Tous les articles par Rouby

FreeBSD – Disque chiffré et boot sur clé USB

liAttention – Documentation partielle !
Cette exercice a été abandonné en cours d’installation.
Partial installation.

Après la Clé USB bootable chiffrée sous OpenBSD, le Disque chiffré et boot sur clé USB sous Linux et le Système bootable chiffré sur deux clés USB interdépendantes (et suite) sous Linux, voici le disque chiffré et boot sur clé USB sous FreeBSD.
Objectifs :
1. Chiffrer l’intégralité du disque dur ;
2. Placer le nécessaire pour le démarrage uniquement sur une clé USB amovible ;
3. Permettre le démarrage du système sans saisir de mot de passe.

Basé sur le tutoriel :
http://namor.userpage.fu-berlin.de/howto_fbsd9_encrypted_ufs.html

L’exercice est réalisé avec le DVD1 de FreeBSD V10.0 RELEASE amd64.

Continuer la lecture de FreeBSD – Disque chiffré et boot sur clé USB

Station Linux et serveur Windows

Nous allons réaliser ici la première étape pour intégrer des stations Linux dans un domaine Microsoft Active Directory de niveau fonctionnel 2003. L’intégration dans un domaine AD de niveau 2008 et plus sera abordé une prochaine fois.

Conditions de départ de l’expérience :

  • Station : Ubuntu Linux 13.10, installation de base 64bits sans paquet supplémentaire.
  • Serveur : Microsoft Windows 2003 R2, domaine Active Directory activé, niveau de fonctionnalité 2003.
  • Domaine : MONRESEAU.NET

La documentation ci-dessous s’appuie beaucoup sur l’article ‘koo.fi blog – Ubuntu 12.04 Active Directory Authentication‘.

Plan :

  1. Station – Installer et configurer Kerberos
  2. Station – Installer et configurer Samba
  3. Station – Création du fichier Keytab
  4. Station – Régénération automatique du ticket Kerberos
  5. Station – Installer et configurer LDAP
  6. Serveur – Configurer les comptes utilisateurs AD
  7. Station – Configurer NSS
  8. Station – Configurer PAM
  9. Fin
  10. Liens
  11. Annexes

Sur la station, toutes les commandes sont lancées en tant que root ou, mieux, via sudo.

Continuer la lecture de Station Linux et serveur Windows

Le bonheur, c’est dans la tête

« Je voudrais être heureux. »

Certains détruisent la vie, les autres, le monde pour se réchauffer le cœur. Les extrémistes et intégristes politiques, religieux et/ou philosophiques semblent impatients de transmettre la terreur et la haine pour assurer leur propre bonheur.

D’autres partagent au contraire l’amour, l’amitié, la compassion et l’humanité. Individuellement, via une association caritative ou humanitaire, on transmet un peu de bonheur à quelqu’un qui en a besoin pour en retirer soi-même du bonheur.

Si des comportements opposés amènent du bonheur, c’est peut-être tout simplement qu’ils ne sont pas la source du bonheur. La phrase « Je voudrais être heureux » est en elle-même un aveux d’échec, celui qu’on le cherche encore. Le bonheur ne se recharge pas, ne se remplit pas, ne sature pas, ne se vole pas.
Le bonheur est un état d’esprit, il se décrète.
Le bonheur, c’est dans la tête.

Le masque

Aujourd’hui, l’actualité informatique est secouée par la révélation du logiciel d’espionnage Careto. Cette révélation est à mettre au crédit de la société Kaspersky qui a mis au jour une bonne partie de l’ensemble du réseau de victimes et de serveurs de C&C.

Il est encore trop tôt pour en tirer des enseignements. Mais déjà il y a plusieurs remarques à faire.

On ne sait pas (officiellement) qui est le commanditaire de ce système perfectionné de piratage qui prend pour cible des gouvernements, des missions diplomatiques, des activistes et de grandes sociétés. Les différents graphes présents dans l’étude nous renseigne un peu sur le contexte des cibles mais pas sur les vraies motivations des pirates. Tout au plus on insiste fortement sur le caractère très organisé de ceux-ci, ce qui laisse penser plutôt à une organisation gouvernementale. Je pense que la diffusion des vrais adresses IP derrières les statistiques nous en apprendraient beaucoup plus sur l’identité réelle ou la parenté des cibles, et donc des motivations des attaquants. La répartition des cibles dans quelques pays du monde donne un centre de gravité qui ne semble lié ni à la Russie, ni à la Chine et ni au USA. Mais ça n’est pas une preuve d’absence et le reste n’est que spéculation.

Si le programme malveillant ne s’était pas attaqué à une vulnérabilité ancienne est depuis longtemps connue d’un des produits de la société Kaspersky, celle-ci n’aurait pas fait l’effort d’analyser le code du programme et n’aurait peut-être pas découvert l’ampleur du problème. Donc il y en a sûrement d’autres classés comme virus mais pour lesquels ont n’a pas relevé la complexité et la gravité.

Il y a encore une fois l’utilisation de vulnérabilités 0-days. La victime est très classiquement corrompue par un lien dans un email. Les serveurs permettant la compromission du poste gèrent de multiples systèmes d’exploitations, y compris à priori des smartphones et tablettes. Le système de maintient en place du logiciel malveillant (APT) est très évolué. En 7 ans, aucun flux réseau anormal n’a attiré l’attention lors de l’exfiltration de documents.

Enfin, il faut bien se rendre compte que ce n’est que le sommet de l’iceberg qui ressort. Ce réseau pirate est en fonctionnement depuis 7 ans et a semble-t-il changé de technologie en cours de route. On a eu Stuxnet, Flame, Duqu et maintenant on a aussi Careto. On a eu les américains, les israéliens, les chinois et maintenant des hispanophones…

Document original : http://www.securelist.com/en/downloads/vlpdfs/unveilingthemask_v1.0.pdfCopie locale : careta_unveilingthemask_v1.0

careto_04s

Sélectionner un OS sécurisé en entreprise : ne pas faire d’erreur dès la première étape

Au détour d’une recherche de renseignements sur de la crypto, je tombe sur l’article Selecting a Secure Enterprise OS: Don’t Make the First Step the Wrong Step.

Je lit l’article de 2005, un peu amusé.
Et aujourd’hui, en 2013, qu’en est-il ?

Et bien aujourd’hui, malgré les incertitudes de l’auteur, Linux n’a pas disparu, ni FreeBSD d’ailleurs. C’est pire encore, il y en a absolument partout!

Comparer le cycle de développement de Microsoft avec les autres OS est un peu osé. Surtout si l’on met en avant la mise à jour du noyau Linux en deux étapes, donc plus long que le même processus chez MS. Or l’histoire a montré que la communauté réagissait plus vite dans les corrections de failles que la société multi-milliardaire en dollars et en machines installées.

Dire que les patchs de Linux peuvent introduire des confusions et des problèmes de gestion, c’est en partie faux. Ce peut être éventuellement le cas si on change radicalement de version ou de distri. Mais c’est faux si on reste sur une distri dite stable ou à support allongé.

Enfin, comparer la gestion des mises à jours chez MS et sur BSD ou Linux est trompeur. MS fait bien son boulot, oui à condition de ne considérer que les logiciels MS à l’exclusion de tout autre. Or dans la vraie vie, on trouve aussi bien sur stations que sur serveurs un grand nombre d’applications tierces dont il faut assurer le suivi au jour le jour. C’est par exemple Flash ou Java. Certains éditeurs font de grands efforts mais chacun travaille dans son coin. Et ce travail de suivi est éreintant. Ah, on me dit que c’est justement un des arguments contre le mode de développement de Linux… Sauf qu’une distribution Linux intègre le suivi de toutes les applications qu’elle propose, et cela va bien plus loin que l’OS et quelques outils. Il est ainsi bien plus facile de tenir à jour un parc Linux qu’un parc Windows, même à long terme.

Si on ajoute en plus de problème de suivi des licences, le casse-tête des applications propriétaires généralement sous Windows n’a pas d’équivalent dans le monde du logiciel libre.
Ah, on me dit que cela ne fait plus partie de la première étape…

Système bootable chiffré sur deux clés USB interdépendantes – suite

Il y a plusieurs choses qui peuvent être améliorées dans le système bootable chiffré sur deux clés USB interdépendantes.

C’est un peu technique et aucune solution complète n’est fournie. Si vous voulez les mettre en place, il va falloir gratter par vous même. Continuer la lecture de Système bootable chiffré sur deux clés USB interdépendantes – suite

Ajout de photos

De nouvelles photographies ont été ajoutées aujourd’hui. Les quatre ont été réalisées en Colombie :
photo.starend.org 2013.09.25img_9648co
photo.starend.org 2013.09.25img_9650panoco
photo.starend.org 2013.09.28img_9856co
photo.starend.org 2013.09.28img_9847co

_img.1024x1024

_img.1024x1024

_img.1024x1024

_img.1024x1024

Ces mêmes photos sont aussi sur le site web Colombia es Pasion :
colombiaespasion.co 2013.09.25img_9648co
colombiaespasion.co 2013.09.25img_9650panoco
colombiaespasion.co 2013.09.28img_9847co
colombiaespasion.co 2013.09.28img_9856co