Bizonyára sokan ismerik a slashdotot. Itt gyakran _nagyon jó_ interjúk készülnek. Ha a topicot nézem, a l0pht-ot, a Maddogot ajánlanám, ami szilverszterkor készült. A mostani Ledermannal készült, aki atomfizikus. Annyira közel áll hozzám, nem tudom megállni, hogy ne idézzek belőle. Ez
egyszerűen _mindenkinek_ el kell, hogy jusson az agyáig. Ehhez hasonlót már írtam (szerencsémre előbb, plágiumról nincsen szó :-), ebben picit igazolni látom magamat is. Általánosabban fogalmaz, de ugyanazt mondja, sőt szebben is. (Kezdek hinni a telepátiában) Előrehaladott kora ellenére továbbra is brilliáns, humoros. Nagypapa korán túl van, és mégis frissebben gondolkodik, mint amilyen légkör itt uralkodik...
"Very good. This goes back to six and social responsibility. Again, I think it's a failure of our educational system. A deep failure of our educational system. In part, it has to do with this explosion of technology. The Internet, as an example of what the explosion of technology has done, is produce a certain amount of alienation. People are either techies, they're technically proficient, or they're not. When they're not, they see all these things passing by them. Computer? You know the guy who can't turn on the computer because he doesn't know where the switch is. It's almost that bad. Then you're turned off by that. [...] The contrast is that if you are scientifically literate, then you're taught to be skeptical, to have doubts. People don't want to have doubts, they want secure systems. That's why I think one of the biggest dangers to civilization is the growth of radical fundamentalism. No doubts."
Az említett hatodik kérdés:
"Look at the problems we're facing. Population, that's the number one problem. Can we support 10 billion people and what kind of quality of life can we ensure without destroying the environment? Which is the second problem. There's the environment and population. You can't, I think, ameliorate the bad effects of population and maintain environmental quality without a popular consensus. People have to vote on this
and it usually means giving up something. We may have a carbon tax so that we don't have rampant global warming and uncontrollable changes in our climate. Well, people have to pay the tax. They'll pay the tax, I think, if they understand the reasons for it. That again involves a social responsibility. I think that not only should scientists bring to attention the implications of the science that they do, but it's more that the scientists contribute to this public understanding. How do you do that? Well, by writing books, by getting on television, by influencing the instruments of our culture. Movies, television, print media, radio. All of these things have an influence and scientists ought to tithe their time. 10% of your time ought to be going into the classroom, because schools are another way to get popular understanding of science. So far our schools are doing a terrible job of graduating science literate people from high school who will then be part of this democratic process. Sweeping democracy is a good thing, but the democratic option must be accompanied by some knowledge of the issues. Some grasp. I like to use the phrase science savvy. Like a street savvy person knows how to negotiate a dangerous street. We have a dangerous world and we need science savvy, we need a sense of science. I'm there to educate even the "uninterested lay persons" about our
discoveries and their potential for good and evil. Well said."
Itt nem feltétlen azon van a hangsúly, hogy megérte -e, hanem azon, hogy megtette, mert problémái voltak az elenderrel. Ami ugyebár szintén Magyarországon van ;-)
Az meg, hogy hagyott nyomot, nem biztos. Én nem vagyok hacker, sem cracker, de meg lehetett ezt oldani úgy, hogy nem legyen olyan nyom, amin el lehet indulni a tettes után. Pl.: Egy másik gépre jelentkezve be (egy harmadik gép, amit szintén feltört, elég egy sima kis cég servere, amit egyszerű feltörni) csinálta az egészet. Tehát ugyebár minden naplófájlban az érintett harmadik gép IP-je szerepel, aztán, amikor elintézett mindent az el-endernél, szépen nyomott egy formatot a harmadik gépre. Így az ég világon semmi nyom nem mutat az igazi tettere, ugye? :-) Persze, lehet, hogy ez a teória baromság, ezért is kérem, hogy javítson ki egy hozzáértő ember, ha tud, és van mit ;-)
Szerintem tehát a hackernek semmi oka arra, hogy bújdosson, de az biztos, hogy keresik őt.
Őszinte véleményem szerint viszont megérte, ha azok a hírek, amik terjengenek az elenderről. Én szerencsére nem elenderes vagyok (mint már említettem), és soha semmi közöm nem volt az elenderhez, meg vagyok elégedve a mostani ISP-el, és ezek után nem is fogok átmenni az elenderhez. Ezzel az elender megtanulja, hogy bizony kell költeni a biztonságra, és nem NT-t futtatni a www serveren (amennyiben ez igaz). Tehát, megérte, viszont bunkóság volt emiatt más embereket büntetni. Viszont....ugyebár (nem mintha ez sokat számítana) lehetne normálissabb is az a néhány elenderes felhasználó. Végignézve azt a néhány usernevet, és pwd-t, hát, egyedül a root-nak volt normális jelszava. Ez tényleg nem számít semmit, de akkor is, ügyelhetnének ők is a biztonságra. Ha egy ember tudja az elenderes felhasználók nevét, akkor mint már ittt egyszer elhangzott 7-ből egyszer tutira talál egy dialupot, mert ua a jelszó, mint a username. Mindegy, kicsit eltértem a témától....
Örülök, hogy reagáltál kérdésemre, nagyon logikus, amit irtál. Az személy szerintem itt van Magyarországon és nagy érdeklődéssel böngészi azt a hatást, amelyet okozott. De ettől kezdve valami más is elkezdődött: nyom nélkül ezt nem lehetett megcsinálni és azon elindulva egy pár ember a nyomában van. Üldözni fogják. + a zsaruk.( csak ugy, a maguk módján ) Szerinted ez megérte?
Nem tudom, hogy mit hibázott, nem vagyok elenderes (sem előfizető, se ott dolgozó), tehát csakis arról tudok, ami kiszivárog a sajtóba. Ezt a meta taget, amiben az a bizonyos Nagy István az Author, már (nem azért, hogy gizduljak...) elég régen észrevettem, és meg is írtam ide, ebbe a fórumba. Nézzétek meg az adataim közt az eddigi hozzászólásokat, és keressétek csak meg, hogy hanyadik hozzászólás volt az, amiben megkérdeztem, hogy ki az a Nagy István, merthogy ő az Author. Elég régen volt...
Tehát, visszatérve a kérdésedre, nem tudom mit hibázott, de ez _szerintem_ semmiképpen sem hiba, és nem figyelmetlenség, hanem direkt félrevezetés. Mint ahogy az is, _szerintem_, hogy külföldön élnek (több utalást tesznek erre), mert ugyebár az a fantasztikus Sulinet Magyarországon van, és egy középiskolás (mert ugyebár a sulinet a középiskolákban van), nem sűrűn megy csak úgy külföldre hackerkedni. A sulinet ismerete a korát is meghatározhatja ugyebár, hiszen e dicső hálózat nem is olyan régen alakult ki, ugy? Javítsatok ki, ha valamit nem úgy írtam, ahogy kellett volna!
Amikor én középiskolás voltam, még nem volt otthoni számítógép, úgy hogy mi rádiókat, erősítőket építettünk. Vacak volt a páka, vacak volt a cin, ha valami végre odaforradt a helyére, akkor még a lélegzetemet is visszatartottam, nehogy leszakadjon, és kezdhessem elölről.
Egyik nap osztálytársamnál, Péternél voltam, a 100 wattos erősítőt segített befejezni a másnapi koncerthez. Döbbenten láttam, hogy amint kihűl a forrasztóón, megragadja az alkatrészt és jól megrángatja.
- Te hülye vagy? - kérdeztem döbbenten. - Le fog jönni!
Péter higgadtan elmagyarázta, hogy ha lejön, akkor jobb, ha most teszi, mert akkor vissza lehet forrasztani. Ha holnap a színpadon szakad le, akkor lőttek a zenélésnek.
Kedves Dr.Agy!
Szerinted mit hibázott a hacker? Ha van jó elképzelésed, akár meg is oszthatnád velünk (is)!! Ötletem nekem is van, szerintem nem egyedül csinálta és husz év alatti az illető.
A bennhagyot html meta tag-ekkel kapcsolatban csak annyit, hogy sem a Composer, sem a Frontpage (egyébként a jelek Copmposerre utalnak, gondolom mindenki észrevette) nem helyeznek el Description mata taget, csak az Authort, és a Generatort írják bele. Tehát biztosan meg kellett nyitnia az oldalt egy notepad-ben, vagy hasonlóban, hogy beleírhassa a Descriptiont. Akkor viszont csak nem olyan hülye, hogy szépen a saját neve, és a saját rendszerének adatai alá szépen beírja, hogy el-ender hacked page by..... Egy ilyen profi hackertámadás nem egy ilyen dogon csúszik el...
"Nézd, nyugottan vess meg de én még csak szagolom a unixot :(, de itt a kollégák egy NT-s gépen futtanak egy Observer nevezetű hálózatmonitorozó
programot, ami ugye egy sniffer csak nem zsargonban, és anélkül szednek ki bármilyen csomagot a hálózatból, hogy azt promiszkusz módba tenné a
software. Ez biztos, mert közben működnek a rendes hálózati funkciólk a kliensen.."
Úgy tűnik, hogy még az NT-t is csak szagolod...
Bár ezért senki nem vet meg, legfeljebb csak ha valaki tudatlanul állít valami butaságot, és azt még erőlteti is.
A promisc mód ugyanúgy működik, ha megy mellette más alkalmazás is, ha nem.
Egyébként ennyit az NT biztonsági szintjéről, meg a C2-ről... :(
UN*X-okon csak a root által indított programok képesek erre, míg a Network Monitort a Lajcsika is el tudja indítani egy NT-n.
Ja, most látom, hogy John Zero már válaszolt. No, mindegy, ha már ennyit gépeltem... :)
"A solarisra hol van valami olyasmi, mint a security.debian.org?
Kíváncsi lettem volna mikor jelent meg valami root exploit solarisra, de a www.sun.com-on nem találtam."
Pedig kint van a főlapon a link
www.sun.com/security
Szerintem a Sun reszerol kicsit gyengere sikerult a PR-szoveg. Tenyleg nem a hardvertol fugg a biztonsag, hanem az op. rendszertol, de az is
Sun termek volt ;)
Szerintetek? Szerintem semmi gond a szöveggel. A Solaris tényleg jó és megbízható rendszer. Persze érteni kell hozzá, mint minden komoly rendszerhez.
Itt nem megy az, hogy ha valaki otthon felrakott egy W9x-et önállóan, akkor már eladja magát NT gurunak, mert "hát ugyanaz, nem?"
Egyébként több olyan biztonsági szolgáltatása is van, amit hiányolok a Linuxból. Az egyik pl. az accounting.
"Aha. Akkor a nagytudású hacker, aki képes volt feltörni a Microsoft Mo. NT-jét, most miért nem az eol-t, miért a Solaris-t törte fel?
Mert itt és most az volt a gyengébb. "
Pontosabban, mert arra a szerverre tudta meg a root jelszavát, tehát szerintem is egy egyszerű jelszó(kabát)lopás esete forog fenn.
Te is halotttad azt a szöveget, amivel a magyar MS mosakodott, mikor egymás után 3, egymástól teljesen független IIS alapú szervert nyomtak fel.
"Interneten keresztűl, FTP-vel karbantartott site admin jelszavának ellopásával..."
Ugyan már! Egy szar IIS lyuk kihasználásával jutottak be! Legalább ne egy ISP-re fogják, hogy olyen hülye, hogy adminként FTP-zik a sajét szerverére!
Itt viszont nem lyukat használtak ki, hanem az idióta elender hülyeségét, hogy a publikus web szerverük beeresztette a felhasználókat telnettel. Innentől kezdve meg már csak a jelszó kellett.
Egyébként tényleg ne nyissunk NT/U*NIX hitvitát, mert amúgy sincs miről vitatkozni...
"az Elender most bukott, de melyik magyar
Internetszolgáltató nem bukhatna bármikor hasonlót? "
A MATÁV. Ott szakemberek dolgoznak, akik a biztonsághoz is értenek.
Néha megpróbáltam az új exploitokat egy-egy MATÁV szerveren, de sosem volt sikerem. Még a zónafájljukat sem lehet letölteni :(
Ezzel szemben az Elenderében van vagy 6300 bejegyzés.
Jobbnál jobb kísérleti alanyok Y3K-nak...
A nagytudásúak! :(
"sniff tudomasom szerint kimutathato. miert nem figyelt ra elender ? "
Áruld el a titkot!
Had tudjuk meg mis is hogyan lehet kimutatni, hacsak nem ülsz a szimat gép elött?!
Hmmm, tike megint megelőzött...
"Persze akkor van esélye arra, hogy nem lecsukják, hanem alkalmazzák :))) "
Bízom benne, hogy nem ez fog történni.
A mindenki által benyalt amerikában sem divat már a crackereket alkalmazni, hanem komoly bírság után a börtönbe küldik őkeet, mint a társadalomra veszélyes, köztörvényes bűnözőket.
Ez ott azétz működik így, mert a számítógép már elveszítette azt a misztikus ködöt maga körűl, amikor még csak a beavatott guruk értettek hozzá, és a kisember csak szájtátva nézte a nagy képernyő varázst.
Rájöttek, hogy a géppel elkövetett betörés, lopás, zsarolás, pedofil képek terjesztése stb. is csak ugyaolyan büntetendő dolog, mint ha azt a kasszafúró követte volna el.
Nálunk sajnos ezen a téren is áll az a klasszikus 15-20 év lemaradás...
"Most mar csak be kell vinni a rendorsegre az osszes Nagy Istvant, az egyik biztos vallani fog... ;) "
Ja, kb. ennyi is amit a rendőrség tenni képes ebben az ügyben.
Majd a Bodri kommandó 4 fős internetfigyelő csapata jól lecsap a MATÁV telefonkönyvben talált Nagyokra.
"Ebből legfeljebb azt tudod meg, hogy milyen verzióju/fordítású IE van a gépén. "
Akkor meg mire az a nagy Linux duma a feltört lapon?
Tényleg WinLinux-ot láthatott az ürge legfeljebb, mert egy egyszerű HTML oldal megszerkesztéséhez már rohant vissza a jó meleg, barátságos kezelőfelületű, biztonságos W98-ához...
Télleg, emberek!
Nem lehet, hogy a MS Mao. ármánykodott itt a Linux lejáratására?
Erre egy hivatalos cáfolatot követelek a MS Mao-tól!!!
"...have been victimized by Denial of Service (DoS)..."
DoS típusú támadással nem lehet bejutni egy gépre, legfeljebb a szolgáltatásait korlátozni.
Van, ahol már az állam is rájött, hogy tenni kéne valamit a biztonságért... persze nem a magyar államra gondolok. Érdemes megnézni, milyen jelentős szerepet kap ezen az oldalon az open source témaköre.
Mo-ra, ez kükönösen igaz: hajlamosak vagyunk _mindent_ importálni, a szabad piac nevében, meg amúgy is képtelenek vagyunk előállítani. Ha jól tudom _pont_ a svédektől vásároltuk még a szavazások elektronikus lebonyolításához a kommunikációs felszerelés egy részét (- telefonvonalat - és nehezen lehetett illeszteni), és IBM aix-eken ment a gyűjtögetés.
Tegyük hozzá, hogy:
otus built in an NSA "help information" trapdoor to its Notes system, as the Swedish government discovered to its embarrassment in 1997. By then, the system was in daily use for confidential
mail by Swedish MPs, 15,000 tax agency staff and 400,000 to 500,000 citizens. Lotus Notes incorporates a "workfactor reduction field" (WRF) into all e-mails sent by non US users of the system.
Like its predecessor the Crypto AG "help information field" this device reduces NSA's difficulty in reading European and other e-mail from an almost intractable problem to a few seconds work. The
WRF broadcasts 24 of the 64 bits of the key used for each communication. The WRF is encoded, using a "public key" system which can only be read by NSA. Lotus, a subsidiary of IBM, admits this.
The company told Svenska Dagbladet:
"The difference between the American Notes version and the export version lies in degrees of encryption. We deliver 64 bit keys to all customers, but 24 bits of
those in the version that we deliver outside of the United States are deposited with the American government".(94)
44. Similar arrangements are built into all export versions of the web "browsers" manufactured by Microsoft and Netscape. Each uses a standard 128 bit key. In the export version, this key is not
reduced in length. Instead, 88 bits of the key are broadcast with each message; 40 bits remain secret. It follows that almost every computer in Europe has, as a built-in standard feature, an NSA
workfactor reduction system to enable NSA (alone) to break the user's code and read secure messages.
pasa_:
A szerverek (legalabbis az Apache-SSL) 128 bites kodolast is tudnak alapbol. Az, hogy 40 bites eppen a kodolas, csak a bongeszon mulik.
De nemreg legalissa valt a 128 bites Netscape 4.x exportja USA-bol, igy mar ez se akadaly.
>A titkositas nem alkalmazasa - ahol kell - egyszeruen trehanysag/lustasag/patopalsag.
Ez igy valahol igaz, de hozza kell tenni, hogy a "titkositas alkalmazasa" joval bonyolultabb problemakor, mint azt a laikus sejtene.
Es szamos helyen lathatjuk, hogy ott a titkositas, pl. 40 bites kulccsal. (Az un. secure kapcsolatok weben majdnem mind ilyenek, egyedul az OTP-nel lattan 128 bitest.) Marpedig a 40 bites RC4 (vagy des, vagy szinte barmi) alig titkosabb mint a nem titkositott anyag. Komolyabb berendezessel realtime torheto, lementett forgalombol meg csak az nem fejti vissza, aki nem akarja.
[A nehezseg persze nem mentseg arra, hogy bele se kezdjenek egy rkiptorendszer megvalositasaba.]
A titkositas nem alkalmazasa - ahol kell - egyszeruen trehanysag/lustasag/patopalsag.
Reszemrol elkerulom azt az ISP-t, ahol nem lehet https felett jelszot valtoztatni.
Nem egy eletbiztositas http-vel lejott web oldalon beadni a hitelkartya szamot sem.
Anonymous Coward:
A HTTPS nem-hasznalatanak teljesitmenybeli okai vannak legtobbszor (azaz sok processzoridot vesz el a kodolt atvitel).
Azaz ez megintcsak sporolas.
Amugy van olyan magyar freemail-szolgaltato ami tud https-t (www.primposta.com) de ez itt nem a reklam helye ;)
Az a helyzet, hogy amig azokat is, akik (nagyjabol) ertenenek hozza, rakenyszeritik, hogy bizonyitottan(!!!) nem biztonsagos technikat alkalmazzanak, nem is lehet valtozasra szamitani. A legtobb webszervert a https protokollal nem tudod hasznalni - meg azokat sem, ahol a biztonsag alapkovetelmeny lenne.
Pl. Ahhoz, hogy ezt most megirhassam, letre kellet hoznom itt egy felhasznalonevet. Ehhez ugye kell egy emailcim. https://freemail.hu - nem muxik. Probaljuk a biztonsagat sokat reklamozott hotmailt, az mar valaszol, csak eppen hasznalni nem lehet, mert mindig atiranyit kodolatlan atvitelre. A bejelentkezeshez javascript hasznalata _szukseges_, ami mar csak azert is erdekes, mert csak iden, az elmult ket heten 5 sulyos hotmail-javascript biztonsagi hibat hoztak nyilvanossagra, amibol egyet mar kijavitottak...
Amig ilyen korulmenyek uralkodnak a neten, addig nem csoda, ha ide-oda betornek.
A figyelmeztetes modjan lehet vitatkozni, elotte azonban nem art elolvasni a http://www.hackernews.com/bufferoverflow/99/stateofnet.html cimen talalhato rovidke cikket.
Azzal pedig szerintem nem arulok el ujdonsagot, hogy az elenderhez mar korabban is betortek, csak eddig nem kerult nyilvanossagra...
Ha pedig nem kerul nyilvanossagra, akkor ehhez hasonlo tortenhet: http://www.internetnews.com/ec-news/article/0,1087,4_278091,00.html ahol mar fizettek volna a zsarolonak, hogy maradjon csondben, csak a fizetes modjat nem sikerult egyeztetni...
Bocs, nem neked szólt az utalás, elgépeltem. Utópiát illetően: lehet, hogy optimista felfogásom, de _ez_ a cél - gondolj bele, ha úgy állnék neki, hogy úgyis kihül a nap: felesleges az utódoknak egy jobb világot teremteni, példát mutatni nekik (ez tényleg off)...
Más:
Ami a crowd-ot illeti: a crowds egy nagyon érdekes project: proxy szinten valósítja meg az ideát.
Ha a virus olyan, hogy lehet irtani, akkor altalaban konnyu hozza irtot irni. Azokkal, amelyek ugy kezdik, hogy felulirjak a hamadott fajl egy reszet persze nem lehet mit csinalni.
bowler
2000-01-12 11:16:41 (674)
Tegnap találkoztam egy volt osztálytársammal és végighallgattam
[...]
tökéletes biztonsági rendszerek kifejlesztése (ami egyébként is lehetetlen, merthogy tökéletes dolgok nem léteznek), vagy az, hogy az emberek különbséget tudjanak tenni a helyes, és a nem helyes között.
[...]
mégis a másik változatot erőltetjük. Vajon miért?
éfdgkldéjg
Amire gondoltam, azt bowler rögtön megfogta.
Ez szep lenne, de utopia. (A "szerintem"-et direkt hagytam ki, mert ugyis
gondolhatjatok, masreszt meg hatarozatlanabba tette volna :))
Sokan nem is akarnak kulonbseget tenni. Ne is akard oket megvaltoztatni,
csak artanal nekik. :)
