Apocalypse ou pas

Je suis un homme très positif. Donc, je pense que l’avenir sera radieux et libéré de la pauvreté grâce à l’impact des nouvelles technologies. C’est vrai qu’il y a davantage catastrophe écologique et la pollution est très élevée. Principalement, les usines et les voitures polluent la planète.

Cependant, il y a beaucoup de technologies aujourd’hui qui améliorent notre vie et aussi la vie de la planète. Par exemple, les voitures électriques sont déjà disponibles pour la plupart des personnes. Ils ne sont pas très chers. Aussi, il y a beaucoup de logiciels pour faire des appels vidéo. Alors, il n’est pas nécessaire de voyager très souvent.

À mon avis, grâce à l’impact des nouvelles technologies, la planète s’améliorera à l’avenir. Nous devrons faire attention à toutes les catastrophes écologiques mais je suis sûr que nous serons gentils avec lui.

Quel type de voyageur êtes-vous ?

Pour moi, voyager c’est profiter de la culture. Je ne suis pas sûr si je suis un puriste de la culture ou un voyageur éthique étant donné que j’aime rouler ma bosse afin de connaître des cultures mais, je pense, que la meilleure façon de le faire est de participer à des projets de volontariat vu qu’il est nécessaire de parler et comprendre les personnes étrangère pour partager les tâches du projet.

Lorsque je pars en voyage, c’est pour changer d’air. Je déteste la concentration alors je suis tout à fait favorable à l’étalement des vacances. Dans les voyages, ce que je recherche c’est partir à l’aventure là où il n’y a pas de touristes. Mes priorités sont les villages, la nature et les montagnes. J’aime aller dans une petite village pour faire de la randonée à la montagne ou travailler sur un projet local destiné à la reconstruction d’un bâtiment utile à la communauté.

Le plus beau voyage que j’ai fait a été celui que j’ai réalisé à Atabey en Turquie il y a six ans. C’était un projet local pour netoyer et reconstruir un école. Mon meilleur souvenir de ce voyage c’est un drapeau signé par tous les bénévoles. J’aimerais y retourner malheureusement ce n’est pas possible à cause de la pandémie. Par conséquent, mon prochaine voyage sera au nord de l’Espagne pour visiter les Pics d’Europe.

Side channel AttackeD (SAD) DNS

DNS is a protocol unknown by most users but it’s very important for the Internet because domain names have to be resolved to IP addresses. It’s an essential service. The DNS service is a very important protocol which has to be managed, monitor and protected. I’ve already written about DNS Security, DNS performance testing tools, EDNS(0) - Extension Mechanisms for DNS as well as DNS over HTTPS (DoH) and DNS over TLS (DoT). I’ve even written about how to configure DoH & DoT to DNS Proxy with F5 LTM. I’m going to write today about the SAD DNS attack.

First of all, we have to understand what is a DNS Cache Poisoning Attack. It is an attack in which corrupt DNS data is introduced into the DNS resolver’s cache, causing the name server to return an incorrect result record. DNS uses the UDP protocol for queries and responses. There is no handshake with the UDP protocol. Therefore, DNS responses can be spoofed by an attacker and, thus, an attack can inject forged DNS entry. This is one way to execute a DNS Cache Poisoning Attack. There is another way, which is accessing the DNS resolver server to change DNS resources. Anyway, it’s difficult to execute this attack but if there is no DNS protection, it can be done. 

DNS Cache Poisoning Attack

The DNS protocol has already changed several times to protect users to the DNS Cache Poisoning attack. For instance, prior to 2008, recursive resolvers used port 53 to send and receive messages to authoritative nameservers. This made guessing the source port trivial and the only variable an attacker needed to guess to forge a response to a query was the 16-bit message ID. Therefore, the Kaminsky’s attack was simple to run. The DNS protocol was changed to run over randomized source ports for security reasons.

Recently, UC Riverside and Tsinghua Universities has announced a new attack called SAD DNS (Side channel AttackeD DNS). This is a new way to defeat the source port randomization. Thanks to ICMP error messages, the attacker could ask the server which port number is being used for a pending query, that would make the construction of a spoofed packet much easier. However, this attack scenario isn’t easy to perform, but becomes totally possible when all the planets are well aligned. For instance, it requires DNS servers answer ICMP messages under specific conditions.

SAD DNS

If you are a network engineer who manage DNS forwarder or recursive DNS resolver, you should cosider upgrading your Linux Kernel, which uses unpredictable rate limits, blocking the outgoing ICMP “port unreachable” messages with a firewall, and keeping your DNS software up to date. In addition, configuring DNSSEC is a best practice because it is designed to protect against this type of attack.

To sum up, SAD DNS attack is not easy to perform but we should know this kind of attack to harden DNS servers with security protections. This is the best way to avoid attacks like this one.

How are you protecting your DNS servers?

Electronic Signatures and Infrastructures

I’ve written a lot about information security management. I’ve written about ISO 27001, ENS, PCI-DSS, ISA-95, etc. I’ve also written about cybersecurity strategies such as the EU Cybersecurity Strategy, the National Cybersecurity Strategy of Spain, the Revue Stratégique Cyberdéfense de France, the National Cyber Strategy of the U.S. of America, etc. However, I’m reading the Draft ETSI EN 319 401 - Electronic Signatures and Infrastructures (ESI) this week. Actually, I’m reading the General Policy Requirements for Trust Service Providers which is just released last february.

If we want to know what is this standard for, first of all, we'll have to know what is a Trust Service Provider (TSP). A TSP is an entity which provides one or more trust services, while a trust service is an electronic service for creation, verification and validation of digital signatures, time-stamps and certificates for website authentication. A trust service is also an electronic service for preservation of digital signatures. Therefore, a TSP is a very important entity for providing and preserving digital certificates.

Policy Requirements Document Structure

The ETSI 319 401 standard has requirements that all TSP should comply. One of them is a requirement where the TSP shall specify the set of policies and practices appropiate for the trust services it is providing. I think, this is the most important requirement. In fact, it is a common requirement for all security standards. It is really important because the security policy is going to define a set of “sub-policies” which have to be enforced.

Actually, there are 13 “sub-policies”. Most of them have requirements that refer to ISO/IEC 27002:2013. This is really useful because if you know ISO 27001, we’ll have lots of work done. However, there are also specific requirements to TSP such as they shall have the financial stability and resources required to operate in conformity with the policy, as well as, they shall maintain sufficient financial resources and/or obtain appropriate liability insurance, in accordance with applicable law, to cover liabilities arising from its operations and/or activities. These are two specific requirements from ETSI 319 401 in the organization reliability “sub-policy”.

It’s also interesting the network security “sub-policy” because there are requirements where the TSP shall undergo or perform a regular vulnerability scan on public and private IP addresses identified by the TSP, as well as, the TSP shall undergo or perform a penetration test on the TSP’s systems at set up and after infrastructure or application upgrades or modifications. I like these explicit requirements to perform vulnerability scan and penetration tests. It’s a best practice and they are written in this standard.

To sum up, this is another security standard with lots of requirements. Most of them similar to ISO 27001 but also some of them specific to provide trust and confidence in electronic transactions.

Did you know this standard?

Trois jours et une vie

J’ai lu "Trois jours et une vie" de Pierre Lemaitre, dont le genre littéraire est un roman psychologique, qui a été publiée en 2016.

Pierre Lemaitre est psychologue de formation et autodidacte en littérature qui a reçu le prix de Goncourt pour son roman « Au revoir là-haut » en 2013. Il travaillait dans la formation professionnelle des adultes jusqu’en 2006, quand il a commencé à vivre de sa plume comme romancier et scénariste. 

« Trois jours et une vie » est un livre où un garçon tue un ami accidentellement. Il ne dit personne que s’est-il passé parce qu’il prend de panique, alors il se débarrasse du petit corps. Le garçon doit apprendre à grandir avec ce secret parce que les jours passent, les habitants du village se mobilisent pour retrouver l’enfant disparu et les policiers cherchent dans tous les recoins. Cependant, seulement le petit enfant connaît la vérité.

L’histoire est présentée à Beauval en France à la fin de décembre 1999 et le roman est divisé en chapitres sans titre. Le narration est faite dans la tête du petit garçon qui raconte sa vie avec angoisse et terreur permanent.

Le roman parle principalement d’un enfant qui s’appelle Antoine et qui habite seul avec sa mère divorcée Mme Courtin. Il a douze ans quand il tue l’un de ses amis - Rémi Desmedt, 6 ans. Les parents de Rémi sont voisins des Courtin et ils sont très inquiets pour retrouver son fils. Il y a aussi d'autres personnages principaux comme le docteur Dieulafoy qui est le médecin de famille, Valentine Desmedt qui est la sœur de Rémi, et Émilie Mouchotte qui est aussi la voisine d’Antonie.

À mon avis, «Trois jours et une vie» est un livre prenant, qu'on ne peut pas arrêter de lire. J’ai vraiment aimé la fin du roman. C’était inattendu.

À bientôt!