¿Qué es más fácil de hackear, un servidor de un sitio web o una computadora personal?

Depende de lo que quiera decir con “pirateo”. En general, lo que hace que un dispositivo en particular sea un objetivo “fácil” es una serie de cosas, las vulnerabilidades sin parches en el sistema operativo o en las aplicaciones en ejecución es una de las más grandes. ¿Existe una oportunidad para acceder físicamente al dispositivo? Esa sería otra. Para un servidor, los archivos de contraseña se han visto comprometidos Y alguno de los usuarios tiene contraseñas débiles, esa es otra.

Hablando en generalidades muy amplias, las computadoras personales tienden a ser más fáciles de comprometer por la simple razón de que están ejecutando MUCHAS aplicaciones diferentes, cada una de las cuales presenta un potencial vector de ataque, además el usuario suele ser muy activo en Internet, lo que crea otra gran oportunidad para un compromiso deliberado e inadvertido.

Por el contrario, un servidor solo tiene instaladas y en ejecución las aplicaciones que necesita. Los servidores generalmente solo ejecutan una única aplicación a la que se accede mediante solicitud externa, en lugar de ir constantemente a Internet y hacer un montón de cosas diferentes.

Si tiene en mente un escenario más específico, me complacería abordarlo.

EDITAR: se ha agregado el siguiente detalle a la pregunta:

Gracias por responder. Olvidé especificar algunos factores. Me gustaría saber cuál sería más fácil de hackear (crackear) entre una computadora doméstica y un servidor web cuando

1. Ambos corren Linux.

2. El hacker (cracker) no tendrá acceso físico a las máquinas.

3. No hay ninguna aplicación instalada en la computadora del hogar, excepto un navegador web y el usuario no hace nada más que navegar la web con sentido común.

La impresión que tengo es que los servidores web proporcionan principalmente información y las computadoras domésticas solicitan información. Básicamente, me gustaría saber si esta diferencia de comportamiento hace que uno de ellos sea menos seguro que el otro.

Con este escenario actualizado, mi respuesta sigue siendo que la computadora de la casa será más fácil de comprometer. Incluso solo navegando, es posible obligar al usuario a hacer clic en algo que no debería. Si están ejecutando Java y / o Flash, existe otra posible vía de compromiso. Si no pueden mantener actualizado su navegador, hay otro posible vector de ataque.

Tiene razón en que los servidores generalmente proporcionan información y los navegadores generalmente solicitan información. Debido a que los servidores controlan más estrictamente las interacciones con el exterior, es mucho más fácil mantenerlos seguros. Los navegadores, por otro lado, siempre están viajando, metafóricamente hablando, a tierras extranjeras donde las costumbres y prácticas pueden ser totalmente inesperadas. En consecuencia, es mucho más fácil confundir y comprometer un navegador web.

¿Las MacBooks realmente valen la pena o puedes obtener una computadora portátil igualmente buena por mucho más barato?

¿Cómo encontrar un servidor DNS en una PC?

¿Es posible arrancar desde una unidad flash con un disco duro clonado?

Estoy 100% seguro de que mi computadora tiene un virus. Pero el defensor no puede encontrar nada. Si simplemente borro todo y reinstalo Windows, ¿qué pasaría?

¿Las computadoras que ejecutan Ubuntu también son susceptibles a ataques drive-by de JavaScript e infecciones como las computadoras con Windows?

¿Cuál es la forma correcta de apagar una computadora?

Es imposible descifrar una computadora doméstica (cliente) de forma remota sin la cooperación del usuario. En una competencia de piratería, se le permite al usuario visitar una página web o abrir un archivo adjunto de correo electrónico.

Su mejor opción es que visiten una página con Flash. Supongo que un buen programador podría crear un exploit de Linux utilizando una de las cientos de vulnerabilidades documentadas en el complemento Flash. Si el navegador no tiene complementos, y el usuario no descargará ni ejecutará nada ni usará ninguna aplicación para cosas como PDF, Excel, tendría que atacar el navegador en sí, creando un exploit a partir de una vulnerabilidad publicada o encontrando su propio cero- día examinando el código fuente del navegador, borrando, etc. Eso no es imposible, hay personas que pueden hacer eso, pero yo no soy uno de ellos. Si el usuario nunca visita sus páginas de ataque, es casi imposible. Ping-of-death fue arreglado hace años. Podría hacer un ataque de diccionario SSH en un escritorio Linux, ya que probablemente esté ejecutando un servidor SSH a menos que el usuario lo desactive, pero necesitaría estar en Internet público, no detrás de NAT.

Para atacar un servidor, no necesita la cooperación de un usuario y puede montar un ataque automatizado y esperar que no se den cuenta. Por ejemplo, el omnipresente ataque de adivinación de contraseña SSH, o inyección SQL, o shellshock / CGI.

En el mundo real, si se le permite hacer phishing a un usuario de escritorio de Linux frente a atacar su servidor, sospecho que el servidor es más seguro. El servidor está sujeto a ataques todo el tiempo y el suyo no es nada nuevo, y la superficie de ataque se limita a los servicios en ejecución. Sin embargo, el escritorio no está preparado para eso. La superficie de ataque potencial es cada aplicación auxiliar, navegador, complemento, visor de PDF, etc., la mitad de los cuales nunca se han auditado correctamente. Hubo una prueba de concepto hace un tiempo donde atacaron un escritorio de Linux a través de una memoria USB usando miniaturas, los programas que muestran iconos de escritorio en un sistema de archivos gráfico.

Andrew Daviel

Gracias por A2A, pero no pirateo en el sentido contemporáneo. Tampoco apruebo esta actividad, a menos que le paguen por buscar fallas de seguridad.

Mi uso de la palabra “Hack” significa hacer que una máquina haga cosas más allá de lo que originalmente pretendía el fabricante.

Según tengo entendido, ya sea una máquina personal o un servidor, el hack de Linux más fácil se basa en la falta de seguridad cuando se configuró, y es posible ejecutar un script que crea una nueva cuenta de administrador (la suya) que luego le permite acceso completo a todo en el sistema.

Cómo se hace esto, no lo sé. Algunas búsquedas simples mostrarán la configuración de seguridad relevante para una instalación de Linux que evite esta forma de ataque.

En 2003, tuve mi propio “truco” cuando se trataba del Servidor Universitario. Todas las computadoras conectadas en el campus debían pasar por el Dominio y Seguridad registrados relevantes. Me odiaba porque me conectaba, saltaba el Servidor yendo directamente a la red y luego volvía a iniciar sesión en el Servidor desde “afuera”. Como no estaba haciendo daño a su sistema y, de hecho, ni siquiera lo estaba “atravesando”, se dio por vencido y me dejó hacer lo mío.

Michael Daniel

Hum

Esta es una pregunta bastante compleja.

En primer lugar, también es posible hackear los 3 con el tiempo a la misma velocidad. Pero el tiempo y la velocidad dependen de las variables presentadas. NO piratear ninguno de los anteriores también es una posibilidad, ya que en la última década se necesita mucho tiempo para proteger y proteger todo. Incluso hay empresas que ofrecen servicios como antivirus, malware, protección contra espías, palabras simples que hacen cosas complejas. Para hackear algunas cosas, es posible que necesite acceso físico a la computadora o al servidor (que debido a la computación en la nube se ha vuelto muy difícil, pero posiblemente sea la mejor manera de hacerlo). Hubo un tiempo en el que podías hackear el WiFi de tus vecinos fácilmente, ahora lleva mucho tiempo y tal vez un poco de robo, sondeo, etc.

La piratería es ilegal (obviamente).

Si pones la combinación de tener Linux independientemente de ambos extremos. Depende de la configuración implementada. Si hay aplicaciones de terceros instaladas.

Al final, tienes que aprender ambos sistemas y encontrar debilidades, y solo entonces podrías “hackear” y controlar al cliente.

Jack Clark

Computador del hogar. Reinicia la computadora. En la consola de grub, coloque al usuario en modo de usuario único agregando s al final de las opciones del kernel o init = / bin / bash

Si el disco duro no está encriptado (con LUKS) y no hay una contraseña grub, la computadora es de su propiedad. Si hay una contraseña grub, simplemente tome un disco de arranque. Si hay una contraseña de BIOS, salte la BIOS para restablecer la contraseña.

Michael Daniel

Depende de cómo esté configurado cualquiera de los dos. Pero diría que el servidor web sería más fácil, porque están configurados para recibir solicitudes, mientras que las PC están configuradas para realizar solicitudes.

Dicho esto, probablemente sería más fácil hackear una PC que un servidor en Google. Entonces realmente depende de las circunstancias. Debido a que algunas personas pueden tener un firewall bien configurado que bloquea efectivamente todo menos sitios web seguros o similares, o puede tener algunos puertos abiertos a los que puede conectarse. Realmente depende

Otra cosa es que hay muchas formas de hackear muchos servidores Windows más antiguos usando Metasploit.

Jack Clark

More Interesting

Cómo solucionar un problema de Windows Update que solo mi computadora parece replicar

¿Steve Jobs y Steve Wozniak crearon la primera computadora personal (Apple II)?

¿Cuáles son algunos kits de computadora viejos que puedo comprar donde puedo armar mi propia PC?

¿Alguien puede ayudarme a construir la PC de presupuesto más bajo?

¿Qué puedo hacer con mi vieja PC?

¿Cuáles son los pros y los contras de los Ultrabooks en comparación con los portátiles normales?

¿Qué especificaciones muestran que mi PC puede ser servidor?

Cómo compartir la conexión a Internet de mi PC con Windows con mi tableta

¿Es una pena que el mundo se esté alejando del factor de forma tradicional de PC?