BGNR: (Ne)bezpecny login?
mjp na email.cz
mjp na email.cz
Neděle Duben 1 13:42:48 CEST 2001
Dobry den,
nepadla me takova vec - OMLOUVAM SE ZA LAICKY PRISTUP - co kdyby nekdo napsal
programek, ktery by imitoval prihlasovaci vyzvu (at uz grafickou nebo textovou),
tenhle programek normalne spustil pod svym UID a potom odesel.
Dalsi, kdo by k pocitaci prisel, by napsal svuj login a heslo... ...ktere
by fakelogin jednoduse zapsal nekam do home adresare autora a potom vypsal
nejakou hlasku typu "kratkodoby vypadek serveru - opakujte login" nebo jenom
"Bad passwd" a pak spustil skutecny login, ten by uz uspel a bezneho uzivatele
by ani nenapadlo, ze mu prave bylo ukradeno heslo.
Jde vubec nejak ukoncit program (fakelogin) a zaroven i prihlaseni autora-hackera?
V konzoli by to snad slo tak,
ze by si hacker nastavil jako login-shell prave tenhle fakelogin, takze po
jeho ukonceni by se vratilo rizeni initu a skutecnemu loginu. (fakelogin
by musel obsahovat moznost, jak zpatky vratit puvodni login-shell).
...nebo by po skonceni fakeloginu bylo nutne stroj restartovat (coz by uz
bylo v Linuxu dost napadne...).
Ve windows je to trochu lepsi v tom, ze se prihlasuje po stisku CTRL-ALT-DEL,
coz by se ale mozna taky dalo nejak obejit...
Jestli jsou tyhle uvahy nejak uplne mimo, tak se prosim moc nezlobte... Pokud
ne, je to potencialne velke nebezpeci - zvlast pro neprilis znale uzivatele,
pro ktere by ona hlaska, podana fakeloginem nemusela byt napadna.
s pozdravem
Miroslav Prymek
EMAIL.CZ - Vase posta je vzdy s Vami na
http://www.email.cz
Další informace o konferenci Linux