et de la NASA. Les tirs commenceront à partir du premier trimestre 2004.
Je n'ai pas réussi à savoir quel sera le serveur de sauvegarde qui sera utilisé...
Pour ceux qui n'avaient pas été présents à SSTIC (une conférence sur la sécurité organisée par MISC), les présentations et les papiers associés sont enfin disponibles sur le site.
Seul point noir, la présentation du général Jean-Louis Desvignes n'est pas encore disponible. On pourra noter déjà l'enthousiasme des organisateurs pour une nouvelle version de cette conférence pour 2004.
La Guilde (Groupement des Utilisateurs Linux du Dauphiné) organise une conférence Linux sur le Firewall et la sécurité d'un réseau personnel.
Cela se passe à l'ENSIMAG, sur le campus de campus de Saint Martin d'Hères (à coté de Grenoble, 38), le mercredi 2 juillet à 20h00.
L'entrée est libre, venez nombreux !
Le Gartner Group a publié un article expliquant que les IDS n'avaient, selon eux, que peu d'utilité. Les analystes ont indiqué qu'il était préférable de dépenser le budget leur étant affecté pour acheter de nouveaux pare-feux (firewall) analysant les couches supérieures des trames réseaux.
Les expériences des lecteurs de Linuxfr sur les IDS et les pare-feux applicatifs sont les bienvenues.
Devant la popularité sans cesse croissante des "pots de miel" ou honeypots, Lance Spitzner de tracking-hackers.com se pose la question de leur légalité vis à vis de la législation aux Etats Unis.
Le problèmes des honeypots c'est qu'ils touchent à 3 points gérés par le législateur:
- l'incitation au crime
- la vie privée
- la responsabilité
Chacun de ces points est présenté et analysé.
Comme le précise l'auteur, ces réflexions lui appartiennent et ne tiennent pas lieu de vérité absolue.
NdR : N'étant pas expert en droit français je me demande si ces questions ne sont pas aussi pertinentes de ce côté-ci de l'Atlantique?
Les déclarations intéressantes du général Jean-Louis Desvignes (ancien chef du service central de la sécurité des systèmes d'information et actuel commandant de l'Ecole supérieure et d'application des transmissions - l'ESAT, chargée de former les informaticiens de l'armée) lors du 1er Symposium sur la sécurité des technologies de l'information et de la communication (SSTIC) à Rennes.
Il parle de la restriction de la vie privée, des techniques "anti-piratages" (TCPA, Palladium, tatouage de puces), pousse un "Vive les logiciels libres" et dit notamment que "l'administration doit donner l'exemple, et le recours aux logiciels libres "prendrait plus de sens s'il était réellement soutenu à l'échelle de l'Union Européenne"". Enfin il cause de cryptographie et du faux problème de la longueur des clés. Rien que de bonnes idées !
Je profite de la sortie de la version 1.0.10 pour attirer l'attention sur "Firewall Builder".
Ce petit logicel en licence MIT, vous permet de configurer graphiquement vos règles de filtrage, NAT (destination et source) et autres. La philosophie de l'interface ressemble beaucoup à celle de Checkpoint Firewall-1
Il est multi-plateformes : iptables, ipfilter (FreeBSD, Solaris), pf (OpenBSD), ipfw (MacOS X) et désormait les PIX de CISCO.
