Logiciels Libres

The IDS/IPS suricata has a native support for Netfilter queue. This brings IPS functionnalities to users running Suricata on Linux. Suricata 1.1beta2 introduces a lot of new features related to the NFQ mode. New stream inline mode One of the main improvement of Suricata IPS mode is related with the new stream engine dedicated to inline. Victor Julien has a great blog post about it. Multiqueue support Suricata can now be started on multiple queue by using a comma separated list of queue identifier on the command line. The following syntax: ...

I’m currently working on suricata and one of the feature I’m working on change the way the main structure Packet is accessed. One of the consequences is that almost all unit tests need to be rewritten because the use Packet p construction which has to be replace by an dynamically allocated Packet *. Given the number of tests in suricata, this task is very dangerous: ` It is error prone Too long to be done correctly I thus decide to give a try to coccinelle which is a "program matching and transformation engine which provides the language SmPL (Semantic Patch Language) for specifying desired matches and transformations in C code". Well, from user point of view it is a mega over-boosted sed for C. ...

I have recently faced the challenge to rewrite a git repository. It has two problems: First problem was small: an user has commited with a badly setup git and E-mail as well as username were not correctly set. Second problem seems more tricky: I was needing to split the git repository in two different one. To be precise on that issue, from the two directories at root (src and deps) have to become the root of their own repository. I then dig into the doc and it leads me directly to ‘filter-branch’ which was the solution of my two problems. The names of the command is almost self-explanatory: it is used to rewrite branches. ...

La distribution Debian GNU/Linux est habituée au problème de hasard pas si aléatoire que ça. Cela s’était illustré avec la faille openssl et cela vient d’être confirmé par le debian logo en ascii art du boot. J’en tiens pour preuve le screenshot suivant : ...

Oui, bon, vous savez sans doute que le noyau Linux 2.6.30 est en cours de réalisation. Mais saviez-vous que grâce àl’excellent Denis Bodor toute une série de patchs a été incorporée au noyau ? Lors de la rédaction du Hors Série Netfilter de GLMF, j’ai, avec tous les autres rédacteurs (Gwenael, Haypo, Pollux et Toady), voulu faire découvrir les dernières avancées de Netfilter. Et, forcément, lorsque l’on est sur le fil du rasoir et que l’on pousse les choses àfond pour être le plus précis possible, il arrive que l’on découvre des problèmes ou des choses pas aussi pratiques que on le désirerait. ...

Du côté de mes contributions au logiciel libre, l’année 2009 commence assez fort. Il semble que j’ai réussi àdéclencher une petite révolution. Le système de test de NuFW avait mis en évidence un crash rare, non reproductible facilement dans nuauth, le serveur d’authentification de NuFW. Les sorties de gdb ou valgrind révélaient un problème absurde dans la bibliothèque cyrus-sasl. NuFW l’utilise pour réaliser la phase d’authentification des utilisateurs. Le crash apparaissait lors d’un appel àsasl_dispose() qui est la fonction àappeler lorsque l’on a terminé la phase d’authentification. Après maintes vérifications et plusieurs dizaines d’heures de debug, j’étais convaincu que nuauth, le serveur d’authentification de NuFW, utilisait la bibliothèque de manière correcte et que le code environnant était correct. ...

La découverte récente d’une méthode permettant d’exploiter des failles dans la plupart des implémentations DNS àfait beaucoup de bruits. J’en tiens pour preuve des articles dans ZDNET (Colmatage d’une faille de grande envergure sur les serveurs DNS), Le Monde et les échos. Si l’on étudie ce qu’écrit le CERT dans l’article Multiple DNS implementations vulnerable to cache poisoning, une méthode de contournement de la faille consiste àrendre aléatoire le port source utilisé pour les requêtes DNS. ...

J’ai présenté Ulogd2 et nf3d lors de la rump session du SSTIC 2008. Après une brève introduction sur l’architecture de ulogd2, j’ai montré le résultat de mon travail sur la visualisation des connexions et des paquets loggués, nf3d. Les slides sont disponibles. Je me rend compte que je n’ai pas encore parlé de nf3d ici. Il s’agit d’un logiciel représentant sur une vue 3D les connexions Netfilter et les paquets loggués. Comme une image vaut mieux qu’un long discours : ...

D’un point de vue juridique, j’aurais du plutôt titrer Welte vs. Skype Technologies SA. En effet, Harald Welte, ex leader du projet Netfilter et fondateur de GPL violations vient de gagner en appel contre Skype Technologies SA. Harald Welte, dans le cadre de GPL violations, avait commencé àlutter contre Skype Technologies SA en février 2007 pour que la société cesse de violer la GPL en commercialisant des téléphones Wifi sous Linux sans respecter les exigences de la licence. ...

Je vais donner une conférence sur NuFW et les interactions entre espace utilisateur et noyau dans Netfilter lors des rencontres mondiales du logiciel libre 2008 àMont-de-Marsans. Dans ce cadre, Christophe Brocas m’a gentillement interviewé par mail. L’interview est en ligne sur le site des RMLLs : Interview Éric Leblond. À noter qu’une interview de l’excellent Pablo Neira est elle aussi disponible sur le site.

Jusqu’ici la gestion de pare-feu c’était difficille, il fallait gratter gratter : À partir de lundi, ça sera facile et amusant : Plus d’informations àvenir très bientôt ! Les abonnés de la liste Netfilter seront les premiers avertis 😉

Presque tout est dans le titre : NuFW.live 1.0.2 est le CD fourni avec le magazine Sonderheft Linux-Magazin 02/08 dont le titre est “Security – Sicher im Netz” : Ce magazine est un trimestriel sur Linux qui me fait regretter mon faible niveau en allemand. Ce numéro sur la sécurité semble en effet contenir des articles très intéressants que je suis quasiment incapable de déchiffrer. Un grand merci àla rédaction du magazine pour avoir choisi de distribuer le CD NuFW.Live dans ce numéro. ...

J’ai donné une conférence lors de la Journée Logiciels libres et sécurité organisée par le Cetril. Cela m’a permis d’assiter àla conférence de Nat Makarevitch sur la sécurité des systèmes basée sur des logiciels libres. Il a relevé avec justesse l’augmentation des attaques sur les sources de certains logiciels libres et la tentative d’inclusion de backdoor. Une des meilleures solutions àce problème repose sur la signature gpg des archives et des paquets des distributions ce qui permet de garantir la provenance des données téléchargées. ...

Pour la première fois le magazine Time n’ a pas récompensé un individu pour sa nomination d’homme de l’année. C’est nous, les acteurs d’internet, qui avons été récompensés. L’explication donnée par Time est convaincante. Ils ont plutôt trouvé àblamer cette année et c’est surtout que quleque chose a retenu leur attention. Je cite : It’s a story about community and collaboration on a scale never seen before. It’s about the cosmic compendium of knowledge Wikipedia and the million-channel people’s network YouTube and the online metropolis MySpace. It’s about the many wresting power from the few and helping one another for nothing and how that will not only change the world, but also change the way the world changes. ...

La sortie du bureau Free-EOS 2.0 vient d’être annoncée mais je m’interroge sur la pertinence d’une telle approche en 2006. Le bureau sous GNU/Linux est maintenant une alternative sérieuse au bureau estampillé Microsoft. N’est-il pas temps de promouvoir le changement d’OS plutôt que de promouvoir l’utilisation du libre sous OS propriétaire ? En faisant des Logiciels Libres une drogue douce que l’on prend de temps en temps pour s’aérer l’esprit, on le canalise et on ne permet pas àce qu’il attaque suffisamment le cerveau. Pour moi, il doit devenir une drogue dure : quelques prises de LiveCD et on finit par installer GNU/Linux contraint par la qualité de l’outil. ...