Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
>> A jednak jakos nieliczne uniksy do nas trafialy.
>
>> A moze po prostu nie mialy funkcji crypt - tzn odpowiednie programy
>> byly skompilowane ze statyczna funkcja ?

>Restrykcje dotyczyły także statycznie zlinkowanych funkcji.
>BTW wiele systemów w ogóle nie miało dynamicznych bibliotek.

Ale funkcja crypt w biliotece pozwala na uzycie komputera do roznych
celow.
Passwd szyfrujacy hasla DES'em nie.

>> Przy czym w tym swietle to shadow nie ma znaczenia - tzn nie jest
>> zakazane czy dozwolone.

>Tak, btw były wersje z shadow, które nie używały szyfrowania crypt().
>Nie dam głowy co to było takiego, ale możliwe że pierwsza (pierwsze?)
>wersje 386BSD tak miały.

Byc moze.

> Szyfrowanie należało sobie ściągnąć oddzielnie
>(i to w dalszym ciągu było wtedy nielegalne - mimo że już nie było
>COCOMu, a w każdym razie nas nie dotyczył).

W jakim sensie nielegalne - jesli sciagnalem np z Rosji czy Finlandii.
Albo na/przepisalem sam ...

>> https://en.wikipedia.org/wiki/Passwd
>> Password shadowing first appeared in Unix systems with the
>> development
>> of SunOS in the mid-1980s,[10] System V Release 3.2 in 1988 and
>> BSD4.3
>> Reno in 1990.

>To pewnie tak było. 386BSD 0.0 był oparty na BSD4.3 (to się nazywało

A nam chodzi o to, ze przez poprzednie 20 lat nikomu nie
przeszkadzalo, ze kazdy moze sobie zobaczyc zapisane haslo w passwd.

>Net/2, nie wiem jak się to miało do Reno), i tam chyba nie trzeba
>było
>oddzielnie instalować shadowów. Zdaje się że to tam był plik
>/etc/master.passwd (i jeszcze jakiś - zamiast obecnych nazw).
>Teoretycznie to mogło być dopiero w NetBSD, choć wątpię.

>> The Shadow Suite was ported to Linux in 1992 one year after the
>> original announcement of the Linux project, and was included in
>> many
>> early distributions, and continues to be included in many current
>> Linux distributions.

>Linuksa wtedy nie używałem, pierwszym moim Linuksem był jakiś tam SLS
>- i tam chyba zawsze był shadow. Były za to inne braki - wiele
>braków.

A w BSD nie ?

Tak mi chodzi po glowie, ze akurat w tym czasie zaczeto odkrywac
bardzo wiele luk w unixach - i to wszystkich,

>>>aż tak groźne jak np. dostęp shellowy.
>> A ponoc unix taki bezpieczny :-)

>No, w ogóle była tam jakaś kontrola uprawnień, w odróżnieniu od
>DOS/Windows.

Wiec wydawal sie bezpieczny ... wydawal :-)

>Ale zasadniczo uznawało się, że jeśli ktoś ma dostęp
>shellowy, to jest w stanie uzyskać roota.
>Dopiero po wielu latach, pewnie w tym tysiącleciu :-) zaczęto uważać
>inaczej. Czy słusznie, to też nieco wątpię.

No co to za kontrola uprawnien, jesli kazdy moze zostac rootem, i
sobie uprawnienia zmienic :-)

>> No wlasnie - razem z tymi zaszyfrowanymi haslami, i nikomu to nie
>> przeszkadzalo.

>No więc przeszkadzało. Stąd dummy /etc, a później w ogóle shadow dla
>wszystkich userów.

Ale po 20 latach. Wczesniej ... wydawalo sie bezpieczne ?
Zreszta skoro kazdy moze zostac rootem, to co to za bezpieczenstwo -
shadow tez moze odczytac :-)


J.

do góry

Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
Michal Jankowski <m...@f...edu.pl> writes:
>> Ale to, czy system z hasłami haszowanymi przez DES wolno było
>> eksportować nie ma się kompletnie nijak do tego, czy te hasła były
>> w
>> /etc/passwd czy w /etc/shadow

>Jasne. To były dwa zupełnie ortogonalne mechanizmy, tyle że miały
>wspólny cel.

Hm, nie nazwal bym tego tak.
Chyba ze w jakim bardzo dalekim celu ...

>>> No więc ja ci mówię, że przez początkowe lata było wyłącznie
>>> /etc/passwd i tyle. passwd z haszowanymi hasłami było już co
>>> najmniej
>>> w Unix v6 (1975), a może i wcześniej. Wynalazek shadow to jest ca.
>>> 1987, ale jeszcze głęboko w lata 90. wiele systemów tego nie
>>> miało...

>No wiem przecież, przecież napisałem (pomijając to, że nie używałem
>takich zabawek w latach 70).
>Ty ze swojej strony zrozum, że hashowane hasła to nie było nic
>oczywistego, i to w latach 80, a pewnie także na początku lat 90,
>w szczególności w realiach PRL i bloku wschodniego.

IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975
tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
kiedy.
Ale od dawna. Na dlugo przed shadow.
I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt
nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...


Jak sobie radzili z blokiem wschodnim ... nie wiem, moze blok
wschodni wcale nie taki chetny do kupowania komputerow z unixem ...
Choc w sumie ... shadow to bylo pewne rozwiazanie problemu - tzn nie
ma zakazanego szyfrowania, a pewne bezpieczenstwo jest.

>> PS. Nawiasem mówiąc, zniesienie restrykcji eksportowych na DES
>> użyty
>> do uwierzytelniania (czyli tak jak tu), a nie do szyfrowania
>> plików,
>> to jest bodajże 1989.

>Też mi się coś podobnego wydaje, ale w każdym razie było to późno.
>Zdaje się można też było używać DES z kluczem max 40-bitowym (do
>szyfrowania). Ale w starszych systemach mogło się to ciągnąć długo.

Cos mi podobnego chodzi po glowie, ale chyba nawet nie musial byc to
DES, tylko ogolnie szyfrowanie z kluczem ponad 40 bitow.

J.

do góry

On 2019-10-14, J.F. <j...@p...onet.pl> wrote:
> IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975
> tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
> kiedy.
> Ale od dawna. Na dlugo przed shadow.
> I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt
> nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...

Sieć była w powijakach, dostęp do tych maszyn miała garstka wybranych i
zapewne zaufanych użytkowników. Zupełnie inne warunki niż nastały z
początkiem lat 90.

--
Marcin

do góry

Dnia Mon, 14 Oct 2019 21:20:54 GMT, Marcin Debowski napisał(a):
> On 2019-10-14, J.F. <j...@p...onet.pl> wrote:
>> IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975
>> tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
>> kiedy.
>> Ale od dawna. Na dlugo przed shadow.
>> I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt
>> nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...
>
> Sieć była w powijakach, dostęp do tych maszyn miała garstka wybranych i
> zapewne zaufanych użytkowników. Zupełnie inne warunki niż nastały z
> początkiem lat 90.

Studenci, pracownicy - czasem tysiacami.
A oprocz sieci byly modemy.

Jakos "hacker" to slowo sprzed internetu ... no nie - internet tez
stare slowo, ale nie zawsze tak popularne - bo poczatkowo tez tylko
dla wybranych.

J.

do góry

"J.F." <j...@p...onet.pl> writes:

> Ale funkcja crypt w biliotece pozwala na uzycie komputera do roznych
> celow.
> Passwd szyfrujacy hasla DES'em nie.

Eee, też tak sobie. crypt() nie pozwala na nic innego niż passwd - tyle
że hasła można pobrać z innego miejsca i wyniki można zapisać również
w innym miejscu. Różnica jest IMHO symboliczna.

> W jakim sensie nielegalne - jesli sciagnalem np z Rosji czy Finlandii.
> Albo na/przepisalem sam ..

Jeśli napisałeś, to legalne. Nawet jeśli "ściągnąłeś" w postaci
papierowej, to było legalne (casus PGP). Samo ściągnięcie z funetu
(z Rosji to tak raczej średnio szło - z Rosyjskiej Republiki
Socjalistycznej?) też pewnie było legalne. Natomiast eksport z USA
(/Kanady) był nielegalny.

> A nam chodzi o to, ze przez poprzednie 20 lat nikomu nie
> przeszkadzalo, ze kazdy moze sobie zobaczyc zapisane haslo w passwd.

Tzn. które 20 lat. Bo przecież nie może chodzić o obecny wiek?
Piszę, że przeszkadzało. Nie każdy mógł zobaczyć hasło w passwd. Tylko
zalogowani userzy shellowi. To przeszkadzało (być może) mniej, niż
lokalne ataki, które mogli (łatwo) zmontować. Ale przeszkadzało - stąd
powstanie łamaczy haseł (zarówno dla atakujących, jak i dla userów, by
nie mogli ustawiać trywialnych), i w końcu shadow password suite, jako
integralna część każdego systemu od początku jego istnienia.

>>Linuksa wtedy nie używałem, pierwszym moim Linuksem był jakiś tam SLS
>> - i tam chyba zawsze był shadow. Były za to inne braki - wiele
>> braków.
>
> A w BSD nie ?

Zasadniczo BSD w porównaniu do Linuksa był dość kompletny.
Trudno się dziwić, biorąc pod uwagę, że był wzorcem :-)
Linux to w wielu miejscach były "stuby".

> Tak mi chodzi po glowie, ze akurat w tym czasie zaczeto odkrywac
> bardzo wiele luk w unixach - i to wszystkich,

Czy zaczęto, to nie wiem. Panowało przekonanie, że lokalne dziury to
oczywista oczywistość. Zdalne dziury to była inna sprawa i faktycznie
było wtedy nieco głośnych przypadków (największe chyba w sendmailu).

> Ale po 20 latach. Wczesniej ... wydawalo sie bezpieczne ?

Ale nie wiem po 20 latach od którego momentu.

> Zreszta skoro kazdy moze zostac rootem, to co to za bezpieczenstwo -
> shadow tez moze odczytac :-)

Sam widzisz.
--
Krzysztof Hałasa

do góry

"J.F." <j...@p...onet.pl> writes:

> IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975
> tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
> kiedy.

Ale w jakim Uniksie? I kluczowe pytanie, kiedy i jak dostarczonym do
PRL? Jeszcze raz napiszę, były systemy, które tego nie miały. Chociaż
nie wątpię, że ich wersje "domestic" miały szyfrowanie haseł.

W późniejszym okresie pamiętam takie pudełka z naklejkami "USA/Canada
only" (z innym softem przypuszczalnie), więc pewnie kupienie "lepszej"
wersji to nie był wielki problem - ale to zależało.

> I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt
> nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...

No więc gdy ja się z tym zetknąłem w latach 80, to od razu uznałem to za
zagrożenie. Więc nie nikt. Aczkolwiek bardzo mocno wątpię, bym wtedy
wymyślił coś odkrywczego.

Przyznaję że już wtedy miałem lekką dewiację w takim kierunku, pamiętam
że jeden z moich pierwszych programów zerował przestrzeń adresową - jak
się okazało - tylko dostępna dla niego, a nie całej maszyny.

> Jak sobie radzili z blokiem wschodnim ... nie wiem, moze blok
> wschodni wcale nie taki chetny do kupowania komputerow z unixem ...

Pewnie nie, ale jednak kupował. W szczególności niekoniecznie komputery
"dla ludu", ale np. w przemyśle.

> Choc w sumie ... shadow to bylo pewne rozwiazanie problemu - tzn nie
> ma zakazanego szyfrowania, a pewne bezpieczenstwo jest.

Tyle że, jak już ustaliliśmy, shadow to była końcówka lat 80, i później.

> Cos mi podobnego chodzi po glowie, ale chyba nawet nie musial byc to
> DES, tylko ogolnie szyfrowanie z kluczem ponad 40 bitow.

W praktyce sprowadzało się to do DESa. W takim np. PGP był
(praktycznie?) DES i IDEA. 40-bitowa IDEA to by była chyba większa
pomyłka niż 40-bitowy DES.
--
Krzysztof Hałasa

do góry

"J.F." <j...@p...onet.pl> writes:

> Jakos "hacker" to slowo sprzed internetu ... no nie - internet tez
> stare slowo, ale nie zawsze tak popularne - bo poczatkowo tez tylko
> dla wybranych.

No ale wtedy rozróżniano - zwracano uwagę - "hacker" vs "cracker".
Inna sprawa, że to mogło być tylko formalne rozróżnienie, coś a la teraz
white hat, a teraz black hat.
--
Krzysztof Hałasa

do góry

Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
>> A nam chodzi o to, ze przez poprzednie 20 lat nikomu nie
>> przeszkadzalo, ze kazdy moze sobie zobaczyc zapisane haslo w
>> passwd.

>Tzn. które 20 lat. Bo przecież nie może chodzić o obecny wiek?

No tak od 1970 to 1990.

No dobra - nie znam na tyle historii Unixa, to nie wiem kiedy wybrali
DES do hasel,
moze to byl np 1975, moze w 1985 zaczelo pierwszemu przeszkadzac - jak
cytowalismy - jeszcze w 1990 wiele systemow nie mialo shadow.

>Piszę, że przeszkadzało. Nie każdy mógł zobaczyć hasło w passwd.
>Tylko
>zalogowani userzy shellowi.

Czy nie Ty pisales, ze anonimowi ftp tez ?

>To przeszkadzało (być może) mniej, niż
>lokalne ataki, które mogli (łatwo) zmontować. Ale przeszkadzało -
>stąd
>powstanie łamaczy haseł (zarówno dla atakujących, jak i dla userów,
>by
>nie mogli ustawiać trywialnych),

A reszta nadal uwazana za bezpieczne :-)

>> Tak mi chodzi po glowie, ze akurat w tym czasie zaczeto odkrywac
>> bardzo wiele luk w unixach - i to wszystkich,

>Czy zaczęto, to nie wiem. Panowało przekonanie, że lokalne dziury to
>oczywista oczywistość. Zdalne dziury to była inna sprawa i faktycznie
>było wtedy nieco głośnych przypadków (największe chyba w sendmailu).

Pare metod bylo dosc uniwersalnych - np przepelnienie zmiennej na
stosie.
Tylko nie kazdy system pozwalal wykonywac program ze stosu.

>> Zreszta skoro kazdy moze zostac rootem, to co to za
>> bezpieczenstwo -
>> shadow tez moze odczytac :-)
>Sam widzisz.

Czyli ciagle uwazamy hashowanie hasel za bezpieczne, czy tylko chowamy
glowy w piasek ? :-)

J.

do góry

Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
>> IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w
>> 1975
>> tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
>> kiedy.

>Ale w jakim Uniksie?

W kazdym?

>I kluczowe pytanie, kiedy i jak dostarczonym do PRL?

Nie wiem czy jakikolwiek byl kupiony do PRL przed 1982 ... ale
przestrzegano wtedy tak bardzo COCOM w tym zakresie ?

> Jeszcze raz napiszę, były systemy, które tego nie miały. Chociaż
>nie wątpię, że ich wersje "domestic" miały szyfrowanie haseł.
>W późniejszym okresie pamiętam takie pudełka z naklejkami "USA/Canada
>only" (z innym softem przypuszczalnie), więc pewnie kupienie
>"lepszej"
>wersji to nie był wielki problem - ale to zależało.

Rosjanie jakos nie mieli problemu z piraceniem calych systemow.
Ale czy Unixem byli zainteresowani ...

Kopiowali PDP-11, kopiowali VAX - ale na obu unix byl tylko dodatkowym
systemem.

VAXa kopiowano ponoc na Wegrzech, Czechoslowacji, NRD, Jugoslawii -
tu byc moze licencja.

https://en.wikipedia.org/wiki/VAX

>> I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos
>> nikt
>> nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat
>> ...

>No więc gdy ja się z tym zetknąłem w latach 80, to od razu uznałem to
>za
>zagrożenie. Więc nie nikt. Aczkolwiek bardzo mocno wątpię, bym wtedy
>wymyślił coś odkrywczego.

Przynajmniej na tyle odkrywcze, ze tworcy systemu na ktorym to
zobaczyles nie uwazali za stosowne zmienic.
A historie znamy - w okolicahc 1987 pojawilo sie shadow suite.

>Przyznaję że już wtedy miałem lekką dewiację w takim kierunku,
>pamiętam
>że jeden z moich pierwszych programów zerował przestrzeń adresową -
>jak
>się okazało - tylko dostępna dla niego, a nie całej maszyny.

To co innego - zjawisko "wysypania" programu bylo powszechnie znane od
poczatku, i w systemie wielozadaniowym trzeba sie bylo zabezpieczyc.
Nawet chyba w jednozadaniowym, w ktorym jednak rzadzil system
operacyjny.

> Choc w sumie ... shadow to bylo pewne rozwiazanie problemu - tzn nie
> ma zakazanego szyfrowania, a pewne bezpieczenstwo jest.

Tyle że, jak już ustaliliśmy, shadow to była końcówka lat 80, i
później.

>> Cos mi podobnego chodzi po glowie, ale chyba nawet nie musial byc
>> to
>> DES, tylko ogolnie szyfrowanie z kluczem ponad 40 bitow.

>W praktyce sprowadzało się to do DESa. W takim np. PGP był
>(praktycznie?) DES i IDEA. 40-bitowa IDEA to by była chyba większa
>pomyłka niż 40-bitowy DES.

Moze miala byc pomyłką - wszak chodzi o to, zeby inni nie szyfrowali
zbyt dobrze :-)

Tylko akurat IDEA (ta 128 bit) byla wymyslona w Szwajcarii ... co w
sumie nie przeszkadza USA blokowac roznych produktow w roznych
miejscach.

No i ciagle byl RSA - niby zakazany, a jednoczesnie latwy do napisania
gdziekolwiek ... tylko uwazac na patenty.

J.

do góry

Krzysztof Halasa pisze:
> Marcin Debowski <a...@I...zoho.com> writes:
>
>> A co się właściwie stało z całym pędem w kierunku SELinuksa, jaki
>> obserwowało się w pierwszej dekadzie po 2000? Rozumiem, że działa to na
>> Androidzie, ale w popularnych, standardowych dystrybucjach nigdzie chyba
>> nie jest opcją domyślną, czy nawet opcją instalacyjną?
>
> Nie jest to prawda.
Zgadza się, nie jest to prawda,
RHEL/CentOS 5/6/7 ma to domyślnie ustawione na tryb enforcing

do góry