Une version mineure d'OpenSSL est disponible depuis le 21 décembre, avec principalement des corrections et l'intégration du support de Broadcom, SureWare et quelques autres.

on n'a jamais autant parlé des systèmes de détection d'intrusion. Tout d'abord SecurityFocus publie un article de Paul Innella et Oba McMillan (Tetrad Digital Integrity) et qui constitue un excellent point de départ pour qui veut connaître les IDS.

Ce document fournit un excellent point de départ pour toute personne intéressée par la détection d'intrusion. La détection d'intrusion est l'art de détecter les activités anormales, inappropriées et inexactes (...).

Voilà, avec tout ça les Script Kiddies boutonneux devraient avoir quelques difficultés à mettre à mal vos serveurs (vu que la plupart ne comprennent même pas ce qu'ils font) - A vous de jouer :)

Le FDI a rendu public aujourd'hui sa première recommandation sur les données de connexion. Notamment, il demande au Gouvernement de ne pas obliger à stocker les adresses de courrier électronique, les URL, et les adressees IP des serveurs visités. En outre, en matière de délai de garde, le FDI demande un délai variable. Enfin, voir aussi la position de la SACEM qui était favorable à une position plus stricte :-/

Le FBI reconnait par l'intermédiaire de son porte parole D. Bresson, travailler sur un virus qui permettrait de récupérer les mots de passe et autres frappes au clavier. Le projet s'appelle Magic Lantern.
L'info a été reprise aujourd'hui par Libération, mais provient de MSNBC.

DaemonNews fait le point sur la sécurité de vos logs systèmes. Une occasion de faire connaissance avec Modular Syslog, une solution de remplacement au démon syslog traditionnel incluant la cryptographie :)



Une technique souvent utilisée par les crackers informatiques, et les voleurs éprouvés, consiste à effacer ses empruntes digitales de la scène du crime. Celà consiste habituellement à effacer ou modifier les logs stockés sur l'ordinateur et qui les exposeraient en cas d'examen consciencieux. Des logs non protégés rendront impossibles la vérification du système dans la plupart des cas. Quand un cracker prend le contrôle d'un système, il prend également le pouvoir de lire, modifier et effacer n'importe quel log.

On parle beaucoup de sécurité, mais combien d'entre nous peuvent prétendre d'avoir un système correctement sécurisée.
Le développement de "distributions" permettant de mettre en place un firewall facilement accessible à tous et ne nécessitant pas des connaissances trop pointues dans ce domaine est en plein renouveau.
On a souvent parlé de la distrib Smoothwall, permettant de recycler son vieux 486, mais une autre alternative existe Startup Linux, qui a mon goût est plus complet et inclus le minimun pour celui qui veut faire le maximun s'en pour autant être un expert. Bien sûr un expert préfèrera toujours faire sa propre sécurité avec son propre firewall et sa DMZ, mais ce genre de produit s'adresse aux débutants soucieux de se sécuriser un minimun tout en adoptant un produit fiable et gratuit, comme aux utilisateurs plus avancés.
Pour pouvoir se consacrer tranquillement à autre chose, et se préparer plus sereinement à une configuration personnelle.
Vive l'alternative.

LinuxSecurity publie sur son site l'excellent travail d'Alexander Reelsen et Javier Fernández-Sanguino Peña sur les moyens de renforcer la sécurité d'une distribution Debian GNU/Linux.
Laissons la parole à LS :

"Ce document décrit les procédures pour sécuriser et renforcer l'installation par défaut d'une distribution Debian. Il couvre les mesures les plus communes pour installer et sécuriser un environnement réseau à partir d'une Debian GNU/Linux. Ce document vous indique simplement ce que vous pouvez faire pour augmenter la sécurité de votre système Debian GNU/Linux."

D'un côté, certains MUA (NdM: Mail User Agent) comme Kmail font du PGP "in line", c'est à dire dans le corps du mail. D'autres utilisent des messages PGP/MIME (NdM: la signature est dans une partie MIME). Bien entendu, ce n'est pas vraiment compatible, et il est pénible de lire les mails de l'un avec l'autre.
Qu'en disent les RFC ? A l'origine, PGP était "in line", comme le définit la RFC 1991 qui date de 1996... Mais depuis, les RFC 2015 et 3156 (la 3156 est une maj de la RFC 2015 datée de 2001) définissent clairement PGP/MIME comme "proposed standard".

Mutt par exemple, utilise PGP/MIME... mais c'est quasiment le seul (oui oui il y a aussi Gnus). Kmail utilise le PGP inline...

Avant que tout le monde passe en PGP/MIME, il est préférable bien entendu de pouvoir utiliser les deux.

En attendant ça, vous pouvez utiliser 3 scripts Perl pour permettre à Kmail de lire les mails cryptés/signés en PGP/MIME, ou bien passer à Gnus (en bricolant un peu il doit surement faire les deux et même plus :p)

Note du modérateur: la version CVS de Gnus (Oort Gnus) supporte tous les modes d'utilisation de PGP, dans le corps comme en détaché, de manière transparente et sans qu'il y ait besoin de "bricoler". Je vous rappelle également qu'il existe GnuPG, une implémentation libre du protocole OpenPGP, qui remplace complètement la version commmerciale nommée PGP. Voir le lien dans la boîte Edito :)

Voici une FAQ sympa pour gérer le spam sous Qmail. Qmail est un serveur de courrier dont les points forts sont la sécurité, la fiabilité, la vitesse, etc. Nous entendons par SPAM l'envoi en masse de courrier non-solicité, généralement de la publicité. A noter également le dossier sur Qmail dans la revue Login de ce mois.

Un site entièrement consacré à la sécurité sur Mandrake Linux, des liens, des ressources, des articles, un forum, des listes de discussion...
On trouve tout ça sur MandrakeSecure.

Note du modérateur : attention à l'URL pour vos bookmarks. si vous entrez www.mandrakesecure.net sans le /en et que le langage préféré de votre navigateur est le français -> erreur 404

Le NIST (National Institute of Standard and Technology, organisme US définissant les standards gouvernementaux) vient d'annoncer la release officielle d'AES (Advanced Encryption Standard).

L'AES est destiné à remplacer le DES devenu trop faible au niveau sécurité. Après plusieurs années de mise au point et de processus de sélection, en octobre 2000, l'algo Rjindael (développé par 2 chercheurs belges) a été retenu pour devenir l'AES.

Avez vous déjà entendu parler de Tempest ? Eh bien voici un petit programme destiné à prouver que ca fonctionne vraiment, le principe est d'utiliser les ondes emises par votre moniteur pour emettre de la musique que vous ecoutez sur votre radio AM. J'ai testé, ca fonctionne vraiment bien, lisez bien le README pour les instructions! Bon amusement!

Source : slashdot

Note du modérateur : si je ne me trompe pas, Tempest est un code qui identifie un nombre de normes pour limiter l'émission d'ondes électromagnétiques des différents appareils que vous utilisez (télé, écran, clavier, etc) afin qu'elles ne puissent pas être reçues par une tierce personne. Une démonstration avait été faite au HIP97 où on avait vu une vieille télévision afficher la même chose que ce qu'affichait un écran de PC soi-disant aux normes qui se trouvait à quelques mêtres de là, en utilisant des technologies vieilles de plusieurs années.

Security Enhanced Linux est un projet Linux mis en oeuvre par la NSA afin de développer un système Linux plus sécurisé. SELinux est un assortiment de patchs du noyau Linux et d'utilitaires conçu autours d'un système de contrôle d'accès obligatoire.
Cet article explique son installation et sa configuration.

Après plusieurs mois de travail, Hal Burgiss a terminé la première version de son guide sur la Sécurité Linux. Une version Red Hat existe également. A découvrir d'urgence :)

Note du modérateur: Guide étudié pour les débutants. Vraiment intéressant.

En cherchant dans le cache de google une page d'un site malencontreusement hacké, je suis tombé sur un site de statistiques de compromission de serveurs. De là je trouve un graphique à faire peur... (regardez bien en bas de la page, la couleur rouges>Jaune).

Graphique au soufre heureusement tempéré par un autre résultat sur le second lien que je vous livre.



Note du modérateur : L'idée de classer par OS peut paraître impertinente dans ce cas car la raison des mauvaises statistiques de Linux en octobre vient principalement du trou de sécurité récent de PHPNuke, et non pas à un trou Linux.


Update : leur site est à nouveau accessible

Le parlement européen a adopté un amendement pour l'usage des cookies. L'usage des cookies devra avoir le consentement explicite de l'utilisateur.

Ne vaudrait-il pas mieux éduquer les utilisateurs car tous les navigateurs, me semble-t-il (même IE), permettent d'accepter, d'interdire ou de poser la question sur l'installation d'un cookie.

La société Intersect Alliance (spécialisée dans la sécurité) vient de rendre disponible les sources et les binaires du module noyau SNARE (System iNtrusion Analysis and Reporting Evironment).

Ce module dynamique du noyau permet d'obtenir un niveau de sécurité C2 pour notre OS préféré, en ajoutant des capacités d'audit et de détection d'intrusion au niveau 'host' (et non réseau comme des projets tel que Snort).

SNARE se compose d'un module noyau à installer ou à recompiler (snare-core) et d'une interface graphique (snare-gui) pour définir le paramétrage de l'audit et avoir un journal d'événements (voir screenshots très ressemblant au journal événement de NT).

Un article intéressant sur l'intérêt des pots de miel et leur mise en place a été publié sur SecurityFocus.

Les pots de miel, à condition d'être bien configurés, sont d'un très grand intérêt éducatif puisque leur but est de permettre d'apprendre les attaques et les méthodologies d'attaque employées par les pirates. C'est un complément très intéressant aux lectures de publications comme "Halte aux hackers" ou "Intrusion Signatures and Analysis" (chez New Riders) et à la mise en oeuvre des exploits publiés sur Bugtraq & cie qui permet de voir en direct la manière de procéder des pirates. Mais la mise en place d'un pot de miel est un art à part entière car si vous ouvrez trop de ports par exemple sur le pot de miel, seuls les script kiddies s'acharneront dessus et l'intérêt est tout de suite moindre.

L'auteur utilise RedHat 7.1 comme pot de miel et Snort comme IDS et s'appuie sur iptables en firewall amont. Seul bémol, il utilise VMWare pour mettre des pots de miel de différents OS sur la même machine et quand on sait que la licence coûte 300USD env. pour la 3.0...

La version 3.0 d'OpenSSH, l'implémentation libre de SSH, vient de sortir. Outre les habituelles corrections de bugs, cette version est la première à utiliser le protocole version 2 par défaut.

Le gros changement au niveau utilisation concerne les fichiers /etc/ssh_known_hosts2, ~/.ssh/known_hosts2 et /.ssh/authorized_keys2 qui sont maintenant obsolètes, il faut les renommer en known_hosts et authorized_keys, qui contenaient autrefois les clés associées au protocole version 1.

Infos trouvées sur www.secusys.com,
"« Ptracekm » est un module kernel pour Linux 2.2 (et probablement 2.4 mais non testé) permettant de bloquer les appels (syscall) ptrace() pour tous les utilisateurs excepté le root.
Ce module vous protègera donc contre les pirates voulant prendre le root grâce aux exploits de type ptrace()."

De plus, ne pas oublier de vérifier Webmin 0.88 qui permet la création de fichiers modifiables par tous sous /tmp avec les droits 777.... pour modifier le script run.cgi... voir la news originale pour plus de détails.

Note du modérateur : Le problème webmin, c'est un rappel, on en avait déjà parlé ici le 22 Octobre.

Dans une interview vidéo donnée au webzine Internet Actu (n° du 25/10/2001), Olivier Berger, secrétaire général de l'Association pour la Promotion et la Recherche en Informatique Libre (APRIL), une association qui se consacre notamment aux logiciels libres comme GNU/Linux et BSD, considère que "la cryptographie est indispensable à une utilisation citoyenne de l'Internet et à l'utilisation professionnelle de l'Internet" .
Sur le dossier terrorisme et Internet, Olivier Berger estime aussi : "Il y a peu de choses à changer dans la législation actuelle par rapport à Internet et au terrorisme. Pourquoi ? Parce qu'en fait on s'aperçoit que les actes terroristes qui ont eu lieu sont complètement déconnectés d'Internet ; il n'y a aucune preuve que les terroristes aient utilisé la cryptographie, la stéganographie, que sais je... Pour communiquer, ils ont passé des coups de fil au vu et au su de tout le monde ; ils vivaient normalement, ils ne se cachaient pas et puis ils n'ont pas utilisé des armes de haute technologie pour faire leur attentat."

Merci à OpenPGP en français pour l'info

Certains d'entre vous connaissaient peut-être l'excellent site de Hrvoje Crvelin, qui regroupait bugs, solutions et exploits depuis 1996.
Il a malheureusement décidé d'arrêter ce travail le 9 septembre dernier, laissant bon nombre d'administrateurs en manque d'une source d'informations claire et concise.

Pour y remédier, une association vient de faire renaître Security BugWare.

Pour ceux qui ont accès au wireless :

Ensemble de FAQ, docs techniques, et informations sur les problèmes de sécurité posés par le Wireless.

Entre autres :

- Vue d'ensemble de la technologie Wireless LAN 802.11
- Risques majeurs
- Comment minimiser les risques WLAN


Merci au site Ouah.org ( ou je vous conseille d'aller jeter un coup d'oeil ) pour ces liens

Le centre de coordination du CERT (Computer Emergency Response Team) vient de publier un document sur les étendues que pourraient prendre les attaques par déni de service (DoS). Il ne propose pas de solution, mais permet d’alerter tout le monde sur les risques que nous encourrons.
Ce rapport insiste particulièrement sur les dénis de service distribués (DDoS).

En 2001 nous avons vu l’explosion des DDoS utilisant des outils automatisés (par exemple Code Red contenait une attaque sur www.whitehouse.gov). Mais la plus grande préoccupation vient du fait que ces attaques utilisent à présent des ordinateurs fonctionnant sous Windows ou en s’appuyant sur des routeurs.

Il est à noter que les outils de détection d’intrusion (IDS) permettent de limiter les attaques par déni de service. Si certains ont une expérience à ce sujet les commentaires sont les bienvenues...

Cette faille a été découverte par Christophe Casalegno et Aurélien Cabezon.
Webmin souffre d'un problème de sécurité concernant la création temporaire de fichier qui peut être utilisée pour compromettre le compte root.

En effet, Webmin crée des fichier temporaires dans /tmp qui ont les permissions : -rwxrwxrwx (777) et qui appartiennent à l'utilisateur root (ex : commandes personnalisées). N'importe qui peut modifier le fichier créé pendant l'exécution de la commande par le système. Il suffit donc pour l'attaquant de rajouter une commande dans le fichier, qui sera exécutée par le root. L'attaquant pourra donc à loisir, lancer des commandes, créer/effacer/modifier des fichiers/répertoires, etc...
Exemple:
Il suffit de rajouter la commande suivante à la fin du fichier temporaire crée par webmin pendant son exécution pour gagner les privilèges de root:
cp /bin/sh /tmp/.backdoor vous donnera un shell root dans /tmp
Le problème est situé dans le script run.cgi qui crée le fichier temporaire en lui donnant de mauvaises permissions.
$temp = &tempname();
open(TEMP,">$temp");
...blablabla...
chmod(0777, $temp);
Pour fixer le problème il suffit de hanger la ligne chmod(0777, $temp); par chmod(0700, $temp);

Note du modérateur : Il ne semble pas y avoir de confirmation sur le site de Webmin. En outre, webmin 0.89 devrait sortir sous peu.