Sécurité – Page 2 – To Linux and beyond !

NuFW.Live fourni avec Linux Magazin Allemagne

Presque tout est dans le titre : NuFW.live 1.0.2 est le CD fourni avec le magazine Sonderheft Linux-Magazin 02/08 dont le titre est “Security – Sicher im Netz” :

Ce magazine est un trimestriel sur Linux qui me fait regretter mon faible niveau en allemand. Ce numéro sur la sécurité semble en effet contenir des articles très intéressants que je suis quasiment incapable de déchiffrer.

Un grand merci à la rédaction du magazine pour avoir choisi de distribuer le CD NuFW.Live dans ce numéro.

Petite note : À l’instar de celle de notre linux magazine national, la rédaction allemande est composée de vrais linuxiens. J’en tiens pour preuve les signatures GPG de la rédaction disponible en dernière page du journal 🙂

Cisco, le 1er avril perpétuel

Bon, Cisco avait annoncé qu’il ne sortirait des alertes de sécurités que deux fois par an. Sauf si une alerte était suffisamment sévère ou critique pour justifier une modification d’agenda.

Il n’aura pas fallu longtemps : Une prise de contrôle est réalisable sur le composant NAC de Cisco. La faille est prodigieuse, la clé partagé était récupérable dans les flux d’erreurs. Mais rassurons nous

Cisco has released free software updates that address this vulnerability.

La mise à jour est donc gratuite ; nous voilà bien soulagés.

Avec Cisco, c’est le 1er avril toute l’année.

NuFW à CansecWest 2008

Une fois n’est pas coutume, deux mots de la conférence sécurité Cansecwest où deux de mes acolytes d’INL se sont rendus pour faire une conférence. Ils en ont profité pour faire une lightning talk sur NuFW :

NuFW à CansecWest

A priori, ils en ont aussi profité pour se désaltérer :

Toady à Vancouver

Cisco en avance sur le poisson d’Avril et Halloween

La companie Cisco, leader des équipements réseau, a le sens de l’humour mais a aussi un problème de calendrier. Elle a en effet annoncé qu’à partir du 26 mars, les correctifs de sécurité sur IOS ne seront publiés que deux fois par an, les 4eme mercredi du mois de mars et de septembre. À mon avis, ils devaient vouloir sortir l’annonce le premier avril pour faire une blague à leurs utilisateurs. J’imagine en effet Renault annoncer :

On ne vous préviendra que deux fois par an si nos voitures sont susceptibles d’exploser.

Cisco fait la même chose mais précise tout de même dans le communiqué:

Si un groupe terroriste ou quelqu’un d’autre déclenche les explosions en rafale, on vous préviendra rapidement en faisant une annonce exceptionnelle.

On est dans le grandiose, dans la victoire du marketing sur le bon sens. Cisco fait en effet pire que Microsoft qui réalise les mises à jour tous les premiers mardi du mois. De 12 annonces par an, on passe à 2. C’est prodigieux, surtout si l’on considère que le fonctionnement de la majeure partie d’internet est assuré par les équipements du fabriquant.

Voilà donc pour le côté poisson d’avril, passons donc maintenant à Halloween. Cette fois-ci, l’avance est encore plus conséquente, Cisco a en effet décidé de nous faire très peur en annonçant une énorme faille de sécurité. L’un de leur logiciel fournit lorsqu’il est lancé un accès à distance permettant à n’importe qui de prendre le contrôle de la machine. Cette faille qui ressemble pour moi à une malveillance, étonne tout le monde par sa gravité.

Je propose donc à Cisco si l’entreprise souhaite continuer à faire deux annonces de sécurités par an de changer la date en utilisant:

Le premier avril pour les annonces distrayantes
Halloween pour les problèmes graves

Mais la logique et le bon sens sont sauf si l’on reprend le communiqué de Cisco :

Cisco is adopting this approach in response to extensive feedback from customers, who seek further predictability for support planning and deployment cycles.

soit en français :

Cisco adopte cette approche en réponse à des retours fréquents de ses clients, qui demandent plus de prédictibilité pour la planification et le déploiement des correctifs.

Ce qui donne en clair :

Monsieur, c’est quand l’apocalypse ?

Les 4ème mercredi de mars et de septembre…

NuFW.Live : tester NuFW, c’est facile !

Après des années de travail (et de documentation) sur NuFW, il restait tout de même difficile de tester le projet. Il existe maintenant une façon simple de le faire grâce au Live CD NuFW.Live. Basé sur knoppix, ce CD développé par INL, contient NuFW et l’ensemble des briques associés.

Un tutoriel simple permet de tester et de valider le fonctionnement de NuFW. Au final cela donne un NuFW qui marche en quelques clics et qui plus est avec les dernières interfaces web :

Nulog 2: La nouvelle version de Nulog complétement réécrite en python/twisted avec des graphiques (on me demandait des graphiques dans Nulog depuis sa création en 2002)
Nuface 2: Une gestion des règles de filtrage bien plus simple et efficace qu’avec la version 1.2.

Je profite de ce post pour adresser mes remerciements à l’inventeur de bittorrent ! Grâce à ce protocole P2P il est possible de distribuer facilement une image ISO de plus de 550Mo avec des ressources limitées. Merci, msieur 🙂

Wanadoo, l’authentification et la porte ouverte

Soucieuse du confort de ses abonnés, wanadoo est beaucoup moins préoccupé par leur sécurité. J’en tiens pour preuve leur politique d’authentification sur wanadoo.fr.

Si une requête provient de l’adresse IP de l’ADSL de monsieur Dupont c’est forcément monsieur Dupont qui est à l’origine de la requête. On ne passe pas à Madame Dupont qui pourrait très bien elle-aussi vouloir consulter ses mails sur le webmail de wanadoo.fr. Hé oui, j’en sens certains médusés, l’authentification est totale et va au moins jusqu’au webmail.

Bref, c’est du n’importe quoi à plumes sans plumes :

Tu es entré par la porte qui était ouverte, tu es donc John …

M	T	W	T	F	S	S
« Jul
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30