Am Freitag, 27. August 2004 09:01 schrieb Mathias Tauber: > Moin, > > ich habe den Thread hier und auf Full-Disclosure gelesen, nur so zur > Info... > > > Mein Meinung zu dem: > > Ein System ist noch lange nicht sicher, sobald ich die nötigen Security > Updates drauf habe. Noch besser gesagt, KEIN SYSTEM IST SICHER!!! Man kann > nur versuchen, es einigermaßen abzusichern. > > Der Schwachpunkt ist hier einfach das Paßwort, auch wenn es so gewollt war. > > Ein (guter) Hacker mit unpriviligiertem Zugang kommt garantiert, egal > welches OS, an alles was er will. Ein Hacker hat die 'Aufgabe' unbekannte > Sicherheits- löcher zu suchen, Sicherheits-Technicken des Admins zu > umgehen. Der Admin hat die Aufgabe, ihm keine Angriffspunkte zu geben. Das > Problem ist dabei, der Admin kennt das gefundene Sicherheitsloch des > Hackers nicht. Ein Teufelskreis ;O) > > > Fazit: > > Der ganze Versuch dient nur dazu, ein bisher unbekanntes aber > offensichtlich vorhandenes Sicherheistloch zu finden und dann zu schließen. > Die Sicherheit ist danach genauso hoch wie vorher... > > > > > Wer anderer Meinung ist, meine ergänzen will, etc., ist immer willkommen > ;O) > > > > Grüße > Mathias
Hallo, also wenn es bei der Existenz von zwei Accounts mit schwachen Passwörtern möglich ist, binnen kürzester Zeit Root-Zugriff zu bekommen, dann sollte es bei Nicht-Existenz solcher Accounts für eine Person, welche einen regulären Account auf der Maschine hat, auch möglich sein, innerhalb kürzester Zeit Root-Zugriff zu bekommen, oder? Also wenn unser Uni-Rechenzentrum ein Debian woody mit allen Security-Updates verwenden würde, welches auch keine Konfigurationsfehler enthält, wäre es mir als normalem Studenten, der dort einen Account hat, möglich, das System in kürzester Zeit zu hacken? Tut mir leid, dass sähe ich wirklich als großes Problem an; ich muss da also dem ursprünglichen Poster Recht geben. Viele Grüße Wolfgang
