Les gagnants du concours LinuxFr.org sur la sécurité #Metasploit

Posté par (page perso) . Modéré par ZeroHeure.
12
21
mai
2014
Sécurité

Le concours vous permettant de gagner trois exemplaires du livre Hacking, sécurité et tests d'intrusion avec Metasploit (édité par Pearson) s'est terminé le 18 mai dernier et nous avons nos trois gagnants qui vont chacun recevoir un exemplaire du livre :

Hacking, sécurité et tests d'intrusion avec Metasploit

Ils vont être contactés sous peu. Merci à tous ceux qui ont participé, consciemment ou non (:-), à ce concours. Voici la liste des contributions taguées comme participantes. N'oubliez pas que vous pouvez gagner tous les mois des livres et des abonnements, juste en contribuant au site !

Journal Mozilla fait avancer le web et ajoute les DRM à Firefox

Posté par (page perso) . Licence CC by-sa
50
15
mai
2014

Vous vous souvenez de Mozilla ? Vous savez ceux qui œuvrent pour un « web plus juste », pour le bien du web, de votre vie privée et que tout aille mieux ?

Ceux qui ont de sacrés problèmes d'hypocrisie avec la protection de la vie privée (genre la vie privée c'est cool mais on s'en fout en fait, cf. https://linuxfr.org/nodes/101754/comments/1535669 ), qui dépendent à 90% de Google, une boîte pas vraiment réputée pour le respect de la vie privée. Et comme si l'annonce (...)

Journal Google détient-il vos emails

Posté par . Licence CC by-sa
31
13
mai
2014

Je suis tombé sur article intéressant (en anglais) :
http://mako.cc/copyrighteous/google-has-most-of-my-email-because-it-has-all-of-yours#comment-18319

Comme beaucoup d'entre-nous, il fait attention à sa vie privée, en s'auto-hébergant et en utilisant GPG. Il a fait un petit script (en python+R, pour avoir des jolis graph) pour savoir quelle proportion d'emails à lui google possède, malgré toute son attention (oui, il a des amis). Google possède un tiers de ses emails, et la moitié des emails avec une réponse !

Pour ma part Google possède 25% de mes (...)

Journal Vulnérabilité locale dans le noyau Linux : 2.6.31-rc3 (2009) <= version <= 3.15-rc6 (CVE-2014-0196)

Posté par (page perso) . Licence CC by-sa
28
13
mai
2014

Article qui contient pas mal d'infos sur la faille :
http://arstechnica.com/security/2014/05/linux-gets-fix-for-code-execution-flaw-that-went-unpatched-since-2009/

Le correctif dans la future version Linux 3.15 :
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=4291086b1f081b869c6d79e5b7441633dc3ace00

Il s'agit un vieux bug dans le code qui gère les terminaux (TTY).

Reprise de l'article Arstechnica sur LWN :
http://lwn.net/Articles/598372/#Comments

Une mise à jour est disponible pour Debian et Ubuntu. Red Hat Enterprise Linux 5 n'est pas vulnerable. Un correctifs pour Red Hat > 5 et Debian est en préparation.

J'ai testé deux exploits sur Fedora 20. L'un (...)

« Triple poignée de main », faille dans le protocole TLS

55
9
mai
2014
Sécurité

Après les deux failles mettant en cause l’utilisation d’instructions goto (l’une chez Apple, l’autre chez GNUTLS) et la faille Heartbleed, une vulnérabilité a encore été découverte : Triple Handshake («Triple poignée de main»), aussi appelée 3Shake.

Contrairement aux autres failles, celle-ci ne concerne pas l’implémentation mais le protocole. Cela signifie qu’elle touche potentiellement toutes les implémentations et que la correction définitive de cette faille nécessiterait une modification dans le protocole. En pratique, les corrections ont été effectuées en faisant des vérifications supplémentaires ou en éliminant certains algorithmes de chiffrement.
Logo de 3Shake, inspiré de celui de Heartbleed
Logo par @Raed667
Concrètement, cette faille exploite les différents types de poignées de main (handshake, procédure qui permet d’établir les différents paramètres de communication entre deux machines, étape particulièrement importante pour un protocole de sécurité) afin de se faire passer pour une autre machine et d’effectuer une attaque de l’homme du milieu.

La faille est cependant considérée moins grave que Heartbleed, en partie parce qu’elle est compliquée, s’attaque à une configuration assez spécifique et nécessite une position privilégiée entre deux machines.

PacketFence v4.2 maintenant disponible

25
8
mai
2014
Sécurité

Inverse annonce la sortie de la version 4.2 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. Procurant une grande liste de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaires et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Logo PacketFence

La version 4.2 de PacketFence apporte de nombreuses améliorations comme l'isolation de type hotspot, un nouveau portail captif s'adaptant plus facilement à des scénarios personnalisés complexes, plusieurs fonctionnalités pour les opérateurs cellulaires (WRIX, inline layer 3, page de statut pour prolonger l'accès réseau, etc.), un nouvel agent pour la configuration des appareils Android, la prise en charge de nouveaux équipements d'Enterasys, Huawei et Juniper Networks, une meilleure intégration Eduroam et plusieurs améliorations au niveau de la performance.

OpenJDK JEP 180: HashMap, collisions & attaques par la complexité

46
6
mai
2014
Java

Cette dépêche parle de la JEP 180 d'OpenJDK 8 qui propose une solution intéressante aux problèmes d'attaques sur la complexité que rencontrent les tables de hachage.

On a déjà parlé de ce sujet ici même à plusieurs reprises. Je vais cependant rapidement représenter le problème et l'évolution des discussions. Le lecteur averti sur le sujet ira directement au dernier paragraphe pour voir la proposition de la JEP 180.

NdM : merci à ckyl pour son journal.

Journal Seccomp, une sandbox intégrée au noyau Linux…

44
4
mai
2014

Problématique

Utilisez-vous pour vos développements professionnels ou privés une solution d'intégration continue à la Jenkins ? Un tel logiciel permet d'accélérer le développement du code en le testant plus régulièrement, en le soumettant automatiquement à des tests unitaires.

Mais que se passe-t-il si un vilain© soumet du code dangereux pour votre système d'intégration continue ? Si votre logiciel d'intégration continue se contente de compiler du code, vous pensez qu'il est protégé ? Quid d'une faille dans votre compilateur, ou d'un problème à l'exécution (...)

Journal OpenJDK JEP 180: HashMap, collisions & attaques par la complexité

84
4
mai
2014

Dans ce journal, je vais parler de la JEP 180 d'OpenJDK 8 qui propose une solution intéressante aux problèmes d'attaques sur la complexité que rencontrent les tables de hachage.

On a déjà parlé de ce sujet ici même à plusieurs reprises. Je vais cependant rapidement représenter le problème et l'évolution des discutions. Le lecteur averti sur le sujet ira directement au dernier paragraphe pour voir la proposition de la JEP 180.

Présentation des tables de hachage

Une table de (...)

OpenBSD 5.5 : nous ne voulons pas retourner dans le passé !

Posté par (page perso) . Édité par BAud, Xavier Claude, ZeroHeure, patrick_g et Benoît Sibaud. Modéré par ZeroHeure. Licence CC by-sa
49
2
mai
2014
OpenBSD

Comme tous les 6 mois une nouvelle version d'OpenBSD est publiée.

OpenBSD est un système d'exploitation orienté sécurité et réseau, dont les principaux avantages sont la stabilité, grâce aux audits sur le code source, mais également l'ensemble très large de fonctionnalités réseau qu'il fournit.

Concours sécurité sur LinuxFr.org : 3 livres à gagner !

35
28
avr.
2014
Sécurité

La sécurité et la vie privée sont des sujets de plus en plus récurrents et sensibles, maintenant aussi aux yeux de la presse généraliste et du grand public depuis les informations fournies par Edward Snowden. Le flot continu de révélations ne calmera pas la situation de sitôt. Mais il n'y a pas que E.Snowden qui fait l'actualité en sécurité informatique, c'est aussi la faille Heartbleed dans OpenSSL et son impressionnante taxonomie, la fin de la liste Full Disclosure, etc. l'actualité sur le sujet ne manque pas. Si tout n'est pas parfait chez LinuxFr.org, nous tâchons de montrer l'exemple. Pour vous inciter à partager encore plus sur le sujet, nous vous proposons de gagner un des trois exemplaires du livre Hacking, sécurité et tests d'intrusion avec Metasploit (édité par Pearson), en espérant aussi que cela vous sensibilisera et vous permettra de monter en compétence sur ces sujets essentiels.

Hacking, sécurité et tests d'intrusion avec Metasploit

Bonne chance !