Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
JaNus <p...@b...pl> writes:
>> Mieliśmy program sprzedażowy od polskiej firmy, ponoć
>> "profesjonalnej".
>> Plik z hasłami miał je zaszyfrowane, po swoim szybko wyczaiłem jaką
>> metodą, i jak na dłoni miałem hasła pozostałych użytkowników.

>Plik był dostępny dla każdego?

Na DOS/Windows ?
Praktycznie tak.

>Inna sprawa, że tak czy owak 90% haseł da się złamać metodą
>słownikową.

Ale musisz jednak troche pohackowac program, zeby zobaczyc jak to to
liczy.

>Może teraz nieco wzrosła "świadomość społeczna" - 80%?

J.

do góry

Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
Michal Jankowski <m...@f...edu.pl> writes:
>> No właśnie nie. Przez długie lata o shadow nikomu się nie śniło,
>> hash
>> uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś
>> "nielegalność" (niby jaką?), tylko o fakty historyczne.

>Nielegalność dotyczyła samej funkcji crypt (i w ogóle DES). Przez
>długi
>czas eksport tej funkcji z USA i Kanady był nielegalny. Potrzebne
>było
>specjalne zezwolenie (IIRC DoD, w końcówce chyba DoC). Jak chętnie
>DoD
>wydawał takie zezwolenia, zwłaszcza na eksport do krajów "objętych"
>COCOMem, to pewnie pamiętasz.
>To nie są fakty historyczne?

A jednak jakos nieliczne uniksy do nas trafialy.

A moze po prostu nie mialy funkcji crypt - tzn odpowiednie programy
byly skompilowane ze statyczna funkcja ?

>BTW mam także delikatne wrażenie, że wersje BSD eksportowane
>oficjalnie
>do nas nie miały crypt() (ani shadow password suite rzecz jasna). Ale
>to
>oczywiście nie miało(by) większego znaczenia.

Przy czym w tym swietle to shadow nie ma znaczenia - tzn nie jest
zakazane czy dozwolone.

>>>> Tylko uwazano to za niegrozne.
>>> Tak sobie. Moim zdaniem uważano że to groźne. Stąd shadow
>>> passwords.
>> Ale to było 20 lat później.

>Nie wiem co było 20 lat wcześniej, możliwe że wtedy jeszcze nie
>żyłem,
>a w każdym razie nie widziałem wtedy komputera na oczy. Tak czy owak,
>trzymanie haszy w dostępnych plikach uważano za groźne, chociaż może
>nie

Ale 20 lat pozniej.

https://en.wikipedia.org/wiki/Passwd
Password shadowing first appeared in Unix systems with the development
of SunOS in the mid-1980s,[10] System V Release 3.2 in 1988 and BSD4.3
Reno in 1990.
But, vendors who had performed ports from earlier UNIX releases did
not always include the new password shadowing features in their
releases, leaving users of those systems exposed to password file
attacks.

In 1987 the author of the original Shadow Password Suite, Julie Haugh,
experienced a computer break-in and wrote the initial release of the
Shadow Suite containing the login, passwd and su commands. The
original release, written for the SCO Xenix operating system, quickly
got ported to other platforms.
The Shadow Suite was ported to Linux in 1992 one year after the
original announcement of the Linux project, and was included in many
early distributions, and continues to be included in many current
Linux distributions.

>aż tak groźne jak np. dostęp shellowy.

A ponoc unix taki bezpieczny :-)

>Zauważ że we wcześniejszych
>wersjach ftpd anonimowi userzy mogli bez problemu pobrać zawartość
>pliku
>passwd (prawdziwego) - jak również każdego innego pliku
>ogólnodostępnego. Później to się zmieniło, anonimowi mieli coś w
>rodzaju
>(prostego) chroota, z podlinkowanymi (zwykle) /home i ew. /bin /lib
>/usr
>itp., jeśli było potrzebne (np. /bin/ls) - bez oryginalnego /etc.

No wlasnie - razem z tymi zaszyfrowanymi haslami, i nikomu to nie
przeszkadzalo.

J.

do góry

W dniu 13.10.2019 o 15:25, Krzysztof Halasa pisze:
> Michal Jankowski <m...@f...edu.pl> writes:
>
>> No właśnie nie. Przez długie lata o shadow nikomu się nie śniło, hash
>> uważano za wystarczające zabezpieczenie, tu nie chodzi o jakąś
>> "nielegalność" (niby jaką?), tylko o fakty historyczne.
>
> Nielegalność dotyczyła samej funkcji crypt (i w ogóle DES). Przez długi
> czas eksport tej funkcji z USA i Kanady był nielegalny. Potrzebne było
> specjalne zezwolenie (IIRC DoD, w końcówce chyba DoC). Jak chętnie DoD
> wydawał takie zezwolenia, zwłaszcza na eksport do krajów "objętych"
> COCOMem, to pewnie pamiętasz.

Ale to, czy system z hasłami haszowanymi przez DES wolno było
eksportować nie ma się kompletnie nijak do tego, czy te hasła były w
/etc/passwd czy w /etc/shadow

No więc ja ci mówię, że przez początkowe lata było wyłącznie /etc/passwd
i tyle. passwd z haszowanymi hasłami było już co najmniej w Unix v6
(1975), a może i wcześniej. Wynalazek shadow to jest ca. 1987, ale
jeszcze głęboko w lata 90. wiele systemów tego nie miało...

MJ
PS. Nawiasem mówiąc, zniesienie restrykcji eksportowych na DES użyty do
uwierzytelniania (czyli tak jak tu), a nie do szyfrowania plików, to
jest bodajże 1989.

do góry

"J.F." <j...@p...onet.pl> writes:

> Na DOS/Windows ?
> Praktycznie tak.

No, wiesz, nie wiadomo jak to było zrobione. DOS/ew. Windows to mogły
być tylko końcówki. Z drugiej strony, jak to był np. Clipper, to
rzeczywiście wszystko pewnie było dostępne - ale co można było zrobić?
Ew. bardziej zagmatwać "szyfrowanie".

>> Inna sprawa, że tak czy owak 90% haseł da się złamać metodą
>> słownikową.
>
> Ale musisz jednak troche pohackowac program, zeby zobaczyc jak to to
> liczy.

No ale to nie jest problem zaporowy.
--
Krzysztof Hałasa

do góry

"J.F." <j...@p...onet.pl> writes:

> A jednak jakos nieliczne uniksy do nas trafialy.
>
> A moze po prostu nie mialy funkcji crypt - tzn odpowiednie programy
> byly skompilowane ze statyczna funkcja ?

Restrykcje dotyczyły także statycznie zlinkowanych funkcji.
BTW wiele systemów w ogóle nie miało dynamicznych bibliotek.

> Przy czym w tym swietle to shadow nie ma znaczenia - tzn nie jest
> zakazane czy dozwolone.

Tak, btw były wersje z shadow, które nie używały szyfrowania crypt().
Nie dam głowy co to było takiego, ale możliwe że pierwsza (pierwsze?)
wersje 386BSD tak miały. Szyfrowanie należało sobie ściągnąć oddzielnie
(i to w dalszym ciągu było wtedy nielegalne - mimo że już nie było
COCOMu, a w każdym razie nas nie dotyczył).

> https://en.wikipedia.org/wiki/Passwd
> Password shadowing first appeared in Unix systems with the development
> of SunOS in the mid-1980s,[10] System V Release 3.2 in 1988 and BSD4.3
> Reno in 1990.

To pewnie tak było. 386BSD 0.0 był oparty na BSD4.3 (to się nazywało
Net/2, nie wiem jak się to miało do Reno), i tam chyba nie trzeba było
oddzielnie instalować shadowów. Zdaje się że to tam był plik
/etc/master.passwd (i jeszcze jakiś - zamiast obecnych nazw).
Teoretycznie to mogło być dopiero w NetBSD, choć wątpię.

> The Shadow Suite was ported to Linux in 1992 one year after the
> original announcement of the Linux project, and was included in many
> early distributions, and continues to be included in many current
> Linux distributions.

Linuksa wtedy nie używałem, pierwszym moim Linuksem był jakiś tam SLS
- i tam chyba zawsze był shadow. Były za to inne braki - wiele braków.

>>aż tak groźne jak np. dostęp shellowy.
>
> A ponoc unix taki bezpieczny :-)

No, w ogóle była tam jakaś kontrola uprawnień, w odróżnieniu od
DOS/Windows. Ale zasadniczo uznawało się, że jeśli ktoś ma dostęp
shellowy, to jest w stanie uzyskać roota.
Dopiero po wielu latach, pewnie w tym tysiącleciu :-) zaczęto uważać
inaczej. Czy słusznie, to też nieco wątpię.

> No wlasnie - razem z tymi zaszyfrowanymi haslami, i nikomu to nie
> przeszkadzalo.

No więc przeszkadzało. Stąd dummy /etc, a później w ogóle shadow dla
wszystkich userów.
--
Krzysztof Hałasa

do góry

Michal Jankowski <m...@f...edu.pl> writes:

> Ale to, czy system z hasłami haszowanymi przez DES wolno było
> eksportować nie ma się kompletnie nijak do tego, czy te hasła były w
> /etc/passwd czy w /etc/shadow

Jasne. To były dwa zupełnie ortogonalne mechanizmy, tyle że miały
wspólny cel.

> No więc ja ci mówię, że przez początkowe lata było wyłącznie
> /etc/passwd i tyle. passwd z haszowanymi hasłami było już co najmniej
> w Unix v6 (1975), a może i wcześniej. Wynalazek shadow to jest ca.
> 1987, ale jeszcze głęboko w lata 90. wiele systemów tego nie miało...

No wiem przecież, przecież napisałem (pomijając to, że nie używałem
takich zabawek w latach 70).
Ty ze swojej strony zrozum, że hashowane hasła to nie było nic
oczywistego, i to w latach 80, a pewnie także na początku lat 90,
w szczególności w realiach PRL i bloku wschodniego.

> PS. Nawiasem mówiąc, zniesienie restrykcji eksportowych na DES użyty
> do uwierzytelniania (czyli tak jak tu), a nie do szyfrowania plików,
> to jest bodajże 1989.

Też mi się coś podobnego wydaje, ale w każdym razie było to późno.
Zdaje się można też było używać DES z kluczem max 40-bitowym (do
szyfrowania). Ale w starszych systemach mogło się to ciągnąć długo.
--
Krzysztof Hałasa

do góry

Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
>> A jednak jakos nieliczne uniksy do nas trafialy.
>
>> A moze po prostu nie mialy funkcji crypt - tzn odpowiednie programy
>> byly skompilowane ze statyczna funkcja ?

>Restrykcje dotyczyły także statycznie zlinkowanych funkcji.
>BTW wiele systemów w ogóle nie miało dynamicznych bibliotek.

Ale funkcja crypt w biliotece pozwala na uzycie komputera do roznych
celow.
Passwd szyfrujacy hasla DES'em nie.

>> Przy czym w tym swietle to shadow nie ma znaczenia - tzn nie jest
>> zakazane czy dozwolone.

>Tak, btw były wersje z shadow, które nie używały szyfrowania crypt().
>Nie dam głowy co to było takiego, ale możliwe że pierwsza (pierwsze?)
>wersje 386BSD tak miały.

Byc moze.

> Szyfrowanie należało sobie ściągnąć oddzielnie
>(i to w dalszym ciągu było wtedy nielegalne - mimo że już nie było
>COCOMu, a w każdym razie nas nie dotyczył).

W jakim sensie nielegalne - jesli sciagnalem np z Rosji czy Finlandii.
Albo na/przepisalem sam ...

>> https://en.wikipedia.org/wiki/Passwd
>> Password shadowing first appeared in Unix systems with the
>> development
>> of SunOS in the mid-1980s,[10] System V Release 3.2 in 1988 and
>> BSD4.3
>> Reno in 1990.

>To pewnie tak było. 386BSD 0.0 był oparty na BSD4.3 (to się nazywało

A nam chodzi o to, ze przez poprzednie 20 lat nikomu nie
przeszkadzalo, ze kazdy moze sobie zobaczyc zapisane haslo w passwd.

>Net/2, nie wiem jak się to miało do Reno), i tam chyba nie trzeba
>było
>oddzielnie instalować shadowów. Zdaje się że to tam był plik
>/etc/master.passwd (i jeszcze jakiś - zamiast obecnych nazw).
>Teoretycznie to mogło być dopiero w NetBSD, choć wątpię.

>> The Shadow Suite was ported to Linux in 1992 one year after the
>> original announcement of the Linux project, and was included in
>> many
>> early distributions, and continues to be included in many current
>> Linux distributions.

>Linuksa wtedy nie używałem, pierwszym moim Linuksem był jakiś tam SLS
>- i tam chyba zawsze był shadow. Były za to inne braki - wiele
>braków.

A w BSD nie ?

Tak mi chodzi po glowie, ze akurat w tym czasie zaczeto odkrywac
bardzo wiele luk w unixach - i to wszystkich,

>>>aż tak groźne jak np. dostęp shellowy.
>> A ponoc unix taki bezpieczny :-)

>No, w ogóle była tam jakaś kontrola uprawnień, w odróżnieniu od
>DOS/Windows.

Wiec wydawal sie bezpieczny ... wydawal :-)

>Ale zasadniczo uznawało się, że jeśli ktoś ma dostęp
>shellowy, to jest w stanie uzyskać roota.
>Dopiero po wielu latach, pewnie w tym tysiącleciu :-) zaczęto uważać
>inaczej. Czy słusznie, to też nieco wątpię.

No co to za kontrola uprawnien, jesli kazdy moze zostac rootem, i
sobie uprawnienia zmienic :-)

>> No wlasnie - razem z tymi zaszyfrowanymi haslami, i nikomu to nie
>> przeszkadzalo.

>No więc przeszkadzało. Stąd dummy /etc, a później w ogóle shadow dla
>wszystkich userów.

Ale po 20 latach. Wczesniej ... wydawalo sie bezpieczne ?
Zreszta skoro kazdy moze zostac rootem, to co to za bezpieczenstwo -
shadow tez moze odczytac :-)


J.

do góry

Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
Michal Jankowski <m...@f...edu.pl> writes:
>> Ale to, czy system z hasłami haszowanymi przez DES wolno było
>> eksportować nie ma się kompletnie nijak do tego, czy te hasła były
>> w
>> /etc/passwd czy w /etc/shadow

>Jasne. To były dwa zupełnie ortogonalne mechanizmy, tyle że miały
>wspólny cel.

Hm, nie nazwal bym tego tak.
Chyba ze w jakim bardzo dalekim celu ...

>>> No więc ja ci mówię, że przez początkowe lata było wyłącznie
>>> /etc/passwd i tyle. passwd z haszowanymi hasłami było już co
>>> najmniej
>>> w Unix v6 (1975), a może i wcześniej. Wynalazek shadow to jest ca.
>>> 1987, ale jeszcze głęboko w lata 90. wiele systemów tego nie
>>> miało...

>No wiem przecież, przecież napisałem (pomijając to, że nie używałem
>takich zabawek w latach 70).
>Ty ze swojej strony zrozum, że hashowane hasła to nie było nic
>oczywistego, i to w latach 80, a pewnie także na początku lat 90,
>w szczególności w realiach PRL i bloku wschodniego.

IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975
tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
kiedy.
Ale od dawna. Na dlugo przed shadow.
I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt
nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...


Jak sobie radzili z blokiem wschodnim ... nie wiem, moze blok
wschodni wcale nie taki chetny do kupowania komputerow z unixem ...
Choc w sumie ... shadow to bylo pewne rozwiazanie problemu - tzn nie
ma zakazanego szyfrowania, a pewne bezpieczenstwo jest.

>> PS. Nawiasem mówiąc, zniesienie restrykcji eksportowych na DES
>> użyty
>> do uwierzytelniania (czyli tak jak tu), a nie do szyfrowania
>> plików,
>> to jest bodajże 1989.

>Też mi się coś podobnego wydaje, ale w każdym razie było to późno.
>Zdaje się można też było używać DES z kluczem max 40-bitowym (do
>szyfrowania). Ale w starszych systemach mogło się to ciągnąć długo.

Cos mi podobnego chodzi po glowie, ale chyba nawet nie musial byc to
DES, tylko ogolnie szyfrowanie z kluczem ponad 40 bitow.

J.

do góry

On 2019-10-14, J.F. <j...@p...onet.pl> wrote:
> IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975
> tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
> kiedy.
> Ale od dawna. Na dlugo przed shadow.
> I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt
> nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...

Sieć była w powijakach, dostęp do tych maszyn miała garstka wybranych i
zapewne zaufanych użytkowników. Zupełnie inne warunki niż nastały z
początkiem lat 90.

--
Marcin

do góry

Dnia Mon, 14 Oct 2019 21:20:54 GMT, Marcin Debowski napisał(a):
> On 2019-10-14, J.F. <j...@p...onet.pl> wrote:
>> IMO - hashowanie hasla to bylo cos oczywistego w Unixie od ... w 1975
>> tez nie wiedzialem co to komputer. wiec nie napisze dokladnie od
>> kiedy.
>> Ale od dawna. Na dlugo przed shadow.
>> I kazdy mogl sobie passwd z haszami hasel przeczytac ... i jakos nikt
>> nie uwazal tego za zagrozenie, przynajmniej przez kilkanascie lat ...
>
> Sieć była w powijakach, dostęp do tych maszyn miała garstka wybranych i
> zapewne zaufanych użytkowników. Zupełnie inne warunki niż nastały z
> początkiem lat 90.

Studenci, pracownicy - czasem tysiacami.
A oprocz sieci byly modemy.

Jakos "hacker" to slowo sprzed internetu ... no nie - internet tez
stare slowo, ale nie zawsze tak popularne - bo poczatkowo tez tylko
dla wybranych.

J.

do góry