Сушите весла, сэр
Mar. 2nd, 2010 09:01 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
pargentumpass-hash атака, которая использовалась для китайской атаки на гугль.
Вкратце: если у вас вся авторизация, в том числе продакшн сервера, берется с Active Directory - сушите весла.
Кстати, на ./ не все это осознают, и опять съехали на тему, что если все будут использовать линукс, то будут атаковать линукс. Да, будут, но в линуксе, по крайней мере, даже если вы украдете хэш пароля, его еще надо будет подвергать словарной атаке или как-то еще ломать. А в виндах кража хэша с большинства точек зрения равносильна краже самого пароля. И алгоритм хэширования так просто не поменяешь, потому что тогда вся авторизация сломается.
• Current Anti-Virus solutions are not working
• Patching sometimes is not enough.
(впрочем, это и без того было известно).
ЗЫ поглядел на файл /etc/ldap.secret и задумался.
Вкратце: если у вас вся авторизация, в том числе продакшн сервера, берется с Active Directory - сушите весла.
Кстати, на ./ не все это осознают, и опять съехали на тему, что если все будут использовать линукс, то будут атаковать линукс. Да, будут, но в линуксе, по крайней мере, даже если вы украдете хэш пароля, его еще надо будет подвергать словарной атаке или как-то еще ломать. А в виндах кража хэша с большинства точек зрения равносильна краже самого пароля. И алгоритм хэширования так просто не поменяешь, потому что тогда вся авторизация сломается.
• Current Anti-Virus solutions are not working
• Patching sometimes is not enough.
(впрочем, это и без того было известно).
ЗЫ поглядел на файл /etc/ldap.secret и задумался.
Tags:
- 640k ought to be enough to everybody,
- yo' don't hafta argy wif no operators,
- а мужики-то и не знают...,
- вот же блин,
- и все остальное у них так же,
- интеллектуальная собственность,
- нимагу не пропеарить,
- прикладная конспирология,
- профессиональное,
- слэшдот,
- тяжела и неказиста жизнь простого виндуз,
- ужасы нашего городка,
- читая чужие ленты,
- электронная россия на марше,
- это было бы смешно...
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2010-03-02 04:24 pm (UTC)Ну, там теоретически схему авторизации можно поменять, не трогая всего остального, т.е. добавить везде новую правильную и постепенно вытеснить старую негодную. Лет за 5.
no subject
Date: 2010-03-03 06:50 pm (UTC)Ну, это лишь если админ настолько глуп, что логинится на удалённые машины с аккаунтом доменного администратора, а не с менее привилегированным (или временным, на крайняк).
no subject
Date: 2010-03-03 10:28 pm (UTC)А в чём принципиальное отличие линуксовых хэшей от виндовых? Это же проблема не хэшей, а принципиальная проблема Single Sign On: в любой системе с SSO, credentials должны кэшироваться на какое-то время, и значит их можно заполучить и использовать. По аналогии, если важному чуваку на режимном предприятии, после тщательной проверки охраной, выдали RFID-бэдж, позволяющий открывать все двери пинком ноги, то лучше с этим беджем не заходить в комнаты, где могут оказаться ненадёжные люди. А то -- тюк по голове -- и всё предприятие в твоих руках :)
no subject
Date: 2010-03-04 07:56 am (UTC)no subject
Date: 2010-03-04 07:58 am (UTC)А отличие линуксовых хэшей от виндовых разъясняется в статье по первой ссылке: для того, чтобы успешно ответить на виндовый challenge/response, достаточно знать хэш пароля. Сам пароль не нужен.
ЗЫ
Date: 2010-03-04 07:59 am (UTC)