Re: [HACK] Linux: el sistema más atacado, ¿víctima del extraño "efecto Slammer"?
Pablo Ruiz Garcia
pruiz at netway.org
Tue Jun 17 13:14:54 CEST 2003
----- Original Message -----
From: "Borja Marcos" <borjamar at sarenet.es>
To: "http://www.argo.es/~jcea/artic/hack-faq.htm" <hacking at argo.es>
Sent: Monday, June 16, 2003 4:38 PM
Subject: Re: [HACK] Linux: el sistema más atacado, ¿víctima del extraño
"efecto Slammer"?
> > Para terminar, yo soy de los que piensan que si un sistema es
> > correctamente securizado da un poco igual que sea Linux, Windows,
> > Solaris... Aunque puede haber matices, la causa principal de que un
> > sistema sea hackeado no es que sea más o menos inseguro per-sé, sino
> > que simplemente no se han tomado las medidas adecuadas (software no
> > actualizado, parches de seguridad no aplicados, etc).
>
> Tanto Windows como los **IX son vulnerables al buffer overflow. Sin
> embargo, **IX gana en seguridad teniendo en cuenta que:
Ninguno de estos puntos creo yo que identifica motivos por los que la
seguridad
de windows sea mejor o peor.
> 1- Es mucho más fácil desactivar servicios no deseados en un sistema
> **IX que en Windows. Se comprenden bien las consecuencias de desactivar
> los servicios, e incluso de eliminar el bit SETUID a un programa. Esto
> no es así en Windows. Por ejemplo, desactivar completamente NetBIOS es
> un lío (de hecho, no se si se puede).
Todo lo contrario, desactivar servicios a mi parecer es tan facil en un
entorno como
en el otro.
Lo estas viendo desde una pespectiva Unix, cualquier administrador Windows
avanzado
te dira lo mismo de unix, claro que en windows se pueden desactivar los
servicios inecesarios
sin problemas, y claro que se puede eliminar netbios completamente, o solo
en un interface de red,
y claro tambien, que si desactivas netbios perderas muchas de las
funcionalidades de windows (incluidas
muchas de las herramientas de gestion nativas que usen netbios/winrpc), asi
como pasa en unix
cuando empiezas a eliminar demonios innecesarios.
> 2- En Microsoft no han oído hablar del principio de mínimo privilegio;
> el IIS corre con permisos de administrador, y ahora incluso van a meter
> parte en el kernel.
Esta aseveración es cuanto menos criminal..
En WinNT 4.0 IIS corria por defecto con privilegios de Administrador,
en windows 2k hace uso de una cuenta especifica (a la nobody) llamada
IWAN_nombredehost.
Y no creo que linux por ejemplo este muy lejos de aquello de meter el
servidor
web en el kernel.. fijaros en Tux khttpd y el kernelmode-linux todas ellas
herramientas para ejecutar codigo directamente desde el kernel
aprovechando asi los beneficios de las operaciones "zero-copy".
http://khttpd.sf.net
http://www.redhat.com/docs/manuals/tux/
> 3- La confusión es uno de los peores enemigos de la seguridad, y
> Windows es el rey de la confusión. (Me remito al punto 1)
Y yo me vuelvo a remitir a lo de antes, no creo que windows ni unix sean
plataformas
(ninguna de las dos) suficientemente claras ni vacias de confusiones,
simplemente
creo que avordas la discursion desde la perspectiva de una persona que
conoce
el mundo unix, cualquier otra persona que conozca windows y no unix, podria
adoptar una postura simetrica a la tuya. (desde el lado windows)
> 4- Por hacerlo "más fácil", Windows tiene gravísimos problemas de
> diseño, como el famoso lío con los tipos MIME y las extensiones en
> Internet Explorer. Dado que el navegador forma parte indivisible del
> sistema operativo, es un problema del sistema operativo.
Esos problemas no son por hacerlo "facil", en todo caso por hacerlo
rapido, pero no son unicos de windows..
> 5- Por si fuera poco, el diseño de **IX está muy documentado. De
> hecho, tenemos acceso libre al código fuente de FreeBSD (y todos los
> BSDs), Linux, versiones antiguas de Unix... Esto no es así con Windows.
Esto yo no lo consideraria el punto 5, de hecho, nose si entraria a
valorarlo..
La arquitectura de seguridad de windows, es muy completa, y en muchos casos
desconocida, puestos a comprar en seguridad, deberiamos hablar de
funcionalidad
restricciones, uso de gestion de permisos, etcetc.
Por ponerte un ejemplo concreto, claras deficiencias en unix, son el usuario
root,
salvo en versiones seguras de algunos SOs (pe: Trusted Solaris), el usuario
root
es el mayor problema de seguridad de un Unix, un usuario que puede
impunemente
hacer y desacer en todo momento sobre cualquier elemento, fuchero o proceso
del sistema es cuanto menos peligroso.
Sin embargo, windows, sin llegar a ser un sistema autenticamente RBAC hace
uso
de un sistema de Roles (donde se le asignan a los usuarios una serie
privilegios para
cada tarea) de modo que un usuario pueda ser administrador, pero no tenga
porque poder
cambiar la identidad de su usuario por la systema (por poner un ejemplo).
Tambien windows provee de un control de permisos en ficheros mucho mas
avanzado
y que a dia de hoy se intenta implementar y estandarizar en Unix, las
siempre molestas
ACLs.
Windows, permite de manera natural (almenos de 2k en adelante), el cifrado
de ficheros
haciendo uso de certificados x509.
Implementa una pila IPSec nativa con soporte de OP (Oportunistic
Encryption).
Etcetc.. y todo esto de manera natural.
Soy usuario de unix desde hace realmente mucho, y en muchisimos aspectos me
gusta
la filosofia unix (sobretodo aquello de "pequeñas herramientas para hacer
grades cosas")
y adolezco de muchas cosas en plataforma windows, pero creo que a la hora de
comparar
(mas aun en seguridad), hay que ser mas objetivos.
Unix en seguridad, en especial los SOs (y sus distribuciones en caso de
linux) mas comunes
no son la panacea en seguridad, quizas claras excepciones de esto puedan ser
los ya muy anticuados
Trusted Solaris o C2 Trusted DG/UX. (Puestos que SELinux y distros
similares bien
podrian ocupar en poco tiempo)
Ahora bien, me hace mucha gracia ver estas dicursiones, sin tener en cuenta
elementos como
los marcados en el "Common Criteria" o similares http://csrc.nist.gov/cc/
que son lo que se deberia usar
como base para estas "calificaciones".
> 6- Los sistemas Windows son un lío para monitorizar en red. Son
> ruidosos. No así un sistema Unix, que no transmite porquería si no lo
> necesita. Aunque esto parezca una tontería, no lo es en caso de
> necesitar examinar la actividad de red.
Realmente tu problema aqui es falta de conocimiento sobre plataforma
windows.
se puede (y de hecho se hace) perfectamente monitorizar haciendo uso de
windows,
y de hecho, muchos de los analizadores de tramas y hardware sniffers
comerciales
hacen uso de Windows, (aunque tambien es cierto, que en otras muchas
ocasiones
los he visto con solaris 2.5.1, aunque cada dia por desgracia, menos)
> 7- Lo de los parches es muy divertido. ¿Pretenden que una máquina en
> producción tenga una hora (por lo menos) de "downtime" a la semana? ¿En
> qué mundo viven? Y es mejor no hablar de los problemas que introducen a
> veces... Pero claro, cuando hay un problema la culpa siempre es del
> administrador. Nunca de Microsoft.
Quizas en este punto podamos llegar a tener cierta opinion semejante, las
necesidades
de reinicio (que cada vez son menores) y la falta de claridad e inocuidad de
los parches
y Hot-Fixes de microsoft son un pequeño atolladero, pero aunque pueda
influir en seguridad,
esto es mas un tema de disponibilidad y costos de gestion/mantenimiento, que
de lo seguro
o no que es un entorno.
> En fin... podría seguir ad infinitum. Lo que es imperdonable es que
> Microsoft haya ignorado todo lo que se sabía sobre seguridad y hayan
> cometido errores de hace 10 años. Aunque, no me sorprende. Ya dijo hace
> poco un portavoz de Hotmail, acerca de la monumental cagada con el
> cambio de password "aún estamos aprendiendo". Pofesional, muy
> pofesional :-)
Entiendo que estas criticas se hagan a microsoft, pq es el mas conocido,pero
no es
ni de cerca el unico.. SGI e Irix, nunca fueron un unix seguro, de hecho es
probablemente
el mas inseguro de todos, su politica de publicación de parches era casi
inexistente,
pero tambien, se usaban unicamente en entornos muy cerrados, donde la
seguridad
se podia ver como algo menor.. (esto ya son opiniones..)
> En resumidas cuentas, menda no se juega las alubias con un sistema
> operativo como Windows.
Creeme, no estan problematico, es como todo en esta vida, hay que conocerlo,
conocer las limitaciones, y evaluar el costo necesario para minimizar los
riesgos.
Existen muchos parametros que no son unicamente el de seguridad que pueden
forzar la necesidad de un sistema operativo, o de un lenguaje de
programación..
etcetc
--
Pablo Ruiz Garcia (Pci)
Security Consultancy - Tiger Team
Meet just your security needs <pruiz at netway.org>
More information about the hacking
mailing list