Една леличка

Дълго време останах изолиран от новините в блогосферата. Не знаех от къде е дошно това "интернет влечуги", но накрая ми остана време да проверя. Не съм изненадан, че това е въведено от Мадлен Алгафари в парцал с претенции за вестник. Тя е родена за журналистка в парцали, но странно защо все не иска да си го признае. Та какво искам да кажа на тази леличка. Не, няма да й кажа, че е груба селянка, няма да й кажа такива лоши неща, защото не ги мисля. Ще се опитам да й обясня някои други неща, прости и ясни. Дано ги разбере, милата, особено на тези години.

Неуважаема Мадлен (дотук добре...) Алгафари (е, никой не е съвършен),

Леличко, ние не сме от лигавия мутренски и гравитиращ към мутренски елит, който ти е клиентела. Ние не ти четем писанията (чувам книжки си писала - какво са ти направили дърветата, ма лельо, че си ги унищожила, за да може върху техните трупове да напишеш глупостите си). Кой знае как омайваш (пардон "анализираш") псевдоелита за парички. Позната картинка. То прост е този, дето ти се хваща на глупостите. Виждам, с възрастта си взела да озлобяваш, мила, защото си видяла, че има хора дето не са като простаците, от които живееш. Интернет влечугите няма и стотинка да ти дадат, скъпа. И не защото са злобни, хомосексуалисти или не знам какви си там (лелке, не ги бъркай с богатите си лигави пациентчета), а просто защото такива като теб са с ясен репертоар. Имаш дарба с много думи нищо да не казваш и някои хора може би оценяват твоята дарба (глупаци с пари винаги е имало). Добре, че не си останала да се надяваш на интернет влечугите да ти осигуряват прехраната, че ще разбереш много неща за хранителните навици в Сомалия.

Повечето от тези дето наричаш влечуги, са хора, които ти не можеш да омаяш и да заблудиш, защото при подобен опит така ще те направят на маймуна, че ти отиде светския имидж. Простичката причина, поради която не можеш да си някаква за тях, освен проста лелка е, че те знаят що за стока си и интелектуално са много над теб. Ако богатите лигли и глезльовци, които се чудят в каква депресия да изпаднат, за да са по-интересни, са ти контингент, над който ти можеш да влияеш със словоблудства, то повечето хора, които за теб са влечуги, не само се владеят, а работят професии, в които се иска такава концентрация и внимание, които ти не познаваш. Над тези хора ти, леличко, нямаш никакво влияние. Умен човек при такава като тебе не стъпва. Тъпото е, че по инерция си взела, че си повярвала на глупостите дето си писала за часовия парцал (кой сериозен специалист по нещо, ще иска името му и думите му да са напечатани в един от вестниците, в които идиотщината и лъжата са стил от първа до последна страница).

Леличко, аз няма да повярвам на слуховете, че покръкваш, защото не съм те виждал пияна като куче, както други хора твърдят. Аз само ще кажа, че по прочетеното става ясно, че или си недооценена селянка, на която много й липсва изява, или ти липсва сексуален живот (защо ли не ме учудва последното). Виж, лелке, за всеки влак има пътници, но това важи докато не станеш бракуван вагон.

ГДБОП и простите сметки

Това, което виждате не е никакъв майтап. Поне аз не се майтапя с вас. Това е кадър от една велика презентация на един велик експерт от ГДБОП. Имащите елементарно образование хора знаят, че сумата от процентните дялове в един статистически и не само статистически модел, е 100% Според другаря милиционер Явор Колев, достатъчно е сумата да бъде 96%.

Ако се въведе тест по елементарна математика в ГДБОП, който да включва материала изучаван до 8 клас, какви ли страшни резултати ще се получат (а може би и ще бъдат засекретени, за да не уронват престижа на България, за чието излъскване така добре се грижи МВР министъра).

Цялата презентация (ако имате здрави нерви), можете да видите на адрес:

http://www.web112.net/ppt/DETETO%20V%20MREJATA.ppt

Интересен е заключителния кадър, който включва информация за видния и известен с техническата (а вече и с математическата) си грамотност "експерт". От тях става ясно, че в МВР обичат да си чатят по канали за комуникация, в която никой не може да каже кой кой е и освен това МВР няма сървър за електронна поща, на която да приюти служебната кореспонденция на мега експертите си, та затова те трябва да я складират по сървъри някъде в интернет използвайки услуга, която нищо не гарантира. Велико е:

Освен да бъдат пазени от педофили, децата трябва да получат и образование. За да не се излагат, като пораснат.

DNS поддръжката на домейните на Министерски съвет и ДАИТС

Министерски съвет

Делегирането на домейна government.bg може да се използва за пример как не бива да се делегира домейн. Показвам:

1. Делегиране на домейна в Регистър.БГ:

$ dig @ns.register.bg -t ns government.bg

; <<>> DiG 9.4.1-P1 <<>> @ns.register.bg -t ns government.bg
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8443
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;government.bg.                 IN      NS

;; AUTHORITY SECTION:
government.bg.          345600  IN      NS      dove.government.bg.
government.bg.          345600  IN      NS      stone.gocis.bg.
government.bg.          345600  IN      NS      leo.government.bg.

;; ADDITIONAL SECTION:
leo.government.bg.      345600  IN      A       212.122.160.33
dove.government.bg.     345600  IN      A       212.122.160.34

Съгласно тази информация, сървърите за имена, върху които следва да се търси информация за записи от зоната на домейна government.bg са:

dove.government.bg (212.122.160.34)
stone.gocis.bg (195.138.133.10)
leo.government.bg (212.122.160.33)

2. Проверка за достоверна информация за записите от зоната на домейна government.bg, върху посочените за достоверни сървъри за имена (тестваме за NS ресурсните записи):

- dove.government.bg (212.122.160.34)

$ dig @212.122.160.34 -t ns government.bg

; <<>> DiG 9.4.1-P1 <<>> @212.122.160.34 -t ns government.bg
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64995
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;government.bg.                 IN      NS

;; ANSWER SECTION:
government.bg.          86400   IN      NS      leo.government.bg.
government.bg.          86400   IN      NS      dove.government.bg.

;; ADDITIONAL SECTION:
leo.government.bg.      86400   IN      A       212.122.160.33
dove.government.bg.     86400   IN      A       212.122.160.34

- leo.government.bg (212.122.160.33)

$ dig @212.122.160.33 -t ns government.bg

; <<>> DiG 9.4.1-P1 <<>> @212.122.160.33 -t ns government.bg
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30200
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;government.bg.                 IN      NS

;; ANSWER SECTION:
government.bg.          86400   IN      NS      dove.government.bg.
government.bg.          86400   IN      NS      leo.government.bg.

;; ADDITIONAL SECTION:
leo.government.bg.      86400   IN      A       212.122.160.33
dove.government.bg.     86400   IN      A       212.122.160.34

- stone.gocis.bg (195.138.133.10)

$ dig @stone.gocis.bg -t ns government.bg

; <<>> DiG 9.4.1-P1 <<>> @stone.gocis.bg -t ns government.bg
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11043
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2

;; QUESTION SECTION:
;government.bg.                 IN      NS

;; ANSWER SECTION:
government.bg.          81624   IN      NS      leo.government.bg.
government.bg.          81624   IN      NS      dove.government.bg.

;; ADDITIONAL SECTION:
leo.government.bg.      75876   IN      A       212.122.160.33
dove.government.bg.     81624   IN      A       212.122.160.34

Веднага се набива на очи, че сървърът за имена stone.gocis.bg (195.138.133.10), не дава достоверни отговори при извличане на записи от зоната government.bg въпреки, че е указан за достоверен в Регистър.БГ при делегирането на съответния домейн. Разгледайте полето "flags". При наличие на достоверен отговор, там трябва да има "aa" (т.нар. "AA" бит). Няма ли този запис, значи няма локално копие на зоната върху този сървър и резултатът, който той дава е следствие на рекурсия, изпълнявана от сървъра. Само да спомена, че сървърът за имена stone.gocis.bg е достъпен в режим на публична рекурсия, което не е само по себе си неприятен факт, ако беше поддържан добре. Имам съмнения относно поддържката му.

Само по себе си горното значи, че ако отпадне свързаността на leo.government.bg и dove.government.bg към Интернет, ще бъде загубена информацията за домейна government.bg докато отново свързаността не бъде възстановена.

Има и един друг проблем. Често пъти се оказва, че DNS услугата на dove.government.bg е недостижима:

$ dig @dove.government.bg -t soa government.bg

; <<>> DiG 9.4.1-P1 <<>> @212.122.160.34 -t soa government.bg
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached

Трудно ми е да кажа от разстояние какво пораджда подобна недостижимост, дали защитна стена, дали други проблеми в мрежата и върху локалната машина, но в близо в 20 до 40% от денонощието информацията за домейна government.bg се крепи от един сървър за имена (leo.government.bg).

И двата сървъра за имена използват стара версия на BIND9 и съдейки по дисперсията на ID номерата, нямат приложена кръпката за избягване на последно открития проблем от типа "Poisonous Cache".

Всъщност, ако сървърите за имена не изпълняваха рекурсивни заявки за вътрешни клиенти, а обсужваха само директни запитвания към зоната на домейна government.bg, нямаше да има проблеми - все едно дали щеше или не да бъде приложена споменатата кръпка. За жалост сървърите изпълняват рекурсия. Може би ще е интересно как съм познал това без да имам достъп до вътрешната мрежа. Много просто, извършвам евристичен анализ. Той е наистина прост. Знаете приблизително, какви хостове и домейни най-често се търсят от клиентите на мрежата на една мрежа с общо предназначение. Наблягаме на български страници, като abv.bg или mail.bg. Пробваме:

$ dig @dove.government.bg mail.bg

; <<>> DiG 9.4.1-P1 <<>> @dove.government.bg mail.bg
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30210
;; flags: qr rd; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;mail.bg.                       IN      A

;; ANSWER SECTION:
mail.bg.                64678   IN      A       193.201.172.98

;; AUTHORITY SECTION:
mail.bg.                67008   IN      NS      ns.bdata.net.
mail.bg.                67008   IN      NS      ns2.mail.bg.
mail.bg.                67008   IN      NS      ns2.bdata.net.
mail.bg.                67008   IN      NS      ns.mail.bg.

;; ADDITIONAL SECTION:
ns.bdata.net.           68198   IN      A       194.145.63.2

И наистина, в кеша се пази запис за хоста mail.bg. Е, почти невъзможно е в мрежата на Министерски съвет, някой да се интересува от сайта www.redhat.com поради силната майкрософтска ориентация в държавните институции:

$ dig @dove.government.bg www.redhat.com

; <<>> DiG 9.4.1-P1 <<>> @dove.government.bg www.redhat.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20782
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 13, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;www.redhat.com.                        IN      A

;; AUTHORITY SECTION:
com.                    172046  IN      NS      B.GTLD-SERVERS.NET.
com.                    172046  IN      NS      C.GTLD-SERVERS.NET.
com.                    172046  IN      NS      D.GTLD-SERVERS.NET.
com.                    172046  IN      NS      E.GTLD-SERVERS.NET.
com.                    172046  IN      NS      F.GTLD-SERVERS.NET.
com.                    172046  IN      NS      G.GTLD-SERVERS.NET.
com.                    172046  IN      NS      H.GTLD-SERVERS.NET.
com.                    172046  IN      NS      I.GTLD-SERVERS.NET.
com.                    172046  IN      NS      J.GTLD-SERVERS.NET.
com.                    172046  IN      NS      K.GTLD-SERVERS.NET.
com.                    172046  IN      NS      L.GTLD-SERVERS.NET.
com.                    172046  IN      NS      M.GTLD-SERVERS.NET.
com.                    172046  IN      NS      A.GTLD-SERVERS.NET.

Ясно е, че няма кеширан запис и няма режим публична рекурсия (WARNING: recursion requested but not available).

Приведените примери говорят за липса на адекватна поддръжка и обезпечаване на услугата DNS. Това е недопустимо за толкова важна държавна структура. Не знам кой трябва да вземе мерки, но ако все пак някой от отговорните лица чете това, нека вземе предвид бележките. Не ставайте за срам по Европа и света. Със сигурност Министерски съвет може да си наеме консултанти за да обучат техническите кадри как да реализират успешна DNS услуга. Странно е как се дават пари за глупости, а за това все няма средства.

ДАИТС

Да наричаш ДАИТС "високите технологии" е една тъжна ирония. Все още чакам внедряването на една сериозна "висока" технология от тази мега фантомна организация. Хайде, да не е висока, поне една технология на висота да усвоят. Ето, DNS е позната от повече от близо две десетилетия. В ДАИТС обаче не са никак наясно каква е тази технология и как се ползва. Пълен мрак. Всеки път поднасят нови изненади (все лоши). Това поне не може да им се отрече - имат дарба да са оригинално некадърни. Те, "високите технологии"...

Погледнете за какво става дума. Пред вас са красотите на домейна daits.government.bg:

$ dig @leo.government.bg -t ns daits.government.bg

; <<>> DiG 9.4.1-P1 <<>> @leo.government.bg -t ns daits.government.bg
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54123
;; flags: qr aa rd; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 5
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;daits.government.bg.           IN      NS

;; ANSWER SECTION:
daits.government.bg.    3600    IN      NS      leo.government.bg.
daits.government.bg.    3600    IN      NS      ns1.daits.government.bg.
daits.government.bg.    3600    IN      NS      ns2.daits.government.bg.
daits.government.bg.    3600    IN      NS      dove.government.bg.

;; ADDITIONAL SECTION:
leo.government.bg.      86400   IN      A       212.122.160.33
ns1.daits.government.bg. 3600   IN      A       192.168.224.15
ns1.daits.government.bg. 3600   IN      A       212.122.187.52
ns2.daits.government.bg. 1200   IN      A       192.168.224.16
dove.government.bg.     86400   IN      A       212.122.160.34

Използването на следните записи в публичното пространство е някаква дебелашка шега:

ns1.daits.government.bg. 3600   IN      A       192.168.224.15
ns2.daits.government.bg. 1200   IN      A       192.168.224.16

Във "високите технологии" не правят явно разлика между публични и частни адреси, затова ще им препоръчам да прочетат RFC1918 (е, не е "висока" технология, не е и нова дори, дори не звучи "фешън" и не става с нея да се правиш на велик пред 50-годишни лелки). Не знам как очакват другарите от ДАИТС, които се застояват повече на другарски срещи на "Позитано" 20, отколкото да усвояват вече наличните технологии, сървърите за имена по света да достигнат до IP адресите 192.168.224.15 и 192.168.224.16.

Може би ще споделят гледната си точка за това тяхно хрумване?

За читателите с пагони

Тъпо е да обяснявам нещата по-долу, защото те се знаят от хора, които не са се нарекли никъде и по никакъв начин специалисти, експерти, не са слагали титли и т.н... За сметка на това тези, които трябва да ги знаят, не ги знаят. С ядро от технически снижени индивиди, МВР се бори срещу "компютърни престъпления", каквото и да значи това. Всъщност понеже май нищо не значи, затова и не се търсят специалисти. Специалисти се търсят, когато трябва да се свърши работа. Във всеки друг случай се търсят актьори и статисти.

Липсата на технически познания в МВР най-добре се вижда в постъпките на лицето Явор Колев. Набеден по служебна линия за експерт, какъвто не може никога да бъде, той може да бъде даван за пример как липсата на знания създава бутафории и престъпване на закона (за последното вижте медийните му изяви, в които той нарушава закона, като обявява някого за престъпник без съд да е започнал дори гледане на делото). Подобно поведение в развита страна ще му коства най-малко отстраняването от длъжност.

Но аз, бидейки твърде неграмотен юридически, ще говоря само по техническите проблеми. Знам, че този дневник редовно се чете от репресивните органи. Силно се надявам, че това, което напиша по-долу, ще влезе в нечия глава и ще повиши поне с малко количеството технически познания в системата на МВР. Нека подслушването да донесе някаква реална полза за самите подслушващи. Даже искам да попитам подслушвачите следното. Задавали ли сте си въпроса до къде щяхте да стигнете (като прогрес), ако вместо да си губите времето с простотии (да подслушвате свободомислещите хора с цел последващи репресии), го отделяхте за да се образовате?

Използването на електронната поща като услуга, изисква познания особено, когато става дума за пренос на информация, която има служебен характер. Важно е пощенската кутия да домува върху сървър, който има надеждността и съответния контрол, гарантиращи сигурен и непрекъсваем достъп до нея. Следователно при служебната кореспонденция чрез електронната поща, не може да няма изисквания към обезпечението на достъпа до кутията, обработката на входяща и изходяща кореспонденция и създаването на резервни копия и тяхното съхранение.

Фрапиращ случай е използването на кутията hound@dir.bg, от страна на служител на МВР за служебна кореспонденция. При това този служител се идентифицира с тази кутия в публичното пространство и в писмени документи. На адрес:

http://pay.dir.bg/user_agreement.php

са публикувани общите условия за използване на услугите на DIR.BG. Моля, прочетете ги и нека направим анализ дали това е услуга, която може да се използва за служебни цели. Прави впечателение едно такова условие:

"УСЛОВИЯТА могат да бъдат актуализирани по всяко време без специално уведомяване на ПОТРЕБИТЕЛИТЕ"

Това условие показва, че иде реч за автоматично предефинируема услуга(и) и тя не е обект на двустранна договорка между ползвателя и оператора на услугата, в лицето на DIR.BG. Тази услуга е неподходяща в този си вариант за съхранение в кутията на поверителна или служебно класифицирана информация (примерно свързана с разследване). И е ясно защо това е така. Защото нищо не ангажира този, който я предоставя с опазването на кутията по какъвто и да е начин и той освобождава себе си от отговорност за нейното функциониране. Също така, ако лицето Явор Колев изпраща по някакъв начин писма до предполагаеми нарушители, съгласно точка 6, подточка м), той влиза в нарушение съгласно действието:

"м) да преследва или по друг начин да безпокои друг ПОТРЕБИТЕЛ ;"

Доколкото адресът hound@dir.bg не идентифицира подателя като служител на МВР, това автоматично се приема за преследване и безпокойство и трябва да бъде уведомен доставчика на услугата DIR.BG, за да иницира процедура по прекратяване на предоставянето й. И ако той не е доставчик с комсомолско минало или свързан с бизнес среди до управляващите, ще я премахне без да приема никакви протести от страна на лицето Явор Колев.

Интересно ми е от къде лицето Явор Колев е сигурно, че DIR.BG гарантира максималната възможна сигурност при достъп до кутията hound@dir.bg и съхраняването на информацията в нея?

Подобна е и друга проява на "компетентност" на Явор Колев. Той официално указва адрес javor.kolev@gmail.com като свой адрес за контакти и то при срещи и презентации. Явно МВР не намира за нередно негови служители да използват за служебни цели подобни обществени пощенски услуги. Или може би МВР е стандартизирало Google и DIR.BG за доставчици на електронна поща за служителите на министерството? Интересно ми е какви са процедурите за това, за да мога и аз следващия път да кандидатствам чрез моята пощенска услуга, за доставчик на такава за служителите за МВР. Или може би МВР няма електронна пощенска услуга, базирана на вътрешен сървър в организацията и затова служителите ползват обществени пощенски услуги? Страхотно. Класифицирана информация по сървъри на фирми. Точно така се прави. Това не е ли нарушение на закона?

Същият Явор Колев посочва напълно тинейджърски и безотговорни канали за комуникация като ICQ с номер 48495113 и Skype псевдоним javor.v.kolev. Може би и министъра на МВР чати по ICQ и лафи по Skype?

Докога?

Технически извисявания в МВР (a.k.a. е няма да научите какво е Интернет и няма!!!)

Обезпечеността на МВР откъм технически кадри варира от трагично към безнадеждно (на моменти брутално катастрофално). Това състояние на нещата може да се докаже без никаква трудност дори от кварталните IRC фенове. Трагедията стига до там, че "експерти" от МВР ползват услугата "безплатна електронна пощенска кутия". При това за служебни цели.

Показвам новия електронен пощенски адрес на експерта по технологична неграмотност (това, което казвам, мога да го докажа!!!) Явор Колев. След цирковия гастрол с адреса присъщ на виртуален бабаит hound@dir.bg, идва ред на новия му пародиен служебен адрес

javor.kolev@gmail.com

Интересно ми е дали експерта по е-неграмотност е прочел общите условия за ползване на услугата на Google или тези на dir.bg и дали нещо в тях не му е казало, че това дето ползва не става за служебни цели. И няма ли орган, който да възпре съхранението и обмена на служебна информация (която може да бъде класифицирана) по сървърите на Google и Dir?

Моля, актуализирайте си филтрите. Адресите на милиционера са обект на филтрация от моя и не само от моя страна. Никой не може да ме задължи да приемам електронна поща от този адрес. Съветвам ви да го филтрирате. Не можете да бъдете подведени под никаква отговорност за това ви действие. Такава порнография, при която държавен служител използва за дейността си безплатен и БЕЗОТГОВОРЕН пощенски адрес и кутия, а не използва адрес в официалния домейн на МВР, показва ясно нивото на интелект и технически познания не само на въпросния милиционер, но и на държавните служители като цяло.

Ако този е-бабаит посмее да ви замърсява електронната поща, му отговорете, че ако не се идентифицира с електронно подпис върху болнавите си творения, ще приемете писмата му за шега и вие на свой ред също можете да се пошегувате (дори от негово име). Един път за винаги трябва да се сложи край на простотията в тази държава, ако изобщо искате да живеете сред нормални хора в един свят на грамотни действия и адекватно поведение на държавните служители. Аз заминавам, но някои остават. Дано те имат желанието и смелостта да изритат неграмотните.

От мизерия към e-мизерия

Подходът на българското правителство за създаване на мизерия, засегна и електронните комуникации. Така, че отварям нова страница в трагикомедията с името България. Името на новата страница е e-мизерия. Ето и първия пример:

Бабичките-контрабандисти - другите Оперативно Интересни Лица за полицията

Преди в този дневник пишеше коментари един крайдунавски субкултурен педераст^*, според който всичко, което съм говорел за полицейско насилие било измислица. Дали от замърсения Дунав, дали от хлора в Русе, но човекът не е наред с очите.

Преди години видях как полицай с ръст поне 180 см. бие ДЕТЕ! Това ставаше към 21:00 на пл. Славейков. Така го изрита, че детето се преви и почна да конвулсира. От този момент за мен полицията се превърна в обществен враг и аз никога няма да имам капка уважение към нея (никога). Сбирщина от биячи, деградирали до възможно най-ниска степен - това е българската полиция. От тогава се нагледах на какви ли не прояви по "защита" на българското общество от нейна страна, свързани с малтретиране на слабите, бедните и невъоръжените. За побоищата в районните управления и гаврата с човешкото достоинство няма да говоря (поразровете се из Google, ще намерите и видео). За полицаите гражданите са боклуци, които трябва да бъдат бити и малтретирани. Наскоро полицаи вулгарно се опитаха да проверят документите на колега, индиец, дошъл тук от името на един индийски промишлен концерн (нарекоха го мангал). Същият този "мангал" има докторат по математика в Университета на Лестър (Великобритания). Така и не посмях да му преведа как са го нарекли.

В тази грозна поредица на проява на "мъжественост" и "гражданско съзнание" от страна полицията, не мога да пропусна новият техен враг - бабичките-контрабандисти на магданоз и къпини. За да не преписвам, направо връзка към оригиналната публикация:

http://nabludatel.blogspot.com/2007/08/blog-post_08.html

* - педераст е състояние на духа, да не се бърка със сексуална ориентация.

Защита на електронната поща от подслушване - част 2

В тази втора част от поредицата ще опиша една от най-добрите схеми за измама на подслушващия, чрез която той да бъде каран да анализира подхвърлена и нарочно фалшифицирана информация.

Сценарий на играта "фалшив кореспондент".

Използваме средставата за маршрутизация на изходящия от сървъра електронен пощенски поток. Вместо към сървър от MX йерархията на домейна domain.tld, насочваме само писмото за someone@domain.tld през друг пощенски сървър. Така, ако някой следи изходящия ви трафик на протоколно ниво (по протокол SMTP), ще види че има изходяща електронна поща за someone@domain.tld и ще я прихване. Това, което подслушващия в 90% от случаите ще забрави да отчете, е моментната MX йерархията на домейна domain.tld (напомням, че MX йерархията не е фиксирана информация и тя може да се мени с времето, в зависимост от настройките, които собственика на домейна прави в своята услуга "електронна поща"). Най-честата задача при подслушването е само прихващане на съдържанието, но не и на служебната информация по неговия пренос (адресация, преадресация, маршрутизация). Така в повечето случаи подслушващия няма да разбере, че писмото до someone@domain.tld не достига до истинското си назначение, а просто попада някъде другаде.

Участници в играта "фалшив кореспондент".

10.10.10.2 - подслушван сървър за електронна поща (записва се и се анализира трафика по протокола SMTP от и към сървъра);.

10.0.2.1 - smtp.domain.tld (сървър за поща от MX йерархията на домейна domain.tld; приема входяща електронна поща за този домейн);.

192.168.12.1 - приема електронна поща за домейна domain.tld и по-точно за someone@domain.tld (фалшив получател);.

192.168.100.5 - изпращач на електронна поща от името на someone@domain.tld (фалшив подател).

Примерен сценарий на играта "фалшив кореспондент".

Изпращаме електронно писмо до someone@domain.tld от името на sender@sender-domain.tld, като за изходящ сървър посочваме 10.10.10.2. Той приема писмото за изпращане, но съгласно зададената върху него допълнителна схема за маршрутизация, го изпраща за по-нататъшна обработка не към 10.0.2.1 (както би било, ако се следваше MX йерархията за домейна domain.tld), а към 192.168.12.1. Там то се приема от фалшивия кореспондент. Той продължава играта като изпраща отговор на подателя sender@sender-domain.tld от името на someone@domain.tld. За целта използва източник на изпращането 192.168.100.5. Така подслушващия записва обмен на информация между someone@domain.tld и sender@sender-domain.tld, която е фалшива (подхвърлена).

Ето пример какво би получил подслушващия при подхвърляне на информация чрез използване на фалшив кореспондент:

- писмо от sender@sender-domain.tld до someone@domain.tld:

From: sender@sender-domain.tld
To: someone@domain.tld
Subject: Паричен превод

Преведохме парите! Действайте!!!

- писмо от someone@domain.tld до sender@sender-domain.tld:

From: someone@domain.tld
To: sender@sender-domain.tld
Subject: Re: Паричен превод

Получихме парите! Действаме!!!

На практика someone@domain.tld не е получил нищо и не е изпратил нищо. На практика може и да не съществува кутия с този адрес в пощенския домейн на domain.tld. Ако сега подслушващия анализира информацията, той ще я отчете като съгласуване на някакво действие между двамата кореспонденти, каквото на практика няма. Дори подслушващия да анализира служебната информация по преноса на писмата, той не може да има 100% гаранция, че това е измама. Все пак в цялата игра са използвани абсолютно стандартни похвати в SMTP: допълнителна маршрутизация, изпращане на писмо от сървър, различен от тези описани в MX йерархията на домейна domain.tld.

Защита на електронната поща от подслушване - част 1

В порочната страна България със сигурност има нерегламентирано подслушване на вашите комуникации. А дори и да е регламентирано, вие не сте задължени по никакъв закон да помагате за събиране на информация за вас и вашия бизнес по такъв начин. По-долу съм нахвърлял едни бързи бележки и размисли по защитата на най-популярната комуникация, а именно електронната поща.


Чисто технически мероприятия срещу подслушването на електронната поща

Направете така, че дялът върху локалната файлова система, който се използва за съхранение на пощенските кутии на вашите потребители, да бъде криптиран.

Разделете задачата по предпазването от подслушване на три части:

- част 1: защита на транспортния протокол за електронна поща - SMTP;
- част 2: защита на протокола за достъп до пощенските кутии - POP3/IMAP4;
- част 3: защита на изпращаната от клиентите електронна поща.


Във всеки случай, няма проблеми един сървър в чужбина да се използва и за двете части по защитата на електронната ви поща. При това не е задължително пощенските кутии на вашите клиенти да са върху него. Много по-добре е съдържанието на тази кутии да е при вас, за да можете да го репликирате с цел изготвяне на резервно копие на сърържанието.


Предварителна подготовка

Изберете сървър за поща, който да домува в голям чуждестранен доставчик с име в бранша. Сигурно сега у вас веднага изникват следните въпроси:

- защо трябва да изберете доставчик в чужбина;
- защо този доставчик трябва да е име в този бранш.


Отговор на въпроса "защо трябва да изберете доставчик в чужбина":

Действията по незаконно подслушване от страна на български субекти имат преди всичко локален обхват. Обхватът е локален именно заради незаконността му. Един от големите проблеми в българските доставчици на интернет свързаност е тяхната връзка с извършителите на първоначалното натрупване на капитали в България. Тази зависимост не може да се прекрати за десетилетие, а нейното прекратяване има бегли наченки и практически е започнало на малко места. Българските доставчици са податливи на изнудване и заплахи и това е основния проблем, който препятства доверието към техните услуги. В България репресивните органи работят още в стар стил от соц. времената и действат безнаказано с изпитани от миналото методи за сплашване, което прави доставчиците уязвими от желанията на корумпирани полицейски и др. държавни служители.


Отговор на въпроса "защо този доставчик трябва да е име в този бранш":

Сигурността на една услуга се определя от това кой я предлага. Доставчиците с име защитават клиентите си. Подходящ пример за доставчик от този тип са тези, които са раположени в центровете на Telehouse Europe (напр. в Лондон). Аз например имам опит със сървъри за електронна поща, които домуват в Лондон и фирмата, която ги обслужва е Rackspace. Разбира се, това не е реклама на тази фирма, а компанията, в която бях консултант за целта е избрала този доставчик, при който наема сървър. Вие можете да изберете друг доставчик, но нека бъде такъв с име и дългогодишен опит.


Част 1: Защита на транспортния протокол за електронна поща - SMTP.

След като наемете сървър в чуждестранен доставчик, опишете пълното квалифицирано име на хост в MX йерархията за вашия домейн (нека да бъде единствения MX ресурсен запис, направете го нарочно с малък TTL, за да можете да го сменяте често, ако това се налага). Поръчайте два публични адреса в рамките на пакета на услугата, които да са в различни мрежи. Единият IP адрес ще се използва само за получаване на поща. Вторият IP адрес ще се използва за изпращане на поща до сървъра, на който ще се намират кутиите на потребителите.

Много дизайнери на системи за услугата "електронна поща" са свикнали обработката и доставката на електронната поща по кутии да се извършва на един сървър. Това е само частен случай на разположение на компонентите на пощенската система. Няма никакъв проблем един сървър да обслужва само входящия или изходящия поток електронна поща, а съвсем друг да обслужва пощенските кутии на потребителите. В услугата "електронна поща" съществува разделение на компонените и най-често услугата се състои от комбинация на MTA (Mail Transport Agent) и MDA (Mail Delivery Agent). Обяснението в тази част засяга именно изнасянето на MTA компонента в чужбина, доколкото той е този, който най-лесно може да бъде локализиран като име на хост и оттам намерен неговия IP адрес (името на този хост е публична информация в зоната на домейна и в частност в нейната MX йерархия). MDA компонентът е този, който се занимава с обслужването на пощенските кутии на потребителите (приема пощенския поток от MDA, класифицира го и го поставя в пощенските кутии, предоставя достъп на клиентските програми до кутиите и т.н). Той може да бъде на произволно място в Интернет и локализирането му е трудно в общия случай.

Ако се върнем сега на условието сървъра в чужбина да има два IP адреса, то става ясно защо това трябва да е така. Когато едно електронно писмо се получи чрез първия IP адрес (предназначен само за работата на MTA), то ще бъде изпратено до MDA компонента на системата за електронна поща през втория адрес. Така подслушващия потока от и до MTA компонента, няма да може да знае къде е MDA компонента, защото според публичната информация от домейна на подслушвания, той може да получи само информация за адреса използван от MTA компомента (само той е публична информация).


Част 2: Защита на протокола за достъп до пощенските кутии - POP3/IMAP4.

Няма проблеми сървърът, върху който се намират пощенските кутии, да се намира физически в България (с криптирана файлова система, върху която са разположени кутиите). Когато едно електронно писмо се маршрутизира съгласно MX йерархията, то ще се получи за обработка на сървъра за поща в чужбина (както е описано в част 1). Оттам се транспортира до българския сървър чрез криптиран канал, например с използване на ESMTP разширение като STARTTLS (добре е в този случай да се следва политика за задължително използване на STARTTLS), или SSL тунел чрез използването на някакъв SSL wrapper, като Stunnel. Т.е. целта е пощата да се получава в чужбина и да се доставя в България по криптиран канал, който да е неподатлив на подслушване. При съвремените скорости, които се реализират по комуникационните канали, закъснението на пощата породено от описаното премаршрутизиране, ще бъде от порядъка на секунди.

Достъпът до пощенските кутии от страна на клиентите трябва да става само през криптирана сесия. Не бива да се допуска никакъв достъп до кутиите с използването на некриптирани версии на протоколите POP3 и IMAP4. И двата основни пощенски протокола поддържат криптирани версии на транспорта си. Например, протоколът POP3 използва оригинално порт 110/tcp за комуникация с клиентите, но комуникацията от и към този порт в общия случай не е криптирана. Аналогично, протоколът IMAP4 използва оригинално порт 143/tcp за реализиране на некриптиран достъп. Но и в двата протокола има дублираща комуникационна схема за криптиран пренос, като за целта POP3 се дефинира като POP3S и използва порт 995/tcp, а IMAP4 се дефинира като IMAPS и използва порт 993/tcp. Повечето съвремени UNIX базирани MDA сървъри, могат да криптират преноса, без да дефинират нова услуга (т.е. без да дефинират POP3S и IMAPS). За целта те използват протокола TLSv1 на ниво приложение. Това обаче изисква пощенските клиенти да могат да използват TLS протокола, което не може да се каже за клиентите на Microsoft (например Outlook Express).

Възможно е да се използва и следната схема за допълнително укриване на MDA компонента (сървъра, на който са кутиите на потребителите). Върху сървъра за реализиране на MTA компонента (за който в част 1 описахме, че трябва да е в чужбина), се слага софтуер, който да отвори върху него портовете, които се използват за връзка на клиентите с техния MDA агент (т.е. POP3S и IMAPS в най-честия случай). Този софтуер трябва да пренасочва през криптиран канал сесиите на клиентите към истинския MTA сървър. Така клиентите се свързват към сървъра в чужбина и дори и те не знаят къде реално е истинския сървър, на който се намират пощенските им кутии. Един такъв софтуер може да е Stunnel.


Част 3: Защита на изпращаната от клиентите електронна поща.

Накрая остана да се дискутира проблема с изходящата от клиентите на пощенския домейн електронна поща. Кой сървър да използват те за изпращане на изходящата си електронна кореспонденция? Подходящо е да се използва сървъра в чужбина. За целта обаче трябва той да може да удостоверява потребителите. Добре е това да става в SSL или TLS режим.



Начини за опорочаване на резултатите от подслушването.


Ако все пак електронната ви кореспонденция ще бъде явна, то начините за опорочаване на резултатите от подслушването са два:

Начин 1: Зариване на подслушващия с поток информация, която на пръв поглед има смисъл, но която той не може да анализира. Генерирането на огромен брой пощенски писма, в които например пускате по една страница от електронно издание на "Война и мир" е един добър пример. Друг пример е подаване на системата за анализ на подслушващия. Очевидно, че ако вие сте компания, интерес ще има към ключови думи от кореспонденцията ви като "договор", "товар" , "товарителница", "пари", "плащане", "фактура" и подобни. Няма проблеми с един скрипт да генерирате огромен брой такива безмислени писма. Разбира се, трябва да направите така, че тези писма да не зарият получателя им, т.е. трява да се измисли система за разпознаването им при получателя. Това не е невъзможна задача, дори не е много времеемка. Идеята на този метод е подслушващия да не може да анализира информацията машинно, а да му се наложи да въведе анализ от оператор-човек за всяко писмо, което при огромен брой писма е непосилна задача. Друга реализация на този метод е изработване на фалшиви кореспонденти. Т.е. това е симулиране на пощенски обмен между несъществуващи реално субекти. Някои разновидности на използването на фалшиви кореспонденти са част от дезинформацията (виж по-долу).

Начин 2: Дезинформация. Това е начин, при който вие разигравате пред подслушващия ви лъжливи сценарии. Например, големи транзакции на суми, които никога не са реализирани на практика, обещания за търговски споразуменя и прочие интересни факти, които подслушващия търси и на които би повярвал. Дезинформацията изисква майсторство, опит и талант. Но ако сте компания, която иска да защити интересите си, ще трябва да намерите съответните майстори на дезинформацията за целта (много компании имат такива, а в Япония е масово разпространено). При правилно реализирана дезинформационна кампания в Интернет, подслушващия може да попадне в такива глупави свои ходове, че да се въвлече в сериозен скандал, който да има за него фатални последици. Дезинформация се прави не само на фирмено ниво. Разузнавателните служби също използват този приом (в миналото той е бил по-характерен именно за тях). Английското разузнаване е безспорно челник в дезинформаторството, от него са се учили и ЦРУ, и МОСАД.