Re: programma di login contraffatto!

Ciao Pardo,
mi sembra di capire che tu stai parlando del fatto che io
possa scrivere un login fake con uid da utente, che come
parte uid=0 per validere la password usa il comando "su"?

Se e' cosi' e' normale che sia possibile e comunque il tipo di attacco non ha
grande utilita', in quanto l'unica fonte per invogliare gli utenti e' la
console.

Naturalmente su sistemi "custom" dove la sicurezza viene presa in
considerazione a certi livelli, anche la gestione dei privilegi viene
manovrata con strumenti piu' flessibili di su, che consentono quindi una
maggiore gestione dei permessi per il cambio di uid ( es. sudo ) .

p.s. mi e' stato mostrato l'altro giorno il "ciucciapassword", un programmino
     usato appunto in un determinato ambiente universitario nel '91 dagli
     studenti di allora.

On Sat, Oct 06, 2001 at 12:46:50PM +0200, Pardo wrote:
> E` possibile per un utente normale scrivere ed eseguire un programma che
> sembra il vero login, ma che in realta` esegue un `su' dopo avere annotato
> nome e password di chi si logga?
> Siii...
> Ma la domanda piuttosto e` com'e` possibile che in qualsiasi distro di
> linux non ci sia gia` protezione di default per un giochetto cosi`
> semplice (oppure perche` anche della gente abbastanza esperta trascura il
> problema del `su' nei propri sistemi...).
> Sono certo che questo trucchetto viene impiegato proficuamente in un sacco
> di posti... ad esempio lab universitari...
> 
> -- 
>     Pardo
>     http://pardo.cjb.net
>     http://pardo.tsx.org
http://web.tiscali.it/leo_m/ircwar.html direi un'opera d'arte .

-- 

Fabio Pietrosanti ( naif )
E-mail: naif@sikurezza.org - naif@blackhats.it
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS
Free Flame: IPFilter sucks ! 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List