La fin du piratage des imprimantes par le réseau, c'est pour maintenant.

Posté par  . Modéré par Benoît Sibaud.
Étiquettes : aucune
0
1
avr.
2003
Sécurité
Ca y est, après deux longues années de réflexion, l'IETF (Internet Engeneering Task Force) a enfin résolu de manière définitive tous les problèmes de sécurité des réseaux.

La sécurité ne rimera pas avec crypto, ni avec parano. Un mécanisme simple va être ajouté dans IPv4 (il semblerait qu'il y ait un consensus pour porter le système dans IPv6) ce qui permettra de rendre totalement transparente cette couche sécurisée. La RFC n'est pas très longue, espérons qu'elle aura autant de succès que les précédentes.

Mise à jour : les dépêches IETF datées 1er avril sont des poissons d'avril. Voir par exemple la liste de DMOZ

Vol des serveurs Tuxfamily

Posté par  (site web personnel) . Modéré par Benoît Sibaud.
Étiquettes :
0
1
avr.
2003
Sécurité
Communiqué de Tuxfamily repris par LinuxFrench et LinuxFr :

« Bonjour, cette nuit nous avons du faire face à un évènement inimaginable : les serveurs TuxFamily ont été volé. La porte de la baie contenant les machines a été fracturée. Les responsables de la salle machine n'ont fait aucun commentaire. Nous allons porter plainte dans la journée.

Quoiqu'il en soit, grâce au prêt d'une OpenBrick par notre partenaire Lost Oasis, TuxFamily continue de fonctionner. Malheureusement, nous n'avons pu que restorer des backups du vendredi 13 janvier 2003. De plus, pour assurer un service de qualité sur une plateforme réduite, nous avons décidé de ne remettre en ligne que les services des membres de l'association TuxFamily à jour de leur cotisation. Nous n'avons pas encore décidé si l'hébergement gratuit va perdurer dans sa forme actuelle.

Si votre site ne fonctionne pas, nous vous engageons à envoyer au plus vite votre chèque d'adhésion à l'adresse http://tuxfamily.org/?action=assoc. »

Mise à jour : c'était évidemment le poisson d'avril de Tux Family

Nouvelle faille de sécurité dans Sendmail

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
31
mar.
2003
Sécurité
Une nouvelle faille de sécurité vient d'être mise à jour dans Sendmail, versions 8.12.8 et précédentes. Il n'est pas impossible que cette faille puisse mener à un accès root distant. Elle serait aussi plus facilement exploitable sur les systèmes petit boutistes. Seuls les systèmes dont le type char est signé sont vulnérables tels quels.
Bien sûr une version corrigée de Sendmail est d'ores et déjà disponible

Encore des fuites de vulnérabilités ?

Posté par  . Modéré par Nÿco.
Étiquettes :
0
26
mar.
2003
Sécurité
Récemment des alertes non-publiées/non-publiques ont été postées sur des listes de diffusion. Ce n'est pas la première fois que cela arrive, mais la tendance étant quand même à l'augmentation de la fréquence de ce genre d'incidents..

Une présentation (lors d'Eurosec 2003) sur le sujet soulève également quelques questions intéressantes sur le sujet (full-disclosure vs vendor only, quand patcher, etc).

Concours sécurité informatique

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
0
24
mar.
2003
Sécurité
Comme indiqué sur la page du projet, le "Challenge-SecuriTech est un concours organisé par un groupe de 7 étudiants de l'école d'ingénieurs E.S.I.E.A. dans le cadre d'un projet scolaire."
Il est ouvert à tous et comporte trois parties:
- cryptographie/stéganographie
- réseau
- analyse et recherche de failles
Le challenge aura lieu du 28 avril au 20 mai 2003 et une conférence aura lieu le 21 mai.

Le Thinkpad R40 d'IBM est compatible TCPA

Posté par  (site web personnel, Mastodon) . Modéré par Sylvain Rampacek.
Étiquettes :
0
7
mar.
2003
Sécurité
Ce matin, j'ai entendu une publicité d'IBM annoncant que le ThinkPad R40 dispose d'une puce de sécurité. Intrigué mais quasiment sûr de mon coup, je suis allé sur le site d'IBM pour me rendre compte que les derniers ThinkPad d'IBM possède bien une puce compatible TCPA v2.0. Le début de la démocratisation de la technologie TCPA pour le grand public, quoi !

Faille de sécurité importante dans Sendmail

Posté par  . Modéré par Amaury.
Étiquettes :
0
3
mar.
2003
Sécurité
Un faille de sécurité vient d'être découverte dans Sendmail. Celle-ci peut donner un accès root à une personne non autorisée. Il n'y a pas d'exploit connu à l'heure actuelle, mais chacun est très fortement encouragé à patcher son système ou à passer à la dernière version, dans les plus brefs délais.

NdM: Encore un buffer overflow dans Sendmail. La protection contre l'exécution de la pile semble être inefficace ici. Pas encore d'infos sur l'efficacité de StackGuard/ProPolice vis à vis de cette faille (en fait, il n'y a pas encore d'exploit pour tester si ProPolice fonctionne ou pas dans ce cas). RedHat et OpenBSD semblent être les premiers à avoir livré des patchs pour leurs systèmes respectifs.

N'hésitez pas à poster en commentaire les URIs vers les patchs de votre système/distribution favorite !

md5deep, le plein de vitamines pour md5sum

Posté par  . Modéré par Amaury.
Étiquettes :
0
3
mar.
2003
Sécurité
Programmé par un agent de L'United States Air Force Office of Special Investigations, md5deep est similaire au programme md5sum du paquet GNU Coreutils. Il lui ajoute trois fonctionnalités, précieuses dans le cadre de la vérification d'un système informatique :
- récursivité, par le biai d'un flag -r ;
- calcul du temps nécessaire à l'opération de contrôle (utile avec de gros systèmes de données) ;
- comparaison entre deux fichiers (pour vérifier que les diverses manipulations sur le "patient" n'ont pas endommagé ou corrompu les données, précieux éléments de preuve).

Nouvelle version majeure de Nessus : 2.0

Posté par  . Modéré par Nÿco.
Étiquettes : aucune
0
25
fév.
2003
Sécurité
La version 2.0 de Nessus vient de sortir.
Une grande partie du code a été reécrit pour améliorer la vitesse du démon nessusd.
Quelques autres nouveautés sont le support des ID de Bugtraq dans les plugins et un nouveau scanner de port.

Flexbackup sort en version 1.01

Posté par  . Modéré par Nÿco.
Étiquettes :
0
12
fév.
2003
Sécurité
Dans le monde des admins système, il y a ceux qui ont déja connu un crash disque ou une fausse manip du comptable qui efface tout l'exercice fiscal juste avant la clôture, puis se sont aperçus avec horreur qu'il n'y avait pas de sauvegarde récente...

Composition de l'observatoire de la sécurité des cartes de paiement

Posté par  . Modéré par Xavier Antoviaque.
Étiquettes :
0
12
fév.
2003
Sécurité
Suite à l'affaire Humpich (oui, ça date déjà...) qui avait in fine mis au jour la position juge-et-partie du GIE Carte Bancaire, le gouvernement Jospin avait alors mis en oeuvre deux réformes. En toute discrétion... La première était la réforme du SCSSI, transmuté en DCSSI. La seconde était la création d'un Observatoire de la sécurité des cartes de paiement. Or ses membres viennent d'être nommés...

L'Union Européenne s'interesse à .Net Passport et Liberty Alliance

Posté par  . Modéré par Benoît Sibaud.
Étiquettes : aucune
0
3
fév.
2003
Sécurité
Le 29 janvier 2003, le groupe de travail Article 29 représentant les autorités de l'UE chargées de la protection des données, a publié un document sur les systèmes d'authentification en ligne.

Au regard de la directive 95/46 CE portant sur le traitement des données personnelles, ce document présente les observations du groupe de travail sur le système .NET Passport et sur le projet Liberty Alliance ainsi que les lignes directrices générales pour tout système d'authentification en ligne présent ou futur.

Le rapport contient un tableau comparé des possibilités offertes à l'utilisateur en matière de protection de données personnelles par les technologies suivantes : Mozilla Password Manager, authentification par proxy, Microsoft Passport, Liberty Alliance.

Traductions françaises pour Shorewall

Posté par  . Modéré par Pascal Terjan.
Étiquettes : aucune
0
3
fév.
2003
Sécurité
L'auteur de ce superbe outil de firewall qu'est Shorewall a mis en ligne mes traductions des 3 guides d'installations.
Le premier couvre l'installation et la configuration de Shorewall sur un PC seul.
Le deuxième concerne la mise en place et la configuration pour un serveur/routeur.
Et le troisième se consacre à la configuration d'un serveur/routeur possédant aussi une DMZ.

Je souhaite que vous trouviez ces guides utiles :)

Utilisation de Systrace

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes : aucune
0
2
fév.
2003
Sécurité
Le site O'ReillyNet propose un article d'introduction à Systrace.

Systrace est un outil développé par Niels Provos (développeur d'OpenSSH entre autres) présent sur OpenBSD et NetBSD permettant de renforcer la sécurité de son système. Pour chaque programme exécuté sur une machine, Systrace permet de définir un ensemble d'appels système (system call) que le logiciel a le droit ou non d'éxecuter : ouverture/écriture de fichiers, ouverture, lecture/écriture d'une socket TCP/IP, allocation de mémoire...

Pour un programme donné, on peut définir une politique de sécurité avec Systrace lors de sa première exécution ou alors récupérer sur le Net une signature déjà rédigée.

Dans le cas d'un programme bogué et utilisé pour commettre un "hack", si Systrace est utilisé et correctement configuré pour ce logiciel, il permet d'empêcher une utilisation malicieuse (piping d'un shell sur un serveur Wu-FTP lors d'un buffer-overflow distant par exemple).

La sécurité en question...

Posté par  . Modéré par Amaury.
Étiquettes : aucune
0
30
jan.
2003
Sécurité
L'équipe de LinuxFrench a interviewé HSC, société experte dans la sécu (dont les news sont dispo sur tootella), et le moins que l'on puisse dire c'est que les questions posées ainsi que les réponses données sont vraiment intéressantes et apportent un éclairage sur les besoins en matière de sécurité sous *nix en général.

Un ver pour VIM

Posté par  (site web personnel) . Modéré par Benoît Sibaud.
Étiquettes :
0
28
jan.
2003
Sécurité
L'ouverture d'un fichier texte sous VIM peut déclencher l'exécution d'un code malicieux. Cet exploit posté mardi dernier sur neworder et mis en forme pour réaliser un ver, peut être évité en ajoutant la ligne "set modelines=0" dans votre .vimrc.

Note du modérateur : comme d'hab, mettre à jour avec les nouveaux paquets fournis par l'équipe sécurité de votre distribution. J'ai rajouté les liens vers les 4 dernières références.

TCPA/Palladium va attenter à la GPL

Posté par  . Modéré par kalahann.
Étiquettes :
0
24
jan.
2003
Sécurité
TCPA et Palladium, deux technologies en cours de réalisation par les géants de l'informatique vont vous obliger à migrer vers des solutions non GPL.

En effet, selon Ross Anderson, de l'Université de Cambridge, deux entreprises au moins ont déjà commencé à travailler sur une version TCPA de GNU/Linux.

Note d'information du CERTA

Posté par  (site web personnel) . Modéré par Pascal Terjan.
Étiquettes : aucune
0
20
jan.
2003
Sécurité
Le CERTA (Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques) a publié fin novembre dernier une note d'information relative à une attaque perpétrée sur un serveur. Cela va de la découverte d'indices d'attaque jusqu'à l'analyse et l'explication du déroulement de l'attaque. Intéressant à lire.

Phrack #60 est sorti

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
3
jan.
2003
Sécurité
Au menu, d'excellents articles sur le 'arithmetic overflow', que vous *devez*
connaître si vous voulez vous prétendre un programmeur un tant soit peu sérieux.

Je vous mets en lien quelques bugs courants qu'on a tous fait un jour et que vous ne devez plus jamais faire après lecture de ces excellents articles.

Le hacker héroïque Mitnick va pouvoir surfer à nouveau sur Internet

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
27
déc.
2002
Sécurité
Mitnick a été libéré en janvier 2000. Il ne pouvait cependant utiliser des ordinateurs, des logiciels, des modems ou tout autre moyen de se connecter à Internet sans l'autorisation du gouvernement avant janvier 2003.

M. Mitnick a été autorisé à utiliser un téléphone mobile depuis deux ans et a obtenu la permission cette année d'utiliser un ordinateur non connecté à Internet pour taper un manuscrit.

Adoption de l'EUCD retardée

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
24
déc.
2002
Sécurité
L'adoption de l'EUCD était prévue le dimanche 22 au soir. Seuls la Grèce et le Danemark ont signé, pour intégrer l'EUCD dans leur législation locale. Pour les autres pays, tout est encore possible, mais pour combien de temps ?

Sftp et Scp sans se logguer

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes : aucune
0
22
déc.
2002
Sécurité
S'il vous est comme moi, un jour, arrivé d'avoir besoin de laisser des utilisateurs déposer des fichiers sur une machine sans avoir autre chose que Ssh (scp et sftp). Vous vous êtes surement aussi demandé, si ces utilisateurs étaient sérieux et s'ils n'allaient pas se logguer directement (via ssh).

Pour faire bref, si vous souhaitez que vos utilisateurs ne puissent faire que du scp et du sftp, sans pouvoir se logguer (genre telnet pour ceux qui ne suivent pas). Je ne saurais trop que vous conseiller scponly.