Mailinglist Archive: opensuse-es (629 mails)

< Previous Next >
Re: [opensuse-es] [OT] 56000 claves en 1 hora
  • From: Karl García Gestido <karlggest@xxxxxxxxxxx>
  • Date: Tue, 5 May 2009 20:40:58 +0200
  • Message-id: <200905052040.58232.karlggest@xxxxxxxxxxx>
O Martes 05 Maio 2009 18:03:01 Camaleón escribiu:
El 2009-05-05 a las 16:57 +0200, Karl García Gestido escribió:
O Martes 05 Maio 2009 16:17:18 Camaleón escribiu:
(...)
Pero esa configuración no es culpa de windows sino de quien lo
configura así. El windowsito de fábrica no hace esas cosas :-)
El sistema de control de acceso es una cosa y el modelo de gestión de
privilegios es otra distinta :)

Además, el que usan todos esos usuarios que dices es adivina cual :P
Además, no vale de nada una cuenta de administración con clave si el
usuario puede acceder al núcleo.

El usuario "raso" no debe tener acceso al núcleo. Ya te he dicho que eso
se llama "escala de privilegios" y es un bug que no viene de serie :-)
A ver, que aún no lo ves. Windows, da igual la versión que contemples, no
implementa correctamente el control de capas. Una aplicación de usuario puede
hacer uso de servicios del núcleo, sin necesidad de utilizar el sistema que
debería actuar de capa intermediaria. En realidad, parte de su éxito estriva
en esta curiosa cualidad, aunque en las versiones de 16 bits era más
escandaloso.

Por otra parte, para imitar la espectacularidad de los Amiga y los Mac, el
sistema no pone límites a lo que se puede hacer. Aunque los ejecutables deben
de ser archivos .exe, .bat o .com (mientras que en los "Unix-Like" cualquier
archivo que contenga código puede tener (y debe tener) permisos de ejecución
(los del usuario, con la salvedad de las propiedades como SetUid que deben de
ser fijadas por root), cualquier archivo puede tener código ejecutable... y
ejecutarlo.

Windows es un sistema que no dispone de recursos de seguridad. Lo que hay es
un núcleo con un puñado de herramientas de sistema poco útiles y una auténtica
pléyade de herramientas -muchas de terceros- para cubrir las carencias del
sistema. Para procurar un mínimo de seguridad se disponen un montón de
herramientas más o menos eficientes, prestando servicios que no forman parte
del sistema y menos aún del núcleo.

Incluso root, que tiene privilegios para todo con las herramientas del
sistema, tiene sus limitaciones (bien que sean lógicas); el modelo de capas no
sólo reduce los errores, sinó los daños que se derivan de tales errores.

La mayoría de los exploiteds de GNU/Linux necesitan escalar; los de Windows,
no. Es la diferencia.
Hay muchos servicios en linux que un usuario puede no querer tener
activados (ssh, servidor de correo local, avahi...) y que se activan de
manera predeterminada.

Pues sí ;-)
En la mayoría de distros, no es así: en muchas, es al contrario: supongo que
alguna habrá que lo haga.
(...)
Ah, bueno. Pero es que tú das por hecho que todos los usuarios de
windows son unos "pendejos". Si partes de esa premisa, obviamente no
hay nada más que discutir.
No. La mayoría son muy majos y pueden tener muchos motivos distintos para usar
Windows. Que sea un Sistema Operativo Seguro no es uno de ellos.
Es más complejo en Windows, porque es ajeno al diseño del sistema.

Ah, ahora dices que es más complejo... ¿en qué quedamos? >:-)
Es lo que te digo más arriba. En Windows tienes que disponer un puñado de
herramientas para prestar servicios que no provee el sistema. Dejo como
ejercicio saber de donde toman los recursos para ejecutar lo que el sistema no
permite.
(...)
Claro que no tienes alternativa si el código es cerrado. Yo no he dicho
lo contrario. Tienes que saber que el código es cerrado, que pertenece
a una empresa y que esa empresa sacará y publicará los parches que le
venga en gana... como hacen todas las empresas de código cerrado.
Usa software abierto. O software mejor, Solaris o Mac son mejores a cualquier
nivel.
Microsoft no es una excepción.
Dinero, dinero, dinero...

Es divertido, si Suse trajese la mitad de burradas que Windows a Novell la
quemamos con la directiva dentro xDD
También hay parches que no se publican en distribuciones de linux
porque se han dejado de mantener por el motivo que sea: el mantenedor
se ha ido y nadie se hace cargo del programa.
El núcleo se actualiza. Las herramientas GNU (el sistema) se actualiza. Con
eso basta. Si tu aplicación/servicio o lo que sea deja de tener soporte,
tendrás que buscar otro.

Nada es perfecto ;-)
Las opciones del usuario linuxero tampoco son nada halagüeñas: o deja de
usarlo o se arriesga a ver comprometido su sistema.
No me gusta mucho la evolución acelerada, cosas como cambiar de xFree86 a
Xorg, de KDE X a KDE X+1, etc. Pero ya dije que nada es perfecto :)

No discutimos las carencias de un sistema vulnerable como cualquier Unix, sinó
que no es equiparable eso a la absoluta falta de seguridad del sistema
Windows.
(...)
¿Ah, sí? Pues nada, que les siga yendo bien :-)
Cada uno XD Mientras no salgan exploiteds para su sistema, sus versiones...
allá cada uno :D
(...)
Si no hay exploit factible, ¿para qué parchear? >:-)
Tiempo. No es lo mismo que puedan entrar en tu sistema (todo sistema es
vulnerable por definición) que lo sencillo o difícil que sea hacerlo.

Un exploited puede llegar a escalar, en manos de alguien competente con mucho
tiempo libre. Eso es muy distinto a un exploited que no necesite escalar.
(...)

Sí, claro, ya sé que sabes que windows es muy eficiente :-P
Claro que lo es!! XD
(...)
Mis razones, sí claro, que para soy yo quien administra ;-)
Tú administras tu sistema :P
(...)
Que no lo sepan es su problema. Se llaman políticas y directivas de
seguridad y de control de acceso.
Y una cosa es que sean producto del sistema o del núcleo, y otra que sean
herramientas externas.
(...)
Sólo impide las restricciones que quieras. Es muy flexible.
y tanto!!!! XDD
Los ataques al sistema se dan en "todos" los sistemas.
Es más complejo hacerlo en unos que en otros.
Y es una aplicación muy maja. No te metas con el Outlook :-P

Será maja, pero es una bomba de relojería. Debería prohibirse su uso XD

Mal administrado, sin parchearsí. Bien administrado y mantenido, no.
Tienes que administrarlo!!! eso, para un cliente de correo, que no es nada más
que eso, es deleznable XDD
Otra cosa es que no te guste por los motivos que sean.
Porque es un sistema muy malo? es un buen motivo, como otro cualquiera. Que a
alguien le guste, bueno, cada uno a su gusto.
(...)
Hay miles de errores posibles cuando escribes más de diez líneas... pero
si el problema está en el diseño no hay nada que hacer!!!

Claro que sí, rediseñar o parchear. Igual que en linux.
No se puede rediseñar algo de tamaño no trivial. Tampoco Linux. En Windows, se
esconden los problemas y se reza, nada más. Es su política, y además es
oficial.

En GNU/LInux se parchea. Unix no es un buen sistema, da demasiada importancia
a los usuarios, pero es "usable"; Linux es un poco mejor, pero no mucho...
bueno, cuando quieras desarrollamos el sistema operativo del futuro, en teoría
debería ser sencillo XD
(...)
Y pueden cargarse el disco XD

No, sólo hacer copias de seguridad :-)
XDD
Eso sería un exploit de escalada de privilegios, en windows o en linux.
Y eso sería un bug, tanto en windows como en linux.

En GNU/Linux un malware que no escale es inicuo; en Windows, no necesita
escalar.

Para acceder donde no debe acceder, sí, necesita escalar o tener
acceso.
No. Accede a núcleo.
(...)
Vete a una buena ferretería, que sea de buen acero y tenga un buen mango

¿No te gusta Leroy Merlin?
Me refiero a que un buen martillo es un buen martillo ;-)
(...)
Te permite "intentar atacar". Según tu teoría, todos los windows deberían
estar infectados y actuar como zombies, pero, qué cosas, no lo están.

¿Por qué será? :-?
Y acaso no lo están? XDD

Cuántos se calcula que pueden estar infectados, incluso en redes
"organizadas"? Aun suponiendo que las empresas auditoras exageren, las cifras
de las que hablan son de miedo. Espero que no más de un porcentaje mínimo sea
cierto, pero aún así estamos hablando de muchos.
(...)

No es que se necesite mucho. Puedes colocar malware en cualquier lado y
ya se ejecutará XD Si lo comparas con atacar un Unix...

No, sólo se ejecutará en sistemas no protegidos.
Windows XD
Para atacar a un unix sólo necesitas buscar el aplicativo correspondiente y
un administrador o usuario un poco dejado.
Comparativamente hablando, digamos muchas cosas... XDD
Eso dependerá el tipo de exploit. Si usa funciones comunes en todos los
sistemas, pues podrá aprovecharlas.

bueno, desgraciadamente no las hay a ese nivel. Algunos podrían ser
comunes, pero la mayoría no, y no es fácil saber a priori si lo pueden
ser...

No las hay o no las conoces o no se encuentran fácilmente por la web.
No es más que una cuestión de porcentaje de uso: menos uso = menos
interés = menos exploits.
Precisamente, no es fácil de saber para el que desarrolla el malware de turno,
igual que para los desarrolladores de soluciones de software "común".
¿Y...? Cada núcleo tiene sus propias vulnerabilidades pero algunas son
compartidas, es decir, que se dan en ambas versiones.

Sí... o no... La última vulnerabilidad del núcleo grave ¿a cuántas
máquinas SUSE, Red Hat o Mandrake afectó?

A todas las que les afectara esa vulnerabilidad. Hay funciones
genéricas en el kernel que se mantienen en todas las distribuciones
(bug en los adaptadores de red de intel, pérdida de datos en ext4 en
determinadas circunstancias...)
A SuSE no, porque esa versión no se desplegó (en el cambio de versión se saltó
esa y ya no traía el módulo explotable). En el resto lo más probable es que se
diesen situaciones análogas. De hecho, se trató en las listas Debian.

Algunos usuarios que tenían en su momento ultimísimos núcleos puede que lo
usasen, pero esos usuarios ya habrían puesto la siguiente en cuanto salió ;-)
Como mucho alguien que actualizase hasta esa versión por algún dispositivo
específico....

No sabía que ext4 se desplegase ya como versión probada y eso. Yo uso
reiserfs, ext3 y xfs. Todos tienen sus límites, pero en mi sistema van muy
bien.

ah!! bug<>vulnerabilidad
Sí, por qué no. Anda que no hay parches para el kernel de linux,
openbsd, solaris... :-)

Parches de seguridad para openBSD? :O pobrecillos, no los asustes .D
http://es.wikipedia.org/wiki/Openbsd#Seguridad

Buuu :-)

Algunas hay, algunas hay...

OpenBSD Vulnerabilities
http://www.securiteam.com/products/O/OpenBSD.html

Sun Solaris 10 Vulnerabilities
http://www.securiteam.com/products/S/Sun_Solaris_10.html
Compárese:
http://www.securiteam.com/products/W/Windows_2003.html
Por no hablar del tipo de vulnerabilidad: vulnerabilidad<>explotable

Busca sistemas más desplegados que el equivalente. Por ejemplo, posiblemente
Solaris esté desplegado en más sitios "a atacar" que Windows 2003, de forma
similar a que la mayoría de los grandes computadores usan Unix o GNU/Linux,
con lo que son candidatos a ser explotados.

Por cierto, la lista incluye las vulnerabilidades públicas. En el código
cerrado, es difícil estimar cuántas hay realmente.
No creo. Sólo hace falta una buena recompensa (que se les pague bien) y
ya tienes programadores intentando romper cositas (para windows, para
linux, para unix...) :-)

se les pagará si con su trabajo se produce algún beneficio, digo yo XD

Claro, y no lo hay por el bajo porcentaje de uso :-)
Si para enviar un puñado de spam necesitas tener una hora de hackers dia y
noche durante mucho tiempo, por muy extendido que esté el sistema no será
rentable. Léase "la mayoría de los problemas de seguridad del software moderno
son los que son".
Karl te presento a Java, VM. Java, saluda a Karl :-)

Java "semi-compila" antes de interpretar. Eso está muy lejos de la total
portabilidad. Además, pocos sistemas tienen toda la API para usar java de
forma próxima al núcleo, si los hay. Si la montan con C++, imagina con
Java.

Yo ya espero un bichito multiplataforma que aproveche la VM de java
Yo no, me da miedo y urticaria. Sí es manía. Un amiguete (25 años de C) me
dice que puede ir muy bien y muy rápido, pero no acabo de verlo.

Hace unos días hablamos aquí de Mono... es extraño, lo usé para no sé qué el
otro día.. uf :S

El "cómo lo usa" suele determinar la elección de sistema. Es un
hecho.
Eso es otra idea preconcebida :-)
Porque dices que es un hecho sin aportar pruebas de ese hecho.
Vaya. Es lo que dicen ellos. Por qué dices que mienten?

"Cuídate de la persona de un sólo libro."

Al contrario. La gente que usa un solo libro usa Windows... porque no
sabe que existen otros XD

Pues ya ves que no. No puedes generalizar.
La mayoría, según ellos. No veo por qué iban a mentir. Yo cuando miento afirmo
ser guapo, rico y muy listo y culto. Ya sé que no cuela, pero puestos a
mentir... XD
Yo he usado y uso windows y también estoy usando suse. Y ya me
gustaría hincarle en diente a MacOS y a freebsd. Al solaris también.

Todos ellos, aún con sus bugs, son interesantes :-)
openBSD mejor que FreeBSD. Para escritorio, tienes DesktopBSD y PC-BSB. Hay
mucha gente encantados con ellos. Creo que es la PC-BSD que permite instalar
paquetes "que incluyen todo lo que necesitan para ejecutarse", como un
programa de terceros, paqutes PBI o algo así...

En mi caso particular, siempre (con openSolaris, FreeBSD, openBSD, PC-BSD,
DesktopBSD) falla un dispositivo u otro. Todo se andará ;)

Hay proyectos que tienen buena pinta.
Aún ese usuario sería muuuucho más difícil de explotar que un usuario
promedio de Windows, incluso bien administrados.

Otra idea preconcebida :-P

Por?

Porque no demuestras empíricamente lo que afirmas.
La afirmación empírica está en cualquier libro trivial de administración de
sistemas. Por definición, es más difícil explotar un sistema que provea pocos
recursos de seguridad que uno que no los provea en absoluto (a nivel sistema-
núcleo). Puedes usar herramientas de seguridad en Windows, pero esas mismas
herramientas son un peligro para la integridad del propio sistema XDD

Generalmente, la seguridad de muchos sistemas Unix o Windows está en que no
son sistemas atacados XD.
(...)
Ya... ¿y desde cuando compartir contraseña entre admin y user es una
buena idea? >:-)
La mala idea es no tenerla.

Y tenemos que gritarle mucho a la gente que sostiene que sí lo es, amparándose
en que en la mayoría de sistemas de escritorio el administrador es el mismo
que el usuario, lo que no veo por qué tiene que ser cierto (bien que sí serán
la mayoría, es difícil esperar que sea una mayoría muy amplia. La mayoría de
familias tiene uno o dos computadores y en muchos casos los usa todo el mundo
de la casa :) ).

Me congratula que SLED tiene "por defecto" no seleccionada esa opción; pero lo
suyo sería no tener esa opción, incluso compararlas :)

Además, la seguridad no es simplemente privacidad. No es quién ejecute un
software dado, sinó si ese software puede acceder al núcleo o no puede
hacerlo.
(...)
Yo lo veo razonable. Hay cosas que no es tan sencillo como debiera, pero
no le encuentro misterio alguno.

Misterio es cuando pensando que haces una cosa, sucede otra y dices
"¡ostras, esto no es lo que quería hacer! Vale... ¿pero qué narices ha
hecho?"
Mi configuración es muy sencillita, puede que en sistemas más complejos sea
más lioso, pero la interfaz, sin ser la mejor, no la veo complicada.
(...)
Entonces me parece que el uso de linux se reduciría al 0,000009% del
total X-)
No hablo del usuario de Linux, sinó de cualquier sistema conectado a la red.
Me parece muy bien que a la gente les dé igual que la gente les hurgue en el
sistema, pero que de haí puedan derivarse daños a terceros, no. Flaco favor te
haría si te atacasen desde mi equipo :D

Esto es un "deseo irreal". Sólo es una forma exagerada de decir que esperar
que un buen sistema no requiera de saber algunas cosillas es absurdo. Y los
sistemas operativos que se desarrollen en el futuro deberían tener esto en
cuenta. Por supuesto, deberían ser desarrollados con la idea de seguridad bien
metida en la cabeza.
Saludos,

--
Camaleón

--
O malo da relixión e a súa carenza de imaxinación
--
karl
< Previous Next >
Follow Ups