Niebezpieczny świat.

Ostatnie wydarzenia coraz bardziej skłaniają mnie do – paranoicznego, przyznaję – wniosku, że żadne dane, niezależnie od tego jak zabezpieczane, nie są bezpieczne i prędzej czy później nastąpi ich ujawnienie. O ile tylko komuś będzie zależało.

Na początek – hasła. Niektóre portale, jak Allegro, trzymają hasła otwartym tekstem. Niezależnie od podjętych środków bezpieczeństwa, przy takim podejściu wyciek tych haseł jest IMHO kwestią czasu.

Wiele nie zmienia trzymanie skrótów (hashy) haseł. Ostatnio – poza małymi wyciekami polskimi typu JPwyciekły hashe haseł z Gawkera i niesolone hashe haseł z FSF. To drugie jest wielką porażką, bo mówimy o środowisku z – teoretycznie – wysoką świadomością dotyczącą bezpieczeństwa i spraw technicznych, a tymczasem korzystano z najsłabszej funkcji skrótu i w najgorszym wydaniu. Powinno być najlepiej, było najgorzej. Klasyczne szewc bez butów chodzi.

Zresztą, pomału można zacząć stawiać znak równości między wyciekiem hashy haseł (zwł. niesolonych), a wyciekiem samych haseł – crackery MD5 są coraz szybsze. Co prawda to tylko benchmark, ale najnowsza wersja crackera whitepixel, który podobno jest chyba obecnie najszybszy, sprawdza 33 miliardy (nie miliony, miliardy) kombinacji na sekundę (dla pojedynczego hasha). Na potężnym, co prawda (4 dwurdzeniowe GPU; 1,2 kW poboru prądu przy obciążeniu, 2700 USD w tej chwili), ale pojedynczym komputerze PC.

Inne funkcje skrótu też nie są wiele lepsze. SHA1 to wg tego benchmarku w tym momencie 390 milionów kombinacji na sekundę, oczywiście na pojedynczej maszynie. A przecież bez problemu można mieć tych maszyn więcej, i to za niewielkie pieniądze.

Ale nie tylko haseł się to tyczy. Dane, które nie powinny ujrzeć światła dziennego wyciekły z „wewnętrznego”, rządowego systemu. Oczywiście mowa o wikileaksowym Cablegate. Swoją drogą ciekawe, jak długo w tych okolicznościach w stanie nieujawnionym pozostanie polisa Wikileaks (dead link)?

Głośno też było o rzekomym backdoorze w OpenBSD, a konkretniej IPSEC, który miało zamieścić FBI 10 lat temu (celowo nie linkuję, AFAIK rozeszło się po kościach i backdoora nie było, ale nie śledziłem). Co nie jest takie niemożliwe, bo korzystając z różnych „dziwnych” właściwości matematyki, da się zmusić algorytm szyfrujący, by „wyciekał” klucze. W mało zauważalny sposób – na przykład 128 bajt zaszyfrowanej wiadomości, przexorowany przez arbitralny klucz, będzie ujawniał klucz, którym była szyfrowana cała wiadomość. Albo coś na podobnej zasadzie – sky – i wiedza matematyczna – is the limit.

I raczej nie wierzę w to, żeby programista – czy użytkownik, który zwykle nie ma wielkiej wiedzy matematycznej/kryptograficznej, był w stanie coś takiego zauważyć. Przykład tego widać było przy dziurze w OpenSSL w Debianie. Efekt był dość spektakularny – do każdego konta umożliwiającego logowanie SSH po kluczach można się było dostać przy – IIRC – maksimum 65 tys. prób (bo tylko tyle różnych kluczy było generowanych). Na dowolnym systemie. O ile tylko klucz publiczny użytkownika był generowany na podatnym Debianie.

Niedowiarkom przykład ciekawych właściwości matematycznych można łatwo i zrozumiale zaprezentować na przykładzie listy 18 ulubionych filmów. Oto test (przetłumaczyłem na polski, z wyjtkiem tytułów, polecam IMDB):

Zrób test i dowiedz się, jaki film jest twoim ulubionym. Ten prosty matematyczny quiz przewiduje, który z 18 filmów spodoba ci się najbardziej. Nie pytaj w jaki sposób, ale to działa!

  • Wybierz cyfrę z zakresu 1-9.
  • Pomnóż ją przez 3.
  • Do wyniku dodaj 3.
  • Otrzymany wynik ponownie pomnóż przez 3.
  • Zsumuj obie cyfry otrzymanej liczby. Wynik to numer twojego przewidzianego ulubionego film na poniższej liście:

Lista filmów:

  1. Gone With The Wind
  2. E.T.
  3. Blazing Saddles
  4. Star Wars
  5. Forrest Gump
  6. The Good, The Bad, and the Ugly
  7. Jaws
  8. Grease
  9. The Joy of Anal Sex With A sheep
  10. Casablanca
  11. Jurassic Park
  12. Shrek
  13. Pirates of the Caribbean
  14. Titanic
  15. Raiders Of The Lost Ark
  16. Home Alone
  17. Mrs. Doubtfire
  18. Toy Story

W zasadzie koniec mijającego roku widzę trochę na zasadzie do kogóż to włamano się dzisiaj? I to tylko patrząc na najgłośniejsze i ujawnione sprawy i dziury (taki wariant minimum dla administratora – trochę wypada się w security orientować)…

Korzystając z okazji – bo to ostatni wpis, życzę wszystkim użytkownikom komputerów (ze specjalnym uwzględnieniem adminów) w nadchodzącym Nowym Roku mniej dziur bezpieczeństwa i awarii.

UPDATE: Paranoje dotyczące postępującej szybkości łamania hashy studzi ten wpis o przechowywaniu haseł. Polecam.

Mechaniczna pomarańcza.

Niedawno odświeżyłem sobie utwór z tytułu (w formie filmu) i stwierdziłem, że wnosi tyle do moich poglądów na wolność, że zasługuje na notkę.

Jak pisałem, tym razem był to film Mechaniczna Pomarańcza, ale tak naprawdę tytuł ten zawsze będzie kojarzył mi się z książką (wersja R), którą czytałem dawno, dawno temu. Patrząc dzisiejszymi kategoriami można powiedzieć, że książka była piracka – ot, zwykłe ksero. Co prawda jak najbardziej w ramach dozwolonego użytku osobistego przekazane, ale patrząc na to dzisiejszymi kategoriami – ewidentny pirat. Tym bardziej, że to chyba ksero z ksero było.

Temat przyszedł mi do głowy w związku z różnymi wydarzeniami. Poczynając od kolejnej cenzury, tym razem pod hasłem „walki z trollami” na Joggerze (poszło o nazwę bloga ihateapple), przez „ustawę hazardową” i nagonkę na Tora. I tak sobie myślę, że dokładnie o to chodzi z całą tą wolnością. O wybór. Blokowanie czegokolwiek, nawet gdyby było skuteczne (a nie będzie) nie sprawi, że ludzie staną się lepsi. Monitoring nie zastąpi wewnętrznych norm. A ludzie z możliwościami nadużyć (choćby operatorzy monitoringu), będą je popełniać. Co więcej, co się stanie, jeśli monitoring przestanie działać, a ludzie nie będą mieli norm?

Sam film ciekawy, więc gorąco polecam. Trochę teatralny, ale w sumie taka konwencja bardzo pasuje. Śmieszy wizja przyszłości – takie to wszystko plastikowe i obłe, bardzo teatralne. No i coś, co mnie zabiło – muzyka z taśm puszczana. Całkowite pudło, bo taśmy umarły… Tradycyjnie polecam trivia do filmu (po obejrzeniu, raczej) – sporo smaczków.

Dzisiaj zadałem sobie bardzo ważne – w kontekście Joggera – pytanie: Am I evil? Mimo sugestii, odpowiedź brzmi: nie. Udowodnienie komuś, że nie ma racji nie jest warte utraty serwisu przez parę tysięcy użytkowników (spośród których minimum kilkunastu znam/szanuję, na dodatek). Dlatego dzieci nie dostaną nabitego rewolweru (chociaż wiedzą, jak się robi proch, ale to jednak dwie różne sprawy, zresztą mało kto pamięta, bugger przecież zdjęty). Ludzi nie można uszczęśliwiać wolnością na siłę. Wybór jest… Więcej o wolności w kontekście Joggera pisać nie będę (także w formie komentarzy), bo wszystko zostało już napisane.

Zatem powodzenia w walce z trollami. Jakkolwiek by one wyglądały.

Bezproblemowe odtwarzanie filmów w przeglądarce w Debianie.

W ciągu 10 minut zdarzyło mi się pomóc różnym ludziom na blipie odnośnie „niedziałania” multimediów na stronach pod Linuksem, więc może opiszę, jak mam to rozwiązane u siebie, bo SOA #1 (u mnie działa).

OK, może pomóc to za dużo powiedziane, ale blip ze względu na ograniczenie długości średnio się do sensownej pomocy nadaje. Napisałem, czego używam. Przy okazji, „w przeglądarce” też jest tu nieco mylące, bo de facto odtwarzam zewnętrznym programem, po kliknięciu w przeglądarce.

Przypadek pierwszy. Problem opisany tutaj, rozwiązanie podane tutaj.

Przypadek drugi. Problem opisany tutaj, rozwiązanie jest analogiczne (tu opis). Tzn. jeśli dobrze się zrozumieliśmy, bo zapytałem o dokładny link a dostałem taki.

Niestety, żaden z pytających nie dał znać, czy podane rozwiązanie pomogło, ani bezpośrednio, ani blipnięciem, więc komentarze będą cenne.

Jak mam rozwiązane u siebie? Primo, Iceweasel (czyli Firefox). Zwykły, standardowy, z Lenny’ego. Secundo, rozszerzenie MediaPlayerConnectivity. Tertio, mplayer i kodeki z Debian Multimedia (non free, kwestie licencyjne pomijam). Jako odtwarzacz wybrany gmplayer, pojawia się ikonka od rozszerzenia, wystarczy kliknąć na ikonce i film się odtwarza. Co prawda nie w przeglądarce, tylko w odtwarzaczu, ale co za różnica? Za to można powiększać i robić wszystkie różności, które robimy z filmem w zewnętrznym odtwarzaczu.

Nie ukrywam, że pomysł z MediaPlayerConnectivity nie wziął się z powietrza, a stąd. Z VLC nie testowałem. Swoją drogą polecam dodanie tamtego bloga do RSS – ciekawy z linuksowych.