Le cracker (voire script-kiddy) canadien MafiaBoy (17 ans), auteur de plusieurs denis de service distribués (DDoS) contre des grands sites Internet en février 2000, a été condamné à "une peine de 8 mois de "garde ouverte" à purger dans un centre pour jeunes contrevants, assortie d'une mise à l'épreuve d'un an et de l'obligation de verser 250 dollars canadiens (160 USD) à un organisme de charité."

Le module apache "mod_eaccess", développé au départ par Patrick ASTY, est maintenant maintenu par HSC, et à cette occasion la documentation française a été rédigée.

Cet article présente l'installation et la configuration d'un système de filtrage pour un site type "e-commerce", de l'architecture à adopter jusqu'à la configuration d'apache.

Intéressant, pour ceux qui sont concernés par la sécurité de leur site...

vnunet.com annonce l'existance d'un nouveau cheval de Troie pour Linux qui aurait été découvert par Qualys, la "célèbre" entreprise de sécurité.
L'article est très vague et fort peu technique; on y trouve les idées suivantes :

• Le cheval est similaire au célèbre outils d'administration Back Orifice
• Il s'installe sur le port UDP 5503 et plus et s'annonce sur un serveur web grand breton
• Il se propage par EMail

Mais le dernier argument fait oublier tout le reste ;-) :

• S'il se répand, il risque de faire bien plus de dégats que Code Red car 58% des serveurs tournent sous Apache, et donc majoritairement sous Linux, alors que Windows NT ne représente que 25%

Note du modérateur: Merci à Meszigues pour avoir aussi proposé cette nouvelle.

Tout nouveau, Tout beau, Le worm iis nouveau est arrivé
A déguster en avant première dans le sud de la Chine.
Dégustations européennes dans quelques heures/jours.

Un probleme de SUID sur Informix-SQL permet aux utilisateurs locaux de créer des fichiers avec les droits de root.

« Addressing Security Issues in Linux. A Linux White Paper. »
C'est ainsi que débute le document au format PDF sur la sécurité Linux. Une bonne doc (40 pages), passant en revue de nombreux points et offrant les références adéquates.

Lu sur bugtraq aujourd'hui : un type de silicon defense prétende pouvoir infecter Internet en 30 secondes. Selon lui, il suffit de trouver une ligne OC-12, à 622 Mbps (miam ;-), et de répertorier TOUTES les machines vulnérables, l'infection globale se fera alors en moins de 30 secondes.

Un autre type (Nicholas C Weaver ), lui, a trouvé le moyen de faire la même chose, mais en moins rapide (15 minutes)

PS : j'ai hésité à classer la news en internet/sécurité, finalement ça sera humour.

La méthode de cryptage utilisée par le Wireless Ethernet 802.11, WEP (Wired-Equivalent Privacy), n'est absolument pas sécurisée selon plusieurs articles parus.

Des attaques permettant de récupérer la clé de cryptage en 15 minutes d'écoute du réseau ont été trouvées. Sachant qu'une seule clé est générée pour tout le réseau, cela met en cause la protection de tout le réseau.

Il en faut pas s'affoler pour autant : cela signifie que les données peuvent être interceptées au niveau de la couche liaison. Si les couches plus élevées (utilisation de IPSec, SSH, ...) encryptent les données à transmettre, cela ne pose pas de problème.

Note du modérateur : de quoi s'amuser à HAL ? ;-)

Un virus/ver assez dangereux (W32/Sircam) circule sur Internet depuis une huitaine de jours. Ecrit en Delphi et utilisant les faiblesses de Windows/Outlook (express), celui-ci se propage en s'envoyant aux correspondants de votre carnet d'adresse avant d'effacer le contenu de votre disque dur...
Il est conseillé aux administrateurs systèmes/réseaux de filtrer les messages contenant ce ver (assez facile à détecter grace à son texte).

Note du modérateur: il est possible de régler définitivement tous ces problèmes en configurant postfix de la manière suivante. Editez main.cf et rajoutez:

body_checks = regexp:/etc/postfix/body_checks

Enfin éditez body_checks et rajoutez:

/^Content-(Disposition|Type): application\/mixed/ REJECT
/^Content-(Disposition|Type):.*name="?.*\.(bat|com|pif|vb|exe|lnk|scr|reg|chm|wsh|js|inf|shs|job|ini|shb|scp|scf|wsc|sct|dll)/ REJECT

Ainsi, tout attachement type executable windows sera refusé systèmatiquement. Il est certainement possible de faire la même manipulation pour les autres daemon smtp.

Un buffer overflow à été découvert dans le telnetd de FreeBSD, ce qui permettrait d'executer du code arbitraire sous l'utilisateur qui lance le telnetd (c'est à dire root). Cela fait quelques années que nous n'avons plus vu de faille dans un telnetd, la dernière étant sur Irix il y a assez longtemps.

Une nouvelle sur Slashdot avec une amusante pointe d'ironie, alors je me permets de la traduire directement.
"SSH communication Security Corp a annoncé hier sur Bugtraq que leur version commerciale de SSH 3.0.0 a un trou de sécurité. Techniquement ce n'est pas un accès root direct, mais pouvoir avoir un accès "adm", "daemon", ou "sys" n'est pas très bon quand même.
Etrangement, pas d'annonce sur leur site web. Si vous utilisez la version à $99 ou à $475, mettez à jour en version 3.0.1 maintenant car le trou est très simple à utiliser (...)
Si vous utilisez OpenSSH ou d'autres programmes pour lesquels vous n'avez pas payé, aucune inquietude à avoir."

En gros, le projet PROTOS permet de tester les différentes implémentations de service d'annuaire de type LDAP vis à vis de différents types de paquets mal formés ou contenant des données non attendues. Ce type de vulnérabilité peut permettre des accès non autorisés ou bien des attaques de type DoS.

On a entre autre comme système affecté : OpenLDAP, 1.x avant la version 1.2.12 et 2.x avant la version 2.0.8

Bien sûr les implémentations commerciales sont aussi affectées.

Pour plus d'infos allez voir le lien

Un bug vient d'être trouvé sur le générateur de nombre pseudo-aléatoires d'openSSL, pas si aléatoire que ça...
Pas de risques pour l'instant, ce bug semble peu exploitable. Mais soyez méfiants, surveillez les correctifs.
A noter que seul EngardeLinux a sorti un patch pour l'instant.

Les 2 projets de détection d'intrusion, Prelude et Trithème, viennent à l'occasion du Libre Software Meeting, de décider de fusionner leurs projets respectifs afin d'optimiser les compétences de développement et les capacités du logiciel qui résultera de cette coopération (qui conservera le nom Prelude). L'équipe de Trithème apportera ses connaissances en matière d'architecture distribuée, de corrélation à long terme et non linéaire, de fonctions host-based -- notamment dans un premier temps le logging centralisé à partir de capteurs distribués, de contre-mesures et de processus de réponse automatisés, et enfin participera au développement d'une console admin tout cela profitant de l'architecture fortement modulaire de Prelude afin de l'étendre de manière distribuée vers des capacités hybrides et d'aide à la décision. Les deux équipes de développement se rejoindront sous peu en conservant un fonctionnement coopératif et libre.
Toutes ces améliorations se feront donc de manière totalement transparentes pour les utilisateurs et seront intégrées au cours des futures versions de Prelude.

Pour rappel, Prelude est un système de détection d'intrusion écrit à partir de zéro en C et développé depuis 3 ans. Prelude est distribué sous la licence GPL.
La prochaine version de Prelude (0.4) incluera un moteur de signature capable de lire l'ensemble des règles Snort.

De plus, des tests d'utilisation CPU ont été effectué avec un traffic "normal" sur le réseau de l'UAB. Celui-ci avait un débit oscillant entre 300KBits/s et 9MBits/s. Alors que l'utilisation CPU était quasiment identique pour les deux produits pour des débits faibles, Snort utilisait plus de 33% CPU de plus que Prelude lorsque le débit approchait le MegaBits/s et jusqu'à plus de 300% pour des débits maximaux de 9MBits/s avec le même "ruleset".

Il semblerait que les publications des communautés de sécurité informatique ne fassent pas l'unanimité :
Anti Security s'oppose à la publication des failles systeme et plus particulierement à la diffusion d'exploits comme la fameuse liste Bugtraq en pronant l'anti-disclosure.

Morceaux choisis :
[Ces listes de diffusion] ont fait plus de mal a l'underground et au Net qu'ils n'ont fait pour les aider. Car ils mettent a la porte de gamins des outils devastateurs.
...
Comme des munitions, allant de la cryptographie, des armes a feu, aux missiles, les exploits ne doivent pas etre diffuses publiquements
...
A chaque publication d'exploit sur bugtraq, un holocauste digital peut etre cree, et beaucoup de gamins utilisent ces informations pour attaquer des systemes non prepares.

On croit réver...
Le principal intérêt de ces listes réside JUSTEMENT dans la découverte de ces failles et du danger qu'elles représentent pour mieux en parrer toute éventuelle attaque.

Comment pourrait-on améliorer un systeme sans connaitre, diffuser et corriger les bugs qui l'affaiblissent et leur(s) exploitation(s) possible(s) ?

L'existance d'attaques sur un "systeme non préparé" (comme ils disent) démontre, à mon avis, plus le manque de suivi du développement et/ou un grave probleme dans l'administration du systeme, plutot qu'un risque d'holocaust digital (pff)....