On retrouve sur net-security.org la présentation d'un livre (en anglais) contenant des ressources et des méthodologies requises pour commencer vos propres audits de sécurité. N'espérez pas devenir un guru de la sécurité après avoir lu ce livre, mais si vous êtes intéressé par les audits de sécurité il fournira une introduction à certains des meilleurs outils de sécurité à ce propos. A noter que le premier chapitre du livre intitulé "Basic Windows 2000/Windows 2000 Server Installation and Configuration" est en libre téléchargement (au format pdf) sur le site.
La nouvelle version de Timo's RescueCD Set est sortie.
Pour mémoire il, ne s'agit pas seulement d'un énième cd bootable, (bien qu'une ISO prête à graver soit disponible) mais plutôt d'un outil permettant de se confectionner son propre cd.
Selon l'auteur, le projet s'oriente de plus en plus vers un "Debian on cd"
ZDNet invite les admins web à mettre jour leur bind.
Décidément, chez ZDNet, le ridicule ne tue pas : je viens de lire un article (voir lien) où l'auteur confond joyeusement serveurs DNS et web : à tel point que je me suis demandé si la news ne devait pas être plutôt classé en rubrique "humour", vu qu'elle est certainement déjà passée ici.
Ca y est, après deux longues années de réflexion, l'IETF (Internet Engeneering Task Force) a enfin résolu de manière définitive tous les problèmes de sécurité des réseaux.
La sécurité ne rimera pas avec crypto, ni avec parano. Un mécanisme simple va être ajouté dans IPv4 (il semblerait qu'il y ait un consensus pour porter le système dans IPv6) ce qui permettra de rendre totalement transparente cette couche sécurisée. La RFC n'est pas très longue, espérons qu'elle aura autant de succès que les précédentes.
Mise à jour : les dépêches IETF datées 1er avril sont des poissons d'avril. Voir par exemple
la liste de DMOZ
Communiqué de Tuxfamily repris par LinuxFrench et LinuxFr :
« Bonjour, cette nuit nous avons du faire face à un évènement inimaginable : les serveurs TuxFamily ont été volé. La porte de la baie contenant les machines a été fracturée. Les responsables de la salle machine n'ont fait aucun commentaire. Nous allons porter plainte dans la journée.
Quoiqu'il en soit, grâce au prêt d'une OpenBrick par notre partenaire Lost Oasis, TuxFamily continue de fonctionner. Malheureusement, nous n'avons pu que restorer des backups du vendredi 13 janvier 2003. De plus, pour assurer un service de qualité sur une plateforme réduite, nous avons décidé de ne remettre en ligne que les services des membres de l'association TuxFamily à jour de leur cotisation. Nous n'avons pas encore décidé si l'hébergement gratuit va perdurer dans sa forme actuelle.
Si votre site ne fonctionne pas, nous vous engageons à envoyer au plus vite votre chèque d'adhésion à l'adresse
http://tuxfamily.org/?action=assoc. »
Mise à jour : c'était évidemment le poisson d'avril de Tux Family
Une nouvelle faille de sécurité vient d'être mise à jour dans Sendmail, versions 8.12.8 et précédentes. Il n'est pas impossible que cette faille puisse mener à un accès root distant. Elle serait aussi plus facilement exploitable sur les systèmes petit boutistes. Seuls les systèmes dont le type char est signé sont vulnérables tels quels.
Bien sûr une version corrigée de Sendmail est d'ores et déjà disponible
Récemment des alertes non-publiées/non-publiques ont été postées sur des listes de diffusion. Ce n'est pas la première fois que cela arrive, mais la tendance étant quand même à l'augmentation de la fréquence de ce genre d'incidents..
Une présentation (lors d'Eurosec 2003) sur le sujet soulève également quelques questions intéressantes sur le sujet (full-disclosure vs vendor only, quand patcher, etc).
Comme indiqué sur la page du projet, le "Challenge-SecuriTech est un concours organisé par un groupe de 7 étudiants de l'école d'ingénieurs E.S.I.E.A. dans le cadre d'un projet scolaire."
Il est ouvert à tous et comporte trois parties:
- cryptographie/stéganographie
- réseau
- analyse et recherche de failles
Le challenge aura lieu du 28 avril au 20 mai 2003 et une conférence aura lieu le 21 mai.
Ce matin, j'ai entendu une publicité d'IBM annoncant que le ThinkPad R40 dispose d'une puce de sécurité. Intrigué mais quasiment sûr de mon coup, je suis allé sur le site d'IBM pour me rendre compte que les derniers ThinkPad d'IBM possède bien une puce compatible TCPA v2.0. Le début de la démocratisation de la technologie TCPA pour le grand public, quoi !
Un faille de sécurité vient d'être découverte dans Sendmail. Celle-ci peut donner un accès root à une personne non autorisée. Il n'y a pas d'exploit connu à l'heure actuelle, mais chacun est très fortement encouragé à patcher son système ou à passer à la dernière version, dans les plus brefs délais.
NdM: Encore un buffer overflow dans Sendmail. La protection contre l'exécution de la pile semble être inefficace ici. Pas encore d'infos sur l'efficacité de StackGuard/ProPolice vis à vis de cette faille (en fait, il n'y a pas encore d'exploit pour tester si ProPolice fonctionne ou pas dans ce cas). RedHat et OpenBSD semblent être les premiers à avoir livré des patchs pour leurs systèmes respectifs.
N'hésitez pas à poster en commentaire les URIs vers les patchs de votre système/distribution favorite !
Programmé par un agent de L'United States Air Force Office of Special Investigations, md5deep est similaire au programme md5sum du paquet GNU Coreutils. Il lui ajoute trois fonctionnalités, précieuses dans le cadre de la vérification d'un système informatique :
- récursivité, par le biai d'un flag -r ;
- calcul du temps nécessaire à l'opération de contrôle (utile avec de gros systèmes de données) ;
- comparaison entre deux fichiers (pour vérifier que les diverses manipulations sur le "patient" n'ont pas endommagé ou corrompu les données, précieux éléments de preuve).
La version 2.0 de Nessus vient de sortir.
Une grande partie du code a été reécrit pour améliorer la vitesse du démon nessusd.
Quelques autres nouveautés sont le support des ID de Bugtraq dans les plugins et un nouveau scanner de port.
Dans le monde des admins système, il y a ceux qui ont déja connu un crash disque ou une fausse manip du comptable qui efface tout l'exercice fiscal juste avant la clôture, puis se sont aperçus avec horreur qu'il n'y avait pas de sauvegarde récente...
Suite à l'affaire Humpich (oui, ça date déjà...) qui avait in fine mis au jour la position juge-et-partie du GIE Carte Bancaire, le gouvernement Jospin avait alors mis en oeuvre deux réformes. En toute discrétion... La première était la réforme du SCSSI, transmuté en DCSSI. La seconde était la création d'un Observatoire de la sécurité des cartes de paiement. Or ses membres viennent d'être nommés...
Le 29 janvier 2003, le groupe de travail Article 29 représentant les autorités de l'UE chargées de la protection des données, a publié un document sur les systèmes d'authentification en ligne.
Au regard de la directive 95/46 CE portant sur le traitement des données personnelles, ce document présente les observations du groupe de travail sur le système .NET Passport et sur le projet Liberty Alliance ainsi que les lignes directrices générales pour tout système d'authentification en ligne présent ou futur.
Le rapport contient un tableau comparé des possibilités offertes à l'utilisateur en matière de protection de données personnelles par les technologies suivantes : Mozilla Password Manager, authentification par proxy, Microsoft Passport, Liberty Alliance.
L'auteur de ce superbe outil de firewall qu'est Shorewall a mis en ligne mes traductions des 3 guides d'installations.
Le premier couvre l'installation et la configuration de Shorewall sur un PC seul.
Le deuxième concerne la mise en place et la configuration pour un serveur/routeur.
Et le troisième se consacre à la configuration d'un serveur/routeur possédant aussi une DMZ.
Je souhaite que vous trouviez ces guides utiles :)
Le site O'ReillyNet propose un article d'introduction à Systrace.
Systrace est un outil développé par Niels Provos (développeur d'OpenSSH entre autres) présent sur OpenBSD et NetBSD permettant de renforcer la sécurité de son système. Pour chaque programme exécuté sur une machine, Systrace permet de définir un ensemble d'appels système (system call) que le logiciel a le droit ou non d'éxecuter : ouverture/écriture de fichiers, ouverture, lecture/écriture d'une socket TCP/IP, allocation de mémoire...
Pour un programme donné, on peut définir une politique de sécurité avec Systrace lors de sa première exécution ou alors récupérer sur le Net une signature déjà rédigée.
Dans le cas d'un programme bogué et utilisé pour commettre un "hack", si Systrace est utilisé et correctement configuré pour ce logiciel, il permet d'empêcher une utilisation malicieuse (piping d'un shell sur un serveur Wu-FTP lors d'un buffer-overflow distant par exemple).
L'équipe de LinuxFrench a interviewé HSC, société experte dans la sécu (dont les news sont dispo sur tootella), et le moins que l'on puisse dire c'est que les questions posées ainsi que les réponses données sont vraiment intéressantes et apportent un éclairage sur les besoins en matière de sécurité sous *nix en général.
L'ouverture d'un fichier texte sous VIM peut déclencher l'exécution d'un code malicieux. Cet exploit posté mardi dernier sur neworder et mis en forme pour réaliser un ver, peut être évité en ajoutant la ligne "set modelines=0" dans votre .vimrc.
Note du modérateur : comme d'hab, mettre à jour avec les nouveaux paquets fournis par l'équipe sécurité de votre distribution. J'ai rajouté les liens vers les 4 dernières références.
TCPA et Palladium, deux technologies en cours de réalisation par les géants de l'informatique vont vous obliger à migrer vers des solutions non GPL.
En effet, selon Ross Anderson, de l'Université de Cambridge, deux entreprises au moins ont déjà commencé à travailler sur une version TCPA de GNU/Linux.
Le CERTA (Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques) a publié fin novembre dernier une note d'information relative à une attaque perpétrée sur un serveur. Cela va de la découverte d'indices d'attaque jusqu'à l'analyse et l'explication du déroulement de l'attaque. Intéressant à lire.
Vendredi 3 janvier est sorti le numéro 5 de MISC, magazine sur la sécurité informatique, avec comme thème principal les virus.
Sommaire complet dans la suite de l'article
Note du modérateur : voir aussi la page avec les anciens articles en ligne
Au menu, d'excellents articles sur le 'arithmetic overflow', que vous *devez*
connaître si vous voulez vous prétendre un programmeur un tant soit peu sérieux.
Je vous mets en lien quelques bugs courants qu'on a tous fait un jour et que vous ne devez plus jamais faire après lecture de ces excellents articles.
Après Smoothwall voici son "fork libre" qui sort sa nouvelle version.
Pour rappel, IPCop est une distribution linux spécialisée qui transforme un simple PC en firewall totalement configurable.
Tous à vos graveurs, les images iso sont disponibles.
