During Positive Hack Days V, I made a fast track presentation about eCryptfs and password cracking. The idea came to me after using one feature of Ubuntu which consists in encrypting the home folder directory. This option can be selected during installation or activated later.

Encrypted key transport with RSA-PKCS#1 v1.5 is the most com-
monly deployed key exchange method in all current versions of the
Transport Layer Security (TLS) protocol, including the most re-
cent version 1.2.

Cisco 2015 Midyear Security Report Infographic

The faster those of us in the security and network operator space can detect a new attack vector, the faster we can come up with ways to slow or stall the growth of that method.

La plaie de DNSSEC, comme celle de tous les systèmes de cryptographie, est la gestion des clés. Avec DNSSEC, la clé de signature des autres clés, la KSK (Key Signing Key) est censée être remplacée (rolled over) régulièrement. Si un résolveur a une KSK dans sa configuration, cela oblige l'administrateur du résolveur à effectuer le remplacement à la main, ce qui peut être contraignant. Notre RFC 5011 propose une autre solution : le domaine signe la nouvelle KSK avec l'ancienne et le résolveur accepte alors automatiquement cette nouvelle clé.

Une vulnérabilité a été corrigée dans le noyau Linux de Fedora. Elle permet à un attaquant de provoquer un déni de service.

Connaissez-vous le projet Grsecurity/PaX ? NBS System tient aujourd’hui à mettre en lumière ce composant essentiel de son infrastructure CerberHost, le Cloud de très haute sécurité.

Unix-privesc-checker is a Unix/Linux User privilege escalation scanner that runs on Unix systems (tested on Solaris 9, HPUX 11, Various Linuxes, FreeBSD 6.2). It tries to find misconfigurations that could allow local unprivileged users to escalate privileges to other users or to access local apps (e.g. databases).

signify: Securing OpenBSD From Us To You (OpenBSD)

Have you ever been in a pentest where the defenders know their stuff and are actively looking to detect and sabotage all of your actions? If not I can say only one thing, it changes the way you approach, plan and execute a penetration test drastically.

Les réseaux sociaux font aujourd’hui partie de notre quotidien et prennent de plus en plus de place dans nos vies. Sur nos profils, nous exposons tout : expérience professionnelle, photos, position, opinion, humeur… C’est un moyen de partager sa vie avec ses amis et sa famille, mais également avec des inconnus. Il est donc important de connaître les risques liés aux réseaux sociaux.

Selon une étude de la CGPME, les petites et moyennes entreprises sont malheureusement nombreuses à faire l'objet d'actes de "cybermalveillance". Le piratage de leur système d'information est monnaie courante.
Read more at http://lentreprise.lexpress.fr/high-tech-innovation/une-tpe-sur-deux-victime-de-cyberattaque_1689049.html#vWelXxbx6sTPxkOl.99

De simples manipulations sur les sites de grandes banques (HSBC, BNP, Société Générale, etc.) indiquent que la sécurité, le chiffrement ou les échanges par exemple, sont largement perfectibles. La faute notamment à des navigateurs vieillissants et aux banques qui n’informent pas ou mal leurs clients.

La société SEC Consult Vulnerability Lab vient d’annoncer qu’une faille, visant des millions de routeurs, permettait de bloquer un routeur Internet via une manipulation particulièrement formulée. Visé, le noyau Linux des routeurs, l’utilisation de NetUSB KCodes et le port TCP 20005. Un débordement de mémoire qui fait que les routeurs tombent en panne. Ce port permet un accès réseau aux périphériques (USB, imprimante, …) connectées au routeur.

Our study finds that the current real-world deployment of Diffie-Hellman is less secure than previously believed. This page explains how to properly deploy Diffie-Hellman on your server.

Multiples vulnérabilités dans WordPress

Black hat contre white hat … Contre les démons du cyberespace, des anges sont là pour nous défendre. Nous ne plongeons pas dans un roman de Dan Brown mais dans un article de Serge Abiteboul et Marie Jung. Ils ont rencontré, à la Pépinière 27, Erwan Keraudy, PDG de Cybelangel, une startup dans le domaine de la sécurité informatique.

The United States voiced concern Friday over a report that China manipulated international Internet traffic intended for a major Chinese Web service company and used it for a cyberattack on U.S. sites.

Il y a quelques jours, je vous présentais LBSA, un script qui permet de détecter des configurations pouvant mettre en danger un système Linux. Aujourd’hui, nous allons voir l’outil Lynis, développé et maintenant par la société CISOfy. Il faut savoir que Lynis est sous licence open source (GPLv3) et est supporté par un grand nombre de distributions UNIX, de Debian, CentOS jusqu’à Mac OS.

For a while now, I’ve pointed out that cryptography is singularly ill-suited to solve the major network security problems of today: denial-of-service attacks, website defacement, theft of credit card numbers, identity theft, viruses and worms, DNS attacks, network penetration, and so on.