Code Red et Sircam dans Libé

Posté par  . Modéré par Yann Hirou.
Étiquettes :
0
7
août
2001
Sécurité
Aujourd'hui un petit dossier dans Libération sur Code Red et SIRCAM. Comme toujours, c'est un peu approximatif mais très instructif.

Un article décrit les différents types de virus et surtout Code Red et SIRCAM, un deuxième montre les soucis d'une société qui a subi de plein fouet l'attaque, et le dernier attaque Microsoft et explique en quoi une trop faible diversification des logiciels pourrait conduire à de graves problèmes. A noter, quelques interventions de Bernard LANG sur la monoculture du logiciel.

Nouveau Virus/Ver

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
26
juil.
2001
Sécurité
Un virus/ver assez dangereux (W32/Sircam) circule sur Internet depuis une huitaine de jours. Ecrit en Delphi et utilisant les faiblesses de Windows/Outlook (express), celui-ci se propage en s'envoyant aux correspondants de votre carnet d'adresse avant d'effacer le contenu de votre disque dur...
Il est conseillé aux administrateurs systèmes/réseaux de filtrer les messages contenant ce ver (assez facile à détecter grace à son texte).

Note du modérateur: il est possible de régler définitivement tous ces problèmes en configurant postfix de la manière suivante. Editez main.cf et rajoutez:

body_checks = regexp:/etc/postfix/body_checks

Enfin éditez body_checks et rajoutez:

/^Content-(Disposition|Type): application\/mixed/ REJECT
/^Content-(Disposition|Type):.*name="?.*\.(bat|com|pif|vb|exe|lnk|scr|reg|chm|wsh|js|inf|shs|job|ini|shb|scp|scf|wsc|sct|dll)/ REJECT

Ainsi, tout attachement type executable windows sera refusé systèmatiquement. Il est certainement possible de faire la même manipulation pour les autres daemon smtp.

Trou dans SSH 3.0.0

Posté par  (site web personnel, Mastodon) . Modéré par Fabien Penso.
Étiquettes :
0
22
juil.
2001
Sécurité
Une nouvelle sur Slashdot avec une amusante pointe d'ironie, alors je me permets de la traduire directement.
"SSH communication Security Corp a annoncé hier sur Bugtraq que leur version commerciale de SSH 3.0.0 a un trou de sécurité. Techniquement ce n'est pas un accès root direct, mais pouvoir avoir un accès "adm", "daemon", ou "sys" n'est pas très bon quand même.
Etrangement, pas d'annonce sur leur site web. Si vous utilisez la version à $99 ou à $475, mettez à jour en version 3.0.1 maintenant car le trou est très simple à utiliser (...)
Si vous utilisez OpenSSH ou d'autres programmes pour lesquels vous n'avez pas payé, aucune inquietude à avoir."

Multiple vulnérabilité dans différentes implémentations du protocole LDAP

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
17
juil.
2001
Sécurité
En gros, le projet PROTOS permet de tester les différentes implémentations de service d'annuaire de type LDAP vis à vis de différents types de paquets mal formés ou contenant des données non attendues. Ce type de vulnérabilité peut permettre des accès non autorisés ou bien des attaques de type DoS.

On a entre autre comme système affecté : OpenLDAP, 1.x avant la version 1.2.12 et 2.x avant la version 2.0.8

Bien sûr les implémentations commerciales sont aussi affectées.

Pour plus d'infos allez voir le lien

Faille OpenSSL = nouvelle version

Posté par  (site web personnel) . Modéré par Yann Hirou.
Étiquettes : aucune
0
17
juil.
2001
Sécurité
L'algorithme PRNG (qui génère des nombres aléatoires) est vulnérable suite à une erreur de design, cela concerne TOUTES les versions d'openSSL. La dernière version 0.9.6b corrige le problème ...

Pour les serveurs de production, un patch est disponible couvrant les versions 0.9.5 et 0.9.6a

Hors-série sécurité en avance

Posté par  (site web personnel) . Modéré par Yann Hirou.
Étiquettes :
0
17
juil.
2001
Sécurité
Il est en avance d'un mois et demi :)
Le hors-série sur la sécurité de LinuxMag est dans les kiosques.

Le sommaire :
Introduction :
- Introduction à la cryptographie
- Sécuriser un réseau hétérogène avec des outils libres

Sécurité des données :
- Virus : nous sommes concernés !
- Root-kit et intégrité
- Sécuriser ses connexions avec ssh

Sécurité des serveurs :
- Les attaques externes
- Le filtrage de paquets sous Linux
- Tests d'intrusion
- Détection et tolérance d'intrusions

Fiches techniques
- postfix
- bind
- proFTPD
- Apache

N'hésitez pas à nous envoyer vos commentaires, tant sur la forme que le fond.

Générateur pseudo-aléatoire d'openSSL pas si aléatoire...

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
11
juil.
2001
Sécurité
Un bug vient d'être trouvé sur le générateur de nombre pseudo-aléatoires d'openSSL, pas si aléatoire que ça...
Pas de risques pour l'instant, ce bug semble peu exploitable. Mais soyez méfiants, surveillez les correctifs.
A noter que seul EngardeLinux a sorti un patch pour l'instant.

Snort 1.8 disponible

Posté par  . Modéré par oliv.
Étiquettes :
0
10
juil.
2001
Sécurité
La version 1.8 de Snort vient de sortir. Pour celles/ceux qui ne connaissent pas, c'est un outil de détection d'intrusion (IDS) opensource. Et c'est un des meilleurs toutes catégories confondues et dont l'utilisation connaît une explosion ces derniers temps.

Cette version apporte bcp de nouveautés: "stateful inspection", défragmenteur IP hautement performant, tagging (enregistrement du traffic émanant d'hôtes suspects), plusieurs nouvelles options de formatage du rapport généré, détection d'ARP spoofing, décodeur 802.1Q...

En somme bcp de bonnes choses pour cet excellent outil de sécurité qui plaque au mur RealSecure&Co (j'exagère à peine).

Prelude & Trithème fusionnent

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
9
juil.
2001
Sécurité
Les 2 projets de détection d'intrusion, Prelude et Trithème, viennent à l'occasion du Libre Software Meeting, de décider de fusionner leurs projets respectifs afin d'optimiser les compétences de développement et les capacités du logiciel qui résultera de cette coopération (qui conservera le nom Prelude). L'équipe de Trithème apportera ses connaissances en matière d'architecture distribuée, de corrélation à long terme et non linéaire, de fonctions host-based -- notamment dans un premier temps le logging centralisé à partir de capteurs distribués, de contre-mesures et de processus de réponse automatisés, et enfin participera au développement d'une console admin tout cela profitant de l'architecture fortement modulaire de Prelude afin de l'étendre de manière distribuée vers des capacités hybrides et d'aide à la décision. Les deux équipes de développement se rejoindront sous peu en conservant un fonctionnement coopératif et libre.
Toutes ces améliorations se feront donc de manière totalement transparentes pour les utilisateurs et seront intégrées au cours des futures versions de Prelude.

Pour rappel, Prelude est un système de détection d'intrusion écrit à partir de zéro en C et développé depuis 3 ans. Prelude est distribué sous la licence GPL.
La prochaine version de Prelude (0.4) incluera un moteur de signature capable de lire l'ensemble des règles Snort.

De plus, des tests d'utilisation CPU ont été effectué avec un traffic "normal" sur le réseau de l'UAB. Celui-ci avait un débit oscillant entre 300KBits/s et 9MBits/s. Alors que l'utilisation CPU était quasiment identique pour les deux produits pour des débits faibles, Snort utilisait plus de 33% CPU de plus que Prelude lorsque le débit approchait le MegaBits/s et jusqu'à plus de 300% pour des débits maximaux de 9MBits/s avec le même "ruleset".

L'open source sécurité en question

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
6
juil.
2001
Sécurité
Il semblerait que les publications des communautés de sécurité informatique ne fassent pas l'unanimité :
Anti Security s'oppose à la publication des failles systeme et plus particulierement à la diffusion d'exploits comme la fameuse liste Bugtraq en pronant l'anti-disclosure.

Morceaux choisis :
[Ces listes de diffusion] ont fait plus de mal a l'underground et au Net qu'ils n'ont fait pour les aider. Car ils mettent a la porte de gamins des outils devastateurs.
...
Comme des munitions, allant de la cryptographie, des armes a feu, aux missiles, les exploits ne doivent pas etre diffuses publiquements
...
A chaque publication d'exploit sur bugtraq, un holocauste digital peut etre cree, et beaucoup de gamins utilisent ces informations pour attaquer des systemes non prepares.

On croit réver...
Le principal intérêt de ces listes réside JUSTEMENT dans la découverte de ces failles et du danger qu'elles représentent pour mieux en parrer toute éventuelle attaque.

Comment pourrait-on améliorer un systeme sans connaitre, diffuser et corriger les bugs qui l'affaiblissent et leur(s) exploitation(s) possible(s) ?

L'existance d'attaques sur un "systeme non préparé" (comme ils disent) démontre, à mon avis, plus le manque de suivi du développement et/ou un grave probleme dans l'administration du systeme, plutot qu'un risque d'holocaust digital (pff)....

Bastille Linux 1.2

Posté par  . Modéré par Val.
Étiquettes : aucune
0
29
juin
2001
Sécurité
C'est officiel la nouvelle version de Bastille Linux (ensemble de scripts permettants de renforcer la sécurité de systèmes à base de Linux) vient de sortir.

Le but est de simplifier et d'automatiser l'administration de systèmes Linux.

L'équipe de MandrakeSoft a travaillé sur la réalisation de l'interface graphique.

Voici les nouvelles fonctionnalitées de Bastille Linux :
- La distribution Red Hat est maintenant supporté pour les versions 6.0 à 7.1, ainsi que la Mandrake pour les versions 6.0 à 8.0
- Pour les nouveaux utilisateurs, une interface graphique a été ajoutée
- Cette nouvelle mouture supporte à présent iptables (inclus dans les noyaux 2.4) pour la gestion des règles de Firewalling

Une enquête sur le choix des mots de passe

Posté par  (site web personnel) . Modéré par Val.
Étiquettes : aucune
0
28
juin
2001
Sécurité
Un article paru sur libé résume les résultats d'une étude anglaise sur le choix des mots de passe, étude faite sur un panel de 1200 personnes. Il en ressort 4 grandes familles d'utilisateur: les familiaux (47%) choisissent les noms de leurs proches ('ingrid', 'médor','jeankevinleboulet',...), les fans de stars (32%, 'homersimpsons', 'fabien',...), les obsessionnels (11%) utilisent des mots de passe qui reflètent leur orientation sexuelle ('prendsmoisurlegravier','nutella',...), et enfin les crypteurs (9%) qui utilisent de vrais mots de passe.
Là où ça dérape un peu, c'est quand [libé nous dit que] les crypteurs s'échinent à mettre au point des formules incassables, mais en pure perte selon les experts.

La CIA et les crackers

Posté par  . Modéré par oliv.
Étiquettes : aucune
0
24
juin
2001
Sécurité
Sur le site de la CIA l'on trouve une analyse très intéressante des dangers auxquels les réseaux informatiques des USA et par extension une bonne partie des pays développés vont devoir faire face dans les années à venir. Parmis les entités hostiles l'on trouve non seulement les Hackers, les Hacktivistes mais aussi le crime organisé et les espions industriels sans compter les terroristes et certains gouvernements.

Samba: Trou de sécurité important

Posté par  . Modéré par oliv.
Étiquettes : aucune
0
23
juin
2001
Sécurité
Un trou de sécurité important qui permet à un utilisateur mal intentionné d'obtenir un accès root sur la machine cible a été découvert.
Toutes les versions de Samba sont concernées.

L'erreur est présente dans la directive 'log file' du fichier de configuration smb.conf à cause d'une erreur d'interprétation d'une macro (%m).

Votre machine est vulnérable si vous avez une option log file du type suivant:
log file = /var/log/samba/%m.log
log file = /var/log/samba/%m

Votre machine n'est pas vulnérable si vous avez ceci:
log file = /var/log/samba/log.%m

Il est recommandé aux personnes concernées d'éditer le fichier smb.conf en attendant la sortie imminente d'une nouvelle version de Samba qui corrigera cette faille.

UPDATE: 23 Juin, Samba 2.2.0a et Samba 2.0.10 sont disponibles, et corrigent cette alerte.

Conférence FIRST

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
16
juin
2001
Sécurité
Du 18 au 22 juin aura lieu la conférence FIRST (Forum of Incident Response and Security Teams), à Toulouse. C'est la première fois que le FIRST se réunit en France. Sur une semaine, les spécialistes mondiaux de la sécurité internet, et notament une représentation importante des CERT (Computer Emergency Response Team) seront rassemblés afin de traiter de sujets d'actualités, notament dans le domaine de la prévention, détection et résolution d'incidents.

OpenBSD : moins bien audité que les autres OS ?

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
5
juin
2001
Sécurité
Alexander Viro, l'un des principaux programmeurs de la couche d'abstraction des systèmes de fichiers dans Linux, a décidé de jeter un coup d'oeil au noyau d'OpenBSD.
Il y a découvert un code de mauvaise qualité, simple à faire planter, et s'étonne que personne d'autre ne se soit préalablement penché dessus. Il s'agit principalement de "races" : on part d'une affirmation (résultat d'un test, assignation...) et on considère plus tard qu'elle est toujours vraie alors qu'en réalité, des facteurs externes ont pu la fausser dans l'intervalle.
Morceaux choisis :
"It's not just sloppy. It's obviously broken - obviously for anyone with half of clue."
"Finding and fixing these bugs is a simple matter of grep. So far it hadn't been done. I've proposed to help with that, but apparently it got no interest"
"This code had never been read through, let alone audited. And that's the core kernel. Moreover, the same bugs had been fixed in FreeBSD half a year ago."
"...Linux tree, where an audit of relevant areas had been done nearly two years ago"

Il soulève indirectement le problème du manque de coopération entre les différents systèmes d'exploitation libres.

Big Brother is Back

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
0
3
juin
2001
Sécurité
La société française MatraNet vient de sortir M>Manager 2.0 !
Ce proxy tendrait à restreindre l'acces à internet.

Big Brother is Watching you :( PS : perso je ne pensais pas que MatraNet écrivait encore des Logiciels !

Serveurs Sourceforge compromis

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
29
mai
2001
Sécurité
Apparement, il y avait une importance breche de sécurité sur SourceForge qui a obligé les admins à fermer les accès pour "maintenance imprévue". Extrait de l'email recu par les utilisateurs:

"[...] The SourceForge team takes security very seriously. This week, one of our systems was compromised. We have promptly taken the necessary steps to correct this situation.

You have been contacted, because according to our log files, you have used SourceForge during the past week and may have used the system that was compromised. In order to complete the security fix, we are asking all users who used the system to change their password immediately. We've reset your password to a randomly generated string."

Sans fil et indiscret

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
0
25
mai
2001
Sécurité
Lu sur Bugtraq: on peut "écouter" à distance la souris et le clavier sans fil Logitech. Ce qui met à la portée de tout le monde l'espionnage! Car la version "haute-technologie", qui marche avec tous les PC, est TEMPEST, via l'écoute des émanations des moniteurs, demande un peu plus de materiel.

Cheese Worm : le virus qui vous aime..

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
17
mai
2001
Sécurité
Entre humour et sécurité :

Voici un article sur cnet qui parle d'un nouveau "worm" pour Linux.
Ce vers a une particularité unique : il guérit (du moins, il essaye de guérir) votre système si ce dernier est vulnérable aux autres vers et/ou à certains 'rootshell'.
L'intention est louable.. (à mon avis)
Comme dirait le gars qui a posté l'info sur slashdot : "qu'est-ce qu'ils attendent pour faire un vers qui désactive vbs sous outlook ?" =]

Un autre script pour netfilter/iptables

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
16
mai
2001
Sécurité
En complément de l'article du 15 mai, un autre script de configuration pour la partie firewall (netfilter) du noyau 2.4.

Ce script, très complet, suppose une connexion PPP, un réseau local et une DMZ. Cependant, une adaptation à ses propres besoins est relativement aisée.

Une introduction à Amanda

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
16
mai
2001
Sécurité
Amanda est un système très sophistiqué qui organise les backups même ceux de Windows, en somme toute le rêve pour un admin.

Malheureusement la doc laisse à désirer, et la configuration d'Amanda est un véritable cauchemar.

Linuxsecurity.com présente un lien vers un très bon article sur Amanda.