-ENOTTY

Na stronie Unix Days pojawiły się już materiały z tegorocznej edycji. Zdjęć dzika nie ma ;-)

Na UnixDaysach p. Kevin Mayo opowiedział o pewnych procedurach bezpieczeństwa stosowanych w armii USA.

Obraz ma monitorach LCD i CRT można podejrzeć przez ściany wykorzystując atak TEMPEST. Zapobiegać można mu ekranując sprzęt. Dlatego też amerykańska armia wymagała badań i certyfikatów wszystkich podatnych urządzeń. Przy każdej naprawie bądź modyfikacji kosztowną certyfikację należało powtarzać.

Aby nie tracić czasu i pieniędzy wymyślono prostszy sposób na zabezpieczenie. Atak TEMPEST skuteczny jest ze stosunkowo niedużej odległości. Wprowadzono więc zoning. Wokół podatnego sprzętu wyznacza się strefy, poza którymi podejrzenie obrazu nie jest już możliwe. Na granicach stref stawia się uzbrojonych żołnierzy.

Zadaniem żołnierza jest zastrzelenie każdej nieupoważnionej osoby naruszającej strefę. Skuteczność podobna jak ekranowania, a koszt o wiele mniejszy.

Wg. Trocheja podobne rozwiązanie stosowane jest od dawna w polskiej armii.

nieoficjalnie wiadomo że przedstawiciel google spotkał się z dyrektorem instytutu i wyrażał niezadowolenie rozwojem centrum w krakowie; przeliczyli się trochę, licząc na agh

Wcale mnie to nie dziwi.,,Renomowane'' uczelnie publiczne wcale nie produkują specjalistów i fachowców. Wiele osób prześlizguje się przez studia nie ucząc się nic i zdobywając papier. I mało kogo to obchodzi.

Sam kończę studia na specjalizacji sieciowej na dość poważanym ETI Politechniki Gdańskiej. Teoretycznie więc powinienem mieć wszystkie poważniejsze technologie sieciowe w małym palcu. Dlaczego więc o tak ważnych sprawach jak Infiniband nie słyszałem ani słowa?

Na moim kierunku sieciowym są ludzie, którzy nie potrafią nadać adresu IP karcie sieciowej. Którzy nie rozumieją masek podsieci. Jeden z pracowników katedry powiedział, że jakby realizować ambitny (czytaj ,,sensowny'') program, to z dwóch grup dziekańskich poradziły by sobie 2, może 3 osoby. Po prostu nie da się nauczyć czegoś ponad podstawy wifi, ethernetu i może ATM.

Zresztą wczoraj będąc w barze na ETI popatrzyłem sobie po zebranych tam studentach. Tam się nie pojawiają startupy. Tam się nie wpada na genialne pomysły. Tam się po prostu żyje od sesji do sesji.

I nie piszę tego z powodu zawiści, że mi nie idzie. Wprost przeciwnie. Niedawno odebraliśmy nagrodę za Projekt Grupowy realizowany przez dwa semestry. Tak, ten sam projekt na który tak często narzekałem.

ETI wcale nie różni się od AGH. Ani od innych uczelni publicznych. Szansę na wyprodukowanie cennych pracowników mają tylko prywatne. Takie jak PolJap^*. Im więcej Ania mi o nim opowiada, tym bardziej jestem pod wrażeniem. Że może być normalnie, że uczelnia może dbać o studenta, że program może być sensowny, że można nauczyć systematycznej pracy.

* który ma Drzwi Otwarte za niecałe 3 tygodnie

Tradycja studencka nakazuje w okresie Juwenaliów kupić sobie zgrzewkę puszek z płynem, który najlepiej spożywa się schłodzony. Tak też zrobiłem w tym roku. Ale zamiast piwa zaopatrzyłem się w napoje energetyzujące Max Power :(

Zabawne. Red Hat zapłacił jednej firmie za stworzenie wolnych fontów o rozmiarach odpowiadających Arialowi, Timesowi New i innym popularnym fontom stworzonym przez MS. Żeby można było je podmieniać w dokumentach bez zmiany układu.

Niecałe 20 lat temu Microsoft zrobił dokładnie to samo. Stworzył Ariala, Timesa New w ten sposób, aby zastąpić nimi popularne, drogie fonty Helvetica, Times.

RHEL kopiuje kopię.

[122610] * zdzichuBG ma drożdżówkę
[122623] <@zdzichuBG> o, i zrobiłem sobie herbatę zamiast kawy. zuo
[122638] <@dosiu> zdzichuBG: laaaaaaaaaaaameeeeeeeeeeE!
[...]
[155004] * dosiu ugryzł się w język.
[155015] <@dosiu> I zrobiłem sobie herbatę zamiast kawy, kurwa jego mać.

Właśnie zjadłem pałeczkami turecki kebab z polskiej knajpy. Z sałatką grecką.

Zamówione oczywiście przez internet.

Wraz z nowymi Xami przychodzi nowsza wersja rozszerzenia X11 Resize and Rotate. W wydaniu 1.2 możliwy jest hot-plug i hot-unplug oraz rekonfiguracja w locie położenia i rozdzielczości ekranów. Oto krótki przewodnik obrazkowy z mnóstwem literek, pisany w stanie sporego niewyspania.

Zaczyna się normalnie.

Jeden wyświetlacz, zewnętrzny LCD nie podłączony. Tak też raportuje xrandr:

% xrandr
Screen 0: minimum 320 x 200, current 1440 x 900, maximum 2720 x 1924
VGA disconnected (normal left inverted right)
LVDS connected 1440x900+0+0 (normal left inverted right) 303mm x 190mm
   1440x900       60.0*+   50.0  
   1280x800       60.0  
   1280x768       60.0  
   1024x768       60.0  
   800x600        60.3  
   640x480        60.0     59.9  
TV disconnected (normal left inverted right)

Podłączam więc zewnętrzny monitor. Fakt ten zostaje wykryty, poprzez DDC zostają odczytane parametry:

% xrandr
Screen 0: minimum 320 x 200, current 1440 x 900, maximum 2720 x 1924
VGA connected (normal left inverted right)
   1280x1024      60.0 +   75.0     59.9  
   1152x864       75.0  
   1024x768       75.1     70.1     60.0     59.9  
   832x624        74.6  
   800x600        72.2     75.0     60.3     59.9     56.2  
   640x480        75.0     72.8     66.7     60.0  
   720x400        70.1  
LVDS connected 1440x900+0+0 (normal left inverted right) 303mm x 190mm
   1440x900       60.0*+   50.0  
   1280x800       60.0  
   1280x768       60.0  
   1024x768       60.0  
   800x600        60.3  
   640x480        60.0     59.9  
TV disconnected (normal left inverted right)

Zewnętrzny monitor podłączony jest do wyjścia VGA, ale ponieważ nie jest włączony, nie został wyświetlony tryb, w jakim pracuje. Pora go więc włączyć.

% xrandr --auto; xrandr
Screen 0: minimum 320 x 200, current 1440 x 1024, maximum 2720 x 1924
VGA connected 1280x1024+0+0 (normal left inverted right) 338mm x 270mm
   1280x1024      60.0*+   75.0     59.9  
   1152x864       75.0  
   1024x768       75.1     70.1     60.0     59.9  
   832x624        74.6  
   800x600        72.2     75.0     60.3     59.9     56.2  
   640x480        75.0     72.8     66.7     60.0  
   720x400        70.1  
LVDS connected 1440x900+0+0 (normal left inverted right) 303mm x 190mm
   1440x900       60.0*+   50.0  
   1280x800       60.0  
   1280x768       60.0  
   1024x768       60.0  
   800x600        60.3  
   640x480        60.0     59.9  
TV disconnected (normal left inverted right)

--auto powoduje włączenie wszystkich wyjść, gdzie jest coś podłączone i ustawienie na nich optymalnych trybów graficznych. Jednocześnie obydwa wyjścia wyświetlająten sam obszar, z dokładnością do różnic w rozdzielczościach. Jeśli dobrze się przypatrzeć, widać, że pasek gnome-panela dopasował się do najmniejszej szerokości 1280 pikseli. Tryb taki przydaje się, jeśli chcemy na obydwu monitorach pokazywać to samo.

Przy dwóch monitorach sensowne jest stworzenie z nich jednego dużego pulpitu. Można to osiągnąć ustawiając obraz z zewnętrznego nad wbudowanym w laptopa LCD:

% xrandr --output VGA --above LVDS

(wklejony screenshot został zrobiony troszkę później niż zdjęcie, bo zapomniałem). Analogicznie można ustawiać wyjścia poleceniami --below, --left-of, --right-of. Do dyspozycji jest także parametr --pos, którym można wymusić zachodzenie na siebie wyjść. Np. rogami:

% xrandr --output VGA --pos 500x500

Na obydwu ekranach działają takie rzeczy jak np. akceleracja XVideo czy OpenGL: Jednym z zastosowań może być pomoc przy prezentacjach. Na rzutniku podłączonym do zewnętrznego wyjścia pokazany jest tylko fragment ekranu ze slajdem, na panelu laptopa widać resztę ekranu, z notatkami i podglądem kolejnych stron prezentacji:

% xrandr --output VGA --mode 800x600 --pos 300x100

Oczywiście manpipulować można dowolną liczbą wyjść. Ja w laptopie do dyspozycji mam wbudowany panel, zewnętrzny VGA i TV-out. Z żadnym nie ma problemów. Niestety, będąc w domu tak zagapiłem się na Electric Sheep uruchomione na dużym TV, że zapomniałem zrobić fotki. Nie chciało mi się także kombinować dodatkowo z pokazaniem obrotów ekranu, które również bezproblemowo działają.

Zabawę kończymy przez % xrandr --output VGA --off.

Teraz pora na minusy:

• automatyczny panning, czyli podążanie pulpitu większego niż wyświetlany obraz za kursorem myszki; ta funkcjonalność została usunięta z Xservera, pojawi się gdy zaimplementują ją ponownie zarządcy okien;
• sterownik dla kart Intel jeszcze (ale już nie długo) nie potrafi zmienić przydzielonej na starcie ilości pamięci na bufor ramki. Dlatego nie wszystkie kombinacje rozdzielczości i układów zadziałają z marszu. Ja obsługę kombinacji z którymi się spotykam (1280x1024 + 1440x900) załatwiłem wpisem Virtual 2720 1924 w xorg.conf; ale
• karty Intela poniżej 965 (w tym moje 945) mają limit na wymiar akcelerowanej przez OpenGL przestrzeni do 2048. Przy większych sumach rozdzielczości nie działa DRI; rozwiązaniem jest renderowanie obrazu w kilku kawałkach po max. 2048x2048 pikseli. Ponieważ wiele osób narzeka na ten limit i inne sterowniki mają podobne ograniczenia, rozważane jest stworzenie wewnątrz Xorg infrastruktury do takiego ,,tiled rendering''.
  Układy graficzne i965 mają ograniczenie do 8192 pikseli w każdą stronę.
• kolejność ikon i appletów na Panelu GNOME całkowicie się rozpieprza po kilku zmianach rozdzielczości; problem ten jest w trakcie naprawiania.
• układ graficzny ma tylko 2 potoki renderujące. Można więc pokazywać tylko dwa niezależne obrazy, co oznacza, że przy aktywacji 3 wyjść, dwa z nich muszą wyświetlać to samo.

Generalnie zaś Xy w końcu oferują możliwość konfigurowania desktopów w locie, tak jak Windows pozwalał w 2001 roku.

Od piątku Gdańsk, Gdynia, Wejherowo, Bydgoszcz, Pieczyska, Warszawa. W planach jeszcze co najmniej Toruń.

A Dell będzie sprzedawał swoje desktopy i laptopy z Ubuntu. Urealnia się 10×10.

Spotkałem się ostatnio z interesująca techniką wykorzystywaną przez spamerów. Niechciana poczta wysyłana była przez zabezpieczony przed niechcianym relayingiem serwer pocztowy. Skąd się tam wzięła?

Pewne urządzenie embedded w sieci tego serwera pocztowego ma publicznie dostępny adres IP. Jedyną godną zainteresowania usługą jest serwer WWW, który przeprowadza uwierzytelnienie za pomocą hasła i umożliwia interakcję z urządzeniem. Adres tego urządzenia znajdował się w nagłówkach wysyłanego spamu. Jednocześnie znajdował się w puli adresów IP, z których wspomniany serwer pocztowy przyjmuje przesyłki bez ograniczeń. Znalazło się więc źródło spamu, ale skąd wziął się sam spam?

Mimo braku logów słownikowe zdobycia hasła do urządzenia zostało wykluczone. Użycie nieznanego ,,hasła serwisowego'' wchodziło w grę, ale wydawało się mało prawdopodobne. Odpowiedź przyniosło podejrzenie za pomocą tcpdump pakietów kierowanych z internetu do urządzenia. Ich zawartość wyglądała mniej więcej tak:

10:18:32.958950 IP gw.chicago.genotech.no.sah-lm > xxx.gda.pl.http: . 0:1460(1460) ack 1 win 65535
E....q@.o...BZe.
..g....P...U....
P.......POST.http://153.19.yyy.yyy:25/.HTTP/1.1.
Content-type:.application/octet-stream..
Content-length:.3729..
Host:.153.19.xxx.xxx..

HELO.cluster1.hk.messagelabs.com..
MAIL.From:<xxx@dyxnet.com>..
RCPT To:<xxx@COX.NET>..
RCPT.To:<xxx@EARTH

Adres 153.19.yyy.yyy to wykorzystany serwer pocztowy, będący MXem dla domeny xxx.gda.pl. Spamer wykonał zapytanie POST, zasadniczono ,,odbijając'' połączenie od urządzenia. Nie zalogował się i nie uzyskał dostępu, wykorzystał tylko niedoskonałość wbudowanego serwera WWW, który nie powinien pozwalać na więcej niż HEAD, GET i POST. Bo to wystarcza do spełnienia przez niego swojej funkcji.

Rozwiązaniem problemu polegało na zawężeniu na routerze zakresu adresów IP, które mogą się kontaktować z urządzeniem. Zabronienie serwerowi SMTP przyjmowania poczty nie wchodziło w grę — urządzenie generuje czasem alerty emailem. Niemożliwa jest wymiana lub rekonfiguracja oprogramowania serwera WWW, taka specyfika urządzenia. Pozostaje winić producenta za możliwość wykorzystania POST, a wymogi konfiguracyjne za pozostawienie urządzenia otwartego do internetu.