Re: [ml] Leggete e meditate...

> > .. ha senso limitare il tempo a *MENO DI SEI MESI*?!?
>
> esempio tra parentesi avrei dovuto scriverlo molto piu' grosso =)

Hai citato un esempio che supponevo servisse a confermare la tua tesi.
Ma se adesso vuoi invece affermare che la motivazione potrebbe essere
valida scegliendo un tempo piu' breve, quanto dev'essere breve? a) tre
mesi, b) un mese, c) quindici giorni, d) cinque giorni o e) 24 ore?
A mio parere, le uniche risposte che renderebbero plausibile la tua
ipotesi sono la d) e la e), nelle altre il tempo e' troppo lungo. E
nessuna delle due e' proponibile in pratica.

> In sei mesi un
> > attacker ti trasferisce l'hard disk usando il payload di un pacchetto
> > ICMP PING ogni 5 minuti;
>
> cosa c'e` nell'hard disk ? i dati di un solo utente? e grazie che c'accede,
> ha la password.

Quindi i dati di un tuo utente non sono importanti? E allora perche'
li proteggi con una password?

> prova tutti gli exploit di privilege excalation
> > conosciuti (solo nei week-end), e sperimenta qualcuno di quelli nuovi
> > scoperti nel frattempo;
>
> privilege escalation dove ? su una workstation windows magari ? e poi
> installa office xp ?
> e' chiaro che se prende la password del server con sopra tutto il mondo e
> sopra c'e' linux
> per il quale esce una vulnerabilita' del kernel alla settimana il discorso
> cambia...
> non e' comunque detto che (DIPENDE DA TE) tra quelli scoperti nel frattempo
> ci sia quello
> che gli fa prendere piu' privilegi..

Ma non si stava parlando di sicurezza di un computer? Che importanza ha
il motivo per cui un intruso fa una privilege excalation o su quale OS
lo fa? L'importante e' che prenda il controllo di una macchina. Che sia
il tuo PC di casa o quello dell'ufficio o un file server installato al
Ministero della Difesa la questione non cambia - quello che cambia
eventualmente e' il valore del danno (perdi tutte le tue foto delle
vacanze, o tutte le tue offerte riservate, o tutti i contratti con il
Ministero ...)

> usa il server come base per crearsi una botnet
> > di 100.000 computers; genera un CD con tutti gli indirizzi e-mail che
> > transitano nella tua casella postale e lo vende su eBay; ...
>
> uno che si fa la botnet non e' uno che ti ruba i dati aziendali...

Se hai dei dati aziendali, allora un aggressore:
1) si intrufola con l'account di un utente;
2) ruba i dati aziendali a cui l'utente crackato ha accesso, oppure
3) con un exploit riesce ad ottenere i privilegi di accesso di
   amministratore e ruba tutti i dati della workstation, oppure
4) con sniffing scopre le credenziali di un amministratore di rete,
   entra nei server di rete aziendali e ruba tutti i dati.

> e se uno
> che fa la botnet ti ha
> bucato hai qualche altro problema oltre alle password =)

Il problema non e' la password: la password e' lo strumento che un
aggressore usa per creare dei problemi. Se fosse solo la password
il problema, basterebbe mandarla a memoria *senza scriverla sul
computer* e un eventuale aggressore non avrebbe alcuna possibilita'
di sapere qual e' ...

> per prendere tutti gli indirizzi email cmq basta mandare una mail alla
> segretaria che manda 36
> volte al giorno catene sul cane scomparso, la benzina che costa troppo, le
> barzellette su
> berlusconi ecc ecc :] (j/k)

...di segretarie cosi' sono pieni solo gli uffici di collocamento...

> > alla fine il discorso e` molto simile ad
> > > una vpn crittata con una chiave statica o con una chiave generata e
> > > scambiata mediante rsa/dsa..
> > ... si, ma scambiata attraverso una connessione che usa il protocollo
> > RFC 1149 (*).
>
> personalmente sconsiglio l'uso di tale protocollo...e` molto facile che
> vengano intercettati
> i pacchetti..qualcuno potrebbe perfino mangiarseli.

...per non parlare del problema irrisolto del "pigeon in the middle"...

> [...]
> > > Inference/Guessing - non si genera e consegna (e quindi non e` decisa
> > > dall'utente, come ipotizza in "Inference") una password "forte" ma
> > > abbastanza semplice da ricordare;
> > Generare una password "forte" e "abbastanza semplice da ricordare" puo'
> > essere un compito al di sopra delle possibilita' di un amministratore
> > di sistemi.
>
>
> ci sono dei tool che lo fanno per te

Ci sono tool che generano una password forte, ma non che ne generano
una facile da ricordare.

(N.B.: semplice e facile non sono sinonimi. Mi ricordo di aver letto
che ad un esperto finanziario un giornalista aveva chiesto il modo piu'
facile per guadagnare in borsa, e lui gli aveva risposto: "Basta
comprare i titoli quando sono al minimo e rivenderli quando sono al
massimo" - "Ma come posso sapere quando sono al minimo o al massimo?"
- "Ma lei mi ha chiesto un modo facile, non uno semplice!")

> una fila insensata di numeri e una fila insensata di lettere non sono
> facili da ricordare...a meno che appunto tu non li associ all'amico o
> al cliente..

Ma allora come fai a "genera[re] e consegna[re] una password forte ma
abbastanza semplice da ricordare" (lo hai scritto tu, no?).

Altrimenti anch'io potrei proporre - senza spiegare come si fa - il mio
metodo: io "genero e consegno" password facilissime da ricordare ma
impossibili da indovinare e da intercettare, cosi' non occorre cambiarle
mai ...

--
Tullio Andreatta

Disclaimer: "Please treat this email message in a reasonable way, or we
    might get angry" ( http://www.goldmark.org/jeff/stupid-disclaimers )