eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiŁamanie tajników liczb przeklętych...
Ilość wypowiedzi w tym wątku: 59

  • 51. Data: 2019-10-16 01:23:15
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: Marcin Debowski <a...@I...zoho.com>

    On 2019-10-15, J.F. <j...@p...onet.pl> wrote:
    > Dnia Mon, 14 Oct 2019 21:20:54 GMT, Marcin Debowski napisał(a):
    >> On 2019-10-14, J.F. <j...@p...onet.pl> wrote:
    >>> IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975
    >>> tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
    >>> kiedy.
    >>> Ale od dawna. Na dlugo przed shadow.
    >>> I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt
    >>> nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...
    >>
    >> Sieć była w powijakach, dostęp do tych maszyn miała garstka wybranych i
    >> zapewne zaufanych użytkowników. Zupełnie inne warunki niż nastały z
    >> początkiem lat 90.
    >
    > Studenci, pracownicy - czasem tysiacami.
    > A oprocz sieci byly modemy.

    Proporcjonalność środków do zagrożeń. Przecież i teraz wpuszczasz na
    teren uczelni tysiące osób, dajesz im dostęp do sprzętu wartego często
    setki tysięcy zł, czy takiego, który się daje wynieść. Nie zabezpieczasz
    tego jakoś bardzo szczególnie bo nie ma takiej potrzeby. Tam MZ też jej
    wtedy nie było.

    > Jakos "hacker" to slowo sprzed internetu ... no nie - internet tez
    > stare slowo, ale nie zawsze tak popularne - bo poczatkowo tez tylko
    > dla wybranych.

    Dodakowo, to nie był przeciez sprzęt popularny i powszechnie obeznany,
    co też ograniczało liczbę potencjalnych zamachów. MZ do pewnego momentu
    nikt po prostu takich rzeczy nie analizował, właśnie ze względu na brak
    potrzeby i ograniczoną liczbę spraw związanych z jakimiś nadużyciami.

    Mielismy na laborce z chemii fizycznej komputer, do którego wprowadzało
    się otrzymane w trakcie ćwiczeń wyniki i na podstawie stopnia
    spieprzenia zadania dostawało się ocenę. Nie pamiętam już co to była za
    maszyna, coś ze wszystkim zintegrowanym w jednej obudowie, ale sam
    program to był jakiś basic. Mało nie skończyło się to dla mnie akcją
    dyscyplinarną jak zademonstrowałem prowadzącym co z tym można w kwestii
    tych ocen zrobić.
    Nikt nie myślał po prostu o takich rzeczach, i dwa, niewiele osób znało
    nawet taki basic. Historia uczy, że problemy na ogół rozwiązuje się w
    miarę ich pojawiania bo co tu rozwiązywać jak problemu nie ma?

    --
    Marcin


  • 52. Data: 2019-10-16 12:09:49
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: "J.F." <j...@p...onet.pl>

    Użytkownik "Marcin Debowski" napisał w wiadomości grup
    dyskusyjnych:DxspF.509384$H...@f...ams1...
    On 2019-10-15, J.F. <j...@p...onet.pl> wrote:
    > Dnia Mon, 14 Oct 2019 21:20:54 GMT, Marcin Debowski napisał(a):
    >> On 2019-10-14, J.F. <j...@p...onet.pl> wrote:
    >>>> IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w
    >>>> 1975
    >>>> tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
    >>>> kiedy.
    >>>> Ale od dawna. Na dlugo przed shadow.
    >>>> I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos
    >>>> nikt
    >>>> nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat
    >>>> ...
    >>
    >>> Sieć była w powijakach, dostęp do tych maszyn miała garstka
    >>> wybranych i
    >>> zapewne zaufanych użytkowników. Zupełnie inne warunki niż nastały
    >>> z
    >>> początkiem lat 90.
    >
    >> Studenci, pracownicy - czasem tysiacami.
    >> A oprocz sieci byly modemy.

    >Proporcjonalność środków do zagrożeń. Przecież i teraz wpuszczasz na
    >teren uczelni tysiące osób, dajesz im dostęp do sprzętu wartego
    >często
    >setki tysięcy zł, czy takiego, który się daje wynieść. Nie
    >zabezpieczasz
    >tego jakoś bardzo szczególnie bo nie ma takiej potrzeby.

    W Polsce moze nie ma potrzeby, ale w Anglii widzialem komputery
    przymocowane linka czy lancuchem do sciany.
    Telewizory, monitory.

    W Polsce tez sie zdarza, ze przychodzi ktos to biura, o cos tam pyta,
    wychodzi, a za chwile ... "gdzie jest moj telefon, gdzie jest moj
    portfel, gdzie moja torebka" ...

    >Tam MZ też jej wtedy nie było.

    I o to wlasnie chodzi - haszowanie z pomoca DES bylo uwazane za
    bezpieczne ... az przestalo byc.
    Coraz szybsze komputery, coraz wiecej, coraz lepsze scalaki ...

    >Mielismy na laborce z chemii fizycznej komputer, do którego
    >wprowadzało
    >się otrzymane w trakcie ćwiczeń wyniki i na podstawie stopnia
    >spieprzenia zadania dostawało się ocenę. Nie pamiętam już co to była
    >za
    >maszyna, coś ze wszystkim zintegrowanym w jednej obudowie, ale sam
    >program to był jakiś basic. Mało nie skończyło się to dla mnie akcją
    >dyscyplinarną jak zademonstrowałem prowadzącym co z tym można w
    >kwestii
    >tych ocen zrobić.
    >Nikt nie myślał po prostu o takich rzeczach, i dwa, niewiele osób
    >znało
    >nawet taki basic. Historia uczy, że problemy na ogół rozwiązuje się w
    >miarę ich pojawiania bo co tu rozwiązywać jak problemu nie ma?

    Kiedy wlasnie problem jest, tylko na razie nikt go nie wykorzystal.
    Ty zademonstrowales, ktos inny byc moze wykorzystal ... a w banku moje
    pieniadze lezą :-)

    Na razie na szczescie srodek tych naszych systemow bankowych wyglada
    na bezpieczny - tzn nie ujawniono zadnego wlamania na poziomie
    systemowym.

    J.


  • 53. Data: 2019-10-16 13:16:07
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: Michał Jankowski <m...@f...edu.pl>

    W dniu 16.10.2019 o 01:23, Marcin Debowski pisze:
    >
    > Proporcjonalność środków do zagrożeń. Przecież i teraz wpuszczasz na
    > teren uczelni tysiące osób, dajesz im dostęp do sprzętu wartego często
    > setki tysięcy zł, czy takiego, który się daje wynieść. Nie zabezpieczasz
    > tego jakoś bardzo szczególnie bo nie ma takiej potrzeby. Tam MZ też jej
    > wtedy nie było.
    >

    Ba. Jak w 1976 do CAMK-u przyszedł PDP-11, to przyjęto zasadę pracy, że
    wszyscy działają na kontach z pełnymi uprawnieniami i bez haseł
    (odpowiednik unixowego root). Po prostu praca na koncie szarego
    użytkownika była zbyt upierdliwa, bez praw do montowania dysku czy
    taśmy, a etatu dyżurnego operatora w ogóle nie było. Po prostu było
    założenie, ze na listę dostępu do pomieszczenia wpisuje się osoby
    przeszkolone i zaufane.

    Potem pierwsze pecety też tak działały, ale różnica była taka, że był
    jeden użytkownik naraz.

    Wiele lat później, czytałem historię, że ktoś w USA w ramach zabawy
    podpiął niepotrzebnego starego PDP-11 do internetu i wystawił bez hasła
    z bannerem 'proszę bardzo, pobawcie się'. Opisywał, że przez pierwszych
    kilka dni to się jacyś ludzie logowali, coś próbowali, jakieś
    odpowiedniki 'dir' czy 'time' i znikali. Bardzo szybko zaczęli próby
    niszczenia systemu (wtedy odtwarzał z backupu). Po tygodniu system był
    już niszczony po kilku minutach od reinstalacji. I tak się zabawa skończyła.

    MJ


  • 54. Data: 2019-10-16 13:52:16
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: JaNus <p...@b...pl>


    W dniu 16.10.2019 o 13:16, Michał Jankowski pisze:
    > Po tygodniu system był już niszczony po kilku minutach od
    > reinstalacji
    >

    Tadeusz Różewicz (bodajże) w książce "Śmierć w starych dekoracjach"
    napisał onegdaj:

    /Tłumy Herostratesów przelewają się po ulicach naszych miast/
    /srają nam na wycieraczkę, dzwonią do drzwi/
    /i żądają papieru/

    A ktoś inny tak skomentował wypisywanie czegoś-tam na zabytkowych murach:
    - podpis wandala: /nie umiem tworzyć, więc niszczę/

    --
    Matematyka to księżniczka: jest piękna
    Fizyka to potęga.
    Logika to cudowne narzędzie.
    Ale wszystkie te wspaniałe nauki muszą słuchać *polityków*
    Tedy patrz tym draniom na ręce!


  • 55. Data: 2019-10-17 02:47:10
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: Marcin Debowski <a...@I...zoho.com>

    On 2019-10-16, J.F. <j...@p...onet.pl> wrote:
    > Użytkownik "Marcin Debowski" napisał w wiadomości grup
    >>Proporcjonalność środków do zagrożeń. Przecież i teraz wpuszczasz na
    >>teren uczelni tysiące osób, dajesz im dostęp do sprzętu wartego
    >>często
    >>setki tysięcy zł, czy takiego, który się daje wynieść. Nie
    >>zabezpieczasz
    >>tego jakoś bardzo szczególnie bo nie ma takiej potrzeby.
    >
    > W Polsce moze nie ma potrzeby, ale w Anglii widzialem komputery
    > przymocowane linka czy lancuchem do sciany.
    > Telewizory, monitory.

    Może paranoja, może wymóg ubezpieczenia, a może bo sprzet lubie wedrować
    (niekoniecznie jako ukradziony) a przymocowywanie nie wykazuje znacznego
    stopnia upiedliwości. Nb. mój jest też w pracy przymocowany.

    > W Polsce tez sie zdarza, ze przychodzi ktos to biura, o cos tam pyta,
    > wychodzi, a za chwile ... "gdzie jest moj telefon, gdzie jest moj
    > portfel, gdzie moja torebka" ...

    Osoba postronna vs pracownik/student. Inny przypadek.

    >>Tam MZ też jej wtedy nie było.
    >
    > I o to wlasnie chodzi - haszowanie z pomoca DES bylo uwazane za
    > bezpieczne ... az przestalo byc.
    > Coraz szybsze komputery, coraz wiecej, coraz lepsze scalaki ...

    No tak. Ale szybsze komputery i cała reszta to tylko jeden z czynników.
    Nigdy przeciez nie jest tak, że coś może być czy jest bezwzględnie
    bezpieczne. Jest jakis poziom praktyczności rozwiązań, który ogranicza
    pułap paranoi.

    >>nawet taki basic. Historia uczy, że problemy na ogół rozwiązuje się w
    >>miarę ich pojawiania bo co tu rozwiązywać jak problemu nie ma?
    >
    > Kiedy wlasnie problem jest, tylko na razie nikt go nie wykorzystal.

    To nie jest problem, to jest techniczna/fizyczna właściwość umozliwiająca
    zaistnienie problemu.

    > Ty zademonstrowales, ktos inny byc moze wykorzystal ... a w banku moje
    > pieniadze lezą :-)

    Na ulicy, którą przejeżdża jedno auto na dobę nie specjalnie jest sens
    robić bezkolizyjne przejście dla pieszych, ale na identycznej ulicy z
    duzym ruchem samochodowym i pieszym sens już może być.

    --
    Marcin


  • 56. Data: 2019-10-17 02:51:56
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: Marcin Debowski <a...@I...zoho.com>

    On 2019-10-16, Michał Jankowski <m...@f...edu.pl> wrote:
    > Wiele lat później, czytałem historię, że ktoś w USA w ramach zabawy
    > podpiął niepotrzebnego starego PDP-11 do internetu i wystawił bez hasła
    > z bannerem 'proszę bardzo, pobawcie się'. Opisywał, że przez pierwszych
    > kilka dni to się jacyś ludzie logowali, coś próbowali, jakieś
    > odpowiedniki 'dir' czy 'time' i znikali. Bardzo szybko zaczęli próby
    > niszczenia systemu (wtedy odtwarzał z backupu). Po tygodniu system był
    > już niszczony po kilku minutach od reinstalacji. I tak się zabawa skończyła.

    Amatorów niszczenia będzie zawsze wielu, szczególnie gdy pozostają w
    przekonaniu o własnej anonimowości.

    --
    Marcin


  • 57. Data: 2019-10-17 15:44:10
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: Krzysztof Halasa <k...@p...waw.pl>

    "J.F." <j...@p...onet.pl> writes:

    >> Piszę, że przeszkadzało. Nie każdy mógł zobaczyć hasło w passwd.
    >> Tylko
    >>zalogowani userzy shellowi.
    >
    > Czy nie Ty pisales, ze anonimowi ftp tez ?

    To też - ale wcześniej. A więc przeszkadzało :-)

    > A reszta nadal uwazana za bezpieczne :-)

    Nietrywialne hasła (niemożliwe do złamania metodą słownikową) były
    bezpieczne na pewno do lat 90.

    > Czyli ciagle uwazamy hashowanie hasel za bezpieczne, czy tylko chowamy
    > glowy w piasek ? :-)

    Nie uważamy za bezpieczne, bo są (i były od dawna, na pewno od lat 80)
    programy do łamania słownikowego. Poza tym, pomijając DES itp. -
    zasadniczo są bezpieczne :-)
    --
    Krzysztof Hałasa


  • 58. Data: 2019-10-17 20:43:41
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: Krzysztof Halasa <k...@p...waw.pl>

    "J.F." <j...@p...onet.pl> writes:

    [UNIX]
    > Nie wiem czy jakikolwiek byl kupiony do PRL przed 1982

    Przed 82 to nie wiem, ale przed 87 - na pewno.

    > ... ale
    > przestrzegano wtedy tak bardzo COCOM w tym zakresie ?

    COCOMu czy nie COCOMu - z COCOMem byłoby pewnie łatwiej, bo można było
    go eksportować z USA. Różne rzeczy objęte COCOMem były w Polsce
    dostępne, chociaż pewnie kosztowały więcej niż gdyby COCOMu nie było.
    A DES był po prostu objęty zakazem, trzeba było mieć każdorazowo
    zezwolenie, nawet na eksport do UK czy innej Australii. I po eksporcie
    tamże wcale nie oznaczało to końca zezwoleń itd. - tak jak teraz, gdy
    np. w Polsce kupimy jakiś nawet trywialny kawałek sprzętu z listy np.
    "dualnego zastosowania".

    > Rosjanie jakos nie mieli problemu z piraceniem calych systemow.
    > Ale czy Unixem byli zainteresowani ...
    >
    > Kopiowali PDP-11, kopiowali VAX - ale na obu unix byl tylko dodatkowym
    > systemem.

    Ruskiej wersji VAXa nie widziałem, ale PDP-11 owszem. Z tym że to były
    małe maszynki, nawet zwykły pecet 386 (pomijając DOSa itp) był
    mocniejszy.

    > Przynajmniej na tyle odkrywcze, ze tworcy systemu na ktorym to
    > zobaczyles nie uwazali za stosowne zmienic.
    > A historie znamy - w okolicahc 1987 pojawilo sie shadow suite.

    Co oznacza, że wcześniej było pewnie N prywatnych wersji.

    > No i ciagle byl RSA - niby zakazany, a jednoczesnie latwy do napisania
    > gdziekolwiek ... tylko uwazac na patenty.

    Patenty były 10x mniej istotne od COCOMów, ITARów itd.
    --
    Krzysztof Hałasa


  • 59. Data: 2019-10-18 08:22:38
    Temat: Re: Lamanie tajniki liczb przekletych
    Od: "J.F." <j...@p...onet.pl>

    Dnia Thu, 17 Oct 2019 20:43:41 +0200, Krzysztof Halasa napisał(a):
    > "J.F." <j...@p...onet.pl> writes:
    > [UNIX]
    >> Nie wiem czy jakikolwiek byl kupiony do PRL przed 1982
    >
    > Przed 82 to nie wiem, ale przed 87 - na pewno.

    Do 1981 mielismy "przyjacielskie stosunki", i nie wiem czy ktos sie
    przejmowal czyms takim, jak system operacyjny ogolnego przeznaczenia.
    Tylko akurat pod koniec to juz nie mielismy pieniedzy.

    13 grudnia sie skonczylo ...

    >> ... ale
    >> przestrzegano wtedy tak bardzo COCOM w tym zakresie ?
    >
    > COCOMu czy nie COCOMu - z COCOMem byłoby pewnie łatwiej, bo można było
    > go eksportować z USA. Różne rzeczy objęte COCOMem były w Polsce
    > dostępne, chociaż pewnie kosztowały więcej niż gdyby COCOMu nie było.
    > A DES był po prostu objęty zakazem, trzeba było mieć każdorazowo
    > zezwolenie, nawet na eksport do UK czy innej Australii. I po eksporcie
    > tamże wcale nie oznaczało to końca zezwoleń itd. - tak jak teraz, gdy
    > np. w Polsce kupimy jakiś nawet trywialny kawałek sprzętu z listy np.
    > "dualnego zastosowania".

    COCOM tez do tego sluzyl, ale jak cos mozna w Anglii w sklepie na
    półce kupic, to ta kontrola jest iluzoryczna.

    >> Rosjanie jakos nie mieli problemu z piraceniem calych systemow.
    >> Ale czy Unixem byli zainteresowani ...
    >>
    >> Kopiowali PDP-11, kopiowali VAX - ale na obu unix byl tylko dodatkowym
    >> systemem.
    >
    > Ruskiej wersji VAXa nie widziałem, ale PDP-11 owszem.

    Wiki twierdzi, ze i VAX'y byly.

    > Z tym że to były
    > małe maszynki, nawet zwykły pecet 386 (pomijając DOSa itp) był
    > mocniejszy.

    Ale Unix sie zaczal na PDP-7, a potem dlugo na PDP-11 pracowal
    https://en.wikipedia.org/wiki/History_of_Unix

    Akurat czy wtedy uzywali DES do hasel, to sie nie upieram.

    >> Przynajmniej na tyle odkrywcze, ze tworcy systemu na ktorym to
    >> zobaczyles nie uwazali za stosowne zmienic.
    >> A historie znamy - w okolicahc 1987 pojawilo sie shadow suite.
    > Co oznacza, że wcześniej było pewnie N prywatnych wersji.

    A reszta ciagle nie miala.

    >> No i ciagle byl RSA - niby zakazany, a jednoczesnie latwy do napisania
    >> gdziekolwiek ... tylko uwazac na patenty.
    > Patenty były 10x mniej istotne od COCOMów, ITARów itd.

    Szczegolnie, ze w wielu krajach nie opatentowano.

    J.

strony : 1 ... 5 . [ 6 ]


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1