Re: [ml] Leggete e meditate...

Michele <vo.sinh(at)gmail.com>:
> From: Michele <vo.sinh(at)gmail.com>
> To: ml(at)sikurezza.org
> Subject: Re: [ml] Leggete e meditate...
>
> Mhh denso di significato se stai a guardare i paroloni...se ti limiti ad
> analizzare la situazione considerando gli attacchi che puoi portare per
> OTTENERE una password e' chiaro che cambiarla ogni (esempio) 6 mesi non ti
> cambia un granche`...ma se pensi la questione in termini di "ok un qualche
> attacker ha ottenuto la password, limitiamo il tempo e la quantita' di
> informazioni alle quali puo' accedere con la password o limitiamo il tempo
> durante il quale puo` accedere (ed eventualmente ottenere privilegi
> maggiori) al sistema" prende senso..

.. ha senso limitare il tempo a *MENO DI SEI MESI*?!? In sei mesi un
attacker ti trasferisce l'hard disk usando il payload di un pacchetto
ICMP PING ogni 5 minuti; prova tutti gli exploit di privilege excalation
conosciuti (solo nei week-end), e sperimenta qualcuno di quelli nuovi
scoperti nel frattempo; usa il server come base per crearsi una botnet
di 100.000 computers; genera un CD con tutti gli indirizzi e-mail che
transitano nella tua casella postale e lo vende su eBay; ...

> alla fine il discorso e` molto simile ad
> una vpn crittata con una chiave statica o con una chiave generata e
> scambiata mediante rsa/dsa..

... si, ma scambiata attraverso una connessione che usa il protocollo
RFC 1149 (*).

[...]
> Inference/Guessing - non si genera e consegna (e quindi non e` decisa
> dall'utente, come ipotizza in "Inference") una password "forte" ma
> abbastanza semplice da ricordare;

Generare una password "forte" e "abbastanza semplice da ricordare" puo'
essere un compito al di sopra delle possibilita' di un amministratore
di sistemi.
Se e' una password "forte", dev'essere almeno "lunga" e "complicata":
esistono algoritmi in grado di generare tali password.
Ma non esistono algoritmi che, data una persona X - con X preso a caso
in un insieme di utenti - possano stabilire se una password sia semplice
da ricordare o no, principalmente perche' "abbastanza semplice da
ricordare" e' una frase in generale senza alcun senso. Dimostrazione:
- io ricordo a memoria un centinaio di numeri di telefono (anche numeri
  di amici che non vedo da anni e che non hanno piu' quel telefono),
  quindi se prendi come password uno di quei numeri me lo ricordero' di
  sicuro;
- la mia segretaria ricorda i nomi di tutti i nostri contatti presso i
  clienti, e le iniziali di nomi e cognomi di sei di loro sarebbero
  semplici da ricavare a memoria, per lei;
- ora prova a dare alla mia segretaria uno dei miei numeri di telefono
  e a me le sue dodici lettere iniziali di nomi e cognomi ...

(*) "IP datagrams on avian carriers" / IP su piccioni viaggiatori.

--
Tullio Andreatta

Disclaimer: "Please treat this email message in a reasonable way, or we
    might get angry" ( http://www.goldmark.org/jeff/stupid-disclaimers )