Un algoritmo de cifrado muy simple para las contraseñas, y la
posibilidad de que cualquier usuario pueda acceder al fichero
donde se almacenan, permiten descubrir a un usuario local todas
las cuentas de acceso de esta herramienta de administración y
desarrollo.
Las herramientas CM (Configuration Management), facilitan a los
equipos de desarrollo el seguimiento, relación y control de las
diferentes versiones y porciones de su código, convitiéndose en
una utilidad imprescindible para el trabajo y colaboración entre
equipos de programadores. Mientras que las herramientas PT
(Problem Tracking) ayudan a manejar la informacion sobre
problemas, fallos y defectos en el código, para lo que establecen
informes y registros de control sobre los errores y medidas de
corrección. Razor, de Visible Systems, es una software que
integra ambas herramientas, CM y PT, en una única solución.
Entre los organismos que utilizan Razor podemos encontrar a la
NSA (National Security Agency), la NASA, el MIT, el Centro de
Investigación Nacional del Genoma Humano (USA), la Agencia
Espacial Canadiense, o la Fuerza de Defensa Australiana.
El fichero rz_passwd, utiliado por Razor Configuration Management
para almacenar las contraseñas, se encuentra en el directorio
Razor_License en la máquina que actúa como servidor de licencias.
El primer problema lo encontramos en los permisos por defecto de
rz_passwd, que permiten su lectura a todos los usuarios. Podemos
impedir la lectura a terceros modificando sus atributos, pero
Razor volverá a restaurar los permisos del fichero cuando realice
alguna operación que haga uso de él, cómo puede ser añadir un
usuario, borrarlo o modificar una contraseña. Otro intento de
solucionar este problema pasa por modificar los permisos del
directorio que contiene a rz_passwd, pero en tal caso Razor tiene
problemas de funcionamiento, por lo que la solución definitiva
pasa por un parche o nueva versión de Razor que corrija este
problema.
El fichero donde Razor almacena las contraseñas contiene registros
de 51 bytes, formados por tres campos de 17 bytes cada uno, que
corresponden a nombre de usuario, contraseña cifrada y grupo. Los
campos de nombre de usuario y grupo pueden interpretarse de forma
directa, ya que se encuentran almacenados en texto claro.
El algoritmo de cifrado de la contraseña es muy simple, consiste en
rotar cada byte, de la contraseña en texto plano, 2 bits a la derecha.
El descifrado, como es obvio, consiste en la realizar la operación
inversa.
Más información:
SecurityFocus
http://www.securityfocus.com/bid/1424
Razor
http://www.razor.visible.com
Visible Systems Corporation
http://www.visible.com
redaccion@hispasec.com
Deja una respuesta