Les 2 projets de détection d'intrusion, Prelude et Trithème, viennent à l'occasion du Libre Software Meeting, de décider de fusionner leurs projets respectifs afin d'optimiser les compétences de développement et les capacités du logiciel qui résultera de cette coopération (qui conservera le nom Prelude). L'équipe de Trithème apportera ses connaissances en matière d'architecture distribuée, de corrélation à long terme et non linéaire, de fonctions host-based -- notamment dans un premier temps le logging centralisé à partir de capteurs distribués, de contre-mesures et de processus de réponse automatisés, et enfin participera au développement d'une console admin tout cela profitant de l'architecture fortement modulaire de Prelude afin de l'étendre de manière distribuée vers des capacités hybrides et d'aide à la décision. Les deux équipes de développement se rejoindront sous peu en conservant un fonctionnement coopératif et libre.
Toutes ces améliorations se feront donc de manière totalement transparentes pour les utilisateurs et seront intégrées au cours des futures versions de Prelude.
Pour rappel, Prelude est un système de détection d'intrusion écrit à partir de zéro en C et développé depuis 3 ans. Prelude est distribué sous la licence GPL.
La prochaine version de Prelude (0.4) incluera un moteur de signature capable de lire l'ensemble des règles Snort.
De plus, des tests d'utilisation CPU ont été effectué avec un traffic "normal" sur le réseau de l'UAB. Celui-ci avait un débit oscillant entre 300KBits/s et 9MBits/s. Alors que l'utilisation CPU était quasiment identique pour les deux produits pour des débits faibles, Snort utilisait plus de 33% CPU de plus que Prelude lorsque le débit approchait le MegaBits/s et jusqu'à plus de 300% pour des débits maximaux de 9MBits/s avec le même "ruleset".
Les packages de la RedHat 7.2 (Enigma) sont incorrectement signés sur les miroirs ftp. La 7.1 était quant à elle correctement signée avec GnuPG. Soit RedHat a tout simplement oublié cette étape, soit leur process qualité a été shunté, ce qui est plus grave. Pas encore de réactions sur le site de RedHat. Celà me permet de conseiller ici l'excellent site de Kurt Siegfried sur la sécurité informatique.
Il y a 2 jours, un hacker a présenté sur la liste de diffusion ids-focus un outils d'évasion d'IDS (Système de détection d'intrusions en français) : fragroute. Ce programme permet de passer un exploit ou toute autre attaque sous le nez de Snort et à la barbe de la quasi-totalité des IDS (libres ou commerciaux) sans que ceux-ci ne génèrent la moindre alerte !
Fragroute est l'implémentation des techniques d'évasion d'IDS décrites dans "Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection", un document que je conseille à toutes les personnes interressées par les IDS de lire...
Un bug affecte probablement toutes les versions de Mozilla : le célèbre navigateur libre envoie l'URL de la page actuellement visitée au serveur web précédemment visité. Ceci ne concerne pas seulement les liens hypertextes. Comme aucun correctif n'est actuellement disponible, il est recommandé de désactiver l'option "Javascript".
Une nouvelle faille de sécurité vient d'être mise à jour dans Sendmail, versions 8.12.8 et précédentes. Il n'est pas impossible que cette faille puisse mener à un accès root distant. Elle serait aussi plus facilement exploitable sur les systèmes petit boutistes. Seuls les systèmes dont le type char est signé sont vulnérables tels quels.
Bien sûr une version corrigée de Sendmail est d'ores et déjà disponible
Internet Explorer n'en fini pas de faire des victimes. La dernière en date : Microsoft !
Le US-CERT (qui appartient désormais au fameux département de "Homeland Security"), vient de mettre à jour son alerte concernant les failles de sécurité d'IE. Sa nouvelle recommandation : "Use a different web browser" ("Utilisez un navigateur web différent").
Il manque juste un lien vers Mozilla, Firefox, Konqueror, Lynx, etc.
NdM : attention MyIE2, Avant Browser et Crazy Browser ne sont que des habillages de IE et sont donc également vulnérables aux mêmes failles de sécurité.
Le Netfilter Workshop 2007 vient d'ouvrir sa cinquième édition à Karlsruhe, en Allemagne. Ces rencontres ont lieu tous les 2 ans et permettent aux développeurs du projet Netfilter de se rencontrer pour définir les orientations du projet Netfilter, et également d'avancer sur les mises à jour de technologies à venir.
La première présentation a été réalisée par Patrick McHardy où il détaille version noyau par version noyau les avancées de Netfilter.
L'évènement se déroule du 11 au 14 septembre. Tout comme en 2005, un compte rendu est proposé par INL, sponsor de l'évènement. Le site est mis à jour en temps réel en suivant les différentes présentations des intervenants.
NdM Le projet Netfilter vise à fournir des solutions de firewall sous GNU/Linux via notamment l'outil
iptables.
Les "security-scripts" de FreeBSD viennent d'être portés pour Linux !
Ces scripts permettent à quiconque de vérifier certains points vitaux de sa box (vérification des suid, des umasks, des root-kits, les logs, les bons droits...), bref que du bonheur (enfin pour une linuxbox).
Sysadmin sous Linux ? ca s'améliore ,-)
ATTENTION : POUR LE MOMENT LE SCRIPT NE RENOUVELLE PAS LA CONFIGURATION DE RETROSHARE, IL FAUT DONC OBLIGATOIREMENT INDIQUER DANS LA CONFIGURATION DE RETROSHARE LA NOUVELLE ADRESSE.
Introduction
Nous allons utiliser un script que nous lancerons au démarrage et qui se chargera de renouveller l'hostname.onion du service tor lié à Retroshare.
Si vous n'utilisez pas Retroshare derrière un Tor Hidden Service, il est inutile de suivre ce tutoriel.
/!\ Ne changez pas votre hostname.onion pendant que Retroshare est en cours (…)
Là, on touche le fond !
La Federal Trade Commission (Commission Fédérale du Commerce) états-unienne a décidé que la sécurité informatique avait besoin d'une mascotte... un peu comme notre pingouin favori ;o)
Alors voilà « Dewie la e-Tortue » pour amener un semblant de sécurité aux utilisateurs...
"Si vous voyez un trou de sécurité, rebouchez-le avec du scotch" ;o)
Allez... Qui en veut une sur son bureau ?
(Source: Crypto-Gram newsletter)
Apparement, il y avait une importance breche de sécurité sur SourceForge qui a obligé les admins à fermer les accès pour "maintenance imprévue". Extrait de l'email recu par les utilisateurs:
"[...] The SourceForge team takes security very seriously. This week, one of our systems was compromised. We have promptly taken the necessary steps to correct this situation.
You have been contacted, because according to our log files, you have used SourceForge during the past week and may have used the system that was compromised. In order to complete the security fix, we are asking all users who used the system to change their password immediately. We've reset your password to a randomly generated string."
On a beaucoup parlé ces derniers temps des virus et vers s'attaquant à IIS (Nimda, Code Red) et des réactions comme celle du Gartner Group conseillant de considérer des solutions alternatives pour remédier à ces problèmes sans fin.
Microsoft dévoile son initiative 'Get Secure/Stay Secure', visant à proposer des solutions de sécurisations pour leur OS. En vrac : outils d'audit, configuration 'secure' par default, ...
J'aime particulièrement le petit paragraphe sur la livraison de packages par Windows Update:
"Each package will require one step to deploy and only one system reboot"
Le moins que l'on puisse dire, c'est que quand le géant se sent menacé, il sait réagir vite.
La fonction d'Universal Plug and Play (UPNP) de Windows XP comporte de multiples vulnérabilités qui permettent d'exécuter des commandes sous l'identité system (niveau normallement inaccessible pour un utilisateur), et ceci à distance.
Toutes les installations de Windows XP par défaut sont affectées, ainsi que certaines version de windows Me et 98.
Après les bugs "off by one" & "zlib double free", l'équipe d'OpenSSH est en train de travailler à une nouvelle version qui la rendrait insensible à ce type de bug, grâce à une séparation des privilèges.
De l'avis des développeurs :
"Previously any corruption in the sshd could lead to an immediate remote root compromise if it happened before authentication, and to local root compromise if it happend after authentication. Privilege Separation will make such compromise very difficult if not impossible."
Le code est actuellement utilisable sur OpenBSD, mais le portage vers d'autre *nix ne sera pas difficile.
Source : OpenBSD journal
ISS, peu après avoir dévoilé le problème sur Apache, avait annoncé qu'ils travaillaient sur une faille d'un autre logiciel libre (en annonçant cette fois-ci que la démarche serait un peu différente !).
Encore Bind ? Sendmail ? Squid ?
Et bien non, OpenSSH... :-(
Les détails sur la faille ne sont pas encore connus mais on sait d'ors et déjà de la bouche de Théo de Raadt lui-même qu'elle sera exploitable à distance, sauf si la séparation de privilège récemment apparue est activée (« UsePrivilegeSeparation yes » dans sshd_config). Peu de distributions Linux proposent cette option pour le moment mais j'espère sincèrement qu'ils vont tous s'atteler pour que ce soit le cas avant la semaine prochaine, date fatidique à laquelle seront dévoilés les détails de l'exploit (et je pense qu'un exploit pas forcèment de Gobbles ne tardera pas à suivre...)
Plus de détails sur LinuxSecurity.com
Note d'un autre modérateur : voir sur debianplanet.org la source apt Debian pour avoir les paquets ssh et apache corrigés pour Woody, ainsi que Mozilla 1.0
