pledge(), a new mitigation mechanism

Sudo (su "do") allows a system administrator to delegate authority to give certain users (or groups of users) the ability to run some (or all) commands as root or another user while providing an audit trail of the commands and their arguments.

Le service de Webmail sécurisé a révélé avoir été victime d’une attaque DDos d’ampleur au cours de la semaine. Pour faire cesser l’attaque, la société a accepté de payer la rançon exigée par les attaquants, mais l’attaque a continué malgré le versement de l’argent.

Neither Snow Nor Rain Nor MITM ... An Empirical Analysis of Email Delivery Security

L’ONG américaine Freedom House a publié ce mercredi un rapport de 40 pages sur la liberté sur Internet [PDF]. Par rapport à l’année passée, la liberté d’accès et d’expression sur le Net a reculé dans 32 pays sur les 65 étudiés. La France en fait partie, tout comme la Libye, l’Ukraine, la Birmanie ou encore la Turquie.

Now that the cat is firmly out the bag, and it's clear that the NSA has cracked the encryption behind, potentially, a huge amount of internet traffic, the question inevitably turns to: what are internet engineers going to do about it ?

BEURK is an userland preload rootkit for GNU/Linux, heavily focused around anti-debugging and anti-detection.

Disponibles directement sur internet, utilisant de plus en plus du code partagé et traitant bien souvent des données sensibles (données bancaires, données clients…), les applications web sont devenues une cible privilégiée d’attaques pour les cybercriminels. Explications.

Switching to systemd-networkd for managing your networking interfaces makes things quite a bit simpler over standard networking scripts or NetworkManager. Aside from being easier to configure, it uses fewer resources on your system, which can be handy for smaller virtual machines or containers.

Nombreux sont ceux qui possèdent un serveur web « dans le cloud », mutualisé ou tout simplement sur un réseau distant et qui le manage à distance. La ligne de commande MySQL peut avoir ses avantages, rapidité, précision, clarté… La possibilité d’ouvrir les services MySQL sur l’extérieur pour manager, questionner ou backuper son serveur fait partie des avantages de ce service. Néanmoins, on oublie souvent la sécurité des échanges MySQL. En effet, ces échanges transitent sur un réseau et qu’ils transportent des informations qui sont très intéressantes pour des personnes qui traînent un peu trop leurs yeux.

Dans les techniques d'authentification normalisées pour un client HTTP, la plus connue et la plus simple est le mécanisme Basic du RFC 7617. Mais elle a plusieurs failles de sécurité, comme le transmission explicite du mot de passe (et qui se fait en clair si on n'utilise pas HTTPS).

Les entreprises plébiscitent la Voix sur IP, synonyme de réduction de coûts et de fonctions à valeur ajoutée pour l’utilisateur. Cependant, les hackers sont aussi de la partie. Voici un petit guide de survie en 20 conseils.

Il y a quelques temps, je faisais état de mon scepticisme quant à une démocratisation de l’auto-hébergement. Mes reproches à l’époque portaient sur des points techniques, la solution, elle, étant humaine: que les gens se regroupent en associations mélangeant des profils techniques et non techniques.

Le projet Tor vise à construire un réseau d’anonymisation, géré par la communauté et donc très robuste à la plupart des attaques courantes.

As of nginx 1.9.5, there is experimental support for HTTP/2. This article will show you how to enable HTTP/2 support in your Nginx configuration. This can be enabled or disabled per vhost, it does not have to be enabled server-wide.

ZFS compression results in workload starvation, partially ameliorated by async_write_max_active

La récente affaire Ashley Madison a démontré une nouvelle fois les nombreuses failles de nos systèmes informatiques et la négligence des utilisateurs à confier leurs données personnelles à tous types de sites

Un peu de sécurité IPv6 sur le réseau local : comment protéger les pauvres machines IPv6 contre un méchant serveur DHCP, qui répond à la place du serveur légitime, et plus rapidement que lui ? Pas de surprise, la solution est la même qu'en IPv4 (DHCP snooping) et est détaillée dans ce RFC : le commutateur bloque les réponses DHCP qui viennent d'un port où aucun serveur DHCP n'est censé être présent.

Le darknet a mauvaise réputation. Pourtant même si tu n’es pas un pedonazi, il y a plein de bonnes raisons d’aller y faire un tour cet été. Ni censure, ni fichage, passe des vacances en toutes libertés.

Grsecurity has existed for over 14 years now. During this time it has been the premier solution for hardening Linux against security exploits and served as a role model for many mainstream commercial applications elsewhere. All modern OSes took our lead and implemented to varying degrees a number of security defenses we pioneered; some have even been burned into silicon in newer processors. Over the past decade, these defenses (a small portion of those we've created and have yet to release) have single-handedly caused the greatest increase in security for users worldwide.

Akamai vient de publier son rapport « État des lieux de l'Internet » portant sur le second trimestre de 2015.

Il n’aura pas fallu longtemps. Vingt-quatre heures à peine après la révélation de la publication en ligne de la base de données des utilisateurs d’Ashley Madison, un important site de rencontres adultères, les noms et les témoignages d’utilisateurs – essentiellement des hommes – affluent dans la presse américaine et sur les réseaux sociaux.

The faster those of us in the security and network operator space can detect a new attack vector, the faster we can come up with ways to slow or stall the growth of that method.

Dans une communication publiée mercredi, le responsable du projet Tor accuse directement les chercheurs de l’université Carnegie Mellon d’avoir été payés par le FBI pour mener une attaque contre le réseau. Objectif de l’opération, désanonymiser les utilisateurs et obtenir leurs adresses IP, normalement masquées sur Tor

Retour vers le futur, la suite sur Internet ? Des chercheurs mettent en évidence les failles de NTP, le protocole de synchronisation des horloges d’Internet. Vulnérabilités qui ouvrent la porte à des attaques par DDoS, mais aussi à la mise en danger des communications chiffrées.

Parfois, certains serveurs sont là depuis tellement longtemps qu’on n’y prête même plus attention. Et pourtant, il arrive qu’ils fassent tourner des applications assez sensible, parfois même critique.

La cryptographie, c’est la pierre angulaire de tout ce qui est plus ou moins sécurisé sur l’Internet numérique digital 2.0. C’est une science qui n’intéressait pourtant, jusqu’à récemment, qu’une poignée d’initiés à la pilosité faciale plus ou moins époustouflante.

Au détour de quelques conversations, nous avons pu nous rendre compte que notre vision de Kinto est celle d'un hébergement communautaire décentralisé plutôt que celle d'un ensemble de petits serveurs personnels. Explications.

The vulnerabilities reside in the Network Time Protocol, the widely used specification computers use to ensure their internal clocks are accurate.

Http2: why the web is upgrading? - bdx.io 2015

Email perfectly embodies the spirit of the internet: independent mail hosts exchanging messages, no host more or less important than any other. Joining the network is as easy as installing Sendmail and slapping on an MX record.

Si vous êtes sous Linux et que vous voulez être absolument certain que l'intégralité de votre trafic passe par le réseau Tor, voici Nipe, un script Perl imaginé par Heitor Gouvea.

Dans ce superbe jeu d'aventure textuel, on pirate des ordinateurs en série dans une ambiance réussie, au seul moyen de commandes informatiques.

Pour ceux qui souhaiteraient s'auto-héberger pour avoir à la maison leur serveur web ou leurs mails, j'ai entamé il y a quelques temps une documentation qui se veut "accessible pour tous" (C'est bien sûr relatif, il faut savoir se servir un minimum d'un terminal). Cela fait un moment que ça traîne, mais je pense pouvoir commencer à en parler un peu plus largement maintenant que le document est plus étoffé (90 pages quand même!).

En 2013, l’émergence des MOOCs (Massive Open Online Courses) a provoqué un emballement général : cette innovation technologique majeure serait capable de révolutionner l’enseignement. Pourtant, à peine 4% des inscrits terminent le visionnage d’une formation en ligne. La révolution numérique au sein de l’enseignement supérieur a-t-elle vraiment eu lieu ? Quels sont les impacts en termes de pédagogie? Existe-t-il des spécificités françaises ?

Le gouvernement encourage le chiffrement des courriels et des données personnelles

La consultation gouvernementale sur le « Projet de loi pour une République numérique » est désormais en ligne. Quelques observations personnelles.

A regular expression is a sequence of characters used for parsing and manipulating strings. They are often used to perform searches, replace substrings and validate string data. This article provides tips, tricks, resources and steps for going through intricate regular expressions.

Le SSH tout le monde le sait, c’est magique. Mais malheureusement ça ne marche pas OOTB.

Similar to my test lab for OSPFv2, I am testing OSPFv3 for IPv6 with the following devices: Cisco ASA, Cisco Router, Fortinet FortiGate, Juniper SSG, Palo Alto, and Quagga Router.

Le Parti Pirate norvégien inaugure un service DNS afin que les internautes puissent contourner le blocage de The Pirate Bay et autres.

HAProxy Starter Guide

We all are aware of what a botnet is, and most of us know the damage that it can cause when some bad actor takes over many of our corporate endpoints. But what we might not know is how easy it is to create botnets.

This is a collection of thoughts on securing a modern Apple Mac computer using OS X 10.11 "El Capitan", as well as steps to improving online privacy.

The TCP/IP Guide

Lynis est un outil d’audit de sécurité pour les systèmes UNIX. Il vérifie le système ainsi que les logiciels installés et crée un rapport sur les éventuels risques de sécurité.

Probably one of the smallest SSL MITM proxies you can make. Only using openssl, netcat and a couple of other standard command line tools.

Securing your IT infrastructure bysecuring your team

During Positive Hack Days V, I made a fast track presentation about eCryptfs and password cracking. The idea came to me after using one feature of Ubuntu which consists in encrypting the home folder directory. This option can be selected during installation or activated later.

Encrypted key transport with RSA-PKCS#1 v1.5 is the most com-
monly deployed key exchange method in all current versions of the
Transport Layer Security (TLS) protocol, including the most re-
cent version 1.2.

Cisco 2015 Midyear Security Report Infographic

As discussed in part 1 of this series, Docker can rightly be classified as a type of mini-host. Just like a regular host, it runs work on behalf of resident software, and that work uses CPU, memory, I/O, and network resources. However, Docker containers run inside cgroups which don't report the exact same metrics you might expect from a host. This article will discuss the resource metrics that are available. The next article in this series covers three different ways to collect Docker metrics.

Il y a quelques temps j'ai fait un screencast sur Youtube, où je présentais comment cracker un mot de passe windows avec Offline Empty Password Registry Editor.
Valable pour la série, windows XP/Vista et 7.

Dans cet article, je clamais mon ras le bol sur les controverses qui gangrénaient de plus en plus la philosophie du hacking -- au sens originel -- que l'on trouvait au sein des communautés linuxiennes. J'avais décidé de ne plus utiliser, volontairement, un de ces systèmes et de confier mes machines au vénérable système d'exploitation qui pique, à savoir OpenBSD.

Demain, les eurodéputés s'exprimeront en session plénière sur le règlement sur les télécommunications, qui comprend un volet sur la neutralité du Net, plus d'un an après leur vote très positif sur ce texte en première lecture.

Le protocole GRE est le plus simple mécanisme de tunnel normalisé. Il est mis en œuvre sur d'innombrables systèmes, et très largement répandu. Pour reprendre la formule de James Raftery, GRE est « The AK-47 of guerrilla networking. Cheap, simple, gets all sorts of dirty jobs done. ». Il ne fonctionnait traditionnellement qu'avec IPv4 mais bien des mises en œuvre de GRE avaient été adaptées à IPv6 depuis longtemps. Ce RFC décrit cette adaptation.

Le portail de l’Académie de Grenoble (site Centre d’Information et d’Orientation) propose en libre téléchargement le Petit guide du logiciel libre et gratuit 7e édition, Mars 2014 (9 pages, en pdf).

A list of XMPP servers available as hidden services for use with the Prosody server and mod_onions

There have been rumors for years that the NSA can decrypt a significant fraction of encrypted Internet traffic. In 2012, James Bamford published an article quoting anonymous former NSA officials stating that the agency had achieved a “computing breakthrough” that gave them “the ability to crack current public encryption.”

Attackers are infecting a widely used virtual private network product sold by Cisco Systems to install backdoors that collect user names and passwords used to log in to corporate networks, security researchers said.

Certain members of Congress and the FBI want to force companies to give the government special access to our data—such as by building security vulnerabilities or giving the government a “golden key” to unlock our encrypted communications. But security experts agree that it is not possible to give the government what it wants without creating vulnerabilities that could be exploited by bad actors.

Qu'est ce que l'authentification forte ? Pourquoi cela permet de mieux sécuriser que la méthode d'authentification classique ? Comment démocratiser sa technique ? Les réponses d'un expert en cybersécurité, en vidéo.

There are two types of information that can be found online about you: the information you intentionally post and the information that is automatically collected.

In this post we'll be focusing on a certain kind of malware: Linux/Xor.DDoS (also known as DDoS.XOR or Xorddos).

Own-Mailbox est une solution se présentant comme « La boîte mail 100% confidentielle ». Surf sur la vague de la vie privée, quitte à faire du bullshit ou vraie solution de protection, une petite analyse rapide de ce nouveau projet.

Whenever we ask curl users what they lack in our project and what we should improve, the response is always clear: documentation.

Recent research on web security and related topics. Provided and maintained by members and friends of the Chair for Network and Data Security, Horst Görtz Institute, Ruhr-University Bochum.

Right now, the FCC is considering a proposal to require device manufacturers to implement security restricting the flashing of firmware. We posted something about this a few days ago, but completely missed out on a call to action.

No matter how tightly you restrict outbound access from your network, you probably allow DNS queries to at least one server.

Windows' network activity continues to be scrutinized amid privacy concerns. Windows 10 was first put under the microscope with both new and old features causing concern.

This morning, we are officially publishing the User Data Manifesto 2.0.

Modern Windows versions add headaches to active VPN users. DNS resolver in earlier versions up to Windows 7 was predictable and made DNS requests in order according to DNS servers preference, just as all other OS. This could lead to DNS Leak only if the DNS server inside the tunnel didn’t reply in time or sent en error, which wasn’t that horrible.

The purpose of this document is to make recommendations on how to browse in a privacy and security conscious manner. This information is compiled from a number of sources, which are referenced throughout the document, as well as my own experiences with the described technologies.

La loi sur le renseignement a donc été votée par la Représentation nationale, puis validée par le Conseil constitutionnel – à quelques détails près qui ne nous intéressent pas ici.