Trustix est une distribution suédoise spéciale serveur, étudiée pour une sécurité optimale (ce qui n'est pas le cas de toutes les distribs).

Ils viennent de clore un concours de hacks qui a duré du 5 au 8 octobre et qui a montré que leur distrib n'a pu être prise en défaut. Ils auraient subi 400000 attaques de crackers en 3 jours (sans succès).

Trustix fournit du support commercial et développe des outils d'aministration et de sécurité pour Linux mais offre aussi sa distrib en Open Source sur Trustix.net

PS : quelqu'un a déjà essayé cette distrib et peut nous faire une synthèse sur le sujet ?

Décidément...
Le site web de l'APRIL vient de publier un article de Lol Zimmerli sur OpenSSH, une implémentation libre de SSH développé par l'équipe de OpenBSD. A lire !
Quoi ? T'utilises pas encore OpenSSH ?! :-)

Multimedium (vu sur nospoon) a publié un article intéressant sur la sécurité de deux systèmes en vigueur: L'open source et le logiciel propriétaire.
Plusieurs dizaines de problèmes de sécurité sont corrigés tous les jours dans plusieurs logiciels open-source mais plusieurs autres apparaissent très régulièrement. Trop régulièrement! (Freshmeat, Bugtaq et confrères).
Ce qui met vraiment la puce à l'oreille et qui blesse aussi, c'est de savoir que même OpenBSD peut etre vulnérable. PGP, qui a subi moults audits nous a gratifié récemment d'une belle faille de sécurité. Les deux systèmes étaient deux ténors de la sécurité.
Nous pouvons aussi faire le compte de tous les problèmes de sécurité dans les logiciels propriétaires. Windows NT est un système *très* répandu et pourtant le nombre de failles ne me parait pas grandir de manière journalière.
Mon propos ne se veut pas insultant. Loin de la. Mais comment ne pas penser qu'un système fermé, si bien programmé et en connaissance de cause, peut etre plus sécurisé. La discussion est ouverte. Trolleurs en tout genre s'abstenir

En 1997, le gouvernement américain lançait un appel aux chercheurs du monde entier pour qu'ils développent un algorithme cryptographique (autrement dit une méthode de codage secret), destiné à remplacer un standard universel, le DES, une méthode de codage en vigueur depuis 1977. Au bout d'une véritable course qui a duré trois ans et que le gouvernement qualifie "d'olympiades de la cryptographie", c'est une équipe de deux chercheurs belges (Joan Daemen de chez Proton World, et Vincent Rijmen de la Katholiek Universiteit Leuven) qui a remporté la "médaille d'or" de cette épreuve marathon.

Sur Upside Today, un bref article explique l'attitude adoptée par les développeurs OpenBSD vis à vis des vulnerabilités de type 'format strings'. Rappelons que ce type d'attaque est due à une mauvaise utilisation de fonctions prenant un nombre variable d'arguments, tels printf(3). Avec de telles fonctions, une chaine de format bien choisie sans paramètre supplementaire permet de lire ou écrire dans des zones non prévues.

A noter que ce type de vulnerabilité a été découverte assez récemment et a été reportée dans de *nombreux* logiciels libres, tous systèmes confondus.

Dès l'instant ou vous avez un système qui utilise SNMP, vous pouvez le surveiller et avec mtrg générer des rapports accessibles par le Web. C'est ce que l'on vous propose de réaliser chez OReilly. Bonne lecture.

D'après Linux Weekly News, un bug de l'utilitaire /bin/su permettrait à n'importe quel utilisateur d'obtenir un shell root sans avoir à saisir de mot de passe. Il est recommandé de désactiver su sur les machines ayant des utilisateurs locaux, en attendant un correctif.

Europe Online propose un accès Internet par satellite. Seulement il s'avère que les transmissions ne sont pas du tout sécurisées et il est ainsi tout à fait possible d'espionner ce que consultent les autres utilisateurs (plusieurs milliers).

D'autre part le logiciel utilisé pour recevoir des fichiers offline, Fazzt, n'est pas plus sécurisé.

J'en profite également pour dénoncer les pratiques scandaleuse d'Europe Online et de son revendeur français Easynet (débit en constante baisse, surf impossible,...)

Voilà, une adresse qui peut intéresser ceux qui sont effrayés à l'idée de configurer leur firewall eux-même.
Le site propose la création automatique d'un script firewall en fonction de vos paramètres. Une fois le fichier édité, un copier-coller dans un fichier, et voilà.

Vous désirez connecter un réseau local à l'Internet et vous ne savez pas comment vous y prendre, ou alors vous aimeriez aborder OpenBSD et le situer par rapport à Linux dans un même contexte d'utilisation mais vous ne savez pas dans quel livre regarder, celà tombe bien nous avons lu un livre qui pourrait bien répondre à vos attentes.

Extrait :
De nos jours il est de plus en plus fréquent aussi bien à la maison ou au sein des petites entreprises que le ou les réseaux locaux soient connectés à l'Internet ; or peu d'ouvrages présentent de façon pratique une telle connexion. "Building Linux and OpenBSD firewalls", comme son titre l'indique montre de façon pratique comment réaliser une telle connexion sous ces 2 systèmes d'exploitation. "

Tout est dans le titre.
Il faut tout de même précisé qu'il existe des correctifs que les administrateurs réseaux connaissent sûrement...

Note du modérateur: Encore un article pour l'internaute moyen qui va lui faire prendre peur :)

PGP, le logiciel de cryptage bien connu, a été racheté en 1997 par Network Associates (ex- McAfee Associates), et depuis ce temps il semble que le programme antique sous MS-DOS Unix s'est transformé peu à peu en une grosse windozerie. Des utilisateurs français qui n'ont pas digéré les derniers bugs (2 bugs en 3 mois, faut dire, dont un dans la version 5.0 Linux) en ont eu marre et tapent du poing sur la table. Ils déconseillent la nouvelle version 7.0 et conseillent GnuPG (GnuPG 1.0.3 vient de sortir avec l'algo RSA dont le brevet tombait ce mois-ci dans le domaine public).

Bon, je sais que l'info est sur /. mais comme tout le monde ne le lit pas forcément et que le sujet intéresse nombre d'entre nous: RootPrompt a fait une série d'articles intéressants sur la manière de sécuriser Linux pour le connecter à un réseau hostile (genre Internet) sans craindre les script kiddies. Et pour les amateurs de Debian (il y en a pas mal aussi par ici je crois ;-), une section spéciale qui vous explique comment "cacher" votre ordinateur favori pour éviter les scans.
Très bien fait, en partculier pour celui qui n'est pas un expert en sécurité, mais en anglais malheureusement.

Il existe depuis peu un concurrent français aux géants Verisign, Thawte et Baltimore. Le petit nouveau s'appelle Certinomis, et propose, comme ses concurrents, des certificats X509 pour sécuriser les échanges de données via HTTP, mais aussi pour identifier les personnes qui se connectent à un site Web.
C'est d'autant plus intéressant que contrairement à ces derniers, Certinomis n'offre pas un outil simplement "technique", mais aussi une assurance juridique (puisque la signature électronique a maintenant une valeur juridique en France). Certinomis propose de télécharger gratuitement un certificat personnel de test, d'une validité de 3 mois.
Note du modérateur : Certinomis est une filiale commune de La Poste et de la Sagem

L'essentiel est dans le titre.
Ce patch permet :
- de rendre la pile non exécutable
- de limiter l'accés à /proc
- restrictions des liens et des FIFO dans /tmp
- ...

Je ne saurais trop conseiller la lecture de l'oeuvre intégrale de Neal Stephenson.
Son style, ses références, son érudition scientifique, et son humour "sont fait pour nous les geeks" :-) :

* Zodiac, un eco-thriller qui est devenu le bouquin de chevet de nombreux eco-activistes Américains.

* SnowCrash (Le samouraï Virtuel) : remet au gout du jour le cyberpunk avec un bonne dose d'humour. Il contient au moins une idée originale par page.

* Diamond Age (L'age du Diamant) : pour moi le premier bouquin à donner une vision complète des futures technologies Nanotechs et crytographiques.

* Cryptonomicon : un pavé de 900 pages se déroulant sur trois générations, entre la 2ème guerre mondiale et la création d'un dat-heaven de nos jours. Le tout tournant bien entendu autour de la cryptographie (on y parle aussi de Finux...). Attention c'est le premier tome d'une trilogie.

Un journaliste de RootPrompt (Noel) s'intéresse à la logique de
sécurité OpenBSD et la compare aux distributions Linux.

NdM. : cette dépêche a été initialement publiée le 31/08/2000 à 12h20, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Une interview sympa de V Venema ( auteur de Postfix, tcpwrapper, SATAN
….)
Ca cause de sécurité, IPV6 et de l'avenir de Postfix.
C'est du mois d'avril mais c'est sympa.

NdM. : cette dépêche a été initialement publiée le 31/08/2000 à 11h27, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

La Debian 2.2 (i.e. Potato) a été testée sur Security Portal. Il en ressort qu'elle n'est pas si mal mais que de (trop) nombreux problèmes de sécurité persistent (des options d'installation par défaut aux versions de démons trouées). Du boulot en perspective pour ceux qui maintiennent les paquets. NdM. : cette dépêche a été initialement publiée le 30/08/2000 à 13h41, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Sur la redhat-announce-list, le message suivant a été envoyé, à propos
des nouveaux RPMs de SSH version 1.2.30:

Je cite Jan Kasprzak, le packager:
"BEWARE! All packages are GPG-signed with my key kas@fi.muni.cz. Be sure
to check the signature. Few months ago there has been ssh-1.2.27-8i RPMs
floating around the Net, which had my name both in the Vendor and Packager
fields, but which was NOT built by me. Curiously enough these packages
contained a remote-root security hole. Thanks to people who pointed me at
this, namely Alex de Joode."

Traduction par le modérateur:
"Attention ! Tous les packages sont signés avec ma clef GPG. Soyez sur
d'avoir vérifié ma signature. Il y a quelques mois un package RPM
ssh-1.2.27-8i était disponible sur le Net, il avait mon nom dans le champs
Vendeur et Packager mais n'avait pas été fait par moi. Curieusement ces
packages contenaient un trou de sécurité qui permettait d'etre root à
distance […]"

Qui vérifie systématiquement l'authenticité de ses RPMs ? (ou .deb etc.. )

NdM. : cette dépêche a été initialement publiée le 08/08/2000 à 09h26, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Comment transformer Netscape-le-browser-web en Netscape-le-serveur-web
? Grâce à la magie de Java…et BOHTTPD, alias Brown-Orifice - dont le nom
charmant témoigne du goût exquis de l'auteur.
Un coup d'oeil à la page BOHTTPD_spy nous montre que les victimes
potentielles ne sont pas seulement celles qui utilisent des produits
MicroSoft (oui je ne crois pas qu'il y ait de répertoires /var/log ou /usr
sous Windows…).
Vous pouvez meme ouvrir le trou de sécurité chez vous… [déconseillé ;) ]
* Merci /. *

NdM. : cette dépêche a été initialement publiée le 06/08/2000 à 12h41, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Bull annonce CDSA sous Linux en Open Source sans préciser la licence
utilisée. Le produit sera disponible le 24 août. Pour information CDSA est
"une infrastructure de sécurité […]permettant le développement
d’applications sécurisées dans un environnement Internet". Ce produit
a été réalisé avec Intel "pour créer une offre en Open Source à partir de
ce standard de sécurité".

NdM. : cette dépêche a été initialement publiée le 03/08/2000 à 09h50, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Voici un article paru sur slashdot, nature et d'autres.
Il est question de la vulnérabilité des réseaux , des architectures
partagées, et d'internet.
Saviez vous que 4% seulement des serveurs sont cruciaux, au point ou les
détruire transformerait internet en des îlots de réseaux isolés ?
Intéressant, surtout lorsqu'on parle du contrôle par les gouvernements, de
réaliser la fragilité du réseau.
Suffit de casser les serveurs de noms, certains backbones transatlantiques,
et hop.

Effrayant non ?

NdM. : cette dépêche a été initialement publiée le 28/07/2000 à 17h10, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Netscape, jusqu'à la version 4.73, est très sensible au champ "Comment"
des images JPEG.

Dans le meilleur des cas, il plante, dans le pire il est possible
d'executer du code "maison".

Le navigateur, le mail et les news sont touchés. Il est donc possible de
faire un mail-virus sous linux grace à Netscape…

Solution : upgrader à la version 4.74, ou passer à MozillaM16 qui ne sont
pas vulnérables.

NdM. : cette dépêche a été initialement publiée le 26/07/2000 à 11h58, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Dans Libération ce matin nous avons droit à 2 articles concernant les
libertés et le Net : le premier sur le système Carnivore et le second sur
"Big browser". Bref, bonne lecture.

NdM. : cette dépêche a été initialement publiée le 22/07/2000 à 04h47, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).