Cuentas de usuario sin contrasena

 
  Cuentas de usuario, especialmente la de root o del administrador
 sin contrasenas o con contrasenas debiles.
 

Existen sistemas que vienen preconfigurados con cuentas de usuario de demostracion o invitado que carecen de contrasena o utilizan una contrasena por omision ampliamente conocida.  Los operarios de servicio acostumbran a dejar las cuentas creadas para el mantenimiento sin contrasenas y determinados sistemas de gestion de base de datos instalan cuentas de administracion utilizando  contrasenas por omision.  Por otra parte, los administradores de sistemas suelen utilizar contrasenas que son facilmente identificables ('amor', 'dinero', 'magia' son muy habituales) o, simplemente, una contrasena en blanco. La utilizacion de las contrasenas por omision permite a los atacantes el acceso a los sistemas sin ningun esfuerzo.  Muchos atacantes prueban en primer lugar, antes de lanzar un ataque mas sofisticado, el uso de las contrasenas por omision y, si es necesario, a continuacion con las contrasenas mas habituales. Las cuentas comprometidas suponen que el atacante se encuentra dentro del cortafuegos y de la maquina objetivo.  Una vez dentro, la mayoria de los atacantes utilizan algunos de los ampliamente divulgados metodos para obtener el privilegio de root o administrador.

Sistemas afectados:
Todos los sistemas.

Registro CVE:
Contrasenas de Unix facilmente identificables (debiles) -  CAN-1999-0501

Contrasenas por omision o en blanco de Unix - CAN-1999-0502

Contrasenas de NT facilmente identificables (debiles) - CAN-1999-0503

Contrasenas por omision o en blanco de NT - CAN-1999-0504

Estos registros candidatos seran, con toda probabilidad, ampliamente modificados antes de ser aceptados como registros CVE.

Consejos para la resolucion del problema:

  • Crear una politica de contrasenas aceptable donde se indique la asignacion de responsabilidades y la frecuencia con que debe verificarse la calidad de las contrasenas.  Asegurarse que los altos ejecutivos de la empresa no esten exentos. Igualmente, incluir en la politica el requisito de modificar todas las contrasenas por omision como paso previo a la conexion de un ordenador a Internet, especificando las penalizaciones por incumplimiento de la norma.
     
  • ?MUY IMPORTANTE!  Obtener autorizacion por escrito para verificar las contrasenas.
     
  • Verificar la fortaleza de las contrasenas mediante programas de craqueo de contrasenas:

         Para Windows NT: l0phtcrack http://www.l0pht.com
         Para UNIX: Crack http://www.users.dircon.co.uk/~crypto
     
  • Implementar utilidades que verifiquen las contrasenas en el momento en que se crean.

         Para UNIX: Npasswd, http://www.utexas.edu/cc/unix/software/npasswd
         Para Windows NT:
         http://support.microsoft.com/support/kb/articles/Q161/9/90.asp
     
  • Forzar la expiracion periodica de las contrasenas (de acuerdo con la frecuencia indicada en la politica de seguridad).
     
  • Mantener historicos de contrasenas para evitar que los usuarios vuelvan a utilizar las contrasenas antiguas.

Para informacion adicional, consultar:
         http://www.cert.org/tech_tips/passwd_file_protection.html
         http://www.cert.org/incident_notes/IN-98.03.html
         http://www.cert.org/incident_notes/IN-98.01.irix.html
 

[Pagina Inicial] [Soluciones] [Socios] [Informes] [Ofertas de Empleo] [Contacto]

© Copyright The Sans Institute, 2000-2001
© Copyright 2000-2001 de la traduccion, Selesta Seguridad Informatica

Declaracion de privacidad