sábado, octubre 21, 2006

Hackers!

Bueno, bueno, señoritos y señoritas, sigo viéndoos poco afortunados con las pruebas en el reto, amos, amos, amos, que se puede que se puede. Además, ya escribí sobre esto hace ya varios meses con lo cual si habéis venido a algún Training Day o a algún evento de la Gira Práctica de Seguridad para empresas, en esos sitios hice unas demos sobre esto. Otros links del post anterior os tenían que dar algo de info, pero... ya estoy hablando demasiado. A ver Sergios, txipi, Antonio, Ander, los de los clubs .NET, los chicos de elhacker.net, etc... ya se que "no tenéis tiempo" pero espero que sea solo eso, que no tenéis tiempo (es broma tranquis). Voy a utilizar esto como proceso de certificación de hackers (valdrá para algo?, PARA NADA, será un certificado totalmente inútil!) así que como no vale para nada, no se vale hacer trampas, que hay que tener mucho cuidado con las certificaciones.

Por ejemplo, aquí tenemos a IBM y Novell en plan hackers, para ello vamos a echar un ojo al informe que ha encargado Microsoft sobre los roles que se pueden hacer con un Windwos Server 2003/XP con la certificación Common Criteria EAL4+ y un SuSE Linux Enterprise Server Version 9 with certification-sles-ibm-eal4 package con certificación Common Criteria EAL4+.

Para el proceso de certificación se presenta un conjunto de software que debe cumplir una serie de procedimientos de seguridad que deben ser comprobados y el fabricante debe dar unas guías para conseguir fortificar dicho software, así que, cuando se presenta un servidor, no es lo mismo presentar un Windows Server 2003 Enterprise Edition, que una Windows Server 2003 R2 que un Windows Server Web Edition, ¿por qué? pues porque cada versión trae un conjunto de software diferente. Claro, dependiendo de los componentes se pueden hacer una serie de roles de servicio distinto.

Asín, por ejemplo en el SUSE certificado se manda a tomar por culo todo interfaz gráfico, también mandan a tomar por culo el OpenLdap y por tanto el Directorio, de hecho en la guía de fortificación, en el paso 16 dice:

"The OpenLDAP Server MUST be disabled."

Con dos guevos. También, a pesar de usar OpenSSL pueden manejar certificados para tuneles ssl con Stunnel, etc... pero como no hay capacidades de directorio pues viva la fiesta ya dejamos fuera también el rol de entidad certificadora. Así, menos curramos, ¿que podemos quitar también?. El servidor Web, que no veas si da guerra. A LA MIERDA. Por eso no aparece en la lista de paquetes requeridos u opcionales y más tarde dice, muy tranquilamente en la guía:

“Kernel modules other than those provided as part of the evaluated configuration MUST NOT be installed or loaded. You MUST NOT load the tux kernel module (the in-kernel web server is not supported).”

Sigamos, el caso es certificarse, así que, ¿qué hacen con su "cosa server" que están creando? Pues mandan a la playa Samba y dicen:

"Kernel modules other than those provided as part of the evaluated configuration MUST NOT be installed or loaded. … You MUST NOT activate knfsd or export NFS file systems."

¿Qué nos queda por quitar? Ah, el Bind y el DHCP. ¿pa qué un DNS o un DHCP? Ale, ya quitamos también el CUPS y listo, y ya si montamos un servidor de impresión, vale para los linux pero no para los clientes Windows.

En definitiva con un SUSE EAL4+ y un Windows Server 2003/XP EAL4+ se pueden conseguir los siguientes Roles:

SUSE : Print Server
Windows Server Systems: Directory Server, Certificate Server, Web Server, File Server, Print Server, Networking Server


Eh! pero está certificado!! ¿Para que valdría?. Creo que tengo un reloj Casio con calculadora que voy a certificar.

En el ForoSUSE decían:

"SuSE Linux Enterprise Server 9 se ha convertido en la primera distribución Linux en alcanzar la certificación EAL4 en servidores eSeries de IBM. Esta certificación le permitirá competir a Novell a la par con Window$ 2000 en el sector gubernamental. "

La pregunta que me viene a mi maligna y pervertida cabeza es ¿en qué disciplina? ¿En servidor de impresión? ¿Puede competir un campeón olimpico en un olimpiada paralímpica?.

¿Esta certificación garantiza que algo es más seguro que otro? Pues en principio no, como [casi] ninguna, (habría que decírselo a las 17 certificaciones de Oracle) pero lo que sí está claro es que si lo haces hazlo bien y no hagas trampas, perro!

Ah, por cierto, Exchange tb la tiene.

En este link tienes la lista de todos productos que la tienen y los documentos de especificación y los reportes de certificación.

En este otro el documento de estudio. En las páginas 7 a 14 está lo más divertido.

¡Malignidad para todos!

4 comentarios:

  1. da alguna pistilla tecnica sobre el funcionamiento de esa autentificacion! (como esta almacenao el password, que tipo de hash.. cualquier cosilla se agradece!) ^.^

    cuando saques la 2º problema, los que no han hecho el 1º podran intentarlo?

    ResponderEliminar
  2. Hola anónimo, ¿quién eres?, pon tu nombre, pleaze!

    La autenticación es en base a una única contraseña almacenada en una base de datos....

    Has dicho algo que yo no había avanzado, pero no vas mal. ;)

    Aún no he decidido si pondré limitación para hacer el segundo, pero creo que no, dejaré simplemente que se intenten en paralelo.

    Os daré otra pista en el próximo post. Suerte!

    ResponderEliminar
  3. Hola Chema,

    Sabes si todavía hay algun modo de ir a verte a Barcelona...? Hasta hoy no me han informado del evento y creo que ya esta lleno...

    ResponderEliminar
  4. Hola Alex,

    se va a abrir el registro 5 plazas, estate atento, pero yo no estaré, tengo un juicio en Madrid. En fin.

    ResponderEliminar