On 2019-10-15, J.F. <j...@p...onet.pl> wrote:
> Dnia Mon, 14 Oct 2019 21:20:54 GMT, Marcin Debowski napisał(a):
>> On 2019-10-14, J.F. <j...@p...onet.pl> wrote:
>>> IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975
>>> tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
>>> kiedy.
>>> Ale od dawna. Na dlugo przed shadow.
>>> I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt
>>> nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...
>>
>> Sieć była w powijakach, dostęp do tych maszyn miała garstka wybranych i
>> zapewne zaufanych użytkowników. Zupełnie inne warunki niż nastały z
>> początkiem lat 90.
>
> Studenci, pracownicy - czasem tysiacami.
> A oprocz sieci byly modemy.

Proporcjonalność środków do zagrożeń. Przecież i teraz wpuszczasz na
teren uczelni tysiące osób, dajesz im dostęp do sprzętu wartego często
setki tysięcy zł, czy takiego, który się daje wynieść. Nie zabezpieczasz
tego jakoś bardzo szczególnie bo nie ma takiej potrzeby. Tam MZ też jej
wtedy nie było.

> Jakos "hacker" to slowo sprzed internetu ... no nie - internet tez
> stare slowo, ale nie zawsze tak popularne - bo poczatkowo tez tylko
> dla wybranych.

Dodakowo, to nie był przeciez sprzęt popularny i powszechnie obeznany,
co też ograniczało liczbę potencjalnych zamachów. MZ do pewnego momentu
nikt po prostu takich rzeczy nie analizował, właśnie ze względu na brak
potrzeby i ograniczoną liczbę spraw związanych z jakimiś nadużyciami.

Mielismy na laborce z chemii fizycznej komputer, do którego wprowadzało
się otrzymane w trakcie ćwiczeń wyniki i na podstawie stopnia
spieprzenia zadania dostawało się ocenę. Nie pamiętam już co to była za
maszyna, coś ze wszystkim zintegrowanym w jednej obudowie, ale sam
program to był jakiś basic. Mało nie skończyło się to dla mnie akcją
dyscyplinarną jak zademonstrowałem prowadzącym co z tym można w kwestii
tych ocen zrobić.
Nikt nie myślał po prostu o takich rzeczach, i dwa, niewiele osób znało
nawet taki basic. Historia uczy, że problemy na ogół rozwiązuje się w
miarę ich pojawiania bo co tu rozwiązywać jak problemu nie ma?

--
Marcin

do góry

Użytkownik "Marcin Debowski" napisał w wiadomości grup
dyskusyjnych:DxspF.509384$H...@f...ams1...
On 2019-10-15, J.F. <j...@p...onet.pl> wrote:
> Dnia Mon, 14 Oct 2019 21:20:54 GMT, Marcin Debowski napisał(a):
>> On 2019-10-14, J.F. <j...@p...onet.pl> wrote:
>>>> IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w
>>>> 1975
>>>> tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
>>>> kiedy.
>>>> Ale od dawna. Na dlugo przed shadow.
>>>> I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos
>>>> nikt
>>>> nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat
>>>> ...
>>
>>> Sieć była w powijakach, dostęp do tych maszyn miała garstka
>>> wybranych i
>>> zapewne zaufanych użytkowników. Zupełnie inne warunki niż nastały
>>> z
>>> początkiem lat 90.
>
>> Studenci, pracownicy - czasem tysiacami.
>> A oprocz sieci byly modemy.

>Proporcjonalność środków do zagrożeń. Przecież i teraz wpuszczasz na
>teren uczelni tysiące osób, dajesz im dostęp do sprzętu wartego
>często
>setki tysięcy zł, czy takiego, który się daje wynieść. Nie
>zabezpieczasz
>tego jakoś bardzo szczególnie bo nie ma takiej potrzeby.

W Polsce moze nie ma potrzeby, ale w Anglii widzialem komputery
przymocowane linka czy lancuchem do sciany.
Telewizory, monitory.

W Polsce tez sie zdarza, ze przychodzi ktos to biura, o cos tam pyta,
wychodzi, a za chwile ... "gdzie jest moj telefon, gdzie jest moj
portfel, gdzie moja torebka" ...

>Tam MZ też jej wtedy nie było.

I o to wlasnie chodzi - haszowanie z pomoca DES bylo uwazane za
bezpieczne ... az przestalo byc.
Coraz szybsze komputery, coraz wiecej, coraz lepsze scalaki ...

>Mielismy na laborce z chemii fizycznej komputer, do którego
>wprowadzało
>się otrzymane w trakcie ćwiczeń wyniki i na podstawie stopnia
>spieprzenia zadania dostawało się ocenę. Nie pamiętam już co to była
>za
>maszyna, coś ze wszystkim zintegrowanym w jednej obudowie, ale sam
>program to był jakiś basic. Mało nie skończyło się to dla mnie akcją
>dyscyplinarną jak zademonstrowałem prowadzącym co z tym można w
>kwestii
>tych ocen zrobić.
>Nikt nie myślał po prostu o takich rzeczach, i dwa, niewiele osób
>znało
>nawet taki basic. Historia uczy, że problemy na ogół rozwiązuje się w
>miarę ich pojawiania bo co tu rozwiązywać jak problemu nie ma?

Kiedy wlasnie problem jest, tylko na razie nikt go nie wykorzystal.
Ty zademonstrowales, ktos inny byc moze wykorzystal ... a w banku moje
pieniadze lezą :-)

Na razie na szczescie srodek tych naszych systemow bankowych wyglada
na bezpieczny - tzn nie ujawniono zadnego wlamania na poziomie
systemowym.

J.

do góry

W dniu 16.10.2019 o 01:23, Marcin Debowski pisze:
>
> Proporcjonalność środków do zagrożeń. Przecież i teraz wpuszczasz na
> teren uczelni tysiące osób, dajesz im dostęp do sprzętu wartego często
> setki tysięcy zł, czy takiego, który się daje wynieść. Nie zabezpieczasz
> tego jakoś bardzo szczególnie bo nie ma takiej potrzeby. Tam MZ też jej
> wtedy nie było.
>

Ba. Jak w 1976 do CAMK-u przyszedł PDP-11, to przyjęto zasadę pracy, że
wszyscy działają na kontach z pełnymi uprawnieniami i bez haseł
(odpowiednik unixowego root). Po prostu praca na koncie szarego
użytkownika była zbyt upierdliwa, bez praw do montowania dysku czy
taśmy, a etatu dyżurnego operatora w ogóle nie było. Po prostu było
założenie, ze na listę dostępu do pomieszczenia wpisuje się osoby
przeszkolone i zaufane.

Potem pierwsze pecety też tak działały, ale różnica była taka, że był
jeden użytkownik naraz.

Wiele lat później, czytałem historię, że ktoś w USA w ramach zabawy
podpiął niepotrzebnego starego PDP-11 do internetu i wystawił bez hasła
z bannerem 'proszę bardzo, pobawcie się'. Opisywał, że przez pierwszych
kilka dni to się jacyś ludzie logowali, coś próbowali, jakieś
odpowiedniki 'dir' czy 'time' i znikali. Bardzo szybko zaczęli próby
niszczenia systemu (wtedy odtwarzał z backupu). Po tygodniu system był
już niszczony po kilku minutach od reinstalacji. I tak się zabawa skończyła.

MJ

do góry

W dniu 16.10.2019 o 13:16, Michał Jankowski pisze:
> Po tygodniu system był już niszczony po kilku minutach od
> reinstalacji
>

Tadeusz Różewicz (bodajże) w książce "Śmierć w starych dekoracjach"
napisał onegdaj:

/Tłumy Herostratesów przelewają się po ulicach naszych miast/
/srają nam na wycieraczkę, dzwonią do drzwi/
/i żądają papieru/

A ktoś inny tak skomentował wypisywanie czegoś-tam na zabytkowych murach:
- podpis wandala: /nie umiem tworzyć, więc niszczę/

--
Matematyka to księżniczka: jest piękna
Fizyka to potęga.
Logika to cudowne narzędzie.
Ale wszystkie te wspaniałe nauki muszą słuchać *polityków*
Tedy patrz tym draniom na ręce!

do góry

On 2019-10-16, J.F. <j...@p...onet.pl> wrote:
> Użytkownik "Marcin Debowski" napisał w wiadomości grup
>>Proporcjonalność środków do zagrożeń. Przecież i teraz wpuszczasz na
>>teren uczelni tysiące osób, dajesz im dostęp do sprzętu wartego
>>często
>>setki tysięcy zł, czy takiego, który się daje wynieść. Nie
>>zabezpieczasz
>>tego jakoś bardzo szczególnie bo nie ma takiej potrzeby.
>
> W Polsce moze nie ma potrzeby, ale w Anglii widzialem komputery
> przymocowane linka czy lancuchem do sciany.
> Telewizory, monitory.

Może paranoja, może wymóg ubezpieczenia, a może bo sprzet lubie wedrować
(niekoniecznie jako ukradziony) a przymocowywanie nie wykazuje znacznego
stopnia upiedliwości. Nb. mój jest też w pracy przymocowany.

> W Polsce tez sie zdarza, ze przychodzi ktos to biura, o cos tam pyta,
> wychodzi, a za chwile ... "gdzie jest moj telefon, gdzie jest moj
> portfel, gdzie moja torebka" ...

Osoba postronna vs pracownik/student. Inny przypadek.

>>Tam MZ też jej wtedy nie było.
>
> I o to wlasnie chodzi - haszowanie z pomoca DES bylo uwazane za
> bezpieczne ... az przestalo byc.
> Coraz szybsze komputery, coraz wiecej, coraz lepsze scalaki ...

No tak. Ale szybsze komputery i cała reszta to tylko jeden z czynników.
Nigdy przeciez nie jest tak, że coś może być czy jest bezwzględnie
bezpieczne. Jest jakis poziom praktyczności rozwiązań, który ogranicza
pułap paranoi.

>>nawet taki basic. Historia uczy, że problemy na ogół rozwiązuje się w
>>miarę ich pojawiania bo co tu rozwiązywać jak problemu nie ma?
>
> Kiedy wlasnie problem jest, tylko na razie nikt go nie wykorzystal.

To nie jest problem, to jest techniczna/fizyczna właściwość umozliwiająca
zaistnienie problemu.

> Ty zademonstrowales, ktos inny byc moze wykorzystal ... a w banku moje
> pieniadze lezą :-)

Na ulicy, którą przejeżdża jedno auto na dobę nie specjalnie jest sens
robić bezkolizyjne przejście dla pieszych, ale na identycznej ulicy z
duzym ruchem samochodowym i pieszym sens już może być.

--
Marcin

do góry

On 2019-10-16, Michał Jankowski <m...@f...edu.pl> wrote:
> Wiele lat później, czytałem historię, że ktoś w USA w ramach zabawy
> podpiął niepotrzebnego starego PDP-11 do internetu i wystawił bez hasła
> z bannerem 'proszę bardzo, pobawcie się'. Opisywał, że przez pierwszych
> kilka dni to się jacyś ludzie logowali, coś próbowali, jakieś
> odpowiedniki 'dir' czy 'time' i znikali. Bardzo szybko zaczęli próby
> niszczenia systemu (wtedy odtwarzał z backupu). Po tygodniu system był
> już niszczony po kilku minutach od reinstalacji. I tak się zabawa skończyła.

Amatorów niszczenia będzie zawsze wielu, szczególnie gdy pozostają w
przekonaniu o własnej anonimowości.

--
Marcin

do góry

"J.F." <j...@p...onet.pl> writes:

>> Piszę, że przeszkadzało. Nie każdy mógł zobaczyć hasło w passwd.
>> Tylko
>>zalogowani userzy shellowi.
>
> Czy nie Ty pisales, ze anonimowi ftp tez ?

To też - ale wcześniej. A więc przeszkadzało :-)

> A reszta nadal uwazana za bezpieczne :-)

Nietrywialne hasła (niemożliwe do złamania metodą słownikową) były
bezpieczne na pewno do lat 90.

> Czyli ciagle uwazamy hashowanie hasel za bezpieczne, czy tylko chowamy
> glowy w piasek ? :-)

Nie uważamy za bezpieczne, bo są (i były od dawna, na pewno od lat 80)
programy do łamania słownikowego. Poza tym, pomijając DES itp. -
zasadniczo są bezpieczne :-)
--
Krzysztof Hałasa

do góry

"J.F." <j...@p...onet.pl> writes:

[UNIX]
> Nie wiem czy jakikolwiek byl kupiony do PRL przed 1982

Przed 82 to nie wiem, ale przed 87 - na pewno.

> ... ale
> przestrzegano wtedy tak bardzo COCOM w tym zakresie ?

COCOMu czy nie COCOMu - z COCOMem byłoby pewnie łatwiej, bo można było
go eksportować z USA. Różne rzeczy objęte COCOMem były w Polsce
dostępne, chociaż pewnie kosztowały więcej niż gdyby COCOMu nie było.
A DES był po prostu objęty zakazem, trzeba było mieć każdorazowo
zezwolenie, nawet na eksport do UK czy innej Australii. I po eksporcie
tamże wcale nie oznaczało to końca zezwoleń itd. - tak jak teraz, gdy
np. w Polsce kupimy jakiś nawet trywialny kawałek sprzętu z listy np.
"dualnego zastosowania".

> Rosjanie jakos nie mieli problemu z piraceniem calych systemow.
> Ale czy Unixem byli zainteresowani ...
>
> Kopiowali PDP-11, kopiowali VAX - ale na obu unix byl tylko dodatkowym
> systemem.

Ruskiej wersji VAXa nie widziałem, ale PDP-11 owszem. Z tym że to były
małe maszynki, nawet zwykły pecet 386 (pomijając DOSa itp) był
mocniejszy.

> Przynajmniej na tyle odkrywcze, ze tworcy systemu na ktorym to
> zobaczyles nie uwazali za stosowne zmienic.
> A historie znamy - w okolicahc 1987 pojawilo sie shadow suite.

Co oznacza, że wcześniej było pewnie N prywatnych wersji.

> No i ciagle byl RSA - niby zakazany, a jednoczesnie latwy do napisania
> gdziekolwiek ... tylko uwazac na patenty.

Patenty były 10x mniej istotne od COCOMów, ITARów itd.
--
Krzysztof Hałasa

do góry

Dnia Thu, 17 Oct 2019 20:43:41 +0200, Krzysztof Halasa napisał(a):
> "J.F." <j...@p...onet.pl> writes:
> [UNIX]
>> Nie wiem czy jakikolwiek byl kupiony do PRL przed 1982
>
> Przed 82 to nie wiem, ale przed 87 - na pewno.

Do 1981 mielismy "przyjacielskie stosunki", i nie wiem czy ktos sie
przejmowal czyms takim, jak system operacyjny ogolnego przeznaczenia.
Tylko akurat pod koniec to juz nie mielismy pieniedzy.

13 grudnia sie skonczylo ...

>> ... ale
>> przestrzegano wtedy tak bardzo COCOM w tym zakresie ?
>
> COCOMu czy nie COCOMu - z COCOMem byłoby pewnie łatwiej, bo można było
> go eksportować z USA. Różne rzeczy objęte COCOMem były w Polsce
> dostępne, chociaż pewnie kosztowały więcej niż gdyby COCOMu nie było.
> A DES był po prostu objęty zakazem, trzeba było mieć każdorazowo
> zezwolenie, nawet na eksport do UK czy innej Australii. I po eksporcie
> tamże wcale nie oznaczało to końca zezwoleń itd. - tak jak teraz, gdy
> np. w Polsce kupimy jakiś nawet trywialny kawałek sprzętu z listy np.
> "dualnego zastosowania".

COCOM tez do tego sluzyl, ale jak cos mozna w Anglii w sklepie na
półce kupic, to ta kontrola jest iluzoryczna.

>> Rosjanie jakos nie mieli problemu z piraceniem calych systemow.
>> Ale czy Unixem byli zainteresowani ...
>>
>> Kopiowali PDP-11, kopiowali VAX - ale na obu unix byl tylko dodatkowym
>> systemem.
>
> Ruskiej wersji VAXa nie widziałem, ale PDP-11 owszem.

Wiki twierdzi, ze i VAX'y byly.

> Z tym że to były
> małe maszynki, nawet zwykły pecet 386 (pomijając DOSa itp) był
> mocniejszy.

Ale Unix sie zaczal na PDP-7, a potem dlugo na PDP-11 pracowal
https://en.wikipedia.org/wiki/History_of_Unix

Akurat czy wtedy uzywali DES do hasel, to sie nie upieram.

>> Przynajmniej na tyle odkrywcze, ze tworcy systemu na ktorym to
>> zobaczyles nie uwazali za stosowne zmienic.
>> A historie znamy - w okolicahc 1987 pojawilo sie shadow suite.
> Co oznacza, że wcześniej było pewnie N prywatnych wersji.

A reszta ciagle nie miala.

>> No i ciagle byl RSA - niby zakazany, a jednoczesnie latwy do napisania
>> gdziekolwiek ... tylko uwazac na patenty.
> Patenty były 10x mniej istotne od COCOMów, ITARów itd.

Szczegolnie, ze w wielu krajach nie opatentowano.

J.

do góry