Autor: Marek Kuchciak (mkc_at_ccs.pl)
Data: Wed 02 Aug 2000 - 15:42:29 MET DST
Michal Zalewski wrote:
> A na przyklad to, co wyroslo ostatnio na www.securityfocus.com w
> kontekscie DefCon i chakowania Lotus Notes.
Miałem cichą nadzieję, że skrytykujesz wsparcie Lotus Notes i Domino dla
SMTP/POP3/IMAP/LDAP/NNTP/MIME itd. W końcu od protokołów cała ta
dyskusja się zaczęła... Szukam niedostatków tego systemu głównie właśnie
w tym zakresie.
Każdy system źle administrowany i źle zabezpieczony przez administratora
jest narażony na atak. Jeśli ktoś wystawia w Internecie serwer Domino z
nieodpowiednio ograniczonym dostępem do książki adresowej, uruchamia na
nim zadanie HTTP, nie przechowuje haseł "internetowych" w bezpiecznej
formie (jest na to stosowna opcja już od wersji 4.6 - ZTCW odstąpienie
od niej było warunkiem koniecznym powodzenia ataku opisanego na DefCon)
i na dodatek zostawia po rejestracji użytkowników załączone ich pliki ID
(co gorsze z powszechnie znanym hasłem), to sam się prosi o kłopoty.
Myślę, że zgodzisz się ze mną, że wiara w zapewnienia jakiegokolwiek
producenta, że "wystarczy zainstalować i działa" jest naiwnością.
ATSD to komentarz Lotusa na temat tej prezentacji na DefCon jest na
http://www.lotus.com/security
> Uwazam, ze jest to produkt napisany na tyle bez wyobrazni o swiadomosci
> konswkwencji pewnych "skrotow" programistycznych, ze wystawianie go na
> swiat to samobojstwo.
Mocne stwierdzenie. Rozumiem, że piszesz to z pozycji speca od
bezpieczeństwa. Czy Twoje zdanie jest efektem jakichś prób? Chętnie
poznałbym szczegóły (na tej lub innej grupie albo prywatnie) albo
materiały źródłowe w sieci. To, co jest na SecurityFocus już znam.
Marek.
-- Marek Kuchciak, Wroclaw, Poland mailto:mkc_at_ccs.pl standard disclaimer
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:35:16 MET DST