Semaine de la sécurité: DNSSEC a temporairement perdu des clés, FIDO et une astuce Windows étrange ☎ garantie entreprise

L’assurance des risques informatiques

Cette assurance indispensable aux sociétés qui manient de nombreuses données informatiques (SSII, cabinets de conseil, studio de voyage, les entreprises de vente en ligne) couvre ordinateurs par contre aussi les embasement de données et frais de reconstitution si elles sont perdues ainsi qu’à endommagées. “Même un industriel confronté à une grosse informatique risque d’être pénalisé pour tenir ses bail vis-à-vis de sa clientèle et de ne pas avoir la possibilité de réaliser ses livraisons en temps et en heure. Quelle que mettons son activité, le dirigeant d’affaire est intérêt à évaluer l’impact que avoir l’informatique sur son métier”, recommande Damien Palandjian.

Le montant de l’indemnisation dépend de la valeur du matos déclaré et des frais occasionnés selon son rachat et la reconstitution des données (ressaisies, reconstitution de logiciels, suppression des virus…) estimés par un expert.

Publicité
La publicité se termine dans 15s
Fermer la publicité dans 5 s
>> Lire aussi: Trois contrats pour assurer son informatique

5. L’assurance du risque environnemental

“Une entreprise n’ayant pas de lieu industriel et pourquoi pas d’entreposage et non nympho à une autorisation préfectorale pour les risques de pollution, couvrir son risque écologique par le biais de son contrat de responsabilité civile général. En revanche, dans l’hypothèse ou elle est soumise à autorisation préfectorale pour exercer son activité, souscrire un contrat spécifique pour couvrir les atteintes à l’environnement”, précise Damien Palandjian

Les garanties des atteintes à l’environnement (extensions de responsabilité civile professionnelle et pourquoi pas contrats particuliers tel que la confirmation responsabilité environnementale) sont indispensable aux entreprises desquelles l’activité peut offenser à l’environnement (pollution de l’air, de l’eau, des plancher et nappes phréatiques, atteintes à des plateformes web protégés…). Ces toupet s’appuient sur le principe du “pollueur-payeur” : le chef de chose doit réparer le préjudice constaté, causé en sa société. Suivant contrats, la certification couvre la dépollution, les coûts d’évaluation des dommages, la production d’études pour déterminer les actions de réparation et frais administratifs et pourquoi pas judiciaires.

DNSSEC est un système qui vous permet de crypter un DNS sécurisé. Tout est basé sur une clé cryptographique racine maintenue par Internet Assigned Numbers Authority (IANA). Vous êtes-vous déjà demandé où la clé de signature de la clé racine est stockée et comment elle peut être utilisée? Une cérémonie a lieu quatre fois par an au cours de laquelle la clé racine est retirée du coffre-fort physique et des tâches de supervision sont effectuées devant un groupe de témoins.

Un tel événement était prévu pour le 12 février, mais un problème d'adolescent a été découvert. L'un des coffres-forts contenant le support de stockage principal avait un verrou cassé et la clé de signature de la clé racine était inaccessible pendant plusieurs jours pendant la réparation. La nature ouverte de l'IANA signifie qu'une grande partie de leurs opérations sont publiées, et vous pouvez même regarder la cérémonie de signature des clés, qui a finalement eu lieu le 16 février.

OpenSSH ajoute le support FIDO

OpenSSH version 8.2 vient de sortir, et bien qu'il dispose d'un ensemble standard de corrections de bogues et d'améliorations, deux fonctionnalités sont prises en charge par les périphériques d'authentification FIDO / U2F.

U2F, Universal 2nd Factor, est une norme ouverte pour les appareils de reconnaissance tels que Yubikey ou Google, Titan. Avoir un support SSH pour cela est une énorme victoire pour la sécurité. Voici une chose à savoir: le protocole U2F utilise un schéma de réponse de défi, où le défi est d'abord envoyé à un jeton matériel, qui génère ensuite une réponse. Ce schéma est idéal pour la sécurité, mais ne fonctionne pas automatiquement dans l'une des utilisations typiques de SSH. Vous pouvez utiliser U2F pour vous connecter d'un ordinateur local à un hôte distant en connectant physiquement votre clé d'accès au port USB local. Le problème est que si vous devez basculer SSH de cet hôte distant vers un autre hôte, le processus d'authentification à distance n'a plus de moyen d'interagir avec le périphérique USB local. Cela peut sembler sinueux, mais ce scénario est commun à la plupart d'entre nous.

OpenSSH ne semble pas passer automatiquement l'authentification U2F du proxy dans ces cas, mais il existe un outil, PAM_SSH_AGENT_AUTH, qui peut probablement exécuter le proxy automatiquement.

SonicWall

Si nous avons appris quelque chose en regardant les actualités sur la sécurité au cours des derniers mois, cela signifie que même les grandes entreprises qui fabriquent des produits liés à la sécurité ne sont pas à l'abri des problèmes de sécurité. Le dernier rappel de ce truisme? Sonicwall. (Alain Mowat) a examiné un essai de leur produit d'accès distant sécurisé, qu'il a téléchargé en tant qu'image de machine virtuelle. Il a trouvé une attaque par injection SQL courante et un débordement de tampon intéressant. Ce débordement est contenu dans du code qui analyse la chaîne d'agent utilisateur d'une connexion HTTP entrante. Pour Safari, un tampon de onze caractères est créé et le texte de l'agent utilisateur est copié dans le caractère d'espace suivant. Plus aucune vérification n'est effectuée, ce qui entraîne un débordement de tampon et un compromis négligeables.

(Alain) a rendu compte de ses conclusions et Sonicwall a publié un conseil et un correctif. Des mois après la publication de ce correctif, il a effectué une analyse Web partielle, testant un troisième bogue qu'il a trouvé pour un bogue d'annuaire. Après avoir trouvé plusieurs appareils présentant toujours des vulnérabilités, il a décidé de ne publier aucun code d'exploitation.

V4L2

Le pilote de capture d'image du noyau Linux V4L2 avait une erreur liée à la capture Mutex lorsque le flux vidéo a été interrompu. Un objet Mutex ou MUTual EXclusion n'est guère plus qu'un indicateur utilisé pour contrôler quel thread utilise actuellement l'espace mémoire. Deux threads écrivant dans le même tampon endommageront inévitablement ces données, donc mutex est utilisé pour "verrouiller" ces données avant que chaque thread ne les manipule.

L'erreur était que le verrou mutex a été libéré prématurément et quelque peu naïvement. L'attaquant peut gagner les conditions de match et pousser la flèche tampon dans la file d'attente V4L2. Ce curseur indique la quantité de mémoire qui est désormais libérée, ce qui signifie qu'il existe un moyen de distribuer l'objet malveillant et d'exécuter du code au redémarrage du flux. (Alexander Popov) nous guide à travers tout le processus d'exploitation et cela vaut la peine d'être lu.

Étant donné que la vulnérabilité est contenue dans un pilote intelligent et que le noyau Linux empêche un utilisateur non root de charger des modules du noyau, la surface d'attaque ici est très mince. Il a été corrigé en 2019. En fin de compte, cependant, il y a encore un excellent exemple à tirer de l'exploitation du noyau.

Cette astuce Windows étrange

La stratégie de groupe d'utilisateurs Windows est un moyen de restreindre l'accès d'un compte d'utilisateur à votre ordinateur, par exemple en désactivant l'accès au gestionnaire de tâches. (David Wells) nous apporte le petit détour branché que nous avons trouvé. (Il est également responsable du nom du clickbait.)

Cela dépend du comportement par défaut de Windows lors de la vérification de ntuser.man dans le dossier de profil utilisateur. L'emplacement du fichier va être utilisé comme profil de liaison, un paramètre qui s'applique à tous les utilisateurs. Si le fichier n'a pas été créé par l'administrateur, le dossier de profil peut être écrit par l'utilisateur. Alors, devez-vous apporter des modifications pour fournir des avantages supplémentaires? Extrayez-les dans le fichier manquant, déconnectez-vous et reconnectez-vous. Windows trouvera le fichier et le traitera comme s'il s'agissait de l'Évangile.

Crypto AG

Cette semaine, une énorme histoire est apparue sur la société suisse de cryptographie Crypto AG. Il a été fondé par (Boris Hagelin), un cryptographe qui a d'abord fait sa marque en construisant une machine Enigma alternative au M-209 pour les forces américaines pendant la Seconde Guerre mondiale. Après la guerre, il a déménagé en Suède pour créer sa propre entreprise. 1951 Une poignée de main avec (William Friedman) de la CIA signifiait que Crypto AG ne vendait des produits avancés qu'à des parties approuvées.

1970 La CIA et le BND ouest-allemand ont travaillé ensemble pour acheter secrètement Crypto AG à (Hagelin). Avec la NSA, ils ont fourni des dispositifs de chiffrement vulnérables à de nombreux gouvernements à travers le monde, puis ont utilisé leurs connaissances pour déchiffrer le trafic généré par ces machines. L'incroyable stratagème s'est poursuivi au moins à la fin des années 1990, peut-être même en 2018, et ressemble à quelque chose d'un roman de la guerre froide.

Semaine de la sécurité: DNSSEC a temporairement perdu des clés, FIDO et une astuce Windows étrange ☎ garantie entreprise
4.9 (98%) 32 votes