"J.F." <j...@p...onet.pl> writes:

>> Plik z hasłami był zwykle nie tylko zaszyfrowany, ale także
>> niedostępny
>>dla zwykłych userów. Wiem, nielegalnie (z punktu widzenia USA)
>>sprowadzone systemy bez shadow password suite miały wszystko
>>w /etc/passwd.
>
> Ale shadow to od pewnego czasu, wczesniej byly passwd z haslami
> dostepny.

Tak jak napisałem.

> Tylko uwazano to za niegrozne.

Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.
Tyle że były groźniejsze rzeczy. Jak już ktoś miał konto na danej
maszynie, to zakładano, że jest względnie godny zaufania, poza tym
bardzo trudno było (i zresztą jest) dobrze zabezpieczyć maszynę przed
shellowymi userami.

BTW wiesz jak ciekawie było tam, gdzie system był wyeksportowany zgodnie
z prawem, i gdzie nie było jeszcze shadow password suite? :-)
Aczkolwiek co to dokładnie za system był to już nie pamiętam.

> Bo tez lamanie DES bylo wtedy dlugie.
> A dzis ... sekundy ? :-)

Jeśli dysponowałbyś jakimś distributed.net, to może (też nie). Normalnie
to jest wciąż rzędy wielkości dłuższe.

> Owszem, tylko jak sie prawdziwy root zaopiekuje i pousuwa rozne
> backdoory,
> to sie hasla moga przydac.

Jeśli się wcześniej nie opiekował, to bym się nie spodziewał. Ale może
jakiś nowy root.
Usuwanie backdoorów, trudna sprawa. Mogą być wszędzie. W ROMie
sterownika dysków także :-)

> A ludzie moga miec konta i na innych maszynach - i te same hasla.

Na to były Jacki i inne Johny.
--
Krzysztof Hałasa

do góry

"J.F." <j...@p...onet.pl> writes:

> A to osobna sprawa ... MS i NSA, i FBI itd maja pelny dostep do
> twojego komputera z Windows ? :-)

I pewnie CBA i CBŚ i ABW i kupa innych...
--
Krzysztof Hałasa

do góry

Dnia Sat, 12 Oct 2019 23:10:06 +0200, Krzysztof Halasa napisał(a):
> "J.F." <j...@p...onet.pl> writes:
>
>> A to osobna sprawa ... MS i NSA, i FBI itd maja pelny dostep do
>> twojego komputera z Windows ? :-)
>
> I pewnie CBA i CBŚ i ABW i kupa innych...

Troche watpie.
NSA moze im dane da, ale niekoniecznie,
a w ogole to sie nie przyzna, ze ma dostep :-)

A teraz jeszcze moda na trzymanie danych w chmurze ...

J.

do góry

On 2019-10-12, Krzysztof Halasa <k...@p...waw.pl> wrote:
> "J.F." <j...@p...onet.pl> writes:
>> Tylko uwazano to za niegrozne.
> Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.
> Tyle że były groźniejsze rzeczy. Jak już ktoś miał konto na danej
> maszynie, to zakładano, że jest względnie godny zaufania, poza tym
> bardzo trudno było (i zresztą jest) dobrze zabezpieczyć maszynę przed
> shellowymi userami.

A co się właściwie stało z całym pędem w kierunku SELinuksa, jaki
obserwowało się w pierwszej dekadzie po 2000? Rozumiem, że działa to na
Androidzie, ale w popularnych, standardowych dystrybucjach nigdzie chyba
nie jest opcją domyślną, czy nawet opcją instalacyjną? Pamiętam kupę
upierdliwości z pracą / administracją na takich systemach, ale to jakoś
nie tłumaczy czemu zdechło. Bo NSA czy inne powody?

--
Marcin

do góry

W dniu 12.10.2019 o 23:07, Krzysztof Halasa pisze:
> "J.F." <j...@p...onet.pl> writes:
>
>>> Plik z hasłami był zwykle nie tylko zaszyfrowany, ale także
>>> niedostępny
>>> dla zwykłych userów. Wiem, nielegalnie (z punktu widzenia USA)
>>> sprowadzone systemy bez shadow password suite miały wszystko
>>> w /etc/passwd.
>>
>> Ale shadow to od pewnego czasu, wczesniej byly passwd z haslami
>> dostepny.
>
> Tak jak napisałem.

No właśnie nie. Przez długie lata o shadow nikomu się nie śniło, hash
uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś
"nielegalność" (niby jaką?), tylko o fakty historyczne.

>
>> Tylko uwazano to za niegrozne.
>
> Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.

Ale to było 20 lat później.

MJ

do góry

"J.F." <j...@p...onet.pl> writes:

>>> A to osobna sprawa ... MS i NSA, i FBI itd maja pelny dostep do
>>> twojego komputera z Windows ? :-)
>>
>> I pewnie CBA i CBŚ i ABW i kupa innych...
>
> Troche watpie.
> NSA moze im dane da, ale niekoniecznie,
> a w ogole to sie nie przyzna, ze ma dostep :-)

NSA bezpośrednio nie da, ale nie tylko NSA istnieje.
Są tacy, którzy dadzą. Weźmy np. taki Bliski Wschód.

> A teraz jeszcze moda na trzymanie danych w chmurze ...

A to prawda. A chmura u Wuja Sama, ew. na Bliskim Wschodzie.
--
Krzysztof Hałasa

do góry

Marcin Debowski <a...@I...zoho.com> writes:

> A co się właściwie stało z całym pędem w kierunku SELinuksa, jaki
> obserwowało się w pierwszej dekadzie po 2000? Rozumiem, że działa to na
> Androidzie, ale w popularnych, standardowych dystrybucjach nigdzie chyba
> nie jest opcją domyślną, czy nawet opcją instalacyjną?

Nie jest to prawda.
--
Krzysztof Hałasa

do góry

Michal Jankowski <m...@f...edu.pl> writes:

> No właśnie nie. Przez długie lata o shadow nikomu się nie śniło, hash
> uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś
> "nielegalność" (niby jaką?), tylko o fakty historyczne.

Nielegalność dotyczyła samej funkcji crypt (i w ogóle DES). Przez długi
czas eksport tej funkcji z USA i Kanady był nielegalny. Potrzebne było
specjalne zezwolenie (IIRC DoD, w końcówce chyba DoC). Jak chętnie DoD
wydawał takie zezwolenia, zwłaszcza na eksport do krajów "objętych"
COCOMem, to pewnie pamiętasz.

To nie są fakty historyczne?

BTW widziałem system, w którym nie było ani shadow, ani crypt - wiesz co
trzymane było w /etc/passwd? System był zapewne wyeksportowany zgodnie
z prawem, to była jakaś przemysłowa maszyna.

BTW mam także delikatne wrażenie, że wersje BSD eksportowane oficjalnie
do nas nie miały crypt() (ani shadow password suite rzecz jasna). Ale to
oczywiście nie miało(by) większego znaczenia.

Zupełnie inną sprawą jest to, że systemy pracujące w Polsce (zarówno
soft, jak i sprzęt) były sprowadzane "z obejściem" zarówno COCOMu, jak
i zezwoleń DoD. A często także "z obejściem" wszelkiego prawa
autorskiego.

>>> Tylko uwazano to za niegrozne.
>> Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow passwords.
> Ale to było 20 lat później.

Nie wiem co było 20 lat wcześniej, możliwe że wtedy jeszcze nie żyłem,
a w każdym razie nie widziałem wtedy komputera na oczy. Tak czy owak,
trzymanie haszy w dostępnych plikach uważano za groźne, chociaż może nie
aż tak groźne jak np. dostęp shellowy. Zauważ że we wcześniejszych
wersjach ftpd anonimowi userzy mogli bez problemu pobrać zawartość pliku
passwd (prawdziwego) - jak również każdego innego pliku
ogólnodostępnego. Później to się zmieniło, anonimowi mieli coś w rodzaju
(prostego) chroota, z podlinkowanymi (zwykle) /home i ew. /bin /lib /usr
itp., jeśli było potrzebne (np. /bin/ls) - bez oryginalnego /etc.

Swoją drogą, pamiętam ludzi wpisujących w takie dummy passwd różne łatwe do
złamania napisy :-)
W rodzaju 0why 1are 2you 3wasting itd. - coś takiego, nie?
--
Krzysztof Hałasa

do góry

W dniu 13.10.2019 o 15:25, Krzysztof Halasa pisze:
> Swoją drogą, pamiętam ludzi wpisujących w takie dummy passwd różne
> łatwe do złamania napisy
>
Mieliśmy program sprzedażowy od polskiej firmy, ponoć "profesjonalnej".
Plik z hasłami miał je zaszyfrowane, po swoim szybko wyczaiłem jaką
metodą, i jak na dłoni miałem hasła pozostałych użytkowników.

Dużo już później, kiedy z powodu zainteresowania L. pierwszymi liznąłem
też nieco wiedzy z kryptografii, dowiedziałem się, że był to "szyfr
Cezara", jeden z pierwszych na świecie, siłą rzeczy prościutki.

Aby "profesjonaliści" nie potrafili spytać innych zawodowców, jak się
trzeba zabezpieczać? Eeech, te nasze "polactwo"...


--
Nie interesujesz się polityką? To lekkomyślne chowanie głowy w piasek!
Wszak polityka interesuje się tobą i tak, a rządzący też się interesują,
głównie zawartością twojego portfela. Dlatego zachowaj czujność!

do góry

JaNus <p...@b...pl> writes:

> Mieliśmy program sprzedażowy od polskiej firmy, ponoć "profesjonalnej".
> Plik z hasłami miał je zaszyfrowane, po swoim szybko wyczaiłem jaką
> metodą, i jak na dłoni miałem hasła pozostałych użytkowników.

Plik był dostępny dla każdego?

Inna sprawa, że tak czy owak 90% haseł da się złamać metodą słownikową.
Może teraz nieco wzrosła "świadomość społeczna" - 80%?
--
Krzysztof Hałasa

do góry