GNU/Linux Is Very Secure?
06 May 2008 03:40 PM / Filed in: I.T.
Bana, a fellow DocIslander, told me about an IBM DeveloperWorks titled Anatomy of Security-Enhanced Linux (SELinux). Bana pointed me to the following excerpt:
GNU/Linux is very secure, but it's also very dynamic: changes can appear that open holes into the operating system that can then be exploited. Although considerable attention is paid to preventing unauthorized access, what happens after an entry has occurred?
Good! Oh, hang on a sec. Don't you smell something really fishy in the first sentence? Let me me help you out a bit:
GNU/Linux is very secure, but it's also very dynamic...
I let my mind chew on these memes and I came to the conclusion that this basically boils down to saying something similar to the following:
Have no fear chap, you can sleep assured that no burglar will enter your house. Look at the door. It's made of bulletproof metal, 6 inch thick with 17 different locks, retina scan and ADN sampler. Oh, by the way, it's a very dynamic design that's why we are destroying the surrounding walls and rebuilding them from the ground up.
... And that's why we need something as mind-bogglingly complex as SELinux to secure the very secure.
GNU/Linux is very secure, but it's also very dynamic: changes can appear that open holes into the operating system that can then be exploited. Although considerable attention is paid to preventing unauthorized access, what happens after an entry has occurred?
Good! Oh, hang on a sec. Don't you smell something really fishy in the first sentence? Let me me help you out a bit:
GNU/Linux is very secure, but it's also very dynamic...
I let my mind chew on these memes and I came to the conclusion that this basically boils down to saying something similar to the following:
Have no fear chap, you can sleep assured that no burglar will enter your house. Look at the door. It's made of bulletproof metal, 6 inch thick with 17 different locks, retina scan and ADN sampler. Oh, by the way, it's a very dynamic design that's why we are destroying the surrounding walls and rebuilding them from the ground up.
... And that's why we need something as mind-bogglingly complex as SELinux to secure the very secure.
|
Mystery Solved! How Swiss Hackers Really Look Like
06 May 2008 01:57 PM / Filed in: Misc
In the absence of some sound evidence, I always thought that Swiss hackers were a subgroup of hackers, which is a subgroup of human beings. My logical self led me then to believe that my friend Betabug and all his fellow Swiss hackers looked like your run-of-the-mill human beings! How mistaken I was!
Last week, I finally discovered some compelling evidence about how Swiss hackers really look like. I was in a supermarket when I stumbled upon a whole flock sitting silently (or so it seems). Look for yourself.
Oh and by the way, needless to say that I mean hacker as defined by the Jargon File.
Last week, I finally discovered some compelling evidence about how Swiss hackers really look like. I was in a supermarket when I stumbled upon a whole flock sitting silently (or so it seems). Look for yourself.
Oh and by the way, needless to say that I mean hacker as defined by the Jargon File.
Compte-rendu du FOSDEM 2008
05 May 2008 01:06 AM / Filed in: I.T.
J'ai effectué un compte-rendu des conférences du FOSDEM 2008 axées autour de la sécurité informatique pour la Lettre Techniques De l'Ingénieur (Sécurité des Systèmes d'Information). Il a été publié dans le numéro 14 (Avril 2008).
Contrairement à l'édition précédente, il y a eu peu de présentations autour de la sécurité. Ce ne sont pas les orateurs ou les sujets qui manquent pourtant... Seules deux présentations ont su retenir mon attention : une présentation de SELinux dans CentOS et une présentation/démonstration de WebScarab-NG du projet OWASP.
Contrairement à l'édition précédente, il y a eu peu de présentations autour de la sécurité. Ce ne sont pas les orateurs ou les sujets qui manquent pourtant... Seules deux présentations ont su retenir mon attention : une présentation de SELinux dans CentOS et une présentation/démonstration de WebScarab-NG du projet OWASP.
Développement Sécurisé Dans La Lettre Techniques De l'Ingénieur
05 May 2008 12:45 AM / Filed in: I.T.
J'ai assez récemment rédigé un article ayant pour sujet le développement sécurisé pour la Lettre Techniques De l'Ingénieur (Sécurité des Systèmes d'Information). Il a été publié dans le numéro 13 (Mars 2008). Intitulé Vers une approche pragmatique du développement sécurisé d'applications, il décrit 6 points destinés à ancrer la sécurité au sein d'un cycle de développement logiciel pour aboutir à un SDL (Secure Development Lifecycle).
Cette approche est très largement inspirée de l'approche proposée par Gary McGraw dans son excellent ouvrage Software Security dont je recommande la lecture à toute personne s'intéressant de près au développement sécurisé. Je me suis contenté de simplifier l'approche initialement proposée par ce dernier et de survoler les points d'ancrage afin de fournir une vue d'ensemble de l'approche et des étapes nécessaires pour la mettre en musique.
Cette approche est très largement inspirée de l'approche proposée par Gary McGraw dans son excellent ouvrage Software Security dont je recommande la lecture à toute personne s'intéressant de près au développement sécurisé. Je me suis contenté de simplifier l'approche initialement proposée par ce dernier et de survoler les points d'ancrage afin de fournir une vue d'ensemble de l'approche et des étapes nécessaires pour la mettre en musique.
MISC 37 : A La Découverte de ModSecurity 2
05 May 2008 12:23 AM / Filed in: I.T.
Le numéro 37 (mai/juin 2008) du magazine MISC vient de paraître. Si vous y êtes abonné, vous avez du recevoir ce numéro dans votre boîte aux lettres sinon vous le trouverez très prochainement en kiosque. Vous retrouverez page 60 un article intitulé A la découverte de ModSecurity 2, que j'ai co-écrit avec mon collègue et ami de longue date Jérôme Léonard. J'ai pris beaucoup de plaisir à travailler avec quelqu'un dont je partage certaines convictions et une vision similaire de la sécurité informatique.
Comme son titre l'indique, nous vous proposons de découvrir à travers cette fiche technique le pare-feu applicatif ModSecurity 2 (que je m'étais promis d'essayer) en quelques pages. Nous y décrivons les fonctionnalités principales de la version 2 de ce produit destiné à augmenter le niveau de sécurité de vos applications Web. Et comme d'habitude, vous y retrouverez quelques petites notes d'humour destinées à rendre votre lecture plus agréable sans oublier de vous fournir les informations essentielles vous permettant de décider de l'éventuelle adéquation de ce produit par rapport à vos besoins.
Nous penchons du côté de l'approche par liste noire (interdire les URLs suspicieuses) qui nous paraît plus pragmatique et plus adaptée à la complexité des applications Web actuelles. Je n'en dirais pas plus ! Je vous invite à lire l'article et à nous soumettre vos commentaires et vos questions par email ou en utilisant le système de commentaires de ce blog. Votre retour est précieux et nous permet d'améliorer la qualité de notre travail.
Comme son titre l'indique, nous vous proposons de découvrir à travers cette fiche technique le pare-feu applicatif ModSecurity 2 (que je m'étais promis d'essayer) en quelques pages. Nous y décrivons les fonctionnalités principales de la version 2 de ce produit destiné à augmenter le niveau de sécurité de vos applications Web. Et comme d'habitude, vous y retrouverez quelques petites notes d'humour destinées à rendre votre lecture plus agréable sans oublier de vous fournir les informations essentielles vous permettant de décider de l'éventuelle adéquation de ce produit par rapport à vos besoins.
Nous penchons du côté de l'approche par liste noire (interdire les URLs suspicieuses) qui nous paraît plus pragmatique et plus adaptée à la complexité des applications Web actuelles. Je n'en dirais pas plus ! Je vous invite à lire l'article et à nous soumettre vos commentaires et vos questions par email ou en utilisant le système de commentaires de ce blog. Votre retour est précieux et nous permet d'améliorer la qualité de notre travail.
NPR: Dee Dee Bridgewater's Red Earth in Concert
03 May 2008 06:57 AM / Filed in: Music
Dee Dee Bridgewater is a cheerful, affable artist with a very interesting voice. During the years, I've sampled some of her songs (mainly Jazz) but I was not really hooked... until the release of Red Earth, her latest album that she recorded in Mali, Africa. She decided to go there seeking her African ancestry and I think she found it, at least musically speaking.
Mali is a an amazing and vibrant Music haven in West Africa. That's the country where some of my favorite African artists live such as the excellent Toumani Diabaté, Ballaké Cissoko, or Salif Keita to cite just a few. Mali is also the country where Ali Farka Touré was born and died.
Featuring Kora (my favorite Music instrument), Balafon and other traditional African Music instruments as well as a masterfully played Piano (by no less than Edsel Gomez who's Cubist Music was nominated for a Grammy Award in 2007), Red Earth is a very interesting album that I particularly enjoyed listening to.
I was pleased to see it featured on NPR which streams a Dee Dee Bridgewater's concert performed in Washington D.C. Treat your ears to this excellent Music! I particularly recommend the second part (seek the Listen to Part 2 link).
Mali is a an amazing and vibrant Music haven in West Africa. That's the country where some of my favorite African artists live such as the excellent Toumani Diabaté, Ballaké Cissoko, or Salif Keita to cite just a few. Mali is also the country where Ali Farka Touré was born and died.
Featuring Kora (my favorite Music instrument), Balafon and other traditional African Music instruments as well as a masterfully played Piano (by no less than Edsel Gomez who's Cubist Music was nominated for a Grammy Award in 2007), Red Earth is a very interesting album that I particularly enjoyed listening to.
I was pleased to see it featured on NPR which streams a Dee Dee Bridgewater's concert performed in Washington D.C. Treat your ears to this excellent Music! I particularly recommend the second part (seek the Listen to Part 2 link).