Voici une annonce qui explique ce qui s'est passé lors du piratage des serveurs Debian.org à partir de la première intrusion le 19 octobre.
Les machines : klecker, master, murphy et gluck ont finalement bien été rootkitées, c'est suckit qui a été installé, une description sommaire de ce rootkit est disponible dans l'annonce.
La première intrusion a été possible grâce à un mot de passe intercepté, et à un login avec un compte sans privilèges.
La conclusion actuelle est qu'il reste certainement une faille locale à découvrir.
Note du modérateur : Wichert Akkerman a tenu un compte-rendu au jour le jour sur cette question.
Le pilote propriétaire pour Linux passe en version 3.7.0
Cartes concernées :
- ATI Radeon 8500, 9100, 9200, 9500, 9600, 9700, 9800,
- ATI Mobility 9000, 9600
- ATI FireGL 8700, 8800, E1, E2, X1, X2, Z1, T2
- ATI Mobility FireGL T2
À partir de Janvier 2004, les Palois pourront (si leur habitation est raccordée) s'abonner à un service très haut débit. 10 MB/s pour 30 euros/mois, c'est de la fibre optique.
L'installation (90 euros de base), comprend une interface matérielle qui permet de recevoir Internet sur la télé et notament d'accéder à un bouquet de chaines ansi qu'à une vidéotèque. Ce matériel, un petit PC dont je ne connais pas encore les caractéristiques, tournera sous Linux et pourra être piloté soit au clavier soit par une télécommande.
NdR : flash inside sur le site web du prestataire de services, mais il ne sagit que d'une animation publicitaire sans importance.
Un article sur SecurityFocus.org fait suite à la présentation de la technique des TARPITS (cf : lien vers l'ancienne dépêche).
Cette fois, c'est l'utilisation de deux type de honeypots différents, dont le démon honeyd, qui est détaillée, dans le cadre de la lutte contre les vers.
Le but étant de : piéger le ver pour l'étudier, ralentir sa propagation, déclencher des alarmes, prendre différentes mesures de protection, et même le contrer en désinfectant le système source de l'attaque.
En fin d'article, on a droit à un exemple de désinfection de Blaster.
Kevin Mitnick, le plus célèbre des "pirates", a écrit un livre, "The Art of Deception", qui a pour sujet la sécurité informatique.
Le premier chapitre de ce livre a été amputé par l'éditeur... il est aujourd'hui disponible dans son état d'origine.
Merci à Michèle, alias Deirdre, qui m'a envoyé ces liens.
Un article sur Securityfocus nous explique comment des tests sont réalisés grâce à IPtables, pour ralentir la propagation des vers.
Attention il s'agit d'une méthode expérimentale, à ne pas utiliser sur des systèmes en production.
Le principe est d'accepter les connexions TCP, sur les ports non utilisés (les cibles potentielles d'un vers), de les garder actives un certain temps, mais sans répondre. L'effet produit est que le ver doit attendre la fin de son délai d'attente de réponse (« connection timeout »), pour déconnecter.
Bien sûr entre temps, la machine ne répond pas à d'éventuelles demandes de déconnexion du ver.
L'article indique que le patch du noyau devrait être disponible par défaut dans la distribution Gentoo.
NdM: Le serveur de netfilter ne répond pas, auraient-ils par erreur fait un iptables -A INPUT -p tcp -m tcp --dport 80 -j TARPIT ? :-)
Sterling Ball est le PDG d'Ernie Ball, leader mondial en fabrication de cordes de guitares.
Depuis qu'il a été attaqué par le BSA pour contrefaçon de licences, il a décidé de se passer des services de Microsoft, et de basculer ses ordinateurs sous Linux (Redhat).
Plusieurs news sont déjà passées à ce sujet, mais cette nouvelle interview sur CNET.com est à mon avis la plus intéressante.
Des arguments très frais, un franc parlé qui fait du bien, un nouveau fan de logiciels libres qui n'était pas du tout en phase avec la technologie avant son "passage"...à lire donc.
NdM: Merci à Zeb et YannForget qui ont eux aussi proposé cette dépêche.
Hank Leininger indique sur Securityfocus que le package ircii-pana-1.0c19.tar.gz qui était téléchargeable jusqu'au 1 Juillet, sur ftp.bitchx.org, était vérolé par une backdoor. Le script tente une connection à l'extérieur une fois par heure.
Le même package téléchargeable à partir de ftp.irc.org est sain.
Le code ajouté au package ircii-pana-1.0c19.tar.gz initial est indiqué dans le post de Hank Leininger.
Le problème devient très génant lorsque Hank Leininger s'apperçoit qu'il y a plusieurs copies de ce package sur ftp.bitchx.org (au moins deux), et que certains téléchargement fournissent une version vérolée et pas d'autre. Les utilisateurs qui se connectent avec des modem-cables ou DSL semblent recevoir les versions vérolés, alors que les utilisateurs ayant des connections moins rapide reçoivent la version saine.
De plus, rapatrier le package un par client ftp peut livrer une copie saine alors que Lynx récupère une copie vérolée.
Hank Leininger en arrive à la conclusion que ftp.bitchx.org a surement été rootkité, et qu'il faut donc se méfier de tout package en provenance de ce serveur ou de ses mirroirs.
Les développeurs du site seraient en train de chercher le trou de sécurité dans leur système.
Au moment ou je poste cette news, le site bitchx.org semble fermé.
Cette news est passée sur unixtech.be mais avec le titre bizarre "Apres la backdoor d'irssi, voici celle de BitchX", et juste le lien sur securityfocus.
Sous un titre obscur à la /. se cache une news bien sympathique à savoir la sortie d'une béta de Cinelerra, un éditeur vidéo par l'équipe Herroinewarrior (Xmovie, Broadcast 2000), et la sortie de la version 1.0 de Audacity, un outil d'édition audio.
Les deux outils sont sous licence GPL.
Sur le site Herroinewarrior.com ou peut lire deux indications importantes :
- Broadcast 2000 est devenu Cinelerra
- QuickTime For Linux n'est plus un package indépendant et à été intégré dans Cinelerra.
Bon cuts à tous !
