"J.F." <j...@p...onet.pl> writes:

> Ale funkcja crypt w biliotece pozwala na uzycie komputera do roznych
> celow.
> Passwd szyfrujacy hasla DES'em nie.

Eee, też tak sobie. crypt() nie pozwala na nic innego niż passwd - tyle
że hasła można pobrać z innego miejsca i wyniki można zapisać również
w innym miejscu. Różnica jest IMHO symboliczna.

> W jakim sensie nielegalne - jesli sciagnalem np z Rosji czy Finlandii.
> Albo na/przepisalem sam ..

Jeśli napisałeś, to legalne. Nawet jeśli "ściągnąłeś" w postaci
papierowej, to było legalne (casus PGP). Samo ściągnięcie z funetu
(z Rosji to tak raczej średnio szło - z Rosyjskiej Republiki
Socjalistycznej?) też pewnie było legalne. Natomiast eksport z USA
(/Kanady) był nielegalny.

> A nam chodzi o to, ze przez poprzednie 20 lat nikomu nie
> przeszkadzalo, ze kazdy moze sobie zobaczyc zapisane haslo w passwd.

Tzn. które 20 lat. Bo przecież nie może chodzić o obecny wiek?
Piszę, że przeszkadzało. Nie każdy mógł zobaczyć hasło w passwd. Tylko
zalogowani userzy shellowi. To przeszkadzało (być może) mniej, niż
lokalne ataki, które mogli (łatwo) zmontować. Ale przeszkadzało - stąd
powstanie łamaczy haseł (zarówno dla atakujących, jak i dla userów, by
nie mogli ustawiać trywialnych), i w końcu shadow password suite, jako
integralna część każdego systemu od początku jego istnienia.

>>Linuksa wtedy nie używałem, pierwszym moim Linuksem był jakiś tam SLS
>> - i tam chyba zawsze był shadow. Były za to inne braki - wiele
>> braków.
>
> A w BSD nie ?

Zasadniczo BSD w porównaniu do Linuksa był dość kompletny.
Trudno się dziwić, biorąc pod uwagę, że był wzorcem :-)
Linux to w wielu miejscach były "stuby".

> Tak mi chodzi po glowie, ze akurat w tym czasie zaczeto odkrywac
> bardzo wiele luk w unixach - i to wszystkich,

Czy zaczęto, to nie wiem. Panowało przekonanie, że lokalne dziury to
oczywista oczywistość. Zdalne dziury to była inna sprawa i faktycznie
było wtedy nieco głośnych przypadków (największe chyba w sendmailu).

> Ale po 20 latach. Wczesniej ... wydawalo sie bezpieczne ?

Ale nie wiem po 20 latach od którego momentu.

> Zreszta skoro kazdy moze zostac rootem, to co to za bezpieczenstwo -
> shadow tez moze odczytac :-)

Sam widzisz.
--
Krzysztof Hałasa

do góry

"J.F." <j...@p...onet.pl> writes:

> IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975
> tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
> kiedy.

Ale w jakim Uniksie? I kluczowe pytanie, kiedy i jak dostarczonym do
PRL? Jeszcze raz napiszę, były systemy, które tego nie miały. Chociaż
nie wątpię, że ich wersje "domestic" miały szyfrowanie haseł.

W późniejszym okresie pamiętam takie pudełka z naklejkami "USA/Canada
only" (z innym softem przypuszczalnie), więc pewnie kupienie "lepszej"
wersji to nie był wielki problem - ale to zależało.

> I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt
> nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...

No więc gdy ja się z tym zetknąłem w latach 80, to od razu uznałem to za
zagrożenie. Więc nie nikt. Aczkolwiek bardzo mocno wątpię, bym wtedy
wymyślił coś odkrywczego.

Przyznaję że już wtedy miałem lekką dewiację w takim kierunku, pamiętam
że jeden z moich pierwszych programów zerował przestrzeń adresową - jak
się okazało - tylko dostępna dla niego, a nie całej maszyny.

> Jak sobie radzili z blokiem wschodnim ... nie wiem, moze blok
> wschodni wcale nie taki chetny do kupowania komputerow z unixem ...

Pewnie nie, ale jednak kupował. W szczególności niekoniecznie komputery
"dla ludu", ale np. w przemyśle.

> Choc w sumie ... shadow to bylo pewne rozwiazanie problemu - tzn nie
> ma zakazanego szyfrowania, a pewne bezpieczenstwo jest.

Tyle że, jak już ustaliliśmy, shadow to była końcówka lat 80, i później.

> Cos mi podobnego chodzi po glowie, ale chyba nawet nie musial byc to
> DES, tylko ogolnie szyfrowanie z kluczem ponad 40 bitow.

W praktyce sprowadzało się to do DESa. W takim np. PGP był
(praktycznie?) DES i IDEA. 40-bitowa IDEA to by była chyba większa
pomyłka niż 40-bitowy DES.
--
Krzysztof Hałasa

do góry

"J.F." <j...@p...onet.pl> writes:

> Jakos "hacker" to slowo sprzed internetu ... no nie - internet tez
> stare slowo, ale nie zawsze tak popularne - bo poczatkowo tez tylko
> dla wybranych.

No ale wtedy rozróżniano - zwracano uwagę - "hacker" vs "cracker".
Inna sprawa, że to mogło być tylko formalne rozróżnienie, coś a la teraz
white hat, a teraz black hat.
--
Krzysztof Hałasa

do góry

Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
>> A nam chodzi o to, ze przez poprzednie 20 lat nikomu nie
>> przeszkadzalo, ze kazdy moze sobie zobaczyc zapisane haslo w
>> passwd.

>Tzn. które 20 lat. Bo przecież nie może chodzić o obecny wiek?

No tak od 1970 to 1990.

No dobra - nie znam na tyle historii Unixa, to nie wiem kiedy wybrali
DES do hasel,
moze to byl np 1975, moze w 1985 zaczelo pierwszemu przeszkadzac - jak
cytowalismy - jeszcze w 1990 wiele systemow nie mialo shadow.

>Piszę, że przeszkadzało. Nie każdy mógł zobaczyć hasło w passwd.
>Tylko
>zalogowani userzy shellowi.

Czy nie Ty pisales, ze anonimowi ftp tez ?

>To przeszkadzało (być może) mniej, niż
>lokalne ataki, które mogli (łatwo) zmontować. Ale przeszkadzało -
>stąd
>powstanie łamaczy haseł (zarówno dla atakujących, jak i dla userów,
>by
>nie mogli ustawiać trywialnych),

A reszta nadal uwazana za bezpieczne :-)

>> Tak mi chodzi po glowie, ze akurat w tym czasie zaczeto odkrywac
>> bardzo wiele luk w unixach - i to wszystkich,

>Czy zaczęto, to nie wiem. Panowało przekonanie, że lokalne dziury to
>oczywista oczywistość. Zdalne dziury to była inna sprawa i faktycznie
>było wtedy nieco głośnych przypadków (największe chyba w sendmailu).

Pare metod bylo dosc uniwersalnych - np przepelnienie zmiennej na
stosie.
Tylko nie kazdy system pozwalal wykonywac program ze stosu.

>> Zreszta skoro kazdy moze zostac rootem, to co to za
>> bezpieczenstwo -
>> shadow tez moze odczytac :-)
>Sam widzisz.

Czyli ciagle uwazamy hashowanie hasel za bezpieczne, czy tylko chowamy
glowy w piasek ? :-)

J.

do góry

Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
>> IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w
>> 1975
>> tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
>> kiedy.

>Ale w jakim Uniksie?

W kazdym?

>I kluczowe pytanie, kiedy i jak dostarczonym do PRL?

Nie wiem czy jakikolwiek byl kupiony do PRL przed 1982 ... ale
przestrzegano wtedy tak bardzo COCOM w tym zakresie ?

> Jeszcze raz napiszę, były systemy, które tego nie miały. Chociaż
>nie wątpię, że ich wersje "domestic" miały szyfrowanie haseł.
>W późniejszym okresie pamiętam takie pudełka z naklejkami "USA/Canada
>only" (z innym softem przypuszczalnie), więc pewnie kupienie
>"lepszej"
>wersji to nie był wielki problem - ale to zależało.

Rosjanie jakos nie mieli problemu z piraceniem calych systemow.
Ale czy Unixem byli zainteresowani ...

Kopiowali PDP-11, kopiowali VAX - ale na obu unix byl tylko dodatkowym
systemem.

VAXa kopiowano ponoc na Wegrzech, Czechoslowacji, NRD, Jugoslawii -
tu byc moze licencja.

https://en.wikipedia.org/wiki/VAX

>> I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos
>> nikt
>> nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat
>> ...

>No więc gdy ja się z tym zetknąłem w latach 80, to od razu uznałem to
>za
>zagrożenie. Więc nie nikt. Aczkolwiek bardzo mocno wątpię, bym wtedy
>wymyślił coś odkrywczego.

Przynajmniej na tyle odkrywcze, ze tworcy systemu na ktorym to
zobaczyles nie uwazali za stosowne zmienic.
A historie znamy - w okolicahc 1987 pojawilo sie shadow suite.

>Przyznaję że już wtedy miałem lekką dewiację w takim kierunku,
>pamiętam
>że jeden z moich pierwszych programów zerował przestrzeń adresową -
>jak
>się okazało - tylko dostępna dla niego, a nie całej maszyny.

To co innego - zjawisko "wysypania" programu bylo powszechnie znane od
poczatku, i w systemie wielozadaniowym trzeba sie bylo zabezpieczyc.
Nawet chyba w jednozadaniowym, w ktorym jednak rzadzil system
operacyjny.

> Choc w sumie ... shadow to bylo pewne rozwiazanie problemu - tzn nie
> ma zakazanego szyfrowania, a pewne bezpieczenstwo jest.

Tyle że, jak już ustaliliśmy, shadow to była końcówka lat 80, i
później.

>> Cos mi podobnego chodzi po glowie, ale chyba nawet nie musial byc
>> to
>> DES, tylko ogolnie szyfrowanie z kluczem ponad 40 bitow.

>W praktyce sprowadzało się to do DESa. W takim np. PGP był
>(praktycznie?) DES i IDEA. 40-bitowa IDEA to by była chyba większa
>pomyłka niż 40-bitowy DES.

Moze miala byc pomyłką - wszak chodzi o to, zeby inni nie szyfrowali
zbyt dobrze :-)

Tylko akurat IDEA (ta 128 bit) byla wymyslona w Szwajcarii ... co w
sumie nie przeszkadza USA blokowac roznych produktow w roznych
miejscach.

No i ciagle byl RSA - niby zakazany, a jednoczesnie latwy do napisania
gdziekolwiek ... tylko uwazac na patenty.

J.

do góry

Krzysztof Halasa pisze:
> Marcin Debowski <a...@I...zoho.com> writes:
>
>> A co się właściwie stało z całym pędem w kierunku SELinuksa, jaki
>> obserwowało się w pierwszej dekadzie po 2000? Rozumiem, że działa to na
>> Androidzie, ale w popularnych, standardowych dystrybucjach nigdzie chyba
>> nie jest opcją domyślną, czy nawet opcją instalacyjną?
>
> Nie jest to prawda.
Zgadza się, nie jest to prawda,
RHEL/CentOS 5/6/7 ma to domyślnie ustawione na tryb enforcing

do góry

On 2019-10-15, J.F. <j...@p...onet.pl> wrote:
> Dnia Mon, 14 Oct 2019 21:20:54 GMT, Marcin Debowski napisał(a):
>> On 2019-10-14, J.F. <j...@p...onet.pl> wrote:
>>> IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975
>>> tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
>>> kiedy.
>>> Ale od dawna. Na dlugo przed shadow.
>>> I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt
>>> nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...
>>
>> Sieć była w powijakach, dostęp do tych maszyn miała garstka wybranych i
>> zapewne zaufanych użytkowników. Zupełnie inne warunki niż nastały z
>> początkiem lat 90.
>
> Studenci, pracownicy - czasem tysiacami.
> A oprocz sieci byly modemy.

Proporcjonalność środków do zagrożeń. Przecież i teraz wpuszczasz na
teren uczelni tysiące osób, dajesz im dostęp do sprzętu wartego często
setki tysięcy zł, czy takiego, który się daje wynieść. Nie zabezpieczasz
tego jakoś bardzo szczególnie bo nie ma takiej potrzeby. Tam MZ też jej
wtedy nie było.

> Jakos "hacker" to slowo sprzed internetu ... no nie - internet tez
> stare slowo, ale nie zawsze tak popularne - bo poczatkowo tez tylko
> dla wybranych.

Dodakowo, to nie był przeciez sprzęt popularny i powszechnie obeznany,
co też ograniczało liczbę potencjalnych zamachów. MZ do pewnego momentu
nikt po prostu takich rzeczy nie analizował, właśnie ze względu na brak
potrzeby i ograniczoną liczbę spraw związanych z jakimiś nadużyciami.

Mielismy na laborce z chemii fizycznej komputer, do którego wprowadzało
się otrzymane w trakcie ćwiczeń wyniki i na podstawie stopnia
spieprzenia zadania dostawało się ocenę. Nie pamiętam już co to była za
maszyna, coś ze wszystkim zintegrowanym w jednej obudowie, ale sam
program to był jakiś basic. Mało nie skończyło się to dla mnie akcją
dyscyplinarną jak zademonstrowałem prowadzącym co z tym można w kwestii
tych ocen zrobić.
Nikt nie myślał po prostu o takich rzeczach, i dwa, niewiele osób znało
nawet taki basic. Historia uczy, że problemy na ogół rozwiązuje się w
miarę ich pojawiania bo co tu rozwiązywać jak problemu nie ma?

--
Marcin

do góry

Użytkownik "Marcin Debowski" napisał w wiadomości grup
dyskusyjnych:DxspF.509384$H...@f...ams1...
On 2019-10-15, J.F. <j...@p...onet.pl> wrote:
> Dnia Mon, 14 Oct 2019 21:20:54 GMT, Marcin Debowski napisał(a):
>> On 2019-10-14, J.F. <j...@p...onet.pl> wrote:
>>>> IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w
>>>> 1975
>>>> tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
>>>> kiedy.
>>>> Ale od dawna. Na dlugo przed shadow.
>>>> I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos
>>>> nikt
>>>> nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat
>>>> ...
>>
>>> Sieć była w powijakach, dostęp do tych maszyn miała garstka
>>> wybranych i
>>> zapewne zaufanych użytkowników. Zupełnie inne warunki niż nastały
>>> z
>>> początkiem lat 90.
>
>> Studenci, pracownicy - czasem tysiacami.
>> A oprocz sieci byly modemy.

>Proporcjonalność środków do zagrożeń. Przecież i teraz wpuszczasz na
>teren uczelni tysiące osób, dajesz im dostęp do sprzętu wartego
>często
>setki tysięcy zł, czy takiego, który się daje wynieść. Nie
>zabezpieczasz
>tego jakoś bardzo szczególnie bo nie ma takiej potrzeby.

W Polsce moze nie ma potrzeby, ale w Anglii widzialem komputery
przymocowane linka czy lancuchem do sciany.
Telewizory, monitory.

W Polsce tez sie zdarza, ze przychodzi ktos to biura, o cos tam pyta,
wychodzi, a za chwile ... "gdzie jest moj telefon, gdzie jest moj
portfel, gdzie moja torebka" ...

>Tam MZ też jej wtedy nie było.

I o to wlasnie chodzi - haszowanie z pomoca DES bylo uwazane za
bezpieczne ... az przestalo byc.
Coraz szybsze komputery, coraz wiecej, coraz lepsze scalaki ...

>Mielismy na laborce z chemii fizycznej komputer, do którego
>wprowadzało
>się otrzymane w trakcie ćwiczeń wyniki i na podstawie stopnia
>spieprzenia zadania dostawało się ocenę. Nie pamiętam już co to była
>za
>maszyna, coś ze wszystkim zintegrowanym w jednej obudowie, ale sam
>program to był jakiś basic. Mało nie skończyło się to dla mnie akcją
>dyscyplinarną jak zademonstrowałem prowadzącym co z tym można w
>kwestii
>tych ocen zrobić.
>Nikt nie myślał po prostu o takich rzeczach, i dwa, niewiele osób
>znało
>nawet taki basic. Historia uczy, że problemy na ogół rozwiązuje się w
>miarę ich pojawiania bo co tu rozwiązywać jak problemu nie ma?

Kiedy wlasnie problem jest, tylko na razie nikt go nie wykorzystal.
Ty zademonstrowales, ktos inny byc moze wykorzystal ... a w banku moje
pieniadze lezą :-)

Na razie na szczescie srodek tych naszych systemow bankowych wyglada
na bezpieczny - tzn nie ujawniono zadnego wlamania na poziomie
systemowym.

J.

do góry

W dniu 16.10.2019 o 01:23, Marcin Debowski pisze:
>
> Proporcjonalność środków do zagrożeń. Przecież i teraz wpuszczasz na
> teren uczelni tysiące osób, dajesz im dostęp do sprzętu wartego często
> setki tysięcy zł, czy takiego, który się daje wynieść. Nie zabezpieczasz
> tego jakoś bardzo szczególnie bo nie ma takiej potrzeby. Tam MZ też jej
> wtedy nie było.
>

Ba. Jak w 1976 do CAMK-u przyszedł PDP-11, to przyjęto zasadę pracy, że
wszyscy działają na kontach z pełnymi uprawnieniami i bez haseł
(odpowiednik unixowego root). Po prostu praca na koncie szarego
użytkownika była zbyt upierdliwa, bez praw do montowania dysku czy
taśmy, a etatu dyżurnego operatora w ogóle nie było. Po prostu było
założenie, ze na listę dostępu do pomieszczenia wpisuje się osoby
przeszkolone i zaufane.

Potem pierwsze pecety też tak działały, ale różnica była taka, że był
jeden użytkownik naraz.

Wiele lat później, czytałem historię, że ktoś w USA w ramach zabawy
podpiął niepotrzebnego starego PDP-11 do internetu i wystawił bez hasła
z bannerem 'proszę bardzo, pobawcie się'. Opisywał, że przez pierwszych
kilka dni to się jacyś ludzie logowali, coś próbowali, jakieś
odpowiedniki 'dir' czy 'time' i znikali. Bardzo szybko zaczęli próby
niszczenia systemu (wtedy odtwarzał z backupu). Po tygodniu system był
już niszczony po kilku minutach od reinstalacji. I tak się zabawa skończyła.

MJ

do góry

W dniu 16.10.2019 o 13:16, Michał Jankowski pisze:
> Po tygodniu system był już niszczony po kilku minutach od
> reinstalacji
>

Tadeusz Różewicz (bodajże) w książce "Śmierć w starych dekoracjach"
napisał onegdaj:

/Tłumy Herostratesów przelewają się po ulicach naszych miast/
/srają nam na wycieraczkę, dzwonią do drzwi/
/i żądają papieru/

A ktoś inny tak skomentował wypisywanie czegoś-tam na zabytkowych murach:
- podpis wandala: /nie umiem tworzyć, więc niszczę/

--
Matematyka to księżniczka: jest piękna
Fizyka to potęga.
Logika to cudowne narzędzie.
Ale wszystkie te wspaniałe nauki muszą słuchać *polityków*
Tedy patrz tym draniom na ręce!

do góry