Après quelques annonces catastrophes sur le développement des virus Linux dans un futur proche, un dossier d'interêt de la revue login sur le même sujet, voici enfin le tour des solutions anti-virus Open-Source (GNU vaincra!!!) :

Un projet lancé il y a quelques semaines sur dnsi.info:

Bon suite à une petite réflexion sur la liste, ainsi qu'aux nombreux messages private que j'ai reçu, on lance officiellement un projet de création d'antivirus libre, sous license GPL.
Aucune caratéristique précise n'a été établie. En vrac voici les idées que j'en ai : moteur "intelligent" (analyse de comportement viral, etc...), analyse de signatures (classique), language de script/intéraction système, permettant de créer ses propres règles génériques, par ex ou autre action à entreprendre.

Projet dors-et-déjà mis en concurrence ( >=> ) comme le prouve cette news de LinuxSecurity :
OpenAntivirus est une plate-forme pour des personnes intéressées par la recherche anti-virus, la sécurité réseaux, la sécurité des communications inter-ordinateurs, le développement de solutions à divers problèmes de sécurité ainsi que le développement de nouvelles technologie en sécurité. (...)

A vos clavier!!!

Une variante du Remote Shell Trojan vient d'apparaître.
Nommé RST.b par les gens de Security Focus, il infecte les binaires Linux
dans le but de prendre le contrôle de la machine et met en place un sniffer.
Merci a Zelinux pour la news.

LinuxSecurity décrit un trou de sécurité dans le loop device encrypté de Linux.

A cause de cela, un attaquant peut modifier le contenu du device encrypté sans être détecté.

Un texte est proposé pour rêgler ce problème en autentifiant le device.

NdR: C'est aussi un bon moyen de mettre le nez dans le cryptage, des pointeurs intéressants sont donnés.

Signalant au passage la sortie du linuxfocus de ce mois, vous seriez bien avisés de coller vos mimines dans ce documents ma foi fort complet :

Qu'est-ce que chroot ?
Chroot redéfinit l'univers de fonctionnement d'un programme. Plus précisément, il détermine un nouveau répertoire "ROOT" ou "/" pour un programme ou une session. Schématiquement, tout ce qui est à l'extérieur du répertoire "chrooté" n'existe pas pour un programme ou un shell.

Pourquoi est-ce utile ? Si quelqu'un s'introduit dans votre ordinateur, il ne pourra pas voir la totalité des fichiers de votre système. Le fait de ne pas voir vos fichiers limite les commandes qu'il peut lancer et ne lui donne pas la possibilité d'exploiter des fichiers qui seraient vulnérables. L'inconvénient majeur, c'est que ça n'empêche pas l'analyse des connexions réseau ou autre. Ainsi, vous devrez faire bien d'autres choses qui n'entrent pas vraiment dans le cadre de cet article (...) :

Je vous laisse découvrir le reste :)

Deux nouvelles versions de mutt (une dans chaque série : 1.2 et 1.3) sont sorties avec la nouvelle année. Elle corrigent un important trou de sécu et méritent qu'on s'en occupe sur le champ.
Une nouvelle version est dispo pour Debian (potato) depuis le 2 janvier ...

Le Phrack #58 est enfin sortie au sommaire plein de truc intéressant, comme l'interception de fonctions, le patching au vol du noyau par /dev/kmem, etc.

Bien pratique, Linux port/socket pseudo ACLs permet entre autres d'autoriser le bind des ports réservés à root, pour des utilisateurs classiques. Les services qui sont susceptibles d'être défaillant sont ainsi un peu mieux protégés contre une quelconque faiblesse. Cela permet d'éviter de jongler avec les IPChains/Tables. Le patch kernel existe pour Linux 2.4.16/17, 2.2.19/20, 2.5.0/1.

La fonction d'Universal Plug and Play (UPNP) de Windows XP comporte de multiples vulnérabilités qui permettent d'exécuter des commandes sous l'identité system (niveau normallement inaccessible pour un utilisateur), et ceci à distance.


Toutes les installations de Windows XP par défaut sont affectées, ainsi que certaines version de windows Me et 98.

on n'a jamais autant parlé des systèmes de détection d'intrusion. Tout d'abord SecurityFocus publie un article de Paul Innella et Oba McMillan (Tetrad Digital Integrity) et qui constitue un excellent point de départ pour qui veut connaître les IDS.

Ce document fournit un excellent point de départ pour toute personne intéressée par la détection d'intrusion. La détection d'intrusion est l'art de détecter les activités anormales, inappropriées et inexactes (...).

Voilà, avec tout ça les Script Kiddies boutonneux devraient avoir quelques difficultés à mettre à mal vos serveurs (vu que la plupart ne comprennent même pas ce qu'ils font) - A vous de jouer :)

Le FBI reconnait par l'intermédiaire de son porte parole D. Bresson, travailler sur un virus qui permettrait de récupérer les mots de passe et autres frappes au clavier. Le projet s'appelle Magic Lantern.
L'info a été reprise aujourd'hui par Libération, mais provient de MSNBC.

Le site du forum des droits sur l'internet annonce qu'un projet de loi est en train de passer "en catimini". Ce projet n'est pas totalement innoncent : il vise à permettre aux agents des douanes et aux enquêteurs de la COB d'accéder aux données conservées par les fournisseurs d?accès et les opérateurs télécoms. Ces données, ce seront celles qui nous concernent et qui concernent notre vie privée...

Déjà, des amendements ajoutés à la loi sur la sécurité quotidienne obligent les opérateurs de télécoms et les fournisseurs d'accès à conserver les logs pour fins d'enquêtes policières. Un décret devra sortir prochainement pour dire de quels logs il s'agit et pour combien de temps ces données devront être conservées.

On parle beaucoup de sécurité, mais combien d'entre nous peuvent prétendre d'avoir un système correctement sécurisée.
Le développement de "distributions" permettant de mettre en place un firewall facilement accessible à tous et ne nécessitant pas des connaissances trop pointues dans ce domaine est en plein renouveau.
On a souvent parlé de la distrib Smoothwall, permettant de recycler son vieux 486, mais une autre alternative existe Startup Linux, qui a mon goût est plus complet et inclus le minimun pour celui qui veut faire le maximun s'en pour autant être un expert. Bien sûr un expert préfèrera toujours faire sa propre sécurité avec son propre firewall et sa DMZ, mais ce genre de produit s'adresse aux débutants soucieux de se sécuriser un minimun tout en adoptant un produit fiable et gratuit, comme aux utilisateurs plus avancés.
Pour pouvoir se consacrer tranquillement à autre chose, et se préparer plus sereinement à une configuration personnelle.
Vive l'alternative.

Vnunet a prédit que dans le courant de l'année prochaine, les virus allaient faire leurs premières apparitions sur Linux. En effet, grâce à son essor actuel et à venir, Linux serait un "OS stable mais pas sécurisé" ("It is a stable OS, but it's not a secure OS.") et donc un "marché" potentiel pour les créateurs de virus. Et M. Jack Clarke, ("European product manager" chez McAfee) de rencherir: "En fait, c'est probablement plus simple d'écrire un virus pour Linux car c'est open source et le code est disponible" ("In fact it's probably easier to write a virus for Linux because it's open source and the code is available.").

Les virus actuels auraient leur efficacité renforcé par leur fonction de "Social engineering". Le monsieur doit penser aux virus qui lisent le carnet d'adresses d'Outlook et envoie un mail du type "Je t'envoie le dossier urgent comme convenu".

Enfin VNUnet prédit aussi une recrudescence des virus de type Code Red et Nimba sans préciser sur quelle plateforme cela risque de se produire ;). Quelqu'un se dévoue pour leur expliquer? (Cet article est aussi paru chez IT-director.com qui semble être le portail des décideurs pressés dans le domaine IT.)

Le NIST (National Institute of Standard and Technology, organisme US définissant les standards gouvernementaux) vient d'annoncer la release officielle d'AES (Advanced Encryption Standard).

L'AES est destiné à remplacer le DES devenu trop faible au niveau sécurité. Après plusieurs années de mise au point et de processus de sélection, en octobre 2000, l'algo Rjindael (développé par 2 chercheurs belges) a été retenu pour devenir l'AES.

Le CERTA ( Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques ) publie un bulletin d'alerte sur le risque de divulgation de données personnelles/confidentielles par des produits Microsoft. Une solution dite "provisoire" est apportée, mais aucune sur un éventuel changement d'OS.