Marcin Debowski <a...@I...zoho.com> writes:

> A co się właściwie stało z całym pędem w kierunku SELinuksa, jaki
> obserwowało się w pierwszej dekadzie po 2000? Rozumiem, że działa to na
> Androidzie, ale w popularnych, standardowych dystrybucjach nigdzie chyba
> nie jest opcją domyślną, czy nawet opcją instalacyjną?

Nie jest to prawda.
--
Krzysztof Hałasa

do góry

Michal Jankowski <m...@f...edu.pl> writes:

> No właśnie nie. Przez długie lata o shadow nikomu się nie śniło, hash
> uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś
> "nielegalność" (niby jaką?), tylko o fakty historyczne.

Nielegalność dotyczyła samej funkcji crypt (i w ogóle DES). Przez długi
czas eksport tej funkcji z USA i Kanady był nielegalny. Potrzebne było
specjalne zezwolenie (IIRC DoD, w końcówce chyba DoC). Jak chętnie DoD
wydawał takie zezwolenia, zwłaszcza na eksport do krajów "objętych"
COCOMem, to pewnie pamiętasz.

To nie są fakty historyczne?

BTW widziałem system, w którym nie było ani shadow, ani crypt - wiesz co
trzymane było w /etc/passwd? System był zapewne wyeksportowany zgodnie
z prawem, to była jakaś przemysłowa maszyna.

BTW mam także delikatne wrażenie, że wersje BSD eksportowane oficjalnie
do nas nie miały crypt() (ani shadow password suite rzecz jasna). Ale to
oczywiście nie miało(by) większego znaczenia.

Zupełnie inną sprawą jest to, że systemy pracujące w Polsce (zarówno
soft, jak i sprzęt) były sprowadzane "z obejściem" zarówno COCOMu, jak
i zezwoleń DoD. A często także "z obejściem" wszelkiego prawa
autorskiego.

>>> Tylko uwazano to za niegrozne.
>> Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.
> Ale to było 20 lat później.

Nie wiem co było 20 lat wcześniej, możliwe że wtedy jeszcze nie żyłem,
a w każdym razie nie widziałem wtedy komputera na oczy. Tak czy owak,
trzymanie haszy w dostępnych plikach uważano za groźne, chociaż może nie
aż tak groźne jak np. dostęp shellowy. Zauważ że we wcześniejszych
wersjach ftpd anonimowi userzy mogli bez problemu pobrać zawartość pliku
passwd (prawdziwego) - jak również każdego innego pliku
ogólnodostępnego. Później to się zmieniło, anonimowi mieli coś w rodzaju
(prostego) chroota, z podlinkowanymi (zwykle) /home i ew. /bin /lib /usr
itp., jeśli było potrzebne (np. /bin/ls) - bez oryginalnego /etc.

Swoją drogą, pamiętam ludzi wpisujących w takie dummy passwd różne łatwe do
złamania napisy :-)
W rodzaju 0why 1are 2you 3wasting itd. - coś takiego, nie?
--
Krzysztof Hałasa

do góry

W dniu 13.10.2019 o 15:25, Krzysztof Halasa pisze:
> Swoją drogą, pamiętam ludzi wpisujących w takie dummy passwd różne
> łatwe do złamania napisy
>
Mieliśmy program sprzedażowy od polskiej firmy, ponoć "profesjonalnej".
Plik z hasłami miał je zaszyfrowane, po swoim szybko wyczaiłem jaką
metodą, i jak na dłoni miałem hasła pozostałych użytkowników.

Dużo już później, kiedy z powodu zainteresowania L. pierwszymi liznąłem
też nieco wiedzy z kryptografii, dowiedziałem się, że był to "szyfr
Cezara", jeden z pierwszych na świecie, siłą rzeczy prościutki.

Aby "profesjonaliści" nie potrafili spytać innych zawodowców, jak się
trzeba zabezpieczać? Eeech, te nasze "polactwo"...


--
Nie interesujesz się polityką? To lekkomyślne chowanie głowy w piasek!
Wszak polityka interesuje się tobą i tak, a rządzący też się interesują,
głównie zawartością twojego portfela. Dlatego zachowaj czujność!

do góry

JaNus <p...@b...pl> writes:

> Mieliśmy program sprzedażowy od polskiej firmy, ponoć "profesjonalnej".
> Plik z hasłami miał je zaszyfrowane, po swoim szybko wyczaiłem jaką
> metodą, i jak na dłoni miałem hasła pozostałych użytkowników.

Plik był dostępny dla każdego?

Inna sprawa, że tak czy owak 90% haseł da się złamać metodą słownikową.
Może teraz nieco wzrosła "świadomość społeczna" - 80%?
--
Krzysztof Hałasa

do góry

Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
JaNus <p...@b...pl> writes:
>> Mieliśmy program sprzedażowy od polskiej firmy, ponoć
>> "profesjonalnej".
>> Plik z hasłami miał je zaszyfrowane, po swoim szybko wyczaiłem jaką
>> metodą, i jak na dłoni miałem hasła pozostałych użytkowników.

>Plik był dostępny dla każdego?

Na DOS/Windows ?
Praktycznie tak.

>Inna sprawa, że tak czy owak 90% haseł da się złamać metodą
>słownikową.

Ale musisz jednak troche pohackowac program, zeby zobaczyc jak to to
liczy.

>Może teraz nieco wzrosła "świadomość społeczna" - 80%?

J.

do góry

Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
Michal Jankowski <m...@f...edu.pl> writes:
>> No właśnie nie. Przez długie lata o shadow nikomu się nie śniło,
>> hash
>> uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś
>> "nielegalność" (niby jaką?), tylko o fakty historyczne.

>Nielegalność dotyczyła samej funkcji crypt (i w ogóle DES). Przez
>długi
>czas eksport tej funkcji z USA i Kanady był nielegalny. Potrzebne
>było
>specjalne zezwolenie (IIRC DoD, w końcówce chyba DoC). Jak chętnie
>DoD
>wydawał takie zezwolenia, zwłaszcza na eksport do krajów "objętych"
>COCOMem, to pewnie pamiętasz.
>To nie są fakty historyczne?

A jednak jakos nieliczne uniksy do nas trafialy.

A moze po prostu nie mialy funkcji crypt - tzn odpowiednie programy
byly skompilowane ze statyczna funkcja ?

>BTW mam także delikatne wrażenie, że wersje BSD eksportowane
>oficjalnie
>do nas nie miały crypt() (ani shadow password suite rzecz jasna). Ale
>to
>oczywiście nie miało(by) większego znaczenia.

Przy czym w tym swietle to shadow nie ma znaczenia - tzn nie jest
zakazane czy dozwolone.

>>>> Tylko uwazano to za niegrozne.
>>> Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow
>>> passwords.
>> Ale to było 20 lat później.

>Nie wiem co było 20 lat wcześniej, możliwe że wtedy jeszcze nie
>żyłem,
>a w każdym razie nie widziałem wtedy komputera na oczy. Tak czy owak,
>trzymanie haszy w dostępnych plikach uważano za groźne, chociaż może
>nie

Ale 20 lat pozniej.

https://en.wikipedia.org/wiki/Passwd
Password shadowing first appeared in Unix systems with the development
of SunOS in the mid-1980s,[10] System V Release 3.2 in 1988 and BSD4.3
Reno in 1990.
But, vendors who had performed ports from earlier UNIX releases did
not always include the new password shadowing features in their
releases, leaving users of those systems exposed to password file
attacks.

In 1987 the author of the original Shadow Password Suite, Julie Haugh,
experienced a computer break-in and wrote the initial release of the
Shadow Suite containing the login, passwd and su commands. The
original release, written for the SCO Xenix operating system, quickly
got ported to other platforms.
The Shadow Suite was ported to Linux in 1992 one year after the
original announcement of the Linux project, and was included in many
early distributions, and continues to be included in many current
Linux distributions.

>aż tak groźne jak np. dostęp shellowy.

A ponoc unix taki bezpieczny :-)

>Zauważ że we wcześniejszych
>wersjach ftpd anonimowi userzy mogli bez problemu pobrać zawartość
>pliku
>passwd (prawdziwego) - jak również każdego innego pliku
>ogólnodostępnego. Później to się zmieniło, anonimowi mieli coś w
>rodzaju
>(prostego) chroota, z podlinkowanymi (zwykle) /home i ew. /bin /lib
>/usr
>itp., jeśli było potrzebne (np. /bin/ls) - bez oryginalnego /etc.

No wlasnie - razem z tymi zaszyfrowanymi haslami, i nikomu to nie
przeszkadzalo.

J.

do góry

W dniu 13.10.2019 o 15:25, Krzysztof Halasa pisze:
> Michal Jankowski <m...@f...edu.pl> writes:
>
>> No właśnie nie. Przez długie lata o shadow nikomu się nie śniło, hash
>> uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś
>> "nielegalność" (niby jaką?), tylko o fakty historyczne.
>
> Nielegalność dotyczyła samej funkcji crypt (i w ogóle DES). Przez długi
> czas eksport tej funkcji z USA i Kanady był nielegalny. Potrzebne było
> specjalne zezwolenie (IIRC DoD, w końcówce chyba DoC). Jak chętnie DoD
> wydawał takie zezwolenia, zwłaszcza na eksport do krajów "objętych"
> COCOMem, to pewnie pamiętasz.

Ale to, czy system z hasłami haszowanymi przez DES wolno było
eksportować nie ma się kompletnie nijak do tego, czy te hasła były w
/etc/passwd czy w /etc/shadow

No więc ja ci mówię, że przez początkowe lata było wyłącznie /etc/passwd
i tyle. passwd z haszowanymi hasłami było już co najmniej w Unix v6
(1975), a może i wcześniej. Wynalazek shadow to jest ca. 1987, ale
jeszcze głęboko w lata 90. wiele systemów tego nie miało...

MJ
PS. Nawiasem mówiąc, zniesienie restrykcji eksportowych na DES użyty do
uwierzytelniania (czyli tak jak tu), a nie do szyfrowania plików, to
jest bodajże 1989.

do góry

"J.F." <j...@p...onet.pl> writes:

> Na DOS/Windows ?
> Praktycznie tak.

No, wiesz, nie wiadomo jak to było zrobione. DOS/ew. Windows to mogły
być tylko końcówki. Z drugiej strony, jak to był np. Clipper, to
rzeczywiście wszystko pewnie było dostępne - ale co można było zrobić?
Ew. bardziej zagmatwać "szyfrowanie".

>> Inna sprawa, że tak czy owak 90% haseł da się złamać metodą
>> słownikową.
>
> Ale musisz jednak troche pohackowac program, zeby zobaczyc jak to to
> liczy.

No ale to nie jest problem zaporowy.
--
Krzysztof Hałasa

do góry

"J.F." <j...@p...onet.pl> writes:

> A jednak jakos nieliczne uniksy do nas trafialy.
>
> A moze po prostu nie mialy funkcji crypt - tzn odpowiednie programy
> byly skompilowane ze statyczna funkcja ?

Restrykcje dotyczyły także statycznie zlinkowanych funkcji.
BTW wiele systemów w ogóle nie miało dynamicznych bibliotek.

> Przy czym w tym swietle to shadow nie ma znaczenia - tzn nie jest
> zakazane czy dozwolone.

Tak, btw były wersje z shadow, które nie używały szyfrowania crypt().
Nie dam głowy co to było takiego, ale możliwe że pierwsza (pierwsze?)
wersje 386BSD tak miały. Szyfrowanie należało sobie ściągnąć oddzielnie
(i to w dalszym ciągu było wtedy nielegalne - mimo że już nie było
COCOMu, a w każdym razie nas nie dotyczył).

> https://en.wikipedia.org/wiki/Passwd
> Password shadowing first appeared in Unix systems with the development
> of SunOS in the mid-1980s,[10] System V Release 3.2 in 1988 and BSD4.3
> Reno in 1990.

To pewnie tak było. 386BSD 0.0 był oparty na BSD4.3 (to się nazywało
Net/2, nie wiem jak się to miało do Reno), i tam chyba nie trzeba było
oddzielnie instalować shadowów. Zdaje się że to tam był plik
/etc/master.passwd (i jeszcze jakiś - zamiast obecnych nazw).
Teoretycznie to mogło być dopiero w NetBSD, choć wątpię.

> The Shadow Suite was ported to Linux in 1992 one year after the
> original announcement of the Linux project, and was included in many
> early distributions, and continues to be included in many current
> Linux distributions.

Linuksa wtedy nie używałem, pierwszym moim Linuksem był jakiś tam SLS
- i tam chyba zawsze był shadow. Były za to inne braki - wiele braków.

>>aż tak groźne jak np. dostęp shellowy.
>
> A ponoc unix taki bezpieczny :-)

No, w ogóle była tam jakaś kontrola uprawnień, w odróżnieniu od
DOS/Windows. Ale zasadniczo uznawało się, że jeśli ktoś ma dostęp
shellowy, to jest w stanie uzyskać roota.
Dopiero po wielu latach, pewnie w tym tysiącleciu :-) zaczęto uważać
inaczej. Czy słusznie, to też nieco wątpię.

> No wlasnie - razem z tymi zaszyfrowanymi haslami, i nikomu to nie
> przeszkadzalo.

No więc przeszkadzało. Stąd dummy /etc, a później w ogóle shadow dla
wszystkich userów.
--
Krzysztof Hałasa

do góry

Michal Jankowski <m...@f...edu.pl> writes:

> Ale to, czy system z hasłami haszowanymi przez DES wolno było
> eksportować nie ma się kompletnie nijak do tego, czy te hasła były w
> /etc/passwd czy w /etc/shadow

Jasne. To były dwa zupełnie ortogonalne mechanizmy, tyle że miały
wspólny cel.

> No więc ja ci mówię, że przez początkowe lata było wyłącznie
> /etc/passwd i tyle. passwd z haszowanymi hasłami było już co najmniej
> w Unix v6 (1975), a może i wcześniej. Wynalazek shadow to jest ca.
> 1987, ale jeszcze głęboko w lata 90. wiele systemów tego nie miało...

No wiem przecież, przecież napisałem (pomijając to, że nie używałem
takich zabawek w latach 70).
Ty ze swojej strony zrozum, że hashowane hasła to nie było nic
oczywistego, i to w latach 80, a pewnie także na początku lat 90,
w szczególności w realiach PRL i bloku wschodniego.

> PS. Nawiasem mówiąc, zniesienie restrykcji eksportowych na DES użyty
> do uwierzytelniania (czyli tak jak tu), a nie do szyfrowania plików,
> to jest bodajże 1989.

Też mi się coś podobnego wydaje, ale w każdym razie było to późno.
Zdaje się można też było używać DES z kluczem max 40-bitowym (do
szyfrowania). Ale w starszych systemach mogło się to ciągnąć długo.
--
Krzysztof Hałasa

do góry