Documente Academic
Documente Profesional
Documente Cultură
Tiger-2.2.4
Tiger est un ensemble de scripts qui recherche dans un système les faiblesses qui
pourraient permettre à une utilisation non-autorisée d'en changer les configurations,
d'accéder à la racine ou de modifier des fichiers systèmes importants. A l'origine, Tiger
fut développé à l'université du Texas A&M. Il peut être chargé à partir de l'adresse
suivante : tamu.edu. Il existe plusieurs versions de Tiger disponibles :
· Tiger-2.2.3 pl, la dernière version en date avec des scripts check_devs et
cheek_rhost actualisées.
· Tiger-2.2.3 pl-ASC, une version disposant de contribution du Arctic Regional
Supercomputer Center ;
· Tiger-2.2-4 pl, version du tiger -2.2.3 avec support linux.
Logcheck 1.1.1
Logcheck est un script qui analyse les fichiers journaux des systèmes et recherche toute
activité inhabituelle ainsi que les attaques. Bien entendu, cela veut dire qu'un intrus n'a
pas encore obtenu l'accès au répertoire de l'hôte et ne peut donc modifier les fichiers
journaux . L'un des gros problèmes dans la maintenance des fichiers journaux est la
quantité d'information collectée sur des systèmes importants, l'analyse (par scanning)
manuelle des fichiers journaux peut demander plusieurs jours. Logcheck simplifie le
contrôle du journal système en classant les informations reprises dans le journal et en
l'envoyant par e-mail à l'administration système.
Logcheck peut être configuré de manière à n'envoyer dans un rapport que les
informations que vous souhaitez et ignorer celles que vous ne désirez pas.
Logcheck peut être chargé sur : Téléchargement Logcheck
C'est l'un des éléments du projet Abacus, un système de prévention d'intrusion.
Cependant, tous les éléments ne sont pas encore stables. Logcheck est basé sur un
programme de contrôle de journal appelé " frequentchech.h ", un élément du Gauntlet
Firewall Package. Le script logcheck.sh est installé sur /usr/local/etc/, ainsi que les fichiers
des mots clés. Le script peut être chargé sur : Logcheck Script
Tripwire
Tripwire est un des outils les plus connus et les plus utiles dans la détection d'intrusion et
la récupération qui s'en suit. Tripwire crée une base de données de signatures des
fichiers dans le système et lorsqu'il est exécuté en mode comparaison, il prévient les
administrateurs système des changements dans le système de fichiers. La différence
entre Tripwire et Tiger est que le premier est spécialisé dans les programmes de
signature de fichiers et peut utiliser de multiples fonctions de hashing pour générer des
signatures digitales générales.
Tripwire a été développé par le laboratoire Computer Opérations Audit and Security
Technology (COAST).
La version publique disponible Tripwire 1.2, est disponible sur : Tripwire.com
Snort
Snort est un système de détection d'intrusion, son auteur est Martin ROESH, il est léger,
pas d'interface graphique, peu coûteux en ressources.
Snort permet définition précise des signatures, détecte les entêtes et dans le contenu des
paquets dans IP, TCP, UDP et ICMP, détection de Nmap (Scan, OS fingerprint), des petits
fragments, dénis de service et de débordement de Buffer (script kiddies) .
Snort peut être chargé sur : Snort.org
Introduction
La plupart des entreprises a encore des difficultés à concevoir que leur sécurité peut être
défaillante. Ceci est particulièrement vrai dans un contexte de PME-PMI. Chaque structure
préfère croire que les pertes de données n'arrivent "qu'aux autres" et argue souvent que
les audits effectués par des sociétés spécialisées type SSII sont trop onéreux pour leur
budget.
Dans tous les cas, voici une synthèse des quatre principales méthodes disponibles sur le
marché :
1. La méthode Feros
2. La méthode Méhari
3. La méthode Marion
4. La méthode Melissa.
La méthode FEROS
La méthode FEROS signifie : Fiche d'Expression Rationnelle des Objectifs de
Sécurité des Systèmes d'Information.
Elle part du constat simple que les Responsables Informatiques sont généralement
chargés de veiller sur :
- le bon fonctionnement des matériels et réseaux de communication de
l'entreprise,
- l'intégrité des données qui circulent, sont sauvegardées et archivées.
Partant de ce constat, il est donc primordial de définir des objectifs de sécurité à mettre
en oeuvre dans l'entreprise.
Pour ce faire, il faut commencer par déterminer les besoins de la structure auditée :
- identification des données cruciales,
- détermination d'un seuil de tolérance de disponibilités ou inaccessibilité des dites
données
- identification des impératifs légaux incontournables qu'il faut respecter.
Une fois les grands axes de cette politique définis, il est important selon la méthode
FEROS de s'interroger sur les menaces que l'entreprise peut rencontrer :
- piratage amateur à vocation ludique,
- piratage professionnel à la solde de la concurrence,
- piratage d'un personnel interne en colère contre l'entreprise etc .....
Cette méthode émane du SCSSI et vous la retrouverez intégralement sur leur site.
Notre opinion : Cette méthode possède le gros avantage d'être simple d'appréhension
pour un non initié à la technique. Fonctionnelle et structurée cette méthode permet de
réagir rapidement et pourquoi pas de préparer le travail d'une société extérieure qui sera
chargée d'approfondir chaque point soulevé par l'application de cette méthode. En effet,
elle nous semble être un bon moyen de "préparer le terrain" et donc réaliser des
économies substantielles en ne faisant appel à des spécialistes qu'une fois le terrain
déblayé.
La sécurité et l'Open Source
Introduction
Depuis Linus Torvalds et son système Linux, l'Open Source s'est considérablement
développé. Mais qu'est-ce que l'Open Source ? C'est le fait de rendre public le code
source d'un logiciel. L'Open Source est régie par un ensemble de licences, dont la plus
connue est la GNU Public License. Ce code source n'est donc plus la possesion privée
d'une personne, d'un groupe de personne, ou d'une société, comme c'était le cas depuis
la naissance de l'informatique dans les années 60, jusque dans les années 80/90. Les plus
grandes entreprises emboitent actuellement le pas des développeurs indépendants et
proposent à leur tour des logiciels de qualité professionnelle en Open Source. Mais
derrière cet effervescence intellectuelle, quelles sont les conséquences, en matière de
sécurité, pour les projets Open Source ?
Les avantages
Qu'il soit étudiant, professionel, ou tout simplement amateur et quelque soit son niveau,
ses méthodes, sa culture, sa nationalité, le programmeur a accès au code. Il peut donc le
relire pour le comprendre et anticiper le debuggage. De ces lectures croisées de
nombreux bugs sont décelables. Parmis ces bugs, il y en a certainement qui touchent
directement la sécurité du logiciel, comme les buffers overflow. On appelle cela des trous
de sécurité applicatif.
Un autre avantage de l'open source est le fait que la communauté réagisse plus
rapidement dans la correction d'un bug. Cela arrive même fréquemment que le
programmeur qui découvre un bug propose aussi le patch qui permette de le corriger,
lorsque l'information est rendue publique. Les sociétés traditionnelles de logiciel mettent
plus de temps car leur structure est plus hiérarchisée, plus grosse et donc moins réactive.
Les inconvénients
Le fait de mettre le code accessible à tout le monde est risqué : Si une personne
découvre un trou de sécurité, rien ne l'empèche de le garder pour lui en vue d'en tirer un
profit quelconque. Un trou de sécurité ne peut être corrigé que s'il est connu. Donc tant
que des hackers gardent leurs informations pour eux, le logiciel cible ne sera pas corrigé.
Et cela peut prendre des mois.
Conclusion
Tout le monde sait que baser la sécurité sur un programme propriétaire n'est pas
sécurisant : N'importe quel hacker peut désassembler le code jusqu'à comprendre
comment la protection est faite. C'est un fait. C'est pourquoi l'open source est
généralement considéré comme plus sécurisant qu'un code propriétaire. Comme nous
l'avons vu, il n'en est rien. Le seul fait qui aille dans le sens de l'open source, c'est qu'un
bug de sécurité est en général plus rapidement découvert, et donc plus rapidement
corrigé.
Les Sauvegardes
Introduction
Que vous soyez un particulier ou une entreprise, une sauvegarde peut vous tirer
d'affaire dans bien des cas.
Que vous soyez victime d'une attaque, d'un crash système, d'une défaillance
matérielle, etc. ; seule une sauvegarde vous permettra de restaurer entièrement le
système dans son état originel. Encore faut-il qu'elles soient bien faîtes !
Simplement, il reste difficile de faire un choix approprié dans la jungle des choix
disponibles dans le monde de la sauvegarde. C'est le but de cet article : vous aiguiller
dans votre choix.
L'essentiel réside dans le repérage des données à sauvegarder. Tout n'est pas, ni
important à sauvegarder, ni modifié à chaque instant.
Par exemple, il peut être judicieux d'effectuer une sauvegarde quotidienne des
données importantes et une sauvegarde mensuelle (si possible bootable) du système.
La sauvegarde bootable du système permettra une restauration automatique de celui-
ci. La sauvegarde des données permettra leur restauration à tout instant.
La politique de sauvegarde
Tout dépend du rythme de modification de vos données. Un serveur bancaire national
supportant plusieurs milliers d'écritures à l'heure n'aura pas les mêmes besoins en
terme de sauvegarde qu'un serveur d'applications modifié une fois par mois...
Une fois le rythme des sauvegardes évalué, il ne vous reste plus qu'à déterminer le
type de sauvegarde. Il existe principalement 3 type de sauvegardes :
L'utilisation de plusieurs bandes est primordiale ; d'une part, pour en éviter l'usure et,
d'autre part, pour supprimer le risque de tout perdre en cas de détérioration de celles-
ci.
Vous l'aurez compris, il faudra fixer un lieu de stockage pour ces bandes. Il est de bon
ton de les conserver dans un endroit à l'abri du feu et des inondations. L'idéal étant de
les conserver dans un coffre ignifugé, ainsi qu'une copie de ces bandes sur un site
distant (Ce qui porte à 32 le nombre des bandes).
Outils de planification de sauvegarde
Une fois la politique de sauvegarde choisie, le choix de l'outil dépendra de vos affinités
avec tel ou tel éditeur. Tous les logiciels de sauvegarde ont à peu près les mêmes
caractéristiques et possibilités.
Un des critères pourra être la plateforme système que vous utilisez. Certains logiciels
tournent mieux sur certaines plateformes.
Dans le cas d'Unix, n'oublions pas non plus les scripts (par exemple : ufsdump lié à
cron) qui bien utilisés vous permettront de développer les mêmes fonctionnnalités.
Voici un tableau non exhaustif qui vous présente les types de supports les plus connus
ainsi que leurs caractéristiques principales :
Aucune mention n'a été faîte des SANs (Storage Area Network) qui, bien que
technologie de sauvegarde, rentrent davantage dans l'architecture réseau de
l'entreprise. Mais il ne faut pas ignorer cette technologie pour les plus grosses
entreprises ayant besoin de sauvegardes à la volée et ne souhaitant pas surcharger les
machines et le réseau.
Conclusion
Les sauvegardes font partie de manière plus globale de la politique de sécurité des
données. Que ce soit suite à un crash système, un crash matériel ou une infiltration
malveillante (hack), une sauvegarde peut vous faire économiser parfois tout un mois de
travail.
Introduction
Bien qu’il soit très difficile d’obtenir des chiffres précis sur les cyber-attaques, tout le
monde s’accorde à dire qu’elles sont en constante augmentation. De différentes formes,
de différentes natures et avec des cibles à la fois professionnelles ou privées, chaque
internaute peut être confronté un jour ou l'autre à ce type de problématique.
La plupart du temps les particuliers pensent que cela ne sert à rien, tandis que la majorité
des chefs d’entreprise ou de leurs directeurs informatique craignent de faire connaître un
piratage. Ils préfèrent ne rien dire plutôt que d’inquiéter leurs clients et leurs internautes
en avouant que leurs systèmes ne sont pas à 100% fiables. Malheureusement, se taire
n’a jamais permis de faire avancer les choses, et les pirates informatiques se considèrent,
grâce à ce silence, trop souvent comme intouchable.
La France dispose d’une législation précise sur le sujet et les pirates sont passibles de
sanctions parfois conséquentes. C'est pourquoi, il ne faut pas hésiter à l’utiliser si vous
êtes victime d’une tentative de piratage, que l’attaquant réussisse ou non à la mener à
bien.
Comment réagir ?
La première chose à faire est de réunir les éléments suivants :
1- Une trace informatique de tout ce qui vous a fait penser à une attaque,
remontée de logs par exemple, traces d’un troyen sur votre machine, fichier
encrypté d’un keylogger etc…. La police vous demandera de leur en fournir un
exemplaire sur support magnétique qu’ils verseront à votre dossier en même
temps que la plainte pour tout remettre au Procureur de la République.
4- Une liste, la plus complète possible, de tous les préjudices subis par l'attaque.
Dans un second temps, il faut identifier auprès de qui vous allez pouvoir porter plainte.
Gardez en tête que c'est le lieu de l'attaque (machine victime) qui est l'élément
déterminant.
1- Pour les machines sur Paris ou sur la petite couronne la B.E.F.T.I est le principal
interlocuteur. La Brigade d'Enquêtes sur les Fraudes aux Technologies de
l'Information se trouve au 163 avenue d'Italie - 75 013 Paris. Standard :
01.40.79.67.50. Les enquêteurs de la B.E.F.T.I. sont spécialisés dans les crimes
informatiques sous toutes leurs formes et sont par ailleurs à l'écoute.
La plainte déposée a pour but de décrire l’attaque, sa réussite ou son échec, les
éventuels dommages qui peuvent en résulter ainsi que toutes les autres conséquences
(perte de temps pour vérification de l'intégrité du site ou des données, pertes d'argent,
perte de crédibilité auprès des internautes ou des clients de l'entreprise etc...). La police
envoie ensuite au parquet votre dossier qui décidera ou non d’instruire le dossier.
Conclusion
Ce type de démarche peut sembler vaine et inutile, mais ce n’est pas le cas !
Note du webmaster
Nous avons concrétisé cette démarche en portant plainte contre X qui a
attaqué Securiteinfo.com par scanner de CGI. Son attaque était si importante
que nous avons plus de 2 Mo de logs de son activité. Nous attendons la suite
des évènements, et nous irons jusqu'au bout de la procédure pénale en vue de
faire cesser ces activités douteuses. A bon entendeur...
Patches sécurité
et mises à jour système
Introduction
Se connecter sur internet avec un bon vieux windows 95 doté du meilleur des firewalls
doublé du dernier IDS en se croyant protégé est une bien belle illusion.
Un système correctement patché est protégé contre les attaques les plus répandues (je
n'ai pas dit contre toutes les attaques). Ainsi, il est bon de faire entre 2 et 4 mises à
jour du système par an (selon la cadence de sortie des patches correctifs).
ATTENTION : Cette page ne se veut pas complète ni une référence en la matière... Elle
fournira une aide minimale aux personnes cherchant les sites de mise à jour des
systèmes... En aucun cas, elle n'explique la façon de mettre à jour un système...
Le CERT
C'est une organisation de sécurité internet qui possède une liste de diffusion bien connue
sur laquelle elle publie chaque jour les dernières failles de sécurité trouvées sur tout type
de système et de logiciel en donnant bien souvent le moyen de s'en protéger.
Se désinscrire de la liste
Cliquez ici pour vous désinscrire.
Dans tous les cas, préparez des filtres car il y a énormément de trafic sur cette mailing
list !! C'est son principal défaut.
De façon plus simple, vous pouvez vous inscrire uniquement aux listes des constructeurs
dont vous trouverez un inventaire non exhaustif ci-dessous (dont la plupart est en
anglais)...
MICROSOFT
patches sécurité : Cette page renvoie sur les patches sécurité de la majorité des
systèmes Microsoft (NT, 2000) ...
last security bulletins : cette page contient les dernières alertes sécurité pour les produts
Microsoft et souvent le lien vers les patches correctifs.
Services Packs : ici vous trouverez les fameux services packs de Microsoft !
Windows NT4 : ici, vous trouverez les téléchargements utiles pour Windows NT Server
(Services Packs + Correctifs)...
Windows 2000 : Cette page vous renverra (entre autres) sur les Critical Updates, les
Recommended Updates et les Services Packs...
Pour finir, vous trouverez sur ce site de compaq des listes de diffusion pour DOS,
Windows et Windows NT.
MANDRAKE
Toutes les mises à jour sécurité Mandrake.
Vous pouvez aussi souscrire un abonnement à la liste de diffusion sécurité en cliquant ici
REDHAT
Tous les patches de mises à jour
Vous pouvez vous inscrire à la Mailing list sécurité en allant sur ce site .
DEBIAN
Tous les patches sécurité de la Debian se trouvent ici.
Il existe cependant une liste générale pour la progeny debian à laquelle vous pouvez vous
inscrire.
SLACKWARE
Voir le ChangeLog.txt ici(lip6) ou là(univ-lyon).
Par ailleurs, il existe deux listes de diffusion des mises à jour Slackware ; il s'agit de
slackware-announce ou de sa version condensée (un message par jour) slackware-
announce-digest.
Il existe également des listes concernant la sécurité sur le même principe : slackware-
security et sa version condensée slackware-security-digest.
SUSE
Vous pouvez télécharger les dernières mises à jour sur ce site et consulter les dernières
annonces en matière de sécurité ici.
De plus, vous pouvez vous inscrire aux listes de diffusion de sécurité en vous rendant sur
ce site où vous aurez à cocher suse-security et suse-security-announce, entrer votre
adresse email et valider par OK.
CALDERA OPENLINUX
Sur ce site, vous trouverez les derniers avis de sécurité concernant Caldera OpenLinux
ainsi que les liens dans chaque avis vers le patch corrigeant le problème.
Du reste, vous pouvez aussi télécharger les patches et mises à jour à cette adresse.
Mailing list : Aucune mailing list dédiée aux Mises à jour & avis de sécurité recensée.
ICE PACK
Cette distribution est assez jeune et ne dispose d'aucun système de diffusion des patches
et avis de sécurité.
En outre, vous ne trouverez que des news releases à vérifier régulièrement sur le site
officiel.
D'ailleurs, sur la page d'accueil, vous pourrez souscrire à une liste vous permettant de
recevoir une newsletter régulièrement.
OPENBSD
Les derniers avis de sécurité sont diffusés sur cette page ou sur cette liste.
De plus, il existe une liste pour les annonces importantes (changement de version, etc.)
et une autre pour les bugs.
NETBSD
Vous trouverez les derniers avis de sécurité ici ou des discussions concernant la sécurité
sur cette liste.
Vous avez la possibilité de télécharger les patches sécurité sur le serveur ftp.
A l'instar d'OpenBSD, il existe une liste pour les annonces concernant NetBSD et une
autre pour les bugs.
FREEBSD
Bien que peu pratique, vous trouverez le centre des avis de sécurité et des derniers
patches sur les 6 sites ci-dessous (à vous de trouver le plus rapide).
http1 ftp1
http2 ftp2
http3 ftp3
http4 ftp4
http5 ftp5
http6 ftp6
De même, vous trouverez les dernières versions des packages sur l'un des 6 sites ci-
dessous :
ftp1
ftp2
ftp3
ftp4
ftp5
ftp6
QNX
Grâce au repository sur internet, on peut updater régulièrement le système
Reportez-vous au site (en français !) http://www.qnx-fr.com pour savoir comment faire.
Le repository correspondant est http://www.programmationworld.com/repository/ .
UNIX Family
SUN SOLARIS
Sur cette page, vous pourrez télécharger les patches individuels ou le dernier security
cluster patch qui rassemble tous les patches sécurité nécessaire à un système. Prevoyez
du temps pour le téléchargement (une cinquantaine de mégas).
D'autre part, vous pouvez vous inscrire à la liste de diffusion Security Bulletin (remplacez
les crochets inclus par votre adresse email).
IBM AIX
Là, il faut avouer qu'ils n'ont pas fait très pratique... C'est pourtant un bon système
commercial... Dommage...
Malgré tout, ce site vous permet de trouver les fixes pour les systèmes IBM en fonction
du type de server que vous possédez (sélectionnable à droite).
Le site principal vous permet de sélectionner vos rubriques par matériel.
Tandis que cette page vous permet de sélectionner vos rubriques selon la version de
votre système.
Sur cette page, vous avez la possibilité de vous inscrire à la liste de diffusion des avis de
sécurité. (plutôt conseillé)
Enfin, vous pouvez également vous inscrire à la liste de diffusion des mises à jour du
microcode sur les architectures à base de RS-6000 ici.
HP-UX
Malheureusement, comme quelques produits commeciaux, vous avez besoin d'un accès
(login/mot de passe) pour pouvoir bénéficier des dernières annonces de mises à jour ainsi
que des derniers patches (envoyés sous forme de CDs tous les 3 mois environ).
Ce site vous permet d'accèder aux différentes rubriques (derniers patches, dernières
mises à jour...) où il faudra vous identifier.
IRIX (SGI)
Vous pouvez avoir accès aux derniers avis de sécurité ou directement aux derniers
patches liés à la sécurité.
De façon plus générale, vous avez aussi la possibilité de rechercher les patches qui vous
intéressent de façon plus précise sur ce site et notamment les patches sécurité (dans la
rubrique Patch Search, sélectionnez la catégorie security).
Enfin, vous disposez d'une liste diffusant les avis de sécurité à laquelle vous pouvez vous
inscrire.
TRU64 UNIX (ex DIGITAL UNIX depuis 1999, lui-même ex ULTRIX depuis
1996)
Vous trouverez les patches pour toutes les versions (y compris les anciennes versions de
DIGITAL UNIX) sur ce site.
Vous pouvez également vous enregistrer à la liste de diffusion de Tru64 ici.
A noter que sur ce site, vous pouvez souscrire à la version digest de la liste (un gros mail
par semaine ou par jour, c'est selon)...
De plus, vous trouverez des listes pour DOS, OpenVMS, Ultrix, Windows et Windows NT
(rien que cela).
De façon plus spécifique, vous disposez des derniers patches pour Tru64 sur cette page
et les derniers avis de sécurité sur cette autre page.
Remarque : Vous disposez des derniers patches pour Ultrix sur ce site.
Conclusion
Soyons honnêtes, il vous sera difficile d'aller sur les sites pour consulter les avis de
sécurité tous les jours.
En cela, l'inscription à une liste de diffusion concernant directement votre système est
une bonne solution. Encore faut-il que vous les consultiez régulièrement.
Il est donc de bon ton de se fixer un moment précis de la semaine (vendredi matin par
exemple) pour vous permettre de consulter les avis de sécurité de la semaine et
sélectionner ceux qui vous concerne.
Dès que vous le jugerez nécessaire, il vous faudra appliquer les différents patches non
sans oublier de sauvegarder votre système auparavant.