PentesterLab est un site que j’ai découvert il y a quelques jours, qui propose des cours et exercices sur le thème de la sécurité des applications web, et plus précisément l’intrusion (Penetraion test).

L’avantage que j’ai trouvé à ce site, c’est le fait de proposer des iso de machines virtuelles à télélcharger. Idéal pour les gens ne disposent pas d’une connexion Internet. Tout ce que vous avez à faire, c’est de choisir le cours sur le thème qui vous intéresse et la VM du système vulnérable qui va avec. Il y en a pour tous les niveaux : débutants, intermédiaires et avancés.

Enjoy it

Cet article Cours et exercices gratuits sur la sécurité des applications web est apparu en premier sur crowd42.

Original post of crowd42.Votez pour ce billet sur Planet Libre.

La NASA vient de migrer les systèmes de la station spatiale internationale (ISS) sous la distribution GNU/Linux Debian 6. Une fois de plus, les systèmes propriétaires (ici Windows) se font botter le cul !

Keith Chuvala, entrepreneur de l’Agence Spatiale américaine et responsable de la section Space Operations Computing pour le compte de la NASA explique les raisons de ce changement.

« Nous avons besoin d’un système d’exploitation stable et fiable, un système qui nous permettrait un total contrôle interne au cas où nous envisagerions des correctifs, des ajustements ou des adaptations » fait-il savoir.

Original post of bazzanella.Votez pour ce billet sur Planet Libre.

J’ai voulu tester le navigateur web IRON conçu par SRWare éditeur de logiciels. Ce navigateur web est une version basée sur chromium offrant une meilleure confidentialité et sécurité que Google Chrome.

Cette version contrairement à Google Chrome ne contient pas de Client-ID, suggestions de recherches, pages d’erreur alternatives, rapport d’erreur, RLZ-Tracking (transmission d’informations codées à Google), mise à jour automatique, et d’URL-Tracker. Intéréssant sur le papier, j’ai décidé de tester ce dernier.

Je récupère le paquet debian ici :
http://www.srware.net/forum/viewtopic.php?f=18&t=6457

Soit pour l’occasion la version 32 bits (md5 = 145dbaa79ee26ddec4a5fd3b04b83c56).
Après l’installation, je lance l’application (avec un œil étonné vers le chemin de l’exécutable…) :
/usr/share/iron/iron

Et là ça commence bien :
/usr/share/iron/iron: error while loading shared libraries: libudev.so.0: cannot open shared object file: No such file or directory

En effet, Ubuntu 13.04 que je test sur mon netbook dispose d’une version récente de libudev, j’ai du corriger le problème via un lien symbolique :
sudo ln -s /lib/i386-linux-gnu/libudev.so.1 /lib/i386-linux-gnu/libudev.so.0

Restant particulièrement étonné du chemin de l’exécutable, je décide de regarder les permissions d’accès et là c’est le drame :

Un utilisateur quelconque sans droit root peut supprimer tout cela :
«/usr/share/iron/extensions»
«/usr/share/iron/content_resources.pak»
«/usr/share/iron/chrome_100_percent.pak»
«/usr/share/iron/iron»
«/usr/share/iron/chrome_remote_desktop.pak»
«/usr/share/iron/product_logo_48.png»
«/usr/share/iron/resources.pak»
«/usr/share/iron/libavcodec.so.52»
«/usr/share/iron/libavformat.so.52»
«/usr/share/iron/chrome.pak»
«/usr/share/iron/libavutil.so.50»
«/usr/share/iron/chrome-wrapper»
«/usr/share/iron/libffmpegsumo.so»

Forcement ça va beaucoup moins bien marcher après ^^ (mort de rire). C’est quand même le comble pour un soit disant "Navigateur du Futur", "sans problème de confidentialité ni de sécurité"… J’aurai pu corriger cela rapidement via un "chmod -R 755 /usr/share/iron/" mais j’ai décidé d’arrêter là…

IRON offre certainement une meilleure confidentialité face à google chrome d’accord, mais la différence doit être beaucoup moindre face à chromium. D’ailleurs pourquoi sortir un navigateur au lieu de créer une extension ? (qui je pense rencontrerait un plus grand succès) Dans tous les cas personnellement, je reste sous Mozilla Firefox qui offre une bonne sécurité et plus de respect de la vie privée.

Note: J’ai contacté l’éditeur en question et j’éditerais cet article si j’ai un retour.

Original post of HacKurx.Votez pour ce billet sur Planet Libre.

Cyanogen vient de sortir la RC2 de sa version 10.1 (basée sur Android 4.2.2 Jelly Bean)
Vous pouvez la télécharger sur get.cm

A noter que, contrairement à ce que laisse entendre FrAndroid, le best-seller Samsung Galaxy S III européen, n'aura pas de version Cyanogen 10.1 officielle. En effet, malgré les nombreuses paroles de Samsung, les sources pour le support de leur processeurs Exynos 4 sur Android Jelly Bean n'a jamais été publiées. Est-ce même légal au regard de la GPL puisque certains S3 ont été vendu avec Jelly Bean pré-installé? Andrew Dodd explique la saga en long et en large sur son blog. Il y a vraiment de quoi être désappointé.

Original post of Tuxicoman.Votez pour ce billet sur Planet Libre.

Si vous avez une ip fixe et un serveur avec une connexion stable, pool.ntp.org ont besoin de vous. Installez un serveur de temps et participer à la redondance du système.

Vous pouvez aussi utiliser librement ntp.bazzanella.org pour synchroniser les horloges de l’ensemble du parc de vos machines.

Ma config :

nano /etc/ntp.conf

restrict 127.0.0.1
restrict network W.X.Y.Z mask A.B.C.D nomodify notrap
server chronos.univ-montp3.fr
server chronos2.univ-montp3.fr
server ntp.crifo.org
server ntp.duckcorp.org
server ntp.pbox.org
driftfile /var/lib/ntp/drift

W.X.Y.Z est votre réseau
A.B.C.D est votre masque de réseau

Vous devez choisir au moins 5 autres serveurs proches de chez vous.

Un ntpq -p doit vous donner :

remote refid st t when poll reach delay offset jitter
=========
+ns1.univ-montp3 192.93.2.20 2 u 33 128 377 13.938 -0.921 0.144
+anubis.univ-mon 192.93.2.20 2 u 24 128 377 13.958 -1.000 0.139
*ntp.crifo.org 192.93.2.20 2 u 17 128 377 4.271 -1.415 0.218
-orfeo.duckcorp. 192.93.2.20 2 u 27 128 377 9.495 -4.828 4.677
-ns.pbox.org 192.93.2.20 2 u 60 128 377 4.421 -0.487 0.305

et sur votre vhost ntp.tonsite.tld il est sympa de faire une redirection 301.
Pour ma part: http://ntp.bazzanella.org est redirigé vers http://www.pool.ntp.org/fr/

Configurez également votre parefeu en fonction pour le port 123

Une fois que cela tourne, vous pouvez inscrire votre service ntp sur le site http://www.pool.ntp.org/fr/ dans manage server et demander par mail à Bjørn Hansen (très sympa), si tout est ok avec un récapitulatif de votre config et de votre ntpq -p. Vous trouverez comment le joindre sur le site.

Si tu vous avez des soucis, les logs de votre machine et si vous ne vous en sortez toujours pas la mailing-list du site pool.ntp.org, ils vous apporteront l’aide nécessaire …

En espérant que ces quelques infos puissent vous aider à mettre en place votre serveur de temps et l’intégrer à pool.ntp.org.

Original post of bazzanella.Votez pour ce billet sur Planet Libre.