cat_mucius: (Default)
Приснилась штука под названием "пыль Барра": это такие металлические разноцветные опилки, которые используются, чтобы рисовать овсом - их наносят на намагниченную белую поверхность, служащую холстом. Видел пару пародийных портретов в такой манере. Проснувшись, отправился гуглить, но увы. Не знаю, создавал ли кто что-нибудь таким способом, но термина такого нет.

Да, чтоб два раза не вставать - если кто видел фильм "The Gift", то как вам концовка? Мне она кажется какой-то удивительно неубедительной, а режиссеру - явно наоборот.
cat_mucius: (Default)
Накатал в технобложик о своих приключениях с load balancer'ом в FortiGate - авось другим бедолагам пригодится.

Кроме того, вопрос назрел. Допустим, есть у нас куча файерволлов, между собой соединённых, каждый защищает свой участок сети. Допустим, один или несколько из них служат также VPN-гейтом - что позволяет в качестве источника указывать не IP-адреса и порты, а личности подключённых по VPN юзеров, или группы к которым те принадлежат (насколько я знаю, первой такой рецепт придумала израильская CheckPoint). Но вот что обидно - после VPN-гейта эта информация теряется. К IP-пакету информация, что за юзер его послал, не пришпандорена - и следующий файерволл, что будет его обрабатывать, уже не будет знать ни юзерскую личность, ни группы, ни nesting группы, а будет видеть лишь IP-адрес источника - адрес, выданный клиенту VPN-гейтом.

Что ведёт к неприятному следствию - если мы хотим учитывать группы в правилах доступа (чего очень бы хотелось), то приходится либо:
- Концентрировать все такие правила на VPN-гейте. Что просто не масштабируется и неудобно: надо, чтобы этот гейт знал все объекты в сети, к которым VPN-клиентам потребуется доступ. Во-первых, их может быть очень много, а во-вторых, это мешает нормальному распределению ответственности - вместо того, чтобы админ какого-то отдельного сегмента задавал правила на своём файерволле по своему разумению, он должен добиваться, чтобы их задал админ VPN-гейта. Хорошо, если это один и тот же чувак, а если разные?
- Искать пути обхода - например, настроить гейт так, чтобы разным группам клиентов выдавались адреса из разных пулов. Тогда на дальнейших файерволлах можно эти пулы использовать как заменители групп. Что тоже не фонтан - не факт, что гейт такую возможность вообще поддерживает, да и опять таки излишняя зависимость между админами и неудобняк. А если группы между собой ещё и частично пересекаются?

Хотелось бы иметь технологию, позволяющую разным файерволлам (в идеале - ещё и от разных производителей) распространять соседям информацию о подключённых VPN-клиентах, чтобы те могла строить свою политику о группах самостоятельно. Кто-нибудь знает о чём-то подобном? Вроде бы у Cisco есть что-то под названием TrustSec, но с их оборудованием мне работать как раз не доводилось. Интересно, есть ли такое у других вендоров? Какой-нибудь open-source проект?
cat_mucius: (Default)
Все пишут о выборах в Вест-Индии, и я тоже о своих впечатлениях от прошедшей кампании вякну. Не о результатах, а о процедуре.

Я довольно долгое время считал, что Израилю сильно пошла бы на пользу президентская демократия. Когда очередная партия в три мандата начинает требовать себе бочку варенья и корзину печенья, а иначе она щас развалит коалицию - это порядочно бесит. Вечные необходимые межпартийные торги, "вы забейте на ваши предвыборные обещания - тогда уж и мы забьём на наши", - всё это делало в моих глазах куда более привлекательной систему, когда победивший президент назначает свою команду по своему усмотрению, в результате чего становится куда более свободен вести ту политику, которую на выборах и продавал, чем глава коалиции из пяти-шести разношёрстных партий, любая из которых может в любой момент выбить из-под него табуреточку.

К тому же, президентская республика куда лучше отвечает идее разделения властей, чем парламентская.

Но вот смотрю я, к чему система "winner takes it all" приводит на выборах в Штатах, и думаю: нафиг-нафиг, лучше уж так.
Read more... )

В общем, сказать честно: если бы я придерживался авторитарных воззрений, монархистских ли, фашистских ли, и меня пытались бы убедить в преимуществе демократии, приводя гонку Клинтон vs. Трамп как пример того, как народ полновластно и рационально назначает себе правительство - я бы ржал как конь.
cat_mucius: (Default)
А ведь используй Клинтон, её окружение и верхушка американской демпартии S/MIME или PGP с нормальной защитой ключей - и наверняка не было бы у них всех этих почтовых скандалов. Залезли бы фбрщики или злые хакеры на сервер - и нашли бы кучу мейлов с нечитаемым аттачментом smime.p7m. Всё.

Сами виноваты, патамушта ослы. :-)

Паки и паки повторяю - не пренебрегайте шифрованием.

СПГС

Oct. 15th, 2016 03:54 pm
cat_mucius: (Default)
Почитал споры вокруг дилановской нобелевки и вопрос возник: а какие вы, товарищи, знаете в роке, металле и смежных жанрах произведения с наиболее интересными / яркими / заслуживающими внимания текстами? И у Дилана лично, и у других?

Потому как мне, как любителю рока, сплошь и рядом приходится мириться с тем, что очень нравящиеся в музыкальном плане песни содержат словесную невнятицу, и это малость надоело - Глубоких Смыслов хочется. :-)
cat_mucius: (Default)
(В продолжение этого поста, наверное).

Впервые прочёл "Восточный экспресс" Агаты Кристи и по итогам малость поспорил с друзьями. Мой тезис был таков: чтобы удержать сюжет в рамках правил классического детектива (проницательный детектив вычисляет убийцу в замкнутой группе), автору то и дело приходится насиловать логику поведения персонажей в степени удивительной, если об этом подумать - что, впрочем, читателями массово не замечается именно в силу привычности этих правил.

Вот возьмём, к примеру, этот самый "Экспресс". Кратенько напомню завязку:мелкий спойлер )
cat_mucius: (Default)
Любителям сериала "Homeland" тётя Вика сообщает:

Декан Уильям Броди из Эдинбурга жил двойной жизнью как достойный член совета днем и грабитель ночью, и, в конце концов, был повешен на виселице его собственного изобретения в 1788 году. Образ жизни этого джентльмена вдохновил Р. Л. Стивенсона на написание «Доктора Джекилла и мистера Хайда».
https://ru.wikipedia.org/wiki/Клан_Броди
cat_mucius: (Default)
Товарищи украиноязычные, а можете помочь? Привезли друзья песенку симпатичную каких-то ребят из Львова, но слов найти не выходит, а на слух я разобрал лишь одно (но зато важное, общеславянское) - "мяу".

Green Silence - Коти на стрісі (скачать)

О чём она в целом, и что за речь, отрывок из которой звучит в конце?
И кстати (это уже вопрос, конечно, к носителям не только украинского языка, но и любых ушей), как бы вы классифицировали жанр ?

P.S. То, что звучит после 3:39 мне очень напомнило рефрен из одной известной вещи. Это не в плане плагиата, совсем нет, просто напомнило. Кто-то хочет угадать? :-)
cat_mucius: (Default)
To whom it may concern: Удел Могултая, который был недоступен в последнее время, сменил хостинг и снова в строю, включая форум. Заходите, пользуйтесь. Если что не работает - скажите мне.
cat_mucius: (Default)
Мир стал бы немножечко уютней, если бы желающие соорудить очередной VPN-клиент (а говоря шире - любую шнягу для аутентификации, включая вебные) изначально поддерживали бы протокол EAP. Его великое преимущество в том, что проверку любых credentials и решение о допуске можно взять и переложить с VPN-гейта (вебсервера, терминал-сервера, чего угодно) на широкие плечи RADIUS - причём гейт/сервер нисколько не волновало бы, что из себя представляют эти credentials - будь то пароли, сертификаты, infocards, SAML tokens или ещё какая хрень.

Но увы.
cat_mucius: (Default)
Завёл себе технобложик, буду там постить всякие сисадминские штучки - и у самого под лапой будут, и авось кому ещё пригодятся.

Вот, например, о том как постить список отозванных сертификатов (CRL) на внешнем бесплатном хостинге.
cat_mucius: (Default)
Просто мысля, чтоб не потерялась:

Сегодня подавляющее количество траффика из типичной внутренней сети в Интернет выходит по шифрованному HTTPS. Современный файерволл предоставляет две опции для его обработки:
- либо отказаться от инспекции, разве что попытавшись проверить destination IP против заранее заданного списка (скажем, на файерволле заранее указано, какие адреса соответствуют *.windowsupdate.com),
- либо устраивать SSL inspection, то есть "узаконенный" man-in-the-middle attack: подсовывать юзеру фальшивый сертификат, расшифровывать и проверять траффик.

Обе опции проблематичны: первая - потому что поток данных полностью непрозрачен, плюс адреса служб имеют обыкновение меняться, а значит, внезапно будет накрываться связь. Вторая несёт в себе этические проблемы - если юзер заходит на сайт своего банка или больничной кассы, а сисадмин устраивает ему MitM, имея возможность совать нос в его данные - хорошо ли это, товарищи? Кроме того, вероятно, куча небраузерных программ, типа Дропбокса, перестанут работать, получив от файерволла левый сертификат.

Возможна третья опция - неидеальная, но предоставляющая какой-то компромисс. Файерволл может проактивно тестировать заранее заданные HTTPS-сервисы, подключаясь на них самостоятельно. Это позволит задавать в правила, наряду с стандартными "source & destination IP, source & destination port" также: Subject сертификата, имя выдавшего его CA, его уровень (DV/OV/EV), валидность по времени, длину ключа и так далее. Если файерволл подключился к сервису и получил сертификат, отличающийся от ожидаемого - соединения из внутренней сети туды не допускаются и конец делу.

(Можно, конечно, не открывать соединение, а просто пассивно инспектировать сертификаты, посланные сервером - но это не даст файерволлу криптографического подтверждения, что сервер и впрямь обладает законным ключом).

Как вариант, тестирование может проводить не сам файерволл, а служба егойного производителя, от которой файерволл будет получать регулярные апдейты (см., например, FortiCloud).

Кроме того, файерволл может проверять поле SNI в пакетах "Client Hello" исходящих SSL-соединений, чтобы убедиться, что клиенты пытаются подключиться к законному и проверенному сервису.

Таким образом, и клиентская приватность сохраняется, и сисадмину больше уверенности, что траффик наружу легальный ходит (а не какой пакостный бот изнутри на свой C&C коннектится).
К тому же, юзер уберегается от MitM-атак снаружи - он, допустим, не заметит, если mail.google.com внезапно предоставит сертификат от какого-нибудь странного ГУЦ, зато файерволл - таки да.

Интересно, изобретён ли уже этот велосипед?
cat_mucius: (Default)
Забавно - вот я большой любитель всяких протоколов federated identity и прочей продвинутой аутентификации: SAML, oAuth, всё такое. Но вот уже в двух проектах приходится ловить людей за хвост и орать: опоментайтесь, панове! Вот вы хотите, чтоб на ваш сайт люди заходили через свой Google account - да, это очень удобно. Но подумали ли вы, что это значит, что доступ к данным ваших юзеров будет полностью в руках у Гугла? А подумали ли вы, что какой-нибудь ихний работник может залогиниться к вам под аккаунтом любого юзера по своему выбору, никаких паролей не зная вообще? А вы взвесили, позволяет ли природа этих данных вам брать такой риск, пусть даже и маленький? А этично ли это по отношению к юзерам, которые решили доверять вам, но вовсе не Гуглу?

И ведь люди-то не какие-то ламера, ещё нетвёрдо уверенные, чем Word от Firefox отличается - нифига, веб-разработчики, проджект-менеджеры и секъюрити-специалисты.

Вообще, ощущение такое, что удобство многочисленных облачных сервисов здорово развратило народ. Лет так десять назад предложение Микрософта "а давайте мы будем пароли от ваших персоналочек у себя держать" вызвало бы немедленный вопль негодования и ждала бы эту инициативу бесславная судьба проекта Clipper. А теперь - пожалуйста, куча народа логинится в Windows через Microsoft account, и никаких криков по этому поводу не слышно.

Или вот, пожалуйста - успешный бизнес, на 99% построенный на идее "а давайте мы будем контролировать доступ к вашим устройствам, от персоналки с виндой и до VPN-гейта". Этап первый - давайте выкачаем всю вашу Active Directory со всеми юзерами и паролями... Как на такое можно соглашаться - для меня загадка, но вот ведь.

Масса компаний размещает сервера в облаках Амазона, Гугла, Микрософта и провайдеров поменьше, совершенно не задаваясь вопросом, а так ли они уж доверяют этим конторам и их работникам, что те, дескать, ни в коем случае своими возможностями не злоупотребят и в чужие данные нос не сунут. Хотя знать это неоткуда, а любому человеку с доступом к гипервизору создать снэпшот чужой машинки и разбирать его оффлайн в своё удовольствие - как нефиг делать. Подозреваю, что дело именно в автоматизации получения облачных ресурсов - она позволяет поддерживать иллюзию, что "на той стороне" всем управляют добрые роботы, а человеческая воля давно уже сведена к нулю. Если бы для открытия аккаунта в облаке понадобилось бы хоть минутку поговорить с кем-то живым по телефону - сдаётся мне, уровень беспечности упал бы на порядок.

Вангую, что в недалёком будущем мы станем свидетелями не одной утечки и взлома с участием персонала таких вот провайдеров всевозможных "... as a service". Потому что если чем-то можно злоупотребить - этим злоупотребят.
cat_mucius: (Default)
Нашёл недавно довольно интересную штуку:
Положим, у нас есть сайт, использующий "Windows Integrated Authentication" - то есть Kerberos или NTLM. И допустим, что юзер, пытающийся на него зайти - относится к другому, недоверяемому домену, или же он локальный юзер на доменном компе, а то и вовсе на стэнд-элоне. Так или иначе, попытка автоматического, прозрачного для юзера логина проваливается. Что произойдёт?

Ответ: зависит от браузера. Firefox просто выдаст сообщение об ошибке. А вот Chrome или IE поступят по другому - выкинут стандартное окошко username & password. А самое интересное, что если username указать в полной форме - к примеру, me@mydomain.com, - то они пошлют запросы DNS-серверу на две записи SRV, стремясь обнаружить керберосовский центр раздачи ключей (KDC) для указанного домена:
  • _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.mydomain.com
  • _kerberos._tcp.dc._msdcs.mydomain.com

  • и получив ответ, попытаются запросить по его адресу керберосовский билетик для сайта. Каковой затем и предъявят сайту как доказательство юзерской личности.

    (Update: обнаружил, что и клиент Remote Desktop в Win7 тоже так умеет.)

    Почему это так интересно? А потому, что означает, вопреки популярному убеждению, что Kerberos можно использовать в Интернете - а не только в корпоративных сеточках.
    Read more... )
    cat_mucius: (Default)
    -- Кто это "они"? - допытывался Клевинджер. - Кто именно, по-твоему, хочет тебя убить?
    -- Все они.
    -- Кто?
    -- А ты как думаешь, кто?
    -- Понятия не имею.
    -- А почему же ты тогда заявляешь, что они не хотят меня убить?
    -- Потому что... - брызжа слюной, начал Клевинджер, но осекся и умолк с выражением полного отчаяния.
    Клевинджер искренне считал себя правым, но Йоссариан - тоже, так как у него были доказательства: совершенно незнакомые люди палили в него из пушек каждый раз, когда он поднимался в воздух, чтобы сбросить на них бомбы.
    Джозеф Хеллер, "Catch-22"
    .


    Это офигительно, клянусь усами: CNN перечисляют пять причин (частью неубедительных, а частью просто бредовых), почему целью последней террористической атаки был выбран именно Брюссель - и при этом ухитряются ни буквой не упомянуть тот факт, что Бельгия - участник анти-ИГИЛовской коалиции. Сама ИГИЛ, разумеется, именно это и называет причиной, нисколько не скрываясь.

    Я об этом упоминаю потому, что вижу тут не курьёз, а тенденцию. Когда я читал статьи и обсуждения о парижских ноябрьских терактах, в глаза как-то бросилось, что практически никто из писавших не связал атаку с тем простым фактом, что за два месяца до того французская авиация начала бомбардировки позиций ИГИЛ в Ираке, а через месяц - и в Сирии. Впрочем, подавляющее число участников обсуждений и вовсе не задавалось вопросом "почему Париж?" - ну понятно, исламисты ведь ненавидят нашу славную западную цивилизацию и всё такое. Исламисты же причину выбора цели не скрывали и в этом случае.

    Вообще, у меня складывается (надеюсь, обманчивое) впечатление, что несмотря на огромное количество материалов и кинопродукции, выходящей на Западе об исламских террористах, вопрос "а чего же они пытаются реально добиться?" как-то заметается под диван - точнее, за непосредственные цели джихадистов выдаются их цели очень далёкие и глобальные, если не вовсе эсхатологические мечтания (торжество Ислама над всем миром). Между тем, прямые цели от пусть и несомненно желаемого мирового владычества могут отличаться очень существенно. Например, исследователь терроризма Robert Pape пишет, что в мотивации террористов-самоубийц нарратив изгнания захватчиков со своей земли играет куда более важную роль, чем религиозные представления: в случае Аль-Каиды времён бин Ладена роль этих захватчиков играли американские войска на Аравийском полуострове. (Кстати, выводы этого чувака рвут далеко не только этот шаблон).

    В результате граждане массово не улавливают связи между тем, что их доблестная авиация бомбит каких-то там кровожадных уродов где-то фар-фар-эвэй, и тем, что эти уроды их, мирных граждан, взрывают у них дома. Для западных правительств такое положение дел несомненно удобно тем, что не вводит граждан во искушение поддаться требованиям джихадистов: прекратить интервенцию, вывести войска из Саудовской Аравии и так далее. Ведь искушения вступать в переговоры с желающими завернуть весь мир в бурку заведомо не будет.
    cat_mucius: (Default)
    Неожиданное продолжение этой темы - принят новый российский закон (ФЗ-445), обязывающий все фирмы, выпускающие свои цифровые сертификаты (Сertificate Authorities, Удостоверяющие Центры) не использовать в качестве корневого самоподписанный сертификат, а получить его от государства, за подписью от некоего Государственного Удостоверяющего Центра. Что означает, что отправной точкой, от которой выстраивается цепочка доверия той или иной цифровой подписи, становится не сертификат определённой фирмы (какого-то российского аналога Verisign), а этого самого ГУЦ.

    В статье на Хабре в качестве обоснования этого шага приводится забота о юзере - ему, дескать, не надо решать вопрос доверия каждому из CA - добавил государственный корневой сертификат в список доверяемых и вся недолга. У меня такой подход вызывает сомнение: система PKI тем и хороша, что позволяет определять меру доверия разным CA (и соответственно, выданным ими сертификатам) независимо друг от друга, и в случае чего вовсе это доверие отменить (что чуть не произошло с фирмами TrustWave и TeliaSonera, и произошло с DigiNotar). Доверие единому корню же навязывает логику "всё или ничего" (ну и к тому же, сам факт государственной регуляции в области, где это совершенно не требуется...)

    На это можно возразить, что такое построение не мешает конечным юзерам (или сисадминам в корпоративной сети) выстраивать цепочки доверия по своему усмотрению: занести сертификат ГУЦ или проштрафившегося частного CA в список недоверяемых, или наоборот, указать сертификат CA в качестве корневого, хоть он и не самоподписан.

    Но вот что у меня сомнения не вызывает, так это то, что такая система позволяет государству подделать сертификат от любого CA из заверенных им, способом, куда более сложнообнаружимым, чем при нынешнем положении дел. Как я писал ранее, сегодня государство может заставить какой-нибудь из CA, действующий под его властью, выдать поддельный сертификат под любой сайт, почтовый адрес и т.д., который будет принят браузером или мэйлером без возражений - но проверка такого сертификата может обнаружить, что его CA внезапно изменился. Странно будет, если вдруг окажется, что сайт https://mail.google.com заверен израильской фирмой StartCom, а не американским GeoTrust, не так ли? По ссылке описан плагин CertLock, который именно это и проверял.

    Но если государство само заверяет множество CA, то ему и заставлять их не надо: имея доступ к корневому ключу, элементарно сгенерировать сколь угодно длинную цепочку, на выходе которой будет сертификат, выглядящий как выданный законным CA, с точно такими же полями Issuer, Subject и так далее по всей длине цепочки. Единственное, что нельзя будет подделать, это собственно цифровые подписи на сертификатах (а следовательно, и байты публичных ключей, которыми их проверяют) - поскольку для них нужен доступ к приватным ключам CA. Но радости в этом немного, поскольку: a.) для обнаружения подделки нужно уже иметь сохраненную цепочку - если данный сайт запрашивается впервые, то сравнивать не с чем; б.) пары ключей могут изменяться и по легитимным причинам.

    Если через какое-то время после выполнения этого распоряжения выйдет следующее, обязавающее владельцев российских сайтов получать сертификаты непременно от российских CA - всякое сомнение в том, что перехват и являлся целью этого закона, у меня отпадёт.

    Что я могу посоветовать тем, кто имеет основания опасаться интереса к своему траффику со стороны российских спецслужб: если в списке "Trusted Root Certification Authorities" засветился какой-нибудь ГУЦ - переправить его в "Untrusted Certificates". Если опасения сильные, можно туда отправить и все прочие российские CA.
    cat_mucius: (Default)
    Дорогие женщины!

    Позвольте мне в честь светлого праздника 8 марта порадовать вас этой чудесной песней о любви.
    cat_mucius: (Default)
    Последние достижения израильской демократии:
  • http://main.knesset.gov.il/News/PressReleases/Pages/press080216-9i.aspx
  • http://txt.newsru.co.il/israel/08feb2016/ethique_0014.html
  • http://txt.newsru.co.il/israel/04feb2016/netanyahu_009.html

    Это что-то новенькое: чтобы в вину ставилась уже не поддержка терроризма и террористов, а семей террористов. Лихо. Может, пора уже и понятия ЧСИР / ЧСВР в обиход вводить?

    Медленно, но верно съезжаем в массовую истерию.


    P.S. Но есть и хорошие новости:
    Лидер партии "Авода" также заявил, что при составлении этого плана были извлечены уроки из того, как "Ликуд" провел размежевание в секторе Газы. "ЦАХАЛ останется на всех территориях и с места не сдвинется", – заявил Ицхак Герцог.
    Нуславатебегосподидошло.
  • cat_mucius: (Default)
    Скажите мне, товарищи. Видел ли кто из вас какое-то рациональное объяснение, какую пользу должно принести Украине или её сторонникам обесточивание Крыма, кроме очевидного злорадного "ну вот пускай теперь попляшут"?

    Единственное что-то напоминающее рацио, что мне удалось найти, было "таким образом проблема оккупации Крыма удерживается в центре внимания". Блестящая идея, должен сказать: привлечь внимание, демонстративно нарушив главное табу современности в ведении конфликтов - не наносить намеренного вреда населению.
    cat_mucius: (Default)
    Полларда освободили!

    Обложив целым рядом кретинских ограничений, но тем не менее. Ура.

    По этому поводу можно и единственный подзамочный постик из-под замка вынуть. Был я ну очень оптимистичен, конечно...
    Page generated Sep. 26th, 2017 06:03 pm
    Powered by Dreamwidth Studios