DiBR
обычная кошмарная
домашняя страничка
Ежекакполучится околокомпьютерное обозрение
 
  <<<  предыдущий16 января 00 годаследующий  >>>  
   Последний выпуск      Архив      Ссылки      Полезности      humor.filtered      О сайте   
         "Миллениум", говорите?? Точнее, это я говорю "миллениум", а вы читаете, и ничего не замечаете. А вот что мнеприслал, однако.

Из интранета одной компании:----------------------------------------------------Коля31.12.99РазноеПравильно пишите слово "милленниум" !Слово это латинское и в оригинале пишется так "millennium" - и с двумя "l",и с двумя же "n".В переводе на русский оно означает "тысячелетие": "millus" - тысяча, "annus"- год (отсюда "анналы" - типа летописи).А "anus" - это "задний проход" (отсюда слово "анальный").Так что "миллениум" с одной "н" - это отнюдь не тысячелетие, а "тысячежопие".Пишите правильно !Поздравляю всех с милленниумом !


         Вот так оно. Придется исправляться. Впрочем,не факт, что "...enium" в миллен(н)иуме имеет какое-то отношение к "аннусу",а в словарь лезть, как обычно, лениво. О! Винворд согласен и с millennium и с millenium,и не согласен (но и вариантов не предлагает) на милленниум и миллениум. Бардак. Наkm не пойду - лениво :-)
         Люблю мечтать. Ну, скажем, что бы я делал, если бы у меня была машина времени. Нет-нет, я бы неполетел спасать мир от мировых войн, и даже не полез бы скупать акции АО МММ - все круче,есть идея поинтереснее - рекурсивный оптимизатор жизни... одна фигня - нигде не могу найти машину времени.Грузоподъемность большая не нужна - нужно всего-то утянуть в прошлое однокристальный микроконтроллерс батарейками и флэшиной... впрочем, чего это я? Это же секретная мечта :-)
         Или, скажем - захватить под свое управление компьютерный мир. Не целиком, конечно -это просто невозможно, да и не нужно - захватив хотя бы процентов десять компьютеров в миреможно такого наворотить - уууу. Вот только - муторно наверно, столько компьютеров ломать,состариться можно. Подумаем дальше...
          Распространенных в мире систем не так уж и много. Собственно, Линукс да винды двухразновидностей - вот вам и полмира. Дыры в описанных системах регулярно обнаруживаются,регулярно публикуются, и столь же регулярно затыкаются. Заметную часть можно "сломать"не особенно напрягая мозги, а применяя известные эксплойты и ставя готовые "руткиты".Правда, сломать полмира из дома по модему - все равно тяжеловато будет. Подумаем дальше.
         Хакерами давно используется простой прием для заметания следов - взломанная линукс-система (как правилоименно линукс - винды мало кому нужны, остальных юниксов просто меньше) используетсякак плацдарм для дальнейшего взлома. А еще более давно :-) Некто Моррис написал своего "червя" -программу, умевшую, используя существовавшие в тогдашнем софте дыры, самостоятельнораспространаться по сети. Правда, со скоростью размножения он несколько не рассчитал, чеми был обусловлен печальный его (червя) конец. Никаких идей в голову не приходит? Думаю, уже приходят.
          Давайте сделаем червя. По образу и подобию Моррисовского, но:
             - умеющего обновлять "базу атак" - список алгоритмов и условий их применимости к хосту.То есть, мо мере появления новых (и исчезновения старых) дыр, автор червя будет где-нибудь в общедоступном местеинтернета (на геоситиз, хе-хе) выкладывать новые "рецепты" взлома, в виде исходников, бинарников - как угодно.Для затруднения затыкания геоситиза :-) алгоритм поиска можно запутать - скажем,на Альтависте (а лучше - на асталавистеищутся сайты, содержащие некое ключевое слово. Далее содержимое проверяется на наличие некоей"подписи", при совпадении оттуда тянутся апдейты, при несовпадении - берется следующий сайт из списка.
             - поддерживающего связь с взломанными соседями, и возможность удаленного управления. Вовсе необязательночтобы каждая "зараженная" машина "отзванивалась" на некий центральный сервер - это слишком легко затыкается после обнаружения,и слишком явный след для желающих обнаружить начальную точку. Вполне достаточно будет, чтобы отдав первой попавшейся машинекоманду "выполни это-и-это на N машинах, расположенных по возможности в окрестностях сети xxx.yyy.zzz.ttt",после чего команда будет автоматически, по собственной системе "горизонтальных" связей отправлена куда надо,и там выполнена. Естественно, это подразумевает некую самоорганизуемость такой сети -граф связей должен по возможности упрощаться, сохраняя множественность путей,должны отслеживаться обрывы (выпадения узлов) и приниматься меры по восстановлению целостности сети. Этонепросто, конечно, но не сложнее первой задачи - автоматического, саморазмножающегося вломщика сети.
         Да вот, собственно, и достаточно. Можно мечтать дальше - скажем, захватив сервер redhat или freebsdможно будет "встраивать" червя непосредственно в дистрибутив системы, можно дажевоспроизвести "вирус Ритчи", кажется так он называется - троянский компилятор, содержащий закладку в коде, но не в исходниках,и воспроизводящий закладку при пересборке компилятора этим же (содержащим закладку)компилятором... Мечтать можно много - какая мощь сосредоточилась бы в руках человека... ладно. к чему бы это я, а?
          А вот к чему. Я тут Team Void обчитался. А у них, в частности,рассказывают про идеологически близкую (хотя и недотягивающую пока до настоящей мечты)систему для проведения распределенных атак. Точнее,анализ обнаруженной, уже готовой и работоспособной, системы, кем-то когда-то зачем-то установленной,и сейчас с удивлением обнаруженной. Попроще правда -в основном для DoS-атак, неясной степени автоматичности (определенные шаги, похоже, все-такиконтролируются человеком), но достаточно развитой - число только обнаруженных машинисчисляется тысячами, сколько пока необнаружено - неизвестно.
         В общем, очень похоже. И ведь это - только первый шаг. Точнее - второй, первый сделал все-таки Моррис.Интересно, когда состоится третий шаг - полностью автономный червь, и четвертый - червь, самостоятельно читающийbugtrackи и самостоятельно генерирующий эксплойты :-)
         Ну, и о взломах. Взлом ленты.ру осветили уже где только можно, поэтому на самом факте останавливаться не буду.dz считает взлом "тривиальным", а Ильина - простым хулиганом. Coolerпубликует интервью с взломщиком. Хакзона проводит опрос, что с ним делать - простить, посадить, илиразобраться неформально (пока большинство считает, что надо простить).
         Лично я не согласен с dz по поводу тривиальности. Если взлом был осуществлен тривиально,то это означает одно - система защиты серверов, на которых лежит лента.ру, не способнапротивостоять даже тривиальному взлому. Причем под системой безопасности подразумевается,как обычно, весь комплекс мер - насколько я ничего не понял, в данном случае взломали одну из "рабочих станций"в компании rinet, и, поставив сниффер, утянули пользовательский пароль кого-то из людей,имеющих доступ к ленте. Voila - лента.ру взломана. Кто виноват? Скорее всего те, ктозаливает данные на ленту по протоколам, допускающим перехват паролей. А еще те, кто не защитилрабочую станцию в критичном для безопасности сегменте. Что делать? Найти такого админа,который объяснит лентовцам, что вдоль сегмента сети, по которому бегают некриптованные пароли,должны стоять охранники с автоматами, а все компьютеры в этом сегментедолжны быть в достаточной мере защищены. Или - не пользоваться telnet, ftp и иже с ними, благо заменаим есть. Где взять такого админа? Да вот он, сам прибежал, с кирпичом за пазухой и улыбкой на морде.Так что хулиганство хулиганством, но если человек провел успешно образцово-показательный взлом -то вряд ли он оставится без работы.
         Впрочем, несколько смазывает впечатление о юном хакере фраза с хакзоны: "Некий казус случился с резюме Webster'а, опубликованном на его сайте. В среду я получил письмо Андрея Мирона, по словам которого текст этого резюме очень сильно позаимствован из его (Мирона) резюме, причем адрес и UIN в тексте были заменены, ссылки же, на которые они отправляли - нет (большой привет Ворду). В результате Мирон к моменту своего обращения успел получить уже несколько десятков писем. Webster ответил, что получил это резюме в виде чистого бланка, хотя каким образом его адрес оказался так (не)удачно залинкован на адрес Мирона, не объяснил".Ну, да ладно - script kiddies не обязаны знать тонкости работы с винвордом :-)
         Не только я, оказывается, сослался на правдорубную мастерскуюв компьютерре, не отметив при этом, что это - "бред, конечно, но какой красивый бред".Результат - пара писем с аналогичными словами, и - на dz online от 10 января- открытое письмо в ответ на. В ответ на происки противников Котельникова и Шеннона.Тем, кто слишком близко к сердцу принял "правдоруба" рекомендую найти и почитать.
         Ах да. ДеЗе, конечно, великий человек, но когда на голом месте разводится три фрейма и куча яваскрипта -я на такое ссылаться просто ленюсь - лень выковыривать ссылку из недр кода. Добирайтесь от "морды" -заодно счетчик ему покрутите.
         И еще о dz. Он тут напрягся, и родил описание "ОС его мечты". Объектную сверху донизу,с полным отсутствием legacy support вроде "файлов" и прочей требухи - "объект это".Единственное, с чем он со скрипом смирился - что tcp/ip поддерживать придется, для совместимости.Впрочем, чтиво интересное. Хотя и малореальное - сбыча мечт такого рода происходит нечасто,и пользы обычно приносит немного.
         Ах да - http://www.dz.ru/dream/1.0/index.htm.Как он без яваскрипта обошелся - понять не могу :-)
         Вот такое вот письмо о distributed.netодин из моих знакомых написалв фидошную конференцию ru.hacker. И заставил меня тем самым задуматься о том, а какого,собственно, черта, они там на distributed что-то постоянно считают - зачем кому-то(не будем показывать пальцем, хотя это RSA) вкладывать десятки тысяч долларов в довольно странноезанятие - взламывать зашифрованные ими же сообщения, неужели из чисто спортивного интереса(смотри-ка, всего за год такой-то ключ сломали - надо же), или из саморекламы (дажесамые слабые из наших ключей требуют чудовищной работы по взлому...)?
         Считают там уже долго. Процесс достаточно отлажен (силами дистрибьютед.нетовцев),клиенты есть под большинство мыслимых операционок, установка клиента проста как мычание,многие уже не помнят, во взломе чего их домашний/офисный писюк принимает участие все его свободноевремя. Сейчас доломают (или доломали уже? я даже и не знаю) RC5, завтра начнут ломать какой-нибудьRC6,7,8,9, "взорванную рыбу" или ГОСТ, и все пойдет точно так же - $9000 дистрибьютеду,$1000 нашедшему ключ, а миллионы (миллиарды?) участников привычно поставят нового клиента,а то и вообще ничего не заметят - клиент сам подкачает новый код с сервера.
         А завтра вдруг возникнет настоящая задача, требующая огромной вычислительной мощности.Куда пойти озадаченному? А в дистрибьютед. Там привычно предложат $1000 победителю, перепишут клиента,и запустят отлаженный процесс.
         Сколько сейчас стоят суперкомпьютеры? До-орого. А суперкомпьютеры, соразмеримые по мощностис той мощью, что находится сейчас в руках distributed.net? Да нисколько не стоят - нет таких пока.А здесь за несколько десятков тысяч долларов (в среднем $10000 за контест, умножить на 4-5проведенных контеста) построен (создан, если кому не нравится слово "построен")суперкомпьютер. Пусть несколько виртуальный, но вполне работоспособный, и жутко производительный.
         Это ведь катастрофически дешево, если так разобраться. И я не удивлюсь, еслитакого рода проекты будут создаваться для массового обсчета чего-нибудь еще.Скажем, кадров фильма StarWars Episode-II- Hren Ego Znaet.
         Краткая история Хакерства в исполнении классика - Eric S. Raymond. Но -на русском.
         
banner
На баннер вот наткнулся. Все-таки Лебедев - популярнейшая фигура Рунета :-)То сеть, понимаешь, откроет, с форматом баннеров "на #$@ шире", точнее - на два пикселя шире стандартных,то его пинать начинают, что его реклама в tx3 не проходит автоматическую цензуруэтого самого tx3, а то, вон... не любит он кого-то, оказывается. Хотя сам он об этом, наверно,не знает :-)
         Есть жизнь и в Новосибирске, оказывается.Довольно продуктивно (и при том интересные) статьи там вот, в вышеподчеркнутом, пишут.Я лично с удовольствием почитал.
         Возвращаясь к рассолу в банках.
From:
Здравствуйте и с Новым 19100 годом! :)

/[пропущено by DiBR]/
По поводу промышленного выпуска рассола вспомнилосьвот такое:
как-то в августе-сентябре я то ли на gazeta.ru то ли на lenta.ru виделсообщение о выпуске в России водки "Беспохмельная". Для избавления отпохмелья в него добавляют какую-то химию (не проявитель :) ). В заметкетакже говорилось что похмелья действительно нет.
А у нас в Киеве выпустили напиток "Живчик". Безалкогольный. На вкус -лимонад, но в него тоже добавили какую-то тонизирующую химию. Впрочеммне 1 января это не помогло..
/[пропущено by DiBR]/

С уважением,
Петр Ильницкий
         Есть вот такой вот ресурс, оказывается - cgi-bin.ru.Чему посвящен, думаю, понятно, может кому пригодится.
         Что-то сегодня никаких новых железок не обозрелось. Надо на конкурентов посмотреть. О! На coolerе часы обозрели, с встроенным цифровым фотоаппаратом :-) Чисто круто, понимаешь, тем более -целых 200х200 точек и катастрофическая цветность в 16 градаций серого (нет, не 16 бит, а 16 градаций серого,4 бита то есть). Правда - что я хочу в часах, да еще за двести с небольшим долларов? Игрушка :-)
         Но вот если озаботиться хотя бы 8-битным АЦП (цена сильно подскочить не должна) - будет ужекуда более настоящая игрушка. Правда, для нас все равно дороговато.






Архив dibr