Komentáře ke článku: Zhabali Hysterku (ze dne 23.07.2006, autor článku: Root)
Přidat nový komentář
|
Jako jednoduche a kvalitni bych videl zasifrovani datove oblasti (ex. truecrypt). Je treba dorovnat zvysenou zatez pri cteni/zapisu, ale namounti to manualne pouze root a nazdar.
|
|
|
To ale cajtum nezabrani, aby ti ten stroj zabavili. Sice z neho nic nedostanou, ale vrati ti ho za pul roku, za rok, za dva a to jiste neni to prave orechove.
|
|
A nebylo by lepší si pořídit/pronajmout server, uložený mimo území SR/EU? Zdá se to jistě o poznání jednodušší, než vymýšlet DNS kličky, jak schovat IP. Na takovém princpu často fungují warez servery a jiné "škodlivé" projekty. Řekl bych, že si kvůli průniku do sítě NBU slovenská policie težko poletí pro server někam do exotických krajů. Navíc k tomu ani nemá potřebné pravomoce.
|
|
|
Mam stroj v USA, nejaci chujove si stezovali na neco ze Singapuru a musel jsem to odstranit. Chce to kdyztak nejake mensi datacentrum nejlepe kde to dela majitel s par pomocnikama, ten se jen tak nezesere
|
|
|
V autonomní oblasti Sealand je k dispozici takové centrum.
|
|
Ako poznam Pajkusa a spol., tak policia z toho stroja ziska velke gulove. Pajkus vravieval, ze vsetky logy okrem toho s pokusmi o hackovanie Hysterie maju TTL pod hodinu. a logoval toho fest malo, lebo chcel aby to bol zaroven anonymny shell pre ludi, brana ktorou je mozne ist do netu bez strachu. Vacsina accountov tam bola kryptovanych i ked samotny stroj nemal kryptovany filesystem. A malokto tam bol tak blby, aby na accountoch tam skladoval zavadny obsah (aj ked sa asi lisi predstava o tom, aky obsah je zavadny).
Cajtom islo iba o jedine, ukazat aktivitu a strpcit zivot ludom. O hysterku nejde. Pruser je kyberia. Obrovska komunita ludi, ktori prisli o postu, data, galerie svojej tvorby ci kvanta superkvalitnych diskusnych boardov. Ludia ako ja, co prisli o adresar kamosov ktory nemali zalohovany. Na druhej strane prave kyberia bude to, co ludom od vnutra zlomi krk. Na kyberii bolo cez 5000 accountov. Znacna cast z nich od ludi, ktori presli cez ciaru a dnes svoje sluzby ponukaju svetlej strane Sily. Ludi od vnutra, bezpecnostnych firiem, dovozcov hardware, ludi co si mozu dovolit postvat na policiu tlupu svojich pravnikov...
Onyx bol slusna masina za znacnu cenu, masina schopna zvladat viac subeznych pripojeni nez vacsina serverov na CZ/SK nete. Vela ludi sa na nu poskladalo a vela ludi je dnes nas... (nastvanych). Pochybujem, ze by redirektor na lacnom zeleze bol schopny takuto zataz co i len posielat dalej. Ale holt, ludia sa poucili. Ak je pravda co som pocul dneska pri pive od cloveka co ma blizko k teamu hysterie, tak klon Onyxu zo zaloh nabehne behom par hodin na novom zeleze a to je vraj zahrabane tak ze ho ani SIS nenajde 8-)))
|
|
Strestat, forensní. Proč?
|
|
|
Strestat-pravopisná chyba,
forensní-konservativní úchylka :))
|
|
|
To mam z toho, ze to po sobe nectu.
|
|
No, nevim, Roote, ale tohle mi prijde krapet naivni. Pokud si policie najde alespon trochu schopneho odbornika a nebude mit zajem na pouhe demonstraci sily (coz byl tento pripad, rekl bych), tak Ti tenhle system rozbije hodne rychle. Staci se domluvit s providerem a par dni sledovat cvrkot. Nejen presne uvidim, co ze se to tam vlastne deje, ale mohu si i rovnou dohledat, kde se dane stroje fyzicky nachazeji. Pokud me to tedy bude vubec zajimat. To s tim starym strepem je uz lepsi; na diskusni server s par stovkami lidi mi staci investovat par jednotek tisic.
Po pravde receno, s nekterymi providery se policie ani domlouvat nemusi...
|
|
|
Jak je poznamenano vyse: "a to je vraj zahrabane tak ze ho ani SIS nenajde 8-)))", opravdu je mozne schovat server tak, ze jeho hledani bude minimalne opravdu velice narocne a to bez stehovani do cizi zeme.
|
|
|
Mozna pro cloveka, ktery je odkazany na dobrou vuli prislusnych spravcu. Pokud vystupujete z pozice sily, je hledani o neco jednodussi. Nerikam, ze neni mozno dany stroj pripojit k Internetu tak, aby se dal fyzicky najit jen velmi tezko, ale pokud ma zaroven slouzit jako verejna sluzba s vetsimi naroky na prenosove rychlosti... nevim nevim.
|
|
|
Pokial idem cez sateliny connect, tak by som rad videl frajera co zisti ze som v Cesku a nie trebars v tichomori, Turecku, Azerbajdzane, Svajciarsku alebo Lichtenstajnsku...
|
|
|
Satelitni konexe ma ping 800 - 1200mS uz z principu technologie. To je nepouzitelne pro cokoliv. I anon proxyny pouzivane na bak-bak veci si clovek vybira tak, aby ping kolem 100 - 150mS splnovaly i v SSL...
|
|
|
Ono je to stejne sranda, jak se veci meni a vyvyjeji. Pred deseti lety bys za dvousekundovy ping dekoval bohum s krvavou obetou. Pamatuji si jeste takove zrudnosti ze na kamarada v baraku pres ulici jsem mel prumerny ping pres 4000 ms. Ten tracerout mi pak leta zdobil zed kanclu. Pres pet routeru na satelit, pak do Finska, pres dalsich sest routeru optikou do Ameriky, odtud pres dalsich pet routeru nekam do Svycarska, pak pres dalsi satelit, sedum routeru a dva providery konecne k nemu...
Jo, to bylo jeste tenkrat, kdyz se na nacteni stranky z YAHOO bezne cekalo deset vterin :-). A dneska progresivni mladi povazuje 1500 ms za nepouzitelne pro cokoli... Holt, asi uz starnu.
|
|
|
Zakladnym problemom Hysterie a celkovo Onyxu bolo, ze skutocne nikto nepredpokladal podbne idiotsky-zufalu akciu policie. Preto bol Onyx v normalnom server-housingu pripojeny cez sklo do hubu a nikto sa nad pripadnymi opatreniami ani nezamyslal. Robit blbosti (hackovanie) cez Onyxovy shell znamenalo nasart Pajkusa a s nim celu komunitu a to podla vseobecne rozsireneho nazoru dost skodilo zdraviu,,,8-)) Takze veci tam boli silne neskodne a to vcetne kont na Kyberii. Neviem co tam policia chce najst, skor to povazujem za akt pomsty komunite...
Inak, k tomu hladaniu servera, sam som spoluvlastnikom serverovej farmy zahrabanej v odkupenom starom bunkri po armade na blizsie nedefinovanom mieste v Cesku. Oficialne neexistuje drat co by tam viedol, pripojenie na siet 240/400V je tam este po vojakoch, silne neoficialne a s stedro zaplatenym tichym suhlasom CEZ bez papierov zrealizovane, na NET je to tam pripojene cez dva satelity, jeden patri Lichtenstaiskemu holdingu, druhy Finskej megakorporacii. Na tieto servery si zalohu dat robia tri Slovenske banky a dve dalsie velke medzinarodne spolocnosti, nehovoriac o dalsich malych zakaznikoch zo Slovenska a nemenovanej statnej institucii. Takze uz vidim Slovensku policiu ako hlAada vlastnikov servera a jeho umiestnenie a zelam jej vela uspechov... 8-)))) . Ponukal som Pajkusovi aby tam zasil klon Onyxa, ale vraj uz ma nieco lepsie... Takze sranda pokracuje...
|
|
|
Me to prijde taky jako dost srandovni pokus, ale je fakt, ze na BFU verejnost to pusobit muze. Nu coz, prijemnou zabavu. Jenom se bojim, ze za par mesicu nekdo u nas dostane podobny napad.
Co se schovanych serveru tyce, satelit je zajimavy. Ted je jen otazka, jak moc je to vhodne pro online sluzby. Me by se Vase reseni taky moc libilo, ale asi opravdu jen na to zalohovani...
|
|
|
Hmmm, Kevin, víš jistě, že jsi udělal dobře napsat tady co se týče umístění Tvého serveru? Ono totiž co se týče bunkrů (opevnění) tak jejich seznam je celkem snadno k mání a v příslušných archívech jsou seznamy s přesnými místy, kde stojí..
Na druhou stranu, nejen v ČR máme bunkry a opevnění, že... 8-p
|
|
|
Medzi nami, ten bunker je z rokov osemdesiatych a stalo pekne peniaze aby nebol na ziadnom zozname a v ziadnom archive (dufam). A mimochodom, co ak oyebavam a je to v Polsku alebo Madarsku alebo vychodnom Nemecku ??? 8-)))
Vojaci nas uistovali ze to bol novy bunker v ktorom sa mala schovat vlada a este v osemdesiatych rokoch bol TOP SECRET. A vraj vydrzi 5 megaton rovno nad nim... Dodnes nam ho armada pomaha strazit.
|
|
|
Tak to je fikaný 8-) Akorát, na druhou stranu, tak takových míst v ČR moc nejni... Imho třeba na katastrálních mapách takové věci bývají. No a když bych měl příslušnou bezp. prověrku (T, PT), pěknou obálku (Za peníze v Praze dům...) - spousta lidí neodolá. Ale to jen takové malé rýpnutí....
|
|
|
Par takovych bych znal. Treba v Brdech jsou mista, kam hodis na kopci zapalenej papir do diry a zespoda zacnou vybihat ohorely podplukovnici. Nicmene jsem rad, ze takovehle zarizeni mame vlastni, oficialni a ponekud lepe vybavene ;-)
|
|
|
no, na tvým místě bych to moc nezlehčoval, nejslabším místem bunkru je vzt. strč do ní hadr a všechno uvnitř je za poměrně krátkou dobu ztracený, protože jakmiel přestaneš chladitt, jdou všehcny racky víš kam. osobně znám taky aspoň 2 lidi, co mají svoje soukromý bunkry mimo evidenci :o)), ale mají je pro sebe - na horší časy :o)
|
|
|
Jo, v tom mas naozaj pravdu. Ale ak je VZT navrhnuta na jadrovy vybuch, tak handra ju nerozhadze. Poblemom vacsiny podzemnych bunkrov je spodna voda, a vodne chladenie (popripade vzduchove chladenie s vymennikmi) je odpovedou. Jedine riziko potom je, aby domorodci neobjavili novy "termalny pramen" pobliz bunkra a nespravili si z neho kupalisko 8-)))
|
|
|
taky záleží na tom, jak jsou velký nasávací otvory a jak je vyřešený zálohování el. ups/da - da taky potřebuje šílený množství vzduchu, ale v praxi jsem se setkal s tím, že nejkritičtšjším (po lidským faktoru) je právě vzt/chlazení. srážka s blbcem je ještě horší, i když je zase pravda, že takovej samopal na fotobuňku vyřeší většinu pokusů o přiblížení :o) jinak ten bunkr, který jsi zmiňoval, není náhodou 5 pater pod povrchem ? jeden znám, kterej se v r.2000 renovoval a tato technologie tam je umístěná - taky se s ním uvažovalo jako se záložním místem pro vládu, aby měla odkud škodit v případě války, ale nesedí mi tam ta vsuvka s čez. tohle bylo "legal".
p.s. v okolí heřmanova městce byly taky hezký podzemní továrny. člověk chcal smíchy, když vjel do stodoly kamion a za dvě hodiny tudy vyjel zase po směru jízdy ven - ty kokoti se ani nenamáhali ho tam nechat dole najet stejně, aby z toho domorodci neměli guláš v hlavě :o))
|
|
|
Je, to jste me rozesmal.. :o)))
Bud na Vasich vetach neni ani stopa pravdy nebo musite byt hodne naivni optimista.
|
|
|
Pokud nekdo tvrdi, ze je top secret, treba ti "vojaci", a ze to stalo velky penize, aby nikde nebyl videt.. nevim nevim. Verite nekomu, kdo je uplatny, nebo kdo pracuje v armade - pro stat? Ja tedy ne. Osobne bych delal takovy projekt maximalne s osobou velice duveryhodnou (blizkou), a nikoli s nejakym lampasakem. Krome toho, naco bunkr? Dle mne je mnohem nenapadnejsi si na to pronajmout normalni barak, co si pronajimaj firmy. Tyhle armadne-scifi vypadajici reseni mi prijdou opravdu prehnane. Pokud nekomu jde o utajeni ci bezpecnost, na jakykoliv kontakt se statem ci armadou bych se vysral!
|
|
|
Len tak pre zaujímavosť - koľko rádovo stojí klienta umiestnenie mašinky do Tvojho bunkra? O:-)
|
|
|
Bohuzial. Umiestnenie masinky nehrozi, iba ak by si bol mooc dobry kamos. Toto je riesenie only pre zalohovanie dat a ich bezpecnu obnovu. So spec. softom kupenym od NSA ktory data kryptuje na strane odosielatela. Takze vlastnik zalohovacieho servera nemoze data rozsifrovat. Iba ich sleduje a spravuje. 4096 bytovy kod k dekryptovaniu dat je vypaleny na karte (kartach) vlastnika... A cena, dohodou... Radovo sto tisic € rocne a viac...
|
|
|
To je cely nejaka hovadina, si tady honis i-pero ne? proc by to banky delaly takhle slozite? posilat data na nezname pocitace ulozene nekde v tajnym bunkru. Banky a natoz statni instituce maji k dispizici 100% bezpecna mista - treba si HW muzou dat do sejfu...Ten satelit si taky zvladnou zaridit a fakt nevim, proc by sverovaly svoje data nejakym "underground" specialistum. Co by na to rekli akcionari?
|
|
|
prave Pajkusovci ukazali ako 100% su zabezpecene statne institucie na SVK
|
|
|
ano, statni instituce jsou zabezpecene na h..., ale velke banky patri nadnarodnim korporacim a ty pracuji na jinych standartech nez ministerstva...
|
|
|
Mam shodny nazor, jak jsem jiz psal. Je mnoho opensource reseni se 4096 bytovym kodem, dale existuje PGP freeware, kde je taky 4k sifra, a nepotrebuju na to nejakou podelanou kartu s cipem - na ten klic staci USB klicenka, resp. i pamet, co mam ve svych starych digitalkach :-)
|
|
|
Je skoro jasne, ze Kevin nehorazne keca. Ale jedna vec v jeho prispevcich ma logiku. Co se tyce bank, tak tam ani tak nejde o to ochranit zelezo pred zhabanim policii jako spis o to, ochranit data na bezpecnem miste. A tam je vic jak zadouci, kdyz je to misto hodne daleko od banky samotne, nejlip v jinem meste nebo dokonce v jinem state. Pak totiz pri pripadnem pozaru / povodni / padu letadla / lokalnim ozbrojenem konfliktu / politickem prevratu / obcanske valce nehrozi nenavratna ztrata dat.
Mementem at je treba pripad firem sidlicich ve WTC, kde znacna cast z nich mela sve softwarove zalohy na CD nebo HDD v trezoru primo v prostorach firmy nebo na serverech v druhe vezi WTC...
|
|
|
Můžu se zeptat, které tři slovenské banky takovýmto způsobem zálohují data?
|
|
|
Tuším dvě z nich... jsou to První Vymyšlená a Všeobecná Fantazijní :D
|
|
|
Akta X hadr, pravda je totiž tam někde venku Skalijová.
|
|
|
Kevine kdyby byla tvoje server farma tak strategicka jak tvrdis, urcite bys o ni takhle nevypravel. Nebo se mylim ?
|
|
|
Opravdu moc hezká pohádka takhle na horký letní večer, hodně mi to připomíná mládí :)
|
|
|
Zrovna jsem chtěl podotknout něco podobného. Pokud ISP bude spolupracovat s policií, bude možno snoopnout provoz směrem *ze* serveru - tcpdump -i net0 -vvv 'tcp[tcpflags] & (tcp-syn) != 0 & src rootuv.strep.cz' a veškeré pokusy o spojení z frontendu kamkoliv jsou monitorovány. Pak stačí udělat několik requestů a podívat se kam se to naše reverse proxy kouká pro data...
Teorie praví, že se to dá dělat distribuovaně - komunita si dá dohromady několik otlučených střepů, dá na ně data a rozmístí je po všech čertech s tím, že pokud jeden z nich spadne ať už díky policejnímu zásahu nebo protože je to starý střep, tak se přestane používat a výpadek je nula.
Jak již někdo napsal, je vhodné, aby data byla umístěna mimo jurisdikci PČR a kontakty v RIPE byly taktéž mimo ( Není od věci, pokud například napíšeme někomu na Bahamy, aby pro nás zaregistroval doménu ilegalnikontent.cz.) - potom stačí přijít do hostingového centra s dalším střepem a znovu vypáleným CD, ze kterého nabootujeme - ještě lépe máme těch frontendů více a DNS je rotuje, pak odepíšeme jeden hosting a zajdeme jinam - strýček na Bahamách nám opraví IP v DNS a je to.
|
|
|
Tam nastava trochu jiny problem - jak chcete udelat distribuovane webovy diskusni server? Sit IRC serveru je neco jineho... Pripadne dalsi veci - namatkou zalohovani. Tady vazne nevim a ptam se.
|
|
|
No zakladní problém je v tom, že musíte mít data mezi sebou replikována prakticky v reálném čase, takže asi nezbude než se smířit například se třemi daqtovými servery v různých častech světa a z frontendů zapisovat na všechny. Díky tomu máte vyřešenu i otázku backupu.
Jednodušší možností je mít připravenu strukturu na druhém serveru a v případě průšvihu buď manuálně nebo skriptem vylít do připravených tabulek poslední backup diskusí a předělat DNS server. Sice pravděpodobně o něco přijdete, ale u těchto diskusí to většinou zas tak moc nevadí.
Jako zajímavá se mi v tomto případě zdá myšlenka (ilegální) využití nějaké sítě botů (např. Gaobot), kteří se registrují na IRC a lze je tudy také řídit centrálně - tyto sítě sice stojí nějaké peníze a zatím je nakupují akorát spammeři na rozesílání těch svých sra..k, ale použít je s rozumným GeoIP modulem k distribuci obsahu by mohlo být zajímavé - prostě vložíte síť botů mezi frontend a databázi - sice to stále potřebuje doladit, ale představuji si, že by to fungovalo podobně jako Bit Torrent - tracker (frontend) bude do databáze zapisovat, co komu dal, a když někdo něco bude chtít, zeptá se databáze kde se to dá sehnat.
Záloha by v tomto případě proběhla tak, že vezmete databázi a řeknete si o všechny informace. Výhoda spočívá v tom, že pokud budou chtít policajti někoho sebrat za ilegal content v pičitači, dojdou k hovadu, které nechápe, že ne všechno je na kliknutí a má tam moře virů a jiné havěti...
Slabina tohto systému je, že nemusíte vždy dostat úplně všechna data, která chcete - třeba zrovna všichni kteří mají můj předchozí komentář na svých počítačích je zrovna vypnou. Nicméně systém je prakticky nezničitelný v tom, že prakticky vždy dostanete alespoň něco z obsahu, což je myslím to, co by v případě hysterky asi namíchlo policajty nejvíc. Nicméně vzhledem ke komentáři k onyxu výše, je jasné, že pro hysterku by se asi tento model nehodil...
|
|
|
riesenie moze byt vmware...
|
|
|
tohle je hezky ideal ale v produkcnim prostredi nepouzitelny. pokud bys chtel mit online a standby db server s daty ktera by pouzival(y) frontend(y) s podminkou ze stby musi obsahovat presnou "realtime" repliku primaru muzes pouzit treba mssql enterprise server a log shipping (transfer transakcnich logu...) ... lze nastavit aby se kazda zmena na primaru projevila na (pripadne a nejlepe dislocated) stby ... a bla bla proste budes mit dva db servery se stejnym materialem v db, nevim jestli nejake dalsi db stroje umi log shipping, vim a umim to jen s ms sql ent 2k ...
na frontendech (ktere mohou byt opet resene jako primar a st-by a hlidane necim na zpusob round-robin dns [je primarne urcen pro load balancing ale ale ale ... pokud jeden server lehne mel by to druhy pokryt bez toho aby klienti neco poznali .... ] ....) .. tedy na frontendech pak spustis aplikaci ktera monitoruje stav db serveru a pripade selhani jednoho se jen prohodi role primar/stby
k prizpevkum o podzemnim bunkru se zalohami bych jen podotknul cosi bezbrehe fantazii neznalkove, jednak vzhledem k nesourodosti vyjadreni (nakdo o tom nevi vs. hlidaji mi to vojaci), vhledem k castce / rok ktera mi pripada nesmyslna a rekl bych ze pokud by se uz v nejake bance zahajil proces majici za cil schvaleni takovehoto reseni zaloh, skoncil by nejdale u feasibility study / ROR study :)) .... uz vhledem k existenci mnohem lepsich reseni ... videl jsem treba reseni db serveru drziciho velmi klicovou dabazi jedne velke evropske banky (konkurencni...) vcetne umisteni stroju, vybaveni stroju, zalohovani, recovery modelu ... a rozhodne jsem nikde na diagramu celeho reseni nevidel "zlaoha v bunkru" .... mozna stoji za podotek ze banka nebo respektive servisni organizace teto banky zajistujici provoz tohoto reseni pro danou banku nabizela a prodavala cast kapacity tohoto zarizeni mensim bankam ktere si z principu veci nemohly takoveto robustni reseni dovolit ... a blablabla ... dost kecu :), do tance mládeži ... proste pochybuji ze clovek ktery ma urcitou uroven znalosti (a to na provoz takovehoto reseni mi _musi_) takhle placa ... a pochybuji ze by s takovou klientelou zvladal administrativu kolem vcetne 24/7 onsite podpory sam :] ....
|
|
|
Ovsem tohle neni standardni postup a necekej od policie nic jineho, nez standardni postup. Krome toho, osobne znam spise providery, kteri policii poslou do haje, nez aby pro ni delali neco, co nemusi...
|
|
No tedy nechci se nikoho osobně dotknout, ale Kevin mi připadne mírně řečeno velká huba. Vyzvonit tolik věcí, zřejmě ošetřených smlouvou (pokud vůbec pravdivých), mi připadne jako nafukování vlastního ega na populárním fóru. Vše
|
|
|
Proc ho brzdite? Jen at povida... kdyz clovek necha takhle verejne nekoho poustet hubu na spacir, dozvi se casto zajimave veci ;-)
|
|
|
Nikoho nebrzdim, az nekdo takhle shodi D-F, prijde mi to lito
|
|
|
-Bylo nás třináct, ale jeden zradil.
-Zradil?
-No, zradil. Blbě kecal. Všechno vykecal.
-Co vykecal?
-Všechno.
-Co tak namátkou....?
-Třeba to nejdůležitější, kolik nás je!
|
|
|
8-)))
Vzdyt prave. Princip je pravdivy. Pres satelit muzes datawarehouse umistit kamkoli. A pokud satelit vlastni Lichtensteinska holdingova spolecnost se sidlem v Paname, maji policajti smulu a ani nemusis resit redirekty nebo replikujici se databaze. A kam konkretne ? I ten warehouse existuje. Ale kde ? Mozna je to v Cesku, mozna ne... 8-)))) Neboj, vim co delam a lhat FUCKT nepotrebuju... Pokud mas par penez, umistis na web cokoli a kazdy ti muze akorat tak polibit...
|
|
|
No, me se take zda ze prehanis, ale z jineho soudku. Osobne jsem navstivil vrchni velitelstvi letecke obrany (za vyzrazeni mista je pry horsi sazba nez za vrazdu - na to jsem byl upozornen takze si misto nepamatuji a neptejte se, fakt nevim) a muj usudek je, ze 300kg puma ho vyradi a ne tak 5-ti megatunova atomovka.
Je to sice cca. 15m pod zemi, ale i 300kg puma se zavrta dost hluboko na to, aby zpusobila silny otres a nasledkem toho povypadavaji kabely pocalum, nebot nejsou ani zajistene sroubky - cize ze tam maji zalozni pocaly a dve hlavni mistnosti (zaloha opet) jim nepomuze :) A nez na tohle obsluha prijde, tak bude po valce :)))
Pokud 5M atomovka buchne 1km vysoko nad tim, tak je to v pohode. Stromy, hlina + silne vrstvy betonu vse odstini. Ale primy zasah bude vypadat tak, ze se bomba provrta tak 5 - 7m do zeminy a tam buchne. 2x 5m (odhad podle klesani zakrivene chodby do vnitra) betonovych plastvovanych sten to proste odpari a bude povsem.
Kdyby nekdo chtel vedet co jsem tam delal, tak jsem tam byl na spionazi na falesnou propustku :))) Ne, vazne. Byl jsem tam na falesnou propustku (ufff) sice doopravdy ale nebyl jsem na spionazi, ale byl jsem nainstalovat zalozni ampro - projektor kterym se promita mapa CR na stenu v operacnim sale a vidite tam letadylka a vubec vsechny objekty zachycene nasimi radary :) Takovy jednodussi NORAD s spici obsluhou, no :)
Jinak musim vyjadrit uprimnou soustrast provozovatelum a uzivatelum zabavenych serveru a doufat v to, ze grazla co si takhle chtel vylit vztek stihne nejaky postih, protoze takove flagrantni prekracovani pravomoci verejneho cinitele by nemelo zustat beztrestne - nebo to zopakuji, svine :(
|
|
|
Trodas, tos nebyl v zadnym velitelstvi. To byl nejakej prirucni bunkrik pro MUKLY (muze urcene k likvidaci). Je to sice uz par let ale na vojne jsem byl v opravdovych bunkrech v zapadnim vojenskem okruhu. Zatec, Slany, Louny, Postoloprty apod. je jich tam jak maku a ty nejlepsi jsou tak 100-150m pod zemi. Dole jsou troje dvere cca 50cm pancir a mezi nima jsou detox komory. Filtrace vzduchu fungovala tak, ze nebyl problem tam hulit jednu od druhe. Spousta bunkru byla jako zaloznich ve kterych se nic nedelo jen to bylo nachystane ve stejnem provedeni vetsinou kousek za nejakou pidivesnickou maly oploceny objekt tvarici se jako vodarna nebo neco na ten zpusob.
|
|
|
Bohuzel, takto trapne vypada skutecne vrchni velitelstvi protivzdusne obrany CR. V zadnem bunkru 150m pod zemi to nebylo - tak spatny odhad abych si spletl cirka 15 - 20m za 150 snad nemam :)))
O cirkulaci vzduchu jsem nerikal nic, ta byla ok. Vic me vadil sileny problem se statickou elektrinou - prinejmensim v vyvysenem prostoru kde jsme vymenovali ampro byly u kazdeho pocalu pridelane vybijeci desticky na stole (!) a clovek furt dostaval do sebe statickou elektrinu, no hruza a des...
Jinak silne pochybuji ze v bunkru pro MUKLY maji za par milionku promitaci zarizeni na promitani mapy CR (+ okraje, samo) s realtime se pohybujicimi letadylky s infos o sobe :) A to jeste zdvojene.
Jinak cca 150cm pancerove dvere meli a to troje - pronaset pres jejich prahy ampro bylo fakt libove SM... Ale vic nez dvere me upoutaly ty kulickove loziska na kterych se dvere otacely - neco takoveho se jen tak nevidi - ta velikost, oooooch :))))
Jinak dvere byly vsechny otevrene - asi nebyl stav bojove pohotovosti, ci co - a obsluha si cetla magazin hifi nadsencu Stereo a posleze zcela apaticky spinkala :))) Tak vypadalo vrchni velitelstvi protivzdusne obrany CR jednu noc v cirka. srpnu 1993 ...
|
|
|
joooo...tak to jsi byl tkz. na sále, neboli u byvalych sklomrdu. Tenkrat to ani nebylo v podzemi. Na jedne strane skla sedeli gumaci a cuceli na to jak z druhe strany sklomrd pise zrcadlove obracene serii deseti cisel do sektoru kde je letadlo a druhou rukou odmazava stare udaje. Kdyz bylo ve vduchu vic jak deset letadel byl to zazitecek jen se na to koukat. Ale to fakt neni zadnej bunkr pro pripad valky ty vypadaji kurva jinak.
|
|
|
Tak tos ted hochu prozradil zavazna takticko-technicka data, coz vyrazne snizilo obranyschopnost nasi republiky.
|
|
|
Ver tomu, ze tady zadna "obranyschopnost" neni. Me tento sok (uz jen to, ze me do takoveho objektu pusti s cizi propustkou bez bezpecnostni proverky a s tak trapnou zaminkou, ze druhy pracovnik je nemocny...) potvrdil muj dlouholety nazor, ze placeni lidi co si hraji na vojacky jsou zbytecne promrhane penize.
V kazdem state na svete.
NORAD mel temer 42min na sestreleni kazdeho z letadel jenz to zapichly do WTC vezi a co udelal? No? No nic :)
V tomto pripade to bylo spis tim, ze tady byl zajem nic neudelat a befel v tomto smeru - ale to je druha vec. Tak jako tak, armada jenz si US obcany vydrzuji nezabranila zasahu a to je letiste Otis Air Force Base je jen 7 minut letu F15 od WTC... (Let 11 unesen 8:14 a naraz do WTC 1 v 8:46)
Jaky lepsi dukaz neefektivnosti armady muze kdo podat?
Ze by Mnichov 1938? Anebo 1968? Ci bitvu na Moravskem poli? Anebo Husity, jenz triumfovali aby se nakonec nechali rozlozit zevnitr a pobili se u Lipan navzajem?
|
|
|
A o ktory NORAS ide?
O tento? www.norad.no co je The Norwegian Agency for Development Cooperation (Norad) is a directorate under the Norwegian Ministry of Foreign Affairs (MFA).
alebo tento? www.norad.mil
Som z toho dajaky popleteny :-)
|
|
|
ano, prave jsem napsal podobny prispevek o kousek vyse....
|
|
Z duvodu ze IFPI a OSA se nelibi ze jsme na Internetu zverejnovali mixy v MP3, tak jsme server zaregistrovali a presunuli do zahranici - parametry - unlimited disk space, unlimited traffic, unlimited email addressess - a to vse za cca 10 tis. Kc na rok ... viz server djpromotion.net
|
|
dost dobrý komentář:-)
http://www.dusky.sk/halbot/?id=2461
|
|
M4F]O=&4L(&1O8V5L82!B>2!M;F4@>F%J:6UA;&\@:V1O(&IS=&4@.BTI+@H*
M5B!C;&%N:W4L(&MT97)Y(&IS96T@<')E9"!N96MO;&EK82!M97-I8VD@<')O
M($0M1B!P<V%L(&IS=&4@<V4@=B!K;VUE;G1A<FEC:"!P=&%L(&IA:R!T;R!J
M92!S92!M;F]U("AF:7)M82!Z86-I;F%J:6-I(&D@:V]N8VEC:2!N82!S=&5J
M;F4@<&ES;65N;R`_("DN(%8@97)R;W(@;&]G=2!S97)V97)U('IA(&-H=FEL
M:2!N96-H86T@=GIK87H@+BXN('1A:R!S92!M:2!K9'EZ=&%K(&]Z=F5T92X*
M"E!3.B!$;W5F86TL('IE(&5R<F]R7VQO9R!N96UA(&YA($0M1B!45$P@=&%K
.>2!H;V1I;G4@.BTI+@IE
`
end
|
|
|
Sorry, ale dekodovat to nebudu...
pokud mi chces neco napsat, root.ftp.warez.org na centru...
|
|
Co se aktualizace deni kolem NBU tyce, doporucuji
http://www.sme.sk/c/2818624/Hackeri-o-NBU-heslo-nbusr123-stale-funguje.html
abyste pochopili, co se novinari v SME snazi sdelit, potom
http://www.hysteria.sk/
pripadne http://www.nbusr123.sk/
|
|
tak ten navod na zabezpecenie servera je ozaj UNIX style - kazdy UNIX administrator ma predstavu ze to stare zelezo najlepsie nejake PC skladane doma v garazi je na jeho server ako stvorene. wake up kamo...
|
|
|
Aaa, progresivni mladi dorazilo z diskoteky. Tak povidej, na cem bys postavil zabezpeceni takovehleho projektu Ty? Koupil bys ze sveho server za dve mega, nainstalovat Windows Server 2008 a zacal programovat? A pak si to nechal zabavit nebo 'nahodou' znicit'? Rootovo reseni je v principu pouzitelne a zivotaschopne - to, ze neni pouzitelne s produkty pana Branky na tom nic nezmeni.
Vyjimecne tykam. Predpokladam, ze je mezi nami rozdil cca 20 let veku a 10 let pracovnich zkusenosti. Uvidime...
|
|
|
Nic takoveho v clanku neni, je tam pravy opak takoveho tvrzeni (kdybych mel server poskladany ze stareho srotu, tak by mi bylo jedno, ze mi ho seberou). Ovsem na stroj, ktery dela kuprikladu jen portforwarding nebo jinou vykonove nenarocnou cinnost (db klient na frontendu), nejaky strep naprosto staci.
Muze mi nekdo rici, proc sem lezou osoby, nedisponujici schopnosti porozumet psanemu textu? To je ted nejaky novy trend?
|
|
|
"Štěstí však přeje připraveným. Policista si tedy radostně odnáší náš hardware - nějaký starý střep, na kterém žádná data nejsou."
presne taka vec tam teda je
je jedno co ten stroj robi ale pokial ma byt stale zapnuty tak to nemoze byt "Stary crep"
uz len kvoli diskom musis mat na serveri nejaku technologiu zo serverov
napr SATA disky su navrhovane na zataz 8 hodin denne a vydrzia cca 500000 hodin bez chyby kdezto scsi disky maju tento cas 3x vacsi a su robene na prevadzku 24x7x365.
v principe mi nic na tom clanku nevadi akurat ten navod ze jak to treba robit sa mi zda dost zastaraly
nemoze byt predsa hociktora cast nejakeho systemu tak slaba - to by zrovna aj ostatne casti mohli byt na rovnakych crepoch lebo vzdy je system tak stabilny jak je stabilna jeho najslabsia cast
a toto viem aj ja:
moze mi niekto povedat preco tu pisu clanky osoby ktore nedisponuju zakladnymi znalostami problematiky o ktorej pisu? to je teraz nejaky novy trend?
|
|
|
Kvuli jakym diskum? Cituji: "nějaký starý střep, na kterém žádná data nejsou." A kdyz nejsou data, nemusi byt ani disky. Nejake Knoppix CD s mirne poupravenymi startup scripty to resi, BootROM v sitovce taky atd. Dale, nikde nebyla rec o SATA discich, starsi SCSI disky take sezenete za par korun atd. (btw 500000 hodin je dostatecne dlouha doba. kdyz si uvedomite, ze rok ma cca 8000 hodin, tak je-li z toho disku jen bootovano a dale se jen toci, aniz by byl jinak uzivan, velmi pravdepodobne vas prezije).
Takze i nadale plati ta poznamka o neschopnosti porozumeni psanemu textu.
|
|
|
heh ted ctu tudle diskuzi a jen kroutim hlavou
ve clanku je vyslovne napsano ze boot muze probihat z cdrom disky tam zadne nebudou jen ram disk a zadne data na men skladovane nebudou a nekdo tu placa kraviny o vydrzi serveru, disku atd.. ja se vam divim Roote ze na to vubec reagujete.. ten pan co to psal ma asi nejakou selektivni slepotu kdyz je schopen citovat casti textu a pritom uplne ignorovat jine :) ja nkdy neveril ze se to muze vyvinout az do takoveho stadia :)
|
|
|
ja som sa so serverom bez disku este nestretol.
ak to ma byt iba poupravene cd tak to policajtom setri pracu - nemusia brat cely stroj ale staci si zobrat to cd z mechaniky jasne ziadne data tam niesu. ono ti policajti su uplne blbi a zobrali ten server kvoli datam na tom ulozenych lebo predpokladaju ze kazdy user tam ma ulozeny svoj zivotopis a adresu. aj tak by trvalo asi tak 30 minut zistit kde je ten druhy server
pokial normalny administrator administruje nejaku aplikaciu tak chce vediet ako funguje cize potrebuje nejake logy - neviem kam sa budu na tom starom crepe bez diskov ukladat.
cela ta cast clanku s tym navodom je tak realna ako film "siet" so sandrou bullock skratka fuserina hrubeho zrna
|
|
|
Jestli Ti mohu dat nejakou radu, tak nekecej do toho, o cem vis uplny kulovy. 'Kde je druhy server' muze take znamenat, ze je na druhem konci sveta - a co potom, aha? Logy se naprosto bezne posilaji na vzdaleny server... jo aha, Ty znas jenom Windows. Tak oprava - naprosto bezne v oblasti skutecnych serverovych operacnich systemu a ne klikacich hracek. My mame na jednom serveru soustredene logy z cca dvaceti masin, a to se tam jeste filtruji, analyzuji, pocitaji se statistiky a tak dale - to jsou veci, co?
No a na zaver - nemyslis, ze pises o neco rychleji, nez uvazujes? Proc asi tak policajti oficialne server zabavili? No prece aby nasli ty logy, uzivatelska data, maily, hesla... Takze kdyz budou mit strep se systemovym CDckem, maji co? Hovno maji. A my mame pred sebou ukol asi tak na pul dne - sehnat novy strep, vypalit dalsi kopii zmineneho CD a umistit na dalsi housing.
|
|
|
Naopak, ta cast clanku s tim navodem je NAPROSTO realna, vcetne toho, jak zamaskovat, kde je ten druhy server.
Pro nechapave: Dostane se ti do ruky strep, bootujici z CD-ROM. Rekneme, ze na tom CD-ROM je Slackware (at je ten priklad co nejjednodussi) a v /etc/rc.d/rc.inet1 je nasledujici radek (jedina stopa):
iptables -t nat -A PREROUTING -d www.dfens-cz.com -p tcp --dport 80 -j DNAT --to bflmpsvz.dfens-cz.com:80
no a ve chvili, kdy server www.dfens-cz.com prestane po dobu treba deseti minut odpovidat na ping, automaticky se pusti script, ktery smaze ze zony dfens-cz.com hosta bflmpsvz, inkrementuje seriove cislo zony a pusti ndc reload nebo rndc reload (pominte tady, ze si mohu BIND prepsat tak, aby odpovidal na stejne DNS requesty z ruznych IP adres ruzne).
Z vasi strany ocekavam argumenty, proc je neco takoveho nerealne. Kritika je fajn vec, ale musite mit alespon ramcove tuseni, co kritizujete. To ani nahodou nemate.
|
|
|
A ano, logy na tom strepu v tomhle pripade vubec nepotrebuju. K cemu taky - abych logoval jednotlive packety? ;-)
|
|
|
Roote, nechci se hádat, jen doufám, že tvůj návod někdo nevezme vážně a s falešným pocitem "bezpečí" nespadne do průseru.
Tedy pojďme argumentovat.
Pokud zůstanu u tvého modelu, je nesmysl používat "fintu" s DNS záznamy. protože i když (jak říkáš) zakážeš axfr, zůstane resolvovaná adresa v cache asi každého dns serveru, který bude po cestě a věř mi, velká část serverů cachuje. Bez ohledu na to jak nastavíš ttl, protože i ttl má rfc danou jakousi minimální hodnotu a divil byses, jak se to (zejména u providerů) dodržuje.
Praktičtější tedy bude komunikovat (stále jsme u tvého modelu) via ip adresu, ostatně ono je to úplně jedno, ta bude přece na stroji určeném "k zabavení" natvrdo zakompilována do jádra, zašifrováno a jádro ji hned tak nevydá... že?
Jenže připusťme, že policie není až zase tak hloupá. Přijde si k providerovi zjistit informace, zjistí, že to nevypadá nejlépe a tak si nechá monitorovat provoz, třeba jen pár hodin. A půjde zase o kousek dále, k dalšímu uzlu.... kde dle tvého modelu již budeš sedět ty. Nebo tvůj "cenný" server. Nekonečně moc těch skoků udělat nemůžeš, každý forward přece jen něco málo zabere a dostaneš se velmi rychle mimo reálné odezvy...
Pojďme si tedy říct optimální model. Tím je v našem případě komplexní stroj, pravidelně zálohovaný, umístěný v serverhouse, kde.... pracuje tvůj člověk. Ty si k umístění serveru najmeš (v podstatě zcela snadno) anonymně firmu která jej zprostředkuje (možná i ta patří někomu z tvých lidí) a budeš mít housovaný server pod spolehlivým dohledem tvého člověka přímo na místě, kde by případně vyštřování / zabavování probíhalo. Můžete se společně dobře bavit, jak hezky se strážci zákona baví tebou dobře připravenou hrou.
Man in the middle.
Samozřejmě, že by to šlo udělat ještě mnohem lépe.
|
|
|
Proboha, co to placate?
TTL je nejake minimalni? No to je, nula. Existuje sice dokument, ktery obsahuje doporucene hodnoty pro TTL, ale na to se Vam muze kazdy vyflaknout. Provider nastavi, co mu reknete, pokud to neni uplny idiot. Maximalne ma narok rict, ze se mu to nejak nepozdava, jestli na tom trvate. To o udrzovani v cache dele nez je v master zaznamu je uz uplny blekot. Proc by tam potom vubec nejake hodnoty byly? Pokud by tohle nekdo delal, porusuje RFC i celou logiku veci.
Ten napad s clovekem u serveru ma jednu drobnou vadu. A tou je prave situace, ktera nastala. Pokud k Vam vtrhne policie s tim, ze mate navalit server, tak Vam zadny cas na nejake pokusovani nezbude.
|
|
|
Klasický únik z diskuse, vynechání celé argumentace a pokus o demagogii, nezlobte se, ale to je váš příspěvek.
Vůbec jste nepochopil o čem se bavíme - provider s vámi nebude diskutovat o žádném nastavení expirace záznamů ve své cache a je běžné, že má minimální hodnoty nastaveny na jím určené hodnoty, minimálně pokud jde o minimální hranice. Vy zřejmě mluvíte o providerovi, který bude nastavovat TTL ve vaší zóně vedené u něj - to asi ano, ale už jsem to dlouho neřešil, mám dostatek vlastních ns ve své správě, takže si to nastavím sám ;-)
Vynechte prosím v diskusi slova jako "plácáte", "blekot" a podobně. Jednak jsme zde mezi dospělými lidmi a profesionály, jednak nejsem na podobný styl vedení diskuse zvyklý. Pokud se vám to nezdá, nejste nucen reagovat.
K poslednímu odstavci - nebudu to už dál rozvádět. Nechci vás poučovat o detailech zařízení komunikujících v server house, o linkách vyvedených mimo house, o SAN/NAS... komplikovanosti identifikace strojů propojených autonomní sběrnicí atp. To jsou vše pouze možné konstrukce (z mnoha dalších) a rozhodně v poměru cena/reálnost/dosažení cíle vhodnější než různá scifi o satelitech psaných na ugandské společnosti, přes které zálohují Nejmenované Banky (NB) :-)
|
|
|
Je mi lito, ale pokud zacnete vykladat naproste nesmysly, nemuzu reagovat jinak. Ja se totiz o DNSka u docela velkeho providera staram - jak o autoritativni, tak o cache. Takze opakuji - pokud nekdo nejakym silenym hackem bude drzet RRka v cache dele, nez je jejich TTL, porusuje RFC i celou logiku veci. Muzete tedy svoje opacne tvrzeni nejak dolozit? Pokud si autoritativni DNSka spravujete sam, neni uz vubec co resit (mozna jsem to mel zminit - popisoval jsem jedinou regulerni moznost, jak menit TTL regulerne - neboli zmenou v zone na danem autoritativnim serveru). A ano, o problematice SAN infrastruktury, housingu a podobnych vecech take tak trochu neco vim, nemusite se namahat.
|
|
|
Jeste se nestalo, ze by policie pozadala ISP o sledovani provozu nejakeho uzlu. Zatim vzdy jen o identifikaci uzivatele nebo o vydani veci.
Nechtel jsem tu popisovat nejaka supersofistikovana, draha a zvlastni kontakty vyzadujici reseni. Jiste, jde to i takhle. Jde to i tak, ze si zalozim vlastniho fiktivniho ISP nekde v nejake offshore destinaci (kde budu mit jen postovni schranku), budu si na tuto offshore firmu platit LIR, nekde si na uplne jinou firmu pronajmu par kusu optiky do nejakeho telehouse, tam si koupim konektivitu, navazne kousky si sam na cerno zakopu do zeme (nekde pod smetistem, nejlepe) a servery budu mit umistene treba v nakladaku, s nimz je mozne v pripade potreby rychle odjet (+ naplanovane unikove trasy tak, aby mne policie nebyla schopna sledovat). Ale to vsechno stoji nehorazne penize a proti tomu, co provedla policie Hysterce je to dost zbytecne. Jasne, pokud by PCR nebo PZ SR nebyly tim, cim jsou, mozna by to davalo smysl.
|
|
|
"Jeste se nestalo, ze by policie pozadala ISP o sledovani provozu nejakeho uzlu."
Kdoví? Nebudu se hádat.
"Jde to i tak, ze si zalozim vlastniho fiktivniho ISP nekde v nejake offshore destinaci (kde budu mit jen postovni schranku), budu si na tuto offshore firmu platit LIR, nekde si na uplne jinou firmu pronajmu par kusu optiky do nejakeho telehouse..."
No, dodal bych, že na offshore operacích jsem osobně pracoval v destinacích od Baham po Kypr a nutno říci, že realita je poněkud jiná, než se při pohledu z Čech může zdát ;-) Ale jasně, myslím, že nejsme v opozici - je to o konkrétní situaci a hledaném řešení ve vztahu k mnoha hlediskům. Vaše řešení je funkční s výhradami které jsem uvedl - snížení spolehlivosti, prodloužení odezvy, zvýšení trafficu (který pak následně při velké aplikaci může v součtu stát díky přesměrování více než stroj "k obětování"), dosledovatelnost pokud to někdo skutečně bude chtít.
Pokud by mi šlo o stroj - pak se budu snažit žádný nemít, pronajmu si jej a bude mi to fuk.
Pokud by mi šlo o data a kontinuitu, budu mít backup a pravidelně synchronizovat.
Pokud by mi šlo o zajištění dat v železe, budu mít šifrovaný fs a odšifruji jej v době bootu dálkově, nebo bude ve skříni pojistka, která pozná, že s tím někdo manipuluje. Triviální.
Chápu, že proti vám nejde CIA :-)
|
|
|
Ja vim. A nepovim, protoze nesmim. Nicmene odpoved je tim padem asi jasna, ze.
|
|
|
"(pominte tady, ze si mohu BIND prepsat tak, aby odpovidal na stejne DNS requesty z ruznych IP adres ruzne)"
Vida, podle tech technickych detailu s updatu zony asi chcete ukazat, ze tomu opravdu rozumite -- alespon vam usetrim do budoucna praci, BIND nemusite prepisovat, ruzne odpovidani na stejne DNS dotazy z ruznych IP adres BIND umi a bezne se pouziva, hledejte "views".
|
|
|
'chjooo, ty budes ale kus vocasa.
Kdyz jsi taky chytry a moudry, muzes mi rict, proc se takovy ty picovine, kde z jedny strany strkam konektor od tiskarny a z druhy strany RJ-45 z LAN, nadava tiskovy server?
Mimochodem, uz jsi slysel nekdy o programu syslog???
Prozrad mi, odkud vlastne jsi? To jste tam vsichni tkhle chytri? ;-)
|
|
|
tak pokud to nevíš, tak i windoze xp pro (ze kterych zrejme pises ty sve zvasty...) umi logovat na jiný (vzálený, dislokovaný...) systém ... jak myslíš že se sbírají logy v bezpečnostně kritických prostředích? ... myslíš jako že logy v prostředí kde je 10 - 12k strojů leží na discích těch strojů? :)))) hah ...
|
|
|
Pokud nemas moc pristupu na disk (a ze je navrh nepredpokladal), tak nevim, kde je problem ;-)
gilhad@skuld gilhad $ uptime
23:24:49 up 540 days, 10:49, 1 user, load average: 0.07, 0.02, 0.00
"server" za 2K z bazaru, tento uptime bezi od koupe a instalace UPS, protoze me stvalo, ze mi predchozi uptimy schazovali sousedi procvakavanim pojistek ;-)
(Jo, mam tam ted houby zatez, ale jak clanek pise, o discich to neni a pamet slouzi dobre)
|
|
V linuxu a dalsich systemech neni problem sifrovat cely filesystem. Pocitac tak bootoje z flash klicenkz ktera take obsahuje sifrovaci klic, tu lze nosit vsude sebou. Pokud policie server vezme, tak ho pravdepodobne i vypne, tim prijde i o klic ktery je ulozen pouze v RAM. Ma jen hromadu binarnich dat, bez flasky je nerozkoduje.
|
|
|
To je dobra idea, ale takova trochu neprakticka. Kdyz ten stroj vypadne (napr. jen kratkodoby vypadek bapajeni), musite se k nemu vypravit -> spatne.
|
|
|
No, ja bych u udelal spis tak, ze po vypadku napajeni stroj nabootoje jen tak, aby umoznil vzdalene ssh. A tim se pak muzu prihlasit odkudkoli a klic k odsifrovani disku mu poslat pres ssh (díky ssl by mělo být u internet providera neodposlechnutelné).
Jediné nebezpečí je, kdyby se mi do serveru dostali fyzicky, udělali z něj honeypot a pak si počkali, až budu přes ssh zadávat to heslo/klíč.
|
|
Pánové a dámy, všichni obšírně řešíte problematiku šifrování dat, technického fungování serveru a další blbosti. Nedivím se. Jse asi samí "drátaři". A ti mají poněkud omezené vnímání světa. Já sám vidím, že někdo spáchal trestný čin proti NBÚ. Naboural se do sítě a svůj čin popsal na Hysterii. Kdybych měl podobnou akci vyšetřovat já, určitě bych se také podíval do logů hysterie. Je to prostě server, kde se podobná komuniota schází a kde je možné objevit po pachateli stopy. Nebo je zde někdo, kdo by tento čin schvaloval? Je tento čin obhajitelný tím, že síť byla mizerně zabezpečena a že správci zaspali a na svou práci házeli boba? Když budete mít byt a někdo vám ho vybílí jen proto, že jste neměli bezpečnostní zámek, budete s tím OK?
|
|
|
Ono pokud se nekdo naboura do soukrome firmy, je to rozhodne spatne, at uz je jakkoli zabezpecena (samozrejme s vyjimkou firem, co se zabyvaji pocitacovou bezpecnosti). Ovsem instituce, ktera si rika "Narodni Bezpecnostni Urad", by o te bezpecnosti prece jenom mela neco vedet - nota bene je placena z dani i toho, kdo se do ni naboural.
|
|
|
skoro bych řekl, že nbu je organizací, kde by měla mít data extra ochranu. nejsem drátař, ale poměrně často řeším bezpečnostní aspekty v oblasti provozu velké firmy. i kdyby byl jak říkáte drátař genius, tak veškerou jeho snahu shodí debil, který použije heslo "názevúřadu123" - takže, když vyšetřovat, tak nestranně. zatím jsem si nevšiml, že by někdo odpovědný měl tolik soudnosti, aby okamžitě rezignoval ani jsem si nevšiml, že by byla choulostivá data řádně zabezpečena.
ad1)
jediným zabezpečením je pracovat na pc nepřipojeném na síť
ad2)
nejslabším místem v systému je člověk
ad3)
proč se tedy dělají prověření na stupeň D/T, když úřadu velí blbci, kteří nedokážou zajistit elementární disciplínu ? sám jsem nemohl zaboha odkódovat teorii fekalismu ve wordu, protože jsem si nevzpomněl na heslo, jaký jsem použil a ani programy, co to rozlomí moc nepomohly, neboť jsem měl heslo složený z velkých písmen, malých písmen, číslic a nestandardních znaků o celkem 10 znacích
tohle snad ni nebyl útok, ale výsměch neschopnosti nbu, i když uznávám, že to zřejmě naplňuje znaky porušení zákona. a hysterická protiakce za současné absence vlatsního uznání odpovědnosti jen ještě více zesměšní takové kroky, protože dneska je u každýmu zadku, kde je pravda a kde lež - vítězí informace, která je vypuštěna do veřejného mínění / tato praktika bezpečnosntích složek se snadno obrátí proti nim samým.
kromě toho mi spíš přijde šílený, že opravdoví profíci v bezpečnostních složkách, co pracují v utajení, riskujou své prozrazení díky neschopnosti těch, co je mají chránit.
takovej tým debilů stojí za okamžité rozpuštění, soudní postih a náhradu někým schopným, kdo si uvědomuje aspekty dodržení bezpečnosti a je schopen být disciplinovaný.
|
|
|
Myslíš tuto teorii?
http://home.tiscali.cz:8080/cz850095/humor/fekalismus.htm
|
|
|
jo, ale už jsem si jí zase mezitím sepsal po paměti :o)
|
|
|
Ano,je clekem zvláštní, že místo, aby postihli člověka, který používáním takového hesla ohrožení systému způsobil, se budou snažit postihovat toho, kdo na tuto chybu upozornil, aniž by s touto znalostí provedl nějaký destruktivní zásah do systému. Kterého IMHO nemají šanci najít, proto se pomstí na serveru, na kterém daný člověk pouze svou znalost zveřejnil. To je velice nebezpečná záležitost ze strany policie a někdo od policie by si to měl odskákat.
|
|
|
Aha, takze my mame omezene chapani sveta a ty obhajujes prachsprosty zasah do svobody a vlastnictvi obcana - jen kdyz to mozna pomuze najit pachatele "hacku" - tipnout heslo neni hack sam o sobe...
Pokud se komukoliv toto podari, tak se s tak nauveritelnou veci jako je pouziti hesla jako jmena uradu + 123 pro vstup k citlivym datum urcite chce pro zasmani podelit s ostatnimi.
A ted si predstav, ze jsi za sve penize vedes server a platis ho, nekdo ti tam napise tohle a policie ti sebere server? Jak k tomu prijdes?
Omlouvani pachani trestneho cinu policii probihajicim vysetrovanim jineho mozna trestneho cinu je do nebe volajici.
Moje otazka spis je - kontaktovala nejdrive policie vlastnika serveru a chtela logy a az odmitl, tak mu sebrala server? Ne? Takze o co tady jde?
Krom toho KAZDY kdo se kdy zabyval bezpecnosti a vi, ze na serveru miva citlivy obsah nastavuje TTL (Time To Life - pro imbecily - cas po ktery se logovane udaje v logu udrzi nez jsou prepsany novymi a tudiz nenavratne ztraceny) vsech logu (pokud jich vetsinu nevypne uplne) na velmi nizke hodnoty - cize se z toho stejne nic zjistit neda, coz jim majitel moho rici hned.
Je to proste prestoupeni zakona a trapna pomsta ze strany policie. A to je dvojnasob nebezpecne - ze je to od policie - nez tipnuti hesla.
|
|
|
Trodas: "Moje otazka spis je - kontaktovala nejdrive policie vlastnika serveru a chtela logy a az odmitl, tak mu sebrala server? Ne?"
No, to asi nebude úplně optimální postup v případě, že je důvod se domnívat, že v případě požadavku na vydání logů by mohlo dojít k jejich zničení dříve, než by se jich "zmocnili silou". IMHO pokud chce policie v takovém případě něco zjistit, tak musí mít tuhle variantu okoučovanou, tj. musí mít to, co chce zjistit, ihned pod kontrolou (a ani to nemusí stačit, jak jsem vyrozuměl z komentářů, v případě kryptování atp.).
Nechci tím nijak hodnotit zda na Onyxu jsou/mohly být nějaké údaje, které by policii pomohly, vyjadřuju se obecně k takovému případu.
|
|
|
zapomina se na to ze hack spocival v objeveni diry v horde webmailu na mailserveru nbu. dira umoznovala prochazet filestem serveru ... pak stacilo najit jeden takovy hezky soubor kde se uz nachazel inkriminovany uzivatel se silnym heslem v textove podobe ,.,.,,.,.
|
|
|
Vy jste ale vocas. Takze kdyz Vam nekdo vybili byt a pochlubi se v hospode, jak jste mel trouchnivy dvere, tak poslete do hospody policii, aby zabavila pipu a stoly?
|
|
|
:-))) Rozhodne, sejmu s tama 5 tisic otisku prstu a pak budu hledat toho praveho :-)))
ehm, ale trochu logiky tam je :-)
Nicmene zde slo o pomstu, aspon dle me.
|
|
|
Když ti někdo vybílí byt, tak přijdfeš vo ty věci. Ale když ti někdo nechá v bytě lísteček s nápisem "Máš nefunkční zámek, vole. Dveře jdou normálně otevřít." taky ti bude vadit, že tě na to upozornil?
|
|
Proti zabavení dat policií je potřeba postupovat v souladu s platnými zákony.
Do hostingové místnosti ISP má policie prakticky volný přístup, protože se jedná o firemní prostory, takže zabavení serveru je otázkou 5 minut. Dále policie může zcela bezproblémů odposlouchávat provoz, takže odchytí IP, DNS takže server s ostrými daty bude prozrazen bez našeho vědomí.
Jenže server se také dá umístit do soukromého bytu, kde policie potřebuje povolení k domovní prohlídce, ale to už je potíž, to musí za soudcem. Pokud ho vůbec získá, najde HW s HDD na kterém samozřejmě nejsou ostré data. Ty jsou umístěny na jiném PC připojeném přes ethernet/optiku/wi-fi v jiném bytě, ono 100 metrů není tak málo, u wi-fi není problém kilometry (případně přes jiného ISP úplně někde jinde).
Klíčový bod je, že pokud policie získá povolení k domovní prohlídce, my se o tom dozvíme, protože v bytě žije důchodkyně, co je furt doma, případně tam je zabezpečovací zařízení s odesíláním SMS. Policie server zabaví, ale zásah dělají řadoví policisté, kteří mají naučeno PC=bedna pod stolem, tu je třeba hodit do černého pytle a odnést. Že se používají data z jiného PC, to zjistí až specialisté, jenže tou dobou už dávno bude HDD s ostrými daty v řece.
|
|
Jasně, hoďte do redirektoru este C4ku, at jim zatopi 60 min. po tom, co komp odpoji od site ;)
|
|
|
Přidat nový komentář
Zobraz článek Zhabali Hysterku
|