Bemutató

A sorozat eddigi részeiben bemutattam már Európa legerősebb csatahajóját, a Bismarckot, valamint olvashattatok a valaha épített legnagyobb csatahajóról, a Yamatóról.

A kifejezetten csatahajókat bemutató sorozatom utolsó része az Iowa-osztállyal (Iowa, New Jersey, Missouri, Wisconsin, Illinois, Kentucky) ér véget, mint a csatahajó-építés csúcsát bemutatandó hajókkal.

E hajókkal a sebesség-fegyverzet-páncélzat háromszögben semmilyen más csatahajó nem veszi fel a versenyt, ugyanakkor a sors furcsa iróniája, hogy mire szolgálatba álltak 1943-ban, addigra az osztály kora véget ért.

Forrásként segítségül hívtam a Wikipédiát, emlékeimet a Zrínyi kiadó Hadihajók c. típuskönyvéből, és természetesen Olli hajóit.

A hajók teljes hossza 270 méter körül alakult, szélességük 33 méter. Teljes harci díszben 52,000 tonna vízkiszorításúak, szolgálatba állásukkor a fegyverzetet 9 db 406 mm-es, 12 db 127 mm-es, 80 db 40 mm-es és 49 darab 20 mm-es ágyúból és gépágyúból állt.

Az ötlet

Az ötlet a következő: mivel egyszer majd szeretném a blogomat saját webszerverről üzemeltetni, ezért szeretném annyira biztonságossá tenni, amennyire lehet.
Nyilván a blog üzemeltetéséhez felhasznált komponensek bármelyike sebezhető lehet, de úgy gondolom, amit meg tudunk, meg kell tennünk a védelem érdekében.

Így jutott eszembe, hogy a leendő blog alapját képező linux ssh-elérését kétlépcsőssé teszem, ugrókóddal. Ezen a ponton joggal merülhet fel a kérdés: minek marháskodok én itt egyéb megoldásokkal, mikor ott a kulcsos belépés lehetősége?
Nos, a kulcsos belépés akkor igazán kétlépcsős, ha a privát kulcs fizikailag is elkülönül az elérést inicializáló rendszertől, például pendrive-on van. Szerintem nem kell sorolnom ennek a megoldásnak a hátrányait, mindannyian fel tudtok sorolni legalább hármat.

A kétlépcsős megoldás kivitelezésében a Google volt segítségemre: a megoldás egyik fele egy Google Authenticator nevű alkalmazás, ami iOS-re, Blackberry-re és Androidra érhető el a cégtől, de készültek egyéb third-party megoldások is egyéb platformokra.

Bevezető

Előző írásomban a második világháború legerősebb európai hadihajójának történetét olvashattátok. A Bismarck az a csatahajó, amely tevőlegesen is részt vett tengeri csatában, a most bemutatásra kerülő Yamatóról ez nemigen mondható el.

Forrásanyagként legfőképpen a Wikipédiára támaszkodtam, a képek többsége is onnan linkelődik.

Az ok egyszerű: mire ténylegesen bevetésre került volna, addigra a csatahajók korszaka lezárult és a tengerek urai a repülőgép-hordozók lettek. Amiért mégis bevettem a sorozatba: a Yamato-osztály (Yamato, Musashi) a világ valaha épített legnagyobb csatahajói voltak, irgalmatlan mennyiségű fémet használtak fel e két hajó megépítésére.

Teljesen feltöltve 71.000 tonnánál is többet nyomtak, teljes hosszúságuk 263 méter, legszélesebb pontjukon kis híján 39 méteresek. Szükség volt erre a szélességre, emiatt viszont alaposan át kellett gondolni, merre is navigálják a hajót, 11 méteres merülése a csendes-óceáni szigetvilágban gondokat okozhatott. A hajóosztály legnagyobb sebessége 27 csomó, 16 csomós sebesség mellett pedig 7200 mérföldet volt képes megtenni egy "tankolással".
A Bismarck ennél jóval többet tudott: 19 csomós sebesség mellett 8500 mérföldes hatótávval rendelkezett, a Tirpitz pedig 8800-zal. Hiába, az óriási tömeg valahol megkéri az árat. A csatahajók mindig is a páncélzat-sebesség-fegyverzet háromszögben mozogtak, ezekből kettőt lehetett választani. Ezen triangulum közepéhez leginkább a német Scharnhorts-osztályú csatacirkálók álltak a legközelebb, igen kiegyensúlyozott és kiváló hajók voltak (most tekintsünk el a meghajtórendszerüktől, ha kérhetem - megbízhatatlan volt, de nagy sebességre volt képes).

Tarts velem, Kedves Olvasó, öntsünk tiszta vizet a pohárba!

Igen gyakran olvashatunk, hallhatunk, láthatunk híreket, amikor a tudósítások szerint hackerek betörtek ide-oda-amoda és fontos adatokat loptak el, semmisítettek meg, website-okat változtattak meg stb. Aztán találkozhatunk azzal is, hogy etikus hacker képzés indul itt, ott, amott. Találkozhatunk fehér, fekete és szürke kalapos hackerekkel – legalábbis a hírekben, fórumhozzászólásokban olvashatunk ilyeneket.

A sok fenti marhaságot a különböző sajtótermékek, szerzők hülyeségeinek köszönhetjük, miközben a leginkább érintett szubkultúra képviselőit senki nem kérdezte az említett dolgok helyes, vagy helytelen mivoltáról. A következőkben tisztázom a címben említett két fogalmat, nagy mértékben támaszkodva Eric Steven Raymond Hacker HowTo-jára.

Hacker, Cracker

A fordítócsapat örömmel jelenti be, hogy elkészült a 37. szám magyar fordításával: Mi lenne ha mi nem lennénk? alcímmel. Ennek a számnak tartalma:

* Hírek
* Parancs és meghódít
* Hogyan kell:
o A program Python - 11. rész
o Add hozzá Screenlets
o Stream Média, Ubuntu és Xbox 360
* Az enyém történet: Kernel 1.2
* Az enyém történet: Hogyan lett a Ubuntu operációs rendszer
* Az én véleményem: Segíteni egy új felhasználót
* Felülvizsgálat: Lubuntu
* MOTU Interjú: Stefan Lesicnik
* Betűk
* Ubuntu Nők: Penelope Stowe interjú
* Ubuntu játékok
* Q&A
* Az asztalon
* Top5: Csempézés Ablakkezelők
* Hogyan segíthet

A speciális szám elérhető a régiek mellett a http://fullcircle.hu oldalon.

Következzék a tartalom:

* Hírek
* Parancsolj és uralkodj
* Hogyanok:
o Programozzunk Pythonban – 9. rész
o Digitális fotóretusálás GIMP-pel – 2. rész
o Google SketchUp 7 telepítése Wine-vel
* Az én sztorim: Váltás Ubuntura
* Az én sztorim: Hogyan ismertem meg az Ubuntut?
* Különvélemény: Mainstream Linux
* Fókuszban: Motorola Milestone
* MOTU Interjú: Pedro Fragoso
* Levelek
* Hölgyek és az Ubuntu: Amber Graner interjú
* Játékok Ubuntun
* KáVé
* Az én Desktopom
* Top5: Android alkalmazások
* Közreműködnél?

A részleteket ismerve – vagy legalábbis azokat a részleteket, amelyeket az ASF nyilvánosságra hozott – azt kell mondanom: egy igen jól tervezett, szervezett és kivitelezett támadássorozat vezetett az ASF bizonyos szervereinek kompromittálódásához.

Amit elöljáróban érdemes tudni: az áldozatul esett szerver 8.04-es Ubuntut és a JIRA nevű bug- és projekt-trackert futtatta (brutus.apache.org).

Első lépésben a támadók egy új bejegyzést küldtek be egy már korábban feltört szerverről, INFRA-2591 számmal, amiben egy rövidített URL szerepelt. (Magára kicsit valamit is adó számítógép-felhasználó ilyenre nem kattint.) A rövidített URL használatának célja egy XSS (cross-site scripting) támadás elrejtése volt, amellyel elfoghatták az adminisztrátorok session-cookie-jait. Mivel a problémajelentést az infrastruktúra-csapat számára nyitották, jónéhány admin rákattant a linkre, amivel a jogosultságaikat is elfogták.

Az XSS támadással egyidőben brute force támadás indult a JIRA login.jsp-je ellen, többszázezer jelszókombinációt kipróbálva, melyek közül az egyik sikeresnek bizonyult. A támadók így feltérképezhették a fájlrendszert, fájlokat másolhattak le, illetve elhelyeztek egy backdoort is. Ezután telepítettek egy programot, ami a hozzáféréseket logolta, majd minden infrastruktúra-adminnak levelet küldtek ki, hogy egy bug miatt változtassák meg a jelszavaikat. Az egyik ilyen elfogott jelszó megegyezett egy lokális felhasználó jelszavával, amelynek teljes sudo hozzáférése volt, így a támadók hozzáférést szereztek a brutushoz. Itt további cache-elt hozzáférésekhez jutottak, amelyekkel be tudtak lépni a minotaur.apache.org szerverre is, itt azonban nem tudtak további privilégiumszint-emelést végrehajtani.