Il existe un préfixe en IPv6, qui permet d'écrire des adresses IPv4, pour ainsi faire de la traduction d'un réseau uniquement en IPv6, vers l'internet en IPv4 (oui, il faut donc une machine qui sont reliée en IPv4 pour faire la traduction, principe appelé NAT64).
C’est dans la section 2.1 qu’est définit le préfixe :
“The value of this IPv6 prefix is: 64:ff9b::/96”
Une nouvelle faille dans les systèmes Unix a été détectée.
cette faille, nommée GHOST, se situe dans la bibliothèque glibc - un composant essentiel aux systèmes GNU/Linux - à cause d'un appel de la fonction oboslète gethostname() (dont son nom), qui permet de faire un dépassement de tampon (buffer overflow).
Cette faille est en principe moins touchée pour les version supérieur ou égale à la version 2.18, mais il est conseillé de mettre à jour, pour corriger pleinement cette faille (c.f le communiqué sur la liste FRsAG).
Voir aussi :
http://www.frsag.org/pipermail/frsag/2015-January/005722.html (français)
https://www.nextinpact.com/news/92886-ghost-nouvelle-faille-critique-qui-fait-trembler-linux.htm (français)
https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability (anglais)
Note : dans la section 4 de cette page, il y a un code à compiler soit même :
- copiez simplement la commande qui contient la ligne "cat > GHOST.c << EOF" et finit par "EOF",
- faites "gcc -o GHOST GHOST.c" puis "./GHOST",
- regardez le résultat, pour savoir si vous êtes vulnérable à cette faille ou non.
Encore une nouvelle faille découverte dans le monde de la cryptographie et des communications, qui touche SSLv3, un protocole de chiffrement de communications, en principe obsolète mais encore utilisé lors des échanges avec HTTPS avec d'anciens navigateurs ou serveurs web.
Cette faille, nommée POODLE ("Padding Oracle On Downgraded Legacy Encryption") ne touche pas une implémentation, mais le protocole SSLv3 lui-même, protocole créé en 1996, et rendu obsolète par TLS en 1999.
Cette faille est dû au fait que certaines informations lors des échanges ne sont pas définies, permettant à des personnes malveillantes de manipuler et de décrypter les données (« décrypter » = « déchiffrer sans la clef de déchiffrage »).
Alors, pas trop de soucis à ce faire, il existe le protocole TLS, qui le remplace et le surpasse même, et ce depuis sa création en 1999. Alors, pourquoi avons-nous encore SSLv3 ? En parti pour le support de Internet Explorer 6, qui ne supporte pas au dessus de SSLv3.
En prime, glaner dans les docs de Mozilla, voici comment faire pour forcer le support TLS dans le navigateur web Mozilla Firefox :
- tapez dans votre barre d'adresse "about:config",
- cliquez sur "promis, je ferai attention",
- cherchez l'entrée "security.tls.version.min",
- modifiez sa valeur (double-clic, ou clique-droit), et remplacez la valeur par défaut "0" par "1",
- voilà, les modifications sont enregistrées, vous pouvez donc vérifiez en testant sur l'adresse https://www.poodletest.com/
D'autres sources, en français :
https://www.nextinpact.com/news/90427-la-faille-poodle-sslv3-permet-decrypter-donnees-sur-connexion.htm
https://www.numerama.com/magazine/30934-poodle-google-devoile-une-faille-critique-dans-ssl-30.html
Wouah... ça c'est du "business model" qui sent mauvais l'arnaque ; créer l'offre et la demande.
Et ils osent appeler ça des gTLD ? Pouah !
29,49€ HT/an, pour une entrée dans une base de données, punaise, il y a vraiment des escrocs...
iPXE est un ensmble de protocole, basé sur IP, pour charger des systèmes d'exploitations depuis le réseau.
Très pratique si on veut démarrer sur une distribution GNU/Linux sans avoir à utiliser un support tel qu'une clef USB ou un disque gravé.
Quelque chose que j'oublie souvent, alors autant l'avoir ici sous le coude.
Avec une liste d'adresses IPv4, donc sous la forme W.X.Y.Z, chacun pouvant aller de 0 à 255 inclus, sort peut en utilisant ses options mettre dans l'ordre une telle liste :
sort --numeric-sort --field-separator=. --key=1,1 --key=2,2 --key=3,3 --key=4,4
(source : un peu partout sur le net)
Certes, ce n'est pas très "neutre" comme façon de faire, mais vu que ça fait plusieurs années que je reçois différents tentatives d'attaques sur mes serveurs, autant agir préventivement.
Voici les différents ranges que j'ai bannis :
1.160.0.0/12
36.224.0.0/12
111.240.0.0/12
114.24.0.0/14
114.32.0.0/12
118.160.0.0/13
118.168.0.0/14
220.128.0.0/12
Juste pour infos, un /14 correspond à 262 144 adresses possibles (4256256), un /13 à 524 288 (comme /14 2), et un /12 ... à 1 048 576 adresses ! (/13 2 aussi, ou /14 * 4).
En total, je suis à plus de six millions d'entrées (6 291 456).
Avant, c'était fail2ban qui bannissait une par une, là, c'est déjà fait.
Voici la liste, tenue à jour régulièrement, des identifiants des fabricants de composants utilisant une adresse MAC (Media Access Control).
Une adresse MAC est composée de base de 6 octets, mais les trois premiers octets sont partagés et distribués aux fabricants ; ensuite, les 3 derniers octets sont comme un numéro de série.
Du coup, à partir d'une adresse MAC, on peut connaître l'appareil en question.
Note : cette liste est aussi disponible hors-ligne sur certaines distribution GNU/Linux dans /usr/share/misc/oui.txt mais il se peut que ce fichier ne soit pas présent, car il est installé avec un package, comme sys-apps/hwids sous Gentoo.
Ah oui, le détail amusant, regardez à qui appartient le range FC-D4-F2 ;-) Vive l'internet des objets, n'est-ce pas ? Avec 4 bits, soit 28 bits au total, ça leur fait plus de 268 millions de possibilités (2⁽⁴⁺²⁴⁾ = 268 435 456), certes, ça fait beaucoup, mais ce n'est pas énorme.
Une analyse, rédigée en français, encore une fois bien détaillée et bien expliqué, par Stéphane BORTZMEYER :
https://www.bortzmeyer.org/7258.html
Dans ce RFC, il est question non pas de détails techniques très détaillés sur un protocole en particulier, mais bien de remarques et d'éthiques concernant l'espionnage de masse, affaires relevées par Snowden en 2013.
À lire.
Un article sur wikipedia parlant de ces signes qui permettent sur des lieux publiques d'indiquer la présence d'accès en Wi-fi.
Un patch pour le noyau Linux qui permet d'ouvrir des connexions réseau entre 2 ordinateurs pas seulement distants dans l'espace, mais aussi dans le temps.
En voilà une bonne initiative.
De mon avis, le chiffrement n'est pas une solution à long terme ; elle conforte dans un faux sentiment de sécurité et de vie privée, et surtout n'empêchera pas la copie des données brutes.
Là où un changement serait efficace, ce serait aussi de mieux décentraliser les données et de permettre un transport des données avec le chemin le plus court en nombre de routeurs et aussi en distance, donc, d'éviter les autoroutes à données, en augmentant le maillage.
Lien direct : http://www.bortzmeyer.org/ietf-securite-espionnage-bis.html
En résumé :
arp ip n (ip neighbor)
ifconfig ip a (ip addr), ip link, ip -s (ip -stats)
iptunnel ip tunnel
iwconfig iw
nameif ip link, ifrename
netstat ss, ip route (for netstat-r), ip -s link (for netstat -i), ip maddr (for netstat-g)
route ip r (ip route)
Visiblement, ces nouveaux compteurs d'électricités nommés "Linky" sont mal vus par l'association de consommateur UFC-Que Choisir, car ils ne seront pas gratuits, contrairement à ce qu'avait indiqué ERDF, mais ils empêcheront de faire des économies, à cause des frais de déplacement, de mise à niveau de l'abonnement de consommation, etc.
(Voir https://links.thican.net/?CbtEaA)
EDIT: 2018-01-08 lien précédent : http://www.pcinpact.com/news/82568-l-ufc-allume-l-impact-desastreux-linky-sur-facture-d-electricite.htm
Un tutoriel pour apprendre les bases du développement réseau en C.
Pour la version en PDF, regardez en bas de page (http://www.inetdoc.net/pdf/socket-c.pdf)
Un ensemble de guides et de livres pour apprendre à développer des processus liés au réseau (et aussi à tuer des dragons ;-))