::::::::::. :::::::..   :::.,::::::   :::         ...     .        :   
    `;;;```.;;;;;;;``;;;;  ;;;;;;;''''   ;;;      .;;;;;;;.  ;;,.    ;;;  
     `]]nnn]]'  [[[,/[[['  [[[ [[cccc    [[[     ,[[     \[[,[[[[, ,[[[[, 
      $$$""     $$$$$$c    $$$ $$""""    $$'     $$$,     $$$$$$$$$$$"$$$ 
      888o      888b "88bo,888 888oo,__ o88oo,.__"888,_ _,88P888 Y88" 888o
      YMMMb     MMMM   "W" MMM """"YUMMM""""YUMMM  "YMMMMMP" MMM  M'  "MMM

   prielom #21, 12.9.2003, prielom(zavinac)hysteria.sk, http://hysteria.sk/prielom/


obsah




intro

posledne cislo prielomu #20 spravilo vdaka clanku o telekome slusny rozruch (prielom #20 mal 37000 hitov). par krat som sa pristihol ze lutujem, ze sme to vobec pustili do sveta. vdaka rozhovoru v SME som mal kusok stres v praci, reakcie okolia boli zmiesane. medzi najnechutnejsie zazitky patri to ze na byt mojej mamy zazvonila nejaka pani, ktora tvrdila ze sa chce so mnou skontaktovat koli tomu, ze jej nejaki hackeri cez internet sposobuju popaleniny na tele. aj ich ukazovala. este dodnes obcas telefonuje, ze sa chce stretnut. brutal.

ale stalo to za to. telekom udajne posilnil zabezpecenie svojich systemov a zlepsil podmienky svojim zamestnancom ktori prevadzkuju stonline. myslim ze sa nam tiez podarilo kusok napravit mienku slovenskej verejnosti o hackeroch. coraz viacej ludi vnima hackerov ako ludi, ktori jednoducho zistuju ako vsetko funguje, experimentuju, objavuju nove veci a vzapati sa so svojimi poznatkami podelia. telekom by vam sam odseba nepovedal o tom ze maju derave systemy. ani ked sa im to sukromne oznamilo nic nespravili. 3uhorky nespachali ziadnu skodu, len upozornili na to ze by niekto skodu pachat mohol a ukazali ako. diery v telekomackej sieti by tam boli aj bez 3uhoriek. budme radi ze im tam chvilu pobehovali mladi neskodni chalani a nie niekto, kto by tie diery mohol vyuzit pre svoje ucely - komercne, spionazna, ci ktovieake.. tuzba spoznavat nove horizonty a otvorenost voci svetu su dva zakladne piliere hackerskej etiky. hackeri nerobia zle veci, len objavuju mozne problemy v informacnych systemoch a informuju o nich svet.

v tomto duchu sme sa rozhodli v tomto cisle zverejnit informacie o fungovani SK-NICu. top-level domena celeho slovenskeho internetu je prevadzkovana amatermi na slabom neznackovom hardveri bez hardverovej redundancie. cely system je nespravne navrhnuty, zle zabezpeceny a slendriansky adminovany. ak niekto takyto system vyradi z prevadzky (ako sa nedavno stalo, viz http://www.sme.sk/clanok.asp?cl=1084608), je ohrozene fungovanie celeho slovenskeho internetu. ak sa utocnik zmocni sk-nicu, dokaze nevidane veci - napriklad presmerovat webovske stranky internet bankingu nejakej banky na svoj pocitac a odchytavat hesla (ano viem, zmeni sa SSL certifikat, ale kolko percent ludi klikne bezmyslienkovo po upozorneni browsera "OK" ?), alebo vymenit webovske stranky www.eurotel.sk za www.orange.sk, alebo rovno za vas oblubeny porno server.. pri experimentoch so starym systemom sk-nic sa odhalil fakt, ze system uz bol niekym v minulosti naburany, niekto tam zanechal po sebe stopy. ktovie kto to bol a naco vyuzil fakt ze mal pod palcom cely slovensky internet.. nezmizla vam z uctu nedavno velka suma penazi ?

zaverom este poznamka k jednej nedavnej kauze na slovensku. SIS odpocuvala redaktorov dennika SME a nasledne aj vojenskych prokuratorov ktori to cele presetrovali. informoval o tom napriklad dennik sme na http://www.sme.sk/clanok.asp?cl=1034730 . v spravach prebehol aj jeden technicky detajl, ktory si azda nikto velmi nevsimol. okrem toho ze bol niekto schopny odpocuvat telefonaty vysetrovatelov, co azda nie je az take technicky narocne, dokazali odpocuvat zjavne prostrednictvom gsm telefonu aj rozhovory mimo telefonatov, napriklad ked sa dvaja prokuratori spolu rozpravali na ulici. ked som kedysi pocul prihody o tom ako si top manazeri na mitingoch vypinaju mobily a vyberaju z nich baterky, lebo je udajne mozne na dialku tajne aktivovat mikrofon mobilu a odpocuvat cez neho bez toho aby prebiehal telefonat, smial som sa na tom. tato kauza je prvy dokaz ze je to asi predsa mozne. existuje spiknutie vyrobcov gsm telefonov a firmwary mobilov obsahuju aj taketo vlastnosti ? nikdy sa to asi so 100% istotou nedozvieme, mozeme proti tomu ale nieco spravit. hlasove a datove prenosy sa zlucuju, ak sa nam podari vybudovat volne wifi siete podla vzoru blava.net, dokazeme v dohladnej dobe postavit si vlastnu mobilnu siet s pokrytim celej blavy a neskor azda aj celeho slovenska, z ktorej sa bude dat volat zadarmo, anonymne a sifrovane. cisco uz predava prve wireless ip telefony ktore podporuju 802.11, viz http://www.cisco.com/en/US/products/hw/phones/ps379/ps5056/

tesim sa na cas, ked ukazeme vztyceny prostrednik operatorom gsm sieti, zahodime ich telefony a budeme pouzivat vlastnu anonymnu a sifrovanu siet. jedina moznost ako sa vymanit spod nechceneho dohladu firiem a vlady je vziat si kontrolu nad svojim sukromim do vlastnych ruk. v dohladnom case chceme vytvorit tim ludi, ktori by zacali experimenty s ip telefoniou na otvorenych wifi sietiach. kazda pomoc vitana.

tiez asi stoji za zmienku ze toto je zjavne posledne vydanie prielomu. v oktobri prechadzame na novy system, kde sa budu clanky pridavat po jednom na prednu stranku hysterie. prosim minutu ticha.

pajkus, pajka (zavinac) hysteria (bodka) sk

navrat na obsah
co ty na to ? board




tak co kajo, jakej mas signal ?

Tento clanok vznikol ako odozva na seriu "WiFi jazda..." a pokusi sa osvetlit niektore technicke detaily radioveho spojenia.

Prielom 19, wifi jazda 2:
>>>maximalny pocet kanalov bez ich vzajomneho prekrytia (tym padom degradacie kvality signalu je 3! (napr 1,6,11).

Nie je to pravdiva domnienka. Horsia kvalita signalu by bola, keby sa neprekryvali, to, ze sa prekryvaju, este neznamena, ze si zavadzaju. Najma kvoli sumovym parametrom je pouzita modulacia s rozprestretym spektrom. Spread spectrum je sposob vysielania napr. FM modulaciou, ked mame vysielanu sirku pasma neumerne vacsiu ako je potrebne, ci vhodne. Vstupny pomer signal/sum (C/N) moze byt katastrofalny, ale v demodulatore sa tento rapidne zlepsi. Pri FM prenose pomer zlepsenia odstupu S/N je s druhou mocninou indexu modulacie (zhruba zodpoveda pomeru vystupnej sirky pasma (modulacna sirka VF signalu) a vstupnej sirky pasma - napr. audio signalu.) Pre nejaku lepsiu definiciu musim pozriet knizku. (napr. "Vysokofrekvencni prijimaci technika", Doc. Vaclav Zalud, CSc.; SNTL/Alfa, 1986, pozn. red.) FM rozhlas - mono - ma vysielane spektrum 75kHz, sirka pasma prenasanej informacie je 15kHz. Pomer je 5. Zlepsenie na demodulatore je 5^2 = 25. Ak je tento pomer >> 1 zacinaju sa vlastnosti drasticky menit. Takym vysielanim mozem prekryt ine (najma uzkopasmove - z pohladu nasho sirokeho spektra) kanaly bez toho, aby tie nejako spozorovali moju pritomnost na kvalite ich prijmu. Taktiez ja pozorujem ucinok spread spectrum signalu na obrovskom odstupe signal/sum a uzkopasmove stanice ktore som svojim vysielanim prekryl nemaju vyznamnejsi vplyv. Toto si je mozno priblizne odskusat v praxi pri konstrukcii malej superreakcnej vysielacky na nekvalitne FM radio. V sirokom rozsahu ladenia sa radio nevie sustredit na ine stanice, ale ked sa signal zacne stracat vplyvom znizovania vykonu, tak zmizne nahle.

>>> pod mostom snp, prijemnych 256kb/s nam na pockanie dodal eunet az z dalekeho technopolu:
>>> IEEE 802.11-DS ESSID:"EUnet Kutlikova Centrum" Nickname:"HERMES I"
>>> Mode:Managed Frequency:2.437GHz Access Point: 00:60:1D:1E:B4:F6
>>> Bit Rate:1Mb/s Tx-Power=15 dBm Sensitivity:1/3
>>> Retry limit:4 RTS thr:off Fragment thr:off
>>> Link Quality:4/92 Signal level:-89 dBm Noise level:-93 dBm
>>> Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:32
>>> Tx excessive retries:213 Invalid misc:0 Missed beacon:0

Pri prehliadnuti tohto vypisu je vidiet vyhody SS modulacie. Pri odstupe signal/sum=2.5 nasobok na vstupe bola karta schopna nadviazat spojenie 1Mbit rychlostou.

>>>realna priepustnost 802.11b v 11Mbps rezime, tak je to maximalne 5Mbps.
>>>zysok sa strati pri signalizacii, hlavickach atd.. aby som nezabudol, tato technologia je half-duplex.

Presnejsie povedane: Nasa stanica je na prijme. Ak uvazi, ze sa nic nedeje, tak prepne do vysielacieho rezimu, zaklucuje daky paketik modulacnou rychlostou 11Mbps. Az skonci, da si pauzu a potom prepne do prijimacieho modu. Druha stanica po prijati paketu porozmysla, vycka ustanovenu dobu prepinania naprotivnej stanice a moze vysielat. Tu je vidiet, ze "protocol overhead" nieje az taky problem, skor by bolo vhodne mat anteny s malym PSV a rychlym prepinacom vysielanie/prijem na vsetkych zucastnenych staniciach. Taktiez prechod na DAMA namiesto CSMA by urychilo veci v mnohych pripadoch. Zjednodusene: DAMA je pristup, kedy jedna stanica hovori ostatnym, kedy mozu hovorit. CSMA je ako ked neznami ludia sedia pri kave a kazdy pozera, ze "kto zacne rozpravat skor". Ak zacnu nahodou dvaja naraz, nastane maly konflikt. CSMA pouziva cakacie intervaly (od poslednej komunikacie na kanale), byvaju nastavitelne - a kazda stanica mava iny, aby nezacali nahodou naraz. Kombinaciou s DAMA "mluv, jen kdyz si tazan" by sa dala lepsie vyuzit casova domena. Taktiez ak by sme mohli v sirokom rozsahu nastavovat velkost packetu, mohlo by to zefektivnit prenosy. (Nenapise niekto z vas vlastny podstandard WiFi :)?)

>>>vystupny vykon 30-40mw (13-16 dbm) ... vykon 100-200mw (20-23 dbm)

1. mW
2. dBm (kolega... ako v UNIX-e, aj tu zalezi na pismenkach, S nieje s (Siemens, sekunda))
3. 13dBm je 20mW

Ak by sme pouzili napatovu decibelovu stupnicu, vyslo by nespravne z hore uvedeneho: 4.46-6.31mW a to druhe 10-14.13mW. Preto je na mieste technicka poznamka z Amaterskeho radia:

AR B 1996/1, s. 6

Decibely a logaritmy v elektronice

Decibel je logaritmicka pomerova jednotka, pojmenovana po vynalezci telefonu (Alexander Graham Bell 1847-1922). Pro zpracovani velkeho rozsahu velikosti nej- ruznejsich velicin je vyhodne pouzit logaritmy.

Decibely v elektronice byly definovany pro pomer vykonu (Ap = P2 /P1 ). Proto- ze zakladni jednotkou neni bel, ale decibel, musi se logaritmus vynasobit deseti: Ap = 10log(P2 /P1 ).

Predpokladame-li stejnou vstupni a vystupni impedanci, lze definovat decibe- ly i pro napetovy prenos, protoze po dosazeni za vykony P2 = U2^2 /R; P1 = U1^2 /R se impedance krati:

Ap = 10log(U2^2 /U1^2 );
Au = 20log(U2 /U1 ).

K tomu uz len poznamenam ze v technike operacnych zosilnovacov a audio techniky a tam, kde vstupny odpor ve velky sa takmer nepouziva vykonova dB stupnica (10dB = 10x), ale napatova dB stupnica (20dB = 10x). Preto si treba davat pozor na to, ci text hovori o urovni napatia, ci vykonu, pripadne napatovom, ci vykonovom zosilneni. Citat pokracuje:

I kdyz je decibel bezrozmerna jednotka, pouziva se i pro vyjadreni velikosti napeti nebo vykonu. V tom pripade se zvoli tzv. referencni uroven, s niz se napeti nebo vykon porovna. Nejcasteji se voli P1 = 1 mW na impedanci 600 ohm. Tomu odpovida referencni uroven napeti U1 = sqrt (P1 * R); sqrt (1 mW * 600 ohm) = 0,775 V (P1 = U1^2 /R).

V antenni technice se lze setkat jeste se vztaznou urovni jeden mikrovolt. Byva zvykem zduraznit vztaznou uroven indexem:

Lu = 20log(U/0,775) [dBm]; (m - miliwatt)
Lu = 20log(U/10^-6 ) [dB]; ( - mikrovolt).

Decibely usnadnuji vypocty prenosu slozitejsich soustav, protoze zlogaritmovanim se nasobeni prevede na scitani logaritmu. Typickym prikladem je antenni rozvod, kde se od vstupni urovne signalu odecte utlum souoseho kabelu dane delky a navrhne se zisk predzesilovace pro zadanou uroven napeti na vstupu prijimace.

>>>breezcomy pouzivaju frequency hopping (vyvinutu pre potreby vojenskeho priemyslu v irane)

Ehm. Aj GSM telefony pouzivaju frequency hopping a nemyslim, ze by si ich objednali vojaci z Iranu. Frequency hopping nieje nic ine ako prepinanie pouzivanych komunikacnych kanalov za chodu podla urciteho pravidla. Najma v spojeni s SS (spread spectrum) je to silny nastroj na ucinne vyuzitie pasma a zlepsenie pomeru signal/sum.

>>>oznamka: eunet omni antenu z vyskovej budovy stv sme chytali strasne daleko. nech
>>>ma slaktrafi ak touto antenou eunet neporusuje maximalne normy. raz nam budu na
>>>hlavach kvitnut karfioly z toho co nam teraz lieta v eteri.

Este jeden podstatny skoro_detail. Radiova viditelnost a opticka viditelnost su si na GHz pasmach velmi blizke. Takze z takej "vyskovej budovy" na kopci PCMCIA WiFi karta musi mat obrovsky dosah. Zakonne alebo ine rozumne limity nemusia byt prekrocene. A pokial si to dodnes WiFijazdari v aute nevsimli - aj oni mali taky obrovsky dosah az ku vysielacu kamziku ako on k nim bez toho, aby ste mali specialny vystupny vykon. Ak dve WiFi karty so zabudovanymi antenami zvladnu komunikaciu 300m v betonovej budove, na volnom priestranstve, kde obidve umiestnime na 100m vysoke stoziare aby sme vylucili vplyvy okolia musia mat spojenie aspon na 300*sqrt(zisk signalu) - odhadujem 1340m. Pre maximalny dosah spojenia medzi dvomi antenami (odborne povedane ziaricmi) je dolezite aby im v ceste nestalo vela prekazok. Elektromagneticke vlnenie sa totiz rozprestiera do zvazku omnoho sirsieho ako je jeho vlnova dlzka, pripadne velkost anten - podobne ako rozkmitane lano medzi dvomi bodmi. Tu je dolezite poznat parametre sirenia z kvantovo-mechanickeho pohladu. Chceme vediet, ci mame volnu "prvu Fresnelovu zonu". Napriklad pri vzdialenosti stanic 20km a frekvencii 2.4GHz mame uprostred prvu volnu Fresnelovu zonu velku asi 25 metrov. Ak by sme medzi nase dva ziarice postavili pohltivu prekazku s priemerom 30m je mozne, ze by sa nedalo nadviazat radiove spojenie za danych podmienok. Viac informacii v [2]; strana 125. Pre zaujimavost: Sonda Pioneer_10 este po 30 rokoch (januar tohto roku) komunikovala so Zemou z vzialenosti par svetelnych hodin (alebo dni) s vykonom mensim ako 8W (8W to bolo pred 30rokmi.)

>>>ma slaktrafi ak touto antenou eunet neporusuje maximalne normy. raz nam budu na
>>>hlavach kvitnut karfioly z toho co nam teraz lieta v eteri.

K tym karfiolom na hlavach a GSM: Nedavno v Nemecku na potkanoch vyskumali ako to s tym vplyvom telefonov je. Nieje to tak, ze by vysielanie telefonu prilisne zohrievalo mozog, hoci castokrat je to oteplenie vyrazne. Vysielanie GSM telefonu ma vplyv na cievy. Pre tych ktori zmeskali toto ucivo na strednej skole: Mozog je jediny organ ktory je dokonale izolovany od vonkajsieho sveta niekolkymi obalmi a nielen to. Vyziva nasho mysliaceho centra je sprostredkovana cez hrubu izolaciu a len glukoza a kyslik maju pristup k neuronom. S takym niecim 'prizemnym' ako su vlasocnice tenke hoci len par mikrometrov sa neurony nebavia. Maju dolezitejsiu pracu. Kontakt s niecim inym ako je ich stabilizovane prostredie bud narusi funkciu, alebo sposobi umrtie neuronu, co je pripad ak cez stenu vlasocnic prenikne nieco ine ako to co tam ma byt. Napriklad take krvne biekoviny. A to je prave pripad absorbcie vysielania MT v mozgovej hmote. Tento vplyv sa straca pri vzdialenosti 2-3m od vysielajuceho telefonu. Takze ak nabuduce pocitite bolenie hlavy na tej strane kde telefonujete, hadajte asi preco. Este jedna poznamka: nadmerna konzumacia alkoholu nesposobuje umrtie neuronov - len poodpajanie ich synapsii. V sulade s tymto poznatkom sa podarilo zlepsit stav niektorych pacientov trpiacich demenciou urcitym pripravkom.

raman (ra dio man)

[1] horeuvedena kniha
[2] Amaterske Radio - rada B, c.4/1995 - Tematicke vydanie o stavbe a navrhu anten, odporucane ako zaciatok pre navrh vlastnej (lacnej) antenky pre WiFi
[3] AR B 1996/1, s. 6
[mnoho dalsich]

navrat na obsah
co ty na to ? board




menej zname fakty o vyrobkoch spolocnosti cisco

Tento clanok ma za ucel oboznamit citatelov len a len s vecmi z nadpisu, teda s menej znamymi faktami o vyrobkoch spolocnosti Cisco. Zaujimat by mohol najma uzivatelov tychto zariadeni. Nechcem vzbudzovat kladne ani zaporne emocie, ani nic propagovat.

1) Uvod

Preco sa zaoberat s vyrobkami konkretneho komercneho vyrobcu? S produktami spolocnosti Cisco sa totiz stretavame ovela viac, ako si vacsina ludi uvedomuje. Cisco vyrobilo vacsinu routrov a switchov, pouzivanych v telco a ISP sietach. Velky podiel ma aj na trhu zakaznickych routrov - CPE. Mnozstvo ludi, pracujucich u poskytovatelov internetu, sa teda musi dennodenne borit s ciscami a hladaju si cesticky, ako si pracu ulahcit, pripadne par korun usetrit. Dal som teda dokopy par zaujimavych tipov, ktore v prirucke k svojmu routru urcite nenajdete.

2) Nedokumentovane prikazy

Beznou praxou vyvojarov je zabudovat si do softwaru rozne prikazy umoznujuce debugovat rozne subsystemy. Tieto prikazy sa nedostanu do dokumentacie, ale casto su velmi uzitocne. Na adrese http://www.boerland.com/dotu/ najdeme asi najznamejsi pokus zhromazdit tieto prikazy pre operacny system IOS, Project DOTU. Dalsim miestom, kde hladat nedokumentovane prikazy IOS-u a ich vyznam, je stranka Undocumented Cisco commands (http://www.elemental.net/~lf/undoc/).
Uvediem pre zaujimavost tie, ktore povazujem v mojej praxi za najuzitocnejsie.

if-console

Na distribuovanej platforme 7000/7500 je mozne sa prihlasit do jednotlivych kariet, ktore bezia vlastnu verziu IOS-u. Moze byt uzitocne na zobrazenie diagnostickych udajov o karte, pripadne reload jednotlivej karty. Pouzitie - if-console <cislo karty> console. Odchadza sa cez if-quit alebo 3x Ctrl-C. Je jasne, preco Cisco neposkytuje podporu k tomuto prikazu, nepremyslenym zasahom je totiz lahko mozne zrutit cely system. Ak potrebujeme len udaje o pamati a vytazeni CPU z jednej karty, lepsi je prikaz
show controller vip tech-support, napr. show controller vip 0 tech-support | inc CPU
Na GSR je ekvivalentom k if-console prikaz attach.

csim

Na voicovych platformach simuluje iniciovanie hovoru. Dobre, ak nemame po ruke telefon a potrebujeme nieco zdebugovat. Pripadne, ak chceme simulovat hovor zo vzdialeneho miesta k sebe.
Pouzitie - csim start <telefonne cislo>

test

Prikaz test umoznuje vyvolanie niektorych situacii, ktore by sme inac museli simulovat v labe. Napriklad test aaa group umoznuje overit, ci spravne prebieha autentikacia. Dolezity je prikaz test crash, ktorym sa dostaneme do menu, v ktorom si mozeme vybrat, aky crash chceme simulovat. Zaujimave najma pri nahravani IOS-u na mensiu flash, ako odporuca Cisco (da sa to, pokial sa samozrejme image zmesti, ale v pripade crashu sa na flash uz nezmesti crashinfo a router sa na tom zasekne a uz nenaskoci bez manualneho vypnutia/zapnutia. Tymto mozeme reakciu routra otestovat). Vypadok je vhodne vediet simulovat aj pri testovani redundantneho riesenia. Dalej mozeme s takto ziskanymi subormi crashinfo vo volnom case zabavat seba aj pracovnikov technickej podpory Cisca.

Nedokumentovanych prikazov je naozaj dost a oplati sa prehrabat sa v nich a najst si nieco, co v praxi velmi pomoze.

3) Kompatibilita prislusenstva

Cena pamati a flash pamati do cisc su velmi vysoke. Casto sa nam stane, ze napriklad mame v supliku pamate pre platformu X a naopak musime zakupit pamate pre platformu Y. Po troske experimentovania zistime, ze medzi niektorymi platformami mozeme pamate aj flashky smelo zamienat. Nenasiel som nikde jasne povedane, co je mozne zamienat s cim, ale dal som dohromady niekolko odskusanych tipov.

3620/3640 <--> AS5300 - pamate aj flash.
Pamat je vraj kompatibilna aj s AS5200.
Flash je dalej urcite kompatibilna s 2600 a vraj aj s 2500 (to som neskusal).

1700 <--> 800 - pamat aj flash, pozor vsak na obmedzenia platformy; 800 vie vyuzit len 16MB RAM, flash sa da pridat len 4MB.

1600, 2500 - pamat je obycajna PCckova 72-pinova 60ns SIMka, pri troche stastia a skusania sa vzdy nieco najde.

Ak pouzijeme dve flashe a IOS nam ich odmieta spojit do jedneho logickeho zariadenia (pripad 3640), pomoze upload IOS-u cez xmodem v ROM-monitore.

V pripade 3640 je lepsie si najprv precitat manual, kde sa pise o tom, ze rychlejsi 64-bitovy mod dosiahneme len s osadenim pamati v paroch a s rovnakou velkostou aj pristupovou dobou.

Zaujimava vec sa ukazala po otvoreni routra Cisco 805, kde je vidiet, ze seriovy port je vlastne integrovany WIC-1T so smart-serial rozhranim. V pripade poruchy, pripadne nedostatku SS kablov je mozne zamenit za normalny WIC-1T a urcite by stalo za to pokracovat vo vyskume rady 800 - mozno by sa dala upgradovat 801/803 na 805 a podobne.

Network moduly - pouzivane v radach 2600, 3600. Zamenitelne medzi radami. Aj ked dokumentacia hovori, ze nie su hot-swappable, je mozne ich z routra za jazdy vybrat a vlozit tam dalsi, avsak len rovnakeho typu. Prakticke pri poruche, nesposobi sa vypadok, zachovaju sa uzivatelske sessiony aj routing. Pre 3660 je tato vlastnost uz aj oficialne zdokumentovana Ciscom.

Nedavno som sa dopocul aj jednu velmi zaujimavu vec, ktoru by som sa vsak bal vyskusat. Po drobnej hardwarovej uprave je mozne network module vlozit aj do routra typu 7200. Na prvy pohlad rozmery sedia, konektor PCI je zhodny, tak preco nie. Prekaza kovovy ram na network module, ktory je ale mozne odpojit. Tuto zalezitost ale pokladam len za zaujimavost a neodporucam skusat, pretoze by sme mohli docielit skodu radovo niekolkych stotisicov korun, a tak nech radsej stare network moduly odpocivaju aj dalej v supliku.

4) Third party components

Kedze Cisco nasadilo pre svoje vyrobky privysoke ceny, velmi rozsireny je trh s komponentmi od inych vyrobcov. Cisco nakup komponentov od inych vyrobcov (okrem vynimiek) silne neodporuca.

Velke sumy sa daju usetrit pri nakupe pamati, flash, seriovych kablov, GBICov - gigabitovych konvertorov. Je to samozrejme tak trochu hazard, ktory velki provideri - najma pri pamatiach - nerisknu (kvoli riziku zlyhania aj kvoli strate naroku na podporu), ale pre bezneho uzivatela to moze byt po dokladnom teste slusny sposob uspory.

Existuju vyrobcovia, ktorych pamate Cisco certifikuje - cize uzna ich pri podpore, ale zasa pocul som dvakrat o pripade zlyhania pamate od takto certifikovaneho vyrobcu. Dolezitym prvkom teda urcite je dokladne otestovanie komponentu pred jeho zapojenim do siete.
Niekedy je dokonca mozne zakupit pamate od toho isteho vyrobcu, ktory ich dodava Ciscu, cize su to tie iste, len bez nalepky Cisco.

Usetrit sa da aj uplnym nahradenim komponentu niecim inym: PCMCIA (cardbus) flash karty, ktore vedia vyuzit routre 1600, 3600 a vyssie platformy ako napr. 7200, je mozne zamenit nie len third party kartami, ale aj redukciou z PCMCIA na compactflash, ktore sa vo velkej miere vyuzivaju napriklad v digitalnych fotoaparatoch alebo PDA. Ak sa chce niekomu v tomto smere dalej experimentovat, mohol by vyskusat, ci neprinuti s routrom komunikovat karty Smartmedia, SD/MMC alebo dokonca memorystick. Extremom by mohlo byt pouzitie redukcie z PCMCIA na IDE rozhranie a pripojenie normalneho harddisku z PCcka.

5) Third party software

Dalsou kapitolou je software, ktorym sa Cisco rado chvali a velmi nam ho chce predat.

Cisco predava svoj vlastny network management software, Cisco Works. Je to komplexny network management software, skladajuci sa z mnohych komponentov. Tie z jeho komponentov, ktore ma vobec zmysel vyuzivat, je mozne nahradit bud free softwarom alebo si pripadne casti jednoducho dopisat. Otazkou je, ak toho potrebujeme vela, ci nam bude vlastny software tak pekne spolupracovat. V pripade vacsiny sieti vsak nie je dovod Cisco Works kupovat.

Dalsou ukazkou nahraditelneho softwaru je Gatekeeper, pouzivany pri H.323 hlasovych rieseniach. Casto sa da nahradit napriklad volne siritelnym unixovym programom OpenH323 Gatekeeper. Ani gatekeeper od Cisca ani OpenH323 vsak nevyhovuje narokom naozaj komplexnych rieseni a profesionali siahnu po vhodnejsom rieseni napriklad od spolocnosti Clarent.

6) Konkurencia

Ked sme uz prekrocili tabu a nakupujeme prislusenstvo k ciscam od ineho vyrobcu, preco rovno nekupit rovno cely router/switch/gatekeeper atd.? Odpovedi je viacero - kvalita, jednotne rozhranie a management, ale casto aj neznalost vyrobkov konkurencie. Pri mensich CPE, ako aj pri ethernetovych switchoch nam staci precitat si dokumentaciu vyrobkov od roznych vyrobcov, vybrat si vyrobok podla svojich potrieb a moznosti a otestovat ho. Ako je to vsak pri vacsich zariadeniach, high-end routroch?

Cisco nam samozrejme, tak ako nikto na svete, nepovie nic dobreho o svojej konkurencii a tak sa musime poobhliadnut niekde inde. Vlajkovou lodou Cisca je router GSR 12000. Tento router bol spolu so svojim najvacsim rivalom M160 od spolocnosti Juniper Networks a dvoma dalsimi otestovany spolocnostou Light Reading a ako uz prva veta clanku (http://www.lightreading.com/document.asp?doc_id=4009) hovori, Juniper Wins! Clanok je treba citat velmi pozorne. Obidva routre, GSR aj M160 podali totiz uz pred dvoma rokmi neuveritelny vykon, aky nebudeme este niekolko rokov potrebovat. Obidva routre teda urcite splnaju (ohladom vykonu v testovanych kategoriach) aj najnarocnejsie poziadavky backbonovych providerov. Napriek tomu Cisco vydalo tlacove vyhlasenie, kde si trosku prekrutili vysledky a vyhlasili, ze vyhrali oni. Reakciu Light Readingu si je mozne precitat tu - http://www.lightreading.com/document.asp?doc_id=4173.

Preco sa o tom zmienujem? Aby sme sa mohli nabuduce usmievat popod fuzy, ked budeme od reprezentantov Cisco pocuvat, aki su najlepsi na svete. Aby sme mali pripravene technicke otazky tazkeho kalibru na reprezentantov spolocnosti Juniper.

7) Zaver

Ak ste docitali az sem a este stale si pamatate co-to z uvodu, uviedol som, ze Cisco ma s velkou prevahou najvacsi podiel na trhu high-end routrov a switchov. To v praxi znamena, ze kazdy packet, ktory posleme alebo prijmeme z internetu, presiel s najvacsou pravdepodobnostou cez niekolko zariadeni Cisco. Ich zabezpecenie je teda kriticky dolezitou zalezitostou. Nieco sa uz o tejto problematike popisalo, ale nevyzera to, ze by si to administratori velkych sieti brali k srdcu. Ak prejavite zaujem, mozno sa vo vasom oblubenom online casopise o kompjutr undergrounde coskoro nejaky clanok na tuto temu objavi.

sim@hysteria.sk

navrat na obsah
co ty na to ? board




john@home

nsa@home

urcite vsichni znate seti@home, nie ? takova ta vec co hleda ufouny a ma fasa setric. tohle to si alespon mysli drtiva vecina jeho uzivatelu. ale proc jsou klienti closed source ? proc je sitova komunikace tak obfuscovana ? proc jakekoliv pokusy o reverse engeneering selhaly ? lidi z projektu seti@home se brani tim ze se tim pokousi zamezit cheatovani, kdyby meli klienty opensource tak si je kazdy muze upravit aby poskytovali fake results. imho je pravda nekde jinde - protoze treba konkretne tento problem se da resit poslanim jednoho bloku vice lidem (coz se dela stejne kvuli nestabilite klientu) a zaznamenat si prubezne nejake states vypoctu a ty odeslat s results, pokud jeden klient podvadel, prijde se na to.

jen si to vemte, seti@home ma zhruba 4,5 milionu ucastniku. rekneme ze kazdy average comp (amici maj nabuseny masiny a moc koukaj na tv) ma asi tak 1000 bogomips, to mame nejakych 4,5 miliardy bogomips, to uz je celkem solidni vykon na louskani treba rsa384 klicu. mozna by se meli prejmenovat nsa@home :) a i kdyby ty klienti opravdu delali furierovu analyzu, ok, dejme tomu, tak co treba takovy echolon ? z neho proudi terabajty dat pcm kodovanych telefonich hovoru jez je treba prohnat voiceanalyzou na pattern matching "nebezpecnych" slov. (usama, arab, bomba, teror, letadlo, jahodovy syrup...). na to by byl prece takovy cluster jako delany, ne ? ale zanechme teorii. takze ted uz jsem vas presvedcil ze seti@home je spatne. a ted co je (resp. bude) dobre: nedavno se mi jeden clovicek pochlubil dosti zajimavym napadem. urcite vsichni poznate johna, fasa vecicku na crackovani hesel jez s dobrymi vstupnimi daty (tj. slovniky) dokaze delat divy. a ted si vemte kdyby se vzalo fazole.cz, seti@home a john a smatlalo se to dohromady. o cem je rec ? samozrejme ze cpu time exchange.

john@home

zapomeli jste nejake heslo ? potrebujete cracknout zapomenutou passphrase k ssh klici ? tak vezte - predstava je asi takova, borec prijde na sajtu a pastne tam passwd fajl (alebo hocico), z neho se vykopou zakryptovana hesla (usernames se dropujou rovnou, kvuli anonymite :) a rozeslou se/ulozi do fronty (zalezi na tom v jakem levelu danej borec je, viz nize credit system) ucastnikum distributed site. kazdy dostane range odkud kam ma zkouset hesla (incremental/podle slovniku, to se jeste uvidi) a bud posle ze v danem range heslo neni a nebo result - cracknute heslo. samozrejme toto by nemotivovalo lidi se aktivne zapojit, ale jen by pastovali passwd fajly, takze se musi implementovat kredit system. za kazdy spocitany blok dostane (registrovany?) user nejaky credit vyjadrujici napriklad 80% z celkove straveneho cpu casu (ten bude centralni server pricitat na zaklade sirky range * koeficient "obtiznosti" pouziteho hashe) tento cas si muze nastradat na nekolik tisic hodin (za pul rok to dela asi 4000), klidne i simultanne na nekolika masinach pod stejnym username. a pak si samozrejme muze tento cas vybrat, jak jinak nez tim ze submitne passwd fajl a zaradi se do fronty umerne tomu na jake je pozici v zebricku kreditu. timto se jeho cas zpatky "vybije" v celem clusteru, pri poctu 5000 masin v clusteru to bude delat neco kolem hodiny. pokud se heslo najde drif, zbyvajici cas mu zustava (ma stesti) bude-li heslo nekde zasite, tak si ho holt vyplejtva, ale to je imho loterie a moc to ani nehraje roli, protoze pri velkem poctu stroju se jedna takrka o paralelni procesing.

cheatovani

narozdil od seti@home chceme byt opensource, ne ? takze pokud chceme zamezit cheatovani, budeme vysilat tzv. trap-bloky. to bude asi tak ze obsluzny demon na serveru si vybere nejaky range, asi tak prumer z toho co se bezne posila a z tohoto range si vybere heslo na nahodne pozici. toto heslo zhashujeme a pekne posleme nekomu o kom se chceme presvedcit jestli necheatuje. pokud by cheatoval obratem by poslal ze v rangi heslo neni, ale my vime ze tam je, tak mu budeme tvrdit jako ze ok, provedeme mu to jeste tak jednou aby jsme si byli jisti a pak ho diskvalifikujeme (samozrejme prijde o sve body ve prospech ostatnich). tento test se bude posilat naprosto nahodne s probability tak v jednom pripade z 10ti bloku), tj. asi tak 10% overhead, ale to je cena za opensource. co z tohoto vyplyva - cely system funguje jako obrovsky kondenzator cpu casu. behate klienta na svych 10ti serverech v praci a jednou za cas si muzete cracknout opravdu solidni heslo v radech nekolika hodin.

anonymita

samozrejmosti celeho systemu je tez anonymita. usernames se zahazujou uz kdyz uzivatel pastne passwd fajl na web, results dostane pres ssl web a/nebo na svoji emailovou adresu (pres gpg/pgp ktere zadal pri registraci, optional) JEN ve forme listu plain cracknutych hesel (usernames sme zapomeli) tento fajl si on nastavi jako wordlist johnovi, a prozene tim svuj kyzeny passwd fajl. v dusledku tohoto na centralnim serveru bude znamo jenom nejake hashe (necracknute) prirazene nejakemu nicku a nejake emailove adrese. hashe jsou nicnerikajici dokad nejsou cracknuty a v tom momente jsou okamzite odstraneny z databaze. komunikace mezi serverem a klientem se bude odehravat pres pocatecni rsa autentizaci a dale uz jen pres aes session key ktery se jednou za par dni obmeni. klient ma pubkey serveru, server ma pubkey klienta. klient si vygeneruje svuj public/secret key v prubehu registrace. tot asi vse k security.

implementace

dnes afaik zadna neni. zatim se pohybuju jenom v obludnych teoriich a nekdy casem se zrejme pokusim neco napsat az budu mit realnou predstavu o distributed computingu/ crackovani sifer. zatim co uz mam jakz takz vytyceno:
klientska strana bude heavily modified john + nejake custom veci na crackovani rsa klicu, aes, des, rc4, rc5, 3des, blowfish sifrovanych veci. serverova strana bude nejspis nejaky brutalni demon napsany v ccku konektici se na sql db bavici se s klientama pres udp pakety (je to daleko rychlejsi nez tcp) cely projekt je priliz monstrozni abych to zde popisoval do detailu, v kazdem pripade by se mi naradne hodil nejaky odbornik na clustered computing a nejaky guru pres crackovani hesel (dr.tibetor? halo? tuky tuk, je tu nekdo ? :) aby bylo mozne navrhnout optimalni metody vypoctu a komunikace, co treba dale doresit je credit system aby byl 100ne spravedlivy, a vubec spoustu veci. uvitam jakykoliv feedback :)

thanx 2:
caha (zavinac) hysteria.sk, singularity (zavinac) hysteria.sk
za konzultace ideas, security, anonymity.

reference:
http://setiathome.ssl.berkeley.edu - nsa@home
http://www.distributed.net - fasa chlapci co si vydelavaj tim ze stavi internet clustery a vyhravaji rsa labs. challenge v crackovani sifer.

sd (zavinac) hysteria.sk

navrat na obsah
co ty na to ? board




odpovednostni aspekty war drivingu ve svetle soucasne ceske pravni upravy

Uvodem bych rad vymezil obsah pojmu "war driving" . Tento pojem vysvetluje on-line vykladovy slovnik anglictiny http://www.wordspy.com nasledovne: "War driving (http://www.wordspy.com/words/wardriving.asp) = a computer cracking technique that involves driving through a neighborhood with a wireless-enabled notebook computer and mapping houses and businesses that have wireless access points. Also: war-driving, wardriving." Volne prelozeno to znamena asi tolik: war driving je pocitacova technika vyhledavani siti, ktera zahrnuje jizdu po okoli s notebookem s implementovanym bezdratovym pripojenim a mapovani domu a spolecnosti, ktere maji bezdratove pristupove body. Tolik popis vykladoveho slovniku. Pro podrobnejsi predstavu, o co vlastne jde, odkazuji na Prielom c. 18 (wifi jazda po blave) a Prielom c. 19 (wifi jazda po blave II), kde se doctete o praktickych aspektech cele zalezitosti ... Pro ucely tohoto clanku je treba rozlisit dva typy bezdratoveho pripojeni, a to:

1.bezdratove pripojeni, kdy se nejedna o prepravu nebo smerovani informaci telekomunikacnimi sitemi tretim osobam a
2.bezdratove pripojeni, kdy se jedna o prepravu nebo smerovani informaci telekomunikacnimi sitemi tretim osobam.

Ad 1)
Prvni pripad predstavuji typicky domacnosti, tedy site zalozene na bezdratovem propojeni jednotlivych pocitacu v jednom byte. Tento typ bezdratoveho pripojeni neni pravnimi predpisy (zakonem, vyhlaskou, apod.) vyslovne nijak upraven. To vsak neznamena, ze rada zakonnych norem (zejmena pak obcansky a trestni zakonik) nechrani ty subjekty, ktere by mohly byt nasledky war drivingu, resp. rozsahem teto cinnosti poskozeni. Nas pravni rad tedy u prvniho pripadu bezdratoveho pripojeni war driving vyslovne nezakazuje, ale v pripade, ze v dusledku tohoto (byt ne zakazaneho) jednani vznikne nejaka skoda, stanovi zakon odpovednostni nasledky. Otazka zda je war driving zakonny ci nikoli vyvolava otazku odpovednostnich dusledku za takove jednani. Odpoved na tuto otazku pak nepochybne z pravniho hlediska souvisi s ucelem (umyslem), pripadne nasledkem takoveto cinnosti. Dalsim takovym velmi podstatnym aspektem (ne)zakonnosti tohoto jednani pak muze byt jeho rozsah, resp. mira, kterou tato cinnost zatezuje samotny system. S ohledem na jednotlive druhy odpovednosti v obcanskem zakoniku lze vychazet predevsim z upravy obecne subjektivni odpovednosti (dle ustanoveni 420), ve vyjimecnych pripadech pak z odpovednosti objektivni ( 420a). Ze zvlastnich druhu odpovednosti pak nepochybne prichazi v uvahu take odpovednost za skodu zpusobenou umyslnym jednanim proti dobrym mravum ( 424 ObcZ). Obecna odpovednost za skodu na subjektivnim principu tedy vyplyva z ustanoveni 420 a nasl. obcanskeho zakoniku, ktere stanovi, ze "Kazdy odpovida za skodu, kterou zpusobil porusenim pravni povinnosti". Z toho vyplyva, ze zakladnimi predpoklady takove povinnosti jsou:
1.poruseni pravni povinnosti (v nasem pripade postaci poruseni jiz vyse zminene povinnosti predchazet hrozicim skodam dle 415 obcanskeho zakoniku),
2.zpusobeni skody (existence skody - napr. skoda zpusobena v dusledku pretizeni a nasledneho zhrouceni systemu),
3.pricinna souvislost mezi zpusobenim skody a porusenim pravni povinnosti (tzv. kauzalni nexus),
4.zavineni (a to jak nedbalostni, tak i umyslne).

Pokud dojde k naplneni vyse uvedenych predpokladu, je nesporne, ze subjekt, ktery takovou skodu zpusobil, za ni bude take bude odpovidat. Nejde zde pouze o skodu skutecnou (napr. poskozeny HDD), ale i o usly zisk. Vyse skody, jejiz nahrada je zalobou uplatnovana, musi byt skutecne prokazana (obvykle se jedna o predlozeni faktur za opravu poskozenych veci, faktur za opravu veci, apod., nekdy se take pribira k vyjadreni o vysi zpusobene skody soudni znalec). Odpovednost za skodu zpusobenou umyslnym jednanim proti dobrym mravum ( 424 ObcZ) predstavuje v zasade analogii k obecne odpovednosti za skodu na subjektivnim principu, kde je namisto predpokladu spocivajiciho v poruseni pravni povinnosti vyzadovana pouze existence umyslneho jednani proti dobrym mravum. Dobrymi mravy spolecnosti je nutno chapat souhrnem etickych, obecne zachovavanych a uznavanych zasad, jejichz dodrzovani je mnohdy zajistovano i pravnimi normami tak, aby kazde jednani bylo v souladu s obecnymi moralnimi zasadami demokraticke spolecnosti. V tomto smeru by bylo nepochybne mozne oprit se i o pravidla etiky v prostredi Internetu. Subjekt, ktery provadi war driving muze tedy odpovidat podle obcanskeho zakoniku zejmena v tom pripade, ze naplni vsechny predpoklady obecne odpovednosti za skodu na subjektivnim principu dle 420, pripadne odpovednost za skodu zpusobenou umyslnym jednanim proti dobrym mravum dle 424 ObcZ. V souvislosti s vyse uvedenym nelze take soucasne vyloucit moznost vzniku trestnepravni odpovednosti. V zasade lze hovorit predevsim o trestnem cinu poskozeni a zneuziti zaznamu na nosici informaci dle ustanoveni 257a. Trestny cin zneuziti zaznamu na nosici informaci spacha ten, "kdo v umyslu zpusobit jinemu skodu nebo jinou ujmu nebo ziskat sobe nebo jinemu neopravneny prospech ziska pristup k nosici informaci a takovych informaci neopravnene uzije, ci tyto informace znici, poskodi nebo ucini neupotrebitelnymi, nebo ucini zasah do technickeho nebo programoveho vybaveni pocitace". "Ziskanim pristupu k nosici informaci" se zde rozumi takove jednani, ktere umozni pachateli volnou dispozici s nosicem informaci a vyuziti informacniho obsahu. Ke splneni teto podminky nemusi nutne dojit pouze fyzickou ucasti u nosice informaci, ale take ziskanim pristupu k tomuto nosici na dalku (tedy napr. prostrednictvim bezdratoveho pripojeni). "Nosicem informace" je pak jakykoliv nosic dat v informacni technice. "Neopravnene uziti informace" z jejiho nosice predstavuje jakoukoliv nedovolenou manipulaci s informacnim obsahem prislusneho nosice. "Zniceni, poskozeni a ucineni informaci neupotrebitelnymi" pak predstavuje takovy zasah do nosice informaci, ze se snizuje, nebo zcela zanika hodnota jeho informacniho obsahu. Vzhledem k tomu, ze tento trestny cin nezna nedbalostni kvalifikaci (nelze jej spachat z nedbalosti), lze trestne stihat pouze ty osoby, u nichz by tento umysl byl prokazan. Vzhledem k 4 trestniho zakona, je trestny cin spachan umyslne, jestlize pachatel a) chtel zpusobem v tomto zakone uvedenym porusit nebo ohrozit zajem chraneny timto zakonem, nebo b) vedel, ze svym jednanim muze takove poruseni nebo ohrozeni zpusobit, a pro pripad, ze je zpusobi, byl s tim srozumen.

Ad 2)
Druhy pripad predstavuji vsechny ostatni site, kde se jedna o prenos nebo smerovani informaci telekomunikacnimi sitemi tretim osobam. Pravni rezim provozu takovych siti je upraven predevsim zakonem c. 151/2000 Sb., o telekomunikacich a o zmene dalsich zakonu. Podminky provozu upravuji podrobne tzv. generalni licence, a to predevsim:

1.licence c. GL-26/S/2000 k poskytovani pridavnych telekomunikacnich sluzeb zalozenych na prenosu dat (http://www2.ctu.cz/art.php?iSearch=&iArt=90),
2.licence c. GL-27/S/2000 k poskytovani telekomunikacnich sluzeb prenosu dat (http://www2.ctu.cz/art.php?iSearch=&iArt=91),
3.licence c. G-28/S/2000 k poskytovani telekomunikacnich sluzeb zprostredkovani pristupu uzivatelu ke sluzbam site INTERNET a hlasove komunikace prostrednictvim site INTERNET (http://www2.ctu.cz/art.php?iSearch=&iArt=92),
4.licence c. GL-29/S/2000 k poskytovani telekomunikacni sluzby pronajmu telekomunikacnich okruhu (http://www2.ctu.cz/art.php?iSearch=&iArt=93),
5.licence c. GL-30/R/2000 k provozovani vysilacich radiovych zarizeni kratkeho dosahu, provozovanych na urcenych spolecnych kmitoctech (http://www2.ctu.cz/art.php?iSearch=&iArt=94) a
6.licence c. GL €“ 31/S/2001 k poskytovani telekomunikacnich sluzeb prenosu dat a dalsich informaci prostrednictvim verejnych a neverejnych, pevnych a mobilnich vysilacich radiovych siti (http://www2.ctu.cz/art.php?iSearch=&iArt=95).

Na bezdratove site, ktere spadaji pod rezim uvedeneho zakona c. 151/2000 Sb., o telekomunikacich se vztahuje prisnejsi rezim nez na pripady, uvedene ad 1. Krome shora uvedene obcanskopravni odpovednosti, ktera plati v plne vysi i v techto pripadech bezdratoveho pripojeni, zde muze nastoupit take vznik odpovednosti spravni. Jedna se o moznost poruseni tzv. telekomunikacniho tajemstvi. Poslanim telekomunikacniho tajemstvi je poskytovat ochranu zpravam predavanym urcitymi technologiemi, ktere k prenaseni zprav pouzivaji specialni site. V souladu s dikci ustanoveni 84 odst. 3 zakona c. 151/2000 Sb., o telekomunikacich predmetem telekomunikacniho tajemstvi
a)je obsah zprav prepravovanych nebo jinak zprostredkovanych telekomunikacnimi zarizenimi a sitemi s vyjimkou zprav urcenych verejnosti,
b)jsou provozni doklady, z jejichz obsahu je zjevny obsah prepravovanych zprav,
c)jsou data souvisejici s poskytovanim telekomunikacni sluzby, zejmena udaje o ucastnicich telekomunikacniho spojeni.

Telekomunikacni tajemstvi je chraneno v prve rade povinnosti mlcenlivosti, ktera stiha mimo jine toho, kdo se dozvedel treba i nahodile o skutecnostech, ktere jsou predmetem telekomunikacniho tajemstvi. Ke vzniku povinnosti mlcenlivosti zde neni treba zadneho dalsiho ukonu, vznika primo ze zakona. Telekomunikacni tajemstvi lze sdelit pouze odesilateli a adresatovi prepravovanych zprav, resp. jimi zmocnenemu zastupci. Nikomu jinemu nelze ani umoznit ziskavat informace, ktere jsou predmetem telekomunikacniho tajemstvi. Poruseni telekomunikacniho tajemstvi, ktereho se dopustila fyzicka osoba, muze tvorit skutkovou podstatu tzv. jineho spravniho deliktu fyzicke osoby, za coz ji muze hrozit pokuta az do vyse 100.000,- Kc. V teto souvislosti nelze take soucasne vyloucit moznost vzniku trestnepravni odpovednosti, a to odpovednosti za trestny cin porusovani tajemstvi dopravovanych zprav podle ustanoveni 239 odstavec 1) zakona c. 140/1961 Sb., trestniho zakona. Trestny cin porusovani tajemstvi dopravovanych zprav spacha ten, "kdo umyslne porusi tajemstvi uzavreneho listu nebo jine pisemnosti, pri poskytovani postovni sluzby nebo jinym dopravnim zarizenim, nebo zpravy podavane telefonem, telegrafem nebo jinym takovym verejnym zarizenim". "Umyslnym porusenim tajemstvi zpravy podavane jinym verejnym zarizenim" se zde dle meho nazoru rozumi mimo jine i takove jednani, ktere umozni pachateli seznameni se napriklad s obsahem e-mailove zpravy predavane napr. bezdratovym pripojenim a vyuziti jejiho informacniho obsahu. U tohoto trestneho cinu plati take, ze nezna nedbalostni kvalifikaci (nelze jej spachat z nedbalosti), a lze tedy trestne stihat pouze ty osoby, u nichz by tento umysl byl prokazan. Samozrejme zde plati i to, co bylo receno vyse o trestnem cinu poskozeni a zneuziti zaznamu na nosici informaci.

Zaver
Osoba, ktera provadi war driving, za tuto cinnost odpovida pouze vyjimecne, a to zejmena v tom pripade, ze touto svou cinnosti zpusobi (byt z nedbalosti) jinemu skodu a zaroven naplni vsechny predpoklady obecne odpovednosti za skodu na subjektivnim principu dle ustanoveni 420 obcanskeho zakoniku, pripadne odpovednost za skodu zpusobenou umyslnym jednanim proti dobrym mravum dle ustanoveni 424 obcanskeho zakoniku. Dale muze war driving vyvolat i spravni odpovednost osoby v pripade, ze tato osoba ziska pristup k obsahu zprav prepravovanych nebo jinak zprostredkovanych telekomunikacnimi zarizenimi a sitemi a v teto souvislosti porusi povinnost mlcenlivosti ohledne telekomunikacniho tajemstvi. V neposledni rade muze byt dusledkem war drivingu i trestni odpovednost osoby, ktera v umyslu zpusobit jinemu skodu nebo jinou ujmu nebo ziskat sobe nebo jinemu neopravneny prospech ziska pristup k nosici informaci a ucini zasah do technickeho nebo programoveho vybaveni pocitace a dale trestni odpovednost osoby, ktera umyslne porusi tajemstvi zpravy podavane telefonem, telegrafem nebo jinym takovym verejnym zarizenim.

raptor, raptor (zavinac) hysteria (bodka) sk

PS:

pravne aspekty war drivingu predstavuju jednu z mnohych oblasti, kde technika akosi predbehla legislativu a vznikol nam kusok absurdny stav o ktorom sa vseobecne nevie. staci ak si v meste na namesti otvorim notebook so zabudovanou wifi kartou a windows sa mi automaticky cez dhcp prihlasi na siet internet providera a v tom okamziku som porusil zakon - "neautorizovane som pristupil k telekomunikacnej sieti a k nosicu dat". prislusny zakon potrebuje zmenu, nemoze platit stav ked obcan s uplne standardnym pocitacom bez toho aby vyvinul nejake zvlastne usilie, len pouzitim beznej funkcie pocitaca, porusil zakon.

vo svete to chvalabohu uz pochopili. stat new hampshire v usa sa azda stane prvym miestom na svete kde budu wifi jazdy dekriminalizovane. ako reportuje wired v ich clanku na http://www.wired.com/news/wireless/0,1382,58651,00.html v new hampshire pripravuju zakon, ktory odoberie prevadzkovatelom bezdratovych sieti ich schopnost zalovat niekoho kto sa neautorizovane pripoji na ich wifi siet - pokial si svoju siet operator dostatocne nezabezpeci.

Lee Tien, pravnik electronic frontier foundation (www.eff.org), tvrdi ze tento zakon pomoze vyjasnit legalnost otvorenych sietovych prostredi. "zda sa to byt ferova a cista cesta ako umoznit geekovske metody ponechania otvorenych wifi access pointov bez toho aby trpela bezpecnost", tvrdi.

budeme schopni upozornit na tuto zjavnu dieru v nasej legislative aj nasich zakonodarcov ? pomohlo by mi, keby sa mi ozval nejaky slovensky pravnik, alebo student prava, mohli by sme spolu sformulovat nejaky apel na nasich panov..

pajkus, pajka (zavinac) hysteria (bodka) sk

navrat na obsah
co ty na to ? board




kde nic, tu NIC

..alebo o tom ako boh slovenskeho internetu bdie nad vasimi(nasimi?) domenami

Nie je snad na slovenskom internete jedinca, ktory by nezaregistroval nedavny globalny vypadok slovenskeho "internetu" v podobe nefunkcnosti TLD .sk. Podla jedneho vyjadrenia hotline spolocnosti EuroWeb doslo k 'pretazeniu systemu registratormi'. V case vypadku znela dalsia z verzii hotline-u "u nas je vsetko v poriadku", no v kuloaroch sa sirila informacia 'niekto nakopiroval nieco kam nemal a ten co do toho vidi je na dovolenke'. Pre doplnenie situacie uvadzame uryvok z prirucky registratorov sk-nic:

Co nerobit:
- needitovat rucne sk-dom ani named.conf na sk2eu.
  Nema to zmysel, pri najblizsom update sa data premazu novymi z databazy,
  rucne zmeny sa stratia.
Ked uz zacal internet zase chodit, docitali sme sa na strankach roznych webovych aj papierovych platkov same zaujimave veci a nazory na administratorov sk-nicu. Nam sa najviac pacil tentok:

Euroweb resp. SK-NIC je tlupa vypatlanych, blbych a neschopnych ludi, ktori nielenze vytvorili otrasny byrokraticky system registracie domen, ale dovolia si brat neskutocne prachy za nefunkcny, pomaly a tazkopadny system ktory sa im dokonca dneska cely zosypal. Neviem si dost dobre predstavit co tam ti ludia robia, za co vlastne tie peniaze beru, a akym pravom ich beru ako sukromna firma. ICANN by sa konecne mal spamatat a delegovat spravu SK zony na inu instituciu. Tento system nefunguje od prveho dna co bol spusteny. Stranka vyhadzuje 500 Error, Chyba v instanciach, nedostupnost, neustale nefunkcny whois server, a dokonca "stracanie" sa domen. Podavam trestne oznamenie na Euroweb za problemy a usly zisk sposobeny vypadkom mojich domen. Odporucam vsetkym poskodenym urobit to iste. Mimochodom, zaujimave na tom celom je, ze stary system ktory fungoval bezplatne, fungoval omnoho rychlejsie, spolahlivejsie, pruznejsie a jednoduhsie. To ze sa vtedy "akoze" nedali predavat domeny? Nezmysel, robilo sa to aj vtedy a nikoho to netrapilo. Dufam ze po dnesku sa viaceri ludia konecne zobudia a spravia to co mali spravit uz minuly rok.

Musime uznat, ze ked sa vypustia zbytocne vulgarizmy, tak po technickej stranke ma ten pan pravdu..

Tak teda zobudme sa a cinme co sa malo, pozrime sa staremu systemu SK-NICu na zubok lepsie. Uvedene zvasty sa vztahuju na obdobie, ked to bol este ostry system, inac by to nestalo za rec, totiz systemov ktore boli nahradene novymi a ostali bezat na nete napospas roznym renegadom je barz kolko. Staavaju sa z nich take ostrovceky, zijuce vlastnym zivotom o ktorom vacsinou ich admin nic nevie, pretoze na ne zabudol. Tak dopadol aj old.sk-nic.sk.. To ze na roznych miestach siete moze adresa takeho zabudnute systemu figurovat ako trusted, uzivatelia mozu mat rovnake hesla atd asi nie je dost velke strasidlo pre adminov.

Pozor, zly pes!

Jedneho pekneho popoludnia, po rusnej debate o pripravovanom a dlho odkladanom spoplatneni domen v TLD sk sme zbezne mrkli na prvy kontaktny bod sk-nicu - webserver. Solidne stara instalacia linuxu slackware 7.1 (hesla v shadowe este v DESe a tak..), s deravym apacom - konkretne mod_ssl (ano stary sk-nic ste mohli browsovat aj cez HTTPS, nevedeli ste o tom? to asi aby to nezacalo pouzivat vela ludi, lebo ta masina by to neutiahla :[ )

Kratka ukazka toho, na co su vlastne dobre tie bekdory:

looser@lama$ ./backdoor www.sk-nic.sk
root@www.sk-nic.sk's password:
Last login: Sun Nov 21 2002 07:56:33 +0200
Linux 2.2.16.
You have new mail.
huuuuuuuu...
webforce:~#
Jaj ale som sa zlakol, len neviem ci viac toho stareho jadra alebo toho hukotu... Da sa povedat ze to jadro je riadny hukot :) Ale zdy lepsie ako nejake 2.0.24 (spominate? :)).

Tak v prvom rade, masina bezi 'na vykonnom serveri sun.'. To je uplne jasnavec:

webforce:# cat /proc/cpuinfo
processor       : 0
vendor_id       : GenuineIntel
cpu family      : 6
model           : 5
model name      : Pentium II (Deschutes)
stepping        : 3
cpu MHz         : 400.917
cache size      : 512 KB
fdiv_bug        : no
hlt_bug         : no
sep_bug         : no
f00f_bug        : no
coma_bug        : no
fpu             : yes
fpu_exception   : yes
cpuid level     : 2
wp              : yes
flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 mmx fxsr
bogomips        : 799.54
webforce:# uname -a
Linux webforce 2.2.16 #2 SMP Mon Mar 26 15:51:52 CEST 2001 i686 unknown
webforce:# lspci
00:00.0 Host bridge: Intel Corporation 440BX/ZX - 82443BX/ZX Host bridge (rev 03)
00:01.0 PCI bridge: Intel Corporation 440BX/ZX - 82443BX/ZX AGP bridge (rev 03)
00:07.0 ISA bridge: Intel Corporation 82371AB PIIX4 ISA (rev 02)
00:07.1 IDE interface: Intel Corporation 82371AB PIIX4 IDE (rev 01)
00:07.2 USB Controller: Intel Corporation 82371AB PIIX4 USB (rev 01)
00:07.3 Bridge: Intel Corporation 82371AB PIIX4 ACPI (rev 02)
00:08.0 SCSI storage controller: Adaptec AIC-7880U
00:0d.0 Ethernet controller: Intel Corporation 82557 [Ethernet Pro 100] (rev 05)
01:00.0 VGA compatible controller: Intel Corporation i740 (rev 21)
To by ma zaujimalo odkedy dava sun do swojich masiniek i686 procesory v takejto konfiguracii.. No aspon je vidno, ze sa admin stara. Jadro 2.2.16 SMP na jednoprocesore... ale vlastne tiez som 'pocul ze SMP veci su v jadre poriesene lepsie...' Zaujimave je, ze aj napriek tomu na akom HW to ficalo, tak tato jedina masina celkom v pohode uzivila komplet povodny web a databazu sknicu. Asi mal ciastocne svoj podiel na uptime masiny aj hw intel prcak a doska je idealna kombinacia v taktomto lowcost rieseni. Ako by vyzeral terajsi system na tom to HW ale radsej ani pomysliet.. DNSka bezali nastastie inde, to uz boli fakt sunos-y ktore pamataju snad este Husaka :) Tu sa potvrdilo, ze instalovat nmap do systemu sa oplaca, ked vas bude niekto ownovat, usetrite mu cas a nervy. Cele to bolo previazane cez NFS tak, ze pravidelne generovany zonovy fajl na www.sk-nic.sk bol exportovany pre dnska (read only -> wau!). Ale dalsi riadok v /etc/exports je idealna ukazka toho, ze co NESKUSAT! /d3/twistplus sk2eu.EUnet.sk(rw,no_root_squash) 192.108.130.33(rw,no_root_squash). Odporucame si precitat man exports a hladat no_root_squash a pre hravejsich vyskusat spravit si na takomto nfs suidnutu binarku. :)

V principe stacilo zmenit skripty, ktore generuju tento subor (exporty), upravit jeden skript co sa pustal lafymu a nova domena mohla prist na svet. Zda sa vam to moc neohrabane? Tak nech sa paci mozte si priamo do minisql nahodit domenu svojich snov :) Ze neviete msql syntax? Neva, na servri su vcelku dobre napisane manualy na obsluhu skriptov ktore vsetko spravia za vas, napr. 'di burzuj', alebo 'regdom orange' :-) Verte ci nie, roota na masine, z ktorej sa generuje SK-zona nebolo problem ziskat hocakemu lamerovi (inac by tento clanok nevznikol, ze ;))). Deravy apache, derave jadro, co si budeme rozpravat, co?

ls -al a.out
-rwxr-xr-x   1 nobody   1000        14459 Nov 28 14:30 a.out
./a.out
Old password: ptrace: PTRACE_ATTACH: Operation not permitted
d0h! error!

./a.out /bin/su
bug exploited successfully.
enjoy!
id
uid=3D0(root) gid=3D0(root) groups=3D1000,17(msql-admin),501(www),101(ftponly)
Radi by sme vam naznacili ako sa admin branil napadnutiu, lenze kde nic neni, ani Moric nebere. Co sa tyka ptrace bugu v jadre, tak tento exploit bol napisany niekedy v roku 2001.. Len pre informaciu, v tomto obdobi sa objavila podobna chyba aj v jadre FreeBSD. Zial na Linuxe sa takpovediac zopakovala aj na 2.4kovych jadrach, na BSD uz nie (zatial :-) ).

Kazdopadne neboli sme sami kto sa bavil, no nie kazdy po sebe uprace:

-rwsr-sr-x   1 nobody   1000        15679 Jun  9 10:18 /tmp/pd
-rwsr-xr-x   1 1000     users          68 Jun 23  1999 /home/martin/test/sk.pl
-rwsr-xr-x   1 1000     users        4023 Jun 23  1999 /home/martin/test/a.out
Co je celkom vtipne je to, ze po navsteve jedne[ho|j] od "konkurencie" admin nahodil firewall, zjavne mu nieco bolo podozrive a v slabej chvilke zafungoval vincov princip bloknutia badguyov. Teda to by este nebolo vtipne, vtipne bolo to, ze to bolo vsetko co spominany admin spravil, t.j. uz dalej nepreveroval, ze wassup.. Vyzeralo to tak, ako keby si povedal "vsak aj tak o rok pojdeme na novy system, co sa tu s tym budem onee..".

Dost bolo nezaujimavych veci, podme sa pozriet na zubok samotnemu public stromu weboveho serveru.

Samotny root lezi v adresari /spare (z anglictiny nahradny:), podadresar WWW/Public/sk-nic.

celkem 13924
drwx------    2 lamer    lamer        4096 2002-05-30 12:41 admin
drwxr-xr-x    5 lamer    lamer        4096 2003-09-08 16:48 backup
drwxr-x--x    2 lamer    lamer        4096 2003-01-10 00:33 bin
-rw-r--r--    1 lamer    lamer        1135 2002-09-13 14:07 ca.crt
d---------    2 lamer    lamer        4096 1999-06-24 17:17 cgi
-rwxr-xr-x    1 lamer    lamer        5604 2003-01-12 14:21 config.pl
drwx--x---    2 lamer    lamer        4096 2003-01-11 18:59 dat
-rw-r--r--    1 lamer    lamer        7345 2001-04-23 14:35 deldom.html
drwx------    2 lamer    lamer        4096 2000-02-07 14:47 doc
-rw-r-xr-x    1 lamer    lamer           6 2003-01-11 18:57 domaincount.txt
-rw-r-xr-x    1 lamer    lamer     9914076 2003-01-11 18:57 domeny.txt
-rw-r-xr-x    1 lamer    lamer     2715915 2003-01-11 18:57 domeny.zip
-rw-r--r--    1 lamer    lamer       18828 2002-11-11 11:29 dom-pravidla.html
-rw-r--r--    1 lamer    lamer       16241 1999-05-26 11:21 dom-pravidla.html.old
-rw-r--r--    1 lamer    lamer       11052 1999-10-06 17:23 duplicitne.txt
drwxr-xr-x    2 lamer    lamer        4096 1999-06-21 10:06 en
-rw-r--r--    1 lamer    lamer        1854 1998-04-17 20:14 eunet_l.gif
-rw-r--r--    1 lamer    lamer         669 2000-12-11 17:20 ew.gif
-rw-r--r--    1 lamer    lamer        5852 2002-10-02 15:37 faq-english.html
-rw-r--r--    1 lamer    lamer       19503 2001-06-13 10:58 faq.html
drwxr-xr-x    2 lamer    lamer        4096 2000-02-08 17:40 fax
-rw-r--r--    1 lamer    lamer         344 2002-11-26 14:57 forbidden.conf
-rw-r--r--    1 lamer    lamer        1850 1998-04-17 20:14 gmarble.gif
-rw-r--r--    1 lamer    lamer        2980 2001-04-23 14:35 handle.html
-rw-r--r--    1 lamer    lamer       10668 2001-04-23 12:48 changedom.html
-rw-r--r--    1 lamer    lamer        3432 2001-04-23 12:48 change_handle.html
-rw-r--r--    1 lamer    lamer        9265 2001-04-23 12:48 changereg.html
-rw-r--r--    1 lamer    lamer        9186 2001-04-23 14:35 changesknichandle.html
-rw-r--r--    1 lamer    lamer        2947 2001-02-06 19:33 changes.log
drwxr-xr-x    2 lamer    lamer        4096 2000-12-08 13:28 images
-rw-r--r--    1 lamer    lamer        4631 2003-01-11 20:54 index.html
-rw-r--r--    1 lamer    lamer        6550 2003-01-11 20:07 index.html.20030111
-rw-r--r--    1 lamer    lamer        6569 2002-11-11 10:27 index.orig.html
-rw-r--r--    1 lamer    lamer        5801 2002-09-02 02:48 index1.html
-rw-r--r--    1 lamer    lamer        6550 2002-11-11 10:26 index2.html
-rw-r--r--    1 lamer    lamer        3013 2001-04-23 14:36 info.html
drwxr-xr-x    3 lamer    lamer        4096 2001-03-14 12:15 lib
-rw-r--r--    1 lamer    lamer        6753 2001-04-23 15:27 limit.html
-rwxr-xr-x    1 lamer    lamer         111 2001-04-08 22:56 llll-script
-rw-r--r--    1 lamer    lamer         399 2001-04-08 22:40 llll.txt
drwxr-x--x    2 lamer    lamer        4096 2003-01-08 15:24 log
drwxr-xr-x    2 lamer    lamer        4096 2003-01-08 11:20 mails
-rw-------    1 lamer    lamer        7273 1999-12-21 08:17 mx.html
-rw-------    1 lamer    lamer        3649 1999-12-21 08:17 mx_change.html
-rw-r--r--    1 lamer    lamer       11172 1999-05-13 12:52 nadpis.GIF
-rw-r--r--    1 lamer    lamer       22956 2001-06-28 09:36 named.txt
-rw-------    1 lamer    lamer        7782 2001-04-23 14:36 newreg.html
-rw-r--r--    1 lamer    lamer        7136 1999-06-03 11:52 newreg.html.old
-rw-r--r--    1 lamer    lamer        2554 2003-01-11 20:20 novy_zaznam.html
-rw-r--r--    1 lamer    lamer        3352 2003-01-11 20:20 novy_zaznam.html.20030111
-rw-r--r--    1 lamer    lamer        7842 2001-04-23 14:43 ns.html
-rw-r--r--    1 lamer    lamer        3589 2001-04-23 14:43 ns_change.html
-rw-r--r--    1 lamer    lamer        5347 2001-04-23 15:29 person.html
-rw-r--r--    1 lamer    lamer     1033544 2001-06-19 18:18 power-list
-rw-r--r--    1 lamer    lamer        5169 2001-06-19 17:24 powernet-list-domains
-rw-r--r--    1 lamer    lamer         556 2001-06-19 18:40 power-only-list
drwx------    2 lamer    lamer        4096 1999-08-06 13:35 private
-rw-r--r--    1 lamer    lamer           1 2002-08-07 10:27 registratori.conf
-rw-------    1 lamer    lamer         585 2000-12-13 12:28 registratori.conf.old
-rw-r--r--    1 lamer    lamer          23 2000-06-03 18:31 renamer
-rwxr-xr-x    1 lamer    lamer          94 2001-06-19 18:04 script-powernet
-rw-r--r--    1 lamer    lamer        2582 1998-09-03 15:51 sknic.htm
-rw-r--r--    1 lamer    lamer        2363 2001-04-23 14:43 sk-nic.html
-rw-r--r--    1 lamer    lamer       10914 1998-09-22 16:22 sknic.jpg
-rw-r--r--    1 lamer    lamer       14862 1999-05-13 13:21 sk-nic-logo.jpg
-rw-r--r--    1 lamer    lamer         434 1998-04-17 20:14 sk-nicss.gif
-rw-r--r--    1 lamer    lamer           4 2001-06-28 09:32 slovanet_vavro.txt
-rw-r--r--    1 lamer    lamer         226 2002-02-01 21:43 snet
drwx------    2 lamer    lamer        4096 1999-05-21 12:55 sql
-rw-r--r--    1 lamer    lamer        3551 2001-04-23 14:44 state.html
drwxr-x--x    2 lamer    lamer        4096 2003-01-11 18:47 templates
-rw-r--r--    1 lamer    lamer        5663 2001-04-18 15:01 test.html
drwx------    2 lamer    lamer        4096 2003-04-10 15:27 tmp
-rw-r--r--    1 lamer    lamer       18058 2001-04-23 14:44 TMP978951985.htm
-rw-r--r--    1 lamer    lamer        4928 2001-04-23 14:44 TMP983808910.htm
-rw-r--r--    1 lamer    lamer          41 1999-04-27 14:07 trans.gif
drwx------    2 lamer    lamer        4096 2000-08-16 16:42 whoisd
-rw-r--r--    1 lamer    lamer        3544 2001-04-23 14:44 zabudnute.html
-rw-r--r--    1 lamer    lamer        3571 2001-04-23 14:44 zaznamy_info.html
-rw-r--r--    1 lamer    lamer        2554 2003-01-11 18:29 zmena.html
-rw-r--r--    1 lamer    lamer        5293 2003-01-11 18:21 zmena.html.2003011
-rw-r--r--    1 lamer    lamer       12165 2001-06-28 09:31 zoznam_domen_viapvt.txt
-rw-r--r--    1 lamer    lamer          38 2000-03-30 20:22 1
-rw-r--r--    1 lamer    lamer        4517 2001-04-23 12:48 2105index.html
Pozrime sa do adresara admin.

Zalohovaci skript backup je velmi sofistikovany a chrani nas proti hardwarovemu zlyhaniu:

#!/bin/sh
i=`date +%y%m%d`
/usr/local/Hughes/bin/msqldump sk-nic > /spare/WWW/Public/sk-nic/backup/db_dump$i
gzip /spare/WWW/Public/sk-nic/backup/db_dump$i
Zaujimawe je aj pripojenie sa k databazke:
$db = Msql -> connect("","sk-nic");
&checkmsqlerror;
echo("Creating the registratori table ... ");
if (msqlQuery($sock, "CREATE TABLE registratori (
                        hndl CHAR(10),
                        passwd CHAR(10),
                        firma CHAR(50),
                        adresa char(40),
                        mesto CHAR(30),
                        ico CHAR(15),
                        dic CHAR(15),
                        tel CHAR(15),
                        fax CHAR(15),
                        email CHAR(40),
                        www CHAR(40),
                        ucet CHAR(20),
                        techkon CHAR(30),
                        admkon CHAR(30))") < 0)
{
        echo("Error : $ERRMSG\n");
}
echo("done.\n");

echo("Creating the newreg table ... ");
if (msqlQuery($sock, "CREATE TABLE newreg (
                        hndl CHAR(10),
                        passwd CHAR(10),
                        firma CHAR(50),
                        adresa char(40),
                        mesto CHAR(30),
                        ico CHAR(15),
                        dic CHAR(15),
                        tel CHAR(15),
                        fax CHAR(15),
                        email CHAR(40),
                        www CHAR(40),
                        ucet CHAR(20),
                        podpis CHAR(50),
                        techkon CHAR(30),
                        admkon CHAR(30))") < 0)
{
        echo("Error : $ERRMSG\n");
}
echo("done.\n");

echo("Creating the limits table ... ");
if (msqlQuery($sock, "CREATE TABLE limits (
                        firma CHAR(50),
                        ico CHAR(15),
                        lastmod DATE,
                        lastop CHAR(40),
                        limit INT)") < 0)
{
        echo("Error : $ERRMSG\n");
}
echo("done.\n");

echo("Creating the domeny table ... ");
if (msqlQuery($sock, "CREATE TABLE domeny (
                        domena CHAR(30),
                        registrator CHAR(10),
                        typ CHAR(2),
                        firma CHAR(50),
                        mesto CHAR(30),
                        ico CHAR(12),
                        techkon CHAR(15),
                        admkon CHAR(15),
                        zonekon CHAR(15),
                        site1 CHAR(50),
                        site2 CHAR(50),
                        site3 CHAR(50),
                        site4 CHAR(50),
                        ip1 CHAR(15),
                        ip2 CHAR(15),
                        ip3 CHAR(15),
                        ip4 CHAR(15),
                        lastmod DATE,
                        lastop CHAR(40),
                        state CHAR(5))") < 0)
{
        echo("Error : $ERRMSG\n");
}
echo("done.\n");

echo("Creating the redirect table ... ");
if (msqlQuery($sock, "CREATE TABLE redirect (
                        server CHAR(40),
                        url CHAR(80),
                        email CHAR(40),
                        heslo CHAR(10),
                        format CHAR(1),
                        lastmod DATE,
                        zaplatenedo DATE,
                        state CHAR(1))") < 0)
{
        echo("Error : $ERRMSG\n");
Mno a kto vsetko dnom-nocou bdie nad vasimi domenkami?
sub opername {
local($user)=3D$_[0];
if ($user eq "kico") {return "Stefan Kicak";}
if ($user eq "ivan") {return "Ing. Ivan Lescak";}
if ($user eq "lafy") {return "Mgr. Ladislav Guller";}
if ($user eq "ibike") {return "Iveta Miniarikova";}
if ($user eq "iveta") {return "Iveta Miniarikova";}
return "";
}
a dalsia spusta nepotrebneho balastu, zrejme vyplodov prace administratorov sk-nic.
webforce# cat admin/test
lafy
System prikladame tu. Pohrabte sa v nom podla lubovole.

Niektore sposoby sk-nicakov su zaujimave, napriklad to, ako sa pustaju skripty napisane v perle cez www:

#include 
void main () {
execl("/usr/local/bin/perl","zabudnute.pl","/spare/WWW/cgi-bin/sk-nic/zabudnute.pl",NULL);}
Adminom by mohol niekto vysvetlit, co je to apache a cgi a mod-perl :))

A dalsie zaujimavosti?

/etc/shadow

root:ucLxfsoqvuYmA:11009:0:::::
stefan:ZVlCO9D9Ypjzo:11129:0:99999:7:::
lafy:luq5olGdl8GMw:11008:0:99999:7:::
juro:atM1KZjs56VDY:11373:0:99999:7:::
ivan:nmCuTudGMYIUY:11006:0:99999:7:::
Nejaky ten .htaccess:
lafy:PkyoYOWFP3Fl2
Hesla do mrtg:
martin:hDzcmn4YvlJPY
ivan:FVoUs8M4PZe3c
gejza:rXGpf0bEXBgj.
stefan:lsvQfdpbD1x6o
general:F.WO1OrmtCezU
lafy:VF3ayEA.G8OtA
jozef:u8LaqSg9NHkao
balage:MmYUXPUFxEVmY
ew:B44cIJFVlPSn6
omv:Abq9d2qhZL/NM
olajec:2PkAQ5kAhqPZY
Celkom vtipny vynatok z komunikacie spokojnych zakaznikov s sk-nicom:
From: xxx@xxx.sk
To: SK-NIC 
Subject: Re: isluzby.sk - zrusenie domeny
X-Envelope-To: hostmaster@sk-nic.sk

Vaz.p. Kicak

Vsetky styri odoslane ziadosti boli riadne opeciatkovane peciatkou
Infotel.

Chyba je zrejme vo Vasom faxe...

S pozdravom,

J.xxx

hostmaster@sk-nic.sk wrote:

> Dobry den,
> Na pisomnej ziadosti o zrusenie domeny isluzby.sk
> chyba peciatka subjektu na ktory je domena registrovana.
> Poslite, prosim opeciatkovanu ziadost.
>
>                     S pozdravom,
>
>                         SK-NIC Administrator
>                         hostmaster@sk-nic.sk
>                         http://www.sk-nic.sk
Odpoved p. Kicaka:
Problem je v tom, ze peciatka neobsahuje ICO. Ak nevlastnite peciatku
s ICO je nutne prilozit vypis z ORSR resp. ZRZR.
Spokojnost so sluzbami sk-nicu sa da prejavit aj takouto odpovedou:
Vaz. pan Kicak,

Podmienky pre zrusenie domeny v zmysle Pravidiel registracie boli splnene
a ziadost obsahuje oficialnu peciatku subjektu. Ostatne Vase poziadavky su
zrejme iba Vasou osobnou "prehnanou iniciativou".

Prestante klamat a klast ustavicne prekazky v registracii a zmene domen a
plnte si svoje povinnosti.

S pozdravom,

J xxx
Na coz hostmaster ma svoju odpoved:
O Povinnostiach by sme mohli polemizovat. Vzhladom na to, ze medzi
nami nieje ziadny pracovno pravny vztah, by som si vyprosil poucovaie
o mojich povinnostiach z Vasej strany.
Ostatne bludy si nevymyslam:
http://www.sk-nic.sk/faq.html#19
Predisli by ste invektivam keby ste si dali tu namahu a precitali si
pravidla registracie + FAQ !:

Vymazanie domeny
O vymazanie domeny moze poziadat iba jej sucasny drzitel. Ziadost musi obsahovat
vsetky formalne nalezitosti: peciatka firmy s ICO-m (ak take nevlastnite je
potrebne zaslat aj vypis z obch. registra prip. zivnost. uradu) a podpis
zodpovednej osoby. V pripade, ze ziadost tieto nalezitosti neobsahuje, nebude akceptovana.
Ziadost bude spracovana do troch pracovnych dni od datumu jej dorucenia.
Rozradosteny zakaznik ma svoje vysvetlenie:
Pre mna je smerodajne to, co je, alebo nie je obsiahnute v Vasich Pravidlach
registracie a na citanie ostatnej beletrie na Vasej stranke bohuzial nemam cas.

Ak ste si napisali PRAVIDLA tak sa nimi prosim, aj riadte a nevyhovarajte sa
na FAQy, kucharske knihy a inu zabavnu literaturu.
a zakaznik reaguje:
A urobil som nieco co nie je v PODMIENKACH poskytovania SLUZBY?
Ked ste s nimi nesuhlasili, nikto Vas nenutil domenu si registrovat.
Zda sa Vam ze domena patri do baliku zivotnych potrieb?

Som rad, ze sa dobre bavite a este ste za to aj plateny.
No, uvidime ako dlho...
Nikto nas teda nenuti vyuzivat sluzby sk-nicu, ked sa nam nepaci. A koho teda? Kto alternativny nam zaregistruje .sk domenu?

Neni lahky udel sk-nicaka...

From: 
Reply-To: 
Organization: EuroWeb Bratislava a.s.
To: ivan@st.sk
CC: hostmaster@sk-nic.sk
Subject: Re: Zmena registratora domeny
X-Envelope-To: hostmaster@sk-nic.sk

Dear Thursday, May 16, 2002, 1:03:33 PM, you wrote:

ijss> Vazeny team SK - NIC,

ijss>      chcel by som sa opytat, ci je mozne urobyt zmenu registratora aj k
ijss> pozadovanemu datumu /samozrejme pri zachovani nim. casu 3 pracovnych dni
ijss> potrebnych na zmenu registratora/?
ijss>      Ak ano, kde a ako to potom na ziadost o zmenu registratira uviest?
ijss> Mohlo by to podla mna znamenat by to viacero vyhod:
ijss> - predislo by sa tym neprijemnemu nacasovavaniu prechodu od jedneho ISP k
ijss> druhemu ISP /pre zachovanie nepretrzitej funkcnosti www stranky/,
ijss> - pri pripadnych nedostatkoch udajov na formulari, by sa este vcas mohla
ijss> stihnut ich naprava,
ijss> - mali by ste viac casu na realizovanie pozadovanej zmeny,
ijss> - optimalizovanie vasej prace.

O optimalizovani nasej prace sa hovorit v ziadnom pripade neda,
pretoze pri stovkach ziadosti denne nieje mozne udrzat ktora domena ma
byt kedy preregistrovana.

Sucasny system sa nijak modifikovat nebude, pretoze uz v blizkej dobe
bude kompletne zmeneny system registracie domen. Uvedene zmeny v nom
budu prebiehat automaticky.
Nazory mladych ludi na sk-nic su prejavene uplne jasne:
From: "admin webpriestor.sk" 
To: 
Subject: INFO

Pekny den,
ako som sa dozvedel od znameho, z firmy Euronet s.r.o ,
niekto pod mojim menom sa snazil zaregistrovat domenu :
sknic-su-kokoti
Odpoved ivana velkeho:
Vymazal som to. Su to este deti. Az ked budu starsi, pochopia,
ze obchodne nazvy, znacky a domeny by si mali volit starostlivo
a na zaklade prieskumu trhu. Orange sa mi zda omnoho vydarenejsie ;-)

Aj ked by som ziadost o registraciu takejto domeny skor cakal
cez registratora "dial" ;-)

--
Ivan L, EuroWeb Slovakia a.s., Racianska 36, 831 02 Bratislava
No a na zaver? Asi by si ludia od sk-nicu mali hladat novu pracu. Jednu ponuku by uz aj mali...
From: ntonia@nettaxi.com
Reply-To: perfection@netnet.com
To: ntonia@nettaxi.com
Subject: Job Opportunity
X-Envelope-To: hostmaster@sk-nic.sk

***LOOK LIKE A MOVIE STAR***

You are about to experience an array of exciting
Beauty Products formulated with patented
technology that will make you look like a movie star.

LIP GLOSS  WILL NOT KISS or  RUB OFF until
you take it off.

You will be amazed at the professional, flawless finish
of our lip, eye, brow and lash beauty products.

Distributers now being accepted.

Learn more by sending an email to:
mailto:making.faces@eudoramail.com


To remove
mailto:remove.faces@eudoramail.com

lamer, lamer (zavinac) hysteria.sk

navrat na obsah
co ty na to ? board




cbac - cisco ios statefull firewall

Intro

Cisco Context-Based Access Control je jedna z Cisco IOS/IP/FW/PLUS featur,ktora v kombinacii s IDS a ACL (Access Lists) ponuka pokrocilejsie funkcie filtrovania,managovania a logovania sietoveho trafficu. S tymito advanced featurami sa "obycajny" Cisco router stava rubustny featured firewall, porovnatelny (pomer cena/vykon) s vysokovykonnymi komercnymi firewallmi ako je napriklad Cisco PIX.

Preco CBAC ?

A preco nie ? :-) Pozornost som upriamil najma na SOHO routre rady Cisco 805 a 806 pripadne modelovej rady 1700, ktore su medzi koncovymi zakaznikmy najviac rozsirene (niektori si ich dokonca sami spravuju .. :-) a maximalne vyuzit firewallove vlastnosti tychto routrov. SOHO routre vyuzivaju hlavne ACL.ACL "rozhoduju" na 3 a 4 vrstve CBAC sa pozera na informacie aktualne do 7 vrstvy. Podporovane su ale aj rady 1600, 2500, 2600, 3600 a 7200. Samozrejme, ze defaultne tieto routre neobsahuju IOS FW, ale oplati sa radsej kusok si priplatit a kupit router spolu s IOS firewallom. Investicia do network security nikomu nemoze uskodit a v konecnom dosledku moze zlepsit spanok ... :->

Hlavne featury CBAC:

Nevyhody CBAC:

Ako to cele funguje

Hlavna idea CBACu je inspekcia outgoing packetov pochadzajucich z trusted siete (LAN,WAN), vytvorit docasnu stavovu informaciu o danej session, tuto informaciu si ulozit do packet information state table, priradit danej session ID a povolit vracajuci sa packet pochadzajuci z danej session spat. Ak toto pravidlo nieje splnene a packet nepochadza z danej session (je napriklad inicializovany z untrusted siete ), packet bude zahodeny alebo logovany napr. na syslog server. CBAC monitoruje session pomocou watching flagov -> sekvencnych a acknowledgment cisiel. Packety ktore budu kontrolovane CBAC budu najprv matchovane oproti vstupnym access listom (ACL)na danom interfaci, ak packety zodpovedaju ACL pravidlam, budu kontrolovane CBAC, ak nezodpovedaju budu jednoducho zahodene a nekontrolovane CBAC. CBAC kontinualne monitoruje stav kazdej inicializovanej session a vyhodnoti ako bude spracovana. CBAC spolupracuje aj s multichannel protokolmi ako je napriklad FTP, ktore vyzaduje riadiaci kanal. CBAC zisti ci je subsekvencny kanal nevyhnutny alebo nie a podla toho vytvori alebo nevytvori pozadovanu session. Samozrejme,ze pre inspekcii nadmerneho trafficu to moze ovplyvnit aj celkovu vykonnost routra. Cisco uvadza ze na kazdu session je potrebne cca 600 Bytes RAM + CPU resources.

Konfiguracia

Velmi jednoducha a rychla.

Ako prve treba nastavit pravidla ACL,tj. traffic ktory bude CBAC matchovat alebo nie a rozhodnut ci bude na vnutornom, alebo vonkajsom interfaci.
CBAC sa konfiguruje v globalnom konfiguracnom mode pomocou prikazu ip inspect .
Jednoducha konfiguracia moze vyzerat takto:

cisco2621# ip inspect name fw tcp alert on audit-trail on
           
!inspekcia tcp
           ip inspect name fw udp alert on audit-trail on
           
!inspekcia udp
           ip inspect name fw smtp alert on audit-trail on
           
!inspekcia smtp
           ip inspect name fw fragment maximum 256 timeout 1
           
!ip fragment inspekcia - specifikuje maximalne cislo 'neposkladanych' packetov  
           ip inspect audit-trail
           
!aktivuje audit-trail mechanizmus - logging pre CBAC  spravy.   
           ip audit notify log
Optional settings:

Pri tychto nastaveniach si CBAC nastavy defaultne hodnoty,je mozne ich menit.

TCP SYN default 30s) a FIN(default 5s)flag timeouty. 
           ip inspect synwait-time sekundy
           ip inspect finwait-time sekundy

TCP idle session timeout
           ip inspect idle-time sekundy

DNS timeout 
           ip inspect dns-timeout sekundy

Pocet half-open sessions za minutu predtym ako CBAC zacne terminovat connection. 
           ip inspect one-minute high cislo 
Nakoniec treba celu maskaradu aplikovat na interface:
interface FastEthernet0/1
 description INSIDE INTERFACE 
 ip address 192.168.1.1 255.255.255.240
 ip inspect fw out
! CBAC aplikovany na interface smerom von 
 speed 100
 full-duplex
Konfiguraciu overime:
cisco2621#show  ip inspect all
Session audit trail is enabled
Session alert is enabled
one-minute (sampling period) thresholds are [400:500] connections
max-incomplete sessions thresholds are [400:500]
max-incomplete tcp connections per host is 50. Block-time 0 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 3600 sec -- udp idle-time is 30 sec
dns-timeout is 5 sec
Inspection Rule Configuration
 Inspection name fw
    tcp alert is on audit-trail is on timeout 3600
    udp alert is on audit-trail is on timeout 30
    smtp alert is on audit-trail is on timeout 3600

Interface Configuration
 Interface FastEthernet0/1
  Inbound inspection rule is not set
Outgoing inspection rule is fw
    tcp alert is on audit-trail is on timeout 3600
    udp alert is on audit-trail is on timeout 30
    smtp alert is on audit-trail is on timeout 3600
  Inbound access list is set
  Outgoing access list is not set
CBAC in action:

Vypis z audit logov:

cisco2621#sh logging
23:13:54:%FW-6-SESS_AUDIT_TRAIL: tcp session initiator (10.10.10.2:38961) sent 1050 bytes -- responder (192.168.1.3:80) sent 334 bytes
23:15:05:%FW-6-SESS_AUDIT_TRAIL: tcp session initiator (10.10.10.99:38964)sent 1050 bytes -- responder (192.168.1.3:80) sent 334 bytes
1d00h: %FW-6-SESS_AUDIT_TRAIL: udp session initiator (10.10.10.5:17092) sent 50 bytes -- responder (192.168.1.2:137) sent 0 bytes
1d00h: %FW-6-SESS_AUDIT_TRAIL: tcp session initiator (10.10.10.2:39210)sent 1050 bytes -- responder (192.168.1.3:80) sent 334 bytes
Realne sessions:
cisco2621#sh ip inspect sessions 
Half-open Sessions
 Session 822D7B18 (10.10.10.2:9330)=>(192.168.1.2:137) tcp SIS_OPENING
Established Sessions
 Session 822D7B18 (10.10.10.2:39209)=>(192.168.1.3:22) tcp SIS_OPEN
 Session 822D7C94 (10.10.10.2:39210)=>(192.168.1.3:80) tcp SIS_OPEN
Zaver

CBAC je silna featura, ktoru sa urcite oplati dokonfigurovat. Hlavne na spominanych SOHO routroch, ktore su vacsinou defaultne zkonfigurovane a tym plne vyuzit ich funkcionalitu. Potom uz mozu kludne zapadnut prachom ...:-)

maxo(zavinac)hysteria(bodka)sk

navrat na obsah
co ty na to ? board