Názor k článku Postřehy z bezpečnosti: linuxový trojan spouští proxy server od Leoš Houser - Ad 1) Pokud je napaden lokální účet, tak...

Ad 1) Pokud je napaden lokální účet, tak útočník vyhráno rozhodně nemá. Nemá moc času do doby, než bude kompromitace odhalena, pokud se tedy bavíme o profesionální správě serveru. Nejpozději do 48 hodin by u nás bylo napadení neprivilegovaného účtu odhaleno a udělána protiopatření. Činnost těchto uživatelů je, přirozeně, monitorována.
Ad 2) Nebude. Proč by měl být?
Ad 3) No, to asi v praxi moc fungovat nebude. Pokud vím, tyto možnosti popisovaly jen teoretické studie. Ještě jsem nečetl, že touto metodou by někdo úspěšně napadl linuxový server. I kdyby z časování paketů bylo možno reálný rytmus zadávání hesla vyčíst, různých vlivů na jitter spojení je tolik, že to je v praxi na nic. Už jen proto, že v rámci přihlašování tam lítá násobně víc paketů, než by odpovídalo zadání hesla a přihlašovacího jména, které BTW útočník ani nemusí znát.

Ad Zřetězení délky hesel)
První obrannou linií je, že útočník nezná přihlašovací jméno. Pokud chcete heslo roota zdvojnásobit, třeba i na více, než 20 znaků, budou vznikat překlepy a zapomínání hesla. Bude muset být ukládáno. Z úložiště může být získáno, případně vyzrazeno, třeba i úmyslně. Při dvoustupňovém přihlašování je heslo roota samo o sobě k ničemu. Muselo by být získán i přístup přístupového uživatele. A pokud je použit při útoku současně se superuživatelkým heslem tento účet, je jasné, kdo je za útok zodpovědný, že?
Uložení uživatelských hesel striktně oddělujeme od hesel superuživatelských, aby jejich současné vyzrazení bylo nepravděpodobné.