Re: programma di login contraffatto!

On Sat, Oct 06, 2001, Pardo wrote:

> E` possibile per un utente normale scrivere ed eseguire un programma che
> sembra il vero login, ma che in realta` esegue un `su' dopo avere annotato
> nome e password di chi si logga?
Si a patto che chi digiti sia un utonto, e che il su sia eseguibile..e` cmq vieni subito sgamato perche
il login fake e` un processo che gira a tuo nome e cmq con una tua shell.
Cmq capita spesso in Universita` avere shell aperte....:)

Il programma in se e` banale basta un fork+execl e lo realizzi.

> Ma la domanda piuttosto e` com'e` possibile che in qualsiasi distro di
> linux non ci sia gia` protezione di default per un giochetto cosi`
> semplice (oppure perche` anche della gente abbastanza esperta trascura il
> problema del `su' nei propri sistemi...).
Il sistema ha protezioni di default ovvero i diritti, semplicemente se
elimini la possibilita` che i tuoi utenti possano eseguire comandi critici 
come su, passwd, e altri.. elimini molti problemi insiti nella  classe da te 
citata. 


> Sono certo che questo trucchetto viene impiegato proficuamente in un sacco
> di posti... ad esempio lab universitari...

No comment!

-
Home Page  - http://www.cli.di.unipi.it/~zoppi/
Gnu PG Key - http://www.cli.di.unipi.it/~zoppi/giorgio.gpg
@Kill your idols!@

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List