All posts by RealEnder

Цензура

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=378

В края на миналата седмица на страницата на Президента публикуваха първата стенограма от проведената консултативна среща на тема КТБ.

Коментарите на тема кой какво говорил още текат с пълна сила, но на мен ми направиха впечатление цензурираните части. Практиката да се поставят векторни обекти върху текста с идеята, че по този начин това отдолу се заличава е разпространена из държавната администрация, а и не само. При публикуването на стенограмата нещата се повтарят, но има усъвършенстване – за всеки случай в самия текст са сложили “…”, което ги е спасило. Когато е трябвало да се заличават по-дребни неща като числа, например, не са си направили труда да ги заместят с точки и съответно съдържанието остава.

Ето какво има зад цензурираните части:

Страница  32

Страница 33

Страница 41

Страница 42

Страница 43

Страница 44

И за да не реши някой, че нещо “тайно” съм публикувал – Дневник просто са копирали от PDF-а и без да искат са качили открития текст.

Та така. Следващият път – по добре.

Мажоритарни

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=371

Активно започна да се говори за смяна на изборната система – малко като след дъжд качулка. Правят впечатление внушения как промяната на избирателната система ще доведе до промяна на политическата. А това вече е простотия и дебела манипулация.

Целта на всяка демократична избирателна система е да гарантира възможно най-широкото и точно представителство на гласуващите (защото другите са явно незаинтересовани). Ако с процедурни и технологични (разбирайте технология на изборите) хватки някой смята да промени политическия пейзаж, би трябвало сериозно да се замислим за подбудите и търсените резултати.

Мажоритарните избори няма как да подменят политическия елит. В най-безболезнения вариант ще вкарат още малко колорит. Текущия парламент се “радва” на най-високата представителност от гласувалите – над 93% от действителните гласове са дадени за партии, които имат депутати сега. Това, разбира се, води до висока фрагментация и необходимост от коалиране. А коалициите в България по правило са безпринципни. Примерите ги знаете.

От математическа гледна точка, тази ситуация може да се излекува единствено с много висока избирателна активност. Активност, проявена от добре информирани и изискващи гласоподаватели. Бонус – забрана за три последователни мандата за народните представители и възможност за отзоваване чрез местен(районен?) референдум. Първото ще даде възможност за подмяна на лицата и създаване на мозъчни тръстове, а за второто промяна в Конституцията.

ПИК

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=358

На никой не му е необходим електронен подпис сам по себе си. Той е точно толкова използваем, колкото различни електронни услуги хората и бизнеса могат да достъпят и по този начин спестят време->пари. Често електронният подпис се набавя само за използването на една конкретна електронна услуга и чак по-късно се откриват новите възможности. еПодписът, издаван и управляван по сегашната схема е към момента единствената приета в България и ЕС технология, гарантираща авторството на подписаното съобщение, неговата автентичност, цялост и неотменяемост (non-repudiation).
На този фон, онзи ден чета това. Освен непосредственият популистки ефект, ако това стане ще бъде и вредно за и без това хилавото електронно управление в България. Връща ни към момента, в който институциите се занимават с несвойствени дейности – издаване и поддържане на персонални кодове, задължително различни и по различни правила. Издаването на ПИК е по подобен начин на електронния подпис, но не ходиш на едно място, веднъж на една до три години, а във всяка институция; не може да се използва навсякъде по сходен начин, а според каквито бюрократични правила са генерирали локалните публични администратори; сигурността не е много по-висока от тази на име+парола, прави възможни цели класове MitM и side channel атаки, няма възможност за стандартно криптиране + липсва концепцията за неотменяемост, при която не може след това да кажеш “не бях аз”.
И за да не бъде голословно, ето няколко идеи какво трябва да се направи според мен, по групи:
За Държавата:

Вместо да подкрепя ретроградни схеми, технологично подходящи за края на 90-те, да промотира използването на Квалифициран електронен подпис, чрез въвеждането на допълнителни отстъпки, правещи го икономически ефективен;
Вместо институциите да мерят колко десетки-стотин-ХХХ нужни общо на 0.5% от потребителите електронни услуги са внедрили, да си погледнат обобщените статистически анализи и да реализират приоритетно най-използваните и с най-голяма административна тежест;
Когато се замислят нови режими и промени на съществуващите, да се използва момента и за електронизация на процеса – завърти ли се колелото веднъж, нещата винаги стават по-трудно и стресово за потребителите и администрацията;
Три институции предоставят около 90% от всички използвани електронни услуги в България. Добри или лоши, те работят и всеки ден десетки хиляди си спестяват много нерви и време. В “нормална” държава тази практика ще се мултиплицира и доразвие, но при нас да откриеш колелото и след това да се похвалиш си е в реда на нещата.

За доставчиците на удостоверителни услуги:

Профилите на издаваните сертификати продължават да се различават, което от своя страна затруднява разработчиците;
Има дори един доставчик, който в опита си да е by the book, така се е увъртял, че част от най-разпространените библиотеки за работа със сертификати не могат да им парснат публичните части коректно. Ако толкова държаха да издават така, нормалното продължение би било да се пуснат бъгове, да напишат малко код с pull request, където е възможно. Ама не, дебелокожото “ние сме си ОК и си издаваме така” е широко разпространено…

За разработчиците на електронни услуги:

Коректната имплементация на подписване+верификация не е тривиална задача. Не я подценявайте. Вижте кой какво е направил и питайте, поне първия първия път, когато ви се налага да създадете нещо в областта;
Когато трябва да се направи горното, но многоплатформено е още по-криво. Обикновено това е последна грижа и на клиента, та все не остава ресурс за него. Планирайте добре, натиснете клиента – отложите ли многоплатформеността, може да отнеме години, а междувременно увеличаващите се потребители на алтернативни OS с право ще ви “хранят”. Грубо и звучно.

За потребителите:

Огледайте се. Страниците на доставчиците на удостоверителни услуги са добро начало за старт. Може да се окаже, че това, което ви е необходимо е вече разработено и внедрено. И цената на подписа ще е една добра инвестиция;
Натискайте институциите, където смятате, че може да се подобри нещо. Където нещо може да се електронизира. Където липсват услуги, а ви трябват. Обратната връзка не винаги отива в кръглата папка и ще помогне приоритизацията и планирането на задачите.

 
P.s. Написаното е мое лично мнение, което не е задължително да съвпада с позицията на споменатите и тези, които ще се разпознаят.

Черно

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=351

Когато черното изглежда странно познато.
Когато виждаш всичко и мислиш, че нещо ти отбягва.
Тогава мислиш за утре, когато няма да се случи отново.
Когато си цял, за разлика от всички парченца около теб днес. Когато все още можеш да съградиш. Когато все още можеш да продължиш.
***
Отново?
Сега?
А ако не, кога?

Конкурсът

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=341

Та вече седмица е активна страницата и кодовото хранилище на конкурса за разработка на софтуер по методиката на ЦИК за парламентарните избори.
Идеята се роди в края на деня, в който представихме целия софтуер за компютърната обработка пред ЦИК, неправителствени организации и медиите. Тогава се разви една не особено ухоприятна дискусия, която във времето се разви и прехвърли в различни форуми. Изписаха се множествени простотии, тук-таме и ценни мнения. Някои пък използваха темата, за да отправят личните си нападки към където/който са си набелязали, с което разводниха допълнително и без това оцапаната дискусия.
Изводите за мен са няколко:

Хората не знаят какво се случва от момента, в който са пуснали бюлетината до обявяването на резултатите. Недоволни винаги ще има, а практиката да се култивират бъдещи аргументи не е от вчера;
Други хора, които не разбират от софтуер, още по-малко от свободен такъв, се изказват компетентно и дават ценни съвети. Дори и с най-доброто желание да помогнат, в сегашната ситуация това единствено пречи на нормалното протичане на изборите;
Досега мислех, че в България повече хора могат да делят и сравняват дробни числа, отколкото да програмират, но явно наистина сме нация техническа.

Самата методика си има и своето чисто програмистко предизвикателство. Задачи с близка сложност вървяха по ученическите олимпиади. Тъй като ЦИК така или иначе публикува числовите данни, та дори и по новия Изборен кодекс сканираните протоколи, нищо не пречи да си организираме hackatoon с награди, за по-интересно. По-глобалната цел е да има повече хора, които разбират от механиката на нещата и в бъдеще да могат да помогнат, като измислят нещо по-добро.
А и някои ще си припомним олимпиадните страсти 🙂
На финала, връзките отново:
Страница на конкурса: https://electionscontest.wordpress.com
Кодово хранилище: https://github.com/elections-contest/pe2013
 

Adblock

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=335

Скоро не се бях занимавал активно с българските списъци за блокиране на нежелано съдържание. След като хората зад Adblock Plus ореваха, че насоките на страницата са доста out-of-date, преди малко направих доста обновления:

Премахната поддръжката за urlfilter.ini за Opera – това беше доста крив вариант за филтриране, който отдавна е deprecated;
Добавена информация за Adblock Plus за Android;
Коригирани статистиките за операционните системи – имаше проблем с визуализацията на Mac OS;
Обновен списъка с филтрите – след голямото коледно прочистване са добавени доста нови, подадени от потребители филтри.

Ако все още не сте изпробвали технологията, открийте как на Adblock за българи. Промените могат да се следят и в Twitter.

o5logon

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=326

CVE-2012-3137 вече е стара новина. Неприятното в случая е, че няма изгледи да се коригира в актуалните версии на Oracle 10.2-11.2, тъй като е design flaw, а workaround-ите са доста неудобни за прилагане, особено в големи продукционни среди.
Накратко, проблемът е, че в процеса на оторизация към Oracle базата данни, listener-а връща към клиента AUTH_VFR_DATA (salt) и AUTH_SESSKEY, без значение дали опитът за оторизация е успешен или не. След внимателен анализ, Esteban Martinez Fayo открива, следната зависимост:

aes192(AUTH_SESSKEY, sha1(real_password+AUTH_VFR_DATA)+0x00000000)[:40] == 0x0808080808080808

Това дава възможност да се инициира offline bruteforce атака, след прихващането на AUTH_VFR_DATA и AUTH_SESSKEY. Това става чрез директен sniff по мрежата или чрез включване на trace logging на ниво support в oracle client.
След като написах набързо работеща bruteforce програма, реших да се възползвам от multithreading, rule engine и оптимизираните криптографски имплементации на hashkill. Преработката като plugin стана за 20 минути, докато се ориентирам в кода, а след като Милен пое нещата в свои ръце се сдобихме с първата в света публична версия на o5logon чупачка върху GPU – браво!
Накрая, понеже oracle trace файловете са пълни с всякаква информация, а изваждането на сесията и salt-а е неудобно на ръка, спретнах python скрипт, който parse-ва данните и ги представя в hashkill или John the Ripper формат.

Бор RNG

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=322

И отново запалиха коледните светлини в София.
Случайно минавахме с колата малко след събитието по Дондуков. Силно впечатление ми направи абсолютната липса на синхронизация в лампичките по различните накичени предмети. Не зная дали е търсен ефект, но определено може да докара силно неразположение на нетренираня мозък.
И за да не е troll post, ето примерно приложение на така изграденото съоръжение – video_entropyd. С правилно насочени уеб камери, мигащите светлинки могат да се превърнат в криптографски сигурен източник на случайни числа. Бонус към това е и постоянно натовареното движение в района.
Така е то, всички администрации могат да се включат в eGovernment инициативите, дори и когато не подозират;)

Електронното гласуване C-22 *

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=310

Наближават изборите и отново се заговори за подобряване на изборното законодателство. И този път темата “електронно гласуване” не бе пощадена, но за сметка на това се предложиха редица палиативни решения (по тази езикова конструкция). Минавайки през внесените законопроекти се вижда следното: в материалите на БСП, РЗС и ДПС няма предложени промени, свързани с отдалеченото електронно гласуване. АТАКА предлагат отдалеченото електронно гласуване да се регламентира чрез друг нарочен закон. Така на практика някакви дефинирани предложение има в проектите на ДСБ и ГЕРБ. Оставяйки настрана някои общи проблеми, на които не е обърнато внимание в законопроектите и за които евентуално отново ще се търси решение в последният момент, ще споделя няколко коментара по техническата част.

И двата законопроекта изключват конвенционалното гласуване, ако си упражнил (в случая на ДСБ дори ако просто си се регистрирал) правото си на глас по електронен път. Гласуването е в рамките на 2 до 3 дена и то ограничено по брой пъти. По идея дистанционното електронно гласуване е, че то се извършва извън изградената защитена среда. Възможностите за контролиран вот по този начин са безгранични. За успешното протичане на процеса е необходимо времето да се удължи (например в Естония е 5 дена), без да има ограничения на броят на коригиране на вота от избирателя, което е напълно излишно. Ако все пак реши да гласува в секцията, подаденият глас по електронен път просто се инвалидизира на база избирателният списък. За инвалидизирането може да се приложи асиметрична криптография, която да гарантира анонимността на електронния вот. Последното апропо, би трябвало да се регламентира законово, а не да се оставя за оформяне в методически указания, защото има твърде много подводни камъни в имплементацията, които трябва да се премислят.
Поради липса на надеждна електронна идентичност, в проектите е предвидено поредното погазване на чл. 2 на ЗЕУ. Въпросът за достъпността на предвидените за регистрацията данни е ясен и на малките деца. По план обаче, до изборите трябва да да имаме първите издадени държавни eID карти, да не говорим за наличието и на електронни подписи. Последните, естествено по стар български обичай “по-католици от папата”, бяха леко скопени откъм идентификационни данни с последните промени в ЗЕДЕП. Още помня учудването в очите на естонските експерти, докато им обясняваха как в ЕГН-то има много тайни лични данни, та затова си правим харакири и позволяваме издаване на ЕП само с единия гол псевдоним вътре. Хората обясниха, че и техния национален идентификатор е по подобна на нашата схема и след кратко обсъждане, решили, че по-добре да си развиват електронното управление, отколкото да подкопаят основите му с един замах. Въпреки всичко, дори и малкото, което имаме постигнато на този фронт може да се използва успешно и с помощта на технически мерки да използваме сигурната отдалечена идентификация. Както между другото го правят стотици хиляди фирми и граждани ежемесечно с услугите на НАП, АМ и електронното банкиране.
ДСБ предлагат електронно гласуване в рамките на секцията чрез тактилен терминал. Хубаво, но цената няма да оправдае инвестицията. Какво ги правим после 12К терминали? Когато Русия изгради най-голямата в света мрежа за видеонаблюдение, по време на последните избори, паралелно с това вървеше и конкурс за идеи какво после да правят стотиците хиляди камери, активни мрежови устройства сървъри и т.н. В нашият случай вероятно областните управители ще трябва да им търсят место за съхранение. Да не говорим за десетките примери в световен мащаб за отказване от такъв вид гласуване поради несъвършенства на технологията и общото мнение на коментиращи, че си искат дистанционно гласуване през Интернет, а не упражнения тип 2009, когато имаше  подобно експериментално гласуване, но с неизвестни резултати.
ГЕРБ предлагат “От един IP адрес не може да гласуват повече от двама избиратели.”. Всеки системен администратор под, но все пак близо до средното ниво може да обясни защо това е абсолютно ненужно и даже вредно, защото създава false sence of security.

Разбира се, може още доста да се дращи по написаното в проектозаконите. Най-общо нещата могат да се систематизират така:

Необходимо е да се преосмисли подхода за провеждане на дистанционното електронно гласуване (виж горе);
Необходимо е да се използват стандартните математически и криптографски подходи за гарантиране анонимността на вота. Няма нужда да се преоткрива топлата вода. Съществуват готови решения в други държави, които България може да използва, както и множество комерсиални такива. За привеждането на готовите решения обаче в използваем за страната ни вид ще трябва време.
Нормално би било платформата за дистанционно електронно гласуване да е с отворен код. Иначе отново ще се сблъскаме с такива изказвания.

* В законопроектът на ГЕРБ, електронното гласуване е предложено в §42. 042 (oct) = 0x22 (hex). Разбира се, че е случайно, за потвърждение може да гледате това (интервала 4:40-5:00 мин).

WinConn

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=302

От години използвам Linux като основна работна среда.
От горното изречение, особено думата “основна”, личи, че понякога се налага и да се пали win/mac, където се стартират ред приложения, било поради недобра съвместимост, било защото просто са специализиран софтуер, писан само за конкретната операционна система.
Години наред решението бе да се закачиш на отдалечена машина по VNC/RDP/whatever и да си свършиш работата по най-бързия начин, преди да си се издразнил от разликите в интерфейса и от това да падне продуктивността. Възможностите за seamless интеграция (използване на отдалечените приложения въвместно с останалите в работната среда) бяха ограничени и трудни за конфигуриране и използване – SeamlessRDP на rdesktop, Seamless mode на VirtualBox, VMware Fusion и т.н.
Благодарение на развитието на проекта FreeRDP, вече имаме свободна имплементация на RemoteApp. Липсващото парченце от пъзела е приложение, което да улесни конфигурирането на отдалечените приложения.
За целта последните дни работих върху WinConn, графичен мениджър за RemoteApp приложения с отворен код. На страницата можете да видите задължителните снимки на екрана, видео в действие и да го инсталирате от моето PPA в Ubuntu.
Разработката на WinConn съвпадна с Ubuntu App Showdown – триседмичен конкурс за програмиране на приложения в Ubuntu. Ако ви хареса, след 10ти юли ще можете да гласувате чрез рейтинговата система в Ubuntu Software Centre. Разбира се, приемам всякакви предложения за подобрения, бъгове и т.н. в Launchpad.

Изгрев

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=296

Та след близо година затишие, реших да подновя графоманските напъни в блога.
Вероятно вече не останаха приятели и познати, които не знаят за промяната в кариерното ми развитие, но за пълнота ще добавя, че в момента работя в Synapse Ideas. Правим активно това, от което разбираме най-добре – електронни услуги, специализирани софтуерни решения, отворен код и т.н., но без тежкия overhead на голямата организация. По пътя към главната ни цел (world domination, разбира се) работим и върху други, доста интересни проекти, за които ще пиша когато му дойде времето(tm).
Междувременно Информационно обслужване АД премина през сериозни трансформации – нов управлениски екип, (най-после) опит за дефиниране на управленска визия и т.н. Аз лично вярвам, че е за добро и пожелавам успех на колегите.
На финала да перефразирам: България е малка и въпреки това, спасение дебне отвсякъде 🙂

Разпределен WPA PSK одит

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=291

Алгоритъмът за оторизация към WPA/WPA2 мрежи не е дълбоко пазена тайна и е доста добре описан. Това, което затруднява “пробиването” му са 4096-те SHA1 итерации + HMAC-SHA1 и минималната дължина на ключа от 8 байта, което дори и за съвременен процесор е тежка задача. Често потребителите смятат, че просто слагането на “някаква парола” прави безжичната им мрежа достатъчно сигурна.
Offloading-а на изчисленията върху графична карта (GPU) ускорява значително процеса поради специфичната архитектура на този вид хардуер. Съществуват платени и свободни(pyrit) имплементации за такъв вид атаки, като съвсем наскоро oclHashcat-plus също се сдоби с такава поддръжка.
За целите на одита на безжичните мрежи или ако просто искате да проверите дали някой не е прихванал и изпратил WPA handshakes към вашата мрежа за чупене, създадох Distributed WPA PSK auditor. Услугата приема WPA handshakes в libpcap формат и поддържа специално създадени и уникално филтрирани списъци с думи(wordlists). Самият сървър не извършва cracking процеса, като това се прави от потребители, които автоматизирано с помощта на help_crack свалят поредния packet capture и wordlist и тестват за съвпадение. Скрипта е написан на python и е многоплатформен. За момента под Windows се поддържа aircrack-ng, а под posix системи pyrit и aircrack-ng. Можете да видите открития PSK само за мрежи, информацията за които сте качили вие самите, като преди това е необходимо да сте си генерирали уникален ключ. Повече информация можете да откриете на самия сайт.
Идеята за всичко това дойде от sorbo, който поддържа wpa.darkircop.org. DWPA е написан от нулата и има доста разлики и подобрения – по добро управление на речниците, многоплатформеност на help_crack, специално създадени речници с помощта на wlc, оторизационна схема за достъп до откритите PSK и много други.
Когато пооправя сорса, ще го пусна с отворен код. Междувременно, можете да помогнете като дарите CPU/GPU чрез help_crack.

еКниги

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=288

Преди няколко месеца взех назаем електронен четец PocketBook 360 и просто се влюбих в него. Успях за кратко време да наваксам с четенето, много е зарибяващо. В края на краищата се сдобих и с Kindle 3, който обаче не вдява от човешки формати на електронните книги. С помощта на Calibre този проблем се решава лесно, но човешката алчност край няма – исках с няколко клика през програмата да намеря интересуващата ме книга и да я кача на четеца във формат, разбираем от него. Разгледах кода на Calibre и след малко натъманяване вече имах готови разширения, позволяващи търсенето в chitanka.info и e-knigi.net. От последната версия на Calibre 0.8.11, търсачката в chitanka.info  вече е “заводски” интегрирана и можете да я свалите от тук.
Ако някой се сеща какво още му липсва или има други идеи за Calibre, да пише смело, докато още ми се занимава с python 🙂

sec.stanev.org прераждане

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=283

Преди десетина години създадох sec.stanev.org като място, където да публикувам проблемите в сигурността, които откривам в различни приложения. Когато смених работата си, първите ми задължения в новата компания бяха да подобря сигурността на разработваните системи и електронни услуги. Това на практика спря всякаква активност в sec.stanev.org, тъй като откритите проблеми трябваше да си останат под покрива (NDA), а извънкласно почти не ми се занимаваше, след като цял ден съм се взирал в странен код и съм писал patches на поразия. Доста интересни неща се погребаха по този начин, но през годините винаги ми е трепвало, когато бъг, на който съм попаднал преди време изскочи в пространството.
От спортна злоба реших да препипам сайта и когато ми прищрака ще пускам по нещо. Днес пуснах advisory, по проблем, за който разказах на последния OpenFest. Там имаше интересни коментари и се събраха още весели идеи по темата.
Ще ми е интересно да коментирате какво ново искате да видите на сайта.

AdBlock за Opera

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=281

Потребителите на Opera 11.10 вече могат да използват сравнително читаво разширение за блокиране на реклами – Opera AdBlock. Разширението все още е далече като функционалност от Adblock Plus, като не поддържа атрибутни селектори, опции за филтрите и изключения. Обновяването на филтрите също има проблеми, но авторът Léomike Hébert все още работи усилено по разширението.
Още с публикуването на addons.opera.com, статистиката за използването на българския лист се промени драстично, като Opera се изравни и в момента изпреварва Firefox. Не е ясно дали това е поради кривия update механизъм или реална работа, но това ще си проличи съвсем скоро.
Ако харесвате и използвате Opera, опитайте новото разширение!

Cryptonit

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=279

След като преди време услугите на НАП се преработиха, за да са достъпни и под Linux и алтернативни на IE браузери (с едно единствено изключение), се оказа, че все пак има хора, които ги използват и по този начин. Сухата статистика показва 0.1 % Linux потребители на портала и 3.7 % с Firefox. Ако сте един от тези хора, сигурно вече ви е втръснало да конфигурирате openssl за подписване на изпращаните данни, а вероятно някои са си написали скриптчета за това.
Има разработено GUI приложение – Cryptonit, подобно да DSTool, което обаче отдавна не се поддържа от оригиналните разработчици – IDEALX/OpenTrust. В резултат, от доста време приложението крашва при старт на 64 bit платформа. Направил съм необходимите корекции и можете да намерите коригирана версия за Ubuntu/Debian в моето PPA. Настройването на приложението е тривиално.

Confusion

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=277

Напоследък доста неща, случващи се около мен и по света ми напомниха на едно старо парче на Genesis. Разбира се, в по-твърдия вариант на Disturbed.
There’s too many men, too many people
Making too many problems
And not much love to go round
Can’t you see this is a land of confusion?
Е, нека направим последен опит за Happy end.
Клипа тук.

Лалугери

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=274

В края на миналата година приятели ми разказаха какви проблеми им се струпали на главите – в едно сливенско село и околията изведнъж плъзнали лалугери. Наглед миловидните създания унищожавали наред реколтата, разравяли градините и прочие. Честа тема в селската кръчма става обмяната на опит за отблъскването на вредителите и хитроумни методи за унищожението им, граничещи с идеи, взаимствани от филми на ужасите.
По същото време, докато хората се чудят “От де дойде таз напаст божия!?”, попаднах в публичния интерфейс на ИСУН на следния проект: Възстановяване популацията на лалугера като основен елемент за поддържане на благоприятния консервационен статус на приоритетни тревни хабитати и популации на хищни птици в природен парк сините камъни. Развива си се съвсем успешно и в същия район.
Хит!
Сега остава двете групи да се срещнат. Добре е да се подсигурят полиция и линейки за желаещите да ги използват в последствие 😉

SPAM дарение

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=267

По-миналата седмица попаднах на статия в Капитал как SPAM регистърът на КЗП получил дарение. Определено се зарадвах, че са направили нещо, което да опростява справките в регистъра и следователно да го направи по-ефективен. Когато погледнах отблизо зъбите на харизания кон обаче, ми стана ясно, че стъпката е отново в страни. Технологичното решение, което колегите са предложили е .NET desktop приложение, към което се сваля криптиран файл със съдържанието на регистъра. Проверката става, като потребителя изготви файл с електронните адреси на получателите, а приложението го филтрира в съответствие със съдържанието на регистъра.
От това веднага трябва да е станало ясно, че ключа за декриптиране вероятно е забит в самото приложение. След прилагането на не-чак-вуду-техники (strings and friends), нямащи нищо общо с reverse engineering, става ясно, че регистърът е криптиран с DES-CBC, а 20 минути по-късно декриптирането се свежда до една команда с OpenSSL:
[email protected]:~$ openssl des-cbc -d -K [find_it_youself] -iv 00f00ab00bc00cf0 -in 29112010.TXT -out spam.txt
Разбира се, изпратих поща на КЗП за проблема, описвайки и възможността недоброжелател да декриптира регистъра и да го постне по руските и китайските спам форуми. След това резултатът е ясен, а действието ефективно ще подкопае и без това крехките устои на SPAM регистъра.
Отговор вече повече от седмица няма.

OpenFest 2010

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=264

OpenFest 2010 беше особено интересен тази година. Наред с това, че се видяхме с банда приятели, с които за съжаление все по-рядко ни се отдава да пием по бира, имаше и доста нови познанства. Споделените идеи са особено ценни, а когато има с кого да ги обсъдиш става все по-интересно. Вече има и предложения за следващия фест, но дотогава има време, а и, надявам се, локални събития:)
Както обещах, презентацията ми от тази година, както и от минали събития, можете да дръпнете от тук.