Re: gruppi di default in debian jessie
Federico Di Gregorio writes:
> Il problema non è tanto sudo quanto il fatto di convincere un utente con
> permessi amministrativi ad eseguire il cavallo di troia come se fosse un
> comando normale.
Non è così difficile come credi tu.
> Il tuo esempio funziona anche con "su" (invece di sudo)
> con la semplice differenza che il cavallo di troia aspetta il comando
> su, falsifica il prompt, ti ruba la password, e via...
Vero, ma con sudo è stateless e non interferisce con i comandi
dell'utente, ne aggiunge qualcuno in più. Ed era un esempio del menga.
Mi aspetto qualcosa di più raffinato dal vero attacco.
> Questo è il motivo per cui se si accede al sistema con un utente
> sudato
L'utente sudato rischia la scossa, il sudore è una soluzione salina...
:)
> 2) Avere in PATH solo directory che non possano venire scritte dal
> mondo
Meno se ne hanno e meglio è.
> 3) In qualsiasi caso, prima di fare ./ciccia/puccia/salva_il_mondo
> controllare con molta attenzione che quel comando salvi DAVVERO il mondo
> e non faccia altro.
Quanti hanno le competenze per farlo?
Come ho detto, questi sono attacchi che non credo sarà conveniente
fare fintanto che non ci sarà una massa critica di utenti poco
preparati.
E comunque può capitare anche a quelli preparati di venire aggirati.
--
/\ ___ Ubuntu: ancient
/___/\_|_|\_|__|___Gian Uberto Lauri_____ African word
//--\| | \| | Integralista GNUslamico meaning "I can
\/ coltivatore diretto di software not install
già sistemista a tempo (altrui) perso... Debian"
Warning: gnome-config-daemon considered more dangerous than GOTO
Reply to: