Sunday, September 28, 2014

Shellshock, Exploiting Bash Vulnerability Through Apache CGI

You may have read about it anywhere else, yet I insist on fixing this one straight on.
The story: a Bash vulnerability has been reported as CVE-2014-6271 and later as CVE-2014-7169 (as it was uncompletely fixed). It allows arbitrary code execution when the content of a variable is parsed, that is, every now and then in shell scripts. If the content of the variable comes from user input, then this is a way for the user to execute arbitrary code, with current local rights.

One way this can be exploited is via Apache CGI (or nginx CGI). These have been provenly found to be exploited on the web, so this is no unnecessary crying wolf. CGI uses shell (Bash) to parse web request headers such as Host or User-Agent and allows arbitrary code execution with the administrative rights of the web server daemon itself. I succeeded in exploiting it for audit purposes, showing there is no need to be a lifelong-expert to proceed.



Although exploits of this vulnerability have reportedly been spotted only by use of Apache/nginx CGI, there could very well be other exploits of any server that uses Bash to parse user input, which means virtually any server undex Unix/Linux (think: Apache without CGI, cups, postfix, databases...)

The following command, launched from a server Bash shell, let's you know if the server is vulnerable to this vulnerability. Unless you did something specific in the last days, it's highly unlikely that your server will not be vulnerable.

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

So, I dearly recommend to patch Bash itself. If you cannot patch or must delay patch application, making sure no CGI scripts are exposed or CGI is disabled is a temporary workaround.

Thursday, September 18, 2014

Se déconnecter *réellement* de LinkedIn

Comme le fait remarquer Brynne Tillman, LinkedIn garde les sessions actives éternellement ou presque. Il est donc bon de se déconnecter si l'on utilise LinkedIn, ne serait-ce qu'une fois de temps à autre, ailleurs que sur un ordinateur ou un smartphone personnel.


LinkedIn met à disposition une page spécifique qui permet à utilisateur de lister toutes ses sessions actives et de les fermer si nécessaire. Faites l'essai si vous êtes un habitué des cybercafés ou que vous intervenez auprès de sociétés extérieures !

Thursday, February 20, 2014

Note about the EMR wicked problem (as seen in France)

Note for myself about the tackling of the EMR wicked problem (as seen in France)

At first sight, healthcare actors and, especially, practitionners didn't spot the actual complexity of the nation-wide EMR program (hospital ERP), that's why they didn't see the need for a competitive approach to tackling this wicked problem.

Both collaborative and authoritative approaches would have failed for such a program. The collaborative approach would have taken dozens of years. The authoritative approach would have garnered too many opposition to succeed.

As a result, the program is a succes yet the approach as been seen as overly complex and costly by many actors.

Friday, August 30, 2013

Passer du temps sur Klout augmente votre score Klout!

Constat : plus je passe de temps sur Klout, plus mon score augmente.
Pas de recette miracle : ce n'est pas parce que je passe du temps sur Klout que mon score augmente, cependant le constat est vrai. Plus je passe de temps sur Klout plus mon score augmente, ce pour deux raisons qui valent aussi bien pour tous les réseaux sociaux (informatiques ou non, d'ailleurs) :
  1. Si je m'y intéresse, si j'y investis mon temps, l'investissement finit par payer. A force de fréquenter le réseau, je vais finir par comprendre ce qui y fonctionne bien. Dit autrement, le réseau est un investissement, on ne peut pas espérer un bénéfice sans fournir un apport. (Correlation does not imply causation, yet it does mean correlation.)
  2. Pour Klout comme pour les autres réseaux sociaux, il faut mettre en place une discipline. Un petit investissement de temps chaque semaine rapporte plus qu'un grand évènement ponctuel. De la même façon, le score Klout augmente plus en investissant progressivement plutôt que par actions d'éclat.

Monday, August 12, 2013

Indicateurs du début de la fin en DSI 2

Suite au succès du premier article, j'en poste un second sur le même thème : ces signaux faibles qu'un DSI devrait apprendre à reconnaître pour éviter le naufrage ou, souvent, l'accumulation d'inertie qui mène au naufrage.
Aujourd'hui, deux petits nouveaux.


Iceberg n°1 : Le ratage d'un tournant métier. Votre entreprise développe une nouvelle activité, c'est une petite branche de l'activité et représentait à peine un pourcent du chiffre d'affaires hier. Vous n'y avez accordé que peu d'attention. Seulement, aujourd'hui, le marché a changé et cette activité représente 35% du chiffre, plus à venir.
Comme vous n'aviez pas donné suffisamment d'attention à cette activité, les relations avec son directeur sont au plus bas et il demande des changements radicaux. Changement de têtes ou... fournisseur externe.

Icerberg n°2 : La gestion des assets (des actifs). Mettre en place une gestion des actifs sur une flotte donnée (PC, smartphones, imprimantes, voitures, bornes WiFi) permet d'en diminuer le coût de 30% très rapidement, et plus avec le temps. Malheureusement, si la gestion des assets s'encroûte, si elle ne suit plus les évolutions récentes et finit par n'avoir que quelques dizaines de pourcents de données à jour, on va droit à l'échec, là encore.
Les projets de gestion des assets ne sont pas des silos applicatifs mais des projets structurants transversaux et doivent faire l'objet d'une attention extrême à leur démarrage. Il s'agit d'un véritable investissement. Investissez sur une gestion opensource, évolutive, avec le personnel correspondant ou bien sur une solution propriétaire mais de fonctionnalités très largement supérieures à vos besoins. Par contre, ne vous lancez pas dans l'utilisation de solutions intermédiaires propriétaires qui vous empêcheront *absolument* de faire évoluer votre gestion des assets.

Sunday, August 11, 2013

Security ROFL 10

10th article of this successful series.

From Kevin Mitnick's Twitter status, this one really made me roll on the floor :

Old Dilbert still applicable in many SMBs security ;-)

A tweet from ISSA_France:
— Gargamel, how did you find our village?
— Google Maps.

Saturday, August 10, 2013

Comparing Salaries: USA vs. France

When you're looking for a job worlwide, it's not easy to compare salaries, taxes and social benefits from one place to the other. However, it's a good time investment to do so, there can be quite surprising results. Herebelow, a comparison of income for the same job advertised for $100,000 in France and in the USA. Although the net salary is lower in France, the whole of salary + benefits is far higher in France than in the US with the same advertised job.
(calculations are for a single, no children, with a sample state tax of 10%, and may not be perfectly accurate, they're made to give a comprehensive view)

USA  Amount France France in €
6,200 $  employer contribution to social benefits 63,139 $ 47,338 €
100,000 $  advertised job salary 100,000 $ 74,973 €
17,250 $  federal income tax as a single 13,365 $ 10,020 €
10,000 $  typical state tax as a single 0 $ 0 €
7,650 $  social benefits 23,001 $ 17,244 €
13,850 $  TOTAL social benefits 86,140 $ 64,582 €
75,100 $  TOTAL net take home salary 63,634 $ 47,709 €
88,950 $  TOTAL salary + benefits 149,774 $ 112,291 €