593 shaares
32 results
tagged
Sécurité
Ou comment expliquer RSA didactiquement.
J'aurais voulu avoir un prof de maths comme ça.
La suite ici avec la génération des clés publique/privée :
https://www.youtube.com/watch?v=oOcTVTpUsPQ
J'aurais voulu avoir un prof de maths comme ça.
La suite ici avec la génération des clés publique/privée :
https://www.youtube.com/watch?v=oOcTVTpUsPQ
Tout bonnement excellent ! Une représentation visuelle et animée du fonctionnement d'Enigma.
Parfait pour comprendre le principe de fonctionnement rapidement !
Parfait pour comprendre le principe de fonctionnement rapidement !
Nan mais faut arrêter avec ce hype alarmiste...
Faut bien comprendre que ça induit d'avoir un accès physique à la machine, donc potentiellement avoir accès au disque dur de la dite machine.
Donc toutes les opérations rendues possibles via l'obtention du shell sont déjà réalisables en branchant le disque sur un poste tier...
Faut bien comprendre que le disque chiffré le restera quelque soit le nombre de fois que l'on appuis sur [entrée]... On ne "bypass" pas le chiffrement mis en place !
Quant à brutforcer un disque chiffré, si l'algo et la clé de chiffrement ne sont pas trop déconnant : bon courage !
Faut bien comprendre que ça induit d'avoir un accès physique à la machine, donc potentiellement avoir accès au disque dur de la dite machine.
Donc toutes les opérations rendues possibles via l'obtention du shell sont déjà réalisables en branchant le disque sur un poste tier...
Faut bien comprendre que le disque chiffré le restera quelque soit le nombre de fois que l'on appuis sur [entrée]... On ne "bypass" pas le chiffrement mis en place !
Quant à brutforcer un disque chiffré, si l'algo et la clé de chiffrement ne sont pas trop déconnant : bon courage !
A lire et à partager !
La VACHE !
En scannant les plages d'adressage IPv4, il a trouvé 2 246 VNC ouverts en publique et accessibles sans mot de passe...
Dans le lot : "Usine hydro-électrique, génératrice diesel, système d’aération, métro, silo, haut fourneau, système de production de bio-gaz ou d’eau potable…"
En scannant les plages d'adressage IPv4, il a trouvé 2 246 VNC ouverts en publique et accessibles sans mot de passe...
Dans le lot : "Usine hydro-électrique, génératrice diesel, système d’aération, métro, silo, haut fourneau, système de production de bio-gaz ou d’eau potable…"
Un bon état de l'art de SSl/TLS en 2015 avec à la fin un chapitre sur le futur TLSv1.3
Un site pour tester les entêtes sécurité de votre serveur web.
Un peu plus complet que celui-là : https://report-uri.io/home/tools
Un peu plus complet que celui-là : https://report-uri.io/home/tools
Ehh oui le support du protocole SHA256 pour la signature des certificats SSL n'est pas automatique. Certains navigateurs ne le supporte pas.
CloudFlare a dû mettre en place un système de "fallback" histoire de ne pas défavoriser certains utilisateurs.
Ça sera comme SSLv3, il faudra trancher entre supporter un ancien protocole ou couper la chique aux anciens navigateurs tel que IE6/XP par exemple...
CloudFlare a dû mettre en place un système de "fallback" histoire de ne pas défavoriser certains utilisateurs.
Ça sera comme SSLv3, il faudra trancher entre supporter un ancien protocole ou couper la chique aux anciens navigateurs tel que IE6/XP par exemple...
Mozilla propose un site pour générer une configuration TLS propre et sécurisée pour quelques serveurs :
Apache
Nginx
Lighttpd
HAProxy
AWS ELB
Apache
Nginx
Lighttpd
HAProxy
AWS ELB
Eh oui, c'est bien gentil de mettre du SSL partout, mais les requêtes DNS passent encore en clair sur le réseau.
Cet article propose quelques pistes pour encapsuler le DNS dans du SSL.
A tester...
Cet article propose quelques pistes pour encapsuler le DNS dans du SSL.
A tester...
Alors ça c'est la bonne nouvelle du jour !
TextSecure pour Android devient Signal et intègre RedPhone !!!
Signal est aussi disponible sur iPhone !
Alors plus d'excuses, on peut maintenant chiffrer les SMS et les appels facilement :)
TextSecure pour Android devient Signal et intègre RedPhone !!!
Signal est aussi disponible sur iPhone !
Alors plus d'excuses, on peut maintenant chiffrer les SMS et les appels facilement :)
Deux papiers intéressant sur l'avantage et inconvénient de 3 méthodes d'authentification d'échange chiffré :
- Encrypt then Authenticate
- Authenticate then Encrypt
- Encrypt and Authenticate
http://cseweb.ucsd.edu/~mihir/papers/oem.pdf
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.106.5488&rep=rep1&type=pdf
- Encrypt then Authenticate
- Authenticate then Encrypt
- Encrypt and Authenticate
http://cseweb.ucsd.edu/~mihir/papers/oem.pdf
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.106.5488&rep=rep1&type=pdf
Alors s'il y avait qu'une chose à lire sur SSL/TLS pour avoir un bon résumé clair et net dessus, c'est cet article qu'il faudrait lire !
(via shaarli)
(via shaarli)
Un super add-on pour Firefox afin de gérer sa configuration SSL/TLS aux petits oignons !
Pratique aussi pour débugger des connexions SSL !
Pratique aussi pour débugger des connexions SSL !
Perso, j'ai viré Flash et Java depuis quelques temps, pas moyen d'installer ces deux-là sur un PC connecté à Internet, trop de failles, trop de 0day, et trop c'est trop !
Java n'en parlons pas, mais depuis l'adoption progressive des vidéos compatibles HTML5, Flash devient de plus en plus inutile :)
Java n'en parlons pas, mais depuis l'adoption progressive des vidéos compatibles HTML5, Flash devient de plus en plus inutile :)
Ouhhh la belle vulnérabilité qui vient de sortir !
Je kiff le vecteur d'attaque... On est bien en 2015 ? :]
Je kiff le vecteur d'attaque... On est bien en 2015 ? :]
Hum, chais pas chez vous, mais ici on commence à recevoir les premiers scan spécifiques "ShellShock".
Pour les bloquer/logger niveau Apache, il faut installer mod_security et y coller les règles suivantes :
SecRule REQUEST_HEADERS "^\(\) {" "phase:1,deny,id:1000000,t:urlDecode,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule REQUEST_LINE "\(\) {" "phase:1,deny,id:1000001,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule ARGS_NAMES "^\(\) {" "phase:2,deny,id:1000002,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule ARGS "^\(\) {" "phase:2,deny,id:1000003,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule FILES_NAMES "^\(\) {" "phase:2,deny,id:1000004,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
Et ensuite faire un petit grep dans les logs d'erreur Apache sur "CVE-2014-6271" afin de visualiser les scan bloqués !
[edit] Un petit exemple d'un scan : https://wtf.roflcopter.fr/paste/?8688981c796da8c9#NmbBfe3QzYPk+FA0YUifrg5Z0JjcoIt0raa0kLsTKiM=
Pour les bloquer/logger niveau Apache, il faut installer mod_security et y coller les règles suivantes :
SecRule REQUEST_HEADERS "^\(\) {" "phase:1,deny,id:1000000,t:urlDecode,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule REQUEST_LINE "\(\) {" "phase:1,deny,id:1000001,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule ARGS_NAMES "^\(\) {" "phase:2,deny,id:1000002,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule ARGS "^\(\) {" "phase:2,deny,id:1000003,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
SecRule FILES_NAMES "^\(\) {" "phase:2,deny,id:1000004,t:urlDecode,t:urlDecodeUni,status:403,log,msg:'CVE-2014-6271 - Bash Attack'"
Et ensuite faire un petit grep dans les logs d'erreur Apache sur "CVE-2014-6271" afin de visualiser les scan bloqués !
[edit] Un petit exemple d'un scan : https://wtf.roflcopter.fr/paste/?8688981c796da8c9#NmbBfe3QzYPk+FA0YUifrg5Z0JjcoIt0raa0kLsTKiM=
Triste triste nouvelle :(
"This is all a sign of things to come, and a reflection on the sad state of an
industry that should never have become an industry."
"This is all a sign of things to come, and a reflection on the sad state of an
industry that should never have become an industry."
Cool cool cool ! Il a sorti une version php de son CryptoChat \o/
C'est en prod ici : https://wtf.roflcopter.fr/chat/
C'est en prod ici : https://wtf.roflcopter.fr/chat/
Miam, coupez/upgradez si votre ntp est public et tourne dans une version inférieure à 4.2.7 (c'est le cas en Debian 7, il faut attendre l'update du package ou compiler la nouvelle version).