Hola :) On Tuesday 05 May 2009 13:01:13 Camaleón wrote: [...]
Un equipo con puertos cerrados o con pocos puertos abiertos (vigilados o no) es más difícil de atacar que uno con ellos abiertos. El más simple cortafuegos es mejor que nada.
No del todo de acuerdo. Puedes tener un único puerto abierto (80, por ejemplo) y si el servidor web (o el servicio que está ecuchando en dicho puerto) tiene algún problema de seguridad ... te lo pueden reventar.
"Mejor que nada" no existe en seguridad :-).
O sirve (cumple con su cometido) o no sirve. O está activado o no lo está.
Como se suele decir: "Todo lo que no está expresamente permitido está prohibido y todo lo que no está expresamente prohibido, está permitido." ;) O prohibes todo y abres sólo lo que te interesa o abres todo y cierras lo que te interesa cerrar. [...]
Los sistemas Unix con MD5 hacen cálculo de claves y no aceptan cualquiera. Hace mucho que no verifico esta cuestión, pero cuando andaba con Debian la libertad del usuario para fijar una clave estaba muy restringida.
Depende un poco de la distro. Las hay que dan por hecho que el admin tiene esto en cuenta y dan por hecho que el admin se encargará de limitar la "libertad" del usuario a la hora de especificar la clave.
Una clave relativamente sencilla, como h1bcp_ (hay un bicho comiendo pipas_) de longitud adecuada (6 a 8 caracteres) es una buena cosa: no tener clave o tener la del nick de usuario (o derivados: pepito) es un suicidio.
Te ha faltado usar al menos un carácter en mayúsculas para que sea "más mejor" ;) Casi digo: "más óptimo" ... Ups 0:)
Ya, pero te sigo diciendo: depende del usuario. A mi me gustaría que el sistema fuera más exigente... me refiero a todos los sistemas >:-)
Algunos Linuxes ya te viene con ciertas restricciones. En openSUSE 11.0, aparece: # tail /etc/pam.d/common-password.pam-config-backup # This file is included from other service-specific PAM config files, # and should contain a list of modules that define the services to be # used to change user passwords. The default is pam_unix2 in combination # with pam_pwcheck. # The "nullok" option allows users to change an empty password, else # empty passwords are treated as locked accounts. # # To enable Blowfish or MD5 passwords, you should edit # /etc/default/passwd. # # Alternate strength checking for passwords should be configured # in /etc/security/pam_pwcheck.conf. # # pam_make can be used to rebuild NIS maps after password change. # password required pam_pwcheck.so nullok cracklib password required pam_unix2.so nullok use_authtok #password required pam_make.so /var/yp Básicamente juega con cracklib/pam_pwcheck/pam_cracklib, dependiendo de la distro. [...]
Y no todos los administradores tiene sistemas de claves prefijadas o que pasen por algún chisme de generación aleatoria de claves.
Por desgracia. Y por desgracia, cuando reciben formación (Universidad, FP, cursos privados, ...) _NO_ se hace hincapié en que el administrador debería montar una dictadura. Ya, ya, luego viene el jefe y se queja. Pues le explicas económicamente lo que puede suceder si no "nos ponemos serios". [...]
No. Su sistema de gestión de recursos, de privilegios, todo en el sistema está muy poco pensado. Aunque en sistemas como GNU/Linux pueda haber problemas o errores, en Windows prácticamente cualquier aplicación tiene acceso transparente al núcleo, normalmente sin que el usuario tenga intervención, ni siquiera conocimiento de lo que sucede. La filosofía del sistema es muy distinta, y a la larga muy problemática.
Para nada, es realmente compleja.
Ah, y en Linux también :-)
Por desgracia, quieren que las X (drivers gráficos) se gestionen desde el kernel :( Así que me parece que el Linux se nos pondrá a mostrar BSOD dentro de poco :( [...]
Para muchos usuarios es natural relajar las restricciones administrativas, al fin y al cabo ellos son los únicos usuarios del sistema. Lo malo no es que sea natural pensarlo, sinó que nos lleva a lo que digo en (4).
Pues eso te estoy diciendo. Que ese "relax" también llega en sistemas linux y te pueden dar un disgusto.
O más de uno. [...]
Recuérdese que la práctica totalidad (más del 95%) del software que ataca sistemas es software trivial y nada o poco interesante desde el punto de vista de un hacker mínimo. ^^^^^^
Mejor usa el término "cracker" o "virii", pero no hacker, incluso "script kiddie" podría valer ;)
Atacar el outlook no creo que sea meritorio, y su explotabilidad después de tantos años (si aún hay quien lo usa!!! XDD)
Por cuestiones/razones corporativas :( [...]
Además, los sistemas "Unix-like" son bastante heterogéneos. Por alguna razón general se cree que las vulnerabilidades serían explotables de forma similar que en Windows (por versiones: una vulnerabilidad afecta a una versión dada del sistema, incluso a una u otra actualización, por ejemplo, al XPS1). Esto no es cierto. Es muy difícil que una vulnerabilidad en Ubuntu se pueda aprovechar de forma transparente en un sistema con SuSE.
No comparto del todo esta idea. Si Ubuntu y SLES tienen la misma versión de Apache (por poner un ejemplo) y esa versión tiene un exploit determinado: afecta a ambos. Sí estoy de acuerdo que algunas distros cambian cosas por lo que hace que unas sean vulnerables y otras no en determinados momentos con determinado sw, como lo que le pasó por ejemplo a Debian con openSSH si mal no recuerdo.
Todo lo heterogéneos que quieras, pero vulnerables igualmente. Sólo hay que saber dónde pinchar.
Sip. O tener mucho tiempo libre ;) [...]
El problema no es "romperlo", sinó "explotarlo", que es muy distinto. Puedes romper muchas máquinas con "Unix-like", pero el problema es crear una red del tamaño promedio de las que hay por ahí para atacar a otros sistemas. Ésta es la parte más difícil.
Difícil no creo. Poco práctico, sí. La masa de usuarios es poca y por tanto el beneficio y el alcance (difusión), también.
Lo que me gustaría ver es un malware polimórfico, que sea capaz de adaptarse y que salte de un sistema u otro :-}
Windows infectando linux, linux infectando bsd, bsd infectado solaris... }:-)
Eso, tu da ideas, anda que no se os ocurre nada bueno cuando os aburrís ;) Ahora ne serio, vi una vez uno que permitía infectar Windows y Linux, pero no sé dónde lo vi 0:)
Un desarrollo informático puede fracasar por varios motivos, pero no estamos hablando dee eso sino de la seguridad de los sistemas y de las pautas de los usuarios.
Hablamos de una "bootnet". La mayoría de equipos explotables usan un sistema fácilmente explotable. Un usuario poco experimentado que utilice Windows está usando un sistema muy vulnerable porque no conocerá los riesgos y debilidades de su sistema, por mucho que adopte medidas razonables. Ese mismo usuario con Debian no tendría esos problemas de seguridad.
Eso será porque tienes una idea "preconcebida" de los usuarios. Yo no catalogo a un usuario por el sistema que usa sino por cómo lo usa >:-)
Un debianita con un sistema sin actualizar y un apache casero en marcha me daría miedo.
Un usuario windowsero con cortafuegos en el router, con cortafuegos en el sistema, con actualizacioens al día, con programas de prueba instalados en un equipo sin conexión a la red... me parece un usuario más responsable.
Además, recordemos que los sistemas Unix sí han tenido ataques interesantes, desde el gusano de Morris hasta otros más recientes como vulnerabilidades de OpenSSL que afectaban a los servidores web (según la prensa, eran los servidores web los que estaban "defectuosos", pero era el OpenSSL) y permitían que los gusanos se transmitiesen. También están los famosos programas conejo (como se llamaban antiguamente) por lo que si no estableces unos límites (fichero limits.conf), te puedes ver envuelto en un "fregao". Vamos, que no se libra nadie ;) Rafa -- "We cannot treat computers as Humans. Computers need love." rgriman@skype.com rgriman@jabberes.org -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org