Mitnick a été libéré en janvier 2000. Il ne pouvait cependant utiliser des ordinateurs, des logiciels, des modems ou tout autre moyen de se connecter à Internet sans l'autorisation du gouvernement avant janvier 2003.
M. Mitnick a été autorisé à utiliser un téléphone mobile depuis deux ans et a obtenu la permission cette année d'utiliser un ordinateur non connecté à Internet pour taper un manuscrit.
Adoption de l'EUCD retardée
L'adoption de l'EUCD était prévue le dimanche 22 au soir. Seuls la Grèce et le Danemark ont signé, pour intégrer l'EUCD dans leur législation locale. Pour les autres pays, tout est encore possible, mais pour combien de temps ?
Sftp et Scp sans se logguer
S'il vous est comme moi, un jour, arrivé d'avoir besoin de laisser des utilisateurs déposer des fichiers sur une machine sans avoir autre chose que Ssh (scp et sftp). Vous vous êtes surement aussi demandé, si ces utilisateurs étaient sérieux et s'ils n'allaient pas se logguer directement (via ssh).
Pour faire bref, si vous souhaitez que vos utilisateurs ne puissent faire que du scp et du sftp, sans pouvoir se logguer (genre telnet pour ceux qui ne suivent pas). Je ne saurais trop que vous conseiller scponly.
Pour faire bref, si vous souhaitez que vos utilisateurs ne puissent faire que du scp et du sftp, sans pouvoir se logguer (genre telnet pour ceux qui ne suivent pas). Je ne saurais trop que vous conseiller scponly.
Faille SSH
Rebelote...
Selon le CERT et d'après un rapport de Rapid7, de nombreuses version de logiciels SSH possède une faille permettant de lancer des commandes de l'extérieur avec les privilèges de l'utilisateur du processus SSH ou de permettre des attaques par saturation (DOS).
Selon le CERT et d'après un rapport de Rapid7, de nombreuses version de logiciels SSH possède une faille permettant de lancer des commandes de l'extérieur avec les privilèges de l'utilisateur du processus SSH ou de permettre des attaques par saturation (DOS).
War on terrorism ou la bonne excuse...
Big brother is watching you !
Le Pentagone a reconnu mettre en place une gigantesque base de données. Celle-ci va recueillir toute transaction jugée « inhabituelle » dans le but de détecter des comportements de terroristes : achat de billet aller simple,...
Elle enregistrera les transactions financières, les achats...
Le Pentagone a reconnu mettre en place une gigantesque base de données. Celle-ci va recueillir toute transaction jugée « inhabituelle » dans le but de détecter des comportements de terroristes : achat de billet aller simple,...
Elle enregistrera les transactions financières, les achats...
Kartoo cartographie vos activités sur le net !
Même si un moteur de recherche produit à peu près le même effet, vous pouvez avec kartoo obtenir une représentation visuelle de votre recherche. On voit ainsi se former des "nébuleuses". Essayez de taper votre nom/pseudo ou votre adresse e-mail pour voir...
Surement plus grave encore, en tapant le nom de plusieurs personnes, vous pouvez voir visuellement les liens eventuels qui les lient.
Réel progrès dans la recherche sur l'Internet ou danger pour votre vie privée ?
Surement plus grave encore, en tapant le nom de plusieurs personnes, vous pouvez voir visuellement les liens eventuels qui les lient.
Réel progrès dans la recherche sur l'Internet ou danger pour votre vie privée ?
Une toute nouvelle version de la distribution E-smith
L'éditeur d'E-smith vient tout juste de sortir une nouvelle version de sa distribution sécurisée sous la référence E-Smith SME server 5.6. Au programme des améliorations : un noyau 2.4, le système de fichiers Ext3, une nouvelle version de FreeS/WAN ... Faisant preuve de changements conséquents, cette nouvelle version peut être la bonne occasion pour la tester ou la mettre à jour.
Quelques mises à jour recommandées - rappel
Je rappelle que quelques problèmes de sécurité étant apparus récemment sur les kernels (2.2, 2.4 et 2.5 sont sensibles à un DoS), sur KDE (2.x et 3.x) et Samba (2.2.2 à 2.2.6), certains patches (rustines?) et mises à jours sont disponibles.
Cheval de Troie découvert dans la libpcap et tcpdump
Un LUG de Houston a découvert la présence d'un Cheval de Troie dans les dernières sources de la libpcap et de tcpdump disponibles sur le site de tcpdump.
Il semblerait que certains miroirs soient deja infectés.
Il semblerait que certains miroirs soient deja infectés.
Les protections contre la copie de CD audio sont inefficaces
Suite aux attaques régulières des industriels, depuis deux ans, sur le front du droit à la copie privée et du "fair use", de plus en plus d'experts et de personnalités prennent position contre les mesures délirantes (telles Palladium et TCPA) préconisées dans le but de "faire respecter les droits d'auteur" sur supports numériques (politique résumée sous l'abréviation DRM - Digital Rights Management).
Ainsi, John Halderman, de l'Université de Princeton, a examiné trois systèmes anticopie intégrables aux CD audio. Leur principe est simpliste : empêcher toute lecture depuis un lecteur évolué, i.e. capable d'accéder à toutes les tables d'allocation du disque (lecteurs de CD-ROM, etc.). Non seulement les mises à jour logicielles et matérielles rendront très vite ces technologies obsolètes, mais l'idée même d'une protection empêchant la lecture sur autre chose qu'un bête lecteur de salon est vouée à l'échec. Le chercheur propose l'alternative la plus intelligente et raisonnable qui soit : baisser le prix des CDs.
Ainsi, John Halderman, de l'Université de Princeton, a examiné trois systèmes anticopie intégrables aux CD audio. Leur principe est simpliste : empêcher toute lecture depuis un lecteur évolué, i.e. capable d'accéder à toutes les tables d'allocation du disque (lecteurs de CD-ROM, etc.). Non seulement les mises à jour logicielles et matérielles rendront très vite ces technologies obsolètes, mais l'idée même d'une protection empêchant la lecture sur autre chose qu'un bête lecteur de salon est vouée à l'échec. Le chercheur propose l'alternative la plus intelligente et raisonnable qui soit : baisser le prix des CDs.
Une société financière choisie une PKI OpenSource
Petercam est la plus importante société de bourse indépendante en Belgique. Aussi implantée en Hollande, au Luxembourg, en Suisse et en Irlande.
Après avoir testé plusieurs solutions de PKI OpenSources et commerciales, Petercam a choisi NewPKI, "pour des raisons de respect des conditions OpenSource, pour la facilité de portage, pour sa souplesse d'utilisation et pour le support fourni".
Après avoir testé plusieurs solutions de PKI OpenSources et commerciales, Petercam a choisi NewPKI, "pour des raisons de respect des conditions OpenSource, pour la facilité de portage, pour sa souplesse d'utilisation et pour le support fourni".
Linux moins fiable que Windows ?
La société mi2g spécialisée dans la gestion de risque va publier une étude classant les attaques recensées dans les dix premiers mois de l'année selon le système d'exploitation (OS) sur lequel elles ont été observées.
Une comparaison du nombre de failles relevées sur chaque système d'exploitation par rapport au niveau d'utilisation de ces systèmes dans le monde montre que Linux est affecté par un grand nombre de failles par rapport à sa part de marché.
Note du modérateur : les failles comptées concernent « les systèmes d'applications, les logiciels serveurs et les applications tierces ». Une distribution GNU/Linux contient largement plus de logiciels que les autres systèmes étudiés. On ne sait pas si les failles ont été comptées pour chaque distribution ou pour chaque paquet (genre apache et apache-ssl).
Une comparaison du nombre de failles relevées sur chaque système d'exploitation par rapport au niveau d'utilisation de ces systèmes dans le monde montre que Linux est affecté par un grand nombre de failles par rapport à sa part de marché.
Note du modérateur : les failles comptées concernent « les systèmes d'applications, les logiciels serveurs et les applications tierces ». Une distribution GNU/Linux contient largement plus de logiciels que les autres systèmes étudiés. On ne sait pas si les failles ont été comptées pour chaque distribution ou pour chaque paquet (genre apache et apache-ssl).
MISC 4 : Internet, un chateau construit sur du sable ?
MISC, le magazine de la sécurité informatique, est sorti. Un peu en retard, certes, mais avec une nouvelle PAO tout en conservant le même contenu : virus, droit (un scan de port est-il légal ?), programmation, réseau, etc.
Le dossier est consacré aux protocoles réseau, et aux problèmes liés à leur structure même. En particulier, nous étudions les cas de DHCP et de DNS. Cependant, il existe aussi des attaques plus générales : l'homme du milieu et les dénis de services.
Le dossier est consacré aux protocoles réseau, et aux problèmes liés à leur structure même. En particulier, nous étudions les cas de DHCP et de DNS. Cependant, il existe aussi des attaques plus générales : l'homme du milieu et les dénis de services.
Réponse de la bergère au berger
Mon cher Paul,
Désormais il ne saurait y avoir de réconciliation entre nous. Le dernier rapport de bogues sous Linux ne me laisse aucune illusion. Tes fichiers sont là où tu les as laissés. Si tu passes en semaine, tu sais comment m'allumer, si tu viens en week-end, le mot de passe est sous le clavier. N'oublie surtout pas de me quitter en sortant.
Julien ! des trous de sécurité il y en a dans tous les ordinateurs du monde :
dans les PC Windows de la gendarmerie, sous le capot de la babasse à Torvalds,
dans tous les BSD, les MacOS et les Amiga, et même dans les stations ultra-sécurisées de la NSA !
...
Windows, windows la porte ouverte comme tu disais, installé pour les jeux comme tu disais, m'a fait voir sans passer par Linux et sans console de jeu a midi les virus,
et à minuit les disques dur en feu !
Adrien ! comment as-tu pu croire que ton système est sans bogue !? tu sais bien que c'est avec l'âge qu'on acquiert de l'expérience. Sur windows, plus âgé, c'est aux fonctionnalités qu'on reconnaît les programmeurs. La sécurité c'est une affaire de marketing. Les copains de cellule veillent sur les rapports de bogues. Victor ! ton Linux n'a pas de chargé de comm'.
Désormais il ne saurait y avoir de réconciliation entre nous et cette lettre n'a d'autre objet que de mettre fin à la partition désormais sans système qui unissait une console
toute vibrante des remous et des assauts d'un clavier et un geek toujours hésitant entre le script kiddy sur windows et l'3l33t sous Linux.
Signé: Ta station
Je sais c'est pas très réussi. C'est un pastiche (de mémoire) du poème « Réponse de la bergère au berger », de Jean-Pierre Rosnay. Je voulais attirer votre attention sur l'article « Is Linux Really More Secure Than Windows? » posté sur osopinion.com (qui fait penser à une dépêche postée il y a quelques jours). On y sort le grand pipotron. On dirait du marketing viral bien orchestré.
Désormais il ne saurait y avoir de réconciliation entre nous. Le dernier rapport de bogues sous Linux ne me laisse aucune illusion. Tes fichiers sont là où tu les as laissés. Si tu passes en semaine, tu sais comment m'allumer, si tu viens en week-end, le mot de passe est sous le clavier. N'oublie surtout pas de me quitter en sortant.
Julien ! des trous de sécurité il y en a dans tous les ordinateurs du monde :
dans les PC Windows de la gendarmerie, sous le capot de la babasse à Torvalds,
dans tous les BSD, les MacOS et les Amiga, et même dans les stations ultra-sécurisées de la NSA !
...
Windows, windows la porte ouverte comme tu disais, installé pour les jeux comme tu disais, m'a fait voir sans passer par Linux et sans console de jeu a midi les virus,
et à minuit les disques dur en feu !
Adrien ! comment as-tu pu croire que ton système est sans bogue !? tu sais bien que c'est avec l'âge qu'on acquiert de l'expérience. Sur windows, plus âgé, c'est aux fonctionnalités qu'on reconnaît les programmeurs. La sécurité c'est une affaire de marketing. Les copains de cellule veillent sur les rapports de bogues. Victor ! ton Linux n'a pas de chargé de comm'.
Désormais il ne saurait y avoir de réconciliation entre nous et cette lettre n'a d'autre objet que de mettre fin à la partition désormais sans système qui unissait une console
toute vibrante des remous et des assauts d'un clavier et un geek toujours hésitant entre le script kiddy sur windows et l'3l33t sous Linux.
Signé: Ta station
Je sais c'est pas très réussi. C'est un pastiche (de mémoire) du poème « Réponse de la bergère au berger », de Jean-Pierre Rosnay. Je voulais attirer votre attention sur l'article « Is Linux Really More Secure Than Windows? » posté sur osopinion.com (qui fait penser à une dépêche postée il y a quelques jours). On y sort le grand pipotron. On dirait du marketing viral bien orchestré.
le futur du virus : Curious Yellow
Curious Yellow est un super-vers (théorique), capable d'infecter rapidement des hôtes vulnérables à une ou plusieurs failles données, dans la lignée des Flash-worm et autres Warhol-worm.
Cet article décrit plus précisément les mécanismes de duplication d'un tel ver, ainsi que les moyens de le contrôler, de le mettre à jour ou même de le combattre (Curious Blue).
Note: que ça soit avec Curious Yellow ou Curious Blue, l'utilisateur final perd en partie le contrôle de sa machine, non ?
Cet article décrit plus précisément les mécanismes de duplication d'un tel ver, ainsi que les moyens de le contrôler, de le mettre à jour ou même de le combattre (Curious Blue).
Note: que ça soit avec Curious Yellow ou Curious Blue, l'utilisateur final perd en partie le contrôle de sa machine, non ?
Le FBI sponsorise le Top 20 des bugs informatiques
Pour aider les administrateurs réseau, l'agence fédérale participe au recensement des 20 failles de sécurité les plus critiques sous Windows et Unix. Une initiative qui fait suite au plan Bush sur la "cybersécurité".
Abiword perd de l'argent
Pas content Dom quand on pique l'argent du projet abiword... Un conseil, si vous avez des sous chez Paypal, comptez vos billes ...
NdM: PayPal est un système qui permet d'effectuer des transferts d'argent, c'est une sorte de banque en ligne. Il semblerait cependant que le projet AbiWord ait eu quelques soucis avec, puisqu'ils y ont perdu 600$. Si LinuxFr devait faire un système de dons en ligne, lequel pourrions-nous utiliser alors ? Quelqu'un a t-il des contacts avec des banques pour que ça ne nous coûte pas trop cher ? :-)
NdM: PayPal est un système qui permet d'effectuer des transferts d'argent, c'est une sorte de banque en ligne. Il semblerait cependant que le projet AbiWord ait eu quelques soucis avec, puisqu'ils y ont perdu 600$. Si LinuxFr devait faire un système de dons en ligne, lequel pourrions-nous utiliser alors ? Quelqu'un a t-il des contacts avec des banques pour que ça ne nous coûte pas trop cher ? :-)
Self-Certifying File System
Self-Certifying File System (ou SFS) est un projet sponsorité par DARPA dont le but est de permettre un accès global et sécurisé à un système de fichiers avec un contrôle décentralisé.
A l'aide de SFS, n'importe quel utilisateur peut accéder à n'importe quel serveur sans reposer sur des parties tierces ou des administrateurs système ayant le contrôle sur le serveur.
SFS fonctionne sous systèmes Unix-like et Linux. Le seul prérequis est le support de NFS v3. Il a été testé sur *BSD, Solaris et Linux.
A l'aide de SFS, n'importe quel utilisateur peut accéder à n'importe quel serveur sans reposer sur des parties tierces ou des administrateurs système ayant le contrôle sur le serveur.
SFS fonctionne sous systèmes Unix-like et Linux. Le seul prérequis est le support de NFS v3. Il a été testé sur *BSD, Solaris et Linux.
OpenSSH 3.5 disponible
Au menu pas mal de bugfixes et d'améliorations.
Extraits du changelog :
* Improved support for Privilege Separation (Portability, Kerberos, PermitRootLogin handling).
* ssh(1) prints out all known host keys for a host if it receives an unknown host key of a different type.
[...]
Pour la suite, voir les liens
Extraits du changelog :
* Improved support for Privilege Separation (Portability, Kerberos, PermitRootLogin handling).
* ssh(1) prints out all known host keys for a host if it receives an unknown host key of a different type.
[...]
Pour la suite, voir les liens
Packet Excalibur, un nouvel outil réseau
Packet Excalibur est un nouvel outil de fabrication et d'analyse de packets, graphique et multi-plateformes. Ses intérêts sont une vision claire des couches réseaux - si vous voulez mieux les comprendre, c'est simple comme un clic -, la possibilité d'avoir des scripts d'envoi et de réception de packets, et une description de chaque protocole sous forme de fichier texte.
Non, ce n'est pas un outil pour script-kiddies, c'est aussi un outil d'apprentissage et de tests.
Non, ce n'est pas un outil pour script-kiddies, c'est aussi un outil d'apprentissage et de tests.
Le Secure Programs HOWTO
David A. Wheeler a écrit un excellent HOWTO concernant la sécurisation des applications que l'on développe. Et ceci non seulement pour les langages « traditionnels » mais aussi pour d'autres comme langages comme le perl, le php, le shell, ...
C'est une réelle mine d'or qui gagne à être sur votre bureau à tous les stades du développement.
C'est une réelle mine d'or qui gagne à être sur votre bureau à tous les stades du développement.
La sécurité en Open Source
Voici un petit dossier de 01net sur les solutions de sécurité réseau en Open Source. Il s'agit surtout de les comparer avec les logiciels propriétaires disponibles. On y parle de filtrage IP, de détection d'intrusion et de PKI.
On y retrouvera les habituels arguments, à savoir d'une part la qualité des logiciels Open Source face aux logiciels propriétaires, et d'autre part, le manque d'intégration et d'interface centralisée entre les composants Open Source.
On y trouve aussi des exemples de sociétés ayant fait le choix des solutions ouvertes.
On y retrouvera les habituels arguments, à savoir d'une part la qualité des logiciels Open Source face aux logiciels propriétaires, et d'autre part, le manque d'intégration et d'interface centralisée entre les composants Open Source.
On y trouve aussi des exemples de sociétés ayant fait le choix des solutions ouvertes.
Apache 1.3.27 (upgradez!)
Il est fortement conseillé de mettre à jour vos serveurs web: de nouveaux trous de sécurité ont été trouvés dans Apache 1.3.26 et versions précedentes. Entre autres: des risques de Denial-of-Service locaux, des risques de "cross site scripting" via les pages d'erreur 404 et divers "buffer overflows". (cf. le link ci dessous pour plus de détails). Merci à Tomasera@#linuxfr pour l'info :-)
Une introduction à Gnu Privacy Guard
Voici un article "d'introduction" très complet à GPG (GNU Privacy Guard), l'équivalent libre du logiciel de chiffrement PGP (Pretty Good Privacy) de Zimmerman.
L'article explique la problématique de la confidentialité, les systèmes à clés publiques et à clés privées, la signature, et les serveurs de clés.
Un court paragraphe est dédié aux interfaces graphiques les plus utilisées.
Vous n'avez plus aucune excuse de ne pas l'utiliser!
L'article explique la problématique de la confidentialité, les systèmes à clés publiques et à clés privées, la signature, et les serveurs de clés.
Un court paragraphe est dédié aux interfaces graphiques les plus utilisées.
Vous n'avez plus aucune excuse de ne pas l'utiliser!
14% des sites de e-commerce français sont vulnérables au vers 'Slapper'
Une étude réalisée du 14 au 16 septembre 2002 sur l'ensemble du domaine ".fr", a établi que, sur un échantillon représentatif de 134.149 sites Web, 13.9% des serveurs Web Sécurisés sont vulnérables à la faille de sécurité "OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow" découverte le 30 juillet 2002.
Celle-ci est particulièrement sérieuse, car elle est actuellement exploitée par le vers Linux.Slapper.Worm.
14000 machines ont déjà été confirmées comme étant infectées.
NdM: laurentn rajoute :
« La faille se situe dans le module OpenSSL d'Apache qui permet les transactions cryptées sur le Web. Le ver reconnaît ses proies en envoyant une requête GET sur le port 80 du serveur pour reconnaître le système Apache. Une fois Apache trouvé, le ver va essayer de se connecter au port 443 du serveur, pour lui envoyer son code. Ce dernier est ensuite compilé avec GCC et les binaires sont exécutés. Le fichier est alors placé dans "/tmp". »
Celle-ci est particulièrement sérieuse, car elle est actuellement exploitée par le vers Linux.Slapper.Worm.
14000 machines ont déjà été confirmées comme étant infectées.
NdM: laurentn rajoute :
« La faille se situe dans le module OpenSSL d'Apache qui permet les transactions cryptées sur le Web. Le ver reconnaît ses proies en envoyant une requête GET sur le port 80 du serveur pour reconnaître le système Apache. Une fois Apache trouvé, le ver va essayer de se connecter au port 443 du serveur, pour lui envoyer son code. Ce dernier est ensuite compilé avec GCC et les binaires sont exécutés. Le fichier est alors placé dans "/tmp". »