Fiscalement vôtre ....

Aller au contenu | Aller au menu | Aller à la recherche

Sécurité

Fil des billets

jeudi, mars 5 2009

Le coup du firewall - VPN - Routeur

J'étais en pleine interrogation dernièrement.

Je devais installer un firewall qui ferait aussi VPN pour une PME. Carte blanche ...

J'avais essayé des distributions Linux spécialisées que je connaissais mais elles calaient toutes sur les cartes réseaux D-Link que je leur proposais (je dois encore vérifier le modèle). Cela m'a un peu refroidi avec les distributions linux orienté firewall vu que l'installation se passait bien mais je ne pouvais pas faire les mises à jour de sécurité sous le risque de voir le driver de la carte D-link concerné disparaître sans que je puisse faire un modprobe au redémarrage ...

Vu que cela n'était pas super pressé, j'ai préféré me concentrer sur autre chose en attendant.

Je me remet un peu à l'ouvrage et je suis donc face à diverses solutions :

  • Le système CISCO bête et méchant (méchant prix aussi et pour les accès multi-plateforme, il y a le Cisco Systems VPN Client) de type "ASA 5505" car le "PIX 501" n'est plus censé être vendu (End-of-Sale et End-of-Life bientôt)
  • Le système PC de récupération qui n'est pas cher mais prend aussi de la place et consomme pour des composants inutiles dans le cas de figure
  • le système appliance genre "Linksys RV0042" moins cher mais pas plus Linux-friendly à la base car comme toujours basé pour des clients Windows donc non testé pour interopérabilité
  • le système appliance monté maison style Soekris
  • le système routeur "flashé" Linux de type Linksys WRT54GL

Les besoins sont assez limités :

  • Accès à Internet à 5-6 personnes - Web Proxy est un atout
  • VPN pour un remote accès par 1-2 personnes en même temps (OpenVPN ou autre) sous différents systèmes d'exploitation
  • Firewall de type SPI
  • Client de synchronisation NTP
  • Client DynDNS vu que la ligne aura une IP dynamique

Personnellement, je me pencherais bien sur une appliance de type Soekris 4801 avec une distribution m0n0wall ou pfSense avant tout pour le gain de consommation électriques qu'elles pourraient apporter par rapport aux PC "traditionnels". Le coût estimé est de 190 EUR HTVA pour le Soekris, une carte mémoire Compact Flash et quelques heures pour la confirguration ...

Si vous avez d'autres idées/conseils/...

mercredi, septembre 24 2008

Hack.lu 2008

Bonjour à tous,


Hack.lu 2008 arrive à grands pas.


Vous trouverez ci-dessous la liste des conférences et des présentations qui auront lieu lors de l'édition de cette année :

  • Saumil Shah - Browser Exploits - A new model for Browser security
  • Roelof Temmingh - Investigating individuals and groups using open source intelligence
  • Paul Craig - Hacking Internet Kiosks
  • Adrian Pastor - Cracking into embedded devices and beyond!
  • Julien Lenoir, Christophe Devaux - Browsers Rootkits
  • F.W.J. van Geelkerken - Egregious use of TOR servers
  • Jean-Baptiste Bédrune - Analysis of an undocumented network protocol
  • Damien Aumaitre - A little journey inside Windows memory
  • Philippe Teuwen - How to make smartcards resistant to hackers' lightsabers?
  • Patrick Hof, Jens Liebchen - Bridging the Gap between the Enterprise and You - or - Who's the JBoss now?
  • Ezequiel David Gutesman - gFuzz: An Instrumented Web Application Fuzzing Environment
  • Frank Boldewin - Rustock.C - When a myth comes true
  • Joffrey Czarny - Go outside citrix context
  • The Grugq - How the Leopard Hides his Spots: OS X Anti-Forensic Techniques
  • Adam Laurie - RFIDIOTs!!! Practical RFID hacking (without soldering irons)
  • Sebastian Wilhelm Maier - "The end of the internet" aka "Self replicating malware on home routers"
  • Philippe Langlois - Immersed network discovery and attacks, specifics of telecom Core Network (CN SS7/SIGTRAN) insider attacks
  • Dumitru Codreanu - Server-side virus scanning
  • Mihai Chiriac - Anti-virus 2.0 - "Compilers in disguise"
  • Eric Michel Leblond, Vincent Deffontaines, Sebastien Tricaud - User Authentication at the Firewall level
  • Eric Filiol - Malware of the future: when mathematics works for the dark side

Pour plus de détails à propos des présentations, rendez-vous à l’adresse : http://wiki.hack.lu/index.php/Agend...


Il y aura également en parallèle à hack.lu un HackCamp/BarCamp où toute personne inscrite pourra participer et faire une démonstration, présentation, hack, … : http://wiki.hack.lu/index.php/Barca...


Consultez régulièrement le wiki afin de connaître les dernières mises à jour.

lundi, juin 16 2008

Carte d'identité électronique pas sûre

L’info est dans le Morgen de vendredi passé (13 juin 2008). Selon un rapport de la KU Leuven présenté à La Haye lors d’un congrès e-Identity, la carte d’identité électronique belge “n’est absolument pas sûre et son utilisation doit être déconseillée.Les chercheurs estiment qu’il faut arrêter d’utiliser la carte électronique et que le logiciel doit être redeveloppé.” Outre les problèmes liés à la puce, les scientifiques mettent également en garde contre les risques d'atteinte à la vie privée, de fraude et de chantage. En cause, le mécanisme de sécurité de la carte qui peut être facilement détourné et le fait qu’on puisse utiliser la carte sans installation ou mise en marche du logiciel reconnu par la Fedict.

mercredi, mai 14 2008

Faille SSL / SSH : regénération des clés

http://lists.debian.org/debian-security-announce/2008/msg00152.html

Lire la suite...

mercredi, mai 2 2007

09:F9:11:02:9D:74:E3:5B:D8:41:56:C5:63:56:88:C0

Je me devais de relayer la chaîne ;)

Ici, nulle chaîne de coeur, pas de petite brésilienne aveugle.

C'est juste pour montrer qu'il n'y a pas de secret inviolable et que la théorie de l'obscurantisme n'est jamais la meilleure.

Ces chiffres ne sont pas les chiffres du lotto.

Il s'agit d'un nombre exprimé en hexadécimal. Ce nombre est un nombre secret, ou plutôt qui était secret jusqu'il y a peu. C'est la clé servant à chiffrer la majorité des DVD Haute Résolution. Sans cette clé, impossible de lire un DVD.

Bien sûr, les grosses boîtes d'Hollywood espéraient bien garder cette clé secrète, mais voilà, dans un monde libre et connecté, rien ne peut rester longtemps secret.

Que vont-ils faire maintenant ?

  • Changer la clé ? Cela voudrait dire rappeler tous les appareils et changer tous les DVD.
  • Arrêter le méchant découvreur et le payer pour qu'il se taise ? Inutile, il y a déjà plus de 273.000 sites ou blog référant le code.
  • ...
Comme dirait une grande marque de café soluble : Open up !

dimanche, août 6 2006

Tor : Un système de connexion Internet anonyme

Définition du site Tor :

Tor est une panoplie d'outils pour un grand nombre d'organisations et de personnes qui veulent améliorer leur confidentialité et leur sécurité sur Internet. Utiliser Tor peut aider à rendre anonyme votre navigation et publication sur la toile, vos : messagerie instantanée, IRC, SSH et les autres applications utilisant le protocole TCP. Tor fournit aussi une plate forme sur laquelle les développeurs logiciels peuvent créer des nouvelles applications avec anonymat, sécurité et confidentialité intégrés.

Le but de Tor est de se protéger de l'analyse de trafic, une forme de surveillance des réseaux qui menace l'anonymat et la confidentialité des personnes, les activités et les rapports confidentiels commerciaux. Avec Tor, les communications rebondissent à travers un réseau de serveurs distribués (nœuds), appelés onion routers, qui vous protègent contre les sites web qui enregistrent les pages que vous visitez, contre les observateurs externes, et contre les onion routers eux-mêmes

La sécurité de Tor s'améliore à mesure que le nombre d'utilisateurs s'accroît et que plus de volontaires créent de serveurs. Veuillez prendre en compte le fait d'offrir de votre temps ou d'offrir votre bande-passante.

Et vraiment, cela fonctionne. Il suffit de coupler cela avec Privoxy pour éviter les possibilités d'être démasqué avec les requêtes DNS et vous naviguez anonymement sur Internet.

Bien sûr, le temps de réponse aux requêtes http est plus long car la demande passe par plusieurs machines différentes, donc, un temps de réponse ralentit mais rien de bien exagéré.

Quelques liens :

vendredi, juillet 7 2006

Capture the Flag @ Hack.lu

Salut à tous,

Cette année, la nouvelle édition du Hack.lu, LE rassemblement sécurité organisé au Grand Duché du Luxembourg se déroulera du 19 au 21 octobre 2006 à Luxembourg-Ville/Kirchberg. Pour cette nouvelle édition, j'espère rassembler une équipe pour participer au CTF.

Q : Qu'est ce que le CTF ?

R : C'est une joute informatique où plusieurs équipes s'opposent les unes contre les autres (pour le fun et la bonne humeur) afin d'obtenir un maximum de points en sécurisant un serveur et en attaquant celui des autres. L'équipe ayant le plus de points gagne ;) Simple non ?

Q : Oui mais je suis pas un cracker ...

R : Moi non plus, il faut juste être un hacker et savoir s'amuser. Personnellement, je ne vise pas la victoire mais l'enrichissement personnel par un peu d'étude préalable et passe un bon moment.

Ceux qui me connaisse ou qui désire passer un bon moment de hacking même entre débutants peuvent me contacter.

Sinon, vous pouvez toujours consulter le site de Hack.lu Section CTF

Vous pouvez créer également votre propre équipe mais premier inscrit, premier servi et les places ne sont pas illimitées.

samedi, novembre 19 2005

Loisirs contre sécurité

Bruce Scheier, dans un article publié dans Wired, nous dévoile que la société Blizzard installe un logiciel espion (spyware) qui vérifie toutes les 15 secondes que les joueurs de ses jeux en ligne (comme World of Warcraft) ne trichent pas et respectent sa licence d'utilisation. Mais le problème vient que ce logiciel récupère également des adresses de personnes en contact via messagerie instantanée (MSN pour pas le citer), ouvre un logiciel de messagerie, regarde les adresses dans le navigateur Internet, et vérifie en fait tous les programmes et les processus lancer. Dès lors, le respect de la vie privée n'est plus vraiment respectée vu que ce logiciel qui s'installe sans prévenir fait bien plus que vérifier ce que l'on pourrait "éventuellement" comprendre comme légitime.

Doit-on considérer que c'est le premier spyware "légal" par rapport à la licence ? Cela va-t-il créer un précédent juridique de l'autorisation de spyware pour la vérification de la bonne application d'une licence.

Une autre interrogation est l'affaire Sony. Sony, qui est entre-autre producteur CD, a trouvé bon de mettre un rootkit . Le rootkit est un petit programme généralement utiliser par ceux qui désire entrer illégalement et de façon discrète en ouvrant une faille de sécurité dans la protection de votre PC afin de s'introduire dedans, voler des information, suivre vos habitudes et vos préférences sans votre collaboration ni votre assentiment.

Personnellement, j'utilise Ubuntu qui est une distribution Linux, le schéma de ses spyware et rootkit ne me concerne pas vraiment (encore un avantage des logiciels libres) mais je me pose de sérieuses questions concernant toutes ses affaires. De quel droit, ces éditeurs se permettent d'installer sans votre accord des programmes ainsi ? Personnellement, j'y suis opposé.

Pourquoi doit-on également obligatoirement les installer (même sans en être conscient) pour pouvoir lire les CD dans notre ordinateur ?

Il est vrai que je suis assez attaché aux logiciels libres et aux valeurs qui sont prônées. Mais est ce bien nécessaire de limiter le pouvoir et la liberté des acheteurs sur leur biens ? On se rapproche un peu de la problématique des DRM. Une personne qui achète un CD ou un jeu en toute confiance ne peut l'utiliser de la manière qu'il désire. Je m'explique. Si j'ai un CD original et acheté avec mon argent, pourquoi ne pourrais-je pas le lire simplement sur mon ordinateur, en faire des fichiers numériques comme les MP3 ou les OGG puis les mettre sur mon lecteur portatif ? Pourquoi les producteur du disque qui essayent de faire un maximum de profit en essayant de limiter le pouvoir de l'utilisateur et en lui soutirant beaucoup d'argent (je suis également contre le fait de dire que c'est la TVA qui rend les CD plus cher), lui vole des informations qui me semble sont personnelles et de plus, l'empêche de faire ce qu'il désire avec la musique achetée légalement ?

Personnellement, cela me révolte même si grâce à Linux (GNU/Linux pour les puristes), je n'ai plus de problèmes de ce genre.

Mais plus fort que tout, Bruce Schneier pointe aussi du doigt est grosses société qui s'auto-proclame faire de la "sécurité informatique" du genre de Symantec ou McAfee qui fournissent quand même les programmes d'anti-virus les plus vendus (je n'ai pas dit les plus efficaces) mais qui ne réagissent pas beaucoup dans ce sens pour les problèmes énoncés plus haut.

En effet, la nouvelle concernant l'existence du rootkit de Sony est arrivée le 31 octobre. Pour le moment, 20 novembre, ils n'ont publiés qu'un logiciel qui permet de cacher le rootkit !!!! Le rootkit est donc toujours installer sur des millions d'ordinateur impunément. L'excuse invoquée est que retirer le rootkit peut causé du tort à l'ordinateur ! Sont-ils vraiment des spécialistes (de la sécurité) informatiques ? Il y a de quoi se poser des questions. On les paye pour assurer la protection de nos ordinateurs. Ils protège nos ordinateurs des virus, des vers, des malwares écrits par des soi-disant "organisations criminelles" mais pas ceux des multinationales ?

C'est vraiment prendre les gens pour des idiots .... C'est comme si vous engagiez un garde du corps pour vous protéger du méchant Jean Ramier qui va essayer de vous volez tous vos bien mais ce même garde du corps laisse les gars des grosses sociétés vous volez votre identité, votre carte SiS, votre numéro de carte verte, votre emploi du temps, vos documents, les noms de vos contacts, .... Aurez vous encore confiance dans garde du corps ? Allez vous encore lui payer son annuité de "protection" ? Personnellement, c'est un non catégorique.

mardi, octobre 4 2005

Mozilla/Firefox User Agent Switcher Extension

Le User Agent Switcher extension ajoute un menu et un bouton à la barre d'outils afin de modifier les informations envoyées aux sites que vous visitez au sujet de votre navigateur et de votre système d'exploitation.

Il est crée pour Firefox et Mozilla et tournera sur n'importe quelle plate-forme sur lesquelles ces programmes fonctionnent dont Windows, Mac OS X et Linux.

Le site

jeudi, août 11 2005

Un peu de pub : hack.lu 2005

A two days conference in the center of Europe for bridging ethics, security in computer science.

Welcome to the public web site and wiki of hack.lu 2005. Hack.lu is an open and free convention/conference where people can discuss about computer security, privacy, information technology and its cultural/technical implication in the society. The aim of the convention is to make a bridge of the various actors in the computer security world.

Hack.lu 2005 will be held on Friday/Saturday 14-15 octobre 2005 at Luxembourg/Kirchberg.

Wiki-site

jeudi, mai 12 2005

SHA-1 Broken

L'info n'est pas très neuve mais voici la transcription de l'article du 28 avril 2005 du site http://www.veridis.com/index.php/content/view/23/42/

Lire la suite...

dimanche, avril 10 2005

eID - PDF signature & sécurité

"Les documents PDF peuvent dorénavant être signés en toute sécurité grâce à la carte d'identité électronique, déjà dans le portefeuille de quelque 350.000 Belges."

Article

Selon Alexandre Dulaunoy :

En toute sécurité ? C'est assez relatif...

http://www.cs.dartmouth.edu/~sws/papers/cms02.pdf (Digital signatures and electronic documents: a cautionary tale)

http://security.dstc.edu.au/papers/JPH2002-AUUG.pdf (What You See is Not Always What You Sign)

http://www.swiss.ai.mit.edu/6.805/student-papers/fall97-papers/fillingham-sig.html (A Comparison of Digital and Handwritten Signatures)

Pour pouvoir utiliser une technologie d'une façon sure, il est nécessaire d'en connaitre ses limites ainsi que les risques associés. Ici, on nous présente la carte eID comme une solution miracle mais il n'a jamais existé de solutions miracles... On néglige d'expliquer les risques et les mesures à prendre pour limiter ces risques.