Archiwalia dla 12.2006

Podsumowanie roku

opublikowano - on 31. gru 2006 in linux, software, varia oraz web. « komentarze

Wszyscy piszą, czego się spodziewają i jakie to podejmują postanowienia. Ja napiszę, czego ja oczekiwałem i co z tego się sprawdziło. We wróżenie się bawił nie będę.

Linux i FLOSS

Co się udało:

  • pojawił się stabilny D-Bus 1.0.0
  • projekt Tango skupił wokół siebie całkiem spore grono i powoli podbija kolejne aplikacje (nie tylko pod względem zgodności nazewnictwa ikon, ale także samego wyglądu!)
  • pojawił się stabilny Gajim 0.11
  • PLD 3.0 nadaje się do użytku na co dzień

Co się nie udało:

  • moja specyfikacja tematów dźwiękowych dla freedesktop.org dalej ma status szkicu
  • nie skończyłem implementować obsługi tematów ikon w Gajimie
  • nadal toczą się boje o to, jak powinno wyglądać API dla usługi wyszukiwania
  • GNOME nadal nie przeszło w pełni na D-Bus (najbardziej prosi o to obsługa sesji)
  • KDE 4 dalej jest w powijakach
  • Gajim nadal nie ma wsparcia dla komunikacji audio/wideo
  • Metacity nie radzi sobie z obsługą składania (composite)
  • Firefox 2 nie działa po zbudowaniu aktualną migawką gcc 4.2
  • wydanie płyt z PLD 2.0 nadal jest gdzieś za horyzontem

W Sieci

Co się udało:

Co się nie udało:

  • zabrakło czasu na przeniesienie Dwaem na nasz hosting
  • web esteem art & design nie doczekało się mojego artykułu do web standards
  • home.pl dalej nie oferuje żadnego wsparcia dla szyfrowania kodu źródłowego PHP 5, tym samym odcinając się od części klientów
  • NetArt zamiast poprawiać jakość usług, postawił na masową sprzedaż kont, przy okazji niecodziennie traktując swoich kilkuletnich klientów
  • ruszyło pino.pl… no właśnie
  • polskie tłumaczenie książki Getting Real potrzebuje jeszcze sporo miłości językowej
  • 10przykazan nie doczekało się planowanego na grudzień redesignu
  • Linux Videos też czeka na nowy serwis (projekt graficzny jest od dawna, brakuje czasu)

W pracy

Co się udało:

  • w pełni przeszliśmy na Subversion (z wszystkimi stronami budowanymi dla klientów włącznie)
  • zamieniliśmy Basecamp na Trac
  • cały hosting stoi już na PHP 5.2
  • nietypowe aplikacje budujemy w oparciu o CakePHP
  • wewnętrzne projekty zostały przesunięte z PHP na Pythona, więc odpocznę sobie trochę przy wygodniejszym języku
  • uruchomiliśmy bloga firmowego

Co się nie udało:

  • wego cms nie wszedł jeszcze do sprzedaży
  • szewc bez butów chodzi — nadal straszą czerwone strony hostingu i webdesign (na szczęście już nie postraszą długo)
  • nie udało się jeszcze do końca przejść na metodyki zwinne w prowadzeniu projektów
  • dalej szukamy kompetentnego programisty

Nowy trojan na Gadu-Gadu

opublikowano - on 26. gru 2006 in software oraz web. 147 « komentarze

Od kilku godzin, z różnych numerów GG, dostaję pojedyncze wiadomości (w odróżnieniu od rozmów) o treści: www.hsqvyrpzeh.info/?awbiby.jpg (jeśli używasz Windows, to trzymaj się z daleka). Ostatnia część (query string) jest losowa.

Fakt, że przychodzi jako pojedyncza wiadomość, każe przypuszczać, że do użytkowników GG trafia jako zagnieżdżony w rozmowie obrazek. Ludzie, od których to dostałem, nie mają pojęcia, o co chodzi, bo nic nie wysyłali.

Dostałem też od paru nieznajomych, ale wszyscy mieli mnie na liście kontaktów. Wszyscy używają oficjalnego klienta GG. Czyżby nowy trojan? Próba odwiedzenia wgetem i Firefoksem pokazuje pusty dokument. Nie próbowałem jeszcze zmieniać nagłówka User Agent.

Update: Smalu deobfuskował kod strony (wysyłany jest tylko do użytkowników IE), wygląda na to, że do wstrzyknięcia używa techniki Trojan-Downloader.JS.Agent.ab, dalej nie wiadomo, co (oprócz rozsyłania linka dalej) robi sam trojan.

Update: Inne wątki na ten temat:

Update: Wyciągnąłem z kodu trojana listę używanych ciągów tekstowych, znalazłem przy okazji mechanizm automatycznej aktualizacji za pomocą adresu http://66.185.126.34/cgi-bin/exe_output.cgi, do którego przekazywany jest numer GG i dwa bliżej nieokreślone parametry, wyglądające na bieżący znacznik czasu i hasło użytkownika. Jeśli padłeś ofiarą trojana, to po jego usunięciu zmień hasło do swojego konta.

“Hacking na żywo!” - podsumowanie (z dedykacją dla klientów FlexoPartner)

opublikowano - on 21. gru 2006 in varia oraz web. 153 « komentarze

Pod poprzednią notką (pisaną jeszcze przed programem) rozgorzała zacięta dyskusja na temat fachowości ekspertów i tego, że wszyscy im zazdrościmy. Dlatego obejrzałem rzeczony program kilka razy w Sieci (telewizora nie posiadam) i poniżej przedstawiam bardziej lub mniej obiektywną analizę.

Teraz My… wiemy lepiej

Program idealnie pasuje w ramy typowego programu o Hakerach. Celowo pisane z namaszczeniem, bo w środowisku informatycznym hakerami tytułuje się nie włamywaczy, a ludzi o wyjątkowych zdolnościach. Podobnie, jak można zostać hakerem wśród modelarzy.

Redaktorzy wykazali się wyjątkowym brakiem przygotowania merytorycznego do tematu. Kto to widział, żeby na hasło hosting robić zdziwioną minę i pytać, co to za trudne słowo (alegoria)? Wydarzony redaktor powinien w tym miejscu się odwrócić i powiedzieć: szanowni państwo, spieszę wyjaśnić, że chodzi o komputer, który umożliwia umieszczenie strony internetowej w Sieci tak, żeby inni ludzie mogli z niej korzystać za pośrednictwem Internetu.

Zdaje się, że w pewnym momencie zorientowali się w swoim braku zorientowania, bo przez drugą połowę programu wciąż czytali z kartki jedno i to samo hasło: jak to możliwe, że tajne dane nie są chronione? Nie zwracali przy tym uwagi na to, że przedstawiciele policji usilnie próbowali ich naprowadzić na właściwy trop — najpierw grzecznie i okrężnie, potem tłumacząc wprost, że to nie jest prawda.

Równie słabym zagraniem było rozpoczęcie rozmowy od zapytania jednego z gości, co myśli o drugim gościu. Biorąc pod uwagę, że przedstawiciel policji wyglądał na dobrze wychowanego, nie mam pojęcia, jakiej odpowiedzi oczekiwała szanowna redakcja. Szczerze, to powiem, że pierwszy raz gościa na oczy widzę, szukaliśmy go trochę w Google, ale trafiliśmy tylko na stronę na Wikipedii, którą sam sobie założył i jego bloga, gdzie sam tytułuje się ekspertem?

Ekspert

Pierwszy kontakt z panem Pawłem mieliśmy (z czego zdałem sobie sprawę dopiero wczoraj) nieco ponad dwa lata temu, kiedy to we wrześniu groził Mariuszowi Mazurowi pobiciem za krytykę jego zdolności językowych.

23:12:46 <gorion> jesli chciales we mnie wroga to ci sie udalo.
23:25:02 <gorion> co takiego boli cie w tej stronie?
23:25:33 <gorion> ze postanowiles sobie zalatwic wpierdol ;]

Powyższa rozmowa nie jest teraz publicznie dostępna, mmazur zdecydował się ją zdjąć na prośbę Pawła na tydzień równo dwa tygodnie przed programem. Czyżby dbanie o wizerunek, gdyby ktoś zechciał zweryfikować jego tożsamość w Sieci? Na to wygląda, bo…

Nie uchroniła się też Wikipedia - internetowa encyklopedia. Na miesiąc przed programem, Paweł postanowił napisać tam artykuł poświęcony samemu sobie, w którym podkreślał swoje umiejętności i osiągnięcia.

Komentarze na temat usunięcia strony z zasobów Wikipedii wyjaśniają też kontakty ze sceną hakerską, którymi Paweł chwalił się tak w Sieci, jak w samym programie. Otóż artykuł z Wikipedii usunął nie kto inny, jak sam Michał Zalewski, znany w środowisku informatyków jako lcamtuf.

Analiza włamania

W samym programie nie zostało pokazane praktycznie nic. Kilka efekciarskich przejazdów kamerą po terminalu z listą plików w bieżącym katalogu (jakość nagrania w Internecie nie pozwala na przeczytanie zawartości; podobny efekt można uzyskać, wpisując dir w Wierszu poleceń MS-DOS, dostarczanym z każdą kopią systemu Windows), parę ekranów z przeglądarki Opera i właściwie na tym się skończyło.

Paweł w swoich wypowiedziach uparcie twierdził, że uzyskał dostęp do serwera katowice.kwp.gov.pl (serwis internetowy Komendy Wojewódzkiej Policji w Katowicach), skąd wykradł dane policjantów, a następnie uruchomił automatyczne kopiowanie przychodzącej poczty na własną skrzynkę e-mail.

Szybko okazało się jednak, że tylko to ostatnie jest prawdą, bo wykradzione dane stanowią publicznie dostępną listę dzielnicowych wraz z danymi kontaktowymi do nich. Zanim zostanę wyśmiany jako zazdrosny laik, pozwolę sobie zacytować kolegę.

Błażej Miga (7 lat administracji systemów, 8 lat w bezpieczeństwie IT, były policjant pracownik policji, między innymi brał udział we wdrożeniu systemu autoryzacji pracowników za pomocą kart cyfrowych):

Przez kilka lat pracowałem w Policji, więc tematyka zabezpieczeń serwerów w KWP nie jest mi obca. Od kilku lat jestem moja praca jest związana z bezpieczeństwem komputerowym, dlatego pozwoliłem sobie na kilka własnych uwag do wczorajszego programu.

  1. Program był kiepski - redaktorzy na siłę próbowali wyszukać skandalu. Brawo dla Andrzeja Machnacza, który jako jedyny posiadał odpowiednią wiedzę z tematyki :)
  2. Lista danych osobowych - litości p. Paweł pokazał w programie listę kontaktową do dzielnicowych. Na liscie tej zawarte są adresy zamieszkania + numery kontaktowe do tych dzielnicowych. Słusznie, że takie dane znajdują się na stronach internetowych - w jaki sposób społeczeństwo ma zgłaszać swoje problemy jak nie do dzielnicowych. Szkoda tylko, że pan rzecznik prasowy kgp zapomniał o tym. :(
  3. Dane ksipowe. Na każdej stronie internetowej kwp umieszczone są dane o co ciekawszych zdarzeniach. Dane te są później przedrukowywane w lokalnych czasopismach. Problem w tym, że w danych tych nie ma informacji o danych osobowych, bo dane te są po prostu wycięte.
  4. Dlaczego p. Paweł nie pokazał formatki logującej do KSIP’u? Skoro mówił że istnieje możliwość podłączenia się do KSIP, to dlaczego tego nie zrobił? Sprawa jest prosta - nie mógł tego zrobić bo ten system działa w odseparowanej sieci i bez podłączenia do PSTD (policyjny intranet) nie ma możliwości zalogowania do systemu.
  5. Czy przestępcy są zainteresowani włamaniami do serwerów policyjnych? Odpowiedź brzmi nie. Dlaczego mieliby płacić setki tysięcy zł hakerom za wykradanie danych, skoro mogą dać policjantowi, który zarabia 1000zł, łapówkę za którą otrzyma te same dane :). Z tego co wiem, najbardziej interesujące dane przestępcy uzyskują za pomocą metod siłowych, więc nie wiem czy są zainteresowani płaceniem za dane które mogą otrzymać za darmo :).
  6. W jakim celu p. Paweł pokazał włamanie go NFZ? Co ma włamanie do NFZ w programie o słabości zabezpieczeń serwera KWP w Katowicach?

Tragiczny poziom zabezpieczeń serwerów rządowych

Być może będzie to zaskoczenie nawet dla naszego eksperta, ale wystarczy poświęcić kilka sekund, żeby wpisać poniższe dwa polecenia:

[patrys@meaw ~]$ host katowice.kwp.gov.pl
katowice.kwp.gov.pl has address 81.219.17.16
katowice.kwp.gov.pl mail is handled by 10 post.katowice.kwp.gov.pl.
[patrys@meaw ~]$ host 81.219.17.16
16.17.219.81.in-addr.arpa domain name pointer www16.srvs.futuro.pl.

Spieszę z wyjaśnieniami — pierwsze polecenie sprawdza internetowy adres serwera katowice.kwp.gov.pl, drugie zaś sprawdza, do jakiego komputera ten adres jest przypisany. W tym przypadku jest to www16.srvs.futuro.pl.

Wbrew temu, co powiedział w programie Paweł, nie jest to serwer należący do katowickiej policji, a tym bardziej nie znajduje się on w tej samej sieci, w której komputery pracowników komendy. Jest to tak zwany serwer wirtualny, wykupiony przez pracowników komendy w firmie Pro Futuro, w ramach usługi Flexo Partner. Ciężko zatem o dostęp do stacji roboczych policjantów z Katowic za pośrednictwem serwera, który znajduje się w Warszawie, czyż nie?

Podsumowując

Jeśli coś udowodniono, to tylko tyle, że klienci firmy Pro Futuro powinni się powoli zacząć rozglądać za innym hostingiem dla swoich serwisów. Pojawiła się też druga kwestia, poczta elektroniczna w Interii działa skandalicznie wolno.

Sieć policyjna i dane w niej są bezpieczne i odporne na tego typu włamania z prozaicznego powodu — nie istnieje kabelek, który ficzynie łączyłby policyjne rejestry z Internetem.

Update: mamy i oficjalną odpowiedź na powyższy post spod ręki samego eksperta.

Kończąc niniejszy wpis, chciałbym serdecznie podziękować wszystkim za e-maile, wiadomości i komentarze. Wszystkie z nich - a są ich setki okazały się wyrazem życzliwości, gratulacji i ofert współpracy. Nikt z ludzi zawistnych nie napisał na pocztę, gdyż oczywiście najlepiej czują się na blogach i w komentarzach, gdzie anonimowość pozwala ulżyć ich kompleksom.

Widocznie zmęczony sławą po programie, przeoczył imiona i nazwiska ludzi z branży…

Paweł J., osoba powszechnie kojarzona w kraju…

opublikowano - on 19. gru 2006 in software oraz web. 82 « komentarze

Nie mogłem przejść obojętnie wobec linka podrzuconego przez mmazura. To, że Hacking.pl jest w środowiskach informatycznych uważany za komputerowy odpowiednik SuperExpressu, czy innej Pani Domu, to jedno. Ale, panowie, proszę ja was, nie przeginajcie.

Pomijam fakt upartego twierdzenia, że hackerstwo jest jednoznaczne z włamaniami (zapraszam z takimi pomysłami na LKML). Tak jest bardziej medialnie, zwłaszcza, jeśli zatytułować artykuł (cudzysłów konieczny, ze względu na sarkazm) Hackowanie na żywo!

Klikam ci ja link i dowiaduję się, co następuje: niejaki Paweł, osoba powszechnie kojarzona w kraju, wystąpi w programie, o którym nigdy nie słyszałem (najlepsze show polityczne — nie wiedziałem nawet, że show jest rodzaju nijakiego, ale ja nie mam telewizora, mogę się nie znać).

Cóżen on za jeden, ten ekspert pod kątem bezpieczeństwa sieci (i w jakich jednostkach liczy się kąt bezpieczeństwa?), możnaby spytać. Ano wsławił się imć J. ujawnieniem skandalicznych nieprawidłowości w Instytucie Energii Atomowej w Świerku. Czyżby radioaktywne wycieki, wszak budynki z atomami w nazwie to nie przelewki. Przykro mi, ale chodziło o włamania script kiddies na słabo zabezpieczony serwer WWW. (Swoją drogą, kiedyś w Hacking.pl pojawił się przedruk mojego tekstu o tym, jak wyjąć sobie bazę klientów Alei Handlowej, czy też jestem już powszechnie, czy trzeba coś atomowego zepsuć?)

Szukam ci ja więcej informacji o tajemniczym ekspercie, wszak nie wypada człowiekowi oferującemu audyty bezpieczeństwa aplikacji, by nie znał osoby powszechnie… itp. Zaglądam więc na bloga rzeczonego specjalisty i czytam, ci ja powoli (bo takich zdań szybko czytać się nie da):

Pobierana przeze mnie edukacja w szerokim zakresie programu edukacyjnego obejmuje zagadnienia większości nauk ścisłych w tym także kierunkowych, takich jak teoria sterowania, automatyka przemysłowa, komputerowe wspomaganie projektowania układów automatyki, optoelektronicznych, elektronicznych a także technika cyfrowa mikroprocesorowa.

Dla mniej obdarzonych fantazją, w wolnym przekładzie:

Pobierana przeze mnie woda w szerokim zakresie wody zawierała dużo płynów, w tym także mokrych, jak H2O.

Do czego piję? Ja wiem, że Hacking.pl płynie na fali sensacji, że musi mieć szokujące nagłówki, że to nie hackerzy toto czytają. Mimo wszystko, trochę pokory w autopromocji. W życiu o gościu nie słyszałem, jego dorobek zawodowy jest porównywalny z co najmniej połową moich kontaktów na LinkedIn, a wy mi tu z powszechnie kojarzonymi? Powszechnie kojarzony to jest lcamtuf albo Joanna Rutkowska.

Z całym szacunkiem dla Pawła, któremu życzę takiego rozgłosu, jaki mu koledzy przykleili.

Lepszy hosting?

opublikowano - on 18. gru 2006 in software oraz web. 11 « komentarze

O tym, że Dreamhost ma świetną ofertę, już pisałem kilka razy. Z tym, że nie każdy chce lub może skorzystać z ich oferty (choćby ze względu na brak faktury).

Czego więc oczekujecie od solidnego hostingu w Polsce? W iCenter zorganizowaliśmy przedświąteczną akcję zbierania sugestii. Chcecie Ruby on Rails? Django? A może Jabbera? Python i Jabber już są w naszej ofercie, na pozostałe pomysły czekamy na blogu firmowym.

Nie traktujcie tego jak reklamę, myślę, że notka może być też ciekawą lekturą dla naszej konkurencji. Tam często nawet PHP straszy wiekiem.

Made Man

opublikowano - on 16. gru 2006 in varia. « komentarze

Dosłownie przed paroma minutami skończyłem grać w Made Mana. Świetna gra. Nie przytłacza najnowszymi efektami, nie ma specjalnie skomplikowanej fabuły, ale…

Jeśli podobali ci się Reservoir Dogs, ta gra jest właśnie dla ciebie. Typowy shooter, w konsolowych klimatach, na pececie. Rewelacyjna grywalność, wartka akcja, świetna muzyka, klimat lat 60-80 i do tego, na okrasę, masa zwłok.

Prostolinijna historyjka o weteranie z Wietnamu, który pracuje jako dostawca półlegalnego towaru. Kiedy traci ciężarówkę pełną papierosów z przemytu, próbuje ją odzyskać i trafia w sam środek wojny gangów. Następnie, już jako długie ramię rodziny mafijnej, zajmuje się rozwiązywaniem problemów.

Co ciekawe, zastosowana została inwersja czasowa niemal rodem z Pulp Fiction. Podobnie, jak w serii Hitman, akcję śledzimy w postaci opowieści głównego bohatera. Na zmianę przeplatają się wątki z Wietnamu, późnych lat sześćdziesiątych i czasów współczesnych opowieści.

No cóż, skoro Made Man się skończył, czas na kolejną pozycję — F.E.A.R.: Extraction Point.

Żałuję tylko, że do teraz nie udało mi się zagrać w pełną wersję gry, dla której tworzyłem stronę internetową: Call of Juarez.

Pascal ujawniony

opublikowano - on 14. gru 2006 in web. 35 « komentarze

Skoro Brief napisał o nowym blogu Pascala, to chyba można oficjalnie powiedzieć, że serwis wyszedł z fazy wewnętrznego testowania.

Przepis na bloga

Całość wstawić do pieca na 2 miesiące i regularnie próbować, doprawiając do smaku w miarę potrzeb.

Mam nadzieję, że udało nam się wydeptać wszystkie bugi. Drobne zmiany będą się prawdopodobnie pojawiać przez cały czas, w końcu serwis jest żywy.

Prywatnie: nietolerancja nietolerowana

opublikowano - on 9. gru 2006 in varia. 28 « komentarze

Wczoraj, jadąc na imprezę, przeszkodziliśmy z sit0 dwóm łysym panom, niosącym psalmy o białej sile na ustach, w zbutowaniu dwóch ciemnoskórych jegomości z Holandii. Wnioskuję o zalegalizowanie długiej broni na ostrą amunicję, żebym mógł na drugi raz zamienić takich w durszlak — jako przykład dla ich kolegów.

Co ciekawe, panowie cierpiący na syndrom przedwczesnej utraty owłosienia krzyczeli przez cały czas o tym, że nie po to ich dziadkowie walczyli i że miejsca pracy nam kradną. Nie wiedziałem, że generał Anders zbierał maki w Afryce, a o miejsca w pracy w Biedronce też bym się nie martwił, kurtki ofiar były więcej warte niźli strój cały ich oprawców.

Nie interesuje mnie, czy ktoś jest czarny, żółty, wysoki, gruby, czy jest gejem, czy może nie głosował na właściwą partię. Nie toleruję bicia ludzi, którzy nie zrobili niczego, żeby sobie na to zasłużyć.

Inwazja kotów

opublikowano - on 7. gru 2006 in varia. 13 « komentarze

Podejście do Inkscape’a trzecie. Ofiarą mą padł jeden z rysunków ze strony Cute.

SwimCat Wallpaper (1280x800)
wersja zwykła lub panoramiczna

Tapeta na licencji CC-BY-NC-SA.

Update: przez nieuwagę wrzuciłem nie te wersje, co trzeba. Już poprawione.

Drugi kotek

opublikowano - on 5. gru 2006 in varia. « komentarze

Kontynuując zabawę z wektorami w Inkscape, tym razem połasiłem się na inny obrazek. Za drugim razem poszło sprawniej, a efektem jest kolejna tapeta.

CatGirl Wallpaper (1280x800)
wersja zwykła lub panoramiczna

Jak poprzednio, licencja CC-BY-NC-SA.