Re: [Slackit.org] SSH THE UNSECURE SHELL

[insomniac]

E' un problema di sistema operativo, se vogliamo. Nessuno ti garantisce
contro root, in particolar modo con gingilli come questi (che sono
tutt'altro che avanzati, ti lascio immaginare cos'altro si possa fare).
In generale è una pessima idea usare uno shell provider per loggarsi su
macchine sensibili, tantopiù se lo fai da root: una pratica almeno
decente è quella di loggarsi come un utente non privilegiato, magari
addirittura con accesso unicamente a su, e poi diventare root. In questo
modo la tua password di root almeno viaggerebbe crittografata. Altra
pessima pratica è quella delle password standard, ma non sta a me
sindacare sulle policy degli utenti nella scelta delle loro password :)
Non vedo perché qualcuno dovrebbe segnalare che sshd è sniffabile via
ptrace(); è come dire che un venditore dovrebbe avvisarti che qualcuno
può rompere il case e rubarti gli hard disk dalla sala server per
leggere i tuoi dati? No, ma quasi. E' un problema a monte di sshd.
Il problema è serio, si, e non è mitigabile. Finché le system call
saranno intercettabili (e un amministratore di una macchina può decidere
in tal senso), non sarai mai al sicuro. Sei sempre in una macchina
altrui.
Non ho capito una tua frase: il root prima decriptava la tua password?
Parli degli hash di passwd (o di shadow)? In tal caso sono due cose
diverse. Anche prima era possibile intercettare le syscall e leggere
tutti i tuoi bei dati personali, come ancora ora è possibile forzare
l'hash e ottenere la tua password di utente, cosa che al root nn fa
necessariamente comodo (a meno che tu non usi sempre le stesse password
:)

Per il resto: hai ragione, non lo avete chiamato "bug", e mi prendo la
colpa della mia interpretazione. Ma hai parlato di security problem di
SSHD (e non è così), non di security problem del sistema operativo in
generale. Potrei tranquillamente prendere un FTPD, agganciarmi al suo
pid con strace, e annunciare un security problem di quell'FTPD :)
Un po' come dire: quell'auto è insicura, non tiene la strada, quando
magari sono le ruote che hai comprato che sono quadrate :P
Volendo, baco o falla lo è anche, ma quel che intendo è che avete
sparato sul bersagio sbagliato :)

insomniac

P.S. Per l'inglese no problem, tanto ci capiamo, è solo che la ML è in
italiano e non tutti necessariamente potrebbero capire il tuo post
(qualcuno su irc mi ha detto di non averci capito molto).
Ah, quando ci vediamo al webbit ti devo picchiare, non si usa Reply per
iniziare un nuovo thread :P



On Sun, 17 Apr 2005 17:51:39 +0200
<address@hidden> wrote:

> Se non è un bug la possibilità di sniffare in chiaro le pass e le user
> local e le pass e user remote senza dover decriptare... è comunque una
> mancanza di sicurezza. Conta che se io ho shell account su diversi
> servers e mi loggo da un server ad un altro il root di quel server può
> conoscere in chiaro subito istantaneamente la mia pass e il mio user (
> cosa si aggrava se da un shell account mi loggo al mio server
> personale di casa dove sono root). A me questo sembra grave. Anche
> perchè non sempre ci si può fidare di chi fa web - shell hosting.
> D'altra parte non mi sembra che questa cosa sia segnalata da qualche
> parte almeno per quanto riguarda SSH e mi sembra un problema piuttosto
> serio. Il problema si aggrava se poi uno usa una password standard su
> tutti i diversi servers che ha. Presa una coppia di pass e user
> quell'utente è letteralmente finito. Sinceramente io ho diverse shell
> su diversi server e questo bug mi preoccupa perchè se almeno prima il
> root per sapere la mia
> pass doveva decriptare ( e sempre non con ottimi risultati ) ora le
> pass le viene sapere subito e in chiaro.
> 
> Per l'inglese scusa ;D avete ragione. Se il post per ogni altra cosa
> ha dato fastidio chiedo scusa a tutti, non volevamo.
> 
> P.S.
> Nessuno di noi la chiamato bug l'abbiamo chiamato great security
> problem. E comunque bug signifca baco o falla e questa sicuramente lo
> è.
> 
> 
>