Twitter

5

Posted by Jappy | Posted on 12-06-2010

UnrealIRCd 3.2.8.1 : Version avec porte dérobé

Category : Web sécuritaire

Tags: , , , ,

Nous avons reçu un message de Bram Matthys (Sysop) qui annonce que la version 3.2.8.1 disponible sur certain des miroirs et disponible, depuis longtemp dĂ©ja, a Ă©tĂ© remplacer par une version avec un trojan ( un porte dĂ©robĂ© ). Le trojan permet a une personne d’Ă©xĂ©cuter n’importe quel commandes avec les privilèges de l’usager qui Ă©xĂ©cuter le serveur. Le trojan est peut etre Ă©xĂ©cuter sans regard au restriction d’usager ( meme si le serveur est protĂ©gĂ© par un mot de passe ou configurer en  » hub » avec interdiction de connection  ).

Il apparait que le remplacement du .tar.gz original est arrivĂ© en novembre 2009 ( au moins sur quelques miroirs ). Il semble que personne n’est remarquĂ© ceci jusqu’a maintenant.

Évidemment , c’est un problème tres sĂ©rieux, et nous prenons les prĂ©caution nĂ©cĂ©ssaires afin que ca ne se reproduisent jamais et si ca ce reproduit que ce soit remarquĂ© rapidement. Nous allons re-implĂ©menter la signature PGP/GPG des versions. MĂŞme si dans la pratique peu d’utilisateur le font, il sera toujour utile pour ceux qui le font.

Version sécuritaire

  • Les version windows ne sont pas affectĂ©.
  • Les version sur CVS ne sont pas affectĂ©.
  • Version 3.2.8 et prĂ©cĂ©dante ne sont pas affectĂ©
  • n’importe quelle version 3.2.8.1 tĂ©lĂ©chargĂ© avant le 11 octobre 2009 ne sont pas affectĂ©

Comment vérifier si vous utiliser une version avec Trojan

Deux facon:

La première est de vĂ©rifiez la signature du fichier tĂ©lĂ©chargĂ© en Ă©xĂ©cutant la commande ’ md5sum Unreal3.2.8.1.tar.gz ‘ sur lui.

Version avec porte dérobé : 752e46f2d873c1679fa99de3f52a274d

Bonne version : 7b741e94e867c0a7370553fd01506c66

L’autre façon est d’Ă©xĂ©cuter cette commande sur le repertoire Unreal3.2 : grep DEBUG3_DOLOG_SYSTEM include/struct.h .

Si vous obtenez une réponse de 2 lignes, vous utiliser une version avec porte dérobé.

Si aucune rĂ©ponse, vous ĂŞtes sĂ©curitaire et rien d’autre a faire

Quoi faire si vous avez une version avec Trojan

De toute Ă©vidence, Vous avez besoin de faire ceci si vous avez confirmĂ© que vous utiliser une version avec porte dĂ©robĂ©, comme mentionnĂ© ci-dessus. Sinon il ne sers a rien de continuer, si votre version est celle du 13 Avril 2009 et rien d’autre.

Solution:

  • Re-tĂ©lĂ©chargĂ© une version sur le site de http://www.unrealircd.com
  • VĂ©rifier la signature md5 ( ou SHA1 ), voir prochaine sections
  • Recompiler et redĂ©marrer UnrealIRCd

La porte dĂ©robĂ© est dans le noyau de Unrealircd , il n’est pas possible de « nettoyer » UnrealIRCd sans un redĂ©marrage ou par un module.

Comment vérifier si votre fichier est la version officiel

Vous pouvez vĂ©rifier en Ă©xĂ©cutant la commande  » md5sum Unreal3.2.8.1.tar.gz « , il donneras comme rĂ©ponse :     7b741e94e867c0a7370553fd01506c66  Unreal3.2.8.1.tar.gz

Pour référence , Voici les md3sum de tout les fichiers:

7b741e94e867c0a7370553fd01506c66  Unreal3.2.8.1.tar.gz
5a6941385cd04f19d9f4241e5c912d18  Unreal3.2.8.1.exe
a54eafa6861b6219f4f28451450cdbd3  Unreal3.2.8.1-SSL.exe

Ceux-ci sont exactement les mĂŞme que les md5sums mentionnĂ© le 13 Avril 2009 dans l’annonce original dans la mailing list 

http://sourceforge.net/mailarchive/forum.php?thread_name=49E341E0.3000702%40vulnscan.org&forum_name=unreal-notify

Finalement

Il prĂ©sente ces excuse a propos de cette faille de sĂ©curitĂ©. Ils n’ont tout simplement pas vu , mais aurais du le voir.

Ils n’ont pas vĂ©rifiez les fichier sur les mirroirs , mais aurais du le faire.

Ils n’ont pas signĂ© les version avec PGP/CPG, mais aurais dĂ» le faire.

L’avis original , non traduit ( et ces mises Ă  jour ) est affichĂ© Ă  : http://www.unrealircd.com/txt/unrealsecadvisory.20100612.txt

EspĂ©rant que vous continuerai d’etre un utilisateur de Unrealircd.

traduction du mail original

Posted by Jappy | Posted on 22-05-2010

DĂ©mission chez dronebl.org

Category : Web sécuritaire

Tags: , , , , ,

Le fondateur et operateur du site de Liste noir dronebl.org , William Pitcock (nenolod), quitte ces fonctione immédiatement , a cause de contrainte de temps et émotionnelle. La suite de la mission seras assumer parAlexander Maassen ( OutSider ). Nenolod continue de preter sont soutien logisitique en fournissant le serveur qui soutien le site et la base de donnée .

Selon ces dires , Son processus de dĂ©cision a Ă©tĂ© long , mais mĂŞme si il as apprĂ©ciĂ© son travail sur le projet, il etais  devenu Ă©vident pour lui que le projet Ă©tait devenu un projet assez mature pour que la communautĂ© puisse l’orienterelle meme vers son dĂ©veloppement futur. Il est maintenant temps pour lui,  de commencer Ă  travailler sur d’autres projets.

Suite a son dĂ©part , le site a eu une petite embrouille dans la base de donnĂ©e . certain on abuser de leur clĂ© RPC pour embrlouiller tout ca, OutSider a donc  dĂ©cider de repartir la base de donnĂ©e a zĂ©ro , c’est a dire :

  • La base de donnĂ©e a Ă©tĂ© mise a zĂ©ro
  • Toute les clĂ© RPC ont Ă©tĂ© enlever / rĂ©voquer ( les clĂ©s RPC servent a envoyer des requetes pour mettre des ip sur la liste nour )
  • Tous , on a reprĂ©sentĂ© une requĂŞte pour avoir une nouvelle clĂ© RPC et chaque cas seras analysĂ©

Pour ceux qui avais , sur leur serveur , une base de donnée miroir ( rbldns ) peuvent demandé une copie par courriel ou sur IRC

Nous espérons que le service sera toujour aussi fiable , car nous en dépendons beaucoup étant donnée le peu de liste noir orienté pour IRC

Bonne chance a OutSider dans ces nouvelles fonctions :-)

1

Posted by Jappy | Posted on 20-05-2010

Un Proxy intelligent ?

Category : Web sécuritaire

Tags: , , , ,

Sur irc , les proxys sont synonymes d’attaques, de floodeur etc.Souvent utiliser pour protĂ©gĂ© l’anonimat des malfrats, les proxy sont pour les gestionnaire de site web, une plaie , difficile a contournĂ© .

 Au dĂ©part, les proxy etait utiliser par les utilisateur poru accĂ©lere leur connection internet base vitesse en tĂ©lĂ©chargeant une premiere fois , une page web, et la gardĂ© en mĂ©moire , ainsi accĂ©lĂ©rer la vitesse  de l’internet . lorsque nous somme en 56ko , nous comprendrons que cette astuce Ă©tait tres utile …

Cette astuce a servi aussi les internautes qui dĂ©sirait gardĂ© leur anonymat sur le web , ainis en ce connectant sur un site tiers, nous restons hors de la vue des site visitĂ©, qui eux doivent voir que le site tiers … cependant ce genre de site , pour utiliser ou vendre les donnĂ©es mis en caches,  ex: les adresses courriels , les numĂ©ro de cartes de crĂ©dit , et pire , les nips « numĂ©ro d’identification personnels », bref, un danger pour les utilisateur qui voulais ce protĂ©gĂ©…

Maintenant , les gestionnaires de sites webs , les webmestres , peuvent aussi utiliser le meme principe, en ce servant d’un cache, ils rendent leurs pages disponible plus rapidement, et si probleme de disponibilitĂ© du serveur , le site reste en ligne meme si le serveur est hors-service un certain moment . Tout simplement gĂ©nial .

 Si en plus le proxy, pouvait servir de anti-menace du web , une sorte d’anti-virus mais inversĂ© , les menaces, injections de codes, utilisateur de failles, Dos. Bref la plupart des soucis que les webmestres  redoutent.

Bonne nouvelle , le site web Project Honey Pot ( pot de miel pour attirer les floodeur de commentaire ) , font la promotion d’un tel service, connu sous le nom CloudFlare . Le service est en mode BĂ©ta sur invitation seulement.

 Avec CloudFlare, vos sites web seront plus rapide, plus sĂ»r, plus intelligent. En mettant en caches le contenu statique du site web ( ce qui ne change pas) vous utiliser moins de bandes passantes, vous libĂ©rĂ© vos ressources pour vos utilisateur .Cloudflare bloque, directement a la source mĂŞme , les menaces connus, met en quarantaine les codes malveillants et les injections et permet de nettoyer  internet. Et vous pouvez analyser le traffic des robots d’exploration , vous rester en ligne si votre serveur tombe en panne et vous bĂ©nĂ©ficier du support de la communautĂ© cloudflare.

Déja le site webami, irc-blog et irc-web sont  configurer sur ce service , en test, et cest tres rapide ! Longue vie a CloudFlare