О безопасности в Unix

О безопасности Unix-систем.

Сегодня побывал в шкуре киношного кул хацкера, из тех, что подбирают пароли с третьего раза. Правда, попыток я сделал побольше, да и пароль не подобрал… в общем, все по порядку.

Сидел я у нашего постмастера Сергея, консультировался по поводу мультидоменной настройки sendmail. Примерно на середине разговора нас прервали — зашел его начальник, Сергей ушел с ним забрать какие-то бумаги, естественно, заблокировав консоль. Решив хоть как себя занять, я сел за его компьютер и, в лучших традициях фильмов о хакерах, стал меланхолично забивать вместо пароля слова (9-тисимвольные, длину пароля я знал), написанные на кружках, часах, мониторах и прочих вещах, стоящих в пределах прямой видимости.

Примерно через 5—10 минут (я как раз вбивал какое-то нечитаемое наименование с коробки из-под монитора), система меня пустила… Думаете я подобрал пароль? Если бы. СИСТЕМА МЕНЯ ПУСТИЛА, но, как будет видно ниже, Я НЕ НАБРАЛ ПРАВИЛЬНЫЙ ПАРОЛЬ.

Теория о том, что совпала hash-сумма, или, что я нашел «инженерный» пароль, не подтвердилась. После прихода Сергея мы провели «следственный эксперимент» — он заблокировал консоль и ввел ту же комбинацию.

Так что единственное разумное объяснение, которое пришло мне в голову, заключается в следующем. Похоже разработчики включили в свой продукт одну недокументированную особенность — система пускает человека, который в течение долгого времени вводит парольные последовательности, некоторая часть которых совпадает по буквенному составу и/или длине с правильным паролем. «Cчитая», что хозяин забыл пароль.

Остается только догадываться, сколько еще таких «недокументированных возможностей» зашито в софт, которому мы привыкли доверять безопасность нашего компьютера.

Поделиться
Отправить
4 комментария
Pavel Fedotov (www.fedotov.org) 2010

Название системы в студию :-) Хочу тоже попробовать :-)

Евгений Степанищев (bolknote.ru) 2010

Комментарий для www.fedotov.org:

Посмотрите сколько лет прошло.

Всё-таки надо было отключить тут комментарии.

Pavel Fedotov (www.fedotov.org) 2010

Ну ладно вам :-) Мне кажется — наоборот, супер. Половину вы постов уже забыли, а тут — напомнят комментарием. Мне искренне было интересно читать «с самого начала». И кое-где прямо останавливал сам себя, чтобы не ляпнуть что-нибудь :-)

Пусть будут комментарии. Какая-никакая обратная связь.

Евгений Степанищев (bolknote.ru) 2010

Комментарий для www.fedotov.org:

Ладно, не отключу :)

Но просто спрашивать какой был Линукс в 2000-м году на чужой машине — это слишком :)

Популярное