Also probieren wir das mal: - Die Herausforderung: Hack Bill
onetattler.com/2008/07/25/iphone-hack-released-for-windows-pc-advisor/”>hack How can you restrict sudo to specific commands for specific users?
Mittels der /etc/sudoers - bei
>>>> user ALL =(ALL)
also etwa
>>>> cottonmouth ALL=(ALL) /usr/bin/*
damit dürften Dinge wie su und anderes Zeug in /sbin unmöglich
werden.
> 2. What does O-ren do immediately after starting her sniffer? Why? How can a sysadmin find that file on the box? How can O-ren recover her sniffer file?
Sie “löscht” die Datei - der unlink befehl löscht aber nur den
Verzeichniseintrag, die Datei bleibt intakt, da der tcpdump Prozess
sie ja noch offen hat und sie daher nicht wirklich freigegeben ist
oder überschrieben werden kann. Das sowohl die Datei als auch das
Verzeichnis aus nem Leerzeichen besteht um den Admin zu ärgern dürfte
nebensächlich sein 
Der Sysadmin kann dies z.B. mit lsof sehen, solange der tcpdump
Prozess noch läuft. Da erscheint auch der ursprüngliche Pfad der
datei mit dem Zusatz “deleted” und natürlich die inode Nummer.
Ausserdem den File Descriptor, aber den erfährt man eventuell auch
aus /proc/
Dateiname
Widerherstellen kann man die datei durch unmounten und manuelles
Widerherstellen mit einem filesystem-recovery-tool anhand der Inode
ID - oder solange der sniffer noch läugft mittels debugging
Funktionen, indem man (z.B. mit gdb) an den Prozess attached, seine
offenen file-descriptoren übernimmt und ein eigenes code snipped
started, das die Datei zurückspult, ausliest, und in eine neue Datei
abspeichert. Dazu ist es natürlich hilfreich wenn sie read/write und
nicht write only geöffnet ist.
Ich bin mir fast sicher das es dafür fertige “toolz” gibt > 3. How did O-ren get Bill’s passwords for ssh and gpg? What can Bill do to safeguard his gpg-protected information from such attacks?
Sie hat grob gesagt die Systembibliothek mit dem read-befehl
überladen mit einer Version, die die Ein-Ausgabe Mitschnüffelt. Ich
glaube Statisch Gelinkte Varianten, die direkt mit dem Kernel
kommunizieren würden hier Abhilfe schaffen.
Im vorliegenden fall hätte O-ren aber auch gleich die Binaries durch
eigene “modifizierte” Varianten ersetzen können, da nutzt das dann
ned viel.
> 4. For extra credit: what is the meaning behind snakecharmer’s passwords?
g0dz1ll4 == Dicke fette Eidechse die gerne Tokio plattmacht
42696c6c == 0×42 0×69 0×6c 0×6c == “Bill”
6f74616b75 == 0x’dito’ == “otaku” ==
> Otaku
> From Wikipedia, the free encyclopedia
> Overweight, unkempt, bespectacled and fantasizing about an anime heroine–a popular otaku stereotype.
> In English, otaku refers to a variety of geek or fanboy/fangirl obsessed with > anime and manga
lol