Journal Toi aussi, amuses toi avec le FireWire

Posté par  (Mastodon) . Licence CC By‑SA.
Étiquettes :
44
26
jan.
2014

Bonjour Nal,

Les problèmes liés au FireWire sont connus et identifiés depuis longtemps. Voir par exemple cet excellent papier datant de 2008, de Uwe Hermann, développeur Debian, à ce sujet. En gros, à partir du moment où tu as un accès physique à la machine, tu peux :

  • lire et écrire arbitrairement dans la RAM ;
  • Avoir accès à un disque chiffré sans en connaître la clef ;
  • et plein de trucs visiblement très rigolos

Alors, chez Nal, pourquoi je (…)

Journal L'art de stocker des mots de passe

Posté par  . Licence CC By‑SA.
87
17
jan.
2014

Bonjour à tous,

Je vous propose un enième article sur un sujet bien connu : comment sécuriser des mots de passe dans une base de données. Et au passage, comment éviter de se taper la honte si votre BDD est leakée.

Après une longue réflexion, j'ai décidé de présenter ce journal sous forme de niveaux. Deux négatifs (-2 et -1) qui correspondent à des solutions (trop) souvent mises en place mais pas sécurisées du tout.
Puis, un niveau 0 qui (…)

Sortie de Modoboa 1.1.0

Posté par  (site web personnel) . Édité par Benoît Sibaud et Ontologia. Modéré par claudex. Licence CC By‑SA.
22
3
jan.
2014
Internet

Une nouvelle version du logiciel libre (licence MIT) Modoboa est disponible. Modoboa est un outil visant à simplifier l’administration et l’utilisation d’une plate‐forme d’hébergement de courriel. Il est disponible dans neuf langues (anglais, français, allemand, espagnol, portugais, suédois, italien, russe et tchèque). Il est majoritairement écrit en Python/Django (avec un peu de JavaScript quand même pour la partie « dynamique »).

Il s'agit d'une version majeure pour plusieurs raisons. Tout d'abord, un certain nombre de fonctionnalités ont été ajoutées comme :

  • Le support des domaines relais (un mode gateway en quelque sorte) ;
  • Diverses améliorations au niveau de la quarantaine ;
  • Le support d'une date de démarrage pour les réponses automatiques ;
  • Activation/désactivation des réponses automatiques par les administrateurs ;
  • Le renforcement des algorithmes utilisés pour chiffrer les mots de passe ;
  • Le déploiement silencieux.

D'autre part, le code source a subit une restructuration importante et les tests de non-régression ont été complétés.

La chasse aux bogues continue et le russe fait désormais partie des langues disponibles pour afficher l'interface web. Faute d'équipe, la traduction portugaise est incomplète dans cette version, nous cherchons d'ailleurs des repreneurs ;)

Au chapitre des changements importants mais indépendants du code, Github est désormais utilisé pour la gestion du code source et des tickets, l'ancienne instance Redmine est donc obsolète.

Forum Linux.général Checksum de la partition /boot

Posté par  . Licence CC By‑SA.
Étiquettes :
2
1
jan.
2014

Bonjour à tous,

J'ai actuellement Fedora et Archlinux installés en dual boot, les deux avec un chiffrement intégral ( tout sauf /boot ).
Or si un système est compromis, il pourrait alors modifier la partition /boot de l'autre système, en remplaçant par exemple le noyau ou l'initramfs par des équivalents vérolés (Evil Maid Attack), afin d'intercepter la passphrase du volume luks pour ensuite le déchiffrer et accéder aux données de l'autre système.

Quelle protection contre ça ?
On peut (…)

Prelude IDS 1.1.0

Posté par  . Édité par Nÿco, claudex, palm123, Benoît Sibaud, NeoX et ZeroHeure. Modéré par Pierre Jarillon. Licence CC By‑SA.
25
30
déc.
2013
Sécurité

Prelude est un logiciel SIEM qui permet de superviser la sécurité des systèmes d'information. Prelude collecte, normalise, trie, agrège, corrèle et affiche tous les événements de sécurité indépendamment des types d'équipements ou système surveillés.

Prelude IDS

Au-delà de sa capacité de traitement de tout type de journaux d’événements (journaux système, syslog, fichiers plats, etc.), Prelude est nativement compatible avec de nombreuses sondes anti-intrusion open-source (snort, suricata, ossec, samhain, etc.) grâce à l'utilisation du format IDMEF (RFC 4765).

Revue de presse de l'April pour la semaine 51 de l'année 2013

Posté par  (site web personnel, Mastodon) . Édité par Benoît Sibaud. Modéré par Benoît Sibaud. Licence CC By‑SA.
18
24
déc.
2013
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Journal OSSEC et réponse active pour Asterisk

Posté par  (site web personnel) . Licence CC By‑SA.
13
17
déc.
2013

SPOILER: a la fin, je met un décodeur correct pour bloquer les brute force sur asterisk avec OSSEC

Comme beaucoup d'entre vous, j'héberge un serveur Asterisk et je reçois beaucoup de tentatives de brute-forces tous les jours.
Mon amis OSSEC est censé m'aider à gérer ces situations. Pour ceux qui ne connaissent pas, OSSEC est un host IDS assez bien foutu et Open Source (bon, ok, j'ai pas vérifié la licence).
Les lignes de lot ressemblent à ça:

Dec 17
(…)

PacketFence  4.1 : une solution BYOD/NAC dans la cour des grands

Posté par  (site web personnel) . Édité par Nÿco, Nils Ratusznik et ZeroHeure. Modéré par patrick_g. Licence CC By‑SA.
Étiquettes :
27
17
déc.
2013
Sécurité

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 4.1 de PacketFence. PacketFence est une solution de conformité réseau (NAC, Network Access Control) entièrement libre (GPL v2), supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le support pour le [802.1X], l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus — elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

La version 4.1 de PacketFence apporte de nombreuses améliorations comme :

  • la gestion des droits d'accès à l'interface web d'administration ;
  • les profils de portail peuvent maintenant être définis par commutateurs ;
  • l'importation massive d'appareils réseau à partir de l'interface web d'administration ;
  • la propagation immédiate de l'ajout de commutateurs, évitant un redémarrage de RADIUS ;
  • la gestion étendue des durées d'accès réseau et la gestion dynamique des colonnes dans l'interface web d'administration.

Plusieurs améliorations de performance ont été apportées, de même que certains correctifs. PacketFence atteint un nouveau niveau qui fait déjà pâlir ses concurrents commerciaux !

Forum Linux.général Deux systèmes d'exploitation isolés sur une même machine hôte

Posté par  . Licence CC By‑SA.
Étiquettes :
1
13
déc.
2013

Bonjour à tous,

J'aimerai pouvoir utiliser sur un même ordinateur différents systèmes d'exploitation isolés en eux, dans le but que si un système est compromis, les autres restent sains. J'utilise actuellement Fedora avec un i5, qui supporte les instructions VT, et un disque de 1TB. Je penses à deux possibilités :

--> Un multiboot, partitionnement GPT, un GRUB qui renvoie vers les différents OS.
Avantage(s) :
- performances maximales (pas de virtualisation)

Inconvénients :
- les systèmes peuvent accéder aux (…)

Les journaux LinuxFr.org les mieux notés du mois de novembre 2013

Posté par  (site web personnel, Mastodon) . Modéré par ZeroHeure. Licence CC By‑SA.
8
2
déc.
2013
LinuxFr.org

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois de novembre passé.

Journal Atelier W3C / IETF à Londres sur le renforcement de la sécurité de l'Internet contre l'espionnage

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
13
1
déc.
2013

Vous considérez que l'espionnage massif auquel se livrent la NSA et d'autres organisations est une menace pour les droits de l'homme, ainsi que pour l'Internet libre et ouvert ? Vous avez des idées techniques géniales sur les meilleurs façons de renforcer la sécurité de l'Internet contre ces attaques sur la vie privée ? Alors, c'est le moment d'envoyer des propositions sérieuses pour le futur atelier STRINT "A W3C/IAB workshop on Strengthening the Internet Against Pervasive Monitoring"

Le site Web, avec l'appel à (…)

Du chiffrement et de la sécurité sur LinuxFr.org (statut au 24/11/2013)

Posté par  (site web personnel) . Édité par Nils Ratusznik et NeoX. Modéré par patrick_g. Licence CC By‑SA.
47
25
nov.
2013
LinuxFr.org

En ces temps de PRISM/NSA et autres grandes oreilles, et aussi parce que c'est techniquement intéressant, nous essayons d'avoir sur LinuxFr.org des configurations pertinentes au niveau sécurité (pour nos serveurs et pour vos données genre adresses de courriel). Vous trouverez ci-dessous un petit statut de l'existant et les pistes d'améliorations, et nous sommes bien entendu ouverts à vos propositions sur le sujet.

Au sommaire, d'abord un descriptif de ce qui est commun à nos différents serveurs, puis les spécificités de chacun et quelques questionnements pour ouvrir le sujet.

Sortie de Wapiti 2.3.0

Posté par  . Édité par Benoît Sibaud, Florent Zara, palm123, rootix, claudex et ZeroHeure. Modéré par Florent Zara. Licence CC By‑SA.
43
12
nov.
2013
Sécurité

Une nouvelle version du scanneur de vulnérabilités web Wapiti est disponible.

logo wapiti

Wapiti est un logiciel libre sous licence GNU GPL v2 permettant d'auditer la sécurité des applications web. Il est développé en Python et s'utilise en ligne de commande. Cette version est principalement une refonte du logiciel et la grande majorité des changements s'est faite « sous le capot » pour prendre en charge des fonctionnalités manquantes comme les nouveaux éléments du HTML 5 et les liens générés par du JavaScript.

Forum Linux.général USB Keyboard

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
6
16
oct.
2013

Salut,

Je viens de lire un article sur Korben : http://korben.info/usb-rubber-ducky.html

Je trouve ça un peu effrayant. Comment faire confiance à une clé USB qu'on me prête ?
Ou même une clé USB que j'aurais achetée et qui agirait comme un clavier le temps de lancer ses requêtes et ensuite se transforme en USB classique (NSA Inside).

Je n'ai pas acheté cette clé USB donc je ne sais pas ce que ça donne sur Linux mais je me dis, pourquoi pas ?

(…)