From Michael Lewis: What issues do we have when finding open WIFI in our neighborhoods and in using them? Using a directional antenna the connections are good, fast and usually reliable, but the sources are unknown. What protection would be recommended for everyday use of WIFI , especially for those of us who may pay a bill or order from Ebay using these free sources? MB: The main risk with WiFi is transmitting data through the air and then putting it onto someone else’s network. These areas – which you can’t control yourself – have a higher risk of interception by others. To some extent you can minimize the risks by using HTTPS; it’s supported by most sites where sensitive data is transmitted. If you use free sources, be aware of possible snooping by others, and encrypt as much as possible (web browsing, e-mail, IM). From John Daniels: How would I go about sending the logs from all workstations and servers to a GNU/Linux box for analysis? What is the best tool to collate the logs from various OSes and formats? MB: To correlate and analyze log files, it is preferred to have them stored in a similar way. GNU/Linux systems use syslog for that. While, normally, data is stored only locally in /var/log, most syslog daemons can be adjusted to send their data to a (central) remote syslog host. For Windows based systems, there are other solutions; there are also tools which support syslog and send the data in the same way as GNU/Linux machines. After collecting, there are different tools available to work with the data, from log parsing to more advanced event correlation.
Michael Lewis : Quels problèmes a-t-on lorsqu'on trouve un WIFI non sécurisé dans le quartier et que l'on utilise ? Avec une antenne directionnelle les connexions sont bonnes, rapides et généralement fiables, mais les points d'accès sont inconnus. Quelle protection serait recommandée pour une utilisation quotidienne du WIFI, surtout pour ceux d'entre nous qui veulent payer une facture ou passer une commande sur Ebay en utilisant ces points d'accès libres ?
MB : Le risque principal avec le WiFi est de transmettre des données dans l'air, puis de les mettre sur le réseau de quelqu'un d'autre. Ces zones, que vous ne pouvez pas contrôler vous-même, ont un risque plus élevé d'interception par des tiers. Dans une certaine mesure, vous pouvez réduire les risques en utilisant le protocole HTTPS ; il est supporté par la plupart des sites où des données sensibles sont transmises. Si vous utilisez des points d'accès libres, soyez conscient de la possibilité d'espionnage par d'autres et chiffrez autant que possible (navigation web, e-mail, messagerie instantanée).
John Daniels : Comment pourrais-je faire pour envoyer des fichiers journaux de tous les postes de travail et serveurs vers une machine GNU/Linux pour analyse ? Quel est le meilleur outil pour rassembler les journaux de différents systèmes d'exploitation et différents formats ?
MB : Pour corréler et analyser les fichiers journaux, il est préférable de les avoir stockés d'une manière similaire. Les systèmes GNU/Linux utilisent syslog pour cela. Alors que, normalement, les données ne sont stockées que localement dans /var/log, la plupart des démons syslog peuvent être configurés pour envoyer leurs données à un hôte syslog distant (central). Pour les systèmes Windows, il existe d'autres solutions ; il y a aussi des outils qui sont compatibles avec syslog et envoient les données de la même manière que les machines GNU/Linux. Après la collecte, différents outils sont disponibles pour travailler avec les données, allant de l'analyse syntaxique des journaux à une corrélation plus avancée des événements.
From SkyAisling: What are your thoughts on UEFI? MB: As with all standards, they usually take some time to be properly implemented. At this moment, I see many people with a lot of boot issues when setting up dual boot (with GNU/Linux). The idea behind UEFI however is great. If you want to protect a system, all layers have to be protected. UEFI tries to be the glue to avoid malicious code sneaking into the boot process. It’s also this area which is the most important one to watch, because once malware is in, it can start spreading (into memory, OS, etc). From PieterCloete: How safe are my Ubuntu systems from virus attacks, and what is the best software to stop them – if needed. MB: Normal viruses – like we have seen in the period of MS-DOS – are nowadays not much of a risk. Worms, trojan horses and malicious scripts are still a serious threat to every operating system. Gladly, there aren’t many worms which attack Linux systems. Diversity of Linux systems might be one reason why malicious code might work on Red Hat, but not on Ubuntu, for example. My advice for making sure a system stays secure is to stay up-to-date with software patches. Perform testing of unknown scripts or new software in a dedicated virtual machine, and audit your system. In all cases, your system is as secure as the weakest link. My tool, Lynis, might help to uncover these areas and provide tips for additional software to keep systems secure. For malware, in particular, you could use tools like ClamAV, Rootkit Hunter, Chkrootkit, OSSEC and LMD. Michael Boelen is the author and project lead of Lynis. His company CISOfy provides security guidance to individuals and companies by sharing open source software, support and knowledge. He loves sport, reading, and enjoying life with friends.
SkyAisling : Que pensez-vous de l'UEFI?
MB : Comme avec toutes les normes, ça prend généralement un certain temps pour être correctement mis en œuvre. En ce moment, je vois beaucoup de gens avec beaucoup de problèmes de démarrage lors de l'installation en double amorçage (avec GNU/Linux). Cela étant dit, l'idée derrière l'UEFI est bonne. Si vous souhaitez protéger un système, toutes les couches doivent être protégées. L'UEFI essaie d'être la colle qui éviterait que du code malveillant se faufile dans le processus de démarrage. C'est aussi à ce niveau qu'il est le plus important d'être à l'affut, car une fois qu'un logiciel malveillant s'y est mis, il peut commencer sa diffusion (dans la mémoire, le système d'exploitation, etc.)
PieterCloete : Quelle est la sécurité de mes systèmes Ubuntu contre les attaques de virus et quel est le meilleur logiciel pour les arrêter, si nécessaire ?
MB : Les virus ordinaires, comme ceux que nous avons vus dans l'ère de MS-DOS, ne présentent aujourd'hui pas beaucoup de risques. Les vers, chevaux de Troie et les scripts malveillants sont toujours une menace sérieuse pour tout système d'exploitation. Heureusement, il n'y a pas beaucoup de vers qui attaquent les systèmes Linux. La diversité des systèmes Linux peut être une raison pour laquelle un code malveillant pourrait fonctionner sur Red Hat, mais pas sur Ubuntu, par exemple. Mon conseil pour s'assurer qu'un système reste sécurisé est de rester à jour avec des correctifs logiciels, d'effectuer des tests de scripts inconnus ou de nouveaux logiciels sur une machine virtuelle dédiée et de vérifier votre système. Dans tous les cas, votre système est aussi sûr que le maillon le plus faible. Mon outil, Lynis, pourrait aider à découvrir ces domaines et fournir des conseils concernant des logiciels additionnels pour maintenir les systèmes sécurisés. Pour les logiciels malveillants, en particulier, vous pouvez utiliser des outils comme ClamAV, Rootkit Hunter, Chkrootkit, OSSEC et LMD.
Michael Boelen est l'auteur et chef du projet Lynis. Son entreprise CISOfy fournit des conseils de sécurité pour les particuliers et les entreprises en partageant les logiciels Open Source, le soutien et ses connaissances. Il aime le sport, la lecture, et profiter de la vie avec des amis.