Tag Archives: Технологии

SPAM дарение

Post Syndicated from RealEnder original https://alex.stanev.org/blog/?p=267

По-миналата седмица попаднах на статия в Капитал как SPAM регистърът на КЗП получил дарение. Определено се зарадвах, че са направили нещо, което да опростява справките в регистъра и следователно да го направи по-ефективен. Когато погледнах отблизо зъбите на харизания кон обаче, ми стана ясно, че стъпката е отново в страни. Технологичното решение, което колегите са предложили е .NET desktop приложение, към което се сваля криптиран файл със съдържанието на регистъра. Проверката става, като потребителя изготви файл с електронните адреси на получателите, а приложението го филтрира в съответствие със съдържанието на регистъра.

От това веднага трябва да е станало ясно, че ключа за декриптиране вероятно е забит в самото приложение. След прилагането на не-чак-вуду-техники (strings and friends), нямащи нищо общо с reverse engineering, става ясно, че регистърът е криптиран с DES-CBC, а 20 минути по-късно декриптирането се свежда до една команда с OpenSSL:

alex@volatile:~$ openssl des-cbc -d -K [find_it_youself] -iv 00f00ab00bc00cf0 -in 29112010.TXT -out spam.txt

Разбира се, изпратих поща на КЗП за проблема, описвайки и възможността недоброжелател да декриптира регистъра и да го постне по руските и китайските спам форуми. След това резултатът е ясен, а действието ефективно ще подкопае и без това крехките устои на SPAM регистъра.

Отговор вече повече от седмица няма.

OpenFest 2010

Post Syndicated from RealEnder original https://alex.stanev.org/blog/?p=264

OpenFest 2010 беше особено интересен тази година. Наред с това, че се видяхме с банда приятели, с които за съжаление все по-рядко ни се отдава да пием по бира, имаше и доста нови познанства. Споделените идеи са особено ценни, а когато има с кого да ги обсъдиш става все по-интересно. Вече има и предложения за следващия фест, но дотогава има време, а и, надявам се, локални събития:)

Както обещах, презентацията ми от тази година, както и от минали събития, можете да дръпнете от тук.

ИСУН

Post Syndicated from RealEnder original https://alex.stanev.org/blog/?p=262

Някак си незабелязано премина представянето на публичния интерфейс на Информационната система за управление и наблюдение на средствата от ЕС (ИСУН/UMIS).

Как се харчат парите, при кой отиват и за какви дейности винаги е било забулено от тежка бюрократична мъгла. Това е първия опит да се изнесат подобни данни, в такава дълбочина.

Съвсем свободно можете да разгледате информация, за това как са похарчени милиарди български и европейски средства тук: http://umispublic.minfin.bg

AppArmor vs Minefield

Post Syndicated from RealEnder original https://alex.stanev.org/blog/?p=260

От доста време използвам trunk версията на Firefox, aka Minefield. За Ubuntu има подходящо хранилище, където екипа в Canonical опреснява редовно новите версии.

За всекидневната си работа използвам лаптоп, работния профил живее на TrueCrypt криптиран дял. Така имам два профила – другия живее в home директорията.

Когато преди няколко дни криптирания профил отказа да се зареди със съобщението, че вече се използва, го отдадох на регресия в trunk-а на Firefox. Странното беше, че този в home директорията работеше и премахването на .parentlock в TrueCrypt дяла не помогна.

Днес реших да огледам по-внимателно ситуацията и се оказа, че проблема съвсем не е в trunk build-а, а по-скоро в packaging-a – изключението в AppArmor, което е необходимо на този етап, не е обновено.

Ако имате подобен проблем, можете да направите следното:

Редактирате като root /etc/apparmor.d/usr.bin.firefox-4.0 , където заменяте firefox-4.0b7pre с firefox4.0b8pre (s/firefox-4.0b7pre/firefox4.0b8pre) на всички редове. Алтернативно вероятно ще откриете файла /etc/apparmor.d/usr.bin.firefox-4.0.apparmor , който е коректен и го заменяте с горния. След това проверете и symlink-а в /etc/apparmor.d/disable/usr.bin.firefox-4.0 дали сочи на правилното място(към основния файл, който заменихте)

За да приложите промените ще се наложи да презаредите AppArmor правилата:

sudo /etc/init.d/apparmor reload

ISO 27001 в столовата

Post Syndicated from RealEnder original https://alex.stanev.org/blog/?p=248

Сигурен съм, че сте чели старата история за хакера в стола. Тъй като отново съм на тема ISO 27001:2005, нека направим едно упражнение, при което ще проследим как ще се развие събитието, ако в стола има внедрена Система за управление на информационната сигурност.

Ден 1-ви
Хакер влиза в обществена столова и с възмущение забелязва, че всеки може да развие солницата и да сипе вътре каквото и да е. Прибира се той вкъщи и пише гневно писмо на директора: “Аз, meG@Duc|, открих уязвимост на солниците във Вашата столова. Злоумишленик може да сипе в тях отрова. Вземете мерки спешно!”

Ден 2-ри
Директорът сред прочие делови писма прочита горното и вдига рамене: “На кой идиот може да му дойде това на ума?”

Директорът на столовата разпределя документа на Отговорника по информационна сигурност по компетенция. Последният размишлява известно време дали да попълни Доклад за инцидент, Предложение за превантивно действие, направо Искане за коригиращо действие или някой друг документ, на който не му помни името. Свързва се с Консултантите, които обаче са заети с други клиенти и така или иначе не помнят какво са писали в Процедурите и Политиките за информационна сигурност. Те го финтират финно, като му обясняват, че откато са предали системата в ръцете на клиента, вероятно е имало развитие и не искат в желанието си да помогнат да навредят. На финала на разговора, му споменават, че всякакви ги имало и да не обръща внимание на такива простотии.

Спокоен, отговорникът забутва писмото в “шкафа, където одиторите не гледат” и забравя за случая.

Ден 5-ти
Хакерът идва в столовата и сипва във всички солници отрова. Загиват 300 души, директора три месеца го влачат в следствие и съд и го оправдават за липса на престъпен състав. Хакерът пише писмо в стил “Видяхте ли?!!”

Вече съмнение няма и машината се задейства. Събира се Форумът по информационна сигурност, Консултантите са викнати по спешност, срещу съответното възнаграждение. Отговорникът прилежно е попълнил Доклад за инцидент, добавил го е в Регистъра на инцидентите, запознал е чрез Докладна-записка Групата за връзки с обществеността (Главният готвач и една от по-приказливите лелички), прегледал е окло 18 пъти Планът за непрекъсваемост на дейността, Матрицата за достъп, както и други странни документи. Консултантите проверяват всички записи и уверяват клиента, че системата работи.

След освобождаването на Директора от предварителния арест, на заседание на Форумът по информационна сигурност се набелязват допълнителните контроли, с които ще се третира критичният ресурс (солниците), получава се одобрение за финансиране на дейността, а Планът за третиране на риска се допълва с още множество записи с отстояние близкото бъдеще.

Ден 96-ти
Директорът купува солници със специално проектиран катинар с код. Посетителите чувстват, че някаква идея в тоя живот им убягва.

Ден 97-ми
Хакерът забелязва, че дупките в солниците пропускат сол в двете посоки. И не само сол. Той пише възмутено писмо на директора и пикае във всички солници. 300 човека престават да посещават столовата, 30 попадат в болница с отравяне. За капак пише на директора СМС “Как е?” Директора три месеца го мотаят по съдилища и му дават година условно.

След повторното поругаване на Системата, което съвпада с ресертификационният одит, Сертификаторът отнема издадения сертификат и обяснява, че го правят с ясното съзнание, че това е в полза на клиента(обществения стол). Форумът по информационна сигурност се събира и единодушно хвърля вината върху “калпавите консултанти, които нищо не разбират”. Намират нови и поканват нов Сертификатор от чужбина, който в желанието си да стъпи на местна територия си затваря очите за събитията от последните месеци.

Новите консултанти преглеждат внимателно всичко, обясняват колко погрешен и несъобразен е бил подходът на предходните и как доказателствата за това са в папката с Инцидентите.

Обръщат системата с главата надолу, правят опресняващо обучение на персонала и проверяват осъзнатостта. Наемат се технически експерти, които правят penetration тестове и пишат дълги назидателни доклади.

Ден 188-ми
Директорът се заклева до края на живота си да няма нищо общо със заведения за хранене и мирно да пренася дървени трупи в Сибир. Инженерите разработват нова конструкция солници с едностранна клапа. Междувременно сервитьорките прибират старите солници и раздават сол по заявка.

Ден 190-ти
Хакерът гепва 1 нова солница от стола и вкъщи изучава устройството й. Пише гневно писмо на новия директор: “Аз, meG@Duc|, задигнах 1 солница и намирам този факт за възмутителен! Всеки може да задигне солница от Вашата столова!” Директорът – заклет трезвеник – прочита писмото, прибира се вкъщи и удря една водка.

На другия ден, след пълна инвентаризация, отново се попълва Доклад за инцидент. Преглеждат се записите от видеонаблюдението и Дневниците на на сервитьорките с раздадените солници срещу подпис. С помощта на консултантите се извършва кросчек на обективните доказателства, който ограничава кръга на заподозрените до около 50 човека. Междувременно, Отговорникът по информационна сигурност наказва с Искания за коригиращи действия всеки, който срещне случайно в коридорите, в резултат на което служебните и клиентски тоалетни се препълват с изпокрили се служители на стола.

Ден 193-ти
Хакерът отива в стола и вижда, че всички солници са закрепени към масите с вериги. На поредната сбирка на хакерите се похвалва със своите успехи и получава заслужена награда за защита интересите на обществото и потребителите. За щастие директорът не научава за това и няма да се пропие преждевременно.

 

Ден 194-ти
В рамките на гениално обмислена операция всички хакери от сбирката се промъкват в столовата и изсипват всичката сол в джобовете си. Хакерът meG@Duc| пише възмутено писмо на директора, че в тази столова няма никаква грижа към потребителя и всеки може да лиши честния човек от сол за един миг. Спешно са нужни дозатори на солта, работещи след логване с парола.

Системата обаче вече работи. Тъй като за инцидента не се разчува, а и от столовата са нямали време за цялата хамалогия около внедряването, консултантите дават умната идея документално нещата да се оформят като тренировка на Плана за непрекъсваемост на дейността. Допълнително се добавят записи и за сценариите “Земетресение” и “Луда крава”.

Относно идеята за паролата, местния админ гуру обяснява, че тези неща не се правят така на парче и ще се помисли за цялостно решение, в унисон с най-добрите световни практики. Изпращат го навън за няколко месеца, за да почерпи знание от извора. Благодарение на обширните си познания и практика по ISO 27001, там си намира по-добра работа и се спасява с декларацията, че вече нещата са стабилни и полето за изява в столовата е му е отесняло.

Работата му се поема от висококвалифициран инженерен екип, който разработва envisioning документ за внедряване на Enterprise Architecture в столовата, след това работи и по проблема със солниците.

Ден 196-ти
Инженерите с пот на лицата работят над нов модел солница, докато сервитьорките пак раздават сол по заявка. Директорът си взема отпуск и заминава на Сейшелските острови, където се храни само в стаята си в хотела, избягвайки закусвални, ресторанти и барове.

 

Ден 200
Посетителите на столовата с ужас откриват, че за да си сипят малко сол, трябва да отидат при сервитьорката и да си покажат личната карта, за да получат специален 8-символен код за еднократна употреба за активиране на солницата. За черния пипер процедурата се повтаря.

Доволен от постигнатото, директорът изпраща поздравителен мейл към служителите, като им напомня, че това е само началото и предстои сертификация и по още няколко наболели стандарта.

Adblock

Post Syndicated from RealEnder original https://alex.stanev.org/blog/?p=242

След почти три годишно ослушване, най-после днес намерих време да скова (свестен) сайт за българския adblock списък. Като подхванах, направих и интеграция с Twitter, където commit log-овете от кодовото хранилище заминават директно.
Другото ново нещо е филтъра за Opera, който се генерира автоматично от моя списък в комбинация с актуалния на Fanboy.
В процес на разработка са и статистики за използването(10x myst!) на списъка, но за тях – по-нататък.
Приятно сърфиране!

НАП+Linux=ВНЛ

Post Syndicated from RealEnder original https://alex.stanev.org/blog/?p=237

Малко неочаквано, но и в разгара на данъчната кампания, основната част от услугите на НАП с електронен подпис вече работят под Linux. Съмнявам се това да доведе до бум в приходите, но пък е новина, която заслужава да се полее с поне една бира с мента.

Техническите подробности по инсталирането и конфигурирането са тук.

Благодаря на всички колеги от екипа, които отделиха следработното си време, за да се случат нещата.

Отново reCAPTCHA

Post Syndicated from RealEnder original https://alex.stanev.org/blog/?p=224

Този път вероятно за пследно.

Искам да споделя общите впечатления при използването на reCAPTACHA за българи. Оказа се, че задачите, давани от тази услуга доста затрудняват средния потребител. Явно като човек, който прекарва доста голяма част от времето си да чете на чужд език, съм подценил сложността. Ето и тъжната статистика:

Близо 1 милион успешни попадения, малко повече reload-и и 160`000 неуспешни опита. Това определено показва, че reCAPTCHA не е подходяща за български потребители.

Новата реализация е inhouse разработка, само с числа и достатъчно сигурна, за да издържи на обща атака. Таргетираната е друга бира, там ще прилагаме други мерки, при необходимост.

Mass edit mode on!

Post Syndicated from RealEnder original https://alex.stanev.org/blog/?p=221

В последните няколко седмици с колегите сме част от един адски цикъл. Изградили сме стройна организация от двадесетина човека, с които заедно творим и редактираме общи документи. Когато в началото всеки си имаше част, по която работеше, беше лесно. Когато обаче започнахме с крос промените, включихме външни консултантски ресурси и случайни елементи, нещата приеха грозен обрат. Разхвърчаха се десетки различни версии на един документ, всичките с проследени промени, коментари, зажълтени, позеленени, почервенени и прочие нишани по текстовете и диаграмите. Отделно, координаторите работиха в SubVersion, като към тях пристигаха документи, редактирани в поне шест различни версии на MSWord и три на OpenOffice. Диаграмите, рисувани на салфетки по кръчмите на ръка бяха бонус. Опита да вкараме на въоръжение онлайн система за колаборативно редактиране се оказа неуспешен, защото все още възможностите им са твърде далече от тези на десктоп офис пакетите.

В края на краищата нещата се подреждат чрез прилагане на крути мерки кой, кога и на кого изпраща версия, много reverts и merge conflicts от централното хранилище. Нервите и времето, което отделихме е просто неоценимо.

Някой има ли опит в подобни ситуации?

Captcha

Post Syndicated from RealEnder original https://alex.stanev.org/blog/?p=215

Вече десетина дена използваме reCaptcha за електронните услуги със свободен достъп на НАП. Разбира се, доста по-лесно щеше да сложим някоя стандартна, или да имплементираме собствена, но доста се поблазних от идеята да се впрегне мисълта на целокупната финансово-счетоводна общност в нещо по-глобално и смислено, а именно дигитализирането на книги. За момента единствено търсенето в публичния ДДС регистър е защитено по този начин, но така ще бъде и със здравния статус, проверката за осигуровки и т.н., което само по себе си е доста сериозен обем.

Остава сега да видим доколко reCaptcha ще затрудни редовните потребители – още в началото имаше индикации, че е твърде сложно. Събираме статистика, която ще ни помогне да вземем решение дали ще оставим нещата така, или ще сложим по-четима captcha. Което от гледна точка на сигурността си е неприятно.

Ако някой има опит в подобна ситуация, да споделя “за” и “против” 🙂