Tout le monde connait maintenant Smoothwall, la distribution Linux dédiée au routage et à la sécurité. Sa légèreté permet à vos vieux 486 de reprendre du service pour jouer le rôle de passerelles partageant votre accès Internet tout en protégeant votre réseau local.
Et bien voilà ! Les guides d'installation et de configuration de cette distribution sont désormais disponibles en français sur le site Kesako.org . Vous pourrez également télécharger l'image ISO de la distribution qui ne fait que 22Mo. Les autres documentations sont en cours de traduction.
Enjoy ...
L'histoire se répète une fois encore :
D'un coté, il y a des cachottiers qui préfèrent enterrer leur fautes et pipoter plutôt que de trouver une solution véritable, de l'autre, il y a des petits gars qui adorent déterrer ce genre de magouilles...
Cette fois c'est Banque Directe et Atos qui sont mis au pilori par Kitetoa. Plusieurs milliers de mot de passe en libre service et, comme d'habitude, il faut hausser le ton pour que les banquiers et les consultants bougent leur popotin.
Ne vous inquietez pas une bonne campagne de pub arrangera le tout! Banque Directe, la Banque où l'on se sert en Direct!
Note du modérateur: Lisez les articles Kitetoa, c'est très fort!
Le bureau «Information Assurance Research» de la NSA a sorti une distribution linux intégrant des patches kernel, et proposent des modifications au niveau de la sécurité (File systems, Processus, Sockets).
un bon résumé renvoie vers des docs à propos de leurs modifs.
{ info portée a ma connaissance par nospher }
2 articles libé sur le rassemblement de hacker et cyber pirates en hollande : le summercom.
Note du modérateur: et n'oubliez pas HAL qui se déroulera cet été. A ne pas louper !
On apprend que l'industrie du disque freine des quatres fers pour la publication des résultats de recherche sur la protection des fichiers musicaux mis au point par la SDMI. Du coup l'équipe de chercheurs de Princeton porte l'affaire en justice pour avoir la liberté de publier ces résultats de recherche.
Une commission européenne a proposé hier d'améliorer la coopération contre le cybercrime dans l'union sur plusieurs points:
- éducation des utilisateurs (je trouve cette proposition assez novatrice; sachant que des fonds seront débloqués pour cela)
- un effort de standardisation sur les méthodes de cryptologie (ça nous promet un futur lobbying pro-libre tout ça ;)
- nouvelles lois sur l'arrestation hors du territoire (sur l'echelle européenne je présume)
Voilà de quoi rivaliser avec le CyberCrime Treaty américain.
Face à l'avancée majeur du monde linux dans le domaine cryptographique, Microsoft veut maintenant jouer dans la cour des grands en annoncant un module crypto dans ses programmes. L'utilisation de signature semble nécessaire ce qui pose le problème de l'anonymat. La solution ultime semble être d'utiliser les Mandatory Access Protocols définis par la NSA et qui font partie du projet Linux SE. Un problème se pose: est-ce que le code des MAP est en GPL ou existe-il une double licence ?
Entre humour et sécurité :
Voici un article sur cnet qui parle d'un nouveau "worm" pour Linux.
Ce vers a une particularité unique : il guérit (du moins, il essaye de guérir) votre système si ce dernier est vulnérable aux autres vers et/ou à certains 'rootshell'.
L'intention est louable.. (à mon avis)
Comme dirait le gars qui a posté l'info sur slashdot : "qu'est-ce qu'ils attendent pour faire un vers qui désactive vbs sous outlook ?" =]
Apparement, il y avait une importance breche de sécurité sur SourceForge qui a obligé les admins à fermer les accès pour "maintenance imprévue". Extrait de l'email recu par les utilisateurs:
"[...] The SourceForge team takes security very seriously. This week, one of our systems was compromised. We have promptly taken the necessary steps to correct this situation.
You have been contacted, because according to our log files, you have used SourceForge during the past week and may have used the system that was compromised. In order to complete the security fix, we are asking all users who used the system to change their password immediately. We've reset your password to a randomly generated string."
Bonne nouvelle pour ceux qui attendaient un equivalent d'openwall pour les noyaux Linux 2.4.4: il existe, et il s'appelle grsecurity !
Note du modérateur : les patchs openwall n'apparaîtront pas avant le noyau 2.4.10, donc si vous êtes pressés...
Lu sur infoguerre.com :
"Selon transfert.net, un groupe de hackers " the cult of the death cow " a annoncé le lancement lors du prochain Defcon de juillet 2001, d'un navigateur qui permettrait de surfer anonymement: Peekabooty. (...)". La suite de l'article sur infoguerre.
Selon le véritable découvreur (Renaud Deraison) de la backdoor des modems ADSL d'Alcatel, il serait impossible de pénétrer le modem de l'extérieur du réseau. Il faudrait avoir déjà un accès au PC relié au modem via un cheval de Troyes ou autre.
La découverte date de l'année 2000, le sieur Tsutomu Shimomura, spécialiste de la médiatisation de ses actes, aurait donc un rôle plutôt faible dans cette affaire.
Ca ressemble à un troll mais c'est bien le titre d'un article de securityportal.
Il ne compare pas les avantages intrinsèques des deux systèmes mais mentionne plusieurs moyens de sécuriser Linux non disponible sur OpenBSD, dont les arguments sont une configuration "secure by default" (bof ...) et un code mieux audité.
- WireX : Immunix, distribution Linux orientée sécurité : SubDomain pour restreindre les fichiers accessibles à un programme, StackGuard et FormatGuard pour les bugs dus à des dépassements de buffer et les chaînes de formatage.
- openwall : piles user non exécutable, plus de liens et pipes dans /tmp
- Argus PitBull LX : Discretionary Access Control, restrictions à l'accès aux devices et aux ports (flexible, moins lourd qu'un chroot). Attention, kernels binaires seulement !
- NSA SELinux : similaire à PitBull, mais PitBull ressemble un peu à l'inspecteur gadget de la sécurité tandis que les patches de la NSA ont apparemment un design plus cohérent, j'ai l'impression que les designers ont une "big picture" du noyau, mais c'est plus délicat à paramétrer.
- LIDS : bloque certains éléments de configuration qui ne sont plus modifiable sans un accès physique à la machine.
- Medusa DS9 : plus ou moins la même chose que les précédents ?
L'auteur annonce un article "Why Linux Will Never be as Secure as OpenBSD" pour la semaine prochaine, donc il ne faut prendre le titre provocateur au pied de la lettre.
Personnellement j'ai participé au crack contest openhack sur une machine avec PitBull LX et j'ai été impressionné par sa résistance, un hacker a pu avoir un shell root avec un exploit connu mais n'a pas pour autant pu créer le fichier demandé dans la racine à cause du Discretionary Access Control.
Apparemment la sécurisation globale d'un système passe par la mise en place de tels mécanismes qui n'ont pas les limites du "Mandatory Access Control", on ne peut pas tout faire à coups de chmod.
Un "web agency" vient de sortir un rapport plutôt intéressant que pas mal de personnes qui affirment que "Internet est sûr" devraient lire. Ce n'est pas technique et tout le monde devrait comprendre (même le directeur marketing ;-)
Voici les points testés :
1. Utilisation de SSL
2. Niveau de cryptographie : taille de la clé
3. Date des certificats
4. Informations sur le cryptage
5. Début du cryptage
6. Vérification de la cryptographie
Je cite un extrait de la conclusion :
« Ces résultats permettent de souligner que la majorité des sites de e-commerce, de banque et de bourse français n'intègrent pas la confiance dans leur stratégie Internet. Ils négligent les attentes des internautes en matière de sécurité et de protection de leur vie privée.
Cette négligence s'exprime :
- dans des choix techniques laxistes en matière de sécurité (cryptographie à 40 bits plutôt qu'à 128, cryptage des informations de carte bancaire au détriment des autres informations personnelles) ;
- dans l'absence de pédagogie qu'ils mettent en place pour compenser l'inquiétude des internautes liées à Internet, ;
- dans un design qui déroute l'internaute et l'empêche de vérifier facilement la sécurité du site.
Les sites des banques, qui pourtant devraient montrer l'exemple dans ce domaine, font preuve d'un laxisme paradoxal.»
A lire avant de faire des achats en ligne ...
Lu sur yahoo.fr :
"Un jeune pirate informatique britannique a commandé du Viagra au millionaire Bill Gates, après lui avoir piraté son numéro de carte bancaire".
Il a piraté quelques 23.000 numéros de cartes bancaires.
