Krazen's weblog

Diggowa rewolta, czyli jak admini ze społecznością wojowali

Wed, 02 May 2007 11:56:22 +0200

Użytkownicy Digga zapewne zauważyli dziś rano zasypanie całego serwisu informacjami zawierającymi pewien kod. Sam byłem zaskoczony otwierając czytnik RSS. Grubo ponad setka wpisów daje nam możliwość poznania tego kodu, czasem podając go na srebrnej tacy, a czasem zmuszając do ruszenia łepetyną.

O co tak naprawdę się rozchodzi? Otóż ten ciąg szesnastu bajtów posłużył do zaszyfrowania większości kodowanych w standardzie AACS filmów HD DVD. Rzeczą oczywistą jest to, że wielu korporacjom rozpowszechnienie takiego kodu jest wysoce nie na rękę. Zwykłym użytkownikom taki kod może posłużyć przykładowo do odtwarzania HD DVD pod Linuxem, więc jest jak najbardziej użyteczny.

No dobra, ale skąd ten cały spam na Diggu? Otóż kiedy informacja o kodzie dostała się 1 maja na stronę główną została ocenzurowana przez administratorów. Wywołało to poruszenie wśród społeczności, która podjęła natychmiastowe działania w postaci masowego dodawania tej informacji i wykopywania na stronę główną, czego efekty są widoczne cały czas. Z początku admini próbowali zerować liczniki tym wpisom, usuwać je ręcznie itd., ale co poradzi kilka, kilkanaście lub nawet kilkadziesiąt osób wobec kilkuset tysięcy użytkowników?

Oprócz rozpowszechniania informacji o kodzie pojawiły się jeszcze jeden głos móiący o tym, że wraz z wprowadzeniem cenzury Digg przestał działać w duchu Web 2.0, co niektórzy oskarżają nawet adminów o zdradę ideałów. Społeczność Digga jest oburzona faktem, że próbowano zamknąć jej usta. Sam serwis stracił w niektórych oczach tyle, że powstała inicjatywa stworzenia nowego, podobnie działającego serwisu "na zawsze wolnego od cenzury"

Kevin Rose, jeden z założycieli Digga tłumaczy, że firma ma zbyt mało pieniędzy żeby potem walczyć w sądzie z koncernami filmowymi, dlatego wolą na wszelki wypadek usuwać kłopotliwe informacje. Wśród diggowej społeczności są tacy, którzy twierdzą że Digg przyjął pieniądze od HD DVD Promotion Group. Ile w tym prawdy wiedzą pewnie tylko sami zainteresowani

Pomimo usilnych starań zespołu kierującego Diggiem kod i tak rozprzestrzenia się w najlepsze, a sam serwis stracił dużą część szacunku użytkowników, czyli tego, co może być warte więcej niż pieniądze stracone przez sądowe procesy, które i tak wiszą nad firmą, bo do tej pory nie potrafi skutecznie opanować rozpowszechniania się tego kodu na własnych stronach.

Również Wikipedia dość skutecznie zapobiega pojawieniu się tego kodu na własnych stronach, co wywołuje oburzenie użytkowników nie mniejsze od tego, jakie ma miejsce w przypadku Digga.

Pozostaje nam tylko czekać na rozwój sytuacji. Możemy już być pewni, że ostatnia noc zapisze się w historii internetu. Niektórzy nazywają ją po prostu "Digg HD DVD Night", niektórzy mówią że to pierwszy przykład elektronicznej rewolucji. Na pewno właściciele serwisów społecznościowych powinni z tych wydarzeń wyciągnąć należyte wnioski, jeśli dotąd nie doceniali siły przebicia swoich użytkowników i nie zdawali sobie sprawy z tego, jakie konsekwencje dla serwisu może mieć działanie wbrew nim.

Na koniec mały prezent (znalezione na electriblog.com):

Wielkanoc

Sat, 07 Apr 2007 21:43:36 +0200

Z okazji świąt wielkanocnych życzę każdemu aby te święta były czasem spędzonym w spokoju. Żeby starczyło czasu na wszystkie sprawy, na które nie pozwala nam pęd codziennego życia. I nieważne, czy całe święta siedzieliśmy w kościele, spędziliśmy przy rodzinnym stole czy może samotnie, w wyciszeniu. Ważne jest to, aby po ich zakończeniu mieć poczucie, że ten czas wykorzystaliśmy dobrze. Bo nie ma nic gorszego jak złoszczenie się, że przez święta zmarnowaliśmy kolejnych kilka dni, podczas których nie udało się zarobić ani grosza.

Wesołych świąt życzy Łukasz Krajewski

Ojczyzna polszczyzna

Tue, 03 Apr 2007 19:20:27 +0200

Zewsząd dochodzi nas lament o ranach, jakie naszemu pięknemu językowi zadaje młodzież. Młodzi kaleczą polszczyznę, pozostawiając na niej okropne blizny - powiadają niektórzy. Postarajmy się na to spojrzeć z troszkę innej perspektywy.

Kim są ci podnoszący krzyk i z czego wynika ich krytyka dla sposobu wypowiadania się młodego pokolenia? Z reguły to ludzie starsi o pokolenie lub więcej. Ich krytyka wynika z frustracji spowodowanej tym prostym faktem, że nie mogą zrozumieć wypowiedzi młodszych. Nie mogą się pogodzić z tym, że język ewoluuje. Działa to w obie strony, młodzież też często ma problemy ze zrozumieniem rozmowy dwóch starszych osób. Nie chcę tu absolutnie krytykować ani starszych, ani młodszych, to był tylko przykład tego, że konflikty wynikają z wzajemnego niezrozumienia. Ludzie nie rozumieją, że język ma być przede wszystkim użyteczny, dopiero potem piękny.

Wynika to z faktu, że każda grupa w swoim środowisku posługuje się specyficznym dla siebie językiem. U jednych jest on pełen skrótowców i neologizmów podczas gdy drudzy używają wyrazów powszechnie uznawanych za archaizmy. Żadna z tych odmian języka polskiego nie jest lepsza od drugiej, bo każdy posługujący się taką odmianą robi to ponieważ uważa tę odmianą za użyteczną w danej sytuacji. Podział nie występuje tu tylko ze względu na wiek. Chyba każda grupa zawodowa ma swój slang, który, chociaż zrozumie go tylko wąska grupka osób, znacznie przyspiesza komunikację (każdy kto słyszał rozmowę dwóch informatyków doskonale wie, o co mi chodzi) Również najpopularniejsze i najbardziej powszechne wyrażenia wchodzą z czasem do powszechnego użycia.

Trzeba tu zwrócić uwagę na to, że mimo takiej mnogości odmian języka polskiego istnieje język formalny, tworzący płaszczyznę, na której wszystkie te grupy mogą się dogadać, i na której powstają wypowiedzi zrozumiałe dla ogółu. Takiego języka uczą w szkołach i jego znajomość jest jak najbardziej potrzebna, nawet jeśli na co dzień nie będzie potrzebny.

Co ciekawe, jeden człowiek używa najczęściej kilku odmian języka w zależności od sytuacji. Ja sam formułuję moje wypowiedzi zupełnie inaczej w gronie znajomych, inaczej rozmawiając z kimś obeznanym w temacie o sprawach związanych z komputerami, inaczej grając w gry on-line, a inaczej pisząc wypracowanie czy wpis na tym blogu. I wiem, że w każdej sytuacji rozmówca mnie zrozumie i zawsze język użyty przeze mnie będzie stosowny do sytuacji.

Jednym z argumentów które dzierżą w dłoni pseudoobrońcy polszczyzny jest częste występowanie wulgaryzmów wśród młodzieży. Dla mnie taka argumentacja brzmi trochę śmiesznie, zupełnie jakbyśmy w dzieciństwie nie byli zalewani potokiem kurew i chujów z każdej strony. Polacy w każdym wieku klną niemiłosiernie. Z nerwów, smutku, szczęścia, dla zasady. Każda okazja jest dobra. I nagle nie znający wytchnienia stróże naszego języka wymagają, aby młode pokolenie nagle zaczęło udawać, że są nietknięci jakimkolwiek wulgaryzmem. Niektórzy z nich uważają przeklinanie za brak szacunku dla ojczyzny. Akurat przyszedł mi na myśl przykład Winstona Churchilla, który oprócz tego że był wybitnym brytyjskim mężem stanu, to słynął z tego, iż nieustannie zemścił. Czy to w jakiś sposób umniejsza jego zasługom? Raczej nie.

Sam język młodzieżowy nie jest oczywiście taki sam dla ogółu młodzieży. Niestety jest spore grono prymitywów, którzy tak mocno kultywują polską tradycję przeklinania, że wulgaryzmy stanowią 50% ich słownika. Większość inteligentnych osób już dawno nauczyła się albo zupełnie ignorować takie osoby, albo odnosić się do nich z odpowiednim dystansem. Istnieje jednak jeszcze inna, równie, jeśli nie bardziej niebezpieczna grupa. Młodzi, którzy swoje formalne wypowiedzi starają się formułować jak najbardziej zawile, używając najbardziej wyszukanych ze znanych im form. Krótko mówiąc stawiają formę nad treść. I chociaż zdarza im się mówić mądre rzeczy, to słowa, w jakie je ubierają albo skutecznie zniechęcają do dalszego słuchania, albo wywołują uśmieszek politowania. Co gorsza, każda taka wypowiedź poprawia ich samoocenę. Znam jednego takiego osobnika, który bardzo pięknie wypowiada się na lekcjach języka polskiego, tyle że mógłby to wszystko powiedzieć używając dwa razy mniej słów, i jego wypowiedzi nie straciłyby ani trochę na treści. Trochę przykre, ale ludzie mylący bogactwo językowe ze zbędnym skomplikowaniem to jeszcze nic w porównaniu z kolejną grupą, jaką są zwolennicy nowomowy. Otóż są tacy ludzie, którzy chętnie pozbyli się z naszego języka niepotrzebnych według nich zasad gramatyki i ortografii. Zniknąłby podział na "h" i "ch", "ż" i "rz" i tak dalej. Może wydawać się pięknym pomysł wyeliminowania wszystkich tych trudności, ale jakim kosztem. Teksty straciłyby na czytelności, często trzeba byłoby stosować bezsensowne konstrukcje, aby tylko zachować maksymalną prostotę.

Czy nasz język jest naprawdę w aż tak tragicznej sytuacji? Na pewno nie, przechodzi on tylko zwykłą ewolucję. Jednak zawsze znajdą się językowi konserwatyści, którzy będą gotowi skrytykować wszystko, co nowe. Znajdą się też tacy, którzy mimo tego, że sami używają slangu, to często robią to podświadomie, i słysząc inny slang się bulwersują. Znajdą się głupcy, fanatycy i idealiści. Ale to wszystko dzieje się na relatywnie małą skalę. Wystarczy prześledzić zmiany w słowniku języka angielskiego, jakie zaszły przez kilka ostatnich lat, aby zobaczyć że nasz język wcale nie zmienia się aż tak dynamicznie. Pozostaje mieć nadzieję, że rząd nie wymyśli jakiegoś sposobu ochrony "jedynej słusznej polszczyzny", między różnymi głosami na temat języka górę wezmą te rozsądne, a autorytetem dla każdego będzie profesor Jan Miodek.

W tym optymistycznym duchu kończę już mój sąd nad drogą, którą podąża nasz język ojczysty. Zapraszam do korzystania z wolności słowa i pisania komentarzy.

Od zina do bloga - czy drzewiej było lepiej?

Sun, 18 Mar 2007 17:54:48 +0100

Może nie wszyscy pamiętacie te czasy, gdy łącząc się z Internetem skrzętnie liczyło się czas pozostały do następnego impulsu, może nie wszystkim numer 0202122 kojarzy się z czymkolwiek. Pamiętam, jak wielkim wyczynem było dla mnie wtedy ściągnięcie dema gry ważącego 20 MB. Kiedy Gadu-Gadu nazywało się SMS Express i nie było komunikatorem tylko programem do wysyłania SMS-ów przez bramki internetowe. Spamu było jak na lekarstwo, a na swoją skrzynkę na Polboxie nie dostawaliśmy wiadomości w stylu "SiEMkA PoKliKaSH?". Jedyną dostępną dla prywatnych użytkowników opcją stałego dostępu do internetu było mega-szybkie SDI (128 kbps) za 150 zł miesięcznie. Modemowcy czekali do 22, kiedy impulsy były zliczane nie co 3, a co 6 minut co dawało dwa razy więcej czasu w sieci za tę samą kasę. Nikt nie myślał o grach online innych niż tekstowe sesje RPG na IRC. Mi ten czas płynął głównie na czytaniu różnorakich phreakerskich i hackerskich FAQ. Jak nietrudno się domyślić na czytaniu się skończyło, niczego niestety (a może na szczęście) nie udało mi się wcielić w życie.

Od tamtych czasów sporo wody w Wiśle zdążyło upłynąć, jedno jednak pozostało niezmienne. Zarówno przedtem, wtedy jak i teraz ludzie związani z komputerami piszą i publikują. Wystarczy do tego komputer, nie trzeba kończyć studiów, zatrudniać się w redakcji gazety bądź czasopisma.

Pierwsze ziny, powstające w czasach, kiedy nawet modemy nie były rozpowszechnione wśród użytkowników komputerów, a internet był raczej ciekawostką, niż czymś w pełni użytecznym były rozpowszechniane za pośrednictwem tradycyjnej poczty. Kilkadziesiąt do kilkuset papierowych egzemplarzy wyprodukowanych z użyciem kserokopiarki krążyło czasem po całym kraju w kopercie. Czasem była to dyskietka z elektroniczną wersją zina.

Z czasem przyszedł Internet i dołączane do czasopism cover-cd, co dało nowe możliwości. Niektóre ziny ukazywały się w formie stron internetowych, niektóre można było znaleźć na wspomnianych płytkach. Dobrym przykładem czasopisma które pomagało rozpowszechniać różne magi jest CD-Action. Na ich cover-cd było miejsce na ziny scenowe, które oprócz niezłych tekstów zachwycały oprawą audiowizualną, mieściły się tam też magazyny tematyczne, związane głównie z muzyką. Można było tam znaleźć taki tytuły jak Histmag, magazyn który przetrwał długo, by w końcu stać się pełnoprawnym tytułem prasowym, czy NoName. Wokół samego CD-Action powstał również Action Mag. Społeczność czytelników czasopisma miała w końcu miejsce na umieszczenie swojej twórczości. Można było tam pisać dosłownie o wszystkim, a Action Mag z dodatku do czasopisma stał się sporym zinem z grupą stale piszących ludzi, wieloma kącikami tematycznymi i wiernymi czytelnikami.

Przez długi czas takie ziny były dla przeciętnego człowieka jedyną drogą dotarcia do szerszej publiki. Można było co prawda próbować założyć stronę domową, ale jej wypromowanie było dość trudne. Nie każdy, kto miał coś ciekawego do powiedzenia potrafił też taką stronę stworzyć.

I tu wkraczają blogi, a konkretnie platformy blogowe. Każdy, poświęcając zaledwie kilka minut, może zaistnieć w sieci pod własnym szyldem. Wiele osób śledzi blogosferę, jeśli uznają jego słowa za wartościowe to jego blog zacznie zyskiwać na popularności. A pisać może praktycznie o wszystkim. Ma to też swoje wady. W epoce papierowych undergroundowych zinów nie do pomyślenia byłoby, żeby jakaś buntująca się nastolatka rozpowszechniała swoje teksty na różowym papierze. Tymczasem dziś mamy tysiące "SwEeT BlOgAsQoOfF"z serduszkami i czcionką Comic Sans MS w nagłówku oraz wpisami na tematy w stylu "A Marcin to się dziś na mnie dziwnie spojrzał". Z drugiej strony blogi zaczęło prowadzić wiele cenionych osób. I nie mówię tu o ludziach z branży komputerowej, bo tu posiadanie bloga to już standard, ale o osobach publicznych. Politycy, dziennikarze, artyści, sportowcy, a nawet osoby duchowne. Dzięki blogom są o krok bliżej tych zwykłych ludzi. Każdy może komentować ich słowa, i te komentarze do nich docierają. No, chyba, że bloga nie pisze dana osoba, tylko wynajęci specjaliści od PR.

Reasumując, w podróży przez blogosferę największą przeszkodą jest konieczność oddzielenia ziaren od plew. To nie są już ziny, które pochłaniało się w całości. Treści jest za wiele i za duży jej procent jest dla nas bezwartościowy, byśmy mogli pozwalać sobie na czytanie całości. Sami też nie zdołamy wszystkiego wyselekcjonować. Możemy sobie pomagać na przykład Wykopem, czy czytać blogi z macierzystej platformy (akurat na Joggerze poziom mamy relatywnie wysoki). Można też zdać się na wybór redakcji i czytać tylko blogi z 10przykazan, ale brakuje tu pełnego rozwiązania, takiego naszego, polskiego Technorati.

Jak widać wraz z upływem czasu malała "elitarność" pisanych w ten sposób tekstów. Nigdy nie trzeba było być dziennikarzem z zawodu, ale dawniej byle kto nie mógł się przebić, bo najczęściej tacy ludzie jak małe dziewczynki nie wiedzieli nawet o istnieniu zinów. Dziś każdy zaczynając pisać bloga prawie taki sam start. I obok dobrych blogów powstają te zaśmiecające sieć. Ciekawe, jaka forma przekazu nadejdzie po blogu, i czy będzie ona jeszcze bardziej masowa, czy może krąg tych tworzących zacznie się z powrotem zacieśniać.

Na koniec tego wpisu mam cytat z Ryszarda Kapuścińskiego: Słowa staniały. Rozmnożyły się, ale straciły na wartości. Są wszędzie. Jest ich dużo. Mrowią się, kłębią, dręczą jak chmary natarczywych much. Ogłuszają. Tęsknimy więc za ciszą. Za milczeniem. Za wędrówką przez pola. Przez łąki. Przez las, który szumi, ale nie ględzi, nie plecie, nie tokuje

Bezpieczeństwo w sieci - seminarium

Wed, 07 Mar 2007 23:44:48 +0100

Dziś w mojej szkole odbyło się małe seminarium dotyczące bezpieczeństwa w sieci. Niestety w tej chwili nie wspomnę nazwiska prowadzącego prezentację, jak tylko sobie przypomnę na pewno je zamieszczę.Prowadził ją Niemniej jednak pan Grzegorz (tak, imię zapamiętałem xD) mówił bardzo ciekawie i rzeczowo. Poprowadził ją Grzegorz Dacka. Na co dzień pracuje jako administrator sieci w czeskim oddziale firmy IBM w Brnie. Administruje poza tym kilkoma sieciami w naszym kraju.

Prezentacja sama w sobie była poprowadzona bardzo prosto, niektórych może by rozczarowała tym, że skupiała się na rzeczach oczywistych, ale trzeba brać poprawkę na to, że widzami nie była grupka specjalistów od bezpieczeństwa, tylko uczniowie liceum. Forma prezentacji bardzo przypadła mi do gustu. Ogólny omówienie zagadnienia przeplatane technicznymi szczegółami, pytaniami do publiczności i anegdotami z branży, oraz poparte wieloma przykładami nie pozwalało się nudzić i ułatwiało przyswajanie informacji. Niestety wiele razy publiczność zapytana milczała jak zaklęta, szczególnie przy pierwszych pytaniach, ale w miarę upływu czasu (i zapewne za sprawą smyczy otrzymywanych w nagrodę za dobrą odpowiedź, sam zdobyłem dwie, była szansa na trzy, ale palnąłem, że cache to pamięć tymczasowa ;p) atmosfera się rozluźniła, i pozostała świetna do samego końca.

Dla zainteresowanych opiszę tu króciutko przebieg seminarium:

Do prezentacji posłużyły dwa komputery, jeden demonstracyjny pracujący pod kontrolą WinXP, do niego podpięto rzutnik. Służył do symulacji zachowań użytkownika sieci oraz do prezentacji danych jakie można uzyskać podsłuchując w sieci taki komputer. Drugi komputer pracował pod Linuksem, na nim prowadzący robił swoje "magiczne sztuczki", podgląd na jego poczynania mieliśmy na dużym ekranie dzięki uruchomieniu na komputerze demonstracyjnym PuTTY, który umożliwił połączenie obu kompów przez SSH i wyświetlanie działań z linuksowego shella w windowsowym okienku (chyba tak to się odbywa, jeśli się mylę proszę mnie poprawić). Oba laptopy wpięto do szkolnej sieci, co miało swoje plusy i minusy. Plusem był oczywiście dostęp do internetu, minusem było przechwytywanie ogromnej ilości niepotrzebnych danych utrudniających prezentację.

Na początku padło pytanie "Czy nasze poczynania w internecie są możliwe do podejrzenia przez osoby postronne?". Oczywiście zdecydowana większość była przekonana, że tak, jednak nikt nie miał konkretnych pomysłów co do sposobów ewentualnego podsłuchu.

Na pierwszy ogień poszedł sniffing pakietów przesyłanych przy niezaszyfrowanych połączeniach ze stronami www. Za pomocą sniffera (chyba sniffit, ale głowy nie dam) pan Grzegorz podjął próbę przechwycenia loginu i hasła podawanych przez ochotnika podczas zakładania konta pocztowego w serwisie pewnego portalu. Ochotnik ku ogólnemu niezadowoleniu zamiast Firefoksa, który aż prosił się o uruchomienie wynalazł wśród ikon na pulpicie nieśmiertelnego IE 6. Uczeń trzeciej klasy liceum, w dodatku o profilu informatycznym ^^. O ile login przechwycił bez większych problemów, o tyle hasła już w logu sniffera nie udało mu się odnaleźć. Winą obarczono duży ruch w sieci szkolnej (3 pracownie, z czego dwie były w tym czasie w użyciu + komputery w administracji) generujący duży bałagan w logach sniffera. Szkoda że nie znalazł hasła, zrobiłby dobre wrażenie na samym początku, a tak musieliśmy uwierzyć na słowo + logi z wcześniejszej, udanej próby. To hasło pewnie gdzieś tam było, bo ten portal przy rejestracji nowego konta nie stosuje szyfrowania połączenia.

W dalszej części seminarium dowiedzieliśmy się o funkcji adresu MAC karty sieciowej, możliwościach spoofingu, phishingu. Ta część ze względu na ograniczenia czasowe nie został poparty przykładami praktycznymi. Pokazano też, co było dla mnie lekkim szokiem, że programy pocztowe łączą się z serwerami SMTP i POP3/IMAP za pomocą prostych telnetowych komend, w żaden sposób niezaszyfrowanych.

Dalej było trochę o anonimowości w sieci. Pokazano, jak znając IP, uzyskany np z nagłówka e-maila można ustalić niektóre dane nadawcy za pomocą whois (ripe.net). Oczywiście nie każdego możemy w ten sposób wyśledzić, nie zadziała to np. klientów TP. Ale już wielu lokalnych dostawców oferujących stałe IP podaje do whois dane teleadresowe pozwalające dotrzeć do konkretnej fizycznej sieci lub nawet osoby.

Poruszonych zostało też kilka aspektów prawnych, dotyczących np. spamu, lub nieuczciwych transakcji przez Allegro. Było też o tym, co może dziać się z podawanymi danymi osobowymi. Przytoczony wyniki badań, wg których od około 80% nastolatków (szczególnie nastolatek) można z minimalną pomysłowością otrzymać takie dane jak adres, czy numer telefonu. Pokazywano też jak łatwo można wykryć używanie programów p2p w sieci.

Mówiono także o sposobach zabezpieczania się w Internecie lub sieci lokalnej. Obok tak oczywistych metod jak firewall i antywirus omówiono wady i zalety serwerów proxy, czy zasady działania VPN. Zwrócono uwagę na sposób w jaki łączymy się ze stronami www, dlaczego w miarę możliwości, jakie strona oferuje powinniśmy wykorzystywać SSL. Wytknięto słabe na ogół zabezpieczenia lokalnych sieci bezprzewodowych, często zabezpieczonych słabym, 64-bitowym kluczem który po złamaniu da dostęp intruzowi do sieci. Padło kilka słów o konstrukcji bezpiecznych haseł oraz takiej kulturze używania przeglądarek, która zapewni bezpieczeństwo. Wspomniano o zabezpieczeniu komputera przed zdalnym włączeniem przez hasło na poziomie BIOS-u oraz zabezpieczaniu dysku przed nieautoryzowanym dostępem przez szyfrowanie tablicy partycji.

Około dwugodzinna prezentacja zakończyła się udanym pokazem podsłuchu popularnego komunikatora Gadu-Gadu na żywo, rozdano też gadżety w postaci smyczy dla uczestników. Oby więcej takich spotkań.

Obywatele IV świata

Sat, 03 Mar 2007 16:47:56 +0100

Głos ludzi, których audycji mogliśmy słuchać w Polskim Radiu BIS do czasu przyjścia nowych władz. Warto posłuchać.

Łamanie hasła w Windows 2000/XP/2003 - zrób to SAM!

Sat, 03 Mar 2007 00:05:46 +0100

Oto artykuł o "łamaniu" haseł w Windowsach, który napisałem jeszcze za czasów współpracy z nieistniejącym już zinem AM Komputery. Tekst może już leciwy, ale na aktualności nie stracił, a opisane w nim metody nadal działają na tych najpopularniejszych systemach. Postaram się je wyłożyć jak najjaśniej.

Nie bez powodu w tytule artykułu słowo SAM zostało wyszczególnione, otóż tak nazywa się plik zawierający zaszyfrowane hasła do kont użytkowników. Znajduje się on w katalogu %SYSTEMROOT%\SYSTEM32\CONFIG (najczęściej C:\WINDOWS\SYSTEM32\CONFIG). Począwszy od Service Packa 2 dla Windows 2000 ten plik jest szyfrowany 128-bitowym algorytmem MD4 za pomocą programu Syskey. Wcześniej było to szyfrowanie 56-bitowe. Do pliku SAM (Security Account Manager) nie ma żadnych uprawnień żaden użytkownik komputera. Konwencjonalnymi metodami nie da się go ani otworzyć, ani skopiować, ani tym bardziej nadpisać.

Istnieją jednak metody pozwalające na rozkodowanie/zmianę danych zapisanych w pliku. Można to robić wieloma metodami, posługując się kilkoma narzędziami na raz, jednak udało mi się znaleźć narzędzie pozwalające dokonać tego w prosty sposób, nosi ono nazwę SAMInside. Posiada przejrzysty, graficzny interface, ma dużo opcji przyśpieszających proces łamania hasła. Program ma polską wersję językową, więc jego obsługa nie powinna nikomu przysporzyć większych problemów. Mimo to omówię jego obsługę i konfigurację na przykładzie wersji 2.2.6.0, by wszystko stało się jasne :)

Pierwszy przycisk (patrząc od lewej) na górnym pasku służy do importu hashy (czyli zakodowanych haseł) z plików różnych typów (SAM i SYSTEM, pliki programu PWDump itd.) Drugi przycisk umożliwia import informacji o użytkownikach z lokalnego komputera. Trzeci pozwala samemu wprowadzić hashe, które po rozkodowaniu dadzą nam hasło. Czwarty usuwa wszystkich użytkowników z listy. Piąty służy do sprawdzania hasła. Szósty generuje hashe dla aktualnie zalogowanego użytkownika. Pod siódmym kryją się wszelkie ustawienia najważniejszej części programu, czyli rozszyfrowywania hasła. Ósmy, i zarazem ostatni służy do startowania i wstrzymywania procesu rozkodowywania.

Teraz trochę o ustawieniach dotyczących rozszyfrowywania. Pierwszą zakładkę pomijam, druga pozwala nam określić, jakie znaki będą brane pod uwagę przy ataku brute-force. Pozwala też określić długość odgadywanego hasła. Trzecia pozwala skorzystać ze słownika. Czwarta zakładka pozwala zmienić ustawienia ataku rozproszonego. Cała jego magia tkwi w tym, że bierze w nim udział kilka komputerów, co znakomicie przyśpiesza znajdowanie hasła. Po prostu ustawiasz SAMInside na kilku kompach z identycznymi opcjami i hashami do odgadnięcia, włączasz we wszystkich atak rozproszony na taką liczbę kompów, jaką masz do dyspozycji, i każdej maszynie przydzielasz inny numer. W piątej zakładce można ustawuć maskę dla hasła, jest to przydatne, jeśli mamy jakieś informacje o haśle (np. maska aaaNNN oznacza, że w haśle występują 3 małe litery pod rząd, a po nich bezpośrednio 3 cyfry) Wiem, że to trochę powikłane, ale mając program przed oczami na pewno połapiecie się, o co chodzi.

W następnej części arta opiszę, jak poznać hasło zarówno do konta użytkownika na zarówno na swoim, jak i innym kompie.

Aby poznać hasło dostępu do dowolnego konta na swoim kompie uruchom SAMInside, użyj opcji importu z lokalnego komputera. Powinna pokazać się lista użytkowników. Zaznacz pola przy tych, których hasła chcesz poznać. Skonfiguruj program wg własnych potrzeb (jeśli nie umiesz, posłuż się opisem dwa akapity wyżej, może on ci pomoże). Naciśnij start, i czekaj na wyniki. Nie zniechęcaj się, szukanie może trwać baaaaaaardzo długo, w zależności od długości hasła i wybranej metody deszyfracji. (najskuteczniejszą, ale niestety najwolniejszą metodą jest brute-force).

W przypadku chęci poznania hasła do innego kompa metod jest kilka. Jeżeli mamy do niego nieograniczony dostęp, to postępujemy analogicznie do sposobów opisanych akapit wyżej. Jednak jeżeli mamy mało czasu, nie możemy sobie pozwolić na długotrwałe szukanie musimy zdobyć dane potrzebne do rozkodowania hasła, które wprowadzimy w domu, gdzie spokojnie poczekamy na rozszyfrowanie hasła. Jeżeli mamy dostęp do kompa z zalogowanym jakimkolwiek userem w Windowsie, to uruchamiamy nasz magiczny programik, importujemy listę użytkowników z lokalnego kompa, spisujemy OBA hashe (LMHash i NTHash) interesującego nas usera/userów, w domu używamy opcji "Dodaj LMhash/NTHash", wpisujemy hashe ofiary, i rozszyfrowujemy hasło. Natomiast jeśli nie mamy dostępu do Windy musimy z kompa ofiary skopiować na dyskietkę pliki SAM i SYSTEM (oba znajdują sie w tym samym folderze, którego lokalizacja jest wymieniona gdzieś na początku arta). Do tego celu można użyc np. dystrybucji Linuxa uruchamianej z dyskietki, lub płyty. Jeśli Windows jest zainstalowany na partycji z systemem FAT32 to możemy użyć najzwyklejszej dyskietki startowej Windowsa 98, jeśli natomiast Winda stoi na partycji NTFS, to trzeba posłużyć się narzędziem NTFSDOS, które utworzy dyskietkę bootowalną z obsługą NTFS. Gdy już mamy pliki SAM i SYSTEM ofiary na swoim kompie, to używamy opcji "Import z plików SAM i SYSTEM" i postępujemy w sposób opisany wcześniej. Z tego co wiem w ten sposób (odczytania danych z pliku SAM i SYSTEM skopiowanych od ofiary) można poznać hasło tylko do konta administratora.

Co do poznawania hasła to by było na tyle, ale co, jeśli potrzebny jest nam szybki dostęp. Ano można po prostu zresetować hasło. Służy do tego program Offline NT Password & Registry Editor. Po jego rozpakowaniu uruchamiamy plik install.bat, wkładamy sformatowaną dyskietkę do flopa, podajemy literę naszej stacji dyskietek (najczęściej A:). Program utworzy dysk startowy. Po uruchomieniu z niego kompa wybieramy partycję, na której jest zainstalowany Windows, potem opcję "Password reset [sam system security]", potem "Edit user data and passwords", zostawiamy domyślną nazwę użytkownika (Administrator), wpisujemy nowe hasło (jeśli chcemy je wyzerować to zostawiamy gwiazdkę), potwierdzamy zmianę hasła. Wybieramy opcję "q", po czym ponownie potwierdzamy chęć zmiany hasła. Potem wpisujemy jeszcze "n" i hasełko jest zmienione.

Jak widać hasła nawet w "bezpiecznych" systemach opartych na technologii NT są do złamania nawet dla szarego człowieka. Nie jest to trudne, wystarczy mieć odpowiednie narzędzia oraz odrobinę szczerych chęci.

O piwie i Wielkim Poście słów parę

Fri, 02 Mar 2007 23:20:00 +0100

I znów przekonałem się, że wystarczy mi wypicie paru piwek i po kilku godzinach śpię jak niemowlę, w sumie to kocham ten stan po powrocie do domu, kiedy po pięciu ciężkich dniach w szkole ucinam sobie drzemkę po wcześniejszej konsumpcji świetnego napoju w jeszcze lepszym towarzystwie.

Kolejną rzeczą, która mnie cieszy niezmiernie, to że udało mi się w końcu odmówić przy takiej okazji papierosa. Może wydawać się, że to nic wielkiego, ale dla mnie to duże zwycięstwo nad sobą samym.

Na pewno wielu osobom nie pasuje fakt, że nie dość, że piję w czasie Wielkiego Postu, to jeszcze w piątek, kiedy to pościć się powinno szczególnie. Odpowiem gwoli jasności, że nie sądzę raczej, aby przestrzeganie, lub nie takiego postu miało wpływ na moje ewentualne zbawienie. Nie widać mnie też w kościele, chodzę tam praktycznie tylko z okazji większych świąt. Nie czuję się z tego powodu gorszy od wszystkich tych, co chodzą tam dla samego chodzenia. Bo chyba chodzi przede wszystkim o bycie dobrym człowiekiem, a jak już to się uda, to bez względu na to, jak nazywasz Boga, to po śmierci doświadczysz jego łaski. A jeśli Twoje życie, mówiąc eufemistycznie, nie będzie godnym wzorem do naśladowania, to nawet to, że w niedzielę grzecznie pójdziesz do kościółka raczej nie pomoże na sądzie ostatecznym.

Znam oczywiście wiele osób chodzących regularnie do kościoła z potrzeby wiary, znam wielu, którzy tam po prostu nie chodzą, bo nie czują takiej potrzeby, ale obie te grupy są naprawdę małe w porównaniu do tych, co chodzą aby tylko rodzice/teściowa się nie czepiali, lub traktują niedzielną mszę jako okazję do spotkań w gronie znajomych, gdzie sama msza jest dodatkiem, bez którego większość by się obeszła. Ale cóż, w takim kraju żyjemy, wszak "Ja jestem Polak i ja jestem katolik" jak zwykł mawiać bohater pewnego sitcomu.

Ech, miałem napisać tylko o mile spędzonym popołudniu, a zeszło na trochę cięższy temat, mam nadzieję, że nikogo nie zanudziłem na śmierć

Witam wszystkich!

Wed, 28 Feb 2007 21:43:07 +0100

Nazywam się Łukasz Krajewski, znany także jako Krazen. Mam 17 lat, chodzę do LO w Grójcu, do klasy drugiej o profilu matematyczno-informatycznym. Z zamiłowania komputerowiec (może już nerd? xD), spędzam przed tą maszyną naprawdę dużo czasu. Poza tym uwielbiam (co nie znaczy że jestem w tym mistrzem) wszelkiego rodzaju sporty. Innym moim hobby jest lenistwo.

Bardzo ważna dla mnie jest muzyka, słucham jej praktycznie zawsze kiedy mam taką możliwość. Moje upodobania oscylują głównie wokół reggae, hip-hopu i rocka. Sam też coś tworzę, ale rozwój mojego talentu jest na razie w powijakach, jak uda mi się coś ciekawego sklecić to bez wątpienia to tu opublikuję.

Po długim śledzeniu innych blogów uznałem, że przecież po to one są abym nawet ja mógł się wypowiedzieć, więc dziś wieczorową porą takowego założyłem, jak na załączonym obrazku widać. Co z tego wyjdzie, to się dopiero okaże.

Opis mojej osoby może i krótki, ale więcej dowiecie się czytając bloga.