Истината за Интернет

[Avatara]

СИГУРНОСТ В "МРЕЖАТА"

(Високата ефективност на забравените решения)

Ако сте пътували с новите, нископлатформени трамваи в София неминуемо поне веднъж сте виждали видеоматериал, който обяснява на гражданите, какво е "безопасен internet" (моля да не се бърка с "безопасен sex").

Ако сте разработчик и по някаква причина ви се е налагало да ползвате SMTP, POP3, ISAPI или друг подобен протокол, няма как да не сте ругали любимите на всички "публични услуги", както и привързаността към https (по обясними причини ще се въздържа да коментирам буквата "s" в края). Естествено, че в този случай задължително сте се сблъскали с libeay32.dll и ssleay32.dll. Както би следвало (а и за да сме модерни) тези две изчадийца на кодерската мисъл са поредното недоразумение на това, което се нарича "отворен код" и чиято единствена цел е да ви накара сами да инсталирате това, което по никакъв начин не бихте направили, ако бяхте чували за стеганографски анализ и TEMPEST.

Като човек, който нееднократно си е патил от всякакви "доказани" твърдения, реших да проявя здрав разум и вместо да следвам утъпканите пътеки, да се заех проуча какво хората, работещи в реалната икономика, са написали по темата.

Както винаги, когато съм слушал гласът логиката и този път не сбърках.

Първото хубаво нещо, което открих се нарича Simple Key-Management for Internet Protocol (SKIP).

За незапознатите това е комуникационен протокол, разработен около 1995 година от IETF Security Working Group.  

Въпреки, че вече имах доста сериозни познания за това какво е Internet Key Exchange (IKE или IKEv2) и как точно функционира, както и защо се приема за наследник на Internet Security Association and Key Management Protocol (ISAKMP), останах очарован от възможностите, които SKIP предоставя на хора като мен.

Ако трябва да направя сравнение с масово използваните системи за шифроване на трафика, то бих могъл да кажа следното:

1. За разлика от тях SKIP е универсален* по своя характер.

2. SKIP шифрова IP-пакетите без да използва информация за това кой и как ги формира (в т.ч. приложения и процеси, което вече е нещо много сериозно).

3. Ако се имплементира непосредствено над пакетния драйвер, SKIP обработва целия трафик, без да налага никакво ограничения нито над използвания софтуер, нито над физическите канали.

4. SKIP не изисква никакъв допълнителен обмен на информация за да организира защитено взаимодействие.

5. SKIP е напълно независим от използваните системи за шифроване. Никакви допълнителни библиотеки. Никакви „безплатни” (но задължителни) модули с „отворен код” (нали в капана трябва да има примамка).

6. Потребителят е свободен да избира системата за шифроване.

7. За да защитите секретния ключ, използван за данните, съдържащи се в пакета, можете да прилагате различни алгоритми, без значение, каква е степента на тяхната криптоустойчивост.

За да разберете какви предимства предоставя SKIP ще си послужа със съвсем елементарен пример.

Пример:

Нека потребителят използва компютър, на който едновременно са активирани няколко приложения, които ползват internet и intranet ресурси. Ако това се случва в рамките на корпоративна мрежа, която се администрира от вас, вие ще бъдете в състояние да зададете различни алгоритми и нива на защита за всяко едно от приложенията.

Държа да подчертая, че тук не става дума за стандартен процес на защита, а за нещо много по-сериозно, което на практика би изключило възможността от механично прехвърляне на данни от страна на служителите и тяхното последващо използване, нещо, което към момента никой в света не може да ви гарантира.

Но това не е всичко. Поради спецификата на протокола SKIP не може да бъде атакуван по схемата "човек по средата". Основната причина за това е, че DH параметрите имат дългосрочен характер.

Пиша всичко това, защото напоследък често имам конфликти с привържениците на системи ползващи "отворен код" (който незнайно защо много държи да ме ограничава в избора, посредством предлагане на неработещи решения), които вместо аргументи ми привеждат емоционални декларации. Отвореният код (измислен в началото на 80-те години на миналия век в IBM) определено имат редица предимства, но те не са панацея. "Защитените" протоколи, съвременните методи за контрол на достъпа и пр. "високоефективни решения" - също.

Когато се работи с критична информация трябва да се има в предвид, че всяка грешка може да коства човешки живот, а това е недопустимо.

Съществува голяма разлика между "финансова" и "наказателна" отговорност и е крайно време това да бъде осъзнато.

Киберсигурността, е наука, която се подчинява на логика и прагматизъм. Прагматизмът предполага използване на ефективни и лесни за поддръжка решения.

По разбираеми причини ще се въздържа от коментарите относно генерирането на зависимости, които би следвало всячески да избягваме.

( Публикува се със съкращения )

* Не харесвам думата "хибриден", защото напоследък се употребява от лица, които нямат и най-малка представа какво точно означава.

[insighting]

Преди 1 час, Avatara said:

в този случай задължително сте се сблъскали с libeay32.dll и ssleay32.dll. Както би следвало (а и за да сме модерни) тези две изчадийца на кодерската мисъл са поредното недоразумение на това, което се нарича "отворен код"

Много благодаря! Наложи се да деинсталирам няколко програми.

[Avatara]

ИСТИНА, КОЯТО НЯМА ДА СЕ ХАРЕСА НА МНОЗИНА

(четиво за фанатични поддръжници на обречена кауза)

Днес ще се опитаме да погледнем под един друг ъгъл за толкова милия на сърцето ми Linux*.

Колкото и да не се харесва на мнозина истината е, че голям процент от успешните  MitM-атаки се дължат на уязвимост в дистрибутивите на Linux и недостатъци на т..н. "скриптови езици". Мисля, че няма истински специалист по кибернетична сигурност, който да не знае какво може да се случи с Apache Tomcat (CVE-2016-5388),  Apache HTTP Server (CVE-2016-5387),  както и неприятните изненади на Python (CVE-2016-1000110).

И за да не бъда голословен (а и за да избегна всякакви спорове) ще насоча вашето внимание към темата за уязвимостта наречена от VendHQ  HTTPOXY (моля да не се бърка с http и proxy, макар да става дума точно за това) подробно анализирана в следната статия: CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variables .

Според Доминик Шейрлинк (Dominic Scheirlinck), цитирам: "... Това е много сериозен проблем за всички, които и до днес използват CGI и PHP за създаване на динамични web-приложения.".

Според мен големият проблем е и си остава internet** и в частност HTTP и ще се опитам да защитя тази своя теза.

Както и в много други случаи така и тук уязвимостта е в т.н. "header", заглавната част служеща за оторизация. При предаване се получава дублиране на  променливата HTTP_PROXY, което позволява на злоумишлениците да пренасочва всички заявки, към контролиран от него proxy-сървър. За да разберете, доколко това може да бъде считано за "реална опасност" е достатъчно да споменем, че по този начин може да извършите криптоатака, срещу определени web-ресурси,  които съдържат параметри, имащи косвено или директно отношение към критична информация.

Според Кристофър Робинсън (Christopher Robinson), тази уязвимост засяга не повече от 3 000 сървъра, но все пак да не забравяме, че той е служител на Red Hat., а и няма как да защитава друга теза от позицията на мениджър, отговарящ за сигурността на продуктите. 

Ако обаче се върнем 15 (петнадесет) години назад няма как да не си спомним за откритата от Рандал Шварц (Randal L Schwartz), критична уязвимост в много от използваните в Linux библиотеки. От тогава и до днес периодично има сериозни пробиви в сигурността, които биват обяснявани с меко казано, абсурдни аргументи. Обичкновенно някой „експерт” ни успокоява и много убедително ни убеждава как, цитирам: „всичко може да се поправи с корекцията на два програмни реда”***.

За мнозина тази теза би била приемлива, но за мен е плашеща.

Нека само за миг допуснем, че някъде в финансовата сфера първият бит на едно 32 битово число бъде инвертиран от 1 в 0

1 000  0000  0000  0000  0000  0000  0000  0000 (яко, а)

Все пак аз говоря само за един бит, а не за два реда код, нали?

Забележка: За това какво и как може да предизвика неразумното използване на Java Script, ще пиша в друга тема. Не искам да бъда намразен от всички колеги, които обичат да говорят за това как трябва да се напише едно истинско, мобилно приложение, което обикновено наричат APP (Аман от Рискови Разработки, както се превежда по нашему).

 

* Причината е лична. Все още не мога да им простя за опита да бъда измамен за доста сериозна сума.ю

** Визирам internet, който се разви върху консумативно-дезинформационните устои на "иновативните" концепции.

*** Най-често използваната фраза от всички привърженици на Linux и скриптовите езици, когато им бъде посочен конкретен проблем. Обикновено проблемът не намира решение, но това е друга тема.

Редактирано Юли 28, 2016 от Avatara

[Avatara]

Да продължим с темата за това, че много неща няма да ви се харесат (то не че някой ще ви пита, но все пак от куроуазия - според тълковния речник: израз на внимание и зачитане на някого; любезност, добър тон).

Преди малко си позволих да прегледам повърхностно вярата в отворения код и доколко безопасно е да се ползва HTML та било това и HTML 5.

Тук ще си позволя да предоставя на вашето внимание няколко интересни материали за четене (не че ще ги прочетете, но нали трябва да се аргументираме, дори когато каузата ни е обречена на неуспех).

Като начало ще започнем с един пасаж, който ме изуми с наглостта си.

Корпоративният лобизъм не е нещо ново, но когато говорим за internet и за отворен код, последиците са страшни (виж Първи принцип на Герасимов за системите с отворен код).

Като начало да видим какво пише в W3C. Ето един много забавен пасаж:

https://www.w3.org/TR/2012/CR-battery-status-20120508/

След като се запознах детайлно с него се успокоих. Аз съм просто един лаик. Истинските кибертерористи са някъде другаде. 

Но нека продължим с така милите ми Mozilla Firefox и Google Chrom. 

Моля да ми позволите да направя малко, академично отклонение и с риск да ви бъда досаден, да насоча вашето внимание към един много интересен анализ,

http://eprint.iacr.org/2015/616.pdf

Ако дори след това все още вярвате в добрата фея и дядо Коледа, то ще се наложи да бъда малко по-груб.

http://randomwalker.info/publications/OpenWPM_1_million_site_tracking_measurement.pdf

Мдаааааа. Хубаво е човек да вярва в нещо и да си мисли, че някъде в киберпространствово има едни добри чичковци, които ни обичат. Още по добри от тях са "белите хакери" (може да са го прали с Ariel, но това е друга тема, които бдят (като във песен на Веско Маринов) над невинният потребител.

Всички те искат да направят живота ви много по-добър (е и да станат малко по-богато, но това се подразбира). Ето ви и пример с едно от благородните им начинания.

http://www.npr.org/2016/05/17/478266839/this-is-your-brain-on-uber

И ако сте се почувствали прецакани (да не употребявам друга дума), то време е да ви успокоя. Има и по-гадни неща (макар пак да са си същите).

https://www.wired.com/2015/02/powerspy-phone-tracking/

Личният ми съвет е да си купите възможно най-скъпия смартфон и да се отдадете на преследване на покемони. Естествено е, че ще си го купите на лизинг и ще плащате за трафика, но така ще подпомогнете световната икономика, която както знаем всички е в перманентна криза.

Бъдете щастливи и вярвайте в светлото бъдеще/ То е малката, черна точка в далечината, която виждате.

 

 

 

 

 

[Avatara]

ВАЖНО!

Ако наистина проявявате интерес към темата с това, какво може да се извлече от internet (в т.ч. и от т.н. "Dark Net") горещо ви препоръчвам да посетите сайта на Embarkadero и да изтеглите RX 10.1 Berlin Start edition. Продуктът е напълно безплатен и е с доста ограничения, но това не е проблем за примерите, които предстои да разгледаме. 

 

[FastQ]

"Личният ми съвет е да си купите възможно най-скъпия смартфон и да се отдадете на преследване на покемони. Естествено е, че ще си го купите на лизинг и ще плащате за трафика, но така ще подпомогнете световната икономика, която както знаем всички е в перманентна криза. "

Следенето на мобилни телелфони е възможно без да е необходимо да е смартфон. Даже и обикновените телефони дават достатъчно информация за собственика си. И тази информация "в подходящи" ръце може да струва много пари

[Avatara]

ЗАЩО НЕ БИВА ДА ИМАМЕ ДОВЕРИЕ НА ИНФОРМАЦИЯТА В INTERNER

Какво пише в internet*:

(един от многото примери на конкретен въпрос)

select cast(list(trim(RDB$FIELD_NAME)) as varchar(10000))
      from RDB$RELATION_FIELDS 
      where RDB$RELATION_NAME = 'YOUR_TABLE' 
         and RDB$FIELD_NAME not in ('ID') -- include other fields to NOT copy
   into :FIELD_NAMES;

   NEW_ID = next value for YOUR_TABLE_ID_GENERATOR;

   execute statement '
      insert into YOUR_TABLE (ID,' || FIELD_NAMES || ')
      select ' || cast(:NEW_ID as varchar(20)) || ',' ||
         FIELD_NAMES || '
         from YOUR_TABLE
         where ID = ' || cast(:ID_OF_RECORD_TO_COPY as varchar(20));

* Определено изглежда впечатляващо, нали?

А сега как това се прави в реалния живот:

(решаване на поставения въпрос, по възможно най-елементарния начин )

CountUpdateRecords:= FALSE;

EnableUpdate:= TRUE;

в slave таблицата/таблиците и получавате 7-12 пъти по добра производителност и 4 пъти по-висока надеждност.

Няма да споменавам колко време ще спестите. Между впрочем това е много малка част от примерите, с които може да се докаже ползата от четенето на специализирани печатни издания пред търсенето в Google. 

 

 

[Joro-01]

On 11.01.2017 г. at 21:12, FastQ said:

Следенето на мобилни телелфони е възможно без да е необходимо да е смартфон. Даже и обикновените телефони дават достатъчно информация за собственика си. И тази информация "в подходящи" ръце може да струва много пари

Естествено, така работи мрежата. Не е възможно да бъде иначе.