talweg est un « portail captif » conçu pour sécuriser principalement les réseaux sans-fil. Développé à sa création en Perl, il nous revient en C# sous Mono.
L'utilisation de ce framework .NET sous Linux le rend désormais compatible avec Apache 1 et 2. Son installation est plus facile, Mono fourni l'ensemble des outils nécessaires à son fonctionnement, de la classe d'accès Http à la gestion des certificats X.509. Seuls les logs s'appuient sur un composant externe : Log4Net, une bibliothèque maintenue par la Fondation Apache, qui permet un grand nombre de scénarios.
Ce développement a permis à l'équipe talweg, en collaboration avec Gonzalo Paniagua Javier le créateur et mainteneur de mod_mono, de contribuer au projet Mono, mais aussi de constater la facilité de maintenance offerte par le couple C#/Mono. Du point de vue technique, beaucoup d'améliorations ont été apportées. Les outils proposés par le framework ont permis d'intégrer le proxy, un meilleur choix dans la réécriture de l'adresse a permis l'utilisation d'un seul certificat SSL de type wildcard.
Le principe premier de talweg : la garantie de l'identité des personnes utilisant le réseau en évitant les mécanismes d'usurpation, est bien sur conservé. Ce principe a une incidence très intéressante : il est possible de communiquer sur Msn Webmessenger ou de lire ses messages sur Gmail à travers un canal chiffré.
Pour tous ceux qui souhaiteraient tester en quelques minutes cette solution, un live CD existe.
Journal Trois fois plus de vulnérabilités chez Linux que Windows
"Trois fois plus de vulnérabilités chez Linux que Windows" tel est le titre d'un article de VNUnet.fr [1]
Cet article fait echo du rapport du US-CERT sur les vulnérabilités de l'année 2005 [2]
En gros, 812 alertes pour windows et 2328 du coté de linux. Bon, s'ils le disent, le mieux est quand même de vérifier pour voir pourquoi un telle différence.
Je regarde donc le rapport, et le truc qui me saute aux yeux rapidement est le nombre de (…)
Cet article fait echo du rapport du US-CERT sur les vulnérabilités de l'année 2005 [2]
En gros, 812 alertes pour windows et 2328 du coté de linux. Bon, s'ils le disent, le mieux est quand même de vérifier pour voir pourquoi un telle différence.
Je regarde donc le rapport, et le truc qui me saute aux yeux rapidement est le nombre de (…)
Appel à communication SSTIC 06
La 4ème édition du Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC) se déroulera du 31 mai au 2 juin 2006 à Rennes.
SSTIC est devenu en l'espace de quelques années la conférence de référence en sécurité informatique en France. Elle est organisée par des volontaires membres de l'association STIC et ne poursuit aucun objectif commercial. Le symposium se déroule sur le site de l'ESAT à Rennes.
Cette année le thème de la conférence porte sur les limites de la sécurité. Ce sujet sera exploré sous différents axes:
- les limites de la technologie (limites des produits, mythes, failles et preuves)
- les limites du périmètre (dissolution, mobilité et aspects télécom)
- au-delà des technologies (les facteurs non-technologiques)
- au-delà des limites (que faire une fois que l'incident s'est produit)
L'appel à contribution est ouvert et la date limite de soumission est le vendredi 6 janvier 2006.
N'hésitez pas à contacter le Comité de Programme si nécessaire:
cp@security-labs.org
Les archives (présentations et publications) des éditions précédentes sont également disponibles.
SSTIC est devenu en l'espace de quelques années la conférence de référence en sécurité informatique en France. Elle est organisée par des volontaires membres de l'association STIC et ne poursuit aucun objectif commercial. Le symposium se déroule sur le site de l'ESAT à Rennes.
Cette année le thème de la conférence porte sur les limites de la sécurité. Ce sujet sera exploré sous différents axes:
- les limites de la technologie (limites des produits, mythes, failles et preuves)
- les limites du périmètre (dissolution, mobilité et aspects télécom)
- au-delà des technologies (les facteurs non-technologiques)
- au-delà des limites (que faire une fois que l'incident s'est produit)
L'appel à contribution est ouvert et la date limite de soumission est le vendredi 6 janvier 2006.
N'hésitez pas à contacter le Comité de Programme si nécessaire:
cp@security-labs.org
Les archives (présentations et publications) des éditions précédentes sont également disponibles.
Anonymat avec des Logiciels Libres
Secuobs.com propose un tutoriel sur un ensemble de logiciels libres (Tor, Privoxy, Switchproxy) permettant d'assurer le respect de votre privée. Cet anonymat peut être assuré pour l'ensemble des applications reposant sur le protocole TCP (Transport Control Protocol) sous GNU/Linux.
Vous y trouverez également des informations sur la conférence tenue par Roger Dingledine (mainteneur du projet Tor) lors du Woodstock numérique What The Hack qui a réuni plus de 3000 participants (hackers et geeks) en juillet dernier près de Eindhoven aux Pays-Bas.
Ce tutoriel fait parti d'un dossier sur ce rassemblement, vous y trouverez notamment un article sur la pétition commune de XS4ALL et l'EDRI contre la rétention des données de connexion.
L'acceptation du projet de directive se joue en ce moment même au parlement européen, votre soutien est plus que le bienvenu.
Privacy is not a crime...
Vous y trouverez également des informations sur la conférence tenue par Roger Dingledine (mainteneur du projet Tor) lors du Woodstock numérique What The Hack qui a réuni plus de 3000 participants (hackers et geeks) en juillet dernier près de Eindhoven aux Pays-Bas.
Ce tutoriel fait parti d'un dossier sur ce rassemblement, vous y trouverez notamment un article sur la pétition commune de XS4ALL et l'EDRI contre la rétention des données de connexion.
L'acceptation du projet de directive se joue en ce moment même au parlement européen, votre soutien est plus que le bienvenu.
Privacy is not a crime...
Début du support de la sécurité pour Debian testing
La Debian testing security team a annoncé le début du support complet de la sécurité pour la distribution testing via les listes de diffusion debian-devel-announce et debian-user. L'équipe a passé cette dernière année à mettre en place l'infrastructure permettant d'offrir des annonces et des mises à jour de sécurité pour cette distribution.
Il n'y aura pas d'annonces pour les mises à jour de sécurité qui arrivent dans testing depuis unstable. Les utilisateurs de testing doivent donc toujours mettre à jour régulièrement leur système pour obtenir ces mises à jour. Il est cependant possible que l'équipe fournisse des informations à propos de ces mises à jour de sécurité à l'avenir.
Il faut aussi noter que cette annonce ne signifie pas que la distribution testing est maintenant utilisable en production. Il existe plusieurs problèmes de sécurité dans unstable et il en existe un nombre encore plus important dans testing. Le début de ce support de la sécurité signifie seulement que les mises à jour de sécurité pour testing seront maintenant disponibles presque aussi vite que pour unstable.
Le site de la Debian testing security team fournit des informations sur les failles de sécurité qui sont toujours ouvertes, les utilisateurs peuvent utiliser ces informations pour décider par eux-même si testing est assez sûre pour eux.
Il n'y aura pas d'annonces pour les mises à jour de sécurité qui arrivent dans testing depuis unstable. Les utilisateurs de testing doivent donc toujours mettre à jour régulièrement leur système pour obtenir ces mises à jour. Il est cependant possible que l'équipe fournisse des informations à propos de ces mises à jour de sécurité à l'avenir.
Il faut aussi noter que cette annonce ne signifie pas que la distribution testing est maintenant utilisable en production. Il existe plusieurs problèmes de sécurité dans unstable et il en existe un nombre encore plus important dans testing. Le début de ce support de la sécurité signifie seulement que les mises à jour de sécurité pour testing seront maintenant disponibles presque aussi vite que pour unstable.
Le site de la Debian testing security team fournit des informations sur les failles de sécurité qui sont toujours ouvertes, les utilisateurs peuvent utiliser ces informations pour décider par eux-même si testing est assez sûre pour eux.
Journal Linux sécurisé, GRsecurity, RSBAC, PaX, SSP, libsafe, SElinux,...
Ce journal s'agit en fait d'une sorte de sondage, ou plutôt d'une demande de retour d'expériences.
Je cherche activement à sécuriser mon petit linux des méchants
buffersoverflow et autres joyeusetés... pour une machine x86 en utilisation serveur (PII-266 48moRAM 3goDISK par exemple, mais ne vous heurtez pas à la config, ca pourrai etre un athlon2000+).
dessus ca serai pour utiliser des demons du styles: iptables,dhcpd,ftpd,httpd,sshd
Je cherche à savoir qu'est ce que utilisent les admins qui ont un grand besoin (…)
Je cherche activement à sécuriser mon petit linux des méchants
buffersoverflow et autres joyeusetés... pour une machine x86 en utilisation serveur (PII-266 48moRAM 3goDISK par exemple, mais ne vous heurtez pas à la config, ca pourrai etre un athlon2000+).
dessus ca serai pour utiliser des demons du styles: iptables,dhcpd,ftpd,httpd,sshd
Je cherche à savoir qu'est ce que utilisent les admins qui ont un grand besoin (…)
Comment des vendeurs essaient de breveter les solutions à des failles de sécurité qui leur sont fournies
Une série de failles ont été découvertes dans le protocole ICMP (et non pas ses implémentations) par l'argentin Fernando Gont, professeur, administrateur système et chercheur en réseau. Il a tenté dès le début, en août 2004, d'en informer tous les auteurs d'implémentation du protocole ICMP avant de publier les failles sur Internet. Il a commencé par écrire un document qu'il a envoyé à l'IETF. Il a également contacté CERT/CC et NISCC, les auteurs de systèmes d'exploitation libre (OpenBSD, NetBSD, FreeBSD, Linux, etc.), ainsi que Microsoft, Cisco et Sun Microsystems. Il a décrit chaque faille pour leur permettre de corriger les implémentations avant de publier ses découvertes.
Fernando a alors commencé à recevoir des e-mails de Cisco demandant des informations techniques précises. Deux mois plus tard, il a reçu un e-mail d'un avocat de Cisco disant que Cisco allait breveter son travail ! L'avocat n'a pas voulu donner plus de détails. Encore deux mois plus tard, il y a eu un échange de mails entre Cisco, Linus Torvalds et David Miller où Fernando a été mis en copie. David a fait remarquer que Linus Torvalds utilisait déjà depuis plusieurs années le « sequence tracking » dans Linux et par là même, le brevet ne pouvait être déposé pour cause d'antériorité du travail de Linus.
Cisco a alors accusé Fernando de coopérer avec les terroristes alors qu'en même temps Cisco voulait breveter son travail. Plus tard Cisco a aussi demandé à Fernando qu'il travaille pour CERT/CC.
Aujourd'hui Cisco a abandonné son idée de brevet, mais ça laisse quand même réfléchir sur le fait de publier anonymement ses failles ou non !
Fernando a alors commencé à recevoir des e-mails de Cisco demandant des informations techniques précises. Deux mois plus tard, il a reçu un e-mail d'un avocat de Cisco disant que Cisco allait breveter son travail ! L'avocat n'a pas voulu donner plus de détails. Encore deux mois plus tard, il y a eu un échange de mails entre Cisco, Linus Torvalds et David Miller où Fernando a été mis en copie. David a fait remarquer que Linus Torvalds utilisait déjà depuis plusieurs années le « sequence tracking » dans Linux et par là même, le brevet ne pouvait être déposé pour cause d'antériorité du travail de Linus.
Cisco a alors accusé Fernando de coopérer avec les terroristes alors qu'en même temps Cisco voulait breveter son travail. Plus tard Cisco a aussi demandé à Fernando qu'il travaille pour CERT/CC.
Aujourd'hui Cisco a abandonné son idée de brevet, mais ça laisse quand même réfléchir sur le fait de publier anonymement ses failles ou non !
La troisième édition du concours de sécurité informatique « Challenge SecuriTech » se déroulera du 11 juin au 1er juillet 2005.
Le Challenge SecuriTech est un concours de sécurité informatique en ligne, gratuit et ouvert à tous.
À partir du samedi 11 juin 2005 à 00h00, plus de 15 épreuves de sécurité vous seront proposées. Vous aurez alors 3 semaines pour les résoudre. Elles couvriront de nombreux aspects de la sécurité tels que les failles web et applicatives, l'analyse réseau, le reverse engineering, la cryptanalyse, la stéganographie, le forensics, etc. Chaque épreuve résolue vous apportera un certain nombre de points, permettant d'effectuer un classement. De nombreux lots récompenseront les meilleurs.
Deux nouveautés viendront agrémenter cette troisième édition : tout d'abord l'intégration des challenges au sein d'un scénario, ensuite l'orientation des niveaux, plus proches de vraies problématiques de sécurité.
Venez tester, améliorer et comparer vos connaissances en sécurité avec plus de 2500 autres participants !
Les inscriptions sont ouvertes sur http://www.challenge-securitech.com/
Le challenge « SecuriTech » est organisé par le Mastère Spécialisé « Sécurité de l’Information et des Systèmes » de l’ESIEA, formation BAC+6 accréditée par la commission des Grandes Ecoles.
À partir du samedi 11 juin 2005 à 00h00, plus de 15 épreuves de sécurité vous seront proposées. Vous aurez alors 3 semaines pour les résoudre. Elles couvriront de nombreux aspects de la sécurité tels que les failles web et applicatives, l'analyse réseau, le reverse engineering, la cryptanalyse, la stéganographie, le forensics, etc. Chaque épreuve résolue vous apportera un certain nombre de points, permettant d'effectuer un classement. De nombreux lots récompenseront les meilleurs.
Deux nouveautés viendront agrémenter cette troisième édition : tout d'abord l'intégration des challenges au sein d'un scénario, ensuite l'orientation des niveaux, plus proches de vraies problématiques de sécurité.
Venez tester, améliorer et comparer vos connaissances en sécurité avec plus de 2500 autres participants !
Les inscriptions sont ouvertes sur http://www.challenge-securitech.com/
Le challenge « SecuriTech » est organisé par le Mastère Spécialisé « Sécurité de l’Information et des Systèmes » de l’ESIEA, formation BAC+6 accréditée par la commission des Grandes Ecoles.
Résultats des trophées du libre 2005
Jeudi dernier s'est déroulée à Soissons la deuxième édition des Trophées du Libre. Six projets libres ont été récompensés, dans chacune des catégories : Sécurité, Structures Publiques et Collectivités, Éducatif, Gestion d’entreprise, Multimédia, Prix Spécial PHP. Un nombre important de projets (plus de 150) avaient fait acte de candidature, ce qui témoigne de l'importance de l'événement.
Pour mémoire, les Trophées du Libre sont un concours international de Logiciel Libre, avec plusieurs prix sur différents thèmes.
Le jury était présidé cette année par David Axmark (co-fondateur de MySQL), et les prix ont été remis aux gagnants en présence de Renaud Dutreil, Ministre de la Fonction Publique et de la Réforme de l’État.
Lors de la distribution des prix, le jury a insisté sur le caractère innovant et mature des projets gagnants.
Pour mémoire, les Trophées du Libre sont un concours international de Logiciel Libre, avec plusieurs prix sur différents thèmes.
Le jury était présidé cette année par David Axmark (co-fondateur de MySQL), et les prix ont été remis aux gagnants en présence de Renaud Dutreil, Ministre de la Fonction Publique et de la Réforme de l’État.
Lors de la distribution des prix, le jury a insisté sur le caractère innovant et mature des projets gagnants.
Faille de sécurité dans les protocoles IPSec
Des chercheurs anglais ont découvert une grave faille de sécurité dans les protocole IPSec, utilisés pour le cryptage des paquets dans les réseaux VPN.
Cette faille concerne les tunnels IPSec ESP (Encapsulating Security Payload) et certaines configurations utilisant AH (Authentification Header), et permet à l'attaquant de récupérer en clair le contenu d'un paquet qui ne lui est pas destiné par un message d'erreur ICMP. Elle est considérée comme grave, et cible potentiellement un grand nombre de réseaux d'entreprise.
Des solutions sont d'ors et déjà disponibles, mais elles imposent la modification de la configuration du VPN.
Cette faille concerne les tunnels IPSec ESP (Encapsulating Security Payload) et certaines configurations utilisant AH (Authentification Header), et permet à l'attaquant de récupérer en clair le contenu d'un paquet qui ne lui est pas destiné par un message d'erreur ICMP. Elle est considérée comme grave, et cible potentiellement un grand nombre de réseaux d'entreprise.
Des solutions sont d'ors et déjà disponibles, mais elles imposent la modification de la configuration du VPN.
Le projet PaX compromis
PaX est un projet visant à apporter à Linux des moyens de prévenir et/ou de minimiser l'impact des failles donnant accès à l'espace d'adressage d'une tâche, comme les dépassements de tampon (buffer overflow), les format string attacks, etc. Il est une partie importante de grsecurity, qui fournit un ensemble d'améliorations liées à la sécurité pour Linux (protection renforcée des chroot , RBAC, etc.).
Le projet a annoncé le 4 mars la présence d'une faille majeure dans le code même de PaX, permettant d'obtenir à un utilisateur simple de gagner des droits plus importants sur le système, voire des droits administrateurs. Cette faille est exploitable localement, mais une exploitation à distance semble peu probable.
Une version mise à jour du patch est bien sûr disponible sur le site de PaX, ainsi que la version 2.1.2 de grsecurity qui inclut le correctif. Dans l'urgence,
# echo "0 0" > /proc/sys/vm/pagetable_cache
...permet d'éviter le principal vecteur d'exploitation potentiel.
Les auteurs de PaX ont par ailleurs déclaré qu'au vu de la gravité de la faille et pour d'autres raisons, le développement de celui-ci serait arrêté au 1er avril 2005. Brad Spengler, un des auteurs de grsecurity, s'est cependant porté volontaire pour reprendre le flambeau.
NdM : merci à mmenal pour avoir contribué à la news.
Le projet a annoncé le 4 mars la présence d'une faille majeure dans le code même de PaX, permettant d'obtenir à un utilisateur simple de gagner des droits plus importants sur le système, voire des droits administrateurs. Cette faille est exploitable localement, mais une exploitation à distance semble peu probable.
Une version mise à jour du patch est bien sûr disponible sur le site de PaX, ainsi que la version 2.1.2 de grsecurity qui inclut le correctif. Dans l'urgence,
# echo "0 0" > /proc/sys/vm/pagetable_cache
...permet d'éviter le principal vecteur d'exploitation potentiel.
Les auteurs de PaX ont par ailleurs déclaré qu'au vu de la gravité de la faille et pour d'autres raisons, le développement de celui-ci serait arrêté au 1er avril 2005. Brad Spengler, un des auteurs de grsecurity, s'est cependant porté volontaire pour reprendre le flambeau.
NdM : merci à mmenal pour avoir contribué à la news.
Nouvelle faille dans les noyaux 2.4 et 2.6
Une nouvelle faille vient d'être découverte dans les noyaux 2.4 et 2.6. La fonction système uselib() (qui permet de sélectionner une bibliothèque partagée d'après son fichier binaire) contient une faille qui permet à un utilisateur mal intentionné de s'approprier les privilèges de l'utilisateur root. Cette faille n'est pas exploitable à distance, mais seulement par une personne possédant déjà un compte sur la machine.
Deux failles de sécurité pour les noyaux Linux 2.4.x et 2.6.x
K-OTik Security nous apprend que deux vulnérabilités ont été identifiées dans le noyau Linux, elles pourraient être exploitées par un attaquant afin de causer un déni de service ou augmenter ses privilèges.
1) Le premier problème résulte d'une erreur présente au niveau du module IGMP (Internet Group Management Protocol), elle pourrait être exploitée par un utilisateur local afin d'augmenter ses privilèges (à root), ou par un attaquant distant afin de causer un déni de service [l'attaquant devra être capable d'envoyer des requêtes IGMP_HOST_MEMBERSHIP_QUERY, et les fichiers /proc/net/igmp et /proc/net/mcfilter cibles devront être non vides].
2) La seconde vulnérabilité concerne la fonction scm_send(), elle pourrait être exploitée par un utilisateur local afin de causer un Déni de Service. L'exploitation (à des fins d'élévation de privilèges) n'est pas possible sous Linux 2.4.x, la possibilité d'exploitation sous Linux 2.6.x n'a pas été confirmée/infirmée.
Aucun correctif officiel pour l'instant, donc patience.
1) Le premier problème résulte d'une erreur présente au niveau du module IGMP (Internet Group Management Protocol), elle pourrait être exploitée par un utilisateur local afin d'augmenter ses privilèges (à root), ou par un attaquant distant afin de causer un déni de service [l'attaquant devra être capable d'envoyer des requêtes IGMP_HOST_MEMBERSHIP_QUERY, et les fichiers /proc/net/igmp et /proc/net/mcfilter cibles devront être non vides].
2) La seconde vulnérabilité concerne la fonction scm_send(), elle pourrait être exploitée par un utilisateur local afin de causer un Déni de Service. L'exploitation (à des fins d'élévation de privilèges) n'est pas possible sous Linux 2.4.x, la possibilité d'exploitation sous Linux 2.6.x n'a pas été confirmée/infirmée.
Aucun correctif officiel pour l'instant, donc patience.
Mise à jour critique pour Firefox 1.0PR
Une mise à jour critique pour Firefox 1.0PR est parue le 1er octobre, corrigeant la possibilité pour un intrus d'effacer des fichiers du repertoire de téléchargement. Cette faille n'a pas encore été exploitée.
À noter la facilité de mise à jour pour ceux qui utilisent Firefox 1.0PR : aller dans preferences, "advanced", "software update ", puis cliquer le bouton "check now" (apres redémarrage, on voit "Firefox/0.10.1" dans la fenêtre "about Mozilla").
NdM : ou bien cliquer sur la petite icône rouge en haut à droite qui annonce la disponibilité de mise à jour.
À noter la facilité de mise à jour pour ceux qui utilisent Firefox 1.0PR : aller dans preferences, "advanced", "software update ", puis cliquer le bouton "check now" (apres redémarrage, on voit "Firefox/0.10.1" dans la fenêtre "about Mozilla").
NdM : ou bien cliquer sur la petite icône rouge en haut à droite qui annonce la disponibilité de mise à jour.
Mandrakesoft retenue pour le développement d'un système d'exploitation ouvert de haute sécurité
La société Mandrakesoft a été retenue par le Ministère de la Défense français pour participer à un consortium, incluant Bertin Technologies, Surlog, Jaluna et Oppida, chargé de développer un système d'exploitation ouvert de haute sécurité. Ce système devra répondre à la certification CC-EAL5 (« Common Criteria Evaluation Assurance Level 5 »). Le montant du contrat est de 7 millions d'euros sur trois ans, dont 1 million pour Mandrakesoft.
La tache principale de Mandrakesoft sera d'adapter sa distribution et de mobiliser les ressources de la communauté du logiciel libre autour de ce projet. À terme, les résultats de ce projet seront publiés sous licence Open Source (NdM : libre ?).
François Bancilhon, directeur général de Mandrakesoft, indique : « C'est [...] notre projet le plus important à ce jour, et un événement majeur pour notre entreprise.» C'est incontestablement un bonne nouvelle pour Mandrakesoft, qui engrange un gros contrat et renforce par la même occasion sa crédibilité vis à vis des grands comptes, mais également pour l'ensemble de la communauté du logiciel libre, qui voit ici reconnue la supériorité du modèle open source en matière de sécurité des systèmes informatiques.
La tache principale de Mandrakesoft sera d'adapter sa distribution et de mobiliser les ressources de la communauté du logiciel libre autour de ce projet. À terme, les résultats de ce projet seront publiés sous licence Open Source (NdM : libre ?).
François Bancilhon, directeur général de Mandrakesoft, indique : « C'est [...] notre projet le plus important à ce jour, et un événement majeur pour notre entreprise.» C'est incontestablement un bonne nouvelle pour Mandrakesoft, qui engrange un gros contrat et renforce par la même occasion sa crédibilité vis à vis des grands comptes, mais également pour l'ensemble de la communauté du logiciel libre, qui voit ici reconnue la supériorité du modèle open source en matière de sécurité des systèmes informatiques.