Maciej Piechotka

Jeśli nie korzystamy ze SQLite to trzeba wpisać hasło do konfiguracji merb/rails. Kłopot w tym, że zazwyczaj chcemy, żeby było niedostępne dla innych.

Czytaj dalej »

Już wszyscy wiedzą o exploicie na Linuksa. Postanowiłem zobaczyć czy moje systemy jest bezpieczny.

Czytaj dalej »

Chciałem zrobić check-in online. Lot był w British Airways a osoba której robiłem check-in miała nieszczęście mieć w nazwisko składające się z 21 znaków (maksymalnie może być 20). Próbowałem na różne sposoby - tylko litery (bez myślnika tak jak przysłali przez SMTP), tylko pierwszych 20 znaków. Nawet (nie wiem czy to legalne, ale nic mnie to nie obchodzi) zmieniłem firebugiem limit do 21 - ale wciąż pokazywało, że złe nazwisko. Oczywiście w końcu został przekroczony limit i zablokowało możliwość.

Oczywiście nigdzie nie jest napisane co w takiej sytłacji robić. Nigdzie nie znalazłem możliwości skontaktowania się w sprawie strony (tylko i wyłącznie w sprawie lotniska/lotu itp.). Linia telefoniczna, na którą chciałem zadzwonić, działa 9-17 od poniedziałku do piątku... też bym tak chciał - uczących się nie obowiązuje prawo pracy jeśli chodzi o naukę ;). W FAQ'u też nie ma odpowiedzi. Ktoś zna sposób na przyszłość?

Jakiś czas temu pisałem o pewnym firewallu. Teraz mam zamiar to obejść przez OpenVPN puszczony przez port https. Wszystko inne powinno przechodzić przez tuntap. Mam teraz problem:

Czytaj dalej »

Jest kilka powodów, dla których, IMHO, OpenBSD samo sobie przeszkadza zdobyć minimalnie większą popularność.

1. Dlaczego nie chcą przygotować dodatkowego obrazu ISO, który zawierałby wszystkie pakiety instalacyjne(tzn. choćby nawet tylko jądro i base)? Zająłby on mniej niż 300MB(jądro i base nawet mniej) a nie trzeba by było ręcznie ich łączyć.
2. Zawsze nadinstalowuje bootloader (jako jedyny słuszny system operacyjny) - przynajmniej nie ma jasnej opcji instalacyjnej "Nie nadpisuj bootloadera". Chcę korzystać z gruba, który obsłuży wszystkie systemy operacyjne, a nie z OpenBSD, który załaduje tylko ten system operacyjny.
3. Przynajmniej w Polsce, i zapewne z braku możliwości, dużą wadą jest sterownik do SpeedTouch'a jest nierozwijany od 2002. Zapewne dlatego, że włączono go do najpopularniejszego wolnego jądra(no dobrze - nie wiem, jak z OpenDarwin).

Obraz zajmuje dokładnie 212 MiB(214 MB).

Trafiłem ostatnio na ciekawą stronę (mniejsza z tym jaką). Admin dał tylko kilka prób na zalogowanie się na forum (Tak... Na pewno wszyscy mażą żeby włamać się na moje konto...), żeby pobrać plik(nie dało się bez rejestracji). Potem konto jest zablokowane na 15 minut - w teorii. W każdym razie po pół godziny nie dało się zalogować. Stworzyłem nowe konto, loguje się i... plik który godzinę wcześniej ściągał się wyparował.

Najciekawsze jednak jest to, że webmaster słyszał wprawdzie o zasadach bezpieczeństwa ale o szyfrowaniu już nie.

.Od jakiegoś czasu Windows wyraźnie odmawiał(losowo!!!) połączenia z drukarką. Oczywiście pierwsze podejrzenie padło na Windows lub sambę. Otóż nie - sprawca został właśnie wykryty - pakiet "bezpieczeństwa internetowego".

Czytaj dalej »

Najgorzej zaimplementowaną usługą roku ogłaszam nfs. Znam(na razie) tylko dwa demony, które nie obsługują słuchania na wybranych adresach/interfejsach: totd i nfs. O ile totd można usprawiedliwić (ma to tylko pod (GNU/?)Linuksem) to nfs już tak prosto się nie da.

Czytaj dalej »

Przymierzam się do zabezpieczenia się przed tym co czeka mnie w lipcu (tak ten sam wspaniały firewall blokujący ssh). Ponieważ OpenVPN otwarte na porcie innym niż 80, 443 etc. na pewno zostanie zablokowane (zablokowali nawet 8080) a 80, 443 są już w użytku. Przydałoby się coś napisać...

Czytaj dalej »

Założyłem VPN. O ile sam w sobie nie był skompilkowany o tyle skrypty startowe - owszem.

Z nie wiadomych powodów modem przestawał działać z włączonym SELinux - chyba, że był podłaczony po uruchomieniu udev'a,

Most między tunelem VPN (tap0) a siecią(eth0) wymagał wydania polecenia

Ręcznie - inaczej odmawiał współpracy. Zmuszenie go do uznania tap1 graniczyło z cudem.

Tunel Ip6to4(ptrtd) nie chciał współpracować z czym innym niż tap0. Z niewiadomych przyczyn tap1 było zajęte, więc zajmuje tap2.

Na routerze robi się lekki bałagan:

• 2 realne połączenia (eth0 i ppp0)
• 1 loopback(lo0)
• 1 tunel do freenet6(sit1)
• 1 tunel ip6to4(tap2)
• 1 tunel OpenVPN(tap0)
• 1 most(br0) pomiędzy tap0 i eth0

Łącznie 7 połączeń w stosunku do 3 dla IPv4 i 5 dla IPv6.

Jakieś dwa tygodnie temu modnym tematem były tzw. tęczowe tablice (lista par hash -> string, który daje taki hash w skrócie). Natrafiłem na artykuł w dwuch gazetach. Opisze ten, w którym łączyli to z kwantową kryptografią (chyba to była Polityka, ale głowy nie dam).

Autor roztaczał wizję, że wszystkie hasła da się teraz w sposób prosty i łatwy złamać. Problemy są 2:

• Trzeba mieć dostęp do pliku haseł. Jeśli się go nie ma to cóż - jest to atak brute force. Zmodyfikowany, ale jednak (zakładając domyślne ustawienie bodajże SELinux zajmie to maksymalnie ponad 2000 lat (po każdym haśle 5s przerwa, po 3 nieudanych 30s dla 32 bit. md5). Zapewne byłoby to dużo mniejsze, ale nadal ma się czas zaparzyć kawę :)
• Cała metoda jest dobra, tylko co jeśli dodamy jakis jawny parametr? Choćby nazwę użytkownika(chociaż nie - dla root'a mogło by się to skończyć tragicznie), czy coś w tym rodzaju? Załóżmy - hasło brzmi 'tajnehaslo' -> sha1 1279d9a15a8662725e768df6f73b2e0afb977727. W drugim przypadku mamy 'uzytkownik$tajnehaslo' do zaszyfrowania -> sha1 5bbb78a87303475f2edd86035d861cb48885edbb. Teraz tablica ma trudniejsze zadanie - musi znaleźć coś odpowiadające kodowi 5bbb78a87303475f2edd86035d861cb48885edbb zaczynające się od 'uzytkownik$'. W rezultacie musimy stworzyć osobną tablice :). Ze względu na rozmiary tablic i czas ich generowania wystarczy dodać np. 64 bitową lidzbę na początku.

Z tego co wiem (artykuł z drugiej gazety) ten drugi system jest stosowany... w GNU/Linux (a znając życie co najmniej w OpenBSD :), a zapewne we wszystkich *BSD ).

Jako rozwiązanie tego problemu proponowana jest... kryptografia kwantowa. Nie znam budowy dysków komputerów kwantowych. 'Na zdrowy rozum' dane muszą być przechowywane w sposób tradycyjny tzn. nie zaszyfrowane kwantowo(z tego co doczytałem kryptografia kwantowa sprawdza się przy przesyłaniu danych). Przy takim szyfrowaniu część danych musi być zachowana do ponownego przesłania (w końcu nie wszystkie bity docierają). Jeśli możemy zachować dane (koniecznie niezaszyfrowane, albo z kluczem) to nie są one zaszyfrowane na tym komputerze, ergo kryptografia kwantowa to kryptografia niskiego poziomu (przesyłania danych).

Nie neguje sensowności kryptografii kwantowej, ale jest ona, ze swojej natury, peer-to-peer tzn. żeby przesłać coś muszę mieć możliwość bezpośredniego (więc bez pośredników - stanów nie da się 'skopiować' idealnie, na tym polega sens całej tej zabawy) przesłania qbitu (tutaj mogę mylić nazwy). Oznacza to, że dla masowego użytku jest to nie osiągalne (każdy musiałby mieć połączenie z każdym :) ).

Proszę o wskazanie błędów w tym rozumowaniu. Nie znalazłem ich, ale mogę się gdzieś mylić.

Egzaminy nareszcie mam za sobą. Mam nadzieję, że będe miał więcej czasu, ale glowy nie dam.

Chciano ode mnie, żebym dodał możliwość cofnięcia wydruku (na razie działa przez ipp). Zapewne drukowanie przez sambę ma taką możliwość. Klopot w tym, że przy tamtych ustawieniach samba z chciały sie łączyć przez ppp0.

Po ustawieniu bind'a już znajdowały przwidłową drogę (przynajmniej klienci ;) ). Przy okazji bind potrzebował pewnego modułu (capset). Z powodu braku tego modulu nie chciał mi działać udev/ppp na SELinux :) .

W ciągu ostatnich 2 tygodni spotkałem 4 opisy różnic między robakami i wirusami.