Touche pas à mon disque

Petite déconvenue pour une société Suisse au USA.
Non qu’elle ai fait quelque chose de mal, mais dans sa ferme de serveurs dûment monnayée à ses clients se trouvait un site web utilisé par des personnes peu fréquentables.

Résultat, descente du FBI qui repart avec la baie de serveurs…
Et hop, offline tous les autres clients légitimes !

Aujourd’hui, quelle société qui nécessite plus d’un serveur n’a pas mis en place une baie disque type SAN avec une solution de virtualisation?
On se retrouve avec une machine virtuelle qui tourne quelque part dans la ferme de serveurs, et dont les disques systèmes sont stockés quelque part sur le SAN en RAID éclaté sur plusieurs disques physiques…
Le FBI n’a pas dû pouvoir disposer rapidement de l’information concernant la localisation physique réelle du serveur et de ses disques :-(

Liens :
http://pro.clubic.com/it-business/hebergement-site-web/hebergement-dedie-internet/actualite-430188-fbi-saisit-serveurs-usa-dizaines-sites-hors-service.html
http://bits.blogs.nytimes.com/2011/06/21/f-b-i-seizes-web-servers-knocking-sites-offline/?smid=tw-nytimesbits&seid=auto

Dropbox et la sécurité…

Suivant quelques articles que l’on retrouve sur le net :
http://www.cnetfrance.fr/…
http://www.clubic.com/…
la société qui édite la solution Dropbox a été contrainte de modifier la description de son produit phare.

En cause, la sécurisation réelle des données que l’on confiait à ses serveurs. On a à l’origine un chiffrement AES 256 bit dont seul le client a les clés pour ses fichiers, c’est à dire donc qu’il est le seul à pouvoir lire ses fichiers. En réalité, les mots de passe stockés sur les serveurs… donc, potentiellement, d’autres personnes comme les employés ont aussi accès aux données…
Bref, on a un beau mensonge commercial pour essayer de bien placer sa solution à moindre frais (de développement)…

Et pourtant, aujourd’hui, la cryptographie est un domaine connu et largement documenté…

« Ayez confiaannnce… »

Night Dragon

Un article sur « Night Dragon » et les attaques sur des sociétés commerciales.

Voir l’article sur blogs.mcafee.com .

Cela montre que, si les données sont généralement stockées et réparties entre plusieurs serveurs (fichiers, email, blog, CMS, etc…), le poste utilisateur est à la croisée de toutes ces données et donc constitue une cible privilégiée.

Expérience 42

Bonne année 2011 !
Et elle commence bien, très bien même !!!
Serait-ce l’année de la révolution numérique?

Mon dieu que j’aime ces gens qui bidouillent, testent, grattent, expérimentent, ré-essayent!!!
Et je découvre au détour d’un article de Linuxfr le projet 42 :
https://www.42registry.org/

Icon 42registry

Continuer la lecture de Expérience 42

UPTIME 708

J’interviens sur un serveur Linux cet après midi. Je regarde les logs pour voir ce qui c’est passé. Les logs ne sont gardés que 7 jours par défaut, pas grand chose quoi. Et puis je jète un Å“il à l’uptime (délai écoulé depuis le dernier démarrage). Continuer la lecture de UPTIME 708

Partager !…

Démonstration d’une petite fuite d’information, jolie à voir quand même ;-)

Imaginez quelques photographies d’un studio prestigieux disponibles sur internet en haute définition. De quoi en faire des agrandissements de qualités. Le tout retrouvé sur le moteur de recherche Google avec juste un mot : Harcourt

Continuer la lecture de Partager !…

Journalistes : protégez vos sources !

On se croirait en pleine guerre froide… mais on est en France en 2010, pays des droits de l’homme!

« C’est fou ce que les ordinateurs et les téléphones portables des journalistes qui enquêtent sur le scandale Woerth-Bettencourt semblent intéresser voleurs, politiques et magistrats, ces derniers temps. »
Jean-Marc MANACH

http://bugbrother.blog.lemonde.fr/2010/10/27/journalistes-protegez-vos-sources/

La « sex list » de Karen Owen

Karen Owen doit encore s’en mordre les doigts…

Une petite blague entre copines sous la forme d’une thèse de 42 pages se retrouve à la une de tous les médias. Par exemple sur Rue89. Continuer la lecture de La « sex list » de Karen Owen

Monkeysphere

Le projet Monkeysphere [2] vise à étendre l’utilisation de OpenPGP [7] ou GnuPG [8] à l’authentification sur SSH [5] ou SSL [3]. Il est présenté brièvement en [1].

Continuer la lecture de Monkeysphere