Professionnel en sécurité, développeur et entrepreneur
sécurité
Securité sous AsteriskNow
Aug 24th
Dans le monde de la téléphonie open source utilisant Asterisk, trois distributions majeures sont basées sur CentOS sont disponible : Trixbox, Elastix et AsteriskNow, j’ai plusieurs réserves envers la première (sécurité très discutable…), beaucoup moins pour la seconde et très peu pour la dernière qui est ma favorite dans le cadre de déploiement de téléphonie.
Malheureusement, favorite ne veut pas dire parfaite 
Surtout lorsque l’aspect sécurité passe avant celui des fonctionnalités car un des problèmes des distributions linux spécialisés est le partage des configurations sensibles (mots de passe, utilisateur, etc.) de façon générique.
C’est dans ce contexte j’ai publié un script dont l’objectif est d’automatiser un premier niveau de sécurité sous la distribution AsteriskNow : Changement des mots de passes par défault, sécurité du mode console, déconnexion automatique, etc… Ce script ne remplace pas un durcissement en profondeur adapté au type de déploiement requis, mais offre un niveau de sécurité minimal.
Pour plus de détail, visitez la page du script en question : http://medsecure.ca/produits/asterisknow-hardeningbootstraping-script/ (anglais)
On trouve de l’humour partout! même dans les infrastructures d’hameçonnage !
Dec 9th
Malheureusement, il arrive souvent que les sites de phishing interceptent des informations nominatives et privées. C’est encore trop commun de faire une analyse post incident (suite à un spam, RFI ou autres) et de voir des données réelles. Par contre, il arrive quelques fois où l’arnaque est tellement évidente que plutôt que de retrouver des informations réelles nous retrouvons plutôt des informations comme ceci…
Username: So this phisher is pretty cool whats it all about? I should really spread this into the password field to make it look better when you read it, lol.
Password: So I will, so whats up, guy
Oui, il est probable que mon sens de l’humour soit un peu geek…
PHP – Persistent Database Password
Dec 7th
Is storing password in clear text inside a hash is a vulnerability or not ? To me, yes it’s a unsecure design bug and it should be fixed. But others think that untrusted binary extension shouldn’t run anyways and if a bad guys inject a rogue extensions, it’s already game over. So… here it’s. Persistent database password dump proof of concept.
