Journal Quelques aspects de la securite qui n'ont rien a voir avec le "Sandboxing"

24
22
jan.
2012

Sommaire

Ceci est une traduction de mon entree de blog recente. Quelques remarques avant de commencer:
- mon biais: je travaille chez Mozilla Corporation sur WebGL.
- desole pour (…)

Journal SEAndroid, une version d'Android basée sur SELinux

Posté par  (site web personnel) .
13
17
jan.
2012

SEAndroid est une version d'Android basée sur SELinux, et développée par la NSA, pour combler des lacunes de sécurité du système original.

C'est en gros pour limiter les actions d'applications malveillantes ou boguées et surtout en limiter les dégâts.

Le système est évidemment open source (enfin comme d'hab en fonction des drivers des méchants constructeurs qui ne font que du proprio !) et basé sur la version AOSP d'Android.

La page sur le wiki officiel pour plus d'informations :
http://selinuxproject.org/page/SEAndroid

(…)

Sandboxing fin dans le noyau linux : la saga des filtres seccomp

Posté par  . Édité par claudex, Manuel Menal, Benoît Sibaud et baud123. Modéré par Sylvain Rampacek. Licence CC By‑SA.
77
15
jan.
2012
Noyau

Les développeurs de Google sont toujours à la recherche de solutions permettant d'améliorer la sécurité du navigateur web Google Chrome (ou son implémentation libre Chromium), ou de leur projet ChromeOS. Dans la dépêche à ce sujet, je vous avais raconté leur participation au projet Capsicum, qui apporte une gestion très fine des privilèges d'un processus, maintenant intégré dans FreeBSD.

Bien que les techniques mises en place par Capsicum soient pensées pour tous les systèmes inspirés d'UNIX, il n'y a pas grand espoir aujourd'hui qu'un port Linux soit accepté par les développeurs noyau ; Capsicum est un projet externe qu'il faudrait d'abord intégrer, ré-exprimer en terme des fonctionnalités existantes dans le noyau ; et les mainteneurs sont notoirement mécontents de la multiplication des solutions de sécurité (les Linux Security Modules en particulier) et ne verraient pas d'un bon œil l'apparition d'un nouveau candidat. Les développeurs Chromium utilisent sous Linux le primitif système de sandboxing seccomp, bien qu'il soit beaucoup moins flexible que Capsicum et donc nettement plus pénible et difficile à utiliser.

Depuis 2009, les développeurs Chrome essaient d'étendre les capacités de seccomp pour mieux répondre à leurs besoins. Les changements se sont révélés beaucoup plus difficiles à faire accepter que prévu : la situation a semblé bloquée à de nombreuses reprises et n'a pas évolué pendant de nombreux mois. Après plusieurs tentatives infructueuses, Will Drewry vient de proposer une nouvelle approche qui pourrait obtenir l'approbation des développeurs noyau ; mais rien n'est encore gagné…

Journal Netzob : outil de rétro-conception de protocoles de communication

23
13
jan.
2012

Un petit journal pour vous annoncer la sortie d'un outil libre de rétro-ingénierie de protocoles de communication : Netzob* !

Plusieurs cas d'usages sont visés à travers cet outil :

  • le développement d'une implémentation libre d'un protocole de communication propriétaire (ou non documenté) ;
  • l'analyse de sécurité (fuzzing "intelligent", avec compréhension du protocole) sur des implémentations de protocoles propriétaires ;
  • la simulation de trafic réaliste de protocoles de communication propriétaires dans le but de tester des produits tiers (pare-feux, IDS, (…)

Journal Vol de smartphone et données personnelles

Posté par  (Mastodon) .
20
11
jan.
2012

Bonjour,

Je me suis fait voler mon smartphone. Jusque là, rien d'extraordinaire. J'ai naturellement bloqué la ligne et changé tous mes mots de passe, mais il semble que le voleur ait eu accès aux mails, soit parce qu'ils étaient stockés sur la carte SD, soit parce qu'il a réussi à accéder à la mémoire interne du téléphone. En effet, "quelqu'un" a tenté de remettre à zéro un de mes mots de passe, et j'ai reçu une demande de confirmation par (…)

Fin du support de sécurité pour Debian Lenny le 6 février 2012

Posté par  . Édité par Nÿco, Benoît Sibaud, claudex et patrick_g. Modéré par claudex. Licence CC By‑SA.
Étiquettes :
36
4
jan.
2012
Debian

L’équipe de sécurité Debian nous a fait un petit rappel sur leur liste de diffusion au sujet de la fin du support de sécurité pour Debian Lenny, qui se terminera précisément le 6 février 2012.

Après cette date butoir, plus aucune mise à jour de sécurité ou autre correction de bug critique ne sera livrée, c'est dans la logique de fonctionnement du projet Debian.

Voici une traduction de leur annonce datant du 06 décembre 2011 :

Ceci est une notice liée au support de la sécurité sur Debian GNU/Linux 5.0 (nom de code « Lenny ») qui se terminera dans 2 mois.
Le projet Debian a sorti Debian GNU/Linux alias « Squeeze » le 6 Février 2011.
Les utilisateurs et distributeurs ont eu 1 an pour mettre à jour leur version.
Donc, le support lié à la sécurité pour l'ancienne version stable 5.0 se terminera dès le 6 février 2012 comme précédemment annoncé.
Les mises à jours de sécurité pour l’ancienne version stable continuent d’être disponibles sur security.debian.org

Pensez à mettre à jour votre Debian si ce n'est pas déjà fait, ainsi que vos fichiers sources.list.

Journal wps cassé

Posté par  . Licence CC By‑SA.
Étiquettes :
30
31
déc.
2011

A cause de certains problème de la norme wps (http://fr.wikipedia.org/wiki/Wi-Fi_Protected_Setup) implémenté dans un grand nombre de routeur, il est possible de deviner assez rapidement (quelques heures) la clef wpa/wpa2 généré.

En effet à l'origine le ses (wps proprio broadcom) (http://wifinetnews.com/archives/2005/01/under_the_hood_with_broadcom_secureeasysetup.html) nécessitait un bouton physique pour démarrer la phase d’auto-configuration de la clef wpa/wpa2.

Mais dans la version standardisé wps, il est obligatoire d'avoir une méthode (PIN) de configuration qui ne repose plus sur une action physique, (…)

Le colonel Moutarde, sur la table (de hachage), avec un livre de maths

Posté par  . Édité par baud123, claudex, Benoît Sibaud et patrick_g. Modéré par Malicia. Licence CC By‑SA.
78
30
déc.
2011
Sécurité

Quand des chercheurs en informatique font de la théorie, certains écoutent, comme les développeurs de Perl. D'autres dorment au fond de la classe : cette fois, le bonnet d'âne est pour PHP, Python, V8 (JavaScript par Google, qui sert par exemple dans node.js), Ruby (sauf CRuby), de nombreux serveurs d'applications en Java, mais aussi ASP.NET. Ils ont dû se réveiller brutalement mercredi, lors d'une présentation d'Alexander Klink et Julian Wälde au Chaos Communication Congress montrant comment saturer très simplement un serveur grâce à une attaque basée sur la complexité algorithmique.

28ème Chaos Communication Congress : « Derrière les lignes ennemies »

Posté par  (site web personnel) . Édité par Benoît Sibaud, Nÿco, Manuel Menal et Lucas Bonnet. Modéré par claudex. Licence CC By‑SA.
34
23
déc.
2011
Communauté

Les porte-monnaie sont déjà vidés et les dindes attendent patiemment leur sort funeste à côté de ce qui reste de leurs cousins canards/oies. Les images d'un gros monsieur en rouge, avec une barbe digne du geek qui se respecte, se multiplient de façon inquiétante. Bref, Noël est là.

Et comme tous les ans, pile après vient le CCC. Il s'agit de l'évènement organisé par le hackerclub éponyme et qui se nomme Chaos Communication Congress (le 28ème cette année, d'où son nom 28C3). Vous en avez certainement déjà entendu parler, étant donné que des dépêches passent ici-même tous les ans. Alors, vu que je suis très impatiente d'y être, voici un aperçu du programme.

NdM : le CCC met en place des flux audio et vidéo des conférences, et a posteriori les vidéos (par exemple celles de l'année dernière).

Forum général.petites-annonces [CDI sur Aubagne (13)]: Ingénieur software embarqué bas niveau Linux expert au niveau sécurité H/F

Posté par  (site web personnel) .
0
22
déc.
2011

CELAD, Société de Conseil et d'Ingénierie Informatique crée en 1990 et forte de plus de 450 collaborateurs répartis sur 5 agences, intervient sur des projets à haute valeur ajoutée, dans le domaine des systèmes d'information et de l'informatique industrielle.

Rejoindre CELAD, c'est concilier dimension humaine, dynamisme et professionnalisme au sein d'une société reconnue pour sa politique sociale.

Nous poursuivons notre développement et recrutons un(e) Ingénieur Software expert Linux et sécurité (5 ans d'expérience minimum) pour l'un de nos clients proche (…)

Journal 82 millions d'euros pour 200 caméras...

Posté par  . Licence CC By‑SA.
Étiquettes :
20
22
déc.
2011

Salut Nal.

Voilà que j'apprend que 200 caméras supplémentaires vont être déployées dans Paris pour un coût de 82 millions d'euros !

Alors là je sors ma calculatrice :

En supposant qu'un policier peut faire le travail de deux caméras (car autant le policier n'est pas là 24h/24, mais il peut bouger et surtout il peut dresser des contraventions, ... etc.). Et en supposant qu'un policier est payé 1800€ en moyenne (soit 3000€ brut) ça nous fait :

82 000 (…)

NAXSI, un module de filtrage HTTP pour nginx

Posté par  (site web personnel) . Modéré par patrick_g. Licence CC By‑SA.
34
14
nov.
2011
Sécurité

Ma société travaille depuis plusieurs mois sur un projet de WAF, ou pare‐feu applicatif, articulé autour du serveur HTTP et proxy inverse nginx. Après une foule de tests et une épreuve du feu pour le moins tendue, la première version stable de NAXSI, c’est son nom, est disponible au téléchargement en code source et en paquet Debian.

NAXSI est sous licence GPL v2 et s’utilise conjointement avec nginx. Son principal but est de bloquer de manière efficace les attaques classiques de type injection SQL, Cross‐Site Scripting, Cross‐Site Request Forgery, ou encore inclusion de sources tierces locales ou distantes.

Au contraire des WAF déjà connus, NAXSI ne se base pas sur des signatures, mais plutôt sur la détection d’attaques connues en interceptant des caractères et autres chaînes suspectes dans les requêtes HTTP. Tel un système anti‐pourriel, NAXSI affecte un score à la requête et, lorsque ce dernier est trop élevé, le client est redirigé sur une page de type 503.

Malgré ses récents faits d’armes, NAXSI reste un projet jeune, et en tant que tel, nécessite plus de tests. Aussi, n’hésitez pas à lui donner sa chance, vos retours seront grandement appréciés !

Sortie de Suricata 1.1

Posté par  (site web personnel) . Modéré par Nÿco. Licence CC By‑SA.
Étiquettes :
29
10
nov.
2011
Sécurité

L’équipe de développement de l’IDS/IPS Suricata a publié le 10 novembre 2011 la version 1.1 de son moteur de détection/prévention d’intrusions. Il s’agit de la première version de la nouvelle branche stable 1.1. Elle prend la suite de la branche 1.0 sortie en août 2010, et apporte des gains conséquents en termes de performance, stabilité et précision.

Suricata est un système de détection/prévention d’intrusion réseau basé sur des signatures (à l’image de Snort avec qui il partage le langage de signatures). Il est disponible sous licence GPL v2 et a été développé depuis zéro par une fondation à but non lucratif, l’Open Information Security Foundation (OISF). Suricata fonctionne sur les systèmes d’exploitations GNU/Linux, BSD et Windows.

Journal Charlie Miller peut fouiller vos données iPhone et iPad

Posté par  .
Étiquettes :
10
10
nov.
2011

Expert en sécurité, Charlie Miller a trouvé une faille de sécurité sur les appareils Apple. Il a fait publier sur l'Appstore une application pouvant exécuter ensuite n'importe quel code, sans passer par les vérifications d'usages.

Il a publié une vidéo.

Le code ou la méthode exacte de l'attaque n'a pas été dévoilé. Miller attend qu'Apple ait corrigé le problème. Il fera sans doute démonstration de son exploit lors de la conférence SysCan, à Taiwan le 17 novembre.

Il est (…)

Journal [MS11-083] Vulnérabilité dans la pile TCP/IP de Windows permettant l'execution distante de code

Posté par  . Licence CC By‑SA.
Étiquettes :
23
9
nov.
2011

Microsoft a publié hier une alerte de vulnérabilité concernant une faille assez critique présente dans Windows Vista, Windows 7 et Windows Server 2008. Trois fois rien, puisqu'elle permet à un attaquant d'exécuter du code à distance… en envoyant des paquets sur un port UDP… fermé.

Heureusement, Windows ayant un système de gestion des mises à jour beaucoup plus efficace que celui de Linux, on peut espérer que le correctif sera poussé sur la majorité du parc avant la publication (…)