Mailinglist Archive: opensuse-es (629 mails)

< Previous Next >
Re: [opensuse-es] [OT] 56000 claves en 1 hora
  • From: Karl García Gestido <karlggest@xxxxxxxxxxx>
  • Date: Tue, 5 May 2009 14:43:08 +0200
  • Message-id: <200905051443.08299.karlggest@xxxxxxxxxxx>
O Martes 05 Maio 2009 13:56:56 Rafa Griman escribiu:
Hola :)


On Tuesday 05 May 2009 13:01:13 Camaleón wrote:

[...]

Depende un poco de la distro. Las hay que dan por hecho que el admin tiene
esto en cuenta y dan por hecho que el admin se encargará de limitar la
"libertad" del usuario a la hora de especificar la clave.
Pero casi todas dan al menos la posibilidad de hacerlo. Mejor es rajar mucho
de las que no lo hacen para que no las usen :P xD
Una clave relativamente sencilla, como h1bcp_ (hay un bicho comiendo
pipas_) de longitud adecuada (6 a 8 caracteres) es una buena cosa: no
tener clave o tener la del nick de usuario (o derivados: pepito) es un
suicidio.

Te ha faltado usar al menos un carácter en mayúsculas para que sea "más
mejor" ;) Casi digo: "más óptimo" ... Ups 0:)
Bueno, mejor que "karl" es, no? XD
Ya, pero te sigo diciendo: depende del usuario. A mi me gustaría que el
sistema fuera más exigente... me refiero a todos los sistemas >:-)

Algunos Linuxes ya te viene con ciertas restricciones. En openSUSE 11.0,
aparece:

# tail /etc/pam.d/common-password.pam-config-backup

[...]
En openSUSE hay tres perfiles de seguridad. No he probado el modo paranoico
xD, pero sí el "seguro". Vaya, no permite que el usuario inicie sesión en /var
para iniciar una segunda consola, entre otras curiosidades. El por defecto es
"fácil" y no está mal a medida que se vaya quitanto eso de SetUid como root.
Y no todos los administradores tiene sistemas de claves prefijadas o
que pasen por algún chisme de generación aleatoria de claves.

Por desgracia. Y por desgracia, cuando reciben formación (Universidad, FP,
cursos privados, ...) _NO_ se hace hincapié en que el administrador debería
montar una dictadura.
Cierto. También les dicen que Windows es un buen sistema y seguro XD
Ya, ya, luego viene el jefe y se queja. Pues le explicas económicamente lo
que puede suceder si no "nos ponemos serios".
[...]
Algunos saben eso y tienen sistemas y gente competente.
(...)
Por desgracia, quieren que las X (drivers gráficos) se gestionen desde el
kernel :( Así que me parece que el Linux se nos pondrá a mostrar BSOD
dentro de poco :(
Yo creo que alguna llamada de sistema ya hay ;)

[...]
^^^^^^

Mejor usa el término "cracker" o "virii", pero no hacker, incluso "script
kiddie" podría valer ;)
Okis.
[...]
Es muy difícil que una
vulnerabilidad en Ubuntu se pueda aprovechar de forma transparente en
un sistema con SuSE.

No comparto del todo esta idea. Si Ubuntu y SLES tienen la misma versión de
Apache (por poner un ejemplo) y esa versión tiene un exploit determinado:
afecta a ambos.
Pero no pueden escalar de la misma forma en distintos sistemas, y para la
mayor parte de los problemas esto es de importancia capital.
Sí estoy de acuerdo que algunas distros cambian cosas por lo que hace que
unas sean vulnerables y otras no en determinados momentos con determinado
sw, como lo que le pasó por ejemplo a Debian con openSSH si mal no
recuerdo.
XD principalmente porque Debian tenía tal fama de estupenda que la gente hacía
versiones sobre ella porque ya tenía lo más importante hecho. Espero que esto
les sirviese de lección XD
[...]
Además, recordemos que los sistemas Unix sí han tenido ataques
interesantes, desde el gusano de Morris hasta otros más recientes como
vulnerabilidades de OpenSSL que afectaban a los servidores web (según la
prensa, eran los servidores web los que estaban "defectuosos", pero era el
OpenSSL) y permitían que los gusanos se transmitiesen.

También están los famosos programas conejo (como se llamaban antiguamente)
por lo que si no estableces unos límites (fichero limits.conf), te puedes
ver envuelto en un "fregao".

Vamos, que no se libra nadie ;)
Unix es un sistema muy susceptible de ser atacado. Lo diferente es que Windows
es un chollo para atacarlo XD

Tú puedes crear una red de bootnets sin necesidad de usar ninguna
vulnerabilidad, sólo con un pequeño malware que acceda al núcleo; como
mecanismo viral, sólo usas al outlook. Sencillo. Aquí la vulnerabilidad no es
un error de software, sinó un principio de diseño básico. Permitir

a) que un cliente de correo ejecute código
b) que una aplicación de usuario acceda al núcleo

es un suicidio.

Lo de usar gusanos, puertas de atrás y esas cosas que se hace en Unix es con
mucho más complicado y significativamente más lento. Y más lento significa más
caro.
Rafa

Salud!!
--
O malo da relixión e a súa carenza de imaxinación
--
karl
< Previous Next >
Follow Ups