W ostatnim numerze CRYPTO-GRAMu jest genialny artykuł o
istocie działań hackerów. Już na wstępie jest ciekawie, gdy dowiadujemy się, że
Galileusz i Maria Curie-Skłodowska byli hackerami, a Arystoteles nie i dlaczego
tak, a nie inaczej… :-)
Security by Microsoft
Zawsze uważałem Ms Passport za jakąś usługę z piekła rodem, ale ostatnio,
dla jakiejś pierdoły, założyłem tam sobie konto. Podałem e-mail, którego nie
używam do niczego innego. Wypełniłem dane, które chcieli (zdziwiłem się, że
nawet tam nie było nic takiego, czego nie chciałbym im podawać) i przyszedł
mail weryfikujący adres. Za pierwszym razem się odbił, bo źle sobie aliasa
skonfigurowałem. Za drugim razem dotarł poprawnie, użyłem linka potwierdzającego
i mogłem już z nowego konta w Ms Password skorzystać.
Zdziwiłem się więc, gdy dzisiaj znowu przyszedł mail od Microsoftu z prośbą
o potwierdzenie adresu e-mail. W wiadomości był link do kliknięcia, plus pouczenie
w sprawach bezpieczego korzystania z ich usług:
To help keep your personal information safe, Microsoft recommends that you
never enter your credentials (e-mail and password) at a site you reached by
clicking a link in an email. Instead of clicking the link, copy the address and
paste it into the address bar in your web browser. While we may send e-mail
that contains links, the links are provided for convenience only.
Polecenie kopiowania linków zamiast klikania w nie wydaje mi się nieco
śmieszny, ale w sumie może to i trochę bezpieczniejsze jest. Ja tam w nic nie klikałem,
tylko aktywowałem tego linka
(https://accountservices.msn.com/EmailPage.srf?emailid=…) z mojego Mutta
przez urlview. Pojawił się formularz do potwierdzenia e-maila – dużymi literami e-mail,
przyciski Confirm
i Cancel
(czy podobnie) i instrukcja, że mam potwierdzić adres,
a następnie, za jego pomocą, zalogować się do systemu. I rzeczywiście, po wciśnięciu Confirm
zostałem przekierowany na stronę logowania: http://login.passport.net/… (bez https!).
A ja się formularza logowania w jakimś głupim Joggerze czepiałem… ;-)
Fajne rzeczy można znaleźć w CRYPTO-GRAMie…
Prenumeruję sobie CRYPTO-GRAM, taki magazyn
o bezpieczeństwie (nie tylko komputerowym) co miesiąc rozsyłany pocztą. Właśnie
przyszedł kolejny numer, a w nim kolejnych kilka interesujących artykułów
i masa linków.
W szczególności zainteresował mnie link do artykułu o hakowaniu
systemu rowerów do wynajęcia w Berlinie — Hack a Bike. I to podwójnie — po
pierwsze, ten system wynajmu rowerów to super sprawa, po drugie historia
łamania tego też jest całkiem interesująca. Niestety u nas pewnie by się to nie przyjęło,
bo zaraz wszystkie rowerki zostałyby zhackowane
przy pomocy łomów itp.
tak, że jeździć by sie na nich nie dało. Oczywiście o ile od razu nie byłyby
wszystkie sprzedane na złom… Chociaż… może znajdzie się ktoś na tyle
odważny, żeby coś takiego zorganizować i na tyle sprytny, żeby się to
udało?
CAcert.org
Założyłem sobie konto na CAcert.org
i zarejestrowałem tam domenę jabber.bnet.pl. Chyba wystawię sobie
u nich certyfikat i zainstaluję na serwerku. Nie jest to żadne Thawte, czy
Verisign, ale chyba lepsze niż własne CA, albo certyfikat self-signed
.
Jedynie tę stronę WWW mogli by trochę poprawić, bo jest taka… niedorobiona.
Wygląda, jakby w niektórych miejscach zrobili cut&paste z innych i
zapomnieli zmienić, a innych w ogóle nie wypełnili. Więcej powinno tam być
informacji jak to właściwie działa, bo teraz np. wiem że mają jakiś
notariuszy, wiem nawet jak takim notariuszem zostać, ale za cholerę nie wiem
czemu oni służą (poza weryfikacją nowych notariuszy). Nie znalazłem też
informacji na temat kto ma klucz prywatny tego CA i na jakich zasadach jest on
używany. Na szczęście w przypadku certyfikatu do mojego serwerka to nie ma
większego znaczenia :-).
Zabezpieczenie
, czyli jak odtworzyć płytę Łzy — Nie czekaj na jutro
pod Linuksem.
Żona kupiła płytkę CD. Oryginalną.
Niestety odtworzyć jej się nam nie udało. Płytka jest zabezpieczona
przed
kopiowaniem:
Ograniczona możliwość kopiowania cyfrowego. Uwaga! Próba
kopiowania niniejszej płyty pogarsza jakość cyfrowej
kopii i może spowodować zawieszenie pracy komputera, a nawet jego uszkodzenie.Płytę niniejszą można odsłuchiwać w zwykłym sprzęcie audio, odtwarzaczach
samochodowych oraz komputerach wyposażonych w urządzenia do odtwarzania
nagrań.Minimalne wymagania sprzętowe dla komputerów: procesor Inetl Pentium lub
inny kompatybilny 133MHz, pamięc 32Mb RAM, system Microsoft Windows
95/98/NT/2000/XP lub kolejny, napęd CD-ROM, karta dźwiękowa.Zaleca się instalację programu do odtwarzania załączonego na płytce.
Pierwsze to oczywiście straszak. Drugie nie zupełnie prawda (założę się, że w wielu
odtwarzaczach samochodowych nie da się tej płytki odtworzyć). Trzecie jest śmieszne,
niestety częściowo prawdziwe — nie mam Windows i nie mogłem płytki
normalnie
odtworzyć (żona próbowała i usłyszała jedynie po parę sekund
z utworu). Czwarte zostawiam bez komentarza, bo załączonego programu nie widziałem.
Najlepsze, że płytki nie udało mi się zamontować tak, jakby ścieżki z danymi w ogóle
tam nie było — ciekawe jak Windows ten program znajduje.
Przede wszystkim tej płytki nie powinniśmy w ogóle kupować. Skoro mają
słuchaczy/klientów w d… to czemu dać im zarobić? Z drugiej strony… nie ma innego
sposobu na zdobycie tych utworów bez korzystania z usług piratów. W każdym razie
stało się, płytkę mamy i zwracać nie będziemy, bo gościu z Allegro jest tu
niespecjalnie winny. Poza tym, takie zabezpieczenie
to wyzwanie.
A więc zabrałem się za zgrywanie zawartości płytki. cdda2wav sobie nie radził.
cdparanoia też nie. Dopiero
cdstatus dał jakieś efekty
— udało się zgrać pierwsze 4 piosenki do *.raw, Dalej w TOC płytki były
jakieś bzdury — ścieżki kilku sekundowe, kilkudziesięcio minutowe, czy nawet o ujemnej
długości i nakładające się na siebie, dotego oznaczone jako data
—
i więcej się przeczytać nie dało, nawet jak próbowałem adresować sektory bezpośrednio,
omijając TOC.
Cztery utwory na dwanaście to trochę mało. Zacząłem więc googlać w poszukiwaniu
lepszego rozwiązania. Pierwsza strona którą za tym podejściem znalazłem, strona
o wdzięcznym tytule JUST
mówiąca dokładnie czego nie robić,
SAY NO TO CIRCUMVENTING COPY PROTECTION
żeby nie złamać popularnego zabezpieczenia i co za tym idzie DMCA (wspaniały twór
amerykańskiego prawodawstwa). O numerze z markerem już słyszałem, ale nie sądziłem,
że okaże się przydatny. Szczególnie że płytka nieco się różniła od tych z opisu.
Jednak spróbowałem…
Oczywiście nie chciałem zniszczyć płytki, ani napędu, więc zamiast taśmy klejącej,
czy trwałego markera użyłem flamastra do pisania na białej tablicy. Najpierw
zamalowałem brzeg, ale nie dało to efektu. Następnie zamazałem lekko widoczny okrąg
w 1/3 zapisanej powierzchni płytki (licząc od środka). Bingo!
cdstatus przestał widzieć płytkę jako mixed
, a zaczął jako
audio
, a spis treści wyglądał już sensownie. Próbowałem więc zgrać
kolejne piosenki. Jednak piątej i szóstej mi się nie udało — widać też zostały
mazaczkiem zamazane. Pozostałe (7.-12.) zgrały się bez problemu. Później wyczyściłem
płytkę i próbowałem zamalowywać ostrożniej. Udało się odzyskać jeszcze piosenkę
numer sześć.
Ostatecznie mam zgrane 11 z 12 utworów na tej płytce i zaraz je sobie ładnie
zakoduję do Ogg Vorbis. Jak widać zabezpieczenie, jak każde które nie ingeruje
w sprzęt użytkownika (ja sobie takiej ingerencji nie życzę!) jest niewiele warte.
Utrudnia tylko dość skutecznie legalne korzystanie z nagrań wielu ludziom, którzy
uczciwie je kupili. Na płytce są nawet numery telefonów i adresy e-mail oraz WWW do
kontaktu z zespołem
. Chyba do nich zadzwonię i powiem co o tym myślę.
Nie ufajcie swoim rosterom
Dzisiaj znalazłem buga w Psi,tkabberze,Gabberze. Pewnie jest też w większości innych klientów. Jedyny który się oparł atakowi to mój CJC. 😉 Niektórzy już się przekonali jak to działa, a wielu się pewnie dopiero przekona, bo wysłałem właśnie informację (wraz z exploitem) na bugtraq, jadmin i jdev. Ale inaczej nie dotarłbym do autorów wszystkich klientów, więc tak chyba lepiej.
Życzę szybkich poprawek w waszych ulubionych klientach. 🙂
U Jajcusia 