Wcale nie przypadkiem, dnia Wed, 25 Sep 2019 17:05:39 +0200
doszła do mnie wiadomość <5d8b82c4$0$530$65785112@news.neostrada.pl>
od "Eneuel Leszek Ciszewski" <p...@c...fontem.lucida.console> :

>316,889554103441*12=3802,67464924129 czyli niespełna 4 miesiące
>
>Jeśli postęp będzie szybszy -- być może za 10 lat wystarczą
>4 tygodnie lub... 4 godziny... ;)
>

Jest szybsza metoda, stopniowe zwiększanie różnicy potencjałów między cyckami a
jajkami.
--
Gdyby się wysadziło ich planety, zburzyło miasta,
spaliło księgi, a ich samych wytłukło do nogi,
może udałoby się ocalić naukę miłości bliźniego. SL.

do góry

Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
[PW crypt]
>> O tyle istotny, ze jak taki Mitnick "zlamal czlowieka", i odczytal
>> plik z haslami (zaszyfrowanymi),
>> to potem moglby odszyfrowac/zlamac te hasla i miec dostep przez
>> wszystkich uzytkownikow.
>> I ten jeden przestawal byc juz istotny - gdyby np zmienil haslo czy
>> skasowali go z serwera.

>Plik z hasłami był zwykle nie tylko zaszyfrowany, ale także
>niedostępny
>dla zwykłych userów. Wiem, nielegalnie (z punktu widzenia USA)
>sprowadzone systemy bez shadow password suite miały wszystko
>w /etc/passwd.

Ale shadow to od pewnego czasu, wczesniej byly passwd z haslami
dostepny.
Tylko uwazano to za niegrozne.

>Ale w takich przypadkach John the Ripper (a wcześniej
>inne Jacki itp) potrafił zwykle wyciągnąć 90% haseł, zdecydowanie
>szybciej niż łamiąc jakieś DESy. Poza tym, taki typowy atakujący
>raczej

Bo tez lamanie DES bylo wtedy dlugie.
A dzis ... sekundy ? :-)

>nie zadowolił się kontem zwykłego usera, a zwykle uzyskanie roota
>(jeśli
>mieliśmy dostęp do shella) to nie był raczej wielki wysiłek. Dodaj do
>tego instalację backdoorów i regularną "opiekę" i żadne łamania DESa
>nie są przydatne.

Owszem, tylko jak sie prawdziwy root zaopiekuje i pousuwa rozne
backdoory,
to sie hasla moga przydac.
A ludzie moga miec konta i na innych maszynach - i te same hasla.

>> Wiec dzis ... pare sekund dla bogatej agencji ?

>Możliwe. Aczkolwiek obawiam się, że dłużej, z tej prostej przyczyny,
>że
>obecnie pies z kulawą nogą nie interesuje się DESem, i mogą po prostu
>używać starego sprzętu :-)

Tez prawda :-)

>> Nawiasem mowiac - dla szyfrow o dluzszym bloku moze nie byc dluzej,
>> jesli klucz wprowadzany recznie ... komu sie bedzie chcialo 20
>> znakowe
>> haslo/klucz stosowac.

>To jest oczywiste, dlatego też w takich przypadkach kluczy nie
>generuje
>się na podstawie hasła. Hasło, jeśli w ogóle jakiekolwiek jest
>używane,
>służy tylko do wyciągnięcia kluczy.

Tak czy inaczej - haslo jest. I mozna probowac kolejne ...
ale to raczej zadanie dla agencji, bo jak widac - koszt spory.
Chyba, ze sie ma botneta na milionie komputerow ...

J.

do góry

W dniu 11.10.2019 o 14:59, Krzysztof Halasa pisze:
> Plik z hasłami był zwykle nie tylko zaszyfrowany, ale także
> niedostępny dla zwykłych userów.
>
Używałem kiedyś przeglądarki (lepiej nie będę zdradzał jaka to), która,
a jakże, ułatwiała życie zapamiętując twoje logowania na różnych
stronach, i oczywiście później już logowała cię automatycznie.

Odsłona druga:
- jakiś przypadek sprawił, że kursor (hm, fokus?) wjechał mi w jej
katalogu na pewien plik, a miałem w opcjach Win-Exploratora aktywną
opcję "pokaż okienko podglądu". No i patrzę w to okienko, i oczom swoim
nie wierzę, bo tam rządek po rządku widzę te swoje hasła do różnych
witryn!!!

Oczywiście natychmiast odinstalowałem to g**no, ale jestem niemal
pewien, że i w innych przeglądarkach autorzy popełnili taką niemal
zbrodniczą niefrasobliwość, i taki plik istnieje, i zaszyfrowany nie jest.

Uzerzy, nie łudźcie się, *każdy* ma w kompie potencjalnego pomocnika
szpionów!



--
Nie interesujesz się polityką? To lekkomyślne chowanie głowy w piasek!
Wszak polityka interesuje się tobą i tak, a rządzący też się interesują,
głównie zawartością twojego portfela. Dlatego zachowaj czujność!

do góry

Dnia Fri, 11 Oct 2019 16:14:57 +0200, JaNus napisał(a):
> W dniu 11.10.2019 o 14:59, Krzysztof Halasa pisze:
>> Plik z hasłami był zwykle nie tylko zaszyfrowany, ale także
>> niedostępny dla zwykłych userów.
>>
> Używałem kiedyś przeglądarki (lepiej nie będę zdradzał jaka to), która,
> a jakże, ułatwiała życie zapamiętując twoje logowania na różnych
> stronach, i oczywiście później już logowała cię automatycznie.
>
> Odsłona druga:
> - jakiś przypadek sprawił, że kursor (hm, fokus?) wjechał mi w jej
> katalogu na pewien plik, a miałem w opcjach Win-Exploratora aktywną
> opcję "pokaż okienko podglądu". No i patrzę w to okienko, i oczom swoim
> nie wierzę, bo tam rządek po rządku widzę te swoje hasła do różnych
> witryn!!!
>
> Oczywiście natychmiast odinstalowałem to g**no, ale jestem niemal
> pewien, że i w innych przeglądarkach autorzy popełnili taką niemal
> zbrodniczą niefrasobliwość, i taki plik istnieje, i zaszyfrowany nie jest.

Niekoniecznie, ale:
-gdzies to zapamietane jest, a to tylko pecet - mozna zalozyc, ze plik
jest dostepny. W windows co prawda przybywa roznych zabezpieczen.

-zaszyfrowane ... ale skoro przegladarka to uzywa, to musi umiec
odszyfrowac. To mozna przyjac, ze kazdy hacker umie.
Chyba, ze zaszyfrowane bedzie z uzyciem hasla uzytkownika jako
klucza. To bedzie troche trudniej.

> Uzerzy, nie łudźcie się, *każdy* ma w kompie potencjalnego pomocnika
> szpionów!

A to osobna sprawa ... MS i NSA, i FBI itd maja pelny dostep do
twojego komputera z Windows ? :-)

J.

do góry

"J.F." <j...@p...onet.pl> writes:

>> Plik z hasłami był zwykle nie tylko zaszyfrowany, ale także
>> niedostępny
>>dla zwykłych userów. Wiem, nielegalnie (z punktu widzenia USA)
>>sprowadzone systemy bez shadow password suite miały wszystko
>>w /etc/passwd.
>
> Ale shadow to od pewnego czasu, wczesniej byly passwd z haslami
> dostepny.

Tak jak napisałem.

> Tylko uwazano to za niegrozne.

Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.
Tyle że były groźniejsze rzeczy. Jak już ktoś miał konto na danej
maszynie, to zakładano, że jest względnie godny zaufania, poza tym
bardzo trudno było (i zresztą jest) dobrze zabezpieczyć maszynę przed
shellowymi userami.

BTW wiesz jak ciekawie było tam, gdzie system był wyeksportowany zgodnie
z prawem, i gdzie nie było jeszcze shadow password suite? :-)
Aczkolwiek co to dokładnie za system był to już nie pamiętam.

> Bo tez lamanie DES bylo wtedy dlugie.
> A dzis ... sekundy ? :-)

Jeśli dysponowałbyś jakimś distributed.net, to może (też nie). Normalnie
to jest wciąż rzędy wielkości dłuższe.

> Owszem, tylko jak sie prawdziwy root zaopiekuje i pousuwa rozne
> backdoory,
> to sie hasla moga przydac.

Jeśli się wcześniej nie opiekował, to bym się nie spodziewał. Ale może
jakiś nowy root.
Usuwanie backdoorów, trudna sprawa. Mogą być wszędzie. W ROMie
sterownika dysków także :-)

> A ludzie moga miec konta i na innych maszynach - i te same hasla.

Na to były Jacki i inne Johny.
--
Krzysztof Hałasa

do góry

"J.F." <j...@p...onet.pl> writes:

> A to osobna sprawa ... MS i NSA, i FBI itd maja pelny dostep do
> twojego komputera z Windows ? :-)

I pewnie CBA i CBŚ i ABW i kupa innych...
--
Krzysztof Hałasa

do góry

Dnia Sat, 12 Oct 2019 23:10:06 +0200, Krzysztof Halasa napisał(a):
> "J.F." <j...@p...onet.pl> writes:
>
>> A to osobna sprawa ... MS i NSA, i FBI itd maja pelny dostep do
>> twojego komputera z Windows ? :-)
>
> I pewnie CBA i CBŚ i ABW i kupa innych...

Troche watpie.
NSA moze im dane da, ale niekoniecznie,
a w ogole to sie nie przyzna, ze ma dostep :-)

A teraz jeszcze moda na trzymanie danych w chmurze ...

J.

do góry

On 2019-10-12, Krzysztof Halasa <k...@p...waw.pl> wrote:
> "J.F." <j...@p...onet.pl> writes:
>> Tylko uwazano to za niegrozne.
> Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.
> Tyle że były groźniejsze rzeczy. Jak już ktoś miał konto na danej
> maszynie, to zakładano, że jest względnie godny zaufania, poza tym
> bardzo trudno było (i zresztą jest) dobrze zabezpieczyć maszynę przed
> shellowymi userami.

A co się właściwie stało z całym pędem w kierunku SELinuksa, jaki
obserwowało się w pierwszej dekadzie po 2000? Rozumiem, że działa to na
Androidzie, ale w popularnych, standardowych dystrybucjach nigdzie chyba
nie jest opcją domyślną, czy nawet opcją instalacyjną? Pamiętam kupę
upierdliwości z pracą / administracją na takich systemach, ale to jakoś
nie tłumaczy czemu zdechło. Bo NSA czy inne powody?

--
Marcin

do góry

W dniu 12.10.2019 o 23:07, Krzysztof Halasa pisze:
> "J.F." <j...@p...onet.pl> writes:
>
>>> Plik z hasłami był zwykle nie tylko zaszyfrowany, ale także
>>> niedostępny
>>> dla zwykłych userów. Wiem, nielegalnie (z punktu widzenia USA)
>>> sprowadzone systemy bez shadow password suite miały wszystko
>>> w /etc/passwd.
>>
>> Ale shadow to od pewnego czasu, wczesniej byly passwd z haslami
>> dostepny.
>
> Tak jak napisałem.

No właśnie nie. Przez długie lata o shadow nikomu się nie śniło, hash
uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś
"nielegalność" (niby jaką?), tylko o fakty historyczne.

>
>> Tylko uwazano to za niegrozne.
>
> Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.

Ale to było 20 lat później.

MJ

do góry

"J.F." <j...@p...onet.pl> writes:

>>> A to osobna sprawa ... MS i NSA, i FBI itd maja pelny dostep do
>>> twojego komputera z Windows ? :-)
>>
>> I pewnie CBA i CBŚ i ABW i kupa innych...
>
> Troche watpie.
> NSA moze im dane da, ale niekoniecznie,
> a w ogole to sie nie przyzna, ze ma dostep :-)

NSA bezpośrednio nie da, ale nie tylko NSA istnieje.
Są tacy, którzy dadzą. Weźmy np. taki Bliski Wschód.

> A teraz jeszcze moda na trzymanie danych w chmurze ...

A to prawda. A chmura u Wuja Sama, ew. na Bliskim Wschodzie.
--
Krzysztof Hałasa

do góry