BGNR: (Ne)bezpecny login?

mjp na email.cz mjp na email.cz
Neděle Duben 1 13:42:48 CEST 2001


Dobry den,
nepadla me takova vec - OMLOUVAM SE ZA LAICKY PRISTUP - co kdyby nekdo napsal
 programek, ktery by imitoval prihlasovaci vyzvu (at uz grafickou nebo textovou),
 tenhle programek normalne spustil pod svym UID a potom odesel.
Dalsi, kdo by k pocitaci prisel, by napsal svuj login a heslo... ...ktere
 by fakelogin jednoduse zapsal nekam do home adresare autora a potom vypsal
 nejakou hlasku typu "kratkodoby vypadek serveru - opakujte login" nebo jenom
 "Bad passwd" a pak spustil skutecny login, ten by uz uspel a bezneho uzivatele
 by ani nenapadlo, ze mu prave bylo ukradeno heslo. 

Jde vubec nejak ukoncit program (fakelogin) a zaroven i prihlaseni autora-hackera?
 
V konzoli by to snad slo tak,
ze by si hacker nastavil jako login-shell prave tenhle fakelogin, takze po
 jeho ukonceni by se vratilo rizeni initu a skutecnemu loginu. (fakelogin
 by musel obsahovat moznost, jak zpatky vratit puvodni login-shell).

...nebo by po skonceni fakeloginu bylo nutne stroj restartovat (coz by uz
 bylo v Linuxu dost napadne...).

Ve windows je to trochu lepsi v tom, ze se prihlasuje po stisku CTRL-ALT-DEL,
 coz by se ale mozna taky dalo nejak obejit...

Jestli jsou tyhle uvahy nejak uplne mimo, tak se prosim moc nezlobte... Pokud
 ne, je to potencialne velke nebezpeci - zvlast pro neprilis znale uzivatele,
 pro ktere by ona hlaska, podana fakeloginem nemusela byt napadna.

s pozdravem 
Miroslav Prymek

EMAIL.CZ - Vase posta je vzdy s Vami na  
http://www.email.cz



Další informace o konferenci Linux