За DNS "фешъните" и техническия упадък

Търсейки неща по темата DNSSEC, попаднах на невероятно четиво по темата. Жалко, че цяло лято е останало незабелязано от мен, но пък за сметка на това лятото за мен не е минало под знамето на техническата некрофилия и мозъчното обедняване. Това е един типичен пример за електронен боклук, част от електронното сметище linux-bg.org. За авторите на "ициативата" bg.linux-bg.org могат да се кажат само тъжни и мрачни неща, някои от които могат да ви развалят от съня до храносмилането. По традиция всяка инициатива водена от един истински DNS "фешън" като Илия Базлянков, е пример за технически упадък, липса на елементарни знания и откровен инфантилизъм. Авторът на изобретението "коренов сървър за имена в софийски LAN доставчик" и други небивали по своята идиотщина изобретения, които са недостижими дори от инициативите на метреса Ганчева и внука на дедо Венко, този път го е откарал съвсем през просото и явно е бил силно афектиран от това, че не е разбрал какво е то DNSSEC. След прочит на личната му драма обаче, се установи, че това е най-малкия му проблем. Оказва се (за пореден път), че този виден блекметълист и голям приятел на арабския свят (а ние знаем и без да го казваме кои са приятели на арабите), не познава DNS.

За да не потъне в забвение една такава творба на неясната мисъл, ще си позволя да извадя сентенциите от нея. Някои от тях са наистина мега.

"RIPE е организацията, която контролира root сървърите за Европа." - това е меко казано тъпотия. Първо основната цел на RIPE е да бъде регионален IP регистър. Второ, RIPE е оператор само на k.root-servers.net по стечение на определени обстоятелства (не е обща практика RIR да става оператор на коренов сървър за имена, а напротив, изключение е). В Европа се намират в anycast режим възли на f.root-servers.net (опериран от ISC - организация базирана в САЩ), на i.root-servers.net (оператор Autonomica, организация базирана в Швеция), j.root-servers.net (оператор VeriSign, базирана в САЩ търговска организация) и m.root-servers.net (оператор WIDE, базирана в Япония изследователска организация). Който иска да види тези неща черно на бяло, нека да посети адрес http://www.root-servers.org. Да не говорим, че RIPE няма надзирателна функция над никой коренов сървър, освен над своя. Също така някой от лекуващите лекари да обясни на пациента Базлянков, че RIPE оперира не само в Европа.

Лично у мен предизвиква стрес обаче изявлението "като дори автора на домейн системата Paul Vixie". След подобно изявление става ясно, че си имаме работа с откровен идиот, който има само претенциите да се афишира като DNS специалист, но не знае ементарни неща за DNS. Дори ватманите от депо "Красна поляна" знаят, че системата за имена е разработена в основната си част от Джон Постел (по времето, когато е работил за Information Sciences Institute), а съвремената й част е дело преди всичко на Пол Мокапетрис (пак от ISI) и Робърт Брейдън (ISI). Пол Викси започва работа по DNS през 90-те години на миналия век и е известен с разработките си по протокола на DNS, разработката на BIND4 (частично BIND8, който е вече истински проект на общество от разработчици, координиран ос ISC, същото се отнася и за BIND9), и инфраструктурата на сървърите за имена.

Една от незабравимите сентенции на мъдростта е "Експерти смятат, че начина по който от Регистър БГ са въвели DNSSEC е неправилен и на практика е безполезен". Култово и незабравимо. Има само един начин за въвеждане на DNSSEC - факт, който средностатистическия идиот не разбира. Същият, по който RIPE са въвели DNSSEC за всички in-addr.arpa зони, регистър за които са, и допълнително за зоните на домейни на RIPE. Нарича се "остров на доверие" и за сега е единственият работещ механизъм за DNSSEC делегиране (което е на практика самоделегиране). Който има някакви съмнения, нека посети адрес https://www.ripe.net/projects/disi//keys/ и се убеди сам в това, което говоря. Делегирането на bg зоната като DNSSEC остров на доверие е абсолютно същото като използваното от RIPE. Интересно как ли да се нарича човек, който не е видял това (и какви познания има той в DNSSEC, освен заглавието). За да покажа нечия идиотия и незнание, ще кажа само, че DNSSEC делегиране за in-addr.arpa може да се направи автоматично от всеки краен ползвател на адресен сегмент, отдаден от RIPE.

Любим епизод е и цитата:

„Warning, AFAIK, “.bg” signs the zone but does not delegate (no DS in the zone), unlike “.se”. A model for the root, signing just the NS and the SOA?“

Пояснявам, за да не ви правят на глупаци. DS записи в зоната на bg си има:

;; ANSWER SECTION:
uni-sofia.bg.           345600  IN      DS      43438 5 2 556387248B1CFD5D7556C0801CBAF26A2F53C27404B782C628D4D3BE 2D15045D
uni-sofia.bg.           345600  IN      DS      43438 5 1 0DF39864A53159F40A8352D594AA470B8AF4BAFB

А и някои хора не са чели изобщо спецификациите в DNSSEC. Не е задължително да се подписва цялата зона. DNSSEC може да се прави и за отделен запис (четене и учене му е майката, иначе се потъва в глобална простотия). Да не говорим, че в момента до голяма част DNSSEC прилагането в зоната bg е експериментално (тепърва предстои да се прилага в whois базата и on-line формата за управление).

Време е в Българското интернет пространство да има един нормален технически портал за ИТ решения. Онлайн сбирки за идиоти като linux-bg.org са вече изцяло в "жълтия" спектър.

Шоуто в мрежата на МС продължава

В момента, в който пиша това, часът е 14:20 минути, а датата е 2 септември 2007г. Шоуто в мрежата на МС продължава. Ето как все още изглежда страницата на адрес http://www.dnsk.mrrb.government.bg:

Достъпът до страницата, за да се спре излагацията, отнема 1-2 реда в конфигурацията на маршрутизатора на МС или министерството. Интересно защо никой не направи това или не знае, че то е възможно? Интересно защо дори някой не е дръпнал жицата на този сървър. Или може би картинката трябва да стои, за да могат "киберченгетата" (подбрани рабирачи в областта на IRC общуването и лафовете по Skype), да свалят отпечатъци и IP адреси:)

Изключително много се радвам на станалото, за да може един път ясно да се види цялата некадърност цяряща по темата ИТ в мрежата на МС. Да се види и за какво се харчат парите на данъкоплатците, като последните биват лъгани как супертехнологии за защита се въвеждат и работят (срещу много много парички), как се хрантутят неграмотници, наречени "киберченгета" и им се позволява да си правят каквото си искат и да клеветят хора и др. И трябва по-често да се случват такива неща, за да почне обществото да търси отговорност от некадърниците. Защото невложените по предназначение обществени средства компрометират идеята за обществено развитие и поставят данъкоплатците в ролята на изнудвана за пари прослойка, която има само правата да плаща данъци и сметки.

"Хакерска" масовка в МС

Когато пиша за некадърността на техническите екипи в МС и ДА изобщо, все се появява някой, който да ми обяснява как аз съм бил изпълнен с негативизъм, как можело така или иначе и че от оплюване нямало никакъв смисъл, как всички заедно трябвало да се прегърнем (пък може и нещо друго след прегръдката, нали) братски и напред към светлото бъдеще. И да казвам и да не казвам обаче, нещата си вървят по същия предишен отчайващ начин.

Вчера видяха всички излагацията. Министерски съвет няма екип от технически грамотни кадри, които да предотвратят дребно мрежово хулиганство. Не говорим за някакви епични атаки, а за дребно мрежово хулиганство - да не преувеличаваме проблема и да викаме холивудски филмови сценарии. Външният вид на страницата на Министерство на земеделието и на Министерство на регионалното развитие и благоустройството беше подменен не поради титанични технически умения на тези дето са ги атакували, а поради това, че сървърите, на които се обслужват страниците не са поддържани изобщо и използват рисков софтуер и операционна система. Нека да си ги кажем тези неща в прав текст. Освен това няма елементарна система за наблюдение на заявките към тези сървъри, няма дори дежурен, който да спре достъпа до проблемния сървър. Като изключим мрежите на Министерство на финансите и Министерство на държавната политика при бедствия и аварии, навсякъде другаде е паднал гъст и лепкав мрак.

Средностатистическият българин и понятие си няма как се прави взлом в сървър. На него му се казва, че злите хакери са влезли на сървърите (ах, тези гадни хакери). Ама как са влязли и защо са успели, не му се казва. Той дори не прави разлика между кракер и хакер, но предвид ниското интелектуално ниво в обществото, това не бива да ни учудва по никакъв начин. На този фон на непознаване на материята, от снощи се започва масирана медийна кампания, чиято цел е да покаже как "хакерите" са извършили престъпление и посегателство срещу страници на сървъри в министерства у нас. Коя медия спомена, че такива атаки са възможни заради НИКАКВАТА поддръжка на информационната структура в мрежите на министерствата? Защо никоя медия не потърси "специалистите" от "Високите технологии" ДАИТС? Нека да кажат работещите там приютени червени труженици (изкарващи си хляба с ужасен и напосилен интелектуален труд), защо в сървърите и мрежите на държавни ведомства могат да влизат дечица и къде са им високите информационни технологии (за които се дават мега суми). Защо някой не изведе шампиона по плискане на хладка вода в очите на слепите, Пламен Вачков, от някой пореден партиен банкет и не му разби храносмилането с въпроси за технологичното обезпечаване на информационната сигурност в държавните структури? Защо никой не намери за коментар Никито Василев a.k.a. "Малкия Мук" и да го попита как така след такова партньорство с Майкрософт, "високотехнологичните" и "най-сигурни" сървъри са пробити.

Участието на ГДБОП в разследването е не само смешно, то е жалко и театрално, но е част от сценария в Холивудски стил ("нинджите дойдоха - за жалост мозък не донесоха"). В ГДБОП нямат никакви познания в областта на сървърите (дори и не им е много ясно какво е точно сървър). Та тези технологични слепци са почнали разследване с (внимание сега) компютърни специалисти от Министерство на земеделието. Сигурно са същите тези специалисти, чиито сървър е пробит по най-детския начин.

В момента се прави масовка с цел прикриване на истинските виновници и причини за случилото се. Никоя медия не обяснява защо е станал възможен пробива (сигирно от срам не казват). Не се обяснява дори, че има брутално тъжна поддръжка на мрежите на министерствата и държавната администрация като цяло. Не се казва кой е взел пари за тази работа и защо нищо не е направил. Но в страна без гражданско общество, тези въпроси няма да бъдат зададени, за това и никой не си играе да търси отговорите им, най-малко пък медиите, които са партийно зависими. Просто защото ще ги зададат прекалено малко хора, а масата от тъпанари ще каже "абе тези какво плачат и питат глупости".

Относно подслушването на гласопреноса (продължение)

А сега малко и за възможността мобилните GSM комуникации да бъдат подслушвани направо на ниво ефир (без достъп до централата на мобилния оператор). За целта трябва да се декриптира трафика от мобилния апарат до клетката. Ето печалната хроника на разбитите шифри за защита на този трафик:

* A5/1 е разбит в реално време от Алексей Бирюков, Ади Шамир и Давид Вагнер през 2000г (използвайки предишни разбработки на Йован Голич). Година и половина по-късно Елад Баркан разработва активна атака срещу алгоритъма.

* А5/2 е разбит от Ян Голдберг и Давид Вагнер през 1999г (ако има паметливи, същите разбиха SSL версия 1 на Netscape). Атаката може да бъде проведена в реално време.

* A5/3 (KASUMI) е текущо използваемия шифър за стандарта за мобилни комуникации съгласно спецификациите на 3GPP. Шифърът е блоков, от фейстелов тип и оперира със 128 битов ключ върху 64 битови блокове информация. Стандартизиран е от Европейския институт за телекомуникационни стандарти. Вече е почти ясно, че този шифър е разбиваем и несигурен. Автори на успешните атаки срещу шифъра са Елад Баркан, Ели Бихам, Ор Дункерман и Натан Келер. Елад Баркан, Ели Бихам и Натан Келер публикуваха преди година интересна статия, в която се дават механизмите за атака над всички шифри от серията A5/X.

Забележка за читателите с пагони: Не тръгвайте да ги пускате тези последните за издирване, не са торент потребители от Надежда, въпреки, че имат IP адреси:). Живеят в Израел и се ползват със страхотен обществен престиж като академични кадри. Поне в чужбина не се излагайте...

Интересното е следното. A5/1 и A5/2 продължават да се използват години след официалното оповестяване, че са разбиваеми в реално време. На GSM потребителите се дават лъжливи успокоения за невъзможност ефирно да се подслушва комуникацията им, като това изобщо не отговаря на действителността. Голдберг и Вагнер разбиват A5/2 през 1999г. Чак през 2006г. GSM асоциацията обявява, че не препоръчва използването на A5/2. Асоциацията няма още ясно становище какво ще прави с пробития вече A5/3 (KASUMI). У нас обаче на никой не му пука за това. Потребителите дори не се сещат да попитат как операторите им защитават личната комуникация. Никой не дава такива обяснения.

Използването на такива слаби шифри предоставя възможност за ефирно прихващане на разговори без да се налага изобщо да се преминава през централата на мобилния оператор. Редно е някои държавни организации у нас да си седнат на четирибуквието и поне държавната администрация да започне да използва системата TETRA, където може да се надграждат шифрите с по-здрави, и да се спре това безогледно подаряване на важна информация на всеки, който поиска да я получи. Направо ужасно е използването на GSM комуникации от полицията и армията, където то е направо на служебно ниво. Не знам как я мислят тази работа отговорните органи, но ако държавата не пази информацията си, тя е просто един разграден двор. И вместо да се борят с писачи в блогове, екозащитници и торент потребители, компетентните органи да си наемат истински експерти, а не торби с желе с интелект на зелена еуглена, и да направят сигурна и надеждна система за комуникация. Няма проблеми да се използва преносната среда на мобилните оператори, достатъчно е самите телефонни апарати да поддържат P2P криптиране на гласа. Така е в развитите страни, към които искаме да се числим.

Относно подслушването на гласопреноса

Провокиран до известна степен (в добрия смисъл на думата) от друго писание в блогсферата, ще подхвана една доста интересна тема - подслушването на гласовите комуникации (гласопреноса).

Всяка власт се е стремяла да бъде "всевиждаща" и "всечуваща" и да наднича в комуникациите на гражданите си. Това е част от парадокса на "акционерната държава", при който държавата се превръща в акционерно дружество на бюрокрацията, а гражданите са тези, от които се набавят парите, за да могат след това се използват срещу тях в поддръжка на акционерното дружество. Парадоксално е, но ние като граждани си плащаме, за да ни подслушват. Парите ни винаги се взимат под предлога, че така ще ни се осигури сигурност и че законите били достатъчно добре направени, че да не може акционерите (бюрократите) да използват данъците ни против самите нас. Последното е нагла лъжа! И е така, защото няма контрол над тези, които подслушват. Сигурно на хартия може да се напише всякакъв законов контрол, но технологично той много трудно може да бъде проведен, а и за да бъде проведен се иска желание и куп други чисто човешки качества, на които не може да се разчита. От друга страна съдът няма възножност да следи реда за получаване на информация чрез подслушване, макар именно той да трябва да прави това. Правомощията му са ограничени само до издаване на разпореждане за извършване на подслушване и да изисква информацията да му бъде предоставена по надлежния ред. Но не може да знае колко други още прихващания на информация има. Нали не си представяте прокурор, който денонощно седи в информационния център за извършване на прихващането на разговори и има поглед върху всички устройства да запис?

Някои читатели биха възкликнали "ама защо да ме подслушват, аз с какво съм интересен". Ако читателят е безличен и разговорите му се простират от "хайде на табла" до "хайде на бира" да, той няма за какво да се притеснява, защото е жив символ на говедовъдството. Но различните хора (разделени по социални прослойки, интереси, личен живот и т.н) в едно общество, обменят различна по характер информация помежду си, която може да представлява интерес за някого. Наивно е да се смята, че всички си говорят по телефона за едно и също нещо, което е еднакво безинтересно. Да, има общи теми, но те не заемат 100% от времето за разговори.

Всички телекомуникационни оператори на фиксирана и мобилна телефония у нас и не само у нас, са длъжни да предоставят съответния изискван вход към своята мрежа, през който МВР и по-точно съответното техническо звено в него, да могат по всяко време да прихващат и записват разговори между произволни два абоната. Тук има доста интересни казуси. Първият е как в МВР може да са сигурни, че оператора на телефония няма да "изключи" от прихващане дадени разговори (техническа възможност за това винаги има)? Вторият казус е как МВР разбира дали оператора не прави "театър" (т.е. да пуска записани преди време разговори, но да ги подава по канала за прихващане към МВР след време)? Ако погледнете реално на нещата, ще установите, че операторите на фиксирана и мобилна телефония работят единствено и само в собствен интерес, защото те са търговци, които развиват дейност с цел печалба. Изведнъж те се явяват първоизтоник на информация, която се използва от МВР и от съда и която трябва да е събрана на принципа на неутралност, за да има каквато и да е стойност. Как се вписва един търговец в една неутралност като тази, за която говорим? Интересно ми е какво ще стане, ако аз отида при търговеца с куфар пари или с компромат срещу него и го принудя да подхвърли на МВР и оттам на съда разговор, който е подправен, режисиран или казано накратко фалшив? Как МВР може да докаже, че разговорите се извършват в реално време и че те не слушат запис? Има и един много интересен въпрос, който остава недоизяснен винаги (не само у нас). Има ли бизнес интереси зад подслушването? Разбира се, някои бизнес интереси са свързани с политика. Т.е. явния вид на въпроса е "какво предпазва някои хора в МВР от изкушението да подслушват някого по поръчка срещу пари". Има и друг въпрос и той е "какво гарантира, че МВР не събира информация за политическите противници на сегашното правителство"? Технически системата за прихващане на телефонни разговори не позволява 100% контрол на достъпа до информацията, което значи, че може да има "неслужебно" използване на системата. Много бих се смял, ако някой се закълне, че това не е така (или трябва да е мега заблуден или трябва да е безочлив лъжец).

Не знам дали си спомняте стачката в Пирогов и изненадващо излезлия (да си го кажем "подхвърлен") телефонен разговор на един лекар с неговия пациент. Спомняте ли си, че съгласно правилата по събиране на оперативна информация, този разговор би следвало да е унищожен отдавна? Вярвате ли още в правилното събиране на информация от страна на МВР за телефонните разговори? Аз не.

МВР се опитват да прихващат и ISDN комуникация (частично засягаща алтернативните телекоми). Ето и търга за апаратура:

http://pressboard.info/Preview.aspx?articleid=902095


От друга страна, ако някой иска да предава информация през телефонна линия без МВР да може да анализира информацията, той винаги може да направи това. Всеки с малко разум в главата ще се досети, че на МВР ще им е доста трудно да гонят престъпни групировки по този начин, защото именно престъпните групировки са технически обезпечени така, че да крият информацията си. Ако те не я крият, те нямаше да могат да съществуват. Не, МВР нямаше да им види сметката, а конкурентите им. На този фон желанието на МВР да подслушват някого, който технически е едни гърди пред тях, ми се струва параван за масово подслушване на граждани и политици. Ако вие знаете, че сте подслушвани, ще споделяте ли важни неща по подслушваната линия? А защо мислите, че тези, които се страхуват от подслушване няма да си пазят информацията? И значи какво остана... ами да се подслушват тези, които няма какво да крият (или поне си мислят така).

Я се замислете и над нещо друго. Държавните служители от министър до секретарка имат мобилни телефони. Те използват тези мобилни телефони за пренос на служебна информация и за лични разговори. Цялата тази информация преминава през оператора на услугата, който казахме е търговец и нищо повече. На практика един огромен поток от информация от и към държавните служители преминава през място, където може да бъде несанкционирано прихванат (не само от МВР). Аз не твърдя, че това се прави, но твърдя, че това е много лесно да се направи, ако има наличен за това стимул. Интересно е как Държавата не се е сетила да реши този проблем (между другото ми е много интересно какво стана със системата TETRA) и поверява ценна информация на търговци. Мобилните и операторите на фиксирана телефония се използват и от политиците, които са или не са на власт. Какво гарантира, че политическото ръководство на управляващите няма да подслушва своите политически опоненти и вътрешнопартийни "врагове"? Такива неща се случват и в страни, които са много по-демократични от България. Би било невероятно да не се случват и да не са се случвали у нас.

Има и един друг момент. Да си представим масовото подслушване - огромни масиви с файлове, които представляват записи на телефонни разговори на лица, интересни за МВР (няма да описвам какво е породило интереса). Как тези разговори се анализират? Има два начина - автоматично (с програми за анализ) и ръчно (оператор прослушва записа, анализира го и съставя протокол за съдържанието му). Автоматичният анализ може много лесно да се излъже. Модулация на гласа, направена от съответно настроен синтезатор на глас, е най-доброто решение. Преправянето на гласа, когато говорите, неясен начин на говорене и изразяване против синтактичния строеж на речта и проваляте анализа. Използването на кодова книга е най-елегантния начин да се избегне каквото и да е прихващане на информация. Има стеганографско скриване на говор в друг и прочие. Тогава основателно изниква въпроса какво реално се подслушва. Да кажем, че автоматично могат да се прихванат предварително зададени думи и да се насочи записа към разговора, в който те присъстват. После какво се прави? Ами ако разговорът е предварително прикрит по сценарий? Някой от вас представят ли си как се извършва лингвистичен анализ на разговор, в който има скрит смисъл? Съмнявам се, че в МВР имат такива кадри и дори да имат, те едва ли са толкова много, че да насмогнат на всички записани разговори. Следователно изводът може би е, че или се подслушват "лесни" обекти, или се подслушват обикновени граждани, които не са престъпници и за това не крият информацията си. Не мога да го твърдя със 100% сигурност, но е твърде вероятно да е така на фона на бездействието на МВР спрямо организираната престъпност в България (торент потребителите излязоха организирани престъпници, еколозите също, но строителната мафия дори не е споменавана от МВР, какво ли да говорим за петролната).


Показвам ви как се води скрит обмен на информация. A и B искат да обменят информация през GSM, че искат да се срещнат в 19:30 часа на мястото X. Използват синонимна и кодова книги, който са уточнили предварително:

A: Гледай предаването в 08:15 по ББТ
B: добре

Синонимна книга: "предаване, предавания, клип, филма, рубриката -> среща"
Кодова книга: 08 -> 19 ; 15 -> 30; ББТ -> X

След това A и B изключват GSM апаратите си и отиват към мястото на срещата. Изключването им не позволява проследяване на маршрута им на движение по клетките на GSM системата. Срещат се, обменят информация, уточняват синонимната и кодовата си книги и се разделят. Този начин на комуникация няма как да бъде анализиран от МВР чрез прихващане на разговора. Моля да ми бъде показано как МВР ще го анализират. Моля да ми покажат и какво незаконно има във воденето на тази комуникация (точния закон, член, алинея).

Помнете, няма закон, който да може да ви задължи да си предоставяте информацията за подслушване!


Интересен въпрос е как да си направите гласовия обмен в Интернет недосегаем за подслушване.

Убеден, че Skype става за обмен на служебна информация е само повелителя на математиката, статистиката и интернет комуникациите Явор Колев (отскоро известен като "Мистър 96%"). За всички други е ясно, че:

- нямате гаранция за това, че базата с потребители на Skype дава еднозначна и сигурна идентификация на кореспондента (Skype не следи за верността на въведените данни);
- нямате гаранция за това, че някой не ви е прихванал паролата и не ви е "превзел" профила и не се представя вместо вас;
- нямате гаранция за това, че Skype не подслушват разговорите ви с цел събиране на информация и не я предоставят на някого;
- трафикът между вас и кореспондента ви е некриптиран и следователно събираем и подслушваем.

За съжаление това може да се каже и за гласовите комуникации на Yahoo, MSN и Google. Обикновено техническите екипи на споменатите компании се оправдават с това, че криптирането на гласовата комуникация, ако трябва да бъде осъществено централизирано топлогично (не знам защо те така виждат нещата все централизирани - много съмнително ми е), би натоварило сървърската инфраструктура, което е така, ако има централизираност. Ако разговорите се криптират "Peer-to-Peer", такова натоварване няма да има никога. Кажете ми обаче кой от софтуера и протокола на тези споменати компании поддържа "peer-to-peer" криптиране на гласопреноса?

Представете си сега, че сте техническо лице в голяма компания, с голям паричен и стоков оборот, която иска да защити своите вътрешни гласови комуникации предавани през Интернет от офис до офис. Разбира се, вие не вярвате на МВР и законите, които ще пазят преноса ви на данни от несанкционирано подслушване и сте все още на работа там, именно защото не сте се поддали на това сляпо доверие. Първото, в което трябва да убедите ръководството, а то служителиите си е, че използването на софтуерни продукти като Skype, MSN Msg, Yahoo Msg или GTalk за служебни комуникации е вредно и опасно. Второ, пускате телефонията между офисите чрез вътрешна централа (примерно базирана на Asterisk). Целият трафик между тях, който се пренася през Интернет, се поставя в IPsec ESP режим без никакви изключения! Използването на IPsec чрез ESP без тунелна капсулация е най-лекия откъм натоварване вариант за пренос на гласова комуникация! Всички колеги, които пътуват в командировка с лаптопи, да провеждат разговори с колеги в офисите през Интернет само в условия на IPsec връзка между лаптопа (на който е инсталиран софтуера за гласова комуникация) и вътрешната централа на компанията. Направете звено в компанията, което да се занимава с информационна диверсия. Звеното трябва да симулира изичане на информация, която да заблуждава подслушващия. Информационната диверсия е част от бизнес модела в Азия, САЩ и не виждам защо Европа трябва да изостава от тази тенденция (има фирми в Израел, които ще ви дадат достатъчно knowhow по темата на нормални цени). Съжелявам за пропиляното време на подслушващите дезинформацията, но те сами са си избрали да си пропилеят живота по този начин и никой не им е виновен за това, нито задължен да им осигурява комфортно съществуване. Ще им се наложи да анализират невярна информация, което е най-справедливото морално наказание за тях.

Ако сте частно лице и искате да разговаряте с някого чрез интернет телефония, използвайте Ekiga или Gnome Meeting (старото име на проекта родил Ekiga), а може и Linphone. Това са SIP и H323 базирани P2P софтуери с отворен код. Няма проблеми да криптирате потока между вашия компютър и този на кореспондента ви чрез IPsec в ESP режим. Така обмена между клиентските P2P приложения също ще бъде криптиран.

Съществува и супер лесен начин за предаване на гласова информация без всякакви IPsec тунели и прочие. Тя се нарича "гласова поща" или "Voice Mail". Записвате съобщение в аудио форматен файл (препоръчвам Ogg формат). Криптирате го с GnuPG и го изпращате по пощата на получателя. Той го декриптира, прослушва и ви отговаря по същия начин с криптирана гласова поща. Ако отработите добре схемата, ще съкратите технологичното време за изготвяне на криптирания файл и няма да ви липсва много комуникацията в реално време.


И накрая едно правило за успеха ви:

Ако искате да имате щастлив личен живот и добра професионална реализация, никога не се доверявайте на публичните телефонни мрежи.

Универсалното координатно време и NTP

ВНИМАНИЕ! Съдържанието на тази бележка не е препоръчително за читатели с пагони.

Често ми се налага в хода на провеждани обучения да обяснявам на обучаваните понятия и методики от метрологията. Едно от тях е универсалното координатно време (англ. UTC). То е различно от универсалното време (UT), което се базира на периода на въртене за Земята около нейната ос. Ако се използва UT, то следва величината 1 секунда да няма възпроизводим еталон. Причината е, че Земята се върти забавително и ако един ден има 24 часа, един час има 60 минути, а една минута има 60 секунди, то секундата няма да има еднозначен еталон.

Въпросите, които курсистите поставят обикновено са свързани с това дали протокола NTP се съобразява с UTC или UT и как става това. Ще си позволя да напиша кратки обяснения, за да може всеки на достъпо ниво да научи за това как NTP взаимодейства с еталонната система за времеотчитане.

* * *

Айнщайн постулира т.нар. "идеален светлинен часовник". Този часовник би следвало да има следната конструкция. Две огледала се поставят едно срещу друго. Към едното се насочва сноп светлина, съдържащ импулси, която се отразява в него и се предва към другото огледало, то я връща към първото и т.н. следват повторения на този процес. По този начин времето се измерва като се знае разстоянието между огледалата и се измери началото и края на акта на отражение. Разбира се, Айнщайн си е представял установката като отдалечени на голямо разстояние огледала в Космоса, доколкото в земни условия разстоянията между двете огледала биха били твърде малки за да се реализира чувствителност на измерването. Работата на този часовник се гарантира от това, че скоростта на светлината е константа. Този часовник обаче, има един съществен проблем и той би се проявил, ако часовника се движи ускорително. Съгласно разработената от Айнщайн теория на относителността, величината "разстояние" зависи от това дали измерването й се извършва в отправна система движеща се ускорително спрямо тази на наблюдателя (измерващия) или не. Така дори скоростта на светлината да е постоянна, ако разстоянието между двете огледала се мени при движение с ускорение спрямо наблюдателя от отправната система, спрямо която става движението с ускорение, благодарение на свойствата на пространството този часовник би измерил различно време от това в случая, в който няма ускорително движение. За величината "разстояние" (както и голям набор други физични величини), се казва, че е релативистична. Т.е. измерваната й стойност много силно зависи от това дали отправната система се движи с ускорение спрямо наблюдателя или не и от скоростта й на движение. Т.е. светлинният часовник на Айнщайн е релативистки. За механичните часовници също може да се докаже, че са релативистки. Релативистичните свойства на физични величини, могат опитно да бъдат доказани дори при малки стойности на ускорението и ниски скорости (напр. чрез използване на ефекта на Мьосбауер). Т.е. не е нужно да се стига до големи ускорения и скорости близки до тази на светлинната.

Може да се докаже, че квантовият часовник е нерелативистки. За съжаление такова доказателство е твърде сложно да се излага пред широка аудитория, а и няма смисъл, защото изисква тесни познания, които имат само специалисти. Достатъчно е да се каже, че в практиката се използват атомни часовници, които са нерелативистки. В голяма степен, те погрешно се наричат атомни, защото не атомите реализират процеса, спрямо който се еталонира величината "1 секунда", а процеси в самите атоми. Съгласно международно утвърдената система за мерки и теглилки (SI), 1 секунда се отчита спрямо брой осцилации между две много близки енергетични основни състояния на атома на изотопа на Цезий с масово число 133, които пък се "броят" спектроскопски. По-точно, честотата на осцилация е 9 192 631 770 Hz, откъдето следва, че 9 192 631 770 осцилации са 1 секунда.

Човечеството измерва времето календарно и реперирано. Реперирането става на база ден, който съдържа 24 часа, а всеки час съдържа 60 минути. Много хора биха продължили това разделяне до "и всяка минута има 60 секунди" и ще сгрешат. Универсалното координатно време (UTC) не прави тази грешка. UTC използва атомните часовници като еталон за 1 секунда. Съгласно този стандарт минутата може да има променлив брой секунди и да не е еталонирана величина. Причината, поради която UTC прави това е съобразяването със събития като "един ден" и "една година". Погледнато строго, Земята не се върти равномерно спрямо своята ос на въртене. Движението й е ускорително. Причините за това няма да дискутираме тук, но е очевидно, че подобно ускорително движение, ще доведе до това, че атомния часовник ще отчете един ден от 86400 секунди, но физически денят няма да е толкова. Земята се върти около своята ос забавително (но не равнозабавително). Следователно денят е по-дълъг от 86400 секунди. За да отчете това забавяне, стандарта UTC прибавя по една допълнителна секунда еднокретно на всеки 500 дни (засега). В края на този век UTC трябва да прибавя по една секунда на всеки 250 дни, а в края на 21 век ще трябва през годината да се прибавят еднократно по 2 секунди (или двукратно по една), за да може събитието "ден" да има 24 часа.

Протоколът NTP се съобразява с UTC. Това става по следния начин. Както повечето от вас знаят, NTP използва източници на време, които основно са три: GPS сверяване, CDMA (радио сверяване) или директено сверяване от атомен часовник. GPS сверяването е също по атомен часовник, но доколкото там има чисто протоколни особености, се води за различно от това извършвано директно по атомен часовник (същото е положението при CDMA). Когато операторте на атомния часовник решат да прибавят една секунда, NTP протокола пропагандира прибавянето й към клиентите (потребителите) и те сверяват локалните си часовници. В това отношение дизайна на NTP е много обмислен и добър.

Може да се каже, че ядрата на Linux и повечето UNIX дистрибуции поддържат UTC и NTP безпроблемно сверява часовниците съгласно UTC. Разбира се, в Windows не е така. Но там какво ли е както трябва.