Różowy blog
Włączam sobie wczoraj wieczorem tunapie, patrzę co grają, a tam Matrix (jedyna słuszna część, czyli pierwsza) leci na kanale desync.com: awesome movies (HQ). Miło. Jak ktoś chce obejrzeć, to warto poczekać trochę - tam leci kilka filmów na krzyż na okrągło. Jakość - minimum w czym się da oglądać filmy, czyli 800kbit. Have fun.
9 lat od premiery. Nic dziwnego, że przywołuje wspomnienia...
Dziś po raz pierwszy udało się nakłonić małą do przewidywanego, powtarzalnego, jednoznacznego, wielokrotnego rechotu. Wykorzystano do tego mnie, robiącego trrrrwrrrrźźźlll i pluszowego królika pozytywkę, udającego młot pneumatyczny na tułowiu małej. Po przerwie na "naukę" nadal działało, zobaczymy, czy będzie działać przy następnej zabawie. Oby.
Patrzę na to, co się dzieje po ogłoszeniu błędu ze słabymi kluczami i jestem przerażony. Próbkę mam znikomą, ale generalnie administratorzy nie przejmują się błędem zupełnie - albo robią upgrade samej paczki (w przypadku Debiana upgrade openssh jest o tyle dobry, że automatycznie wykrywa znane słabe klucze serwera), co nie rozwiązuje problemu, bo słabe klucze już są wygenerowane, albo czekają (nie wiem na co...). A tymczasem konsekwencje dotyczą nie tylko Debiana, ale i innych systemów z dostępem przez SSH, a liczba kluczy, które były generowane na dotkniętych błędem systemach Debiana to tylko 32767[1] dla każdej długości klucza (dla lepszego zobrazowania - trzyliterowe hasło składające się z samych liter daje podobne zabezpieczenie), a hasło na klucz niczego nie zmienia (bo wersja niezabezpieczona zawiera się w tych 32 tysiącach).
Problem nie dotyczy tylko Debiana, ale wszystkich systemów, na których użytkownicy Debiana mogli ustawić słaby klucz jako zaufany. No i tu pora na narzekanie - żaden administrator systemu (brak jakichkolwiek restrykcji w dostępie via SSH) na których dodałem swój słaby klucz nie zareagował - usunąłem klucze samodzielnie. Ilu użytkowników jeszcze dodało tam słabe klucze - nie wiem. Wiem, że aktualnie w Debianie pojawiło się narzędzie ssh-vulnkey, które po wywołaniu ssh-vulnkey -a sprawdza wszystkie standardowe lokalizacje (także authorized_keys użytkowników) w poszukiwaniu słabych kluczy - zachęcam do skorzystania z niego i przeportowania na inne systemy.
Tak czy inaczej wygląda na to, że ogólnie poziom bezpieczeństwa w IT drastycznie spadnie. Niebawem będzie w użyciu masa skompromitowanych systemów, słabych certyfikatów itd., a ten problem dotyczy nie tylko administratorów, ale wszystkich użytkowników komputerów.
[1] źródło
Okazuje się, że działania developera Debiana były słuszne - przeanalizował kod, odkrył wykorzystanie niezainicjalizowanych obszarów pamięci jako źródła losowych danych (nie są/nie muszą być losowe), chciał to naprawić. W tym celu skontaktował się z developerami OpenSSL, potwierdzili oni błąd i sposób naprawy. Rzecz w tym, że uzgadniał zmianę w jednej funkcji, a tymczasem poprawił podobny kod w dwóch funkcjach. I teraz powstaje dylemat: czy faktycznie popełnił błąd źle oceniając działanie drugiej funkcji, czy może jednak w OpenSSL, w wersji oryginalnej, nadal w jednym z miejsc polega się na niezainicjalizowanej pamięci jako źródle losowych danych (co jest lepszą metodą, niż to, co wprowadził, ale nadal dalekie jest od ideału)? Mam przeczucie, że czeka nas niebawem jeszcze jedna wymiana kluczy, tym razem na wszystkich systemach...
W Debianie (i jego pochodnych) pojawił się paskudny błąd w pakiecie OpenSSL. Nie dotyczy to innych dystrybucji (chyba, że ktoś zaimportował klucze generowane na Debianie), oraz Sarge. Błąd w pakiecie OpenSSL powoduje, że generator liczb pseudolosowych jest przewidywalny. Zalecana jest aktualizacja pakietu i wygenerowanie wszystkich kluczy, które były generowane z użyciem OpenSSL od nowa. Zaleca się też uznanie kluczy DSA używanych na takich systemach za skompromitowane.
Źródło i więcej szczegółów: dsa-1571
Tak sobie patrzę i stwierdzam, że sporo wpisów, które miałem popełnić na lvl 1 nie zaistniało lub zaistniało w formie drastycznie skróconej. Typu wpisy urlopowe, długoweekendowe itp. głównie z kategorii prywatne. Ale jakoś o technikaliach pisze mi się łatwiej. O długim weekendzie pełnego wpisu nie sklecę, więc...
W ramach wykorzystania zaległego urlopu wziąłem ostatnie 3 dni wolnego, co razem złożyło się na długi, bo dziewięciodniowy weekend. Krótko podsumowując: udało się częściowo zrobić porządki ze sprzętem/systemami. Udało się odpocząć i pobyczyć na trawce. Rodzina się napatrzyła na nas, mała ładnie się zaadaptowała do miejsca. Spotkania ze znajomymi - bdb (grille, knajpy). Spokania ze SzLUUG - zero odbytych (przyjmijmy, że to z powodu tego, że lista nie działa i okres wyjazdowy, a nie z powodu rozkładu organizacji). Znacznie poprawiona ilość przyjmowanych kalorii. Zero przeczytanych książek, chyba żadnego filmu. Muzycznie również lipa, chociaż polski top wszechczasów w Trójce był niezły. Stepmania: skikałem znacznie mniej, niż zakładałem, ale forma zachowana, nawet parę nowych rekordów. Powietrze w Sz-nie znacznie lepsze, zieleni też więcej. I coś się w tym mieście zmienia. Na przykład po wielu latach oczekiwania doczekałem automatów do sprzedaży biletów SOP. Wolne to dobra rzecz (tm).
Ostatnio w oko wpadł mi - arcyciekawy moim zdaniem - projekt, który ma na celu umożliwienie użytkownikom dystrybucji opartych o pakiety deb (na razie tylko Debian, wygląda na to, że przystosowanie do innych dystrybucji nie jest trudne) aktualizowanie systemu w nietypowy sposób, a mianowicie przez P2P. Nie chodzi o pobieranie płyt instalacyjnych, ale o zwykłą, codzienną aktualizację pakietów na komputerze.
"Firefox to spyware" tak pewnego razu na kanale #debian.pl w sieci IRCnet obwieściła nie znana mi osoba obwieścił Big_Brain. Potraktowałbym to luźno, ale rozmówca był konkretny i sensowny. Przy okazji trąbienia o rosnącej popularności Firefoksa i zaślepionego czy może raczej naiwnego podejścia do wolnego oprogramowania sprawa mi się przypomniała, więc pokrótce ją streszczę.
USA to taki dziwny kraj, gdzie można dostać 25 lat więzienia w sprawie w której nie ma ciała, nie ma miejsca zbrodni, nie ma naocznych świadków i nie ma żadnego fizycznego dowodu. Za co więc można dostać owe 25 lat? Za zniknięcie ex żony, dziwne zachowanie i bycie "niegrzecznym i aroganckim" (tak powiedział sędzia po procesie). W każdym razie nie ma siły, która zmusi mnie do postawienia tam (USA) nogi.
Więcej: we wpisie nt. wyroku Reisera
Wpis o In Extremo przypomniał mi o kapeli, postanowiłem pooglądać trochę teledysków na YouTube. Wrażenia mieszane - chyba jednak wolę słuchać...
Ale za to w teledysku teledysku do Erdbeermund znalazłem polski akcent, co obok wystąpienia w Gothic jest drugą ciekawostką. Znacie inne?
Tytułem wstępu: Stało się. Ponieważ nie chce mi się zakładać nowego bloga (zresztą, ilość wpisów na tym jest umiarkowana), a ciśnienie na blognięcie jest, to powstaje nowa kategoria kids w której będą pojawiać się wpisy na tematy okołodziecięce (śmiesznostki, spostrzeżenia itp.). Nazwa bloga bez zmian i nawet ładnie się komponuje, bo dziewczynki w różowym... Ale nadal jest to blog komputerowy, głównie. Chociaż bardziej... mój. ;-P
Nie tak dawno temu zadzwonił kumpel przebywający na urlopie bez dostępu do netu. "Routerek mi padł - zajrzysz? Tzn. żyje ale NAT nie działa". Zajrzałem. Systemem okazało się być Gentoo, oczywistych błędów nie było widać... Ręczny start usług i... nie działa nadal. I tylko natowanie nie działa (Invalid operation przy próbie włączenia maskarady, mimo, że moduły są załadowane/wkompilowane). W logach błędów nie widać.
Webmajstrem nie jestem, a obecny szablon jest średni, nawet po poprawkach... I się nie waliduje. I ma bugi. Czy możecie polecić jakiś ładny, prosty, na całą szerokość ekranu szablonik joggerowy? Bo dojdzie do tego, że siądę, stracę dzień-dwa, ale sklikam coś swojego. ;/
Ludziom zdarza się wysyłać SMSy. Założenie jest takie, by w możliwie małej objętościowo formie (koszt, limity wysłanych przez bramkę, łatwość odczytu przez odbierającego) przekazać maksimum informacji. Szczególnie przy okazji awarii takich, jak wczorajsza w Szczecinie warto minimalizować objętość. ;) Poniższy skrypt przedstawia sposób na skrócenie długości wiadomości w SMSach wysyłanych za pomocą polecenia sms z pakietu sms-pl (wersje na inne dystrybucje i systemy do znalezienia we własnym zakresie, ale opisany niżej algorytm jest uniwersalny i można go z powodzeniem stosować do wszystkich SMSów.
Tym razem nie chodzi o różne marketingowe teksty w stylu źródło witamin umieszczone na płatkach, które przede wszystkim są źródłem niezbyt zdrowych, przetworzonych zbóż + dodatków smakowych + cukru, czyli węglowodanów. Na tej zasadzie to i piwo jest źródłem witamin (zwł. C). ;)
Chodzi o rzecz poważniejszą. Od dziecka (albo z dzieckiem...) siadasz do śniadania i widzisz napis kółeczka zbożowe z miodem. Tymczasem w opakowaniu
