NBH mindenhol?

Security-all

Sziasztok!

Tudjuk, hogy pl. a német nbh valós idejű packet-injection-t is végez a szolgáltatókkal együttműködve. Ehez transzparens proxykat hasznának.
Tehát nem tudhatjuk, hogy ha éppen egy apt-get upgradet csinálunk, akkor valóban debian-csomagokat kapunk-e vagy az nbh által manipuláltakat. (md5-öt is tudnak gyártani, ezzel nem lehet érvelni)
Persze kicsi a valószínűsége, hogy ez előfordul, szerintem mégis elgondolkodtató. Lehet, hogy a te gépeden is nbh-s szoftver fut. Nem tudhatod pontosan!
Egy lehetséges megoldás az lenne, ha az apt ssh-val titkosított csatornán keresztül működne. (pl. ssh -N -D 9999 ftp.debian.org; torify apt-get upgrade)

Mi a véleményetek erről? Mi lehet a megoldás?

Csaba

  • 6219 megtekintés

( sany | 2007. 10. 18., cs – 00:43 )

"a szolgáltatókkal együttműködve."

Ha ez igaz, nem sok mindent lehet tenni.
Övék az internet. :) ha net szolgáltatókra gondolsz!

----------------------------------------------------------------

( Husky | 2007. 10. 18., cs – 00:58 )

<tinfoilhat>

El kell adni a gépet, és könyveket olvasni inkább. Bár ki tudja, lehet hogy tudat alatt rád ható üzeneteket helyeztek el azokban is...

</tinfoilhat>

Vicces, amikor hétköznapi kis szürke emberek ennyire felbecsülik önnön jelentőségüket (nem rád célzok, hanem azokra akik ilyesmikről külön weboldalakat gyártanak). Ha be akarnak mászni egy gépbe, úgyis belemásznak. Tökmindegy hogy innyektorral, vagy altatógázzal éjszaka. Ha kell nekik a barátnőd aktképe vagy a hupos jelszavad, sokkal hagyományosabb módon is meg tudják szerezni.

Eegen, itt is van trükkös root login, grsec, két tűzfal meg saját fejlesztésű filerendszer-ellenőrző util, de akkor is illúzió hogy ezzel mész valamire ha tényleg szét akarnak nálad nézni. :)

Ütős bűnözőket tojnak le magasról, pedig eszközük még lenne is rá. Gondolom azért, mert sokkal izgalmasabb azt nézni hogy Pistike mit csetel minden este. :)

Miért hallgatnak le majdnem minden telefonbeszélgetést?

Fordulj orvoshoz. De komolyan. Van fogalmad rola egy adott pillanatban hany telefonbeszelgetes zajlik eppen? Szerinted mennyi eroforras kellene "majdnem minden" lehallgatott telefonbeszelgetes kiertekelesehez? Az oke, hogy kell egy kis egeszseges paranoia, de azert remelem te sem hiszed el amit ide irtal mert akkor tenyleg surgosen szakorvosi segitsegre van szukseged.

Úgy hallottam, minden beszélgetést 5 évig naplóznia (rögzíteniük) kell a telefontársaságoknak. A gsm-es cégek köpködtek is a pénz miatt, amibe fájt nekik utólag megoldani ezt a fícsört. (M.o.-on)

Persze, valszeg, a kutya se nézi meg ezt az adattárat - amíg nem lesznek kíváncsiak vlmire. Akkor van honnan kukázniuk. ;->

Kölyök koromban diákmunkán telefonközpontos voltam cca. két hétig. ~ 1984-ben volt. ;)
MINDEN céges ki-, bejövő beszélgetés - inkluzíve a rádiózás - magnószalagra rögzült... persze, olyan 2.14 cm/sec sebességgel... én ezt értem "naplózás" alatt. ;) Persze, az orsókat az egerek semmísítették meg végül a raktár polcain. ;->
Valszeg, ma már nem magnótekercseken rögzítenek - de rögzítenek. ;>>>
Naívnak lenni is opcionális. :)
The Matrix has you. ]:-> 'Cause you you are a slave... :P

" ~ 1984-ben volt."
"bejövő beszélgetés - inkluzíve a rádiózás - magnószalagra rögzült..."

Nem tudom, itt milyen "rádiózásról" van szó pontosan, de ha rádiótelefonról, akkor valami nagyon nem stimmel, mert a GSM szabványt csak 1982-ben kezdték kidolgozni, tehát 1984-ben nem sűrűn volt mit lehallgatni.

---
Science for fun...

"bírói|ügyészi engedélyhez van kötve"
És ha netán anélkül hallgatnak le, akkor
- ezt ki tudja meg rajtuk kívül
- vajh nem követ-e el ezzel az illető nb. titoksértést
- kinél jelentenéd fel őket ilyesmiért
- ki koppinthatna a körmükre
- "na és" ((C)Pufajkás Gyula)

az ezzel a bibi hogy ezek az ugyek altalaban valahogy megis kiderulnek. lasd iraki(!) abu gerib bortonsztori, titkos europai CIA bortonok, stb. valaki elobb-utobb elkoveti azt a bizonyos titoksertest. es akarki is van kormanyon, senkinek nem hianyzik az ilyen botrany.

mindemellett lehet neked sem artana egy pszihomokus.... mar ha el is hiszed amit itt leirsz.

Mondjuk nem használható bizonyítékként. Mert mi a célja egy lehallgatásnak? Hogy elkapjanak, bíróságra vigyenek, lecsukjanak (téged, vagy a kapcsolatodból valakit); természetesen ha elkövettél valamit.
Ha nem volt engedély olyan mintha nem is lenne.
Egyébként hidd el tudom hogy működik és minden esetben engedélyel megy...

Tudtommal a lehallgatásnak nem elsősorban az ellenem irányuló bizonyítékok, hanem az ügyemmel kapcsolatos minél több információ begyűjtése a célja.
Azaz ha pl. a tibeti haditengerészetnek árulom éppen a hipertitkos fejlesztésű ikerturbinás mókusvető terveit, akkor nem az a lényeg, hogy legyen felvétel amint épp elismerem ezt, hanem az, hogy kiderüljön, hogy ki fecsegte ki nekem ezt a titkot, ki és hogyan lopta ki a terveket, a kutatóintézet melyik őre van korrumpálva, ki a tibetiek összekötője, eddig mi egyebet sikerült már kilop(at)nom, azokat ki vette meg, stb. (Azért is nem közvetlenül belőlem szedik ki ezeket, hogy még másokat is le lehessen követni, akik az esetleges elfogatásom esetén elillannának.)
Ezeket aztán már mint belső hírszerzési adatokat fel lehet használni pl. rajtaütésekre, ügynökök átfordítására, dezinformálásra, bármire.
Hogy velem pedig mi lesz ezután? Akár el is tűnhetek simán valamelyik garázs behajtójának az alapozásába, de az is elég, ha a forgalomban 'véletlenül' nekem koccan valaki, a csomagtartómba 'véletlenül' bekerül egy nylonzacskóba csomagolva fél-egy kiló fehér por, amit a helyszínelő rendőr azért csak észrevesz, és már áll is a zászló kábszerrel való visszaélés minősített esetéért, és már meg is nyertem a tizenöt év állami üdülést. Persze nem épp törvényes, de most mondd, hogy nehéz lenne így intézni...

Nézz kevesebb akció-krimi-kém filmet :-)
Itt azért nem így zajlanak a dolgok ...

"eddig mi egyebet sikerült már kilop(at)nom"
Ez - és egyébként közvetetten a többi is - nem ellened szóló bizonyíték? Persze ilyen esetben a hálózatot kell felszámolni és az, hogy Téged ebből elöbb vagy utóbb emelnek ki (hivatalos eljárással) az a nyomozás érdekétől függ.
De azért ne éljünk már a mozik fantázia világában ...

( ScOut3R | 2007. 10. 18., cs – 07:47 )

És arra senki nem gondol, hogy esetleg ez a saját biztonságod érdekében történik? Nem akarok flame-et indítani, de az, hogy a titkosszolgálatokra azzal a szemmel tekintünk, mint '90-en előtt, szerintem csőlátásra utal. Kövezzetek meg, de az NBH feladata elsősorban nem az, hogy aktképeket gyűjtsön és minden állampolgárról jelentést írjon, hanem az, hogy a civil életben előforduló nemzetbiztonsági kockázatokat felderítse és az állampolgárok biztonságát garantálja a rendvédelmi szerveken keresztül.

Nekem ilyenkor eszembe jut az az ismeros, aki ott dolgozott a 90 evek masodik feleben. "hetvegen meloznom kellett, fenykepezni egy videki horgaszversenyen".. gondolja tovabb aki akarja.
Mintha torveny is eloirna, hogy a nagy ISP-khez betelepulhetnek...Legalabb is igy remlik, mikor az ISP csoka mondta, hogy az a rack szekreny nincs it ott a teremben, amit en annak velek latni:-)

( chichken | 2007. 10. 18., cs – 08:40 )

Az NBH -val kötött szerződés (igaz kötelezően el kellett fogadnunk mint isp), értelmében csak konkrét megkeresés után helyeznek el egy "lehallgató" eszközt a hálózatban. Szerintem nem kell paranoiásnak lenni, szerintem ez is csak egy eszköz, hogy elkapjanak, bizonyítékot gyűjtsenek illegális tevékenységek ellen.

Akinek ez nem tetszik, tunnelezze minden hálózati forgalmát. :-D

Akkor olyan 97-98 korul miert jelentek meg nagy fekete dobozok az osszes ISP-nel az NBH altal? Mellesleg annyira tartjak be azokat a dolgoakt, hogy csak akkor hallgatjuk le, ha bla bla dolgokat, mint en azt, hogy nem fingok az utcan. Igenis fingok az utcan persze hallkat, ha nagyon kell, a tobbi ember ugyse tud rola, gyorsan elszall, meg nem is hangos. 2 eve mar az msn se titkositott (nem mintha eddig nagy wasisdas lett volna visszafejteni a szoveget), szinten ilyen dolgok miatt. A web kettes dolgok is abba az iranyba toljak el az egesz webet, hogy minnel konnyebb legyen valakit visszakeresni,es ehhez te mint interneten szorfolo egyen mosolyogva teszel eleget. Titkosithatod a vinyodat, titkosithatod a forgalmadat, tunellezhetsz mindent tok mind1, ugyis visszatudjak fejteni. Legfeljebb egy kis kesessel. Legegyszerubb dolog ha nem tarolsz semmi olyat sehol ami titok lenne, max fejben. Ott tarolhatod a baratnoddel keszitett elozo napi meneteket, meg a kulonbozo technikakat. Penzuk egyebkent van dogivel (rohadt jo autokkal jarkalnak be dolgozni), de azt mar nem latjak, hogy a szomszed epuletben hany kulfoldi kem van. No meg a C tipusu atvilagitas is, azt is ugyesen alkalmazzak. Azt aki nem kem evekig megfigyelik, poloskaznak (tenyleg majd valamikor csillart is kene cserelnem), nemzetbiztonsagi kockazatnak tartanak mindent es mindenkit aki nem seggnyalo, az igazi allambiztonsagi kockazatok meg iranyitjak az NBH-t :). Ezuton is gratulalok, hogy ilyen magasra eljutott egy ilyen ember, es sikerult meg az autos ugyeket is szepen altusolni. Na mind1, itt az NBH ugyse mas mint egy ujabb fedoszervezet arra, hogy meglopjak a dolgozo embereket. Ja az is vicces, hogy egy rohadt megfigyeles miatt mekkora marcangolas megy, hogy melyik szervezet csinalja a megfigyelest (ugyanis nem keves penzt lehet ezert leakasztani).

"Titkosithatod a vinyodat, titkosithatod a forgalmadat, tunellezhetsz mindent tok mind1, ugyis visszatudjak fejteni. Legfeljebb egy kis kesessel."

RSA-t? Kismillió évbe tellne, pont ez a lényeg. Nem véletlenül tiltják amerikában bizonyos hossz feletti kulcsok alkalmazását. Mindent ők sem tudnak megfejteni.

Jo paranoias vagyok, de en szemely szerint ugy gondolom, hogy a megfelelo szerveknek megvan az eszkozuk minden ilyen eshetosegre. Ha nem tudjak lehallgatni (amit en szemely szerint ketlek, mivel idovel szerintem mindent meglehet fejteni, ill. nagy gepkapacitassal) akkor odamennek aztan fizikailag fogjak a gepedet vegignezni. Azt meg ugye konnyen megcsinaljak mar viszonylag.

Kell hozzá két bilincs, egy radiátor ill. egy gumibot, doboz zsilettpenge, öngyújtó valamint egy vödör sós víz, és azzal minden törhető, amihez te hozzá tudsz férni.
Az nb. ügyekkel kapcsolatban felejtsd el nyugodtan a 'jog', 'per', 'ügyvéd', 'gombócman', 'tilos', 'majd azt mondom, hogy', stb. szavakat. Előbb-utóbb megszerzik a válaszokat a kérdéseikre, ez régebben is így volt, most is így van, és nem csak nálunk, de mindenhol. Csak nem teszik ki az ablakba, mert nehezen passzol az 'emberi jog' meg a 'demokrácia' nevű absztrakciók mellé.

Erre a hozzászólásra válaszolok, mert itt a pont!
Nem szűrnek mindent és nem hallgatnak le mindent! Valóban csak konkrét megkeresésre megy a dolog, illetve vannak hivatalból megfigyelendő dolgok.
A témában felvetett dolog valóban a paranoia kategória és felesleges ilyenen agyalni.
Ha akarnak valamit úgyis megszerzik és ha nem tudják a forgalmadat figyelni, akkor bemennek és a gépedről szednek le bármit - úgy hogy nem is tudsz róla, és akármilyen fasza gyerek vagy, akkor sem tudsz védekezni ellene.

Aláírás: http://hup.hu/node/44172#comment-426443

és akármilyen fasza gyerek vagy, akkor sem tudsz védekezni ellene.

nincs igazad. a titkosszolgak egyetlen eselye hogy a tenoristak kozott eleg ritkak a "fasza gyerekek", es tobbnyire eleg ha egy csoporton belul egyvalaki nem az. tegyuk fel hogy a notebookomon, (amit mindenhova magammal viszek es sosem hagyom orizetlenul) eros titkositassal vedett filerendszeren tarolom az erzekeny dokumentumaimat. tegyuk fel hogy amikor ezekhez hozza akarok ferni, kimegyek a puszta kozepebe, es ott dolgozom veluk.
hogyan fognak ezekhez a nagytudasu titkosszolgak torvenyes eszkozokkel hozzaferni? persze addig kinozhatnak amig elarulom a jelszot, de asszem ez ma europaban nem igazan torvenyes.

Hányszor írta ki az apt, hogy nem stimmelnek a checksum-ok? Hányszor nyomtunk ilyenkor 'y'-t, hogy menjen már fel az a buta csomag?

szamtalanszor. viszont nem tartok NBH szamara is erdekes cuccokat a gepemen es nem foglalkozom olyasmivel ami erdekelne oket. deha ilyesmivel foglalkoznek tuti nem nyomnek siman "y"-t. maskepp megfogalmazva jelenleg az paranoiam "privacy" szinten mukodik, de siman at tudnek allni ha kell "conspiracy" szintre.

nem provokallak, de lecci olvasd el figyelmesen megegyszer amit irtam. strong cryptography, es soha nem tevesztem szem elol a notebookot valamint csak ott ferek hozza az erzekeny dokumentumokhoz ahol kilometerekre le tudnam ellenorizni hogy nincs a kozelemben senki. hol a res ezen szerinted? barmiklyen "furcsasagot" erzek, veszek valami eldugott amszterdami utcacskaban egy masik notit, es a titkositott adatokat atmasolom ra titkositott formaban, a regit pedig megsemmisitem. Tehat ha egyszer csak "kiesik 5 perc", nem hasznalom tovabb az eszkozt mert nem bizom meg benne tovabb. Es tegyuk hozza hogy a "masik oldal" meg kell maradjon a torveny altal biztositott eszkozok hasznalatanal. Komolyan kivancsi vagyok ra hol a res a pajzson.

Te sem tudod, hogy ezek mit engednek meg ... (gondolom)

nem hinnem hogy az EU-ban ma egy "ceg" megengedhetne maganak egy kinvallatast mint rendszeres eszkozt. ha meg azt nem is vesszuk figyelembe hogy az igy szerzett bizonyitek nem hasznalhato fel, a sajto szerintem masra sem var csak egy jo kis kinvallatos titkosszolgalati botranyra.
de mindezt felreteve, ha nem szedik ki nem megengedett eszkozokkel a jelszot az illetobol, van mas res ezen a pajzson? komolyan erdekel, mert az en logikam nem nagyon talal rajta.

"..Ha el akarod képzelni a jövőt Winston.. Képzelj el egy emberi arcokon taposó csizmát.."
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Üllj le és kuss legyen!"..

sajnos nem sokat es azt sem tul melyen :( tegyuk fel hogy alvas kozben a csuklomhoz bilincselem a notit vagy a parnam ala teszem, es telerakom a helyet riasztokkal meg rogzitem a szoba kepet es regel visszanezem. de mar amint mondtam, amint csak egy furcsa erzeskent felmerul bennem hogy a cumot megbabraltak, csere.

Az alvásproblémáidon - legalább a diszk lemásolásának erejéig - tudnak segíteni. :)

De mivel az ilyen bilincselős-visszanézős életvitel elég gyorsan lehasználja az embert, ők inkább ráérnek. Nem tegnapra kell az infó, innentől van rád néhány hónapjuk (évük). Minek foglalkozzanak veled amikor önállóan is ki tudod magad készíteni. (A kikészült ember pedig hibázik. Sokat, és sűrűn.) :)

Az alvásproblémáidon - legalább a diszk lemásolásának erejéig - tudnak segíteni. :)

egeszsegukre. vigyek. akar a webre is kiteszem nekik :-P nem veletlenul volt ott a "strong cryptography" az eszmefuttatasban.

De mivel az ilyen bilincselős-visszanézős életvitel elég gyorsan lehasználja az embert, ők inkább ráérnek. Nem tegnapra kell az infó, innentől van rád néhány hónapjuk (évük). Minek foglalkozzanak veled amikor önállóan is ki tudod magad készíteni. (A kikészült ember pedig hibázik. Sokat, és sűrűn.) :)

szerinem aki azt tervezi hogy felrobbant mondjuk egy piszkos vagy egy nuklearis bombat NY belvarosaban allah dicsosegere, nem annyira fog aggodni amiatt hogy par ev alatt lehasznalja a "conspiracy" uzemmod. annyi a titokmanok szerencseje, hogy ez a fajta tobbnyire segghulye is, es nincs igazan veszelyerzete, mivel lenezi a "hitetlen kutyakat" alapbol. Es ugye az ilyesmi ritkan maganyos akcio, es szinte biztos lesz egy gyenge lancszem a lancban.

Tedd, köszönik szépen, megtakarítottál nekik két óra másolást. Akkor már csak a max pár K-s kulcsot kell megszerezniük. :) (De valahol a topic elején már írtam, sokkal egyszerűbb mód is van erre: mielőtt bevitted volna a gépbe, megkaptad papíron, telefonon, szóban, máshogy...)

A piszkos bombás gondolatodból külön topik lehetne, erős pszichológiai háttérrel, de én inkább elmegyek ebédelni. :) ... (Pont azt a vonalat érinti, hogy a közhiedelemmel ellentétben a titkosszolgálatoknak nagyon is szűkösek az erőforrásaik, a sok zajtól kb abszolút nem vesznek észre semmit, vagy legalábbis kénytelenek abból főzni, ami van: iWiW, Google Maps, vagy az előbb már valaki által említett C típ. átvilágítás (ami gyakorlatilag önbevallás, aztán vagy utána tudnak nézni, vagy nem)).

Ezen miert csodalkoztok? Multkor volt egy musor (mar nem emlekszem hol), ahol bemutattak az NSA publikus reszenek egy toredeket. Konkret celhardverek vannak kodtoresere... szerintetek miert vannak olyan alacsony bitszamu kulcsok stb.?

Azonkivul altalaban nem a kriptelt adatnak szokas neki menni, vannak olcsobb megoldasok is. Talan meg emlekszik mindenki arra a kis hirre, amikor egy apro eszkozt ragasztanak a bill. hatoldalara. Meg megbontani sem kell a hw-t, cserebe minden leutest tarol. Es ezek csak a publikus eszkozok. :)

Ha akarjak ugyis megszerzik az adataid, felesleges ezen parazni. Inkabb elj ugy, hogy ne legyen ertelme ezert teged falhoz allitani. Mert hiaba a kinzasrol szolo torvenyek, ha kell ugyis kiszedik beloled. Max. nem tudod elmeselni utana tobbet senkinek. :)

---
pontscho / fresh!mindworkz

Én most kiszállok ebből a beszélgetésből ;-)

De egyet gondolj végig: egy olyan szervezetet, amely képes megfizetni a legjobb szakember gárdát (IT, titkosítás, konspiráció, stb. szintjén) - és nem csak ebben az országban, Te egymagad űbereled? Nem kritika, csak elgondolkodtató ... de ha így van, akkor már Te is ott dolgozol :-)

Egyébként egyetlen megoldás van: úgy választasz magadnak biztonsági szintet, hogy "ne érje meg vesződni vele". Mert ők is mérlegelnek ...
Csináltam (pssszt! csinálok) ilyet, 10-15%-ra sikerült max.(!!) levinni a kockázati tényezőt.

-Vége-

[flame]Persze, én meg egy MicroSD-n tárolom titkosított fs-en az adataimat, amikor nem használom őket, a kártyát óvszerbe csomagolom, és lenyelem. Minden reggel ellenőrzöm a székletem, és ha megvan a kártya, és nem babrálták, örülök...
De jó, tegyük fel, hogy valóban telekamerázod a szobát. Ahhoz szerinted nem férnek hozzá? :P[/flame]

--
"It all keeps adding up
I think I'm cracking up
Am I just paranoid?
I'm just stoned"
/Green Day - Basket Case/

Ha akarnak valamit úgyis megszerzik és ha nem tudják a forgalmadat figyelni, akkor bemennek és a gépedről szednek le bármit - úgy hogy nem is tudsz róla, és akármilyen fasza gyerek vagy, akkor sem tudsz védekezni ellene.

Uhumm, hat persze. Szeretnem latni azt a titkosszolgat, amelyik remote beloginol az Amigamra (igen, online van) ugy, hogy nem tudok rola. :) Sajat magam vallom be neki, hogy hol tartom a gyerekporno gyujtemenyem! :DDD

Temaba vago eset meg a Natascha Kampusch ugy, Ausztriabol. Amikor kiderult, hogy a faszi aki fogva tartotta a csajt, C64-en tartotta minden adatat. Es az osztrak titkosszolgalat kitudja meddig dolgozott a C64-es floppyk visszafejtesen, es ezzel takaroztak hetekig, hogy a mai gepeken mar nem olvashatok a floppyk. Az Amiga/C64 userek meg vinnyogva rohogtek rajtuk. Nekem kb. 20 percbe telt volna egy doboz floppy konvertalasa PC-n, VICE alol is hasznalhato diskimagebe. De csak azert ilyen sokaig, mert az Amiga <-> 1541 kabelem a lassubbik fajta. :) Security Through Obscurity. Mukodik. Ennyit arrol, hogy ki a fasza gyerek. :)

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

( uid_558 | 2007. 10. 18., cs – 09:52 )

Amennyiben az eredeti telepites biztonsagos mediumrol tortenik (pl biztonsagos forrasbol beszerzett dvd) az apt-get ellenorizni fogja az md5-oket tartalmazo file-ok hitelesseget gpg-vel. A publikus kulcs egy a mediumrol feltelepitett csomagbol jon, ez az egy amiben meg kell bizz. Ha az alairas nem stimmel, amr az apt-get update is meg fogja tagadni a csomaglista frissiteset. Ha egy csomagot installalsz, a fenti procadura miatt biztonsagos md5 lista alapjan ellenoirzi neked a csomagot.
Tehat: ha az eredeti publikus kulcs amivel az md5 listat lecsekkoljak valodi, nincs az az isten hogy levelezorogram_1.0.1-1_i386 helyett levelezoprogram_1.0.1hackedbynbh-1_i386 keruljon a gepedre.

Ha jól emlékszem, írtak egy "Hello World!" jellegű programot, lefordították sima GCC-vel, csináltak a binárisról MD5-öt. Majd átírták a programot, hogy valami rondaságot csináljon, és megbuherálták a GCC-t, hogy adott MD5-ű binárist készítsen. Így tehát az ártalmatlan és módosított programnak megegyezett az MD5-je.

Petya

Ezek kozul egyik sem alkalmas arra hogy egy megvaltoztatott uzenethez talalj egy olyan hozzafuzendo sorozatot amivel az md5 helyreall.

Hungere az egyszerubb, ott csak arrol van szo hogy talalhato egy adott byte-sorozathoz olyan, aminek ugyan az az md5 hash-e. Big deal. Ettol hash. Ha ezt gyorsan meg tudod csinalni, brute force-nal gyorsabban tudsz jelszot torni, ennyire jo.

Oscon-e a trukkosebb, az arrol szol hogy "If MD5(x) == MD5(y) then MD5(x+q) == MD5(y+q)" azaz ha ket bytestream md5 hash-e megegyezik, ugyan azt a "q" streamet hozzaadva az uj streamek md5 hash-e is meg fog egyezni (termeszetesen egymassal es nem az eredcetivel) Hogy is all ettol helyre egy megvaltoztatott eredeti stream hash-e?

> Big deal [...], ennyire jo.

1) legújabb-csodaszoftver.tar.bz2 letölt.
2) exploit elhelyez.
3) generált junk a végére+kommentek törölgetése, hogy az md5 és a méret is stimmeljen.
4) buherált tar.bz2-t pl woman in the middle támadással eljuttat a címzetthez.
5) címzett ellenőrzi az md5-öt, gpg-vel ellenőrzi az aláírt md5sums-ot, stb.
6) mivel mind okés, címzett kicsomagol, "tar: ignoring trailing garbage", lefordít, pwn3d.

Egyedül a tar üzeneténél bukhat a dolog. Vagy észreveszi, vagy nem, és amíg az md5+signed sums is helyes, foglalkozik-e vele. (B terv: bz2 és tar struktúrák abuzálása, hogy a junk a file közepén legyen, esetleg ansi kódok elrejtése kamu filenevekben, hogy a figyelmeztető üzenetet felülírja a következő sor.)

szerintem olvasd el megegyszer a vastagbetus reszt es rajossz hogy az ott emlitett vulnerability nem azt teszi lehetove amit te irsz. van a.tar. ha van egy olyan b.tar aminek valamiert pont ugyan az az md5-je mint a.tar-nak es mindkettohoz hozzacsapjuk c.tar-t, akkor az igy kapott uj fajlok md5 hash-e is meg fog egyezni. nekem legalabbis ez jon le abbol hogy "If MD5(x) == MD5(y) then MD5(x+q) == MD5(y+q)".

tehat nem arrol szol hogy tudsz ugy manipulalni egy adott fajlt hogy modositas utan az md5 hash-e ugyan az legyen mint modositas elott.

( strogg v | 2007. 10. 18., cs – 09:55 )

Jómagam is nemzetbiztonsági kockázat volnék.
tudok arról, hogy így gonolják. (de hagyjuk is ennyiben a kérdést)
Nem lepnem eg, ha szűrnék az adatforgalmamamt, és kinyitogatnák a mailjeimet. A telefon lehallgatás ugye alap. Én mindíg amondó vagyok, hogy az olyan adat ami tényleg fontos egy helyen van jól, a fejemben.

Nem tartom bölcs dolognak az ilyen érzékeny adatok gépen tárolását, vagy komoly "tisztítást" kell végenzi minden adatmozgás után.
De még így is kismillió módon juthatnak hozzá az adataidhoz, ha akarnak.
Ezért ak érdéssel foglalkozni értelemtlen, aggódni pláne. Elég ha ezzel tisztában vagy, és nem az aktkép mellé nem a következő akciód adatait mented :))))

--
A linux felhasználóbarát. mindössze megválogatja a barátait...

Most megjelent előttem egy ilyen hupos találkozó ahol körben ülünk, székeken, és nagy komolysággal:

- István vagyok, 32 éves, és nemzetbiztonsági kockázat.
- Józsi vagyok, 24 éves, és néha nemzetbiztonsági kockázat.
- Csaba vagyok, 36 éves, és már nem vagyok nemzetbiztonsági kockázat!
- Sándor vagyok, 46 éves, és oxigén.
...stb

...
- Péter vagyok, 31 éves, ő pedig mellettem János 33 éves és egyébként Adó és Pénzügy ellenőrzési Hivatal, Jó estét kivánunk.

Kezeket fel, számlákat előszedni, zsebeket, bankszámlákat kiürítjük!

;-)

Nem kell ide NBH, hogy összerondítsák magukat egyesek ;-)))

Amúgy meg nálunk kb. tökfelesleges ilyen cuccos sz'tem, ott vannak nagyobb ISP-knél a "fekete dobozok", bár dögőljek meg ha tudom hogy szűrik ki mondjuk 24éves Józsi forgalmát a többgigabájtos "szemétből". bár lehet hogy mégis, ha megvan Józsi akkori aktuális IP címe, akkor csak az adott IP-re vonakozva de lehet kotrászni a naplóban. / mondjuk ehhez még így is kell kapaciti. /

Józsi megfigyelése meg sz'tem egyszerűbb IRL. Mobil majd mindenkinél van. Amíg az aksi benne van, addig kvázi személyes jeladó, ill. alkalmas beszélgetés rögzítésére, akár ki van kapcsolva, akár be. ;-))

Valaki lentebb írta az ügyfélszolgálati rögzítést. Ez ma is így van. Hívj fel akármilyen Telefonos ügyfélszolgálatot. azzal kezdi a gépi hang, hogy a beszélgetést rögzítjük. erre asszem törvény is van.

-----------------------

Nem a zsömle kicsi, a pofátok nagy...

Felejtsétek már el az ISP-s fekete dobozokat. Urban legend ezen a szinten ahogy beszéltek róla (ami van - már ha van - az más egy kicsit).

"
Amíg az aksi benne van, addig kvázi személyes jeladó, ill. alkalmas beszélgetés rögzítésére, akár ki van kapcsolva, akár be."
A jeladó OK, beszélgetés rögzítése nem működik. Tudom volt a neten ilyen rémhír, de az baromság volt!

ami van - már ha van - az más egy kicsit).

Általában elmondható hogy többféle "forrásból" erősítették meg a létezés tényét, bár hogy tjképpen miért is meg mire is kellett a motyó, az mindegyik szerint kb. homályos volt.

A jeladó OK, beszélgetés rögzítése nem működik. Tudom volt a neten ilyen rémhír, de az baromság volt!

Ez majdnem biztos hogy így nem igaz, vagy nem volt igaz, én ezt előszőr 1999ben hallottam és nem neten hanem IRL, közvetett forrásból. Az eredeti forrás akkortájt vezető szintű beosztásban volt az egyik mobilszolgáltatónál.

Persze a beszélgetés rögzítése ugye korlátozott távolságból.

na mindegy egyébként. :)

OFF:

Mindenesetre jó röhögtem itt pár hsz-en akik magukat "nemzetbiztonsági kockázat"ként jellemzik. Mert hát az igazi nemzetbiztonsági kockázatot a különféle nagyon magas szintű vezetők döntési jelentik, nem pedig 20 suhanc, aki tojással dobálózik egy kb. jelentéktelen politikai csinadrattán. ;-)

----------------

Nem a zsömle kicsi, a pofátok nagy...

"Bocsáss meg, de nem lehet, hogy egyszerűen csak túlértékeled önmagad? :-)))"

Bár nem nekem írtad, de könnyen elképzelhető, hogy már kockázatnak minősítenek valakit, ha a híradóban ráközelítettek a fejére az ertéelklubbosok egy demonstráción. Főleg, hogy külön videós kocsijai is vannak a rendőrségnek, amivel filmezik az embereket ilyenkor...

Kétlem, hogy bárkinek lenne arra ma szabad kapacitása, hogy egy demonstráció véletlenszerűen kiválogatott résztvevőit megfigyelje vagy megfigyeltesse. Ez - egyelőre - nem az NDK.

Másrészt ha mégis így volna, akkor én tényleg nemzetbiztonsági kockázat vagyok, ugyanis eddig három (!) szélsőséges tüntetésen is részt vettem. Egy valami hungarista volt, kettőt meg még a Szabó Albert szervezett. Természetesen soha semmi ilyesmihez nem volt semmi közöm, csak pont arra jártam. A hungaristán ráadásul feleségestül (egy eladó lakást néztünk meg a környéken), szóval nálunk az egész családnak annyi. A Csoki kutyám meg tényleg egy nemzetbiztonsági kockázat, ezt még én is így gondolom. :-)

---
Science for fun...

( gsimon | 2007. 10. 18., cs – 10:10 )

Minden bizonnyal a hivatalnál is dolgoznak igen jó eszű emberek, akik tudnának backdoor-t reszelni pl. egy debian etch-es apache-ba, Uram bocsá' még azt is megoldják, hogy egy adott mirror elé beülve az átmenő forgalomban lecserélik az eredeti apacsot a megfúrtra, plusz az md5sum-okat tartalmazó file-t is ugyanígy, tehát a lehetőség fennáll.
Ellenben annyi ilyen emberük nincs, hogy az összes nagyobb disztróban ezt megtegyék, verzióról verzióra vezessék a sajátjukat, illetőleg annyi gépkapacitásuk sincs, hogy magából a tartalomból (és nem az url-ből) következtessék ki, hogy most kell-e cserélni vagy sem, így aztán ha nem túl elterjedt disztribet használsz egy ritkán használatos mirrorról, akkor bukják a játékot.
De ha megveszed egy külföldi random boltban cd-n a kedvenc teljes disztródat, akkor meg végképp lyukra fut az egész megfúrósdi, mert egy pl. német vagy amerikai cd-gyárig ill. egy pl. német vagy amerikai linux disztró build-szerveréig még a hivatal keze sem ér el.
De nincs is szükség arra, hogy a hivatal rád szánja egy szakasznyi szakértőjének a több hetes munkáját egy kétes eredményért, mert egyszerűen kiküld rád egy szakasz izomagyú kéményseprőt, bevisz 48 órára mert ez jogában áll, a cellában szépen kidaloltatja veled még azt is, amit már rég elfelejtettél, a jegyzőkönyvbe bekerül, hogy elestél a lépcsőn, aztán mehetsz panaszra ahová tetszik.
Ha csak az adataid kellenek, akkor meg szerzői jogsértés gyanúja (még nem 'vádja', azaz ők csak vizsgálgatnak!) alapján lefoglalják a géped, és kész.
Az általános megfigyelés viszont már más tészta. Ekkor nem egy bizonyos embert kellene 'lehallgatni', hanem lehetőség szerint minél többet, aztán ezek közül kiszűrni a 'gyanúsakat'. Erre viszont bőven elegendő figyelni az ingyenes levelezőket (no meg az elmaradhatatlan iwiw-et :)...), tudva, hogy a hozzáértőt a fenti okok miatt úgysem informatikailag fogják meg, azaz eleve az óvatlanokra vadászni.

Egyébként ha már mindenképpen valami aggódnivalót keresünk, én inkább ezen gondolkoznék el:

Mi van akkor, ha a hivatal pár külföldi országban üzemeltet tor szervereket (mert jogában áll!), valamint az ország belépési pontjain a tor forgalmát csak ezek felől/felé engedi? Ez nem túl nagy erőfeszítés, és mivel így egy teljes tor-réteg a kezében van, láthatja a teljes forgalmat? Feltűnne bármiből is, ha ez lenne a helyzet?

hogy egy adott mirror elé beülve az átmenő forgalomban lecserélik az eredeti apacsot a megfúrtra

eddig rendben

plusz az md5sum-okat tartalmazó file-t is ugyanígy, tehát a lehetőség fennáll.

az md5-ot tartalmazo file a debian ftpmaster kulcsaval van alairva, amit az apt ellenorizni fog, tehat ez a dolog itt bukott meg. persze ehez az kell hogy az eredeti telepites biztonsagos nediumrol tortenjen, azaz a publikus kulcs az legyen ami valoban az ftpmaster privat kulcsahoz tartozik.

"Mi van akkor, ha a hivatal pár külföldi országban üzemeltet tor szervereket (mert jogában áll!), valamint az ország belépési pontjain a tor forgalmát csak ezek felől/felé engedi?"

Szerintem ez nem áll túl messze az isp-s injectiontől. Csak éppen nagyban nyomják és a tor szervereken már azt művelnek az adatforgalommal, amit csak akarnak.
Hogy mi lehet a megoldás? Személyesen host-keyt cserélni egy külföldi ismerőssel és azon keresztül tunnelezni... Persze, ha minden ország ezt csinálja, akkor felejtős...

azt ugy megneznem amikor az NBH megveszi az M$-t meg a mozillat meg az operat hogy egy koztudottan korrupt CA-t tartson abban a listaban amiben megbiznak a bongeszoik. arrol mar nem is beszelve hogy a legtobb linux distro sajat listat ad az ssl csomag melle, amit a kulonbozo szoftverek (pl apt) elfogadnak mint megbizhato hitelesitot.

Ellenben annyi ilyen emberük nincs, hogy az összes nagyobb disztróban ezt megtegyék, verzióról verzióra vezessék a sajátjukat

Ezért is aztán egyszerűbb egy szintel feljebb menni és nem a disztró készítőket támadni, hanem az alkalmazás fejlesztőket... Egy backdoor az apache forrásába közvetlenül és a disztrók majd szépen azzal együtt csomagolják a rendszereikhez, md5sumozhatják, digitálisan aláírhatják, megesküdhetnek rá, stb. ;)

( ranger | 2007. 10. 18., cs – 11:31 )

1. "Get the source Luke"
2. auditáld a forráskódot...
3. Csinálj egy szervert, vagy akár egy új disztribúciót...

Segítség itt

( Mico v | 2007. 10. 18., cs – 19:12 )

anyám.. írjál saját op. rendszert az secure (TCP-t ne tudjon mert azt lehallgatják az ISP-nél).. telefont se használj, meghallják a kis titkaitokat, a barátnőd pucér képe a debian szervereden pedig tényleg k*va nagy nemzetbiztonsági kérdés (akkor miért nem tartod papír formában? meglátja valaki? :))

írnak ide olyan emberek akik ha annyira kíváncsiak lennének, különösebb erőfeszítés és kockázat nélkül meg tudnák nézni az iwiw,freemail,stb stb jelszavaidat, vagy akár az sms/mms forgalmadat, vagy a banki, hatósági dolgaidat is. rendszergazdák és egyéb emberek. pont az nbh-tól félsz? ne is említsük, hány lyukas, backdooros windows és egyéb kliens gép van, annak idején mi is játszottunk sokat, éjszakákon át lehetett röhögni hogy mi mindent tárolnak az emberek a gépeiken, pont az nbh zavar?

A visszajátszásos támadás ellen lehet védekezni ezzel _is_. Részletezés nélkül annyi, hogy a szerver küld egy random értéket, amit eltárol a kliens ip-jével együtt. A random értéket felhasználva generál a kliens egy hash-t, amit elküld a szervernek. A szerver törli a táblából a random értéket. Nagyjából ennyi, néhány jólirányzott trükkel fűszerezve (ezekkel még a versenyhelyzetből fakadó sérülékenység ellen is jól lehet védekezni).

1. par oldallal fentebb van egy FPGA cucc, ami 240W-ot eszik es specialisan MD5 toresre van kifejlesztve. Kb. 1500 Athlonnal egyenerteku a teljesitmenye a doksi szerint. Es ez csak ami kereskedelemben elerheto.

2. rainbow-val egy atlag user password-je eleg hamar megfejtheto. pl. John the ripper. Remlik valami?

---
pontscho / fresh!mindworkz

csak az FPGA -hoz*: igazabol a srac egy kurvaregi FPGA procit hasznalt (virtex2 ha jolemlekszem), szoval siman lehet jobbat csinalni.

*: pont most epitunk egy hasonlot :-) jomagam is fpga programozokent dolgoztam egy ideig, es erdekel milyen jo a teljesitmeny. majd irok belole egy cikket/blogra kirakom ha kesz.

( sany | 2007. 10. 18., cs – 19:32 )

"hogy a civil életben előforduló nemzetbiztonsági kockázatokat felderítse és az állampolgárok biztonságát garantálja a rendvédelmi szerveken keresztül."

Ezt csak úgy lehet teljesíteni, ha mindenkit megfigyelnek! :)

----------------------------------------------------------------

( gee v | 2007. 10. 19., p – 14:34 )

El kell kérni szúrópróba szerűen a fejlesztőktől az md5-öt, gnupg-vel titkosított levélben.

Amúgy, ha nem tévedek, a Debian announce listára GPG-vel aláírva mennek ki a levelek, bennük az URL és az md5.

Az aláírt levélben nem tudják megváltoztatni az md5-öt. Tehát ha a letöltött csomagot választják, lebuknak.

Amúgy megnéznék én egy olyan ügyes programot, ami egy helyre beszúrt csomaggal jól tudja módosítani az adott letöltést. Ugye tömörítettek a programok, egy kis változás a kitömörítéskor már nagyobb hatású.
Az lehet járható út, ha injection helyett egyszerűen lecserélnék az egész stream-et.

szerintem.

G

( kikke | 2007. 10. 20., szo – 10:42 )

Találtam egy érdekes bejegyzést a témával kapcsolatosan:

Vigyázz, ott vannak mindenhol! ( trey | 2007. augusztus 16., csütörtök - 10:27 )

Korábban egyesek azzal poénkodtak(?) (voltak, akik már évekkel ezelőtt figyelmeztettek), hogy az ügynökök ott vannak mindenhol. Azt hittem, hogy ez poén, de a mai napon történt valami, amiből rájöttem, hogy korántsem az. Bizonyíték van arra, hogy valóban ott vannak mindenhol. Ott vannak, figyelnek és jelentenek. A háttérben a gépezet komoly munkákat fektet abba, hogy megakadályozzon mindenféle olyan törekvést, ami az érdekeivel ellentétes. Hihetetlen, de igaz.

http://hup.hu/node/43519

A szerző elég szavahihetőnek tűnik... :)

--
Degradálódjunk kicsit visszább!

( Hiena v | 2007. 10. 19., p – 21:44 )

T. Paranoid Androidok!

Tessék egy pillanatra megállni és elgondolkodni. Adott egy szolgáltató akinek mondjuk van 3000 előfizetője. Minden előfizetőnek 1 Mbit/sec sebességű a hálózata, és csak a nap 30%-ban használja ki a teljes sávszélességet. Tehát a napi forgalom kb. 9 TB. Ez akkora adatmennyiség, hogy valőszínűleg senki sem fogja átbogarászni az egészet.
Erre lehet azt mondani, persze, ezért injectálnak. Ok, felmerül a kérdés mit injectálnak? Logikus válasz, hogy backdoort és valami password loggert.
Tehát a szemetek mind a Debian GNU/Linux, Fedora, Gentoo Linux, Mandriva Linux, Red Hat Enterprise, Slackware Linux, SuSE Linux, Ubuntu, ASPLinux, MEPIS Linux, PCLinuxOS, Rock Linux, Turbolinux, aLinux, Ark Linux, Athene Operating System, Cobind Desktop, DeLi Linux, ELX, Everyone's Linux, EvilEntity Linux, FoX Desktop, FTOSX, GoodGoat Linux, Granular Linux, Icepack Linux, Ignalum Linux OS, Klikit-Linux, Linare Linux OS, Linspire, Linux Mint, Linux XP Desktop, Myah OS, Pioneer Linux, Santa Fe Linux, Shift Linux, SLYNUX, SaxenOS, Symphony OS, Ulteo, Underground Desktop, Vidalinux Desktop OS, Vixta.org, WinLinux, Xandros Linux, Absolute, ALT Linux, Arch Linux, Aurox Linux, BearOps, Bent Linux, BLAG Linux and GNU, Bluewall GNU/Linux, Buffalo Linux, cAos, CCux Linux, CentOS, CRUX, DCC Alliance, Eadem Enterprise Linux, EzPlanet One Linux, FaunOS, Fluxbuntu, Foresight Desktop Linux, free-EOS, Frugalware Linux, FullPliant, GenieOS, gNewSense, G-ZyX, H3Knix, Hedinux, Heretix GNU/Linux, Hidden Linux, IBLS, IDMS Linux, Kate OS, Lineox, Linux4Geeks, Lunar-Linux, MostlyLinux, MURIX Linux, NetMAX, Nitix, NixOS, OEone HomeBase, Onebase Linux, Peachtree Linux, Pie Box Enterprise Linux, easys GNU/Linux, ROOT Linux, rPath Linux, Rubix, Sabayon, Server optimized Linux, Slack/390, Slamd64, SLAMPP, SME Server, Source Mage GNU/Linux, StartCom Linux, T2, tinysofa, Tomahawk Desktop, Ultima Linux, Univention Corporate Server (UCS), UserLinux, Voltalinux, Webfish Linux, White Box Linux, Xline, X/OS Linux, YES Linux, Yoper, AbulEdu, Beyond Linux From Scratch (BLFS), BU Linux, College Linux, Cross Linux From Scratch, Debian-Jr., Eagle Linux, EduLinux, eLearnix, Freeduc, Karoshi, kmLinux, Linux From Scratch, LormaLINUX, Scientific Linux, Skolelinux, Tadpole Linux, TrinityOS, tuXlab GNU/Linux, Arabian Linux, Ututo-e GNU/Linux, WIENUX, Dzongkha Localization Project, APLINUX.com.br Mail server, Console Linux, Dreamlinux, Kurumin Linux, SACIX, mEDUXa, WENDYX, Chinese 2000 Linux, Hiweed GNU/Linux, Red Flag, Sun Wah Linux, ThizLinux, Tom Linux, XTeamLinux, Dappix, Polippix, Resala Linux, Echelon Linux, PingOO Linux, Kiwi Linux, UHU-Linux, Ankur Bangla Live, BOSS, IT@School GNU/Linux, PunLinux, Utkarsh, Karamad, Parsix GNU/Linux, Sharif Linux, Boten GNU/Linux, Ehad Linux, Bad Penguin Linux, QiLinux, Berry Linux, HOLON Linux, LASER5, Linux MLD, Miracle Linux, Momonga Linux, Nature's Linux, Omoikane GNU/Linux, Plamo Linux, Vine Linux, Haansoft Linux, WOWLinux, NepaLinux, MCNLive, Nonux, TumiX, Bayanihan, Pingwinek GNU/Linux, PLD, Alinex, Caixa Mágica, MitraX, Pingo Linux, Impi Linux, OpenLab, ASLinux Desktop, Càtix, Linux ESware, Guadalinex, gnuLinEx, HispaFuentes, LinEspa, MoLinux, ExTiX, B2D Linux, Linpus Linux, GrandLinux, LinuxTLE, Phayoune Secure Linux, Pardus, Arabeyes Project, Asianux, Chinese Linux Extension, IndLinux, 2-Disk Xwindow embedded Linux, Bifrost, Blue Cat Embedded Linux, DIET-PC, ELinOS, ELKS, Embedded Debian, EtLinux, Franki/Earlgrey Linux, KaeilOS, LEAF (Linux Embedded Appliance Firewall), Linux/Coldfire, MIZI Linux, MontaVista Linux, Openembedded, Poky, RedBlue Linux, RedIce-Linux, RTLinux, Tynux, uClinux, Voyage Linux, Familiar (iPAQ), Gentoo For Zaurus, Linux DA OS, OpenZaurus, OpenPsion, TuxMobil, Adamantix, Annvix, Arudius, Astaro Security Linux, BackTrack, Castle, CensorNet, Debian Hardened, Endian Firewall Community, Engarde Secure Linux, Euronode, FIRE, Helix, IPCop Firewall, Knoppix-STD, NetSecL, Network Security Toolkit (NST), nUbuntu, OpenNA Linux, Openwall GNU/Linux, Operator, ProTech, redWall Firewall, Securepoint Firewall & VPN Server, Sectoo Linux, SmoothWall, ThePacketMaster, Trustix Secure Linux, 64 Studio, Adriane Knoppix, Agnula, amaroK Live CD, APODIO, ArcheOS, ArtistX, AspisOS Linux, Asterisk Live! CD, BG-Rescue Linux, BioBrew Linux, BIOKNOPPIX, Bio-Linux, BlackRhino GNU/Linux, BRaiLleSPEAK, Bugnux, Catux-USB, CDMEDIC, ChainSaw Linux, CHAOS, ClusterKnoppix, Compact Flash Linux Project, Debian-Med, DietLinux, DNA Linux, Elive, Ewrt, EZWebPC, Featherweight Linux, FireCast, Firenet mini linux, Firmware Linux, Flash Linux, FreeMed Live, Freepia, Gamix, GeeXboX, GENDIST, GentooX, GhostWriter LiveCD, GoboLinux, GParted LiveCD, Grafpup Linux, Ichthux, JackLab, Kaboot, KnoppMyth, Kororaa, Lintrack, LinuxConsole, linuX-gamers.net Live, Linux For Clinics, LinuxMCE, Linux Router Project, LinVDR, LiveContent, Mindi Linux, MoviX, Musix GNU+Linux, Mythbuntu, MythDora, Navyn OS, NimbleX, NSLU2-Linux, OpenWrt, Overclockix, PAIPIX GNU/Linux, ParallelKnoppix, Pentoo, Pg_live, Puppy Linux, Pyramid Linux, Recovery Is Possible! (RIP), RedHawk Linux, Rocks Cluster Distribution, RUNT, Scyld Beowulf, SkatOS, SPB-Linux, stresslinux, SuperGamer, SystemRescueCd, Tempest Showroom, ThinStation, ThinTUX, Tkfp Live!, trixbox, Ubuntu Christian Edition, UbuntuME, Ubuntu Studio, ubuntutrinux, Vigyaan, Vyatta, Warewulf, wrt54g-linux, xbox-linux, Xorcom Rapid, Zenwalk, Zeroshell, a-Linux, blueflops, bootE Linux, BYLD, Coyote Linux, Fd Linux, Fli4l (Floppy ISDN/DSL), floppyfw, FREESCO, Orange Linux, PAUD, RIMiGate, Serverdisk diskette distro, Small Linux, Tinfoil Hat Linux, Tomsrtbt, X Windows On A Floppy (Xwoaf), Zool Linux, ADIOS, AliXe, Archie, ATmission, AUSTRUMI, BeaFanatIX, CDLinux, Crash Recovery Kit, Damn Small Linux, Debian From Scratch, Devil-Linux, dyne:bolic GNU/Linux, ELE, Feather Linux, Finnix, Games Knoppix, Gibraltar, GNOPPIX, Gnu-HALO, GNUstep Live CD, GoblinX, GRML, Groovix, Hakin9 Live, Hikarunix, INSERT, IsaMorph, KANOTIX, KAZIT, Klax, knopILS, KNOPPIX, Knoppix 64, KnoppiXMAME, Linux4all.de, Linux Live, Linux LiveCD, Lisp Resource Kit, Local Area Security Linux, Lonix, MkCDrec, Morphix, Olive, Phrealon Linux, Plan-B Linux, PlumpOS, PUD GNU/Linux, Quantian, Salvare, SAM, ScummLinux, Sentry Firewall, sidux, SLAX-Live CD, Studio to Go!, STUX, SuperRescue, Timo's Rescue CD, Trinity Rescue Kit, TURKIX, Wolvix, X-Evian, Xenoppix, Xfld, XoL - Diskless X office Linux, Zeroshell, NBROK, ZipSlack, BasicLinux, TA-Linux, Tomukas, ttylinux, VectorLinux, Bambi Linux, AlphaLinux.org, Bluewhite64 Linux Project, Aleph ARMlinux, ARM Linux, PA-RISC Linux, Mupper, PenguinPPC.org, Slackintosh, Yellow Dog, Aurora Sparc Project, UltraLinux, epiOS, ClarkConnect, RULE, andLinux, APAWS Linux with Gallery, Cooperative Linux, DragonLinux, K Linux, Linux for Windows 9X, LoopLinux, Phat Linux, TopologiLinux, ariane, GNU/Linux TerminalServer for Schools, K12LTSP, LTSP, PXES Linux Thin Client, Safedesk Terminal Server Project, Alcolix, Alindis, Black Cat Linux, Bonzai Linux, BSLinux, CAEN Linux, CDLinux, Cool Linux CD and Emergency Linux CD, Debian-Ham, DemoLinux, Dualix, Eurielec Linux, Fedora Legacy, FlightLinux, Fried Chicken, Giotto, Halloween Linux, Independence, Ivrix, Jailbait, KRUD, Laonux, Leetnux, LibraNet GNU/Linux, Linuxin GNU/Linux, Linux in a Pillbox (LIAP), Linux Router Project, Mastodon, MCC Interim Linux, MkLinux, Mulimidix, muLinux, Netstation Linux, NoMad Linux, Nuclinux, Oralux, PeeWeeLinux, Perl/Linux, Phlak, PHP Solutions Live, Qplus, Repairlix, Scrudgeware, Sentinix, slimlinux, SnapGear Embedded Linux, SNAPPIX, Snootix, Sorcerer, Splack, Sun Java Desktop System, Tao Linux, Think Blue Linux, TimeSys Linux/RT, TINY, Tunix, uClibcLinux, Unifix, UnitedLinux, uOS, Viralinux_II, Virtual Linux, WinSlack,disztribhez elkészítik az épp aktuális, módosított csomagot és amikor a user frissít/telepít akkor beinjektálják neki. Sőt azt is figyelik, hogy mikor tölti le épp az adott csomag forrását az illető és akkor már eleve a módosított csomagot fogja kapni.
Most már csak azt magyarázza meg valaki, hogy egy átlagos linux user mióta és miértcélpont a NBH-nak?

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Tisztelt droid!

Ha jól tudom nem állította senki, hogy _mindenkit_ és _mindig_ szűrnek. Viszont biztosan van ilyen eset. Tudjuk. Ausztriában 2008 januárjától még a rendőrség is csinálhat ilyesmit hivatalosan. (Azért írom, h "ilyesmit", mert még nem készült el telljesen a megfelelő törvényjavaslat.)
Nem kell, hogy mindenkit szűrjenek, nekem az is elég kellemetlen, ha engem szűrnek.

Egy "paranoid android"

( neuro | 2007. 10. 20., szo – 00:41 )

Szerintem az ssh nem igazán lesz jó; már ha komolyan rádmozdulnak; főleg, hogy egy ilyen transzparens proxy bármikor megcsinál egy man in the middle támadást.
Sokkal inkább a steganográfia lesz a megoldás mint a titkosítás, mivel nem igazán tudhatod, hogy milyen számítási kapacitás áll a másik oldal rendelkezésére. (checksumok eljuttatására pl)

Man-in-the-middle az ssh-ban: hmmm, eddig egy proxyról tudok, ami ezt többé-kevésbé megcsinálja (de ez itt ugye nem a reklám helye :)), viszont a kulcs ott sem stimmel, azaz mint kliens nem a szerver kulcsát látod, hanem a proxy-ét, aztán ha megbízol benne, akkor elfogadod, ha meg nem, akkor nem. Amíg az RSA praktikus időn belül nem törhető, addig ez így is marad, és egyelőre még egy 1 kbit-es RSA kulcs töréséhez is több idő kéne, mint amennyi eddig eltelt a Naprendszer kialakulása óta.

Igen, a proxy-ét látod, de ha végig ott van előtted, akkor ha nincs már előre telepítve a kulcs, mi alapján tudod leellenőrizni, hogy az az eredeti szerveré-e?
Igen, a klasszikus algoritmusokkal tényleg; de mint mondtam: nem tudhatod, hogy a másik oldal milyen erőforrásokkal (ill algoritmusokal rendelkezik.) Tekintve, hogy a katonaság illetve a titkosszolgálatok technológiai szempontból általában 10-20 évvel a civilek előtt járnak.

"mi alapján tudod leellenőrizni, hogy az az eredeti szerveré-e"
Első kapcsolódáskor kiírja a fingerprintet, annak a hiteles eredetijét meg pl. elkérheted a rendszergazditól email-ben, azzal a megjegyzéssel, hogy a válaszát ugyan írja már alá valami intézményi tanúsítvánnyal.
Ezzel a válaszlevél hitelességét már tudod ellenőrizni, legalábbis a tanúsítványt aláíró hitelesítő hivatalok megbízhatóságának az erejéig. Ez pedig elég jónak tekinthető, hacsak nem /bin/laden unokaöccse vagy személyesen :).

"a titkosszolgálatok technológiai szempontból általában 10-20 évvel a civilek előtt járnak"
Pitagoraszhoz képest meg 2600 év az előnyük, a derékszögű háromszögre meg mégis igaz az a^2+b^2=c^2, még nekik is.

Az RSA titkossága azon a tényen alapul, hogy 2 db N bites prímszámot könnyű összeszorozni, de csak az így kapott szorzatot ismerve a két eredeti számot megtalálni viszont csak az összes N bites prím végigpróbálásával lehetséges (ill. elég a szorzat gyökéig). Ha erre lenne ugyanis valami zárt képletre visszavezethető megoldás, akkor némi átalakítással ez a képlet általános megoldást adna a nagy Fermat problémára (a^n + b^n = c^n; a,b,c,n egészek, n>2), amiről viszont '94-ben Wiles belátta, hogy nincs megoldása.

Ahogy semmilyen szerkesztési módszerrel nem tudsz olyan derékszögű háromszöget szerkeszteni, amire nem igaz P. tétele, úgy semmilyen zárt képlettel nem tudod prímek szorzatát felbontani, azaz RSA-t törni.
Algoritmust optimalizálni persze lehet, de azt nem úszhatjuk meg, hogy a prímeket sorra kelljen vennünk, márpedig pl. 1024 bites prímből meg nagyjából 10^305 db van, és ha nanoszekundumonként ellenőrzöl egyet, akkor ez több, mint 3*10^288 év, a Naprendszer meg tudtommal kb. 4 és fél billió éves.

Azt azért még hozzá kell tenni, hogy Wiles előtt is gondolták már páran, hogy bizonyították a Fermat-sejtést, aztán sorra kiderült, hogy tévedtek, tehát ha mégis jutsz valamire a problémával, akkor ugyanez a helyzet most is, de én személy szerint nem reménykedek abban, hogy tévedésen fogom Wilest, már csak mert töredékét sem értem a bizonyításának :(.

"Első kapcsolódáskor kiírja a fingerprintet, annak a hiteles eredetijét meg pl. elkérheted a rendszergazditól email-ben, azzal a megjegyzéssel, hogy a válaszát ugyan írja már alá valami intézményi tanúsítvánnyal.
Ezzel a válaszlevél hitelességét már tudod ellenőrizni, legalábbis a tanúsítványt aláíró hitelesítő hivatalok megbízhatóságának az erejéig. Ez pedig elég jónak tekinthető, hacsak nem /bin/laden unokaöccse vagy személyesen :)."

Ez egy kicsit nyakatekert, de ha ott van előtted a transzparens proxy, simán átejthet a tanúsítvány hitelesítése közben is.

"Az RSA titkossága azon a tényen alapul..."
Azét valamelyest én is képben vagyok, hogy mi is az az rsa, meg a prim faktorizáció, szóval nem kell leírást adnod róla, de ki beszélt zárt képletekről? Én algoritmusokról írtam.

"...de csak az így kapott szorzatot ismerve a két eredeti számot megtalálni viszont csak..."
És van azért az "egyesével végigellenőrizgetjük a szám gyökéig..." triviál módszernél jobb is a faktorizációra. Illetve ha betáraznánk az 1024 bites prímszámokat, hogy egyesével nézzük azokat végig, akkor akár lineárisnál jobb (futásidő) algoritmust is lehetne kreálni - csak a tárkomplexitás lenne vicces :)
Mellesleg kvantum-számítógépekre létezik polinom idejü megoldása a dolognak.

Szóval, mint lentebb írtam:
Amíg nem tisztázódik a problémaosztályok viszonya (kifejezetten NP és P - mivel a faktorizáció NP-beli), addig nem lehetsz annyira nyugodt. Főleg, hogy eddig jó pár probléma került át NP-ből P-be.

a steganografia onmagaban nem megoldas. ahogy eltolodunk a mesterseges intelligencia iranyaba, nem hiszem, hogy gondot okozna egy uzenet megtalalasa.

a titkositasi algoritmusok hatekonysaga pedig matematikailag merheto. en inkabb megbizom ebben, mint abba, hogy elrejtem az uzenetet (bar lehet, hogy csak a matematikus szol belolem :-) )

Persze, valószínűleg kombinálva a kettőt lehet a legjobb eredményeket elérni.
Mérhető/becsülhető egy bizonyos törő algoritmusra nézve, titkosított adat generálására stb. Amíg nem sikerül a matematikusoknak rendezni a különböző problémaosztályok viszonyát, addig nem lehetünk biztosak, hogy adott titkosításra nem létezik polinomidejű törés.

( bitumen | 2007. 10. 26., p – 13:45 )

És igenis szűrik a forgalmat:

"Felszólítottak mindenkit, hogy hagyják el a hidat, mert akkor erőszakkal."
Ez a mondat értelmetlen és többszőr is előfordul egy ismert televízió honlapján.
Ilyen bakit nem vétene egy televízió. Lehet, hogy szűrik a forgalmat és átment az oldal egy "szép kis sed-parancson"?