cat_mucius: (Default)
А ведь палестинский терроризм ощутимо меняется у нас на глазах.

Я тут не поленился, взял из этой статьи список всех терактов нынешней "интифады одиночек", с 01.10.2015 и по сей день, и прошёлся по нему, у каждого эпизода выставляя метку:
  • security - если указано, что целью атаки были военнослужащие, МАГАВники (жандармерия), полицейские или охранники, или же это однозначно понятно из контекста ("нападение на КПП"),
    или
  • civilian - во всех остальных случаях. Случаи, когда военные были ранены или убиты, но не было понятно, были ли они целью атаки, или пострадали, пытаясь обезвредить нападавшего, писал в civilian.
    Потом подсчитал метки (файл, если кому интересно).

    Результаты такие:

  • 2015: security - 52 , civilian - 83
  • 2016: security - 75 , civilian - 50
  • 2017: security - 27 , civilian - 9
  • Total: security - 154 , civilian - 142

  • То есть тренд чёткий - чем дальше, тем чаще целью нападений становятся не гражданские, а "силовики". Уже не столько "терроризм", сколько "герилья".

    К сожалению, я не нашёл такую разбивку по первой-второй интифадах (похоже, её никто не ведёт, а жаль), но есть статистика убитых, и она такова:
  • Первая интифада: гражданских - 271, силовиков - 150 (процент гражданских от общего количества - 64.37%)
  • Вторая интифада: гражданских - 654, силовиков - 303 (процент гражданских - 68.34%)
    Что, впрочем, много не говорит, потому что, с одной стороны, у военных и полицейских шанс отбиться от нападающих куда выше, чем у гражданских, а во вторых, в их число наверняка засчитали солдат, погибших во время операций типа "Защитной стены", что всё же к такого рода атакам отношения не имеет. Впрочем, то, что ХАМАС, Танзим и прочие били в первую очередь именно по гражданским израильтянам в тылу, и так не секрет.

    Но сейчас впечатление, что эта тактика начинает палестинцев как-то смущать. Впервые мне это бросилось в глаза после убийства семьи Фогелей - среди палестинцев тогда внезапно большую популярность набрал слух, что убийца - иностранный рабочий, которому семейство, дескать, не заплатило за работу, вот он и сквитался. Даже "Бригады мучеников Аль-Аксы", первоначально похвалившиеся удачной операцией, впоследствии от неё открестились - мы, дескать, детей не режем. Это было странно - раньше никакой нужды переваливать отвественность за такие убийства на кого-то другого у них не было: убили оккупантов? - туда им и дорога, а то, что дети - так кто вы такие нас попрекать. Самиру Кунтару его подвиги ничуть не мешали в больших героях ходить.

    То ли это результат постепенной гуманизации палестинского общества; то ли западные друзья сумели этому обществу постепенно разъяснить, что резня женщин и детей, как и радостные пляски по поводу этой резни, палестинскому делу ничуть не помогает, а лишь развязывает Израилю руки; то ли благодетельный эффект Интернета и глобальной связности - не знаю. Но факт налицо.
  • cat_mucius: (Default)
    Сидим в очередном милуиме, битый час суетимся вокруг армейской приборни. Приборня работать не желает.

    - Чёрт, всё никак. Есть у кого идея?
    - Есть, давайте я из дому бубен притащу, камлать будем.
    - О, а это мысль - можно для смартфона приложеньице накатать: стучишь пальцами по экрану - звучит бубен. Хочешь, алтайский тюнгур, а хочешь - ирландский боуран, кастомизация, все дела.
    - Да ну, небось всё придумано до нас. Вот проверьте.
    - А, вот пожалуйста - Shamanic Drum. Щас испробуем.

    Скачиваем, камлаем. Звучит бубен. Запускаем приборню. Успешно.
    cat_mucius: (Default)
    Нашёл на ютюбе канал то ли звукозаписывающей студии, то ли радиостанции, специализирующейся на не шибко популярном и сложноопределяемом жанре stoner rock & stoner/doom metal. Большинство альбомов там слушать довольно скучно, их словно одна и та же группа писала - но вот две работы действительно понравились: греков Stonila и гарних парубкiв Somali Yacht Club из Львова; вторая особенно.

    Интересно, что музыка там большей частью инструментальная; вокал в этом жанре как-то в гораздо меньшем почёте, чем в других металлических стилях. И длинные композиции, как у арт-рокеров. В общем-то, это прог, хотя совершенно не похожий на какой-нибудь Anglagard или Genesis.

    Тем не менее, в большинстве альбомов больше всего понравилась обложка. Металлисты в этом вообще поднаторели, в блэке особенно - на пластинке может быть скучнейшая мура, но артворк будет заманчивый - заглядишься.
    cat_mucius: (Default)
    Недавно мимо меня пробегало новенькое израильское удостоверение личности (теудат зеут) - уже не бумажка, а смарткарта - и я, конечно, тут же его зацапал глянуть, что на ентой смарткарте есть. Мда. После потрошения ейного сертификата могу честно сказать - построено ужасно, просто ужасно.
    Технические потроха: )

    В общем, сработано халтурщиками, которым возможности и детали технологии совершенно пофигу, базовая функциональность есть - и слава богу. Скажу без ложной скромности, я бы лучше сделал.

    Если кто хочет повтыкать в детали сам - припадайте. "Leaf" сертификат со смарткарты не выкладываю из соображений приватности владельца, а правительственные - на здоровье.
    cat_mucius: (Default)
    У аутентификации по клиентским сертификатам есть множество ограничений, из-за которых она редко используется:
    - общая сложность для понимания и настройки,
    - сложность с управлением ключами, особенно когда юзеру надо ходить с нескольких устройств, с их обновлением,
    - сложность с отзывом сертификатов, необходимость держать доступными точки CRL и OCSP, что может быть довольно геморройно, если у нас не общий Интернет, а изолированые сети,
    - нельзя защитить часть сайта - скажем, чтобы https://hostname/public был доступен всем, а https://hostname/private требовал сертификата для опознания юзера. Точнее, этого результата можно добиться, но лишь при применении определённых хитростей.
    - отсутствует нормальный logout - для того, чтобы сайт перестал тебя опознавать, надо полностью закрывать браузер (или изначально заходить в incognito-окне).

    Но есть одно крутое преимущество - по сравнению с другими методами логина поверх SSL, она сильно усложняет проведение атаки man-in-the-middle, она же SSL interception. Вплоть до "вообще никак".

    Подменить серверный сертификат на лету, при условии, что браузеры доверяют подменному, вполне тривиально - и есть организации, делающие это на регулярной основе: как для хороших целей (отлавливать всякую малварь), так и для менее хороших.

    Способов добавить сертификат в список доверяемых есть масса, начиная с домейновых group policies и windows update, и заканчивая малварью и банальной социальной инженерией. Более того, тот же Avast antivirus делает это просто по дефолту - добавляет сертификат своего типа-CA в "Trusted Root Certification Authorities" и расшифровывает трафик.

    Но когда требуется сертификат ещё и клиентский, то всё намного усложняется, посколько тогда система-перехватчик должна подменить и его тоже. А сервера куда недоверчивее в этих вопросах, чем браузеры. Им, как правило, просто указывают - сертификаты от этого CA и от этого принимать, а остальных лесом. К примеру, в FortiGate при создании PKI-юзера надо в явном виде задать и CA, которым его сертификат должен быть подписан, и что у этого сертификата должно быть в Subject. К тому же, тот может быть и вовсе самоподписанным. Тут не разгуляешься.

    А подменить серверный сертификат, не подменяя клиентский, посылая его как есть - не выйдет. У сервера банально циферки не сойдутся, на чём подключению и конец.

    Так что стоящая вещь, товарищи, пользуйтесь. :-)

    (Это я тут с админом одной сеточки пообщался - негодовал, что не может инспектировать наш SSL-VPN. Ну, мои тебе соболезнования, приятель. :-))
    cat_mucius: (Default)
    Понакидал в технобложик своих постов из внутренней вики - авось широкой публике пригодятся:
  • про то, как удобно настроить раутинг для VPN-клиентов TMG, мир его памяти. С картинками!
  • про то, как опознавать на Tomcat юзеров из Active Directory, используя Kerberos и LDAP - фактически, очень подробное продолжение этого поста,
  • и про то, как то же самое можно делать, заменив Kerberos на сертификаты. На самом деле, заменять они друг друга не обязаны, могут и дополнять.
  • cat_mucius: (Default)
    http://txt.newsru.co.il/israel/25apr2017/net_german_004.html
    Ах-ре-неть.
    Глава правительства Израиля, наш блестящий дипломат Нетанияху демонстрирует тактику детей дошкольного возраста - топает ножками и кричит: "если будешь водиться с Васей и Женей - не буду с тобой водиться!"

    Тут прекрасно всё:
    - и уверенность, что такой образ действий может принести какую-то пользу, защитить национальную честь и независимость,
    - и озвученное с самого верха практически официальное отношение к "Бецелем" и "Шоврим Штика" как к национал-предателям, разбирать претензии которых по существу - вообще харам. Надо зажимать уши и кричать "как вы смеете!"

    Тенденция просматривается вполне чёткая и тенденция скверная.

    Сограждане, сделайте одолжение, а? Не переизберайте больше этого идиота.
    cat_mucius: (Default)
    Техническое: про Гугл, SAML и Keycloak.
    http://blog.mucius.tk/2017/04/google-as-saml-idp.html
    cat_mucius: (Default)
    Коллега порадовал сообщением, что Whatsapp безопаснее, чем SMS, поскольку сообщения в нём шифруются. Верно, шифруются, и юзерам даже дали возможность ключи сравнить (прочие скайпы до таких высот не дошли).

    Да вот только беда в том, что шифрование это производится между клиентами, написанными Whatsapp, и серверами Whatsapp, по протоколам Whatsapp, и любая из этих составляющих может быть изменена в любой момент - включая саму схему этого шифрования, даже если на данный момент описана она аккуратно. Никакой ясности, никаких гарантий, никаких открытых протоколов и независимых способов верификации подписей на ключах не предусмотрено, здесь вам не SSL. Даже если проверочные циферки на обоих сторонах и сходятся - это не означает совершенно ничего.

    Поэтому когда компания гордо заявляет: да мы сами не можем расшифровать ваши сообщения, даже если захотим! - то это враньё в чистом виде. Для того, чтобы это было правдой, надо, чтобы любой желающий мог написать свой клиент Whatsapp с гарантией, что он будет работать, покуда он придерживается заранее определённых и открытых для всех правил. Точно так же, как любой желающий может написать свой клиент для электронной почты или для WWW. С возможностью для юзера проверить подпись на любом ключе самостоятельно, не полагаясь на честное слово программы.

    А пока эти заверения означают не больше, чем "мамой клянёмся, мы не подсматриваем". Если даже законодательство не обязывает компанию обеспечивать органы специально проверченными дырками для "lawful interception", полагаться всерьёз на это слово после Сноудена, Lavabit, и так далее...

    Разумеется, к iMessage, скайпу и прочим вайберам это всё относится в той же мере.


    Вообще впечатляет, насколько при мощных успехах опен-сорса на многих фронтах, безрадостна ситуация на рынке мобильных аппликаций. Особенно касаемо мессенджеров - децентрализации ноль, открытости ноль, полная зависимость от малого числа компаний. Феодализм, как сказал Брюс Шнайер.
    cat_mucius: (Default)
    Поругаю для разнообразия Микрософт:

    1. Ознакомился с возможностями Point-to-Site VPN в Azure, ихнем облаке. Впечатлён - редкостное убожество. Аутентификация предусмотрена только по сертификатам, но и это реализовали по-идиотски: заливаешь корневой сертификат в список доверенных, после чего все его потомки признаются доверенными - если только ты explicitly не указал, что вот конкретно этому, этому и этому доверять нельзя. Причём CRL тянуть оно не умеет - указывай там же, на ихнем портале.

    То есть чудесно: если у меня и у Васи есть сертификат от, скажем, Comodo, и я хочу организовать нам доступ - то заливая корневой сертификат Comodo я даю доступ к своим облачным сетям всем, у кого тоже есть сертификат от Comodo!

    Наиболее приемлемый способ использования этой муры: создавать специальный CA только для юзеров VPN, наштамповать им сертификатов только для этой цели и не забывать указывать их как отозванные, когда доступ кому-то из юзеров уже не нужен. Да, и надеяться, что до лимита отозванных не дойдёшь.

    Удивительно: это компания, сделавшая в своё время VPN-гейт с наилучшим набором фич для аутентификации из всех, что я видел - я имею в виду ForeFront TMG. А теперь они выкатывают эту хрень. А TMG они убили! Убили, Карл!

    Вообще, опознаванию на сертификатах как-то не везёт, как Булгакову на экранизации. Вот в FortiGate сделали гораздо правильнее: заливаешь корень и перечисляешь список значений поля Subject, которые надо принимать - а все прочие идут лесом. Но при этом не подумали, что если этих фортигейтов в организации больше, чем один, то ведение этих списков превращается в management hell.


    2. Сломался у меня давеча скрипт, что CRL в облако публиковал. Полез разбираться - и что же вы думаете? Скрипт мне поломала славная корпорация Микрософт. Я пользовался програмкой cURL - а эти добрые люди решили, что они сейчас пойдут навстречу потребителю и в новой версии PowerShell обозначили curl как синоним своего коммандлета Invoke-WebRequest. Изменение команды на curl.exe решило проблему, но вашу же душу, благодетели!..
    cat_mucius: (Default)
    Случайно обнаружил, что при заходе на https://wirade.ru с мобильника браузер гневно отвергает SSL-сертификат от StartCom.
    Привинтил взамен новый от Let's Encrypt, должен обновляться автоматом каждые три месяца.

    Люди с разными нестандартными платформами - мобильными, десктопными - сделайте одолжение, скажите, не выкидывает ли вам браузер предупреждалку на тему SSL, certificates и всё такое при заходе на сайт.

    Со Старткомом же произошла пренеприятная история. Это израильский CA был куплен другим CA, китайским WoSign. Это, конечно, может случиться с каждым, но к ним была выдвинута претензия, что о сделке они не сообщили публично. Очевидно, для CA, единственным товаром которого является его репутация, это серьёзное дело. Дальше - хуже, WoSign поймали на том, что какое-то количество сертификатов они подписали более ранним числом, чем когда они были выданы реально - чтобы браузеры не ругались на сайты их клиентов из-за использования устаревшего алгоритма SHA-1. Это, конечно, с подвигами TrustWave ни в какое сравнение не идёт, но тем не менее, и WoSign-у, и Старткому был объявлен интердикт: разом Эппл, Гугл и Мозилла забанили их сертификаты.

    К большой моей печали, поскольку как раз эти двое были единственные, кто выдавал долгосрочные SSL-сертификаты забесплатно, то есть даром. Чем я с удовольствием пользовался, а теперь увы.

    (Впрочем, обе конторы старательно делают вид, что ничего не происходит, business as usual. Стартком пообещал выкатить новый корневой сертификат, но не выкатил.)

    Дополнительно меня напрягает, как именно этот бан был реализован. Не обычным выкидыванием корневого сертификата из доверенных или занесением его в untrusted (что, впрочем, Гуглу было бы проблемно реализовать: Chrome использует хранилища ключей Windows, а Микрософт к отлучению не присоединялся). А следующим образом: сертификаты, выданные до 21.10.2016 признаются легальными. А выданные позже - уже нет.

    Это спасает большинство клиентов этих CA, заплативших за свои сертификаты, но это означает, что эта запретительная логика реализована в коде самих браузеров (Firefox 51, Chrome 56) и юзер над ней не властен. То есть хозяин компьютера или айтишник компании не может решить своей волей, что его браузеры будут всё-таки этим CA доверять - за него решение приняли большие компании, и override не предусмотрен. Тенденция эта, на мой взгляд, скверная.
    cat_mucius: (Default)
    Пишут, американцы выгоняют российских дипломатов, спикер Конгресса по этому поводу сказал: "Russia does not share America's interests. In fact, it has consistently sought to undermine them, sowing dangerous instability around the world."

    Было бы забавно, если бы в ответ Путин решительно заявил: "We do not sow".
    cat_mucius: (Default)
    Товарищи френды, если у кого есть аккаунт на DreamWidth.org, который я ещё не зафрендил - отметьтесь, пожалуйста.

    Кстати, преимущество DW перед ЖЖ - нормальное шифрование траффика (имеет смысл в браузер / закладки вносить адрес бложика с префиксом https:// - тогда и при переходе на другие страницы HTTPS сохраняется). Правда, он расшифровывается для инспекции на CloudFlare (если кто не знает - такой сервис для защиты сайтов и кэширования для экономии траффика). Возможно, американская гэбня туда нос совать может - но российская вряд ли.

    А вот чего не хватает - это возможности обращаться к журналам только по URL вида https://dreamwidth.org/~account или https://dreamwidth.org/users/account. Точнее, она есть, но сервер сразу же перенаправляет на страницу вида https://account.dreamwidth.org. Что, конечно, выглядит покрасивше, но зато открывает возможность какой-нибудь системе блокировки отследить, какой конкретно журнал пытаются открыть - и по запросу DNS, и по полю SNI в начальном запросе HTTPS (подробнее на ту же тему). Открыл support request на эту тему, авось да отнесутся (update: отказали, да в общем-то и правильно - не продумал).
    cat_mucius: (Default)
    Приснилась штука под названием "пыль Барра": это такие металлические разноцветные опилки, которые используются, чтобы рисовать овсом - их наносят на намагниченную белую поверхность, служащую холстом. Видел пару пародийных портретов в такой манере. Проснувшись, отправился гуглить, но увы. Не знаю, создавал ли кто что-нибудь таким способом, но термина такого нет.

    Да, чтоб два раза не вставать - если кто видел фильм "The Gift", то как вам концовка? Мне она кажется какой-то удивительно неубедительной, а режиссеру - явно наоборот.
    cat_mucius: (Default)
    Накатал в технобложик о своих приключениях с load balancer'ом в FortiGate - авось другим бедолагам пригодится.

    Кроме того, вопрос назрел. Допустим, есть у нас куча файерволлов, между собой соединённых, каждый защищает свой участок сети. Допустим, один или несколько из них служат также VPN-гейтом - что позволяет в качестве источника указывать не IP-адреса и порты, а личности подключённых по VPN юзеров, или группы к которым те принадлежат (насколько я знаю, первой такой рецепт придумала израильская CheckPoint). Но вот что обидно - после VPN-гейта эта информация теряется. К IP-пакету информация, что за юзер его послал, не пришпандорена - и следующий файерволл, что будет его обрабатывать, уже не будет знать ни юзерскую личность, ни группы, ни nesting группы, а будет видеть лишь IP-адрес источника - адрес, выданный клиенту VPN-гейтом.

    Что ведёт к неприятному следствию - если мы хотим учитывать группы в правилах доступа (чего очень бы хотелось), то приходится либо:
    - Концентрировать все такие правила на VPN-гейте. Что просто не масштабируется и неудобно: надо, чтобы этот гейт знал все объекты в сети, к которым VPN-клиентам потребуется доступ. Во-первых, их может быть очень много, а во-вторых, это мешает нормальному распределению ответственности - вместо того, чтобы админ какого-то отдельного сегмента задавал правила на своём файерволле по своему разумению, он должен добиваться, чтобы их задал админ VPN-гейта. Хорошо, если это один и тот же чувак, а если разные?
    - Искать пути обхода - например, настроить гейт так, чтобы разным группам клиентов выдавались адреса из разных пулов. Тогда на дальнейших файерволлах можно эти пулы использовать как заменители групп. Что тоже не фонтан - не факт, что гейт такую возможность вообще поддерживает, да и опять таки излишняя зависимость между админами и неудобняк. А если группы между собой ещё и частично пересекаются?

    Хотелось бы иметь технологию, позволяющую разным файерволлам (в идеале - ещё и от разных производителей) распространять соседям информацию о подключённых VPN-клиентах, чтобы те могла строить свою политику о группах самостоятельно. Кто-нибудь знает о чём-то подобном? Вроде бы у Cisco есть что-то под названием TrustSec, но с их оборудованием мне работать как раз не доводилось. Интересно, есть ли такое у других вендоров? Какой-нибудь open-source проект?
    cat_mucius: (Default)
    Все пишут о выборах в Вест-Индии, и я тоже о своих впечатлениях от прошедшей кампании вякну. Не о результатах, а о процедуре.

    Я довольно долгое время считал, что Израилю сильно пошла бы на пользу президентская демократия. Когда очередная партия в три мандата начинает требовать себе бочку варенья и корзину печенья, а иначе она щас развалит коалицию - это порядочно бесит. Вечные необходимые межпартийные торги, "вы забейте на ваши предвыборные обещания - тогда уж и мы забьём на наши", - всё это делало в моих глазах куда более привлекательной систему, когда победивший президент назначает свою команду по своему усмотрению, в результате чего становится куда более свободен вести ту политику, которую на выборах и продавал, чем глава коалиции из пяти-шести разношёрстных партий, любая из которых может в любой момент выбить из-под него табуреточку.

    К тому же, президентская республика куда лучше отвечает идее разделения властей, чем парламентская.

    Но вот смотрю я, к чему система "winner takes it all" приводит на выборах в Штатах, и думаю: нафиг-нафиг, лучше уж так.
    Read more... )

    В общем, сказать честно: если бы я придерживался авторитарных воззрений, монархистских ли, фашистских ли, и меня пытались бы убедить в преимуществе демократии, приводя гонку Клинтон vs. Трамп как пример того, как народ полновластно и рационально назначает себе правительство - я бы ржал как конь.
    cat_mucius: (Default)
    А ведь используй Клинтон, её окружение и верхушка американской демпартии S/MIME или PGP с нормальной защитой ключей - и наверняка не было бы у них всех этих почтовых скандалов. Залезли бы фбрщики или злые хакеры на сервер - и нашли бы кучу мейлов с нечитаемым аттачментом smime.p7m. Всё.

    Сами виноваты, патамушта ослы. :-)

    Паки и паки повторяю - не пренебрегайте шифрованием.

    СПГС

    Oct. 15th, 2016 03:54 pm
    cat_mucius: (Default)
    Почитал споры вокруг дилановской нобелевки и вопрос возник: а какие вы, товарищи, знаете в роке, металле и смежных жанрах произведения с наиболее интересными / яркими / заслуживающими внимания текстами? И у Дилана лично, и у других?

    Потому как мне, как любителю рока, сплошь и рядом приходится мириться с тем, что очень нравящиеся в музыкальном плане песни содержат словесную невнятицу, и это малость надоело - Глубоких Смыслов хочется. :-)
    cat_mucius: (Default)
    (В продолжение этого поста, наверное).

    Впервые прочёл "Восточный экспресс" Агаты Кристи и по итогам малость поспорил с друзьями. Мой тезис был таков: чтобы удержать сюжет в рамках правил классического детектива (проницательный детектив вычисляет убийцу в замкнутой группе), автору то и дело приходится насиловать логику поведения персонажей в степени удивительной, если об этом подумать - что, впрочем, читателями массово не замечается именно в силу привычности этих правил.

    Вот возьмём, к примеру, этот самый "Экспресс". Кратенько напомню завязку:мелкий спойлер )
    cat_mucius: (Default)
    Любителям сериала "Homeland" тётя Вика сообщает:

    Декан Уильям Броди из Эдинбурга жил двойной жизнью как достойный член совета днем и грабитель ночью, и, в конце концов, был повешен на виселице его собственного изобретения в 1788 году. Образ жизни этого джентльмена вдохновил Р. Л. Стивенсона на написание «Доктора Джекилла и мистера Хайда».
    https://ru.wikipedia.org/wiki/Клан_Броди

    Profile

    cat_mucius: (Default)
    cat_mucius

    July 2017

    S M T W T F S
          1
    2345678
    9101112131415
    16171819 202122
    23242526272829
    3031     

    Syndicate

    RSS Atom

    Most Popular Tags

    Style Credit

    Expand Cut Tags

    No cut tags
    Page generated Jul. 27th, 2017 08:36 am
    Powered by Dreamwidth Studios