HOST.BG - със собствено виждане за сигурен трансфер

Има компании, които явно искат да изпъкнат. Тази, за която ще ви разкажа, определено изпъкна пред мен така, че никога няма да им поверя моят хостинг, дори да не ми искат, а да ми дават пари за целта.

Наскоро се наложи да управлявам хостинг решение на мои познати, което се намира на сървърите на фирма HOST.BG. След като разгледах шаренията по сайта им и суперлативите, изписани по него, пристъпих към администриране през т.нар. "административен панел", който се намира на адрес http://admin.host.bg. Запомнете този адрес. След малко ще се върнем на него.

На посоченият адрес на стои един лесен за управление панел, който има следния вид:

Долу в дясно ясно личи, че трансфера на данните на администратора (потребителско име и парола), може да се извършва чрез сигурен метод на трансфер. Дотук нищо лошо. Като всеки внимателен потребител, аз решавам да използвам именно него за да осигуря защитен трансфер на данните. След като избрах "сигурен" ме очакваше доста неприятна изненада"

Сертификатът, който трябваше да пази моите данни имаше (на пръв поглед) цели два дефекта. Първо, той не удовлетворяваше името на хоста, който предоставя административния панел. Хоста, който предоставя административния панел е admin.host.bg, а хоста, за когото този сертификат е издаден е www.hostbgproject.com. Това е доста груба грешка. В този му вид сертификата не удостоверява хоста, който трябва да удостовери (admin.host.bg). Но това не е всичко. Оказва се, че сертификатът е с изтекъл срок на валидност:

Днес сме 28 февруари 2005 година. Срокът на валидност на този сертификат е изтекъл на 20 октомври 2004 година. През това време никой не си е направил труда да го поднови. А и защо ли ще си прави този труд, след като сертификата е издаден от "Snake Oil CA". Само една вметка за незапознатите. Сертификат издаден от "Snake Oil CA" е за цели, които не надхвърлят теста. Няма удостоверител на сертификати с такова име.

Интересни заключения си правя от това за качеството на услугите и нивото на специалистите на фирма HOST.BG. Подобно изхрачване в лицето на потребителя и пълно безхаберие за сигурността на пренасяните данни скоро не бях виждал.

http://mail.dir.bg - опасно фоново превключване в SSL режим

След като видях страшните постановки покрай поканата от страна на "Бизнес Дата ООД" да си подарим частните ключове към X.509 сертификатите на техния сървър за хостинг, се натъкнах на една много неприятна схема по удостоверяването на потребителите им на услугата "Поща+".

Материята е малко тънка и за това не е задължително да разберете това, което ще напиша по-долу. Всеки, който се интересува от проблемите на SSL ще разбере какво имам предвид.

Прозорецът за въвеждане на потребителското име и парола за услугата "Поща+", се достъпва през протокол HTTP (избирате адрес http://mail.dir.bg). След като данните на потребителя (потребителско име и парола) бъдат въведени и бъде избран режим на криптирана връзка, протокола се сменя от HTTP към HTTPS при влизане в кутията. При това протича следния процес. Данните са вече въведени в съответните текстови полета. Клиентът преминава в HTTPS и след това данните се изпращат към сървъра, следва удостоверяване и се влиза кутията.

Дотук всичко изглежда перфектно. Първо се преминава към протокол HTTPS и чак тогава данните се изпращат за проверка. В тази схема обаче има един сериозен пропуск и той е невъзможността за проверка на сертификата на сървъра от страна на клиента (под клиент се разбира лицето, което използва услугата). Какво точно имам предвид. Представете си, че в хранилището ви за сертификати на удостоверители в браузъра ви, има "подхвърлен" сертификат - такъв, който вие сте инсталирали, но не знаете на кого принадлежи или знаете, но не знаете нищо за този удостоверител (например посетили сте страница за изпращане на SMS-и, която изисква инсталиране на сертификата за използване на функционалността й). Ако някой иска да реализира IP измама за сървъра mail.dir.bg, той би направил следното. Би подхвърлил удостоверителски сертификат (виж посочения пример със страницата за SMS-и) и после би издал сертификат на името на mail.dir.bg. Остава само да извърши IP измамата и за потребителя, който е инсталирал сертификата, няма никаква индикация, че е налице IP измама. Правейки това, той е улеснен от факта, че преминаването от HTTP към HTTPS става на фон без контрол от страна на потребителя и така последния може да провери сертификата чак след като потребителските данни вече за изпратени на сървъра.

Това е една много добра основа за IP и сертификатна измама (две в едно).

Всеки би попитал "а тогава кой е правилния начин". Правилния начин е следния. Влиза се в HTTPS още преди да са въведени данните за потребителя. Така потребителя може да провери кой е издателя на сертификата и чак след това да попълни данните си.

Един пример за правилна направа: http://mail.yahoo.com. Тук, след като изберете "Secure", се преминава към нова страница за въвеждане на данните, която е през HTTPS. Така имате възможност да проверите сертификата на удостоверителя.

Връх на наглостта и малоумието от страна на църквата

Бях потресен, изумен и тотално отвратен от "благодарността" на един полски свещенник, който някои наричат "папа", към бога му, че последния е създал Интернет. Вместо управляваната от този свещенник църква, да поиска извинение от всички хора, че е забавила развитието на човечеството с векове и да се саморазпусне и да престане да промива мозъците на хората с глупости, тя продължава похода срещу мисълта.

***

Господин папа или какъвто сте там. Дължите извинение на всички математици, физици и инженери, който са дали част от своя живот за да разработят Глобалната мрежа - Интернет. Дължите им и дълбок поклон за това, че са предоставили на всички хора своето творчество и научен потенциал, който за жалост ползва и вашата жалка църква. Дължите дълбоко извинение на всички специалисти, които в момента управляват инфраструктурата на Интернет, усъвършенстват протоколите и създават нови. Вашето изкаване е вулгарна подигравка с труда на хиляди хора и жестоко несъобразяване с реалността, което е равностойно на фанатизъм. Не се учудвам, че на англичаните им е писнало от вашата църквица и са ви изклали кардиналите и са ви турили една здрава майна за да могат да си направят индустриалната революция и да се развият. Питам се, за всяка стъпка на прогреса ли трябва да постълваме по английски?

***

Странна работа. Хората сякаш обичат да бъдат тъпи. Харесва им друг да им казва какво е истина и какво не. Безкрайно си падат по това да възприемат чужда гледна точка за света. Може би защото така е най-лесно - не се влага мисъл и няма никакво усилие.

Не бързайте да казвате колко различна била православната църква и как тя била по-светска и отворена. Братската сръбска православна църква с нейното силно лоби в държавата преди време изхвърли теорията за еволюционното развитие на Дарвин (при условие, че тя е напълно доказана, обоснована и обобщаваща наблюдения върху природните процеси) от учебния план в сръбските училища. Полюбувайте се на малоумието на православната църква тук: http://news.bg/article.php?cid=31&pid=0&aid=146429

Аз лично не ходя на църква. Не искам да се чувсвам овца и помощник в операцията по промиването на мозъци. Пикая ви и на християнските ценности, които от високопарни фрази се свеждат до бира, кебапчета, кьочеци по масите и лицемерие. Направо ми кипва като видя как се заделят пари за строеж на нови църкви и храмове, а училищата бедстват и по улиците има гладни и просещи деца. Т.нар. християнски свят се е оял и затънал в лицемерие, егоизъм и тъпотия. Големи ценности има.. няма начин.

Как Dir.BG крадат персонални сертификати

Може да се учудите, но фирмата, която има за цел да предлага платени и сигурни хостинг услуги "Бизнес Дата ООД" (собственика на портала Dir.BG), така се е оляла в предлагането на услуги, че е решила да ви поиска персоналния ви X.509 сертификат заедно с ключа. Разбира се, пътят към ада е осеян с добри намерения. Вие трябва да качите върху сървъра електронния си X.509 сертификат и придружаващия го ключ (намиращи се в PKCS#12 формат във въпросния PFX файл), за да можете да изпращате електронно подписани писма.

Ето каква красива форма за целта е предоставена на абонатите на услугата им "Поща+" за да си предадат електронната самоличност:

В нея трябва да качите върху сървърите на "Бизнес Дата ООД", файла с персоналния си X.509 сертификат и да въведете паролата за отключването на частния ключ към него. След като направите това, частния ви ключ отива на сървъра. Какво става там с него вие не виждате. Това е един вид на крадене на самоличност и е в нарушение на Закона за електронния подпис. И не можа да има оправдание "ние не знаехме и не искаме да крадем сертификати". Достатъчно е утре аз да отида, да спечеля конкурс за администратори в тази фирма и знаейки за проблема, да го експлоатирам.

Забележете, че така при добро желание "Бизнес Дата ООД" може да стане собственик на електронната ви самоличност. Това е не само скандално, това е престъпно и мисля, че в тази страна все пак трябва да има компетентни органи, които да обърнат внимание на човеколюбивата фирма, да престане да създава условия за крадене на електронната самоличност на потребителите си.

HomeLan: "К'во е това IANA?"

Че хората не обичат да четат и учат е ясно. Че не обичат да правят решенията какато трябва е също ясно. Но още не ми е съвсем ясно как субект, който си е сложил емблемата LIR и има призванието да е интернет-регистър, прави неща, които са в разрез с адресната регулация в Интернет.

Ето какво страшно нещо видях при извършване на traceroute:

$ traceroute 195.149.252.38
traceroute to 195.149.252.38 (195.149.252.38), 30 hops max, 38 byte packets
1 sofia4.digsys.bg (193.68.0.198) 1.960 ms 1.507 ms 1.288 ms
2 sofia8.digsys.bg (193.68.0.150) 2.583 ms 2.155 ms 1.942 ms
3 sofia5.digsys.bg (193.68.0.145) 2.429 ms 2.220 ms 2.178 ms
4 sofia6.digsys.bg (193.68.0.154) 8.152 ms 2.902 ms 3.945 ms
5 212.116.151.210 (212.116.151.210) 6.179 ms 7.808 ms 7.879 ms
6 unknown.interbgc.com (217.18.241.62) 9.321 ms 9.476 ms 8.850 ms
7 unknown.interbgc.com (217.18.242.14) 9.156 ms 8.800 ms 9.314 ms
8 rtr2-suhar.data.bg (195.149.255.148) 11.239 ms 13.733 ms 8.951 ms
9 1.0.1.146 (1.0.1.146) 94.653 ms 107.592 ms 139.609 ms
10 195-149-252-38.PPPoE-dynamic.HomeLan.bg (195.149.252.38) 101.259 ms 136.450 ms 131.078 ms

Смущаващия адрес по пътя съм го подчертал. Той е в състава на все още неалокирана от IANA мрежа:

$ whois 1.0.0.0
[Querying whois.arin.net]
[whois.arin.net]

OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 1.0.0.0 - 1.255.255.255
CIDR: 1.0.0.0/8
NetName: RESERVED-9
NetHandle: NET-1-0-0-0-1
Parent:
NetType: IANA Reserved
Comment:
RegDate:
Updated: 2002-09-12

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org

# ARIN WHOIS database, last updated 2005-02-08 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

Не ми вярвате, че HomeLan са LIR? Погледнете в списъка на RIPE (там са записани като Data.BG) на адрес:

http://www.ripe.net/membership/indices/BG.html

Това, че са "extra small" не мисля, че ги оневинява по какъвто и да е начин.

Christian Varela: Live@Shokers - само за ценители

Днес съм много щастлив, защото намерих един оригинален (а не пиратски) запис на сета на Christian Varela в клуб Shockers. Едно прекрасно изпълнение само за ценители. Другите няма да го харесат със сигурност.

Честно казано много съжелявам, че не можах да бъда на неговия сет в Белград на 13 януари тази година