Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
|
Top |
|
|
{utente anonimo} Ospite
|
Inviato: 22 Mar 2017 21:13 Oggetto: |
|
|
In qualunque sistema UNIX o Linux l'amministratore digita "su - user" e riceve i diritti di user. Mi sembra necessario che l'amministratore abbia questa possibilità.
Del resto se l'amministratore vuole compiere attività illegali il problema non è nel sistema operativo ma nell'amministratore: With great power comes great responsibility. |
|
Top |
|
|
nasosan Mortale devoto
Registrato: 14/08/08 15:53 Messaggi: 8 Residenza: Altare
|
Inviato: 22 Mar 2017 21:35 Oggetto: |
|
|
Non vedo il problema, l'amministratore teoricamente è persona fidata.. Se non ci si fida di un admin, non bisognerebbe dare avevo amministratore a quella persona.. Volendo può cambiare i log delle operazioni fate dal proprio account, può avere accesso al server e quindi cambiare ciò che vuole.. Anche senza avere accesso al desktop dell'utente.. I file log sono accessibili all'amministratore.. Lo stesso il db dove vengono memorizzate le informazioni... O come spesso accade la notizia non è completa, o non vedo la vulnerabilita.. Esattamente come dice Microsoft.. |
|
Top |
|
|
Ramon Semidio
Registrato: 07/07/06 00:50 Messaggi: 342
|
Inviato: 22 Mar 2017 22:26 Oggetto: |
|
|
Mah ... il primo aprile si avvicina ... |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11568 Residenza: Tokelau
|
Inviato: 23 Mar 2017 11:57 Oggetto: |
|
|
Onestamente a me invece sembra essere davvero un problema, non sono d'accordo con i precedenti commenti
Secondo me stiamo parlando comunque di accesso non autorizzato/privilege escalation, vi spiego perché
"A" è l'amministratore del sistema. E' un tecnico, ha accesso ai sistemi dell'azienda, può impersonare un altro utente.
"B" è un dipendente dell'azienda. Attraverso il suo lavoro ha accesso a sistemi esterni all'azienda, attraverso credenziali che solo lui conosce.
Ora immaginate che "B" abbia aperto il collegamento verso uno di questi sistemi esterni. Si alza per andare al bagno/bar/macchinetta del caffè e, da bravo dipendente responsabile, blocca la sua workstation.
"A" vede che "B" ha lasciato il posto. Corre alla sua workstation, entra con la sua utenza e si collega alla sessione 'sospesa' di "B". A questo punto "A" ha ottenuto accesso al sistema esterno, che non avrebbe avuto/al quale avrebbe avuto accesso limitato con le sue credenziali.
Onestamente ogni tanto mi chiedo anche se certe aziende non sminuiscano volontariamente certi problemi. Un conto è dire 'si può portare un certo tipo di attacco soltanto avendo accesso fisico al PC, con utenze privilegiate' e un conto è dire 'eh ok, che ci vuoi fare, è amministratore!'. |
|
Top |
|
|
{commercio} Ospite
|
Inviato: 23 Mar 2017 14:02 Oggetto: |
|
|
1) oltre al "superutente" dovrebbero esistere altri ruoli di admin più limitati (poweruser?)
2) se un dato è critico, la vulnerabilità è usare automaticamente le credenziali del sistema per l'autenticazione! |
|
Top |
|
|
{ag} Ospite
|
Inviato: 23 Mar 2017 18:48 Oggetto: |
|
|
Tutti i sistemi che non seguano i requirement militari per la separazione dei compiti permettono all'amministratore di impersonare gli utenti. |
|
Top |
|
|
{Cristian} Ospite
|
Inviato: 24 Mar 2017 05:53 Oggetto: |
|
|
L'amministratore ha l'accesso completo al computer.
Senza fare questo procedimento, potrebbe semplicemente cambiare la password dell'account per accedervi. |
|
Top |
|
|
milux Eroe
Registrato: 22/04/08 06:09 Messaggi: 70 Residenza: verso i Balcani
|
Inviato: 24 Mar 2017 08:54 Oggetto: |
|
|
non mi sembra che psexec sia un comando standard di windows (perlomeno in windows 7 e 10 da riga cmd non esiste). Guardando il filmato (il primo) compare la dicitura di sysinternals dopo l'esecuzione del comando; quindi si parte dal presupposto che prima bisogna installarlo e poi utilizzarlo.
E' chiaramente un coltellino svizzero ma un Admin deve per forza avere questi tools. |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11568 Residenza: Tokelau
|
Inviato: 24 Mar 2017 10:15 Oggetto: |
|
|
nel primo video in effetti usa psexec - non fa tanta differenza che non sia presente sul PC, potrebbe avere una chiavetta USB con sè...
a parte questo, guardando i video successivi puoi vedere come può farne anche a meno. |
|
Top |
|
|
GipsytheKid Semidio
Registrato: 20/02/15 10:17 Messaggi: 331 Residenza: La città che si vorrebbe eterna, ma che non lo è
|
Inviato: 24 Mar 2017 12:43 Oggetto: |
|
|
Mi sembra evidente che ci sia più di qualcuno che non ha contezza di come funzionano alcuni tipi di aziende.
Un admin di rete ha specifiche e circoscritte competenze e responsabilità, non è un demiurgo onnipotente.
Pensate alle aziende che fanno ricerca farmaceutica, o all'esempio dell'impiegato di banca: una cosa è avere privilegi di amministratore su una rete informatica, un'altra cosa è avere accesso ad altri profili che hanno privilegi e responsabilità su specifici campi d'interesse che possono essere "esterni", come dice giustamente SverX, o interni all'azienda.
Certo, va detto che ogni applicazione o profilazione particolare, di solito, ha un secondo livello di sicurezza, dopo l'accesso al pc, ed è vero che se l'addetto si assenta anche solo per andare al bagno, le policy di sicurezza di qualunque settore sensibile suggeriscono di fare il logout e di non memorizzare le password, ma comunque credo che non sia da sottovalutare come vulnerabilità. |
|
Top |
|
|
neko13 Aspirante troll *
Registrato: 14/02/14 12:01 Messaggi: 118
|
Inviato: 24 Mar 2017 12:52 Oggetto: |
|
|
Se sono amministratore di una macchina e' certo che vedo gli utenti!!! |
|
Top |
|
|
nasosan Mortale devoto
Registrato: 14/08/08 15:53 Messaggi: 8 Residenza: Altare
|
Inviato: 24 Mar 2017 19:48 Oggetto: |
|
|
GipsytheKid ha scritto: | Mi sembra evidente che ci sia più di qualcuno che non ha contezza di come funzionano alcuni tipi di aziende.
Un admin di rete ha specifiche e circoscritte competenze e responsabilità, non è un demiurgo onnipotente.
Pensate alle aziende che fanno ricerca farmaceutica, o all'esempio dell'impiegato di banca: una cosa è avere privilegi di amministratore su una rete informatica, un'altra cosa è avere accesso ad altri profili che hanno privilegi e responsabilità su specifici campi d'interesse che possono essere "esterni", come dice giustamente SverX, o interni all'azienda.
Certo, va detto che ogni applicazione o profilazione particolare, di solito, ha un secondo livello di sicurezza, dopo l'accesso al pc, ed è vero che se l'addetto si assenta anche solo per andare al bagno, le policy di sicurezza di qualunque settore sensibile suggeriscono di fare il logout e di non memorizzare le password, ma comunque credo che non sia da sottovalutare come vulnerabilità. |
Appunto, se organizzo la rete/sistema bene non ci sono problemi, non è windows che è buggato, ma è chi organizza il sistema che non sa cosa deve fare.. Avere accesso al pc non vuol dire avere accesso al programma che se è fatto come si deve ha i suoi user con i suoi privilegi... Se poi la cartella dove sono memorizzati i dati di questo programma non è criptata, come ho detto prima chiunque gestisca la rete può accedervi e modificarli..
A sto punto allora basta mandare una mail con la richiesta di user e psw e il gioco è fatto, quindi anche i sistemi militari sono buggati? No, se chi gestisce /chi ha creato/l'utente non sa cosa fa o lo fa male, la colpa non è del sistema.. |
|
Top |
|
|
GipsytheKid Semidio
Registrato: 20/02/15 10:17 Messaggi: 331 Residenza: La città che si vorrebbe eterna, ma che non lo è
|
Inviato: 25 Mar 2017 15:49 Oggetto: |
|
|
aspetta, una cosa è "accedere al sistema", vedere tutto ciò che puoi, un'altra, ben diversa, è quella descritta nell'articolo, cioè che un admin può accedere "come se fosse" l'utente X. Io sono admin nel mio ufficio, ho le mie credenziali di utente e le credenziali di admin di tutte le macchine, ma se entro entro con admin, non come l'utente "x". C'è una enorme differenza.
È un bug e basta, poi siamo d'accordo che le policy di sicurezza dovrebbero essere tali che un bug del genere non dovrebbe essere più di tanto pericoloso, ma questo è un altro discorso. |
|
Top |
|
|
marcomira Mortale devoto
Registrato: 18/03/15 08:24 Messaggi: 7
|
Inviato: 28 Mar 2017 12:43 Oggetto: |
|
|
Mah, onestamente da admin ho sempre disattivato la possibilità di bloccare i client anche per evitare di mandare in blocco i pc se si connettono troppe persone senza logoff... comunque sono strade bene o male note... psexec lo uso da sempre! |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12828 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 01 Apr 2017 14:34 Oggetto: |
|
|
Citazione: | Microsoft, dal canto proprio, ritiene che questo strano comportamento di Windows «non sia una vulnerabilità di sicurezza, perché richiede i diritti di amministratore sulla macchina». |
Francamente potrebbe essere una valutazione opinabile anche se M$ non chiarisce se si tratta di qualcosa di involontario o di una specificità inserita nel SO per ragioni non meglio specificate (dal mio punto di vista potrebbe anche essere...).
In ogni caso, come sottolineato da GipsytheKid ritengo che il suo effettivo grado pericolosità sia determinato dalle policy di sicurezza e dalla loro più meno corretta applicazione. |
|
Top |
|
|
|