Passez sous le nez de Snort

Posté par  . Modéré par Amaury.
Étiquettes :
0
18
avr.
2002
Sécurité
Il y a 2 jours, un hacker a présenté sur la liste de diffusion ids-focus un outils d'évasion d'IDS (Système de détection d'intrusions en français) : fragroute. Ce programme permet de passer un exploit ou toute autre attaque sous le nez de Snort et à la barbe de la quasi-totalité des IDS (libres ou commerciaux) sans que ceux-ci ne génèrent la moindre alerte !

Fragroute est l'implémentation des techniques d'évasion d'IDS décrites dans "Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection", un document que je conseille à toutes les personnes interressées par les IDS de lire...

Mise en place d'un firewall « fort »

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
12
avr.
2002
Sécurité
Nos confrères de ZDNet Australie abordent aujourd'hui un thème en vogue avec l'avènement du haut débit dans les foyers français : je veux parler des firewalls ou pare-feux dans la belle langue de Voltaire. De surcroit, leur attention s'est portée sur les pare-feux sous Linux.

En effet, Les solutions pare-feu sous Linux n'ont cessé de se bonifier avec le temps grâce en grande partie au couple phare : netfilter/iptables. Ces derniers fournissent une solution robuste, mais néanmoins flexible pour ce genre de tâche.

Pour ceux qui ne les connaîtraient pas encore, netfilter est le nom du projet et iptables est le nom de la composante logicielle. Le fait est que c'est un système intégré dans les noyaux Linux 2.4.x et qui a en charge le filtrage de paquets.

A découvrir d'urgence !

Bidouiller dans le /proc pour sécuriser son Linux

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
10
avr.
2002
Sécurité
LinuxGazette propose un article assez clair sur quelques-unes des options du /proc, en particulier, celles relatives à la configuration de la couche TCP/IP du noyau Linux. Vous saurez alors quel est l'effet du fameux 'echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter'
rencontré dans certains scripts de config firewall.

Malheureusement, l'article ne survole que quelques-unes des possibilités, certes, les plus utiles, comme la non prise en compte des messages ICMP, ou la protection contre les attaques tcp_syncookies.

D'autres articles permettent de mieux couvrir certains domaines de cette partie (souvent ignorée) de la configuration du noyau Linux.

firewall pizzahut-powered

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
10
avr.
2002
Sécurité
En surfant au hasard je suis tombé sur ce site anglais proposant un firewall Linux tenant dans une boite en carton de pizza.

Le plus gros est qu'on peut effectivement la commander en ligne :-)

Malheureusement le site ne dit pas s'il faut rajouter de la mozarella...

Entrevue avec Steve Gibson

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
5
avr.
2002
Sécurité
PortaZero a interviewé Steve Gibson au sujet de la sécurité, de l'Internet et du fait d'utiliser FreeBSD à la place de Linux.

« Mon système d'exploitation est FreeBSD UNIX. Il est incroyablement stable, mûr et sûr. Je suis quelque peu inquiet du fait que Linux soit devenu "courant", ses qualités peuvent souffrir du fait de la pression (pour avoir de nouvelles fonctionnalités ou pilotes). [...]
Pour cela je ne commencerais pas à l'utiliser maintenant. J'ai plutot choisi FreeBSD. »

La suite dans l'article...

NdR: Cette nouvelle est une libre adaptation (et/ou adaptation libre ;) ) de celle de RootPrompt
NdR2: portazero.info se veut le site de la securité italien !

Création d'une mailing list de signature de clé GPG

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
3
avr.
2002
Sécurité
Annoncé aujourd'hui sur la mailing list de gnupg-users, la création d'une mailing list keysignings@lists.alt.org permettant à tous ceux qui ont des clés GPG d'annoncer leur passage dans une ville à l'avance, de sorte à pouvoir utiliser un voyage pour rencontrer des gens et signer leurs clés. Autrement dit, organiser un first d'échange de signature, à la volée, n'importe ou et n'importe quand.

Introduction à SNORT

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes : aucune
0
3
avr.
2002
Sécurité
LinuxFrench.net nous gratifie une nouvelle fois d'un bon article, et cette fois nous présente l'outil de détection d'intrusion (IDS) SNORT.

Bien souvent actif sur les firewall, cet outil permet de détecter d'éventuelles attaques en comparant le trafic réseau qu'il capture avec une base de données d'attaques connues. Il génère ensuite des logs qu'il est facile de mettre dans une base de donnée pour une exploitation facilitée.

Au menu donc:
- sniffer le réseau
- générer les logs
- détecter les intrusions

A voir ou revoir

Virus pour tout le monde

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
2
avr.
2002
Sécurité
Un article dans le Monde décrit les risques viraux nouveaux qu'entrainent l'interconnexion croissante des appareils électroniques. Des virus pour PDA, consoles de jeux jusqu'au virus pour réfrigérateurs !

L'article est plutot complet, il y juste une petite remarque issue d'un interview d'un membre du Clusif qui m'a fait réagir : [pour qu'un virus puisse être developpé] " il faut aussi qu'il existe des informations, des documents sur son fonctionnement". Comme si le closed source était gage de sécurité contre les virus.

Connexion au travers d'une passerelle

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
2
avr.
2002
Sécurité
«Depuis toujours nous supposions que les connexions vers l'extérieur étaient illimitées i.e. que vous pouviez établir autant de connexions TCP sortantes que vous vouliez. Même dans notre débat sur les pare-feux nous avons supposé qu'ils n'étaient restrictifs que sur le trafic entrant. Mais dans un environnement plus sécurisé ou plus règlementé, celà peut ne pas être le cas: en effet, il peut ne pas y avoir de connexion IP directe vers le monde extérieur.

Dans le monde des entreprises, il est souvent nécessaire de passer au travers d'un serveur proxy ou d'une passerelle: une machine connectée à la fois au réseau de l'entreprise et à l'extérieur. Bien que connectée aux deux réseaux, une passerelle ne fonctionne pas comme un routeur, et les réseaux restent séparés. De préférence, elle limite les accès au niveau applicatif entre les deux réseaux.»

Dans cette étude de cas, OnLamp aborde l'utilisation de SSH dans un tel environnement.

NdR: Le début de cet article est une libre traduction du début de l'article.

Script de création de répertoires cryptés (FS crypto)

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
29
mar.
2002
Sécurité
De plus en plus de distributions (SuSE 7.3, Mandrake 8.2) contiennent un noyau pré-compilé avec les patchs crypto pour gérer les FS cryptés. Mais elles n'incluent pas de GUI ou de script, et il faut se taper toute une procédure à coups de dd, de losetup et de chown, pour créer son container crypté.

MKCRYPTFS est un script complet qui fait tout le boulot, et qui est compatible avec les principaux systèmes de loop crypto actuels (loop-AES, cryptoapi, kerneli), avec ext2 et ext3, et avec tout noyau adapté pour.

Steghide en français !

Posté par  . Modéré par Benoît Sibaud.
Étiquettes :
0
28
mar.
2002
Sécurité
Le steghide nouveau est arrivé !

Ce programme de stéganographie, entièrement en GPL, en est maintenant à sa version 0.4.5 !
Mais, point important : il est francisé (grace au programme gettext) ! La francisation est loin d'être totale (messages d'erreur/d'aide pour l'instant), mais avance rapidement.

Voilà donc une bonne raison de tester ce programme... et cacher vos données les plus secrètes dans une gentille photo de votre grand mêre (ça n'est qu'une suggestion ;).

Pour ceux qui ne connaissent pas, un logiciel de stéganographie est, en gros, un programme qui permet de camoufler des données sensibles dans des fichiers anodins (souvent son ou image).

Géolocalisation disponible chez Bouygtel

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes : aucune
0
28
mar.
2002
Sécurité
Bouygues Telecom propose désormais la Géolocalisation pour ses clients pro. Pour l'instant ce n'est reservé qu'aux entreprises, pour permettre de localiser les coursiers par exemple. Espérons seulement que les employeurs notifieront bien les employés qu'ils utilisent le système.
Les commerciaux ne pourront plus vraiment mentir sur leur position. Contrairement aux prochaines solutions d'Orange et SFR, Bouygtel offre une meilleure précision (théorique, tout dépend de la couverture effective et du relief, des bâtiments...) grâce au sim-toolkit, donc une partie de la géolocalisation se fait côté client (mobile).

Galiléo est lancé

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
26
mar.
2002
Sécurité
Les ministres des 15 ont officiellement lancé Galiléo cet après-midi en débloquant 450 millions d'euros pour le lancement du projet. A terme, le projet coûtera 3,4 milliards d'euros (hors dépassement de budget ;-)).

Le premier lien pointe vers la brève de Yahoo!, le second vers un article déjà paru ici concernant les pressions américaines.

NdM: Galileo est (sera) un système de radionavigation par satellite européen qui permettra de ne plus dépendre de l'armée américaine comme pour le GPS.

Faille importante sous UNIX

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
20
mar.
2002
Sécurité
Une faille, affectant le daemon X Display Management Console Protocol (XDMCP) vient d'être relayée par le CERT sous le numéro VU#634847.

Cette faille n'affecte pas tous les systèmes UNIX mais quelques déclinaisons. La distribution Linux Mandrake serait affectée (jusqu'à la version 8.0) ainsi que les systèmes Solaris 2.6 (Intel et Sparc) et Solaris 7 Sparc.
En revanche, RedHat 7.2 ne serait pas vulnérable...

Cette faille permet une connexion en root sur le système attaqué.
Avant que la faille ne soit corrigée, il est recommandé de désactiver les connexions à distance et de filtrer le port 177.

Evaluation d'IPCop

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
18
mar.
2002
Sécurité
SecurityFocus nous propose une évaluation de la distribution IPCop.
IPCop est une distribution spécifique destinée à tourner sur une passerelle/firewall/proxy. Elle dérive du projet SmoothWall.

L'article nous explique que le support de SmoothWall est trop axé sur la version commerciale de cette distribution, voila pourquoi IPCop n'existe qu'en GPL.

On y trouve:
* firewall basé sur IPChains
* interface externe qui peut être un modem analogique, RNIS ou ADSL, et peut supporter les connexions PPtP ou PPPoE ADSL vers des modems USB ou Ethernet.
* support DMZ
* système d'administration par page web
* serveur SSH pour accès ditant
* serveur DHCP
* cache DNS
* TCP/UDP port forwarding
* système de détection d'intrusion (Snort)
* support VPN basé sur IPSec (FreeSWAN)

A découvrir d'urgence pour ceux que SmoothWall ont déçu, ou ceux qui cherchent une solution simple à mettre en oeuvre pour sécuriser un réseau.

Les Américains cherchent à couler Galileo.

Posté par  . Modéré par trollhunter.
Étiquettes :
0
17
mar.
2002
Sécurité
Galileo est un projet de l'Union concurrent du GPS américain.
Rappelons que le GPS permet de connaître une position au mètre prés sur toute la surface de la terre.
Au mètre prés, ou au kilomètre prés quand les Américains le décident.
Et ils ne s'en privent pas pour faire pression sur la diplomatie française. Car le GPS est massivement utilisé par l'Armée.
On imagine sans mal les problèmes qu'une précision kilométrique peut entrainer pour certaines applications.
C'est donc un élément stratégique indispensable à un pays souverain.
De plus Galileo n'est pas très coûteux à mettre en place, et il rapportera de l'argent.

Nouvel OpenSSH

Posté par  . Modéré par orebokech.
Étiquettes :
0
16
mar.
2002
Sécurité
Après les bugs "off by one" & "zlib double free", l'équipe d'OpenSSH est en train de travailler à une nouvelle version qui la rendrait insensible à ce type de bug, grâce à une séparation des privilèges.

De l'avis des développeurs :
"Previously any corruption in the sshd could lead to an immediate remote root compromise if it happened before authentication, and to local root compromise if it happend after authentication. Privilege Separation will make such compromise very difficult if not impossible."

Le code est actuellement utilisable sur OpenBSD, mais le portage vers d'autre *nix ne sera pas difficile.

Source : OpenBSD journal

Écriture de virus ELF pour Linux i386

Posté par  . Édité par Benoît Sibaud. Modéré par Amaury.
Étiquettes : aucune
1
14
mar.
2002
Sécurité

(réécrite et réaffectée suite à une purge de compte)

Le HOWTO « post-link-time code modification of ELF executables under Linux/i386 » indique diverses manières d'interférer dans des binaires ELF pour un système GNU-Linux.

Bridge filtrant avec Netfilter

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
8
mar.
2002
Sécurité
Pour le moment, pour mettre en place un pont filtrant sous Linux, on n'avait pas beaucoup le choix : en attendant quelque chose de propre et documenté avec le kernel 2.4 et NetFilter, il fallait se résigner à revenir en kernel 2.2 et lire le HOWTO Bridge+Firewall+DSL. Mais ce temps est révolu ! A nous les joies des ponts filtrants avec NetFilter !



Pour ceux qui ne comprennent pas ce que cela représente, imaginez que votre firewall Linux devienne "invisible" et qu'il puisse s'intercaler entre deux équipements (serveurs, routeurs, modems...) sans changer aucune configuration sur le reste de votre réseau (même plan d'adressage, rêgles de routage inchangées sur tous les équipements...). Si Si, c'est possible !
En gros, votre firewall Linux devient un switch mais il ne laisse passer que ce que vous autorisez... Pour ceux qui souhaitent intégrer un firewall dans un réseau déjà en place, c'est la solution idéale.

TEMPEST, version optique

Posté par  . Modéré par trollhunter.
Étiquettes : aucune
0
8
mar.
2002
Sécurité
Markus G. Kuhn, qui s'était déjà fait remarquer pour le déshabillage de cartes à puces, vient de présenter ses dernières études : il est possible de reconstituer l'affichage de votre écran à partir de senseurs optiques rapides, même à une certaine distance et après reflexion !
En effêt, ce qui nous semble être une image n'est qu'un spot se promenant sur des points de phosphore, une analyse dans le domaine optique permet de reconstituer la trame.
Joe Loughry propose aussi une application aux LEDs, de même que l'image d'un écran, la lumière d'une LED nous semble fixe alors qu'elle peut très bien clignoter (en général pour des raisons de basse consommation). Et dans le pire des cas, cette LED peut clignoter au rythme binaire de Rx ou Tx...

Trou de securite dans OpenSSH 2.0 -> 3.02

Posté par  . Modéré par Amaury.
Étiquettes :
0
7
mar.
2002
Sécurité
Un trou de sécurité a été
découvert dans plusieurs versions de OpenSSH qui permet
aux utilisateurs ayant un compte de passer r00t !

L'exploit pour cela n'a pas encore été publié...

Le PINE-CERT recommande une mise à jour rapide et
classe ce risque comme HIGH (le patch est déja disponible et
intégré dans le CVS d'OpenSSH).

Trou de sécurité dans Netfilter

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes : aucune
0
6
mar.
2002
Sécurité
Des programmeurs ont trouvé un point de vulnérabilité dans Linux qui pourrait permettre à des utilisateurs malveillants d'accéder à un réseau sécurisé par le firewall.

Cette faille, qui affecte les version de Linux allant des versions 2.4.14 à 2.4.18-pre9, est située dans une composante du logiciel pare-feu Netfilter. Cette composante est impliquée quand deux utilisateurs d'ordinateurs discutent entre eux via le sytème "Internet Relay Chat (IRC)".

Tous les détails sur le lien...

Le RSA en danger

Posté par  (site web personnel) . Modéré par Amaury.
Étiquettes :
0
27
fév.
2002
Sécurité
Une news fait beaucoup de bruit dans le monde de la cryptographie depuis quelques jours. En effet, le mathématicien DJ Berstein a publié un article de recherche donnant une technique théorique sur la factorisation de nombres entiers en facteurs premiers, permettant de "casser" le RSA 4x plus vite qu'actuellement.

Dans son article, il propose aussi une application pratique permettant de construire un "RSA breaker" 4x plus performant à coût égal. En conséquence, les clés PGP/RSA de taille plus petite que 2048 bits seraient cassables "facilement".

Et certains en profitent pour ajouter que "nos amis" de la NSA ont déjà ça dans leur carton (gravés dans le silicium) depuis un moment :-(

OpenSSH dépasse SSH ... en nombre

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
0
27
fév.
2002
Sécurité
OpenSSH.org a "scanné" 2,4 millions d'IP entre décembre et février sur l'utilisation des produits ssh. D'après les stats, OpenSSH obtient 59.4% de "part de marché", contre 37.3% pour SSH.

Commentaire de Theo : "Most major Linux distributions install OpenSSH by default."

Source : OpenBSD journal.