Sécurité

Ce qui touche à l'intégrité des données.

Fil des billets - Fil des commentaires

mardi, mai 23 2006

GreyListing, une méthode alternative de lutte contre le pourriel (spam)

Je teste depuis quelques jours une nouvelle méthode de lutte contre le pourriel [FR]. Et je dois dire qu'elle est diablement efficace (95 pourcents de pourriels en moins, quasiment aucun virus), elle permet également de décharger grandement votre système anti-pourriel et anti-viral, généralement très gros consommateurs en ressources, en bloquant une grande partie du pourriel à la source, avant traitement.

Cette méthode, c'est le GreyListing [FR]. Elle consiste tout simplement à signaler un problème temporaire au serveur en face lorsque ce serveur essaie de vous envoyer un courriel, quel qu'il soit, pour la première fois depuis un certain temps. L'occurence cherchée est plus précisemment l'adresse IP du serveur expéditeur, le destinataire du courriel, et l'expéditeur. Un fois ce délai préalable écoulé, votre serveur accepte sans délai les nouveaux courriels correspondant à un triplet connu. Au dela d'un délai, quelques jours ou quelques heures, cet identifiant est oublié, et un nouvel envoi doit repasser toute la procédure. Le protocole SMTP [FR] étant par conception sûr, un serveur réel réexpédiera ses missives jusqu'à bonne livraison ou dépassement d'un délai généralement configuré à plusieurs jours (5 en moyenne), ce qui permet de ne pas perdre de courriels.

Plus d'informations, les avantages et inconvénients dans la suite.

Lire la suite...

mercredi, août 11 2004

Du nouveau chez GrSecurity

La version pour le noyau Linux 2.6.7 de GrSecurity [EN] est enfin sorti (et en place chez moi depuis quelques minutes soit dit en passant). De plus, le développeur s'est bien remis de ses déboires financiers, et le site Web officiel a adopté un style très business, très pro, je pense que celà peut donner de la crédibilité au projet (qui l'est déjà très quant au professionnalisme du code et aux fonctionnalités proposées), s'il en avait besoin. A suivre, bien sûr, et à installer en production, ne serait-ce que pour les fonctionnalité d'amélioration de l'entropie de la couche TCP/IP et pour le durcissement de l'obtention d'informations système (processus, modules noyau, informations relatives à la couche réseau, audit des évènement divers, durcissement des prisons de type chroot, etc...). Je vous invite à vous référer à mes billets précédant sur GrSecurity pour plus d'info, grâce à la petite boîte recherche de ce blog.

lundi, juillet 5 2004

Puisque qu'on vous répète qu'Internet Explorer est dangereux pour votre machine / entreprise / vie privée / ...

Suite à la faille de ce billet [FR] d'il y a seulement quelques jours, MicroSoft© a commis une rustine, se contentant de désactiver complètement la fonctionnalité ADODB.Stream qui permettait d'écrire des fichiers sur le disque plutôt que de corriger directement le problème des frames. Et bien il n'a pas fallu longtemps pour que des pirates réutilise la faille des frames dont l'origine n'est pas vérifiée avec un autre composant, tant qu'à faire celui qui permet d'exécuter des fichiers, tout en utilisant le système des frames, tel qu'expliqué dans ce message [EN].

Par ailleurs, voilà un site [EN] recensant les vulnérabilités non corrigées d'IE™, la liste est impressionnante, et surtout fort instructive quant à l'incapacité de MicroSoft© de corriger celles ci (regardez les dates de découverte!).

Pour la sécurité de vos ordinateurs ainsi que ceux auquels ces machines ont accès, si vous êtes sous Windows, changez de navigateur, ainsi que tous les logiciels se basant sur ce moteur tout pourri, ayant accès à des fonctionnalité trop importantes du système car trop imbriqué, MSHTML. Abandonnez donc IE™, et passez enfin à un navigateur de moins de 6 ans, moderne respectueux des recommandations, et surtout sécurisé (bref tout sauf Internet Explorer™).

Pour rappel, quelques logiciels que j'utilise quand je suis sous Windows©, libres, modernes, sûrs, et gratuits, mais libre à vous d'utiliser n'importe quel autre navigateur datant au moins du 21ième siècle de préférence :

  • FireFox [EN], un navigateur très complet (niveau fonctionnalité, avec ses extensions, il est difficilement battable), léger, et agréable à utiliser, libre et gratuit.
  • ThunderBird [EN], un MTA (client de courrier électronique en d'autres termes), libre et gratuit, parfaitement adapté à l'entreprise comme aux particuliers, avec des extensions intéressantes comme enigmail [EN] pour les signature et le chiffrement GPG.

Vu dans ce journal sur LinuxFR [FR].

jeudi, juillet 1 2004

Le gouvernement Américain recommande de ne plus utiliser Internet Explorer

Si si, c'est dans cette alerte de sécurité [EN] de l'US-CERT. A noter que tous les logiciels se basant sur les bibliothèques d'Internet Explorer sont bien entendu affectés (OutLook, OutLook Express, les surcouches IE, ...). Une bonne occasion de plus de migrer vers FireFox [EN].

Source : DLFP [FR].

mercredi, mai 5 2004

Sasser d'appliquer les patchs Microsoft

Ce lundi, j'ai été dans mon auto-école (je passe le permis moto avec des collègues, et je dois repasser le code, déjà six ans de permis malheureusement), et en arrivant avec un collègue, un moniteur de nos connaissances nous a interpellé en tant qu'informaticiens, une machine utilisée uniquement pour relever des mail était atteinte par le tristement célèbre Sasser, un ver Internet se propageant sur les machines sous Microsoft™ Windows© 2000, XP, et 2003 (tiens donc... Comme par hasard). Et au lieu de faire du code, nous avons passé deux longues heures à dévirusser les 3 machines de l'auto-école. Cela a été fastidieux, mais nous avons réussi, grâce à la méthodologie publiée par F-Secure (j'ai peu de sympathie envers les éditeurs d'anti-virus pour des raisons diverses). La procédure qui a marché consiste à faire Démarrer -> Exécuter -> shutdown -a si une fenêtre s'ouvre et averti de l'extinction prochaine de la machine (vous disposez alors de 50 secondes pour agir). Puis il faut installer la rustine^W^Wle correctif de chez MiniMou (traduction officielle en français siouplait), disponible sur cette horrible mais utile page [EN] (choisissez votre langue, ainsi que votre système d'exploitation), page disponible uniquement sous IE©. Puis, il faut utiliser un outil de désinfection disponible [EN] (adapté aux variantes A, B, et C de Sasser).

Une belle saloperie ce ver, et dire que tout cela peut être éviter extrêmement facilement, tout en économisant de l'argent, restant dans la légalité, et en utilisant du code non propriétaire en passant aux logiciels libres (des liens en pagaille dans la section logiciels libres de mon blog [FR])...

lundi, avril 26 2004

GrSecurity

Suite à mon billet d'hier sur la sécurisation de mon noyau, je me suis dit qu'expliquer un peu ce qu'est GrSecurity (GrSec pour les intimes) ne serait pas forcément néfaste pour les lecteurs se demandant ce que c'est. C'est un patch permettant d'augmenter la sécurité d'un noyau Linux de manière significative. Et pourquoi en aurait-on besoin, les systèmes GNU/Linux ne sont-ils pas déjà sécurisés? Oui, ils le sont, mais de base un utilisateur non privilégié mais possédant un compte sur une machine peut accumuler une certaine somme d'informations pouvant aider à compromettre ce système. Ce patch permet donc de rendre plus difficile cette récolte d'informations, effectuée par un éventuel pirate cherchant la compromission de votre machine (ainsi, il ne pourra pas obtenir la liste des processus de votre machine, les adresses IP et interfaces de votre machine, etc...). L'ensemble de possibilités offertes par celui-ci est loin d'être négligeable, donc il serait dommage de s'en priver, surtout sur une machine faisant office de serveur ou sur laquelle différentes personnes sont potentiellement amenées à s'y connecter, ou bien en ont au moins la possibilité. Mais il n'y a pas que des restrictions pour l'obtention d'informations, il y a aussi des correctifs divers, tels l'amélioration de l'entropie lors du choix des ports TCP sources (cf faille récente dans le protocole TCP, rendue plus difficile par cette rustine), la modification du protocole ICMP pour rendre plus ardue la détection des systèmes d'exploitation selon leur couche TCP/IP, une protection accrue des espaces d'adressage, une possibilité de logguer différents évènements systèmes (exécution d'une application, création d'un répertoire, ...), la gestion d'ACL système, ou encore sécurisation des prisons systèmes (chroot). Une fois le noyau compilé, on peut modifier les différents comportements via sysctl, ou le système de fichier /proc.

Vous trouverez plus d'information sur l'application du patch et sa configuration dans cet excellent article [FR] (un peu de Google Bombing ne fait pas de mal ;) ).

Pour récupérer automatiquement le patch GrSecurity Debian [EN] (la récente version 2 est vieille de seulement 10 jours à l'heure où j'écris ce billet) et l'outil associé de gestion des listes d'accès (gradm [EN]), si vous disposez d'une Debian et que vous êtes disposé à recompiler Linux, et que vous utilisiez un noyau 2.4 ou 2.6 vous pouvez utiliser :

14:42 xarli@iguzki ~% sudo apt-get install kernel-patch-grsecurity2 gradm

Les sources se trouvent alors sous forme d'archives pour les différents noyaux concernés dans /usr/src/kernel-patches

Site officiel de GrSec [EN]

Site officiel de Pax [EN], composant inclu dans GrSec

Autres rustines de sécurité pour le noyau Linux [EN], issues du projet OpenWall et utiles si vous avez un noyau non concerné par GrSec (2.0 ou 2.2 par exemple).

<pub>Mon mémoire de fin d'étude sur la sécurisation des systèmes GNU/Linux [FR]</pub>

vendredi, avril 23 2004

La cryptographie expliquée

Voilà une documentation sur l'art et l'histoire (antiquité, deux guerres mondiales, temps contemporain) du chiffrement et de la stéganographie très bien faite, permettant une bonne approche tant pour les néophytes que pour les gens ayant déjà une petite expérience. Elle s'appelle judicieusement "la cryptographie expliquée" [FR]. A mettre en parallèle avec cet applet [EN] de chiffrement AES [FR] (chiffrement symétrique à secret partagé donc).

Pour rappel, seul le terme "chiffrer" correspond à l'action de chiffrer, "crypter" est un anglicisme, et "encrypter" carrément un néologisme. Par contre l'opération de récupération des données se dit "décrypter" si on ne connait pas l'algorithme ou la clé, et "déchiffrer" si on possède tout les éléments qui vont permettre celle-ci.

mardi, avril 20 2004

Vulnérabilité dans l'implémentation de TCP + faille dans le noyau Linux

Gulp... Le protocole TCP [EN] est l'un des fondements des réseaux actuels. Datant de queqlues dizaines d'années maintenant, il est robuste et sert de base à la plupart des communications numériques.

Une alerte de sécurité [EN] vient de paraitre. Ca fait froid dans le dos, cela permet de créer un DOS [FR] sur des sessions TCP, et la possibilité d'injecter des données arbitraires dans une connexion TCP n'est pas exclue. Les principaux protocoles applicatifs concernés sont le BGP, et dans une moindre mesure DNS et SSL.

La faille vient de la possibilité de forger des packets TCP de fin de connexion (SYN+RST), possibilité connue depuis très longtemps, mais rendu très ardue par les numéros de séquence TCP, donnant une chance sur 2 à la puissance 32 de trouver le bon numéro. Mais le fait que la machine de destination d'un paquet attende non pas un numéro précis mais un numéro compris entre deux limites augmente considérablement les chance de trouver un numéro acceptable par la machine de destination.

Pourquoi cette faille d'implémentation? Parce que quand TCP a été pensé, les réseaux n'avaient pas de gros besoins sécuritaires.

Toutefois, il faut relativiser, les conditions à remplir sont nombreuses pour pouvoir utiliser cette vulnérabilité pour une attaque. Mais les connexion TCP persistantes sont potentiellement fortement vulnérables, et si BGP tombe sur tous les routeurs de bordure de votre FAI par exemple, vous perdez Internet.

De plus, une faille locale de sécurité permettant d'obtenir des droits super utilisateur par une excalade des privilège vient d'être publiée sur le noyau Linux. Plus de détail sur DLFP [FR]. Solution : passer en 2.4.26 ou en 2.6.5 dans la mesure du possible, ils ne sont pas affectés. Du coup, les machines Debian sont partiellement inaccessibles, le temps de patcher les noyaux (chat échaudé craint l'eau froide?).

Soirée de merde, je vous le dis.

vendredi, janvier 9 2004

2003, Gnu/Linux, et la sécurité

Un intéressant article [EN] sur le site Net-Security [EN] fait un point sur l'année passée, et la sécurité des systèmes Gnu/Linux. C'est un point de vue intéressant, bien qu'un peu orienté, ce qui est un peu dommage.

vendredi, décembre 19 2003

Le ver Sapphire/Slammer

Le ver Slammer (aussi appellé Sapphire) a commencé à se répandre le 25 janvier 2003. Il a causé énormément de dégats, et est même le virus le plus efficace jamais créé à ce jour (mais gageons que d'aucuns arriverons à le surpasser, malheureusement). Voici un article [EN] très intéressant sur son mode de diffusion et comment une telle chose a pu se produire, juste par l'inconscience des administrateurs systèmes possesseurs d'un serveur Windows équipé de SQL Server et non protégé. Son mode de propagation en mode non connecté (par UDP) lui a permis de toucher des machines non-firewallée et non routable par exemple, ce qui justifie le petit bout de méthodologie que je donne <réclame>dans mon document sur la sécurité des systèmes Gnu/Linux, en étudiant vraiment tous les risques relatifs à un service bien particulier</réclame>.