Re: [ml] Leggete e meditate...

----- Forwarded message from Michele <vo.sinh(at)gmail.com> -----
From: Michele <vo.sinh(at)gmail.com>
To: ml(at)sikurezza.org
Subject: Re: [ml] Leggete e meditate...

On 5/10/06, Tullio Andreatta ML <t.andreatta(at)troppoavanti.it> wrote:
>
>Michele <vo.sinh(at)gmail.com>:
>> From: Michele <vo.sinh(at)gmail.com>
>> To: ml(at)sikurezza.org
>> Subject: Re: [ml] Leggete e meditate...
>>
>> Mhh denso di significato se stai a guardare i paroloni...se ti limiti ad
>> analizzare la situazione considerando gli attacchi che puoi portare per
>> OTTENERE una password e' chiaro che cambiarla ogni (esempio) 6 mesi non
>ti
>> cambia un granche`...ma se pensi la questione in termini di "ok un
>qualche
>> attacker ha ottenuto la password, limitiamo il tempo e la quantita' di
>> informazioni alle quali puo' accedere con la password o limitiamo il
>tempo
>> durante il quale puo` accedere (ed eventualmente ottenere privilegi
>> maggiori) al sistema" prende senso..
>
>.. ha senso limitare il tempo a *MENO DI SEI MESI*?!?


esempio tra parentesi avrei dovuto scriverlo molto piu' grosso =)  che
fatica .. comunque:

In sei mesi un
>attacker ti trasferisce l'hard disk usando il payload di un pacchetto
>ICMP PING ogni 5 minuti;

cosa c'e` nell'hard disk ? i dati di un solo utente? e grazie che c'accede,
ha la password.


prova tutti gli exploit di privilege excalation
>conosciuti (solo nei week-end), e sperimenta qualcuno di quelli nuovi
>scoperti nel frattempo;


privilege escalation dove ? su una workstation windows magari ? e poi
installa office xp ?
e' chiaro che se prende la password del server con sopra tutto il mondo e
sopra c'e' linux
per il quale esce una vulnerabilita' del kernel alla settimana il discorso
cambia...
non e' comunque detto che (DIPENDE DA TE) tra quelli scoperti nel frattempo
ci sia quello
che gli fa prendere piu' privilegi..

usa il server come base per crearsi una botnet
>di 100.000 computers; genera un CD con tutti gli indirizzi e-mail che
>transitano nella tua casella postale e lo vende su eBay; ...

uno che si fa la botnet non e' uno che ti ruba i dati aziendali...e se uno
che fa la botnet ti ha
bucato hai qualche altro problema oltre alle password =)
per prendere tutti gli indirizzi email cmq basta mandare una mail alla
segretaria che manda 36
volte al giorno catene sul cane scomparso, la benzina che costa troppo, le
barzellette su
berlusconi ecc ecc :] (j/k)

>alla fine il discorso e` molto simile ad
>> una vpn crittata con una chiave statica o con una chiave generata e
>> scambiata mediante rsa/dsa..
>
>... si, ma scambiata attraverso una connessione che usa il protocollo
>RFC 1149 (*).

personalmente sconsiglio l'uso di tale protocollo...e` molto facile che
vengano intercettati
i pacchetti..qualcuno potrebbe perfino mangiarseli.

[...]
>> Inference/Guessing - non si genera e consegna (e quindi non e` decisa
>> dall'utente, come ipotizza in "Inference") una password "forte" ma
>> abbastanza semplice da ricordare;
>
>Generare una password "forte" e "abbastanza semplice da ricordare" puo'
>essere un compito al di sopra delle possibilita' di un amministratore
>di sistemi.


ci sono dei tool che lo fanno per te ... googla pure

Se e' una password "forte", dev'essere almeno "lunga" e "complicata":
>esistono algoritmi in grado di generare tali password.
>Ma non esistono algoritmi che, data una persona X - con X preso a caso
>in un insieme di utenti - possano stabilire se una password sia semplice
>da ricordare o no, principalmente perche' "abbastanza semplice da
>ricordare" e' una frase in generale senza alcun senso. Dimostrazione:
>- io ricordo a memoria un centinaio di numeri di telefono
>

<snip>

- la mia segretaria ricorda i nomi di tutti i nostri contatti presso i

>   clienti


<snip>

- ora prova a dare alla mia segretaria uno dei miei numeri di telefono
>   e a me le sue dodici lettere iniziali di nomi e cognomi ...


una fila insensata di numeri e una fila insensata di lettere non sono facili
da ricordare...a meno che appunto tu non li associ all'amico o al
cliente..pero' vabbe` se bisogna per forza spegnere il cervello e scrivere
cose a caso ok hai ragione tu =)


Michele
----- End forwarded message -----