En cherchant dans le cache de google une page d'un site malencontreusement hacké, je suis tombé sur un site de statistiques de compromission de serveurs. De là je trouve un graphique à faire peur... (regardez bien en bas de la page, la couleur rouges>Jaune).
Graphique au soufre heureusement tempéré par un autre résultat sur le second lien que je vous livre.
Note du modérateur : L'idée de classer par OS peut paraître impertinente dans ce cas car la raison des mauvaises statistiques de Linux en octobre vient principalement du trou de sécurité récent de PHPNuke, et non pas à un trou Linux.
Update : leur site est à nouveau accessible
Le parlement européen a adopté un amendement pour l'usage des cookies. L'usage des cookies devra avoir le consentement explicite de l'utilisateur.
Ne vaudrait-il pas mieux éduquer les utilisateurs car tous les navigateurs, me semble-t-il (même IE), permettent d'accepter, d'interdire ou de poser la question sur l'installation d'un cookie.
La société Intersect Alliance (spécialisée dans la sécurité) vient de rendre disponible les sources et les binaires du module noyau SNARE (System iNtrusion Analysis and Reporting Evironment).
Ce module dynamique du noyau permet d'obtenir un niveau de sécurité C2 pour notre OS préféré, en ajoutant des capacités d'audit et de détection d'intrusion au niveau 'host' (et non réseau comme des projets tel que Snort).
SNARE se compose d'un module noyau à installer ou à recompiler (snare-core) et d'une interface graphique (snare-gui) pour définir le paramétrage de l'audit et avoir un journal d'événements (voir screenshots très ressemblant au journal événement de NT).
Un article intéressant sur l'intérêt des pots de miel et leur mise en place a été publié sur SecurityFocus.
Les pots de miel, à condition d'être bien configurés, sont d'un très grand intérêt éducatif puisque leur but est de permettre d'apprendre les attaques et les méthodologies d'attaque employées par les pirates. C'est un complément très intéressant aux lectures de publications comme "Halte aux hackers" ou "Intrusion Signatures and Analysis" (chez New Riders) et à la mise en oeuvre des exploits publiés sur Bugtraq & cie qui permet de voir en direct la manière de procéder des pirates. Mais la mise en place d'un pot de miel est un art à part entière car si vous ouvrez trop de ports par exemple sur le pot de miel, seuls les script kiddies s'acharneront dessus et l'intérêt est tout de suite moindre.
L'auteur utilise RedHat 7.1 comme pot de miel et Snort comme IDS et s'appuie sur iptables en firewall amont. Seul bémol, il utilise VMWare pour mettre des pots de miel de différents OS sur la même machine et quand on sait que la licence coûte 300USD env. pour la 3.0...
La version 3.0 d'OpenSSH, l'implémentation libre de SSH, vient de sortir. Outre les habituelles corrections de bugs, cette version est la première à utiliser le protocole version 2 par défaut.
Le gros changement au niveau utilisation concerne les fichiers /etc/ssh_known_hosts2, ~/.ssh/known_hosts2 et /.ssh/authorized_keys2 qui sont maintenant obsolètes, il faut les renommer en known_hosts et authorized_keys, qui contenaient autrefois les clés associées au protocole version 1.
Infos trouvées sur www.secusys.com,
"« Ptracekm » est un module kernel pour Linux 2.2 (et probablement 2.4 mais non testé) permettant de bloquer les appels (syscall) ptrace() pour tous les utilisateurs excepté le root.
Ce module vous protègera donc contre les pirates voulant prendre le root grâce aux exploits de type ptrace()."
De plus, ne pas oublier de vérifier Webmin 0.88 qui permet la création de fichiers modifiables par tous sous /tmp avec les droits 777.... pour modifier le script run.cgi... voir la news originale pour plus de détails.
Note du modérateur : Le problème webmin, c'est un rappel, on en avait déjà parlé ici le 22 Octobre.
Dans une interview vidéo donnée au webzine Internet Actu (n° du 25/10/2001), Olivier Berger, secrétaire général de l'Association pour la Promotion et la Recherche en Informatique Libre (APRIL), une association qui se consacre notamment aux logiciels libres comme GNU/Linux et BSD, considère que "la cryptographie est indispensable à une utilisation citoyenne de l'Internet et à l'utilisation professionnelle de l'Internet" .
Sur le dossier terrorisme et Internet, Olivier Berger estime aussi : "Il y a peu de choses à changer dans la législation actuelle par rapport à Internet et au terrorisme. Pourquoi ? Parce qu'en fait on s'aperçoit que les actes terroristes qui ont eu lieu sont complètement déconnectés d'Internet ; il n'y a aucune preuve que les terroristes aient utilisé la cryptographie, la stéganographie, que sais je... Pour communiquer, ils ont passé des coups de fil au vu et au su de tout le monde ; ils vivaient normalement, ils ne se cachaient pas et puis ils n'ont pas utilisé des armes de haute technologie pour faire leur attentat."
Merci à OpenPGP en français pour l'info
Certains d'entre vous connaissaient peut-être l'excellent site de Hrvoje Crvelin, qui regroupait bugs, solutions et exploits depuis 1996.
Il a malheureusement décidé d'arrêter ce travail le 9 septembre dernier, laissant bon nombre d'administrateurs en manque d'une source d'informations claire et concise.
Pour y remédier, une association vient de faire renaître Security BugWare.
Pour ceux qui ont accès au wireless :
Ensemble de FAQ, docs techniques, et informations sur les problèmes de sécurité posés par le Wireless.
Entre autres :
- Vue d'ensemble de la technologie Wireless LAN 802.11
- Risques majeurs
- Comment minimiser les risques WLAN
Merci au site Ouah.org ( ou je vous conseille d'aller jeter un coup d'oeil ) pour ces liens
Le centre de coordination du CERT (Computer Emergency Response Team) vient de publier un document sur les étendues que pourraient prendre les attaques par déni de service (DoS). Il ne propose pas de solution, mais permet dalerter tout le monde sur les risques que nous encourrons.
Ce rapport insiste particulièrement sur les dénis de service distribués (DDoS).
En 2001 nous avons vu lexplosion des DDoS utilisant des outils automatisés (par exemple Code Red contenait une attaque sur www.whitehouse.gov). Mais la plus grande préoccupation vient du fait que ces attaques utilisent à présent des ordinateurs fonctionnant sous Windows ou en sappuyant sur des routeurs.
Il est à noter que les outils de détection dintrusion (IDS) permettent de limiter les attaques par déni de service. Si certains ont une expérience à ce sujet les commentaires sont les bienvenues...
Cette faille a été découverte par Christophe Casalegno et Aurélien Cabezon.
Webmin souffre d'un problème de sécurité concernant la création temporaire de fichier qui peut être utilisée pour compromettre le compte root.
En effet, Webmin crée des fichier temporaires dans /tmp qui ont les permissions : -rwxrwxrwx (777) et qui appartiennent à l'utilisateur root (ex : commandes personnalisées). N'importe qui peut modifier le fichier créé pendant l'exécution de la commande par le système. Il suffit donc pour l'attaquant de rajouter une commande dans le fichier, qui sera exécutée par le root. L'attaquant pourra donc à loisir, lancer des commandes, créer/effacer/modifier des fichiers/répertoires, etc...
Exemple:
Il suffit de rajouter la commande suivante à la fin du fichier temporaire crée par webmin pendant son exécution pour gagner les privilèges de root:
cp /bin/sh /tmp/.backdoor vous donnera un shell root dans /tmp
Le problème est situé dans le script run.cgi qui crée le fichier temporaire en lui donnant de mauvaises permissions.
$temp = &tempname();
open(TEMP,">$temp");
...blablabla...
chmod(0777, $temp);
Pour fixer le problème il suffit de hanger la ligne chmod(0777, $temp); par chmod(0700, $temp);
Note du modérateur : Il ne semble pas y avoir de confirmation sur le site de Webmin. En outre, webmin 0.89 devrait sortir sous peu.
Suite à une annonce sur Yahoo (ZDNet en fait) où il est annoncé la mort de PGP (ce n'est pas nouveau), j'ai pu lire "vive WinPT". En creusant un peu plus, il s'avère qu'il s'agit d'un "portage" basé sur GnuPG pour Windows. (Je sais que ...) Mais bon, voilà qui élargit un peu le domaine d'action de GnuPG et des utilisateurs qui l'utilisent, (c'est le but de l'article).
A la suite de l'abandon par sa maison mère de PGP, GPG devient de plus en plus une solution intéressante pour la crytographie dans les organismes et les entreprises. Mais l'utilisation sous linux peut etre assez "cryptique" (huhu).
J'ai donc redigé une introduction a l'utilisation de GnuPG, la mise en route et les operations de bases sont couvertes.
Note du modérateur: N'oubliez pas non plus le document de Loïc, qui est très complet.
A tous ceux qui utilisent la version stable de webalizer de Debian et
les autres qui même sans utiliser le package debian utilisent webalizer
1.30 ou 2.0.0, regardez vos statistiques web ; elles risquent bien de
s'être arrêtées au 4 octobre.
Visiblement, il y a des problèmes au niveau des timestamps qui sont
calculés en utilisant une fonction jdate refaite et basé sur le 1er
janvier 1990 (?).
Mozilla et DynDNS ont subi ce bug par exemple (voir urls).
Seule la dernière version 2.0.1 ne semble pas affectée par ce Pb (voir stats li.org).
Solution :
- passer à la dernière version de webalizer
- calculer epoch depuis le 1/1/1970 au lieu du 1/1/1990 :
/* initalize epoch */
epoch=jdate(1,1,1970); /* used for timestamp adj. */
ps : ce n'est pas certain que cette dernière solution corrige tous les problèmes...
Lionel Jospin a annoncé à l'Assemblée nationale un renforcement du plan Vigipirate en parlant notamment de "surveillance des e-mails".
Après enquête, le magazine Transfert croit savoir que le gouvernement va faire voter les dispositions "crypto" qui étaient incluses dans le projet LSI. Pour mémoire, il est prévu que la diffusion de logiciels de crypto devient une activité réglementée nécessitant une autorisation. Autant dire que si vous étiez développeur sur le moindre soft contenant de la crypto même à 40 bits, vous devrez vous faire enregistrer ! Et si vous mirroitiez GnuPG sur le FTP de votre fac, il faudra oublier, sinon : prison :-(
Le Monde a fait un papier sur la réaction pour l'instant timide des associations françaises qui ont essayé d'emboîter le pas aux asso américaines.
SANS (System Administration, Networking, and Security) Institute propose un document regroupant les 20 principales lacunes à eviter pour sécuriser vos machines sur un réseau.
le document a été mis à jour hier.
LogTrend est une architecture modulaire pour la surveillance des systèmes et réseaux. Il est composé d'un serveur de stockage, d'agents pour la collecte de données, et de modules optionnels pour la visualisation ou la gestion d'alarmes complexes...
Les agents disponibles comprennent un agent système Linux, un agent SNMP et des agents logiciels pour Apache,Proftpd,Snort,...
Bruce Schneier (un des pontes de la crypto) vient de publier un numéro spécial de sa newsletter Crypto-Gram (normalement mensuelle, publié le 15 du mois).
Il revient sur les évènements du 11 septembre au USA et leurs conséquences sur le monde de la sécurité informatique et de la crypto.
Entre autres, il aborde les sujets suivants : régulation de la sécurité aérienne, la biométrie dans les aéroports, la régulation de la crypto, l'utilisation de la stéganographie par les terroristes. Et il finit en défendant la vie privée et les libertés civiles et appelant tous les informaticiens impliqués à se battre pour le protéger.
Courrez lire ce numéro spécial, ces articles sont généralement très pertinents et très argumentés.
Un trou de sécurité a été découvert dans la version 8.12.0, celui-ci pouvant être utilisé par des utilisateurs malveillants pour accéder à la file d'attente des mails. Cependant, tant que le MTA (agent de transport du courrier) accepte les connexions locales, les conséquences possibles de cette faille sont minimes. Sendmail 8.12.1 fixe également d'autres petits problèmes trouvés dans Sendmail 8.12.0 (cf. RELEASE NOTES).
Dans la section sport de Libé aujourd'hui, un article sur Passport et les risques encourus à confier et regrouper ses informations personnelles dans une seule et même base de donnée. Bon, ici c'est une base de données de Microsoft, mais le "lourd" passé de Microsoft ne pèse pas dans l'article, ce qui le rend original, surtout pour Libé !
Cette faille permettrait d'obtenir un accès depuis une machine non autorisée en utilisant l'option 'from' en utilisant des clés RSA et DSA dans le fichier "authorized_keys2"
Un patch est dispo ou vous pouvez passer en 2.9.9.
Toutefois ce bug n'est pas encore dans le bug report de openssh.
Note du modérateur: Ce bug n'affecte que la version 2 d'OpenSSH, la distribution Debian n'est pas affectée par ce problème (version 1.2.3).
LSIjolie.net, un site web qui conteste le projet de Loi sur la Société de l'Information (LSI) propose de signer une pétition (encore une) demandant la libéralisation immédiate de la cryptographie en France :
" Retirer la cryptologie du projet de "Loi sur la Société de l'Information" (LSI) et abroger les réglementations antérieures de la cryptologie en droit français.
Le Projet de Loi sur la Société de l'Information (LSI) déposé par le Gouvernement à l'Assemblée Nationale le 14 juin 2001 dispose que la fourniture de cryptologie est soumise à des autorisations ou des déclarations obligatoires.
Une telle disposition freine la diffusion et l'utilisation de cryptographie au moment où au contraire le Gouvernement devrait avoir pour souci d'accélérer la diffusion et l'utilisation de la cryptographie dans le grand public.
L'espionnage mené sur Internet par le système d'écoutes "Echelon", mais aussi l'aspiration légitime des citoyens européens au respect de l'intimité de leur vie privée, rendent la libéralisation de la cryptographie inévitable.
C'est pourquoi nous souhaitons la suppression du Chapitre II du Titre V du Projet de LSI (voir le texte du projet de Loi) et l'ajout d'un article unique abrogeant toutes les réglementations antérieures de la cryptologie."
BugTraq vient d'annoncer une superbe vulnérabilité dans PHPNuke (toutes versions sauf la 5.0 RC1). À l'aide d'une simple URL, un quelconque 5cr1p7 k1dd13z peut récupérer le config.php (et donc les mots de passe de la DB), ou encore uploader des fichiers, grâce à un script non protégé (précisons que je n'ai pas testé, pas le temps d'installer un Nuke). Pour le coup, le programmeur mérite bien un Goret Award...
[Note : puisque l'advisory a été envoyée sur BugTraq, je la propose ici. Toutefois, il serait peut-être intelligent de la garder sous le coude un moment pour éviter des 3733t h4x0r1ngs en cascade...]
Ces dernieres semaines un nombre assez préoccupant de Worms sont apparus sur la plate-forme de M$. Le dernier est un digne représentant: nommé NIMDA (admin à l'envers) il est si efficace pour sa transmission que certains buisness conseillent d'abandonner IIS ! On peut noter aussi une prise de conscience des pouvoir publics (Le FBI est sur le coup) et une montée en fleche des actions de certaines entreprises de securite informatique.
Suite a la propagation de nimda (admin a l'envers ...) et a la detection dans mes logs de traces, j'ai voulu faire un script qui genere un rapport d'attaque.
Il est dispo en telechargement, bien que très sommaire.
