TTSSH cez Sambu

Pavel Kankovsky peak na kerberos.troja.mff.cuni.cz
Čtvrtek Únor 4 14:42:48 CET 1999


On Thu, 4 Feb 1999, Ladislav Kostal wrote:

> On Thu, 4 Feb 1999, Pavel Kankovsky wrote:
> 
> > Jen je otazka, kam se pak ma tim SSHckem pristupovat. Pokud by to nahodou
> > bylo na ten samy server, odkud si ho klienti budou nacitat, nebo nejaky
> > podobne lokalizovany, tak to nema moc velky smysl. :)
> 
> Preco nema ? Ja to potrebujem preto, aby som ho mohol lahsie upgradovat a
> aby uzivatelia nemenili nastavenia - mna len zaujima, ci tam nie je nejaka
> bezpectnostna zrada ...

Mejme drat D spojujici klienty a server. Pozadujeme-li, aby klienti
pouzivali pro pristup na server SSH, pak zrejme dratu D moc neduverujeme.
Jenze zrovna binarky pro ty klienty chodi take po dratu D a nelze
predpokladat, ze pozivaji zvlastni kryptograficke ochrany (otazka za 5
bodu: kde vymysleli SMB?). Procez je problem "sniffnout heslo" ci
"napichnout se na interaktivni seanci" nahrazen ukolem "vhodne modifikovat
binarky, co jsou na klientech spousteny" (s pridanym bonusem, ze lze takto
na klienty propasovat libovolneho trojskeho kone).

Ano, sniffing je pro deti ve druhe tride, zatimco aktivni utoky se
probiraji az v pate, takze to nejaky smysl ma. :)

Zajimavost: v jedne nejmenovane organizaci jsem nebyl schopen presvedcit
spravce, ze kdyz ma kazdy uzivatel na nejmenovanem OS prava menit vsechny
soubory, vcetne systemovych, tak efektivne disponuje administratorskymi
pravy.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"NSA GCHQ KGB CIA nuclear conspiration war weapon spy agent... Hi Echelon!"



Další informace o konferenci Linux