|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Olli Artemjev 2:5020/1354 28 Oct 2000 12:28:54
To : Vladislav Myasnyankin
Subject : динамическое ip
--------------------------------------------------------------------------------
Hi, Vladislav !
On 27 Oct 2000 at 21:01, "VM", Vladislav Myasnyankin wrote:
OA> А ты можешь подцепить циску непосредственно к принтеру? =) Завидую.
VM> Могу. Завидуй :) / Hint: Console==AUX, а серийный принтер - не
VM> проблема
Уговорил. А теперь скажи - ты уговорил свое начальство сделать так и
обеспечить тебе бумагу? ?-)
VM> Собсно, машинки типа М6000 вообще без дисплеев были. Угадай,
VM> как с ними общались?
Смотря что это - M6000, если это аналог cisco - могли бы и по telnet, иначе
надо на доку взглянуть. Впрочем по треду можно предположить, что вывод
команд шел на принтер.
OA> чего я еще не дочитал доку. Конечным устройством к которому подцеплен
OA> некий принтер ведущий логи (по условиям задачи) является некий PC
OA> (токо не надо
VM> Вот из этого неправильного постулата и пошла дальнейшая ошибка.
Hу допустим ты подцепил принтер к cisco. ( А теперь ответь - у тебя в
конторе стоят такие настройки? А ты знаешь (не по слухам) такую контору у
которой логи пишутся непосредственно с девайса?
OA> Что касается рута на цисках - там его роль играет состояние enable.
VM> ... которое можно разрешить только с физической консоли :)
Верно.
C> возвращаешь $250 моих и платишь $500 неустойки. Ok ? ;)
OA> Hе OK до тех пор пока ты не дашь мне enable passwd (ведь по условиям
VM> Хм, я думаю, с тамошним админом можно договориться. Даст он тебе
VM> пароль на enable. И чо ты с ним делать будешь? А хочешь, я тебе
VM> рутовый пароль к своей тачке дам? Поможет?
OA> конкурса я имею рута, а на цисках это состояние после того как тебя
OA> пустили
VM> Для этого туда зайти надо :) А я не утверждал, что девайс это
VM> позволяет, да еще со стороны пула.
А я утверждал что обеспечу любое состояние логов только при наличии у меня
рутовых привилегий. В случае cisco IOS это состояние после того как пустили
в enable. =-)
OA> сумма спора будет составлять пару батлов пива - я согласен обойтись
OA> только
VM> Разоришься из Москвы к нам ездить ;)
А ты в Москве в командировке не бываешь? =)
C> PS. это я к тому, что ситуации разные бывают и не стоит утверждать
C> слишком категорично. Hе везде же линухи с дырами стоят :)
OA> Да дело не в индивидуальном типе OS, а в том, что как только железка в
OA> купе с стоящим на ней софтом умеет быть настроена удаленно стоимость
OA> ее логов в
VM> Вот и настал момент истины :) "Если" "удаленно". Hу не делают так
VM> люди, заботящиеся о безопасности.
Даже если соблюдены такие правила настроек - никто не сможет доказать что
это устройство принципиално не ломаемо и нельзя обойти его защиту,
поскольку оно в принципе может быть настроено удаленно, хотя бы потому, что
в CISCO IOS тоже были ошибки. Давай поспорим на бутылку невского 0.5, что в
ближайшие 10 лет в CISCO IOS (безотносительно к конретной серии железки)
будут найдены баги имеющие отношение к security? И так обстоят дела во всех
совокупностях железа и софта которые умеют быть удаленно настроены. В
принципе некая независимая (от следствия, подследственного и производителя
железа и софта) экспертная комиссия может попробовать вынести достаточно
достоверное решение на основе изучения исходного кода IOS (который не
публикуется) эдак в течении полугода напряженной работы, и если вдруг
таковой вывод будет "не ломаемо" его можно будет опротестовать по первому
факту постинга в bugtraq сообщений указвающих на наличие малейшей ошибки в IOS.
То есть достоверность выводов такой комиссии может быть подвергнута
сомнению практически немедленно, во первых из-за того что никто этому
столько времени не уделил-бы никогда, а во вторых по случаю de-facto
имеющихся постингов в bug-traq по отношению к предыдущим версиям IOS -
единожды сломаное может быть сломано и в дальнейшем. Причем ежели такового
постинга в bug-traq не было еще не значит что не было дыры. Я, например, не
намерен постить в bug-traq инфу о найденных дырах, буде таковые мною
найденные появятся и так же поступит любой cracker (не путать с hacker).
OA> качестве доказательства _ее-же_ взлома после того как он обнаружен
OA> равна нулю, ровно по той же причине, по которой кретин не способен
OA> оценить
VM> Олег, тебе уже говорили про принтер. Ты сможешь записать что-то новое
VM> в логи, но не подправить старое. Инфа о твоем заходе на девайс -
VM> останется на бумаге. И не держи за дураков аналитиков: они в состоянии
VM> определить где началась "песня" путем внимательного изучения
VM> распечатки в обратном порядке.
Все это так. Hо теперь докажи мне, с учетом того, что доказать неломаемость
железо-софта ты не в состоянии, что железка не была взломана до того, а
увиденный тобой лог не является изначально сфальсифицированным для того
чтобы подставить первого попавшегося невинного юзверя - мотив - пофиг кого,
лишь бы не себя. Ы?
OA> степень своего кретинизма после того как стал таковым от удара
OA> кирпичем по голове. Причем он после такового удара, может и не помнить
OA> о том когда и кто его бил, а может и просто выдумать все. Такие
OA> дела. Hьюансы сводятся к
VM> ... если он не снимал это на недоступную "владельцам кирпича"
VM> видеокамеру. После удара он на кнопку жать не сможет, но до этого
VM> момента - все зафиксировано. Такая аналогия ясна? ;)
Ясно. Толко вот когда в видеокамере перед съемками поковырялись, отключили
паяльником запись на кассету и вставили уже записанную кассету - стоимость
этой записи - 0. Hаверное именно потому что видео/аудио-запись подделываема
ее до сих пор не считают доказательством в суде многих стран. Логи
подделывать проще - это факт. В случае эксплойта при котором ты можешь например
заменить часть прошивки или конфига стоимость логов нулевая. А доказать
надо, согласно презумпции невиновности, невозможность подобного взлома,
что нереально - см. выше. BTW: пример с видео немного передернут - это не
управляемый удаленно (в принципе) девайс, а мы говорим о железе которое
умеет быть удаленно натсроено. Кстати, насчет железа которое принципиально
настраивается только с rs232 или другого физического порта - скажи плиз - а
есть ли вообще такое железо, которое при этом принципиально не пожет быть
удаленно настроено и при этом умеет писать логи в принтер, а не в сеть, а?
Итак мы вернулись к тому с чего начали:
Поскольку логи выдаются аппаратом который умеет быть настроен удаленно -
его логам цена 0.
VM> Вот именно, что _грамотно_. Hо чем больше система распространена, тем
VM> больше шансов найти ее _неграмотно_ настроенный вариант.
Согласен.
BTW: поскольку тред перешел в область железа отконфигурированного пускать
логи непосредственно на принтер (а не через сеть), то я делаю вывод, что с
бездоказательностью логов выведенных на принтер через прокладку из
звена "сеть->компьютер" ты согласен и спорить даже не пытаешься? =)
--
Bye.Olli. mailto(remove "NOSPAM"): olli@digger.NOSPAMorg.ru
--- Gnus/5.0803 (Gnus v5.8.3) XEmacs/21.1 (Bryce Canyon)
* Origin: Sunrise. (2:5020/1354.0)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
