Chestia este că eu am două plăci video, un ATI Radeon 4200 HD de pe placa de bază Asus M4a785D-M Pro, și un nVidia GeForce GT 220 pe PCI-Express de la frete-mio căruia i-am dat o placă video mult mai bună, iar cum eu foloseam GeForce pe post de placă video primară și neavând un cablu HDMI – VGA ca să folosesc la al doilea monitor, placa neavând o ieșire DVI auxiliară, pentru a folosi două monitoare pe două plăci video am fost nevoit să fac următoarea modificare în BIOS: am pus placa integrată pe post de placă video implicită, iar Windows-ul 7 a văzut și placa a doua, astfel încât acum le folosesc pe amândouă.

Întrucât toate produsele pe care le-am achiziționat cu voucher-ul SuperBlog sunt de calitate, le-am ales ca pentru mine și n-am, deci, nicio greață dacă-mi rămâne ceva ce nu mărit. Iar monitorul ăsta cam îmi făcea cu ochiul, sincer să fiu. Așa că acum o să dorm mai liniștit și o să pot să lucrez un pic mai mult și un pic mai bine cu două afișaje LCD LED bla…

Să fie primit, cum ar veni!

1. Cu un pic de packet sniffing (interceptarea traficului din rețea), oricine poate afla credențialele contului de RDS ale clienților care au nevoie să-și schimbe parola:
   

   Stimate abonat,

   Primiti acest mail deoarece ati solicitat recuperarea parolei in interfata de administrare “Contul Meu Digi” v1.0.

   Daca nu dumneavoastra ati depus cererea pentru recuperarea parolei, nu este necesar sa faceti nimic (nu dati click pe link-urile de mai jos)

   Daca dumneavoastra ati facut aceasta solicitare, apasati pe unul din link-urile de mai jos pentru care doriti resetarea parolei:

   IN CAZUL RESETARII CONTULUI, FOLOSITI NOUA PAROLĂ: 4462e2

   Resetati parola pentru: COD CLIENT: 8357658, ( ROBIN MOLNAR )

   Cu stima,
   RCS & RDS.

   Dacă ne uităm atent la linkul din mesaj, care are forma https://digicare.rcs-rds.ro/forgot-password-action-confirm.php?user=8357658&pass=4462e2 , observăm că avem atât userul cât și parola în clar. Și nimic altceva, de genul unui hash de siguranță.

   Cam urât!

2. Apoi, dis de dimineață, am văzut că nu mi se încărcau pozele și unele site-uri, fiindcă RDS le redirecționa. Îmi scapă de ce, doar am plătit factura.

De exemplu, dacă privim timelapse-ul următor, cred că putem înțelege unde bat:

Temporal Distortion from Randy Halverson on Vimeo.

Exact, fotografiind cerul ziua, putem dezvolta software-ul necesar prelucrării digitale a imaginilor astfel încât să putem vedea prin nebuloasele universului, dincolo de ele, mai în profunzime.

De exemplu, putem începe cu ceva simplu, prin “întunecarea” gradientului albastrului cerului la crepuscul, extinzând aria de procesare de la vecinătatea unei stele la tot cerul (întrucât știm cum arată noaptea și putem face corecțiile algoritmice necesare).

Vă dați seama, rezultatul ar fi dacă reușim să vedem digital stelele ziua, noaptea ne va fi și mai ușor și am putea descoperi lucruri noi pe cerul nopții folosindu-ne de zi. N-ar fi frumos?

Ei bine, nu sunt de acord. Și cred că, dacă mi-ar fi plăcut programarea, aș fi făcut un sistem care să spargă orice parolă, cu condiția să avem acces la hash-ul parolei, adică la parola criptată.

Cum aș fi făcut?

1. M-aș fi interesat cum e codificată parola. WordPress, Joomla!, Windows-ul folosesc niște algoritmi cunoscuți, deci dacă ai acces la hash, poți ști cum a fost construit.
2. Aș fi folosit mecanismul de criptare a parolei pentru a construi o bază de date cu hash-urile tuturor parolelor.
3. Aș fi comparat hash-ul parolei cu intrările din baza de date…

Aspecte avansate (hardcore):

1. În ciuda opiniei generale, criptarea unei parole este o operațiune extrem de rapidă, oricât de complicat ar fi mecanismul de criptare, pentru că se folosește memoria cache din microprocesor.
2. Ce este lent? Păi să generezi o parolă, să-i generezi hash-ul, să-l compari cu cel existent și apoi să o iei de la capăt.
1. Da, operațiunile de comparare sunt mult, mult mai lente decât cele necesare generării parolei. Noi tocmai pe asta ne bazăm, că scoatem comparațiile din joc, deci economisim timp.
3. Întrucât nu este eficient să cauți în bazele de date după hash-uri, de obicei acestea fiind niște șiruri destul de lungi, de sute sau mii de caractere, poți să optimizezi căutarea în baza de date astfel încât să cauți după suma MD5 a hash-ului parolei. Dacă obții o mie de rezultate identice, poate două mii, îți este mai simplu să limitezi căutarea după hash-ul întreg la doar acele înregistrări unde MD5-ul corespunde, decât să cauți după întreg hash-ul în toată baza de date.

Ce resurse sunt necesare?

1. Un VPS sau un server dedicat care să genereze parolele și hash-urile aferente, cu un sistem de operare cât mai simplu, probabil un Linux fără interfață grafică.
1. Un PlayStation 3 crackuit ar merge de minune pentru chestia asta.
2. Un server de baze de date, preferabil pe un alt server, cu rețea gigabit între cele două, care să stocheze parolele și hash-urile într-o bază de date Oracle sau MySQL, eventual PostgreSQL.
3. Scrierea și testarea aplicației care să genereze parolele, preferabil ceva extensibil în care fiecare tip de hash corespunzător fiecărei aplicații de spart să fie un modul, la o adică să poți să spargi orice.

Exemplu estimativ: din estimările mele personale, cu această metodă căreia nu-i pasă de caractere mari, caractere mici, semne de punctuație, orice parolă se poate sparge în doar câteva zile…

Paradoxal, acest articol nu este despre hacking/ cracking, fiindcă nu vă învață cum să puneți mâna și pe hash-urile parolelor de spart, nu pune la dispoziție unelte de spart, ci doar atrage atenția asupra faptului că nu totul este așa cum se vehiculează în public.

Eh, acum vă mai simțiți în siguranță?

Mai în detaliu:

N-ar fi frumos?

Desigur, Facebook, acest turn din pisa al internetului, stă mândru și semeț și amenință să găsească informația mai repede și mai bine decât Google…

Sau Twitter, papagalul de pe centura internetului ce șade pe un telegrafic fir al mesajelor de 160 de caractere este, evident, o râmă balauriană astral de puternică, mai ales de când s-a pus bine cu guvernele, introducând cenzura…

Terminați, copii, cu prostiile. Sigur, atunci când nu cauți vreo fișă tehnică a unui produs, un partener de afacere sau când nu folosești conturi comune între angajați sau colaboratori, prin Google Docs, sigur că ți se pare că Facebook este un mare rahat de berbec împielițat cu pureci potcoviți cu nouă sute nouă zeci și nouă de perechi de potcoave de oțel…

Dar când ieși din lumea asta în care ai acces doar la informațiile pe care prietenii ți le împărtășesc pe wall, când descoperi ce-i aia curiozitate și mers biped, vezi că, de fapt, lumea internetului este mai mare și mai complexă și că nu totul este pe Facebook.

Mai de grabă, cred eu, Facebook se va duce în cap, pentru simplul motiv că oamenii se vor sătura și vor vrea altceva. Sigur, întrucât utilizatorii generează mult conținut pentru el, Facebook se va lăsa mai greu doborât, dar nu-mi fac iluzii, industria asta este prea inovativă și prea puțin conservatoare pentru a putea cineva spera la glorie eternă într-un domeniu restrâns.

Ca să rezum, Google dispune de prea multe tehnologii lucrative pentru a se prăbuși și ar putea, cu o mai bună integrare între produse, să fie mama și tata și bunicul internetului, iar cei care spun altfel sunt doar niște frustrați ciudoși care nu înțeleg că pe internet are loc migrarea de la produse disparate la servicii integrate…

Stimate utilizator,

Cu părere de rău trebuie să vă informăm că site-ul Okazii.ro a avut de suferit din cauza unei breșe de securitate, și este posibil ca datele dumneavoastră personale să fi fost expuse către persoane neautorizate.

De aceea, la următoarea conectare, parola dvs. se va reseta automat, pentru a preveni accesul neautorizat.

Desigur, pentru orice ale lămuriri, vă stăm la dispoziție.

Cu stimă!

Credeți c-am primit ceva de genul? Nu, exact, pentru că utilizatorii n-au nevoie să știe că le-au fost sparte conturile. Sau pentru că așa consideră administratorii că e mai bine…

Sau mi-ar fi plăcut o dezmințire, ceva…

În fine, via Vali Petcu, două poze pentru posteritate:

Apoi, textul ACTA a ajuns la Ministerul Comunicațiilor în data de 19 Ianuarie, iar șapte zile mai târziu a fost semnat la Tokyo. Să mă scuzați, dar nu cred că un acord comercial de asemenea amploare poate fi înțeles și parcurs în doar șase, șapte zile…

Totuși, domnul ministru al comunicațiilor, pe lângă datele de mai sus, a mai spus un adevăr, la invitația moderatorului emisiunii de știri unde a fost invitat, adevăr ce, în traducere, înseamnă cam așa:

În acest moment, există mijloacele tehnologice de monitorizare a traficului fiecărui internaut.

Știu că sunt mulți specialiști care cred că așa ceva este imposibil.

Dar îmi pare rău, dar trebuie să îi contrazic: în acest moment, există mijloacele tehnice de a monitoriza electronic pe oricine, oricât de criptate ar fi pachetele, folosind tehnologie generic denumită “client automation”, pentru că ACTA nu prevede cum se va face monitorizarea, adică dacă se va face prin packet sniffing sau prin instalarea de software pe computerele clienților.

Are și HP un software care se cheamă, chestie de marketing, fix  “Client Automation”, atâta că nu este folosit la monitorizare, dar face parte din această categorie software a automatizării computerelor client (nu ale clienților, ci ale computerelor client ale unor servicii – de exemplu banking), dealtfel surprinzător de amplă, tehnologie despre care vom vorbi în continuare.

Dintre firmele mai cunoscute pe la noi și care au astfel de sisteme de client automation, îi mai avem pe cei de la McAfee, Norton și Computer Associates, din vreo câteva zeci de companii, dar cei mai periculoși nu sunt ăștia cunoscuți, relax, ci firmele mici cu 2 -3 hackeri blackhat care vor să facă bani legal…

Sigur că nu se vede la știri, dar tehnologia există de ani buni și pot să vă dezvălui principiul pe care acestă tehnologie a client automation  se bazează, și anume:

Pe un computer se instalează un pachet software denumit agent, care execută, la cererea unui server ce-i cere asta, diverse operațiuni, mai mulți astfel de agenți (mii sau zeci de mii) fiind sub comanda unui server cu funcții specifice, server ce are rolul de a coordona diversele operații automate executate pe computerele client, de unde și denumirea de client automation.

Acest agent al unui astfel de sistem poate fi comandat de la distanță să facă orice, oricum, oricând. De exemplu, poate scana tot conținutul hard diskului, să calculeze hash-ul (semnătura) fiecărui fișier după unul sau mai mulți algoritmi (CRC, TDES, AES etc) pentru a determina dacă un fișier este, sau nu, original…

Mai mult, aceste sisteme pot șterge automat fișiere, pot reconfigura computere și echipamente de rețea, pot alerta autoritățile, pot porni webcam-ul, pot instala programe noi inclusiv pe unitățile de memorie externă (stickuri USB și carduri de memorie), posibilitățile sunt nebănuite și nelimitate…

De exemplu, pentru avansați, tehnologia de tipul client automation poate modifica conținutului fișierului hosts și e gata, suntem cu toții “la revedere, pa și pusi, adio și la gară, mi-a părut bine”.

De aceea, vă rog să nu vă bazați că tehnologia nu există. Există. Momentan nu e folosită în acest scop. Dar ar dura câteva săptămâni până să se facă necesara tranziție de la auditul de securitate la cel de materiale înregistrate…

Și nu vă relaxați dacă vi se spune că astfel de sisteme nu se vor folosi pentru cenzură, vă rog să nu puneți botul. Dacă un ziar publică un articol cu textul “Jos Băsescu!” iar voi vreți să spuneți asta undeva, pe vreun blog, s-ar putea interpreta ca și cum ați folosi material piratat, deci nașpa.

Mai are rost să continui? Sau v-ați lămurit deja?

P.S. Știți cum ni se poate băga pe gât instalarea unui astfel de agent? De exemplu la RDS folosim conexiuni PPPoE cu user și parolă și ni se poate pretexta că, pentru a ne conecta la rețea, să folosim software-ul lor client “pentru a ajuta la configurarea dinamică a rețelei”. Ahem.

După aceea, telefonul și-a dat singur reboot, iar când a pornit, toate iconițele erau goale, albe, seci. Așa că am mai încercat un update, de data asta la toată aplicația Cydia, a mers, am făcut update și la pluginurile de Springboard, interfața meniului, a mers, așa că i-am dat reboot.

După un sfert de oră de așteptare, mă prind că “oblojii” ceva, fiindcă telefonul o ținea din reboot în reboot, crăpând fix când să se inițializeze interfața Springboard. Vă dați seama, eram terminat psihic precum Adrian Năstase la alegerile din 2004…

După o oră de căutări pe net, aflu că ceea ce îmi trebuia mie ca să pot să-l repar era să intru nu în “Safe Mode” ci în modul de lucru numit “Download Firmware Update – DFU”, respectiv după încă o oră aflu și cum se face sta, pentru că este o combinație specifică în funcție de versiunea de iOS instalată pe telefon…

Ei, cu chin, cu vai, reușesc să pornesc telefonul în modul de lucru special, dar mai departe nu puteam trece întrucât, pentru a-i reinstala sistemul de operare, trebuia să-l conectez la un computer cu iTunes pornit, ceea ce nu prea se putea, fiindcă desktopul era pe butuci (cel puțin pe el am văzut că-l vede iTunes și vrea să-l actualizeze), netbook-ul Asus VX6 putea suporta upgrade-ul de firmware de pe telefon, fiindcă are un port USB (pe stânga) cu alimentare, bun pentru telefoane și altele, dar când porneam telefonul în DFU nu știu ce se întâmpla că-mi dădea Windows 7 Home Premium x86 eroare cu ecran albastru și se ducea lumii de suflet cu mesajul: “No More IRP stack locations”, cu Mup.sys arzând în flăcări…

Pe jucăria de Acer de la TLH, de pe care scriu aceste rânduri, n-aveam unde conecta iPhone-ul fără să trebuiască să aleg ce port USB să-mi ard, așa că o las baltă, și mă duc până la muncă, fiindcă Elitebook-ul are și un advanced docking station (un dispozitiv specific laptopurilor care adaugă suport pentru mai multe porturi) de pe care puteam lucra comod. Vă dați seama, Sâmbăta perfectă era să merg la birou. Și nici măcar nu eram singur, că mai era un tip de la suport rătăcit pe acolo. În fine, să revin…

No, mă duc la muncă, cu iTunesc downlodez cei 322 de MB de iOS 4.2.1 și m-apuc să mă joc cu telefonul, încercând să-l repar și să-l aduc în modul DFU. Îl actualizez, pornește, merge OK, și ce-mi zic?

- Bă, dacă tot sunt aici, ia să mi-l jaibreak-uiesc singur, să mai fac economie vreo 100 – 200 de lei.

Cică acum e legal să faci asta. că o faci pe barba ta.

Așa că iau redsn0w, aplicația care face asta, iau fișierul de firmware, ceva fișier de 322 de MB cu extensia IPW, specific telefonului și sistemului de operare iOS 4.2.1, mă chinui să repornesc telefonul în modul DFU și, până la urmă, încerc să citesc instrucțiunile de pe ecran, că redsn0w spunea exact ce trebuie să apeși, ideea e că trebuie să citești repede și să încerci de câteva ori.

Până la urmă, mă prind de fază: când pornește telefonul, boot loader-ul citește care sunt butoanele apăsate și lansează în execuție kernel-ul cu anumiți parametri. Apoi, când se încarcă stage 2-ul de iOS Linux (iOS este totuși, un Linux), dacă vede că este apăsată o anumită combinație de taste, se lansează în execuție un anumit initrd specific pentru modul DFU.

În fine, ceea ce vreau să precizez este că s-ar putea să greșesc, întrucât n-am studiat mai serios problema iOS, iar afirmațiile mele se bazează strict pe observații, nicidecum pe o documentare prealabilă.

Apoi, ca să vedeți mintea de inginer, s-ar putea ca observațiile mele să fie corecte din punct de vedere tehnic, dar cu certitudine sunt complet inutile în context, ca în banc. Dar să revin.

Deci, după ce am instalat iOS 4.2.1 în locul lui iOS 4.1, am jaibreak-uit telefonul. Nu l-am și decodat, întrucât am văzut că-mi merge pe Vodafone, deci nu-i stress. În schimb, i-am pus opțiunile de multitasking, respectiv îmbunătățire a bateriei.

Cu greu, l-am pornit în modul DFU, a făcut redsn0w ceva (e plictisitor și irelevant să spun că s-a conectat la el, l-a reconfigurat etc) pe acolo, și la final telefonul merge brici.

Mai puțin că moare cam des interfața specifică iPhone-ului (Springboard), cea cu butoanele colorate. Dar durata de viață a bateriei a crescut cam cu 50%. iar opțiunea de multitasking (real, nu vax albina) e bună.

De fapt, nu folosesc soft piratat pentru iPhone, dar la jailbreak ai opțiunea de a-ți instala, prin Cydia (program care se instalează automat la jailbreak), opțiunea SBSetting (Springboard Settings) astfel încât, cu un swipe pe bara de sus (status) îți apare un meniu ce-ți permite foarte facil să pornești sau să oprești servicii, fără să mai intri în setări, că de fapt asta îmi trebuia mie musai!

Ca atare, per ansamblu, după jailbreak și după toată faza, am pierdut:

• toate contactele, muzica, fotografiile de pe telefon, tot;
• timp mult și mi-a bâțâit un pic fundul că se duce telefonul;
• o jumătate de week-end leșinat…
• un pic de nervi, că Springboard-ul mai moare când nu e cazul.

Dar am câștigat:

• cu 50% mai multă baterie;
• iOS actualizat;
• o nouă experiență de utilizare a telefonului;
• multitasking real pe telefon;
• am SBSettings funcțional (cel mai bun feature opțional de la jailbreak);
• mai multă memorie RAM, ceea ce e dubios. Înainte, pe iOS 4.1, chiar și când închideam aplicații, memoria rămânea ocupată și trebuia ca, la trei zile, să rebootez telefonul, fiindcă nu mi se curăța memoria și nu mai puteam porni aplicații. Acum, se pare, nu mai este nevoie de asta. Sau, cel puțin, nu atât de des.

În fine, n-aș vrea să repet experiența, sincer să fiu. Că mi-a crescut tensiunea, în timp ce, de exemplu, puteam, face altceva mai bun, cum ar fi să dorm. Sau credeți că m-am învățat minte?

Ei bine, dragilor, din proprie experiență, vă pot spune că sunt lucruri pe care nu le poți face de pe un netbook sau de pe o tabletă, nici dacă stai în limbă.

În primul rând, dacă nu cumva ai norocul unui model mai de Doamne – ajută, gen Asux VX6, nu poți să-ți încarci smartphone-ul de pe portul USB al netbook-ului sau al tabletei. Garantat, iPhone-ul nu va putea să funcționeze legat la un netbook în timp ce încerci să-l pornești în modul special pentru upgrade de firmware. Clar, pe tabletă nu ai nicio șansă. În general, însă, ai șansa de a-ți arde un port USB încercând să conectezi diverse dispozitive mai puternice la porturile USB ale jucăriilor ăstora, cum ar fi, de exemplu, pe Acer Aspire One.

Apoi, oricât s-ar chinui unii să spună că nu e așa, majoritatea oamenilor nu pot scrie la viteza maximă pe un netbook, pentru că tastatura nu este optimizată pe dimensiunile mâinii, ci ale dispozitivului. Pe tabletă să nu mai spun, că e și mai aiurea de scris fără tastatură externă. Plus că, pe o suprafață dreaptă, imaginea se vede un pic dubios, nu sub un unghi natural.

Sigur, unii vor spune că se vor putea face și lucruri grele pe aceste jucării, cum ar fi, de exemplu, să editezi filme folosind servicii online. Ceea ce presupune să uploadezi câțiva GB de video, să editezi folosind un browser web, și să downloadezi rezultatul. Ceea ce e ca și cum, stricându-ți-se mașina, l-ai trimite pe mecanic la fabrică să ia piesa…

Nu știu dacă l-ați încercat recent, dar Skype aproape că nu merge decent pe niciun netbook și pe nicio tabletă care mi-au căzut pe mână. Cel puțin, dacă ai și browserul de internet pornit, e clar că moare, iar filmele, dacă nu sunt strict în formatele specificate pe cutie, or să meargă din patru în patru. În fine…

Oare ce am uitat? Că mai erau…