And the winner is ...

Comme tous les mois, à l'approche de la publication Microsoft, la "sécurosphère" est en ébullition. Que va-t-il falloir patcher ce mois-ci ? Au total 8 bulletins dont 6 critiques. La liste ici. On va dire que c'est un menu "habituel" (certes certaines habitudes devraient se perdre... :) ).

Mais ce mois-ci... Surprise du chef : une faille 0-day sur IE7. Et comme c'est du 0-day, les patchs sortis aujourd'hui, notamment le MS08-073, ne corrigent pas la faille. Et pour accompagner cela des PoC (Proof of Concept) ont été lachées dans la nature.

Que fait cette petite bête ? Elle exploite une mauvaise gestion du XML pour injecter du code malicieu dans la mémoire.

Le SANS Institute nous en dit un plus en nous conseillant un navigateur alternatif et Secunia nous conseille de ne cliquer que sur des liens "Trusted".

Et si vous testiez Firefox ? :)

D'autres sources :
eEye Digital Security - Research - lien
Blog - ZDNet - lien
McAfee Avert Labs Blog - lien


Update du 11/12 : Un décorticage de la faille a été réalisé par le CERT-LEXSI. Leur blog.

Sécurité par obfuscation.

Toujours en mission loin de ma contrée, je réside encore à l'hôtel. Et les soirées sont longues et froides en cette saison... Ce joli petit hôtel possède du WiFi... Non sécurisé, certes mais qui nécessite un login/mdp pour naviguer sur le Web. Regardons ça de plus près...

Déjà on m'annonce au début du séjour que le mdp de connexion change tous les jours. Et on me donne un papier avec marqué dessus : client / Edf45sEr. Voici donc le login/mdp. Brute-force ? Non c'est moyen bof bof. Cherchons moins long.

Alors connectons-nous à ce Wifi. Tentative de connexion à mon ami Google... Un bel écran de connexion apparaît :

Et dans l'url, une floppée de paramètres :
https://192.168.2.1/cgi-bin/hotspotlogin.cgi?res=notyet&uamip=192.168.2.1&uamport=3990&challenge=3c1d263bd4ac9a9dcaaf25e62d416650&userurl=&nasid=etap&mac=00-AA-DE-8B-78-A4

On y voit adresse MAC, un port et d'autres infos. Bon et qu'est qui se cache à la racine du site ?
Aahhh zut, je n'arrive pas à me connecter au localhost ... :) Et bien remplaçons-le pas l'adresse IP ... ;)


Et ben tiens, sur quoi je tombe ... La console d'administration des utilisateurs. Avec le couple login/mdp pour le compte "client".


Et si on regardait la liste des autres utilisateurs... Ah ben y'a un compte admin ... Bravo le veau ! :)


Donc le login et mdp de connexion peuvent être trouvé dès que l'on est connecté au réseau WiFi. Pas glop :( lol

Conclusion :
La sécurité par obfuscation à ces limites et c'est très très limite comme stratégie de sécurité... Vous cachez encore vos clefs sous le pot de fleur de l'entrée vous ? Et ben là c'est pareil...

En grattant un peu plus, on s'aperçoit que c'est un apache qui fait tourner le service... il aurait été très judicieux de séparer la partie authentification client de la partie administration et d'en restreindre l'accès avec un paramètre du genre "Allow from localhost". En espérant qu'un écran soit branché ... :)

Un analyseur de trames avec des super-pouvoirs !

Dans une infrastructure il est souvent nécessaire d'utiliser une sonde pour analyser le trafic circulant sur le réseau. En général c'est un bon serveur avec de gros disques et un tcpdump, un Wireshark ou autre. Un coup de ntop là dessus et on en parle plus.
Mais voici une nouvelle bête. Son nom ? NetWitness Investigator Software v8.6.4.9. Quelques données ? Alors au programme :

• Capture Ethernet ou Wireless
• 25 instances en simultanées de 1 GB chacune
  
• Analyse possible jusqu'au niveau 7 du modèle OSI
• Support IPv6
• Import / Export au format pcap
• Déchiffrage SSL avec le certificat
• Résumés et tableaux interactifs
• Hash des fichiers PCAP pour l'export
• Des tutoriaux sur YouTube :)
  
• ...

Voilà un peu la bête. Bon il y a quelques inconvénients quand même, ça ne serait pas drôle sinon :

• Version gratuite que sous Windows (Linux en version commerciale)
  
• Il faut une configuration assez musclée (Dual-core 2GHz, 2GHz de RAM)
• IE 6.x ou 7.x

Je vous laisse vous faire votre propre idée sur Soft... :)

Les liens :
Source : SecuObs
NetWitness : le site
NetWitness Investigator Software : download
Tutoriaux : YouTube
Un blog en parle : TaoSecurity

Baby, one more time ... !

Et hop après le 067, je demande le 068 ! Je suis mauvaise langue, il devait forcément arriver, mais pas aussi tôt dans la saison !

Je parle bien évidement d'une nouvelle faille Microsoft, la ms08-068. D'après ce que j'ai pu lire, je dirais que celle vulnérabilité est moins critique que sa petite sœur. Néanmoins un code d'exploitation est déjà disponible.

Pour en savoir plus, je vous conseille le très bon article de HD Moore sur le blog de Metasploit expliquant le pourquoi du comment de cette faille et quels sont les "critères" de réussites ou de soulagement (ça dépend du point de vue).

Bon ben comme d'hab, Patchez dès que vous pouvez ... :)

Les liens:
Article HD Moore - ici
SecurityFocus - ici
Blog Microsoft - ici

Détendons-nous avant le WE !

Allez, un petit jeu de mots de geek pour bien terminer la semaine (Merci Jérôme).

What did C:/DARTHVADER said to C:/DARTHVADER/LUKESKYWALKER ?

I'm your folder !

En tout cas mieux vaut tar que gz ...

Si avec ça je ne passe pas un bon we ... :)

La bataille fait rage !

Bon vu les précédents posts, j'avais connaissance du blog sécurité d'Orange mais c'est en faisant une recherche basique que je suis tombé sur le blog sécurité de NeufBox - SFR.

Au vu des archives, celui de SFR est plus jeune de 3 mois. Orange voulait-il lui aussi avoir la mainmise sur la sécurité ... ?

Allez, choisissez votre couleur : rouge ou oran... (aahh non pas de marque ! lol). Et puis bonne lecture :)

lien : Blog NeufBox, Blog Orange

Le rootkit qui fait beaucoup peur.

Rustock.C. Ce nom ne vous dit peut être rien et pourtant il vaudrait mieux ! lol. A la conférence de sécurité Hack.lu, Frank Boldewin a fait une présentation sur ce rootkit qui donne beaucoup de fils à retordre aux analystes. Pour la protection de ce malware nous avons au programme :

• Anti-debugging
• de l'ofuscation de code
• des moteurs polymorphiques et métamorphique (Morpheus, c'est toi ? :op )
• et du nettoyage de mémoire.

Tout ça pour que ce petit rootkit ne livre pas tous ses secrets. Mon dieu que ça fait peur. Je ne vais pas fermer l'œil de la nuit !

Sources : SecuObs.com
Présentation de Frank Boldewin : reconstructer.org (PDF)

Un ver dans la pomme ? Non, dans la fenêtre !

Et c'est parti pour la "ver party" ! Selon vnunet, la vulnérabilité ms08-067 publiée récemment, serait exploitée par un ver.

Voici son nom par éditeur :
- Symantec : W32.Wecorl, W32.Wecorl!inf, W32.Kernelbot.A
- F-Secure : Exploit.Win32.MS08-067.g, Rootkit.Win32.KernelBot.dg, Trojan-Dropper.Win32.Agent.yhi
- Kaspersky : Exploit.Win32.MS08-067.g
- Microsoft : Exploit:Win32/MS08067.gen!A
- Sophos : Mal/Generic-A
- McAfee : KerBot!37E73FFB

Si ce n'est pas encore fait, PATCHEZ !!!

Sources : vnunet.fr, vnunet.com

Quand Orange veut nous aider ... (suite)

Premier épisode: http://localh0st.blogspot.com/2008/10/quand-orange-veut-nous-aidez.html

Suite à ce billet j'avais contacté une personne de chez Orange et voici la cause et la solution:
http://www.blogs.orange-business.com/securite/2008/10/compromission-d.html#comments

Petit hic, on trouve bien la case "Se souvenir de moi", par contre on ne trouve pas la case "Oublie-moi !" Il y a peut être une idée à creuser là dessous... :)

Armez vos patchs, Visez, Appliquez !!!

C'est le branle-bas de combat chez Microsoft. A tel point que qu'ils publient un patch hors du cycle normal et qui porte le doux nom de "MS08-067". La faille permettrait l'exécution de code à distance avec les droits SYSTEM, par l'envoi de requêtes RPC sur les ports 135 et 445.

La découverte de cette faille, vient de l'analyse de code malveillant circulant depuis deux semaines et elle pourrait être exploitée par l'intermédiaire d'un ver.

Ah oui, j'allais oublier, les 0.S. impactés sont:

• Windows 2000 SP4
• Windows 2003 SP1 et SP2
  
• Windows XP SP2 et SP3

En bref, la majorité des O.S. utilisés,. Si c'est pas une bonne nouvelle ça...

Un plan d'action ? Et bien en parallèle, fermeture des ports concernés (135 et 445) s'ils ne sont pas utilisés, principalement sur les équipements frontaux, et déclenchement de la procédure de déploiment de correctifs en situation critique.

Qui a dit "Super, c'est bientôt le week-end !" ???

Petits conseils personnels: Débranchez tous les câbles réseaux et allez brûler un cierge... lol


Lien Microsoft: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Les chercheurs de failles...

Voici des petites recherches "explicites" qui ont mené à mon site... :

Comme si des personnes cherchaient à exploiter des failles sur des sites précis ... Peut-être se reconnaîtront-ils... Mmmmmhhhhhh et si ça se trouve, j'ai même leurs adresses IP ... :)

Quand Orange veut nous aider ...

Je suis actuellement en déplacement pour une mission et j'ai dû prendre un hôtel pour des raisons plus "pratiques" dirons-nous. Comme la plupart des hôtels, celui-ci propose le WiFi gratuit avec un superlogin et un superpass à enter via une interface Web. Bref. Après des heures et des heures de navigation, il me vient l'idée d'aller voir l'état de mon forfait mobile sur le site de Orange. Et là surprise...
Je suis connecté sous le compte de l'hôtel. C'est pas top ça, car on a accès aux factures, au mails, etc. Des informations supposées "personnelles".

Y'a plus qu'a prévenir Mister Orange et voir ce qu'il est possible de faire...

Donc si vous avez une LiveBox, méfiez-vous de l'auto-identification au site Orange !!!

Il faudrait peut-être que je leur en parle ... http://blogs.orange-business.com/securite/ :)

Soyons vigilant avec les prestataires.

L'entreprise pétrolière Shell vient de demander à ses employés d'être particulièrement regardants sur le travail des prestataires IT. Dernièrement, Shell s'est aperçu qu'un contractant avait volé des informations relatives à la sécurité sociale de ses employés depuis une base de données de l'entreprise aux Etats-Unis. 4 numéros de sécurité sociale avaient déjà été utilisés quand Shell s'est aperçu du vol.

Source de l'article sur JournalDuNet

Eee PC - Un virus embarqué par défaut.

Asus vient de reconnaître que certains de ses ordinateurs à bas coût de bureau Eee Box avaient été vendus avec un virus. C'est la partition D: du disque dur de la machine qui contient le virus recycled.exe en fichier caché. Le virus s'exécute quand l'utilisateur tente de lire la partition, et contamine ensuite l'espace C:. A noter que la dernière mise à jour de l'outil de détection de malware de Microsoft supprime ce virus. Pour Asus, cette erreur ne touche que le marché japonais mais d'autres sources indépendantes parlent d'une contagion mondiale.

Source de l'article sur JournalDuNet

Méfiez-vous de vos Webcam...

Une faille dans le Flash Player d'Adobe permettrait l'allumage du micro et de la Webcam à distance... Big Brother is watching you ! :)

Lien de l'article sur 01net

Les news du moment ...

L'outil de hacking, Neosploit, revient sur le devant de la scène en s'attaquant à des grands sites français: article sur VNUnet


Intrusion informatique dans une usine de missiles coréenne: article sur JournalDuNet


Le captcha de Gmail et Hotmail proies des pirates: article sur JournalDuNet

CheckPoint Tips...

Voici quelques astuces toutes simples pour CheckPoint sur SecurePlatform (SPLAT). La combinaison des deux premières astuces permet de faire de la Secure Copy (SCP). La dernière astuce concerne le changement d'heure.


Création des scpusers

#touch /etc/scpusers
#vi /etc/scpusers (y ajouter votre utilisateur admin)
#sshd restart


Se connecter directement en mode expert

#chsh -s /bin/bash admin


Changement d'heure

Cette dernière astuce concerne la mise à l'heure des équipements, mais pas seulement. La subtilité réside dans les "Daylight Saving Time" ou DST (non non, rien à voir ... :) ). En français dans le texte, c'est le passage automatique de heure d'été à heure d'hiver et inversement proportionnel.

Vous pouvez parfaitement scripter les commandes qui suivent.

##Vérification heure
'date'

##Supression time zone
rm /etc/localtime

##Reconfiguration time zone
ln -s /usr/share/zoneinfo/Europe/Paris /etc/localtime

##Mise à jour heure
ntpdate votre_ntp_serveur

##Vérification heure
'date'

Néanmoins une petite mise en garde s'impose si votre équipement gère des VPN. Je n'ai pas encore eu l'occasion de tester le comportement des tunnels après un changement d'heure.

La sécurité avec ... des mécapoulets !?

Quand Microsoft veut promouvoir la méthode SDL (Security Development Lifecycle), elle le fait de façon vraiment originale ...

Lien Youtube:
http://www.youtube.com/watch?v=1IdlZ3IyKsc


Plus d'infos sur le site de Microsoft, à cet adresse:
http://www.microsoft.com/france/technet/securite/sdl.mspx

Est-ce que les Mecapoulets feront leur effet, on le saura après ! :)

Microsoft aurait-il une dent contre les Hackers ? Mais les poulets n'ont pas de dents .....!? :)

Vulnérabilité pour Joomla 1.5.x

Et voici un exploit récemment publié par un site (tellement connu que je ne le nommerai pas) concernant une faille du logiciel CMS Joomla.


Malheureusement certains sites en ont déjà fait les frais comme celui de l'UNESCO ou encore des espaces du ministère de la culture selon le site silicon.fr.

Heureusement le site de l'éditeur propose une mise à jour vers la version 1.5.6 afin de combler la vulnérabilité.


En tout cas un bon point pour la réactivité de Joolma... Parution de l'exploit le 12/08, parution du correctif le 13/08.

Et que faisiez-vous pendant l'été? Vous chantiez? Et bien patchez maintenant ! :)

Les Etats-Unis autorisent leurs douanes à fouiller tout ordinateur portable

Les États-Unis viennent officiellement de donner l'autorisation aux agents des douanes de saisir n'importe quel appareil électronique pour raison de sécurité nationale. Lorsque les patrons des grandes entreprises françaises seront donc amenés à franchir la frontière américaine dans les aéroports, ils pourront donc se voir confisquer ordinateurs portables, baladeurs numériques, disques durs portables, clés USB, téléphones portables ou tout autre support de stockage numérique. Ces appareils pourront être examinés et leurs données stockées. Un coup dur en matière de protection de l'information sensible des entreprises nationales, mais aussi pour le respect des libertés individuelles.

Tous à vos outils de cryptage !!!

Source de l'article: JournatduNet

BackTrack 3 - Mouse Wheel Scrolling

La Backtrack 3 est sortie récemment est forcément je l'ai téléchargé :) . Bien sur j'ai téléchargé l'ISO mais lorsqu'on fonctionne sous Windows, redémarrer pour booter sur le CD ou l'OS installé n'est forcément très pratique.

C'est pour ça que je me suis tourné vers la version VMware. Mais un petit soucis d'utilisation est apparu... La molette de la souris ne fonctionnait pas... Comme on dit: "Y'a pas mort d'homme, mais ça fait chié !" :).

Après avoir exploré la toile, j'ai trouvé la solution, sur le forum de The Ethical Hacker, qui est de changer un paramètre dans le fichier de configuration du serveur X.

/etc/X11/xorg.conf

Dans la section "souris"...

Avant:

  Option "Protocol"  "ps/2"

Après:

  Option "Protocol"  "IMPS/2"

Et voilà une petite mollette qui refonctionne :). Merci les Hackers Ethiques.

L'empreinte digitale ... Pas "secure"

Le paiement par empreinte digitale à encore des progrès à faire...

Article de Réseaux-Télécoms.net

CheckPoint R65 with Messaging Security

Voici un petit épisode vécu il y a quelques jours. Les problèmes ne sont pas toujours là où on le croit...

Domaine d'activité:
Finances

Mission:
Intégration d'un Cluster de firewall CheckPoint frontaux (entre WAN et LAN) en fonctionnement Actif/Passif.

Contraines:
Intégration en HNO (Heures non ouvrées) car coupure oblige.
3 prestataires différents - dont un suédois - (IKEA PoWa lol).
Coupure acceptable de 7h à 12h (retour arrière compris).


Au DataCenter:
7h - Début des hostilités
9h - Le Cluster fonctionne avec le LAN - Pas avec les routeurs frontières :(
10h - Le Cluster fonctionne enfin avec les routeurs - ** Toujours vérifier les câbles déjà en place... Tous les switch ne gèrent pas les croisés...
10h30 -WAN <---> LAN opérationnel - Mais pas le VLan d'administration :(
11h - Administration OK - Le Cluster est au niveau application, les tables de routage (niveau 3) ne se répliquent pas...
12h - Début des tests préliminaires - OK


Au siège:
15h - Début du transfert de compétences - Et là le cauchemar commence .....!

Installons le logiciel d'administration sur le poste de la personne en charge des firewalls. L'installation se fait sans problème. Connectons-nous au Cluster...

"Error Loading Objects." ---> Sueurs froides !!!

Ni une, ni deux, je teste avec mon PC... Ça fonctionne... c'est déjà ça.

Recherchons les causes possibles (par dichotomie, bien sûre ! lol):
1- Mauvaise install
2- PC avec une solution de protection
3- GPO restrictive du domaine
4- Versions Java, IE, activeX et autre ...

Les actions:
1- Résintall = Problème identique
2- Désactivation de la protection = Problème identique
3- Installation et excécution en admin = Problème identique
4- Versions identique sur mon PC = Problème identique

Reste la solution Ultime! La machine virtuelle, propre de tout logiciel ou élément perturbateur...
Et ........... = Problème identique


19h - Le dénouement !

Resituons. Version du Soft "NGX R65 with Messaging Security", la version de base c'est la "NGX R65" et s'il y avait des dépendances ... ?

Et en effet, pour faire fonctionner correctement la dernière version il faut installer la version de base qui est normalement inclue dans la version R65 with MS. Chose que l'on peut lire nulle part, même pas sur le UserCenter de CheckPoint...

Donc tout est bien qui fini bien... Ils vécurent heureux et eurent beaucoup de connexions...


Pour résumer:
- Vérifier les câbles déjà présents
- Vérifier les routes
- Vérifier les dépendances connues entre les versions
- Et rien ne vaut les tests en situation réelle...

Nomades + Données = Cryptage !!!

Voici encore un exemple, du manque de prise de conscience la sécurité des postes nomades. Principalement concernant la protection d'accès aux données sensibles.

http://securite.reseaux-telecoms.net/actualites/lire-premiers-litiges-autour-de-la-signature-de-contrats-en-ligne-18370.html

Et il n'est pas le seul ...

CCSE R65 Training - Done.

Et voici le CCSE R65 de Check Point également "Done". La formation s'est déroulée sur deux jours avec au menu: migration, VPN site à site, VPN avec clients nomades et haute dispo avec ClusterXL.

J'ai trouvé ces deux jours un peu plus théorique que la précédente formation mais beaucoup intéressants... Avec un formateur ayant huit années d'expériences derrière lui, j'ai enfin pu rassasier ma soif de trucs et astuces et autres conseils introuvables dans les livres.

Je conseille ces deux formations à des personnes désireuses d'approfondir leur connaissances sur la techno VPN-1. Par contre il est préférable d'avoir déjà joué avec la bête avant ou d'avoir des notions dessus, sinon vous risquez d'être un peu perdu...

CCSA R65 Training - Done.

Et voilà trois jours passés à suivre la formation CCSA R65 de Check Point dans les locaux de Westcon Security. Le contenu semblait assez complet pour renforcer mes modestes connaissances sur le produit. Mais au final c'est bien mais pas démentiel.

Je dirai que cette formation est destinée aux personnes n'ayant pas ou très peu de connaissances sur le produit de Check Point. Le livre de cours fourni est assez bien fait avec de bons aspects théoriques et de la pratique réalisée sous forme de "labs" en fin de chapitre et assistée par le formateur.

Néanmoins le livre et les labs ne font pas tout. Le formateur manquait cruellement d'expérience, n'apportant aucun truc et astuce ou anecdote croustillante que l'on aime tant. Ajouté à cela, la durée de cette formation par rapport à la densité du cours est quelque peu "over-sized". Historiquement la formation CCSA R60 s'étalait sur deux jours avec plus de chapitre. Actuellement la CCSA R65 est sur trois jours mais avec moins de chapitre à aborder ce qui la rend assez molle...

Au moins ça m'a permis de tester en profondeur les différentes fonctionnalités du VPN-1 Power (filtrage, NAT, SmartDefense, ContentInspection, Qos, ...).

J'attire l'attention sur un fonctionnalité qui m'a surpris de par son absence par défaut: le blocage d'une adresse IP détectée comme faisant un scan de port.
Dixit le formateur: "Suite à la détection du scan il faut associer l'évènement à une alerte personnalisée qui va appeler un script de blocage...... que tu dois coder." Chose surprenante lorsque l'on sait qu'il est possible de faire ça avec un iptables et un snort-inline... Je vais fouiner là-dessus pour éclaircir la chose ...

Suite du programme: CCSE R65 les deux jours suivants :) .

Metasploit ... piraté !?

Les visiteurs du site Metasploit, spécialisé dans les tests d'intrusion, ont eu la surprise en début de semaine de se voir redirigés vers une page Web les informant du piratage de la plate-forme. Les responsables de Metasploit indiquent que leur moteur de tests n'a pas été touché par cette attaque. Les pirates se sont contentés d'infecter un serveur présent chez le même fournisseur d'hébergement en vue d'empoisonner le protocole de résolution d'adresse.

Source: Journal du net

Cain, HTTPS et MITM, une vrai histoire d'amour.

Vu que le we était quelque peu moyen niveau météo, rien ne vaut un peu de lecture. Je parcours le dernier hors-série de Hacking et sur le CD présent avec le magazine, il y a une vidéo présentant l'attaque Man-in-the-Middle avec Cain&Abel. Sachant comment cela fonctionne au niveau des protocoles non cryptés (http, ftp, telnet, ...) je me suis demandé comment ça réagissait avec le protocole https sur la récupération des trames en clair mais aussi comment le Web browser réagissait face à l'usurpation d'identité (prochainement je ferais des tests avec sftp et ssh).

Et c'est parti pour la mise en place ... 2 PC (un gentil, un méchant) et ma box Internet. Le gentil PC tourne sous Windows avec IE7, Firefow2.0 et 0pera9.5.
Le méchant lance sont ARP poisoning pour rediriger les flux.
(Gentil) <------->(Méchant)<-------->(Box)<----->(Web)

Trafic en clair
Hormis le changement dans le cache ARP aucun autre changement de comportement n'est à noter. Les mots de passe des communications non cryptées sont interceptés sans aucune difficulté.


Trafic crypté
Concrètement, Cain réalise un faux certificat pour se faire passer pour le site distant et conserver l'url en "https://". Allons faire un tour sur https://gmail.com

• Avec Firefox

Bon clairement avec Firefox, l'utilisateur ne peut se connecter au site. L'accès lui est refusé, c'est clair c'est net. Et aucune option ne peut contourner le blocage.

• Avec IE7

Hormis le message habituel "Etes-vous sûr de vouloir continuer?" et la barre d'adresse en rouge, aucun autre avertissement n'est à noter. L'utilisateur se connecte quand même au site.

• Avec Opéra

Une boîte de dialogue apparait pour prévenir que le site en question n'est pas connu (gmail...? personne connait...???). Mais il est quand même possible de se connecter au site Web.




















Conclusion
Ce test a été réaliser sur un site "connu" et reconnu par une entité tiers. Lors d'une tentative de connexion à un site qui n'est pas authentifié par un tiers les messages sont identiques hormis pour Firefox qui cette fois demande une validation de l'utilisateur. Donc impossible de savoir si vous subissez une attaque type MITM.

En gros le vainqueur face à ce type d'attaque est Firefox.

Concernant une éventuelle protection contre ce genre d'attaque, entrer en "dur" l'association IP <-> MAC peut être une solution. Sinon en cas d'un cache dynamique, la mise en place d'un test de différence sur les entrées ARP signalant tout changement peut être une bonne technique. Bien évidement ces deux solutions fonctionnent si l'adresse MAC du "méchant" diffère de celle de la "box".
Next step: avec sftp et ssh.

Alapage ... ? Pas la bonne.....

*** Alerte phishing ***
Des courriers prétendant venir de Alapage.com sont envoyés pour inviter les utilisateurs à entrer différentes données personnelles (données bancaires) suite à un dysfonctionnement.

Comme diraient certains: Méfiez-vous des imitations .... :)

Source: 01net.com

Et la palme revient à ...

Interview du DSI en charge du SI du Festival de Cannes.

lien: Silicon.fr

Capri, c'est fini ........

O'Reilly France n'est plus. La filiale française du célèbre éditeur a cessé son activité, suite au désistement d'Oreilly Media. Cette fermeture a deux causes essentielles : la crise américaine, qui fait rage, et le différentiel entre la valeur de l'euro et celle du dollar, qui pèse de plus en plus sur le géant américain. [...]

la maison mère aura jugé que la progression des ventes n'était pas satisfaisante. Résultat, les dix personnes de cette filiale se retrouvent sur le carreau, sans compter les multiples auteurs français qui produisaient des livres en version originale. La fin d'une épopée.

Source: Silicon

Les attaques du jour > CNN, Bank of Ireland & DHS

Site de CNN - Source: journaldunet.com

La chaîne de télévision internationale CNN, a été l'objet d'une attaque en déni de services qui a perturbé son site Web et en a rendu l'affichage impossible pour de nombreux utilisateurs. Cette attaque en déni de services, en provenance d'Asie, a impacté principalement les utilisateurs de cette zone géographique. Des mesures de filtrage ont été prises pour stopper cette attaque.


Banque d'Irlande - Source: journaldunet.com

La Bank of Ireland vient d'annoncer que 4 ordinateurs portables contenant des informations personnelles de 10 000 clients avaient été dérobés, il y a neuf mois, en juin 2007. Les dirigeants de la banque craignent que les données soient utilisées de manière malveillante. En effet, les données n'étaient pas cryptées. Les employés de la banque vont désormais crypter leurs données, et une amende pourrait être infligée à la banque pour négligence.


Department of Homeland Security - Source: journaldunet.com

De nombreux sites Web sont actuellement la cible d'attaque par injection SQL. C'est désormais également le cas du site du département américain de la sécurité nationale, une agence gouvernementale en charge notamment de la sécurité contre les attaques informatiques. L'infection du site permet de rediriger les internautes vers d'autres pages qui tenteront alors d'installer des programmes malveillants. Plus de 500 000 pages Web seraient ainsi infectées.

(Disque dur + Personnal Data) * USA = FAILURE

Suite à une affaire de pédophilie, sachez que si vous aller aux USA, votre disque dur est susceptible d'être "parcouru" par les douaniers américains, sans pour autant avoir des preuves sur une quelconque culpabilité.

Donc si vous avez des données confidentielles (fichiers clients, infos bancaires, liste de mots de passe, etc.) évitez de les laisser dessus, car même si vous les cryptez, et bien l'aimable douanier peut confisquer votre petit disque dur pour "présomption" de détention de données interdites.

Moralité:

• Laissez sur le support uniquement les données nécessaires et non sensibles
• Préférez d'un accès distant à vos données, type VPN ou envoyez vous un mail avec toutes vos données nécessaires en pièce jointe.

Les États-Unis, pour un monde plus sûr ............ Bien évidement.

Tester-moi, Tester-moi

Voici déjà un petit mois que Security Compass a mis en ligne deux petites extensions pour Firefox orientées "Application Security Testing": XSS-Me et SQL Inject-Me. Comme leur nom l'indique, elles servent à tester les failles XSS et les injections SQL. Malgré des "faux positifs" elles permettent d'automatiser les tâches mais en aucun cas, ces deux extensions ne remplaceront l'expérience d'un PenTester.

A utiliser en connaissance de cause et avec suffisamment de recul pour distinguer le vrai du faux (positif... :p).

Links:
Security Compass
darknet.org.uk

Starting block ...

Et c'est parti pour le bloggage ...
Alors c'est orienté sécurité informatique mais bon on est jamais à l'abri d'un dérapage ...

Bonne continuation !