El 2009-05-05 a las 12:11 +0200, Karl García Gestido escribió:
O Martes 05 Maio 2009 11:19:17 Camaleón escribiu:
Un equipo candidato para ser explotado es el que:
1. no tiene cortafuegos.
No tiene por qué...
Puede usar un cortafuegos y ser inútil: bien porque es muy sencillo y no cumple su cometido o bien porque es tan complicado que los usuarios lo desactivan.
Un equipo con puertos cerrados o con pocos puertos abiertos (vigilados o no) es más difícil de atacar que uno con ellos abiertos. El más simple cortafuegos es mejor que nada.
"Mejor que nada" no existe en seguridad :-). O sirve (cumple con su cometido) o no sirve. O está activado o no lo está.
2. la clave de usuario (si existe) es la misma palabra que el nick; y si no es así, es algún dato personal accesible (fecha de nacimiento, por ejemplo).
Esto es cosa del usuario. El sistema le puede sugerir que cumpla determinadas características, pero no le va a negar usar la que prefiera :-/. Pasa en todos los sistemas.
Bueno, hay mucha teoría detrás de la elección de una buena clave. En ese sentido, si es muy complicada y tienes que llevarla escrita encima o te olvidas de ellas no haces nada.
Los sistemas Unix con MD5 hacen cálculo de claves y no aceptan cualquiera. Hace mucho que no verifico esta cuestión, pero cuando andaba con Debian la libertad del usuario para fijar una clave estaba muy restringida.
Una clave relativamente sencilla, como h1bcp_ (hay un bicho comiendo pipas_) de longitud adecuada (6 a 8 caracteres) es una buena cosa: no tener clave o tener la del nick de usuario (o derivados: pepito) es un suicidio.
Ya, pero te sigo diciendo: depende del usuario. A mi me gustaría que el sistema fuera más exigente... me refiero a todos los sistemas >:-)
3. el usuario realiza poco mantenimiento del sistema de seguridad ante la posibilidad de tener en su sistema software que permita explotar su sistema.
Eso también es algo que depende del usuario. Si no mantiene actualizado equipo, es su problema. Pasa en todos los sistemas.
No. Es un problema de actitud.
Pues eso. Un problema de actitud es "sí o sí" un problema del usuario :-). Si es que te gusta sacar de donde no hay, Karl...
4. Hay una política de relajación sobre lo que puede hacer el administrador; con frecuencia, el administrador tiene una clave sencilla (si la tiene).
También es algo que depende del usuario. Pasa en todos los sistemas.
No es lo mismo administrar un sistema donde las claves se fijan con algún sistema de cálculo de claves que en sistemas que el adminstrador por defecto no use claves.
No hablamos de administradores sino de usuarios. Y no todos los administradores tiene sistemas de claves prefijadas o que pasen por algún chisme de generación aleatoria de claves.
Este perfil de usuario es muuuy mayoritario en Windows (me gustaría echarle un vistazo a los usuarios MAC en este sentido xD). Aunque los haya en Linux y sea cierto que si Linux fuera un sistema más usado el número de usuarios de este perfil sería mayor, las limitaciones "por defecto" del sistema son muy importantes a la hora de abordar esta cuestión.
No creas. Lo que pasa los de windows hacen más ruido.
No. Su sistema de gestión de recursos, de privilegios, todo en el sistema está muy poco pensado. Aunque en sistemas como GNU/Linux pueda haber problemas o errores, en Windows prácticamente cualquier aplicación tiene acceso transparente al núcleo, normalmente sin que el usuario tenga intervención, ni siquiera conocimiento de lo que sucede. La filosofía del sistema es muy distinta, y a la larga muy problemática.
Para nada, es realmente compleja. Ah, y en Linux también :-)
Si pasas por la lista inglesa de suse verás que ya hay dos personas que han preguntado:
a) Cómo abrir agujeros en el cortafuegos b) Cómo permitir al usuario cambiar la hora del sistema
:-)
En la lista inglesa? XD a mí me han preguntado todo tipo de barrabasadas, y generalmente el que preguntaba simplemente se ha llevado la bronca. También recuerdo tener que "explicarle" a algunos usuarios que no era buena idea eso de "usar root como cuenta de usuario normal" xDD
Pues eso te digo, que es el usuario el que hace su sistema tan seguro como quiera que sea. Y que las "malas costumbres" llegan a todos los sitios: windows, linux...
Para muchos usuarios es natural relajar las restricciones administrativas, al fin y al cabo ellos son los únicos usuarios del sistema. Lo malo no es que sea natural pensarlo, sinó que nos lleva a lo que digo en (4).
Pues eso te estoy diciendo. Que ese "relax" también llega en sistemas linux y te pueden dar un disgusto.
Es un problema conceptual, de cultura, de hábitos y buenas (o malas) costumbres, como dicen los investigadores de ese informe.
No es del todo cierto. Con frecuencia, los informáticos culpan a los usuarios de todos los males "oye, yo te dejo navegar como root, la culpa es tuya por hacerlo". Es similar a la vieja discusión sobre las ventajas y desventajas de tener armas en casa: "oye, yo te vendo bazookas, la culpa es tuya por usarlos".
No es así. El sistema debe prever muchas situaciones y sus responsables deben de establecer pautas y límites.
Eso no tiene ningún sentido porque el responsable del sistema del usuario es el propio usuario :-). Aquí no hay administardores que le pongan límites, las políticas de seguridad se las cocina él mismo y se las come él mismo. Por tanto, es el usuario el que debe ser responsable de su equipo y de sus actos.
Recuérdese que la práctica totalidad (más del 95%) del software que ataca sistemas es software trivial y nada o poco interesante desde el punto de vista de un hacker mínimo. Atacar el outlook no creo que sea meritorio, y su explotabilidad después de tantos años (si aún hay quien lo usa!!! XDD) no es equiparabla con nada que suceda en ningún otro ámbito informático. Sobre todo porque dicha "atacabilidad", capacidad para ser atacado, descansa en parámetros básicos de diseño del sistema.
Atacar ¿qué versión concreta de Outlook no es meritorio? >:-) Anda que no hay programas vulnerables en Linux que si no están actualizados te dejan en la misma situación que su contraparte windowsera :-P Venga, hombre, deja un equipo con una sesión de kde de root abierta en medio de una oficina a ver cuánto dura. A los 15 minutos ya han borrado algún directorio "vital" o se han cargado cualquier otra cosa.
No hay "usuarios tontos windows" y "usuarios listísimos linux". Hay "usuarios" y serán lo mismo en ambos sistemas.
Hay sistemas que promueven ciertos grupos de usuarios y sistemas que promueven a otros. Como digo más abajo, también es responsabilidad de estos vigilar que su sistema con comience a promover a los primeros.
Eso no es cierto. Los sistemas no "promueven" nada. Que suse me sugiera un particionamiento X no significa que yo lo vaya a hacer. O que me sugiera el uso de sudo o compartir contraseña entre usuario y root. Son opciones que tengo, nada más.
"El hábito no hace al monje" >:-)
Dale una herramienta a alguien, y la usará. Si tienes un clavo a mano, todo lo que tienes cerca se parece a un martillo.
Y la usará... sí, pero mal. Por eso te digo, que el hábito no hace al monje. Que tener un clavo no te convierte en carpintero.
Esto ya lo hemos hablado en anteriores ocasiones. Y no, una buena administarción de windows no lo deja expuesto como crees.
Pero es más compleja. Lo mejor que puedes conseguir en Windows es acercarte a lo "normal" en GNU/Linux, y no es fácil, sobre todo porque el sistema promueve que se hagan otras cosas XD
No hay "nomal" en Linux. Hay un sistema "bien administrado" por el usuario o un sistema "mal administrado".
No lo es. Ahí tienes el fallo de seguridad del Acrobat. Acrobat es una aplicación tipo que se usa en entornos gráficos, con acceso a Internet en su mayoría, y que la suelen manejar precisamente ese "tipo" de usuario al que va dirigido el informe. Usuarios, no administradores, que pueden estar en una sesión gráfica como root, por comodidad y que pueden tener el cortafuegos desactivado porque no les funciona nada si lo activan :-(
¿Crees que "ese linux" con "ese usuario" *no* es vulnerable a ese ataque? Lo es.
La inmensa mayoría de exploiteds y demás herramientas no se aprovecha de ese tipo de vulnerabilidades, sinó de trivialidades típicas y tópicas. En todo sistema puede entrarse, lo que cambia es el promedio.
Claro, porque no las hay en este momento. Y no las hay proque no interesa llegar al 1% de los usuarios cuando se puede llegar a l 85%. Cuestión de estadística. Lo cual no quiere decir ni que sea posible, ni difícil hacerlo.
Además, los sistemas "Unix-like" son bastante heterogéneos. Por alguna razón general se cree que las vulnerabilidades serían explotables de forma similar que en Windows (por versiones: una vulnerabilidad afecta a una versión dada del sistema, incluso a una u otra actualización, por ejemplo, al XPS1). Esto no es cierto. Es muy difícil que una vulnerabilidad en Ubuntu se pueda aprovechar de forma transparente en un sistema con SuSE.
Todo lo heterogéneos que quieras, pero vulnerables igualmente. Sólo hay que saber dónde pinchar.
Que sea difícil no quiere decir que sea imposible. Si estuviera más extendido sería un blanco más interesante, habría más gente interesada en romperlo.
"gente interesada en romperlo" ya hay mucha, la mayoría de la gente con "ese talento" gusta de hacerlo. En realidad, la gente "con talento" no se dedica a romper Windows.
Oh, hay muchos tipos de crakers y hackers por ahí... mafias, programadores, analistas, expertos en seguridad. Yo creo que sí hay gente con talento haciendo lo que le gusta. Hace poco vimos cómo un agujero de Intel en las placas podía dejar a ambos sistemas expuestos. Los problemas de seguridad serios suelen afectar a todos los sistemas :-). Que se llegue a explotar o no, pues depende de otros factores.
El problema no es "romperlo", sinó "explotarlo", que es muy distinto. Puedes romper muchas máquinas con "Unix-like", pero el problema es crear una red del tamaño promedio de las que hay por ahí para atacar a otros sistemas. Ésta es la parte más difícil.
Difícil no creo. Poco práctico, sí. La masa de usuarios es poca y por tanto el beneficio y el alcance (difusión), también. Lo que me gustaría ver es un malware polimórfico, que sea capaz de adaptarse y que salte de un sistema u otro :-} Windows infectando linux, linux infectando bsd, bsd infectado solaris... }:-)
Un desarrollo informático puede fracasar por varios motivos, pero no estamos hablando dee eso sino de la seguridad de los sistemas y de las pautas de los usuarios.
Hablamos de una "bootnet". La mayoría de equipos explotables usan un sistema fácilmente explotable. Un usuario poco experimentado que utilice Windows está usando un sistema muy vulnerable porque no conocerá los riesgos y debilidades de su sistema, por mucho que adopte medidas razonables. Ese mismo usuario con Debian no tendría esos problemas de seguridad.
Eso será porque tienes una idea "preconcebida" de los usuarios. Yo no catalogo a un usuario por el sistema que usa sino por cómo lo usa >:-) Un debianita con un sistema sin actualizar y un apache casero en marcha me daría miedo. Un usuario windowsero con cortafuegos en el router, con cortafuegos en el sistema, con actualizacioens al día, con programas de prueba instalados en un equipo sin conexión a la red... me parece un usuario más responsable.
No, no hay que hacer concesiones en materia de seguridad para "acercar" usuarios, lo que hay que hacer es facilitarles su uso y que comprendan la importancia de sus actos.
Y el cortafuegos (susefirewall2) es un buen ejemplo de ello... bicho raro donde los "haiga"; la gente lo desactiva o se pasa a otro porque no hay quien lo entienda :-P.
vaya, no es muy cómodo pero es bastante sencillo ;)
Pues yo diría que es "cómodo" pero "nada sencillo" :-)
Aún hay software que utiliza un puerto "por defecto" (de los que hay que abrir a propósito). Sería bueno poder modificar ese puerto, pero eso no es cuestión del firewall, sinó de la aplicación. Ahora mismo pienso en las aplicaciones de IM.
Sí, pero que lo modifique quien tiene que modificarlo, es decir, el administrador o root, pero no el usuario >:-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org