Une nouvelle fonctionnalité se rajoute à OpenSSH : ChrootDirectory. Ainsi, il est facile de chrooter suite à la connexion d'un utilisateur. Cela permet de limiter la vision du système de fichier à un sous-ensemble lorsque cet utilisateur se connecte en ssh.

Combiné au serveur sftp intégré à sshd, il est possible de limiter l'utilisateur à une partie du système de fichier ne possédant aucun binaire, aucune bibliothèque, ni aucun node, comme ça aurait du être le cas si le server sftp n'était pas intégré à sshd. Par exemple, les hébergeurs web pourront maintenant, grâce à cette fonctionnalité, remplacer ftp par sftp.

Je profite de la publication de la première version stable d'OpenVAS pour faire un point sur l'état des forks de Nessus.

Créé en 1998 par Renaud Deraison, Nessus a longtemps été le scanner de vulnérabilités de référence du monde libre. Ce succès à permis à son auteur de monter la société Tenable Network Security qui commercialise une offre d'audits de vulnérabilités. Face à une concurrence utilisant sans vergogne son logiciel, comme le permet la GPL, et au vu de la faiblesse des contributions de la communauté au moteur du logiciel, la société a décidé d'utiliser une licence propriétaire pour la version 3 de Nessus fin 2005 .

La réaction de la communauté ne s'est pas faite attendre et de nombreux forks de la version 2 de Nessus ont été lancés dans la foulée, par exemple GNessUs, Porz-Wahn et Sussen parmi les projets ayant été annoncés officiellement.
L'objectif était de continuer à disposer d'un scanner de vulnérabilité libre et performant. Voilà plus de 2 ans que ces forks ont été lancés, force est de constater qu'aucun d'entre eux n'a acquis la renommée de leur ancêtre commun. En effet, au delà des bonnes intentions, la quasi totalité de ces projets n'ont jamais réussi à rassembler suffisamment de développeurs pour permettre de reprendre le flambeau.

Le site de Porz-Wahn est figé depuis son ouverture et tout laisse à penser que le projet est mort, en fait Porz-Wahn a fusionné en toute discrétion avec GNessUs fin 2005.

L'histoire de Sussen est différente des autres forks. Lancé courant 2004, avant le changement de licence de Nessus, Sussen -"nessus" à l'envers :-)- était au départ un client Gnome codé en Mono/C#/GTK# supposé s'interfacer avec le serveur Nessus.
À la suite de la sortie de Nessus 3.0, le projet a pris une tournure différente et la version actuelle n'a plus rien à voir avec le client Nessus originel. Ce logiciel est maintenu par un seul développeur qui, à l'instar de Renaud Deraison, travaille dans une société de services en sécurité. La version de développement actuelle, disponible pour Linux et Windows, est sortie courant 2007. Elle est certifiée OVAL (un standard pour l'échange d'informations relatives aux vulnérabilités). Un seul message ayant été posté sur la liste de diffusion depuis sa création, le blog du développeur reste le meilleur moyen d'avoir des nouvelles de ce logiciel.

Last but not least, GNessUs a changé de nom et s'appelle dorénavant OpenVAS. Il s'agit du seul fork de Nessus encore actif. C'est autour de ce logiciel lancé par un chercheur en sécurité anglais qu'une communauté s'est formée. Suite à la fusion avec Porz-Wahn, des développeurs allemands ont rejoint l'équipe et le projet a d'ailleurs reçu des subventions du gouvernement allemand. Il a aussi retenu l'attention du SPI, une association qui subventionne des projets libres. C'est donc en toute discrétion, après quand même deux ans de travail, que les premières versions stables d'OpenVAS ont été publiées il y a quelques jours à peine, conformément à la feuille de route.
La communauté dispose donc enfin d'un scanner de vulnérabilités libre. Certes son architecture date un peu et de nombreuses améliorations seront nécessaires avant de se rivaliser avec la version actuelle de Nessus, mais c'est un premier pas dans la bonne direction.
N'hésitez donc pas à vous abonner à la liste de diffusion du projet et à contribuer si vous vous en sentez capable.

Une importante faille de sécurité a été mise en évidence ce week-end sur l'ensemble des noyaux Linux 2.6 récents (2.6.17-2.6.24.1). Elle permet à un utilisateur local d'obtenir les priviléges root. Le code d'exploitation est disponible publiquement depuis la fin du week-end.
Une mise à jour rapide du noyau Linux est donc nécessaire.
Le dernier noyau en date (2.6.24.2) règle définitivement le problème. Certaines distributions ont déjà rétropropagé le correctif. Les autres distributions ne devraient pas tarder.
Si vous utilisez un serveur dédié, pensez à regarder les forums de votre hébergeur pour obtenir la marche à suivre pour la mise à jour. Un lien sur le fil de discussion correspondant au sujet chez OVH a été mis en lien ci dessous, avec la marche à suivre pour leurs serveurs dédiés.
Les noyaux durcis (Grsec) sont affectés.

NdM: Merci à inico et à Victor Stinner pour leurs journaux sur le sujet.

Après plusieurs mois de travail, la première version stable du LiveCD NuFW.Live est disponible. Basé sur une knoppix, ce LiveCD permet à ses utilisateurs de tester facilement et rapidement les fonctionnalités du pare-feu NuFW, et les outils d'administration qui permettent de le gérer : Nulog2, Nuface2 en RC4, pyctd le "tueur de connexion Netfilter" ...

Le LiveCD contient également NuApplet2, un client NuFW pour Linux, ce qui permet de réaliser des tests sans rien installer, en utilisant le LiveCD sur deux machines.

NuFW.Live [version 1.0.1] est téléchargeable en HTTP et en Bittorent. Les volontaires pour fournir un miroir de téléchargement seront les bienvenus.

Voici la 2ème génération de l'incontournable outil d'analyse de fichiers journaux de pare-feu. Nulog2, presque 6 ans après la v1, s'appuie toujours sur un format de journalisation SQL, mais présente les informations de manière plus synthétique, et beaucoup plus exploitable.

Au menu des nouveautés :

• Réécriture complète du code, passage de PHP à Python avec Twisted Matrix ;
  
• Génération à la volée de diagrammes et de camemberts, au souhait de l'utilisateur ;
  
• Personnalisation totale de la page d'accueil, pour chaque utilisateur ;
  
• Refonte de l'ergonomie de l'outil et de la manipulation des critères d'affichage des connexions réseaux ;
  
• Possibilités de recherches beaucoup plus avancées ;
  
• Export des données affichées en CSV pour traitement personnalisé ;
  
• Passage à la licence GPLv3.

Bien entendu, Nulog2, permet, comme la v1, d'exploiter des logs authentifiés par un pare-feu NuFW. Il est donc très simple de créer ses propres indicateurs à placer sur sa page d'accueil, par exemple "Histogramme des derniers paquets droppés des trois dernières heures de l'IP 10.56.140.47 ou de l'utilisateur Martin".

Le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique et ses outils libres, propose un dossier sur les systèmes qui permettent de renforcer la sécurité de la branche 2.6 des noyaux Linux.

Ce dossier francophone, en libre l'accès pour tous, porte sur l'activation de ASLR (Address Space Layout Randomization), de GrSecurity et de PaX ainsi que sur celle de SELinux ; vous y retrouverez les procédures d'installation, de configuration et d'administration de ces mécanismes ainsi que des exemples d'attaques.

Vous pourrez également vous servir de la base d'exploits ExploitTree, basée sur CVS, et de sa plateforme de recherche en Perl afin de tester l'ensemble de ces fonctions de renforcement des noyaux Linux de cette branche.

Il existe actuellement différents CDROM de type Live CD que l'on dit aussi « bootables » et qui sont basés sur les distributions GNU/Linux.

Les Live CD concernant le domaine de la sécurité des systèmes d'informations et de communication sont tout aussi nombreux parmi ceux-ci, ils sont pour la plupart disponibles en téléchargement sur internet et notamment BackTrack2 qui est l'un des plus populaires parmi eux.

Ces Live CD ont été développés pour donner la possibilité à leurs utilisateurs d'y ajouter leurs propres outils et scripts, ils présentent cependant tous un défaut majeur dès lors que l'on souhaite effectuer la mise à jour du système et des outils qui les composent.

Cette opération est soit impossible dans la plupart des cas soit tellement compliquée à réaliser qu'elle n'est pas envisageable pour les utilisateurs lambda ; ils sont alors contraints d'attendre les avancées des développeurs afin de profiter des dernières versions.

Le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, vous propose un document présentant une méthode originale qui permettra à tout un chacun de réaliser son propre Live CD, orienté sécurité ou pas.

Scapy est un utilitaire Open Source en Python développé par Philippe Biondi, cet outil vous permet de disséquer, de forger, de recevoir et d'émettre des paquets (et des trames) de données pour un grand nombre de protocoles que vous pourrez également décoder : DNS, DHCP, ARP, SNMP, ICMP, IP, TCP, UDP.

L'un des seuls points faibles connu à ce jour, concernant Scapy, est son manque de documentation officielle ou non, notamment francophone, permettant de le destiner à un plus large public que les experts du domaine ; partant de ce constat, le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, met à disposition de tous un document venant combler une partie de ce manque.

Vous y apprendrez notamment comment installer et configurer Scapy ainsi que les rêgles rudimentaires relatives à son utilisation (commandes basiques et avancées) et à la manipulation de paquets (et de trames) de données dont un exemple de génération de graphiques 2D/3D à partir des résultats d'un traceroute réalisé à l'aide de Scapy.

Le fournisseur d'accès vient de choisir l'authentification OpenID pour son portail Orange.fr, devenant ainsi le plus gros site implémentant cette solution d'authentification.

OpenID est l'initiative pour un système d'authentification décentralisé, permettant une identification unique.

Un service d'ores et déjà disponible, comme le souligne Neteco, pour les" 17 millions de clients "internet" et 23 millions de clients "mobile" d'Orange France".

Le Netfilter Workshop 2007 vient d'ouvrir sa cinquième édition à Karlsruhe, en Allemagne. Ces rencontres ont lieu tous les 2 ans et permettent aux développeurs du projet Netfilter de se rencontrer pour définir les orientations du projet Netfilter, et également d'avancer sur les mises à jour de technologies à venir.

La première présentation a été réalisée par Patrick McHardy où il détaille version noyau par version noyau les avancées de Netfilter.

L'évènement se déroule du 11 au 14 septembre. Tout comme en 2005, un compte rendu est proposé par INL, sponsor de l'évènement. Le site est mis à jour en temps réel en suivant les différentes présentations des intervenants.

NdM Le projet Netfilter vise à fournir des solutions de firewall sous GNU/Linux via notamment l'outil iptables.

Développée avec la Mairie de Paris et l’INSERM, la solution OpenTrust-PAM (Portal Access Manager) d’IDEALX est désormais libre au téléchargement sous licence GPL.

OpenTrust PAM permet à un utilisateur de n'avoir à s'identifier qu'une seule fois pour accéder à toutes ses applications distantes. C'est donc un « reverse-proxy », assurant le SSO (Single Sign On), qui interagit avec les systèmes d’authentification des applications mises à disposition, grâce aux protocoles Web.

Mise en ½uvre pour la première fois à l’Inserm en 2004, la solution a été mise en production à la Mairie de Paris dans le cadre de la création d’un portail « Partenaires », destiné à multiplier les services fournis aux différentes entités liées à la ville.

Publié depuis aujourd’hui sous licence Open Source (GPL), le logiciel OpenTrust-PAM pourra ainsi être utilisé et s’enrichir par l’apport de nouvelles contributions.

Skype utilise de nombreuses méthodes d'obscurcissement du code et du trafic réseau (jusque là rien de nouveau pour du logiciel propriétaire).

Le principal problème c'est qu'il permet de contourner toutes les mesures de sécurité réseau (peu de solution hormis interdire l'installation de Skype voire l'accès à internet). Le protocole a un comportement tellement atypique et si difficilement remarquable que les HIDS, IDS et pare-feux ont du mal à le bloquer. Il passe par des ports standards (80, etc.)
Skype fournit une API (interface de programmation) qui, détournée par une personne mal intentionnée, permettrait d'interfacer n'importe quel autre programme avec le réseau Skype (botnet ou autre attaque à base de cheval de Troie par exemple). Skype a par ailleurs reconnu qu'un greffon collectait des informations sur les machines des utilisateurs (identifiant unique de la carte mère en lisant le BIOS).

NdM : l'utilisation et la participation au développement de solutions de VoIP libres telles que Wengophone, Ekiga ou Asterisk permettent de s'affranchir d'une partie de ces problèmes (voire de bénéficier de la vidéo).

La branche 1.2 de Nuface, l'interface web de gestion de pare-feu, est désormais stable. Écrit pour NuFW, mais utilisable sur un pare-feu "standard" Netfilter, Nuface utilise une modélisation XML de haut niveau pour représenter les objets réseaux, les utilisateurs, les protocoles... et permet d'agglomérer ces objets en ACL.

Les nouveautés et innovations de la branche 1.2 sont :

• Support du filtrage de contenu, avec gestion de règles Layer7
  
• Enrichissement du modèle de données, et gestion affinée de l'ordre des ACL, en tenant compte de la topologie du réseau
  
• Nombreuses améliorations de l'ergonomie de l'interface
  
• Génération de règles au format iptables-restore pour de meilleures performances au chargement.