О безопасности в Unix
О безопасности Unix-систем.
Сегодня побывал в шкуре киношного кул хацкера, из тех, что подбирают пароли с третьего раза. Правда, попыток я сделал побольше, да и пароль не подобрал… в общем, все по порядку.
Сидел я у нашего постмастера Сергея, консультировался по поводу мультидоменной настройки sendmail. Примерно на середине разговора нас прервали — зашел его начальник, Сергей ушел с ним забрать какие-то бумаги, естественно, заблокировав консоль. Решив хоть как себя занять, я сел за его компьютер и, в лучших традициях фильмов о хакерах, стал меланхолично забивать вместо пароля слова (9-тисимвольные, длину пароля я знал), написанные на кружках, часах, мониторах и прочих вещах, стоящих в пределах прямой видимости.
Примерно через 5—10 минут (я как раз вбивал какое-то нечитаемое наименование с коробки из-под монитора), система меня пустила… Думаете я подобрал пароль? Если бы. СИСТЕМА МЕНЯ ПУСТИЛА, но, как будет видно ниже, Я НЕ НАБРАЛ ПРАВИЛЬНЫЙ ПАРОЛЬ.
Теория о том, что совпала hash-сумма, или, что я нашел «инженерный» пароль, не подтвердилась. После прихода Сергея мы провели «следственный эксперимент» — он заблокировал консоль и ввел ту же комбинацию.
Так что единственное разумное объяснение, которое пришло мне в голову, заключается в следующем. Похоже разработчики включили в свой продукт одну недокументированную особенность — система пускает человека, который в течение долгого времени вводит парольные последовательности, некоторая часть которых совпадает по буквенному составу и/или длине с правильным паролем. «Cчитая», что хозяин забыл пароль.
Остается только догадываться, сколько еще таких «недокументированных возможностей» зашито в софт, которому мы привыкли доверять безопасность нашего компьютера.
Название системы в студию :-) Хочу тоже попробовать :-)
Комментарий для www.fedotov.org:
Посмотрите сколько лет прошло.
Всё-таки надо было отключить тут комментарии.
Ну ладно вам :-) Мне кажется — наоборот, супер. Половину вы постов уже забыли, а тут — напомнят комментарием. Мне искренне было интересно читать «с самого начала». И кое-где прямо останавливал сам себя, чтобы не ляпнуть что-нибудь :-)
Пусть будут комментарии. Какая-никакая обратная связь.
Комментарий для www.fedotov.org:
Ладно, не отключу :)
Но просто спрашивать какой был Линукс в 2000-м году на чужой машине — это слишком :)