9 results for tags
ssl x
-
SSL Server Test
# Test du système tls/ssl du navigateurFri Jun 16 02:19:38 2017 - permalink -
https://www.ssllabs.com/ssltest/viewMyClient.html
# Tentatives de sécurisation
https://addons.mozilla.org/fr/firefox/addon/dnssec-validator/
https://addons.mozilla.org/fr/firefox/addon/ssleuth/
https://addons.mozilla.org/fr/firefox/addon/certificate-patrol/
Petite liste tiré d'ici :
https://blog.imirhil.fr/2015/12/08/extensions-vie-privee.html
# OVH s’engage auprès de Let’s Encrypt pour la fourniture gratuite de certificats SSL
https://www.ovh.com/fr/news/cp2056.ovh_sengage_aupres_de_lets_encrypt_pour_la_fourniture_gratuite_de_certificats_ssl#xtor=ES-4-[news]-20151208-[hosting-guide-btn]- https://www.ssllabs.com/ssltest/index.html
-
proxy SSL :: Votre patron espionne-t-il vos communications cryptées ?
"Un arrêt récent de la Cour européenne des droits de l’homme autorise la surveillance des flux web des salariés. Utiliser des flux chiffrés HTTPS n’est pas une solution, car on peut les déchiffrer. Voici un guide pour savoir si votre employeur est un petit Big Brother."Fri Jun 16 01:35:27 2017 - permalink -
Exemples : proxy SSL en sortie de réseau de boite
http://www.01net.com/actualites/comment-le-ministere-des-finances-espionne-le-trafic-web-de-ses-collaborateurs-610140.html
Et plus généralement
http://www.01net.com/actualites/un-faux-certificat-ssl-s-attaque-aux-utilisateurs-de-google-538846.html
Voir aussi :
la
http://liens.azqs.com/GeekNik/?Vykbvg
Et la
https://liens.azqs.com/GeekNik/?8DsG7w- http://www.01net.com/actualites/votre-patron-espionne-t-il-vos-flux-ssl-faites-le-test-612328.html
-
SSL/TLS - Benjamin Sonntag
Sources libres (dont les pdf)Wed Jul 20 00:59:50 2016 - permalink -
http://www.iletaitunefoisinternet.fr/ssltls-benjamin-sonntag/index.html
Voir aussi la chaine vidéo
https://www.youtube.com/channel/UC3XOjhFanQUsBr3hT-SIzcQ- https://www.youtube.com/watch?v=7SEp9C1aBFE
-
Pourquoi obliger le SSL par défaut est une grosse connerie | Sam & Max
<Mon Apr 4 03:10:15 2016 - permalink -
"HTTPS fonctionne sur le principe d’autorités centrales. Vous devez obtenir un certificat auprès d’une autorité de confiance ../..
En clair, forcer SSL partout, c’est donner la main à quelques grosses boites pour décider qui a le droit d’être sur le Web ou pas"
"Par ailleurs, si un chiffrement généralisé de qualité permettrait d’éviter la surveillance de masse, le chiffrement via SSL ne le permet pas.
En effet, un gouvernement a juste à générer des certificat validé par les registrars pour chaque site visité. On sait depuis Prism qu’ils le font"
Dans les commentaires :
"Faudrait déjà que les navigateurs implémentent DANE (en gros on met le certificat dans le DNS, donc pas besoin de CA). Mais ça implique de déployer DNSSEC, d’où l’argument de la simplicité." explications à la suite
> "Si l'AC DigiNotar est reconnue comme AC de confiance par un client TLS (exemple Firfox), elle peut signer des certificats pour n'importe quel nom"
http://www.bortzmeyer.org/6698.html
> Voir aussi ce billet au sujet proche
http://liens.azqs.com/GeekNik/?Vykbvg- http://sametmax.com/pourquoi-obliger-le-ssl-par-defaut-est-une-grosse-connerie/
-
0day : Qu’est ce qu’un Zero Day ? + conseils de sécurisation
# Exemples failles/vers/virus:Thu Dec 24 00:23:04 2015 - permalink -
- Heartbleed : faille de la bibliothèque cryptographique OpenSSL
- POODLE : touche le protocole SSLv3 et permet grâce à une attaque de type Man In The Middle de faire sauter le chiffrement
- Stuxnet : Menaces sur les environnements informatiques industriels. Attaque des équipement Scada
http://korben.info/securite-scada.html
- Regin est un outil de cyber-espionnage (vers furtif) : Pour s’implanter dans un réseau, Regin utilise des failles zero day
- Bios : Exemple de Computrace, trouvé par hasard par Kaspersky
http://korben.info/computrace-lojack-absolute.html
#biz
- TheRealDeal Market : Accessible via Tor, achat de 0days.
- Des sociétés comme Vupen ( France), ReVuln, Arc4dia ou Zerodium, avec pignon sur rue, en ont fait leur fond de commerce légal.
et aussi : Amesys/Hacking Team/Trovicor/Gamma >> http://surveillance.rsf.org/category/societes-ennemis-internet/
Le gouvernement américain, pour le compte de la NSA, a dépensé plus de 25 millions de dollars en achats de 0Day.
- http://www.zerodayinitiative.com : permet aux chasseurs de 0Days de se faire rémunérer pour leur découverte tout en divulguant la vulnérabilité de manière responsable et dans un but correctif.
# Tucs
- L'article liste quelques outils anti 0day (pour serveurs) : renforcement du contrôle des accès : sous Linux des outils comme SELinux, AppArmor ou encore Grsecurity. Sous Windows EMET (Enhanced Mitigation Experience Toolkit) sécuriser les environnements Windows.
#caisses à outils d’espionnages
kits Angler, Nuclear Pack et Neutrino : Distribuer du malware grâce à des zéro Day
http://korben.info/les-vulnerabilites-utilisees-par-hacking-team-en-cours-de-correction-et-dexploitation.html
Remote Control Systems (RCS)de la Hacking Team : incluant les outils DaVinci et Galileo- http://korben.info/n-0day.html
-
Routeurs :: La securité par SSL et ssh est merdique
<<Wed Dec 23 23:02:24 2015 - permalink -
" A l’origine de cette « communauté de certificats par défaut », les plateformes de développement fournies par les fabricants de composants, qui sont utilisés « tel que » par quasiment tous les producteurs de routeurs. "
../..
"L’étude énumère une sinistre ribambelle de risques : « Impersonation, man-in-the-middle or passive decryption attacks ». "
http://www.cnis-mag.com/routeurs-soho-troues-by-design.html
# Problème possible dans les Bios
- Exemple de Computrace
http://korben.info/computrace-lojack-absolute.html
- Routeur de marque Linksys ou Netgear, backdoor présente sur le port TCP/32764
http://korben.info/le-port-32764-ouvert-sur-les-routeurs-linksys-et-netgear-est-une-backdoor.html
- D-Link backdoor : remplacer le User Agent de votre navigateur par la chaine suivante : xmlset_roodkcableoj28840ybtide
Puis d’accéder à l'interface d'admin du routeur.
http://korben.info/backdoor-les-routeurs-d-link.html
- Tenda
paquet UDP reçu sur l'interface interne via le réseau filaire ou sans-fil et commençant par la chaîne w302r_mfg suivie du caractère nul = l'exécution privilégiée de n'importe quelle commande sur le système.
http://sid.rstack.org/blog/index.php/598-router-backdoor-reloaded
# moteurs de recherche (scan de ports,route, certificats)
>> Shodan
https://www.shodan.io (papa : John Matherly)
http://www.liberation.fr/futurs/2014/05/11/objets-connectes-tous-hackes_1015008
>> Censys
https://censys.io
Censys est un moteur de recherche qui collecte toutes les données qu'il peut sur les appareils connectés en IPv4 sur le net. Pour cela, il utilise le scanner de ports open source ZMap (+ ZGrab) et stocke tout ce qu'il récupère dans une base de données, qui est ensuite accessible via l'interface web, une API ou carrément des listings en texte brut à télécharger.
http://korben.info/moteur-de-recherche-objets-connectes.html
#cas concrets
>> Piratage de feux rouges, en 2006, à Los Angeles.
http://korben.info/piratage-de-voiture-de-telephones-et-de-feux-rouges.html
>> Le fabricant d’équipements réseau Juniper a détecté du «code non autorisé» dans un de ses systèmes d’exploitation. Des failles inquiétantes pour les clients. Explications.
Les failles affectent ScreenOS, le système d’exploitation qui équipe les routeurs pare-feu des gammes NetScreen, ISG et SSG.
http://www.liberation.fr/futurs/2015/12/21/espion-es-tu-la_1422269
http://www.zataz.com/oups-un-code-malveillant-dans-les-firewalls-juniper-networks/
#outils
- Wireshark : Analyseur de trafic : dissecteurs de nombreux protocoles. Ces dissecteurs permettent de décoder les trames brutes du réseau afin de présenter les informations des protocoles dans un format humainement lisible.
- Portspoof est capable de simuler plus de 8000 fausses signatures
http://korben.info/embrouiller-les-scans-de-ports.html
# Import export et entubage
Journaliste américain Glenn Greenwald : la NSA piège de nombreux routeurs vendus par des firmes américaines (Cisco, Juniper, Dell) et destinés à l'export. D'autres équipements sont aussi concerné...
http://www.numerama.com/magazine/29353-nsa-routeurs-serveurs-backdoor.html- http://www.cnis-mag.com/routeurs-soho-troues-by-design.html
-
SSL/TLS is powned | Tuxicoman
< "En clair, l’Agence nationale de la sécurité des systèmes d’information française peut se faire passer pour Google et écouter/modifier le traffic chiffré par SSL entre vous et Google sans activer aucune alerte (cadenas toujours vert dans Firefox, SSL actif)."Wed Dec 16 21:06:45 2015 - permalink -
> Explication du problème technique
http://tuxicoman.jesuislibre.net/2014/05/openssl-et-la-verification-du-domaine-dans-les-certificats.html
> Explication du fonctionnement normal ...déjà sujet à caution
http://tuxicoman.jesuislibre.net/2013/06/le-chiffrement-ssl-inutile-face-a-la-nsa.html
"Les autorités de certification racine : Ces autorités, point d’ancrage de la chaîne de confiance bâtie par X.509 (le standard derrière les certificats HTTPS), ont généralement toutes connues un problème à un moment de leur vie, que ça soit parce qu’elles se sont fait trouer (Comodo & DigiNotar, Vasco…), parce qu’elles font n’importe quoi (ANSSI), parce qu’elles sont à la fois juges et parties (Visa, Amazon, Wells Fargo Bank…), parce qu’elles sont directement liées à un gouvernement quelconque (ANSSI, CNNIC, TurkTrust…), voire carrément parce qu’elles collaborent avec des dictatures (Microsoft)."
Ce billet parle aussi de " DANE/TLSA. DANE/TLSA permet à un administrateur de déclarer dans son DNS (protégé par DNSSec sinon aucun intérêt) ../.. HPKP, HSTS "
https://blog.imirhil.fr/2015/12/12/letsencrypt-joie-deception.html
# Tentative de sécurisation
> Certificate Patrol : vérifie les certificats lorsqu’on arrive sur un site https
https://addons.mozilla.org/fr/firefox/addon/certificate-patrol/
> SSL Server Test
https://www.ssllabs.com/ssltest/
> SSL Eye
SSL Eye, un freeware pour Windows capable de comparer les empreintes SSL des sites de votre choix à partir de différents serveurs dans le monde ET de votre propre connexion internet.
http://korben.info/comment-detecter-les-attaques-man-in-the-middle.html- http://tuxicoman.jesuislibre.net/2013/12/ssltls-is-powned.html
-
Installation de certificats (certificats racines et de serveurs) [UFR EILA]
L'utilisation de certificat se fait en mode non sécurisé (HTTP) et est la première étape utilisée entre un client et un serveur avant l'ouverture d'une connexion en mode sécurisé (HTTPS)Tue Mar 10 02:04:00 2015 - permalink -
http://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification
https://fr.wikipedia.org/wiki/X.509- http://www.eila.univ-paris-diderot.fr/sysadmin/securite/ca/help
-
Pendant ce temps, à NSAcity … - CNIS mag
Billets d'humeur concernant la surveillance gouvernementales. Une liste de concept d'attaques et de vulnérabilités de sécuritéThu Oct 31 00:48:02 2013 - permalink -
"Les techniques d’attaque « Man in the middle », que l’usage de « droppers » et de serveurs de mise à jour de malware, tant appréciés par les cyber-mafias du RBN et héritiers, est maîtrisé avec la même virtuosité par les barbouzes américaines"
<< L’on notera au passage que la communauté hacker (ainsi que le noyau dur de l’équipe de développement de Tor), si prompte à conspuer les travaux d’Eric Filliol sur le sujet en octobre 2011, est étonnamment muette, deux ans plus tard, devant ce hack systématisé. Tor sous-mariné par la NSA, tout le monde s’en doutait, Snowden l’a confirmé.
> SSL cassé sera vite oublié.
la page de garde de nos confrères de Network World fait cohabiter deux articles étonnamment opposés, l’un intitulé « les récentes activités de la NSA soulèvent de sérieuses questions à propos des rapprochements réalisés avec les industries technologiques »
et un autre qui titre « IOS 7 : beaucoup de choses que les professionnels de la sécurité vont apprécier ». Cynisme ou Alzheimer galopant ? Et nos confrères d’IDG ne sont certainement pas les seuls à se pâmer devant un simple GSM.
http://www.cnis-mag.com/ssl-casse-sera-vite-oublie.html- http://www.cnis-mag.com/pendant-ce-temps-a-nsacity-%e2%80%a6.html