Tag Archives: жени

Електронното гласуване C-22 *

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=310

Наближават изборите и отново се заговори за подобряване на изборното законодателство. И този път темата “електронно гласуване” не бе пощадена, но за сметка на това се предложиха редица палиативни решения (по тази езикова конструкция). Минавайки през внесените законопроекти се вижда следното: в материалите на БСП, РЗС и ДПС няма предложени промени, свързани с отдалеченото електронно гласуване. АТАКА предлагат отдалеченото електронно гласуване да се регламентира чрез друг нарочен закон. Така на практика някакви дефинирани предложение има в проектите на ДСБ и ГЕРБ. Оставяйки настрана някои общи проблеми, на които не е обърнато внимание в законопроектите и за които евентуално отново ще се търси решение в последният момент, ще споделя няколко коментара по техническата част.

И двата законопроекта изключват конвенционалното гласуване, ако си упражнил (в случая на ДСБ дори ако просто си се регистрирал) правото си на глас по електронен път. Гласуването е в рамките на 2 до 3 дена и то ограничено по брой пъти. По идея дистанционното електронно гласуване е, че то се извършва извън изградената защитена среда. Възможностите за контролиран вот по този начин са безгранични. За успешното протичане на процеса е необходимо времето да се удължи (например в Естония е 5 дена), без да има ограничения на броят на коригиране на вота от избирателя, което е напълно излишно. Ако все пак реши да гласува в секцията, подаденият глас по електронен път просто се инвалидизира на база избирателният списък. За инвалидизирането може да се приложи асиметрична криптография, която да гарантира анонимността на електронния вот. Последното апропо, би трябвало да се регламентира законово, а не да се оставя за оформяне в методически указания, защото има твърде много подводни камъни в имплементацията, които трябва да се премислят.
Поради липса на надеждна електронна идентичност, в проектите е предвидено поредното погазване на чл. 2 на ЗЕУ. Въпросът за достъпността на предвидените за регистрацията данни е ясен и на малките деца. По план обаче, до изборите трябва да да имаме първите издадени държавни eID карти, да не говорим за наличието и на електронни подписи. Последните, естествено по стар български обичай “по-католици от папата”, бяха леко скопени откъм идентификационни данни с последните промени в ЗЕДЕП. Още помня учудването в очите на естонските експерти, докато им обясняваха как в ЕГН-то има много тайни лични данни, та затова си правим харакири и позволяваме издаване на ЕП само с единия гол псевдоним вътре. Хората обясниха, че и техния национален идентификатор е по подобна на нашата схема и след кратко обсъждане, решили, че по-добре да си развиват електронното управление, отколкото да подкопаят основите му с един замах. Въпреки всичко, дори и малкото, което имаме постигнато на този фронт може да се използва успешно и с помощта на технически мерки да използваме сигурната отдалечена идентификация. Както между другото го правят стотици хиляди фирми и граждани ежемесечно с услугите на НАП, АМ и електронното банкиране.
ДСБ предлагат електронно гласуване в рамките на секцията чрез тактилен терминал. Хубаво, но цената няма да оправдае инвестицията. Какво ги правим после 12К терминали? Когато Русия изгради най-голямата в света мрежа за видеонаблюдение, по време на последните избори, паралелно с това вървеше и конкурс за идеи какво после да правят стотиците хиляди камери, активни мрежови устройства сървъри и т.н. В нашият случай вероятно областните управители ще трябва да им търсят место за съхранение. Да не говорим за десетките примери в световен мащаб за отказване от такъв вид гласуване поради несъвършенства на технологията и общото мнение на коментиращи, че си искат дистанционно гласуване през Интернет, а не упражнения тип 2009, когато имаше  подобно експериментално гласуване, но с неизвестни резултати.
ГЕРБ предлагат “От един IP адрес не може да гласуват повече от двама избиратели.”. Всеки системен администратор под, но все пак близо до средното ниво може да обясни защо това е абсолютно ненужно и даже вредно, защото създава false sence of security.

Разбира се, може още доста да се дращи по написаното в проектозаконите. Най-общо нещата могат да се систематизират така:

Необходимо е да се преосмисли подхода за провеждане на дистанционното електронно гласуване (виж горе);
Необходимо е да се използват стандартните математически и криптографски подходи за гарантиране анонимността на вота. Няма нужда да се преоткрива топлата вода. Съществуват готови решения в други държави, които България може да използва, както и множество комерсиални такива. За привеждането на готовите решения обаче в използваем за страната ни вид ще трябва време.
Нормално би било платформата за дистанционно електронно гласуване да е с отворен код. Иначе отново ще се сблъскаме с такива изказвания.

* В законопроектът на ГЕРБ, електронното гласуване е предложено в §42. 042 (oct) = 0x22 (hex). Разбира се, че е случайно, за потвърждение може да гледате това (интервала 4:40-5:00 мин).

АСТА е мъртва, да живее АСТА?

Post Syndicated from Selene original https://nookofselene.wordpress.com/2012/07/05/acta-in-bulgaria-again/

Вчера хората, които излязохме през зимата да протестираме срещу АСТА, официално получихме това, което искаме – Европейският парламент отхвърли ратифицирането на така нареченото търговско споразумение за борба с фалшифицирането.
Това се случи след като стотици хиляди европейци изпълниха европейските площади и протестираха срещу АСТА и срещу така наречената „борба с пиратството“, в името на която се готвеше окупиране на Интернет – но не от движението „Окупирай Уолстрийт“, а от същите корпорации, които вече са окупирали почти всичко, намиращо се оффлайн и бързат да завземат и онлайн пространството.
Сред тези европейци бяхме и ние. На 11-ти февруари многохилядно шествие скандира „НЕ на ACTA“ по улиците на София и изпълни целия площад пред парламента, принуждавайки управляващите да обещаят, че ще „приемат споразумението с резерви“, а именно без частта за следенето на Интернет. Крайно недостатъчно, защото това споразумение или се приемаше цялото или не се приемаше цялото (да не говорим, че имаше ужасно гнили неща и сред незасягащите Интернет), но – забележете – поеха ангажимент да не осъществяват това следене на Интернет.
Сега, след като Европарламентът сложи край на цялото споразумение, би трябвало да си отдъхнем? Уви, не.
Защото проектът за нов Наказателен кодекс на България е предвидил нови драконовски мерки. Минимална предвидена присъда за т.нар. „пиратство“ е 1 година затвор или пробация, присъдата за масовия случай се вдига от 5 на 6 години, т.е. става тежко престъпление, щом е над 5 години затвор. Това означава, че „пиратстството“ се наказва в някои случаи по-строго от престъпления като изнасилване или от убийство по непредпазливост. Отпадат и административните наказания за „маловажни“ случаи – заменят се директно със затвор или пробация.
Ще цитирам конкретните членове от проекта за нов НК. Целият можете да прочетете тук.

Ползване на чужда интелектуална собственост
Чл. 195. (1) Който противозаконно записва или използва по какъвто и да е начин предмет по чл. 193 без съгласието на носителя на съответното право, се наказва с лишаване от свобода до пет години и с глоба.
(2) Който противозаконно държи носители на предмет по чл. 193 в големи размери или в голямо количество, или държи матрица за възпроизвеждане на такива носители, се наказва с лишаване от свобода от две до пет години и с глоба не по-малко от две хиляди лева.
(3) Когато предметът по ал. 2 е в особено големи размери, наказанието е лишаване от свобода от две до осем години и глоба от три хиляди до петнадесет хиляди лева, като съдът може да наложи и конфискация до една втора от имуществото на дееца.
(4) Когато с деянието по ал. 1 – 3 са причинени значителни вредни последици, наказанието е:
1. в случаите по ал. 1 или 2 – лишаване от свобода от една до шест години и глоба от три хиляди до десет хиляди лева;
2. в случаите по ал. 3 – лишаване от свобода от три до десет години, глоба от пет хиляди до двадесет хиляди лева и конфискация на част или на цялото имущество на дееца.
(5) Когато деянието по ал. 1 или 2 представлява маловажен случай, наказанието е лишаване от свобода до една година или пробация.
(6) Предметът на престъплението по ал. 2 и 3 се отнема в полза на държавата и се унищожава.

Извод 1 – ACTA официално е отхвърлена от цялата Европейска общност, но нашите управляващи са решили да си направят българска АCTA.
Извод 2 (нищо ново) – на думите на управляващите в България не може да се вярва.
Извод 3 – в името на интересите на малцина, се правят свръхнаказания и свръхмерки за ограничаване на свободата на информация и свободата в Интернет като цяло на всички останали. Защото както от опит знаем, борбата с пиратстото не се изчерпва само със защитаване на правата на (евентуално и хипотетично) ощетени творци. Обикновено тя бързо се изражда в перфектното оръжие срещу свободата на словото. И без този Наказателен кодекс все още да действа такива случаи вече има, просто без наказание за нещастния човек, който си е позволил да изкаже критика.
Извод 4 – ако искаме да спрем тази лудост, ще трябва отново да протестираме, отново за същото нещо. Имам чувството, че разчитат на нашата късопаметност, разсеяност и умора. Че очакват да ни писне, да вдигнем рамене и да кажем „Правете каквото искате, майната ви!!“. Само че аз не мисля, че това ще се случи.
А вие?

WinConn

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=302

От години използвам Linux като основна работна среда.
От горното изречение, особено думата “основна”, личи, че понякога се налага и да се пали win/mac, където се стартират ред приложения, било поради недобра съвместимост, било защото просто са специализиран софтуер, писан само за конкретната операционна система.
Години наред решението бе да се закачиш на отдалечена машина по VNC/RDP/whatever и да си свършиш работата по най-бързия начин, преди да си се издразнил от разликите в интерфейса и от това да падне продуктивността. Възможностите за seamless интеграция (използване на отдалечените приложения въвместно с останалите в работната среда) бяха ограничени и трудни за конфигуриране и използване – SeamlessRDP на rdesktop, Seamless mode на VirtualBox, VMware Fusion и т.н.
Благодарение на развитието на проекта FreeRDP, вече имаме свободна имплементация на RemoteApp. Липсващото парченце от пъзела е приложение, което да улесни конфигурирането на отдалечените приложения.
За целта последните дни работих върху WinConn, графичен мениджър за RemoteApp приложения с отворен код. На страницата можете да видите задължителните снимки на екрана, видео в действие и да го инсталирате от моето PPA в Ubuntu.
Разработката на WinConn съвпадна с Ubuntu App Showdown – триседмичен конкурс за програмиране на приложения в Ubuntu. Ако ви хареса, след 10ти юли ще можете да гласувате чрез рейтинговата система в Ubuntu Software Centre. Разбира се, приемам всякакви предложения за подобрения, бъгове и т.н. в Launchpad.

sec.stanev.org прераждане

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=283

Преди десетина години създадох sec.stanev.org като място, където да публикувам проблемите в сигурността, които откривам в различни приложения. Когато смених работата си, първите ми задължения в новата компания бяха да подобря сигурността на разработваните системи и електронни услуги. Това на практика спря всякаква активност в sec.stanev.org, тъй като откритите проблеми трябваше да си останат под покрива (NDA), а извънкласно почти не ми се занимаваше, след като цял ден съм се взирал в странен код и съм писал patches на поразия. Доста интересни неща се погребаха по този начин, но през годините винаги ми е трепвало, когато бъг, на който съм попаднал преди време изскочи в пространството.
От спортна злоба реших да препипам сайта и когато ми прищрака ще пускам по нещо. Днес пуснах advisory, по проблем, за който разказах на последния OpenFest. Там имаше интересни коментари и се събраха още весели идеи по темата.
Ще ми е интересно да коментирате какво ново искате да видите на сайта.

Webloz 11

Вече достатъчно много хора ме попитаха, защо не съм блогвал още за тазгодишното издание на конкурса Webloz… може би вече е време да блогна?
Започвам с кратка предистория, като пропускам миналата година. През февруари Тихомил ми се обади и каза, че имам най-висока оценка от членовете на журито миналата година и държи, да участвам отново. И понеже аз също исках да участвам отново… съгласих се.
Първо какво ново: тази година имаше допълнителна категория на “малките” – от 5ти до 8ми клас. Не знаехме какво можем да очакваме от тази категория. Другата интересна новост, която на мен ми допадна много, е че по един от членовете на журитата беше победител от предходна година. В моето жури – за програмирането, това беше Николай Стоицев, който е победител в категорията от миналата година.
Третият човек в моето жури тази година беше Атанас Георгиев от ФМИ. Когато Тихомил ми каза за това, признавам си, първото, което си помислих е – егаси, няк’ъв от ФМИ, ще е някой сухар… хич не ги харесвам тия типове, ама ще го преживея. За добро или за лошо с Наско се запознахме чак в хотел Островче, като пристигнах за мероприятието. Въпреки, че емам колега в моя отдел, която е работила с него, не знаех нищо за Наско. Това беше едно от първите УАУ… оказа се егаси якия пич. Между другото, тази подробност не я бях споделял с никого – нито с Тихомил, нито с Николай, нито със самия Наско… Нищо против нямам Стоян и Гено – членовете на журито от миналата година, но на моя акъл ми идваха малко по-сериозни. С Наско и Ники обстановката се получи доста по-разчупена, което ми помогна по-късно да не изпуша.
Проектите, които бяха представени и тази година бяха УАУ. Това ме учуди по-малко от миналата година, защото бях психически подготвен отново да видя много добри работи. Освен това, да не забравяме, това са 20-те проекта отсяти от над 100, които са били най-добрите сред всички кандидатстващи.
Тихомил ме беше предупредил още преди самата конкурсна програма, че в категорията на “малките” има проекти, които са по-силни от проектите в категорията на “големите”. Така че и за този феномен бях подготвен, макар че това, което видях надмина дори и подготвените ми очаквания.
Победителят в категорията на “малките” – Атанас Господинов, беше направил система за училищен дневник. На пръв поглед нищо кой знае какво. Но системата беше направена на JAVA – доста нестандартен избор на технология. Не на последно място – целият проект беше много завършен. Имаше ясна цел, визия как точно да се постигне, всичко беше реализирано с изпипани детайли… пак ще кажа – системата сама по себе си не е нещо кой знае какво, но е по-приятно да видиш завършена система, отколкото велик проект, но реализиран до средата или реализиран целия, но с немърливо отношение към детайлите. Наско от журито разпитваше хлапето така, както мен не са ме изпитвали в университета. През цялото време беше убеден, че някой друг е писал системата, а момчето само я представя. И наистина изглеждаше невероятно, че такава корпоративна технология се прилага от ученик в 8ми клас. Но всичко, което той показа, само потвърди, че не само разбира технологията, но и има в главата си визия за това как работи всичко вътре, което е достатъчно убедително доказателство, че наистина е автор на проекта и дори и да е получил помощ от други, то със сигурност е напълно в течение на всичко.
Ще разкрия малко тайни от кухнята, но с журито имахме спор по отношение на този проект, тъй като на фона на всичко представено той беше като Rocket Science – все едно на автомобилно рали да отидеш с ракета. Може би Димитър Вулджев беше другият човек сред участниците, който прави някакви опити за висш пилотаж, като разработва неща, които дори и журито не знае как всъщност работят. И ако има малко по-сериозно отношение и към това, което прави и към представянето на работата си, ако проуктите му придобият завършен вид – има реални шансове догодина най-накрая да не е втори (както е тази и миналата година!) Та да се върна на въпросът с проекта на JAVA – моят довод беше, че въпреки, че съревнованието срещу такъв противник е неравна битка, усилието и инвестицията в знания и умения, която е направил Атанас Господинов е несъпоставима с тази на другите участници и би било несправедливо спрямо него, ако не му дадем наградата.
Какво не очаквах: след като миналата година похвалихме (дори може да се каже поощрихме) използването на Frameworks като цяло и на Code Igniter в частност, тази година масово имаше проекти с Code Igniter. Именно по тази причина от журито оставихме без отговор въпросът от страна на една учителка “Какво би ви впечатлило в конкурса догодина?“. Ако посочим нещо конкретно, рискуваме догодина всички да са направили това, а всъщност силата на конкурса е в разнообразността на проектите.
Това, което силно се надявам да видя догодина е повече завършени проекти с изпипан детайл – системи, които освен качествен код имат и други компоненти, които не са основното в категорията за програмиране, но са изключително важен добавък към един проект. Хубав дизайн, добре подбрано име за домейн, комбинирани технологии, дребни екстри, които правят комфортно потребителското изживяване в един сайт или система – AJAX и визуални ефекти, бърза и responsive архитектура. Не казвам, че не видяхме такива неща в някои от проектите, но ми се ще да виждам повече.
Какво ми хареса: на първо място съм впечатлен от начина на представяне на голяма част от проектите. Забелязах доста голямо подобрение в начина на общуване на участниците с журито и публиката в залата. Далеч е от най-добрите образци, но да не забравяме че това са ученици, които в общия случай нямат опит с говоренето пред публика. Виждал съм куп студенти, които се притесняват да говорят пред изпитната комисия след 6 години обучение в университет. Така че браво на хлапетата.
Малко критика: доста лошо проектирани бази данни. От 20 проекта в категорияна та големите имаше около 3 – 4 проекта, които имаха прилично проектирана база данни. Понеже беше една от основните ми забележки в дискусията с журито – надявам се догодина да видя повече и по-добре проектирани бази данни.
Малко и за победителя в категорията на “големите” – проектът е Slides.bg на Георги Ангелов – сайт за “споделяне на идеи”. Първото впечатление, което ми направи е, че също е много завършен проект – въпреки, че в конкурса се оценява предимно програмирането, тук не липсва нито дизайн, нито внимание към детайла – дори домейнът .bg е достатъчно голям фактор за това, че проектът е направен с мерак. Но всъщност най-впечатляващото е технологията, която стои зад сайта… или по-точно технологиите… или още по-точно умелото съчетаване на много различни технологии за постигане на оптимален резултат. Бих казал, че това е професионален подход към един проект – използвани са нестандартни решения, които не са достъпни на повечето виртуални хостинги, които се продават масово в Интернет, но всичко, което е приложено е поставено там за постигане на целта. Представянето на проекта също беше на доста добро ниво и макар да не навлязохме много надълбоко в кода и технологиите, дори и от презентациите си личеше, че момчето е наясно с това, което представя.
Другите проекти, които ми направиха специално впечатление: единият е SlideMate на Георги Костадинов и основното с което ми “обра точките” е това, че направи представянето на системата чрез самата система. Не ми беше хрумнало, макар че е съвсем логично, тъй като системата представлява online инструмент за правене на презентации. Тъй като представянето беше след една от почивките – направи ми впечатление, че размерът на слайдовете на екрана е по-малък от предходните. Предположих, че през почивката някой е разбъзикал проектора – играл си е със zoom колелцето или нещо такова. Чак след като приключи представянето и видях, че това е било в браузъра – разбрах какво се е случило и много се изкефих. Всъщност аз лично исках проектът да е в челната тройка, но за съжаление конкуренцията беше доста силна. Иначе този проект си го бях набелязал още на първия кръг като един от фаворитите. Ако не беше якото артистично представяне на момчето от Националната търговска гимназия – това е проектът който щеше да вземе наградата за най-добра презентация.
Друг проект, който ми (ни) направи страхотно впечатление е сайтът за пиратологията и двамата “малки пирати” – Янчо Янчев и Ивелин Тодоров, които го представяха. В действителност сайтът е чист HTML, качен е на сървър на hit.bg – изобщо имаше пълната предпоставка дори да не достигне до финалното класиране… но отново имахме пример за завършеност на проекта, много добро представяне, пък и участниците бяха шестокласници (на практика най-малките участници) и направеното наистина беше впечатляващо. Отново за съжаление, конкуренцията беше прекалено силна и не се пребориха за повече, но петото място на финално класиране е доста добро представяне и ако продължат да се интересуват от материята (имам предвид web и програмиране, не пиратите), сигурен съм, че след няколко години може да ги видим в много по-горни позиции в този или други подобни конкурси.
Кое беше трудно: колкото и да звучи невероятно – трудно беше да се определи кои проекти да останат на последно място. Много по-трудно от това да се определи кои да заемат първите места. Не само защото е трудно да кажеш на някого, че се е справил по-зле от останалите, но и защото фаворитите се очертават бързо и ясно – силните проекти се набиват на очи. Но въпросът е как да кажеш измежду останалите кой е по-добър и кой не, как да ги сортираш достатъчно прецизно? Всички участници са доста запознати с материала… това е финален кръг – никой не е попаднал тук случайно, това не е изпит, на който да “сгащиш” някого, че не си е научил урока. Задачата е не просто неприятна, но и трудна и сложна.
За да не си мислят участниците, че тия от журито са едни гадни типове, дето идват и “раздават правосъдие”, после си отиват и си лягат, ще разкрия още една тайна от кухнята, която мисля, че се поразчу още в неделя, но: след вечерята журито се затвори в една от залите и дописвахме точки, оценявахме, обсъждахме и коментирахме проектите, представянията и документацията към проектите до 4:30 през нощта. Лично аз имах доброто намерение да пиша точките докато тече представянето. Но оценяването е по 24 критерия и трябваше да избирам – или да се съсредоточа върху попълването на таблицата или да се съсредоточа върху представянето на участниците. Прецених, че първо ще бъде неуважение да забия нос в таблиците, вместо да слушам презентацията и второ – ако не слушам представянето, как мога изобщо да го оценя? Затова при всяко представяне си водех кратки бележки – кое ми е харесало и кое не… а по-късно преминахме към писането на точките. И в действителност задачата се оказа доста тежка. На другия ден станах в 6:30 за да успея да се изкъпя, да закуся и да мога да се присъединя обратно към групата. Постарах се да изглеждам свеж, но на връщане изпих две енергийни напитки, за да мога да карам до София. Прибрах се и заспах с влизането вкъщи.
Какво още: освен че участвах в журито, тази година фирмата в която работя успя да задели малко пари и да подпомогне “младия уеб”, като станахме спонсори на мероприятието. Радвам се, че се намират спонсори и за такива конкурси, които са далеч от комерсиалността на големиете конкурси, които от години са окупирани от различни студия, които ги използват предимно за PR и реклама. Не искам да визирам конкретни имена – нито на конкурси, нито на фирми участници, нито порочните практики, които там се развиват от години. Тъй като в Webloz няма такава търговска ориентация, тук нещата са доста по-чисти и приятни за окото от професионална гледна точка. Затова казвам, че е похвално, че се намират спонсори, които да финансират такава дейност, въпреки, че тя не може да се съпостави със силата на рекламата в комерсиалните конкурси. И разбира се – трябва да благодарим и на Тихомил и фондация Технология за младите за всичко, което правят.
P.S. благодарение на Webloz поствам в този блог поне веднъж годишно… очаквайте да се натутам и да кача снимки от мястото на събитието.

Cryptonit

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=279

След като преди време услугите на НАП се преработиха, за да са достъпни и под Linux и алтернативни на IE браузери (с едно единствено изключение), се оказа, че все пак има хора, които ги използват и по този начин. Сухата статистика показва 0.1 % Linux потребители на портала и 3.7 % с Firefox. Ако сте един от тези хора, сигурно вече ви е втръснало да конфигурирате openssl за подписване на изпращаните данни, а вероятно някои са си написали скриптчета за това.
Има разработено GUI приложение – Cryptonit, подобно да DSTool, което обаче отдавна не се поддържа от оригиналните разработчици – IDEALX/OpenTrust. В резултат, от доста време приложението крашва при старт на 64 bit платформа. Направил съм необходимите корекции и можете да намерите коригирана версия за Ubuntu/Debian в моето PPA. Настройването на приложението е тривиално.

Лалугери

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=274

В края на миналата година приятели ми разказаха какви проблеми им се струпали на главите – в едно сливенско село и околията изведнъж плъзнали лалугери. Наглед миловидните създания унищожавали наред реколтата, разравяли градините и прочие. Честа тема в селската кръчма става обмяната на опит за отблъскването на вредителите и хитроумни методи за унищожението им, граничещи с идеи, взаимствани от филми на ужасите.
По същото време, докато хората се чудят “От де дойде таз напаст божия!?”, попаднах в публичния интерфейс на ИСУН на следния проект: Възстановяване популацията на лалугера като основен елемент за поддържане на благоприятния консервационен статус на приоритетни тревни хабитати и популации на хищни птици в природен парк сините камъни. Развива си се съвсем успешно и в същия район.
Хит!
Сега остава двете групи да се срещнат. Добре е да се подсигурят полиция и линейки за желаещите да ги използват в последствие 😉

SPAM дарение

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=267

По-миналата седмица попаднах на статия в Капитал как SPAM регистърът на КЗП получил дарение. Определено се зарадвах, че са направили нещо, което да опростява справките в регистъра и следователно да го направи по-ефективен. Когато погледнах отблизо зъбите на харизания кон обаче, ми стана ясно, че стъпката е отново в страни. Технологичното решение, което колегите са предложили е .NET desktop приложение, към което се сваля криптиран файл със съдържанието на регистъра. Проверката става, като потребителя изготви файл с електронните адреси на получателите, а приложението го филтрира в съответствие със съдържанието на регистъра.
От това веднага трябва да е станало ясно, че ключа за декриптиране вероятно е забит в самото приложение. След прилагането на не-чак-вуду-техники (strings and friends), нямащи нищо общо с reverse engineering, става ясно, че регистърът е криптиран с DES-CBC, а 20 минути по-късно декриптирането се свежда до една команда с OpenSSL:
[email protected]:~$ openssl des-cbc -d -K [find_it_youself] -iv 00f00ab00bc00cf0 -in 29112010.TXT -out spam.txt
Разбира се, изпратих поща на КЗП за проблема, описвайки и възможността недоброжелател да декриптира регистъра и да го постне по руските и китайските спам форуми. След това резултатът е ясен, а действието ефективно ще подкопае и без това крехките устои на SPAM регистъра.
Отговор вече повече от седмица няма.

OpenFest 2010

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=264

OpenFest 2010 беше особено интересен тази година. Наред с това, че се видяхме с банда приятели, с които за съжаление все по-рядко ни се отдава да пием по бира, имаше и доста нови познанства. Споделените идеи са особено ценни, а когато има с кого да ги обсъдиш става все по-интересно. Вече има и предложения за следващия фест, но дотогава има време, а и, надявам се, локални събития:)
Както обещах, презентацията ми от тази година, както и от минали събития, можете да дръпнете от тук.

Маки суши

Маки сушиОт доста време се каним да си спретнем едно домашно приготвено суши. Откакто откриха новия мол на Цариградско шосе, редовно хапваме рибките в Happy-то на последния етаж – при кината.
Може би трябва да уточним, че съществуват много и различни видове суши. Аз лично съм фен на макитата – това са може би най-разпространения вид, който се навива в кори от водорасли във вид на големи пури, а след това пурите се режат на шайби.
Напазарувахме необходимите продукти от няколко магазина в същия мол:

Листове нори от сушени водорасли – 5 листа
Ориз за суши – 500 гр.
Пушена сьомга 100 гр.
Скариди – 250 гр.
Сурими (рулца от раци) – 100 гр.
Авокадо – 1 бр.
Краставица (по-плътна) – 1 бр.
Бамбукова подложка за навиване

Прибрахме се и action! Първо проверихме в наличната домашна готварска литература какво пише по темата – почти нищо. После проверихме какво пише в Интернет по темата – доста.
Оризът: преди да се вари се маринова със сол, захар и оцет. В някои рецепти в маринатата слагат оризов оцет, също слагат и саке (оризова ракия)… ама ми се вижда много оризово. А и поради липсата на оризов оцет и саке – използвахме просто балсамов оцет. Първо оризът се мие със студена вода, докато не спре да пада бяло от него. После се накисва в студена вода 1½ количеството ориз за ½ час. След това, без да се изцежда водата, в която е киснал се слага да заври на слаб огън и се вари, докато попие всичката вода, като се бърка непрекъснато (около 10 – 15 минути). След като се свари, оризът се маринова и се разбърква хубаво и се захлупва с капака. Така втасва още 10 – 15 минути. Пропорцията за маринатата е следната: за 5 листа нори – 250 гр. ориз; на този ориз се слагат 1½ ч.л. сол, 1½ кафява захар, оцет на око – докато потъмнее леко.
Плънката: по заведенията я пестят, а като гледам цените на продуктите, не мисля, че тя е най-скъпата съставка. Освен това в зависимост от вида на маки сушито има такива, които са с един вид плънка и такива които са с различни плънки. Ние избрахме с различни. Нарязахме едно авокадо на лентички – то има приятен мазен вкус, по-скоро няма вкус, а просто придава мазно усещане… странно е, трябва да сте опитвали авокадо, иначе не може да се опише. Освен него и една краставица на лентички. По оригиналната рецепта краставицата не се бели. Също и пушената сьомга. Може и сурова, но се препоръчва да се замрази дълбоко за 24 – 48 часа, за да няма паразити в нея. При мариноването за опушване също умират. Всъщност рискът при сушито е от паразити в суровата риба. Подозирам, че с маринована червена херинга също може да се получи доста добре – продава се в на салатния щанд в Кауфланд и другаде почти не съм я намирал. Също 250 гр. замразени скариди ги сварихме в подсолена вода. Беленето си е пипкава работа, но ако скаридите са едри и хубави – не е толкова страшно. Също сурими, известни сред народа като ролца от раци, но в действителност е мляно месо от риба, което се овкюсява с подправки, пресова се и се боядисва – за да наподоби рачешко месо.
Нори – това са листовете от сушени водорасли, от които се навива маки сушито. В био магазина в мола продават няколко вида. Качеството на листовете зависи от няколко неща – да не се чупят лесно, да са светло зелени на цвят – като остареят стават тъмно зелени или дори кафяви. Да нямат дупки.
Навиването – става по-лесно с подложка от бамбукови пръчици. Листът нори се слага върху подложката и върху него се разстила тънък слой ориз. Разстилането е една от най-големите тънкости при сушито или по друг начин казано – беше една от най-сложните операции за нас. Слоят трябва да е възможно най-тънък, като в същото време не трябва да има дупки. Задачата се усложнява от факта, че оризът е доста лепкав. Задължително трябва да е истинал към момента на полагането му. В горния край на листа трябва да се остави ивица около 1 см. за да се загърне накрая.
След като се растели оризът, в долния край на листа, но не съвсем близо до ръба се подрежда плънката. Ние слагахме няколко стръка авокадо, няколко стръка краставица и един от видовете морски продукти – сьомга, скариди или сурими. В различните рецепти се слагат още маринован кисел лук, крема сирене тип Филаделфия, риба тон и други мариновани риби, както и други зеленчуци.
Навиването започва от долния край постепенно нагоре. Когато се стигне горния край – оставената свободна ивица загръща цилиндъра и така не остава откъде да се изсипе оризът или плънката. След това се стиска, така че да се пресова – да не остават рехави места в ориза и между плънката. Понеже оризът е лепкав – цялото маки се стяга и не се разпада лесно. Тази операция става най-лесно с въпросната подложка за навиване. Тя е от бамбукови пръчици сплетени с тънко канапче. Като се навие макито, може отвън да се стисне с ръка – въженцата се свиват, а клечките се сгъстяват и сплескването е лесно. Понеже отвътре клечките са овалки – не разкъсват листа нори.
Нарязването беше вторият момент, в който срещнахме проблем. Всъщност проблемът беше в ножа – не беше достатъчно остър. След като сплескахме първото маки, специално наточих един голям нож. На второто и третото вече нямаше проблеми. Добре е при рязането да има още две ръце, които да помагат, като държат от другия край макито, за да не се разкъса нори листът и да не се развие. Също проблем прави лепкавостта на ориза и твърдостта на плънката. Когато ножът започне да минава през макито, оризът е мек и ножът потъва до сърцевината. Там среща авокадото, което е твърдо и ножът запира. Ако се натисне по-силно – има опасност да се сплеска цялото маки. Затова рязането трябва да става с прав, а не назъбен нож с дълги постъпателно-възвратни движения. Да обаче, понеже оризът лепне – залепва за ножа, затова след всяко маки трябва да се измие с гореща вода.
След като се нареже на шайби, добре е да се охлади в хладилник за час два, освен ако всички продукти не са предварително охладени. Също е добре да се завие със стреч фолио или капак, защото 1) оризът поглъща всички миризми от хладилника; 2) рибата омирисва всичко останало в хладилника; 3) ако имате no frost система, всичко ще изсъхне за 2 часа в хладилника.
Вече охладеното суши се сервира с уосаби и/или паста от хрян. Понеже и двете са люти ги пропуснахме. Освен това се сервира и малка купичка със соев сос. Всяка шайба се топи в соса и се яде.
В интерес на истината – получи се доста над очакванията ми. Още първото маки суши имаше автентичен вкус. Поне сравнено със сушитата от три заведения, които вече съм ял. Е – първото се сплеска при рязането и се наложи да го изядем с ръце. Но на последния лист вече придоби направо търговски вид. Явно не е чак толкова трудно. Като изключим времето за подготовка на ориза – останалите неща стават относително лесно и бързо. Аз съм доволен и подозирам, че занапред ще го правим още доста пъти.
Между другото – не всички хора харесват вкуса на сушито. Ако имате съмнения или ако не обичате сладко-кисели ястия или риба, по-добре първо опитайте суши в ресторант. Вече не е чак толкова скъпо удоволствие. Малки порции от 4 шайби се сервират между 2 и 5 лв. Ако сте опитали и вече знаете, че ви харесва – опитайте и вкъщи!
Тук малко снимки

ISO 27001 в столовата

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=248

Сигурен съм, че сте чели старата история за хакера в стола. Тъй като отново съм на тема ISO 27001:2005, нека направим едно упражнение, при което ще проследим как ще се развие събитието, ако в стола има внедрена Система за управление на информационната сигурност.
Ден 1-ви
Хакер влиза в обществена столова и с възмущение забелязва, че всеки може да развие солницата и да сипе вътре каквото и да е. Прибира се той вкъщи и пише гневно писмо на директора: “Аз, [email protected]|, открих уязвимост на солниците във Вашата столова. Злоумишленик може да сипе в тях отрова. Вземете мерки спешно!”
Ден 2-ри
Директорът сред прочие делови писма прочита горното и вдига рамене: “На кой идиот може да му дойде това на ума?”
Директорът на столовата разпределя документа на Отговорника по информационна сигурност по компетенция. Последният размишлява известно време дали да попълни Доклад за инцидент, Предложение за превантивно действие, направо Искане за коригиращо действие или някой друг документ, на който не му помни името. Свързва се с Консултантите, които обаче са заети с други клиенти и така или иначе не помнят какво са писали в Процедурите и Политиките за информационна сигурност. Те го финтират финно, като му обясняват, че откато са предали системата в ръцете на клиента, вероятно е имало развитие и не искат в желанието си да помогнат да навредят. На финала на разговора, му споменават, че всякакви ги имало и да не обръща внимание на такива простотии.
Спокоен, отговорникът забутва писмото в “шкафа, където одиторите не гледат” и забравя за случая.
Ден 5-ти
Хакерът идва в столовата и сипва във всички солници отрова. Загиват 300 души, директора три месеца го влачат в следствие и съд и го оправдават за липса на престъпен състав. Хакерът пише писмо в стил “Видяхте ли?!!”
Вече съмнение няма и машината се задейства. Събира се Форумът по информационна сигурност, Консултантите са викнати по спешност, срещу съответното възнаграждение. Отговорникът прилежно е попълнил Доклад за инцидент, добавил го е в Регистъра на инцидентите, запознал е чрез Докладна-записка Групата за връзки с обществеността (Главният готвач и една от по-приказливите лелички), прегледал е окло 18 пъти Планът за непрекъсваемост на дейността, Матрицата за достъп, както и други странни документи. Консултантите проверяват всички записи и уверяват клиента, че системата работи.
След освобождаването на Директора от предварителния арест, на заседание на Форумът по информационна сигурност се набелязват допълнителните контроли, с които ще се третира критичният ресурс (солниците), получава се одобрение за финансиране на дейността, а Планът за третиране на риска се допълва с още множество записи с отстояние близкото бъдеще.
Ден 96-ти
Директорът купува солници със специално проектиран катинар с код. Посетителите чувстват, че някаква идея в тоя живот им убягва.
Ден 97-ми
Хакерът забелязва, че дупките в солниците пропускат сол в двете посоки. И не само сол. Той пише възмутено писмо на директора и пикае във всички солници. 300 човека престават да посещават столовата, 30 попадат в болница с отравяне. За капак пише на директора СМС “Как е?” Директора три месеца го мотаят по съдилища и му дават година условно.
След повторното поругаване на Системата, което съвпада с ресертификационният одит, Сертификаторът отнема издадения сертификат и обяснява, че го правят с ясното съзнание, че това е в полза на клиента(обществения стол). Форумът по информационна сигурност се събира и единодушно хвърля вината върху “калпавите консултанти, които нищо не разбират”. Намират нови и поканват нов Сертификатор от чужбина, който в желанието си да стъпи на местна територия си затваря очите за събитията от последните месеци.
Новите консултанти преглеждат внимателно всичко, обясняват колко погрешен и несъобразен е бил подходът на предходните и как доказателствата за това са в папката с Инцидентите.
Обръщат системата с главата надолу, правят опресняващо обучение на персонала и проверяват осъзнатостта. Наемат се технически експерти, които правят penetration тестове и пишат дълги назидателни доклади.
Ден 188-ми
Директорът се заклева до края на живота си да няма нищо общо със заведения за хранене и мирно да пренася дървени трупи в Сибир. Инженерите разработват нова конструкция солници с едностранна клапа. Междувременно сервитьорките прибират старите солници и раздават сол по заявка.
Ден 190-ти
Хакерът гепва 1 нова солница от стола и вкъщи изучава устройството й. Пише гневно писмо на новия директор: “Аз, [email protected]|, задигнах 1 солница и намирам този факт за възмутителен! Всеки може да задигне солница от Вашата столова!” Директорът – заклет трезвеник – прочита писмото, прибира се вкъщи и удря една водка.
На другия ден, след пълна инвентаризация, отново се попълва Доклад за инцидент. Преглеждат се записите от видеонаблюдението и Дневниците на на сервитьорките с раздадените солници срещу подпис. С помощта на консултантите се извършва кросчек на обективните доказателства, който ограничава кръга на заподозрените до около 50 човека. Междувременно, Отговорникът по информационна сигурност наказва с Искания за коригиращи действия всеки, който срещне случайно в коридорите, в резултат на което служебните и клиентски тоалетни се препълват с изпокрили се служители на стола.
Ден 193-ти
Хакерът отива в стола и вижда, че всички солници са закрепени към масите с вериги. На поредната сбирка на хакерите се похвалва със своите успехи и получава заслужена награда за защита интересите на обществото и потребителите. За щастие директорът не научава за това и няма да се пропие преждевременно.
 
Ден 194-ти
В рамките на гениално обмислена операция всички хакери от сбирката се промъкват в столовата и изсипват всичката сол в джобовете си. Хакерът [email protected]| пише възмутено писмо на директора, че в тази столова няма никаква грижа към потребителя и всеки може да лиши честния човек от сол за един миг. Спешно са нужни дозатори на солта, работещи след логване с парола.
Системата обаче вече работи. Тъй като за инцидента не се разчува, а и от столовата са нямали време за цялата хамалогия около внедряването, консултантите дават умната идея документално нещата да се оформят като тренировка на Плана за непрекъсваемост на дейността. Допълнително се добавят записи и за сценариите “Земетресение” и “Луда крава”.
Относно идеята за паролата, местния админ гуру обяснява, че тези неща не се правят така на парче и ще се помисли за цялостно решение, в унисон с най-добрите световни практики. Изпращат го навън за няколко месеца, за да почерпи знание от извора. Благодарение на обширните си познания и практика по ISO 27001, там си намира по-добра работа и се спасява с декларацията, че вече нещата са стабилни и полето за изява в столовата е му е отесняло.
Работата му се поема от висококвалифициран инженерен екип, който разработва envisioning документ за внедряване на Enterprise Architecture в столовата, след това работи и по проблема със солниците.
Ден 196-ти
Инженерите с пот на лицата работят над нов модел солница, докато сервитьорките пак раздават сол по заявка. Директорът си взема отпуск и заминава на Сейшелските острови, където се храни само в стаята си в хотела, избягвайки закусвални, ресторанти и барове.
 
Ден 200
Посетителите на столовата с ужас откриват, че за да си сипят малко сол, трябва да отидат при сервитьорката и да си покажат личната карта, за да получат специален 8-символен код за еднократна употреба за активиране на солницата. За черния пипер процедурата се повтаря.
Доволен от постигнатото, директорът изпраща поздравителен мейл към служителите, като им напомня, че това е само началото и предстои сертификация и по още няколко наболели стандарта.

By The Book

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=228

Или както му казваме, “по устав”.
Правилата били, за да се нарушават. Голямата драма на анархисткото движение е, че не може да се организира. По идеологически и философски причини.
Лесно е да се следват правилата, в организация, в която всичко е внимателно примислено. Когато те ти помагат и защитават.
Обаче живота не работи така.
Правилата се налагат като бариери. Премислят се, за да обхванат този или онзи частен случай. Трупат се. Влияят си. Противоречат си.
Получават се класически спагети, при които издърпвайки един макарон, повдигаш цялата купа. Или ти се изплъзгва от вилицата. И цапа при цопването обратно.
Пляс!
Усещаш лекият гъдел и се оглеждаш. Къде ли отиде? Може би просто се върна обратно, без да напакости. Или петноса любимата риза?
***
Изправяйки се срещу правилата, имаш идея. Може би го правиш за себе си. Може би, за да създадеш нещо ново. Ново правило? Ооо, да. Така е лесно. И нова възможност.
Пространство се отваря, като завземеш чуждо. Понякога трябва и да заделиш свое. При всички случаи има излъгани. Ограбени. Неразбрали. Низвергнати.
Опитваш се да насочиш. Да подпомогнеш виждането. Понякога, като в старите “цветни” телевизори – с шарения филтър пред екрана. Понякога, като обясняваш подробно защо стана така, какво очакваш да се случи.
По-често не казваш нищо. Очакваш да бъдеш разбран. Очакваш, че всички виждат твоята цел и ще се борят за нея. Или поне няма да им пречи да си вършат работата.
Но има и други мисли. Виждания. От тези удари боли най-много.
Дори и ако тези от горе могат да унищожат всичко с един замах, не боли. Тогава си герой, поне за себе си.
Дори и да не успееш, имаш втори шанс.
Когато, обаче, не го направиш, защото няма на кой да сториш добро, или просто си останал на обратната страна на луната сам, трябва да помислиш.
Трябва ли?
По-трудно е да разъдиш – трябваше ли?
***
Обичм спагети. Не зная как да боравя с тях. Когато ги ям, изглеждам смешно. Продължавам да мисля, че следващият път ще е по-добре.

Mass edit mode on!

Post Syndicated from RealEnder original http://alex.stanev.org/blog/?p=221

В последните няколко седмици с колегите сме част от един адски цикъл. Изградили сме стройна организация от двадесетина човека, с които заедно творим и редактираме общи документи. Когато в началото всеки си имаше част, по която работеше, беше лесно. Когато обаче започнахме с крос промените, включихме външни консултантски ресурси и случайни елементи, нещата приеха грозен обрат. Разхвърчаха се десетки различни версии на един документ, всичките с проследени промени, коментари, зажълтени, позеленени, почервенени и прочие нишани по текстовете и диаграмите. Отделно, координаторите работиха в SubVersion, като към тях пристигаха документи, редактирани в поне шест различни версии на MSWord и три на OpenOffice. Диаграмите, рисувани на салфетки по кръчмите на ръка бяха бонус. Опита да вкараме на въоръжение онлайн система за колаборативно редактиране се оказа неуспешен, защото все още възможностите им са твърде далече от тези на десктоп офис пакетите.
В края на краищата нещата се подреждат чрез прилагане на крути мерки кой, кога и на кого изпраща версия, много reverts и merge conflicts от централното хранилище. Нервите и времето, което отделихме е просто неоценимо.
Някой има ли опит в подобни ситуации?