Ponoć w Googlach można znaleźć wszystko -- nawet kwantowy komputer... ;)

   https://tech.wp.pl/google-zbudowalo-najpotezniejszy-komputer-kwantowy-na-swiecie-totalny-przelom-6426886742259329a

   W 3 minuty i 20 sekund dokonał tylu obliczeń, ile
   najpotężniejszy superkomputer mógłby dokonać
   w ciągu 10 tysięcy lat.

Czy nadszedł czas łamania kryptozabezpieczeń?

Czy '200 sekund' to owe '3 minuty i 20 sekund'?

  10000*365.25*24*3600=315576000000

  10000*365.25*24*3600/200=1577880000=1577880 k = 1577.88 M = 1.57788 G

Ponad półtora miliarda razy szybciej?
Zapewne nastąpi postęp...

[marnie widzę świat Newtona... ale IMO na bilokację
znaną ;) z Pietrelciny jeszcze trochę zaczekamy]

--
 _._     _,-'""`-._      .`'.-.         ._.                              .-.     )\._.,-- ....,'``.
(,-.`._,'(       |\`-/|  .'O`-'      .,; o.'       eneuel@gmail.com     '.O_'   /,   _.. \   _\  (`._ ,.
    `-.-' \ )-`( , o o)  `-:`-'.'.   `\.'.' '~'~'~'~'~'~'~'~'~'~'~'~'~' o.`.,  `._.-(,_..'-- (,_..'`-.;.'  Felix Lee
-bf-      `-    \`_`"'-.o'\:/.d`|'.;.p \ ;' http://www.eneuel.w.duna.pl ;\|/... https://danutac.oferty-kredytowe.pl

W dniu 23.09.2019 o 01:11, Eneuel Leszek Ciszewski pisze:

https://tech.wp.pl/google-zbudowalo-najpotezniejszy-komputer-kwantowy-na-swiecie-totalny-przelom-6426886742259329a



W 3 minuty i 20 sekund dokonał tylu obliczeń, ile najpotężniejszy
superkomputer mógłby dokonać w ciągu 10 tysięcy lat.

Czy nadszedł czas łamania kryptozabezpieczeń?

Na to by wyglądało.

Czy '200 sekund' to owe '3 minuty i 20 sekund'?

Żarty sobie robisz? Policzyć nie umiesz?

Ponad półtora miliarda razy szybciej? Zapewne nastąpi postęp...

Problemem komputerów kwantowych jest trwałość. One bazują na splątaniu
kwantowym, które niezwykle łatwo ulega destrukcji. Sposobem na to jest
izolowanie w temperaturach helowych. Ale i wtedy q-bity się sypią.

W domach raczej nieprędko pojawią się takie maszyny, ale... kto to wie?


--
A co do "postępu":
/elektryczne kotły w piekle to też jest "postęp"/
/ale czy na takim to postępie nam zależy?/

"JaNus" 5d892503$0$526$65785112@news.neostrada.pl

Czy '200 sekund' to owe '3 minuty i 20 sekund'?

Żarty sobie robisz? Policzyć nie umiesz?

IMO dobrze obliczyłem.

Ponad półtora miliarda razy szybciej? Zapewne nastąpi postęp...

Problemem komputerów kwantowych jest trwałość. One bazują na splątaniu
kwantowym, które niezwykle łatwo ulega destrukcji. Sposobem na to jest
izolowanie w temperaturach helowych. Ale i wtedy q-bity się sypią.

Co to za destrukcja? Splątane stany rozplączą się w zbyt wysokiej
temperaturze? Temperaturze czego? Przestrzeni dzielącej te stany,
temperaturze jednej ze stron splątania?...

W domach raczej nieprędko pojawią się takie maszyny, ale... kto to wie?

Diabli wiedzą... ;)

-- A co do "postępu":
/elektryczne kotły w piekle to też jest "postęp"/
/ale czy na takim to postępie nam zależy?/

W dniu 23.09.2019 o 22:03, JaNus pisze:

W domach raczej nieprędko pojawią się takie maszyny, ale... kto to wie?

Do normalnych zastosowań w ogóle pewnie długo to nie będzie stosowane,
ale wystarczy zagrożenie złamania, by cryptowaluty zaczęły popadać w
panikę. A panika to jest to, co może tę inicjatywę zabić szybciej, niż
chcące na tym położyć swoją "łapę" rządy.

On 2019-09-24 21:11, Robert Tomasik wrote:

Do normalnych zastosowań w ogóle pewnie długo to nie będzie stosowane,
ale wystarczy zagrożenie złamania, by cryptowaluty zaczęły popadać w
panikę. A panika to jest to, co może tę inicjatywę zabić szybciej, niż
chcące na tym położyć swoją "łapę" rządy.

są już krypto (przynajmniej teoretycznie) odporne na komputery kwantowe np. mochimo

"Robert Tomasik" 5d8a6a73$0$510$65785112@news.neostrada.pl

panikę. A panika to jest to, co może tę inicjatywę zabić
szybciej, niż chcące na tym położyć swoją "łapę" rządy.

Już (25 września) pojawił się krach:

   https://stooq.pl/q/?s=btcusd&c=3d&t=l&a=lg&b=0

ale:

 - dookoła wszystkie szyfry oparte są o liczby pierwsze
 - komputery są coraz szybsze, więc łatwo można wzmocnić
   zabezpieczenie a LP są coraz rzadsze, więc potrzebny
   jest coraz większy dystans pomiędzy ,,uczciwymi''
   komputerami i łamiącymi zabezpieczenia
 - komputery kwantowe przyczynią się do wzrostu
   wydajności komputerów domowych
 - panika chyba została opanowana; qrs ustabilizował się
 - na BTC czyha wiele innych zagrożeń

--
 _._     _,-'""`-._      .`'.-.         ._.                              .-.     )\._.,-- ....,'``.
(,-.`._,'(       |\`-/|  .'O`-'      .,; o.'       eneuel@gmail.com     '.O_'   /,   _.. \   _\  (`._ ,.
    `-.-' \ )-`( , o o)  `-:`-'.'.   `\.'.' '~'~'~'~'~'~'~'~'~'~'~'~'~' o.`.,  `._.-(,_..'-- (,_..'`-.;.'  Felix Lee
-bf-      `-    \`_`"'-.o'\:/.d`|'.;.p \ ;' http://www.eneuel.w.duna.pl ;\|/... https://danutac.oferty-kredytowe.pl

Eneuel Leszek Ciszewski wrote:

Już (25 września) pojawił się krach:

    https://stooq.pl/q/?s=btcusd&c=3d&t=l&a=lg&b=0

ale:

  - dookoła wszystkie szyfry oparte są o liczby pierwsze
  - komputery są coraz szybsze, więc łatwo można wzmocnić
    zabezpieczenie a LP są coraz rzadsze, więc potrzebny
    jest coraz większy dystans pomiędzy ,,uczciwymi''
    komputerami i łamiącymi zabezpieczenia
  - komputery kwantowe przyczynią się do wzrostu
    wydajności komputerów domowych
  - panika chyba została opanowana; qrs ustabilizował się
  - na BTC czyha wiele innych zagrożeń

Jakie są te inne zagrożenia?

"gosc" 5d8e78d3$0$530$65785112@news.neostrada.pl

  - panika chyba została opanowana; qrs ustabilizował się
  - na BTC czyha wiele innych zagrożeń

Jakie są te inne zagrożenia?

Prowokacja? Toż stale słychać o padnięciach giełd,
wsiąkaniu BTC, spadkach qrsowych, restrykcjach rządowych...

--
 _._     _,-'""`-._      .`'.-.         ._.                              .-.     )\._.,-- ....,'``.
(,-.`._,'(       |\`-/|  .'O`-'      .,; o.'      eneuel@gmail.com      '.O_'   /,   _.. \   _\  (`._ ,.
    `-.-' \ )-`( , o o)  `-:`-'.'.   `\.'.' '~'~'~'~'~'~'~'~'~'~'~'~'~' o.`.,  `._.-(,_..'-- (,_..'`-.;.'  Felix Lee
-bf-      `-    \`_`"'-.o'\:/.d`|'.;.p \ ;' http://www.eneuel.w.duna.pl ;\|/... https://eneuel.oferty-kredytowe.pl/

Eneuel Leszek Ciszewski wrote:

Prowokacja? Toż stale słychać o padnięciach giełd,
wsiąkaniu BTC, spadkach qrsowych, restrykcjach rządowych...

Nie prowokacja. Zwykła ciekawość.
Kantory, giełdy padały i będą padać.
O wsiąkaniu kryptowalut jeszcze nie słyszałem.
Może coś rozwieniesz.

Spadki i wzrosty kursów walut były, są i będą.
To jest akurat znakomita zaleta dla kryptowalut.

Restrykcje rządowe spowodują, że kryptowaluty staną się jeszcze bardziej p2p.
Nikt nie będzie chciał korzystać z giełd, kantorów. Tylko f2f, p2p.

"gosc" 5d911b30$0$521$65785112@news.neostrada.pl

O wsiąkaniu kryptowalut jeszcze nie słyszałem.

To tak, jak ja -- też nie słyszałem.

Może coś rozwieniesz.

Dużo czytałem w necie.


--
 _._     _,-'""`-._      .`'.-.         ._.                              .-.     )\._.,-- ....,'``.
(,-.`._,'(       |\`-/|  .'O`-'      .,; o.'      eneuel@gmail.com      '.O_'   /,   _.. \   _\  (`._ ,.
    `-.-' \ )-`( , o o)  `-:`-'.'.   `\.'.' '~'~'~'~'~'~'~'~'~'~'~'~'~' o.`.,  `._.-(,_..'-- (,_..'`-.;.'  Felix Lee
-bf-      `-    \`_`"'-.o'\:/.d`|'.;.p \ ;' http://www.eneuel.w.duna.pl ;\|/... https://eneuel.oferty-kredytowe.pl/

On 2019-09-23 01:11, Eneuel Leszek Ciszewski wrote:

Ponoć w Googlach można znaleźć wszystko -- nawet kwantowy komputer... ;)

    https://tech.wp.pl/google-zbudowalo-najpotezniejszy-komputer-kwantowy-na-swiecie-totalny-przelom-6426886742259329a

    W 3 minuty i 20 sekund dokonał tylu obliczeń, ile
    najpotężniejszy superkomputer mógłby dokonać
    w ciągu 10 tysięcy lat.

Czy nadszedł czas łamania kryptozabezpieczeń?

chyba jeszcze daleko - 10k lat to jak na razie nie ta skala nawet dla byle 128 bitowego szyfrowania którego w zasadzie nigdzie się już nie stosuje "to crack a 128-bit key with modern hardware is going to take around 500 billion years"

oczywiście postęp następuje i nastąpi ale do realnego zagrożenia jeszcze 'trochę' brakuje

"m4rkiz" qmeuep$jkt$1$m4rkiz@news.chmurka.net

    W 3 minuty i 20 sekund dokonał tylu obliczeń, ile
    najpotężniejszy superkomputer mógłby dokonać
    w ciągu 10 tysięcy lat.

chyba jeszcze daleko - 10k lat to jak na razie nie ta skala nawet dla
byle 128 bitowego szyfrowania którego w zasadzie nigdzie się już nie
stosuje "to crack a 128-bit key with modern hardware is going to take
around 500 billion years"

10 000 lat <-- >  200 s
być może to biliony amerykańskie, czyli nasze miliardy
500 000 000 000 lat <-- > ile sekund

500 000 000 000 * 200 / 10 000
500 000 000  * 20
10 000 000 000 s
rok to 365,24*24*3600 sekund 31556736
10000000000/31556736=316,889554103441 lat

Jeśli komputer kwantowy w ciągu 10 lat przyspieszy tysiąckrotnie,
mamy za 10 lat kilka miesięcy... Kilka miesięcy na co? Co znaczy
złamanie 128 bitowego klucza?

316,889554103441*12=3802,67464924129 czyli niespełna 4 miesiące

Jeśli postęp będzie szybszy -- być może za 10 lat wystarczą
4 tygodnie lub... 4 godziny... ;)

Do budowy nowych komputerów potrzebne są komputery, więc
postęp może być lawinowy...

Dzisiejszy kk może być przepustką do symulacji rzeczywistości,
które otworzą drogę do budowy komputerów o wiele rzędów wielkości
(rzędów dziesiętnych, nie dwójkowych) szybszych niż obecne kk.

Te szybsze komputery umożliwią symulacje jeszcze bardziej złożone...

-=-

Być może Google spocznie na laurach -- wątpliwe; być może nastąpi
lawinowy wzrost szybkości kk; być może odkryte zostaną kolejne
tajniki ,,natury'', dzięki czemu powstaną zupełnie nowe komputery;
być może Google nie odkrywa wszystkich swych osiągnięć; być może
Google ma skutecznych konkurentów...

Czy przed stu laty ktokolwiek zdrowy na umyśle przewidywał dzisiejsze osiągi?...

[być może ktoś wreszcie złamie ogólne prawa rządzące liczbami pierwszymi...]

--
 _._     _,-'""`-._      .`'.-.         ._.                              .-.     )\._.,-- ....,'``.
(,-.`._,'(  coma |\`-/|  .'O`-'      .,; o.'      eneuel@gmail.com      '.O_'   /,   _.. \   _\  (`._ ,.
    `-.-' \ )-`( , o o)  `-:`-'.'.   `\.'.' '~'~'~'~'~'~'~'~'~'~'~'~'~' o.`.,  `._.-(,_..'-- (,_..'`-.;.'  Felix Lee
-bf-      `-    \`_`"'-.o'\:/.d`|'.;.p \ ;' http://www.eneuel.w.duna.pl ;\|/... https://eneuel.oferty-kredytowe.pl/

W dniu 25.09.2019 o 17:05, Eneuel Leszek Ciszewski pisze:

[być może ktoś wreszcie złamie ogólne prawa rządzące liczbami pierwszymi...]

W dość skromnym zakresie mi się udało osiągnąć pewne wyniki, co do tych
"praw". Acz wciąż coś mi przeszkadza dokonać niezbędnych poprawek co do
HTML stworzonej onegdaj strony. Wisiała ona przez pewien czas na Onecie,
(pod nazwą "Rzeszoto") lecz ten zamknął usługę, na której bazowałem
wtedy. Opis też by każdego matematyka przyprawił o ból zębów, więc do
poprawiania mam baaardzo dużo. Co zmniejsza moją ku temu wyrywność...

--
Nie interesujesz się polityką? To lekkomyślne chowanie głowy w piasek!
Wszak polityka interesuje się tobą i tak, a rządzący też się interesują,
głównie zawartością twojego portfela. Dlatego zachowaj czujność!

Wcale nie przypadkiem, dnia Wed, 25 Sep 2019 17:05:39 +0200  doszła do mnie wiadomość  <5d8b82c4$0$530$65785112@news.neostrada.pl>  od "Eneuel Leszek Ciszewski" <prosze@czytac.fontem.lucida.console>  :

316,889554103441*12=3802,67464924129 czyli niespełna 4 miesiące

Jeśli postęp będzie szybszy -- być może za 10 lat wystarczą
4 tygodnie lub... 4 godziny... ;)

Jest szybsza metoda, stopniowe zwiększanie różnicy potencjałów między cyckami a jajkami.
--
Gdyby się wysadziło ich planety, zburzyło miasta,
spaliło księgi, a ich samych wytłukło do nogi,
może udałoby się ocalić naukę miłości bliźniego. SL.

Użytkownik "m4rkiz" napisał:

128 bitowego szyfrowania którego w zasadzie nigdzie się już nie stosuje...

Te 128, czy jego wielokrotności to mit slużący do zarabiania na naiwnych. Do
czego takie szyfrowanie ma służyć? Aby zrozumiec problem trzeba poznać
historię Kevina Mitnicka. Jego sławna wypowiedź brzmiała: Łamałem ludzi, nie
hasła.

I to jest cała prawda o "łamaniu zabezpieczeń".

Pzdr

Dnia Wed, 9 Oct 2019 06:48:35 +0200, Kamil napisał(a):

Użytkownik "m4rkiz" napisał:

128 bitowego szyfrowania którego w zasadzie nigdzie się już nie stosuje...

Te 128, czy jego wielokrotności to mit slużący do zarabiania na naiwnych. Do
czego takie szyfrowanie ma służyć? Aby zrozumiec problem trzeba poznać
historię Kevina Mitnicka. Jego sławna wypowiedź brzmiała: Łamałem ludzi, nie
hasła.

I to jest cała prawda o "łamaniu zabezpieczeń".

Tylko czesc.

56-bitowy DES uzywany kiedys do hasel w unixie, i w amerykanskim
wojsku, jest obecnie lamany cos w 3 dni (na maszynie specjalizowanych
scalakow). Z mozliwoscia przyspieszenia, jesli jestes bogaty :-)

128-bitowa IDEA juz nie jest taka prosta Jesli chodzi o RSA, to ostatnio, czyli w 2009, padla 768-bitowa

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

56-bitowy DES uzywany kiedys do hasel w unixie, i w amerykanskim
wojsku, jest obecnie lamany cos w 3 dni (na maszynie specjalizowanych
scalakow). Z mozliwoscia przyspieszenia, jesli jestes bogaty :-)

DES był przede wszystkim używany do szyfrowania. Hasła w /etc/passwd
(lub shadow albo innym master.passwd czy jak się to tam nazywało) to
nieistotny drobiazg.
(Mniej niż) 3 dni to wynik "społeczny". Obawiam się, że 3-literowe
agencje są w stanie złamać DES znacznie szybciej.
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m31rvk1vog.fsf@pm.waw.pl...
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

56-bitowy DES uzywany kiedys do hasel w unixie, i w amerykanskim
wojsku, jest obecnie lamany cos w 3 dni (na maszynie specjalizowanych
scalakow). Z mozliwoscia przyspieszenia, jesli jestes bogaty :-)

DES był przede wszystkim używany do szyfrowania. Hasła w /etc/passwd
(lub shadow albo innym master.passwd czy jak się to tam nazywało) to
nieistotny drobiazg.

O tyle istotny, ze jak taki Mitnick "zlamal czlowieka", i odczytal plik z haslami (zaszyfrowanymi),
to potem moglby odszyfrowac/zlamac te hasla i miec dostep przez wszystkich uzytkownikow.
I ten jeden przestawal byc juz istotny - gdyby np zmienil haslo czy skasowali go z serwera.

(Mniej niż) 3 dni to wynik "społeczny". Obawiam się, że 3-literowe
agencje są w stanie złamać DES znacznie szybciej.

No coz - kiedys liczylem tak: 2^56 mozliwych kluczy, to ~10^17.
Jesli opracuje specjalizowany uklad scalony, to moglby sprawdzac ze 200 mln kluczy na sekunde.
10^8 kl/s.
Jak juz wysuplam z kieszeni tych ...set k$ na przygotowanie produkcji, to mi za niewielka oplata zrobia tysiac tych ukladow.
I bede sprawdzal 10^11 kl/s.
Milion sekund i wszytkie sprawdzone, to statystycznie srednio w 5 dni powinno trafic.

Dzis bym napisal o zegarze 2GHz, a jedna kosc moglaby od razu .. kto to wie - z 1000 podukladow zawierac i 1000 kluczy naraz lamac ?
przy tych miliardach tranzystorow osiagalnych w jednej kosci to chyba bez problemu.

Wiec dzis ... pare sekund dla bogatej agencji ?

Nawiasem mowiac - dla szyfrow o dluzszym bloku moze nie byc dluzej, jesli klucz wprowadzany recznie ... komu sie bedzie chcialo 20 znakowe haslo/klucz stosowac.

J.

On 2019-10-10, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

Nawiasem mowiac - dla szyfrow o dluzszym bloku moze nie byc dluzej, jesli klucz wprowadzany recznie ... komu sie bedzie chcialo 20 znakowe haslo/klucz stosowac.

Jest spora szansa, że tym, którymi interesują się właśnie takie agencje.

--
Marcin

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

[PW crypt]

O tyle istotny, ze jak taki Mitnick "zlamal czlowieka", i odczytal
plik z haslami (zaszyfrowanymi),
to potem moglby odszyfrowac/zlamac te hasla i miec dostep przez
wszystkich uzytkownikow.
I ten jeden przestawal byc juz istotny - gdyby np zmienil haslo czy
skasowali go z serwera.

Plik z hasłami był zwykle nie tylko zaszyfrowany, ale także niedostępny
dla zwykłych userów. Wiem, nielegalnie (z punktu widzenia USA)
sprowadzone systemy bez shadow password suite miały wszystko
w /etc/passwd. Ale w takich przypadkach John the Ripper (a wcześniej
inne Jacki itp) potrafił zwykle wyciągnąć 90% haseł, zdecydowanie
szybciej niż łamiąc jakieś DESy. Poza tym, taki typowy atakujący raczej
nie zadowolił się kontem zwykłego usera, a zwykle uzyskanie roota (jeśli
mieliśmy dostęp do shella) to nie był raczej wielki wysiłek. Dodaj do
tego instalację backdoorów i regularną "opiekę" i żadne łamania DESa
nie są przydatne.

Wiec dzis ... pare sekund dla bogatej agencji ?

Możliwe. Aczkolwiek obawiam się, że dłużej, z tej prostej przyczyny, że
obecnie pies z kulawą nogą nie interesuje się DESem, i mogą po prostu
używać starego sprzętu :-)

Nawiasem mowiac - dla szyfrow o dluzszym bloku moze nie byc dluzej,
jesli klucz wprowadzany recznie ... komu sie bedzie chcialo 20 znakowe
haslo/klucz stosowac.

To jest oczywiste, dlatego też w takich przypadkach kluczy nie generuje
się na podstawie hasła. Hasło, jeśli w ogóle jakiekolwiek jest używane,
służy tylko do wyciągnięcia kluczy.
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m3a7a7l9op.fsf@pm.waw.pl...
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:
[PW crypt]

O tyle istotny, ze jak taki Mitnick "zlamal czlowieka", i odczytal
plik z haslami (zaszyfrowanymi),
to potem moglby odszyfrowac/zlamac te hasla i miec dostep przez
wszystkich uzytkownikow.
I ten jeden przestawal byc juz istotny - gdyby np zmienil haslo czy
skasowali go z serwera.

Plik z hasłami był zwykle nie tylko zaszyfrowany, ale także niedostępny
dla zwykłych userów. Wiem, nielegalnie (z punktu widzenia USA)
sprowadzone systemy bez shadow password suite miały wszystko
w /etc/passwd.

Ale shadow to od pewnego czasu, wczesniej byly passwd z haslami dostepny.
Tylko uwazano to za niegrozne.

Ale w takich przypadkach John the Ripper (a wcześniej
inne Jacki itp) potrafił zwykle wyciągnąć 90% haseł, zdecydowanie
szybciej niż łamiąc jakieś DESy. Poza tym, taki typowy atakujący raczej

Bo tez lamanie DES bylo wtedy dlugie.
A dzis ... sekundy ? :-)

nie zadowolił się kontem zwykłego usera, a zwykle uzyskanie roota (jeśli
mieliśmy dostęp do shella) to nie był raczej wielki wysiłek. Dodaj do
tego instalację backdoorów i regularną "opiekę" i żadne łamania DESa
nie są przydatne.

Owszem, tylko jak sie prawdziwy root zaopiekuje i pousuwa rozne backdoory,
to sie hasla moga przydac.
A ludzie moga miec konta i na innych maszynach - i te same hasla.

Wiec dzis ... pare sekund dla bogatej agencji ?

Możliwe. Aczkolwiek obawiam się, że dłużej, z tej prostej przyczyny, że
obecnie pies z kulawą nogą nie interesuje się DESem, i mogą po prostu
używać starego sprzętu :-)

Tez prawda :-)

Nawiasem mowiac - dla szyfrow o dluzszym bloku moze nie byc dluzej,
jesli klucz wprowadzany recznie ... komu sie bedzie chcialo 20 znakowe
haslo/klucz stosowac.

To jest oczywiste, dlatego też w takich przypadkach kluczy nie generuje
się na podstawie hasła. Hasło, jeśli w ogóle jakiekolwiek jest używane,
służy tylko do wyciągnięcia kluczy.

Tak czy inaczej - haslo jest. I mozna probowac kolejne ...
ale to raczej zadanie dla agencji, bo jak widac - koszt spory.
Chyba, ze sie ma botneta na milionie komputerow ...

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Plik z hasłami był zwykle nie tylko zaszyfrowany, ale także
niedostępny
dla zwykłych userów. Wiem, nielegalnie (z punktu widzenia USA)
sprowadzone systemy bez shadow password suite miały wszystko
w /etc/passwd.

Ale shadow to od pewnego czasu, wczesniej byly passwd z haslami
dostepny.

Tak jak napisałem.

Tylko uwazano to za niegrozne.

Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.
Tyle że były groźniejsze rzeczy. Jak już ktoś miał konto na danej
maszynie, to zakładano, że jest względnie godny zaufania, poza tym
bardzo trudno było (i zresztą jest) dobrze zabezpieczyć maszynę przed
shellowymi userami.

BTW wiesz jak ciekawie było tam, gdzie system był wyeksportowany zgodnie
z prawem, i gdzie nie było jeszcze shadow password suite? :-)
Aczkolwiek co to dokładnie za system był to już nie pamiętam.

Bo tez lamanie DES bylo wtedy dlugie.
A dzis ... sekundy ? :-)

Jeśli dysponowałbyś jakimś distributed.net, to może (też nie). Normalnie
to jest wciąż rzędy wielkości dłuższe.

Owszem, tylko jak sie prawdziwy root zaopiekuje i pousuwa rozne
backdoory,
to sie hasla moga przydac.

Jeśli się wcześniej nie opiekował, to bym się nie spodziewał. Ale może
jakiś nowy root.
Usuwanie backdoorów, trudna sprawa. Mogą być wszędzie. W ROMie
sterownika dysków także :-)

A ludzie moga miec konta i na innych maszynach - i te same hasla.

Na to były Jacki i inne Johny.
--
Krzysztof Hałasa

On 2019-10-12, Krzysztof Halasa <khc@pm.waw.pl> wrote:

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Tylko uwazano to za niegrozne.

Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.
Tyle że były groźniejsze rzeczy. Jak już ktoś miał konto na danej
maszynie, to zakładano, że jest względnie godny zaufania, poza tym
bardzo trudno było (i zresztą jest) dobrze zabezpieczyć maszynę przed
shellowymi userami.

A co się właściwie stało z całym pędem w kierunku SELinuksa, jaki obserwowało się w pierwszej dekadzie po 2000? Rozumiem, że działa to na Androidzie, ale w popularnych, standardowych dystrybucjach nigdzie chyba nie jest opcją domyślną, czy nawet opcją instalacyjną? Pamiętam kupę upierdliwości z pracą / administracją na takich systemach, ale to jakoś nie tłumaczy czemu zdechło. Bo NSA czy inne powody?

--
Marcin

Marcin Debowski <agatek@INVALID.zoho.com> writes:

A co się właściwie stało z całym pędem w kierunku SELinuksa, jaki obserwowało się w pierwszej dekadzie po 2000? Rozumiem, że działa to na Androidzie, ale w popularnych, standardowych dystrybucjach nigdzie chyba nie jest opcją domyślną, czy nawet opcją instalacyjną?

Nie jest to prawda.
--
Krzysztof Hałasa

Krzysztof Halasa pisze:

Marcin Debowski <agatek@INVALID.zoho.com> writes:

A co się właściwie stało z całym pędem w kierunku SELinuksa, jaki obserwowało się w pierwszej dekadzie po 2000? Rozumiem, że działa to na Androidzie, ale w popularnych, standardowych dystrybucjach nigdzie chyba nie jest opcją domyślną, czy nawet opcją instalacyjną?

Nie jest to prawda.

Zgadza się, nie jest to prawda,
RHEL/CentOS 5/6/7 ma to domyślnie ustawione na tryb enforcing

W dniu 12.10.2019 o 23:07, Krzysztof Halasa pisze:

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Plik z hasłami był zwykle nie tylko zaszyfrowany, ale także
niedostępny
dla zwykłych userów. Wiem, nielegalnie (z punktu widzenia USA)
sprowadzone systemy bez shadow password suite miały wszystko
w /etc/passwd.

Ale shadow to od pewnego czasu, wczesniej byly passwd z haslami
dostepny.

Tak jak napisałem.

No właśnie nie. Przez długie lata o shadow nikomu się nie śniło, hash uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś "nielegalność" (niby jaką?), tylko o fakty historyczne.

Tylko uwazano to za niegrozne.

Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.

Ale to było 20 lat później.

   MJ

Michal Jankowski <michalj@fuw.edu.pl> writes:

No właśnie nie. Przez długie lata o shadow nikomu się nie śniło, hash
uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś
"nielegalność" (niby jaką?), tylko o fakty historyczne.

Nielegalność dotyczyła samej funkcji crypt (i w ogóle DES). Przez długi
czas eksport tej funkcji z USA i Kanady był nielegalny. Potrzebne było
specjalne zezwolenie (IIRC DoD, w końcówce chyba DoC). Jak chętnie DoD
wydawał takie zezwolenia, zwłaszcza na eksport do krajów "objętych"
COCOMem, to pewnie pamiętasz.

To nie są fakty historyczne?

BTW widziałem system, w którym nie było ani shadow, ani crypt - wiesz co
trzymane było w /etc/passwd? System był zapewne wyeksportowany zgodnie
z prawem, to była jakaś przemysłowa maszyna.

BTW mam także delikatne wrażenie, że wersje BSD eksportowane oficjalnie
do nas nie miały crypt() (ani shadow password suite rzecz jasna). Ale to
oczywiście nie miało(by) większego znaczenia.

Zupełnie inną sprawą jest to, że systemy pracujące w Polsce (zarówno
soft, jak i sprzęt) były sprowadzane "z obejściem" zarówno COCOMu, jak
i zezwoleń DoD. A często także "z obejściem" wszelkiego prawa
autorskiego.

Tylko uwazano to za niegrozne.

Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.

Ale to było 20 lat później.

Nie wiem co było 20 lat wcześniej, możliwe że wtedy jeszcze nie żyłem,
a w każdym razie nie widziałem wtedy komputera na oczy. Tak czy owak,
trzymanie haszy w dostępnych plikach uważano za groźne, chociaż może nie
aż tak groźne jak np. dostęp shellowy. Zauważ że we wcześniejszych
wersjach ftpd anonimowi userzy mogli bez problemu pobrać zawartość pliku
passwd (prawdziwego) - jak również każdego innego pliku
ogólnodostępnego. Później to się zmieniło, anonimowi mieli coś w rodzaju
(prostego) chroota, z podlinkowanymi (zwykle) /home i ew. /bin /lib /usr
itp., jeśli było potrzebne (np. /bin/ls) - bez oryginalnego /etc.

Swoją drogą, pamiętam ludzi wpisujących w takie dummy passwd różne łatwe do
złamania napisy :-)
W rodzaju 0why 1are 2you 3wasting itd. - coś takiego, nie?
--
Krzysztof Hałasa

W dniu 13.10.2019 o 15:25, Krzysztof Halasa pisze:

Swoją drogą, pamiętam ludzi wpisujących w takie dummy passwd różne łatwe do złamania napisy

Mieliśmy program sprzedażowy od polskiej firmy, ponoć "profesjonalnej".
Plik z hasłami miał je zaszyfrowane, po swoim szybko wyczaiłem jaką
metodą, i jak na dłoni miałem hasła pozostałych użytkowników.

Dużo już później, kiedy z powodu zainteresowania L. pierwszymi liznąłem
też nieco wiedzy z kryptografii, dowiedziałem się, że był to "szyfr
Cezara", jeden z pierwszych na świecie, siłą rzeczy prościutki.

Aby "profesjonaliści" nie potrafili spytać innych zawodowców, jak się
trzeba zabezpieczać? Eeech, te nasze "polactwo"...


--
Nie interesujesz się polityką? To lekkomyślne chowanie głowy w piasek!
Wszak polityka interesuje się tobą i tak, a rządzący też się interesują,
głównie zawartością twojego portfela. Dlatego zachowaj czujność!

JaNus <piszcie_sobie_n@berdyczow.pl> writes:

Mieliśmy program sprzedażowy od polskiej firmy, ponoć "profesjonalnej".
Plik z hasłami miał je zaszyfrowane, po swoim szybko wyczaiłem jaką
metodą, i jak na dłoni miałem hasła pozostałych użytkowników.

Plik był dostępny dla każdego?

Inna sprawa, że tak czy owak 90% haseł da się złamać metodą słownikową.
Może teraz nieco wzrosła "świadomość społeczna" - 80%?
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m3pnj0rai8.fsf@pm.waw.pl...
JaNus <piszcie_sobie_n@berdyczow.pl> writes:

Mieliśmy program sprzedażowy od polskiej firmy, ponoć "profesjonalnej".
Plik z hasłami miał je zaszyfrowane, po swoim szybko wyczaiłem jaką
metodą, i jak na dłoni miałem hasła pozostałych użytkowników.

Plik był dostępny dla każdego?

Na DOS/Windows ?
Praktycznie tak.

Inna sprawa, że tak czy owak 90% haseł da się złamać metodą słownikową.

Ale musisz jednak troche pohackowac program, zeby zobaczyc jak to to liczy.

Może teraz nieco wzrosła "świadomość społeczna" - 80%?

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Na DOS/Windows ?
Praktycznie tak.

No, wiesz, nie wiadomo jak to było zrobione. DOS/ew. Windows to mogły
być tylko końcówki. Z drugiej strony, jak to był np. Clipper, to
rzeczywiście wszystko pewnie było dostępne - ale co można było zrobić?
Ew. bardziej zagmatwać "szyfrowanie".

Inna sprawa, że tak czy owak 90% haseł da się złamać metodą
słownikową.

Ale musisz jednak troche pohackowac program, zeby zobaczyc jak to to
liczy.

No ale to nie jest problem zaporowy.
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m34l0csrp0.fsf@pm.waw.pl...
Michal Jankowski <michalj@fuw.edu.pl> writes:

No właśnie nie. Przez długie lata o shadow nikomu się nie śniło, hash
uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś
"nielegalność" (niby jaką?), tylko o fakty historyczne.

Nielegalność dotyczyła samej funkcji crypt (i w ogóle DES). Przez długi
czas eksport tej funkcji z USA i Kanady był nielegalny. Potrzebne było
specjalne zezwolenie (IIRC DoD, w końcówce chyba DoC). Jak chętnie DoD
wydawał takie zezwolenia, zwłaszcza na eksport do krajów "objętych"
COCOMem, to pewnie pamiętasz.
To nie są fakty historyczne?

A jednak jakos nieliczne uniksy do nas trafialy.

A moze po prostu nie mialy funkcji crypt - tzn odpowiednie programy byly skompilowane ze statyczna funkcja ?

BTW mam także delikatne wrażenie, że wersje BSD eksportowane oficjalnie
do nas nie miały crypt() (ani shadow password suite rzecz jasna). Ale to
oczywiście nie miało(by) większego znaczenia.

Przy czym w tym swietle to shadow nie ma znaczenia - tzn nie jest zakazane czy dozwolone.

Tylko uwazano to za niegrozne.

Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.

Ale to było 20 lat później.

Nie wiem co było 20 lat wcześniej, możliwe że wtedy jeszcze nie żyłem,
a w każdym razie nie widziałem wtedy komputera na oczy. Tak czy owak,
trzymanie haszy w dostępnych plikach uważano za groźne, chociaż może nie

Ale 20 lat pozniej.

https://en.wikipedia.org/wiki/Passwd
Password shadowing first appeared in Unix systems with the development of SunOS in the mid-1980s,[10] System V Release 3.2 in 1988 and BSD4.3 Reno in 1990.
But, vendors who had performed ports from earlier UNIX releases did not always include the new password shadowing features in their releases, leaving users of those systems exposed to password file attacks.

In 1987 the author of the original Shadow Password Suite, Julie Haugh, experienced a computer break-in and wrote the initial release of the Shadow Suite containing the login, passwd and su commands. The original release, written for the SCO Xenix operating system, quickly got ported to other platforms.
The Shadow Suite was ported to Linux in 1992 one year after the original announcement of the Linux project, and was included in many early distributions, and continues to be included in many current Linux distributions.

aż tak groźne jak np. dostęp shellowy.

A ponoc unix taki bezpieczny :-)

Zauważ że we wcześniejszych
wersjach ftpd anonimowi userzy mogli bez problemu pobrać zawartość pliku
passwd (prawdziwego) - jak również każdego innego pliku
ogólnodostępnego. Później to się zmieniło, anonimowi mieli coś w rodzaju
(prostego) chroota, z podlinkowanymi (zwykle) /home i ew. /bin /lib /usr
itp., jeśli było potrzebne (np. /bin/ls) - bez oryginalnego /etc.

No wlasnie - razem z tymi zaszyfrowanymi haslami, i nikomu to nie przeszkadzalo.

J.

W dniu 13.10.2019 o 15:25, Krzysztof Halasa pisze:

Michal Jankowski <michalj@fuw.edu.pl> writes:

No właśnie nie. Przez długie lata o shadow nikomu się nie śniło, hash
uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś
"nielegalność" (niby jaką?), tylko o fakty historyczne.

Nielegalność dotyczyła samej funkcji crypt (i w ogóle DES). Przez długi
czas eksport tej funkcji z USA i Kanady był nielegalny. Potrzebne było
specjalne zezwolenie (IIRC DoD, w końcówce chyba DoC). Jak chętnie DoD
wydawał takie zezwolenia, zwłaszcza na eksport do krajów "objętych"
COCOMem, to pewnie pamiętasz.

Ale to, czy system z hasłami haszowanymi przez DES wolno było eksportować nie ma się kompletnie nijak do tego, czy te hasła były w /etc/passwd czy w /etc/shadow

No więc ja ci mówię, że przez początkowe lata było wyłącznie /etc/passwd i tyle. passwd z haszowanymi hasłami było już co najmniej w Unix v6 (1975), a może i wcześniej. Wynalazek shadow to jest ca. 1987, ale jeszcze głęboko w lata 90. wiele systemów tego nie miało...

   MJ
PS. Nawiasem mówiąc, zniesienie restrykcji eksportowych na DES użyty do uwierzytelniania (czyli tak jak tu), a nie do szyfrowania plików, to jest bodajże 1989.

Michal Jankowski <michalj@fuw.edu.pl> writes:

Ale to, czy system z hasłami haszowanymi przez DES wolno było
eksportować nie ma się kompletnie nijak do tego, czy te hasła były w
/etc/passwd czy w /etc/shadow

Jasne. To były dwa zupełnie ortogonalne mechanizmy, tyle że miały
wspólny cel.

No więc ja ci mówię, że przez początkowe lata było wyłącznie
/etc/passwd i tyle. passwd z haszowanymi hasłami było już co najmniej
w Unix v6 (1975), a może i wcześniej. Wynalazek shadow to jest ca.
1987, ale jeszcze głęboko w lata 90. wiele systemów tego nie miało...

No wiem przecież, przecież napisałem (pomijając to, że nie używałem
takich zabawek w latach 70).
Ty ze swojej strony zrozum, że hashowane hasła to nie było nic
oczywistego, i to w latach 80, a pewnie także na początku lat 90,
w szczególności w realiach PRL i bloku wschodniego.

PS. Nawiasem mówiąc, zniesienie restrykcji eksportowych na DES użyty
do uwierzytelniania (czyli tak jak tu), a nie do szyfrowania plików,
to jest bodajże 1989.

Też mi się coś podobnego wydaje, ale w każdym razie było to późno.
Zdaje się można też było używać DES z kluczem max 40-bitowym (do
szyfrowania). Ale w starszych systemach mogło się to ciągnąć długo.
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m3k198v5jy.fsf@pm.waw.pl...
Michal Jankowski <michalj@fuw.edu.pl> writes:

Ale to, czy system z hasłami haszowanymi przez DES wolno było
eksportować nie ma się kompletnie nijak do tego, czy te hasła były w
/etc/passwd czy w /etc/shadow

Jasne. To były dwa zupełnie ortogonalne mechanizmy, tyle że miały
wspólny cel.

Hm, nie nazwal bym tego tak.
Chyba ze w jakim bardzo dalekim celu ...

No więc ja ci mówię, że przez początkowe lata było wyłącznie
/etc/passwd i tyle. passwd z haszowanymi hasłami było już co najmniej
w Unix v6 (1975), a może i wcześniej. Wynalazek shadow to jest ca.
1987, ale jeszcze głęboko w lata 90. wiele systemów tego nie miało...

No wiem przecież, przecież napisałem (pomijając to, że nie używałem
takich zabawek w latach 70).
Ty ze swojej strony zrozum, że hashowane hasła to nie było nic
oczywistego, i to w latach 80, a pewnie także na początku lat 90,
w szczególności w realiach PRL i bloku wschodniego.

IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975 tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od kiedy.
Ale od dawna. Na dlugo przed shadow.
I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...


Jak sobie radzili z blokiem wschodnim ... nie wiem,  moze blok wschodni wcale nie taki chetny do kupowania komputerow z unixem ...
Choc w sumie ... shadow to bylo pewne rozwiazanie problemu - tzn nie ma zakazanego szyfrowania, a pewne bezpieczenstwo jest.

PS. Nawiasem mówiąc, zniesienie restrykcji eksportowych na DES użyty
do uwierzytelniania (czyli tak jak tu), a nie do szyfrowania plików,
to jest bodajże 1989.

Też mi się coś podobnego wydaje, ale w każdym razie było to późno.
Zdaje się można też było używać DES z kluczem max 40-bitowym (do
szyfrowania). Ale w starszych systemach mogło się to ciągnąć długo.

Cos mi podobnego chodzi po glowie, ale chyba nawet nie musial byc to DES, tylko ogolnie szyfrowanie z kluczem ponad 40 bitow.

J.

On 2019-10-14, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975 tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od kiedy.
Ale od dawna. Na dlugo przed shadow.
I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...

Sieć była w powijakach, dostęp do tych maszyn miała garstka wybranych i zapewne zaufanych użytkowników. Zupełnie inne warunki niż nastały z początkiem lat 90. --
Marcin

Dnia Mon, 14 Oct 2019 21:20:54 GMT, Marcin Debowski napisał(a):

On 2019-10-14, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975 tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od kiedy.
Ale od dawna. Na dlugo przed shadow.
I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...

Sieć była w powijakach, dostęp do tych maszyn miała garstka wybranych i zapewne zaufanych użytkowników. Zupełnie inne warunki niż nastały z początkiem lat 90.

Studenci, pracownicy - czasem tysiacami.
A oprocz sieci byly modemy.

Jakos "hacker" to slowo sprzed internetu ... no nie - internet tez
stare slowo, ale nie zawsze tak popularne - bo poczatkowo tez tylko
dla wybranych.

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Jakos "hacker" to slowo sprzed internetu ... no nie - internet tez
stare slowo, ale nie zawsze tak popularne - bo poczatkowo tez tylko
dla wybranych.

No ale wtedy rozróżniano - zwracano uwagę - "hacker" vs "cracker".
Inna sprawa, że to mogło być tylko formalne rozróżnienie, coś a la teraz
white hat, a teraz black hat.
--
Krzysztof Hałasa

On 2019-10-15, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

Dnia Mon, 14 Oct 2019 21:20:54 GMT, Marcin Debowski napisał(a):

On 2019-10-14, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975 tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od kiedy.
Ale od dawna. Na dlugo przed shadow.
I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...

Sieć była w powijakach, dostęp do tych maszyn miała garstka wybranych i zapewne zaufanych użytkowników. Zupełnie inne warunki niż nastały z początkiem lat 90.

Studenci, pracownicy - czasem tysiacami.
A oprocz sieci byly modemy.

Proporcjonalność środków do zagrożeń. Przecież i teraz wpuszczasz na teren uczelni tysiące osób, dajesz im dostęp do sprzętu wartego często setki tysięcy zł, czy takiego, który się daje wynieść. Nie zabezpieczasz tego jakoś bardzo szczególnie bo nie ma takiej potrzeby. Tam MZ też jej wtedy nie było.

Jakos "hacker" to slowo sprzed internetu ... no nie - internet tez
stare slowo, ale nie zawsze tak popularne - bo poczatkowo tez tylko
dla wybranych.

Dodakowo, to nie był przeciez sprzęt popularny i powszechnie obeznany, co też ograniczało liczbę potencjalnych zamachów. MZ do pewnego momentu nikt po prostu takich rzeczy nie analizował, właśnie ze względu na brak potrzeby i ograniczoną liczbę spraw związanych z jakimiś nadużyciami.

Mielismy na laborce z chemii fizycznej komputer, do którego wprowadzało się otrzymane w trakcie ćwiczeń wyniki i na podstawie stopnia spieprzenia zadania dostawało się ocenę. Nie pamiętam już co to była za maszyna, coś ze wszystkim zintegrowanym w jednej obudowie, ale sam program to był jakiś basic. Mało nie skończyło się to dla mnie akcją dyscyplinarną jak zademonstrowałem prowadzącym co z tym można w kwestii tych ocen zrobić. Nikt nie myślał po prostu o takich rzeczach, i dwa, niewiele osób znało nawet taki basic. Historia uczy, że problemy na ogół rozwiązuje się w miarę ich pojawiania bo co tu rozwiązywać jak problemu nie ma?

--
Marcin

Użytkownik "Marcin Debowski"  napisał w wiadomości grup dyskusyjnych:DxspF.509384$Hc4.24632@fx03.ams1...
On 2019-10-15, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

Dnia Mon, 14 Oct 2019 21:20:54 GMT, Marcin Debowski napisał(a):

On 2019-10-14, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975
tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
kiedy.
Ale od dawna. Na dlugo przed shadow.
I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt
nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...

Sieć była w powijakach, dostęp do tych maszyn miała garstka wybranych i
zapewne zaufanych użytkowników. Zupełnie inne warunki niż nastały z
początkiem lat 90.

Studenci, pracownicy - czasem tysiacami.
A oprocz sieci byly modemy.

Proporcjonalność środków do zagrożeń. Przecież i teraz wpuszczasz na
teren uczelni tysiące osób, dajesz im dostęp do sprzętu wartego często
setki tysięcy zł, czy takiego, który się daje wynieść. Nie zabezpieczasz
tego jakoś bardzo szczególnie bo nie ma takiej potrzeby.

W Polsce moze nie ma potrzeby, ale w Anglii widzialem komputery przymocowane linka czy lancuchem do sciany.
Telewizory, monitory.

W Polsce tez sie zdarza, ze przychodzi ktos to biura, o cos tam pyta, wychodzi, a za chwile ... "gdzie jest moj telefon, gdzie jest moj portfel, gdzie moja torebka" ...

Tam MZ też jej wtedy nie było.

I o to wlasnie chodzi - haszowanie z pomoca DES bylo uwazane za bezpieczne ... az przestalo byc.
Coraz szybsze komputery, coraz wiecej, coraz lepsze scalaki ...

Mielismy na laborce z chemii fizycznej komputer, do którego wprowadzało
się otrzymane w trakcie ćwiczeń wyniki i na podstawie stopnia
spieprzenia zadania dostawało się ocenę. Nie pamiętam już co to była za
maszyna, coś ze wszystkim zintegrowanym w jednej obudowie, ale sam
program to był jakiś basic. Mało nie skończyło się to dla mnie akcją
dyscyplinarną jak zademonstrowałem prowadzącym co z tym można w kwestii
tych ocen zrobić.
Nikt nie myślał po prostu o takich rzeczach, i dwa, niewiele osób znało
nawet taki basic. Historia uczy, że problemy na ogół rozwiązuje się w
miarę ich pojawiania bo co tu rozwiązywać jak problemu nie ma?

Kiedy wlasnie problem jest, tylko na razie nikt go nie wykorzystal.
Ty zademonstrowales, ktos inny byc moze wykorzystal ... a w banku moje pieniadze lezą :-)

Na razie na szczescie srodek tych naszych systemow bankowych wyglada na bezpieczny - tzn nie ujawniono zadnego wlamania na poziomie systemowym.

J.

On 2019-10-16, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

Użytkownik "Marcin Debowski"  napisał w wiadomości grup

Proporcjonalność środków do zagrożeń. Przecież i teraz wpuszczasz na
teren uczelni tysiące osób, dajesz im dostęp do sprzętu wartego często
setki tysięcy zł, czy takiego, który się daje wynieść. Nie zabezpieczasz
tego jakoś bardzo szczególnie bo nie ma takiej potrzeby.

W Polsce moze nie ma potrzeby, ale w Anglii widzialem komputery przymocowane linka czy lancuchem do sciany.
Telewizory, monitory.

Może paranoja, może wymóg ubezpieczenia, a może bo sprzet lubie wedrować (niekoniecznie jako ukradziony) a przymocowywanie nie wykazuje znacznego stopnia upiedliwości. Nb. mój jest też w pracy przymocowany.

W Polsce tez sie zdarza, ze przychodzi ktos to biura, o cos tam pyta, wychodzi, a za chwile ... "gdzie jest moj telefon, gdzie jest moj portfel, gdzie moja torebka" ...

Osoba postronna vs pracownik/student. Inny przypadek.

Tam MZ też jej wtedy nie było.

I o to wlasnie chodzi - haszowanie z pomoca DES bylo uwazane za bezpieczne ... az przestalo byc.
Coraz szybsze komputery, coraz wiecej, coraz lepsze scalaki ...

No tak. Ale szybsze komputery i cała reszta to tylko jeden z czynników. Nigdy przeciez nie jest tak, że coś może być czy jest bezwzględnie bezpieczne. Jest jakis poziom praktyczności rozwiązań, który ogranicza pułap paranoi.

nawet taki basic. Historia uczy, że problemy na ogół rozwiązuje się w
miarę ich pojawiania bo co tu rozwiązywać jak problemu nie ma?

Kiedy wlasnie problem jest, tylko na razie nikt go nie wykorzystal.

To nie jest problem, to jest techniczna/fizyczna właściwość umozliwiająca
zaistnienie problemu.

Ty zademonstrowales, ktos inny byc moze wykorzystal ... a w banku moje pieniadze lezą :-)

Na ulicy, którą przejeżdża jedno auto na dobę nie specjalnie jest sens robić bezkolizyjne przejście dla pieszych, ale na identycznej ulicy z duzym ruchem samochodowym i pieszym sens już może być.

--
Marcin

W dniu 16.10.2019 o 01:23, Marcin Debowski pisze:

Proporcjonalność środków do zagrożeń. Przecież i teraz wpuszczasz na
teren uczelni tysiące osób, dajesz im dostęp do sprzętu wartego często
setki tysięcy zł, czy takiego, który się daje wynieść. Nie zabezpieczasz
tego jakoś bardzo szczególnie bo nie ma takiej potrzeby. Tam MZ też jej
wtedy nie było.

Ba. Jak w 1976 do CAMK-u przyszedł PDP-11, to przyjęto zasadę pracy, że wszyscy działają na kontach z pełnymi uprawnieniami i bez haseł (odpowiednik unixowego root). Po prostu praca na koncie szarego użytkownika była zbyt upierdliwa, bez praw do montowania dysku czy taśmy, a etatu dyżurnego operatora w ogóle nie było. Po prostu było założenie, ze na listę dostępu do pomieszczenia wpisuje się osoby przeszkolone i zaufane.

Potem pierwsze pecety też tak działały, ale różnica była taka, że był jeden użytkownik naraz.

Wiele lat później, czytałem historię, że ktoś w USA w ramach zabawy podpiął niepotrzebnego starego PDP-11 do internetu i wystawił bez hasła z bannerem 'proszę bardzo, pobawcie się'. Opisywał, że przez pierwszych kilka dni to się jacyś ludzie logowali, coś próbowali, jakieś odpowiedniki 'dir' czy 'time' i znikali. Bardzo szybko zaczęli próby niszczenia systemu (wtedy odtwarzał z backupu). Po tygodniu system był już niszczony po kilku minutach od reinstalacji. I tak się zabawa skończyła.

   MJ

W dniu 16.10.2019 o 13:16, Michał Jankowski pisze:

Po tygodniu system był już niszczony po kilku minutach od
reinstalacji

Tadeusz Różewicz (bodajże) w książce "Śmierć w starych dekoracjach" napisał onegdaj:

/Tłumy Herostratesów przelewają się po ulicach naszych miast/
/srają nam na wycieraczkę, dzwonią do drzwi/
/i żądają papieru/

A ktoś inny tak skomentował wypisywanie czegoś-tam na zabytkowych murach:
  - podpis wandala: /nie umiem tworzyć, więc niszczę/

--
Matematyka to księżniczka: jest piękna
Fizyka to potęga.
Logika to cudowne narzędzie.
Ale wszystkie te wspaniałe nauki muszą słuchać *polityków*
Tedy patrz tym draniom na ręce!

On 2019-10-16, Michał Jankowski <michalj@fuw.edu.pl> wrote:

Wiele lat później, czytałem historię, że ktoś w USA w ramach zabawy podpiął niepotrzebnego starego PDP-11 do internetu i wystawił bez hasła z bannerem 'proszę bardzo, pobawcie się'. Opisywał, że przez pierwszych kilka dni to się jacyś ludzie logowali, coś próbowali, jakieś odpowiedniki 'dir' czy 'time' i znikali. Bardzo szybko zaczęli próby niszczenia systemu (wtedy odtwarzał z backupu). Po tygodniu system był już niszczony po kilku minutach od reinstalacji. I tak się zabawa skończyła.

Amatorów niszczenia będzie zawsze wielu, szczególnie gdy pozostają w przekonaniu o własnej anonimowości.

--
Marcin

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975
tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
kiedy.

Ale w jakim Uniksie? I kluczowe pytanie, kiedy i jak dostarczonym do
PRL? Jeszcze raz napiszę, były systemy, które tego nie miały. Chociaż
nie wątpię, że ich wersje "domestic" miały szyfrowanie haseł.

W późniejszym okresie pamiętam takie pudełka z naklejkami "USA/Canada
only" (z innym softem przypuszczalnie), więc pewnie kupienie "lepszej"
wersji to nie był wielki problem - ale to zależało.

I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt
nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...

No więc gdy ja się z tym zetknąłem w latach 80, to od razu uznałem to za
zagrożenie. Więc nie nikt. Aczkolwiek bardzo mocno wątpię, bym wtedy
wymyślił coś odkrywczego.

Przyznaję że już wtedy miałem lekką dewiację w takim kierunku, pamiętam
że jeden z moich pierwszych programów zerował przestrzeń adresową - jak
się okazało - tylko dostępna dla niego, a nie całej maszyny.

Jak sobie radzili z blokiem wschodnim ... nie wiem,  moze blok
wschodni wcale nie taki chetny do kupowania komputerow z unixem ...

Pewnie nie, ale jednak kupował. W szczególności niekoniecznie komputery
"dla ludu", ale np. w przemyśle.

Choc w sumie ... shadow to bylo pewne rozwiazanie problemu - tzn nie
ma zakazanego szyfrowania, a pewne bezpieczenstwo jest.

Tyle że, jak już ustaliliśmy, shadow to była końcówka lat 80, i później.

Cos mi podobnego chodzi po glowie, ale chyba nawet nie musial byc to
DES, tylko ogolnie szyfrowanie z kluczem ponad 40 bitow.

W praktyce sprowadzało się to do DESa. W takim np. PGP był
(praktycznie?) DES i IDEA. 40-bitowa IDEA to by była chyba większa
pomyłka niż 40-bitowy DES.
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m3o8yhc4al.fsf@pm.waw.pl...
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975
tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
kiedy.

Ale w jakim Uniksie?

W kazdym?

I kluczowe pytanie, kiedy i jak dostarczonym do PRL?

Nie wiem czy jakikolwiek byl kupiony do PRL przed 1982 ... ale przestrzegano wtedy tak bardzo COCOM w tym zakresie ?

Jeszcze raz napiszę, były systemy, które tego nie miały. Chociaż
nie wątpię, że ich wersje "domestic" miały szyfrowanie haseł.
W późniejszym okresie pamiętam takie pudełka z naklejkami "USA/Canada
only" (z innym softem przypuszczalnie), więc pewnie kupienie "lepszej"
wersji to nie był wielki problem - ale to zależało.

Rosjanie jakos nie mieli problemu z piraceniem calych systemow.
Ale czy Unixem byli zainteresowani ...

Kopiowali PDP-11, kopiowali VAX - ale na obu unix byl tylko dodatkowym systemem.

VAXa kopiowano ponoc na Wegrzech, Czechoslowacji, NRD,  Jugoslawii - tu byc moze licencja.

https://en.wikipedia.org/wiki/VAX

I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt
nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...

No więc gdy ja się z tym zetknąłem w latach 80, to od razu uznałem to za
zagrożenie. Więc nie nikt. Aczkolwiek bardzo mocno wątpię, bym wtedy
wymyślił coś odkrywczego.

Przynajmniej na tyle odkrywcze, ze tworcy systemu na ktorym to zobaczyles nie uwazali za stosowne zmienic.
A historie znamy - w okolicahc 1987 pojawilo sie shadow suite.

Przyznaję że już wtedy miałem lekką dewiację w takim kierunku, pamiętam
że jeden z moich pierwszych programów zerował przestrzeń adresową - jak
się okazało - tylko dostępna dla niego, a nie całej maszyny.

To co innego - zjawisko "wysypania" programu bylo powszechnie znane od poczatku, i w systemie wielozadaniowym trzeba sie bylo zabezpieczyc.
Nawet chyba w jednozadaniowym, w ktorym jednak rzadzil system operacyjny.

Choc w sumie ... shadow to bylo pewne rozwiazanie problemu - tzn nie
ma zakazanego szyfrowania, a pewne bezpieczenstwo jest.

Tyle że, jak już ustaliliśmy, shadow to była końcówka lat 80, i później.

Cos mi podobnego chodzi po glowie, ale chyba nawet nie musial byc to
DES, tylko ogolnie szyfrowanie z kluczem ponad 40 bitow.

W praktyce sprowadzało się to do DESa. W takim np. PGP był
(praktycznie?) DES i IDEA. 40-bitowa IDEA to by była chyba większa
pomyłka niż 40-bitowy DES.

Moze miala byc pomyłką - wszak chodzi o to, zeby inni nie szyfrowali zbyt dobrze :-)

Tylko akurat IDEA (ta 128 bit) byla wymyslona w Szwajcarii ... co w sumie nie przeszkadza USA blokowac roznych produktow w roznych miejscach.

No i ciagle byl RSA - niby zakazany, a jednoczesnie latwy do napisania gdziekolwiek ... tylko uwazac na patenty.

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

[UNIX]

Nie wiem czy jakikolwiek byl kupiony do PRL przed 1982

Przed 82 to nie wiem, ale przed 87 - na pewno.

... ale
przestrzegano wtedy tak bardzo COCOM w tym zakresie ?

COCOMu czy nie COCOMu - z COCOMem byłoby pewnie łatwiej, bo można było
go eksportować z USA. Różne rzeczy objęte COCOMem były w Polsce
dostępne, chociaż pewnie kosztowały więcej niż gdyby COCOMu nie było.
A DES był po prostu objęty zakazem, trzeba było mieć każdorazowo
zezwolenie, nawet na eksport do UK czy innej Australii. I po eksporcie
tamże wcale nie oznaczało to końca zezwoleń itd. - tak jak teraz, gdy
np. w Polsce kupimy jakiś nawet trywialny kawałek sprzętu z listy np.
"dualnego zastosowania".

Rosjanie jakos nie mieli problemu z piraceniem calych systemow.
Ale czy Unixem byli zainteresowani ...

Kopiowali PDP-11, kopiowali VAX - ale na obu unix byl tylko dodatkowym
systemem.

Ruskiej wersji VAXa nie widziałem, ale PDP-11 owszem. Z tym że to były
małe maszynki, nawet zwykły pecet 386 (pomijając DOSa itp) był
mocniejszy.

Przynajmniej na tyle odkrywcze, ze tworcy systemu na ktorym to
zobaczyles nie uwazali za stosowne zmienic.
A historie znamy - w okolicahc 1987 pojawilo sie shadow suite.

Co oznacza, że wcześniej było pewnie N prywatnych wersji.

No i ciagle byl RSA - niby zakazany, a jednoczesnie latwy do napisania
gdziekolwiek ... tylko uwazac na patenty.

Patenty były 10x mniej istotne od COCOMów, ITARów itd.
--
Krzysztof Hałasa

Dnia Thu, 17 Oct 2019 20:43:41 +0200, Krzysztof Halasa napisał(a):

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:
[UNIX]

Nie wiem czy jakikolwiek byl kupiony do PRL przed 1982

Przed 82 to nie wiem, ale przed 87 - na pewno.

Do 1981 mielismy "przyjacielskie stosunki", i nie wiem czy ktos sie
przejmowal czyms takim, jak system operacyjny ogolnego przeznaczenia.
Tylko akurat pod koniec to juz nie mielismy pieniedzy.

13 grudnia sie skonczylo ...

... ale
przestrzegano wtedy tak bardzo COCOM w tym zakresie ?

COCOMu czy nie COCOMu - z COCOMem byłoby pewnie łatwiej, bo można było
go eksportować z USA. Różne rzeczy objęte COCOMem były w Polsce
dostępne, chociaż pewnie kosztowały więcej niż gdyby COCOMu nie było.
A DES był po prostu objęty zakazem, trzeba było mieć każdorazowo
zezwolenie, nawet na eksport do UK czy innej Australii. I po eksporcie
tamże wcale nie oznaczało to końca zezwoleń itd. - tak jak teraz, gdy
np. w Polsce kupimy jakiś nawet trywialny kawałek sprzętu z listy np.
"dualnego zastosowania".

COCOM tez do tego sluzyl, ale jak cos mozna w Anglii w sklepie na
półce kupic, to ta kontrola jest iluzoryczna.

Rosjanie jakos nie mieli problemu z piraceniem calych systemow.
Ale czy Unixem byli zainteresowani ...

Kopiowali PDP-11, kopiowali VAX - ale na obu unix byl tylko dodatkowym
systemem.

Ruskiej wersji VAXa nie widziałem, ale PDP-11 owszem.

Wiki twierdzi, ze i VAX'y byly.

Z tym że to były
małe maszynki, nawet zwykły pecet 386 (pomijając DOSa itp) był
mocniejszy.

Ale Unix sie zaczal na PDP-7, a potem dlugo na PDP-11 pracowal
https://en.wikipedia.org/wiki/History_of_Unix

Akurat czy wtedy uzywali DES do hasel, to sie nie upieram.

Przynajmniej na tyle odkrywcze, ze tworcy systemu na ktorym to
zobaczyles nie uwazali za stosowne zmienic.
A historie znamy - w okolicahc 1987 pojawilo sie shadow suite.

Co oznacza, że wcześniej było pewnie N prywatnych wersji.

A reszta ciagle nie miala.

No i ciagle byl RSA - niby zakazany, a jednoczesnie latwy do napisania
gdziekolwiek ... tylko uwazac na patenty.

Patenty były 10x mniej istotne od COCOMów, ITARów itd.

Szczegolnie, ze w wielu krajach nie opatentowano.

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

A jednak jakos nieliczne uniksy do nas trafialy.

A moze po prostu nie mialy funkcji crypt - tzn odpowiednie programy
byly skompilowane ze statyczna funkcja ?

Restrykcje dotyczyły także statycznie zlinkowanych funkcji.
BTW wiele systemów w ogóle nie miało dynamicznych bibliotek.

Przy czym w tym swietle to shadow nie ma znaczenia - tzn nie jest
zakazane czy dozwolone.

Tak, btw były wersje z shadow, które nie używały szyfrowania crypt().
Nie dam głowy co to było takiego, ale możliwe że pierwsza (pierwsze?)
wersje 386BSD tak miały. Szyfrowanie należało sobie ściągnąć oddzielnie
(i to w dalszym ciągu było wtedy nielegalne - mimo że już nie było
COCOMu, a w każdym razie nas nie dotyczył).

https://en.wikipedia.org/wiki/Passwd
Password shadowing first appeared in Unix systems with the development
of SunOS in the mid-1980s,[10] System V Release 3.2 in 1988 and BSD4.3
Reno in 1990.

To pewnie tak było. 386BSD 0.0 był oparty na BSD4.3 (to się nazywało
Net/2, nie wiem jak się to miało do Reno), i tam chyba nie trzeba było
oddzielnie instalować shadowów. Zdaje się że to tam był plik
/etc/master.passwd (i jeszcze jakiś - zamiast obecnych nazw).
Teoretycznie to mogło być dopiero w NetBSD, choć wątpię.

The Shadow Suite was ported to Linux in 1992 one year after the
original announcement of the Linux project, and was included in many
early distributions, and continues to be included in many current
Linux distributions.

Linuksa wtedy nie używałem, pierwszym moim Linuksem był jakiś tam SLS
- i tam chyba zawsze był shadow. Były za to inne braki - wiele braków.

aż tak groźne jak np. dostęp shellowy.

A ponoc unix taki bezpieczny :-)

No, w ogóle była tam jakaś kontrola uprawnień, w odróżnieniu od
DOS/Windows. Ale zasadniczo uznawało się, że jeśli ktoś ma dostęp
shellowy, to jest w stanie uzyskać roota.
Dopiero po wielu latach, pewnie w tym tysiącleciu :-) zaczęto uważać
inaczej. Czy słusznie, to też nieco wątpię.

No wlasnie - razem z tymi zaszyfrowanymi haslami, i nikomu to nie
przeszkadzalo.

No więc przeszkadzało. Stąd dummy /etc, a później w ogóle shadow dla
wszystkich userów.
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m3o8ykv5zr.fsf@pm.waw.pl...
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

A jednak jakos nieliczne uniksy do nas trafialy.

A moze po prostu nie mialy funkcji crypt - tzn odpowiednie programy
byly skompilowane ze statyczna funkcja ?

Restrykcje dotyczyły także statycznie zlinkowanych funkcji.
BTW wiele systemów w ogóle nie miało dynamicznych bibliotek.

Ale funkcja crypt w biliotece pozwala na uzycie komputera do roznych celow.
Passwd szyfrujacy hasla DES'em nie.

Przy czym w tym swietle to shadow nie ma znaczenia - tzn nie jest
zakazane czy dozwolone.

Tak, btw były wersje z shadow, które nie używały szyfrowania crypt().
Nie dam głowy co to było takiego, ale możliwe że pierwsza (pierwsze?)
wersje 386BSD tak miały.

Byc moze.

Szyfrowanie należało sobie ściągnąć oddzielnie
(i to w dalszym ciągu było wtedy nielegalne - mimo że już nie było
COCOMu, a w każdym razie nas nie dotyczył).

W jakim sensie nielegalne - jesli sciagnalem np z Rosji czy Finlandii.
Albo na/przepisalem sam ...

https://en.wikipedia.org/wiki/Passwd
Password shadowing first appeared in Unix systems with the development
of SunOS in the mid-1980s,[10] System V Release 3.2 in 1988 and BSD4.3
Reno in 1990.

To pewnie tak było. 386BSD 0.0 był oparty na BSD4.3 (to się nazywało

A nam chodzi o to, ze przez poprzednie 20 lat nikomu nie przeszkadzalo, ze kazdy moze sobie zobaczyc zapisane haslo w passwd.

Net/2, nie wiem jak się to miało do Reno), i tam chyba nie trzeba było
oddzielnie instalować shadowów. Zdaje się że to tam był plik
/etc/master.passwd (i jeszcze jakiś - zamiast obecnych nazw).
Teoretycznie to mogło być dopiero w NetBSD, choć wątpię.

The Shadow Suite was ported to Linux in 1992 one year after the
original announcement of the Linux project, and was included in many
early distributions, and continues to be included in many current
Linux distributions.

Linuksa wtedy nie używałem, pierwszym moim Linuksem był jakiś tam SLS
- i tam chyba zawsze był shadow. Były za to inne braki - wiele braków.

A w BSD nie ?

Tak mi chodzi po glowie, ze akurat w tym czasie zaczeto odkrywac bardzo wiele luk w unixach - i to wszystkich,

aż tak groźne jak np. dostęp shellowy.

A ponoc unix taki bezpieczny :-)

No, w ogóle była tam jakaś kontrola uprawnień, w odróżnieniu od
DOS/Windows.

Wiec wydawal sie bezpieczny ... wydawal :-)

Ale zasadniczo uznawało się, że jeśli ktoś ma dostęp
shellowy, to jest w stanie uzyskać roota.
Dopiero po wielu latach, pewnie w tym tysiącleciu :-) zaczęto uważać
inaczej. Czy słusznie, to też nieco wątpię.

No co to za kontrola uprawnien, jesli kazdy moze zostac rootem, i sobie uprawnienia zmienic :-)

No wlasnie - razem z tymi zaszyfrowanymi haslami, i nikomu to nie
przeszkadzalo.

No więc przeszkadzało. Stąd dummy /etc, a później w ogóle shadow dla
wszystkich userów.

Ale po 20 latach. Wczesniej ... wydawalo sie bezpieczne ?
Zreszta skoro kazdy moze zostac rootem, to co to za bezpieczenstwo - shadow tez moze odczytac :-)


J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Ale funkcja crypt w biliotece pozwala na uzycie komputera do roznych
celow.
Passwd szyfrujacy hasla DES'em nie.

Eee, też tak sobie. crypt() nie pozwala na nic innego niż passwd - tyle
że hasła można pobrać z innego miejsca i wyniki można zapisać również
w innym miejscu. Różnica jest IMHO symboliczna.

W jakim sensie nielegalne - jesli sciagnalem np z Rosji czy Finlandii.
Albo na/przepisalem sam ..

Jeśli napisałeś, to legalne. Nawet jeśli "ściągnąłeś" w postaci
papierowej, to było legalne (casus PGP). Samo ściągnięcie z funetu
(z Rosji to tak raczej średnio szło - z Rosyjskiej Republiki
Socjalistycznej?) też pewnie było legalne. Natomiast eksport z USA
(/Kanady) był nielegalny.

A nam chodzi o to, ze przez poprzednie 20 lat nikomu nie
przeszkadzalo, ze kazdy moze sobie zobaczyc zapisane haslo w passwd.

Tzn. które 20 lat. Bo przecież nie może chodzić o obecny wiek?
Piszę, że przeszkadzało. Nie każdy mógł zobaczyć hasło w passwd. Tylko
zalogowani userzy shellowi. To przeszkadzało (być może) mniej, niż
lokalne ataki, które mogli (łatwo) zmontować. Ale przeszkadzało - stąd
powstanie łamaczy haseł (zarówno dla atakujących, jak i dla userów, by
nie mogli ustawiać trywialnych), i w końcu shadow password suite, jako
integralna część każdego systemu od początku jego istnienia.

Linuksa wtedy nie używałem, pierwszym moim Linuksem był jakiś tam SLS
- i tam chyba zawsze był shadow. Były za to inne braki - wiele
braków.

A w BSD nie ?

Zasadniczo BSD w porównaniu do Linuksa był dość kompletny.
Trudno się dziwić, biorąc pod uwagę, że był wzorcem :-)
Linux to w wielu miejscach były "stuby".

Tak mi chodzi po glowie, ze akurat w tym czasie zaczeto odkrywac
bardzo wiele luk w unixach - i to wszystkich,

Czy zaczęto, to nie wiem. Panowało przekonanie, że lokalne dziury to
oczywista oczywistość. Zdalne dziury to była inna sprawa i faktycznie
było wtedy nieco głośnych przypadków (największe chyba w sendmailu).

Ale po 20 latach. Wczesniej ... wydawalo sie bezpieczne ?

Ale nie wiem po 20 latach od którego momentu.

Zreszta skoro kazdy moze zostac rootem, to co to za bezpieczenstwo - shadow tez moze odczytac :-)

Sam widzisz.
--
Krzysztof Hałasa

Użytkownik "Krzysztof Halasa"  napisał w wiadomości grup dyskusyjnych:m3tv8aaqn8.fsf@pm.waw.pl...
"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

A nam chodzi o to, ze przez poprzednie 20 lat nikomu nie
przeszkadzalo, ze kazdy moze sobie zobaczyc zapisane haslo w passwd.

Tzn. które 20 lat. Bo przecież nie może chodzić o obecny wiek?

No tak od 1970 to 1990.

No dobra - nie znam na tyle historii Unixa, to nie wiem kiedy wybrali DES do hasel,
moze to byl np 1975, moze w 1985 zaczelo pierwszemu przeszkadzac - jak cytowalismy - jeszcze w 1990 wiele systemow nie mialo shadow.

Piszę, że przeszkadzało. Nie każdy mógł zobaczyć hasło w passwd. Tylko
zalogowani userzy shellowi.

Czy nie Ty pisales, ze anonimowi ftp tez ?

To przeszkadzało (być może) mniej, niż
lokalne ataki, które mogli (łatwo) zmontować. Ale przeszkadzało - stąd
powstanie łamaczy haseł (zarówno dla atakujących, jak i dla userów, by
nie mogli ustawiać trywialnych),

A reszta nadal uwazana za bezpieczne :-)

Tak mi chodzi po glowie, ze akurat w tym czasie zaczeto odkrywac
bardzo wiele luk w unixach - i to wszystkich,

Czy zaczęto, to nie wiem. Panowało przekonanie, że lokalne dziury to
oczywista oczywistość. Zdalne dziury to była inna sprawa i faktycznie
było wtedy nieco głośnych przypadków (największe chyba w sendmailu).

Pare metod bylo dosc uniwersalnych - np przepelnienie zmiennej na stosie.
Tylko nie kazdy system pozwalal wykonywac program ze stosu.

Zreszta skoro kazdy moze zostac rootem, to co to za bezpieczenstwo -
shadow tez moze odczytac :-)

Sam widzisz.

Czyli ciagle uwazamy hashowanie hasel za bezpieczne, czy tylko chowamy glowy w piasek ? :-)

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

Piszę, że przeszkadzało. Nie każdy mógł zobaczyć hasło w passwd.
Tylko
zalogowani userzy shellowi.

Czy nie Ty pisales, ze anonimowi ftp tez ?

To też - ale wcześniej. A więc przeszkadzało :-)

A reszta nadal uwazana za bezpieczne :-)

Nietrywialne hasła (niemożliwe do złamania metodą słownikową) były
bezpieczne na pewno do lat 90.

Czyli ciagle uwazamy hashowanie hasel za bezpieczne, czy tylko chowamy
glowy w piasek ? :-)

Nie uważamy za bezpieczne, bo są (i były od dawna, na pewno od lat 80)
programy do łamania słownikowego. Poza tym, pomijając DES itp. -
zasadniczo są bezpieczne :-)
--
Krzysztof Hałasa

W dniu 11.10.2019 o 14:59, Krzysztof Halasa pisze:

Plik z hasłami był zwykle nie tylko zaszyfrowany, ale także niedostępny dla zwykłych userów.

Używałem kiedyś przeglądarki (lepiej nie będę zdradzał jaka to), która,
a jakże, ułatwiała życie zapamiętując twoje logowania na różnych
stronach, i oczywiście później już logowała cię automatycznie.

Odsłona druga:
- jakiś przypadek sprawił, że kursor (hm, fokus?) wjechał mi w jej katalogu na pewien plik, a miałem w opcjach Win-Exploratora aktywną
opcję "pokaż okienko podglądu". No i patrzę w to okienko, i oczom swoim
nie wierzę, bo tam rządek po rządku widzę te swoje hasła do różnych
witryn!!!

Oczywiście natychmiast odinstalowałem to g**no, ale jestem niemal
pewien, że i w innych przeglądarkach autorzy popełnili taką niemal
zbrodniczą niefrasobliwość, i taki plik istnieje, i zaszyfrowany nie jest.

Uzerzy, nie łudźcie się, *każdy* ma w kompie potencjalnego pomocnika
szpionów!



--
Nie interesujesz się polityką? To lekkomyślne chowanie głowy w piasek!
Wszak polityka interesuje się tobą i tak, a rządzący też się interesują,
głównie zawartością twojego portfela. Dlatego zachowaj czujność!

Dnia Fri, 11 Oct 2019 16:14:57 +0200, JaNus napisał(a):

W dniu 11.10.2019 o 14:59, Krzysztof Halasa pisze:

Plik z hasłami był zwykle nie tylko zaszyfrowany, ale także niedostępny dla zwykłych userów.

Używałem kiedyś przeglądarki (lepiej nie będę zdradzał jaka to), która,
a jakże, ułatwiała życie zapamiętując twoje logowania na różnych
stronach, i oczywiście później już logowała cię automatycznie.

Odsłona druga:
- jakiś przypadek sprawił, że kursor (hm, fokus?) wjechał mi w jej katalogu na pewien plik, a miałem w opcjach Win-Exploratora aktywną
opcję "pokaż okienko podglądu". No i patrzę w to okienko, i oczom swoim
nie wierzę, bo tam rządek po rządku widzę te swoje hasła do różnych
witryn!!!

Oczywiście natychmiast odinstalowałem to g**no, ale jestem niemal
pewien, że i w innych przeglądarkach autorzy popełnili taką niemal
zbrodniczą niefrasobliwość, i taki plik istnieje, i zaszyfrowany nie jest.

Niekoniecznie, ale:
-gdzies to zapamietane jest, a to tylko pecet - mozna zalozyc, ze plik
jest dostepny. W windows co prawda przybywa roznych zabezpieczen.

-zaszyfrowane ... ale skoro przegladarka to uzywa, to musi umiec
odszyfrowac. To mozna przyjac, ze kazdy hacker umie.  Chyba, ze zaszyfrowane bedzie z uzyciem hasla uzytkownika jako
 klucza. To bedzie troche trudniej.
 

Uzerzy, nie łudźcie się, *każdy* ma w kompie potencjalnego pomocnika
szpionów!

A to osobna sprawa ... MS i NSA, i FBI itd maja pelny dostep do
twojego komputera z Windows ? :-)

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

A to osobna sprawa ... MS i NSA, i FBI itd maja pelny dostep do
twojego komputera z Windows ? :-)

I pewnie CBA i CBŚ i ABW i kupa innych...
--
Krzysztof Hałasa

Dnia Sat, 12 Oct 2019 23:10:06 +0200, Krzysztof Halasa napisał(a):

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

A to osobna sprawa ... MS i NSA, i FBI itd maja pelny dostep do
twojego komputera z Windows ? :-)

I pewnie CBA i CBŚ i ABW i kupa innych...

Troche watpie.
NSA moze im dane da, ale niekoniecznie, a w ogole to sie nie przyzna, ze ma dostep :-)

A teraz jeszcze moda na trzymanie danych w chmurze ...

J.

"J.F." <jfox_xnospamx@poczta.onet.pl> writes:

A to osobna sprawa ... MS i NSA, i FBI itd maja pelny dostep do
twojego komputera z Windows ? :-)

I pewnie CBA i CBŚ i ABW i kupa innych...

Troche watpie.
NSA moze im dane da, ale niekoniecznie, a w ogole to sie nie przyzna, ze ma dostep :-)

NSA bezpośrednio nie da, ale nie tylko NSA istnieje.
Są tacy, którzy dadzą. Weźmy np. taki Bliski Wschód.

A teraz jeszcze moda na trzymanie danych w chmurze ...

A to prawda. A chmura u Wuja Sama, ew. na Bliskim Wschodzie.
--
Krzysztof Hałasa

On 2019-10-09 06:48, Kamil wrote:

128 bitowego szyfrowania którego w zasadzie nigdzie się już nie stosuje...

Te 128, czy jego wielokrotności to mit slużący do zarabiania na naiwnych. Do
czego takie szyfrowanie ma służyć? Aby zrozumiec problem trzeba poznać
historię Kevina Mitnicka. Jego sławna wypowiedź brzmiała: Łamałem ludzi, nie
hasła.

I to jest cała prawda o "łamaniu zabezpieczeń".

kontekst

piszemy o łamaniu (dowolnej manipulacji) sha256 i podobnymi algorytmami a nie jednorazowym dostaniu się do czyjegoś emaila