ka.da

Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - sécurité

Fil des billets - Fil des commentaires

jeudi, août 30 2007

ssh : supprimer une entrée du fichier known_hosts

pour ne pas rechercher sans fin cette astuce quand j'en ai besoin...

Sous Debian, quand on se connecte à un serveur ssh, avec les options par défaut, il y a une vérification de la signature de la clé du serveur. Ces signatures sont enregistrés dans le fichier ~/.ssh/known_hosts et lorsqu'on se connecte à un serveur auquel on s'est déjà connecté, le client vérifie si la clé du serveur n'a pas changé, cela afin d'éviter des problèmes de sécurité (connexion à un serveur usurpateur).
Le problème se pose lorsqu'on sait que la clé a changé, par exemple si c'est un serveur qu'on gère et qu'on vient de le réinstaller, et que le client ssh n'arrête pas de se plaindre que la clé est mauvaise et ne veut à aucun prix s'y connecter. Dans ce cas, il faut éditer le fichier et enlever l'entrée correspondante qui pose problème... hum... malheureusement, maintenant c'est difficile à faire le fichier étant hashé. La commande magique c'est donc

ssh-keygen -R <nom_du serveur_SSH>

[vu sur linuxfr]

un peu de tout

De retour de vacances, un petit billet concernant quelques informations intéressantes sorties pendant que j'étais offline :

  • Democracy Player, un lecteur libre de vidéo permettant d'agréger à la fois votre collection personnelle de vidéos et celles disponibles sur le web, et basé sur la technologie XUL[1], change de nom et devient Miro [via]. À essayer pour passer à une autre dimension dans le visionnage de vidéos. À comparer à Songbird dans le domaine de la musique;
  • j'ai eu récemment l'occasion de tester Alfresco, la solution de référence GED/ECM dans le monde du libre, lors d'un déploiement professionnel. C'est un bon outil avec une très bonne ergonomie et qui me semble bien conçu. Le seul vrai défaut à mon goût est la complexité de déploiement si on ne veut pas utiliser le package complet mais utiliser les paquets MySQL, Java, Tomcat de sa distribution (Debian dans mon cas). En tout cas, Alfresco vient de sortir en version 2.1 et propose un rapport intéressant sur l'utilisation de cet outil, on y voit par exemple :
    • que Alfresco est testé à égalité sous Linux que sous Windows mais majoritairement déployé sous Linux;
    • que ces déploiements se font plus en utilisant les serveurs d'applications libres Tomcat ou JBoss que les solutions propriétaires de Sun, IBM ou BEA;
    • MySQL et PostgreSQL sont les deux bases de données les plus utilisées (sachant que la base par défaut est HSQL) et Oracle la première propriétaire.
  • il semble que la fameuse "affaire SCO"[2] soit enfin terminée... 4 années de FUD de la part de SCO et ses alliés (Microsoft en tête) contre le logiciel libre et Linux qui semblent enfin se terminer... ouf ![3]
  • un comparatif de solutions de filtrage de virus sous Linux révèle que ClamAV une solution libre tient la route aux côtés de Kaspersky et Norton, ces trois étant les seuls à détecter 100% des virus soumis;
  • et le propriétaire de Snort (un IDS libre), la société Sourcefire vient justement d'acquérir ClamAV;
  • pendant que Citrix achète la société XenSource, l'éditeur de Xen [via]
  • la guerre des formats bureautiques[4] continue avec la saga de normalisation ISO de OpenXML (dont j'avoue avoir peu parlé ces temps-ci), je vous renvoie vers ces 2 articles sur linuxfr : 1 2 et un article intéressant Microsoft Office XML formats ? Defective by design;

Notes

[1] comme Firefox, Songbird

[2] plus d'infos sur Wikipedia EN ou sur la partie consacrée du site Groklaw

[3] en tout cas, déjà une bonne nouvelle : "l'action SCO côtée au NASDAQ (SCOX) a chûté de 71.79% à 0,44$ aujourd'hui 13 août (sa cotation suit d'ailleurs une courbe descendante depuis plusieurs années)", je pense qu'il ne devrait plus rester grand chose de cette société dans quelques mois

[4] dont j'ai déjà parlé ici ou

dimanche, juillet 8 2007

chiffrement de disque dur... la suite

Je vous parlais l'autre jour de la sécurité qu'apporte un chiffrement complet de disque dur. Mais malheureusement, actuellement, sous Linux, vous êtes obligé de garder une partie non chiffrée qui est /boot, et l'intégrité de celle-ci devient essentielle pour assurer la sécurité de l'ensemble des données. On trouve justement sur ce billet un rapide howto sur les modifications à faire sur votre système Debian pour le faire booter sur un cdrom contenant le kernel et tout ce qui va bien tiré de /boot.

non testé

samedi, juin 9 2007

sécurité informatique

Une série de billets (datant de fin 2006 mais bien évidemment toujours d'actualité) de Russell Cooker concernant la sécurité informatique (des données surtout) en environnement professionnel (les commentaires sont à lire également) :

les commentaires m'ont renvoyé vers des sites comme :

Le principe du chiffrement de disque dur est aujourd'hui un moyen simple et efficace de protéger des données pouvant être volées (sur des ordinateurs portables bien sûr mais également sur des postes fixes). Heureusement aujourd'hui les plus grandes distributions Linux le supportent nativement, et c'est bien sûr le cas de Debian. Si vous devez donc en installer une, je vous conseille d'activer le chiffrement du disque dur. C'est ce que j'ai fait pour mon portable en suivant le petit guide disponible sur le blog de Uwe Hermann.

samedi, mai 26 2007

mise à jour OpenBSD

J'avais pris un peu de retard sur ma version d'OpenBSD donc j'ai rattrapé celui-ci ces derniers jours :

mardi, mai 15 2007

des nouvelles de Microsoft et Windows

c'est toujours aussi drôle les billets sur Microsoft/Windows, il faut que je m'y mette plus régulièrement.

ps : j'ai oublié Selon Microsoft, les logiciels libres utilisent 235 de ses brevets. (mais SCO a également dit ça... ;-)

vendredi, mai 4 2007

de la pertinence de l'industrie de la sécurité informatique

Bruce Schneier a publié un billet intéressant à propos de l'industrie de la sécurité informatique. Il suit une interview qu'il a donné et qui a provoqué quelques remous, nécessitant donc quelques compléments d'explication.

Je ne vais pas détailler le contenu du billet[1] mais juste en faire une petite citation :

The primary reason the IT security industry exists is because IT products and services aren't naturally secure. If computers were already secure against viruses, there wouldn't be any need for antivirus products. If bad network traffic couldn't be used to attack computers, no one would bother buying a firewall. If there were no more buffer overflows, no one would have to buy products to protect against their effects. If the IT products we purchased were secure out of the box, we wouldn't have to spend billions every year making them secure.

dont une traduction approximative serait

La raison principale de l'existence de l'industrie de la sécurité informatique est que les produits et services informatiques ne sont pas naturellement sûrs. Si les ordinateurs étaient protégés des virus, il n'y aurait pas besoin de produits antivirus. Si le mauvais trafic réseau ne pouvait être utilisé pour attaquer les ordinateurs, personne ne s'inquièterait d'acheter un pare-feu. Si il n'y avait plus de débordement de tampon, personne n'aurait besoin d'acheter des produits pour se protéger contre leurs effets. Si les produits informatiques que nous achetons étaient sûrs par défaut, nous n'aurions pas besoin de dépenser des milliards chaque année pour les rendre plus sûrs.

C'est marrant parce que c'est exactement la théorie que je défend avec les utilisateurs de Windows quand ils me parlent d'antivirus, d'antispyware, de parefeu, etc. et qu'ils me soutiennent qu'ils sont absolument nécessaires...
Bien entendu, je leur dit qu'ils n'ont qu'à passer sous Linux ;-)

Notes

[1] je vous laisse le lire, ça vous permet de réviser votre anglais en plus... ;-)

mardi, décembre 19 2006

Firefox^WIceweasel 2 est sorti...

Comme vous le savez sûrement[1] Mozilla Firefox 2.0 est sorti. Je vous passe la liste des nouveautés, vous renvoyant plutôt vers la page officielle, néanmoins en voici quelques-unes que j'ai remarqué plus particulièrement :

  • Firefox possède maintenant un restaurateur de session. Quand vous fermez celui-ci avec des onglets ouverts, il vous les rouvrira au prochain lancement (paramétrable dans les préférences) :
  • la gestion des flux RSS est améliorée puisque vous pouvez avoir un aperçu avant de l'insérer dans le gestionnaire interne de Firefox ou l'envoyer vers une application sur votre ordinateur ou même un service en ligne ;
  • Firefox possède maintenant un détecteur de phishing ;
  • la possibilité d'annuler la la fermeture d'un onglet (bouton droit sur un onglet) est une fonctionnalité très intéressante.

Plus d'infos sur les choix faits sur l'ergonomie des onglets

J'en ai profité pour faire le tour du site dédié aux extensions et thèmes des produits Mozilla pour découvrir les dernières (extensions) indispensables, dont beaucoup liées à la sécurité ou la protection de la vie privée ('privacy'), en voici quelques unes :

  • CookieSafe est l'extension indispendable pour gérer les cookies sous Firefox, offrant (enfin !) une ergonomie comparable à celle de Mozilla Suite/Seamonkey ;
  • NoScript vous offre une protection accrue en désactivant par défaut Javascript et vous permettant de l'activer que pour certains domaines de confiance ;
  • Flashblock pour désactiver les animations flash qui polluent les pages web (pubs principalement, entêtes...) et les réactiver ponctuellement ;
  • SafeHistory et SafeCache pour des protections supplémentaires quand vous surfez ;
  • CFG.Search est l'extension indispensable si vous utilisez Gmail ou tout autre service Google mais que vous ne voulez pas laisser des cookies à chaque recherche... je ne l'ai pas encore testée, mais elle semble très intéressante ;
  • Foxtor pour facilement basculer entre utilisation de Tor ou pas ;
  • Stealther pour temporairement désactiver TOUT (cache, historique, cookies, referer...) et Distrust pour la même chose ;
  • et bien sûr l'extension pour Beagle.

Sinon, à côté de ça, sachez que sur Debian (et donc potentiellement toutes les dérivées, telle Ubuntu) Firefox, Thunderbird et Mozilla Suite/Seamonkey ont été remplacées par respectivement IceWeasel, IceDove et IceApe. Sans entrer dans les détails et encore moins sur la polémique que l'on a vu fleurir sur les blogs des divers "camps", sachez que ces "forks" sont dûs à des problèmes de copyright de la Fondation Mozilla sur ses produits. Ces copyrights interdisent de distribuer ces logiciels avec leur nom et les icônes associés si le code source a été modifié... ce qui est une hérésie du point de vue Linux et open source (à quoi sert le code source si on ne peut le modifier ?) et une impossibilité pour Debian (qui corrige les failles de sécurité pendant toute la durée de vie de sa branche stable, celle-ci étant énormément plus longue que le support offert par la MoFo/MoCo[2]). Je vous encourage à parcourir les sites de news et les blogs pour découvrir plus en détail cette affaire si elle vous intéresse, je pense que vous trouverez assez facilement...

[Vous pouvez trouver plus d'infos par ex sur cette page qui semble être celle du mainteneur Debian des paquets Mozilla/GnuZilla/IceLizard]

Notes

[1] vu le retard que je prends au niveau des billets de ce blog... le manque d'internet à la maison n'aidant pas...

[2] Mozilla Foundation/Mozilla Corporation

dimanche, novembre 5 2006

patcher OpenBSD

À la suite de ce billet, voyons maintenant comment patcher notre serveur OpenBSD de façon plus simple, en procédant patch par patch, une fois qu'on a récupéré les sources complètes.

Sur la page d'errata de notre version (3.9 en l'occurence), on trouve les patchs par alerte de sécurité.

Prenons comme l'exemple, la dernière concernant OpenSSH, datée du 12 octobre[1].

On récupère le patch concerné par exemple dans /tmp

# cd /tmp;
# ftp ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.9/common/015_ssh.patch

on lit l'entête du fichier pour connaître les instructions de déploiement du patch, et on les suit

# more /tmp/015_ssh.patch

on applique le patch

# cd /usr/src
# patch -p0 < /tmp/015_ssh.patch

on recompile et on installe

# cd usr.bin/ssh
# make obj
# make cleandir
# make
# make install

et, même si ce n'est pas indiqué, on arrête et redémarre le service ssh

# ps ax | grep sshd
 <pid> ??  Is      0:00.07 /usr/sbin/sshd
# kill <pid>; /usr/sbin/sshd

Notes

[1] tiens... anniversaire de la découverte de l'Amérique par Christophe Colomb en 1492 (cf Wikipedia)

lundi, septembre 25 2006

un peu de tout (ça faisait longtemps...)

Une série de news et de liens intéressants recoltés sur le web... (sans classement ni hiérarchie)

Notes

[1] Tor est un logiciel permettant de se promener anonymement sur internet

[2] la MPAA est l'équivalent de la SACEM pour le cinéma américain

mardi, septembre 5 2006

RFID : les passeports électroniques ne sont pas sécurisés

Vu sur vnunet.fr

mercredi, juillet 12 2006

test de pénétration informatique

Une page avec une représentation du déroulement d'un test de pénétration informatique, depuis la recherche de vulnérabilité ou le scan de ports, jusqu'au cracking de password. Tout cela représenté sous forme d'un graphique avec des liens permettant d'obtenir des détails. Sympa.

[via LiveMarks]

mardi, juin 6 2006

mise à jour de sécurité pour Dotclear

La version 1.2.5 de Dotclear corrigeant une faille de sécurité vient de sortir. Quelqu'un ayant déjà publié un exploit, il est fortement[1] conseillé de mettre à jour. Vous pouvez télécharger la nouvelle version sur le site ou regardez sur le forum pour plus de détails.[2]

[via neokraft]

Notes

[1] même si les conditions pour pouvoir exploiter la faille sont assez particulières

[2] il n'est en effet pas nécessaire de tout réinstaller si vous êtes déjà en version 1.2.4, seuls quelques fichiers nécessitant une mise à jour

lundi, mai 22 2006

règles PF OpenBSD pour le Freeplayer

Si vous êtes vous aussi un abonné Free, vous connaissez probablement déjà le Freeplayer[1], mais savez-vous configurer votre firewall OpenBSD (placé bien évidemment derrière la Freebox) pour laisser passer le flux nécessaire... hum, peut-être pas, alors voici les règles de base nécessaires :

on définit d'abord quelques macros dans /etc/pf.conf

net_if = "xl0"         # nom de l'interface connectée à internet via la Freebox
lan_if = "xl1"         # nom de l'interface connectée à votre LAN
free_net_host = 212.27.38.253   # c'est l'adresse de mafreebox.freebox.fr
free_lan_host = xxx.xxx.xxx.xxx # l'adresse IP du poste lançant VLC sur le réseau local
free_dst_tcp_ports = "{ 8080 }"
free_dst_udp_ports = "{ 1234 }"

on ajoute une redirection de ports

rdr on $net_if proto tcp from $free_net_host to ($net_if) port $free_dst_tcp_ports -> $free_lan_host

puis les règles de filtrage

pass in quick on $net_if proto tcp from $free_net_host to $free_lan_host port $free_dst_tcp_ports flags S/SA keep state
pass out quick on $lan_if proto tcp from $free_net_host to $free_lan_host port $free_dst_tcp_ports flags S/SA keep state

Ces règles sont bien évidemment à adapter à votre configuration, et à votre politique de sécurité[2], mais dans l'idée c'est ça !

Notes

[1] la plus grande source d'informations se trouve sur freeplayer.org

[2] par ex. vous pouvez avoir un blocage des flux sortants, et ils vous faudra donc des règles supplémentaires pour laisser passer les flux UDP vers le port 1234

mardi, mai 16 2006

Punishment Park, de Peter Watkins

Punishment Park Ça y est j'ai enfin vu complètement Punishment Park, de Peter Watkins.

En 1950, le McCarran Internal Security Act est promulgué permettant au Président des États-Unis de suspendre le système judiciaire normal pour arrêter et emprisonner toutes les personnes susceptibles d'être un risque pour l'État.
Ce documentaire fiction de 1971 nous retrace donc l'histoire de quelques jeunes "rebelles" qui, pour leurs opinions politiques (contre la guerre du Vietnam, pour l'émancipation des femmes ou des noirs) ou leur refus de marcher droit (refus d'aller à l'armée), se retrouvent dans un camp appelé "Punishment Park" au milieu du désert, pendant 4 jours, avec comme seul objectif de marcher 80kms et atteindre un drapeau américain, avec les policiers et l'armée à leur trousse pour les en empêcher.
Je vous laisse imaginer la suite, et surtout vous conseille fortement de le voir.

Quelques liens (comme d'habitude) pour en savoir plus :

Ah, j'étais tombé sur ce film il y a déjà plusieurs années par hasard sur Arte à une heure tardive, alors encore merci Arte !

mercredi, mai 3 2006

news sécurité

Quelques news concernant la sécurité informatique :

  • c'est la valse des vulnérabilités du mois d'avril pour IE : 4 avril, 11 avril, 25 avril, 27 avril et encore 27 avril, ce qui rappelle à Ed Skoudis la situation dans les années 90 où Sendmail avait son "bug du mois" et propose de créer maintenant un club "bug de la semaine" pour IE :-);
  • une nouvelle méthode pour tester les navigateurs internet : générer du code aléatoirement (code "mutilé"), résultat : de nombreux crashs et des bugs de sécurité trouvés;
  • The Register nous explique qu'un portable volé peut ouvrir les portes du réseau d'entreprise. Il existe divers moyens de récupérer le mot de passe BIOS Cisco. En résumé, rien ne sert de super-protéger les serveurs internet de l'entreprise, si les portables se promènent avec des informations aussi sensibles et non protégées...;
  • dans la série "on vous a dit qu'il y aurait ça dans Vista, mais en fait...", le pare-feu (firewall) de la prochaine version de Windows : Vista, a été annoncé ayant par défaut un blocage des flux sortants, mais finalement rien n'est moins sûr;
  • Bruce Schneier nous rapporte l'histoire de ce chef de la Mafia sicilienne qui protégait ses données sensibles avec un mode de chiffrement vieux de 2000 ans appelé le code César, je vous laisse voir sa puissance...;
  • il nous envoie également vers plusieurs articles très intéressants sur la "sécurité" incluse dans Vista, appelée User Account Protection (UAP). Ces articles très intéressants (marrants ?) nous racontent que le nouveau leimotiv de Microsoft est de balancer des avertissements de sécurité... hum... les utilisateurs ne les lisent déjà pas beaucoup maintenant, que feront-ils si on en abuse ?...;
  • je vous ai parlé dans un billet précédent de la sécurité des mots de passe, si vous êtes intéressé par le sujet, je vous envoie vers cet essai [via];
  • un article qui conclut que l'intégration complète de Internet Explorer avec le système d'exploitation Windows sous-jacent est une des pires erreurs (si ce n'est la pire...) faite par Microsoft. Il est intéressant de constater qu'il a fallu attendre 2006 pour qu'un magazine grand public en arrive à cette conclusion et important de faire remarquer que Microsoft reste sur la même logique pour Windows Vista et IE7... [via];
  • un post un peu plus vieux rappelant que protéger son portable avec un cadenas Kensington n'apporte pas vraiment de garantie.

lundi, mai 1 2006

mise à jour de OpenBSD 3.8 vers 3.9

Aujourd'hui, c'est le 1er mai et c'est non seulement la fête du travail[1] mais également le jour de sortie de la nouvelle version de OpenBSD en l'occurence la 3.9.

J'ai donc mis à jour mon routeur/firewall de 3.8 vers 3.9. Je me suis aidé de la procédure d'upgrade.
Quelques détails :

  • j'ai utilisé (comme je l'avais fait pour l'installation de 3.8) une installation par réseau avec un serveur dhcp et tftp
  • l'installation s'est ensuite faite tranquillement en répondant aux quelques questions dont les réponses sont assez évidentes
  • il faut ensuite télécharger le fichier etc39.tgz et faire la mise à jour des fichiers de configuration en faisant attention de ne pas perdre ses configurations persos, comme c'est indiqué sur la procédure d'upgrade.

Le tout m'a pris à peu près une heure... magnifique, non ?! :) Il ne me restera plus qu'à réinstaller mes packages[2], ceux-ci n'étant pas encore tous dispo sur les FTP... c'est ça d'être trop à la pointe :)

ps : la page d'errata de OpenBSD 3.9 semble indiqué que cette version est sujette au même bug de sécurité de sendmail que la version précédente, donc si vous l'utilisez n'oubliez pas d'appliquer le patch.

Notes

[1] les manifestations ont dû pleuvoir cette année...

[2] mon package en fait : ddclient

mardi, avril 11 2006

sécurité informatique

Quelques liens concernant la sécurité informatique :

[via standblog et Somewhere out there! et Linux y libertad]

Notes

[1] je vais dire une connerie, mais... empêcher que les problèmes se produisent ça ne serait pas mieux ?!... ça y est, j'ai dit une connerie !-)

dimanche, avril 2 2006

actu informatique

  • tout d'abord : alors que OpenBSD 3.9 est sur le point de sortir, le projet souffre de graves problèmes financiers qui compromette sa viabilité. Ce projet est largement financé par la vente de CD et de T-shirts, malheureusement, augmentation de la bande passante aidant, très peu de personnes achètent désormais les CD utilisant plutôt les serveurs FTP disponibles.
    Il faut pourtant comprendre que l'argent sert non seulement à financer le développement de OpenBSD mais aussi celui de OpenSSH que l'on retrouve sur tous les Unix (dont ceux d'IBM, Sun, SCO), Linux, *BSD ainsi qu'un grand nombre de produits commerciaux (comme les routeurs Cisco et les nombreuses appliances de sécurité que l'on retrouve partout), il est bien regrettable qu'aucune des sociétés profitant du code développé par OpenBSD ne ressente le besoin/l'envie de donner un peu d'argent. Retrouvez l'avis de Theo De Raadt, le leader du projet, sur cette interview. (lisez également cet article)
    Alors, si vous aussi, vous utilisez OpenBSD et/ou OpenSSH et que vous avez envie de les aider, faites un don et/ou achetez des CD/t-shirts/posters (perso, j'ai acheté un t-shirt dont j'avais envie depuis quelque temps déjà... c'était la bonne occasion);
  • avant même la généralisation des étiquettes RFID, la possibilité de virus est de plus en plus probable, un "proof of concept" a déjà été fait, cf securityfocus et le blog de Secure Labs;
  • Amazon semble vouloit diversifier son offre et se lancer dans le stockage en ligne;
  • Sun continue à faire le jeu de l'open source[3] et annonce l'ouverture d'un site dédié à son processeur UltraSPARC (basé sur la technologie SPARC) dont la licence vient de basculer vers la GPL. Les premières spécifications disponibles sont celles de l'UltraSPARC T1, le dernier processeur Sun en date, multi-core et multi-threadé, et à faible consommation électrique. Il semblerait également que, suite à la proposition de Sun, IBM ait accepté d'offrir l'OS Solaris sur ses BladeCenter. (cf sur blog.sun.com). [via linuxfr.org]

Notes

[1] sachant qu'il a déjà été repoussé une ou deux fois déjà, et qu'une partie des fonctionnalités qui devaient y être incluses on été retirées, que va-t-il lui rester ?

[2] là, j'aurais aimé faire pointer sur un article très intéressant qui expliquait pourquoi, mais je ne l'ai pas retrouvé... vous pouvez toujours lire ceci

[3] probablement pas de gaité de coeur, mais pour donner un nouveau souffle à son business

vendredi, février 3 2006

le passeport biométrique : la sécurité ?

Un article de The Register nous explique que le passeport biométrique et RFID danois a déjà été craqué. En effet une entreprise spécialiste de la sécurité des cartes a réussi a pénétré le système inclus dans la carte et à en extraire des données comme la data de naissance, la photographie et l'empreinte digitale. Les passeports danois sont protégés par de la cryptographie malheureusement il semblerait que l'implémentation souffre de plusieurs failles de sécurité.
Vous trouverez plus d'informations sur le site de Riscure.

En tout cas, cela fait pas mal réfléchir au moment où les passeports biométriques se répandent dans la plupart des pays occidentaux (souvent sur pression des États-Unis d'ailleurs...) et que l'on nous les vend comme un moyen de garantir notre sécurité face au terrorisme.

[via]

- page 1 de 2