eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.comp.pecetŁamanie tajników liczb przeklętych...
Ilość wypowiedzi w tym wątku: 55

  • 21. Data: 2019-10-12 23:07:38
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: Krzysztof Halasa <k...@p...waw.pl>

    "J.F." <j...@p...onet.pl> writes:

    >> Plik z hasłami był zwykle nie tylko zaszyfrowany, ale także
    >> niedostępny
    >>dla zwykłych userów. Wiem, nielegalnie (z punktu widzenia USA)
    >>sprowadzone systemy bez shadow password suite miały wszystko
    >>w /etc/passwd.
    >
    > Ale shadow to od pewnego czasu, wczesniej byly passwd z haslami
    > dostepny.

    Tak jak napisałem.

    > Tylko uwazano to za niegrozne.

    Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.
    Tyle że były groźniejsze rzeczy. Jak już ktoś miał konto na danej
    maszynie, to zakładano, że jest względnie godny zaufania, poza tym
    bardzo trudno było (i zresztą jest) dobrze zabezpieczyć maszynę przed
    shellowymi userami.

    BTW wiesz jak ciekawie było tam, gdzie system był wyeksportowany zgodnie
    z prawem, i gdzie nie było jeszcze shadow password suite? :-)
    Aczkolwiek co to dokładnie za system był to już nie pamiętam.

    > Bo tez lamanie DES bylo wtedy dlugie.
    > A dzis ... sekundy ? :-)

    Jeśli dysponowałbyś jakimś distributed.net, to może (też nie). Normalnie
    to jest wciąż rzędy wielkości dłuższe.

    > Owszem, tylko jak sie prawdziwy root zaopiekuje i pousuwa rozne
    > backdoory,
    > to sie hasla moga przydac.

    Jeśli się wcześniej nie opiekował, to bym się nie spodziewał. Ale może
    jakiś nowy root.
    Usuwanie backdoorów, trudna sprawa. Mogą być wszędzie. W ROMie
    sterownika dysków także :-)

    > A ludzie moga miec konta i na innych maszynach - i te same hasla.

    Na to były Jacki i inne Johny.
    --
    Krzysztof Hałasa


  • 22. Data: 2019-10-12 23:10:06
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: Krzysztof Halasa <k...@p...waw.pl>

    "J.F." <j...@p...onet.pl> writes:

    > A to osobna sprawa ... MS i NSA, i FBI itd maja pelny dostep do
    > twojego komputera z Windows ? :-)

    I pewnie CBA i CBŚ i ABW i kupa innych...
    --
    Krzysztof Hałasa


  • 23. Data: 2019-10-12 23:49:43
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: "J.F." <j...@p...onet.pl>

    Dnia Sat, 12 Oct 2019 23:10:06 +0200, Krzysztof Halasa napisał(a):
    > "J.F." <j...@p...onet.pl> writes:
    >
    >> A to osobna sprawa ... MS i NSA, i FBI itd maja pelny dostep do
    >> twojego komputera z Windows ? :-)
    >
    > I pewnie CBA i CBŚ i ABW i kupa innych...

    Troche watpie.
    NSA moze im dane da, ale niekoniecznie,
    a w ogole to sie nie przyzna, ze ma dostep :-)

    A teraz jeszcze moda na trzymanie danych w chmurze ...

    J.


  • 24. Data: 2019-10-13 03:56:22
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: Marcin Debowski <a...@I...zoho.com>

    On 2019-10-12, Krzysztof Halasa <k...@p...waw.pl> wrote:
    > "J.F." <j...@p...onet.pl> writes:
    >> Tylko uwazano to za niegrozne.
    > Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.
    > Tyle że były groźniejsze rzeczy. Jak już ktoś miał konto na danej
    > maszynie, to zakładano, że jest względnie godny zaufania, poza tym
    > bardzo trudno było (i zresztą jest) dobrze zabezpieczyć maszynę przed
    > shellowymi userami.

    A co się właściwie stało z całym pędem w kierunku SELinuksa, jaki
    obserwowało się w pierwszej dekadzie po 2000? Rozumiem, że działa to na
    Androidzie, ale w popularnych, standardowych dystrybucjach nigdzie chyba
    nie jest opcją domyślną, czy nawet opcją instalacyjną? Pamiętam kupę
    upierdliwości z pracą / administracją na takich systemach, ale to jakoś
    nie tłumaczy czemu zdechło. Bo NSA czy inne powody?

    --
    Marcin


  • 25. Data: 2019-10-13 12:49:54
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: Michal Jankowski <m...@f...edu.pl>

    W dniu 12.10.2019 o 23:07, Krzysztof Halasa pisze:
    > "J.F." <j...@p...onet.pl> writes:
    >
    >>> Plik z hasłami był zwykle nie tylko zaszyfrowany, ale także
    >>> niedostępny
    >>> dla zwykłych userów. Wiem, nielegalnie (z punktu widzenia USA)
    >>> sprowadzone systemy bez shadow password suite miały wszystko
    >>> w /etc/passwd.
    >>
    >> Ale shadow to od pewnego czasu, wczesniej byly passwd z haslami
    >> dostepny.
    >
    > Tak jak napisałem.

    No właśnie nie. Przez długie lata o shadow nikomu się nie śniło, hash
    uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś
    "nielegalność" (niby jaką?), tylko o fakty historyczne.

    >
    >> Tylko uwazano to za niegrozne.
    >
    > Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.

    Ale to było 20 lat później.

    MJ


  • 26. Data: 2019-10-13 14:47:43
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: Krzysztof Halasa <k...@p...waw.pl>

    "J.F." <j...@p...onet.pl> writes:

    >>> A to osobna sprawa ... MS i NSA, i FBI itd maja pelny dostep do
    >>> twojego komputera z Windows ? :-)
    >>
    >> I pewnie CBA i CBŚ i ABW i kupa innych...
    >
    > Troche watpie.
    > NSA moze im dane da, ale niekoniecznie,
    > a w ogole to sie nie przyzna, ze ma dostep :-)

    NSA bezpośrednio nie da, ale nie tylko NSA istnieje.
    Są tacy, którzy dadzą. Weźmy np. taki Bliski Wschód.

    > A teraz jeszcze moda na trzymanie danych w chmurze ...

    A to prawda. A chmura u Wuja Sama, ew. na Bliskim Wschodzie.
    --
    Krzysztof Hałasa


  • 27. Data: 2019-10-13 14:48:27
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: Krzysztof Halasa <k...@p...waw.pl>

    Marcin Debowski <a...@I...zoho.com> writes:

    > A co się właściwie stało z całym pędem w kierunku SELinuksa, jaki
    > obserwowało się w pierwszej dekadzie po 2000? Rozumiem, że działa to na
    > Androidzie, ale w popularnych, standardowych dystrybucjach nigdzie chyba
    > nie jest opcją domyślną, czy nawet opcją instalacyjną?

    Nie jest to prawda.
    --
    Krzysztof Hałasa


  • 28. Data: 2019-10-13 15:25:31
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: Krzysztof Halasa <k...@p...waw.pl>

    Michal Jankowski <m...@f...edu.pl> writes:

    > No właśnie nie. Przez długie lata o shadow nikomu się nie śniło, hash
    > uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś
    > "nielegalność" (niby jaką?), tylko o fakty historyczne.

    Nielegalność dotyczyła samej funkcji crypt (i w ogóle DES). Przez długi
    czas eksport tej funkcji z USA i Kanady był nielegalny. Potrzebne było
    specjalne zezwolenie (IIRC DoD, w końcówce chyba DoC). Jak chętnie DoD
    wydawał takie zezwolenia, zwłaszcza na eksport do krajów "objętych"
    COCOMem, to pewnie pamiętasz.

    To nie są fakty historyczne?

    BTW widziałem system, w którym nie było ani shadow, ani crypt - wiesz co
    trzymane było w /etc/passwd? System był zapewne wyeksportowany zgodnie
    z prawem, to była jakaś przemysłowa maszyna.

    BTW mam także delikatne wrażenie, że wersje BSD eksportowane oficjalnie
    do nas nie miały crypt() (ani shadow password suite rzecz jasna). Ale to
    oczywiście nie miało(by) większego znaczenia.

    Zupełnie inną sprawą jest to, że systemy pracujące w Polsce (zarówno
    soft, jak i sprzęt) były sprowadzane "z obejściem" zarówno COCOMu, jak
    i zezwoleń DoD. A często także "z obejściem" wszelkiego prawa
    autorskiego.

    >>> Tylko uwazano to za niegrozne.
    >> Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.
    > Ale to było 20 lat później.

    Nie wiem co było 20 lat wcześniej, możliwe że wtedy jeszcze nie żyłem,
    a w każdym razie nie widziałem wtedy komputera na oczy. Tak czy owak,
    trzymanie haszy w dostępnych plikach uważano za groźne, chociaż może nie
    aż tak groźne jak np. dostęp shellowy. Zauważ że we wcześniejszych
    wersjach ftpd anonimowi userzy mogli bez problemu pobrać zawartość pliku
    passwd (prawdziwego) - jak również każdego innego pliku
    ogólnodostępnego. Później to się zmieniło, anonimowi mieli coś w rodzaju
    (prostego) chroota, z podlinkowanymi (zwykle) /home i ew. /bin /lib /usr
    itp., jeśli było potrzebne (np. /bin/ls) - bez oryginalnego /etc.

    Swoją drogą, pamiętam ludzi wpisujących w takie dummy passwd różne łatwe do
    złamania napisy :-)
    W rodzaju 0why 1are 2you 3wasting itd. - coś takiego, nie?
    --
    Krzysztof Hałasa


  • 29. Data: 2019-10-13 15:36:10
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: JaNus <p...@b...pl>

    W dniu 13.10.2019 o 15:25, Krzysztof Halasa pisze:
    > Swoją drogą, pamiętam ludzi wpisujących w takie dummy passwd różne
    > łatwe do złamania napisy
    >
    Mieliśmy program sprzedażowy od polskiej firmy, ponoć "profesjonalnej".
    Plik z hasłami miał je zaszyfrowane, po swoim szybko wyczaiłem jaką
    metodą, i jak na dłoni miałem hasła pozostałych użytkowników.

    Dużo już później, kiedy z powodu zainteresowania L. pierwszymi liznąłem
    też nieco wiedzy z kryptografii, dowiedziałem się, że był to "szyfr
    Cezara", jeden z pierwszych na świecie, siłą rzeczy prościutki.

    Aby "profesjonaliści" nie potrafili spytać innych zawodowców, jak się
    trzeba zabezpieczać? Eeech, te nasze "polactwo"...


    --
    Nie interesujesz się polityką? To lekkomyślne chowanie głowy w piasek!
    Wszak polityka interesuje się tobą i tak, a rządzący też się interesują,
    głównie zawartością twojego portfela. Dlatego zachowaj czujność!


  • 30. Data: 2019-10-13 16:22:07
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: Krzysztof Halasa <k...@p...waw.pl>

    JaNus <p...@b...pl> writes:

    > Mieliśmy program sprzedażowy od polskiej firmy, ponoć "profesjonalnej".
    > Plik z hasłami miał je zaszyfrowane, po swoim szybko wyczaiłem jaką
    > metodą, i jak na dłoni miałem hasła pozostałych użytkowników.

    Plik był dostępny dla każdego?

    Inna sprawa, że tak czy owak 90% haseł da się złamać metodą słownikową.
    Może teraz nieco wzrosła "świadomość społeczna" - 80%?
    --
    Krzysztof Hałasa

strony : 1 . 2 . [ 3 ] . 4 ... 6


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: