powiem-ci-kim-jestes
Trafiłem na artykuł o pozyskiwaniu danych z serwisów społecznościowych.
Niby nic odkrywczego, ale warto mieć świadomość, że wszystkie te zasoby mogą łatwo być przeszukane - lub przy odrobinie wysiłku zgromadzone w jednym miejscu i zapamiętane NA ZAWSZE.
Co ciekawe, jest (i jeszcze przez jakiś czas będzie) wiele osób które nie dostrzegają równoważności między opublikowaniem czegoś na swoim profilu a naklejeniem tego na słupie ogłoszeniowym w centrum miasta - a przecież w pierwszym przypadku potencjalne audytorium jest o wiele szersze i co gorsza dla "ofiar" - wobec rosnącej penetracji internetu - ma niezerową część wspólną z tym drugim.
11%
Cytat z wyników sondażu przeprowadzonego w USA:
Only 11% of respondents said they be willing to safely implant a device that enabled them to use their mind to access the Internet.
Hihi, tylko.
jednak bywa RPG
Znalazłem ciekawą historię dotyczącą sieciowych gier RPG.
Uważam że dobrze oddaje ona to, co uważam za jedną z fajniejszych cech RPG: zjawisko "wyskakiwania" poza ramy scenariusza, zaskakiwania MG.
Cytuję z tego blogu:
Asheron's Call, a MMORPG (the unpronounceable acronym for Massively Multiplayer Online Role Playing Game) that provides free monthly and (usually) story-driven updates to the game, marking it as a serial-narrative style game. Portal Year 11 was October 2000, and the game was beginning to wind up to the final stages of their first story-arc that spanned a year's time. Shadows - creatures made of little substance and decedents of a rebellious nation - had become a prominent force throughout Dereth, attacking towns and terrorizing the landscape with their floating Spires. Their leader, once a Dericost man named Ilservian Palacost, was the dread Bael'Zharon. Unknown to the Isparians - the people (the players) who had settled Dereth many years later - Bael'Zharon's rebellion was thrown down and his power captured within a series of crystals hidden throughout the land. Several months' of recent explorations had uncovered those crystals and adventurers destroyed them, for not only did their power threaten Dereth, but they also wielded great riches to those who broke them.
Turbine - the developer of Asheron's Call (which is published by Microsoft) - wove an amazing story over the course of several months. They counted on gamers' desire to conquer, and to gain unique riches, because that desire in turn slowly released an evil upon the land. It was an ambitious and thoughtful design that played upon the persistent nature of the world to prevent recalling a decision. Once a crystal was destroyed, there was no reverting to a saved game to preserve it. For many months, destroying the crystals was seen as an act of preservation - the very first crystal, found in the frigid reaches of Frore, had cast an enduring winter upon all of the land. (...)
The crystal, no matter what, had to fall. Now, this wasn't really a problem or a concern. In fact, the crystals on all worlds fell within a matter of hours. Gamers like to break things in hopes of finding something inside of them. (...)
Except on one server - Thistledown's players mounted a defense of the Shard of the Herald (affectionately dubbed "Harry") and proceeded to defend the crystal for the entire month. (...) The struggle and consistency of the defense was really quite impressive. Those of us who were on other servers kept track through message boards; we kept each other up to date in games. No one believed that the defenders would hold. But they did, until the very end. (...)
As the letter details, the developers enlisted the help of some players, got behind the controls of some powerful "toons" (avatars), and engaged in a major battle, tipping the scales so that "Harry" could be destroyed. The developers gave them the nod to acknowledge their feat, and instead of pulling the plug in the downtime, gave them an amazing final battle.
Czyż nie piękne? Jak widać również do świata MMORPG trafiają smaczki tak dobrze znane weteranom "klasycznych" gier fabularnych.
remote integrity checker
Problem:
Chcemy monitorować zdalnego hosta, tak aby uniknąć nieautoryzowanych zmian w filesystemie.
Rozwiązaniem jest oprogramowanie typu "system integrity checker". najbardziej znany był chyba Tripwire, w tej chwili jest tego mnóstwo ale ja wybrałem AIDE.
Aby uniknąć dodatkowego ryzyka oraz umozliwić centralizację, program skanujący oraz jego bazy sygnatur przechowujemy na dedykowanym, bezpiecznym serwerze. Na skanowane hosty kopiujemy tylko na czas skanowania plik wykonywalny (zlinkowany statycznie aby uniknąć zatrutych bibliotek).
Oczywiście takie skanowanie nie jest doskonałe. Włamywacz mógł zatruć samo jądro nadpisując funkcje stat, fopen itd tak ze ukrywają wprowadzone przez niego zmiany.
Najlepiej utworzyć wzorcową bazę w momencie instalacji monitorowanego hosta, a potem cyklicznie ją porównywać z bieżącą. Zautoryzowane zmiany można potwierdzać poprzez commit (patrz skrypt aide.sh )
Instalacja krok po kroku
- Pobieramy AIDE i instalujemy lokalnie, np.
./configure --prefix=/usr && make
su
checkinstall || make install
- Na każdym monitorowanym (zdalnym) hoście musi być zainstalowane ssh oraz sudo.
- Ustawiamy sobie bezhasłowy dostęp do zdalnego hosta za pomocą ssh (autoryzacja za pomocą kluczy)
- Poprzez visudo dodajemy następującą linię:
filip ALL = NOPASSWD: /var/tmp/aide
Uwaga: mozna zmienić ścieżkę /var/tmp/ na inną, ale ze względu na ograniczenia sudo musi być ona bezwzględna, więc niestety ./ odpada. - zakładamy lokalnie katalog aide, w którym będziemy trzymać wszystkie dane dotyczące hostów zdalnych
- umieszczamy w nim dla każdego monitorowanego hosta plik konfiguracyjny o nazwie aide_HOST.conf.
# man aide.conf(5)
database=stdin
database_out=stdout
report_url=stderr
#
/bin R
/boot R
/dev L
/etc R
/lib R
/root R
/sbin R
/usr R
- umieszczamy w nim skrypt aide.sh
- chmod +x aide.sh
- Inicjalizujemy bazę sygnatur: ./aide.sh HOST init
- dopisujemy do swojego crontaba:
0 6 * * * ( cd $HOME/aide && ./aide.sh HOST scan )
- należy upewnić się że odbieramy maile które wysyła do nas cron.
