[opensuse-es] [OT] 56000 claves en 1 hora
Ha pasado tiempo desde que pongo OTs, pero no hubo cosas interesante últimamente, o será que no me gusta causar problemas, nada agradable veros peleando. =/ Pero vale, esto está interesante, artículo de Ars Technica, Investigadores tomaron el control de una red de zombies, botnet, y entre las cosas que lograron obtener es ¡56000 claves en 1 hora! y 70 GB de información en 10 días. Esto prueba una vez más que el SysAdmin no nace siendo misántropo, es que el lusuario es lo peor en el planeta después de la pata donde más duele. Más información en el enlace: <http://arstechnica.com/security/news/2009/05/researchers-hijack-botnet- score-56000-passwords-in-an-hour.ars> No es viernes, pero a bien viene leer estas cosillas y reflexionar. Una razón más de por que GNU/Linux a superado el 1% del mercado de usuarios. -- Carlos A. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-05-04 a las 23:40 -0500, Shinji Ikari escribió:
Ha pasado tiempo desde que pongo OTs, pero no hubo cosas interesante últimamente, o será que no me gusta causar problemas, nada agradable veros peleando. =/
Pero vale, esto está interesante, artículo de Ars Technica, Investigadores tomaron el control de una red de zombies, botnet, y entre las cosas que lograron obtener es ¡56000 claves en 1 hora! y 70 GB de información en 10 días. Esto prueba una vez más que el SysAdmin no nace siendo misántropo, es que el lusuario es lo peor en el planeta después de la pata donde más duele. Más información en el enlace: <http://arstechnica.com/security/news/2009/05/researchers-hijack-botnet- score-56000-passwords-in-an-hour.ars>
Je, y también prueba que el "cazador" también puede ser "cazado". Lo que han hecho los investigadores es registrar los dominios a los que el programa espía enviaba la información y poner un servidor para capturar los datos. El dueño de la red de bots tardó 10 días en enterarse de la jugada :-)
No es viernes, pero a bien viene leer estas cosillas y reflexionar. Una razón más de por que GNU/Linux a superado el 1% del mercado de usuarios.
Concuerdo con los investigadores: no se le puede echar toda la culpa al sistema que se usa, el usuario siempre es el "denominador común" >:-) *** The researchers concluded that victims of botnets are usually those with poorly maintained machines and who choose "easily guessable" passwords. " This is evidence that the malware problem is fundamentally a cultural problem," reads the report. "Even though people are educated and understand well concepts such as the physical security and the necessary maintenance of a car, they do not understand the consequences of irresponsible behavior when using a computer." *** Es decir, que si el uso de linux estuviera más extendido, habría más bichitos que se podrían explotar (como el reciente bug del acrobat). Ahora no resulta jugoso hacerlo porque el objetivo es muy pequeño y los "beneficios", nada pingües :-P. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
O Martes 05 Maio 2009 08:44:07 Camaleón escribiu:
El 2009-05-04 a las 23:40 -0500, Shinji Ikari escribió:
(...) Je, y también prueba que el "cazador" también puede ser "cazado". Siempre :) Lo que han hecho los investigadores es registrar los dominios a los que el programa espía enviaba la información y poner un servidor para capturar los datos.
El dueño de la red de bots tardó 10 días en enterarse de la jugada (...) Es decir, que si el uso de linux estuviera más extendido, habría más bichitos que se podrían explotar (como el reciente bug del acrobat). Ahora no resulta jugoso hacerlo porque el objetivo es muy pequeño y los "beneficios", nada pingües :-P.
Saludos, Algunos sistemas "obligan" al usuario a tomar determinadas precauciones "por defecto", aunque muchas variantes puedan soslayar esta cuestión IMHO excesivamente.
Ahora bien, Vista incluía un buen porrón de herramientas para la gestión de los "derechos" de los proveedores de software. Te advierte sobre el riesgo de usar software pirata y todo eso. El sistema dedica recursos ingentes a esta cuestión y es muy molesto (una de las bases de su fracaso). Pero en la siguiente versión se anuncian que habrá "menos avisos" y tal y cual... Un equipo candidato para ser explotado es el que: 1. no tiene cortafuegos. 2. la clave de usuario (si existe) es la misma palabra que el nick; y si no es así, es algún dato personal accesible (fecha de nacimiento, por ejemplo). 3. el usuario realiza poco mantenimiento del sistema de seguridad ante la posibilidad de tener en su sistema software que permita explotar su sistema. 4. Hay una política de relajación sobre lo que puede hacer el administrador; con frecuencia, el administrador tiene una clave sencilla (si la tiene). Este perfil de usuario es muuuy mayoritario en Windows (me gustaría echarle un vistazo a los usuarios MAC en este sentido xD). Aunque los haya en Linux y sea cierto que si Linux fuera un sistema más usado el número de usuarios de este perfil sería mayor, las limitaciones "por defecto" del sistema son muy importantes a la hora de abordar esta cuestión. En la práctica, lo que determina la explotabilidad de un sistema no es sólo el usuario, sinó el propio concepto de usuario. Atacar un sistema Windows poco o nada defendido no es que sea posible, como lo sería hacerlo con un sistema GNU/Linux u otro en la misma situación, sinó sencillo. En particular, esa curiosa característica que permite incluir código ejecutable (y que se ejecutará) en prácticamente cualquier lado, puede ser muy bonita para alguna cosa, pero a la hora de explotar un sistema es una bendición. Se suele suponer que, dado que todo sistema es atacable por definición y el usuario es el punto más débil de cada sistema, la situación sería semejante con cualquier sistema que fuese dominante. Esto es una pequeña falacia. Es como decir que un texto cifrado es siempre descifrable: vale, todo texto cifrado es descifrable por la fuerza, pero puede llevar tanto tiempo hacerlo que cuando lo consigas ya no lo necesites XD En el ataque a sistemas la situación es similar: el poco tiempo promedio que necesite alguien para explotar un sistema Unix o derivados sobre el necesario para explotar un sistema Windows puede hacer que los ataques generalizados que estamos viviendo sean virtualmente imposibles, o al menos mucho menos frecuentes. Por qué? porque la suma de los excesos de tiempo puede ser muy elevada. Pueden ocurrir muchas cosas en el interín: pueden cambiarse claves, pueden detectarse intrusos (el perfil de usuarios Unix es mucho más heterogéneo: bien que encontrarás muchos usuarios laxos, pero también te encontrarás con administradores de sistemas con tanto conocimiento de ataques a sistemas informáticos como tú o más). Esto dificultaría disponer de las enormes redes de "equipos explotados" que hacen que conseguir más equipos explotables sea una mera cuestión de tiempo. Una de las clásicas excusas para los fracasos de un desarrollo informático es "la culpa es de los usuarios". La pregunta debería ser "¿y quién c***nes se suponía que iba a usar tu software sinó esos usuarios? Esto también rige para los actuales usuarios de los sistemas GNU/Linux (que siempre hablamos de Linux pero ahí está FreeBSD): deberíamos ser poco comprensivos con aquellas distribuciones e instalaciones que relajen su requisitos de seguridad en haras a atraer a un puñado de usuarios más (es poco probable que muchos usuarios que no se molestan en usar una clave razonable vayan a molestarse en descargar e instalar GNU/Linux).
-- Camaleón Salud!! -- O malo da relixión e a súa carenza de imaxinación -- karl
El 2009-05-05 a las 10:47 +0200, Karl García Gestido escribió:
O Martes 05 Maio 2009 08:44:07 Camaleón escribiu:
Je, y también prueba que el "cazador" también puede ser "cazado".
Siempre :)
No, sólo cuando el cazador no es cauto :-)
Lo que han hecho los investigadores es registrar los dominios a los que el programa espía enviaba la información y poner un servidor para capturar los datos.
El dueño de la red de bots tardó 10 días en enterarse de la jugada (...) Es decir, que si el uso de linux estuviera más extendido, habría más bichitos que se podrían explotar (como el reciente bug del acrobat). Ahora no resulta jugoso hacerlo porque el objetivo es muy pequeño y los "beneficios", nada pingües :-P.
Algunos sistemas "obligan" al usuario a tomar determinadas precauciones "por defecto", aunque muchas variantes puedan soslayar esta cuestión IMHO excesivamente.
Ningún sistema "obliga" a nada. Tú puedes poner todas las medidas de seguridad que quieras. En cualquier sistema.
Un equipo candidato para ser explotado es el que:
1. no tiene cortafuegos.
No tiene por qué... Puede usar un cortafuegos y ser inútil: bien porque es muy sencillo y no cumple su cometido o bien porque es tan complicado que los usuarios lo desactivan.
2. la clave de usuario (si existe) es la misma palabra que el nick; y si no es así, es algún dato personal accesible (fecha de nacimiento, por ejemplo).
Esto es cosa del usuario. El sistema le puede sugerir que cumpla determinadas características, pero no le va a negar usar la que prefiera :-/. Pasa en todos los sistemas.
3. el usuario realiza poco mantenimiento del sistema de seguridad ante la posibilidad de tener en su sistema software que permita explotar su sistema.
Eso también es algo que depende del usuario. Si no mantiene actualizado equipo, es su problema. Pasa en todos los sistemas.
4. Hay una política de relajación sobre lo que puede hacer el administrador; con frecuencia, el administrador tiene una clave sencilla (si la tiene).
También es algo que depende del usuario. Pasa en todos los sistemas.
Este perfil de usuario es muuuy mayoritario en Windows (me gustaría echarle un vistazo a los usuarios MAC en este sentido xD). Aunque los haya en Linux y sea cierto que si Linux fuera un sistema más usado el número de usuarios de este perfil sería mayor, las limitaciones "por defecto" del sistema son muy importantes a la hora de abordar esta cuestión.
No creas. Lo que pasa los de windows hacen más ruido. Si pasas por la lista inglesa de suse verás que ya hay dos personas que han preguntado: a) Cómo abrir agujeros en el cortafuegos b) Cómo permitir al usuario cambiar la hora del sistema :-) Es un problema conceptual, de cultura, de hábitos y buenas (o malas) costumbres, como dicen los investigadores de ese informe. No hay "usuarios tontos windows" y "usuarios listísimos linux". Hay "usuarios" y serán lo mismo en ambos sistemas. "El hábito no hace al monje" >:-)
En la práctica, lo que determina la explotabilidad de un sistema no es sólo el usuario, sinó el propio concepto de usuario. Atacar un sistema Windows poco o nada defendido no es que sea posible, como lo sería hacerlo con un sistema GNU/Linux u otro en la misma situación, sinó sencillo. En particular, esa curiosa característica que permite incluir código ejecutable (y que se ejecutará) en prácticamente cualquier lado, puede ser muy bonita para alguna cosa, pero a la hora de explotar un sistema es una bendición.
Esto ya lo hemos hablado en anteriores ocasiones. Y no, una buena administarción de windows no lo deja expuesto como crees.
Se suele suponer que, dado que todo sistema es atacable por definición y el usuario es el punto más débil de cada sistema, la situación sería semejante con cualquier sistema que fuese dominante. Esto es una pequeña falacia.
No lo es. Ahí tienes el fallo de seguridad del Acrobat. Acrobat es una aplicación tipo que se usa en entornos gráficos, con acceso a Internet en su mayoría, y que la suelen manejar precisamente ese "tipo" de usuario al que va dirigido el informe. Usuarios, no administradores, que pueden estar en una sesión gráfica como root, por comodidad y que pueden tener el cortafuegos desactivado porque no les funciona nada si lo activan :-( ¿Crees que "ese linux" con "ese usuario" *no* es vulnerable a ese ataque? Lo es.
como decir que un texto cifrado es siempre descifrable: vale, todo texto cifrado es descifrable por la fuerza, pero puede llevar tanto tiempo hacerlo que cuando lo consigas ya no lo necesites XD En el ataque a sistemas la situación es similar: el poco tiempo promedio que necesite alguien para explotar un sistema Unix o derivados sobre el necesario para explotar un sistema Windows puede hacer que los ataques generalizados que estamos viviendo sean virtualmente imposibles, o al menos mucho menos frecuentes. Por qué? porque la suma de los excesos de tiempo puede ser muy elevada. Pueden ocurrir muchas cosas en el interín: pueden cambiarse claves, pueden detectarse intrusos (el perfil de usuarios Unix es mucho más heterogéneo: bien que encontrarás muchos usuarios laxos, pero también te encontrarás con administradores de sistemas con tanto conocimiento de ataques a sistemas informáticos como tú o más). Esto dificultaría disponer de las enormes redes de "equipos explotados" que hacen que conseguir más equipos explotables sea una mera cuestión de tiempo.
Que sea difícil no quiere decir que sea imposible. Si estuviera más extendido sería un blanco más interesante, habría más gente interesada en romperlo.
Una de las clásicas excusas para los fracasos de un desarrollo informático es "la culpa es de los usuarios". La pregunta debería ser "¿y quién c***nes se suponía que iba a usar tu software sinó esos usuarios?
Un desarrollo informático puede fracasar por varios motivos, pero no estamos hablando dee eso sino de la seguridad de los sistemas y de las pautas de los usuarios.
Esto también rige para los actuales usuarios de los sistemas GNU/Linux (que siempre hablamos de Linux pero ahí está FreeBSD): deberíamos ser poco comprensivos con aquellas distribuciones e instalaciones que relajen su requisitos de seguridad en haras a atraer a un puñado de usuarios más (es poco probable que muchos usuarios que no se molestan en usar una clave razonable vayan a molestarse en descargar e instalar GNU/Linux).
No, no hay que hacer concesiones en materia de seguridad para "acercar" usuarios, lo que hay que hacer es facilitarles su uso y que comprendan la importancia de sus actos. Y el cortafuegos (susefirewall2) es un buen ejemplo de ello... bicho raro donde los "haiga"; la gente lo desactiva o se pasa a otro porque no hay quien lo entienda :-P. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
O Martes 05 Maio 2009 11:19:17 Camaleón escribiu:
El 2009-05-05 a las 10:47 +0200, Karl García Gestido escribió:
O Martes 05 Maio 2009 08:44:07 Camaleón escribiu:
Je, y también prueba que el "cazador" también puede ser "cazado".
Siempre :)
No, sólo cuando el cazador no es cauto :-)
Lo que han hecho los investigadores es registrar los dominios a los que el programa espía enviaba la información y poner un servidor para capturar los datos.
El dueño de la red de bots tardó 10 días en enterarse de la jugada (...) Es decir, que si el uso de linux estuviera más extendido, habría más bichitos que se podrían explotar (como el reciente bug del acrobat). Ahora no resulta jugoso hacerlo porque el objetivo es muy pequeño y los "beneficios", nada pingües :-P.
Algunos sistemas "obligan" al usuario a tomar determinadas precauciones "por defecto", aunque muchas variantes puedan soslayar esta cuestión IMHO excesivamente.
Ningún sistema "obliga" a nada. Tú puedes poner todas las medidas de seguridad que quieras. En cualquier sistema.
Un equipo candidato para ser explotado es el que:
1. no tiene cortafuegos.
No tiene por qué...
Puede usar un cortafuegos y ser inútil: bien porque es muy sencillo y no cumple su cometido o bien porque es tan complicado que los usuarios lo desactivan. Un equipo con puertos cerrados o con pocos puertos abiertos (vigilados o no) es más difícil de atacar que uno con ellos abiertos. El más simple cortafuegos es mejor que nada.
2. la clave de usuario (si existe) es la misma palabra que el nick; y si no es así, es algún dato personal accesible (fecha de nacimiento, por ejemplo).
Esto es cosa del usuario. El sistema le puede sugerir que cumpla determinadas características, pero no le va a negar usar la que prefiera :-/. Pasa en todos los sistemas. Bueno, hay mucha teoría detrás de la elección de una buena clave. En ese sentido, si es muy complicada y tienes que llevarla escrita encima o te olvidas de ellas no haces nada.
Los sistemas Unix con MD5 hacen cálculo de claves y no aceptan cualquiera. Hace mucho que no verifico esta cuestión, pero cuando andaba con Debian la libertad del usuario para fijar una clave estaba muy restringida. Una clave relativamente sencilla, como h1bcp_ (hay un bicho comiendo pipas_) de longitud adecuada (6 a 8 caracteres) es una buena cosa: no tener clave o tener la del nick de usuario (o derivados: pepito) es un suicidio.
3. el usuario realiza poco mantenimiento del sistema de seguridad ante la posibilidad de tener en su sistema software que permita explotar su sistema.
Eso también es algo que depende del usuario. Si no mantiene actualizado equipo, es su problema. Pasa en todos los sistemas. No. Es un problema de actitud. No sólo es actualizar el sistema, sinó comprobar que todo está como debería estar, que no hay alteraciones raras, limpiar cualquier cosa rara que hayan descargados los usuarios (si está escondido, es porno -seguro que con algún "malware"- o algún programa raro que no debería estar ahí. Si no es porno, bórralo; si lo es, échale la bronca al usuario y bórralo. Si tú eres el usuario, pregúntate de dónde ha podido bajar hasta tu equipo XD.
Otras tareas típicas son limitar ciertas características a los usuarios cuando no las necesiten (aunque los sistemas Windows piden mayor esfuerzo en este sentido). No permitir claves nulas o sencillas, no permitir código ejecutable en lugares raros (los usuarios pueden usar un webmail razonable o correo en modo texto como todo el mundo), etc. Hay muchas pequeñas cosas que hay que hacer. Asi, puedes utilizar sudo (por ejemplo) para crear "grupos con distintos grados de privilegios". No es necesario suplantar a root para usar ciertos comandos administrativos, y mucho menos hacer que el programa se ejecute en modo usuario "suplantando" a root (SetUid). Hay muchas posibilidades que deben de ser usadas. Un usuario doméstico debe también acostumbrarse a ciertas cosas. Por ejemplo, no usar el entorno gráfico como root si no es necesario, ni siquieraa registrarse (login) directamente como root Nunca!! En ese sentido, ideas como la de Ubuntu redundan en mayor seguridad... Eso sí, teniendo en cuenta que no hay como excederse limitando al usuario para que este trate de soslayar las limitaciones del sistema.
4. Hay una política de relajación sobre lo que puede hacer el administrador; con frecuencia, el administrador tiene una clave sencilla (si la tiene).
También es algo que depende del usuario. Pasa en todos los sistemas. No es lo mismo administrar un sistema donde las claves se fijan con algún sistema de cálculo de claves que en sistemas que el adminstrador por defecto no use claves.
Un sistema donde los usuarios están acostumbrados en alguna medida al uso de claves y de distintos niveles de privilegios, facilita que los administradores comprendan la importancia de tener claves razonables; los usuarios que huyen de esta cuestión son un problema siempre. Y son los menos interesados en cambiar de sistema.
Este perfil de usuario es muuuy mayoritario en Windows (me gustaría echarle un vistazo a los usuarios MAC en este sentido xD). Aunque los haya en Linux y sea cierto que si Linux fuera un sistema más usado el número de usuarios de este perfil sería mayor, las limitaciones "por defecto" del sistema son muy importantes a la hora de abordar esta cuestión.
No creas. Lo que pasa los de windows hacen más ruido. No. Su sistema de gestión de recursos, de privilegios, todo en el sistema está muy poco pensado. Aunque en sistemas como GNU/Linux pueda haber problemas o errores, en Windows prácticamente cualquier aplicación tiene acceso transparente al núcleo, normalmente sin que el usuario tenga intervención, ni siquiera conocimiento de lo que sucede. La filosofía del sistema es muy distinta, y a la larga muy problemática. Si pasas por la lista inglesa de suse verás que ya hay dos personas que han preguntado:
a) Cómo abrir agujeros en el cortafuegos b) Cómo permitir al usuario cambiar la hora del sistema
:-) En la lista inglesa? XD a mí me han preguntado todo tipo de barrabasadas, y generalmente el que preguntaba simplemente se ha llevado la bronca. También recuerdo tener que "explicarle" a algunos usuarios que no era buena idea eso de "usar root como cuenta de usuario normal" xDD
Para muchos usuarios es natural relajar las restricciones administrativas, al fin y al cabo ellos son los únicos usuarios del sistema. Lo malo no es que sea natural pensarlo, sinó que nos lleva a lo que digo en (4).
Es un problema conceptual, de cultura, de hábitos y buenas (o malas) costumbres, como dicen los investigadores de ese informe. No es del todo cierto. Con frecuencia, los informáticos culpan a los usuarios de todos los males "oye, yo te dejo navegar como root, la culpa es tuya por hacerlo". Es similar a la vieja discusión sobre las ventajas y desventajas de tener armas en casa: "oye, yo te vendo bazookas, la culpa es tuya por usarlos".
No es así. El sistema debe prever muchas situaciones y sus responsables deben de establecer pautas y límites. Aunque el usuario final sea siempre el responsable y de nada sirva la mejor estrategia sin usuarios implicados en ella, lo cierto es que un sistema donde puedes incluir un virus que contiene código "letal" por ejemplo, una instrucción en ensamblador para dañar un disco- y esperar que el cliente de correo no sólo lea ese correo y ejecute el virus, sinó que permita que se reenvíe el virus antes de dañar el disco XD es un ejemplo de sistema muy mal hecho a cualquier nivel. No sé, cuando la gente recibe pijadas en sus correos igual les gusta, pero eso es carne de cultivo de virus y demás "malware". Recuérdese que la práctica totalidad (más del 95%) del software que ataca sistemas es software trivial y nada o poco interesante desde el punto de vista de un hacker mínimo. Atacar el outlook no creo que sea meritorio, y su explotabilidad después de tantos años (si aún hay quien lo usa!!! XDD) no es equiparabla con nada que suceda en ningún otro ámbito informático. Sobre todo porque dicha "atacabilidad", capacidad para ser atacado, descansa en parámetros básicos de diseño del sistema.
No hay "usuarios tontos windows" y "usuarios listísimos linux". Hay "usuarios" y serán lo mismo en ambos sistemas. Hay sistemas que promueven ciertos grupos de usuarios y sistemas que promueven a otros. Como digo más abajo, también es responsabilidad de estos vigilar que su sistema con comience a promover a los primeros. "El hábito no hace al monje" >:-) Dale una herramienta a alguien, y la usará.
Si tienes un clavo a mano, todo lo que tienes cerca se parece a un martillo.
En la práctica, lo que determina la explotabilidad de un sistema no es sólo el usuario, sinó el propio concepto de usuario. Atacar un sistema Windows poco o nada defendido no es que sea posible, como lo sería hacerlo con un sistema GNU/Linux u otro en la misma situación, sinó sencillo. En particular, esa curiosa característica que permite incluir código ejecutable (y que se ejecutará) en prácticamente cualquier lado, puede ser muy bonita para alguna cosa, pero a la hora de explotar un sistema es una bendición.
Esto ya lo hemos hablado en anteriores ocasiones. Y no, una buena administarción de windows no lo deja expuesto como crees. Pero es más compleja. Lo mejor que puedes conseguir en Windows es acercarte a lo "normal" en GNU/Linux, y no es fácil, sobre todo porque el sistema promueve que se hagan otras cosas XD
Nota: usar un windows bien administrado (que los hay, y muchos) es muy similar a usar un "Unix-like" bien administrado. Es otra de mis preguntas cuando hablamos de usabilidad XD
Se suele suponer que, dado que todo sistema es atacable por definición y el usuario es el punto más débil de cada sistema, la situación sería semejante con cualquier sistema que fuese dominante. Esto es una pequeña falacia.
No lo es. Ahí tienes el fallo de seguridad del Acrobat. Acrobat es una aplicación tipo que se usa en entornos gráficos, con acceso a Internet en su mayoría, y que la suelen manejar precisamente ese "tipo" de usuario al que va dirigido el informe. Usuarios, no administradores, que pueden estar en una sesión gráfica como root, por comodidad y que pueden tener el cortafuegos desactivado porque no les funciona nada si lo activan :-(
¿Crees que "ese linux" con "ese usuario" *no* es vulnerable a ese ataque? Lo es. La inmensa mayoría de exploiteds y demás herramientas no se aprovecha de ese tipo de vulnerabilidades, sinó de trivialidades típicas y tópicas. En todo sistema puede entrarse, lo que cambia es el promedio.
Además, los sistemas "Unix-like" son bastante heterogéneos. Por alguna razón general se cree que las vulnerabilidades serían explotables de forma similar que en Windows (por versiones: una vulnerabilidad afecta a una versión dada del sistema, incluso a una u otra actualización, por ejemplo, al XPS1). Esto no es cierto. Es muy difícil que una vulnerabilidad en Ubuntu se pueda aprovechar de forma transparente en un sistema con SuSE. Lo del cortafuegos, "nada" significa descarga p2p y envío de archivos por IM. En mi experiencia, la gente suele preguntar por qué va tan lento, no suelen culpar al cortafuegos directamente (ni siquiera con el mensajito de "estás detrás de un cortafuegos!!!"). Así: "he instalado -tal distribución- y -aquí su problema con un dispositivo/todo muy bien, me gusta mucho-, y al intentar descargar por torrent me va muy lento. Es normal eso? porque tengo una conexión muuuuy rápida (1 Mbps) y en Windows me iba superbien. ¿Cómo hago para que vaya más rápido?".
como decir que un texto cifrado es siempre descifrable: vale, todo texto cifrado es descifrable por la fuerza, pero puede llevar tanto tiempo hacerlo que cuando lo consigas ya no lo necesites XD En el ataque a sistemas la situación es similar: el poco tiempo promedio que necesite alguien para explotar un sistema Unix o derivados sobre el necesario para explotar un sistema Windows puede hacer que los ataques generalizados que estamos viviendo sean virtualmente imposibles, o al menos mucho menos frecuentes. Por qué? porque la suma de los excesos de tiempo puede ser muy elevada. Pueden ocurrir muchas cosas en el interín: pueden cambiarse claves, pueden detectarse intrusos (el perfil de usuarios Unix es mucho más heterogéneo: bien que encontrarás muchos usuarios laxos, pero también te encontrarás con administradores de sistemas con tanto conocimiento de ataques a sistemas informáticos como tú o más). Esto dificultaría disponer de las enormes redes de "equipos explotados" que hacen que conseguir más equipos explotables sea una mera cuestión de tiempo.
Que sea difícil no quiere decir que sea imposible. Si estuviera más extendido sería un blanco más interesante, habría más gente interesada en romperlo. "gente interesada en romperlo" ya hay mucha, la mayoría de la gente con "ese talento" gusta de hacerlo. En realidad, la gente "con talento" no se dedica a romper Windows.
El problema no es "romperlo", sinó "explotarlo", que es muy distinto. Puedes romper muchas máquinas con "Unix-like", pero el problema es crear una red del tamaño promedio de las que hay por ahí para atacar a otros sistemas. Ésta es la parte más difícil. Además, si ves la extensión de los mensajes piramidales, ¿para qué atacar sistemas? esto irá disminuyendo a medida que los mensajes de aquel tipo aumenten. Tienes tus grupos en facebook? cuántos de los mensajes que tiene el grupo responden a algún tipo de spam? Por ejemplo, como en google y otros era muy difícil crear cuentas de forma automática... pues simplemente ponían a personas a hacerlo, y después te bombardeaban a correos... pero aún así, ¿cuántos mensajes de spam aceptamos por habernos dado de alta en tal o cual sitio? si incluso algunas operadoras de telefonía móvil proponen descuentos a los clientes que acepten estas publicidades!!! XD
Una de las clásicas excusas para los fracasos de un desarrollo informático es "la culpa es de los usuarios". La pregunta debería ser "¿y quién c***nes se suponía que iba a usar tu software sinó esos usuarios?
Un desarrollo informático puede fracasar por varios motivos, pero no estamos hablando dee eso sino de la seguridad de los sistemas y de las pautas de los usuarios. Hablamos de una "bootnet". La mayoría de equipos explotables usan un sistema fácilmente explotable. Un usuario poco experimentado que utilice Windows está usando un sistema muy vulnerable porque no conocerá los riesgos y debilidades de su sistema, por mucho que adopte medidas razonables. Ese mismo usuario con Debian no tendría esos problemas de seguridad.
Un usuario doméstico ante un hacker está desprotegido, usando el sistema que use. Otra cosa es por qué un hacker iba a atacar a su sistema.
Esto también rige para los actuales usuarios de los sistemas GNU/Linux (que siempre hablamos de Linux pero ahí está FreeBSD): deberíamos ser poco comprensivos con aquellas distribuciones e instalaciones que relajen su requisitos de seguridad en haras a atraer a un puñado de usuarios más (es poco probable que muchos usuarios que no se molestan en usar una clave razonable vayan a molestarse en descargar e instalar GNU/Linux).
No, no hay que hacer concesiones en materia de seguridad para "acercar" usuarios, lo que hay que hacer es facilitarles su uso y que comprendan la importancia de sus actos.
Y el cortafuegos (susefirewall2) es un buen ejemplo de ello... bicho raro donde los "haiga"; la gente lo desactiva o se pasa a otro porque no hay quien lo entienda :-P. vaya, no es muy cómodo pero es bastante sencillo ;)
Aún hay software que utiliza un puerto "por defecto" (de los que hay que abrir a propósito). Sería bueno poder modificar ese puerto, pero eso no es cuestión del firewall, sinó de la aplicación. Ahora mismo pienso en las aplicaciones de IM.
Saludos,
-- Camaleón Salud!! -- O malo da relixión e a súa carenza de imaxinación -- karl
El 2009-05-05 a las 12:11 +0200, Karl García Gestido escribió:
O Martes 05 Maio 2009 11:19:17 Camaleón escribiu:
Un equipo candidato para ser explotado es el que:
1. no tiene cortafuegos.
No tiene por qué...
Puede usar un cortafuegos y ser inútil: bien porque es muy sencillo y no cumple su cometido o bien porque es tan complicado que los usuarios lo desactivan.
Un equipo con puertos cerrados o con pocos puertos abiertos (vigilados o no) es más difícil de atacar que uno con ellos abiertos. El más simple cortafuegos es mejor que nada.
"Mejor que nada" no existe en seguridad :-). O sirve (cumple con su cometido) o no sirve. O está activado o no lo está.
2. la clave de usuario (si existe) es la misma palabra que el nick; y si no es así, es algún dato personal accesible (fecha de nacimiento, por ejemplo).
Esto es cosa del usuario. El sistema le puede sugerir que cumpla determinadas características, pero no le va a negar usar la que prefiera :-/. Pasa en todos los sistemas.
Bueno, hay mucha teoría detrás de la elección de una buena clave. En ese sentido, si es muy complicada y tienes que llevarla escrita encima o te olvidas de ellas no haces nada.
Los sistemas Unix con MD5 hacen cálculo de claves y no aceptan cualquiera. Hace mucho que no verifico esta cuestión, pero cuando andaba con Debian la libertad del usuario para fijar una clave estaba muy restringida.
Una clave relativamente sencilla, como h1bcp_ (hay un bicho comiendo pipas_) de longitud adecuada (6 a 8 caracteres) es una buena cosa: no tener clave o tener la del nick de usuario (o derivados: pepito) es un suicidio.
Ya, pero te sigo diciendo: depende del usuario. A mi me gustaría que el sistema fuera más exigente... me refiero a todos los sistemas >:-)
3. el usuario realiza poco mantenimiento del sistema de seguridad ante la posibilidad de tener en su sistema software que permita explotar su sistema.
Eso también es algo que depende del usuario. Si no mantiene actualizado equipo, es su problema. Pasa en todos los sistemas.
No. Es un problema de actitud.
Pues eso. Un problema de actitud es "sí o sí" un problema del usuario :-). Si es que te gusta sacar de donde no hay, Karl...
4. Hay una política de relajación sobre lo que puede hacer el administrador; con frecuencia, el administrador tiene una clave sencilla (si la tiene).
También es algo que depende del usuario. Pasa en todos los sistemas.
No es lo mismo administrar un sistema donde las claves se fijan con algún sistema de cálculo de claves que en sistemas que el adminstrador por defecto no use claves.
No hablamos de administradores sino de usuarios. Y no todos los administradores tiene sistemas de claves prefijadas o que pasen por algún chisme de generación aleatoria de claves.
Este perfil de usuario es muuuy mayoritario en Windows (me gustaría echarle un vistazo a los usuarios MAC en este sentido xD). Aunque los haya en Linux y sea cierto que si Linux fuera un sistema más usado el número de usuarios de este perfil sería mayor, las limitaciones "por defecto" del sistema son muy importantes a la hora de abordar esta cuestión.
No creas. Lo que pasa los de windows hacen más ruido.
No. Su sistema de gestión de recursos, de privilegios, todo en el sistema está muy poco pensado. Aunque en sistemas como GNU/Linux pueda haber problemas o errores, en Windows prácticamente cualquier aplicación tiene acceso transparente al núcleo, normalmente sin que el usuario tenga intervención, ni siquiera conocimiento de lo que sucede. La filosofía del sistema es muy distinta, y a la larga muy problemática.
Para nada, es realmente compleja. Ah, y en Linux también :-)
Si pasas por la lista inglesa de suse verás que ya hay dos personas que han preguntado:
a) Cómo abrir agujeros en el cortafuegos b) Cómo permitir al usuario cambiar la hora del sistema
:-)
En la lista inglesa? XD a mí me han preguntado todo tipo de barrabasadas, y generalmente el que preguntaba simplemente se ha llevado la bronca. También recuerdo tener que "explicarle" a algunos usuarios que no era buena idea eso de "usar root como cuenta de usuario normal" xDD
Pues eso te digo, que es el usuario el que hace su sistema tan seguro como quiera que sea. Y que las "malas costumbres" llegan a todos los sitios: windows, linux...
Para muchos usuarios es natural relajar las restricciones administrativas, al fin y al cabo ellos son los únicos usuarios del sistema. Lo malo no es que sea natural pensarlo, sinó que nos lleva a lo que digo en (4).
Pues eso te estoy diciendo. Que ese "relax" también llega en sistemas linux y te pueden dar un disgusto.
Es un problema conceptual, de cultura, de hábitos y buenas (o malas) costumbres, como dicen los investigadores de ese informe.
No es del todo cierto. Con frecuencia, los informáticos culpan a los usuarios de todos los males "oye, yo te dejo navegar como root, la culpa es tuya por hacerlo". Es similar a la vieja discusión sobre las ventajas y desventajas de tener armas en casa: "oye, yo te vendo bazookas, la culpa es tuya por usarlos".
No es así. El sistema debe prever muchas situaciones y sus responsables deben de establecer pautas y límites.
Eso no tiene ningún sentido porque el responsable del sistema del usuario es el propio usuario :-). Aquí no hay administardores que le pongan límites, las políticas de seguridad se las cocina él mismo y se las come él mismo. Por tanto, es el usuario el que debe ser responsable de su equipo y de sus actos.
Recuérdese que la práctica totalidad (más del 95%) del software que ataca sistemas es software trivial y nada o poco interesante desde el punto de vista de un hacker mínimo. Atacar el outlook no creo que sea meritorio, y su explotabilidad después de tantos años (si aún hay quien lo usa!!! XDD) no es equiparabla con nada que suceda en ningún otro ámbito informático. Sobre todo porque dicha "atacabilidad", capacidad para ser atacado, descansa en parámetros básicos de diseño del sistema.
Atacar ¿qué versión concreta de Outlook no es meritorio? >:-) Anda que no hay programas vulnerables en Linux que si no están actualizados te dejan en la misma situación que su contraparte windowsera :-P Venga, hombre, deja un equipo con una sesión de kde de root abierta en medio de una oficina a ver cuánto dura. A los 15 minutos ya han borrado algún directorio "vital" o se han cargado cualquier otra cosa.
No hay "usuarios tontos windows" y "usuarios listísimos linux". Hay "usuarios" y serán lo mismo en ambos sistemas.
Hay sistemas que promueven ciertos grupos de usuarios y sistemas que promueven a otros. Como digo más abajo, también es responsabilidad de estos vigilar que su sistema con comience a promover a los primeros.
Eso no es cierto. Los sistemas no "promueven" nada. Que suse me sugiera un particionamiento X no significa que yo lo vaya a hacer. O que me sugiera el uso de sudo o compartir contraseña entre usuario y root. Son opciones que tengo, nada más.
"El hábito no hace al monje" >:-)
Dale una herramienta a alguien, y la usará. Si tienes un clavo a mano, todo lo que tienes cerca se parece a un martillo.
Y la usará... sí, pero mal. Por eso te digo, que el hábito no hace al monje. Que tener un clavo no te convierte en carpintero.
Esto ya lo hemos hablado en anteriores ocasiones. Y no, una buena administarción de windows no lo deja expuesto como crees.
Pero es más compleja. Lo mejor que puedes conseguir en Windows es acercarte a lo "normal" en GNU/Linux, y no es fácil, sobre todo porque el sistema promueve que se hagan otras cosas XD
No hay "nomal" en Linux. Hay un sistema "bien administrado" por el usuario o un sistema "mal administrado".
No lo es. Ahí tienes el fallo de seguridad del Acrobat. Acrobat es una aplicación tipo que se usa en entornos gráficos, con acceso a Internet en su mayoría, y que la suelen manejar precisamente ese "tipo" de usuario al que va dirigido el informe. Usuarios, no administradores, que pueden estar en una sesión gráfica como root, por comodidad y que pueden tener el cortafuegos desactivado porque no les funciona nada si lo activan :-(
¿Crees que "ese linux" con "ese usuario" *no* es vulnerable a ese ataque? Lo es.
La inmensa mayoría de exploiteds y demás herramientas no se aprovecha de ese tipo de vulnerabilidades, sinó de trivialidades típicas y tópicas. En todo sistema puede entrarse, lo que cambia es el promedio.
Claro, porque no las hay en este momento. Y no las hay proque no interesa llegar al 1% de los usuarios cuando se puede llegar a l 85%. Cuestión de estadística. Lo cual no quiere decir ni que sea posible, ni difícil hacerlo.
Además, los sistemas "Unix-like" son bastante heterogéneos. Por alguna razón general se cree que las vulnerabilidades serían explotables de forma similar que en Windows (por versiones: una vulnerabilidad afecta a una versión dada del sistema, incluso a una u otra actualización, por ejemplo, al XPS1). Esto no es cierto. Es muy difícil que una vulnerabilidad en Ubuntu se pueda aprovechar de forma transparente en un sistema con SuSE.
Todo lo heterogéneos que quieras, pero vulnerables igualmente. Sólo hay que saber dónde pinchar.
Que sea difícil no quiere decir que sea imposible. Si estuviera más extendido sería un blanco más interesante, habría más gente interesada en romperlo.
"gente interesada en romperlo" ya hay mucha, la mayoría de la gente con "ese talento" gusta de hacerlo. En realidad, la gente "con talento" no se dedica a romper Windows.
Oh, hay muchos tipos de crakers y hackers por ahí... mafias, programadores, analistas, expertos en seguridad. Yo creo que sí hay gente con talento haciendo lo que le gusta. Hace poco vimos cómo un agujero de Intel en las placas podía dejar a ambos sistemas expuestos. Los problemas de seguridad serios suelen afectar a todos los sistemas :-). Que se llegue a explotar o no, pues depende de otros factores.
El problema no es "romperlo", sinó "explotarlo", que es muy distinto. Puedes romper muchas máquinas con "Unix-like", pero el problema es crear una red del tamaño promedio de las que hay por ahí para atacar a otros sistemas. Ésta es la parte más difícil.
Difícil no creo. Poco práctico, sí. La masa de usuarios es poca y por tanto el beneficio y el alcance (difusión), también. Lo que me gustaría ver es un malware polimórfico, que sea capaz de adaptarse y que salte de un sistema u otro :-} Windows infectando linux, linux infectando bsd, bsd infectado solaris... }:-)
Un desarrollo informático puede fracasar por varios motivos, pero no estamos hablando dee eso sino de la seguridad de los sistemas y de las pautas de los usuarios.
Hablamos de una "bootnet". La mayoría de equipos explotables usan un sistema fácilmente explotable. Un usuario poco experimentado que utilice Windows está usando un sistema muy vulnerable porque no conocerá los riesgos y debilidades de su sistema, por mucho que adopte medidas razonables. Ese mismo usuario con Debian no tendría esos problemas de seguridad.
Eso será porque tienes una idea "preconcebida" de los usuarios. Yo no catalogo a un usuario por el sistema que usa sino por cómo lo usa >:-) Un debianita con un sistema sin actualizar y un apache casero en marcha me daría miedo. Un usuario windowsero con cortafuegos en el router, con cortafuegos en el sistema, con actualizacioens al día, con programas de prueba instalados en un equipo sin conexión a la red... me parece un usuario más responsable.
No, no hay que hacer concesiones en materia de seguridad para "acercar" usuarios, lo que hay que hacer es facilitarles su uso y que comprendan la importancia de sus actos.
Y el cortafuegos (susefirewall2) es un buen ejemplo de ello... bicho raro donde los "haiga"; la gente lo desactiva o se pasa a otro porque no hay quien lo entienda :-P.
vaya, no es muy cómodo pero es bastante sencillo ;)
Pues yo diría que es "cómodo" pero "nada sencillo" :-)
Aún hay software que utiliza un puerto "por defecto" (de los que hay que abrir a propósito). Sería bueno poder modificar ese puerto, pero eso no es cuestión del firewall, sinó de la aplicación. Ahora mismo pienso en las aplicaciones de IM.
Sí, pero que lo modifique quien tiene que modificarlo, es decir, el administrador o root, pero no el usuario >:-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola :) On Tuesday 05 May 2009 13:01:13 Camaleón wrote: [...]
Un equipo con puertos cerrados o con pocos puertos abiertos (vigilados o no) es más difícil de atacar que uno con ellos abiertos. El más simple cortafuegos es mejor que nada.
No del todo de acuerdo. Puedes tener un único puerto abierto (80, por ejemplo) y si el servidor web (o el servicio que está ecuchando en dicho puerto) tiene algún problema de seguridad ... te lo pueden reventar.
"Mejor que nada" no existe en seguridad :-).
O sirve (cumple con su cometido) o no sirve. O está activado o no lo está.
Como se suele decir: "Todo lo que no está expresamente permitido está prohibido y todo lo que no está expresamente prohibido, está permitido." ;) O prohibes todo y abres sólo lo que te interesa o abres todo y cierras lo que te interesa cerrar. [...]
Los sistemas Unix con MD5 hacen cálculo de claves y no aceptan cualquiera. Hace mucho que no verifico esta cuestión, pero cuando andaba con Debian la libertad del usuario para fijar una clave estaba muy restringida.
Depende un poco de la distro. Las hay que dan por hecho que el admin tiene esto en cuenta y dan por hecho que el admin se encargará de limitar la "libertad" del usuario a la hora de especificar la clave.
Una clave relativamente sencilla, como h1bcp_ (hay un bicho comiendo pipas_) de longitud adecuada (6 a 8 caracteres) es una buena cosa: no tener clave o tener la del nick de usuario (o derivados: pepito) es un suicidio.
Te ha faltado usar al menos un carácter en mayúsculas para que sea "más mejor" ;) Casi digo: "más óptimo" ... Ups 0:)
Ya, pero te sigo diciendo: depende del usuario. A mi me gustaría que el sistema fuera más exigente... me refiero a todos los sistemas >:-)
Algunos Linuxes ya te viene con ciertas restricciones. En openSUSE 11.0, aparece: # tail /etc/pam.d/common-password.pam-config-backup # This file is included from other service-specific PAM config files, # and should contain a list of modules that define the services to be # used to change user passwords. The default is pam_unix2 in combination # with pam_pwcheck. # The "nullok" option allows users to change an empty password, else # empty passwords are treated as locked accounts. # # To enable Blowfish or MD5 passwords, you should edit # /etc/default/passwd. # # Alternate strength checking for passwords should be configured # in /etc/security/pam_pwcheck.conf. # # pam_make can be used to rebuild NIS maps after password change. # password required pam_pwcheck.so nullok cracklib password required pam_unix2.so nullok use_authtok #password required pam_make.so /var/yp Básicamente juega con cracklib/pam_pwcheck/pam_cracklib, dependiendo de la distro. [...]
Y no todos los administradores tiene sistemas de claves prefijadas o que pasen por algún chisme de generación aleatoria de claves.
Por desgracia. Y por desgracia, cuando reciben formación (Universidad, FP, cursos privados, ...) _NO_ se hace hincapié en que el administrador debería montar una dictadura. Ya, ya, luego viene el jefe y se queja. Pues le explicas económicamente lo que puede suceder si no "nos ponemos serios". [...]
No. Su sistema de gestión de recursos, de privilegios, todo en el sistema está muy poco pensado. Aunque en sistemas como GNU/Linux pueda haber problemas o errores, en Windows prácticamente cualquier aplicación tiene acceso transparente al núcleo, normalmente sin que el usuario tenga intervención, ni siquiera conocimiento de lo que sucede. La filosofía del sistema es muy distinta, y a la larga muy problemática.
Para nada, es realmente compleja.
Ah, y en Linux también :-)
Por desgracia, quieren que las X (drivers gráficos) se gestionen desde el kernel :( Así que me parece que el Linux se nos pondrá a mostrar BSOD dentro de poco :( [...]
Para muchos usuarios es natural relajar las restricciones administrativas, al fin y al cabo ellos son los únicos usuarios del sistema. Lo malo no es que sea natural pensarlo, sinó que nos lleva a lo que digo en (4).
Pues eso te estoy diciendo. Que ese "relax" también llega en sistemas linux y te pueden dar un disgusto.
O más de uno. [...]
Recuérdese que la práctica totalidad (más del 95%) del software que ataca sistemas es software trivial y nada o poco interesante desde el punto de vista de un hacker mínimo. ^^^^^^
Mejor usa el término "cracker" o "virii", pero no hacker, incluso "script kiddie" podría valer ;)
Atacar el outlook no creo que sea meritorio, y su explotabilidad después de tantos años (si aún hay quien lo usa!!! XDD)
Por cuestiones/razones corporativas :( [...]
Además, los sistemas "Unix-like" son bastante heterogéneos. Por alguna razón general se cree que las vulnerabilidades serían explotables de forma similar que en Windows (por versiones: una vulnerabilidad afecta a una versión dada del sistema, incluso a una u otra actualización, por ejemplo, al XPS1). Esto no es cierto. Es muy difícil que una vulnerabilidad en Ubuntu se pueda aprovechar de forma transparente en un sistema con SuSE.
No comparto del todo esta idea. Si Ubuntu y SLES tienen la misma versión de Apache (por poner un ejemplo) y esa versión tiene un exploit determinado: afecta a ambos. Sí estoy de acuerdo que algunas distros cambian cosas por lo que hace que unas sean vulnerables y otras no en determinados momentos con determinado sw, como lo que le pasó por ejemplo a Debian con openSSH si mal no recuerdo.
Todo lo heterogéneos que quieras, pero vulnerables igualmente. Sólo hay que saber dónde pinchar.
Sip. O tener mucho tiempo libre ;) [...]
El problema no es "romperlo", sinó "explotarlo", que es muy distinto. Puedes romper muchas máquinas con "Unix-like", pero el problema es crear una red del tamaño promedio de las que hay por ahí para atacar a otros sistemas. Ésta es la parte más difícil.
Difícil no creo. Poco práctico, sí. La masa de usuarios es poca y por tanto el beneficio y el alcance (difusión), también.
Lo que me gustaría ver es un malware polimórfico, que sea capaz de adaptarse y que salte de un sistema u otro :-}
Windows infectando linux, linux infectando bsd, bsd infectado solaris... }:-)
Eso, tu da ideas, anda que no se os ocurre nada bueno cuando os aburrís ;) Ahora ne serio, vi una vez uno que permitía infectar Windows y Linux, pero no sé dónde lo vi 0:)
Un desarrollo informático puede fracasar por varios motivos, pero no estamos hablando dee eso sino de la seguridad de los sistemas y de las pautas de los usuarios.
Hablamos de una "bootnet". La mayoría de equipos explotables usan un sistema fácilmente explotable. Un usuario poco experimentado que utilice Windows está usando un sistema muy vulnerable porque no conocerá los riesgos y debilidades de su sistema, por mucho que adopte medidas razonables. Ese mismo usuario con Debian no tendría esos problemas de seguridad.
Eso será porque tienes una idea "preconcebida" de los usuarios. Yo no catalogo a un usuario por el sistema que usa sino por cómo lo usa >:-)
Un debianita con un sistema sin actualizar y un apache casero en marcha me daría miedo.
Un usuario windowsero con cortafuegos en el router, con cortafuegos en el sistema, con actualizacioens al día, con programas de prueba instalados en un equipo sin conexión a la red... me parece un usuario más responsable.
Además, recordemos que los sistemas Unix sí han tenido ataques interesantes, desde el gusano de Morris hasta otros más recientes como vulnerabilidades de OpenSSL que afectaban a los servidores web (según la prensa, eran los servidores web los que estaban "defectuosos", pero era el OpenSSL) y permitían que los gusanos se transmitiesen. También están los famosos programas conejo (como se llamaban antiguamente) por lo que si no estableces unos límites (fichero limits.conf), te puedes ver envuelto en un "fregao". Vamos, que no se libra nadie ;) Rafa -- "We cannot treat computers as Humans. Computers need love." rgriman@skype.com rgriman@jabberes.org -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
O Martes 05 Maio 2009 13:56:56 Rafa Griman escribiu:
Hola :)
On Tuesday 05 May 2009 13:01:13 Camaleón wrote:
[...]
Depende un poco de la distro. Las hay que dan por hecho que el admin tiene esto en cuenta y dan por hecho que el admin se encargará de limitar la "libertad" del usuario a la hora de especificar la clave. Pero casi todas dan al menos la posibilidad de hacerlo. Mejor es rajar mucho de las que no lo hacen para que no las usen :P xD
Una clave relativamente sencilla, como h1bcp_ (hay un bicho comiendo pipas_) de longitud adecuada (6 a 8 caracteres) es una buena cosa: no tener clave o tener la del nick de usuario (o derivados: pepito) es un suicidio.
Te ha faltado usar al menos un carácter en mayúsculas para que sea "más mejor" ;) Casi digo: "más óptimo" ... Ups 0:) Bueno, mejor que "karl" es, no? XD
Ya, pero te sigo diciendo: depende del usuario. A mi me gustaría que el sistema fuera más exigente... me refiero a todos los sistemas >:-)
Algunos Linuxes ya te viene con ciertas restricciones. En openSUSE 11.0, aparece:
# tail /etc/pam.d/common-password.pam-config-backup
[...] En openSUSE hay tres perfiles de seguridad. No he probado el modo paranoico xD, pero sí el "seguro". Vaya, no permite que el usuario inicie sesión en /var para iniciar una segunda consola, entre otras curiosidades. El por defecto es "fácil" y no está mal a medida que se vaya quitanto eso de SetUid como root.
Y no todos los administradores tiene sistemas de claves prefijadas o que pasen por algún chisme de generación aleatoria de claves.
Por desgracia. Y por desgracia, cuando reciben formación (Universidad, FP, cursos privados, ...) _NO_ se hace hincapié en que el administrador debería montar una dictadura. Cierto. También les dicen que Windows es un buen sistema y seguro XD Ya, ya, luego viene el jefe y se queja. Pues le explicas económicamente lo que puede suceder si no "nos ponemos serios". [...] Algunos saben eso y tienen sistemas y gente competente. (...) Por desgracia, quieren que las X (drivers gráficos) se gestionen desde el kernel :( Así que me parece que el Linux se nos pondrá a mostrar BSOD dentro de poco :( Yo creo que alguna llamada de sistema ya hay ;)
[...] ^^^^^^
Mejor usa el término "cracker" o "virii", pero no hacker, incluso "script kiddie" podría valer ;) Okis. [...]
Es muy difícil que una vulnerabilidad en Ubuntu se pueda aprovechar de forma transparente en un sistema con SuSE.
No comparto del todo esta idea. Si Ubuntu y SLES tienen la misma versión de Apache (por poner un ejemplo) y esa versión tiene un exploit determinado: afecta a ambos. Pero no pueden escalar de la misma forma en distintos sistemas, y para la mayor parte de los problemas esto es de importancia capital. Sí estoy de acuerdo que algunas distros cambian cosas por lo que hace que unas sean vulnerables y otras no en determinados momentos con determinado sw, como lo que le pasó por ejemplo a Debian con openSSH si mal no recuerdo. XD principalmente porque Debian tenía tal fama de estupenda que la gente hacía versiones sobre ella porque ya tenía lo más importante hecho. Espero que esto les sirviese de lección XD [...] Además, recordemos que los sistemas Unix sí han tenido ataques interesantes, desde el gusano de Morris hasta otros más recientes como vulnerabilidades de OpenSSL que afectaban a los servidores web (según la prensa, eran los servidores web los que estaban "defectuosos", pero era el OpenSSL) y permitían que los gusanos se transmitiesen.
También están los famosos programas conejo (como se llamaban antiguamente) por lo que si no estableces unos límites (fichero limits.conf), te puedes ver envuelto en un "fregao".
Vamos, que no se libra nadie ;) Unix es un sistema muy susceptible de ser atacado. Lo diferente es que Windows es un chollo para atacarlo XD
Tú puedes crear una red de bootnets sin necesidad de usar ninguna vulnerabilidad, sólo con un pequeño malware que acceda al núcleo; como mecanismo viral, sólo usas al outlook. Sencillo. Aquí la vulnerabilidad no es un error de software, sinó un principio de diseño básico. Permitir a) que un cliente de correo ejecute código b) que una aplicación de usuario acceda al núcleo es un suicidio. Lo de usar gusanos, puertas de atrás y esas cosas que se hace en Unix es con mucho más complicado y significativamente más lento. Y más lento significa más caro.
Rafa
Salud!! -- O malo da relixión e a súa carenza de imaxinación -- karl
Hola :) On Tuesday 05 May 2009 14:43:08 Karl García Gestido wrote: [...]
Depende un poco de la distro. Las hay que dan por hecho que el admin tiene esto en cuenta y dan por hecho que el admin se encargará de limitar la "libertad" del usuario a la hora de especificar la clave.
Pero casi todas dan al menos la posibilidad de hacerlo. Mejor es rajar mucho de las que no lo hacen para que no las usen :P xD
Cierto :)
Una clave relativamente sencilla, como h1bcp_ (hay un bicho comiendo pipas_) de longitud adecuada (6 a 8 caracteres) es una buena cosa: no tener clave o tener la del nick de usuario (o derivados: pepito) es un suicidio.
Te ha faltado usar al menos un carácter en mayúsculas para que sea "más mejor" ;) Casi digo: "más óptimo" ... Ups 0:)
Bueno, mejor que "karl" es, no? XD
Sip ;) Me acuerdo cuando impartía cursos de Linux, les contaba lo de jack the ripper, je, je, je, ... Pobres alumnos: cara de miedo que les entraba al saber que su clave no era segura (que como decías antes: es igual al login, al número de la t. de crédito, el PIN, el número de su casa, el cumpleaños de su madre y los 4 últimos dígitos del teléfono de su veterinario). Estos jovenzuelos ... Claro, que luego había el que se tiraba una semana entera reventando su clave para conseguir "LA" clave irrompible.
Ya, pero te sigo diciendo: depende del usuario. A mi me gustaría que el sistema fuera más exigente... me refiero a todos los sistemas >:-)
Algunos Linuxes ya te viene con ciertas restricciones. En openSUSE 11.0, aparece:
# tail /etc/pam.d/common-password.pam-config-backup
[...]
En openSUSE hay tres perfiles de seguridad. No he probado el modo paranoico xD, pero sí el "seguro". Vaya, no permite que el usuario inicie sesión en /var para iniciar una segunda consola, entre otras curiosidades. El por defecto es "fácil" y no está mal a medida que se vaya quitanto eso de SetUid como root.
Los probé una vez hace mucho tiempo así que no puedo opinar, pero es cierto, te da esa posibilidad de ponerte "paranoico". Ya sólo falta que metan el SE- Linux ... y que lo aprendamos a usar ;) [...]
Por desgracia, quieren que las X (drivers gráficos) se gestionen desde el kernel :( Así que me parece que el Linux se nos pondrá a mostrar BSOD dentro de poco :(
Yo creo que alguna llamada de sistema ya hay ;)
Cierto, me he explicado mal 0:) A lo que me refería es al kernel mode setting: "Suspend and resume support is improved with kernel mode-setting as the kernel no longer relies upon external resources for restoring the graphics adapters. With the process now being in-kernel, it's able to restore the mode automatically and more quickly. Likewise, virtual terminal switching is also improved as a result. Kernel mode-setting will also allow for an improved debugging experience, as this will eliminate the "hard hang" and make it possible to display a graphical error message (think the "Blue Screen of Death" for Linux). This technology leads to a flicker-free boot experience by only needing to set the video mode once, instead of turning on and off when starting the boot process (in the case of Fedora, with Red Hat Graphical Boot) and then properly initializing the device when the X server has finally started and loading the GNOME Display Manager. Kernel mode-setting has been one of the items on Keith Packard's (Intel) list of features for a happy Linux desktop."
Es muy difícil que una
vulnerabilidad en Ubuntu se pueda aprovechar de forma transparente en un sistema con SuSE.
No comparto del todo esta idea. Si Ubuntu y SLES tienen la misma versión de Apache (por poner un ejemplo) y esa versión tiene un exploit determinado: afecta a ambos.
Pero no pueden escalar de la misma forma en distintos sistemas, y para la mayor parte de los problemas esto es de importancia capital.
Eso es cierto. Rafa -- "We cannot treat computers as Humans. Computers need love." rgriman@skype.com rgriman@jabberes.org -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-05-05 a las 15:39 +0200, Rafa Griman escribió:
En openSUSE hay tres perfiles de seguridad. No he probado el modo paranoico xD, pero sí el "seguro". Vaya, no permite que el usuario inicie sesión en /var para iniciar una segunda consola, entre otras curiosidades. El por defecto es "fácil" y no está mal a medida que se vaya quitanto eso de SetUid como root.
Los probé una vez hace mucho tiempo así que no puedo opinar, pero es cierto, te da esa posibilidad de ponerte "paranoico". Ya sólo falta que metan el SE- Linux ... y que lo aprendamos a usar ;)
El modo paranóico es simplemente imposible de usar. Tienes que abrir lo que quieras usar, porque nada funciona por defecto. O casi nada.
Cierto, me he explicado mal 0:) A lo que me refería es al kernel mode setting:
"Suspend and resume support is improved with kernel mode-setting as the kernel no longer relies upon external resources for restoring the graphics adapters. With the process now being in-kernel, it's able to restore the mode automatically and more quickly. Likewise, virtual terminal switching is also improved as a result. Kernel mode-setting will also allow for an improved debugging experience, as this will eliminate the "hard hang" and make it possible to display a graphical error message (think the "Blue Screen of Death" for Linux). This technology leads to a flicker-free boot experience by only needing to set the video mode once, instead of turning on and off when starting the boot process (in the case of Fedora, with Red Hat Graphical Boot) and then properly initializing the device when the X server has finally started and loading the GNOME Display Manager. Kernel mode-setting has been one of the items on Keith Packard's (Intel) list of features for a happy Linux desktop."
Interesante. ¿Tiene desventajas? :-? - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkoAoLQACgkQtTMYHG2NR9VZvQCgitlgsPIcEBiZZ9YICWj+ZuUp SNwAoIKY3eWelM84VyYpIgixct8Q6wRV =MXKc -----END PGP SIGNATURE-----
O Martes 05 Maio 2009 22:25:16 Carlos E. R. escribiu:
El 2009-05-05 a las 15:39 +0200, Rafa Griman escribió:
(...) Los probé una vez hace mucho tiempo así que no puedo opinar, pero es cierto, te da esa posibilidad de ponerte "paranoico". Ya sólo falta que metan el SE- Linux ... y que lo aprendamos a usar ;)
El modo paranóico es simplemente imposible de usar. Tienes que abrir lo que quieras usar, porque nada funciona por defecto. O casi nada. Mola!!!! :)
Cierto, me he explicado mal 0:) A lo que me refería es al kernel mode setting:
"Suspend and resume support is improved with kernel mode-setting as the kernel no longer relies upon external resources for restoring the graphics adapters. With the process now being in-kernel, it's able to restore the mode automatically and more quickly. Likewise, virtual terminal switching is also improved as a result. Kernel mode-setting will also allow for an improved debugging experience, as this will eliminate the "hard hang" and make it possible to display a graphical error message (think the "Blue Screen of Death" for Linux). This technology leads to a flicker-free boot experience by only needing to set the video mode once, instead of turning on and off when starting the boot process (in the case of Fedora, with Red Hat Graphical Boot) and then properly initializing the device when the X server has finally started and loading the GNOME Display Manager. Kernel mode-setting has been one of the items on Keith Packard's (Intel) list of features for a happy Linux desktop."
Interesante. ¿Tiene desventajas? :-? Mi inglés es muy chapucero. ¿eso es lanzar el núcleo en modo gráfico?
Por muchos "kernel panics" que sean posibles, un BSOD para Linux es algo que asusta XD Salud!! -- O malo da relixión e a súa carenza de imaxinación -- karl
On Tuesday 05 May 2009 13:56:56 Rafa Griman wrote:
Por desgracia. Y por desgracia, cuando reciben formación (Universidad, FP, cursos privados, ...) _NO_ se hace hincapié en que el administrador debería montar una dictadura.
Ya, ya, luego viene el jefe y se queja. Pues le explicas económicamente lo que puede suceder si no "nos ponemos serios".
No se, yo debo vivir en otro universo. La dictadura ya existe, es la del jefe. El ancho de banda se reparte equitativamente, la mitad para los jefes(pocos), el resto para los demás(muchos). Los problemas de seguridad se centran en : Limitar el acceso a tu cuenta particular de correo. Limitar el acceso a webs nefastas( por ejemplo la de la universidad). Limitar el acceso a cualquier lugar que al jefe no le parezca oportuno. Indicaciones de uso de Internet propios de la edad media. Notificaciones de mas que discutible legalidad sobre el uso de los sistemas informáticos. Asunción de responsabilidades discutibles en cuanto a contraseñas. En mi universo.... los administradores de sistemas, en cuanto a seguridad estan al borde del suicidio. Me debo haber equivocado de universo. -- Saludos Lluis
Hola :) On Tuesday 05 May 2009 21:43:21 Lluis wrote:
On Tuesday 05 May 2009 13:56:56 Rafa Griman wrote:
Por desgracia. Y por desgracia, cuando reciben formación (Universidad, FP, cursos privados, ...) _NO_ se hace hincapié en que el administrador debería montar una dictadura.
Ya, ya, luego viene el jefe y se queja. Pues le explicas económicamente lo que puede suceder si no "nos ponemos serios".
No se, yo debo vivir en otro universo.
No, no vives en otro Universo.
La dictadura ya existe, es la del jefe.
Sip :( Cuando estuve en Bankinter, mi jefe quería una aplicación para hacer lo que llamaba el disco P:* Este disco era para los jefes y lo que tenía era una copia de seguridad en tiempo real (CDP se llama ahora). Le hablé de un sw de backup que lo hace y no sé en qué quedaría la cosa. Quería ese disco exclusivamente par hcer los backups en tiempo real porque los jefes son tan inútiles que borran la presentación que les has hecho y les has enviado y luego te hechan la culpa. * Se llamaba así porque dice que los jefes le tenían hasta la "P*"
El ancho de banda se reparte equitativamente, la mitad para los jefes(pocos), el resto para los demás(muchos). Los problemas de seguridad se centran en : Limitar el acceso a tu cuenta particular de correo. Limitar el acceso a webs nefastas( por ejemplo la de la universidad). Limitar el acceso a cualquier lugar que al jefe no le parezca oportuno. Indicaciones de uso de Internet propios de la edad media. Notificaciones de mas que discutible legalidad sobre el uso de los sistemas informáticos. Asunción de responsabilidades discutibles en cuanto a contraseñas. En mi universo.... los administradores de sistemas, en cuanto a seguridad estan al borde del suicidio.
En el mío también.
Me debo haber equivocado de universo.
Nop. Por eso digo que hay que hacer hincapié en los cursos en temas de dictadura: leyes, cuestiones económicas, ... Para poder explicárselas al jefe y decirle que no es oro todo lo que brilla. Cuesta, pero hay jefes inteligentes que lo acaban viendo. Los menos, es verdad, pero los hay. Rafa -- "We cannot treat computers as Humans. Computers need love." rgriman@skype.com rgriman@jabberes.org -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-05-06 a las 09:02 +0200, Rafa Griman escribió: ...
* Se llamaba así porque dice que los jefes le tenían hasta la "P*"
¡JUASS! X'-) - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkoB7W0ACgkQtTMYHG2NR9XLCACdFXybYA8CjhPMk6mGhX7wvzhg js0AmgLdnuLFCWKBNDejvK8Y7PlOVfmf =pW2l -----END PGP SIGNATURE-----
Concho, que largo queda XD O Martes 05 Maio 2009 13:01:13 Camaleón escribiu:
El 2009-05-05 a las 12:11 +0200, Karl García Gestido escribió:
O Martes 05 Maio 2009 11:19:17 Camaleón escribiu:
(...) Un equipo con puertos cerrados o con pocos puertos abiertos (vigilados o no) es más difícil de atacar que uno con ellos abiertos. El más simple cortafuegos es mejor que nada.
"Mejor que nada" no existe en seguridad :-).
O sirve (cumple con su cometido) o no sirve. O está activado o no lo está. No es así. Un cortafuegos "laxo" es mejor que ninguno. No confundas las cosas.
(...) Los sistemas Unix con MD5 hacen cálculo de claves y no aceptan cualquiera. Hace mucho que no verifico esta cuestión, pero cuando andaba con Debian la libertad del usuario para fijar una clave estaba muy restringida.
Una clave relativamente sencilla, como h1bcp_ (hay un bicho comiendo pipas_) de longitud adecuada (6 a 8 caracteres) es una buena cosa: no tener clave o tener la del nick de usuario (o derivados: pepito) es un suicidio.
Ya, pero te sigo diciendo: depende del usuario. A mi me gustaría que el sistema fuera más exigente... me refiero a todos los sistemas >:-) Pero no es lo mismo un sistema que "ofrece" que uses claves probadas que otro que ni siquiera pregunta si la quieres y asume que no. No es comparable.
(...) Eso también es algo que depende del usuario. Si no mantiene actualizado equipo, es su problema. Pasa en todos los sistemas.
No. Es un problema de actitud.
Pues eso. Un problema de actitud es "sí o sí" un problema del usuario Estás comparando sistemas donde el usuario puede "quitar" servicios de seguridad con un sistema al que en todo caso se los tienes que "poner". Desde el punto de vista del usuario, "poner" es más difícil que "sacar", por eso todas las distribuciones "de escritorio" son mucho más pesadas que Debian. Y eso mismo sirve para la seguridad: no es lo mismo configuar KDM para que acepte que no te registres en el inicio de sesión y otra es tener que configurar el sistema para que no acepte usuarios sin clave. Unos sistemas parten de un punto, y otros de otro. :-). Si es que te gusta sacar de donde no hay, Karl... Generalmente, mucha gente que "sabe" se dedica a culpar a los usuarios de los fallos de las herramientas empleadas. Igual que "el hardware es lo que recibe los golpes por los fallos del software", "el usuario es el que lleva las culpas de las limitaciones del software".
(...) También es algo que depende del usuario. Pasa en todos los sistemas.
No es lo mismo administrar un sistema donde las claves se fijan con algún sistema de cálculo de claves que en sistemas que el adminstrador por defecto no use claves.
No hablamos de administradores sino de usuarios. Los administradores no son santos, y no siempre son los únicos usuarios, ni siquiera bajo Windows.
Tengo por ahí una versión del XP llamada Ue o algo así (Edición no soportada o algo así), ni siquiera puedes crear cuentas de usuarios, y mucho menos administrar privilegios.
Y no todos los administradores tiene sistemas de claves prefijadas o que pasen por algún chisme de generación aleatoria de claves. Unos sistemas traen eso por defecto, otros lo traen y permiten que los usuarios los usen, y otros no los traen. Hay que señalar las diferencias entre las tres posibilidades?
(...) No creas. Lo que pasa los de windows hacen más ruido.
No. Su sistema de gestión de recursos, de privilegios, todo en el sistema está muy poco pensado. Aunque en sistemas como GNU/Linux pueda haber problemas o errores, en Windows prácticamente cualquier aplicación tiene acceso transparente al núcleo, normalmente sin que el usuario tenga intervención, ni siquiera conocimiento de lo que sucede. La filosofía del sistema es muy distinta, y a la larga muy problemática.
Para nada, es realmente compleja. ¿? Ah, y en Linux también :-) Salvo algún error, no.
Una aplicación lanzada en el espacio de usuario no tiene acceso al núcleo, ni sea un programa de fotos, ni un virus ni nada. Un exploited en Linux en primer lugar debe conseguir escalar a root, lo que no es sencillo. De hecho, cosas como SetUid son cada vez menos usadas. Después de eso, podría permitir cierto control del sistema. Esto no es comparable a que una aplicación lanzada en el espacio de usuario pueda acceder de forma transparente a los servicios del núcleo (sin necesidad de escalar), por mucho que maldigas a los usuarios. El problema que pueda haber en algún lado, como en Xorg, si lo hay, es el de una aplicación lanzada en el espacio del sistema; lánzalo en modo usuario :P
(....) En la lista inglesa? XD a mí me han preguntado todo tipo de barrabasadas, y generalmente el que preguntaba simplemente se ha llevado la bronca. También recuerdo tener que "explicarle" a algunos usuarios que no era buena idea eso de "usar root como cuenta de usuario normal" xDD
Pues eso te digo, que es el usuario el que hace su sistema tan seguro como quiera que sea. Y que las "malas costumbres" llegan a todos los sitios: windows, linux... De nuevo, no es lo mismo que un usuario acepte que puedan hacerse con su sistema con que el sistema "por defecto" tome eso como su entorno natural XD
Para muchos usuarios es natural relajar las restricciones administrativas, al fin y al cabo ellos son los únicos usuarios del sistema. Lo malo no es que sea natural pensarlo, sinó que nos lleva a lo que digo en (4).
Pues eso te estoy diciendo. Que ese "relax" también llega en sistemas linux y te pueden dar un disgusto. De nuevo, no es lo mismo. En "Unix-like" tienes que quitar servicios de seguridad; en Windows es lo normal. Hay mucha diferencia.
(...) No es así. El sistema debe prever muchas situaciones y sus responsables deben de establecer pautas y límites.
Eso no tiene ningún sentido porque el responsable del sistema del usuario es el propio usuario :-). Aquí no hay administardores que le pongan límites, las políticas de seguridad se las cocina él mismo y se las come él mismo. También hay gente que usa Windows en redes domésticas y de oficina, aunque algunos no entendamos por qué XD Por tanto, es el usuario el que debe ser responsable de su equipo y de sus actos. Es el sistema el que debe de proporcionar mecanismos para realizar una gestión eficiente con unos recursos aceptables (es decir, sin cursar titulaciones específicas durante 10 años). El modelo de gestión de GNU/Linux no es el mejor, pero es bueno; y desde luego, si lo comparas con Windows, es tecnología punta XD
(...) Atacar ¿qué versión concreta de Outlook no es meritorio? >:-) No sé si Outlook corre con wine, pero por de pronto es una aplicación de Windows xD Anda que no hay programas vulnerables en Linux que si no están actualizados te dejan en la misma situación que su contraparte windowsera :-P Una cosa es un error de programación, código malo o incorrecto... y otra que el diseño de una aplicación favorezca su explotación por indeseables. Venga, hombre, deja un equipo con una sesión de kde de root abierta en medio de una oficina a ver cuánto dura. A los 15 minutos ya han borrado algún directorio "vital" o se han cargado cualquier otra cosa. Puedes incluir líneas de código en correo que "quemen" discos (esto para alguna versión "anterior" de Outlook. Outlook se supone que no ha cambiado, simplemente se supone que tu antivirus no permitirá abrir un documento que contenga esas líneas de código, pero no es una corrección de Outlook!!!
Ah, por supuesto, sin necesidad de privilegios especiales. Por otra parte, un administrador no debería dejar sesiones abiertas; mejor dicho, no debería haberla abierto en primer lugar. Eso también rige para cualquier sistema.
(....) Eso no es cierto. Los sistemas no "promueven" nada. Que suse me sugiera un particionamiento X no significa que yo lo vaya a hacer. O que me sugiera el uso de sudo o compartir contraseña entre usuario y root. Pero lo más importante es la gestión de espacios y el uso de privilegios. Esto no es común en Windows.
Vamos a ver. Si tú pones código que borre un directorio como /usr/bin en un archivo y le das a un usuario ese archivo, aunque este usuario le otorgue permiso de ejecución a ese archivo, y lo ejecute, conscientemente... no podrá borrar ese archivo, porque el sistema no le otorgará privilegios suficientes. Necesitarás escalar a root. En Windows esto no es así. Como la mayoría de aplicaciones acceden de forma transparente al núcleo, no hay política de permisos que valga. Por supuesto, no puedes ejecutar "rm /usr/bin" ni hacerlo con el explorador de archivos... pero sí puedes hacer código ejecutable que acceda al contenido del disco y una vez en él borre el contenido de la entrada correspondiente a /usr/bin o directamente borre la entrada de /usr/bin en la tabla de ficheros. Esto está más allá de lo que muchos podemos hacer, pero es posible y relativamente sencillo. Y no, no puede hacerse en GNU/Linux, donde si no tienes privilegios de sistema no puedes acceder al contenido del disco. En realidad, sospecho que para un administrador es más fácil eliminar un archivo con un comando de sistema tal como rm que intentando acceder al contenido del disco, aunque todo esto excede con mucho lo que yo sé y sólo es IMHO.
Son opciones que tengo, nada más. Si tienes opciones, a lo mejor las usas. Si no las tienes, lo más probable es que no.
"El hábito no hace al monje" >:-)
Dale una herramienta a alguien, y la usará. Si tienes un clavo a mano, todo lo que tienes cerca se parece a un martillo.
Y la usará... sí, pero mal. Por eso te digo, que el hábito no hace al monje. Que tener un clavo no te convierte en carpintero. Pero estamos hablando de vendedores de martillos!!! Si tengo un clavo, necesito clavarlo, y tú vendes martillos, no me vendas una sierra.
(...) Pero es más compleja. Lo mejor que puedes conseguir en Windows es acercarte a lo "normal" en GNU/Linux, y no es fácil, sobre todo porque el sistema promueve que se hagan otras cosas XD
No hay "nomal" en Linux. Hay un sistema "bien administrado" por el usuario o un sistema "mal administrado". En Windows hay "sistemas administrados" y "sistemas no administrados", y estos últimos son la inmensa mayoría. Cambia mucho.
(....) Claro, porque no las hay en este momento. Y no las hay proque no interesa llegar al 1% de los usuarios cuando se puede llegar a l 85%. Cuestión de estadística.
Lo cual no quiere decir ni que sea posible, ni difícil hacerlo. Tienes que ver los conocimientos promedio y las motivaciones promedio para atacar un sistema. Me huelo que la gente que rompe Linux con facilidad no tiene mucho interés en los spams XD
Todo sistema es muy vulnerable, ni siquiera el mejor administrado está a salvo. Como dicen por ahí, el único sistema seguro es el que está aislado en una caja fuerte... y aún así ... Otra cosa es la diferencia en el diseño. Los Unix eran dieñados para permitir el uso por red de muchos usuarios y dan facilidades, muchas veces excesivas. Esta característica la heredó GNU/Linux, y sí, es cierto, es un gran problema. Pero Windows no se diseñó para esto. No hay excusa, sólo un sistema mal diseñado que tuvo una amplia difusión y hoy es mayoritario. Pero nunca fue, ni será, un sistema operativo mínimamente decende, por definición. Su diseño es malo, por sí mismo. Lo mejor que puedes hacer es conseguir que se comporte de forma similar a un sistema Unix. El esfuerzo para conseguir esto, puedes utilizarlo en tu sistema Unix para conseguir algo mucho más difícil de vulnerar. Por supuesto, todo esto excede, y con mucho, al usuario doméstico. Lo resumo así: una cosa es que todo sistema sea susceptible de sufrir un ataque exitoso; muy distinto es que la filosofía de diseño de un sistema "facilite" el éxito de un ataque. Casi cualquier persona puede atacar un sistema Windows, y no hace falta mucho para atacar a un sistema Windows bien administrado. Puedes atacar sistemas Unix, pero necesitarás más que eso. Repito: la inmensa mayoría de los ataques vienen por las trivialidades del sistema que, insisto, no pueden darse en sistemas Unix. Esto no quita que no haya más vulnerabilidades, sólo que no es tan fácil como pintan las películas y las empresas de "seguridad".
(...) Es muy difícil que una vulnerabilidad en Ubuntu se pueda aprovechar de forma transparente en un sistema con SuSE. Todo lo heterogéneos que quieras, pero vulnerables igualmente. Sólo hay que saber dónde pinchar. Pero el mismo exploited no te servirá para atacar a otros sistemas. Tendrías que usar un virus que difundiese uno u otro exploited según el sistema, y eso es muuuy complejo; que el exploited actúe de una forma u otra según el sistema, lo es más aún...
Es que una vulneración grave en un núcleo afectaría a una fracción mínima de los usuarios de GNU/Linux, porque no es fácil que en distintas distribuciones los usuarios estén usando el mismo núcleo!!!! Es que los núcleos de las distintas distribuciones son distintos!!! El núcleo 2.6.20.5 de openSUSE no es el mismo que el de los desarrolladores del núcleo!! XD
(...) gente interesada en romperlo" ya hay mucha, la mayoría de la gente con "ese talento" gusta de hacerlo. En realidad, la gente "con talento" no se dedica a romper Windows.
Oh, hay muchos tipos de crakers y hackers por ahí... mafias, programadores, analistas, expertos en seguridad. Yo creo que sí hay gente con talento haciendo lo que le gusta. Romper sistemas difíciles. ¿openBSD, Solaris? Hace poco vimos cómo un agujero de Intel en las placas podía dejar a ambos sistemas expuestos. Lo malo no es la exposición. Es el tiempo necesario para aprovecharla de forma que proporcione algún beneficio. Los problemas de seguridad serios suelen afectar a todos los sistemas No. En tu ejemplo de la placa, primero tienes que tener la placa. Segundo, poder aprovechar esa vulnerabilidad; tercero, en lo que consiste una vulnerabilidad dada. :-). Que se llegue a explotar o no, pues depende de otros factores. :
El problema no es "romperlo", sinó "explotarlo", que es muy distinto. Puedes romper muchas máquinas con "Unix-like", pero el problema es crear una red del tamaño promedio de las que hay por ahí para atacar a otros sistemas. Ésta es la parte más difícil.
Difícil no creo. Poco práctico, sí. La masa de usuarios es poca y por tanto el beneficio y el alcance (difusión), también. Tiempo es dinero. Aunque hubiese muchos usuarios Linux, explotarlos llevaría significativamente mucho más tiempo que a los de Windows. Lo que me gustaría ver es un malware polimórfico, que sea capaz de adaptarse y que salte de un sistema u otro :-} Eso, a día de hoy, no es posible. Muchos sistemas ni siquiera sus desarrolladores saben completamente cómo funcionan!!!
Antes tendríamos que desarrollar sistemas realmente multiplataforma. Sería el primer paso: si puedes desarrollar software que se ejecute en cualquier plataforma, podrías desarrollar malware que hiciese lo propio.
(...) Eso será porque tienes una idea "preconcebida" de los usuarios. Yo no catalogo a un usuario por el sistema que usa sino por cómo lo usa >:-) El "cómo lo usa" suele determinar la elección de sistema. Es un hecho. Un debianita con un sistema sin actualizar y un apache casero en marcha me daría miedo. Aún ese usuario sería muuuucho más difícil de explotar que un usuario promedio de Windows, incluso bien administrados. Un usuario windowsero con cortafuegos en el router, con cortafuegos en el sistema, con actualizacioens al día, con programas de prueba instalados en un equipo sin conexión a la red... me parece un usuario más responsable. De nada vale si permite que el sistema ejecute código en el núcleo. Administrar bien un sistema Windows no está al alcance de cualquiera vaya, no es muy cómodo pero es bastante sencillo ;) Pues yo diría que es "cómodo" pero "nada sencillo" :-) No tiene mucho misterio: zonas de aplicación, protocolos y puertos.
Es una buena idea lo del appmor... pero hacer funcionar bien eso tiene que ser todo un poema!! XD
(...)puertos abiertos Sí, pero que lo modifique quien tiene que modificarlo, es decir, el administrador o root, pero no el usuario >:-) Comportamiento por defecto en Unix. Saludos,
-- Camaleón Salud!! -- O malo da relixión e a súa carenza de imaxinación -- karl
El 2009-05-05 a las 14:26 +0200, Karl García Gestido escribió:
Concho, que largo queda XD
¿A que sí? :-)
O Martes 05 Maio 2009 13:01:13 Camaleón escribiu:
"Mejor que nada" no existe en seguridad :-).
O sirve (cumple con su cometido) o no sirve. O está activado o no lo está.
No es así. Un cortafuegos "laxo" es mejor que ninguno. No confundas las cosas.
No confundo nada. Un cortafuegos laxo es un cortafuegos "mermado", a medias. Te aporta una falsa seguridad, que es aún peor que no tener nada y saber que no lo tienes.
Ya, pero te sigo diciendo: depende del usuario. A mi me gustaría que el sistema fuera más exigente... me refiero a todos los sistemas >:-)
Pero no es lo mismo un sistema que "ofrece" que uses claves probadas que otro que ni siquiera pregunta si la quieres y asume que no. No es comparable.
¿Mande? Las instalaciones que he hecho del XP "desde cero" siempre te piden una clave de acceso para el usuario del sistema que se crea, que tiene privilegios de administrador. Las versiones de windows OEM (las que vienen preinstaladas por los fabricantes de los equipos) no preguntan la clave. Tendrás que preguntar el porqué de esa estrategia a los fabricantes >:-)
Pues eso. Un problema de actitud es "sí o sí" un problema del usuario
Estás comparando sistemas donde el usuario puede "quitar" servicios de seguridad con un sistema al que en todo caso se los tienes que "poner".
Oye, oye... de eso nada. Hay muchos servicios en linux que un usuario puede no querer tener activados (ssh, servidor de correo local, avahi...) y que se activan de manera predeterminada. Obviamente, en windows pasa igual.
:-). Si es que te gusta sacar de donde no hay, Karl...
Generalmente, mucha gente que "sabe" se dedica a culpar a los usuarios de los fallos de las herramientas empleadas. Igual que "el hardware es lo que recibe los golpes por los fallos del software", "el usuario es el que lleva las culpas de las limitaciones del software".
¿Acaso no es culpa del usuario tener el sistema sin actualizar con los últimos parches disponibles? ¡Pero si hasta el gestor de actualizaciones del windows funciona de manera bastante decente! No hay excusa. Eso es dejadez y temeridad por parte del usuario.
No. Su sistema de gestión de recursos, de privilegios, todo en el sistema está muy poco pensado. Aunque en sistemas como GNU/Linux pueda haber problemas o errores, en Windows prácticamente cualquier aplicación tiene acceso transparente al núcleo, normalmente sin que el usuario tenga intervención, ni siquiera conocimiento de lo que sucede. La filosofía del sistema es muy distinta, y a la larga muy problemática.
Para nada, es realmente compleja.
¿?
Sí, me refiero a la gestión de recursos, privilegios, usuarios y políticas de control de acceso, ACL... en windows.
Ah, y en Linux también :-)
Salvo algún error, no.
Me refiero a la gestión de los recursos y al control de acceso. Que en ambos sistemas es complejo.
Pues eso te digo, que es el usuario el que hace su sistema tan seguro como quiera que sea. Y que las "malas costumbres" llegan a todos los sitios: windows, linux...
De nuevo, no es lo mismo que un usuario acepte que puedan hacerse con su sistema con que el sistema "por defecto" tome eso como su entorno natural XD
El sistema por defecto no existe (creo que esto ya lo he dicho en otro hilo donde hablamos del mismo tema). Para empezar, el sistema por defecto sale a la luz en un año X y el usuario lo instala x+2 años después. El sistema por defecto del que hablas obviamente podrá estar comprometido por algún fallo de seguridad que haya sido corregido con posterioridad (eh, esto también pasa en linux) así que el sistema por defecto seguramente será "defectuoso" y "vulnerable" (eh, esto también pasa en linux). El usuario sabe (o debe saber) que lo primero que tiene que hacer es actualizar el sistema o se arriesga a tener problemas :-P Que en linux "no pase nada" porque tener un sistema sin actualizar es sólo porque no hay exploits pululando que se aprovechen de los fallos, pero no porque sea "más seguro".
Pues eso te estoy diciendo. Que ese "relax" también llega en sistemas linux y te pueden dar un disgusto.
De nuevo, no es lo mismo. En "Unix-like" tienes que quitar servicios de seguridad; en Windows es lo normal. Hay mucha diferencia.
No tienes que quitar nada, tienes que configurarlos >:-) En windows... también tienes que configurar el cortafuegos, porque te bloquea hasta al mismímisimo rey MSWord.
Eso no tiene ningún sentido porque el responsable del sistema del usuario es el propio usuario :-). Aquí no hay administardores que le pongan límites, las políticas de seguridad se las cocina él mismo y se las come él mismo.
También hay gente que usa Windows en redes domésticas y de oficina, aunque algunos no entendamos por qué XD
Bueno, yo te podría dar muchas razones, igual que te las di para usar AutoCAD... ¿recuerdas? X-)
Por tanto, es el usuario el que debe ser responsable de su equipo y de sus actos.
Es el sistema el que debe de proporcionar mecanismos para realizar una gestión eficiente con unos recursos aceptables (es decir, sin cursar titulaciones específicas durante 10 años). El modelo de gestión de GNU/Linux no es el mejor, pero es bueno; y desde luego, si lo comparas con Windows, es tecnología punta XD
Y windows tiene esos sistemas para que los uses. Si sabes para qué y cómo usarlos, claro.
Atacar ¿qué versión concreta de Outlook no es meritorio? >:-)
No sé si Outlook corre con wine, pero por de pronto es una aplicación de Windows xD
Y es una aplicación muy maja. No te metas con el Outlook :-P
Anda que no hay programas vulnerables en Linux que si no están actualizados te dejan en la misma situación que su contraparte windowsera :-P
Una cosa es un error de programación, código malo o incorrecto... y otra que el diseño de una aplicación favorezca su explotación por indeseables.
Es prácticamente lo mismo. Un error de programación te puede llevar al traste todo el diseño lógico base de seguridad en cualquier sistema, porque la aplicación, bibliotecas o el núcleo del sistema deja de responder como se esperaba.
Eso no es cierto. Los sistemas no "promueven" nada. Que suse me sugiera un particionamiento X no significa que yo lo vaya a hacer. O que me sugiera el uso de sudo o compartir contraseña entre usuario y root.
Pero lo más importante es la gestión de espacios y el uso de privilegios. Esto no es común en Windows.
Jupe. En windows 3.11/95/98 no te digo que no. Pero en los NT... tienes usuarios creados de serie que sólo tienen permiso para hacer copias de seguridad :-)
Vamos a ver. Si tú pones código que borre un directorio como /usr/bin en un archivo y le das a un usuario ese archivo, aunque este usuario le otorgue permiso de ejecución a ese archivo, y lo ejecute, conscientemente... no podrá borrar ese archivo, porque el sistema no le otorgará privilegios suficientes. Necesitarás escalar a root. En Windows esto no es así. Como la mayoría de aplicaciones acceden de forma transparente al núcleo, no hay política de permisos que valga. Por supuesto, no puedes ejecutar "rm /usr/bin" ni hacerlo con el explorador de archivos... pero sí puedes hacer código ejecutable que acceda al contenido del disco y una vez en él borre el contenido de la entrada correspondiente a /usr/bin o directamente borre la entrada de /usr/bin en la tabla de ficheros. Esto está más allá de lo que muchos podemos hacer, pero es posible y relativamente sencillo. Y no, no puede hacerse en GNU/Linux, donde si no tienes privilegios de sistema no puedes acceder al contenido del disco. En realidad, sospecho que para un administrador es más fácil eliminar un archivo con un comando de sistema tal como rm que intentando acceder al contenido del disco, aunque todo esto excede con mucho lo que yo sé y sólo es IMHO.
No, de eso nada. Eso sería un exploit de escalada de privilegios, en windows o en linux. Y eso sería un bug, tanto en windows como en linux. Y ambos kernels de linux tienen unos cuantos bugs de estos :-/
Y la usará... sí, pero mal. Por eso te digo, que el hábito no hace al monje. Que tener un clavo no te convierte en carpintero.
Pero estamos hablando de vendedores de martillos!!! Si tengo un clavo, necesito clavarlo, y tú vendes martillos, no me vendas una sierra.
Espera, que me pierdo... hábito -> monje -> clavos -> carpintero -> vendedores de martillos Qué bonita relación de términos. Bien, sigamos. Ah, por cierto, yo no vendo nada. Los martillos los podrás encontrar, entre otras tiendas, en Leroy Merlin :-)
No hay "nomal" en Linux. Hay un sistema "bien administrado" por el usuario o un sistema "mal administrado".
En Windows hay "sistemas administrados" y "sistemas no administrados", y estos últimos son la inmensa mayoría. Cambia mucho.
Hombre, mira, en eso te doy la razón.
Claro, porque no las hay en este momento. Y no las hay proque no interesa llegar al 1% de los usuarios cuando se puede llegar a l 85%. Cuestión de estadística.
Lo cual no quiere decir ni que sea posible, ni difícil hacerlo.
Tienes que ver los conocimientos promedio y las motivaciones promedio para atacar un sistema. Me huelo que la gente que rompe Linux con facilidad no tiene mucho interés en los spams XD
Los virus más dañinos para windows no son los que intentan utilizar el equipo como zombie. Esos se pueden eliminar con relativa facilidad.
Todo sistema es muy vulnerable, ni siquiera el mejor administrado está a salvo. Como dicen por ahí, el único sistema seguro es el que está aislado en una caja fuerte... y aún así ...
Ná. Mira, a mí no me preocupan los malware en los windows. Me preocupa el usuario que está delante de un equipo con windows. Si le meto un anti-virus es única y exclusivamente por y para el usaurio. Un equipo sin nadie que lo "teclee" delante es un equipo feliz y contento que de poco se tiene que preocupar >:-)
Otra cosa es la diferencia en el diseño. Los Unix eran dieñados para permitir el uso por red de muchos usuarios y dan facilidades, muchas veces excesivas. Esta característica la heredó GNU/Linux, y sí, es cierto, es un gran problema.
Pero Windows no se diseñó para esto. No hay excusa, sólo un sistema mal diseñado que tuvo una amplia difusión y hoy es mayoritario. Pero nunca fue, ni será, un sistema operativo mínimamente decende, por definición. Su diseño es malo, por sí mismo. Lo mejor que puedes hacer es conseguir que se comporte de forma similar a un sistema Unix. El esfuerzo para conseguir esto, puedes utilizarlo en tu sistema Unix para conseguir algo mucho más difícil de vulnerar. Por supuesto, todo esto excede, y con mucho, al usuario doméstico.
Lo resumo así: una cosa es que todo sistema sea susceptible de sufrir un ataque exitoso; muy distinto es que la filosofía de diseño de un sistema "facilite" el éxito de un ataque. Casi cualquier persona puede atacar un sistema Windows, y no hace falta mucho para atacar a un sistema Windows bien administrado. Puedes atacar sistemas Unix, pero necesitarás más que eso.
Todo eso lo dices porque le tienes tirria al windows. Cualquier persona NO puede atacar un sistema windows. Lo podrá hacer una, que sepa cómo hacerlo, y después poniendo su programita por la web para que el resto, como autómatas, lo utilicen. Sin saber ni cómo ni por qué.
Repito: la inmensa mayoría de los ataques vienen por las trivialidades del sistema que, insisto, no pueden darse en sistemas Unix. Esto no quita que no haya más vulnerabilidades, sólo que no es tan fácil como pintan las películas y las empresas de "seguridad".
No son las trivialidades del sistema, es el usuario que no es capaz de actualizar su equipo. Ese usuario irresponsable es víctima y verdugo a la vez: lo utilizan como pasarela de ataques... para atacar.
Todo lo heterogéneos que quieras, pero vulnerables igualmente. Sólo hay que saber dónde pinchar.
Pero el mismo exploited no te servirá para atacar a otros sistemas. Tendrías que usar un virus que difundiese uno u otro exploited según el sistema, y eso es muuuy complejo; que el exploited actúe de una forma u otra según el sistema, lo es más aún...
Eso dependerá el tipo de exploit. Si usa funciones comunes en todos los sistemas, pues podrá aprovecharlas.
Es que una vulneración grave en un núcleo afectaría a una fracción mínima de los usuarios de GNU/Linux, porque no es fácil que en distintas distribuciones los usuarios estén usando el mismo núcleo!!!!
Es que los núcleos de las distintas distribuciones son distintos!!! El núcleo 2.6.20.5 de openSUSE no es el mismo que el de los desarrolladores del núcleo!! XD
¿Y...? Cada núcleo tiene sus propias vulnerabilidades pero algunas son compartidas, es decir, que se dan en ambas versiones.
Oh, hay muchos tipos de crakers y hackers por ahí... mafias, programadores, analistas, expertos en seguridad. Yo creo que sí hay gente con talento haciendo lo que le gusta.
Romper sistemas difíciles. ¿openBSD, Solaris?
Sí, por qué no. Anda que no hay parches para el kernel de linux, openbsd, solaris... :-)
Hace poco vimos cómo un agujero de Intel en las placas podía dejar a ambos sistemas expuestos.
Lo malo no es la exposición. Es el tiempo necesario para aprovecharla de forma que proporcione algún beneficio.
Tampoco se había publicado ninguna vulnerabilidad para entornos windows. No será sencillo :-P
Los problemas de seguridad serios suelen afectar a todos los sistemas
No. En tu ejemplo de la placa, primero tienes que tener la placa. Segundo, poder aprovechar esa vulnerabilidad; tercero, en lo que consiste una vulnerabilidad dada.
¿Cómo que no? Tengo la placa, tengo un windows y un linux y tengo el código para ambos. Hala, ahí lo tienes.
Difícil no creo. Poco práctico, sí. La masa de usuarios es poca y por tanto el beneficio y el alcance (difusión), también.
Tiempo es dinero. Aunque hubiese muchos usuarios Linux, explotarlos llevaría significativamente mucho más tiempo que a los de Windows.
No creo. Sólo hace falta una buena recompensa (que se les pague bien) y ya tienes programadores intentando romper cositas (para windows, para linux, para unix...) :-)
Lo que me gustaría ver es un malware polimórfico, que sea capaz de adaptarse y que salte de un sistema u otro :-}
Eso, a día de hoy, no es posible. Muchos sistemas ni siquiera sus desarrolladores saben completamente cómo funcionan!!!
Ostras que no :-)
Antes tendríamos que desarrollar sistemas realmente multiplataforma. Sería el primer paso: si puedes desarrollar software que se ejecute en cualquier plataforma, podrías desarrollar malware que hiciese lo propio.
Karl te presento a Java, VM. Java, saluda a Karl :-)
Eso será porque tienes una idea "preconcebida" de los usuarios. Yo no catalogo a un usuario por el sistema que usa sino por cómo lo usa >:-)
El "cómo lo usa" suele determinar la elección de sistema. Es un hecho.
Eso es otra idea preconcebida :-) "Cuídate de la persona de un sólo libro."
Un debianita con un sistema sin actualizar y un apache casero en marcha me daría miedo.
Aún ese usuario sería muuuucho más difícil de explotar que un usuario promedio de Windows, incluso bien administrados.
Otra idea preconcebida :-P
Un usuario windowsero con cortafuegos en el router, con cortafuegos en el sistema, con actualizacioens al día, con programas de prueba instalados en un equipo sin conexión a la red... me parece un usuario más responsable.
De nada vale si permite que el sistema ejecute código en el núcleo. Administrar bien un sistema Windows no está al alcance de cualquiera
Tampoco lo está administrar bien un sistema linux >:-)
Pues yo diría que es "cómodo" pero "nada sencillo" :-)
No tiene mucho misterio: zonas de aplicación, protocolos y puertos.
No es encillo porque no está bien estructurado. Una cosa son las acciones y otra, los registros. Está todo mezclado y con pocas opciones para configurar lo que se registra.
Es una buena idea lo del appmor... pero hacer funcionar bien eso tiene que ser todo un poema!! XD
No lo he tocado nunca :-)
Sí, pero que lo modifique quien tiene que modificarlo, es decir, el administrador o root, pero no el usuario >:-)
Comportamiento por defecto en Unix.
Ese comportamiento es precisamente el que quería eliminar el usuario :-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
O Martes 05 Maio 2009 16:17:18 Camaleón escribiu:
El 2009-05-05 a las 14:26 +0200, Karl García Gestido escribió:
(...) Un cortafuegos laxo es un cortafuegos "mermado", a medias. Te aporta una falsa seguridad, que es aún peor que no tener nada y saber que no lo tienes. No tienes que tenerlo en "modo paranoico", un uso razonable está bien, es mejor que nada.
(...) ¿Mande? Las instalaciones que he hecho del XP "desde cero" siempre te piden una clave de acceso para el usuario del sistema que se crea, que tiene privilegios de administrador.
Las versiones de windows OEM (las que vienen preinstaladas por los fabricantes de los equipos) no preguntan la clave. Tendrás que preguntar el porqué de esa estrategia a los fabricantes >:-) Gracias. Eso es lo que digo.
Además, no vale de nada una cuenta de administración con clave si el usuario puede acceder al núcleo.
Hay muchos servicios en linux que un usuario puede no querer tener activados (ssh, servidor de correo local, avahi...) y que se activan de manera predeterminada. depende de la distro. En la mayoría, no. Obviamente, en windows pasa igual. no.
(...) ¿Acaso no es culpa del usuario tener el sistema sin actualizar con los últimos parches disponibles? ¡Pero si hasta el gestor de actualizaciones del windows funciona de manera bastante decente! No hay excusa. Eso es dejadez y temeridad por parte del usuario. Un usuario de Windows no puede actualizar con los últimos parches porque no sabe ni siquiera que existen. Es política de los desarrolladores, ocultan los errores. Que alguna distro haga cosas parecidas no es lo mismo. (...)
Sí, me refiero a la gestión de recursos, privilegios, usuarios y políticas de control de acceso, ACL... en windows. ¿?
Ah, y en Linux también :-)
Me refiero a la gestión de los recursos y al control de acceso. Que en ambos sistemas es complejo. Es más complejo en Windows, porque es ajeno al diseño del sistema.
(...) El sistema por defecto no existe (creo que esto ya lo he dicho en otro hilo donde hablamos del mismo tema).
Para empezar, el sistema por defecto sale a la luz en un año X y el usuario lo instala x+2 años después. El sistema por defecto del que hablas obviamente podrá estar comprometido por algún fallo de seguridad que haya sido corregido con posterioridad (eh, esto también pasa en linux) así que el sistema por defecto seguramente será "defectuoso" y "vulnerable" (eh, esto también pasa en linux). Pero en Windows ese es el modelo que hay y no tienes alternativa. En Unix tienes alternativas a eso. En Linux, tú puedes utilizar otras fuentes de información que tu proveedor, puedes utilizar varios canales de información. Es decir, SUSE no puede esconder un error de núcleo de forma indefinida, porque probablemente saldrá en la web del núcleo!!! El usuario sabe (o debe saber) que lo primero que tiene que hacer es actualizar el sistema o se arriesga a tener problemas :-P No necesariamente. Hay gente que no actualiza el sistema en años y les va bien :P Que en linux "no pase nada" porque tener un sistema sin actualizar es sólo porque no hay exploits pululando que se aprovechen de los fallos, pero no porque sea "más seguro". échale un ojo a openBSD XD
Hay muuuchos fallos, pero la mayoría no son explotables.encia.
(...) No tienes que quitar nada, tienes que configurarlos >:-)
En windows... también tienes que configurar el cortafuegos, porque te bloquea hasta al mismímisimo rey MSWord. okis. Punto para mí. (...) Bueno, yo te podría dar muchas razones, igual que te las di para usar AutoCAD... ¿recuerdas? X-) tus razones, no Las razones. Comprendo las razones individuales, lo que no es comprensible es que sea una estrategia general XD
Por tanto, es el usuario el que debe ser responsable de su equipo y de sus actos.
Es el sistema el que debe de proporcionar mecanismos para realizar una gestión eficiente con unos recursos aceptables (es decir, sin cursar titulaciones específicas durante 10 años). El modelo de gestión de GNU/Linux no es el mejor, pero es bueno; y desde luego, si lo comparas con Windows, es tecnología punta XD
Y windows tiene esos sistemas para que los uses. Si sabes para qué y cómo usarlos, claro. Dónde? :O Publícalo bien claro porque sus desarrolladores no lo saben XDDD
Windows no tiene un sólo recurso de seguridad "serio" por "cuestiones de diseño". No valen de nada todas las utilidades que te ponen en el sistema si a) impiden usar el sistema a sus usuarios de forma normal. b) permiten que cualquiera ataque al sistema.
Atacar ¿qué versión concreta de Outlook no es meritorio? >:-)
No sé si Outlook corre con wine, pero por de pronto es una aplicación de Windows xD
Y es una aplicación muy maja. No te metas con el Outlook :-P Será maja, pero es una bomba de relojería. Debería prohibirse su uso XD
(...) Una cosa es un error de programación, código malo o incorrecto... y otra que el diseño de una aplicación favorezca su explotación por indeseables.
Es prácticamente lo mismo. Un error de programación te puede llevar al traste todo el diseño lógico base de seguridad en cualquier sistema, porque la aplicación, bibliotecas o el núcleo del sistema deja de responder como se esperaba. Hay miles de errores posibles cuando escribes más de diez líneas... pero si el problema está en el diseño no hay nada que hacer!!!
(...) Pero lo más importante es la gestión de espacios y el uso de privilegios. Esto no es común en Windows.
Jupe. En windows 3.11/95/98 no te digo que no.
Pero en los NT... tienes usuarios creados de serie que sólo tienen permiso para hacer copias de seguridad :-) Y pueden cargarse el disco XD
aunque todo esto excede con mucho lo que yo sé y sólo es IMHO.
No, de eso nada. primera noticia. Avisa a los desarrolladores de Windows. Eso sería un exploit de escalada de privilegios, en windows o en linux. Y eso sería un bug, tanto en windows como en linux. En GNU/Linux un malware que no escale es inicuo; en Windows, no necesita escalar. Y ambos kernels de linux tienen unos cuantos bugs de estos :-/ muchos. Si sólo fueran unos cuantos XD
(...) Espera, que me pierdo...
hábito -> monje -> clavos -> carpintero -> vendedores de martillos
Qué bonita relación de términos. A que mola? los monjes siguen la doctrina del hijo de un carpintero, ¿no? Bien, sigamos. ok Ah, por cierto, yo no vendo nada. Los martillos los podrás encontrar, entre otras tiendas, en Leroy Merlin :-) Vete a una buena ferretería, que sea de buen acero y tenga un buen mango
(...) Los virus más dañinos para windows no son los que intentan utilizar el equipo como zombie. Esos se pueden eliminar con relativa facilidad. los virus más dañinos en realidad son virus triviales que usan características de Windows realmente absurdas. Convertir una red de computadores en una red de zombies te permite atacar a sistemas bien protegidos. Todo sistema es muy vulnerable, ni siquiera el mejor administrado está a salvo. Como dicen por ahí, el único sistema seguro es el que está aislado en una caja fuerte... y aún así ...
Ná. Mira, a mí no me preocupan los malware en los windows. Me preocupa el usuario que está delante de un equipo con windows. Si le meto un anti-virus es única y exclusivamente por y para el usaurio. Un equipo sin nadie que lo "teclee" delante es un equipo feliz y contento que de poco se tiene que preocupar >:-) Por eso. Como existen usuarios, y muchos son torpes, lo mejor es usar buenos sistemas. O que al menos no sean muy malos.
(...) Todo eso lo dices porque le tienes tirria al windows. No. Le tengo tirria a Mac, que es la misma filosofía cerrada de Microsoft pero con un buen sistema y fama de "cool" XD A Windows no, no es culpa suya ser un mal sistema. Cualquier persona NO puede atacar un sistema windows. Lo podrá hacer una, que sepa cómo hacerlo, y después poniendo su programita por la web para que el resto, como autómatas, lo utilicen. Sin saber ni cómo ni por qué. No es que se necesite mucho. Puedes colocar malware en cualquier lado y ya se ejecutará XD Si lo comparas con atacar un Unix... (....) No son las trivialidades del sistema, es el usuario que no es capaz de actualizar su equipo. Ese usuario irresponsable es víctima y verdugo a la vez: lo utilizan como pasarela de ataques... para atacar. Cosa del usuario por usar software raro como Windows. No se puede tener todo!!!! XD
En eso te doy la razón que la culpa es de los usuarios. Cada vez que se instala un Windows, Monesvol mata a un gatito!! Salva a los gatos!!! XD
(...) Eso dependerá el tipo de exploit. Si usa funciones comunes en todos los sistemas, pues podrá aprovecharlas. bueno, desgraciadamente no las hay a ese nivel. Algunos podrían ser comunes, pero la mayoría no, y no es fácil saber a priori si lo pueden ser...
¿Y...? Cada núcleo tiene sus propias vulnerabilidades pero algunas son compartidas, es decir, que se dan en ambas versiones. Sí... o no... La última vulnerabilidad del núcleo grave ¿a cuántas máquinas SUSE, Red Hat o Mandrake afectó?
Romper sistemas difíciles. ¿openBSD, Solaris?
Sí, por qué no. Anda que no hay parches para el kernel de linux, openbsd, solaris... :-) Parches de seguridad para openBSD? :O pobrecillos, no los asustes .D http://es.wikipedia.org/wiki/Openbsd#Seguridad (...) Tampoco se había publicado ninguna vulnerabilidad para entornos windows. No será sencillo :-P No se publican, se esconden :D
¿Cómo que no? Tengo la placa, tengo un windows y un linux y tengo el código para ambos. Hala, ahí lo tienes. Pues yo no tengo esa placa, así que ahí lo tienes :P No creo. Sólo hace falta una buena recompensa (que se les pague bien) y ya tienes programadores intentando romper cositas (para windows, para linux, para unix...) :-) se les pagará si con su trabajo se produce algún beneficio, digo yo XD
(...) Eso, a día de hoy, no es posible. Muchos sistemas ni siquiera sus desarrolladores saben completamente cómo funcionan!!!
Ostras que no :-) Y además es normal XD
Karl te presento a Java, VM. Java, saluda a Karl :-) Java "semi-compila" antes de interpretar. Eso está muy lejos de la total portabilidad. Además, pocos sistemas tienen toda la API para usar java de forma próxima al núcleo, si los hay. Si la montan con C++, imagina con Java.
(...) El "cómo lo usa" suele determinar la elección de sistema. Es un hecho.
Eso es otra idea preconcebida :-) Por? "Cuídate de la persona de un sólo libro." Al contrario. La gente que usa un solo libro usa Windows... porque no sabe que existen otros XD
(...) Aún ese usuario sería muuuucho más difícil de explotar que un usuario promedio de Windows, incluso bien administrados.
Otra idea preconcebida :-P Por?
(...) Tampoco lo está administrar bien un sistema linux >:-) Hay cosas que bienen prefiguradas, en el propio diseño. El modelo de permisos y privilegios es una de ellas. Pues yo diría que es "cómodo" pero "nada sencillo" :-)
No tiene mucho misterio: zonas de aplicación, protocolos y puertos.
No es encillo porque no está bien estructurado. Una cosa son las acciones y otra, los registros. Está todo mezclado y con pocas opciones para configurar lo que se registra. Yo lo veo razonable. Hay cosas que no es tan sencillo como debiera, pero no le encuentro misterio alguno.
Es una buena idea lo del appmor... pero hacer funcionar bien eso tiene que ser todo un poema!! XD
No lo he tocado nunca :-) Ni tú ni los que lo crearon ;-)
(...) Comportamiento por defecto en Unix.
Ese comportamiento es precisamente el que quería eliminar el usuario :-) La mejor idea. Nadie debería acercarse a un ordenador sin saber usarlo. Igual que un coche. Saludos,
-- Camaleón Salud!! -- O malo da relixión e a súa carenza de imaxinación -- karl
El 2009-05-05 a las 16:57 +0200, Karl García Gestido escribió:
O Martes 05 Maio 2009 16:17:18 Camaleón escribiu:
Las versiones de windows OEM (las que vienen preinstaladas por los fabricantes de los equipos) no preguntan la clave. Tendrás que preguntar el porqué de esa estrategia a los fabricantes >:-)
Gracias. Eso es lo que digo.
Pero esa configuración no es culpa de windows sino de quien lo configura así. El windowsito de fábrica no hace esas cosas :-)
Además, no vale de nada una cuenta de administración con clave si el usuario puede acceder al núcleo.
El usuario "raso" no debe tener acceso al núcleo. Ya te he dicho que eso se llama "escala de privilegios" y es un bug que no viene de serie :-)
Hay muchos servicios en linux que un usuario puede no querer tener activados (ssh, servidor de correo local, avahi...) y que se activan de manera predeterminada. depende de la distro. En la mayoría, no.
Obviamente, en windows pasa igual.
no.
Pues sí ;-)
¿Acaso no es culpa del usuario tener el sistema sin actualizar con los últimos parches disponibles? ¡Pero si hasta el gestor de actualizaciones del windows funciona de manera bastante decente! No hay excusa. Eso es dejadez y temeridad por parte del usuario.
Un usuario de Windows no puede actualizar con los últimos parches porque no sabe ni siquiera que existen. Es política de los desarrolladores, ocultan los errores. Que alguna distro haga cosas parecidas no es lo mismo.
Ah, bueno. Pero es que tú das por hecho que todos los usuarios de windows son unos "pendejos". Si partes de esa premisa, obviamente no hay nada más que discutir. Yo al menos no lo veo así.
Me refiero a la gestión de los recursos y al control de acceso. Que en ambos sistemas es complejo.
Es más complejo en Windows, porque es ajeno al diseño del sistema.
Ah, ahora dices que es más complejo... ¿en qué quedamos? >:-)
Para empezar, el sistema por defecto sale a la luz en un año X y el usuario lo instala x+2 años después. El sistema por defecto del que hablas obviamente podrá estar comprometido por algún fallo de seguridad que haya sido corregido con posterioridad (eh, esto también pasa en linux) así que el sistema por defecto seguramente será "defectuoso" y "vulnerable" (eh, esto también pasa en linux).
Pero en Windows ese es el modelo que hay y no tienes alternativa. En Unix tienes alternativas a eso. En Linux, tú puedes utilizar otras fuentes de información que tu proveedor, puedes utilizar varios canales de información. Es decir, SUSE no puede esconder un error de núcleo de forma indefinida, porque probablemente saldrá en la web del núcleo!!!
Claro que no tienes alternativa si el código es cerrado. Yo no he dicho lo contrario. Tienes que saber que el código es cerrado, que pertenece a una empresa y que esa empresa sacará y publicará los parches que le venga en gana... como hacen todas las empresas de código cerrado. Microsoft no es una excepción. También hay parches que no se publican en distribuciones de linux porque se han dejado de mantener por el motivo que sea: el mantenedor se ha ido y nadie se hace cargo del programa. Las opciones del usuario linuxero tampoco son nada halagüeñas: o deja de usarlo o se arriesga a ver comprometido su sistema.
El usuario sabe (o debe saber) que lo primero que tiene que hacer es actualizar el sistema o se arriesga a tener problemas :-P
No necesariamente. Hay gente que no actualiza el sistema en años y les va bien :P
¿Ah, sí? Pues nada, que les siga yendo bien :-)
Que en linux "no pase nada" porque tener un sistema sin actualizar es sólo porque no hay exploits pululando que se aprovechen de los fallos, pero no porque sea "más seguro". échale un ojo a openBSD XD
Hay muuuchos fallos, pero la mayoría no son explotables.encia.
Sí, eso es lo que dicen... pero por si acaso, sacan el parche, no vaya a ser que algún listillo nos meta alguna cosita ¿no? Si no hay exploit factible, ¿para qué parchear? >:-)
En windows... también tienes que configurar el cortafuegos, porque te bloquea hasta al mismímisimo rey MSWord.
okis. Punto para mí.
Sí, claro, ya sé que sabes que windows es muy eficiente :-P
Bueno, yo te podría dar muchas razones, igual que te las di para usar AutoCAD... ¿recuerdas? X-)
tus razones, no Las razones. Comprendo las razones individuales, lo que no es comprensible es que sea una estrategia general XD
Mis razones, sí claro, que para soy yo quien administra ;-)
Y windows tiene esos sistemas para que los uses. Si sabes para qué y cómo usarlos, claro.
Dónde? :O Publícalo bien claro porque sus desarrolladores no lo saben XDDD
Que no lo sepan es su problema. Se llaman políticas y directivas de seguridad y de control de acceso.
Windows no tiene un sólo recurso de seguridad "serio" por "cuestiones de diseño". No valen de nada todas las utilidades que te ponen en el sistema si
a) impiden usar el sistema a sus usuarios de forma normal. b) permiten que cualquiera ataque al sistema.
Sólo impide las restricciones que quieras. Es muy flexible. Los ataques al sistema se dan en "todos" los sistemas.
Y es una aplicación muy maja. No te metas con el Outlook :-P
Será maja, pero es una bomba de relojería. Debería prohibirse su uso XD
Mal administrado, sin parchearsí. Bien administrado y mantenido, no. Otra cosa es que no te guste por los motivos que sean.
Es prácticamente lo mismo. Un error de programación te puede llevar al traste todo el diseño lógico base de seguridad en cualquier sistema, porque la aplicación, bibliotecas o el núcleo del sistema deja de responder como se esperaba.
Hay miles de errores posibles cuando escribes más de diez líneas... pero si el problema está en el diseño no hay nada que hacer!!!
Claro que sí, rediseñar o parchear. Igual que en linux.
Jupe. En windows 3.11/95/98 no te digo que no.
Pero en los NT... tienes usuarios creados de serie que sólo tienen permiso para hacer copias de seguridad :-)
Y pueden cargarse el disco XD
No, sólo hacer copias de seguridad :-)
Eso sería un exploit de escalada de privilegios, en windows o en linux. Y eso sería un bug, tanto en windows como en linux.
En GNU/Linux un malware que no escale es inicuo; en Windows, no necesita escalar.
Para acceder donde no debe acceder, sí, necesita escalar o tener acceso.
Ah, por cierto, yo no vendo nada. Los martillos los podrás encontrar, entre otras tiendas, en Leroy Merlin :-)
Vete a una buena ferretería, que sea de buen acero y tenga un buen mango
¿No te gusta Leroy Merlin?
Los virus más dañinos para windows no son los que intentan utilizar el equipo como zombie. Esos se pueden eliminar con relativa facilidad.
los virus más dañinos en realidad son virus triviales que usan características de Windows realmente absurdas. Convertir una red de computadores en una red de zombies te permite atacar a sistemas bien protegidos.
Te permite "intentar atacar". Según tu teoría, todos los windows deberían estar infectados y actuar como zombies, pero, qué cosas, no lo están. ¿Por qué será? :-?
Ná. Mira, a mí no me preocupan los malware en los windows. Me preocupa el usuario que está delante de un equipo con windows. Si le meto un anti-virus es única y exclusivamente por y para el usaurio. Un equipo sin nadie que lo "teclee" delante es un equipo feliz y contento que de poco se tiene que preocupar >:-)
Por eso. Como existen usuarios, y muchos son torpes, lo mejor es usar buenos sistemas. O que al menos no sean muy malos.
Buenos sistemas "per se" no hay. Hay sistemas mantenidos, actualizados y protegidos.
Cualquier persona NO puede atacar un sistema windows. Lo podrá hacer una, que sepa cómo hacerlo, y después poniendo su programita por la web para que el resto, como autómatas, lo utilicen. Sin saber ni cómo ni por qué.
No es que se necesite mucho. Puedes colocar malware en cualquier lado y ya se ejecutará XD Si lo comparas con atacar un Unix...
No, sólo se ejecutará en sistemas no protegidos. Para atacar a un unix sólo necesitas buscar el aplicativo correspondiente y un administrador o usuario un poco dejado.
Eso dependerá el tipo de exploit. Si usa funciones comunes en todos los sistemas, pues podrá aprovecharlas.
bueno, desgraciadamente no las hay a ese nivel. Algunos podrían ser comunes, pero la mayoría no, y no es fácil saber a priori si lo pueden ser...
No las hay o no las conoces o no se encuentran fácilmente por la web. No es más que una cuestión de porcentaje de uso: menos uso = menos interés = menos exploits.
¿Y...? Cada núcleo tiene sus propias vulnerabilidades pero algunas son compartidas, es decir, que se dan en ambas versiones.
Sí... o no... La última vulnerabilidad del núcleo grave ¿a cuántas máquinas SUSE, Red Hat o Mandrake afectó?
A todas las que les afectara esa vulnerabilidad. Hay funciones genéricas en el kernel que se mantienen en todas las distribuciones (bug en los adaptadores de red de intel, pérdida de datos en ext4 en determinadas circunstancias...)
Sí, por qué no. Anda que no hay parches para el kernel de linux, openbsd, solaris... :-)
Parches de seguridad para openBSD? :O pobrecillos, no los asustes .D http://es.wikipedia.org/wiki/Openbsd#Seguridad
Buuu :-) Algunas hay, algunas hay... OpenBSD Vulnerabilities http://www.securiteam.com/products/O/OpenBSD.html Sun Solaris 10 Vulnerabilities http://www.securiteam.com/products/S/Sun_Solaris_10.html
No creo. Sólo hace falta una buena recompensa (que se les pague bien) y ya tienes programadores intentando romper cositas (para windows, para linux, para unix...) :-) se les pagará si con su trabajo se produce algún beneficio, digo yo XD
Claro, y no lo hay por el bajo porcentaje de uso :-)
Karl te presento a Java, VM. Java, saluda a Karl :-)
Java "semi-compila" antes de interpretar. Eso está muy lejos de la total portabilidad. Además, pocos sistemas tienen toda la API para usar java de forma próxima al núcleo, si los hay. Si la montan con C++, imagina con Java.
Yo ya espero un bichito multiplataforma que aproveche la VM de java
:-)
El "cómo lo usa" suele determinar la elección de sistema. Es un hecho.
Eso es otra idea preconcebida :-)
Por?
Porque dices que es un hecho sin aportar pruebas de ese hecho.
"Cuídate de la persona de un sólo libro."
Al contrario. La gente que usa un solo libro usa Windows... porque no sabe que existen otros XD
Pues ya ves que no. No puedes generalizar. Yo he usado y uso windows y también estoy usando suse. Y ya me gustaría hincarle en diente a MacOS y a freebsd. Al solaris también. Todos ellos, aún con sus bugs, son interesantes :-)
Aún ese usuario sería muuuucho más difícil de explotar que un usuario promedio de Windows, incluso bien administrados.
Otra idea preconcebida :-P
Por?
Porque no demuestras empíricamente lo que afirmas.
Tampoco lo está administrar bien un sistema linux >:-)
Hay cosas que bienen prefiguradas, en el propio diseño. El modelo de permisos y privilegios es una de ellas.
Ya... ¿y desde cuando compartir contraseña entre admin y user es una buena idea? >:-)
No es encillo porque no está bien estructurado. Una cosa son las acciones y otra, los registros. Está todo mezclado y con pocas opciones para configurar lo que se registra.
Yo lo veo razonable. Hay cosas que no es tan sencillo como debiera, pero no le encuentro misterio alguno.
Misterio es cuando pensando que haces una cosa, sucede otra y dices "¡ostras, esto no es lo que quería hacer! Vale... ¿pero qué narices ha hecho?"
Comportamiento por defecto en Unix.
Ese comportamiento es precisamente el que quería eliminar el usuario :-)
La mejor idea. Nadie debería acercarse a un ordenador sin saber usarlo. Igual que un coche.
Entonces me parece que el uso de linux se reduciría al 0,000009% del total X-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
O Martes 05 Maio 2009 18:03:01 Camaleón escribiu:
El 2009-05-05 a las 16:57 +0200, Karl García Gestido escribió:
O Martes 05 Maio 2009 16:17:18 Camaleón escribiu:
(...) Pero esa configuración no es culpa de windows sino de quien lo configura así. El windowsito de fábrica no hace esas cosas :-) El sistema de control de acceso es una cosa y el modelo de gestión de privilegios es otra distinta :)
Además, el que usan todos esos usuarios que dices es adivina cual :P
Además, no vale de nada una cuenta de administración con clave si el usuario puede acceder al núcleo.
El usuario "raso" no debe tener acceso al núcleo. Ya te he dicho que eso se llama "escala de privilegios" y es un bug que no viene de serie :-) A ver, que aún no lo ves. Windows, da igual la versión que contemples, no implementa correctamente el control de capas. Una aplicación de usuario puede hacer uso de servicios del núcleo, sin necesidad de utilizar el sistema que debería actuar de capa intermediaria. En realidad, parte de su éxito estriva en esta curiosa cualidad, aunque en las versiones de 16 bits era más escandaloso.
Por otra parte, para imitar la espectacularidad de los Amiga y los Mac, el sistema no pone límites a lo que se puede hacer. Aunque los ejecutables deben de ser archivos .exe, .bat o .com (mientras que en los "Unix-Like" cualquier archivo que contenga código puede tener (y debe tener) permisos de ejecución (los del usuario, con la salvedad de las propiedades como SetUid que deben de ser fijadas por root), cualquier archivo puede tener código ejecutable... y ejecutarlo. Windows es un sistema que no dispone de recursos de seguridad. Lo que hay es un núcleo con un puñado de herramientas de sistema poco útiles y una auténtica pléyade de herramientas -muchas de terceros- para cubrir las carencias del sistema. Para procurar un mínimo de seguridad se disponen un montón de herramientas más o menos eficientes, prestando servicios que no forman parte del sistema y menos aún del núcleo. Incluso root, que tiene privilegios para todo con las herramientas del sistema, tiene sus limitaciones (bien que sean lógicas); el modelo de capas no sólo reduce los errores, sinó los daños que se derivan de tales errores. La mayoría de los exploiteds de GNU/Linux necesitan escalar; los de Windows, no. Es la diferencia.
Hay muchos servicios en linux que un usuario puede no querer tener activados (ssh, servidor de correo local, avahi...) y que se activan de manera predeterminada.
Pues sí ;-) En la mayoría de distros, no es así: en muchas, es al contrario: supongo que alguna habrá que lo haga.
(...) Ah, bueno. Pero es que tú das por hecho que todos los usuarios de windows son unos "pendejos". Si partes de esa premisa, obviamente no hay nada más que discutir. No. La mayoría son muy majos y pueden tener muchos motivos distintos para usar Windows. Que sea un Sistema Operativo Seguro no es uno de ellos. Es más complejo en Windows, porque es ajeno al diseño del sistema.
Ah, ahora dices que es más complejo... ¿en qué quedamos? >:-) Es lo que te digo más arriba. En Windows tienes que disponer un puñado de herramientas para prestar servicios que no provee el sistema. Dejo como ejercicio saber de donde toman los recursos para ejecutar lo que el sistema no permite. (...) Claro que no tienes alternativa si el código es cerrado. Yo no he dicho lo contrario. Tienes que saber que el código es cerrado, que pertenece a una empresa y que esa empresa sacará y publicará los parches que le venga en gana... como hacen todas las empresas de código cerrado. Usa software abierto. O software mejor, Solaris o Mac son mejores a cualquier nivel. Microsoft no es una excepción. Dinero, dinero, dinero...
Es divertido, si Suse trajese la mitad de burradas que Windows a Novell la quemamos con la directiva dentro xDD
También hay parches que no se publican en distribuciones de linux porque se han dejado de mantener por el motivo que sea: el mantenedor se ha ido y nadie se hace cargo del programa. El núcleo se actualiza. Las herramientas GNU (el sistema) se actualiza. Con eso basta. Si tu aplicación/servicio o lo que sea deja de tener soporte, tendrás que buscar otro.
Nada es perfecto ;-)
Las opciones del usuario linuxero tampoco son nada halagüeñas: o deja de usarlo o se arriesga a ver comprometido su sistema. No me gusta mucho la evolución acelerada, cosas como cambiar de xFree86 a Xorg, de KDE X a KDE X+1, etc. Pero ya dije que nada es perfecto :)
No discutimos las carencias de un sistema vulnerable como cualquier Unix, sinó que no es equiparable eso a la absoluta falta de seguridad del sistema Windows.
(...) ¿Ah, sí? Pues nada, que les siga yendo bien :-) Cada uno XD Mientras no salgan exploiteds para su sistema, sus versiones... allá cada uno :D (...) Si no hay exploit factible, ¿para qué parchear? >:-) Tiempo. No es lo mismo que puedan entrar en tu sistema (todo sistema es vulnerable por definición) que lo sencillo o difícil que sea hacerlo.
Un exploited puede llegar a escalar, en manos de alguien competente con mucho tiempo libre. Eso es muy distinto a un exploited que no necesite escalar.
(...)
Sí, claro, ya sé que sabes que windows es muy eficiente :-P Claro que lo es!! XD
(...) Mis razones, sí claro, que para soy yo quien administra ;-) Tú administras tu sistema :P (...) Que no lo sepan es su problema. Se llaman políticas y directivas de seguridad y de control de acceso. Y una cosa es que sean producto del sistema o del núcleo, y otra que sean herramientas externas. (...) Sólo impide las restricciones que quieras. Es muy flexible. y tanto!!!! XDD Los ataques al sistema se dan en "todos" los sistemas. Es más complejo hacerlo en unos que en otros. Y es una aplicación muy maja. No te metas con el Outlook :-P
Será maja, pero es una bomba de relojería. Debería prohibirse su uso XD
Mal administrado, sin parchearsí. Bien administrado y mantenido, no. Tienes que administrarlo!!! eso, para un cliente de correo, que no es nada más que eso, es deleznable XDD Otra cosa es que no te guste por los motivos que sean. Porque es un sistema muy malo? es un buen motivo, como otro cualquiera. Que a alguien le guste, bueno, cada uno a su gusto.
(...) Hay miles de errores posibles cuando escribes más de diez líneas... pero si el problema está en el diseño no hay nada que hacer!!!
Claro que sí, rediseñar o parchear. Igual que en linux. No se puede rediseñar algo de tamaño no trivial. Tampoco Linux. En Windows, se esconden los problemas y se reza, nada más. Es su política, y además es oficial.
En GNU/LInux se parchea. Unix no es un buen sistema, da demasiada importancia a los usuarios, pero es "usable"; Linux es un poco mejor, pero no mucho... bueno, cuando quieras desarrollamos el sistema operativo del futuro, en teoría debería ser sencillo XD
(...) Y pueden cargarse el disco XD
No, sólo hacer copias de seguridad :-) XDD
Eso sería un exploit de escalada de privilegios, en windows o en linux. Y eso sería un bug, tanto en windows como en linux.
En GNU/Linux un malware que no escale es inicuo; en Windows, no necesita escalar.
Para acceder donde no debe acceder, sí, necesita escalar o tener acceso. No. Accede a núcleo.
(...) Vete a una buena ferretería, que sea de buen acero y tenga un buen mango
¿No te gusta Leroy Merlin? Me refiero a que un buen martillo es un buen martillo ;-)
(...) Te permite "intentar atacar". Según tu teoría, todos los windows deberían estar infectados y actuar como zombies, pero, qué cosas, no lo están.
¿Por qué será? :-? Y acaso no lo están? XDD
Cuántos se calcula que pueden estar infectados, incluso en redes "organizadas"? Aun suponiendo que las empresas auditoras exageren, las cifras de las que hablan son de miedo. Espero que no más de un porcentaje mínimo sea cierto, pero aún así estamos hablando de muchos.
(...)
No es que se necesite mucho. Puedes colocar malware en cualquier lado y ya se ejecutará XD Si lo comparas con atacar un Unix...
No, sólo se ejecutará en sistemas no protegidos. Windows XD Para atacar a un unix sólo necesitas buscar el aplicativo correspondiente y un administrador o usuario un poco dejado. Comparativamente hablando, digamos muchas cosas... XDD
Eso dependerá el tipo de exploit. Si usa funciones comunes en todos los sistemas, pues podrá aprovecharlas.
bueno, desgraciadamente no las hay a ese nivel. Algunos podrían ser comunes, pero la mayoría no, y no es fácil saber a priori si lo pueden ser...
No las hay o no las conoces o no se encuentran fácilmente por la web. No es más que una cuestión de porcentaje de uso: menos uso = menos interés = menos exploits. Precisamente, no es fácil de saber para el que desarrolla el malware de turno, igual que para los desarrolladores de soluciones de software "común".
¿Y...? Cada núcleo tiene sus propias vulnerabilidades pero algunas son compartidas, es decir, que se dan en ambas versiones.
Sí... o no... La última vulnerabilidad del núcleo grave ¿a cuántas máquinas SUSE, Red Hat o Mandrake afectó?
A todas las que les afectara esa vulnerabilidad. Hay funciones genéricas en el kernel que se mantienen en todas las distribuciones (bug en los adaptadores de red de intel, pérdida de datos en ext4 en determinadas circunstancias...) A SuSE no, porque esa versión no se desplegó (en el cambio de versión se saltó esa y ya no traía el módulo explotable). En el resto lo más probable es que se diesen situaciones análogas. De hecho, se trató en las listas Debian.
Algunos usuarios que tenían en su momento ultimísimos núcleos puede que lo usasen, pero esos usuarios ya habrían puesto la siguiente en cuanto salió ;-) Como mucho alguien que actualizase hasta esa versión por algún dispositivo específico.... No sabía que ext4 se desplegase ya como versión probada y eso. Yo uso reiserfs, ext3 y xfs. Todos tienen sus límites, pero en mi sistema van muy bien. ah!! bug<>vulnerabilidad
Sí, por qué no. Anda que no hay parches para el kernel de linux, openbsd, solaris... :-)
Parches de seguridad para openBSD? :O pobrecillos, no los asustes .D http://es.wikipedia.org/wiki/Openbsd#Seguridad
Buuu :-)
Algunas hay, algunas hay...
OpenBSD Vulnerabilities http://www.securiteam.com/products/O/OpenBSD.html
Sun Solaris 10 Vulnerabilities http://www.securiteam.com/products/S/Sun_Solaris_10.html Compárese: http://www.securiteam.com/products/W/Windows_2003.html Por no hablar del tipo de vulnerabilidad: vulnerabilidad<>explotable
Busca sistemas más desplegados que el equivalente. Por ejemplo, posiblemente Solaris esté desplegado en más sitios "a atacar" que Windows 2003, de forma similar a que la mayoría de los grandes computadores usan Unix o GNU/Linux, con lo que son candidatos a ser explotados. Por cierto, la lista incluye las vulnerabilidades públicas. En el código cerrado, es difícil estimar cuántas hay realmente.
No creo. Sólo hace falta una buena recompensa (que se les pague bien) y ya tienes programadores intentando romper cositas (para windows, para linux, para unix...) :-)
se les pagará si con su trabajo se produce algún beneficio, digo yo XD
Claro, y no lo hay por el bajo porcentaje de uso :-) Si para enviar un puñado de spam necesitas tener una hora de hackers dia y noche durante mucho tiempo, por muy extendido que esté el sistema no será rentable. Léase "la mayoría de los problemas de seguridad del software moderno son los que son".
Karl te presento a Java, VM. Java, saluda a Karl :-)
Java "semi-compila" antes de interpretar. Eso está muy lejos de la total portabilidad. Además, pocos sistemas tienen toda la API para usar java de forma próxima al núcleo, si los hay. Si la montan con C++, imagina con Java.
Yo ya espero un bichito multiplataforma que aproveche la VM de java Yo no, me da miedo y urticaria. Sí es manía. Un amiguete (25 años de C) me dice que puede ir muy bien y muy rápido, pero no acabo de verlo.
Hace unos días hablamos aquí de Mono... es extraño, lo usé para no sé qué el otro día.. uf :S
El "cómo lo usa" suele determinar la elección de sistema. Es un hecho. Eso es otra idea preconcebida :-) Porque dices que es un hecho sin aportar pruebas de ese hecho. Vaya. Es lo que dicen ellos. Por qué dices que mienten?
"Cuídate de la persona de un sólo libro."
Al contrario. La gente que usa un solo libro usa Windows... porque no sabe que existen otros XD
Pues ya ves que no. No puedes generalizar. La mayoría, según ellos. No veo por qué iban a mentir. Yo cuando miento afirmo ser guapo, rico y muy listo y culto. Ya sé que no cuela, pero puestos a mentir... XD Yo he usado y uso windows y también estoy usando suse. Y ya me gustaría hincarle en diente a MacOS y a freebsd. Al solaris también.
Todos ellos, aún con sus bugs, son interesantes :-) openBSD mejor que FreeBSD. Para escritorio, tienes DesktopBSD y PC-BSB. Hay mucha gente encantados con ellos. Creo que es la PC-BSD que permite instalar paquetes "que incluyen todo lo que necesitan para ejecutarse", como un programa de terceros, paqutes PBI o algo así...
En mi caso particular, siempre (con openSolaris, FreeBSD, openBSD, PC-BSD, DesktopBSD) falla un dispositivo u otro. Todo se andará ;) Hay proyectos que tienen buena pinta.
Aún ese usuario sería muuuucho más difícil de explotar que un usuario promedio de Windows, incluso bien administrados.
Otra idea preconcebida :-P
Por?
Porque no demuestras empíricamente lo que afirmas. La afirmación empírica está en cualquier libro trivial de administración de sistemas. Por definición, es más difícil explotar un sistema que provea pocos recursos de seguridad que uno que no los provea en absoluto (a nivel sistema- núcleo). Puedes usar herramientas de seguridad en Windows, pero esas mismas herramientas son un peligro para la integridad del propio sistema XDD
Generalmente, la seguridad de muchos sistemas Unix o Windows está en que no son sistemas atacados XD.
(...) Ya... ¿y desde cuando compartir contraseña entre admin y user es una buena idea? >:-) La mala idea es no tenerla.
Y tenemos que gritarle mucho a la gente que sostiene que sí lo es, amparándose en que en la mayoría de sistemas de escritorio el administrador es el mismo que el usuario, lo que no veo por qué tiene que ser cierto (bien que sí serán la mayoría, es difícil esperar que sea una mayoría muy amplia. La mayoría de familias tiene uno o dos computadores y en muchos casos los usa todo el mundo de la casa :) ). Me congratula que SLED tiene "por defecto" no seleccionada esa opción; pero lo suyo sería no tener esa opción, incluso compararlas :) Además, la seguridad no es simplemente privacidad. No es quién ejecute un software dado, sinó si ese software puede acceder al núcleo o no puede hacerlo.
(...) Yo lo veo razonable. Hay cosas que no es tan sencillo como debiera, pero no le encuentro misterio alguno.
Misterio es cuando pensando que haces una cosa, sucede otra y dices "¡ostras, esto no es lo que quería hacer! Vale... ¿pero qué narices ha hecho?" Mi configuración es muy sencillita, puede que en sistemas más complejos sea más lioso, pero la interfaz, sin ser la mejor, no la veo complicada.
(...) Entonces me parece que el uso de linux se reduciría al 0,000009% del total X-) No hablo del usuario de Linux, sinó de cualquier sistema conectado a la red. Me parece muy bien que a la gente les dé igual que la gente les hurgue en el sistema, pero que de haí puedan derivarse daños a terceros, no. Flaco favor te haría si te atacasen desde mi equipo :D
Esto es un "deseo irreal". Sólo es una forma exagerada de decir que esperar que un buen sistema no requiera de saber algunas cosillas es absurdo. Y los sistemas operativos que se desarrollen en el futuro deberían tener esto en cuenta. Por supuesto, deberían ser desarrollados con la idea de seguridad bien metida en la cabeza.
Saludos,
-- Camaleón
-- O malo da relixión e a súa carenza de imaxinación -- karl
El 2009-05-05 a las 20:40 +0200, Karl García Gestido escribió:
O Martes 05 Maio 2009 18:03:01 Camaleón escribiu:
Pero esa configuración no es culpa de windows sino de quien lo configura así. El windowsito de fábrica no hace esas cosas :-)
Además, el que usan todos esos usuarios que dices es adivina cual :P
No sé a qué usuarios te refieres. Que yo sepa no existe un usuario único de windows.
El usuario "raso" no debe tener acceso al núcleo. Ya te he dicho que eso se llama "escala de privilegios" y es un bug que no viene de serie :-)
A ver, que aún no lo ves. Windows, da igual la versión que contemples, no implementa correctamente el control de capas.
Las clases sobre la arquitectura de un sistema NT están por aquí: http://en.wikipedia.org/wiki/Architecture_of_Windows_NT
Windows es un sistema que no dispone de recursos de seguridad.
Juas.
Lo que hay es un núcleo con un puñado de herramientas de sistema poco útiles y una auténtica pléyade de herramientas -muchas de terceros- para cubrir las carencias del sistema. Para procurar un mínimo de seguridad se disponen un montón de herramientas más o menos eficientes, prestando servicios que no forman parte del sistema y menos aún del núcleo.
Incluso root, que tiene privilegios para todo con las herramientas del sistema, tiene sus limitaciones (bien que sean lógicas); el modelo de capas no sólo reduce los errores, sinó los daños que se derivan de tales errores.
La mayoría de los exploiteds de GNU/Linux necesitan escalar; los de Windows, no. Es la diferencia.
Yo diría que casi el 60% de los exploits para windows se reducen a un mal uso de la cuenta de administrador por parte del usuario. Fíjate si será relevante la escalada de privilegios >:-)
Ah, bueno. Pero es que tú das por hecho que todos los usuarios de windows son unos "pendejos". Si partes de esa premisa, obviamente no hay nada más que discutir.
No. La mayoría son muy majos y pueden tener muchos motivos distintos para usar Windows. Que sea un Sistema Operativo Seguro no es uno de ellos.
La seguridad es un estado mental, joven padawan :-) Dejarás de estar seguro en linux cuando dejes de pensar en la seguridad y pienses que linux es un escudo que te protege ante todo.
Claro que no tienes alternativa si el código es cerrado. Yo no he dicho lo contrario. Tienes que saber que el código es cerrado, que pertenece a una empresa y que esa empresa sacará y publicará los parches que le venga en gana... como hacen todas las empresas de código cerrado.
Usa software abierto. O software mejor, Solaris o Mac son mejores a cualquier nivel.
Se te ve el plumero. Lo dicho: no te gusta ni windows ni MS, porque será que MacOS no tiene bugs: http://support.apple.com/kb/HT1222
También hay parches que no se publican en distribuciones de linux porque se han dejado de mantener por el motivo que sea: el mantenedor se ha ido y nadie se hace cargo del programa.
El núcleo se actualiza. Las herramientas GNU (el sistema) se actualiza. Con eso basta. Si tu aplicación/servicio o lo que sea deja de tener soporte, tendrás que buscar otro.
Buscar otro no siempre es posible.
Mal administrado, sin parchearsí. Bien administrado y mantenido, no.
Tienes que administrarlo!!! eso, para un cliente de correo, que no es nada más que eso, es deleznable XDD
Bueno, yo también administro kmail ¿es eso deleznable? O:-)
Hay miles de errores posibles cuando escribes más de diez líneas... pero si el problema está en el diseño no hay nada que hacer!!!
Claro que sí, rediseñar o parchear. Igual que en linux.
No se puede rediseñar algo de tamaño no trivial. Tampoco Linux. En Windows, se esconden los problemas y se reza, nada más. Es su política, y además es oficial.
Y se sacan parches. Cada mes, para ser exactos, salvo que sea muy gordo y notorio :-P
¿No te gusta Leroy Merlin?
Me refiero a que un buen martillo es un buen martillo ;-)
El martillo será bueno, pero si no sabes clavar un clavo... mal asunto. Te harás el dedo añicos.
Y acaso no lo están? XDD
Pues no, todos no (infectados, digo).
Cuántos se calcula que pueden estar infectados, incluso en redes "organizadas"? Aun suponiendo que las empresas auditoras exageren, las cifras de las que hablan son de miedo. Espero que no más de un porcentaje mínimo sea cierto, pero aún así estamos hablando de muchos.
¿Muchos? Una minucia comparado con el número de equipos con windows que hay. Y que se dejan encendidos por la noche, no se apagan, o quedan hibernados a la espera de que alguien (o algo) los active... Chaan, chaaaan. Y de apaches sin actualizar, o de plataformas CMS vulnerables, códigos php que permiten barbaridades, clamavs sin parchear, bufff, la "internete" da miedo >:-P
No, sólo se ejecutará en sistemas no protegidos.
Windows XD
Pse... Windows no protegidos, es posible ;-)
A todas las que les afectara esa vulnerabilidad. Hay funciones genéricas en el kernel que se mantienen en todas las distribuciones (bug en los adaptadores de red de intel, pérdida de datos en ext4 en determinadas circunstancias...)
A SuSE no, porque esa versión no se desplegó (en el cambio de versión se saltó esa y ya no traía el módulo explotable). En el resto lo más probable es que se diesen situaciones análogas. De hecho, se trató en las listas Debian.
Pues hay usuarios que aún tienen ese problema. No te digo más (me refiero al de los adaptadores de red Intel).
Algunos usuarios que tenían en su momento ultimísimos núcleos puede que lo usasen, pero esos usuarios ya habrían puesto la siguiente en cuanto salió ;-) Como mucho alguien que actualizase hasta esa versión por algún dispositivo específico....
No sabía que ext4 se desplegase ya como versión probada y eso. Yo uso reiserfs, ext3 y xfs. Todos tienen sus límites, pero en mi sistema van muy bien.
¿Acaso hay que esperar a que suse lo saque para utilizarlo? Pos no, ya anda suelto, y en las listas de ubuntu se generó un revuelo enorme. Además, hay que probarlo antes de sacarlo y supongo que a los betatesters también les interesa mantener sus datos a salvo y que no desaparezcan sin más :-P
Parches de seguridad para openBSD? :O pobrecillos, no los asustes .D http://es.wikipedia.org/wiki/Openbsd#Seguridad
Buuu :-)
Algunas hay, algunas hay...
OpenBSD Vulnerabilities http://www.securiteam.com/products/O/OpenBSD.html
Sun Solaris 10 Vulnerabilities http://www.securiteam.com/products/S/Sun_Solaris_10.html
Compárese: http://www.securiteam.com/products/W/Windows_2003.html Por no hablar del tipo de vulnerabilidad: vulnerabilidad<>explotable
Porque se usa más, está en todos los sistemas de todo el mundo, nos invade, en los cajeros, en máquinas tpv, móviles, pds, está por todos lados, es accesible, es, es... windows :-)
Busca sistemas más desplegados que el equivalente.
¡Aja! Tú lo has dicho. Efectivamente, está más desplegado.
se les pagará si con su trabajo se produce algún beneficio, digo yo XD
Claro, y no lo hay por el bajo porcentaje de uso :-)
Si para enviar un puñado de spam necesitas tener una hora de hackers dia y noche durante mucho tiempo, por muy extendido que esté el sistema no será rentable. Léase "la mayoría de los problemas de seguridad del software moderno son los que son".
Anda que no hay CMS por ahí crakeados... la tira. Y scripts para aprovecharlos... la tira y media >:-)
Yo ya espero un bichito multiplataforma que aproveche la VM de java
Yo no, me da miedo y urticaria. Sí es manía. Un amiguete (25 años de C) me dice que puede ir muy bien y muy rápido, pero no acabo de verlo.
Hace unos días hablamos aquí de Mono... es extraño, lo usé para no sé qué el otro día.. uf :S
Las manías son difíciles de quitar :-)
Porque no demuestras empíricamente lo que afirmas.
La afirmación empírica está en cualquier libro trivial de administración de sistemas. Por definición, es más difícil explotar un sistema que provea pocos recursos de seguridad que uno que no los provea en absoluto (a nivel sistema- núcleo). Puedes usar herramientas de seguridad en Windows, pero esas mismas herramientas son un peligro para la integridad del propio sistema XDD
El único que no ve herramienta alguna eres tú :-)
Generalmente, la seguridad de muchos sistemas Unix o Windows está en que no son sistemas atacados XD.
No puedes atacar lo que casi no existe (0,1%) X-)
Ya... ¿y desde cuando compartir contraseña entre admin y user es una buena idea? >:-)
La mala idea es no tenerla.
¿No tener el qué? ¿La idea o la "compartición"? X-D
Entonces me parece que el uso de linux se reduciría al 0,000009% del total X-)
No hablo del usuario de Linux, sinó de cualquier sistema conectado a la red. Me parece muy bien que a la gente les dé igual que la gente les hurgue en el sistema, pero que de haí puedan derivarse daños a terceros, no. Flaco favor te haría si te atacasen desde mi equipo :D
Estoy de acuerdo. Yo les ponía una multa por incompetencia y dejación de responsabilidad, si son zombies reincidentes (y que lo recaudado vaya a las arcas de la sgae) >>>:-} (es broma -lo de la sgae-, pero lo de la multa me parecería bien). Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-05-05 a las 16:17 +0200, Camaleón escribió: ...
Las versiones de windows OEM (las que vienen preinstaladas por los fabricantes de los equipos) no preguntan la clave. Tendrás que preguntar el porqué de esa estrategia a los fabricantes >:-)
Lo mismo que si compras un maletín con llave de combinación, está puesta a "000", para que tu lo cambies. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkoAugcACgkQtTMYHG2NR9UwewCglZlY+XrLoLdI+ZYlTcFm8oXz 1eAAniDTAPfst5llBWxdBS72+DGf6tqF =37QA -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-05-05 a las 13:01 +0200, Camaleón escribió:
No. Su sistema de gestión de recursos, de privilegios, todo en el sistema está muy poco pensado. Aunque en sistemas como GNU/Linux pueda haber problemas o errores, en Windows prácticamente cualquier aplicación tiene acceso transparente al núcleo, normalmente sin que el usuario tenga intervención, ni siquiera conocimiento de lo que sucede. La filosofía del sistema es muy distinta, y a la larga muy problemática.
Para nada, es realmente compleja.
No, el Windows tiene políticas por defecto, y que ha promovido entre sus usuarios, que son muy peligrosas y que han provocado muchos problemas; por ejemplo, la capacidad de recibir correos con ejecutables que se pueden ejecutar simplemente haciendo "enter", y llamar a eso "abrir" lo que sea. Se abre un fichero, no se abre un ejecutable. Simplemente esa nomenclatura es peligrosa. O la norma por defecto de ocultar la extensión de archivos conocidos. Te mandan por correo un "factura.doc.exe" o un "factura.doc .exe" y como el ".exe" no lo ves, lo abres... cuando en realidad lo estás ejecutando. El Windows lo han ido protegiendo paulatinamente, conforme han ido viendo esos problemas. El Linux viene tradicionalmente más cerrado en ese sentido. Hasta que lo hagan "fácil", y entonces tendremos problemas parecidos. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkoAk/MACgkQtTMYHG2NR9XdMwCfVZGD8hD5BHja28hMV8bts7/G IU0AnRVJeTF2mEjiGi2F1uKMKGXUFUH8 =d9Vn -----END PGP SIGNATURE-----
O Martes 05 Maio 2009 21:30:55 Carlos E. R. escribiu:
El 2009-05-05 a las 13:01 +0200, Camaleón escribió:
(...) El Windows lo han ido protegiendo paulatinamente, conforme han ido viendo esos problemas. El Linux viene tradicionalmente más cerrado en ese sentido. Hasta que lo hagan "fácil", y entonces tendremos problemas parecidos. Bueno, tal vez los usuarios deberíamos llamarle a las cosas por su nombre y no aceptar que todo vale para captar usuarios.
Aquí hemos despotricado mucho, no siempre con razón, sobre determinadas decisiones sobre GNU/Linux o sobre SUSE en particular. Salud!! -- O malo da relixión e a súa carenza de imaxinación -- karl
El 2009-05-05 a las 21:30 +0200, Carlos E. R. escribió:
El 2009-05-05 a las 13:01 +0200, Camaleón escribió:
No. Su sistema de gestión de recursos, de privilegios, todo en el sistema está muy poco pensado. Aunque en sistemas como GNU/Linux pueda haber problemas o errores, en Windows prácticamente cualquier aplicación tiene acceso transparente al núcleo, normalmente sin que el usuario tenga intervención, ni siquiera conocimiento de lo que sucede. La filosofía del sistema es muy distinta, y a la larga muy problemática.
Para nada, es realmente compleja.
No, el Windows tiene políticas por defecto, y que ha promovido entre sus usuarios, que son muy peligrosas y que han provocado muchos problemas; por ejemplo, la capacidad de recibir correos con ejecutables que se pueden ejecutar simplemente haciendo "enter", y llamar a eso "abrir" lo que sea.
Me refería a que la gestión de las políticas de acceso a recursos, objetos y la gestión de usuarios y permisos "es compleja". Ese problema concreto que comentas ya está "requeteparcheado" :-)
Se abre un fichero, no se abre un ejecutable. Simplemente esa nomenclatura es peligrosa.
Además del parche, se podía desactivar. La política de seguridad la tomaba del internet explorer, y aplicaba los mismos parámetros. Si configurabas una seguridad alta en el navegador, esa opción de autoejecución quedaba inútil. Obviamente, en esa época oscura el navegador predeterminado era Firefox :-)
O la norma por defecto de ocultar la extensión de archivos conocidos. Te mandan por correo un "factura.doc.exe" o un "factura.doc .exe" y como el ".exe" no lo ves, lo abres... cuando en realidad lo estás ejecutando.
Eso sí está mal. No veo por qué lo siguen haciendo así, de serie :-( Tampoco muestran los archivos del sistema. Aunque en suse los archivos ocultos no se muestran tampoco, eso me llamó la atención :-? Otra cosa que siempre activo nada más instalar son los registros de seguridad, que están inhabilitados (en windows, digo).
El Windows lo han ido protegiendo paulatinamente, conforme han ido viendo esos problemas. El Linux viene tradicionalmente más cerrado en ese sentido. Hasta que lo hagan "fácil", y entonces tendremos problemas parecidos.
Claro. Que se haga "fácil" y se "generalice su uso" sería una bomba de relojería. Empezarían a ver la forma de explotar cualquier vulnerabilidad mínima de la que se tenga conocimiento... hasta conseguirlo. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-05-05 a las 21:52 +0200, Camaleón escribió:
El 2009-05-05 a las 21:30 +0200, Carlos E. R. escribió:
Para nada, es realmente compleja.
No, el Windows tiene políticas por defecto, y que ha promovido entre sus usuarios, que son muy peligrosas y que han provocado muchos problemas; por ejemplo, la capacidad de recibir correos con ejecutables que se pueden ejecutar simplemente haciendo "enter", y llamar a eso "abrir" lo que sea.
Me refería a que la gestión de las políticas de acceso a recursos, objetos y la gestión de usuarios y permisos "es compleja".
Ah, vale, sí, es compleja. Aparenta fácil, pero no lo es.
Ese problema concreto que comentas ya está "requeteparcheado" :-)
Pues no se, no tengo acceso a outlook, usan el notes. Sé que tengo XP SP2, y que lo tienen muy cerrado (aunque se han olvidado de capar el USB).
Obviamente, en esa época oscura el navegador predeterminado era Firefox :-)
Netscape 4.7 :-P
Tampoco muestran los archivos del sistema. Aunque en suse los archivos ocultos no se muestran tampoco, eso me llamó la atención :-?
Bueno, oculto es oculto, no los ves salvo que lo quieras ver. También en windows es así, pero eso es distinto de ocultar la extensión.
Otra cosa que siempre activo nada más instalar son los registros de seguridad, que están inhabilitados (en windows, digo).
Claro. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkoAtZgACgkQtTMYHG2NR9UPMwCgk826MChGMtB+qKyZeXKHQ0Ku AI0AoId8/VpVlJXfjaDNXGLxzw0vGBTK =OaWb -----END PGP SIGNATURE-----
O Martes 05 Maio 2009 21:52:10 Camaleón escribiu:
El 2009-05-05 a las 21:30 +0200, Carlos E. R. escribió:
El 2009-05-05 a las 13:01 +0200, Camaleón escribió:
(...)
Que se haga "fácil" y se "generalice su uso" sería una bomba de relojería. Empezarían a ver la forma de explotar cualquier vulnerabilidad mínima de la que se tenga conocimiento... hasta conseguirlo.
Bueno, fácil fácil... Mucha gente entiende fácil a no particionar un disco, hasta que acaba haciendo diecisiete particiones porque su sistema con una sola partición no le da más que disgustos XDD En realidad, decidir cuánto de un disco debe de reservarse para aplicaciones y cuánto para el usuario siempre deberá ser una cuestión del usuario/administrador, que sabrá él qué aplicaciones va a instalar... Yo tengo algunas "de terceros" que ocupan un hue... digo un mogollón... además, depende de cuantas imágenes de DVD descarges legal o ilegalmente XD Mucha gente entiende fácil a no tener claves de acceso (kwallet es un buen invento, IMHO) ni restricciones. Yo si quiero instalar una aplicación no de usuario tengo uso kdesu para ejecutar el instalador... muchos encuentran eso molesto y prefieren navegar "con privilegios de instalación". Yo entiendo "fácil" el no tener que usar comandos raros poco o nada documentados (en particular para los que tenemos un inglés chapucero y los que no lo entienden en absoluto); no tener que hacer cosas raras para tareas habituales o triviales; no tener que seguir un listado de instrucciones que no entiendo en absoluto para hacer alguna tarea administrativa o cambios de confguraciones triviales (por ejemplo, cambiar el gestor de escritorios sin tener que eliminar ninguno). Aunque en GNU/Linux falten muchas cosas, como es natural, el sistema en sí mismo es muy sencillo, y una instalación doméstica típica es trivial. Entiendo que deberíamos pretender que las cosas sigan así, y que debemos llamar chapuza o chorrada a lo que es una chapuza o chorrada; y que debemos decir que una característica es un riesgo grave para la seguridad del sistema cuando puede ser un riesgo grave para la seguridad del sistema, y que no debemos aceptar argumentos del tipo "para atraer tal tipo de usuarios"; por lo que a mí respecta, ese "tal tipo de usuarios" no deberian usar computadores XD "Fácil" <> cantidad/calidad de aplicaciones disponibles para tareas concretas, estamos hablando del sistema... no empecemos ;-)
Saludos,
-- Camaleón Salud!! -- O malo da relixión e a súa carenza de imaxinación -- karl
El 2009-05-06 a las 11:57 +0200, Karl García Gestido escribió:
O Martes 05 Maio 2009 21:52:10 Camaleón escribiu:
Que se haga "fácil" y se "generalice su uso" sería una bomba de relojería. Empezarían a ver la forma de explotar cualquier vulnerabilidad mínima de la que se tenga conocimiento... hasta conseguirlo.
Bueno, fácil fácil...
(...)
y que no debemos aceptar argumentos del tipo "para atraer tal tipo de usuarios"; por lo que a mí respecta, ese "tal tipo de usuarios" no deberian usar computadores XD
A ver si te aclaras. Ayer decías ésto: *** "(...) Esto también rige para los actuales usuarios de los sistemas GNU/Linux (que siempre hablamos de Linux pero ahí está FreeBSD): deberíamos ser poco comprensivos con aquellas distribuciones e instalaciones que relajen su requisitos de seguridad en haras a atraer a un puñado de usuarios más (es poco probable que muchos usuarios que no se molestan en usar una clave razonable vayan a molestarse en descargar e instalar GNU/Linux)." *** No hay quien te entienda ;-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
O Mércores 06 Maio 2009 12:43:40 Camaleón escribiu:
El 2009-05-06 a las 11:57 +0200, Karl García Gestido escribió:
O Martes 05 Maio 2009 21:52:10 Camaleón escribiu:
Que se haga "fácil" y se "generalice su uso" sería una bomba de relojería. Empezarían a ver la forma de explotar cualquier vulnerabilidad mínima de la que se tenga conocimiento... hasta conseguirlo.
Bueno, fácil fácil...
(...)
y que no debemos aceptar argumentos del tipo "para atraer tal tipo de usuarios"; por lo que a mí respecta, ese "tal tipo de usuarios" no deberian usar computadores XD
A ver si te aclaras. Ayer decías ésto:
*** "(...) Esto también rige para los actuales usuarios de los sistemas GNU/Linux (que siempre hablamos de Linux pero ahí está FreeBSD): deberíamos ser poco comprensivos con aquellas distribuciones e instalaciones que relajen su requisitos de seguridad en haras a atraer a un puñado de usuarios más (es poco probable que muchos usuarios que no se molestan en usar una clave razonable vayan a molestarse en descargar e instalar GNU/Linux)." ***
No hay quien te entienda ;-) Vaya, está en castellano, por un momento pensaba haberlo escrito en otro idioma :P
¿Cuál es el problema?
Saludos,
-- Camaleón Salud!! -- O malo da relixión e a súa carenza de imaxinación -- karl
El 2009-05-06 a las 12:48 +0200, Karl García Gestido escribió:
O Mércores 06 Maio 2009 12:43:40 Camaleón escribiu:
El 2009-05-06 a las 11:57 +0200, Karl García Gestido escribió:
O Martes 05 Maio 2009 21:52:10 Camaleón escribiu:
Que se haga "fácil" y se "generalice su uso" sería una bomba de relojería. Empezarían a ver la forma de explotar cualquier vulnerabilidad mínima de la que se tenga conocimiento... hasta conseguirlo.
Bueno, fácil fácil...
(...)
y que no debemos aceptar argumentos del tipo "para atraer tal tipo de usuarios"; por lo que a mí respecta, ese "tal tipo de usuarios" no deberian usar computadores XD
A ver si te aclaras. Ayer decías ésto:
*** "(...) Esto también rige para los actuales usuarios de los sistemas GNU/Linux (que siempre hablamos de Linux pero ahí está FreeBSD): deberíamos ser poco comprensivos con aquellas distribuciones e instalaciones que relajen su requisitos de seguridad en haras a atraer a un puñado de usuarios más (es poco probable que muchos usuarios que no se molestan en usar una clave razonable vayan a molestarse en descargar e instalar GNU/Linux)." ***
No hay quien te entienda ;-)
Vaya, está en castellano, por un momento pensaba haberlo escrito en otro idioma :P
¿Cuál es el problema?
Pues el "problema" es que no veas "el problema" >X-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
O Mércores 06 Maio 2009 12:43:40 Camaleón escribiu:
El 2009-05-06 a las 11:57 +0200, Karl García Gestido escribió:
O Martes 05 Maio 2009 21:52:10 Camaleón escribiu:
Que se haga "fácil" y se "generalice su uso" sería una bomba de relojería. Empezarían a ver la forma de explotar cualquier vulnerabilidad mínima de la que se tenga conocimiento... hasta conseguirlo.
Bueno, fácil fácil...
(...)
y que no debemos aceptar argumentos del tipo "para atraer tal tipo de "NO DEBEMOS ACEPTAR" usuarios"; por lo que a mí respecta, ese "tal tipo de usuarios" no deberian usar computadores XD (1) A ver si te aclaras. Ayer decías ésto:
*** "(...) Esto también rige para los actuales usuarios de los sistemas GNU/Linux (que siempre hablamos de Linux pero ahí está FreeBSD): deberíamos ser poco comprensivos con aquellas distribuciones e instalaciones que "NO DEBERÍAMOS ACEPTAR" relajen su requisitos de seguridad en haras a atraer a un puñado de usuarios más (es poco probable que muchos usuarios que no se molestan en usar una clave razonable vayan a molestarse en descargar e instalar GNU/Linux)." *** (2) No hay quien te entienda ;-)
Saludos, Veamos.
1) dice "bla, bla, bla" y que no se deben aceptar argumentos como "para usuarios que no quieren saber nada de usar un sistema operativo con seguridad" 2) dice "bla, bla, bla" y que no se deben aceptar argumentos como "para usuario que -pobrecillos ellos- no quieren saber nada de usar un sistema operativo con seguridad, añadiendo que en todo caso aquéllos que tengan tanto problema en poner una clave de usuario probablemente nunca instalen Linux.
-- Camaleón Cualquier otra aclaración, a tu disposición ;-)
Salud!! -- O malo da relixión e a súa carenza de imaxinación -- karl
El 2009-05-06 a las 13:09 +0200, Karl García Gestido escribió:
O Mércores 06 Maio 2009 12:43:40 Camaleón escribiu:
El 2009-05-06 a las 11:57 +0200, Karl García Gestido escribió:
O Martes 05 Maio 2009 21:52:10 Camaleón escribiu:
Que se haga "fácil" y se "generalice su uso" sería una bomba de relojería. Empezarían a ver la forma de explotar cualquier vulnerabilidad mínima de la que se tenga conocimiento... hasta conseguirlo.
Bueno, fácil fácil...
(...)
y que no debemos aceptar argumentos del tipo "para atraer tal tipo de
"NO DEBEMOS ACEPTAR"
usuarios"; por lo que a mí respecta, ese "tal tipo de usuarios" no deberian usar computadores XD (1) A ver si te aclaras. Ayer decías ésto:
*** "(...) Esto también rige para los actuales usuarios de los sistemas GNU/Linux (que siempre hablamos de Linux pero ahí está FreeBSD): deberíamos ser poco comprensivos con aquellas distribuciones e instalaciones que
"NO DEBERÍAMOS ACEPTAR"
Ah, o.k., tienes razón. Se me pasó el "poco" y entendí lo contrario (que les dabas vía libre para relajar la seguridad para captar clientela) O:-)
No hay quien te entienda ;-)
Veamos.
1) dice "bla, bla, bla" y que no se deben aceptar argumentos como "para usuarios que no quieren saber nada de usar un sistema operativo con seguridad" 2) dice "bla, bla, bla" y que no se deben aceptar argumentos como "para usuario que -pobrecillos ellos- no quieren saber nada de usar un sistema operativo con seguridad, añadiendo que en todo caso aquéllos que tengan tanto problema en poner una clave de usuario probablemente nunca instalen Linux.
Cualquier otra aclaración, a tu disposición ;-)
Aclarado queda. Ya me pongo las gafas 8-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-05-05 a las 12:11 +0200, Karl García Gestido escribió:
Otras tareas típicas son limitar ciertas características a los usuarios cuando no las necesiten (aunque los sistemas Windows piden mayor esfuerzo en este sentido). No permitir claves nulas o sencillas, no permitir código ejecutable en lugares raros (los usuarios pueden usar un webmail razonable o correo en modo texto como todo el mundo), etc. Hay muchas pequeñas cosas que hay que hacer.
No es tan dificil... yo tengo ahora en el curro un ordenador con xp corporativo que casi no me permite hacer nada de nada. Ni mandar verificar el disco puedo. No he probado a instalar nada todavía. Cada vez que se enciende hace una serie de verificaciones mandadas centralmente.
Y el cortafuegos (susefirewall2) es un buen ejemplo de ello... bicho raro donde los "haiga"; la gente lo desactiva o se pasa a otro porque no hay quien lo entienda :-P. vaya, no es muy cómodo pero es bastante sencillo ;)
Aún hay software que utiliza un puerto "por defecto" (de los que hay que abrir a propósito). Sería bueno poder modificar ese puerto, pero eso no es cuestión del firewall, sinó de la aplicación. Ahora mismo pienso en las aplicaciones de IM.
Creo que es por una aplicación IM por la que están preguntando para poder abrir el cortafuegos como usuario. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkoAkWcACgkQtTMYHG2NR9VVPgCcCOLCmkMXX6VICigQrvaVbdIm GzEAnjvIsv/b2SMb02hxUQaLzvXOciag =fYjp -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-05-05 a las 11:19 +0200, Camaleón escribió:
No creas. Lo que pasa los de windows hacen más ruido.
Si pasas por la lista inglesa de suse verás que ya hay dos personas que han preguntado:
a) Cómo abrir agujeros en el cortafuegos b) Cómo permitir al usuario cambiar la hora del sistema
:-)
Cierto.
Es un problema conceptual, de cultura, de hábitos y buenas (o malas) costumbres, como dicen los investigadores de ese informe.
No hay "usuarios tontos windows" y "usuarios listísimos linux". Hay "usuarios" y serán lo mismo en ambos sistemas.
"El hábito no hace al monje" >:-)
Lo que pasa es que en windows abundan los usuarios que no tienen ni idea de lo que tienen entre manos. Se ha vendido mucho la idea de que un ordenador es un electrodoméstico, fácil de usar, y que no requiere conocimientos técnicos. Así, en windows tienes gente que no usa cortafuegos y que tiene el antivirus sin actualizar desde hace un año. Sí, se quejan de que el ordenador les va "lento". Eso no es culpa del windows en sí, sino del usuario. O más bien, de nuestra cultura informática. En cambio, el linux, con su fama de "complicado" tiene una base de usuarios con algo más de conocimiento, y abundancia de administradores. Pero también se pueden hacer burradas, y si hubiera más usuarios las habrían. Es cierto que el linux tiene un buen conjunto de medidas de seguridad mejor diseñadas que las habituales en windows, pero también es cierto que un buen administrador puede tener una red de windows perfectamente asegurada - al menos hasta que venga un usuario interno y le haga una burrada. Los jefes son los peores. Como uno que leí que fué a la tienda, compró un router wifi, y lo enchufó a la intranet, para no tener cable en el portatil. Sin protección, plug and play. Claro, el administrador vió una serie de accesos indebidos pero no veía por donde entraban, convencido de que no había wifi en el edificio...
Que sea difícil no quiere decir que sea imposible. Si estuviera más extendido sería un blanco más interesante, habría más gente interesada en romperlo.
Es posible.
Y el cortafuegos (susefirewall2) es un buen ejemplo de ello... bicho raro donde los "haiga"; la gente lo desactiva o se pasa a otro porque no hay quien lo entienda :-P.
¿Noooo? Pero si es muy sencillito... - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkoAjxYACgkQtTMYHG2NR9WqaQCdEQBPK65E/QjnYm0mLRQx4Wwh UigAniHpZGbHe11oz5U+QH9EYnJfQTXH =EZXe -----END PGP SIGNATURE-----
El 5 de mayo de 2009 1:40, Shinji Ikari <darkwildkat@gmail.com> escribió:
Ha pasado tiempo desde que pongo OTs, pero no hubo cosas interesante últimamente, o será que no me gusta causar problemas, nada agradable veros peleando. =/
Pero vale, esto está interesante, artículo de Ars Technica, Investigadores tomaron el control de una red de zombies, botnet, y entre las cosas que lograron obtener es ¡56000 claves en 1 hora! y 70 GB de información en 10 días. Esto prueba una vez más que el SysAdmin no nace siendo misántropo, es que el lusuario es lo peor en el planeta después de la pata donde más duele. Más información en el enlace: <http://arstechnica.com/security/news/2009/05/researchers-hijack-botnet- score-56000-passwords-in-an-hour.ars>
Realmente, cuesta creer, que un virus/troyano detectado hace 4 años, continue todavia en acción: http://antivirus.hispavista.com/virus_89223_torpig-a http://www.pandasecurity.com/spain/enterprise/security-info/about-malware/en... http://en.wikipedia.org/wiki/Torpig http://www.sophos.com/security/analyses/viruses-and-spyware/trojtorpiga.html http://www.theregister.co.uk/2008/10/31/torpig_banking_trojan/ http://espanol.answers.yahoo.com/question/index?qid=20070503133315AAR5zii http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=5762 Salu2 -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (7)
-
Camaleón -
Carlos E. R. -
Juan Erbes -
Karl García Gestido -
Lluis -
Rafa Griman -
Shinji Ikari