Logo

Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

lundi 28 juillet 2008

Changeons-nous les idées...

Cerveau

C

ela fait près de trois semaines que ces histoires de faille DNS monopolisent la bande passante et le temps de cerveau disponible. Heureusement pour nous, le monde ne s'est pas pour autant arrêté de tourner. Alors, maintenant que vos serveurs sont patchés, autant remettre un peu le nez dehors.

Quelques lectures futiles donc, pour changer de sujet, et réfléchir deux secondes :

Lire la suite...

Note : 4.3/5 pour 8 votes

mercredi 23 juillet 2008

DNS encore, peut-être une solution...

Surprenant, non ?

J

e décrivais hier les propositions de Halvar Flake et Thomas Ptacek. Et vous faisais également part de mes interrogations sur leur fonctionnement. En effet, je me suis quand même dit que tout ça méritait quelques vérifications. J'ai donc monté rapidement un serveur DNS récursif pour l'occasion. Il s'agit d'un BIND 9.5.0, provenant du paquet fournit par la Sid de Debian. Il est configuré sans forwarder et tape donc directement les serveurs racines.

Et se faisant, je ne suis pas parvenu à faire fonctionner les attaques proposées, et en particulier celle de Ptacek. Loin de baisser les bras, je me suis mis à essayer des variantes, basées d'une part sur l'observation de requêtes spécifiques et la lecture d'un peu de documentation, en particulier la RFC 2181. Et finalement, c'est passé...

Lire la suite...

Note : 5.0/5 pour 10 votes

mardi 22 juillet 2008

La faille DNS, ou la fuite qui casse la baraque...

Grosse fuite

O

ui, oui, c'est bien ce que vous pensez. Le fameux bug DNS qui tient la presse en haleine depuis deux semaines a finalement été (re)découvert. Et c'est précisément l'hypothèse de Halvar Flake que je vous signalais hier en update qui remporte la palme. Ou presque.

Comment est-ce qu'on le sait ? Parce que Matasano a malencontreusement leaké la réponse. Dans un billet rapidement retiré, Thomas Ptacek confirme et explicite la solution. Malheureusement pour lui, le net oubli peu de choses, et le contenu se retrouve à présent mirroré et commenté à pas mal d'endroits. Vive les caches. Kaminsky, de son côté, ne commente pas, mais confirme et recommande de patcher vite :)

Lire la suite...

Note : 5.0/5 pour 6 votes

lundi 21 juillet 2008

Pwnie Awards 2008

Pwnie awards

Ç

a y est. Les nominations pour les Pwnie Awards 2008 sont annoncées. Voilà qui conclue un mois durant lequel chacun aura pu proposer ce qui lui passait par la tête dans chacune des catégories proposées. Et je dois avouer que cette année non plus, la sélection n'est pas piquée des vers et tiens tout à fait la route face au palmarès de l'an dernier.

On notera l'introduction de deux nouvelles catégories, Most Epic FAIL et Lifetime Achievement, portant leur nombre à neuf. Pour la liste des nominés et mes choix personnels, que vous pouvez appeler pronostics si ça vous chante, pour chacune d'entre elles, c'est par ici...

Lire la suite...

Note : 4.5/5 pour 2 votes

mercredi 16 juillet 2008

Une faille est un bug comme les autres (ou presque)...

Pensif

C

e n'est pas moi qui le dit. C'est Linus Torvalds qui l'affirme dans un thread sur la LKML qui sombre bien vite dans le troll. Et au passage d'en passer une petite couche sur nos amis adeptes d'OpenBSD.

Si on peut trouver la boutade plaisante, ce n'est cependant pas le fond du problème. La question porte sur le traitement des bugs de sécurité au sein du noyau, lesquels sont souvent corrigés silencieusement, ou sans description permettant d'en comprendre les conséquences. Pour ne pas donner de grain à moudre aux script kiddies paraît-il...

Lire la suite...

Note : 5.0/5 pour 2 votes

mercredi 9 juillet 2008

DNS, DNS, DNS...

Mars Attacks

G

ermaine, sort le deux-coups, le riz, les boites de cassoulet, les bouteilles d'eau et les sacs de sable, l'Internet mondial est en train de sombrer. À pic. Façon Titanic. Et oui chers lecteurs, DNS vient de prendre un coup de douze. Un autre. Et probablement pas le dernier.

J'ai l'air taquin comme ça, mais ne vous y trompez pas. Vu comment les éditeurs se sont bougés le cul pour corriger le problème, il y a bien quelque chose qui ne tourne pas rond. C'est clair. Mais d'ici à sombrer dans l'alarmiste crétin, voire un crétinisme alarmant, il y a un pas que d'aucuns devraient peut-être se garder de franchir...

Lire la suite...

Note : 4.2/5 pour 13 votes

mercredi 2 juillet 2008

Casser du MD5 avec classe... Ou pas...

Double casse

L

ors de la conférence BlackHat Europe 2008, et précedemment à Kiwicon 2007, Nick Breese a annoncé être capable de calculer 1.9 milliards de hachages MD5 par seconde sur sa Playstation 3. Ce chiffre, pour le moins suprenant, a été mis en doute par de nombreuses personnes. Par la suite, la présentation a été modifiée sur le site officiel et les liens retirés de la page des publications. Et pour cause, le véritable résultat ne serait que de 80 millions de MD5 par seconde.

Cette présentation a cependant généré un gros buzz dans les médias, d'autant plus que l'auteur proclame être le premier à faire ça, alors que tout le monde sait que c'est moi : "I haven't seen any implementations of this technique anywhere else". Ce qui prouve encore une fois que l'utilisation de Google n'est pas à la portée de tous. Bien sûr, un rapide coup d'œil sur son code, du niveau de aping, ou sur l'efficacité de son implémentation aurait du immédiatement alerter le public.

Lire la suite...

Note : 4.5/5 pour 8 votes