Masz DD-WRT? Masz problem.

A raczej, możesz mieć problem, jeśli skonfigurowałeś router tak, by serwer WWW (zarządzania przez WWW) słuchał na zewnętrznym interfejsie. Jakiego typu problem? Zdalne wykonanie kodu z prawami roota. Bez konieczności jakiegokolwiek uwierzytelniania.

Niestety, nawet ci, którzy skonfigurowali swój router tak, by serwer WWW nie słuchał na zewnętrznym interfejsie nie mogą spać spokojnie. Powodem jest niezałatana możliwość ataku przez CSRF.

Co robić? Jeśli nie chcemy/możemy zmienić softu na Tomato czy OpenWrt – co byłoby najlepszym rozwiązaniem, bo brak doniesień o podobnych problemach w tych firmware’ach – to na pewno wyłączyć zarządzanie przez WWW na zewnętrznym interfejsie i unikać podejrzanych stron (mogących być źródłem ataku CSRF). Przynajmniej do czasu opublikowania poprawionej wersji firmware’u przez DD-WRT. Jeśli to możliwe, należy wyłączyć serwer WWW całkowicie, wtedy i CSRF nie będzie groźny.

Źródło: DD-WRT (httpd service) Remote Command Execution Vulnerability

UPDATE: Jeszcze link do wątku na forum DD-WRT nt. tej luki oraz link do poprawionego firmware’u.

NTFS i Linux – nie tak różowo.

Nie tak różowo, a w zasadzie całkiem źle. Postanowiłem dodać mojej miłej możliwość korzystania z dysków w kieszeniach. Podczas instalacji nie były podłączone, więc o nich zapomniałem. Sprawa wydawała się prosta – zwykłe montowanie po UUID, dopisać do fstab i tyle. Znaczy 3 minuty roboty.

Niestety nie ma tak dobrze. Jeden z dysków okazał się być sformatowany z NTFS (próba automontowania przez HAL zakończona fiaskiem). Oczywiście pamiętam, że jest świetny NTFS-3G, który pozwala na zapis, więc nic nie wróżyło problemów – ot, następne 3 minuty roboty. Tymczasem ten driver nie pozwala na montowanie zasobów przez zwykłego usera. Szybki gógiel (liczmy 3 minuty) i… oczywiście problem jest opisany w dokumentacji i jest na to rozwiązanie, a raczej obejście.

Szybkie (3 min) wdrożenie i już mogę z poziomu użytkownika montować i odmontowywać dysk. Z CLI. Prawie jak sukces, bo przecież nie każę kobiecie na „prostym i łatwym” systemie babrać się z wierszem poleceń. No i ogólnie przydał by się jakiś wskaźnik, czy aktualnie jest zamontowane, czy też nie. No i jest coś takiego w KDE, z tego co pamiętam…

Szybkie dodanie ikonek typu dysk twardy na pulpit. Kliknięcie montuje. Ikonka się nie zmienia, niezależnie od tego, czy jest zamontowane, czy nie, opcja „odmontuj” się nie pojawia. W systemowych „urządzeniach przechowywania danych” z kolei są wymienne nośniki, ale coś HAL nie daje rady ich zamontować. Może kwestia tego, że próbuje do /media (i nie pozwala tego zmienić), a we fstab mam wpisy dla /mnt?

Na tym się skończyło wczoraj – właścicielka też chciała skorzystać z laptopa… Konkluzja: w zasadzie działa, ale nie w zadowalający sposób. Jeśli macie gotowe przepisy na eleganckie, graficzne montowanie (i odmontowanie) dysku wymiennego z NTFS pod KDE przez użytkownika bez praw roota, z możliwością zapisu (tu: Debian Lenny, ale pewnie niespecjalnie jest różnica), to chętnie je poznam. Chodzi mi o pomysły samodzielnie sprawdzone, googlać umiem i mam parę pomysłów, łączenie z wyczyszczeniem wpisów we fstab, użyciem ntfsmount (dead link) itp.

W miarę posuwania się naprzód, wpis będzie aktualizowany (ew. zamieszczę info o nowym wpisie, jeśli szczególnie długie miałoby być). Bo tylko bitwa przegrana, nie wojna. 😉

UPDATE: Sprawa okazała się prostsza, niż myślałem. Po prostu – jak się spodziewałem – przekombinowałem. Wystarczyło dodać usera do grupy plugdev i usunąć wszystkie wpisy z fstab. Wówczas HAL pięknie sobie radzi z montowaniem i odmontowywaniem (z użyciem ntfs-3g), a user ma prawa RW. Identyfikacja następuje nie po UUID, a po LABEL. Czyli brakowało „tylko” obecności usera w grupie plugdev (mój ewidentny błąd) i zainstalowanego ntfs-3g. No ewentualnie jeszcze suid, jak opisano w FAQ.

Penumbra Collection – promocja – tylko 5 USD w ten weekend.

Z informacyjnego obowiązku: RPG utrzymane w klimacie horroru, czyli seria Penumbra po pierwsze dostępna jest teraz w natywnej wersji linuksowej, a po drugie tylko w ten weekend jest do kupienia za jedyne 5 dolarów. Z tego co piszą i co widać na filmach – świetny nastrój i niezwykle bogate możliwości interakcji z otoczeniem.

Jeśli ktoś nie jest przekonany, czy warto – można ściągnąć demo i wypróbować. Mnie powstrzymuje jedynie brak czasu.

Źródła: pierwsze (dead link) i drugie.

Socjalistyczna Opera.

Jeśli wierzyć w pełni artykułowi Opera niezadowolona, a w szczególności temu fragmentowi „Niewielkie przeróbki kodzie nie wpłyną na zwiększenie konkurencji na rynku przeglądarek” – uważa Hakon Wium Lie, szef działu technologicznego w Opera Software., Opera ma niezłe socjalistyczne zapędy. Ich produkt nie radzi sobie w starciu rynkowym, więc próbują wymusić na rządach promowanie ich produktu.

Tymczasem równie niewspierany przez Microsoft Firefox ma – wg rankingu przeglądarek około 47%. Trudno Firefoksowi zarzucić monopol czy wsparcie ze strony MS, a tymczasem jego popularność nadal rośnie.

Moim zdaniem, dopóki określoną przeglądarkę (w ogólności: program) można w prosty sposób wyłączyć lub odinstalować, a następnie w równie prosty sposób zastąpić ją innym programem, to problem nie istnieje. Nie wiem jak pod Windows, ale pod Linuksem wymiana przeglądarki jest bardzo prosta.

Jeśli prawdą jest że przedstawiciele UE sugerują, aby Microsoft stworzył w ekranie powitalnym Windows możliwość wyboru kilku przeglądarek internetowych, które byłyby aktywowane to jest to IMO krok w bardzo złym kierunku. Po pierwsze, czemu tylko Microsoft ma coś takiego wprowadzać, a np. Apple nie? Po drugie, czemu niewolne (nie open source), mają być proponowane w wolnych systemach (np. w Debianie)? Konsekwentne wprowadzanie takiego rozwiązania dokładnie do czegoś takiego prowadzi.

Dla jasności dodam, że uważam Operę mini za świetną przeglądarkę na urządzenia mobilne. Wersji desktopowej Opery używałem kiedyś (okolice wersji 7.5) i nie jest była to zła przeglądarka (była zdecydowanie lepsza od IE w tym czasie), natomiast Firefox w chwili obecnej wydaje mi się lepszy (mimo paru wad, choćby tego, że przy domyślnych ustawieniach narusza prywatność użytkownika). Wydaje mi się, że państwo powinno trzymać się z daleka od czegoś, co – jak widać po popularności Firefoksa – rynek potrafi doskonale regulować sam.

Jak wszyscy tracą – mBank i Piotr.

Kiedyś, dawno temu kominek popełnił wpis o budyniu Dr Oetker, dzięki któremu stał się znany. Przedwczoraj w jego ślady poszedł Piotr Konieczny pisząc o mBanku. Tyle, że jedna rzecz być pionierem, a zupełnie inna po prostu powtórzyć.

Jest też parę różnic między tymi wpisami: wpis kominka zapewne był spontaniczny, Piotra – wyrachowany. Kominek jednoznacznie padł ofiarą firmy (robił wg. przepisu, wyszło rzadkie g…), natomiast Piotr umówił się na pierwsze spotkanie i nie pojawił się (czemu spóźniająca się taksówka ma być usprawiedliwieniem, a brak pracownika – choćby z powodu choroby – czy restartujący się komputer nie?).

Potem już jednoznacznie wtopa mBanku, ale mam wrażenie, że podobnie sprawy by się potoczyły w dowolnej innej instytucji, gdzie PR rządzi, koszty się tnie, a rotacja pracowników jest spora (strzelam, ale zwykle takie są realia). Mam podobne przygody z PlusGSM (kontakty z ichnim BOK są naprawdę traumatyczne, a i tak kończy się na konieczności złożenia reklamacji pisemnie, XXI w. w końcu i dwa tygodnie mailowania psu w d…), moi dostawcy internetu również nieco mnie zirytowali w swoim czasie na różne sposoby (wyjątek obecny, ale zmiana miejsca świadczenia usługi dopiero przede mną…).

Ale do rzeczy. Czemu wszyscy przegrywają? mBank – oczywista antyreklama, zasłużona, dodajmy. Niestety, prawda jest taka, że ich obsługa klienta jest na niskim poziomie. Kontaktowałem się via livechat kiedyś, trwało to masakrycznie długo (godzinę), a ich pracownik nie zaproponował mi żadnej sensownej metody posiadania karty wysokiego ryzyka (ot, chciałem takie konto i kartę, gdzie mam mało środków i jak pójdę zabalować, to straty będą nikłe i kontrolowane w przypadku kradzieży/skopiowania karty). Sam sobie znalazłem rozwiązania… Żądanie zdjęcia logo itp. sytuacji nie poprawią – skończy się pewnie, tak jak w przypadku kominka, na wykopie. Ciała niewątpliwie dali, zaproponowali rekompensatę (IMO sensowną – wcale nie trzeba było dzwonić z komórki, a tłamszenie psychiki na własne życzenie było. Zamiast wywalać pieniądze na PR w celu magicznego przyciągnięcia klienta, zajmijcie się uczciwą pracą. Choćby szkoleniem pracowników, zwiększeniem ich ilości, poprawieniem sprzętu (tak, wiem, nie taki profil i priorytety, niestety). Przychodzi na myśl never argue with a troll, they bring you down to their level and beat you with experience.

Piotr – niewątpliwe duża odwiedzalność z okazji tego wpisu (swoją drogą ludzie mają dziwną tendencję lgnięcia do takich wpisów; normalnie przyszli czytelnicy Faktu), tylko bardzo to przypomina nieważne, czy mówią o nas dobrze, czy źle, ważne, żeby mówili. Poza tym, skoro ten mBank taki beznadziejny, to po co ma tam konto? Innych banków nie ma? Wyrafinowana forma masochizmu? Hipokryzja (to bardzo zły bank, dlatego go używam)? Nie rozumiem też wydzwaniania z komórki i chodzenia po punktach (chyba, że się lubi), skoro można skontaktować się przez net, pracownik może oddzwonić, a papiery załatwia się zdalnie (ostatnio kumpel zakładał konto – kurier przywiózł, kurier zabrał, konto działa). Piotrze, udało Ci się zaprezentować jako niepoważny (niestawienie sie na umówione spotkanie, nawet nie zadzwoniłeś powiedzieć, że nie dotrzesz), nieumiejący wybrać oferty (po co się potykać 4 m-ce, skoro od ręki można załatwić to samo gdzie indziej), wulgarny (oczywiste), nieskuteczny i niekonsekwentny. Naprawdę o to chodziło?

No i na końcu stracili czytelnicy – zamiast fajnego bloggera szykuje się kominek bis. Czyta się świetnie, napięcie ogromne, sprawa sensacyjna… Całkiem jak w Fakcie.