S'il vous est comme moi, un jour, arrivé d'avoir besoin de laisser des utilisateurs déposer des fichiers sur une machine sans avoir autre chose que Ssh (scp et sftp). Vous vous êtes surement aussi demandé, si ces utilisateurs étaient sérieux et s'ils n'allaient pas se logguer directement (via ssh).
Pour faire bref, si vous souhaitez que vos utilisateurs ne puissent faire que du scp et du sftp, sans pouvoir se logguer (genre telnet pour ceux qui ne suivent pas). Je ne saurais trop que vous conseiller scponly.
Rebelote...
Selon le CERT et d'après un rapport de Rapid7, de nombreuses version de logiciels SSH possède une faille permettant de lancer des commandes de l'extérieur avec les privilèges de l'utilisateur du processus SSH ou de permettre des attaques par saturation (DOS).
Big brother is watching you !
Le Pentagone a reconnu mettre en place une gigantesque base de données. Celle-ci va recueillir toute transaction jugée « inhabituelle » dans le but de détecter des comportements de terroristes : achat de billet aller simple,...
Elle enregistrera les transactions financières, les achats...
Même si un moteur de recherche produit à peu près le même effet, vous pouvez avec kartoo obtenir une représentation visuelle de votre recherche. On voit ainsi se former des "nébuleuses". Essayez de taper votre nom/pseudo ou votre adresse e-mail pour voir...
Surement plus grave encore, en tapant le nom de plusieurs personnes, vous pouvez voir visuellement les liens eventuels qui les lient.
Réel progrès dans la recherche sur l'Internet ou danger pour votre vie privée ?
L'éditeur d'E-smith vient tout juste de sortir une nouvelle version de sa distribution sécurisée sous la référence E-Smith SME server 5.6. Au programme des améliorations : un noyau 2.4, le système de fichiers Ext3, une nouvelle version de FreeS/WAN ... Faisant preuve de changements conséquents, cette nouvelle version peut être la bonne occasion pour la tester ou la mettre à jour.
Je rappelle que quelques problèmes de sécurité étant apparus récemment sur les kernels (2.2, 2.4 et 2.5 sont sensibles à un DoS), sur KDE (2.x et 3.x) et Samba (2.2.2 à 2.2.6), certains patches (rustines?) et mises à jours sont disponibles.
Un LUG de Houston a découvert la présence d'un Cheval de Troie dans les dernières sources de la libpcap et de tcpdump disponibles sur le site de tcpdump.
Il semblerait que certains miroirs soient deja infectés.
Suite aux attaques régulières des industriels, depuis deux ans, sur le front du droit à la copie privée et du "fair use", de plus en plus d'experts et de personnalités prennent position contre les mesures délirantes (telles Palladium et TCPA) préconisées dans le but de "faire respecter les droits d'auteur" sur supports numériques (politique résumée sous l'abréviation DRM - Digital Rights Management).
Ainsi, John Halderman, de l'Université de Princeton, a examiné trois systèmes anticopie intégrables aux CD audio. Leur principe est simpliste : empêcher toute lecture depuis un lecteur évolué, i.e. capable d'accéder à toutes les tables d'allocation du disque (lecteurs de CD-ROM, etc.). Non seulement les mises à jour logicielles et matérielles rendront très vite ces technologies obsolètes, mais l'idée même d'une protection empêchant la lecture sur autre chose qu'un bête lecteur de salon est vouée à l'échec. Le chercheur propose l'alternative la plus intelligente et raisonnable qui soit : baisser le prix des CDs.
Petercam est la plus importante société de bourse indépendante en Belgique. Aussi implantée en Hollande, au Luxembourg, en Suisse et en Irlande.
Après avoir testé plusieurs solutions de PKI OpenSources et commerciales, Petercam a choisi
NewPKI,
"pour des raisons de respect des conditions OpenSource, pour la facilité de portage, pour sa souplesse d'utilisation et pour le support fourni".
La société mi2g spécialisée dans la gestion de risque va publier une étude classant les attaques recensées dans les dix premiers mois de l'année selon le système d'exploitation (OS) sur lequel elles ont été observées.
Une comparaison du nombre de failles relevées sur chaque système d'exploitation par rapport au niveau d'utilisation de ces systèmes dans le monde montre que Linux est affecté par un grand nombre de failles par rapport à sa part de marché.
Note du modérateur : les failles comptées concernent « les systèmes d'applications, les logiciels serveurs et les applications tierces ». Une distribution GNU/Linux contient largement plus de logiciels que les autres systèmes étudiés. On ne sait pas si les failles ont été comptées pour chaque distribution ou pour chaque paquet (genre apache et apache-ssl).
MISC, le magazine de la sécurité informatique, est sorti. Un peu en retard, certes, mais avec une nouvelle PAO tout en conservant le même contenu : virus, droit (un scan de port est-il légal ?), programmation, réseau, etc.
Le dossier est consacré aux protocoles réseau, et aux problèmes liés à leur structure même. En particulier, nous étudions les cas de DHCP et de DNS. Cependant, il existe aussi des attaques plus générales : l'homme du milieu et les dénis de services.
Mon cher Paul,
Désormais il ne saurait y avoir de réconciliation entre nous. Le dernier rapport de bogues sous Linux ne me laisse aucune illusion. Tes fichiers sont là où tu les as laissés. Si tu passes en semaine, tu sais comment m'allumer, si tu viens en week-end, le mot de passe est sous le clavier. N'oublie surtout pas de me quitter en sortant.
Julien ! des trous de sécurité il y en a dans tous les ordinateurs du monde :
dans les PC Windows de la gendarmerie, sous le capot de la babasse à Torvalds,
dans tous les BSD, les MacOS et les Amiga, et même dans les stations ultra-sécurisées de la NSA !
...
Windows, windows la porte ouverte comme tu disais, installé pour les jeux comme tu disais, m'a fait voir sans passer par Linux et sans console de jeu a midi les virus,
et à minuit les disques dur en feu !
Adrien ! comment as-tu pu croire que ton système est sans bogue !? tu sais bien que c'est avec l'âge qu'on acquiert de l'expérience. Sur windows, plus âgé, c'est aux fonctionnalités qu'on reconnaît les programmeurs. La sécurité c'est une affaire de marketing. Les copains de cellule veillent sur les rapports de bogues. Victor ! ton Linux n'a pas de chargé de comm'.
Désormais il ne saurait y avoir de réconciliation entre nous et cette lettre n'a d'autre objet que de mettre fin à la partition désormais sans système qui unissait une console
toute vibrante des remous et des assauts d'un clavier et un geek toujours hésitant entre le script kiddy sur windows et l'3l33t sous Linux.
Signé: Ta station
Je sais c'est pas très réussi. C'est un pastiche (de mémoire) du poème « Réponse de la bergère au berger », de Jean-Pierre Rosnay. Je voulais attirer votre attention sur l'article « Is Linux Really More Secure Than Windows? » posté sur osopinion.com (qui fait penser à une dépêche postée il y a quelques jours). On y sort le grand pipotron. On dirait du marketing viral bien orchestré.
Curious Yellow est un super-vers (théorique), capable d'infecter rapidement des hôtes vulnérables à une ou plusieurs failles données, dans la lignée des Flash-worm et autres Warhol-worm.
Cet article décrit plus précisément les mécanismes de duplication d'un tel ver, ainsi que les moyens de le contrôler, de le mettre à jour ou même de le combattre (Curious Blue).
Note: que ça soit avec Curious Yellow ou Curious Blue, l'utilisateur final perd en partie le contrôle de sa machine, non ?
Pour aider les administrateurs réseau, l'agence fédérale participe au recensement des 20 failles de sécurité les plus critiques sous Windows et Unix. Une initiative qui fait suite au plan Bush sur la "cybersécurité".
Pas content Dom quand on pique l'argent du projet abiword... Un conseil, si vous avez des sous chez Paypal, comptez vos billes ...
NdM: PayPal est un système qui permet d'effectuer des transferts d'argent, c'est une sorte de banque en ligne. Il semblerait cependant que le projet AbiWord ait eu quelques soucis avec, puisqu'ils y ont perdu 600$. Si LinuxFr devait faire un système de dons en ligne, lequel pourrions-nous utiliser alors ? Quelqu'un a t-il des contacts avec des banques pour que ça ne nous coûte pas trop cher ? :-)
Self-Certifying File System (ou SFS) est un projet sponsorité par DARPA dont le but est de permettre un accès global et sécurisé à un système de fichiers avec un contrôle décentralisé.
A l'aide de SFS, n'importe quel utilisateur peut accéder à n'importe quel serveur sans reposer sur des parties tierces ou des administrateurs système ayant le contrôle sur le serveur.
SFS fonctionne sous systèmes Unix-like et Linux. Le seul prérequis est le support de NFS v3. Il a été testé sur *BSD, Solaris et Linux.
Au menu pas mal de bugfixes et d'améliorations.
Extraits du changelog :
* Improved support for Privilege Separation (Portability, Kerberos, PermitRootLogin handling).
* ssh(1) prints out all known host keys for a host if it receives an unknown host key of a different type.
[...]
Pour la suite, voir les liens
Packet Excalibur est un nouvel outil de fabrication et d'analyse de packets, graphique et multi-plateformes. Ses intérêts sont une vision claire des couches réseaux - si vous voulez mieux les comprendre, c'est simple comme un clic -, la possibilité d'avoir des scripts d'envoi et de réception de packets, et une description de chaque protocole sous forme de fichier texte.
Non, ce n'est pas un outil pour script-kiddies, c'est aussi un outil d'apprentissage et de tests.
David A. Wheeler a écrit un excellent HOWTO concernant la sécurisation des applications que l'on développe. Et ceci non seulement pour les langages « traditionnels » mais aussi pour d'autres comme langages comme le perl, le php, le shell, ...
C'est une réelle mine d'or qui gagne à être sur votre bureau à tous les stades du développement.
Voici un petit dossier de 01net sur les solutions de sécurité réseau en Open Source. Il s'agit surtout de les comparer avec les logiciels propriétaires disponibles. On y parle de filtrage IP, de détection d'intrusion et de PKI.
On y retrouvera les habituels arguments, à savoir d'une part la qualité des logiciels Open Source face aux logiciels propriétaires, et d'autre part, le manque d'intégration et d'interface centralisée entre les composants Open Source.
On y trouve aussi des exemples de sociétés ayant fait le choix des solutions ouvertes.
Il est fortement conseillé de mettre à jour vos serveurs web: de nouveaux trous de sécurité ont été trouvés dans Apache 1.3.26 et versions précedentes. Entre autres: des risques de Denial-of-Service locaux, des risques de "cross site scripting" via les pages d'erreur 404 et divers "buffer overflows". (cf. le link ci dessous pour plus de détails). Merci à Tomasera@#linuxfr pour l'info :-)
Voici un article "d'introduction" très complet à GPG (GNU Privacy Guard), l'équivalent libre du logiciel de chiffrement PGP (Pretty Good Privacy) de Zimmerman.
L'article explique la problématique de la confidentialité, les systèmes à clés publiques et à clés privées, la signature, et les serveurs de clés.
Un court paragraphe est dédié aux interfaces graphiques les plus utilisées.
Vous n'avez plus aucune excuse de ne pas l'utiliser!
Une étude réalisée du 14 au 16 septembre 2002 sur l'ensemble du domaine ".fr", a établi que, sur un échantillon représentatif de 134.149 sites Web, 13.9% des serveurs Web Sécurisés sont vulnérables à la faille de sécurité "OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow" découverte le 30 juillet 2002.
Celle-ci est particulièrement sérieuse, car elle est actuellement exploitée par le vers Linux.Slapper.Worm.
14000 machines ont déjà été confirmées comme étant infectées.
NdM: laurentn rajoute :
« La faille se situe dans le module OpenSSL d'Apache qui permet les transactions cryptées sur le Web. Le ver reconnaît ses proies en envoyant une requête GET sur le port 80 du serveur pour reconnaître le système Apache. Une fois Apache trouvé, le ver va essayer de se connecter au port 443 du serveur, pour lui envoyer son code. Ce dernier est ensuite compilé avec GCC et les binaires sont exécutés. Le fichier est alors placé dans "/tmp". »
Confidentialité et sécurité dans les professions sensibles.
Les personnes qui passent de Windows à Linux sont souvent motivées par les problèmes de sécurité et de confidentialité , qui sont rarement pris en compte dans les petites entreprises et les professions libérales.
Combien de chefs d'entreprises sont conscients des risques qu'ils prennent lorsqu'ils généralisent l'utilisation de Windows sur leurs machines ?
- Gestion des licences : les organismes en charge de la lutte anti-piratage (APPA, BSA, ADAPI) annoncent périodiquement leur intention d'intensifier leurs contrôles. Si les textes sont respectés à la lettre, plus de 80 % des dirigeants seraient condamnés.
- Confidentialité : les professions sensibles (avocats, experts comptables, notaires, détectives) sont en majorité équipés de Windows, et en particulier du couple Internet explorer + Outlook .Combien d'informations sensibles ont-elles déjà été divulguées à cause des multiples failles de sécurité ?
- Secret professionnel : imaginez que votre médecin dévoile à tous ses correspondants votre maladie à cause d'un document Word indiscret, que votre avocat dévoile à la partie adverse son plan de défense, ....
- Guerre de l'information : les structures qui ne disposent pas de service informatique sont des cibles privilégiées pour des attaquants (voir à ce sujet l'article de la revue MISC N°3.)
Bref, les petites entreprises sont-elles condamnées à ignorer Linux ?
Note du modérateur : comme l'a signalé Niconux, même MS déclare que ses produits ne sont pas conçus pour la sécurité (voir le 3ème lien)
NewPKI est une nouvelle solution de PKI libre (NdM: licence propre au logicel, libre, copyleftée, et, semble-t'il compatible GPL) développée autour d'OpenSSL.
Le serveur et le client peuvent être installé sous GNU/Linux ou sous Windows (9x comme NT/2000).
Le serveur s'appuie sur une base de données MySQL pour le stockage des données, ce qui permet une grande flexibilité.
Voici quelques fonctionnalités supportées par NewPKI :
- Gestion de multiples AC dans un seul serveur.
- Publication dune demande de certificat depuis un PKCS10.
- Publication dune demande de certificat en saisissant les champs du DN.
- Gestion en PKCS12 des clés privées des certificats.
- Gestion des SmartCards.
- Recherche dans un LDAP et publication du certificat.
- Recherche de certificats et des demandes.
- OCSP responder.
- Possibilité d'utilisation de modules hard pour stocker les clés d'AC.
- Toutes les fonctionnalités courantes pour une PKI (révocation, création de CRLs, etc.).
