Concho, que largo queda XD O Martes 05 Maio 2009 13:01:13 Camaleón escribiu:
El 2009-05-05 a las 12:11 +0200, Karl García Gestido escribió:
O Martes 05 Maio 2009 11:19:17 Camaleón escribiu:
(...) Un equipo con puertos cerrados o con pocos puertos abiertos (vigilados o no) es más difícil de atacar que uno con ellos abiertos. El más simple cortafuegos es mejor que nada.
"Mejor que nada" no existe en seguridad :-).
O sirve (cumple con su cometido) o no sirve. O está activado o no lo está. No es así. Un cortafuegos "laxo" es mejor que ninguno. No confundas las cosas.
(...) Los sistemas Unix con MD5 hacen cálculo de claves y no aceptan cualquiera. Hace mucho que no verifico esta cuestión, pero cuando andaba con Debian la libertad del usuario para fijar una clave estaba muy restringida.
Una clave relativamente sencilla, como h1bcp_ (hay un bicho comiendo pipas_) de longitud adecuada (6 a 8 caracteres) es una buena cosa: no tener clave o tener la del nick de usuario (o derivados: pepito) es un suicidio.
Ya, pero te sigo diciendo: depende del usuario. A mi me gustaría que el sistema fuera más exigente... me refiero a todos los sistemas >:-) Pero no es lo mismo un sistema que "ofrece" que uses claves probadas que otro que ni siquiera pregunta si la quieres y asume que no. No es comparable.
(...) Eso también es algo que depende del usuario. Si no mantiene actualizado equipo, es su problema. Pasa en todos los sistemas.
No. Es un problema de actitud.
Pues eso. Un problema de actitud es "sí o sí" un problema del usuario Estás comparando sistemas donde el usuario puede "quitar" servicios de seguridad con un sistema al que en todo caso se los tienes que "poner". Desde el punto de vista del usuario, "poner" es más difícil que "sacar", por eso todas las distribuciones "de escritorio" son mucho más pesadas que Debian. Y eso mismo sirve para la seguridad: no es lo mismo configuar KDM para que acepte que no te registres en el inicio de sesión y otra es tener que configurar el sistema para que no acepte usuarios sin clave. Unos sistemas parten de un punto, y otros de otro. :-). Si es que te gusta sacar de donde no hay, Karl... Generalmente, mucha gente que "sabe" se dedica a culpar a los usuarios de los fallos de las herramientas empleadas. Igual que "el hardware es lo que recibe los golpes por los fallos del software", "el usuario es el que lleva las culpas de las limitaciones del software".
(...) También es algo que depende del usuario. Pasa en todos los sistemas.
No es lo mismo administrar un sistema donde las claves se fijan con algún sistema de cálculo de claves que en sistemas que el adminstrador por defecto no use claves.
No hablamos de administradores sino de usuarios. Los administradores no son santos, y no siempre son los únicos usuarios, ni siquiera bajo Windows.
Tengo por ahí una versión del XP llamada Ue o algo así (Edición no soportada o algo así), ni siquiera puedes crear cuentas de usuarios, y mucho menos administrar privilegios.
Y no todos los administradores tiene sistemas de claves prefijadas o que pasen por algún chisme de generación aleatoria de claves. Unos sistemas traen eso por defecto, otros lo traen y permiten que los usuarios los usen, y otros no los traen. Hay que señalar las diferencias entre las tres posibilidades?
(...) No creas. Lo que pasa los de windows hacen más ruido.
No. Su sistema de gestión de recursos, de privilegios, todo en el sistema está muy poco pensado. Aunque en sistemas como GNU/Linux pueda haber problemas o errores, en Windows prácticamente cualquier aplicación tiene acceso transparente al núcleo, normalmente sin que el usuario tenga intervención, ni siquiera conocimiento de lo que sucede. La filosofía del sistema es muy distinta, y a la larga muy problemática.
Para nada, es realmente compleja. ¿? Ah, y en Linux también :-) Salvo algún error, no.
Una aplicación lanzada en el espacio de usuario no tiene acceso al núcleo, ni sea un programa de fotos, ni un virus ni nada. Un exploited en Linux en primer lugar debe conseguir escalar a root, lo que no es sencillo. De hecho, cosas como SetUid son cada vez menos usadas. Después de eso, podría permitir cierto control del sistema. Esto no es comparable a que una aplicación lanzada en el espacio de usuario pueda acceder de forma transparente a los servicios del núcleo (sin necesidad de escalar), por mucho que maldigas a los usuarios. El problema que pueda haber en algún lado, como en Xorg, si lo hay, es el de una aplicación lanzada en el espacio del sistema; lánzalo en modo usuario :P
(....) En la lista inglesa? XD a mí me han preguntado todo tipo de barrabasadas, y generalmente el que preguntaba simplemente se ha llevado la bronca. También recuerdo tener que "explicarle" a algunos usuarios que no era buena idea eso de "usar root como cuenta de usuario normal" xDD
Pues eso te digo, que es el usuario el que hace su sistema tan seguro como quiera que sea. Y que las "malas costumbres" llegan a todos los sitios: windows, linux... De nuevo, no es lo mismo que un usuario acepte que puedan hacerse con su sistema con que el sistema "por defecto" tome eso como su entorno natural XD
Para muchos usuarios es natural relajar las restricciones administrativas, al fin y al cabo ellos son los únicos usuarios del sistema. Lo malo no es que sea natural pensarlo, sinó que nos lleva a lo que digo en (4).
Pues eso te estoy diciendo. Que ese "relax" también llega en sistemas linux y te pueden dar un disgusto. De nuevo, no es lo mismo. En "Unix-like" tienes que quitar servicios de seguridad; en Windows es lo normal. Hay mucha diferencia.
(...) No es así. El sistema debe prever muchas situaciones y sus responsables deben de establecer pautas y límites.
Eso no tiene ningún sentido porque el responsable del sistema del usuario es el propio usuario :-). Aquí no hay administardores que le pongan límites, las políticas de seguridad se las cocina él mismo y se las come él mismo. También hay gente que usa Windows en redes domésticas y de oficina, aunque algunos no entendamos por qué XD Por tanto, es el usuario el que debe ser responsable de su equipo y de sus actos. Es el sistema el que debe de proporcionar mecanismos para realizar una gestión eficiente con unos recursos aceptables (es decir, sin cursar titulaciones específicas durante 10 años). El modelo de gestión de GNU/Linux no es el mejor, pero es bueno; y desde luego, si lo comparas con Windows, es tecnología punta XD
(...) Atacar ¿qué versión concreta de Outlook no es meritorio? >:-) No sé si Outlook corre con wine, pero por de pronto es una aplicación de Windows xD Anda que no hay programas vulnerables en Linux que si no están actualizados te dejan en la misma situación que su contraparte windowsera :-P Una cosa es un error de programación, código malo o incorrecto... y otra que el diseño de una aplicación favorezca su explotación por indeseables. Venga, hombre, deja un equipo con una sesión de kde de root abierta en medio de una oficina a ver cuánto dura. A los 15 minutos ya han borrado algún directorio "vital" o se han cargado cualquier otra cosa. Puedes incluir líneas de código en correo que "quemen" discos (esto para alguna versión "anterior" de Outlook. Outlook se supone que no ha cambiado, simplemente se supone que tu antivirus no permitirá abrir un documento que contenga esas líneas de código, pero no es una corrección de Outlook!!!
Ah, por supuesto, sin necesidad de privilegios especiales. Por otra parte, un administrador no debería dejar sesiones abiertas; mejor dicho, no debería haberla abierto en primer lugar. Eso también rige para cualquier sistema.
(....) Eso no es cierto. Los sistemas no "promueven" nada. Que suse me sugiera un particionamiento X no significa que yo lo vaya a hacer. O que me sugiera el uso de sudo o compartir contraseña entre usuario y root. Pero lo más importante es la gestión de espacios y el uso de privilegios. Esto no es común en Windows.
Vamos a ver. Si tú pones código que borre un directorio como /usr/bin en un archivo y le das a un usuario ese archivo, aunque este usuario le otorgue permiso de ejecución a ese archivo, y lo ejecute, conscientemente... no podrá borrar ese archivo, porque el sistema no le otorgará privilegios suficientes. Necesitarás escalar a root. En Windows esto no es así. Como la mayoría de aplicaciones acceden de forma transparente al núcleo, no hay política de permisos que valga. Por supuesto, no puedes ejecutar "rm /usr/bin" ni hacerlo con el explorador de archivos... pero sí puedes hacer código ejecutable que acceda al contenido del disco y una vez en él borre el contenido de la entrada correspondiente a /usr/bin o directamente borre la entrada de /usr/bin en la tabla de ficheros. Esto está más allá de lo que muchos podemos hacer, pero es posible y relativamente sencillo. Y no, no puede hacerse en GNU/Linux, donde si no tienes privilegios de sistema no puedes acceder al contenido del disco. En realidad, sospecho que para un administrador es más fácil eliminar un archivo con un comando de sistema tal como rm que intentando acceder al contenido del disco, aunque todo esto excede con mucho lo que yo sé y sólo es IMHO.
Son opciones que tengo, nada más. Si tienes opciones, a lo mejor las usas. Si no las tienes, lo más probable es que no.
"El hábito no hace al monje" >:-)
Dale una herramienta a alguien, y la usará. Si tienes un clavo a mano, todo lo que tienes cerca se parece a un martillo.
Y la usará... sí, pero mal. Por eso te digo, que el hábito no hace al monje. Que tener un clavo no te convierte en carpintero. Pero estamos hablando de vendedores de martillos!!! Si tengo un clavo, necesito clavarlo, y tú vendes martillos, no me vendas una sierra.
(...) Pero es más compleja. Lo mejor que puedes conseguir en Windows es acercarte a lo "normal" en GNU/Linux, y no es fácil, sobre todo porque el sistema promueve que se hagan otras cosas XD
No hay "nomal" en Linux. Hay un sistema "bien administrado" por el usuario o un sistema "mal administrado". En Windows hay "sistemas administrados" y "sistemas no administrados", y estos últimos son la inmensa mayoría. Cambia mucho.
(....) Claro, porque no las hay en este momento. Y no las hay proque no interesa llegar al 1% de los usuarios cuando se puede llegar a l 85%. Cuestión de estadística.
Lo cual no quiere decir ni que sea posible, ni difícil hacerlo. Tienes que ver los conocimientos promedio y las motivaciones promedio para atacar un sistema. Me huelo que la gente que rompe Linux con facilidad no tiene mucho interés en los spams XD
Todo sistema es muy vulnerable, ni siquiera el mejor administrado está a salvo. Como dicen por ahí, el único sistema seguro es el que está aislado en una caja fuerte... y aún así ... Otra cosa es la diferencia en el diseño. Los Unix eran dieñados para permitir el uso por red de muchos usuarios y dan facilidades, muchas veces excesivas. Esta característica la heredó GNU/Linux, y sí, es cierto, es un gran problema. Pero Windows no se diseñó para esto. No hay excusa, sólo un sistema mal diseñado que tuvo una amplia difusión y hoy es mayoritario. Pero nunca fue, ni será, un sistema operativo mínimamente decende, por definición. Su diseño es malo, por sí mismo. Lo mejor que puedes hacer es conseguir que se comporte de forma similar a un sistema Unix. El esfuerzo para conseguir esto, puedes utilizarlo en tu sistema Unix para conseguir algo mucho más difícil de vulnerar. Por supuesto, todo esto excede, y con mucho, al usuario doméstico. Lo resumo así: una cosa es que todo sistema sea susceptible de sufrir un ataque exitoso; muy distinto es que la filosofía de diseño de un sistema "facilite" el éxito de un ataque. Casi cualquier persona puede atacar un sistema Windows, y no hace falta mucho para atacar a un sistema Windows bien administrado. Puedes atacar sistemas Unix, pero necesitarás más que eso. Repito: la inmensa mayoría de los ataques vienen por las trivialidades del sistema que, insisto, no pueden darse en sistemas Unix. Esto no quita que no haya más vulnerabilidades, sólo que no es tan fácil como pintan las películas y las empresas de "seguridad".
(...) Es muy difícil que una vulnerabilidad en Ubuntu se pueda aprovechar de forma transparente en un sistema con SuSE. Todo lo heterogéneos que quieras, pero vulnerables igualmente. Sólo hay que saber dónde pinchar. Pero el mismo exploited no te servirá para atacar a otros sistemas. Tendrías que usar un virus que difundiese uno u otro exploited según el sistema, y eso es muuuy complejo; que el exploited actúe de una forma u otra según el sistema, lo es más aún...
Es que una vulneración grave en un núcleo afectaría a una fracción mínima de los usuarios de GNU/Linux, porque no es fácil que en distintas distribuciones los usuarios estén usando el mismo núcleo!!!! Es que los núcleos de las distintas distribuciones son distintos!!! El núcleo 2.6.20.5 de openSUSE no es el mismo que el de los desarrolladores del núcleo!! XD
(...) gente interesada en romperlo" ya hay mucha, la mayoría de la gente con "ese talento" gusta de hacerlo. En realidad, la gente "con talento" no se dedica a romper Windows.
Oh, hay muchos tipos de crakers y hackers por ahí... mafias, programadores, analistas, expertos en seguridad. Yo creo que sí hay gente con talento haciendo lo que le gusta. Romper sistemas difíciles. ¿openBSD, Solaris? Hace poco vimos cómo un agujero de Intel en las placas podía dejar a ambos sistemas expuestos. Lo malo no es la exposición. Es el tiempo necesario para aprovecharla de forma que proporcione algún beneficio. Los problemas de seguridad serios suelen afectar a todos los sistemas No. En tu ejemplo de la placa, primero tienes que tener la placa. Segundo, poder aprovechar esa vulnerabilidad; tercero, en lo que consiste una vulnerabilidad dada. :-). Que se llegue a explotar o no, pues depende de otros factores. :
El problema no es "romperlo", sinó "explotarlo", que es muy distinto. Puedes romper muchas máquinas con "Unix-like", pero el problema es crear una red del tamaño promedio de las que hay por ahí para atacar a otros sistemas. Ésta es la parte más difícil.
Difícil no creo. Poco práctico, sí. La masa de usuarios es poca y por tanto el beneficio y el alcance (difusión), también. Tiempo es dinero. Aunque hubiese muchos usuarios Linux, explotarlos llevaría significativamente mucho más tiempo que a los de Windows. Lo que me gustaría ver es un malware polimórfico, que sea capaz de adaptarse y que salte de un sistema u otro :-} Eso, a día de hoy, no es posible. Muchos sistemas ni siquiera sus desarrolladores saben completamente cómo funcionan!!!
Antes tendríamos que desarrollar sistemas realmente multiplataforma. Sería el primer paso: si puedes desarrollar software que se ejecute en cualquier plataforma, podrías desarrollar malware que hiciese lo propio.
(...) Eso será porque tienes una idea "preconcebida" de los usuarios. Yo no catalogo a un usuario por el sistema que usa sino por cómo lo usa >:-) El "cómo lo usa" suele determinar la elección de sistema. Es un hecho. Un debianita con un sistema sin actualizar y un apache casero en marcha me daría miedo. Aún ese usuario sería muuuucho más difícil de explotar que un usuario promedio de Windows, incluso bien administrados. Un usuario windowsero con cortafuegos en el router, con cortafuegos en el sistema, con actualizacioens al día, con programas de prueba instalados en un equipo sin conexión a la red... me parece un usuario más responsable. De nada vale si permite que el sistema ejecute código en el núcleo. Administrar bien un sistema Windows no está al alcance de cualquiera vaya, no es muy cómodo pero es bastante sencillo ;) Pues yo diría que es "cómodo" pero "nada sencillo" :-) No tiene mucho misterio: zonas de aplicación, protocolos y puertos.
Es una buena idea lo del appmor... pero hacer funcionar bien eso tiene que ser todo un poema!! XD
(...)puertos abiertos Sí, pero que lo modifique quien tiene que modificarlo, es decir, el administrador o root, pero no el usuario >:-) Comportamiento por defecto en Unix. Saludos,
-- Camaleón Salud!! -- O malo da relixión e a súa carenza de imaxinación -- karl