Příspěvky

76

Odkladiště / Re:Jak zůstat co nejvíc anonymní na Internetu?

« kdy: 06. 08. 2015, 15:20:43 »

Co se týče toru, tam je důležité provozovat vlastní relay (prvek sítě, přes který tečou data) a ten používat pro připojení k síti tor. Někteří se připojují již na nějaký "připravený" relay, tam se o bezpečnosti vůbec nedá hovořit. Každý klient musí mít svůj (a klidně několik).

Dále, nepoužívat tor pro přístup na běžný internet, ale jen pro návštěvu tzv. hidden services. Dále používat klienta, který je dostatečně anonymizován (balíček tor něco obsahuje).

Dále je potřeba zabránit únikům dat jiným kanálem, vůbec není vhodné například používat veřejné DNS, pokud už se rozhodneme použít tor exit node.

Také je dobré se podívat po dalších sítích (FreeNet), kde jsou data uložena šifrovaně u jednotlivých uživatelů (s dalšími podmínkami) a nikoliv na "obyčejných serverech" jako v případě tor hidden service (což je de facto normální webserver akorát připojený do tor sítě).

Co se týče šifrování disku, tak v linuxu luks. Jenže tady je problém, že pro policii bude zcela jasné, že je disk zašifrovaný a potom to z vás mohou chtít vymlátit. I existence zašifrovaného disku je třeba chránit (nevím, zda to umí luks, ale true crypt uměl udělat hidden volumes).
Ale pokud na disku skladujete xGB soubory, tak jeden z nich můžete mít šifrovaný a v něm mít umístěnou virtuálku s torem.


Co se týče operatérů, tak tam je to všechno na jedno brdo. Logují všichni. Jestli někdo má hustější síť celkem nic neznamená, při troše snahy vás stejně zaměří.

V přihlášením do VPN, která nedělá žádné logy je to asi stejné jako s anonymizačními proxy. Nedávno kdosi provedl nějaký test, polovina proxy upravuje data, která skrz ně proudí. Sice to není odpověď na otázku o logování, ale to je mnohem jednodušší, než úprava přenášených dat. Takže tady pozor.

77

Sítě / Re:Firemní politika při správě sítě

« kdy: 04. 08. 2015, 16:01:09 »

Chvílema mě to nutí uvažovat i nad tím, jestli si třeba nenaprogramuji výpadek u funkce co se mi hodí v čas, kdy se mi to hodí, a pak to vítězoslavně nespravovat 

No, v některých firmách měly zavedené odměny za počet vyřízených pohotovostních zásahů. K čemu to potom vedlo asi netřeba zdůrazňovat.

(Stejně tak se najdou hasiči, kteří založí požár, aby ho potom mohli hasit a být tak za hrdiny. Někdy je zkrátka potřeba při návrhu odměn (různého typu) počítat s vedlejšími efekty.)

Jinak, už Baťa říkal, že technik, který neustále opravuje své stroje je špatný technik. Správný technik čte katalogy s nohama na stole, protože mu všechno funguje.

Jsou firmy, které tohle pochopily a nenutí správce neustále něco dělat.

78

Hardware / Re:Výkonnější PC do dvaceti tisíc - kritika sestavy

« kdy: 31. 07. 2015, 11:34:17 »

Zrovna u her tohle neplati - u her ktere neumi vyuzit vic nez 4 jadra. Je nejlacinejsi dvoujadrova I3 stejne vykonna jako sestijadrova FX-6300 a nejlacinejsi I5-4460 vykonove vyrazne prekonava FX-8350.

Tohle se naštěstí mění, obě nové herní konzole jsou postaveny na osmijádrovém APU od AMD. Microsoft, který se lživě chlubil tím, jak DX11 umí využít více jader, teď, po Mantle konečně vydává DX12 (pochopitelně zase jen v nových win), který je schopen využít "až" 6 jader. Sice možná pozdě, ale konečně. HW konzolí tady bude ještě pár let a vývojáři, pokud jej chtějí využít, se prostě bez multithreadingu neobejdou. Což se pochopitelně přenese i na desktopové hraní.

79

Vývoj / Re:Python 3.4 - jak uchovat nastavení

« kdy: 29. 07. 2015, 14:00:12 »

nehlede na to ze spojuje int a str coz nejde...

Pravda.

v tak kratkem kodu nasekat tolik chyb je umeni :-)

jj, sem tam se najde chytrý troll   

80

Vývoj / Re:Python 3.4 - jak uchovat nastavení

« kdy: 29. 07. 2015, 13:39:42 »

Použij csv, zapisuje se do něj fakt rychle, dívej

Kód: [Vybrat]

hodnoty = [1,2,3,4]
f = file("soubor.csv", "w")
delka = len(hodnoty)
for x in range(delka):
    f.write(hodnoty[x] + "\n")

A je to

Bože to je prasárna...

Co je na tom za prasárnu? Ve skole sem za to dostal jednicku a ten ucitel ma vysokou skolu, tak by mi ji asi nedal ne?

Možná jsem jen nepoznal trolla, ale jestli se za toto dneska dávají jedničky, tak je to se školstvím mnohem horší, než se obecně soudí. Nebyl to příklad pro: udělejte na minimálním počtu řádků maximum programátorských chyb?

Kdybys radsi chytraku hned v prvnim prispevku napsal jak je to neprasacky. Nebo jen tak blbe kecas?

Kód: [Vybrat]

hodnoty = [1,2,3,4]
delka = len(hodnoty)
for x in range(delka):

List je sám o sobě iterable, takže zjistit délku listu a potom vygenerovat další list (range) a ten naprat do smyčky je prasárna.

Prvek listu sice můžeme odkazovat indexem, ale když už máme smyčku, tak máme přímo hodnoty:

Kód: [Vybrat]

hodnoty = [1,2,3,4]
for h in hodnoty:
   f.write(h + "\n")

Což je ale ten menší problém a začátečník na to časem přijde.

Dále se nikde nezavírá soubor f, lepší konstrukce je with open() as work_file: což automaticky uzavře a uvolní soubor i při výjimce.

Větší problém je chybné generování výsledného CSV. (Comma separated values) rfc4180

Co když budou hodnoty: ["a,b,c", "1,2", "x"]?

Program vygeneruje výstup, kde na každém řádku bude jiný počet hodnot (dejme tomu sloupců) - což není správné CSV. Vstup je třeba ošetřit.

Dále \n neodpovídá RFC, správně se řádek CSV ukončuje CRLF (\r\n).

Ještě by se dalo diskutovat o tom sčítání stringů apod.

Proto python obsahuje ve standardní knihovně modul pro práci s CSV.

81

O serveru Root.cz / Re:Myslí iinfo/root.cz tento barevný reklamní cirkus opravdu vážně?

« kdy: 29. 07. 2015, 08:32:08 »

Divím se, že tu ještě nikdo nezmínil SOOM

Tak původně se chtěly osobní stránky jednotlivců. Jinak s aktuálním majitelem sooma jsem pár let sousedil v domě. 

Když už se tady zmiňuje věda, tak (ale toto asi každý zná):

http://www.aldebaran.cz/
http://www.astro.cz/
http://www.osel.cz/

Kromě bastlířů nelze nezmínit také profíky:

http://elektrika.cz/

Potom trochu zpravodajstí (tady už je to lehce na flame):

http://a2larm.cz/
https://dennikn.sk/

To  už sem můžu dát rovnou OPML s 90 feedy :-D

82

O serveru Root.cz / Re:Myslí iinfo/root.cz tento barevný reklamní cirkus opravdu vážně?

« kdy: 28. 07. 2015, 16:10:41 »

...
Takových nadšeneckých kvalitních webů jsou desítky (v ČR).
...

neznam desitky kvalitnich webu v CR a neznam ani desitky kvalitnich linux oriented webu v CR, ale budu rad za linky... A kdyby je znal, tak proste budu navstevovat do 10 webu, protoze se necim musim i zivit a nejenom surfovat po internetu...

Prohledal jsem RSS čtečku, tady je výsledek (rozhodně to není kompletní, je to můj osobní seznam a jen z RSS - ne všichni mají, ke své škodě, RSS / Atom):

http://okbob.blogspot.cz/  - Psql, od  2007
https://www.souki.cz/ - různé
https://blog.frantovo.cz/ - hlavně java , od 2007
http://lukas.zapletalovi.com/ - kde co, od 2006, před tím (mezi tím) šéfredaktor LE
http://hodza.net/ - různé
http://e-ott.info/ - ne až tak o linuxu, ale také zajímavé, od 2006, v průběhu šéfredaktor LE
http://michal.hrusecky.net/ - Kromě MySQL je i tam něco zajímavého
http://www.zdenda.com/ - různé
http://www.fuzzy.cz/cs/ - dnes už neaktivní, Psql 2008-2012

Tj 9, dal by se k tomu přidat ještě jeden osobní web od 2003.  A máš 10.

To jsou jenom češi, kteří mají svůj web. Potom se dá udělat výběr z blogů na abclinuxu, rootu, tam by se pár dobrých autorů také našlo. Existují také další komunitní weby, ty ale nejsou předmětem tohoto seznamu.

Já jsem se svou RSS spokojen. Kdyby se takto poskládalo vícero feedů (já jsem úchyl na db, ukládání a zpracování dat obecně), od různých úchylů (dřív jsem sledoval i síťové blogy), hw, tak by se od 50 autorů dal udělat super feed.

83

O serveru Root.cz / Re:Myslí iinfo/root.cz tento barevný reklamní cirkus opravdu vážně?

« kdy: 28. 07. 2015, 15:26:03 »

Kdyby to byla pravda, existovaly by takových nadšeneckých webů desítky nebo stovky. Taková věc se nedá dělat dlouhodobě zadarmo, je kolem toho hromada práce. Redakční i jiné. Schválně si zkuste založit jen tak svůj osobní blog a psát do něj denně slušný článek. Uvidíte, že to není taková legrace a časem to umře na nedostatek nadšení a motivace.

Takových nadšeneckých kvalitních webů jsou desítky (v ČR). Spousta běží dlouhodobě (více než 10-13 let -- ano, root má 17 let, ale root před 17 lety byl úplně jiný root než dneska. Jen doména zůstala stejná, projekt je úplně jiný.), některé se věnovali jednomu tématu, to vyčerpaly a již další obsah nemají (což se ale týká i portálů).

Proč článek denně? Tohle je další mantra, která se vzala bůh ví kde.

84

O serveru Root.cz / Re:Myslí iinfo/root.cz tento barevný reklamní cirkus opravdu vážně?

« kdy: 28. 07. 2015, 15:04:07 »

Věřte mi, že bych byl rád, kdyby Roota platil bohatý strejda z Ameriky nebo dotace EU. Protože to děláme proto, abychom psali články a umožnili vám je číst.

Proč by měl roota platit bohatý strejda z dotací EU? Pokud chcete psát články, tak prostě ... pište články.

Právě homba za reklamou a čím dál větším ziskem poslala všechny takto postižené weby na stranu bulváru. Články (témata) se píšou podle čtenosti (píšou je tak lidi, kteří, až na výjimky, o tom nic nevědí), vystavují se provokativní blogy (ne tady, ale jiný dříve fajn web, tím trpí) nabírají se prokliky a nekonečná spirála je tady. Tohle nutně skončí bulvárem.

Provoz serveru pro root.cz by se dal zařídit za 500Kč měsíčně a s trochou snahy i méně. Honoráře stejně autora neuživí (stejně to za odborný článek vychází na pár korun za hodinu práce), pro peníze to stejně nikdo nedělá. Náklady na provoz jsou tedy nulové a autoři píší co je baví. Tak na co dotace, na co reklama?

(Otázku, proč by dneska měli existovat portály, když stejně každý druhý píše na svém blogu a ve vhodném rss agregátoru se dá takový portál udělat "podle svého gusta" a z mnohem kvalitnějšího materiálu, nechávám stranou.)

85

Vývoj / Re:Python 3.4 - jak uchovat nastavení

« kdy: 28. 07. 2015, 13:03:26 »

Divní trolové,
tazatel se ptal v čem si má uchovat pár hodnot oběktu pro znovuspuštění, dokonce uvádí že si potřebuje uchovat tři proměné, a vy na něj jdete s databází ? Proboha proberte se a začněte přemýšlet než něco kváknete. Já jen doufám, že podobně neřešíte i vaše pracovní zadání. Já bych vás hnal, pokud by jste mi dotáhly kód kde místo využití základních knihoven na jednoduchý program/script budete mít půl A4 popsanou dependencies jen, že potřebujete uchovat pár bajtů kvuli znovu spuštění.

Doufám že víte, jak přesně toto potom dopadá v praxi. V praxi se také chce udělat jednu věc rychle a jednoduše (místo blablabla použít blabla). Jenže tohle trvá asi tak týden, potom přijde požadavek, kde je potřeba udělat něco co sice jde ale drhne to, a potom přijde požadavek, který už znamená to kompletně přepsat (přitom kdyby se na počátku šlo na problém "z větší šíře", tak se další požadavky implementují jedna radost. Každý velký program začínal tím, že "je potřeba uchovat tři proměnné". Je naopak dobré tazateli poradit další možnosti, jak se s takovou situací vypořádat.

86

Vývoj / Re:Python 3.4 - jak uchovat nastavení

« kdy: 28. 07. 2015, 12:59:47 »

Použij csv, zapisuje se do něj fakt rychle, dívej

Kód: [Vybrat]

hodnoty = [1,2,3,4]
f = file("soubor.csv", "w")
delka = len(hodnoty)
for x in range(delka):
    f.write(hodnoty[x] + "\n")

A je to

Bože to je prasárna...

Co je na tom za prasárnu? Ve skole sem za to dostal jednicku a ten ucitel ma vysokou skolu, tak by mi ji asi nedal ne?

Možná jsem jen nepoznal trolla, ale jestli se za toto dneska dávají jedničky, tak je to se školstvím mnohem horší, než se obecně soudí. Nebyl to příklad pro: udělejte na minimálním počtu řádků maximum programátorských chyb?

87

Odkladiště / Re:Jak se Hacking Team dostane do Linuxu?

« kdy: 10. 07. 2015, 16:20:47 »

Ano, existují návody, jak to udělat blbě (stejně jako jsou návody na PHP které vysloveně lákají k tomu udělat tam SQL injection). Doufám ale, že zrovna v Linuxu si populární programy dávají trochu bacha a nepoužívají to (moc jsem to ale nezkoumal). Kupodivu jediný praktický útok s MD5 na který jsem narazil byl FLAME (falšování certifikátů pomocí kolize v MD5) a to je záležitost Windows.

No já jsem tím chtěl jen naznačit, že se o hromadě věcí hromadu let ví, a přesto se jednak stále používají a hlavně stále vycházejí nové články a knihy, ze kterých se učí noví programátoři. Z MD5 už mám pomalu kopřivku a používám to jako takového maskota všech těchto naprosto a všem známých problémů.

Tedy, že není nutné využívat crack na včera vyšlé CVE, klidně si lze v klidu napsat exploit na něco, o čem se ví už tak 15 let.

Ten mi, upřímně, zrovna přijde z těch věcí co jsem jmenoval jako ten menší problém - asi se přes něj dají přečíst klíče a hesla k webovým aplikacím (ha, další problém, místo používání bezpečné HTTP Digest se hesla píšou do pochybných HTML formulářů), ale není to okamžitý remote code execution.

Já jsem si ho nevybral ani tak proto, že by to byl největší problém, jako spíš pro ukázku, jak se řeší problém o velikosti "1/3 internetu". Udělá se velké haló, velké bububu a po měsíci se opět začnou používat původní klíče a všichni se tváří, že je vše ok. Takto se dělá lecos, místo skutečné opravy pouze fasáda, aby to vypadalo opraveně.

Chápu a soucítím. Upřímně řečeno mi ještě není jasné proč už dávno všechny tyhle systémy nejsou vyhackované (resp. ne tak aby se na to přišlo), vypadá to jako práce pro prvňáka.

Soucítit není třeba, kdybych to nechtěl dělat, tak to nedělám.

Proč ještě funguje elektřina a voda když je každý rok na CCC nový exploit na SCADA systémy + konstatování že ten loňský ještě není opravený.

Asi to nikomu za to nestojí. Možná jen zatím.

88

Odkladiště / Re:Jak se Hacking Team dostane do Linuxu?

« kdy: 10. 07. 2015, 13:11:58 »

sracka mi prijde jako príliš expresivní výraz, ale systém, kde dochází k vecem jako CVE-2008-0166, CVE-2006-0062, CVE-2011-2690, jenom za poslední rok se v nejpoužívanejších prohlížecích našlo nekolik chyb typu remote code execution, heartbleed, shellshock, CVE-2015-1038 (a mohl bych pokracovat) proste v porádku není a alespon já kvuli tomu „nemužu být v klidu“.

Já jsem bohužel ve stavu, kdy nesmím ani naznačovat. Ale existují mnohem vetší problémy, než ta sada CVE, kterou jsi popsal.

Jeden příklad za všechny je MD5. Ta funkce se neměla používat už v době, kdy byla považována za bezpečnou. Před deseti lety byla prolomena. To měl být její totální konec. I kdyby nebyla prolomena, tak v průběhu let se rychlost výpočetní techniky zvýšila natolik, že dneska by stejně byla považována za slabou. Tedy máš tři faktory: zákaz pro message digest, prolomenost, slabost. Přesto dodneška vycházejí články a návody s touto funkcí jako neproniknutelnou obranou proti všemu.

HeartBleed. Jasně, udělalo se velké halo, admini měli během pár hodin / dnů zazáplatované openssl a co se stalo potom? Výměna klíčů? No u některých ano. Udělala se rychlá výměna klíču, vystavily se nové certifikáty. Jenže co nastalo potom? Při renew se opět použili staré CSR uložené u autorit, tedy s klíči, které byly vystaveny možnosti úniku pomocí heartbleedu. A to ani nemluvím o tom, že někteří se vzpamatovali až pár měsíců poté.

Jisté instituce loni (nevím, kdo to rozpoutal, jestli to bylo nařízení z vrchu nebo odkud) začali omezovat OUTPUT. Takže servery dodavatelů se najednou nemohli připojit jednak na zdroje externích dat (na což se přišlo už po několika týdnech) a také na updatovací servery. Tedy hodně serverů, které předtím byly trochu updatované jsou najednou úplně bez updatů. Do toho si připočtěte politiku některých úřadů, tedy nulová tolerance k výpadkům, nebude se rebootovat do nového jádra, nebudou se restartovat služby. Tohle všechno (nemožnost stáhnout updaty a hlavně nemožnost je provést u některých úřadů vedlo k naprosté absenci jakéhokoliv zabezpečení serverů.

Takže nějaké CVE dráždí možná tak pár adminů, kteří si během minut / hodin provedou upgrade vlastních projektů, ale min. v české státní správě to bude trvat možná dalších 10 let, než se ty staré servery nahradí. Protože efektivně se brání jakýmkoliv pracem na serverech, tak se prostě update neprovádějí.

Tedy útočníka vůbec nemusejí zajímat nějaké aktuální chyby, klidně si může vybrat sqlinjection, před kterými se varovalo už tak možná před 15 lety.

89

Odkladiště / Re:Jak se Hacking Team dostane do Linuxu?

« kdy: 09. 07. 2015, 15:22:50 »

Co jsem si tak četl to jejich leaknutý KB a vyextrahovaný CZ data od Jendy, tak do linuxu se dostanou pouze přes nastrčený odkaz (a ještě k tomu Flash).

Tedy uživatel musí jít na konkrétní podstrčenou stránku (ve zprávách pro CZ radí jak to udělat a hlavně jak to nedělat), tam je nastrčený něco co se spustí v prohlížeči. Vzhledem k tomu, že prohlížeč může na uživatelova data, tak může přečíst cokoliv.

I když cokoliv, v KB mají pouze seznam volání na skype a historie v prohlížečích. Skype neznám, ale prohlížeče mají historii v sqlite souboru, takže na to stačí jeden select.

Jinak, tohle docela dobře ukazuje užitečnost rad, jako spouštět si prohlížeč pod jiným uživatelem (pro různé činnosti mít různé uživatele), aby se ten prohlížeč nedostal ke všem datům. A taky užitečnost věcí jako selinux apod.

90

Vývoj / Re:SHA 512 dostačující?

« kdy: 09. 07. 2015, 14:50:46 »

Asi si to pleteš například s AES.

Nepletu. Jak AES (Advanced Encryption Standard), tak SHA (Secure Hash Algorithm) jsou výsledky mezinárodní soutěže NISTu.

AES je algoritmus Rijndael, SHA3 je algoritmus Keccak. Dvojku a jedničku dohledávat nebudu.