PROJET AUTOBLOG

Crowd42

Archivé

source: Crowd42

⇐ retour index

Un lab metasploitable en ligne et gratuit

mardi 8 avril 2014 à 10:06

metasploitable

Que ce soit en informatique ou tout autre domaine, vous pouvez lire tous les livres que vous voulez, si vous ne mettez pas vos mains dans le cambouis, je peux vous assurer que vos heures de lectures n’ont été qu’une perte de temps !

Ce constant (évidence) est encore plus vrai si vous vous intéressez à la sécurité informatique et au penetration testing (test d’intrusion) pour être plus précis. Sans des labs pour tester et pratiquer ce que vous lisez, vous n’irez pas très loin.

Malheureusement, tout le monde n’a pas la chance de disposer du matériel suffisant pour créer des VM pour installer les différents labs nécessaires (je m’imagine mal installer une VM sur mon vieux laptop qui n’a que deux pauvres G de ram !).

Fort heureusement, la communauté infosec est parmi les plus actives sur Internet. Ainsi on peut trouver de nombreux sites qui proposent des challenges, des CTF, etc (Root Me, Hack This Site, hack me, Can you hack it…) et il y a quelques jours, un vieux projet reprenait vie après une longue absence.

En effet, depuis de nombreux mois, la partie Training arena du site Hack a server a été mis hors ligne, au point que je commençais à croire qu’on la reverra plus. Mais voilà, le service (des VM metasploitable) est de nouveau en ligne, cette fois-ci il est disponible la plate-forme CTF365.

Pour les personnes qui ne connaissent pas metasploitable, il s’agit d’une VM GNU/Linux rendu intentionnellement vulnérable, afin que vous puissiez vous familiariser et apprendre à utiliser Metasploit (entre autre).

Tout ce que vous avez à faire pour pouvoir utiliser ce service, c’est de s’inscrire sur le site CTF365 et de configurer votre client VPN (OpenVPN de préférence), ensuite il vous suffit de se rendre sur metasploitable.ctfpour commencer à vous amuser avec.

Cet article Un lab metasploitable en ligne et gratuit est apparu en premier sur crowd42.

Related posts:

  1. Anonymat : configurez un VPN gratuit

Sécurité : trois conseils de Edward Snowden

lundi 31 mars 2014 à 13:03

edward-snowden-sxsw-videoSixteenByNine1050

Il y a deux semaines, le désormais célèbre lanceur d’alerte (whistleblower) Edward Snowden a partagé lors de son intervention au SXSW, trois conseils avec les gens qui souhaitent protéger leurs données et échanges en ligne, dans cette nouvelle ère où la surveillance de masse est devenue une réalité.

Mais qu’on se trompe pas, si une agence comme la NSA, par exemple, veut vous espionner, rien ne pourra l’empêcher de le faire, même en vous déconnectant d’Internet ou même éteindre votre ordinateur ! Et c’est Jacob Appelbaum qui le dit. mais au moins, ça a le mérite de leurs compliquer la tâche.

Chiffrement du disque dur

C’est le premier conseil que Snowden donne. Plusieurs personnes pensent à tort que le chiffrement du disque dur est un luxe réservé à une élite de cypherpunks, mais c’est faux. Presque toutes les distributions GNU/Linux incluent désormais une option qui permet, en quelques cliques, de créer des partitions chiffrées lors de l’installation. TrueCrypt est une autre alternative, qui en plus est disponible pour les trois systèmes d’exploitation : GNU/LInux, Windows et Mac OS.

Chiffrement des connexions Internet

HTTPS Everywhere, Disconnect me, no script, Enigma… les solutions pour sécuriser ses communications sur Internet ne manquent pas, il faut juste un peu chercher, vous trouverez sur ce blog quelques pistes pour le faire.

Tor

Depuis de nombreux mois, tout mon trafic passe via Tor (merci au script anonymous mode de Backbox Linux). Il est clair qu’il y a quelques désagréments à ça (lenteur connexion, sites web qui vous font chier à saisir des captcha…). Mais pour moi le choix est très facile, entre confort et sécurité, j’ai choisi naturellement la dernière. Ce n’est vraiment pas une surprise que Snowden le recommande.

Ci-dessous, la vidéo de l’intervention complète de Snowden.

Cet article Sécurité : trois conseils de Edward Snowden est apparu en premier sur crowd42.

Related posts:

  1. Lavabit, le fournisseur d’email utilisé par Snowden contraint de fermer son site
  2. Android : chatter via jabber en toute sécurité grâce à Gibberbot
  3. La NSA va collaborer avec le projet OpenStack pour améliorer sa sécurité

Astuce : lister les dépendances d’un paquet

lundi 17 mars 2014 à 17:41

Un petit billet écrit à la va-vite pour partager vous cette astuce que je viens de découvrir, bien que je sois quasi certain qu’elle est déjà connue par mal de personne. Pour faire court, elle s’agit d’une commande APT qui permet de lister les paquets qui dépendent d’un paquet donné en argument.

Comme le signale l’auteur du blog où j’ai découvert cette commande pour la première fois, elle peut être très utile pour lister les applications qui dépendent d’un paquet en qui on vient de découvrir une vulnérabilité. La récente faille GNUTLS est un excellent exemple.

Sur Debian GNU/Linux et dérivés, la commande à exécuter est :

apt-cache rdepends libgnutls26

Pour Fedora et Centos

rpm -q --whatrequires openssl

Le résultat devrait ressembler à ça :

Capture d'écran - 17032014 - 14:51:07

Cet article Astuce : lister les dépendances d’un paquet est apparu en premier sur crowd42.

Related posts:

  1. Installer les dépendances d’un paquet deb hors dépôt
  2. Astuce : désactiver la mise en cache des copies de paquets par APT
  3. Une astuce pour ajouter les dépôts PPA sur Debain

Si vous avez aimé Telegram, vous allez adorer la nouvelle version de TextSecure

vendredi 28 février 2014 à 06:04

Il y a plus de deux ans, je vous ai parlé de TextSecure, une application pour Android qui permet de remplacer le système par défaut qui gère les SMS. Une fois Au premier lancement, TextSecure vous propose de définir un mot de passe et d’importer l’ensemble de vos sms, qui seront par la suite chiffrés, ainsi que tous ceux qui vous envoyez et recevez (à condition que le destinataire luiutilise aussi l’application).

Hier, TextSecure a franchi un nouveau cap pour devenir une vraie application de messagerie instantanée, comme Telegram ou WhatsApp. Ainsi, elle ne dépend plus des services SMS/MMS. C’est ce qu’on peut lire dans un billet publié par Moxie sur le blog WhisperSystems :

Today’s release of TextSecure is the final step in the transition from a private SMS app to a private asynchronous IM app that does not depend on SMS/MMS.

Using the lessons we’ve learned from the SMS environment over the past four years, we’ve developed an open protocol for asynchronous chat that enables private communication instantly with friends, private groups for realtime collaboration, and the ability to quickly and seamlessly share media privately – all without depending on SMS.

Dans ce nouveau protocole, les communications entre deux utilisateurs sont chiffrées de bout en bout, un grand effort a été fait pour simplifier ce processus :

We’ve also made a substantial effort to simplify the typically difficult user experience that comes with end to end encrypted communication. The new TextSecure protocol doesn’t require a round trip key exchange process, eliminates half-open sessions, and is lightning fast – all without compromising forward secrecy or deniability

Autre nouveauté apportée par cette nouvelle version est la possibilité de démarrer des sessions de chat en groupe. Là aussi, les messages sont chiffrés et les serveurs de TextSecure n’enregistrent pas les messages échangés ni ont accès aux méta-données si cher à la NSA (liste des membre du chat, titre du groupe…).

Et pour ceux qui souhaitent envoyer des SMS chiffrés, l’option n’a pas été enlevée de cette nouvelle version, il faut seulement l‘activer pour pouvoir le faire.

Pour le moment TextSecure n’est disponible que pour Android, mais une version pour iOS est prévue dans très peu de temps selon le billet de moxie

source

Cet article Si vous avez aimé Telegram, vous allez adorer la nouvelle version de TextSecure est apparu en premier sur crowd42.

Related posts:

  1. Installez la nouvelle version 1.2 de Mate sur Ubuntu 12.04
  2. TextSecure : une application android pour chiffrer vos sms
  3. Telegram : l’alernative à WhatsApp qui chiffre vos message

Tox, l’alternative à Skype

dimanche 23 février 2014 à 08:36

Ce matin et grâce à fo0, j’ai pu découvrir deux heureuses nouvelles. La première concerne la fusion des applications développées par Moxie Textsecure et Redphone. Quant à la deuxième, c’était à propos de Tox, une application qui semble être très prometteuse et qui se veut une alternative à Skype. En fait, à en croire les premiers éléments que j’ai pu lire, Tox surpasse  largement le logiciel de Microsoft.

Tout d’abord, Tox est basé sur une architecture décentralisée en p2p, donc guère de serveur central où tous vos données sont sauvegardées. Ensuite, pour garantir le maximum possible une protection aux données privées ainsi qu’aux conversations des utilisateurs, toutes les communications sont chiffrées. À cela il faut ajouter que Tox est complètement gratuit, pas besoin de payer pour activer une option comme sur skype. Enfin, ce qui est encore le plus important à mon sens, Tox est un logiciel libre.

Le projet est encore vraiment très jeune, ne s’attendait donc pas à retrouver toutes les options fonctionnalités de Skype dans Tox. Mais une courte visite à la ToDo list suffit pour s’apercevoir que les développeurs ne chôment pas.

Au début, je ne voulais pas publier ce billet jusqu’à ce que je l’essaie, malheureusement j’ai pas eu le temps pour le faire et je me sis dit autant partager la news et attendre vos feed-back dans les commentaires.

ss

Il existe des versions pour trois majeurs systèmes d’exploitation, GNU/LInux, Windows et Os X, vous pouvez les récupérer depuis cette page.

J’attends vos retours ;)

Cet article Tox, l’alternative à Skype est apparu en premier sur crowd42.

No related posts.