Archives du mot-clé Linux

SSF : Secure Socket Funneling

Qu’est-ce que c’est que SSF ?
A première vue un nouveau forwardeur de ports dans le style de socat mais quand on regarde les différentes pages de la section howto on s’aperçoit que l’outil offre vraiment des fonctions intéressantes comme le transfert de fichier, la gestion d’UDP, les tunnels SOCKS, la création dynamique de port forwarding le tout avec un mécanisme de clés publiques/privées bref un outil bien complet pour Windows et Linux 🙂

Firejail : une sandbox pour Linux

Quand on pense sandbox sous Linux on pense éventuellement à Limon, Qubes ou de l’instrumentation de Qemu/VirtualBox/VMWare… quitte à sortir un peu du sujet.

Firejail est une sandbox qui peut s’utiliser à la fois pour déterminer le fonctionnement d’un programme (donc plus comme Limon) mais aussi plus simplement pour restreindre le fonctionnement d’une application légitime et réduire l’impact dans le cas d’une éventuelle exploitation (donc plus comme Qubes).

Une double vision qui devrait plaire aux utilisateurs experts comme aux novices. D’autant plus qu’un utilitaire nommé Firetools permet de lancer facilement des applications en sandbox.

Firejail se base sur les Linux namespaces, un mécanisme apparu sur le kernel Linux 3.8.

2 distribs de pentesting : Parrot Security OS et ArchStrike

On connait bien les Kali Linux et Pentoo mais d’autres distributions Linux de sécurité existent. En voici deux supplémentaires à découvrir.

C’est le cas de Parrot Security OS, une distribution téléchargeable en dur ou utilisable dans une version cloud.
Des VPS pré-installés sont aussi vendus pour 8 euros par mois.

L’autre distribution c’est ArchStrike, anciennement ArchAssault.
Basé évidemment sur ArchLinux, elle dispose d’un sacré arsenal d’outils de sécurité.
Site officiel : archstrike.org

Linux Mint piraté : un ISO backdooré

Via Linux Mint, CybelAngel :

Le WordPress utilisé par le site officiel de Linux Mint a été pénétré par un ou plusieurs hackers baptisé(s) Peace.

Ils ont modifié la page de téléchargement pour faire pointer le lien du dernier ISO vers une version qu’ils avaient préalablement modifié pour y ajouter un trojan IRC bien connu.
Il semble que la détection ait été faite grâce à des utilisateurs qui ont remarqué sur le moment un différence avec le hash md5 (alors que les pirates ont aussi mis un checksum pour leur version mais ils ont du merder quelque part) ou tilté sur le lien suspect.

Dans tous les cas l’équipe de Mint a réagit rapidement, seul quelques centaines de personnes auraient téléchargé l’ISO vérolé.

Quand aux pirates ils semblent avoir lâché l’affaire : le seul C&C qui était en ligne a désormais son domaine expiré.

maybe : surveiller les actions d’un programme sous Linux

Maybe est un outil basé sur la librairie python-ptrace.

Il intercepte les syscalls liés aux accès fichiers pour déterminer l’activité du programme et les annule en même temps (les actions n’ont pas réellement lieu mais la valeur de retour est modifiée pour faire croire au programme que ça fonctionne).

Evidemment il convient malgré tout de faire tourner maybe et le programme analysé (s’il est potentiellement malveillant) dans une machine virtuelle.

Qubes 3.0 et BackBox Linux 4.4

Deux distributions orienté sécurité, chacune avec une vision différente, sortent une nouvelle version.

Qubes est disponible en version 3.0 finale. Cette version se base sur les Hypervisor Abstraction Layer pour rendre le système indépendant du système de virtualisation utilisé en fond.

Quand à BackBox Linux, qui se veux une alternative à Kali, la route continue avec une version 4.4. Une base Ubuntu et un kernel à jour, des nouvelles applis, etc.