Mon coeur saigne .. et ca fait mal ! Vulnérabilité sur OpenSSL

La nouvelle est plutôt mauvaise, une vulnérabilité a été découverte dans le paquet openssl, et pas une petite ! Le bug nommé Heartbleed permet à quiconque de lire la mémoire d’un serveur à distance, autant dire qu’une mise à jour est rapidement à faire.

Pour vérifier si vous êtes concernés :

openssl version
openssl version
OpenSSL 1.0.1g 14 Feb 2013

Voila une petite liste des versions atteintes par le bug :

  • OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
  • OpenSSL 1.0.1g is NOT vulnerable
  • OpenSSL 1.0.0 branch is NOT vulnerable
  • OpenSSL 0.9.8 branch is NOT vulnerable

Mettez au plus vite votre systeme à jour !

apt-get update
apt-get upgrade

ou

yum update
yum upgrade

En pensant bien à redémarrer tous les services utilisant openssl !

Toutes les infos sur un site dédié à cette sacrée vulnérabilité. (Source Heartbleed)

Opération Windigo : ESET vous demande de vérifier votre serveur !

Windigo un vilain malware sévissant depuis maintenant 2 ans est toujours aussi menaçant, avec dans sa besace environ 10 000 serveurs GNU/Linux, et une liste de victimes comprenant des noms importants (cpanel, kernel.org …)
Au programme de Windigo:

  • Envoie massif de spam
  • Infection des utilisateurs visitant le site d’un serveur compromis

Pour éviter de contribuer à ces diffusions néfastes un simple commande peut vous rassurer :

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

A noter que ce malware n’utilise pas une vulnérabilité SSH mais a été installé à la mano par la team derrière le malware. Si vous êtes infecté une seule solution : passez par la case formatage.

Retrouvez le rapport complet de l’analyze de Windigo ici.

Sécuriser un serveur Ubuntu 12.04 ou 14.04 (ClamAV,UFW,Fail2Ban,Rkhunter,Chkrootkit,LMD)

Un serveur gnu/linux est souvent considéré comme sûr de base, mais il convient tout de même d’installer un antivirus et un firewall. La présence potentiel de rootkit et autre webshell sur une machine qui fait de l’hébergement web requière l’installation de logiciels adaptés.

Aujourd’hui je vous propose un script sur Github fonctionnant sur Ubuntu 12.04 et 14.04 lts et qui intègre tout ces logiciels avec en prime la mise en place de notifications emails sur une base journalière. Voyons le listing dans le détail :

  • Configuration de l’envoi d’email
  • Configuration d’UFW pour un accès SSH
  • Installation et configuration de Rkhunter
  • Installation et configuration de Chkrootkit
  • Installation et configuration de Fail2Ban
  • Installation et configuration de ClamAV
  • Installation et configuration de Linux Malware Detection

Pour l’envoi d’email sur un serveur il faudra vous munir des identifiants et de l’adresse du serveur smtp pour que cela fonctionne.
Attention à correctement définir le port SSH car la configuration du firewall intégré à Ubuntu sera faite pour n’autoriser que SSH de l’extérieur.
Pour détecter les menaces de type rootkit, Rkhunter et Chkrootkit seront installés et avec une mise à jour et un scan par jour avec notification email.
Pour déjouer les forces brutes sur le port SSH, Fail2ban sera configurer avec notification email.
La détection des virus sera assuré par ClamAV et les malwares (webshell par exemple) seront détectés par LMD avec une mise à jour et un scan par jour avec notification email.

Attention tout de même aux faux positifs notamment avec Rkhunter et Chkrootkit ! Un RTFM est obligatoire sur chaque warning et chaque error ;)

Voila vous pouvez respirer maintenant !

Sécuriser Ubuntu avec LMD : Linux Malware Detect

Au détour de mes recherches, je suis tombé sur Linux Malware Detect qui est un utilitaire pour scanner votre serveur à la recherche de vilaines bébêtes. Il peut utiliser ClamAV comme moteur de scan meme s’il utilise sa propre bibliothèque de signature. Voila le guide d’installation et de configuration.

Installation

Pour l’installation rien de plus simple :

wget www.rfxn.com/downloads/maldetect-current.tar.gz
tar xvfvz maldetect-current.tar.gz
cd maldetect-*
./install.sh

Mettre à jour le script :

maldet -u

Configuration

Un configuration plus avancée peut être faite dans le fichier de configuration comme :

  • Gestion des envoies d’email
  • Activation de la quarantaine
  • Permission aux non root de lancer un scanner

Le tout se fait ici :

vim  /usr/local/maldetect/conf.maldet 

Utilisation

Les scans de LMD permettent de :

  • Monitorer l’activité des users
  • Scanner des paths spécifiques
  • D’utiliser les meta caracteres (le ? remplace le *)
maldet --monitor users
maldet -a /home/user/dir
maldet -a /home/?/

Une autre option intéressante est la soumission d’un fichier a rfxn :

maldet -a /home/user/suspect_file

La sécurité informatique en ce moment …

Entre la BlackHat2k12 qui vient de se passer et les nouvelles que KasperSky donne sur le réseau, force est de constater que les états ont totalement changé de strategie sur les menaces numériques. Ce que le bob Bush fils a fait avec la guerre preventive, les états l’appliquent allègrement sur le terrain numérique en ce moment même.
Quelques exemples:
– on ne presente plus StuxNet qui a fait planter les centrifugeuses iraniennes
– récemment Flame/DuQu/Gauss ont fait parler d’eux sur les transactions bancaires du moyen orient
– de nombreux nouveaux malwares sont trouvés avec des degrés de sophistication étonnants
A cote de ca les exploits bios et js sont de plus en plus pointus, et comme la plupart du temps les états s’alimentent chez les plus ingénieux codeurs du milieu il ne fait aucun doute que dans l’avenir une utilisation massive en sera faite. De plus le temps de transfert de technologies critiques dans d’autre secteurs est de plus en plus court.
Aucun doute que les firmwares des cartes meres, lecteurs de CD/DVD-ROM,cartes réseau sont plombés dans la majeur partie. Cela implique que même un OS spécialisé qui est monté sur une machine plombé ne verra meme pas l’envergure de l’attaque.
La sécurité informatique prend de plus en plus le chemin de la sortie de l’interconnexion, et l’exemple le plus flagrant est l’initiative de la PirateBox. Un spot géographiquement delimité et inaccessible via le Réseau des réseaux.
Mais l’avenir est tout autre, les applications de réalité augmentée montre par bien des aspects la similitude avec la stéganographie, et si les applications d’accès sont suffisamment sécurisées il devient impossible d’intercepter un message car il transite via un objet complètement déconnecté du contenu du message. C’est l’acces au logiciel qui devient primordial, la VS (Virtual Steganography) va bientôt éclore et cela va radicalement changer la donne.
Dans tout les cas l’informatique qui existera dans 5 ans sera bien different …