www.stampit.org - без всякакви коментари

Дояждайки обедния си сандвич, по Jabber ме потърси Борис Йорданов от akit.biz, за да ми покаже какви красоти са открили той и Златко Кръстев. С тяхното любезно рарешение ги цитирам и ще опиша нещо доста скандално. За жалост не е измислица, а факт.

1. Сертификатни игри.

Влизате по протокол HTTPS в сертификатния портал на "Информационно обслужване" АД, който се помещава на адрес https://www.stampit.org. Ето данните за сертификата на хоста така, както те се виждат в Mozilla/FireFox:

Този сертификат е със сериен номер 52. Да видим сега дали ще можем да намерим този сертификат в базата със сертификати, която може да бъде достъпена, ако в лявата част на страницата се избере "Търсене на сертификат":

Виждаме, че сертификат със сериен номер 52 не фигурира в базата с издадени сертификати. Но това не е всичко. Нека потърсим сертификата по името на хоста, за който е издаден:

Оказва се, че валидният сертификат, описан в базата е с номер 82. Тогава как хоста използва сертифкат, който е с номер, който не фигурира в базата? Изобщо каква е тази практика да се издават сертификати, които не фигурират в базата.

Прави впечатление и още нещо. Погледнете горната картинка. В таблицата, която се вижда на нея има глава "Детайли". Натискайки върху окото там, вие попадате в една страница, която се изобразява на "маймуница" и по принцип би трябвало да ви дава детайлите за сертификата. Ето ви гледка от нея:

Оказва се, че изглежда толкова зле, защото в страницата, която плюе php скрипта, няма обявена съответната символна кодировка.


2. Игри с личните данни на клиентите

Оказва се, че ако започнете да търсите последователно по сериен номер на сертификат, вие теоретично можете да извадите всички сертификати от базата. Това е скандално и е направено с пълно неуважение към клиентите. Намерихме пощенски адреси, телефони, ЕГН, адреси на мастоживеене на лицата и т.н. Една прекрасна утечка на лични данни. За сега няма да публикуваме скрипта, в който взехме данните, защото не мислим, че клиентите са виновни с нещо, че да им излагаме личните данни на показ. Да не говорим, че сред клиентите им са мои познати и роднини.

Господа от ИО. Моля ви спрете възможността за източване на личните данни на клиентите си.

Всеобщо веселие в страната на побърканите

Вчера в България бе проведен поредният спектакъл, който се зове "парламентарни избори" или както биха го нарекли на чист български език филмовите маняци от крайните квартали на София, съспенс трилър (гепи копеуе). При такава масовост, изборите бяха отражение на кретенията на средностатистическия гражданин. Резултатите бяха ясни от преди.

Третата възраст беше ясно за кого гласува, българските турци гласуваха масово след слуховете по селата, че ако на гласували сега, през 2007 щели да им вземат българските паспорти и нямало да видят Европа и т.н... За третата възраст положението е ясно, за българските турци също - едните гласуват от носталгия и са освирепели от бедност, другите от страх и заблуда, в която ги въвежда бизнесмена от цигански (но не от турски) произход Доган, който Осман Октай доста добре описа в истинския му образ на измамник в едно телевизионно интервю. Факт е и че образованите български турци не гласуват за ДПС и вече искат да се чувстват европейци, за разлика от пенсионери с висше образование, които прегръщат червени знамена и погледа им все към Азия гледа.

Обаче супер интересно ми стана как формация като Атака влезе в парламента. Значи изпростяването е взело особен брой жертви. Едвам се отървахме от комунистите с комбайните и ни се натресоха фашисти, които със сигурност не владеят работата със селскостопанска техника и основните земеделски сечива и единственото, което могат да сторят на страната е да окалят тотално нейния имидж.

Предлагам ви да видите един агитационен материал на човеколюбивата организация Атака, предназначен за лесно възприемане от хора с ниско ниво на интелекта като младежи израстнали във футболни агитки и поради липса на образование работещи черна работа, продавачи на кооперативни пазари, чистачки, хора с различен вид психични заболявания, трайно безработни и т.н:

На картинката по-горе виждате как се продавала България. Тази картинка представя един небивал финансов интерес към покупка на български имоти/земи от страна на две страни - Турция и Израел (да живее интересът на Израел към Видинска област). Израелските пари така и не дойдоха - хората предпочитат да ги влагат в далеч по-стабилни икономики и по-реални пазари на имоти. Турската премиера на прииждащи тълпи от турски бизнесмени, които да купят поне нещо тук също не се състоя, въпреки обещанията на Доган за реки от турски пари, които обаче винаги пресъхваха някъде преди границата с България и все ги чакахме и все не идваха. За сметка на това изпрахме за N-ти пък комсомолските пари, парите на всички балкански (и не само) мафии и построихме плеяда хотели по черноморието, които са с експлоатационен срок 1-2 години и са на собственици с криминално минало и настояще, описано в многотомни досиета. Дори и мръсните пари само преминават през България за да се легализират и после пак си заминават.

Интересен е и ръководителят на тази хуманна организация - човек с незабравимото име Волен Сидеров. Външният му вид е почти толкова незабравим, колкото и името му - с прозиращи през погледа и мимиките му белези на сериозна вътрешна трагедия и тежко психическо заболяване. Определено дори червеният рокер СерГей може да бъде взет по на сериозно и на фона на Сидеров думите му не звучат вече като зле съчинени вицове.

Кефя им се на глупостта на тези от Атака и други такива "патриоти" и "българи". България е на един хилядолетен кръстопът и (с извинение) кой минал ни е ебал. Това е жестоката истина. За справка може да се направи едно просто ДНК изследване. За наша радост имаме от гените на почти всички европейци и поне в това отношение сме от много време в Европа. Само да не ми говорят за "българщина"... Каква българщина, бе? Ебаси циганията цари наоколо и винаги е царяла.

Кой ли обаче ще е в опозиция? Тук се сещам за един много добър филм с Пиърс Броснън, който се казва "Шивачът от Панама". Та в този филм шеф от британското външно разузнаване (MI6) обясняваше на колегите си от ЦРУ за "тихата" опозиция в Панама. От ЦРУ не бяха чували за нея, но британеца великодушно им обясни, че няма как да са чували за нея, защото името й напълно се покрива с характера й.

Никой да не се сърди обаче. Това са тези, които наСЕЛЕНИето на страната избра. Да са ни честити.

Ръчно реализируеми шифри за защита на съвременните гласови комуникации

За голямо съжаление съвременните гласови комуниации на организации и граждани все повече се подлагат на подслушване от страна на какви ли не държавни службици и криминални групировки. Едините се корумпират лесно и могат да "снасят" информация за разговорите на вашата фирма на конкурентите ви, да правят ваше досие на база на телефонните ви разговори. Криминалните групировки подслушват обикновено себеподобните, но никак няма да откажат срещу пари да подслушат и вас.

Как един обикновен човек да опази тайната на гласовата си кореспонденция в условия, при които няма на разположение компютър за да установи криптирана връзка? Отговорът на този въпрос може да се потърси в недалечното минало, оше преди изчислителните машини да навлязат в практиката. Т.е. да се използва нещо, което е лесно приложимо за ръчно изпълнение без използването на компютър (реализуемо само с лист и молив или с налична книга).

Тук ще спрем вниманието на два шифъра (криптоалгоритъма): този на Виженер и този, използващ кодова книга.

Най-лесен за ръчно изпълнение е криптоалгоритъмът на Виженер. Виженер (Blaise de Vigenère) е френски дипломат, живял през 16-ти век (1523 - 1596). Използвайки за основа едноазбучния субституционален криптоалгоритъм на император Цезар, той създава многоазбучен субституционален криптоалгоритъм, използван активно до появята на съвремените, изпълними с компютър, криптографски алгоритми.

Ето пример, в който ще използваме азбуката:

А 00
Б 01
В 02
Г 03
Д 04
Е 05
Ж 06
З 07
И 08
Й 09
К 10
Л 11
М 12
Н 13
О 14
П 15
Р 16
С 17
Т 18
У 19
Ф 20
Х 21
Ц 22
Ч 23
Ш 24
Щ 25
Ъ 26
Ь 27
Ю 28
Я 29

В таблицата е показано съответствието буква <-> число.

Да си представим, че трябва да кодираме думата УЧЕНИК с помощта на ключа ИВАН. Добре е ключът трябва да е винаги по-малък или равен като брой символи на броя символи в кодиращата се дума. Ако ключът е по-малък, тогава той се "продължава". Продължаването на ключа става като към ключа се прибавя пак ключа до достигане на нужният брой символи. Т.е. в условията на нашия пример към ИВАН прибавяме ИВАН и получаваме ИВАНИВАН, но са ни нужни само 6 символа и за това продължаваме ключа само с ИВ, т.е. ключа става ИВАНИВ, а АН са излишни сивмоли и те не се прибавят. Така получаваме:

дума за кодиране: УЧЕНИК брой символи: 6
ключ: ИВАН брой символи: 4
продължен ключ: ИВАНИВ брой символи: 6

И сега криптираме по следния начин. Към числовите стойности на символите на думата, която ще се криптира, прибавяме числените стойности на символите на ключа. Това се прави по позиции, т.е. стойността на първия символ от думата, която трябва да се криптира, се събира със стойността на първия символ от ключа. Ако сборът даде число над 29, тогава от това число се изважда дължината на азбуката (в случая 39) и на резултата се присвоява получената разлика. Ето и практически пример:

19(У) + 08(И) = 27(Ь)
23(Ч) + 02(В) = 25(Щ)
05(Е) + 00(А) = 05(E)
13(Н) + 13(Н) = 26(Ъ)
08(И) + 08(И) = 16(Р)
10(К) + 02(В) = 12(М)

И така, резултатът от криптирането на УЧЕНИК с ключа ИВАН е ЬЩЕЪРМ.

В нашия пример не получихме никъде резултат по-голям от 29 и за това ще направим една отделна илюстрация какво се случва в този случай. За пример ще криптираме Я с Ц:

29(Я) + 22(Ц) = 51

но 51 не съответства на символ от посочената горе азбука и следователно изваждаме от резултата дължината на азбуката 30:

29(Я) + 22(Ц) = 51-30 = 21(Х)

Декриптирането става по обратната схема. Знае се ключа и закодирания текст. От числовата стойност съответстваща на всеки кодиран символ се вади стойността на съответния символ от ключа.

27(Ь) - 08(И) = 19(У)
25(Щ) - 02(В) = 23(Ч)
05(E) - 00(А) = 05(Е)
26(Ъ) - 13(Н) = 13(Н)
16(Р) - 08(И) = 08(И)
12(М) - 02(В) = 10(К)

Нека да опишем и по-особения случай, в който при криптиране се получаваше резултат по-голям от 29, за когото в горната азбука няма символно съответствие и за това от резултата се изваждаше дължината на азбуката. Ако при криптирането се получаваше:

29(Я) + 22(Ц) = 51-30 = 21(Х)

то при декриптирането имаме:

21(Х) - 22(Ц) = -1 + 30 = 29(Я)

Този алгоритъм е бил считан за неразбиваем цели 300 години. Като такъв го характеризира и Чарлс Догсън (известен на повечето читатели като Луис Карол, автор на "Алиса в страната на чудесата" и добре, че английските криптоаналитици не са последвали примера му да се пробват като писатели, че кой знае какви творби щеше да напише например Алън Тюринг). Описаният криптоалгоритъм е особено податлив на статистически криптоанализ. Може да се използва негов вариант с автоключ, при който се задава ключ по-малък като дължина от текста, който ще се криптира, и той се допълва с част от последния. Т.е. приложено за горния пример, при текст за криптиране УЧЕНИК и ключ ИВАН, ключът се допълва с УЧ, следователно ключа с който ефективно се криптира е ИВАНУЧ.

Криптоалгоритъмът на Виженер може да премине в криптоалгоритъм на Цезар, ако ключа е повтарящ се символ, т.е. ако пак използваме горния пример, за да криптираме текста УЧЕНИК ще използваме примерно ключа ЯЯЯЯЯЯ. Това обаче отслабва толкова много този алгоритъм, че го прави неизползваем в съвременните условия.

При използването на кодова книга се действа на друг принцип. Двете страни, които ще комуникират, трябва да имат копие от кодовата книга. Двете копия трябва да са напълно идентични. Когато трябва да се предават символи (букви, цифри и др) се използва следната техника. Всеки символ се замества с положението си в кодовата книга: номер на страница страница,номер на ред, номер на позиция на символа в реда. През комуникационния канал се предават числата, указващи положението на символа в книгата. Приемащата страна прави обратното - по полученото положение намира символа в кодовата книга. Една позиция никога не се използва повторно. Т.е. след като символа на определена позиция бъде използван, той се задрасква в кодовата книга. Този криптоалгоритъм позволява да се предават и празни символи - т.е. може в поток да се пусне цяло изречение. Просто се указват "координатите" на празните символи върху страницата. Този алгоритъм не използва ключ и следователно е неподатлив на криптоанализ. Големият проблем при него е кодовата книга. Стане ли известна тя, прихващането на съобщенията е много лесно занимание.



Хайде сега да обясним как да предаваме данни по телефона така, че да не бъдат подслушани. Това ще направим на база на кодовата книга (използването на шифърът на Виженер е аналогично).

Разбирате се с другата страна коя книга и кое нейно издание да ползвате. Може това да е книга от сергия, дори списание и вестник. Това ще е вашата кодова книга. Вижда се, че не се налага да я пренасяте - достатъчно е да изберете книга, която има навсякъде и съответното й издание. След това предавате важната информация (номера на банкови сметки, места на срещи и т.н) с помощта на кодиране с кодовата книга и получените числови данни съобщавате по телефона на другата страна. По същият начин получавате и декодирате данни.

Агенция “Развитие на съобщенията и на ИКТ” ви приема виртуално

За агенцията на PR героя Орлин Кузов може да се пише много. При това със сигурност това е агенция пълна с агенти. Ако посетите сайта им, който се намира на адрес http://www.ict.bg, ще изпаднете в дълбок амок. Тези от вас, който нямат Macromedia Flash Player изобщо няма и да го видят като хората. Тези, които имат, но работят под UNIX или UNIX-подобни операционни системи, дори при инсталиран Macromedia Flash Player, няма да могат да го видят в цялата му красота.

Несравнимо е усещането от "виртуалната" им приемна (намеренията да ви приемат изобщо за нещо са също виртуални). И така, ето илюстрация в картинки (указването с хипервръзки при техния дизай е супер невъзможно) как от менюто в горната част на страницата се стига до вируалната им приемна:

Изберете сега "Виртуална приемна" за да влезете наистина в нея. Първоначално, за няколко секунди, в долната рамка на страницата, ще виждате надписа:

Контакти : Виртуална приемна

като след изтичането на посочения по-горе интервал от време, в същата рамка ще се появи следния култов пейзаж:

CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are:

Bareword found where operator expected at C:\websites\ict_clean\priemna\index.ict line 2, near ""Content-Type" content"
(Missing operator before content?)
Bareword found where operator expected at C:\websites\ict_clean\priemna\index.ict line 12, near "print "Content-type: text/html"
(Might be a runaway multi-line // string starting on line 7)
(Do you need to predeclare print?)
Backslash found where operator expected at C:\websites\ict_clean\priemna\index.ict line 12, near "html\"
Backslash found where operator expected at C:\websites\ict_clean\priemna\index.ict line 12, near "n\"
Operator or semicolon missing before " at C:\websites\ict_clean\priemna\index.ict line 12.
Ambiguous use of & resolved as operator & at C:\websites\ict_clean\priemna\index.ict line 12.
syntax error at C:\we

Както правилно забелязаха някои хора, грандоманията на създателите на този сайт е стигнала такива висини, че са поставили за разширение на файловете англоезичното съкращение на името на организацията, за която работят (ict).


***

Имам едно питане към г-н Орлин Кузов.

Многоуважаеми,

След като за мисия на управляваната от вас агенция сте избрали разпространение на знания в ИТ сектора на образовнието у нас, се учудвам как може да изработите толкова нефункционален и толкова неработещ сайт? Този сайт със сигурност е платен с пари на нечии данъкоплатци, които вашата агенция щедро харчи и е очевидно, че тя ги налива в джоба на дизайнери със заплати като социални помощи и производители на "к'ви да са" операционни системи като Microsoft. И след като и аз съм един от тези данъкоплатци, питам докога ще гледаме просташки изпълнения от вашата организация?

***

Може да се поразкаже доста за управление на трафика по проекта GEANT, поет за нашата страна от организацията на Кузов, но за това ще поговорим някой друг път.