Le 2 décembre 2004, Nate Nielsen rapporte un plantage de Xorg lorsque Firefox affiche une très longue URL dans la barre d'adresse. Quatre mois plus tard un bug similaire est détecté dans Eclipse. Le bug concerne l'affichage de très longues lignes de texte avec le pilote propriétaire Nvidia. La solution est d'utiliser le pilote libre nv qui n'a pas ce bug.

Face à l'absence de réaction de Nvidia, un exploit exploitant ce dépassement de tampon offrant un shell en root est publié sur Rapid7. Il est possible d'exploiter la faille à distance à l'aide d'un client X distant. La faille a en fait été corrigée dans la version 9625 du pilote Linux sortie le 21 septembre 2006, mais la série 9xxx des pilotes Linux est encore en phase béta.

Cette faille relance bien sûr le débat pour ou contre les pilotes propriétaires (BLOBs). Pour le cas de Nvidia, il est difficile de trancher car refuser le pilote officiel implique de se priver d'accélération matérielle. Plutôt que de brasser l'air avec un débat sans fin, il serait plus judicieux de contribuer au projet Nouveau qui vise justement à écrire un pilote libre offrant l'accélération matérielle. D'ailleurs, l'écriture d'un pilote a été entamée il y a peu mais il est encore loin d'être utilisable.

NdM : Merci également à Pascal Terjan d'avoir proposé une dépêche sur le même sujet.
Mise à jour : la version 9626 du pilote (stable) corrige la faille.

En regardant Soir 3 hier soir, je suis tombé en ouverture du journal sur deux reportages plus qu'intéressants.
Le premier concernait Echelon, le réseau militaire d'espionnage américain bien connu pour ses dérives vers l'espionnage industriel, ceci à l'occasion de la sortie d'un rapport de l'Assemblé Nationale. Bref, un classique.
Le second reportage est beaucoup plus inquiétant, il concernait l'existence de backdoors ds le célèbre programme de cryptage PGP. Ces backdoors permettraient aux Américains de lire en clair les textes cryptés avec ce logiciel.

Note du modérateur: ces inquiétudes concernant le logiciel PGP avaient déjà été évoquées et sont réelles. Utilisez GnuPG ! :)

CanSecWest 2001 (du 28 au 30 mars à Vancouver) verra Renaud Deraison présenter Nessus, Marty Roesch snort, Dug Song dsniff, Jay Beale bastille-linux, Fyodor nmap (liste non exhaustive)...

Un "web agency" vient de sortir un rapport plutôt intéressant que pas mal de personnes qui affirment que "Internet est sûr" devraient lire. Ce n'est pas technique et tout le monde devrait comprendre (même le directeur marketing ;-)
Voici les points testés :
1. Utilisation de SSL
2. Niveau de cryptographie : taille de la clé
3. Date des certificats
4. Informations sur le cryptage
5. Début du cryptage
6. Vérification de la cryptographie

Je cite un extrait de la conclusion :
« Ces résultats permettent de souligner que la majorité des sites de e-commerce, de banque et de bourse français n'intègrent pas la confiance dans leur stratégie Internet. Ils négligent les attentes des internautes en matière de sécurité et de protection de leur vie privée.
Cette négligence s'exprime :
- dans des choix techniques laxistes en matière de sécurité (cryptographie à 40 bits plutôt qu'à 128, cryptage des informations de carte bancaire au détriment des autres informations personnelles) ;
- dans l'absence de pédagogie qu'ils mettent en place pour compenser l'inquiétude des internautes liées à Internet, ;
- dans un design qui déroute l'internaute et l'empêche de vérifier facilement la sécurité du site.

Les sites des banques, qui pourtant devraient montrer l'exemple dans ce domaine, font preuve d'un laxisme paradoxal.»

A lire avant de faire des achats en ligne ...

Le cracker (voire script-kiddy) canadien MafiaBoy (17 ans), auteur de plusieurs denis de service distribués (DDoS) contre des grands sites Internet en février 2000, a été condamné à "une peine de 8 mois de "garde ouverte" à purger dans un centre pour jeunes contrevants, assortie d'une mise à l'épreuve d'un an et de l'obligation de verser 250 dollars canadiens (160 USD) à un organisme de charité."

Le NIST (National Institute of Standard and Technology, organisme US définissant les standards gouvernementaux) vient d'annoncer la release officielle d'AES (Advanced Encryption Standard).

L'AES est destiné à remplacer le DES devenu trop faible au niveau sécurité. Après plusieurs années de mise au point et de processus de sélection, en octobre 2000, l'algo Rjindael (développé par 2 chercheurs belges) a été retenu pour devenir l'AES.

Voici un super article sur le site de l'excellent magazine "Samag" des SysAdmins qui présente une approche unique pour améliorer la sécurité de réseaux.

"Exécutez votre firewall dans un état d'exécution stoppé sur votre linux, c'est à dire en runlevel 0 : aucune exécution de processus et aucun disque monté, mais le filtrage de paquets IP est toujours en fonction!"

Cela protège des tentatives d'introduction de vers sur le firewall, puisque le hacker n'a plus d'espace disque pour poser ses
programmes de surveillance et d'intrusion. Mais cela ne protège évidemment pas des attaques de type "denial of service".

L'auteur a entendu une rumeur de cette capacité d'exécution arrétée sur les noyaux Linux 2.0, il est parvenu à obtenir ce fonctionnement aussi bien sur une 2.2. Reste à tester sur un noyau 2.4...

NB : Merci à Alain pour la news

Ca y est le premier "vrai" virus qui affecte à la fois Windows et Linux est arrivé. Il s'appelle "Simile.D" et est polymorphe.

Petites précisions :
- il n'affecte que les machines Linux qui sont en mode super-utilisateur (ndm : huh ?)
- il affiche une boite de dialogue sous windows et écrit dans un terminal sous GNU/Linux.

L'équipe de KDE a été obligée de repousser la sortie de KDE 3.1 après avoir découvert qu'un trou de sécurité mineur découvert le 26 novembre se répétait à de très nombreux endroits dans le code, que l'audit complet de celui-ci s'avérait nécessaire et que celui ci ne peut etre achevé avant la semaine prochaine. Plus ennuyeux, le problème affecte apparemment toutes les versions de KDE depuis la 2.x. Des patches et updates vont probablement sortir pour les versions précédentes une fois l'audit achevé.

Un article sur SecurityFocus.org fait suite à la présentation de la technique des TARPITS (cf : lien vers l'ancienne dépêche).

Cette fois, c'est l'utilisation de deux type de honeypots différents, dont le démon honeyd, qui est détaillée, dans le cadre de la lutte contre les vers.
Le but étant de : piéger le ver pour l'étudier, ralentir sa propagation, déclencher des alarmes, prendre différentes mesures de protection, et même le contrer en désinfectant le système source de l'attaque.

En fin d'article, on a droit à un exemple de désinfection de Blaster.

Une série de failles ont été découvertes dans le protocole ICMP (et non pas ses implémentations) par l'argentin Fernando Gont, professeur, administrateur système et chercheur en réseau. Il a tenté dès le début, en août 2004, d'en informer tous les auteurs d'implémentation du protocole ICMP avant de publier les failles sur Internet. Il a commencé par écrire un document qu'il a envoyé à l'IETF. Il a également contacté CERT/CC et NISCC, les auteurs de systèmes d'exploitation libre (OpenBSD, NetBSD, FreeBSD, Linux, etc.), ainsi que Microsoft, Cisco et Sun Microsystems. Il a décrit chaque faille pour leur permettre de corriger les implémentations avant de publier ses découvertes.

Fernando a alors commencé à recevoir des e-mails de Cisco demandant des informations techniques précises. Deux mois plus tard, il a reçu un e-mail d'un avocat de Cisco disant que Cisco allait breveter son travail ! L'avocat n'a pas voulu donner plus de détails. Encore deux mois plus tard, il y a eu un échange de mails entre Cisco, Linus Torvalds et David Miller où Fernando a été mis en copie. David a fait remarquer que Linus Torvalds utilisait déjà depuis plusieurs années le « sequence tracking » dans Linux et par là même, le brevet ne pouvait être déposé pour cause d'antériorité du travail de Linus.

Cisco a alors accusé Fernando de coopérer avec les terroristes alors qu'en même temps Cisco voulait breveter son travail. Plus tard Cisco a aussi demandé à Fernando qu'il travaille pour CERT/CC.

Aujourd'hui Cisco a abandonné son idée de brevet, mais ça laisse quand même réfléchir sur le fait de publier anonymement ses failles ou non !

Article assez amusant, trouvé sur le site technique de microsoft (technet), ou l'on apprend que les sites basés sur IIS sont plus hackés que ceux basés sur apache, et que cela ne vient pas du fait qu'IIS serait plus utilisé qu'apache, au contraire apache est présent à 60% sur le net contre 20% pour IIS.
Pour une fois que Microsoft admet ses faiblesses!

Note du modérateur: Apres avoir lu l'article je ne suis pas aussi enthousiaste que l'auteur de la news. Il y a quand meme pas mal de FUD sous-jacent. De toute manière l'article mérite d'être lu.

Une nouvelle faille pour Internet Explorer vient d'être annoncée par Microsoft. Et ce n'est pas une petite faille de rien du tout... En effet, en modifiant l'entête Mime d'un e-mail, Internet Explorer exécute un programme sans vous en avertir (si l' e-mail est en HTML).
En gros, n'importe qui peut lancer le formatage de votre disque simplement en vous envoyant un mail...
Microsoft vient de sortir un patch à appliquer de toute urgence...
Plusieurs patch sont sortis depuis longtemps : www.debian.org, www.mandrake.org ...

Merci à 09:53:48 sur la tribune

Les 2 projets de détection d'intrusion, Prelude et Trithème, viennent à l'occasion du Libre Software Meeting, de décider de fusionner leurs projets respectifs afin d'optimiser les compétences de développement et les capacités du logiciel qui résultera de cette coopération (qui conservera le nom Prelude). L'équipe de Trithème apportera ses connaissances en matière d'architecture distribuée, de corrélation à long terme et non linéaire, de fonctions host-based -- notamment dans un premier temps le logging centralisé à partir de capteurs distribués, de contre-mesures et de processus de réponse automatisés, et enfin participera au développement d'une console admin tout cela profitant de l'architecture fortement modulaire de Prelude afin de l'étendre de manière distribuée vers des capacités hybrides et d'aide à la décision. Les deux équipes de développement se rejoindront sous peu en conservant un fonctionnement coopératif et libre.
Toutes ces améliorations se feront donc de manière totalement transparentes pour les utilisateurs et seront intégrées au cours des futures versions de Prelude.

Pour rappel, Prelude est un système de détection d'intrusion écrit à partir de zéro en C et développé depuis 3 ans. Prelude est distribué sous la licence GPL.
La prochaine version de Prelude (0.4) incluera un moteur de signature capable de lire l'ensemble des règles Snort.

De plus, des tests d'utilisation CPU ont été effectué avec un traffic "normal" sur le réseau de l'UAB. Celui-ci avait un débit oscillant entre 300KBits/s et 9MBits/s. Alors que l'utilisation CPU était quasiment identique pour les deux produits pour des débits faibles, Snort utilisait plus de 33% CPU de plus que Prelude lorsque le débit approchait le MegaBits/s et jusqu'à plus de 300% pour des débits maximaux de 9MBits/s avec le même "ruleset".