Hard Trance - One Word Mix

Хайде на подслушването

2007-11-05T14:02:00.000+02:00

Четейки това

http://dnevnik.bg/show/?storyid=394408

си задавам следния въпрос. Колко ли прост трябва да е един човек, колко неук и безпросветен трябва да бъде той, за да разбере, че ако някой знае, че ще бъде подслушван, той ще скрие информационните си канали и няма да използва подслушваеми канали в никакъв случай. Ако обаче този човек не е прост, то единствената цел на всички подобни закони, наредби и други "творения", разработвани и предлагани от него, е да се подслушват гражданите. И то да се подслушват с техните пари, защото парите за апаратури за подслушване, за анализ и съхранение на информацията се взимат от държавния бюджет. Аз уважавам укриването на данъци от редовите граждани и го адмирирам. Държавата е доказала, че не може да управлява бюджета и го използва само срещу тези, които го формират. Колкото по-бедни са тези, които пълнят бюджета, толкова по-богати стават тези, които го пилеят. За какво да се плаща? За да строя имоти на мошеници и да оборудвам псевдоагенции, които ще ме подслушват? Да има да взимате.

Важни отличници по приемането на тези закони са:

Татяна Дончева - известна с поправката "Ванко 1", цинично изплюла се в лицето на всички семейства, чиито деца са завлечени да проституират в чужбина;
Серегей Станишев - човек, който не става за нищо друго, освен да управлява по царски (ако става за друго, нека го напише някъде, за да чуя до колко един човек може да величае себе си);
знайни и незнайни депутати, купени от групировки, прости и алчни, с червено минало и настояще, бивши и настоящи ченгета, които нищо не са дали на обществото, но пък са дали много на градската канализация.

За DNS "фешъните" и техническия упадък

2007-09-30T03:30:00.000+03:00

Търсейки неща по темата DNSSEC, попаднах на невероятно четиво по темата. Жалко, че цяло лято е останало незабелязано от мен, но пък за сметка на това лятото за мен не е минало под знамето на техническата некрофилия и мозъчното обедняване. Това е един типичен пример за електронен боклук, част от електронното сметище linux-bg.org. За авторите на "ициативата" bg.linux-bg.org могат да се кажат само тъжни и мрачни неща, някои от които могат да ви развалят от съня до храносмилането. По традиция всяка инициатива водена от един истински DNS "фешън" като Илия Базлянков, е пример за технически упадък, липса на елементарни знания и откровен инфантилизъм. Авторът на изобретението "коренов сървър за имена в софийски LAN доставчик" и други небивали по своята идиотщина изобретения, които са недостижими дори от инициативите на метреса Ганчева и внука на дедо Венко, този път го е откарал съвсем през просото и явно е бил силно афектиран от това, че не е разбрал какво е то DNSSEC. След прочит на личната му драма обаче, се установи, че това е най-малкия му проблем. Оказва се (за пореден път), че този виден блекметълист и голям приятел на арабския свят (а ние знаем и без да го казваме кои са приятели на арабите), не познава DNS.

За да не потъне в забвение една такава творба на неясната мисъл, ще си позволя да извадя сентенциите от нея. Някои от тях са наистина мега.

"RIPE е организацията, която контролира root сървърите за Европа." - това е меко казано тъпотия. Първо основната цел на RIPE е да бъде регионален IP регистър. Второ, RIPE е оператор само на k.root-servers.net по стечение на определени обстоятелства (не е обща практика RIR да става оператор на коренов сървър за имена, а напротив, изключение е). В Европа се намират в anycast режим възли на f.root-servers.net (опериран от ISC - организация базирана в САЩ), на i.root-servers.net (оператор Autonomica, организация базирана в Швеция), j.root-servers.net (оператор VeriSign, базирана в САЩ търговска организация) и m.root-servers.net (оператор WIDE, базирана в Япония изследователска организация). Който иска да види тези неща черно на бяло, нека да посети адрес http://www.root-servers.org. Да не говорим, че RIPE няма надзирателна функция над никой коренов сървър, освен над своя. Също така някой от лекуващите лекари да обясни на пациента Базлянков, че RIPE оперира не само в Европа.

Лично у мен предизвиква стрес обаче изявлението "като дори автора на домейн системата Paul Vixie". След подобно изявление става ясно, че си имаме работа с откровен идиот, който има само претенциите да се афишира като DNS специалист, но не знае ементарни неща за DNS. Дори ватманите от депо "Красна поляна" знаят, че системата за имена е разработена в основната си част от Джон Постел (по времето, когато е работил за Information Sciences Institute), а съвремената й част е дело преди всичко на Пол Мокапетрис (пак от ISI) и Робърт Брейдън (ISI). Пол Викси започва работа по DNS през 90-те години на миналия век и е известен с разработките си по протокола на DNS, разработката на BIND4 (частично BIND8, който е вече истински проект на общество от разработчици, координиран ос ISC, същото се отнася и за BIND9), и инфраструктурата на сървърите за имена.

Една от незабравимите сентенции на мъдростта е "Експерти смятат, че начина по който от Регистър БГ са въвели DNSSEC е неправилен и на практика е безполезен". Култово и незабравимо. Има само един начин за въвеждане на DNSSEC - факт, който средностатистическия идиот не разбира. Същият, по който RIPE са въвели DNSSEC за всички in-addr.arpa зони, регистър за които са, и допълнително за зоните на домейни на RIPE. Нарича се "остров на доверие" и за сега е единственият работещ механизъм за DNSSEC делегиране (което е на практика самоделегиране). Който има някакви съмнения, нека посети адрес https://www.ripe.net/projects/disi//keys/ и се убеди сам в това, което говоря. Делегирането на bg зоната като DNSSEC остров на доверие е абсолютно същото като използваното от RIPE. Интересно как ли да се нарича човек, който не е видял това (и какви познания има той в DNSSEC, освен заглавието). За да покажа нечия идиотия и незнание, ще кажа само, че DNSSEC делегиране за in-addr.arpa може да се направи автоматично от всеки краен ползвател на адресен сегмент, отдаден от RIPE.

Любим епизод е и цитата:

„Warning, AFAIK, “.bg” signs the zone but does not delegate (no DS in the zone), unlike “.se”. A model for the root, signing just the NS and the SOA?“

Пояснявам, за да не ви правят на глупаци. DS записи в зоната на bg си има:


;; ANSWER SECTION:
uni-sofia.bg.           345600  IN      DS      43438 5 2 556387248B1CFD5D7556C0801CBAF26A2F53C27404B782C628D4D3BE 2D15045D
uni-sofia.bg.           345600  IN      DS      43438 5 1 0DF39864A53159F40A8352D594AA470B8AF4BAFB

А и някои хора не са чели изобщо спецификациите в DNSSEC. Не е задължително да се подписва цялата зона. DNSSEC може да се прави и за отделен запис (четене и учене му е майката, иначе се потъва в глобална простотия). Да не говорим, че в момента до голяма част DNSSEC прилагането в зоната bg е експериментално (тепърва предстои да се прилага в whois базата и on-line формата за управление).

Време е в Българското интернет пространство да има един нормален технически портал за ИТ решения. Онлайн сбирки за идиоти като linux-bg.org са вече изцяло в "жълтия" спектър.

Шоуто в мрежата на МС продължава

2007-09-02T14:19:00.000+03:00

В момента, в който пиша това, часът е 14:20 минути, а датата е 2 септември 2007г. Шоуто в мрежата на МС продължава. Ето как все още изглежда страницата на адрес http://www.dnsk.mrrb.government.bg:

Достъпът до страницата, за да се спре излагацията, отнема 1-2 реда в конфигурацията на маршрутизатора на МС или министерството. Интересно защо никой не направи това или не знае, че то е възможно? Интересно защо дори някой не е дръпнал жицата на този сървър. Или може би картинката трябва да стои, за да могат "киберченгетата" (подбрани рабирачи в областта на IRC общуването и лафовете по Skype), да свалят отпечатъци и IP адреси:)

Изключително много се радвам на станалото, за да може един път ясно да се види цялата некадърност цяряща по темата ИТ в мрежата на МС. Да се види и за какво се харчат парите на данъкоплатците, като последните биват лъгани как супертехнологии за защита се въвеждат и работят (срещу много много парички), как се хрантутят неграмотници, наречени "киберченгета" и им се позволява да си правят каквото си искат и да клеветят хора и др. И трябва по-често да се случват такива неща, за да почне обществото да търси отговорност от некадърниците. Защото невложените по предназначение обществени средства компрометират идеята за обществено развитие и поставят данъкоплатците в ролята на изнудвана за пари прослойка, която има само правата да плаща данъци и сметки.

"Хакерска" масовка в МС

2007-09-02T12:23:00.000+03:00

Когато пиша за некадърността на техническите екипи в МС и ДА изобщо, все се появява някой, който да ми обяснява как аз съм бил изпълнен с негативизъм, как можело така или иначе и че от оплюване нямало никакъв смисъл, как всички заедно трябвало да се прегърнем (пък може и нещо друго след прегръдката, нали) братски и напред към светлото бъдеще. И да казвам и да не казвам обаче, нещата си вървят по същия предишен отчайващ начин.

Вчера видяха всички излагацията. Министерски съвет няма екип от технически грамотни кадри, които да предотвратят дребно мрежово хулиганство. Не говорим за някакви епични атаки, а за дребно мрежово хулиганство - да не преувеличаваме проблема и да викаме холивудски филмови сценарии. Външният вид на страницата на Министерство на земеделието и на Министерство на регионалното развитие и благоустройството беше подменен не поради титанични технически умения на тези дето са ги атакували, а поради това, че сървърите, на които се обслужват страниците не са поддържани изобщо и използват рисков софтуер и операционна система. Нека да си ги кажем тези неща в прав текст. Освен това няма елементарна система за наблюдение на заявките към тези сървъри, няма дори дежурен, който да спре достъпа до проблемния сървър. Като изключим мрежите на Министерство на финансите и Министерство на държавната политика при бедствия и аварии, навсякъде другаде е паднал гъст и лепкав мрак.

Средностатистическият българин и понятие си няма как се прави взлом в сървър. На него му се казва, че злите хакери са влезли на сървърите (ах, тези гадни хакери). Ама как са влязли и защо са успели, не му се казва. Той дори не прави разлика между кракер и хакер, но предвид ниското интелектуално ниво в обществото, това не бива да ни учудва по никакъв начин. На този фон на непознаване на материята, от снощи се започва масирана медийна кампания, чиято цел е да покаже как "хакерите" са извършили престъпление и посегателство срещу страници на сървъри в министерства у нас. Коя медия спомена, че такива атаки са възможни заради НИКАКВАТА поддръжка на информационната структура в мрежите на министерствата? Защо никоя медия не потърси "специалистите" от "Високите технологии" ДАИТС? Нека да кажат работещите там приютени червени труженици (изкарващи си хляба с ужасен и напосилен интелектуален труд), защо в сървърите и мрежите на държавни ведомства могат да влизат дечица и къде са им високите информационни технологии (за които се дават мега суми). Защо някой не изведе шампиона по плискане на хладка вода в очите на слепите, Пламен Вачков, от някой пореден партиен банкет и не му разби храносмилането с въпроси за технологичното обезпечаване на информационната сигурност в държавните структури? Защо никой не намери за коментар Никито Василев a.k.a. "Малкия Мук" и да го попита как така след такова партньорство с Майкрософт, "високотехнологичните" и "най-сигурни" сървъри са пробити.

Участието на ГДБОП в разследването е не само смешно, то е жалко и театрално, но е част от сценария в Холивудски стил ("нинджите дойдоха - за жалост мозък не донесоха"). В ГДБОП нямат никакви познания в областта на сървърите (дори и не им е много ясно какво е точно сървър). Та тези технологични слепци са почнали разследване с (внимание сега) компютърни специалисти от Министерство на земеделието. Сигурно са същите тези специалисти, чиито сървър е пробит по най-детския начин.

В момента се прави масовка с цел прикриване на истинските виновници и причини за случилото се. Никоя медия не обяснява защо е станал възможен пробива (сигирно от срам не казват). Не се обяснява дори, че има брутално тъжна поддръжка на мрежите на министерствата и държавната администрация като цяло. Не се казва кой е взел пари за тази работа и защо нищо не е направил. Но в страна без гражданско общество, тези въпроси няма да бъдат зададени, за това и никой не си играе да търси отговорите им, най-малко пък медиите, които са партийно зависими. Просто защото ще ги зададат прекалено малко хора, а масата от тъпанари ще каже "абе тези какво плачат и питат глупости".

Относно подслушването на гласопреноса (продължение)

2007-09-01T15:30:00.000+03:00

А сега малко и за възможността мобилните GSM комуникации да бъдат подслушвани направо на ниво ефир (без достъп до централата на мобилния оператор). За целта трябва да се декриптира трафика от мобилния апарат до клетката. Ето печалната хроника на разбитите шифри за защита на този трафик:

* A5/1 е разбит в реално време от Алексей Бирюков, Ади Шамир и Давид Вагнер през 2000г (използвайки предишни разбработки на Йован Голич). Година и половина по-късно Елад Баркан разработва активна атака срещу алгоритъма.

* А5/2 е разбит от Ян Голдберг и Давид Вагнер през 1999г (ако има паметливи, същите разбиха SSL версия 1 на Netscape). Атаката може да бъде проведена в реално време.

* A5/3 (KASUMI) е текущо използваемия шифър за стандарта за мобилни комуникации съгласно спецификациите на 3GPP. Шифърът е блоков, от фейстелов тип и оперира със 128 битов ключ върху 64 битови блокове информация. Стандартизиран е от Европейския институт за телекомуникационни стандарти. Вече е почти ясно, че този шифър е разбиваем и несигурен. Автори на успешните атаки срещу шифъра са Елад Баркан, Ели Бихам, Ор Дункерман и Натан Келер. Елад Баркан, Ели Бихам и Натан Келер публикуваха преди година интересна статия, в която се дават механизмите за атака над всички шифри от серията A5/X.

Забележка за читателите с пагони: Не тръгвайте да ги пускате тези последните за издирване, не са торент потребители от Надежда, въпреки, че имат IP адреси:). Живеят в Израел и се ползват със страхотен обществен престиж като академични кадри. Поне в чужбина не се излагайте...

Интересното е следното. A5/1 и A5/2 продължават да се използват години след официалното оповестяване, че са разбиваеми в реално време. На GSM потребителите се дават лъжливи успокоения за невъзможност ефирно да се подслушва комуникацията им, като това изобщо не отговаря на действителността. Голдберг и Вагнер разбиват A5/2 през 1999г. Чак през 2006г. GSM асоциацията обявява, че не препоръчва използването на A5/2. Асоциацията няма още ясно становище какво ще прави с пробития вече A5/3 (KASUMI). У нас обаче на никой не му пука за това. Потребителите дори не се сещат да попитат как операторите им защитават личната комуникация. Никой не дава такива обяснения.

Използването на такива слаби шифри предоставя възможност за ефирно прихващане на разговори без да се налага изобщо да се преминава през централата на мобилния оператор. Редно е някои държавни организации у нас да си седнат на четирибуквието и поне държавната администрация да започне да използва системата TETRA, където може да се надграждат шифрите с по-здрави, и да се спре това безогледно подаряване на важна информация на всеки, който поиска да я получи. Направо ужасно е използването на GSM комуникации от полицията и армията, където то е направо на служебно ниво. Не знам как я мислят тази работа отговорните органи, но ако държавата не пази информацията си, тя е просто един разграден двор. И вместо да се борят с писачи в блогове, екозащитници и торент потребители, компетентните органи да си наемат истински експерти, а не торби с желе с интелект на зелена еуглена, и да направят сигурна и надеждна система за комуникация. Няма проблеми да се използва преносната среда на мобилните оператори, достатъчно е самите телефонни апарати да поддържат P2P криптиране на гласа. Така е в развитите страни, към които искаме да се числим.

Относно подслушването на гласопреноса

2007-09-01T13:50:00.000+03:00

Провокиран до известна степен (в добрия смисъл на думата) от друго писание в блогсферата, ще подхвана една доста интересна тема - подслушването на гласовите комуникации (гласопреноса).

Всяка власт се е стремяла да бъде "всевиждаща" и "всечуваща" и да наднича в комуникациите на гражданите си. Това е част от парадокса на "акционерната държава", при който държавата се превръща в акционерно дружество на бюрокрацията, а гражданите са тези, от които се набавят парите, за да могат след това се използват срещу тях в поддръжка на акционерното дружество. Парадоксално е, но ние като граждани си плащаме, за да ни подслушват. Парите ни винаги се взимат под предлога, че така ще ни се осигури сигурност и че законите били достатъчно добре направени, че да не може акционерите (бюрократите) да използват данъците ни против самите нас. Последното е нагла лъжа! И е така, защото няма контрол над тези, които подслушват. Сигурно на хартия може да се напише всякакъв законов контрол, но технологично той много трудно може да бъде проведен, а и за да бъде проведен се иска желание и куп други чисто човешки качества, на които не може да се разчита. От друга страна съдът няма възножност да следи реда за получаване на информация чрез подслушване, макар именно той да трябва да прави това. Правомощията му са ограничени само до издаване на разпореждане за извършване на подслушване и да изисква информацията да му бъде предоставена по надлежния ред. Но не може да знае колко други още прихващания на информация има. Нали не си представяте прокурор, който денонощно седи в информационния център за извършване на прихващането на разговори и има поглед върху всички устройства да запис?

Някои читатели биха възкликнали "ама защо да ме подслушват, аз с какво съм интересен". Ако читателят е безличен и разговорите му се простират от "хайде на табла" до "хайде на бира" да, той няма за какво да се притеснява, защото е жив символ на говедовъдството. Но различните хора (разделени по социални прослойки, интереси, личен живот и т.н) в едно общество, обменят различна по характер информация помежду си, която може да представлява интерес за някого. Наивно е да се смята, че всички си говорят по телефона за едно и също нещо, което е еднакво безинтересно. Да, има общи теми, но те не заемат 100% от времето за разговори.

Всички телекомуникационни оператори на фиксирана и мобилна телефония у нас и не само у нас, са длъжни да предоставят съответния изискван вход към своята мрежа, през който МВР и по-точно съответното техническо звено в него, да могат по всяко време да прихващат и записват разговори между произволни два абоната. Тук има доста интересни казуси. Първият е как в МВР може да са сигурни, че оператора на телефония няма да "изключи" от прихващане дадени разговори (техническа възможност за това винаги има)? Вторият казус е как МВР разбира дали оператора не прави "театър" (т.е. да пуска записани преди време разговори, но да ги подава по канала за прихващане към МВР след време)? Ако погледнете реално на нещата, ще установите, че операторите на фиксирана и мобилна телефония работят единствено и само в собствен интерес, защото те са търговци, които развиват дейност с цел печалба. Изведнъж те се явяват първоизтоник на информация, която се използва от МВР и от съда и която трябва да е събрана на принципа на неутралност, за да има каквато и да е стойност. Как се вписва един търговец в една неутралност като тази, за която говорим? Интересно ми е какво ще стане, ако аз отида при търговеца с куфар пари или с компромат срещу него и го принудя да подхвърли на МВР и оттам на съда разговор, който е подправен, режисиран или казано накратко фалшив? Как МВР може да докаже, че разговорите се извършват в реално време и че те не слушат запис? Има и един много интересен въпрос, който остава недоизяснен винаги (не само у нас). Има ли бизнес интереси зад подслушването? Разбира се, някои бизнес интереси са свързани с политика. Т.е. явния вид на въпроса е "какво предпазва някои хора в МВР от изкушението да подслушват някого по поръчка срещу пари". Има и друг въпрос и той е "какво гарантира, че МВР не събира информация за политическите противници на сегашното правителство"? Технически системата за прихващане на телефонни разговори не позволява 100% контрол на достъпа до информацията, което значи, че може да има "неслужебно" използване на системата. Много бих се смял, ако някой се закълне, че това не е така (или трябва да е мега заблуден или трябва да е безочлив лъжец).

Не знам дали си спомняте стачката в Пирогов и изненадващо излезлия (да си го кажем "подхвърлен") телефонен разговор на един лекар с неговия пациент. Спомняте ли си, че съгласно правилата по събиране на оперативна информация, този разговор би следвало да е унищожен отдавна? Вярвате ли още в правилното събиране на информация от страна на МВР за телефонните разговори? Аз не.

МВР се опитват да прихващат и ISDN комуникация (частично засягаща алтернативните телекоми). Ето и търга за апаратура:

http://pressboard.info/Preview.aspx?articleid=902095

От друга страна, ако някой иска да предава информация през телефонна линия без МВР да може да анализира информацията, той винаги може да направи това. Всеки с малко разум в главата ще се досети, че на МВР ще им е доста трудно да гонят престъпни групировки по този начин, защото именно престъпните групировки са технически обезпечени така, че да крият информацията си. Ако те не я крият, те нямаше да могат да съществуват. Не, МВР нямаше да им види сметката, а конкурентите им. На този фон желанието на МВР да подслушват някого, който технически е едни гърди пред тях, ми се струва параван за масово подслушване на граждани и политици. Ако вие знаете, че сте подслушвани, ще споделяте ли важни неща по подслушваната линия? А защо мислите, че тези, които се страхуват от подслушване няма да си пазят информацията? И значи какво остана... ами да се подслушват тези, които няма какво да крият (или поне си мислят така).

Я се замислете и над нещо друго. Държавните служители от министър до секретарка имат мобилни телефони. Те използват тези мобилни телефони за пренос на служебна информация и за лични разговори. Цялата тази информация преминава през оператора на услугата, който казахме е търговец и нищо повече. На практика един огромен поток от информация от и към държавните служители преминава през място, където може да бъде несанкционирано прихванат (не само от МВР). Аз не твърдя, че това се прави, но твърдя, че това е много лесно да се направи, ако има наличен за това стимул. Интересно е как Държавата не се е сетила да реши този проблем (между другото ми е много интересно какво стана със системата TETRA) и поверява ценна информация на търговци. Мобилните и операторите на фиксирана телефония се използват и от политиците, които са или не са на власт. Какво гарантира, че политическото ръководство на управляващите няма да подслушва своите политически опоненти и вътрешнопартийни "врагове"? Такива неща се случват и в страни, които са много по-демократични от България. Би било невероятно да не се случват и да не са се случвали у нас.

Има и един друг момент. Да си представим масовото подслушване - огромни масиви с файлове, които представляват записи на телефонни разговори на лица, интересни за МВР (няма да описвам какво е породило интереса). Как тези разговори се анализират? Има два начина - автоматично (с програми за анализ) и ръчно (оператор прослушва записа, анализира го и съставя протокол за съдържанието му). Автоматичният анализ може много лесно да се излъже. Модулация на гласа, направена от съответно настроен синтезатор на глас, е най-доброто решение. Преправянето на гласа, когато говорите, неясен начин на говорене и изразяване против синтактичния строеж на речта и проваляте анализа. Използването на кодова книга е най-елегантния начин да се избегне каквото и да е прихващане на информация. Има стеганографско скриване на говор в друг и прочие. Тогава основателно изниква въпроса какво реално се подслушва. Да кажем, че автоматично могат да се прихванат предварително зададени думи и да се насочи записа към разговора, в който те присъстват. После какво се прави? Ами ако разговорът е предварително прикрит по сценарий? Някой от вас представят ли си как се извършва лингвистичен анализ на разговор, в който има скрит смисъл? Съмнявам се, че в МВР имат такива кадри и дори да имат, те едва ли са толкова много, че да насмогнат на всички записани разговори. Следователно изводът може би е, че или се подслушват "лесни" обекти, или се подслушват обикновени граждани, които не са престъпници и за това не крият информацията си. Не мога да го твърдя със 100% сигурност, но е твърде вероятно да е така на фона на бездействието на МВР спрямо организираната престъпност в България (торент потребителите излязоха организирани престъпници, еколозите също, но строителната мафия дори не е споменавана от МВР, какво ли да говорим за петролната).

Показвам ви как се води скрит обмен на информация. A и B искат да обменят информация през GSM, че искат да се срещнат в 19:30 часа на мястото X. Използват синонимна и кодова книги, който са уточнили предварително:

A: Гледай предаването в 08:15 по ББТ
B: добре

Синонимна книга: "предаване, предавания, клип, филма, рубриката -> среща"
Кодова книга: 08 -> 19 ; 15 -> 30; ББТ -> X

След това A и B изключват GSM апаратите си и отиват към мястото на срещата. Изключването им не позволява проследяване на маршрута им на движение по клетките на GSM системата. Срещат се, обменят информация, уточняват синонимната и кодовата си книги и се разделят. Този начин на комуникация няма как да бъде анализиран от МВР чрез прихващане на разговора. Моля да ми бъде показано как МВР ще го анализират. Моля да ми покажат и какво незаконно има във воденето на тази комуникация (точния закон, член, алинея).

Помнете, няма закон, който да може да ви задължи да си предоставяте информацията за подслушване!

Интересен въпрос е как да си направите гласовия обмен в Интернет недосегаем за подслушване.

Убеден, че Skype става за обмен на служебна информация е само повелителя на математиката, статистиката и интернет комуникациите Явор Колев (отскоро известен като "Мистър 96%"). За всички други е ясно, че:

- нямате гаранция за това, че базата с потребители на Skype дава еднозначна и сигурна идентификация на кореспондента (Skype не следи за верността на въведените данни);
- нямате гаранция за това, че някой не ви е прихванал паролата и не ви е "превзел" профила и не се представя вместо вас;
- нямате гаранция за това, че Skype не подслушват разговорите ви с цел събиране на информация и не я предоставят на някого;
- трафикът между вас и кореспондента ви е некриптиран и следователно събираем и подслушваем.

За съжаление това може да се каже и за гласовите комуникации на Yahoo, MSN и Google. Обикновено техническите екипи на споменатите компании се оправдават с това, че криптирането на гласовата комуникация, ако трябва да бъде осъществено централизирано топлогично (не знам защо те така виждат нещата все централизирани - много съмнително ми е), би натоварило сървърската инфраструктура, което е така, ако има централизираност. Ако разговорите се криптират "Peer-to-Peer", такова натоварване няма да има никога. Кажете ми обаче кой от софтуера и протокола на тези споменати компании поддържа "peer-to-peer" криптиране на гласопреноса?

Представете си сега, че сте техническо лице в голяма компания, с голям паричен и стоков оборот, която иска да защити своите вътрешни гласови комуникации предавани през Интернет от офис до офис. Разбира се, вие не вярвате на МВР и законите, които ще пазят преноса ви на данни от несанкционирано подслушване и сте все още на работа там, именно защото не сте се поддали на това сляпо доверие. Първото, в което трябва да убедите ръководството, а то служителиите си е, че използването на софтуерни продукти като Skype, MSN Msg, Yahoo Msg или GTalk за служебни комуникации е вредно и опасно. Второ, пускате телефонията между офисите чрез вътрешна централа (примерно базирана на Asterisk). Целият трафик между тях, който се пренася през Интернет, се поставя в IPsec ESP режим без никакви изключения! Използването на IPsec чрез ESP без тунелна капсулация е най-лекия откъм натоварване вариант за пренос на гласова комуникация! Всички колеги, които пътуват в командировка с лаптопи, да провеждат разговори с колеги в офисите през Интернет само в условия на IPsec връзка между лаптопа (на който е инсталиран софтуера за гласова комуникация) и вътрешната централа на компанията. Направете звено в компанията, което да се занимава с информационна диверсия. Звеното трябва да симулира изичане на информация, която да заблуждава подслушващия. Информационната диверсия е част от бизнес модела в Азия, САЩ и не виждам защо Европа трябва да изостава от тази тенденция (има фирми в Израел, които ще ви дадат достатъчно knowhow по темата на нормални цени). Съжелявам за пропиляното време на подслушващите дезинформацията, но те сами са си избрали да си пропилеят живота по този начин и никой не им е виновен за това, нито задължен да им осигурява комфортно съществуване. Ще им се наложи да анализират невярна информация, което е най-справедливото морално наказание за тях.

Ако сте частно лице и искате да разговаряте с някого чрез интернет телефония, използвайте Ekiga или Gnome Meeting (старото име на проекта родил Ekiga), а може и Linphone. Това са SIP и H323 базирани P2P софтуери с отворен код. Няма проблеми да криптирате потока между вашия компютър и този на кореспондента ви чрез IPsec в ESP режим. Така обмена между клиентските P2P приложения също ще бъде криптиран.

Съществува и супер лесен начин за предаване на гласова информация без всякакви IPsec тунели и прочие. Тя се нарича "гласова поща" или "Voice Mail". Записвате съобщение в аудио форматен файл (препоръчвам Ogg формат). Криптирате го с GnuPG и го изпращате по пощата на получателя. Той го декриптира, прослушва и ви отговаря по същия начин с криптирана гласова поща. Ако отработите добре схемата, ще съкратите технологичното време за изготвяне на криптирания файл и няма да ви липсва много комуникацията в реално време.

И накрая едно правило за успеха ви:

Ако искате да имате щастлив личен живот и добра професионална реализация, никога не се доверявайте на публичните телефонни мрежи.

Универсалното координатно време и NTP

2007-09-01T00:28:00.000+03:00

ВНИМАНИЕ! Съдържанието на тази бележка не е препоръчително за читатели с пагони.

Често ми се налага в хода на провеждани обучения да обяснявам на обучаваните понятия и методики от метрологията. Едно от тях е универсалното координатно време (англ. UTC). То е различно от универсалното време (UT), което се базира на периода на въртене за Земята около нейната ос. Ако се използва UT, то следва величината 1 секунда да няма възпроизводим еталон. Причината е, че Земята се върти забавително и ако един ден има 24 часа, един час има 60 минути, а една минута има 60 секунди, то секундата няма да има еднозначен еталон.

Въпросите, които курсистите поставят обикновено са свързани с това дали протокола NTP се съобразява с UTC или UT и как става това. Ще си позволя да напиша кратки обяснения, за да може всеки на достъпо ниво да научи за това как NTP взаимодейства с еталонната система за времеотчитане.

* * *

Айнщайн постулира т.нар. "идеален светлинен часовник". Този часовник би следвало да има следната конструкция. Две огледала се поставят едно срещу друго. Към едното се насочва сноп светлина, съдържащ импулси, която се отразява в него и се предва към другото огледало, то я връща към първото и т.н. следват повторения на този процес. По този начин времето се измерва като се знае разстоянието между огледалата и се измери началото и края на акта на отражение. Разбира се, Айнщайн си е представял установката като отдалечени на голямо разстояние огледала в Космоса, доколкото в земни условия разстоянията между двете огледала биха били твърде малки за да се реализира чувствителност на измерването. Работата на този часовник се гарантира от това, че скоростта на светлината е константа. Този часовник обаче, има един съществен проблем и той би се проявил, ако часовника се движи ускорително. Съгласно разработената от Айнщайн теория на относителността, величината "разстояние" зависи от това дали измерването й се извършва в отправна система движеща се ускорително спрямо тази на наблюдателя (измерващия) или не. Така дори скоростта на светлината да е постоянна, ако разстоянието между двете огледала се мени при движение с ускорение спрямо наблюдателя от отправната система, спрямо която става движението с ускорение, благодарение на свойствата на пространството този часовник би измерил различно време от това в случая, в който няма ускорително движение. За величината "разстояние" (както и голям набор други физични величини), се казва, че е релативистична. Т.е. измерваната й стойност много силно зависи от това дали отправната система се движи с ускорение спрямо наблюдателя или не и от скоростта й на движение. Т.е. светлинният часовник на Айнщайн е релативистки. За механичните часовници също може да се докаже, че са релативистки. Релативистичните свойства на физични величини, могат опитно да бъдат доказани дори при малки стойности на ускорението и ниски скорости (напр. чрез използване на ефекта на Мьосбауер). Т.е. не е нужно да се стига до големи ускорения и скорости близки до тази на светлинната.

Може да се докаже, че квантовият часовник е нерелативистки. За съжаление такова доказателство е твърде сложно да се излага пред широка аудитория, а и няма смисъл, защото изисква тесни познания, които имат само специалисти. Достатъчно е да се каже, че в практиката се използват атомни часовници, които са нерелативистки. В голяма степен, те погрешно се наричат атомни, защото не атомите реализират процеса, спрямо който се еталонира величината "1 секунда", а процеси в самите атоми. Съгласно международно утвърдената система за мерки и теглилки (SI), 1 секунда се отчита спрямо брой осцилации между две много близки енергетични основни състояния на атома на изотопа на Цезий с масово число 133, които пък се "броят" спектроскопски. По-точно, честотата на осцилация е 9 192 631 770 Hz, откъдето следва, че 9 192 631 770 осцилации са 1 секунда.

Човечеството измерва времето календарно и реперирано. Реперирането става на база ден, който съдържа 24 часа, а всеки час съдържа 60 минути. Много хора биха продължили това разделяне до "и всяка минута има 60 секунди" и ще сгрешат. Универсалното координатно време (UTC) не прави тази грешка. UTC използва атомните часовници като еталон за 1 секунда. Съгласно този стандарт минутата може да има променлив брой секунди и да не е еталонирана величина. Причината, поради която UTC прави това е съобразяването със събития като "един ден" и "една година". Погледнато строго, Земята не се върти равномерно спрямо своята ос на въртене. Движението й е ускорително. Причините за това няма да дискутираме тук, но е очевидно, че подобно ускорително движение, ще доведе до това, че атомния часовник ще отчете един ден от 86400 секунди, но физически денят няма да е толкова. Земята се върти около своята ос забавително (но не равнозабавително). Следователно денят е по-дълъг от 86400 секунди. За да отчете това забавяне, стандарта UTC прибавя по една допълнителна секунда еднокретно на всеки 500 дни (засега). В края на този век UTC трябва да прибавя по една секунда на всеки 250 дни, а в края на 21 век ще трябва през годината да се прибавят еднократно по 2 секунди (или двукратно по една), за да може събитието "ден" да има 24 часа.

Протоколът NTP се съобразява с UTC. Това става по следния начин. Както повечето от вас знаят, NTP използва източници на време, които основно са три: GPS сверяване, CDMA (радио сверяване) или директено сверяване от атомен часовник. GPS сверяването е също по атомен часовник, но доколкото там има чисто протоколни особености, се води за различно от това извършвано директно по атомен часовник (същото е положението при CDMA). Когато операторте на атомния часовник решат да прибавят една секунда, NTP протокола пропагандира прибавянето й към клиентите (потребителите) и те сверяват локалните си часовници. В това отношение дизайна на NTP е много обмислен и добър.

Може да се каже, че ядрата на Linux и повечето UNIX дистрибуции поддържат UTC и NTP безпроблемно сверява часовниците съгласно UTC. Разбира се, в Windows не е така. Но там какво ли е както трябва.

Една леличка

2007-08-29T15:49:00.000+03:00

Дълго време останах изолиран от новините в блогосферата. Не знаех от къде е дошно това "интернет влечуги", но накрая ми остана време да проверя. Не съм изненадан, че това е въведено от Мадлен Алгафари в парцал с претенции за вестник. Тя е родена за журналистка в парцали, но странно защо все не иска да си го признае. Та какво искам да кажа на тази леличка. Не, няма да й кажа, че е груба селянка, няма да й кажа такива лоши неща, защото не ги мисля. Ще се опитам да й обясня някои други неща, прости и ясни. Дано ги разбере, милата, особено на тези години.

Неуважаема Мадлен (дотук добре...) Алгафари (е, никой не е съвършен),

Леличко, ние не сме от лигавия мутренски и гравитиращ към мутренски елит, който ти е клиентела. Ние не ти четем писанията (чувам книжки си писала - какво са ти направили дърветата, ма лельо, че си ги унищожила, за да може върху техните трупове да напишеш глупостите си). Кой знае как омайваш (пардон "анализираш") псевдоелита за парички. Позната картинка. То прост е този, дето ти се хваща на глупостите. Виждам, с възрастта си взела да озлобяваш, мила, защото си видяла, че има хора дето не са като простаците, от които живееш. Интернет влечугите няма и стотинка да ти дадат, скъпа. И не защото са злобни, хомосексуалисти или не знам какви си там (лелке, не ги бъркай с богатите си лигави пациентчета), а просто защото такива като теб са с ясен репертоар. Имаш дарба с много думи нищо да не казваш и някои хора може би оценяват твоята дарба (глупаци с пари винаги е имало). Добре, че не си останала да се надяваш на интернет влечугите да ти осигуряват прехраната, че ще разбереш много неща за хранителните навици в Сомалия.

Повечето от тези дето наричаш влечуги, са хора, които ти не можеш да омаяш и да заблудиш, защото при подобен опит така ще те направят на маймуна, че ти отиде светския имидж. Простичката причина, поради която не можеш да си някаква за тях, освен проста лелка е, че те знаят що за стока си и интелектуално са много над теб. Ако богатите лигли и глезльовци, които се чудят в каква депресия да изпаднат, за да са по-интересни, са ти контингент, над който ти можеш да влияеш със словоблудства, то повечето хора, които за теб са влечуги, не само се владеят, а работят професии, в които се иска такава концентрация и внимание, които ти не познаваш. Над тези хора ти, леличко, нямаш никакво влияние. Умен човек при такава като тебе не стъпва. Тъпото е, че по инерция си взела, че си повярвала на глупостите дето си писала за часовия парцал (кой сериозен специалист по нещо, ще иска името му и думите му да са напечатани в един от вестниците, в които идиотщината и лъжата са стил от първа до последна страница).

Леличко, аз няма да повярвам на слуховете, че покръкваш, защото не съм те виждал пияна като куче, както други хора твърдят. Аз само ще кажа, че по прочетеното става ясно, че или си недооценена селянка, на която много й липсва изява, или ти липсва сексуален живот (защо ли не ме учудва последното). Виж, лелке, за всеки влак има пътници, но това важи докато не станеш бракуван вагон.

ГДБОП и простите сметки

2007-08-20T01:30:00.000+03:00

Това, което виждате не е никакъв майтап. Поне аз не се майтапя с вас. Това е кадър от една велика презентация на един велик експерт от ГДБОП. Имащите елементарно образование хора знаят, че сумата от процентните дялове в един статистически и не само статистически модел, е 100% Според другаря милиционер Явор Колев, достатъчно е сумата да бъде 96%.

Ако се въведе тест по елементарна математика в ГДБОП, който да включва материала изучаван до 8 клас, какви ли страшни резултати ще се получат (а може би и ще бъдат засекретени, за да не уронват престижа на България, за чието излъскване така добре се грижи МВР министъра).

Цялата презентация (ако имате здрави нерви), можете да видите на адрес:

http://www.web112.net/ppt/DETETO%20V%20MREJATA.ppt

Интересен е заключителния кадър, който включва информация за видния и известен с техническата (а вече и с математическата) си грамотност "експерт". От тях става ясно, че в МВР обичат да си чатят по канали за комуникация, в която никой не може да каже кой кой е и освен това МВР няма сървър за електронна поща, на която да приюти служебната кореспонденция на мега експертите си, та затова те трябва да я складират по сървъри някъде в интернет използвайки услуга, която нищо не гарантира. Велико е:

Освен да бъдат пазени от педофили, децата трябва да получат и образование. За да не се излагат, като пораснат.

DNS поддръжката на домейните на Министерски съвет и ДАИТС

2007-08-14T00:53:00.000+03:00

Министерски съвет

Делегирането на домейна government.bg може да се използва за пример как не бива да се делегира домейн. Показвам:

1. Делегиране на домейна в Регистър.БГ:

$ dig @ns.register.bg -t ns government.bg

; <<>> DiG 9.4.1-P1 <<>> @ns.register.bg -t ns government.bg
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8443
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;government.bg.                 IN      NS

;; AUTHORITY SECTION:
government.bg.          345600  IN      NS      dove.government.bg.
government.bg.          345600  IN      NS      stone.gocis.bg.
government.bg.          345600  IN      NS      leo.government.bg.

;; ADDITIONAL SECTION:
leo.government.bg.      345600  IN      A       212.122.160.33
dove.government.bg.     345600  IN      A       212.122.160.34

Съгласно тази информация, сървърите за имена, върху които следва да се търси информация за записи от зоната на домейна government.bg са:

dove.government.bg (212.122.160.34)
stone.gocis.bg (195.138.133.10)
leo.government.bg (212.122.160.33)

2. Проверка за достоверна информация за записите от зоната на домейна government.bg, върху посочените за достоверни сървъри за имена (тестваме за NS ресурсните записи):

- dove.government.bg (212.122.160.34)

$ dig @212.122.160.34 -t ns government.bg

; <<>> DiG 9.4.1-P1 <<>> @212.122.160.34 -t ns government.bg
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64995
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;government.bg.                 IN      NS

;; ANSWER SECTION:
government.bg.          86400   IN      NS      leo.government.bg.
government.bg.          86400   IN      NS      dove.government.bg.

;; ADDITIONAL SECTION:
leo.government.bg.      86400   IN      A       212.122.160.33
dove.government.bg.     86400   IN      A       212.122.160.34

- leo.government.bg (212.122.160.33)

$ dig @212.122.160.33 -t ns government.bg

; <<>> DiG 9.4.1-P1 <<>> @212.122.160.33 -t ns government.bg
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30200
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;government.bg.                 IN      NS

;; ANSWER SECTION:
government.bg.          86400   IN      NS      dove.government.bg.
government.bg.          86400   IN      NS      leo.government.bg.

;; ADDITIONAL SECTION:
leo.government.bg.      86400   IN      A       212.122.160.33
dove.government.bg.     86400   IN      A       212.122.160.34

- stone.gocis.bg (195.138.133.10)

$ dig @stone.gocis.bg -t ns government.bg

; <<>> DiG 9.4.1-P1 <<>> @stone.gocis.bg -t ns government.bg
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11043
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2

;; QUESTION SECTION:
;government.bg.                 IN      NS

;; ANSWER SECTION:
government.bg.          81624   IN      NS      leo.government.bg.
government.bg.          81624   IN      NS      dove.government.bg.

;; ADDITIONAL SECTION:
leo.government.bg.      75876   IN      A       212.122.160.33
dove.government.bg.     81624   IN      A       212.122.160.34

Веднага се набива на очи, че сървърът за имена stone.gocis.bg (195.138.133.10), не дава достоверни отговори при извличане на записи от зоната government.bg въпреки, че е указан за достоверен в Регистър.БГ при делегирането на съответния домейн. Разгледайте полето "flags". При наличие на достоверен отговор, там трябва да има "aa" (т.нар. "AA" бит). Няма ли този запис, значи няма локално копие на зоната върху този сървър и резултатът, който той дава е следствие на рекурсия, изпълнявана от сървъра. Само да спомена, че сървърът за имена stone.gocis.bg е достъпен в режим на публична рекурсия, което не е само по себе си неприятен факт, ако беше поддържан добре. Имам съмнения относно поддържката му.

Само по себе си горното значи, че ако отпадне свързаността на leo.government.bg и dove.government.bg към Интернет, ще бъде загубена информацията за домейна government.bg докато отново свързаността не бъде възстановена.

Има и един друг проблем. Често пъти се оказва, че DNS услугата на dove.government.bg е недостижима:

$ dig @dove.government.bg -t soa government.bg

; <<>> DiG 9.4.1-P1 <<>> @212.122.160.34 -t soa government.bg
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached

Трудно ми е да кажа от разстояние какво пораджда подобна недостижимост, дали защитна стена, дали други проблеми в мрежата и върху локалната машина, но в близо в 20 до 40% от денонощието информацията за домейна government.bg се крепи от един сървър за имена (leo.government.bg).

И двата сървъра за имена използват стара версия на BIND9 и съдейки по дисперсията на ID номерата, нямат приложена кръпката за избягване на последно открития проблем от типа "Poisonous Cache".

Всъщност, ако сървърите за имена не изпълняваха рекурсивни заявки за вътрешни клиенти, а обсужваха само директни запитвания към зоната на домейна government.bg, нямаше да има проблеми - все едно дали щеше или не да бъде приложена споменатата кръпка. За жалост сървърите изпълняват рекурсия. Може би ще е интересно как съм познал това без да имам достъп до вътрешната мрежа. Много просто, извършвам евристичен анализ. Той е наистина прост. Знаете приблизително, какви хостове и домейни най-често се търсят от клиентите на мрежата на една мрежа с общо предназначение. Наблягаме на български страници, като abv.bg или mail.bg. Пробваме:

$ dig @dove.government.bg mail.bg

; <<>> DiG 9.4.1-P1 <<>> @dove.government.bg mail.bg
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30210
;; flags: qr rd; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;mail.bg.                       IN      A

;; ANSWER SECTION:
mail.bg.                64678   IN      A       193.201.172.98

;; AUTHORITY SECTION:
mail.bg.                67008   IN      NS      ns.bdata.net.
mail.bg.                67008   IN      NS      ns2.mail.bg.
mail.bg.                67008   IN      NS      ns2.bdata.net.
mail.bg.                67008   IN      NS      ns.mail.bg.

;; ADDITIONAL SECTION:
ns.bdata.net.           68198   IN      A       194.145.63.2

И наистина, в кеша се пази запис за хоста mail.bg. Е, почти невъзможно е в мрежата на Министерски съвет, някой да се интересува от сайта www.redhat.com поради силната майкрософтска ориентация в държавните институции:

$ dig @dove.government.bg www.redhat.com

; <<>> DiG 9.4.1-P1 <<>> @dove.government.bg www.redhat.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20782
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 13, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;www.redhat.com.                        IN      A

;; AUTHORITY SECTION:
com.                    172046  IN      NS      B.GTLD-SERVERS.NET.
com.                    172046  IN      NS      C.GTLD-SERVERS.NET.
com.                    172046  IN      NS      D.GTLD-SERVERS.NET.
com.                    172046  IN      NS      E.GTLD-SERVERS.NET.
com.                    172046  IN      NS      F.GTLD-SERVERS.NET.
com.                    172046  IN      NS      G.GTLD-SERVERS.NET.
com.                    172046  IN      NS      H.GTLD-SERVERS.NET.
com.                    172046  IN      NS      I.GTLD-SERVERS.NET.
com.                    172046  IN      NS      J.GTLD-SERVERS.NET.
com.                    172046  IN      NS      K.GTLD-SERVERS.NET.
com.                    172046  IN      NS      L.GTLD-SERVERS.NET.
com.                    172046  IN      NS      M.GTLD-SERVERS.NET.
com.                    172046  IN      NS      A.GTLD-SERVERS.NET.

Ясно е, че няма кеширан запис и няма режим публична рекурсия (WARNING: recursion requested but not available).

Приведените примери говорят за липса на адекватна поддръжка и обезпечаване на услугата DNS. Това е недопустимо за толкова важна държавна структура. Не знам кой трябва да вземе мерки, но ако все пак някой от отговорните лица чете това, нека вземе предвид бележките. Не ставайте за срам по Европа и света. Със сигурност Министерски съвет може да си наеме консултанти за да обучат техническите кадри как да реализират успешна DNS услуга. Странно е как се дават пари за глупости, а за това все няма средства.

ДАИТС

Да наричаш ДАИТС "високите технологии" е една тъжна ирония. Все още чакам внедряването на една сериозна "висока" технология от тази мега фантомна организация. Хайде, да не е висока, поне една технология на висота да усвоят. Ето, DNS е позната от повече от близо две десетилетия. В ДАИТС обаче не са никак наясно каква е тази технология и как се ползва. Пълен мрак. Всеки път поднасят нови изненади (все лоши). Това поне не може да им се отрече - имат дарба да са оригинално некадърни. Те, "високите технологии"...

Погледнете за какво става дума. Пред вас са красотите на домейна daits.government.bg:

$ dig @leo.government.bg -t ns daits.government.bg

; <<>> DiG 9.4.1-P1 <<>> @leo.government.bg -t ns daits.government.bg
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54123
;; flags: qr aa rd; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 5
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;daits.government.bg.           IN      NS

;; ANSWER SECTION:
daits.government.bg.    3600    IN      NS      leo.government.bg.
daits.government.bg.    3600    IN      NS      ns1.daits.government.bg.
daits.government.bg.    3600    IN      NS      ns2.daits.government.bg.
daits.government.bg.    3600    IN      NS      dove.government.bg.

;; ADDITIONAL SECTION:
leo.government.bg.      86400   IN      A       212.122.160.33
ns1.daits.government.bg. 3600   IN      A       192.168.224.15
ns1.daits.government.bg. 3600   IN      A       212.122.187.52
ns2.daits.government.bg. 1200   IN      A       192.168.224.16
dove.government.bg.     86400   IN      A       212.122.160.34

Използването на следните записи в публичното пространство е някаква дебелашка шега:

ns1.daits.government.bg. 3600   IN      A       192.168.224.15
ns2.daits.government.bg. 1200   IN      A       192.168.224.16

Във "високите технологии" не правят явно разлика между публични и частни адреси, затова ще им препоръчам да прочетат RFC1918 (е, не е "висока" технология, не е и нова дори, дори не звучи "фешън" и не става с нея да се правиш на велик пред 50-годишни лелки). Не знам как очакват другарите от ДАИТС, които се застояват повече на другарски срещи на "Позитано" 20, отколкото да усвояват вече наличните технологии, сървърите за имена по света да достигнат до IP адресите 192.168.224.15 и 192.168.224.16.

Може би ще споделят гледната си точка за това тяхно хрумване?

За читателите с пагони

2007-08-13T13:11:00.000+03:00

Тъпо е да обяснявам нещата по-долу, защото те се знаят от хора, които не са се нарекли никъде и по никакъв начин специалисти, експерти, не са слагали титли и т.н... За сметка на това тези, които трябва да ги знаят, не ги знаят. С ядро от технически снижени индивиди, МВР се бори срещу "компютърни престъпления", каквото и да значи това. Всъщност понеже май нищо не значи, затова и не се търсят специалисти. Специалисти се търсят, когато трябва да се свърши работа. Във всеки друг случай се търсят актьори и статисти.

Липсата на технически познания в МВР най-добре се вижда в постъпките на лицето Явор Колев. Набеден по служебна линия за експерт, какъвто не може никога да бъде, той може да бъде даван за пример как липсата на знания създава бутафории и престъпване на закона (за последното вижте медийните му изяви, в които той нарушава закона, като обявява някого за престъпник без съд да е започнал дори гледане на делото). Подобно поведение в развита страна ще му коства най-малко отстраняването от длъжност.

Но аз, бидейки твърде неграмотен юридически, ще говоря само по техническите проблеми. Знам, че този дневник редовно се чете от репресивните органи. Силно се надявам, че това, което напиша по-долу, ще влезе в нечия глава и ще повиши поне с малко количеството технически познания в системата на МВР. Нека подслушването да донесе някаква реална полза за самите подслушващи. Даже искам да попитам подслушвачите следното. Задавали ли сте си въпроса до къде щяхте да стигнете (като прогрес), ако вместо да си губите времето с простотии (да подслушвате свободомислещите хора с цел последващи репресии), го отделяхте за да се образовате?

Използването на електронната поща като услуга, изисква познания особено, когато става дума за пренос на информация, която има служебен характер. Важно е пощенската кутия да домува върху сървър, който има надеждността и съответния контрол, гарантиращи сигурен и непрекъсваем достъп до нея. Следователно при служебната кореспонденция чрез електронната поща, не може да няма изисквания към обезпечението на достъпа до кутията, обработката на входяща и изходяща кореспонденция и създаването на резервни копия и тяхното съхранение.

Фрапиращ случай е използването на кутията hound@dir.bg, от страна на служител на МВР за служебна кореспонденция. При това този служител се идентифицира с тази кутия в публичното пространство и в писмени документи. На адрес:

http://pay.dir.bg/user_agreement.php

са публикувани общите условия за използване на услугите на DIR.BG. Моля, прочетете ги и нека направим анализ дали това е услуга, която може да се използва за служебни цели. Прави впечателение едно такова условие:

"УСЛОВИЯТА могат да бъдат актуализирани по всяко време без специално уведомяване на ПОТРЕБИТЕЛИТЕ"

Това условие показва, че иде реч за автоматично предефинируема услуга(и) и тя не е обект на двустранна договорка между ползвателя и оператора на услугата, в лицето на DIR.BG. Тази услуга е неподходяща в този си вариант за съхранение в кутията на поверителна или служебно класифицирана информация (примерно свързана с разследване). И е ясно защо това е така. Защото нищо не ангажира този, който я предоставя с опазването на кутията по какъвто и да е начин и той освобождава себе си от отговорност за нейното функциониране. Също така, ако лицето Явор Колев изпраща по някакъв начин писма до предполагаеми нарушители, съгласно точка 6, подточка м), той влиза в нарушение съгласно действието:

"м) да преследва или по друг начин да безпокои друг ПОТРЕБИТЕЛ ;"

Доколкото адресът hound@dir.bg не идентифицира подателя като служител на МВР, това автоматично се приема за преследване и безпокойство и трябва да бъде уведомен доставчика на услугата DIR.BG, за да иницира процедура по прекратяване на предоставянето й. И ако той не е доставчик с комсомолско минало или свързан с бизнес среди до управляващите, ще я премахне без да приема никакви протести от страна на лицето Явор Колев.

Интересно ми е от къде лицето Явор Колев е сигурно, че DIR.BG гарантира максималната възможна сигурност при достъп до кутията hound@dir.bg и съхраняването на информацията в нея?

Подобна е и друга проява на "компетентност" на Явор Колев. Той официално указва адрес javor.kolev@gmail.com като свой адрес за контакти и то при срещи и презентации. Явно МВР не намира за нередно негови служители да използват за служебни цели подобни обществени пощенски услуги. Или може би МВР е стандартизирало Google и DIR.BG за доставчици на електронна поща за служителите на министерството? Интересно ми е какви са процедурите за това, за да мога и аз следващия път да кандидатствам чрез моята пощенска услуга, за доставчик на такава за служителите за МВР. Или може би МВР няма електронна пощенска услуга, базирана на вътрешен сървър в организацията и затова служителите ползват обществени пощенски услуги? Страхотно. Класифицирана информация по сървъри на фирми. Точно така се прави. Това не е ли нарушение на закона?

Същият Явор Колев посочва напълно тинейджърски и безотговорни канали за комуникация като ICQ с номер 48495113 и Skype псевдоним javor.v.kolev. Може би и министъра на МВР чати по ICQ и лафи по Skype?

Докога?

Технически извисявания в МВР (a.k.a. е няма да научите какво е Интернет и няма!!!)

2007-08-13T09:18:00.000+03:00

Обезпечеността на МВР откъм технически кадри варира от трагично към безнадеждно (на моменти брутално катастрофално). Това състояние на нещата може да се докаже без никаква трудност дори от кварталните IRC фенове. Трагедията стига до там, че "експерти" от МВР ползват услугата "безплатна електронна пощенска кутия". При това за служебни цели.

Показвам новия електронен пощенски адрес на експерта по технологична неграмотност (това, което казвам, мога да го докажа!!!) Явор Колев. След цирковия гастрол с адреса присъщ на виртуален бабаит hound@dir.bg, идва ред на новия му пародиен служебен адрес

javor.kolev@gmail.com

Интересно ми е дали експерта по е-неграмотност е прочел общите условия за ползване на услугата на Google или тези на dir.bg и дали нещо в тях не му е казало, че това дето ползва не става за служебни цели. И няма ли орган, който да възпре съхранението и обмена на служебна информация (която може да бъде класифицирана) по сървърите на Google и Dir?

Моля, актуализирайте си филтрите. Адресите на милиционера са обект на филтрация от моя и не само от моя страна. Никой не може да ме задължи да приемам електронна поща от този адрес. Съветвам ви да го филтрирате. Не можете да бъдете подведени под никаква отговорност за това ви действие. Такава порнография, при която държавен служител използва за дейността си безплатен и БЕЗОТГОВОРЕН пощенски адрес и кутия, а не използва адрес в официалния домейн на МВР, показва ясно нивото на интелект и технически познания не само на въпросния милиционер, но и на държавните служители като цяло.

Ако този е-бабаит посмее да ви замърсява електронната поща, му отговорете, че ако не се идентифицира с електронно подпис върху болнавите си творения, ще приемете писмата му за шега и вие на свой ред също можете да се пошегувате (дори от негово име). Един път за винаги трябва да се сложи край на простотията в тази държава, ако изобщо искате да живеете сред нормални хора в един свят на грамотни действия и адекватно поведение на държавните служители. Аз заминавам, но някои остават. Дано те имат желанието и смелостта да изритат неграмотните.

От мизерия към e-мизерия

2007-08-11T13:57:00.000+03:00

Подходът на българското правителство за създаване на мизерия, засегна и електронните комуникации. Така, че отварям нова страница в трагикомедията с името България. Името на новата страница е e-мизерия. Ето и първия пример:

Бабичките-контрабандисти - другите Оперативно Интересни Лица за полицията

2007-08-08T10:31:00.000+03:00

Преди в този дневник пишеше коментари един крайдунавски субкултурен педераст^*, според който всичко, което съм говорел за полицейско насилие било измислица. Дали от замърсения Дунав, дали от хлора в Русе, но човекът не е наред с очите.

Преди години видях как полицай с ръст поне 180 см. бие ДЕТЕ! Това ставаше към 21:00 на пл. Славейков. Така го изрита, че детето се преви и почна да конвулсира. От този момент за мен полицията се превърна в обществен враг и аз никога няма да имам капка уважение към нея (никога). Сбирщина от биячи, деградирали до възможно най-ниска степен - това е българската полиция. От тогава се нагледах на какви ли не прояви по "защита" на българското общество от нейна страна, свързани с малтретиране на слабите, бедните и невъоръжените. За побоищата в районните управления и гаврата с човешкото достоинство няма да говоря (поразровете се из Google, ще намерите и видео). За полицаите гражданите са боклуци, които трябва да бъдат бити и малтретирани. Наскоро полицаи вулгарно се опитаха да проверят документите на колега, индиец, дошъл тук от името на един индийски промишлен концерн (нарекоха го мангал). Същият този "мангал" има докторат по математика в Университета на Лестър (Великобритания). Така и не посмях да му преведа как са го нарекли.

В тази грозна поредица на проява на "мъжественост" и "гражданско съзнание" от страна полицията, не мога да пропусна новият техен враг - бабичките-контрабандисти на магданоз и къпини. За да не преписвам, направо връзка към оригиналната публикация:

http://nabludatel.blogspot.com/2007/08/blog-post_08.html

* - педераст е състояние на духа, да не се бърка със сексуална ориентация.

Защита на електронната поща от подслушване - част 2

2007-08-05T13:53:00.000+03:00

В тази втора част от поредицата ще опиша една от най-добрите схеми за измама на подслушващия, чрез която той да бъде каран да анализира подхвърлена и нарочно фалшифицирана информация.

Сценарий на играта "фалшив кореспондент".

Използваме средставата за маршрутизация на изходящия от сървъра електронен пощенски поток. Вместо към сървър от MX йерархията на домейна domain.tld, насочваме само писмото за someone@domain.tld през друг пощенски сървър. Така, ако някой следи изходящия ви трафик на протоколно ниво (по протокол SMTP), ще види че има изходяща електронна поща за someone@domain.tld и ще я прихване. Това, което подслушващия в 90% от случаите ще забрави да отчете, е моментната MX йерархията на домейна domain.tld (напомням, че MX йерархията не е фиксирана информация и тя може да се мени с времето, в зависимост от настройките, които собственика на домейна прави в своята услуга "електронна поща"). Най-честата задача при подслушването е само прихващане на съдържанието, но не и на служебната информация по неговия пренос (адресация, преадресация, маршрутизация). Така в повечето случаи подслушващия няма да разбере, че писмото до someone@domain.tld не достига до истинското си назначение, а просто попада някъде другаде.

Участници в играта "фалшив кореспондент".

10.10.10.2 - подслушван сървър за електронна поща (записва се и се анализира трафика по протокола SMTP от и към сървъра);.

10.0.2.1 - smtp.domain.tld (сървър за поща от MX йерархията на домейна domain.tld; приема входяща електронна поща за този домейн);.

192.168.12.1 - приема електронна поща за домейна domain.tld и по-точно за someone@domain.tld (фалшив получател);.

192.168.100.5 - изпращач на електронна поща от името на someone@domain.tld (фалшив подател).

Примерен сценарий на играта "фалшив кореспондент".

Изпращаме електронно писмо до someone@domain.tld от името на sender@sender-domain.tld, като за изходящ сървър посочваме 10.10.10.2. Той приема писмото за изпращане, но съгласно зададената върху него допълнителна схема за маршрутизация, го изпраща за по-нататъшна обработка не към 10.0.2.1 (както би било, ако се следваше MX йерархията за домейна domain.tld), а към 192.168.12.1. Там то се приема от фалшивия кореспондент. Той продължава играта като изпраща отговор на подателя sender@sender-domain.tld от името на someone@domain.tld. За целта използва източник на изпращането 192.168.100.5. Така подслушващия записва обмен на информация между someone@domain.tld и sender@sender-domain.tld, която е фалшива (подхвърлена).

Ето пример какво би получил подслушващия при подхвърляне на информация чрез използване на фалшив кореспондент:

- писмо от sender@sender-domain.tld до someone@domain.tld:


From: sender@sender-domain.tld
To: someone@domain.tld
Subject: Паричен превод

Преведохме парите! Действайте!!!

- писмо от someone@domain.tld до sender@sender-domain.tld:


From: someone@domain.tld
To: sender@sender-domain.tld
Subject: Re: Паричен превод

Получихме парите! Действаме!!!

На практика someone@domain.tld не е получил нищо и не е изпратил нищо. На практика може и да не съществува кутия с този адрес в пощенския домейн на domain.tld. Ако сега подслушващия анализира информацията, той ще я отчете като съгласуване на някакво действие между двамата кореспонденти, каквото на практика няма. Дори подслушващия да анализира служебната информация по преноса на писмата, той не може да има 100% гаранция, че това е измама. Все пак в цялата игра са използвани абсолютно стандартни похвати в SMTP: допълнителна маршрутизация, изпращане на писмо от сървър, различен от тези описани в MX йерархията на домейна domain.tld.

Защита на електронната поща от подслушване - част 1

2007-08-04T17:29:00.000+03:00

В порочната страна България със сигурност има нерегламентирано подслушване на вашите комуникации. А дори и да е регламентирано, вие не сте задължени по никакъв закон да помагате за събиране на информация за вас и вашия бизнес по такъв начин. По-долу съм нахвърлял едни бързи бележки и размисли по защитата на най-популярната комуникация, а именно електронната поща.

Чисто технически мероприятия срещу подслушването на електронната поща

Направете така, че дялът върху локалната файлова система, който се използва за съхранение на пощенските кутии на вашите потребители, да бъде криптиран.

Разделете задачата по предпазването от подслушване на три части:

- част 1: защита на транспортния протокол за електронна поща - SMTP;
- част 2: защита на протокола за достъп до пощенските кутии - POP3/IMAP4;
- част 3: защита на изпращаната от клиентите електронна поща.

Във всеки случай, няма проблеми един сървър в чужбина да се използва и за двете части по защитата на електронната ви поща. При това не е задължително пощенските кутии на вашите клиенти да са върху него. Много по-добре е съдържанието на тази кутии да е при вас, за да можете да го репликирате с цел изготвяне на резервно копие на сърържанието.

Предварителна подготовка

Изберете сървър за поща, който да домува в голям чуждестранен доставчик с име в бранша. Сигурно сега у вас веднага изникват следните въпроси:

- защо трябва да изберете доставчик в чужбина;
- защо този доставчик трябва да е име в този бранш.

Отговор на въпроса "защо трябва да изберете доставчик в чужбина":

Действията по незаконно подслушване от страна на български субекти имат преди всичко локален обхват. Обхватът е локален именно заради незаконността му. Един от големите проблеми в българските доставчици на интернет свързаност е тяхната връзка с извършителите на първоначалното натрупване на капитали в България. Тази зависимост не може да се прекрати за десетилетие, а нейното прекратяване има бегли наченки и практически е започнало на малко места. Българските доставчици са податливи на изнудване и заплахи и това е основния проблем, който препятства доверието към техните услуги. В България репресивните органи работят още в стар стил от соц. времената и действат безнаказано с изпитани от миналото методи за сплашване, което прави доставчиците уязвими от желанията на корумпирани полицейски и др. държавни служители.

Отговор на въпроса "защо този доставчик трябва да е име в този бранш":

Сигурността на една услуга се определя от това кой я предлага. Доставчиците с име защитават клиентите си. Подходящ пример за доставчик от този тип са тези, които са раположени в центровете на Telehouse Europe (напр. в Лондон). Аз например имам опит със сървъри за електронна поща, които домуват в Лондон и фирмата, която ги обслужва е Rackspace. Разбира се, това не е реклама на тази фирма, а компанията, в която бях консултант за целта е избрала този доставчик, при който наема сървър. Вие можете да изберете друг доставчик, но нека бъде такъв с име и дългогодишен опит.

Част 1: Защита на транспортния протокол за електронна поща - SMTP.

След като наемете сървър в чуждестранен доставчик, опишете пълното квалифицирано име на хост в MX йерархията за вашия домейн (нека да бъде единствения MX ресурсен запис, направете го нарочно с малък TTL, за да можете да го сменяте често, ако това се налага). Поръчайте два публични адреса в рамките на пакета на услугата, които да са в различни мрежи. Единият IP адрес ще се използва само за получаване на поща. Вторият IP адрес ще се използва за изпращане на поща до сървъра, на който ще се намират кутиите на потребителите.

Много дизайнери на системи за услугата "електронна поща" са свикнали обработката и доставката на електронната поща по кутии да се извършва на един сървър. Това е само частен случай на разположение на компонентите на пощенската система. Няма никакъв проблем един сървър да обслужва само входящия или изходящия поток електронна поща, а съвсем друг да обслужва пощенските кутии на потребителите. В услугата "електронна поща" съществува разделение на компонените и най-често услугата се състои от комбинация на MTA (Mail Transport Agent) и MDA (Mail Delivery Agent). Обяснението в тази част засяга именно изнасянето на MTA компонента в чужбина, доколкото той е този, който най-лесно може да бъде локализиран като име на хост и оттам намерен неговия IP адрес (името на този хост е публична информация в зоната на домейна и в частност в нейната MX йерархия). MDA компонентът е този, който се занимава с обслужването на пощенските кутии на потребителите (приема пощенския поток от MDA, класифицира го и го поставя в пощенските кутии, предоставя достъп на клиентските програми до кутиите и т.н). Той може да бъде на произволно място в Интернет и локализирането му е трудно в общия случай.

Ако се върнем сега на условието сървъра в чужбина да има два IP адреса, то става ясно защо това трябва да е така. Когато едно електронно писмо се получи чрез първия IP адрес (предназначен само за работата на MTA), то ще бъде изпратено до MDA компонента на системата за електронна поща през втория адрес. Така подслушващия потока от и до MTA компонента, няма да може да знае къде е MDA компонента, защото според публичната информация от домейна на подслушвания, той може да получи само информация за адреса използван от MTA компомента (само той е публична информация).

Част 2: Защита на протокола за достъп до пощенските кутии - POP3/IMAP4.

Няма проблеми сървърът, върху който се намират пощенските кутии, да се намира физически в България (с криптирана файлова система, върху която са разположени кутиите). Когато едно електронно писмо се маршрутизира съгласно MX йерархията, то ще се получи за обработка на сървъра за поща в чужбина (както е описано в част 1). Оттам се транспортира до българския сървър чрез криптиран канал, например с използване на ESMTP разширение като STARTTLS (добре е в този случай да се следва политика за задължително използване на STARTTLS), или SSL тунел чрез използването на някакъв SSL wrapper, като Stunnel. Т.е. целта е пощата да се получава в чужбина и да се доставя в България по криптиран канал, който да е неподатлив на подслушване. При съвремените скорости, които се реализират по комуникационните канали, закъснението на пощата породено от описаното премаршрутизиране, ще бъде от порядъка на секунди.

Достъпът до пощенските кутии от страна на клиентите трябва да става само през криптирана сесия. Не бива да се допуска никакъв достъп до кутиите с използването на некриптирани версии на протоколите POP3 и IMAP4. И двата основни пощенски протокола поддържат криптирани версии на транспорта си. Например, протоколът POP3 използва оригинално порт 110/tcp за комуникация с клиентите, но комуникацията от и към този порт в общия случай не е криптирана. Аналогично, протоколът IMAP4 използва оригинално порт 143/tcp за реализиране на некриптиран достъп. Но и в двата протокола има дублираща комуникационна схема за криптиран пренос, като за целта POP3 се дефинира като POP3S и използва порт 995/tcp, а IMAP4 се дефинира като IMAPS и използва порт 993/tcp. Повечето съвремени UNIX базирани MDA сървъри, могат да криптират преноса, без да дефинират нова услуга (т.е. без да дефинират POP3S и IMAPS). За целта те използват протокола TLSv1 на ниво приложение. Това обаче изисква пощенските клиенти да могат да използват TLS протокола, което не може да се каже за клиентите на Microsoft (например Outlook Express).

Възможно е да се използва и следната схема за допълнително укриване на MDA компонента (сървъра, на който са кутиите на потребителите). Върху сървъра за реализиране на MTA компонента (за който в част 1 описахме, че трябва да е в чужбина), се слага софтуер, който да отвори върху него портовете, които се използват за връзка на клиентите с техния MDA агент (т.е. POP3S и IMAPS в най-честия случай). Този софтуер трябва да пренасочва през криптиран канал сесиите на клиентите към истинския MTA сървър. Така клиентите се свързват към сървъра в чужбина и дори и те не знаят къде реално е истинския сървър, на който се намират пощенските им кутии. Един такъв софтуер може да е Stunnel.

Част 3: Защита на изпращаната от клиентите електронна поща.

Накрая остана да се дискутира проблема с изходящата от клиентите на пощенския домейн електронна поща. Кой сървър да използват те за изпращане на изходящата си електронна кореспонденция? Подходящо е да се използва сървъра в чужбина. За целта обаче трябва той да може да удостоверява потребителите. Добре е това да става в SSL или TLS режим.

Начини за опорочаване на резултатите от подслушването.

Ако все пак електронната ви кореспонденция ще бъде явна, то начините за опорочаване на резултатите от подслушването са два:

Начин 1: Зариване на подслушващия с поток информация, която на пръв поглед има смисъл, но която той не може да анализира. Генерирането на огромен брой пощенски писма, в които например пускате по една страница от електронно издание на "Война и мир" е един добър пример. Друг пример е подаване на системата за анализ на подслушващия. Очевидно, че ако вие сте компания, интерес ще има към ключови думи от кореспонденцията ви като "договор", "товар" , "товарителница", "пари", "плащане", "фактура" и подобни. Няма проблеми с един скрипт да генерирате огромен брой такива безмислени писма. Разбира се, трябва да направите така, че тези писма да не зарият получателя им, т.е. трява да се измисли система за разпознаването им при получателя. Това не е невъзможна задача, дори не е много времеемка. Идеята на този метод е подслушващия да не може да анализира информацията машинно, а да му се наложи да въведе анализ от оператор-човек за всяко писмо, което при огромен брой писма е непосилна задача. Друга реализация на този метод е изработване на фалшиви кореспонденти. Т.е. това е симулиране на пощенски обмен между несъществуващи реално субекти. Някои разновидности на използването на фалшиви кореспонденти са част от дезинформацията (виж по-долу).

Начин 2: Дезинформация. Това е начин, при който вие разигравате пред подслушващия ви лъжливи сценарии. Например, големи транзакции на суми, които никога не са реализирани на практика, обещания за търговски споразуменя и прочие интересни факти, които подслушващия търси и на които би повярвал. Дезинформацията изисква майсторство, опит и талант. Но ако сте компания, която иска да защити интересите си, ще трябва да намерите съответните майстори на дезинформацията за целта (много компании имат такива, а в Япония е масово разпространено). При правилно реализирана дезинформационна кампания в Интернет, подслушващия може да попадне в такива глупави свои ходове, че да се въвлече в сериозен скандал, който да има за него фатални последици. Дезинформация се прави не само на фирмено ниво. Разузнавателните служби също използват този приом (в миналото той е бил по-характерен именно за тях). Английското разузнаване е безспорно челник в дезинформаторството, от него са се учили и ЦРУ, и МОСАД.

Без всякакъв коментар...

2007-07-20T10:12:00.000+03:00

За това колко грамотни техническия хора работят в МВР

2007-07-18T09:54:00.000+03:00

Образователният ценз в МВР варира от много зле до безнадеждно. И трябва да дойде един ден, в който да се потърси отговорност кой и как получава държавна заплата, без да има съответното образование и познания. Не може някой да взема пари за да бъде прост и малограмотен.

Чета писмото на СДВР, което е апогей на техническата инвалидност (майка плачеееееееее):

"След въвеждането в адресния бар na посочения интернет адрес се отваря въпросният сайт, на който има тема по повод "Граждански протест в защита на природен парк Странджа", пише в съобщението на полицията. "Установено е, че домейнът www.optimiced.com е уеб-сайт и личен блог на лицето Мишел Бозгунов. IP адресът (208.97.170.179), на който се намира интернет сайта, е на американската хостинг компания DreamHost Web Hosting, намираща се в Калифорния. Регистрацията на домейна е извършена през "прокси", поради което информацията относно регистранта страница е единствено за хостинг компанията представила интернет пространството", се казва в писмото."

Това, написано тук е дело на НЕГРАМОТНИК! Аз като данъкоплатец искам да знам кой е този технически инвалид, за да го нарека ПОИМЕННО такъв. Сега ще ви покажа до какви висоти може да стигне неграмотността и глупостта на самозваните "кибер" експерти на МВР. Използваме така любимият на МВР инструмент whois. Ето данните за домейна на Мишел:


   Domain Name: optimiced.com

   Registrant Contact:
      optimiced.com Private Registrant     optimiced.com@proxy.dreamhost.com
      DreamHost Web Hosting
      417 Associated Rd #324
      Brea, CA 92821
      US
      +1.2139471032

   Administrative Contact:
      optimiced.com Private Registrant     optimiced.com@proxy.dreamhost.com
      DreamHost Web Hosting
      417 Associated Rd #324
      Brea, CA 92821
      US
      +1.2139471032

   Technical Contact:
      optimiced.com Private Registrant     optimiced.com@proxy.dreamhost.com
      DreamHost Web Hosting
      417 Associated Rd #324
      Brea, CA 92821
      US
      +1.2139471032

   Billing Contact:
      optimiced.com Private Registrant     optimiced.com@proxy.dreamhost.com
      DreamHost Web Hosting
      417 Associated Rd #324
      Brea, CA 92821
      US
      +1.2139471032

   Record created on 2006-10-21 03:24:22.
   Record expires on 2007-10-21 03:24:22.

   Domain servers in listed order:

      ns1.dreamhost.com
      ns2.dreamhost.com
      ns3.dreamhost.com

DreamHost whois server terms of service: http://whois.dreamhost.com/terms.html

Малко пояснение за титанът на техническата мисъл, който е написал мега бисера, че домейнът е регистриран през прокси. Понеже явно е видял в информацията optimiced.com@proxy.dreamhost.com и празния му поглед е локирал думичката "proxy", е направил невероятно "умния" извод, че регистранцията е през прокси. Не, че е наясно какво е прокси. Та така. Да обясним малко. Ясно е, че в МВР знанията са дефицит. Регистрацията с подобен статус означава, че Dreamhost са регистрирали НА СВОЕ ИМЕ (четеш ли, ченге, образоваш ли се поне малко, а) домейна optimiced.com, за да предложат хостинг пакет на свой клиент и клиентът НЕ СЕ Е занимавал с регистрацията на домейн, а такава автоматично е била направена от доставчика в момента на активирането на пакета (което става през един web базиран панел)!!! Толкова ли е трудно това да се разбере? Толкова ли е трудно да се учи, да се набавят необходимите знания?

А да, моля неграмотниците от ГДБОП и другите "кибер" копои и кандидати за такива (обикновено с псевдообразование и никакви познания в ИТ), да прочетат много внимателно какво пише в документа даден като хипервръзка в изходa от whois:

http://whois.dreamhost.com/terms.html

и ОСОБЕНО да обърбнат внимание на следното:

TERMS OF USE: The information in DreamHost's whois database is to be used for informational purposes only, and to obtain information on a domain name registration. DreamHost does not guarantee its accuracy.

Т.е. с този инструмент whois можете да си събирата данни, които имат ПОЖЕЛАТЕЛНА стойност/вярност и нищо повече. И призовавам всички, които ще бъдат викани по подобни жалки поводи, както случая с Мишел, да покажат подобните документи от регистраторите на своите адвокати и съдебни защитници.

Шапкарска интелигентност

2007-07-17T19:19:00.000+03:00

Тези дни много пътувам и работя, явно и поради тази ми заетост протестите покрай Странджа и реакациите на разни копойчета срещу автори на интернет-дневници, стоят малко по-встрани от мен. Но днес реших да направя и аз едно обобщение. Не е нужно да сте съгласни с мен, разбира се.

За това, че в България не останаха грамотни и разумни хора, едва ли е интересно да се пише, защото това е отдавна неоспорим факт. Доколкото винаги в репресивните органи са работили хора, които са нямали възможност за изява, кариера и са нямали амбиции да растат професионално, то винаги е имало една страхотна пропаст между уменията на тези, които не работят за репресивните органи и тези, които работят за тях. Вицове и смешки за това как ГДБОП се занимавали с "киберпрестъпления" сме слушали много. Знаеме им и кадрите (силно се надявам, тези хора да са назначени там по някаква програма за социална заетост съвместно със Социалното министерство, защото ако това е професионално кадруване в МВР този, който го провежда следва да отговаря пред закона). Дори Йовков не може да опише подобаващо мъката, която цари в МВР и по-конкретно в ГДБОП относно познанията им за Мрежата. "Кибер" експертите им ходят цивилни по магазините, че да не ги лъжат като пазаруват. "Гениалните" им кадри изпращат призовка от ... адрес в Hotmail. А да, имаме и диагнози като hound@dir.bg (това е незабравимо - постарал съм се за грамотности на експерта с този емблематичен пощенски адрес да научат максимално повече хора, вкл. и в чужбина). За системата за електронна поща в МВР може да се разкажат такива неща, от които ще ви се приповръща. Но да продължим с разследващите им способности. Единственият инструмент, с който тези мъдреци правят нещо е whois. Не, че знаят как да го ползват, но 1-2 опции са научили. А доказателство там е IP адрес (мега култово). Доказателства се събират и по име на файл (не по съдържание). Наскоро говорих за методите им с познати юристи. Whois информацията не може да е база за документна идентификация на лице свързано с домейн или адресен сегмент. Нужно е да се прочете за целта декларацията за снемане на отговорност от регистраторите на домейни и IP регистрите, относно достоверността на данните в техните бази от данни. Регистраторите на домейни и IP регистрите нямат задължение да проверяват автентичността на данните. Единствено някои ccTLD регистри действат като проверяват даннните на регистранта, доколкото областта им на опериране е свързана с конкретно местно законодателство или такова избрано от регистъра/регистратора.

Не само според мен, МВР не може да докаже, че вие сте собственик на даден домейн, например blabla.org. Причината е, че регистъра и регистраторите не изискват от регистратора документ за самоличност и напрактика в gTLD не можете да твърдите със сигурност кой домейн на кого е. Вие просто нямате документно потвърждение и НИКОЙ не контролира информацията, която внасяте в базата данни. Т.е. ако някой ви извика в полицията и ви изисква да давате обяснения за някаква страница свързана разбира се с домейн и съдържанието й, вие можете спокойно да отречете, че това не е ваша страница и да си направите стабилна подигравка с неграмотниците, които твърдят това. Ако ви се озъбят, съдите държавата в Страсбург и точка. Затова според мен е било грешка Мишел да признае, че това е негова страница. Аз не бих признал това. Освен това бих отишъл с адвокат, а не сам. И бих изисквал всичките формалности. А да, да не забравя. Обещавам да купя домейн и да го регистрирам на името на този, който ме е викнал да му обяснявам какво и защо съм писал някъде си.

Мисля, че съм омръзнал на някои хора да повтарям и посочвам неграмотността на МВР по отношение на информационните технологии. Но пак искам да кажа, че там са на най-ниското ниво на грамотност в информационните технологии. Моля, нека го оспорят. Може би ще искат да направим публична техническа дискусия с експертите им? Да заповядат.

BGREG - анонимно или некадърно

2007-07-06T18:20:00.000+03:00

По принцип хуморът е нещо чудесно и прави живота някак си по-свеж и интересен. Това, което ще видите по-долу обаче, не е хумор (а много ми се иска да е), а жестока трагедия. Не ми се иска да познавам нейните корени и причини, защото те сигурно са страшни. Съжелявам, че трябва да ви поднеса трагедията в този директен и вулгарен вид, но е по-добре да видите и да усетите, че със създателите на подобни творения можете да имате отношения като между пациент и терапевт, а не като като между търговец и клиент.

И така, да ви представя www.bgreg.eu. Творение, което няма нищо общо с професионализъм и техническа изтънченост, но със сигурност е сред шедьоврите на болната мисъл.

На картинката по-долу, виждате една прекрасна новина, в която с горд червен цвят стои една хипервръзка:

Хипервръзката сочи към един апогей на програмирането на HTML. Ако имате нервно неразположение недейте да четете по-надолу, защото ще ви покажа заглавната страница на www.uninet-bg.eu:

Да не наричаме гледката проява на брутална некадърност и неграмотност. Да бъдем снизходителни дори при такива подигравки с HTML. Лично аз нямам свойството да чета текст в неправилната за него кодировка. Но какви фенове на uninet-bg.eu сте, ако не можете да вниквате и наум да правите символни трансформации. За всички други, които не са родени с мозъчни малформация, показвам изходния HTML код, за да му се любувате и наслаждавате:


<html>
<head>
<title>Uninet</title>
<style>

img {
position: absolute;
top: 150px;
left: 350px;
}

h1 {
position: absolute;
top: 250px;
left: 280px;
}

</style>
</head>
<body>
<img src="logo.png" alt="Uninet" />
<h1>Ð’ ÐŸÐ ÐžÐ¦Ð•Ð¡ ÐÐ Ð Ð•Ð“Ð˜Ð¡Ð¢Ð ÐÐ¦Ð˜Ð¯</h1>
</body>
</html>

Разбира се, че всеки гениален web програмист е над такива глупости като обявяване на символната кодировка в рамките на елемента HEAD, а препоръките на W3C са за побъркани дядки, дето Кралицата ги прави рицари, щото няма какво друго да ги направи на нейните (а и на техните) години.

По принцип блек метъла и ръкоблудството не са простили никому, затова секцията "За нас" е най-информативното нещо на света, което можете да видите:

Очевидно само просветените в този класически език ще могат да прочетат кой е този субект, дръзнал да предлага тази така невероятна услуга. Всички други, имали неблагоразумието да не знаят този свещен език, не могат да получат информацията, която искат. Не е писано, но по подразбиране за всеки закупен домейн сигурно получавате блек метъл тениска по избор, чифт пластмасови рога, дяволска опашка и задължително череп, от който можете да пиете кръв. Такъв текст на латински се чете само с изброените атрибути и под звуците на мрачен скандинавски блек метъл! А да, забравих, че според догмата, който не слуша блек метъл е педал.

Бидейки обаче нагло копеле, аз твърдо решавам да намеря кой стои зад тази феноменална некадърщина и пародия на каквато и да е услуга, наречена BGREG. И какво да видя, от whois информацията за TLD EU изкача един мой стар познайник (с времето заболяването му обаче се е задълбочило):

Забременели PR агенти

2007-06-13T19:46:00.000+03:00

Говорейки с Пейо за инициативите на PR агента Добри Божилов, изразени върху страничката - пример за пълна безвкусица http://www.pr-bg.com/dobri/, най-интересна ни се видя тази за борбата му срещу абортите и гей-браковете. Пейо веднага пожела на Добри Божилов да го е*** гейове, да забременее и да видим тогава какво ще прави :)

Студентско форумно творчество

2007-06-06T12:06:00.000+03:00

Тежка е понякога задачата на модератора. Днес обаче Щинков ми каза, че някои от творенията не бива да се трият, а да се запазват. Реших да не хабя стуентското творчество и изтривайки го от даден академичен форум, да го публикувам тук. Не е задължително да ви хареса. Не е четиво за моралисти!

Приятно четене:

***

Самозадоволяване с микрофони

/пишете само на кирилица/

Вт. 05 юни 2007 [10:12] Зъбчо: това е тема за нетрадиционно самозадоволяване с микрофони (yupi)
Вт. 05 юни 2007 [10:15] PornoTroll: ще споделяш своя опит или искаш и от нашия? (metal)
Вт. 05 юни 2007 [10:17] Зъбчо: най-добре става с динамични микрофони на стабилна дръжка от тези с голямата главичка! В музикалните магазини ги има. Май на 5-те кьошета има добри с дължина 20 санта и повече. Не купувайте такива с диметър по-малко от 5 сантиметра!!!
Вт. 05 юни 2007 [10:18] kurotro6a4kata: ааааа... тези микрофони рядко ги има в други магазини... в книжарницата до фака има само едни за компютър тънки като червеи и не стават!!! (cry)
Вт. 05 юни 2007 [10:40] Napu6enZaek: еха (smile) е с какво са по-добри от силиконовите членове от секс шопите??? (question)(devil)
Вт. 05 юни 2007 [10:53] nevidimata_prostitutka: Napu6enZaek (sad) тези от шоповете са понякога супер меки а и от тях звук не може да се записва!!! те нямат слух! (batman)
Вт. 05 юни 2007 [11:35] neobaranata: има и светещи микрофони (storm)
Вт. 05 юни 2007 [11:42] Napu6enZaek: за анален секс кои са най-готини? (kid)
Вт. 05 юни 2007 [11:57] neobaranata: попитай в музикалния магазин. продавачите там имат дългогодишна практика и са добри консултанти по темата (ninja)
Вт. 05 юни 2007 [12:04] Напляскания: стават ли да се записват с тях лекции?
Вт. 05 юни 2007 [12:19] Napu6enZaek: в коя зала ще записваш с тях? (smart) в някои акустиката е зле и все едно дали микрофона е в теб или навън звука е един и същ! (devil)
Вт. 05 юни 2007 [12:34] Nemoralen: за гей парти стават ли? (devil)
Вт. 05 юни 2007 [13:05] Зъбчо: ако на партито сте само пасивни стават (angel)
Вт. 05 юни 2007 [15:37] Senokosa4a: какво е това гей парти без пишки??? (sad)
Вт. 05 юни 2007 [16:34] Недоепилирания: а устойчиви ли са на смазки и гелове? как иначе влизат гладко? (question)
Вт. 05 юни 2007 [17:06] Napu6enZaek: е не са като презервативите де... можеш да смажеш с олио и дори свинска мас (smart)

Майстори на краткия разказ

2007-05-15T13:10:00.000+03:00

За поредната помия забъркана от лъжите на BSA може да прочетете тук:

http://news.ibox.bg/news/id_951678919

Като нормални хора се замислете от къде може който и да е и където и да е, да има информация, с която да направи подобни оценки. Подобна информация е практически и теоретически несъбираема. Това, което ви се поднася са най-долни, гнусни и мръсни лъжи, тиражирани от ояли се милиардери, които искат да печелят все повече от въздух.

Изходът е един: не ги обогатявайте по никакъв начин. Не купувайте продуктите им, не ги ползвайте, не участвайте в писането на ръковдоства за тях, не помагайте по форуми на техни потебители, не рапортувайте пред производителите грешки и проблеми със софтуера, изхвърляйте рекламните им агенти като мръсни кучета от офиса ви, съдете ги за безпокойството, тормозете ги с неудобни въпроси и т.н.

Числото 09F911029D74E35BD84156C5635688C0

2007-05-02T18:05:00.000+03:00

Днес си намислих едно тридесет и две цифрено шестнадесетично число:

09-F9-11-02-9D-74-E3-5B-D8-41-56-C5-63-56-88-C0

Вероятността да измислите кoе и да е да е тридесет и две цифрено шестнадесетично число с един случаен избор е една и съща (помислете защо) и не е нула, колкото и да е малка. Вероятността да улучите 4096 битов RSA частен ключ с един опит също е отлична от нула. Вероятността да улучите 256 битов криптиращ ключ (примерно по алгоритъм CAST или AES) също не е нула.

Няма число, което да не можете да улучите.

Сметките без кръчмар за предлагането на лицензирано съдържание в Интернет

2007-04-11T00:50:00.000+03:00

Кампанията срещу свободното разпространение на информация в Интернет, оправдавана с непонятната в този случай дума "пиратство", се опитва да реабилитира негативите които насади срещу себе си у потребителите, като рекламира сървъри за комерсиално предлагане на "интелектуален" продукт, срещу заплащане, както се досещате. По-долу ще се опитам да дам техническа гледна точка защо подобни инициативи са нереалистични, поне на днешния етап от развитието на подобни услуги. По съвет на Пейо ще се опитам да не слагам толкова много технически термини, че разни хора да повръщат.

1. Системата за свободен обмен на информация, базирана на протокола BitTorrent, е най-богатата на съдържание.

Защо се получава така? Получава се така заради децентрализираното съхраняване на информацията, което позволява сумарния капацитет информация да е колосален, защото не е концентриран на няколко файлови сървъра с краен капацитет. Никой не може да оцени точния обем съдържание, който може да бъде намерен в мрежата за свободен обмен, базирана на протокола BitTorrent. Оценката е невъзможна не само заради големия обем, но и заради динамичната му промяна. За момента такова богатство на съдържание не може да се предложи от никой комерсиален дистрибутор. Представете си нещо като мега файлова система с капацитет, за какъвто и Google не могат да мечтаят. Комерсиалните дистрибутори никога не могат да поддържат и организиран подобна глобална система. И проблемът не е в заплащането. Проблемът е, че този дистрибутор няма как да разполага с такъв обем съдържание, способен да задоволи търсенето от страна на потребителя.

Важно свойство на системата за свободен обмен на съдържание, базирана на протокола BitTorrent, е тематичността на съдържанието. Има различни BitTorrent общности, които поддържат обмен на тематично съдържание. При това тематиката е такава, каквато потребителите й я искат. Никой комерсиален доставчик не може да поддържа подобно богатство от тематики. Причината е, че той не работи с цел улеснение на потребителя, а с цел печалба, следователно единствената тематика, която за него е полезна е тази, от която има печалба и то значима. Некомерсиалният подход в този случай е тотално печеливш и не може на този етап да има комерсиална конкуренция. Това е подходът, при който потребителя моделира средата такава, каквато иска да я види, а не някой да я моделира вместно него и да му налага чужда сепарация на съдържание.

Може да се обобщи накратко, че комерсиалното предлагане на съдържание никога не може да конкурира некомерсиалното, защото комерсиалното следва изгодата на дистрибутора, а некомерсиалното следва логиката и желанията на потребителя.

2. Системата за свободен обмен на информация, базирана на протокола BitTorrent, отчита най-добре вкуса на потребителя.

Доколкото системата е некомерсиална и свободна, тя посочва кое съдържание в нея е най-интересно за потребителите. Именно то е и достъпно с максимална скорост при изтегляне, т.е. най-лесно достъпно е, защото се намира върху най-голям брой локални системи, които го споделят. Добрата страна от гледна точка на потребителя е, че колкото едно съдържание е по-интересно за повече потребители, толкова по-бързо се изтегля то, защото много хора го споделят.

Тук отново двете системи влизат в конфликт. Комерсиалната система за разпространение на съдържание се опитва да налага на потребителя кое е интересно и кое не, най-малко с реклама, докато некомерсиалната система не може да наложи нищо, тя просто отчита. Освен това да си представим какво ще се случи с един разпространител, който представя съдържание на различни производители. За него по-печелившо ще е това съдържание, което му носи по-големи приходи, независимо от това дали клиентите го намират за най-интересно. Което пък значи, че може съзнателно да улеснява достъпа до по-печелившото съдържание, за сметка на по-малко печелившото.

3. Комерсиалната система за разпространение на лицензирано съдържание никога не може да достигне производителността на BitTorrent средата за свободно споделяне на съдържание.

Дистрибуторите на комерсиална услуга за достъп до съдържание не могат никога да изградят подобна по обем и скорост на разпространение среда. Ще обясня защо това не може да стане.

Комерсиалната доставка е обречена на централизация. Това е много удобно за корпорациите. Така те усещат някакъв контрол над цялата работа. Това води до следните големи проблеми:

а) поддръжка на огромни дискови масиви за съхраняване на предлаганото съдържание

Това е генерален проблем. Поддръжката на огромен дисков масив е скъпа и отговорна работа. В BitTorrent масивът, който съхранява съдържанието е глобализиран и така няма централна или няколко централни точки на натоварване. Това е доста голямо предимство.

б) поддръжка на "широки" трасета за обмен на трафик

Ето един проблем, при който централизираната система "издиша". Между другото, дори т.нар. "free" сървъри са обречени на бавна смърт, поради чисто технологични причини. Получава се натоварване на мрежовия трафик по едно направление, при това в такава степен, че потреблението нахвърля достижимите с днешните технологии капацитети, което резултира в ниска скорост на връзката между клиента и сървъра. Няма какво да се говори за факта, че доставчиците, които ще трябва да транзитират такъв трафик, ще накарат субекта, който го генерира да си заплати за допълнителните инвестиции и натоварване. Дори може да се стигне до извиване на ръце, както си беше у нас с free.data.bg и free.techno-link.com.

Има и още проблеми, но за тях ще пиша друг път.

За компетентността на ГДБОП, ССлС и алчните корпорации

2007-04-08T16:43:00.000+03:00

Според мен темата за опитите за разправа с интернет обществото у нас не бива да затихва, а напротив - да се говори все повече на тази тема. Трябва всички да разберат какво се случва и къде са причините за това.

Понеже се занимавам с точни науки, трудно могат да ми замазват очите с небивалици. Затова и мисля да напиша за тях. Ето обяснения за част от нещата, за които се лъже и с тези лъжи се правят опити да бъде обработено обществото в посока на приемане на последващи репресии. Лъже се тенденциозно, от представители както на репресивните органи (потвърждение, че България е полицейска, а не правова държава, още повече при червено правителство) и от алчните за пари корпорации, които мразят своите клиенти.

Лъжа No.1

X% от генерирания трафик в българския интернет е генериран от разпространението на съдържание в нарушение на неговия лиценз за разпространение чрез протокола BitTorrent (известен сред закърнелите мозъци като "туренти" или с други волно измислени имена, говорещи ясно за нивото на технически познания на тези, които ги употребяват).

Това е дебелашка и доста груба лъжа. Ще обясня подробно проблема, за да се убедите сами кой и как послъгва. За да може да се каже колко процента от трафика каква услуга представлява този, който твърди това трябва да изследва трафика и да го класифицира по протокол, порт, източник и получател. След това трябва да подложи на много внимателен анализ събраната информация и чак след това могат да се правят каквито и да са изводи. Отмина времето, в което имаше централизирани файлови сървъри и лесно можеше да се направи количествена оценка за трафика от и към тази услуга. Идеологията на BitTorrent протокола указва на това, че потоците трафик са децентрализирани, а това означава, че няма централна точка в Интернет, която да е инициатора на звездовина схема, по която да преминава задължително целия трафик. Напротив, идеологията на BitTorrent протокола е да облекчи натоварването на Глобалната мрежа, като изнесе товара единствено по трасето свързващо два по два участниците в споделянето на дадено съдържание. Следователно, за да се анализира общия обем трафик по протокола BitTorrent, следва да се изследва трафика така, че да има максимален брой колектори, в които да се събира информацията (колектор - машина включена към комутатор или маршрутизатор, която събира целия преминал през устройството трафик или отчита преминалата информация по индиректни признаци, например проследяване на TCP сесията по поредните номера в заглавната част на пакетите и др). Забележете следната особеност, която е особено важна. Най-голям обмен става през високоскоростните трасета, а те по правило са локалните за потребителите етернет сегменти. Клиентите са свързани помежду си във един физически сегмент чрез комутатори. Не е възможно всички комутатори да са от такъв тип, че да позволяват да се извършва анализ и статистика на трафика сумарно през комутатора или на отделен негов порт. Това е първо ужасно скъпо, второ е непректично. Възможно е да се използва протокол STP, чрез който въпреки, че клиентите са в един етернет сегмент и дори на един комутатор, трафика между всеки два клиента да преминава през звездовидна схема на комутаторите - използват се един или повече "централни" комутатора, на които има възможност да се записва трафика. Така няма "скрит" трафик поради това, че той се обменя винаги през централния комутатор. Тази схема обаче не винаги е ефективна, защото забавя връзката между включените на съседни портове, изисква особено управление, води до недоволства на клиентите, че не могат да използват ефективно локалната мрежа. Използването на STP е ефективно при добра организация на мрежата, иначе използването му води до нещо от рода на "от София за Перник през Варна". Та така, ето я една от основните трудности - изключително трудно може да се оцени трафика в една локална мрежа, какво ли да говорим за подобна оценка за всички локални мрежи в България. Нито ГДБОП, нито ССлС имат дори елементарна представа за топологията на мрежите у нас. Дори самите доставчици не знаят добре пълната топология на собствените си мрежи на ниво етернет. Т.е. оценката на локално обменения трафик е практически невъзможна. Но да си представим, че ГДБОП и ССлС решат да отчитат трафика само през маршрутизатора на доставчика. Така те ще пропуснат да отчетат десетки проценти от сумарния BitTorrent трафик, но те са пропуснали толкова много неща по принцип, че едно пропуснато повече или по-малко, няма дори да бъде забелязано. И ето хипотезата, при която ГДБОП и ССлС са включили своите колектори към маршрутизаторите на доставчиците (или към комутаторите, към които тези маршрутизатори са свързани) и събират статистика за трафика или откопират самия трафик. Предполагам, че някой е ограмотил изпълнителите на подобни грандиозни безмислия, как се правят колектори на трафик (невероятно е, но да бъдем оптимисти). Няма да говорим, че това може да влоши услугата за клиентите на доставчика, особено за корпоративните, и това да му донесе косвени или преки загуби (може би после те ще му бъдат възстановени?). Представяме си без помощта на алкохол и халюциногени, че експертите от репресивните органи са успели да изпълнят намерението си да оценят трафика поне между доставчиците чрез записване (не дискутирам кой им е дал права за това). Изникват следнитв въпроси. Каква е методологията за събиране на трафика - в кои възли на кои доставчици е събиран трафика и по кое време? Трафикът, като количество, е неравномерно разпределен във времето. Има часови промени, дневни промени, седмични промени, месечни промени и др. Промяна може да се предизвика дори от предлаганото съдържание в даден момент. Но да си представим, че в ГДБОП и ССлС работят хора, които могат да различат знака за интеграл от този за сол-ключ и са изчели поне една книжка по Теория на експеримента, и са успели да докажат в някакъв приличен аспект поне приблизително условията за извършване на събирането на данни. И така след експеримента, ГДБОП и ССлС ще притежават масив от поне стотици терабайти, само за един ден и то ако не събират локалния трафик в етернет сегментите (интересно кой ще плати хардуера за колекторите). Стигаме до най-интересния момент - анализа на трафика. Това, че някой има масив от стотици терабайти, още не значи, че има полезна информация, защото за да се извлече нужната информация от този масив, тя трябва да се подреди, класифицира и свърже в някаква последователност. И тук опираме до един класически проблем, който няма еднозначно решение и той ни връща малко назад, а именно в условията на събиране на трансферираната информация. Как ще отсеем трафика, генериран по протокола BitTorrent? За да се отсее трафика генериран по BitTorrent протокола, трябва да се прихване таблицата с маршрути обменяна между клиенти, споделящи дадено съдържание и анонси, която обикновено се координира от т.нар. тракер. Т.е. първо трябва да се знае списъка с всички адреси на тракери, с които клиентите могат да реализират обмен на таблицата с маршрути. В общия случай няма как да се знае този списък. Няма регистър на тракерите. Поне аз не съм видял такъв, доколкото няма режим, по който те да бъдат накарани да се регистрират някъде, в някаква база и да спазват данните си за това какви адреси на тракери имат. Ако пък трябва да се реши обратната задача, т.е. по информация за трафика да се намери тракера, това е особено тежка задача, която може да се реши само, ако UDP протоколния трафик бъде записан и после анализиран. Няма да говоря каква изчислителна мощ и колко време е нужно за това. BitTorrent е много добре направен протокол - той работи на произволен порт и няма стандартен такъв. Т.е. тази му похвална гъвкавост пречи на анализа на трафика (и с всеки изминал ден аз разбирам колко хубаво е това). Та дори да се прихванат UDP анонсите, които дават информация за таблицата с маршрути, след това трабва да се провери съдържанието, което клиентите обменят, за да се види какво е то и да се каже "да, това е съдържание разпространяващо се в нарушение на лиценза му за разпространение" или не. За да може да се направи това обаче, трябва да се съберат всички фрагменти от обменяното съдържание и да се сглобят в краен файл, който да се прегледа и да се установи, че наистина иде реч за нарушение на нечий лиценз за рапространение. Все пак по този протокол се обменя и съдържание нямащо нищо общо с мултимедия. Тук някои големи борци срещу Интернет, с ниво на познания в областта близко до това на родопски овчар, биха казали - "да, ще хванем тракера и ще видим в базата му кой какво е теглил". Тези нещастни хорица не са виждали никога тракера отвътре. Първо, операторът на тракера решава дали достъпа до него ще е анонимен или не. Второ, дори и да не е анонимен, никой не иска лични данни за регистрация и при това да ги проверява. Трето, никой не гарантира правилното описание на обменяния трафик между споделящите информацията. Протоколът BitTorrent има за цел облекчаване на глобалния поток трафик в Интернет, а не правилно счетоводство на трафика. Има един куп проблеми и трикове, които водят до неправилно отчитане. Най-разпространеният е генерирането на лъжливи суперлативни анонси към тракера от клиентите. Т.е. все едно клиентът казва на тракера "аз споделих XYZ байта", но на практика не ги е споделил. Това е популярен метод за вдигане на коефициента на потребителя в тракера. Има клиенти, които са достигали стотици терабайти отчетено споделяне от тракера, без да са споделили и 100 мегабайта. Има изпитани трикове със споделяне с втори домашен компютър на небивала скорост, при което също се качва рейтинга, при това без да се лъже тракера. Само дето споделяне няма, а има локално копиране (много пъти даже), което реално не ползва никой друг потребител в Интернет. Тук няма да говоря за проксирани анонси, чрез включване в DHT таблици, където не се използва тракер и които на практика са неизловяеми. Тук не говоря и за това доколко един IP адрес може да е доказателство, че лицето X стои за него. Ами да вземат мега експертите от ССлС и ГДБОП да задължат банките да основат електронното си банкиране на удостоверяване по IP адрес (и после не се чудете, ако в ГДБОП влезе безмочъчник от Близкия изток с гердан от гранати и завика "Аллах Акбар" след което да последва брутална експлозия - банките все ще немерят пари да си купят камикадзе за отмъщение:) Това последното е за да внеса малко хумор в мрачната тема:)

Ха сега ми кажете как ГДБОП, ССлС и спонсориращите ги корпорации, са оценили трафика по протокола BitTorrent. Очевидно са си измислили едни числа и са ги пльоснали ей така в публичното пространство, само за да оправдаят действията си! Това е лъжа и измама, както и да се погледне.

Лъжа No.2

Тракерите са съучастници в престъпление.

Подобно твърдение е идиотизъм. За жалост се изрича от хора, които не изглеждат идиоти и това означава, че те съзнателно лъжат хората.

Тракерите не може да са съучастници в нищо. Те спазват протокол на анонс и достъп. Администраторите на тракерите не могат да следят съдържанието, защото това означава да го изтеглят, класифицират и т.н. Те не са медийни или каквито и да е експерти по авторско право, за да преценяват кое съдържание какво е. Никой не може да изисква това от тях и да им вменява ролята на разследващи. Повечето неща, които се споделят дори не са с качеството на оригинала и е трудно да бъдат класифицирани като копие, защото по-скоро са модификация, да не кажа производни. Ако някой счита, че правата му са нарушени, подава съобщение до администраторите и предоставя доказателства за това, че са нарушени. Забележете важна технологична особеност, която странно защо не се забелязва от разни манипулатори и откровени лъжци. По един torrent файл не може да се съди за обменяното съдържание. Какво представлява torrent файла? Този файл се генерира от клиента, който иска чрез тракера да започне споделяне на съдържание, което не се намира върху тракера, а върху клиентската машина. В torrent файла има описание на колко парчета е разделена информацията, която ще се обменя, каква е контролната сума на всяко парченце, кой е адреса на тракера, чрез който ще става обмена (ако се използва DHT, адрес на тракер не се указва) и др. Този файл се изтегля от всички, които искат да получат и излъчат после съдържанието, за чието споделяне е предназначен той. Торент файлът си има име. Това име може да отразява съдържанието, което се споделя, а може и да не го. Ако аз създам файл с името "star_wars.torrent", това далеч не значи, че съдържанието отговаря на заглавието.

Чудя се как ГДБОП и ССлС не са подхванали производителите на ножове, защото те са виновни за всички кланета на света. Логиката е същата.

Лъжа No.3

Филтрирането на даден тракер препятства достъпа до него и унищожаването на доказателствата върху него.

Това може да го роди само главата на изключително нагъл човек, който се опитва да прави другите на идиоти. За жалост у нас има много нагли хора.

Нека поясня. Филтрирането, което ССлС и ГДБОП изискаха от доставчиците е апогея на една техническа инвалидност, целяща чрез некадърно сплашване да стресира потребителите, а не да спре достъпа до тракера и да препятства някакво укриване на доказателсва. Подобни обосновки за това, че щял да се спре достъпа за да се препятствало унищожаването на доказателства, дадени от репресивните органи, са най-нагла и долна лъжа и измъкване от доста конфузната ситуация! Нека обясним защо. Нека разгледаме какво стана, след като бе наложена филтрацията от БТК. Бяха спряни анонсите до тракера на arenabg.com. Това обаче не можеше да спре реанонсите през BitTorrent проксиращи клиенти. Нещо повече, не можеше да спре администраторите да достъпят сървъра с тракера. Трябва да си изключително неграмотен технически и дори глупав, за да помислиш, че администраторите на тракера нямат алтернативен достъп до сървърa. Освен ако не иде реч за тракер на някой девически манастир. Има и друг момент. Ако искаш да спреш един тракер, трябва да спреш връзката му с доставчиците му на свързаност, а не свързаността на клиентите му по направление тракера. Причината си е супер ясна. Има начини за проксиране на клиентите, има начини за DHT пренасочване, има начини за публикуване на торент файловете дори в пощенски списък и анонсирането им към тракер с друг IP адрес или напълно DHT анонсиране. Може дори да се извършва частичен anycast. Т.е. стигаме до извода, че това, което се опитват да ни представят ССлС и ГДБОП е лъжа (ако приемем, че не е тези, които са извършили филтрацията трябва да бъдат уволнени, защото те нямат никаква квалификация в областта и творят глупости, на които се смеят вече в цяла Европа и уронват престижа на България).

За това как върху тракерите имало незаконно или каквото и да е съдържание не мисля да говоря. Подобни простотии трябва да се наказват с трайно трудоустрояване в земеделието, където на зелето, морковите и картофите им е все едно какво ще им се говори.

Лъжа No.4

Загубите на фирма A от разпространение на нейна интелектуална собственост в нарушение на лиценза за разпространение, възлизат на N милиона долара.

Тук вече пада пълен мрак и следва лъгане до несвяст. Въпрос, на който никой не е дал до сега смислен отговор е как се изчисляват загубите. Никъде няма публикувана методиката за изчисляването на загубите. Май се работи в стил "24 часа" и "Труд" - "експерти" казаха, изчислиха, сметнаха и т.н. И точно в този стил, някакъв чичка излиза на трибуна в някоя медия и казва "загубили сме N милиона". Това е една смешна стъкмистика, която се прави на принципа "решете задача, на която не може да има отговор и за това какъв да е отговор е зададен в условието, за да не е без хич", т.е. не решаваме никаква задача, а направо даваме измисления отговор. Интересното е, че на този чичка му вярват, разни дори проронват някоя сълза за бедстващите от немотия корпорации, за фалиралите актриси, за умиращите в конвулсии от глад режисьори, сценаристи и подобни. Е, вярно, понякога се налага да се бутнат пари на някой законодател, че да повярва в тези измислени загуби, щото иначе няма да направи закон, който да облагодетелства "губещата" фирма на чичката. На такова даване на парички за да прозре някой "истината", му се вика лобизъм и е едно от най-уродливите неща в обществените отношения и законодателството. Но да се върнем на методиката за оценяване на загубите. Интересно защо в ниой закон не пише, че носителят на права трябва да докаже, че копирането на негов продукт му носи загуба. Забележете, при това копиране той не губи нищо материално. Не заплаща достъп до Интернет на копиращия, не заплаща за носителя на копиращия, не заплаща изразходената електроенергия. Единствено може да пледира за пропуснати ползи, но не и за това, че е окраден. Т.е. той би следвало да докаже, че този, който копира, би си купил носител с оригинален продукт. Всякакви обяснения за приликата между копирането на съдържание и крадене на шпеков салам са малоумия или елементарна манипулация. Аз отдавна искам да видя как се копира салам и как от едно теле и едно прасе се правят 50 тона салами с възможност в произволно време те да нараснат на 500 тона, без да са колени нови прасета и телета. Да ме убеждават обаче, че пропуснатата полза била кражба е бездарие при излагането на аргументи и чиста лъжа.

На фона на "ужасното пиратство", Холивуд отчита рекордни печалби за 2006 година.

За саламите и MP3-ките

2007-04-05T15:23:00.000+03:00

"Всяка година хиляди млади хора напускат селското стопанство и се вливат в българския шоубизнес...."

Войната срещу Интернет е в разгара си. У нас тя е по-уродлива от другаде, доколкото продажниците, готови да действат срещу Интернет са в широк спектър - от доставчици на свързаност, които предоставят услуга с мега съмнително качество (БТК) до необразовани ченгета, които ако не реботеха в ГДБОП трябваше да бъдат нощни пазачи или таксисти (за повече не им стига мозъчния багаж).

Днес ми дадоха връзка към една небивала по своето съдържание статия:

http://news.ibox.bg/news/id_2095977622

Героите в нея са до болка познати. Според мен по-добре да беше озаглавена "Комсомолски етюд", за да покажe по-добре процеса на срастване между точно определен бизнес и интереси. В нея има феноменални фрази, като:

Атанас Янкулов класифицира терминът „свалям" като „крада" и го сравни с влизането в магазин, взимайки си шпеков салам и след това излизайки, без да го платиш - това за мен означава „да си сваляш музика от Интернет", поясни Янкулов.

Този Атанас Янкулов е някакъв турбо неинтелигентен чичко, на който много му се иска да има басеин и руси компаньонки наоколо, а парите да валят от небето без никакво усилие и труд. И за това е прегърнал такава измислена логика. Както всеки първокласник е осъзнал, не може от едно теле и едно прасе да направиш влакова композиция шпеков салам. Това пък е израз за закона на запазване на масата и закона на запазване на енергията, които порасналия ученик ще научи в десети клас по физика (примерно, ако часовете нужни за целта не бъдат отнети в полза на обучение по религия, защото на държавата са нужни вярващи потребители, а не трезвомислещи създатели). Същото си важи за една песен или филм и дори софтуер. Не можеш да смяташ печалбата от една песен или филм на база твои си оценки за това колко хора ще я чуят/ще го гледат. Това е меко казано смешно и абсурдно. Тук вече се навлиза в сферата на голямата спекула и откровената лъжа. Никой до момента не е успял да докаже спекулациите относно понасяните загуби на т.нар. "производители на интелектуален продукт". Да ме прощавате, ама в 99% от тези продукти няма нищо интелектуално, а са си откровена простотия, за която дори трябва да се предвижда публичен линч. Вече ме е гнус да гледам телевизия и да слушам радио. Такива боклуци се леят от там, че не е истина.

Съвременните рекетьори, така могат да се нарекат всички тези "продавачи" на "интелектуален продукт". Нищо повече. Хора, които правят пари от въздух. Хора, които в алчността си са готови на цензура, преследване и малтретиране на всеки един от нас.

За това на тези хора аз не дължа никакво уважение, никаква подкрепа и никакво съчувствие. Въпрос на чест за мен е да не потреблявам нещо, което те претендират да е тяхно. Забравете за мен като клиент. На боклуци и за боклуци пари не давам. А колкото до това дали полиция щяла да ме посети у дома. Аз съм потготвен. Информацията ми е недосегаема. Не, че имам какво да крия, но не дължа нито байт своя информация на ченгета.

Полицейският произвол срещу Интернет продължава

2007-04-02T10:21:00.000+03:00

Какъвто министърът, такива и подчинените. И понеже виждам, че почва едно показване на сканирани копия от прословутото полицейско разпореждане, нека и аз да покажа копието, до което се добрах още в петък, но поради молбата на човека, който ми го даде, задържах публикуването му с два дни:

Умален преглед:

Изображението в оригинален размер:

http://farm1.static.flickr.com/169/443270369_ae0bd41921_b.jpg

Бързият сутрешен коментар на академичен юрист от СУ бе, че това разпореждане е не само пълно безмислие, а е направо повод за започване на съдебно производство срещу този, който е заповядал издаването му. Освен това доставчиците на свързаност не са компетентни да преценяват кое съдържание се предлага в нарушение на правата му за разпространение - те нямат по подразбиране експерти, които са компетентни в охрарактеризиране на съдържание. Доставчиците на свързаност нито имат списък на правоносителите, нито списък на произведенията защитавани от тези правоносители, нито оригинални копия от произведенията, с които да се сравнят тези, които евентуално са споделени в нарушение на лиценза за разпространение. Не само това. Тези доставчици по закон не са длъжни да следят за съдържанието на потребителите си и не може да полицейско решение да им се вменява това.

Това е продължение на полицейския произвол и е време да се потърси наказателна отговорност срещу лицата, които си позволяват това. Лично за мен полицията изгуби всякакъв авторитет. Това е една разпасана банда мародери и нищо повече...

В страната на министър Петков

2007-04-01T23:58:00.000+03:00

Хипервръзка към оригинала: http://skatebg.com/skate.php?id=126

... и копие за всеки случай:

БТК и частните автономни системи

2007-03-31T13:14:00.000+03:00

Темата е дискутирана и преди, но има малко развитие, разбира се в лоша посока.

Добрата практика по поддръжане на интернет услуги, в това число маршрутизацията и поставянето на правилни AS етикети върху маршрутите в BGP, винаги е била някаква непонятна материя за техническия екип на БТК. Във Великата компания очевидно понятие си нямат как точно се организира ПРАВИЛНАТА доставка на интернет свързаност и правилното обявяване на маршрути в BGP.

Разбира се, майсторството в сътрудничеството с ГДБОП, налагането на цензура над потребителите, предлагането на небивали като ценообразуване услуги, предлагане на ограничаващи потребителя услуги и т.н., са по-важни практики за БТК от каквито и да са други практики, които обществото на технически ангажираните с Интернет лица е определило като добри. От птичи поглед се вижда, че щом съм разбрал тези неща, не съм клиент на БТК и няма и да бъда.

Но да преминем на техническата плоскост и да покажем как интернет цензурата и братското сътрудническо с ГДБОП, не водят дори до минимално натрупване на знания.

Показвам ви данни, който намерих върху публично достъпния "Looking glass" инструмент на Софийкия Университет "Св. Климент Охридски":


sh ip bgp 62.73.68.0/24

BGP routing table entry for 62.73.68.0/24
Paths: (2 available, best #2, table Default-IP-Routing-Table)
  Advertised to non peer-group peers:
  62.44.96.1 62.44.96.7 62.44.127.11 62.44.127.15 62.44.127.19
  6802 8866 64540
    194.141.252.21 from 194.141.252.21 (194.141.252.13)
      Origin IGP, localpref 100, valid, external
      Community: 5421:50
      Last update: Fri Mar 30 12:09:43 2007

  8866
    213.16.50.193 from 213.16.50.193 (212.39.70.66)
      Origin IGP, localpref 100, valid, external, best
      Community: 5421:50
      Last update: Tue Mar 27 17:18:01 2007

Първият път, който виждате с AS вектор "6802 8866 64540", е пътя до 62.73.68.0/24 през Академичната мрежа. Вторият път е директен път до 62.73.68.0/24 през напречна връзка с БТК. Открийте разликите, както се казва. Оказва се, че един и същи префикс, в случая 62.73.68.0/24, се обявява като домуващ в две автономни системи - AS8866 и AS64540.

Някои хора сега биха казали "е добре, филтрирайте всички префикси, отбелязани за домуващи в автономни системи за частно ползване и всичко ще се оправи". Това е много прибързана реакция. Сега ще покажа защо. Да тръгне по пътя до префикса 62.73.68.0/24 през Академичната мрежа (AS6802). Ще използваме "Looking glass" инструмента на Академичната мрежа, публично достъпен на адрес http://netmon.acad.bg/lg:


Router: IPP-BAS-Sofia Border-1
Command: show ip bgp 62.73.68.0/24


BGP routing table entry for 62.73.68.0/24, version 2001264
Paths: (4 available, best #4, table Default-IP-Routing-Table)
Multipath: eBGP iBGP
  Advertised to update-groups:
     3          8          9          10         11        
  34771 5408 20965 3356 6453 8866
    195.251.4.45 from 195.251.4.45 (195.251.4.45)
      Origin IGP, localpref 90, weight 90, valid, external
      Community: 5408:4001
  20965 3356 6453 8866
    62.40.114.19 from 62.40.114.19 (62.40.114.19)
      Origin IGP, localpref 100, weight 100, valid, external
      Community: 20965:3356
  6802 8262 8866
    194.12.255.49 from 194.12.255.49 (85.14.0.11)
      Origin IGP, localpref 200, weight 200, valid, external
      Community: 6802:200
  8866 64540
    212.39.66.133 from 212.39.66.133 (212.39.70.87)
      Origin IGP, localpref 200, weight 200, valid, external, best
      Community: 6802:200

Какво би станало, ако поставим филтър за отхвърляне на префикси от AS64540. Много просто. Най-късия път, който е напречната връзка между Академичната мрежа и БТК, ще се окаже "липсващ" и връзката ще трябва да премине през пътя "6802 8262 8866". Следователно изходящият поток до 62.73.68.0/24 вместо по напречната връзка с БТК, ще преминава по по-дълъг път "Еволинк --> БТК".

Т.е. сами виждате, че филтрите в този случай не помагат. Тук думата си казва лошата практика на БТК, която е пословична и се развива с времето във все по-лоша посока.

Преди да заврша тази бележка ще кажа, че БТК много обичат тази AS64540. Показвам:


quagga> sh ip bgp regexp _8866 (6451[2-9]|645[2-9][0-9]|64[6-9][0-9][0-9]| \
 65[0-4][0-9][0-9]|655[0-2][0-9]|6553[0-5])_

BGP table version is 0, local router ID is 213.16.50.203
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*  62.73.68.0/24    194.141.252.21                         0 6802 8866 64540 i
*  62.73.71.0/24    194.141.252.21                         0 6802 8866 64540 i
*  90.154.234.0/23  194.141.252.21                         0 6802 8866 64540 i
*  90.154.234.0/24  194.141.252.21                         0 6802 8866 64540 i
*  90.154.235.0/24  194.141.252.21                         0 6802 8866 64540 i
*  213.91.152.0     194.141.252.21                         0 6802 8866 65400 i

Total number of prefixes 6

За БТК RFC1930 е отдавна мъртво, но не е единственото мъртво за тях нещо.

Пак за BGP и БТК

2007-03-29T13:24:00.000+03:00

БТК предоставят по договор на разни организации, локален канал за свързаност. Чудесно! Нали идеята на Интернет е точно свързаност във всички посоки. Кратък поглед върху маршрутната таблица, касаеща направленията завършващи в AS8866 обаче, шокира доста.

Общо се пропагандират 233 префикса. Показвам ги на две части, едните оповестени изначално чрез iBGP (Origin iBGP), а другите чрез някакъв друг протокол, различен от BGP (най-често OSPF), но после "напъхани" в BGP (Origin incomplete).

Origin iBGP:


*> 62.73.68.0/24    213.16.50.193                          0 8866 i
*> 62.73.71.0/24    213.16.50.193                          0 8866 i
*> 77.85.0.0/16     213.16.50.193                          0 8866 i
*> 82.137.108.0/24  213.16.50.193                          0 8866 i
*> 82.137.124.0/22  213.16.50.193                          0 8866 i
*> 83.228.0.0/17    213.16.50.193                          0 8866 i
*> 83.228.0.0/18    213.16.50.193                          0 8866 i
*> 83.228.0.0/20    213.16.50.193                          0 8866 i
*> 83.228.16.0/24   213.16.50.193                          0 8866 i
*> 83.228.24.0/22   213.16.50.193                          0 8866 i
*> 83.228.44.0/22   213.16.50.193                          0 8866 i
*> 83.228.55.0/24   213.16.50.193                          0 8866 i
*> 83.228.57.0/24   213.16.50.193                          0 8866 i
*> 83.228.59.0/24   213.16.50.193                          0 8866 i
*> 83.228.61.0/24   213.16.50.193                          0 8866 i
*> 83.228.62.0/24   213.16.50.193                          0 8866 i
*> 83.228.63.0/24   213.16.50.193                          0 8866 i
*> 83.228.64.0/24   213.16.50.193                          0 8866 i
*> 83.228.66.0/24   213.16.50.193                          0 8866 i
*> 83.228.69.0/24   213.16.50.193                          0 8866 i
*> 83.228.71.0/24   213.16.50.193                          0 8866 i
*> 83.228.96.0/22   213.16.50.193                          0 8866 i
*> 83.228.100.0/22  213.16.50.193                          0 8866 i
*> 83.228.100.0/24  213.16.50.193                          0 8866 i
*> 83.228.101.0/24  213.16.50.193                          0 8866 i
*> 83.228.103.0/24  213.16.50.193                          0 8866 i
*> 83.228.108.0/24  213.16.50.193                          0 8866 i
*> 83.228.123.0/24  213.16.50.193                          0 8866 i
*> 83.228.124.0/24  213.16.50.193                          0 8866 i
*> 83.228.125.0/24  213.16.50.193                          0 8866 i
*> 83.228.127.0/24  213.16.50.193                          0 8866 i
*> 87.126.0.0/16    213.16.50.193                          0 8866 i
*> 87.126.0.0/17    213.16.50.193                          0 8866 i
*> 87.126.128.0/18  213.16.50.193                          0 8866 i
*> 87.126.192.0/18  213.16.50.193                          0 8866 i
*> 90.154.128.0/17  213.16.50.193                          0 8866 i
*> 90.154.234.0/23  213.16.50.193                          0 8866 i
*> 90.154.234.0/24  213.16.50.193                          0 8866 i
*> 90.154.235.0/24  213.16.50.193                          0 8866 i
*> 193.22.103.0     213.16.50.193                          0 8866 i
*> 194.8.53.0       213.16.50.193                          0 8866 i
*> 195.177.218.0    213.16.50.193                          0 8866 i
*> 195.177.219.0    213.16.50.193                          0 8866 i
*> 195.177.248.0/23 213.16.50.193                          0 8866 i
*> 212.39.64.0/19   213.16.50.193                          0 8866 i
*> 212.39.64.0      213.16.50.193                          0 8866 i
*> 212.39.65.0      213.16.50.193                          0 8866 i
*> 212.39.66.0      213.16.50.193                          0 8866 i
*> 212.39.68.0      213.16.50.193                          0 8866 i
*> 212.39.70.0      213.16.50.193                          0 8866 i
*> 212.39.71.0      213.16.50.193                          0 8866 i
*> 212.39.73.0      213.16.50.193                          0 8866 i
*> 212.39.74.0      213.16.50.193                          0 8866 i
*> 212.39.75.0      213.16.50.193                          0 8866 i
*> 212.39.76.0      213.16.50.193                          0 8866 i
*> 212.39.77.0      213.16.50.193                          0 8866 i
*> 212.39.78.0      213.16.50.193                          0 8866 i
*> 212.39.79.0      213.16.50.193                          0 8866 i
*> 212.39.81.0      213.16.50.193                          0 8866 i
*> 212.39.82.0      213.16.50.193                          0 8866 i
*> 212.39.83.0      213.16.50.193                          0 8866 i
*> 212.39.84.0      213.16.50.193                          0 8866 i
*> 212.39.85.0      213.16.50.193                          0 8866 i
*> 212.39.86.0      213.16.50.193                          0 8866 i
*> 212.39.90.0      213.16.50.193                          0 8866 i
*> 212.39.91.0      213.16.50.193                          0 8866 i
*> 212.39.94.0      213.16.50.193                          0 8866 i
*> 213.16.32.0/19   213.16.50.193                          0 8866 i
*> 213.16.32.0      213.16.50.193                          0 8866 i
*> 213.16.33.0      213.16.50.193                          0 8866 i
*> 213.16.34.0      213.16.50.193                          0 8866 i
*> 213.16.35.0      213.16.50.193                          0 8866 i
*> 213.16.36.0      213.16.50.193                          0 8866 i
*> 213.16.37.0      213.16.50.193                          0 8866 i
*> 213.16.38.0      213.16.50.193                          0 8866 i
*> 213.16.39.0      213.16.50.193                          0 8866 i
*> 213.16.40.0      213.16.50.193                          0 8866 i
*> 213.16.42.0      213.16.50.193                          0 8866 i
*> 213.16.45.0      213.16.50.193                          0 8866 i
*> 213.16.46.0      213.16.50.193                          0 8866 i
*> 213.16.50.0      213.16.50.193                          0 8866 i
*> 213.16.55.0      213.16.50.193                          0 8866 i
*> 213.16.57.0      213.16.50.193                          0 8866 i
*> 213.16.58.0      213.16.50.193                          0 8866 i
*> 213.16.59.0      213.16.50.193                          0 8866 i
*> 213.16.62.0      213.16.50.193                          0 8866 i
*> 213.16.63.0      213.16.50.193                          0 8866 i
*> 213.91.128.0/17  213.16.50.193                          0 8866 i
*> 213.91.128.0     213.16.50.193                          0 8866 i
*> 213.91.129.0     213.16.50.193                          0 8866 i
*> 213.91.134.0     213.16.50.193                          0 8866 i
*> 213.91.135.0     213.16.50.193                          0 8866 i
*> 213.91.136.0/23  213.16.50.193                          0 8866 i
*> 213.91.140.0     213.16.50.193                          0 8866 i
*> 213.91.141.0     213.16.50.193                          0 8866 i
*> 213.91.152.0     213.16.50.193                          0 8866 i
*> 213.91.156.0     213.16.50.193                          0 8866 i
*> 213.91.157.0     213.16.50.193                          0 8866 i
*> 213.91.161.0     213.16.50.193                          0 8866 i
*> 213.91.162.0     213.16.50.193                          0 8866 i
*> 213.91.165.0     213.16.50.193                          0 8866 i
*> 213.91.166.0     213.16.50.193                          0 8866 i
*> 213.91.168.0     213.16.50.193                          0 8866 i
*> 213.91.170.0     213.16.50.193                          0 8866 i
*> 213.91.171.0     213.16.50.193                          0 8866 i
*> 213.91.173.0     213.16.50.193                          0 8866 i
*> 213.91.176.0     213.16.50.193                          0 8866 i
*> 213.91.182.0     213.16.50.193                          0 8866 i
*> 213.91.185.0     213.16.50.193                          0 8866 i
*> 213.91.195.0     213.16.50.193                          0 8866 i
*> 213.91.202.0     213.16.50.193                          0 8866 i
*> 213.91.204.0     213.16.50.193                          0 8866 i
*> 213.91.206.0     213.16.50.193                          0 8866 i
*> 213.91.207.0     213.16.50.193                          0 8866 i
*> 213.91.209.0     213.16.50.193                          0 8866 i
*> 213.91.210.0     213.16.50.193                          0 8866 i
*> 213.91.211.0     213.16.50.193                          0 8866 i
*> 213.91.216.0     213.16.50.193                          0 8866 i
*> 213.91.217.0     213.16.50.193                          0 8866 i
*> 213.91.218.0     213.16.50.193                          0 8866 i
*> 213.91.235.0     213.16.50.193                          0 8866 i
*> 213.91.238.0     213.16.50.193                          0 8866 i

Общо 122 префикса

Origin incomplete:


*> 77.85.64.0/21    213.16.50.193                          0 8866 ?
*> 77.85.168.0/23   213.16.50.193                          0 8866 ?
*> 83.228.17.0/24   213.16.50.193                          0 8866 ?
*> 83.228.18.0/23   213.16.50.193                          0 8866 ?
*> 83.228.20.0/22   213.16.50.193                          0 8866 ?
*> 83.228.28.0/22   213.16.50.193                          0 8866 ?
*> 83.228.32.0/22   213.16.50.193                          0 8866 ?
*> 83.228.36.0/22   213.16.50.193                          0 8866 ?
*> 83.228.40.0/22   213.16.50.193                          0 8866 ?
*> 83.228.48.0/22   213.16.50.193                          0 8866 ?
*> 83.228.52.0/24   213.16.50.193                          0 8866 ?
*> 83.228.53.0/24   213.16.50.193                          0 8866 ?
*> 83.228.54.0/24   213.16.50.193                          0 8866 ?
*> 83.228.56.0/24   213.16.50.193                          0 8866 ?
*> 83.228.58.0/24   213.16.50.193                          0 8866 ?
*> 83.228.60.0/24   213.16.50.193                          0 8866 ?
*> 83.228.65.0/24   213.16.50.193                          0 8866 ?
*> 83.228.68.0/24   213.16.50.193                          0 8866 ?
*> 83.228.99.0/24   213.16.50.193                          0 8866 ?
*> 87.126.32.0/21   213.16.50.193                          0 8866 ?
*> 87.126.40.0/23   213.16.50.193                          0 8866 ?
*> 87.126.42.0/23   213.16.50.193                          0 8866 ?
*> 87.126.44.0/24   213.16.50.193                          0 8866 ?
*> 87.126.45.0/24   213.16.50.193                          0 8866 ?
*> 87.126.46.0/24   213.16.50.193                          0 8866 ?
*> 87.126.47.0/24   213.16.50.193                          0 8866 ?
*> 87.126.48.0/21   213.16.50.193                          0 8866 ?
*> 87.126.56.0/21   213.16.50.193                          0 8866 ?
*> 87.126.64.0/24   213.16.50.193                          0 8866 ?
*> 87.126.65.0/24   213.16.50.193                          0 8866 ?
*> 87.126.66.0/23   213.16.50.193                          0 8866 ?
*> 87.126.68.0/24   213.16.50.193                          0 8866 ?
*> 87.126.69.0/24   213.16.50.193                          0 8866 ?
*> 87.126.70.0/24   213.16.50.193                          0 8866 ?
*> 87.126.71.0/24   213.16.50.193                          0 8866 ?
*> 87.126.72.0/22   213.16.50.193                          0 8866 ?
*> 87.126.76.0/22   213.16.50.193                          0 8866 ?
*> 87.126.80.0/21   213.16.50.193                          0 8866 ?
*> 87.126.88.0/21   213.16.50.193                          0 8866 ?
*> 87.126.96.0/22   213.16.50.193                          0 8866 ?
*> 87.126.100.0/22  213.16.50.193                          0 8866 ?
*> 87.126.104.0/22  213.16.50.193                          0 8866 ?
*> 87.126.108.0/22  213.16.50.193                          0 8866 ?
*> 87.126.120.0/22  213.16.50.193                          0 8866 ?
*> 87.126.125.0/24  213.16.50.193                          0 8866 ?
*> 87.126.128.0/22  213.16.50.193                          0 8866 ?
*> 87.126.132.0/24  213.16.50.193                          0 8866 ?
*> 87.126.133.0/24  213.16.50.193                          0 8866 ?
*> 87.126.134.0/24  213.16.50.193                          0 8866 ?
*> 87.126.136.0/22  213.16.50.193                          0 8866 ?
*> 87.126.141.0/24  213.16.50.193                          0 8866 ?
*> 87.126.143.0/24  213.16.50.193                          0 8866 ?
*> 87.126.144.0/22  213.16.50.193                          0 8866 ?
*> 87.126.148.0/23  213.16.50.193                          0 8866 ?
*> 87.126.152.0/22  213.16.50.193                          0 8866 ?
*> 87.126.157.0/24  213.16.50.193                          0 8866 ?
*> 87.126.159.0/24  213.16.50.193                          0 8866 ?
*> 87.126.160.0/22  213.16.50.193                          0 8866 ?
*> 87.126.164.0/24  213.16.50.193                          0 8866 ?
*> 87.126.165.0/24  213.16.50.193                          0 8866 ?
*> 87.126.166.0/24  213.16.50.193                          0 8866 ?
*> 87.126.167.0/24  213.16.50.193                          0 8866 ?
*> 87.126.168.0/23  213.16.50.193                          0 8866 ?
*> 87.126.176.0/23  213.16.50.193                          0 8866 ?
*> 87.126.180.0/23  213.16.50.193                          0 8866 ?
*> 87.126.182.0/24  213.16.50.193                          0 8866 ?
*> 87.126.183.0/24  213.16.50.193                          0 8866 ?
*> 87.126.186.0/23  213.16.50.193                          0 8866 ?
*> 87.126.189.0/24  213.16.50.193                          0 8866 ?
*> 87.126.190.0/24  213.16.50.193                          0 8866 ?
*> 87.126.191.0/24  213.16.50.193                          0 8866 ?
*> 87.126.192.0/22  213.16.50.193                          0 8866 ?
*> 87.126.196.0/22  213.16.50.193                          0 8866 ?
*> 87.126.200.0/22  213.16.50.193                          0 8866 ?
*> 87.126.204.0/23  213.16.50.193                          0 8866 ?
*> 87.126.206.0/24  213.16.50.193                          0 8866 ?
*> 87.126.207.0/24  213.16.50.193                          0 8866 ?
*> 87.126.211.0/24  213.16.50.193                          0 8866 ?
*> 87.126.212.0/23  213.16.50.193                          0 8866 ?
*> 87.126.214.0/23  213.16.50.193                          0 8866 ?
*> 87.126.216.0/23  213.16.50.193                          0 8866 ?
*> 87.126.218.0/23  213.16.50.193                          0 8866 ?
*> 87.126.220.0/23  213.16.50.193                          0 8866 ?
*> 87.126.222.0/24  213.16.50.193                          0 8866 ?
*> 87.126.223.0/24  213.16.50.193                          0 8866 ?
*> 87.126.224.0/22  213.16.50.193                          0 8866 ?
*> 87.126.228.0/23  213.16.50.193                          0 8866 ?
*> 87.126.230.0/24  213.16.50.193                          0 8866 ?
*> 87.126.232.0/23  213.16.50.193                          0 8866 ?
*> 87.126.234.0/23  213.16.50.193                          0 8866 ?
*> 87.126.237.0/24  213.16.50.193                          0 8866 ?
*> 87.126.241.0/24  213.16.50.193                          0 8866 ?
*> 87.126.242.0/24  213.16.50.193                          0 8866 ?
*> 87.126.243.0/24  213.16.50.193                          0 8866 ?
*> 87.126.244.0/22  213.16.50.193                          0 8866 ?
*> 87.126.248.0/22  213.16.50.193                          0 8866 ?
*> 87.126.252.0/22  213.16.50.193                          0 8866 ?
*> 90.154.144.0/21  213.16.50.193                          0 8866 ?
*> 90.154.160.0/21  213.16.50.193                          0 8866 ?
*> 90.154.168.0/21  213.16.50.193                          0 8866 ?
*> 90.154.176.0/21  213.16.50.193                          0 8866 ?
*> 90.154.184.0/22  213.16.50.193                          0 8866 ?
*> 90.154.188.0/22  213.16.50.193                          0 8866 ?
*> 90.154.192.0/19  213.16.50.193                          0 8866 ?
*> 213.91.193.0     213.16.50.193                          0 8866 ?
*> 213.91.194.0     213.16.50.193                          0 8866 ?
*> 213.91.205.0     213.16.50.193                          0 8866 ?
*> 213.91.219.0     213.16.50.193                          0 8866 ?
*> 213.91.230.0     213.16.50.193                          0 8866 ?
*> 213.91.240.0/22  213.16.50.193                          0 8866 ?
*> 213.91.246.0/23  213.16.50.193                          0 8866 ?

Общо 111 префикса класифицирани с "origin incomplete".

Данните са в сила към 13:24 часа на 29 февруари 2007г.

От друга страна AS8866 е регистрирала 183 маршрутни ("route") обекта в RIPE DB. Т.е. това би следвало да е списъка с префикси, които ще бъдат излъчвани под маската на AS8866. Показвам обектите от RIPE DB:


213.91.128.0/17
213.91.248.0/22
213.91.240.0/22
213.91.244.0/22
213.91.246.0/24
213.91.245.0/24
213.91.238.0/24
213.91.237.0/24
213.91.235.0/24
213.91.216.0/24
213.91.217.0/24
213.91.218.0/24
213.91.219.0/24
213.91.211.0/24
213.91.204.0/24
213.91.205.0/24
213.91.206.0/24
213.91.207.0/24
213.91.202.0/24
213.91.194.0/24
213.91.190.0/24
213.91.188.0/23
213.91.186.0/24
213.91.187.0/24
213.91.185.0/24
213.91.176.0/24
213.91.177.0/24
213.91.174.0/24
213.91.173.0/24
213.91.171.0/24
213.91.168.0/24
213.91.166.0/24
213.91.162.0/24
213.91.161.0/24
213.91.158.0/24
213.91.156.0/24
213.91.157.0/24
213.91.142.0/24
213.91.140.0/24
213.91.141.0/24
213.91.138.0/24
213.91.139.0/24
213.91.136.0/23
213.91.134.0/24
213.91.135.0/24
213.91.132.0/24
213.91.128.0/24
213.91.129.0/24
213.91.130.0/24
213.91.131.0/24
213.16.32.0/19
213.16.60.0/24
213.16.61.0/24
213.16.62.0/24
213.16.63.0/24
213.16.58.0/24
213.16.59.0/24
213.16.57.0/24
213.16.54.0/24
213.16.55.0/24
213.16.52.0/24
213.16.50.0/24
213.16.49.0/24
213.16.46.0/24
213.16.44.0/24
213.16.45.0/24
213.16.42.0/24
213.16.40.0/24
213.16.41.0/24
213.16.38.0/24
213.16.39.0/24
213.16.37.0/24
213.16.32.0/24
213.16.33.0/24
213.16.34.0/24
213.16.35.0/24
212.39.64.0/19
212.39.95.0/24
212.39.92.0/24
212.39.93.0/24
212.39.90.0/24
212.39.89.0/24
212.39.84.0/24
212.39.85.0/24
212.39.86.0/24
212.39.87.0/24
212.39.82.0/24
212.39.83.0/24
212.39.81.0/24
212.39.72.0/24
212.39.73.0/24
212.39.74.0/24
212.39.75.0/24
212.39.76.0/24
212.39.77.0/24
212.39.78.0/24
212.39.79.0/24
212.39.68.0/24
212.39.69.0/24
212.39.70.0/24
212.39.71.0/24
212.39.66.0/24
212.39.64.0/24
212.39.65.0/24
195.234.236.0/22
195.177.248.0/23
195.177.218.0/23
195.177.218.0/24
195.177.219.0/24
195.137.252.0/24
195.137.253.0/24
194.8.53.0/24
193.22.103.0/24
90.154.128.0/17
87.126.0.0/16
87.126.128.0/18
87.126.192.0/18
87.126.0.0/17
87.126.125.0/24
87.126.116.0/23
87.126.108.0/23
87.126.106.0/24
87.126.103.0/24
87.126.100.0/24
87.126.96.0/22
87.126.88.0/22
87.126.80.0/22
87.126.72.0/22
87.126.75.0/24
87.126.71.0/24
87.126.56.0/22
87.126.55.0/24
87.126.40.0/22
87.126.42.0/24
87.126.40.0/24
87.126.41.0/24
87.126.32.0/21
83.228.0.0/17
83.228.126.0/24
83.228.127.0/24
83.228.124.0/24
83.228.120.0/24
83.228.116.0/22
83.228.108.0/24
83.228.100.0/22
83.228.103.0/24
83.228.100.0/24
83.228.101.0/24
83.228.99.0/24
83.228.97.0/24
83.228.92.0/24
83.228.90.0/23
83.228.88.0/24
83.228.89.0/24
83.228.86.0/24
83.228.87.0/24
83.228.85.0/24
83.228.75.0/24
83.228.68.0/24
83.228.69.0/24
83.228.67.0/24
83.228.65.0/24
83.228.0.0/18
83.228.60.0/24
83.228.58.0/24
83.228.56.0/24
83.228.54.0/24
83.228.52.0/24
83.228.48.0/22
83.228.32.0/22
83.228.36.0/22
83.228.40.0/22
83.228.44.0/22
83.228.24.0/22
83.228.28.0/22
83.228.20.0/22
83.228.16.0/24
83.228.17.0/24
83.228.18.0/24
83.228.19.0/24
83.228.0.0/20
77.85.0.0/16
62.73.80.0/24

Повечето хора биха смятали така. Е добре, те имат декларирани 183 евентуално излъчваеми префикса, значи излъчват само 40 в повече. Това обаче е неправилна сметка, защото много от декларираните обекти не се излъчват (няма нищо лошо в това), но за сметка на това се излъчват недекларирани обекти.

Следните маршрутни обекти не се излъчват като префикси (общо 48 броя):


213.91.248.0/22
213.91.244.0/22
213.91.246.0/24
213.91.245.0/24
213.91.188.0/23
213.91.174.0/24
213.91.138.0/24
213.91.139.0/24
213.91.130.0/24
213.91.131.0/24
213.16.60.0/24
213.16.61.0/24
213.16.54.0/24
213.16.52.0/24
212.39.95.0/24
212.39.92.0/24
212.39.93.0/24
212.39.89.0/24
212.39.87.0/24
212.39.72.0/24
212.39.69.0/24
195.177.218.0/23
87.126.116.0/23
87.126.108.0/23
87.126.106.0/24
87.126.103.0/24
87.126.100.0/24
87.126.75.0/24
87.126.56.0/22
87.126.55.0/24
87.126.40.0/22
87.126.42.0/24
87.126.40.0/24
87.126.41.0/24
83.228.126.0/24
83.228.120.0/24
83.228.116.0/22
83.228.97.0/24
83.228.92.0/24
83.228.88.0/24
83.228.89.0/24
83.228.86.0/24
83.228.87.0/24
83.228.85.0/24
83.228.75.0/24
83.228.67.0/24
83.228.18.0/24
83.228.19.0/24

Нека да отбележим, че съгласно добрата практика, която RIPE държи да се спазва и на основа която транзитните доставчици градят филтри за достъп до машрути в BGP сесиите си, трябва по BGP сесиите да се излъчват само и единствено префикси, които са регистрирани като маршрутни обекти. Комичното в цялата ситуация е, че БТК не знае това. Огромният брой префикси със статус "origin incomplete" е също показател за някои не до там добри неща, които се правят в БТК.

Как БТК изпълнява договор за свързаност към Интернет

2007-03-29T08:35:00.000+03:00

По-долу ще видите как БТК изпълнват договора си за доставка на интернет свързаност към Софийския Университет "Св. Климент Охридски". Проблемът описан по-долу вече продължава седмица и това не е единственият проблем с услугата, предоставяна от БТК. Ректорът на СУ, проф. Боян Биолчев, вместо да заплашва администратори с уволнение, да вземе да преразгледа договорите с разни доставчици, на които СУ плаща пари без да получава нужната услуга. Може би трябва да започне направо с търга за доставка, на който БТК печелят с 37% по-ниска цена, в сравнение с втория в класацията и юристите на СУ нямат смелост да отстранят БТК от този търг, въпреки очевиден дъмпинг.

А сега за главния проблем.

Информация за наличните сесии върху граничния маршрутизатор на БТК, получена от "Looking glass" инструмента на БТК, публично достъпен на адрес http://www.btc-net.bg/lg1/lg.pl

08:46:10 часа на 29 март 2007


Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
212.39.66.18    4  8860   58046 2616377 44123190    0    0 2w4d            2
212.39.66.66    4  8795   58069   58045 44123210    0    0 2w6d           17
212.39.66.162   4 29080       0       0        0    0    0 never    Idle (Admin)
212.39.66.242   4 21337   58047  932249 44123188    0    0 3w0d            1
212.39.70.68    4  8866  257970 2333831 44123210    0    0 5w5d          197
212.39.70.69    4  8866  257745 2308980 44123210    0    0 5w5d          196
212.39.70.84    4  8866 3365390 2290073 44123210    1    0 5w5d       212470
212.39.70.118   4  8866  114985  418153 44123210    0    0 5w5d        11006
212.39.70.119   4  8866 1392224  418153 44123210    0    0 5w5d       211399
212.39.70.137   4  8866   59079   58047 44123210    0    0 5w5d          260
212.39.70.141   4  8866   59158   58047 44123210    0    0 5w5d          258
212.39.91.131   4  8866   45216  895074        0    0    0 1w1d     Idle (Admin)
212.39.91.132   4  8866   45220  895056        0    0    0 1w1d     Idle (Admin)
212.39.91.133   4  8866   43780  864276        0    0    0 1w2d     Idle (Admin)
212.39.91.134   4  8866   43845  866041        0    0    0 1w2d     Idle (Admin)
212.39.91.139   4  8866   45218  895028        0    0    0 1w1d     Idle (Admin)
212.39.91.140   4  8866   45230  887624        0    0    0 1w1d     Idle (Admin)
212.39.91.141   4  8866   43780  864209        0    0    0 1w2d     Idle (Admin)
212.39.91.142   4  8866   43855  858602        0    0    0 1w2d     Idle (Admin)
212.124.78.100  4 29122   58037  364252 44123188    0    0 5d05h           3
213.16.32.46    4 29662   57985 3001237 44123190    0    0 2w0d            2
213.16.32.90    4 12795   58065   58083 44123188    0    0 6d22h           2
213.16.32.194   4 12962       0       0        0    0    0 never    Idle (Admin)
213.16.50.2     4 34653   58043 2573797 44123190    0    0 3w0d            1
213.16.50.246   4  9070   40652 1017934        0    0    0 3w5d     Active
213.16.50.254   4  9070   19421  922588        0    0    0 3w5d     Active
213.91.162.218  4 31534   58046 2658929 44123190    0    0 3w0d            1
213.91.166.222  4 29366  152394   58048 44123188    0    0 3w0d            1
213.91.204.122  4 13236   58075   58057 44123188    0    0 1w4d            3
213.91.204.123  4 13236   57011   56999 44123188    1    0 1w4d            4
213.91.204.124  4 13236   58049   58058 44123188    0    0 6d14h           1
213.91.204.125  4 13236   58047   58044 44123188    0    0 3w0d            8
213.91.235.126  4 34340   58044   58045 44123210    0    0 3w0d            3
213.91.235.150  4 31440   58065 2672066 44123190    0    0 2w2d            3

Забележете двете сесии от по 211000 префикса - те отчитат свързаността на БТК към Интернет. Другите сесии са сесии отразяващи локална свързаност и те не са интересни за нашето разглеждане.

Странно защо таблицата, която БТК подават към един от техните клиенти и която трябва да отразява по договор свързаността към интернет, е с 1/4 по-малка от тази, която БТК получава. По-долу виждате изглед от таблицата, налична върху граничния маршрутизатор на Софийския Университет "Св. Климент Охридски", която е получена от публично достъпния за целта "Looking glass" инструмент, наличен на адрес http://lg.uni-sofia.bg

08:46:10 часа на 29 март 2007


Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
62.44.96.1      4   112    2371  129817        0    0    0 1d15h28m        1
62.44.96.7      4   112    2371  129805        0    0    0 1d15h28m        1
62.44.96.162    4 20657    2380    2373        0    0    0 1d15h28m       31
62.44.96.163    4  8262    2489    2373        0    0    0 1d15h28m      339
62.44.96.165    4 12814    2371    2373        0    0    0 1d15h28m        7
62.44.96.166    4  9070    5022    4741        0    0    0 1d15h28m      715
62.44.96.168    4 12867    2392    2373        0    0    0 1d15h28m       96
62.44.96.250    4  8717    5191    4741        0    0    0 1d15h28m      625
62.44.96.254    4  3245    2374    2373        0    0    0 1d15h28m       74
62.44.109.32    4  5421    2370    2413        0    0    0 1d15h12m        0
62.44.127.11    4  5421    2380  134331        0    0    0 1d15h28m       10
62.44.127.15    4  5421    2370  134397        0    0    0 1d15h28m        2
62.44.127.19    4  5421    2380  134241        0    0    0 1d15h26m        4
194.141.252.21  4  6802   96006    2373        0    0    0 1d15h28m   214203
212.7.193.65    4  9184    2374    2373        0    0    0 1d15h28m        6
212.72.192.221  4  9127    2454    2373        0    0    0 1d15h28m      149
213.16.50.193   4  8866    3206    2373        0    0    0 1d15h28m     2640
213.16.50.201   4  8866  159830    2307        0    0    0 1d14h21m   149131
217.9.225.2     4 13124    2692    2373        0    0    0 1d15h28m      473

Тук граничният маршрутизатор на БТК, през който се изпълнява договора за доставка на интернет свързаност към СУ, е с адрес 213.16.50.201. Забележете броят префикси, които се доставят (около 150000). Сравнете това количество с префиксите, които БТК получават и тези, които СУ получава по линия на свързаността си към НИМ и оттам към GEANT2. Граничният маршрутизатор към НИМ е с IP адрес 194.141.252.21. Въпросът е къде се губят близо 50 000 префикса? Поглед върху конфигурацията на граничния маршрутизатор на СУ показва, че няма филтър за входящите префикси по сесията с граничния маршрутизатор на БТК.

Ето един пример за липсващ префикс, който БТК получават, но не анонсират към СУ. Могат да бъдат намерени и други такива. Става дума за префикса 62.42.0.0/16. Той се получава от БТК от техните доставчици и наистина, ако се провери за неговото наличие чрез "Looking glass" инструмента на БТК, се вижда, че този префикс се получава и е наличен:


BGP routing table entry for 62.42.0.0/16, version 42537980
Bestpath Modifiers: always-compare-med, deterministic-med
Paths: (3 available, best #2)
Multipath: iBGP
  Advertised to update-groups:
     2          3          6          7          11         12         13        
     16        
  3549 1273 1273 6739, (Received from a RR-client)
    67.17.193.65 (metric 11) from 212.39.70.118 (212.39.70.118)
      Origin IGP, metric 2503, localpref 100, valid, internal
      Community: 1:8866 3549:8866
  6453 1273 6739, (Received from a RR-client)
    80.231.78.13 (metric 11) from 212.39.70.119 (212.39.70.119)
      Origin IGP, metric 0, localpref 100, valid, internal, best
      Community: 1:8866 6453:8866
  6453 1273 6739
    80.231.78.13 (metric 11) from 212.39.70.84 (212.39.70.84)
      Origin IGP, metric 0, localpref 100, valid, internal
      Community: 1:8866 6453:8866
      Originator: 212.39.70.119, Cluster list: 212.39.70.84

В същото време, ако се опитаме да проверим за наличието на префикса върху граничния маршрутизатор на СУ, получаваме резултат, според който той се достъпва само през НИМ (GEANT2):


BGP routing table entry for 62.42.0.0/16
Paths: (1 available, best #1, table Default-IP-Routing-Table)
  Advertised to non peer-group peers:
  62.44.96.1 62.44.96.7 62.44.127.11 62.44.127.15 62.44.127.19
  6802 20965 3356 1273 6739
    194.141.252.21 from 194.141.252.21 (194.141.252.13)
      Origin IGP, localpref 100, valid, external, best
      Community: 5421:60
      Last update: Tue Mar 27 17:18:41 2007

За да няма съмнения за спекулации, показвам и префикс, който е достъпен и през двата доставчика на СУ - 62.2.0.0/16:


BGP routing table entry for 62.2.0.0/16
Paths: (2 available, best #2, table Default-IP-Routing-Table)
  Advertised to non peer-group peers:
  62.44.96.1 62.44.96.7 62.44.127.11 62.44.127.15 62.44.127.19
  8866 8400 1299 6830 8404
    213.16.50.201 from 213.16.50.201 (212.39.70.84)
      Origin IGP, localpref 100, valid, external
      Last update: Wed Mar 28 10:44:27 2007

  6802 20965 1299 6830 8404
    194.141.252.21 from 194.141.252.21 (194.141.252.13)
      Origin IGP, localpref 100, valid, external, best
      Community: 5421:60
      Last update: Tue Mar 27 17:18:25 2007

Аз лично няма да правя коментари.

Сбогом БТК

2007-03-27T12:03:00.000+03:00

От днес нямам домашен телефон към БТК. Не искам да плащам за никаква услуга на компания, която ще ми цензурира достъпа до Интернет (утре и достъпа до телефонни номера по избор на някое неграмотно ченге). Също така и за в бъдеще, аз няма да използвам услугите на БТК. Пет пари не давам за никакви извинения. Компания, която кляка пред исканията на някакво необразовано ченге, не може да ми доставя никаква услуга и точка по въпроса! Компания, която няма двама юристи на кръст, които да видят, че искането е полицейски произвол, за мен не може да има никакъв авторитет. Преди се бях сблъскал с техническите им кадри, които са технически полуграмотни, а сега вече се сблъсках и с тъпо ръководство. Дотук!

Сбогом БТК!

Пътни записки

2007-03-19T23:19:00.000+02:00

Пиша това някъде между Промахонас и Серес. Тъмно е навън и няма какво да се гледа. Добре, че роуминга работи и имам и GPRS.

Искам специално да благодаря на DJNone (кодовото име на един много голям техно маняк :) от МТел, който ми даде за тези дни лаптоп и ми преотстъпи служебната си GPRS връзка. Затова и не казвам името му, да не вземат после МТел да му дърпат ушите. DJNone ще е и човекът, с който ще поемем през юли към "Love Parade". Лаптопът си го оборудвах с Red Hat Enterprise Linux 4. Пуснах си и IPsec (EAP only/IP-IP tunnel/NAT Traversal) през GPRS до домашния компютър с молитви да не спира тока в нас:) Срам или не, признавам си, че с IrDA нямах никакъв опит и едвам си конфигурирах инфрачервената връзка между лаптопа и GSM апарата.

* * *

Искам да изразя стрхотното си възмущение от поведението на БТК, Нетиссат и Орбител, които единствени от доставчиците на интернет свързаност, не защитиха клиентите си от цензурата на ГДБОП. Тези доставчици няма да видят от мен нито един лев и не само това. В ролята си на консултант, аз ще работя срещу тях. Злопаметен съм и не забравям! Първата ми работа щом се прибера е да прекратя договора за доставка на телефония от БТК, който ползвам у дома и достъпа към "CityConnect" услугата на Нетиссат на един мой роднина-студент, който заплащам аз. Вече имам IP телефон към един български доставчик на IP телефония и ще работя само и единствено с него. Дори нещата с филтрацията да утихнат, аз няма нито за един момент да спра да работя срещу интереса на доставчиците-цензори. Не забравям!

Изключително неприятно впечатление ми направиха Нетиссат. Такава излагация аз не съм виждал скоро. Нетиссат си позволиха да направят измама в системата за имена в Интернет (DNS). Върху своите сървъри за имена pns.netissat.bg и sns.netissat.bg, те бяха дефинирали зоната на домейна arenabg.com, с което поднасяха на потребителите си изкривена и лъжлива информация за системата за имена в Интернет (точното име е измама). При това обявяваха информацията към DNS клиентите като "достоверна" ("authoritative"), с "AA" бит в пакета с отговора на заявката, което е погазване на всякакви принципи за неутралност, добра практика и какво ли още не. Това е намеса в системата за имена в Интернет, нейното предефиниране без съответната за това оторизация, което представлява фалшификация без всякакви уговорки!

Да напомня на някои самозабравили се доставчици, че те са длъжни да действат на принципа на неутралността и че подмяната на информация в Интернет е нарушение на техническите параметри на достъпа до глобалната мрежа, неотменим компонент, от която е системата за имена - DNS. Моля, заинтересованите клиенти на Нетиссат да се обърнат към регистъра на gTLD COM и ICANN и да внесат оплакване по случая и да искат тези субекти да вземат отношение по случая.

Искам да изкажа възхищението си от Нели Огнянова за заетата публична позиция и да я поздравя за нея. Срамно е, че други хора, които уж по принцип защитавали правата на гражданите, си траеха и се правеха на ощипани и трябваше да ги ритат за каквато й да е официална реакция от тяхна реакция. Като несменяемият шеф на "Идиотско общество", например. За разлика от останалите, аз знам защо е това гузно поведение и един ден ще напиша доста по темата.

За пореден път се видя, че "експертът" на ГДБОП (експерт по какво е този неинтелигентен човечец?) Явор Колев е служител не на Държавата, а на частни интереси - бияч по поръчка. Надявам се някои хора, които преди залитаха по добро отношение към него, да са разбрали що за копой е този човек и че е техен враг. Този човек си позволи да иницира цензура срещу Интернет и това го превърна автоматично във враг на всички интернет потребители у нас. Следователно обществото на свободните хора е длъжно да работи против този човек. Това е въпрос на опазване на свободата. Моята свобода не може да се ограничава от икономически интереси, все едно чии са те и от хора с никакъв интелект, които са станали ченгета, само защото са нямали дарбата да станат нещо повече и поради това са се озлобили срещу всички нормални хора.

* * *

След като се излекувам и се прибера в България, следват доста интересни проекти. Единият проект е свързан с LIR обучение на едни млади хора, обучението им по основи на протоколи и алгоритми, информационна сигурност и системна администрация и интеграция. Основен момент в обучението им ще бъде как да крият информация си, не само с криптография, а и с различен набор евристични методи (евристичния метод се описва шеговито с "умен съм бил - сетил съм се"). В електронното общество достъпът до лична или служебна информация става все по-важен от гледна точка на достъп до нея от неоторизирани лица. Все едно дали става за криминалния контингент, журналисти или репресивни органи.

БТК и цензурата

2007-03-16T15:51:00.000+02:00

Покрай RHEL5 и задълбочаваща се язва, която сигурно скоро, ако не се лекува ще премине в перитонит, нещо почнаха да ми убягват разни неща. Но днес видях нещо, което лично мен ме шокира.

От снощи (поправете ме, ако не съм прав), БТК обявява в BGP сесиите към клиентите си маршрута 72.36.224.0/19, но не дава проходимост към един от адресите в него, а именно 72.36.255.202. Оказва се, че това е IP адреса на сървъра www.arenabg.com. Общо взето пълни порнографии. Разбира се, ще посъветвам организацията, в която работя да прекрати договора си с БТК. Заповед на ГДБОП не може да се тълкува като формажорно обстоятелство и да се изисква договора да продължи (друг е въпроса, че няма съдебно решение за целта). Това е предефиниране на услугата и тя не трябва да се нарича "пълен достъп до Интернет", а "частичен или цензуриран достъп до Интернет". За нея следва да се подпише нов договор, който може и да не се подпише, ако клиентът не желае това.

БТК прави това без да е предупредила клиентите си въпреки, че според договорите с клиентите си е длъжна да го направи. Няма да говоря, че това е въвеждане на цензура и със сигурност няма съдебно решение, на основата на което това да продължи.

Съвсем скоро заминвам в чужбина и може би ще претърпя операция, но жив или мъртъв ще следя нещата в България и ще се опитам да разбера дали този път доставчиците ще отреагират единно или не. Сигурно милиционера Явор Колев ще е много радостен да ме види умрял на операционната маса, но мисля да му спестя това удоволствие.

Не купувайте "интелектуален продукт"

2007-03-13T17:05:00.000+02:00

След последните акции на ГДБОП и изказвания на тези, дето им дават премиални, следва всеки съзнателен гражданин да направи следното:

1. Да спре да купува т.нар. "интелектуален продукт" и да спре и да го ползва. След като собствениците му ограничават свободата ви, значи от тях няма никаква нужда и те следва да загинат чрез фалит.

2. Да спре да ходи на кино и да ползва видеотеки (на кино не съм ходил от 2 години, от видеотеки вече съм отписан). Парите спестени от това могат да отидат за подпомагане на нещо полезно.

3. Да не питае никакво уважение към властта в тази страна, защото тя изпълнява фирмени поръчки, вместо да защитава гражданите си, които плащат данъци, и да не й оказва никаква помощ. Уважение към полицейска държава, която не зачита законите дето е приела, не може да има.

4. Да препятства по всякакъв начин действията на тези, които ограничават свободите.

На мизерниците - мизерия!

Други размисли около IX и съществуването му в наши условия

2007-03-10T08:37:00.000+02:00

Това е продължение на бележката със заглавие "Що е то IX и има ли почва у нас", породена от поредните глупости на лицето Димитър Ганчев.

Да се абстрахираме, че аз не познавам БОЛ и некоректното им поведение спрямо останалите субекти в българския интернет. Приемаме, че аз съм някой, който иска да подкрепи идеята за IX. Неясни за мен са следните моменти, които всъщност касаят и устава на подобно сдружение. Ще ги поставям като въпроси и ще си отговарям на база нещата, които знам към момента. Забележете, че никъде допу не споменавам име на субект.

1. Ще се извършва ли транзит през участниците в IX или не?

Това е важен момент. Нека обясним нещата по-подробно. Какво означава транзит? Както бях обяснил преди това, в IX са свързани субекти, които разполагат със свое собствено адресно пространство, обединено в автономна система. Общото правило е, че ако в IX членуват N доставчика, в него има N+1 (поне) гранични маршрутизатора - N+1 - вия е този на IX, който е рефлектора. Граничният маршрутизатор е този, който стои на "границата" на две автономни системи (малко опростено, но нагледно обяснение). Идваме до най-простия случай, при който участниците в IX анонсират към "route reflector" сървъра само мрежите в състава на своята автономна система. Това е случай, в който няма транзит, защото никой не обявява през себе си маршрути, които са в други автономни системи, несвързани с IX и така през никой участник не преминава индиректна свързана до други мрежи, които не са под неговото управление и следователно не са в неговата автономна система. Транзит има в случаите, в които някои участници обявят достъпен през себе си даден (един или повече от един) маршрут(а) за автономна система, несвързана в IX. Така той разрешава на останалите участници да достъпват през него анонсираните недиректно свързани с IX мрежа. Транзит има и в другата посока - даден участник в IX излъчва към недиректно свързани с IX участници маршрутите от BGP таблицата на IX.

Въпросът е кога и как е възможен и оправдан подобрен транзит. За да си отговорим, да си представим следната ситуация. В един IX по принцип има N локални участника. Ако всички излъчат пълната си BGP таблица (отразяваща пълната им свързаност, към момента близо 214000 префикса), BGP рефлекторния сървър ще подава на всички участници най-добър маршрут (доколкото всички в IX са равни, изчислението ще става на база дължина на AS пътя), пресметнат на база M (M<=N) BGP сесии на участници. При избор на най-добър път по горната схема, обикновено се избира най-късия път, но това на значи, че канала за достъп през него е най-бърз. Освен това как един участник в IX ще има стимул да пусне всички през своя канал за достъп до Интернет, който обикновено е скъпо вложение? Точно тук всичко влиза в разрез с аналогията, правена с IX в Европа, особено с лондонския LINX, който е и най-големия "пункт" за обмяна на трафик в Интернет. В LINX членуват такива субекти, за които се достига по-голяма за тях локална дълбочината (изчислена в маршрути през автономни системи) за повечето направления, достъпни през тях. Причината е, че повечето участници в LINX са транзитни доставчици по дефиниция. Освен това колкото повече стават такива членове, толкова повече маршрутите се разпределят равномерно през тях и не се получава претоварване по направление през един от тях. От друга страна там има участници, които са доставчици на съдържание, което транзитните доставчици търсят (например Telehouse, който управлява мрежите на най-големите европейски хостинг центрове). Едни особени членове са академичните мрежи, на които по дефиниция се дава пълен достъп, за да ги стимулират да обучават кадри, които след това да ползват развитието на Мрежата.

У нас трудно може да се говори за транзит в смисъла на пълен транзит на интернет трафик. Причината е, че у нас интернет свързаността идва от няколко места и нямаме такава връзка до Интернет, която да разпределени равномерно най-добрите маршрути равномерно между всички (няма топологични фактори за това). Един изход е транзитните доставчици (доколкото у нас ги има), да се закачат в някакъв наш IX и да продават от там трафик на другите участници. Много неясна е схемата, по-която това ще става. Ако ще се използва пак BGP рефлекторен сървър, това значи, че един от тези доставчици ще бъде използван приоритетно, защото ще подава по-къси маршрути и това ще ощети останалите, през които тези маршрути за по-дълги (или пък ще ощети този, който подава по-къси маршрути, защото ще препълни канала му за свързаност).

Всичко това говори, че у нас няма условия за глобален транзит. Възможно е да има локален, касаещ само клиентите на субектите, които биха участвали в един IX. Дори и там е трудно да се постигне някакъв баланс. Тук отново се опира до проблеми с финансовото обезпечение на каналите, през които транзита се предлага.

2. Къде ще се намира възела на предполагаемия IX?

У нас не са много сградите, които да предложат помещение, в което да се помести подобен възел. Трябва тази сграда да е особено надеждна при земетресение, наводнение, пожар, та дори и слънчева активност (не може да се позволи магнитна бъря причинена от слънчевия вятър да индуцира ток по платките в устройствата и те за "забият"). Няма да говорим за това, че до помещението трябва да има строго регламентиран достъп, поддържани параметри на средата (температура, влажност на въздуха, радиационен фон) и т.н. Веднага изниква административния въпрос "а в чия сграда ще се намира този възел". Т.е. пак трябва да се намери някакво условие за неутралност. Не може това помещение да е в сграда на доставчик на свързаност, който по някое време да реши да изгони оттам съоръженията на IX-а, което да унищожи на практика свързаността. Преместването на съоръженията на IX означава промяна на трасетата за пренос, което много от участниците не могат да си позволят финансово, ако са свързани с "тъмни" оптични влакна, а и опира до възможност (колко са помещенията, отговарящи на горните критерии, които са на места лесни за свързване). Нужно е IX да разполага и с адвокати, които правно да оформят отношенията между организацията и този, който предоставя помещението. Едва ли IX ще може да събере толкова пари, че да закупи своя сграда, в която да помещава апаратурата и комуникационния си възел. А трябва да се мисли и за резервен възел и т.н. Това са огромни разходи, особено за град с такава лоша инфраструктура като София.

3. Как ще се регулират задълженията на участниците?

Всеки IX има правилник, съгласно който всеки доставчик има права и задължения. Кой обаче ще следи как един участник изпълнява технологично задълженията си? Например, как ще се следи, че той не органичава скоростта през себе си за друг участник, който се явява конкурент на пазара? Как ще се следи, че участникът излъчва своята BGP таблица, отразяваща наистина свързаността му? Как ще се следи дали най-късият подаван път е през канал с най-висока скорост? Как ще се следи качеството на предлаганата свързаност през участника (времезакъснения на пакетите, загуби на пакети, дупликация на пакети, девиация на времезакъснението)? Как ще се гарантира, че някой няма да продава през IX интернет свързаност през BGP сесии, които не преминават през рефлекторния сървър (BGP сесии между два доставчика)?

4. Как ще се намерят лица за техническа поддръжка и кои ще са те?

Добре, да приемем, че "route reflector" сървъра може да се реализира с маршрутизиращ софтуер Quagga или Xorp (в краен случай GateD), под операционна система Linux. Вярно, тук ще трябва скъпа и надеждна машина, на която да домува така описаната система. Да предположим, че тя се закупи. Под Linux може да работи почти всеки системен администратор. Да конфигурират Quagga могат доста хора, за жалост не може това да се каже за Xorp, а още по-малко за GateD, но да кажем, че изборът на Quagga в случая ще даде възможността лесно да се намират кадри за поддръжката. Оттам нататък са нужни много качествени L2 комутатори. Забравете за Cisco. Тук ще са нужни комутатори на Foundry. Това са доста скъпи комутатори, от най-висок клас, но за сметка на това изключително производителни и надеждни. Въпросът е обаче кой у нас има опит с такива комутатори? Друг вариант са комутатори на Nortel. Положението с тях е като с тези на Foundry - няма кадри с опит, които да ги обслужват. Да предположим, че се мине на компромис и се изберат комутатори Exteme Networks. Може и да се намерят хора, които да ги поддържат и конфигурират, но това е на база на хипотезата, че тези хора искат да се ангажират с това и имат дългогодишен опит, а няма такава гаранция, че те ще поискат или че ще имат опита за целта. Нещата опират и до финанси (заплати главно) и до намиране на хора с опит, които да са доволни от заплатите. Не може един IX да си позволи хора без никакъв стаж да управляват услугата срещу мижава сума за заплата.

Що е то IX и има ли почва у нас

2007-03-08T21:44:00.000+02:00

Понеже комсомолецът Димитър Ганчев започва с нова манипулация, се опитах да обясня на хората какво е IX и има ли то почва у нас. По молба на Пейо го публикувам като бележка тук. Оригиналната дискусия е в клубовете на Dir.bg.

***

Комсомолецът Димитър Ганчев отново се опитва да пробутва уж революционни идеи. Добре е обаче хората да са просветени, за да не може да ги лъже. Обикновено всички решения в "обществена полза" прокламирани от комсомолеца Ганчев са само в негова полза и тази на другаря Марковски.

Няма да говоря какво е ISOC.bg и как то се използва за целите на червения дует Марковски-Ганчев. Да не споменавам "надпартийния" DNS базиран черен списък, организиран от ISOC.bg и управляван именно от другаря комсомолец Ганчев, който странно защо съдържа записи на адреси и цели домейни на хора, които просто не са приятни на другарския червен дует (пример е домейна NOVE.bg, само защото Атанас Бъчваров си е позволил да отговори на явен SPAM от страна на другарчето Вени Марковски). После идете, че ползвайте "актуалните" и "обществено ориентирани" услуги на комсомолците, които нямат никакъв регламент (но винаги имат финансова изгода и политически основи).

Няма да обяснявам как БОЛ е фирма, която храни повече политици, отколкото инженери и се опитва да седне на всяка софра и да взима всяка инициатива, а вместо технически оперативки се провеждат коктейли с политици. Мога да ви говоря с факти за техническата некомпетентност в БОЛ с часове, все едно дали от това на комсомолеца Ганчев му се скофтва и без това перманентното темерутско настроение или не. За SIX няма да дискутирам, защото е писано в Интернет, особено по блогове и т.н. Ще говоря само какво е IX (другарят Ганчев не е в час с това, трябва да знаете, но той не е в час по принцип с маршрутизацията, BGP, топологии на мрежи и т.н.). За MAN също не са му ясни нещата. Прави впечатление, че на страницата на БОЛ не се прави разлика между "мегабити в секунда" и "мегабайти в секунда", а описанието върху страницата на БОЛ на това какво е MAN разсмива вече с месеци доста доставчици у нас (някои дори доставчици на БОЛ). Със сигурност Ганчев много ще опъва да има точка за обмен на свободен трафик, но странно защо ще се окаже, че е добре този обмен да става през MAN средата на БОЛ. Тези неща са до болка познати на повечето доставчици, те знаят кои са БОЛ и инициативата на комсомолците ще остане само тук.

Понеже комсомолецът Ганчев се опитва да ви замъглява очите с глупости и страхотно изкривява нещата, нека опишем какво е "Internet Exchange - IX", как работи и има ли почва у нас.

IX е звездовидна мрежова топология за обмен на трафик между субекти, като целта е да се реализират следните технологични условия:

- разстоянието, измерено в път през автономни системи, между два доставчика да не включва междинно автономната система на IX (това е условие за най-къс път през IX и по-долу ще се обясни защо винаги в този път влиза не автономната система на IX);
- връзката между кои и да е два субекта в IX да е на основа минимален служебен трафик, т.е. идеалния случай е, когато субектите са свързани в един общ етернет сегмент без използване на MPLS и изобщо L2 VPN (дори без използване на STP, защото всички направления в L2 са равновероятни и няма нужда от разклонено йерархично дърво), а така също без използване на 802.1q капсулация (VLAN);
- да не се извършва маршрутизация в самата мрежа (нали е на IX (това изисква всички участници в IX да са в рамките на един мрежови сегмент);
- всички маршрутизатори в сегмента на IX да обменят маршрути с централен BGP сървър, който е в ролята на "route reflector" и всички маршрутизатори да са "route reflector" клиенти;
- скоростта на порта на всеки участник да не е по-малка от минимално зададената, която е условие за членство.

Сега някои обяснения от техническо естество. IX функционира благодарение на BGP4 и работата му в iBGP режим като "route reflector". Как работи тази схема? Организацията, която управлява IX, алокира "ASSIGNED PA" (ако е LIR) или "ASSIGNED PI" (ако не е LIR, а краен потребител на адресите) статусно адресно пространство в един блок и от това адресно пространство раздава адреси за граничните маршрутизатори на участниците в IX. Ако трябва да има IPv6 сегмент, IX трябва да е задължително LIR, за да получи сегмент със статус "ASSIGNED PA" (в IPv6 все още няма статус "ASSIGNED PI", но се работи към единен документ по въпроса). Адресното пространство е в рамките на автономна система, управлявана от огранизацията, представляваща IX. Всички адреси в IX, предназначени за граничните маршрутизатори на членовете на IX задължитено са в една мрежа (така се избягва маршрутизация, базирана на NEXTHOP в автономната система на IX). Това можете да си го представите примерно така:

10.0.0.0/16 - адресен сегмент за IX

10.0.0.1/16 - участник No.1
10.0.0.2/16 - участник No.2
10.0.0.3/16 - участник No.3
...
10.0.0.XYZ/16 - участник No.XYZ
10.0.255.254/16 - route reflector

Забележете, че така няма нужда в средата на IX да има маршрутизатор - всички гранични маршрутизатори на участниците комуникират директно помежду си и натоварването на мрежовите устройства става само по направление на обмена между съответните участници (докато, ако се използваше маршрутизатор в IX, това би довело до огромен товар в централна точка). Друга важна особеност е, че общото натоварване на апаратурата в IX не е силно линейна или нелинейна нарастваща функция на обменяния трафик, доколкото обмена е винаги директен (примерно между два порта на суич).

Сега идваме на темата BGP. Повечето хора у нас са свикнали да мислят, че за да има обмен между две автономни системи, то межу граничните маршрутизатори на тези две автономни системи трябва да има BGP сесии. Експонирайте сега тази схема в IX. Ако се спазва тази логика, би следвало при влизането на всеки нов член, граничните маршрутизатори на членовете на IX да изграждат по една BGP сесия с граничния маршрутизатор на новия член. Това е сериозен технически недостатък и позволява злоупотреби (примерно един доставчик филтрира сесията към друг, с цел да не му даде достъп до свои ресурси и да му иска заплащане за достъп). Именно затова се изгражда "route reflector". Какъв е смисъла на този рефлектор? Всеки участник в IX изгражда по една BGP сесия с един централен BGP сървър (не е нужно той да е маршрутизатор, ще разберете защо след това) и излъчва към него достъпните през себе си маршрути. BGP сървърът формира т.нар. "full mesh" от всички излъчени маршрути. Този "full mesh" се отразява (след налагането на дефинираните в BGP подборни правила за най-добър път) в пълната маршрутната таблица в IX. Тази таблица се излъчва към граничните маршрутизатори на всички клиенти. Така всеки участник има нуждата от една BGP сесия до "route reflector" сървъра и това е всичко необходимо. Ще се запитате "добре, но как тогава става маршрутизацията, след като "route reflector" сървъра не маршрутизира". Всичко е много просто и се крие в основите на рефлекторната схема. По-горе бях споменал, че се използва iBGP. При iBGP участващите маршрутизатори са в една автономна система - тази на IX. Представете си сега, че граничния маршрутизатор на участник 1 има адрес 10.0.0.1 и излъчи през себе си маршрут 192.168.0.0/24. Този маршрут попада в рефлектора. След това рефлекторът го излъчва към другите участници (рефлектор клиентите). Ако той се получи от участник 2, чиито адрес на граничен маршрутизатор е 10.0.0.2, ще е във вида:

192.168.0.0./24 nexthop via 10.0.0.1

Забележете, че nexthop не е през рефлекторния сървър, а през клиента, който е излъчил маршрута. Това се получава именно заради използването на iBGP (обмен между маршрутизатори в една AS). Така пакетите към 192.168.0.0/24 ще минават директно към излъчилия ги участник и рефлекторния сървър няма да маршрутизира нито един от тях. Именно тази принципна схема намалява много натоварването.

Сами виждате, че за да работи IX се иска един сървър (възможно е да са два, ако се изисква резервираност и първия не използва клъстер) и много много добър хардуер за комутаторите (суичовете). Също така всеки участник да си осигури за своя сметка свързаността до средата на IX (MAN, "тъмно влакно", етернет среда).

Сега от техническата идея отиваме в малко по-различна плоскост на поглед върху нещата и трябва да си отговорим на въпроса какъв субект трябва да е организацията, която ще представлява IX. Очевидно това трябва да е организация, която ще работи неутрално, в обща полза на своите членове. И без да ви подсказвам се сещате, че това не може да е интернет доставчик. Особено БОЛ не могат да са инициатори на такова нещо, нито негови управители, защото са показали, че от тях нищо не може да се очаква. Спомените от SIX са живи, номерата на комсомолското дуо Ганчев-Марковски от периода след SIX също са познати на всички и никой от големите доставчици няма да се хване на тяхното хоро (аз съм сигурен поне за два - Спектър и БТК - да опита Ганчев да ги покани и да види до какъв крах ще постигне). Повечето доставчици вярват в момента единствено на неутралността на академичната мрежа или на университетската мрежа на СУ и биха приели там да бъде изграден възела на IX. Даже имаше начални разговори на тази тема, които аз охладих още преди 2 години, особено след едно обсъждане с Делян Делчев. Ще се опитам да го изложа по-долу.

България е полицейска държава (почва за това има поради постсоциалистическия характер на населението, което е свикнало милицията да го млати и мародерства, а не да го защитава, въпреки че за населението плаща данъци, за да храни милицията). Една централна точка, през която преминава свързаността между доставчиците е една идеална възможност за цензуриране на трафика и особено за неговото подслушване (при това доста евтино реализируема). Да не говорим какво извиване на ръце могат да правят милиционерите от ГДБОП в полза на алчни холивудски снимачки и бездарни певци под прикритието "пиратството ограбва" (какво можеш да му вземеш на един гол човек:)). В момента MAN средата и директния обмен между доставчиците на база локална свързаност "всеки към всеки" е изключително трудна за контрол от страна на репресивните органи и почти невъзможна за подслушване и последващ анализ на трафика. За това особено допринася и асиметрията на каналите, обусловена от BGP. В момента мрежовата топология в българското интернет пространство е максимално затрудняваща контрола върху локалния Интернет от страна на репресивните органи и това е една от най-добрите черти на развитието на това пространство. Ганчев не може да спре репресивните органи.

Именно затова смятам, че IX в България няма място, поне на този етап. Комсомолецът Ганчев не може да даде никакви издържани аргументи да има IX. Не е вярно, че IX ще прекрати извиването на ръце. Причината е, че дори да има IX, големите доставчици членуващи в него ще наложат непосилни за малките участници квоти за трафик (които малките да са длъжни да дадат). Ако те не могат да направят това, просто няма да членуват в IX, защото нямат сметка. Ако този IX няма подкрепа на големите в този бизнес, той трябва да се състави от малки доставчици, през които преминава сравнително малък трафик и които имат по-слаба техническа поддръжка, не разбират много от проблемите и взимането на всяко едно решение в IX ще е съпътствно със скандали, дребнави сметки и т.н.

Т.е. не се лъжете, а мислете. България не е Великобритания, София не е Лондон и LINX не може да има.

Молба

2007-03-07T11:19:00.000+02:00

Моля, ако някой по някое време забележи, че най-долу на всяка бележка в този дневник липсва лиценза за разпространението и употребата на публикуваната информацията, да ме уведоми чрез коментар. Поставил съм бележка за лиценза още от юни 2006, след като Васил Колев направи забележка, че няма такъв. Възможно е поради погрешна интерпретация и "бъг" в софтуера на Blogspot (трансфериран към Google), да се е получило така, че само аз като редактор да си виждам бележката за лиценза.

В момента полето с лиценза е описано чрез вмъкване на чист HTML в шаблона и не би трябвало да има проблеми при визуализирането му. Ако някой все пак забележи липсата на лиценз, да ми пише веднага!

Преоблякъл се Илия

2007-03-06T20:47:00.000+02:00

Linux-bg.org отдавна се е превърнал в един деградивен жълт портал, от който ползата е никаква. Очаква се закупуването му от някой жълт вестник и на Албена Вулева ще бъде поверена рубриката "сигнално жълт Линукс". В него простотията надделя тотално над полезното съдържание.

Понеже от време на време трябва да се раздвижва интереса към жълтия портал, се предлагат различни атрактивни теми. Заглавията им звучат отвратително, но както за всеки влак си има пътници, така и за всеки портал си има посетители. Скоро очаквайте да прочете там призиви "легализирайте некрофилията" и т.н.

От известно време там вилнее един особено напорист технически инвалид с името Илия Базлянков. На него принадлежи извращението за домуване на коренов сървър за имена в LAN доставчик, което се нарежда по значимост някъде до изравянето на трупа на Чарли Чаплин. Идеята "всеки LAN с коренов сървър за имена" според мен има голямо бъдеще у нас, като се има предвид постоянното обедняване откъм знания в тази държава. Няма да е далеч мига, в който всеки LAN доставчик ще има не само свои коренови сървъри за имена, но и собствен интернет, защото примерно не му харесва как IANA раздават имена и мрежи. Оправдание винаги има - на такива идеи се ръкопляскало в арабските страни, Китай и Русия. Прегръщането на пещерен антиамериканизъм говори за жалък обществен статус, лошо образование, липса на разбиране за истинските причини за някои неща и най-вече наличие на желание за самоограничаване.

Доколкото Вени Марковски получи инвестиция от люксембургски инвестиционен фонд, който е световно неизвестен, реши да се позанимае малко с бизнес и мераците да става регисър на TLD bg умряха. Всъщност и хората в ICANN знаеха кой е Вени, та щеше да му е леко трудно да прокара идеите си. Както се казва и на тях им омръзна, както и на тези в RIPE им беше омръзнал преди години. Знайно е, че и много смях не е на хубаво - писва накрая. Та отиде си Вени и ето, дойде нов герой със желания за самоизява. Този герой е рицарят на LAN базираните коренови сървъри за имена, убиецът на хегемонията на IANA/ICANN над системата за имена в Интернет, Илия Базлянков. Бидейки автор на инициативната "точка.бг", трябва да се каже, че това му начинание тръгна от един абсолютен пубертетски афект, който изживя във форума на linux-bg.org, където му бе показано, че DNS е още далеч за него. Знанията му по DNS може да са под критично задължителните за допускане до разговор на тема DNS, но това не го спира да атакува Регистър.БГ. Разбира се, за по-силна аргументация (DNS може да не учи, но номерата на Вени вече е научил), инициативата се представя както анонсирана от организацията Tilix - производител на една небивала по своята оригиналност и поддръжка дистрибуция, детайли от страницата както ще видите по-долу.

Като администратор в проекта OpenFMI, реших да не публикувам впечатления от поддържането на този проект върху сървърите във ФМИ, но сълзи напират в очите ми само като се сетя какви неща съм виждал точно покрай този проект.

Та реших аз да видя що за организация е това Tilix и какви гениални мозъци е приютила. Първо започнах от регистрацията на домейна tilix.org. Викам си, е като човек иска да атакува цял TLD регистър, поне трябва да е запознат с основната дейност на този регистър - поддръжката на DNS услугата за домейн от първо или по-долно ниво. Очаквах да видя мега умна регистрация, връх на таланта и тържество на бързата и бистра мисъл. Вместо това доста се посмях и не само аз. Хората там бъркат понятия като организация и име на лице за административни и технически контакти, например (информацията е от whois услугата на TLD ORG):


...
Registrant Name:Ilij Bazlijkov
Registrant Organization:Ilia Bazlijkov
...
Admin Name:Emil  Terziev
Admin Organization:Ilia Bazlijkov
...
Tech Name:Emil  Terziev
Tech Organization:Emil  Terziev
...

За описанието на един и същи адрес няма да говорим. За 10 години практика съм виждал какви ли не изпълнения, но това е изключително неграмотно и говори, че хората дето са го пратили, не знаят как се регистрира домейн.

Делегирането на домейна tilix.org обаче спира дъха ми. Делегирането е извършено по една хипер любима схема, широко разпространен в България като семкопродаването:


$ dig -t ns tilix.org
...
;; ANSWER SECTION:
tilix.org.              49121   IN      NS      ns11.icndns.net.
tilix.org.              49121   IN      NS      ns12.icndns.net.

;; ADDITIONAL SECTION:
ns11.icndns.net.        53272   IN      A       80.72.85.2
ns12.icndns.net.        53272   IN      A       80.72.85.3
...

Да имаш претенции да атакуваш регистър и да не знаеш, че най-елементарното правило при делегирането на един домейн е, че сървърите за имена трябва да са в различни мрежи, които да се намират дори в различни автономни системи, свързани по различен (алтернативен) път към Интернет, е една мега излагация. Показва, че хората дето има претенции за нещо, по нищо не се различават от мрънкащи бабули на опашка за заводски хляб.

Някак си може да се преглътне цялата горна шоупрограма, ако поне страницата на проекта Tilix (tilix.org), да беше един истински възход. Там обаче е такова мега падение, което си заслужава да бъде видяно, защото е получително за хората, които искат да направят нещо истинско и искат да видят как не се правят нещата. Карам напред.

Очакванията ми дизайна да е в сиво, в синхрон с високата концентрация на сиво вещество у създателя й, не се оправдаха. Но тази изненада бе най-малкото нещо, което ме очакваше. Перлата в короната на дизайна на страничката е едно растерно изображение, което трудно може да бъде квалифицирано. Показвам го:

Мисля, че няма какво да се коментира. Но и това не е всичко. Страницата съдържа толкова много грешки, че няма да ми стигне цяла нощ да ги опиша. Но накратно, с картинки. Wiki-то направо кърти с оригиналността си, явно е само за посветени:

Добър начин да се подиграете с дарителите си е да насочите връзката "Дарители" към несъществуващ документ (може би пък и да няма дарители):

Доколкото нивото на създателите на проекта е силно реперирано към нивото на редовия IRC потребител - ловец на пички в горна.нет, няма как в проекта да няма "чат" (какъв себеуважаващ се проект ще е това без чат). Разбира се, има само връзка към него:

След като човек види такива страшни гледки, зове за помощ и решава да я поиска чрез връзката "Помощ". Разбира се, че тази връзка пак сочи към несъществуващ документ:

Между другото, интересувайки се от дистрибуцията Tilix, стана ясно, че само англоговорящите и тези, разбиращи английски език, имат правото да знаят, че дистрибуцията била базирана на Kubuntu:

Българските читатели нямат този късмет.

Изключително добър дизайнер е работил над тази страница (след като се очертава насищане на пазара на таксиметрови услуги, вече нямащите с какво да се занимават, се занимават явно с дизайн). Дизайнерът на тази страница е посочил своята страница, която има претенциите да е написана на валиден HTML и CSS. Кратка справка с валидатора на W3C (validator.w3.org) показва, че не само няма валиден код, но и има брутални грешки, като използване на align в елемент H3. Хвала на такива дизайнери.

Всички тези творения на абсурда обаче, били задвижвани от някаква компания (чак към такива претенции в името... малко множко идва) "Open Ideas Company". Компанията имала ранга на генерален спонсор. Какво ли му е генералното на този спонсор (веднага се сещам за Бойко Борисов). Реших да видя. В стил на техническо съвършенство, което изпълва страницата на проекта Tilix (tilix.org), връзката с адреса на страницата на генералния спонсор е в някакъв нов протокол, който за мен е леко непознат:


http://http//openideascompany.com/live/index.php?bulgarian

Сигурно е някакво изобретение на компанията за идеи. С такива идеи, пред нея стои прогрес, пред който треперят всички ИТ гиганти.

Та да се върна на проекта "Точка.бг". До момента в него подкрепа са дали някакви абсолютно безлични организации, за някои от които не се знае изобщо кой стои зад тях. Някакви си фантоми...

Драги приятели. Никой не може да ви отнеме правото на протест, но защо вашия протест трябва да бъде воден от идиоти?

Изводчета

2007-02-28T23:22:00.000+02:00

Извод 1: Ако като малък не ти се е учело, ако си се чудел как да си губиш времето и да затъпяваш, ако си нямал амбиции за кариера, ако си нямал идентичност, ако си нямал стремежи, ако не си получил добро образование по своя вина, ако не си бил полезен на другите с нищо и си нямал нито една смислена цел в живота, ако Интернет и комуникациите за теб са просто модерни думи без никакво съдържание, ти ставаш таксиджия или експерт по нещо модерно и свързано с Интернет (защо не експерт по "киберпрестъпления"). При достигане на крайния стадий на жизнена деградация установяваш, че в случая на таксиджия, всички те наричат таксиджия дори без да се замислят, а в случая на експерт, ти сам се наричаш така. И в двата случай си жива хроника на един безмислен живот.

Извод 2: Ако цял живот си се опитвал да живееш леко и не си искал да се захванеш със сериозна работа, ако си бездарен певец, който никой не кани, защото не иска да слуша ужасния ти глас и тъпите ти текстове, ако не можеш да се захванеш със съзидателен труд, който да носи нещо на обществото, но искаш да печелиш лесни пари правейки се на адвокат бранещ интелектуална собственост (забравил как самия ти си използвал нелицензиран MS Windows и MS Office пакет), ти ставаш Заки Соколов. От този момент ти си по-мъртъв за околните от мъртъв цар.

Търси се

2007-02-25T09:08:00.000+02:00

Търси се човек, който:

1. Ясно съзнава необходимостта от поддръжката и разпространението на софтуер с отворен код.
2. Знае как се изграждат RPM пакети и има изградени лично от него поне два пакета (които трябва да представи).
3. Е на "Ти" с дистрибуции като CentOS, Red Hat Enterprise Linux и Fedora Core (което да покаже чрез попълването на кратък въпросник).
4. Има свободно време, което частично да може да жертва за изграждане на паралелно за дистрибуцията хранилище за RPM пакети.
5. Умее да работи дистанционно в екип и умее да оправдава доверието, което му се гласува.
6. Желае да учи постоянно нови неща.

Работата е по некомерсиален проект с обществено значение и включва изграждането и поддръжката на пакети за Red Hat Enterprise Linux 5/ CentOS 5. Хранилището с пакети на проекта ще бъде публично, ще се намира в академична организация и файловия сървър за целта ще бъде предоставен от нея.

Ако случайно се намери кандидат, да изпрати коментар към тази бележка, в който да посочи електронен пощенски адрес и/или идентификатор в някоя от системите за моментни съобщения (за предпочитане Jabber, но може и ICQ). Коментарите към тази бележка (и по принцип в този дневник) подлежат на преглед и контрол така, че няма вероятност изпратения коментар да бъде публикуван и така да има "изтичане" на информация за кандидата в публичния Интернет.

Благодаря предварително на всички отзовали се.

Познавайте враговете си

2007-02-20T15:21:00.000+02:00

Доколкото този дневник се чете от либерални и свободолюбиви хора, за повечето от които Интернет трябва да остане среда за СВОБОДЕН обмен на информация, реших да ги запозная с един от основните врагове на Интернет у нас, а именно Велизар Соколов. Това е човекът, който стои зад фирма "АРСИС", която е флагманът за разправа с потребителите в България. Този човек е известен още като "адвокатът на Майкрософт". Ролята му е да насъсква ГДБОП (това е частна фирма за изпълнение на "мокри" поръчки), чрез разни "експерти" срещу обикновените потребители, да съчинява смехотворни доклади за това как били ограбвани у нас "производителите на софтуер и мултимедия" и да клепа имиджа на страната ни по света.

Доколкото случайно можете да засечете някъде тази противна и неграмотна личност (за да проверите грамотността му по темата, попитайте го какво е Интернет), е добре да го познавате, за да можете да му създадете възможно най-много неудобства при среща. Създавайте каквито се сетите спънки в работата му и настроението му. Чувствайте се свободни да се отнасяте с него и подопечните му като с обществени отпадъци. И помнете! Това не е представител на закона, той не изпълнява никакви важни за държавата функции, нито работи за вас, като потребители и вие не му дължите никакво уважение и никаква помощ. За този човек всички вие сте престъпници, защото не му носите печалба и всички ваши идеали са вредни за него.

И така, ето го и него (подбрани са по-приятни снимки с купонджийска атмосфера - иначе на пресконференции и интервюта прилича на гробар):

За да предотвратя някои коментари искам да кажа, че никой не може да съди някого за това, че е гей и аз никъде не съм написал осъдителни неща по тази тема. Т.е. снимките по-долу не са дискриминационни снимки, освен това на тях няма ясно афиширана сексуална ориентация.

Просто намерих само тези негови снимки в Интернет. А и са поносими и някак дори весели и смилаеми. Иначе на пресконференция като се направи на сериозен, сякаш навън върлува ебола, така се държи.

Разбирачи

2007-02-09T14:59:00.000+02:00

Междувременно журналистката Кристи Петрова уведомява МВР, че разполага с информация, която иска да предостави на ГДБОП. Отива на среща. Двама оперативни приемат сигнала. Но уточняват, че проверката ще стартира чак след завръщането на експерта по киберпрестъпления в ГДБОП Явор Колев. Както може да се предположи - и той е в отпуска. Не предприемаме нищо. Чакаме единствения човек в ГДБОП, който разбира от компютри, да се завърне, за да свърши най-важната работа от разследването, според оперативните - да провери IP-тата, от които се разпространяват офертите за фалшиви дипломи. Междувременно търговците на дипломи започват да нервничат. След завръщането на Явор Колев получаваме обяснение, че през времето, когато не е бил на работа, са се събрали много задачи. Щом ги отхвърли, ще ни потърсят. Това не се случва. Продължаваме журналистическото разследване при явното нежелание за съдействие от институциите, които би трябвало да са най-заинтересовани да пресекат тези канали.

Бр. 127 на "Политика", 22-28 септември 2006 г.

Малък коментар:

След като това е единственият човек в ГДБОП, който разбира от компютри, се сетете какво е положението. Разбира се, фалшивите дипломи не засягат интереса на Майкрософт и кръга алчни компании в BSA, не засягат хонорарите на адвоката-певец Заки, затова и са безинтересни за ГДБОП.

ГДБОП и DDoS атаката върху системата за имена в Интернет

2007-02-07T15:34:00.000+02:00

От близо два дни в Интернет се извършва масирана дистрибутирана атака тип "Отказ от услуга", насочена спрямо кореновите сървъри за имена в системата за имена (и някои домейни от първо ниво).

Доколкото по-голямата част от кореновите сървъри за имена са в режим на "anycast", то няма съществени и чувствителни поражения. На практика атаката не е чак такава, каквато се представя и моля ви, не четете глупостите на урбанизираните селяни - журналисти, които едва ли не определиха атаката като някакво световно бедствие. Не знам защо, но ми се струва, че 99% от журналистите у нас са завършили основно с връзки, средно с подкупи, а висше с обмен на телесни течности.

Мерките, които се използват за гасене на подобни атаки изобщо не са полицейски, а са чисто технически и опират до доста професионализъм и разбиране. Не си мислете, че ГДБОП гаси атаките. Това е така по много причини. Първо никой не им дава преминални за това (това не е примерно погром над използващи неплатени копия на софтуер), второ те нямат познания да направят своята интернет инфрастуктура, какво говорим за гасене на DDoS. Странно защо храбрият воин срещу "киберпрестъпността" Явор Колев не е в челните редици на погрома срещу "злите хакери" спретнали тази атака. Въпрос на знания и интелект, нали? Това не е като да отидеш и да правиш истерии из интернет доставчиците, които имат име и адрес. Изиксва се много много интелект и истинско разбиране на нещата. По-лесно е данъкоплатците да се гърчат да ти плащат заплатата, а ти да ги обвиняваш всички, че са организирани престъпници и да правиш евтин популизъм.

И така, някой знае ли ГДБОП какво отношение са взели по разкриването на извършителите на DDoS атаката:)

От чувала с глупостите: Световен ден за безопасен Интернет

2007-02-06T08:32:00.000+02:00

Кой не е чувал за ДАИТС? Кой не е чувал за тази социална програма за въдворяване на работа на старчета или чичковци в критическата (но все "свои" хора), всички откровено неуки и бездарни, които се занимават с лъжедейности и лъжепроекти, чиято крайната цел е едно доста добро разпределяне на бюджетни пари и еврофондове по разни джобчета. Работният им ден преминава в срещи с какви ли не особи, общото между които е, че са също толкова неуки и бъркат "технологии" с дейността на хладилния техник, но важно е да се отичта лъжедейност. ДАИТС е организацията, в която никой няма представа що е това Интернет (казвам го на база разговори с "експертите" им). Не говорете на ДАИТС за мрежи н протоколи - те са над тези неща. Сигурност в комуникациите? Ами! Според ДАИТС сигурност в комуникациите се налага със закони, а най-сигурния софтуер за комуникации по правило е този написан от Майкрософт. И как няма да е, след като за Майкрософт работи покровителя на ДАИТС - Министерски съвет и особено един един министър, за който решенията на съда нямат юридическа сила.

Не си мислете, че ДАИТС разработва някаква информационна технология - там не познават дори създадените до момента. Например, услугата електронна поща доста им убягва и според мен и до момента не са наясно какво представялва тя, съдейки по форматирането и начина, по който служителите и началниците там изпращат информация през тази услуга. Работата с интернет базирани програми, също не е сред уменията на служителите и ръководителите на ДАИТС. По-важното е, че ДАИТС е единствената организция в България (а сигурно и в света), която е на мнение, че радиотелескопите стават за съобщителна дейност. Именно поради тази причина, на тяхната интернет страница има радиотелскопи. Така да се каже, Земята им е отесняла силно и са вперили поглед в междузвездните и междугалктични комуникации.

Ще се запитате на каква основа съществува ДАИТС. ДАИТС съществува на политическа основа и с политическа цел и е едно голямо отбиване на номер. Както повечето от вас знаят, в организации с политическа цел концентрацията на сиво вещество е твърде ниска, а в ДАИТС е направо на границата на откриване (както биха се изразили колеги, които се занимават количествен микроанализ). В Държавната администрация обаче, ДАИТС е известна като (ако държите чаша с нещо, внимателно я поставете на маса по-далеч от вас) "високите технологии". Сега представихте ли си как се е чувствал лирическия герой, че да изрече "я подай ми, мале, тенката пушка"?

Днес ДАИТС участват в една доста интересна лъжедейност - Световен ден за безопасен Интернет. След като отпразнувахме Световния ден на оргазъма и какви ли още не идиотски дни, ни връхлита Световния ден за безопасен Интернет. Ако се съди по името му, Интернет е една опасна среда. Наред с ДАИТС в това лъжемероприятие участват и други лъжеорганизации. "Не сте сами", нали?

Обявяването на Интернет за опасна среда е средство за препитание на много лъжедеятели, спред които ДАИТС и ГДБОП са толкова напред, че са недостижими. Тези два мозъчни тръста оправдават съществуването си с опасния и лош Интернет. Вярно, ГДБОП са си силови техници и се борят срещу лошите пирати, заради която някоя бездарна кресла теоретично би изгубила възможността да си извая силиконов бюст. Но и ГДБОП и ДАИТС сериозно експлоатират темата "децата". Лично аз съм писал по тази тема и не възнамерявам да се повтарям:

http://hardtrance.blogspot.com/2007/01/blog-post_18.html#demagogy

За грамотността, знанията и др.

2007-02-05T14:56:00.000+02:00

Повод да пиша това е писмото, публикувано от Георги, което аз имах ужаса да видя дни преди да бъде публикувано:

http://georgi.unixsol.org/diary/archive.php/2007-02-02

Ще си кажем нещата директно:

1. Ако този човек имаше елементарни (не говоря за задълбочени) познания по интернет комуникация, щеше да знае, че едно електронно писмо без електронен подпис не е никакъв електронен документ. В Република България има Закон за електронния подпис и електронния документ, който урежда точно случаите, в които едно електронно писмо е електронен документ. Изпратеното от този следовател писмо показва, че той не познава законите на Република България. Друг аргумент за моето твърдене е и факта, че писмото е написано на "шльокавица", а не на официалния писмен език в Република България, както се изисква по закон. Третото нарушение е, че адреса на получателя на писмото, на който това писмо е изпратено, не може да е официален и проверим адрес за кореспонденция. Единственият орган, който може да потвърди това, че един пощенски адрес принадлежи на дадено лице е електронен удостоверител, който КРС е регистрирала като такъв. Изключение може да бъде правено само, ако лицето е декларирало в законова форма този адрес като свой. В този случай няма такъв документ. Между другото обаждането по телефона също не е форма за призовка, доколкото телефонната комуникация не позволява идентификация на общуващите си субекти еднозначно и сигурно - "Ало, ти ли си бе... ами може да съм и аз, ама зависи за какво ме търсиш". Или емблематичното "Ало, шефе. Търсят те по мобифона".

2. Жалко е, да не кажа трагично, служител на държавата да използва пощенска услуга в Hotmail, за да изпраща кореспонденция, която има служебен характер и може да се тълкува като класифицирана информация. Това показва, че службата, в която той работи, няма никакъв ценз при назначаване на служителите. Пълна подигравка с данъкоплатците е назначаването на хора в сектор "Компютърни престъпления", които нямат основна грамотност в боравенето с електронна информация. Какви престъпления разкриват те, при условие, че не знаят какви проблеми може да създаде използването на кутия върху сървъри за безплатна пощенска услуга? Първо, доставчикът на услугата по всяко време може да преустанови нейното предлагане. Второ, доставчикът може да модифицира съдържанието така, че той да попадне под филтрация в сървъра на получателя (англоезичния термин за подобно преформатиране или влагане на съмнителни или непозволени елементи в тялото на писмото се нарича "scam"). Трето, няма дефиниран еднозначен механизъм, чрез който да се провери дали получателят е получил или отворил писмото. Значи излиза, че имаме следовател в сектор "Компютърни престъпления", който не е запознат с елементарни неща, като транспорта на електронна поща. С какви "компютърни престъпления" се занимава той?

3. Идентифицирайки се като "gary geryty", този човек уронва престижа на службата си и на МВР като цяло. Как може служител, при това следовател, да се именова в рамките на служебна кореспонденция, по начин присъщ на 13 годишен IRC маниак?

Сега ясно ли е на читателите с какво всъщност са занимават самозваните експерти по "Компютърни престъпления", какво е нивото им на знания и реално каква работа могат да свъшат с него?

Високи, сини планини

2007-02-05T08:34:00.000+02:00

Унищожаването на природата в Рила, Пирин и Родопите, е свеобразен връх на българската народопростотия и селяшката алчност. Прибавям всички български планински "курорти" в черния си списък. Така аз не само няма да похарча нито стотинка в тях, но и няма да стъпя там.

В събота убедих холандските ми колеги, с които работим по един некомерсиален проект за интернет радио, да не посещават Боровец и изобщо български курорти, с което ощетих алчните български селяндури с близо 4000 евро. Не беше трудно. Показах им снимки на планините в България от преди 15 години и сега. По-голяма антиреклама няма как да се направи.

"Оnline" учебник по лоша практика на администрирането

2007-01-22T10:16:00.000+02:00

Опитът от изминалите пет години, в които обучавам в една или друга степен мрежови и системни администратори сочи, че не е нужно да се отделя време да се търсят примери за лоша практика на администриране така, че обучаващите се да видят предимствата на добрата практика. Един инстински "online" учебник по лоша практика са услугите поддържани от БОЛ. На практика не само за мен, а за още десетки хора, които познавам, БОЛ са еталон за лоша практика по поддържане на системи.

Благодарим от все сърце на създателите на тази лоша практика, които очевидно са ненадминати майстори в областта си.

Последният пример от днес. Реших да покажа на двама студенти как не бива да се поставя пощенски адрес за административни конткати на зона на домейн. И ето, по навик реших да проверя как е при БОЛ и пак, за пореден път, намерих онагледяващ пример за това как не се прави нещо. Ето го и него:


$ dig @ns.bol.bg -t soa bol.bg

;; QUESTION SECTION:
;bol.bg.     IN SOA

;; ANSWER SECTION:
bol.bg. 3600 IN SOA ns.bol.bg. root.ns.bol.bg.
   2007011501 3600 300 1209600 3600

Ако се заемете да проверите, няма пощенска йерархия за домейн ns.bol.bg, която да обработи писмо за root@ns.bol.bg. Съгласно добрата практика, такава трябва да има!

Чувам, че БОЛ се продали на някакъв "инвеститор". Аз лично не мисля, че той ще оправи положението в БОЛ. След като другарят Вени е намерил този инвеститор, той или е от комсомолски тип, или е податлив на фокуси и лъжи.

ISOC.bg и DNS

2007-01-20T09:09:00.000+02:00

ISOC.bg е най-отворената организация, за която се сещам. В нея може да членуват от падари до президенти. Ако си загубите някъде листче, върху което фигурират трите ви имена и др. лични данни, проверете в списъка с членове на ISOC.bg - може да сте вече член. Поради отвореността на организацията, в нея има "невероятен" приток на специалисти, които имат за основна дейност ходене по приеми, банкети, коктейли, магазини и др. "светски" мероприятия. Очевидно тази тежка дейност изсмуква сетните сили на тези специалисти и те са сътоврили едно от "най-блестящите" делегирания на домейни (може би след мега експертите делегирали домейна www.bg към сървър за имена със звучното име на хост ".").

Показвам безкрайно професионалната и нетърпяща никаква критика делегация на домейна ISOC.bg:


$ dig @ns.isoc.bg isoc.bg
...
;; QUESTION SECTION:
;isoc.bg.               IN      A

;; ANSWER SECTION:
isoc.bg.        3600    IN      A       193.200.15.161

;; AUTHORITY SECTION:
isoc.bg.        3600    IN      NS      ns.cit.net.
isoc.bg.        3600    IN      NS      ns.isoc.bg.
isoc.bg.        3600    IN      NS      ns.bol.bg.

;; ADDITIONAL SECTION:
ns.bol.bg.      3600    IN      A       193.200.15.129
ns.cit.net.     3600    IN      A       193.200.15.133
ns.isoc.bg.     3600    IN      A       193.200.15.133

Мисля, че коментарът е излишен. Както казва един мой приятел-мъдрец, това е пример за e-наглост.

ДАИТС

2007-01-18T09:50:00.000+02:00

В условията на родното развитие на лъженаука, лъжетехнологии и плискане на хладка вода в очите на слепите, са създадени различни по вид организации, които имитират и симулират дейност в много направления. Безспорен лидер в тази посока е ДАИТС - Държавна агенция за информационни технологии и съобщения.

Трудно е да обясни какво реално е ДАИТС. Това агенция с ранг на министерство, произлязла от агенцията ИСТ на "отличника" Орлин Кузов. Ако мислите, че ДАИТС е нещо различно от ИСТ, значи паметта ви изневерява или никога не сте се интересували от проблематиката или никога не сте имали неудоволствието да се срещате с лица като Орлин Кузов. ДАИТС обаче надхвърля майсторството по развитие на лъжетехнологии и лъжепроекти започнато от ИСТ. ДАИТС има и социално-приятелски червени функции - в това ведомство са въдворени на ръководни постове хора, които иначе би следвало да бъдат пенсионирани, а други уволнени (тъжно е да се каже, но някои би следвало да бъдат уволнени поради некадърност). Разбира се, тези хора нямат никакъв поглед върху развитието на съвременните информационни технологии и предвъкват вестникарски фрази и различни сложни думички. За да съществуват, те прибягват и до демагогия (нищо старо от червените години не е забравено).

Само журналист или друг неграмотен човек може да се впечатли от имената на лъжепроектите на ДАИТС. Разбира се ДАИТС разчитат на многомилионната неграмотна аудитория, сред която провеждат един истински шампионат по плискане на хладка вода в очите на слепи. Всеки човек с образование малко над основното (а може би дори и с купена диплома за основно), ще се сети, че ако в това ведомство бяха наясно с технологиите и така добре ги владееха както на думи, родни и чужди ИТ фирми щяха да си намират там кадри и щяха да бият с пачки евра "експертите" и мега "специалистите" до такава степен, че накрая в ДАИТС щяха да останат само чистачки, които щяха да бъдат засмукани пък от мегапроекта на Саша Безуханова.

А сега да поговорим за мегаекспертите, които ние като данъкоплатци хрантутим.

До скоро тази "високотехнологична" агенция нямаше върху интернет страницата си адрес за електронна поща. За да контактува човек с технологичните мохикани, трябваше да ходи пеша до сградата им или да им се обажда по телефона. Трябваше да мине дълго време, за да могат най-накрая мега експертите да сложат такъв. Отговорите на писмата, които бихте получили от там са плачевни и като съдържание и като формат. Във ведомството още не могат да пишат на кирилица. Трудно отварят файлове с често срещани формати различни от DOC.

Ще кажете, голяма работа, това е поредния приют за некадърници, през който да се прокарват решения за усвояване на родни и еврофондове. Замислете се обаче като данъкоплатци (вече и евроданъкоплатци) дали искате парите за изследвания и развитие да се дават на хора, които и на идея си нямат от това, което трябва да свършат срещу тях или пишат смехотворни проекти, които просто да реализират едни пари. Редно ли е евродондовете да се разпределят от пенсионери и чичковци и лелки в критическата? Как мислите, ако продължат така нещата колко от останалите у нас специалисти ще си вземат шапката и ще се разкарат от тази изгнила европейска провинция? Еврофондовете са една от възможностите академичните организации да задържат младите си специалисти, особено тези работещи в областта на телекомуникациите.

За да не си говорим празни приказки ще напиша технически обоснован поглед върху техническата грамотност на ДАИТС. Преди това обаче, искам да покажа две връзки. Вярно, писани са от мен, но пък не мисля, че в тях има каквато и да е лъжа.

http://hardtrance.blogspot.com/2006/06/blog-post_25.html

http://hardtrance.blogspot.com/2006/04/i.html

Реших да видя що за пощенска услуга имат ДАИТС, но за я видя трябваше да мина през една банално позната на всеки администратор информационна технология-протокол DNS. Това, което ще видите по-долу е описание на мега накадърщина и ако не искате да си разваляте настроението, моля не го четете.

Първо проверих как е делегиран домейна daits.government.bg в домейна government.bg. Подхождаме систематично през йерархията (излишната информация в оговорна на запитването с dig е отстранена):

а) проверяваме кои са достоверните сървъри за имена, отговорни за домейна government.bg подадени в Регистър БГ:


$ dig +norecurse @ns.digsys.bg -t ns government.bg

...

;; QUESTION SECTION:
;government.bg.                 IN      NS

;; AUTHORITY SECTION:
government.bg.          345600  IN      NS      leo.government.bg.
government.bg.          345600  IN      NS      dove.government.bg.
government.bg.          345600  IN      NS      stone.gocis.bg.

;; ADDITIONAL SECTION:
leo.government.bg.      70116   IN      A       212.122.160.33
dove.government.bg.     70116   IN      A       212.122.160.34
stone.gocis.bg.         69904   IN      A       195.138.133.10

...

Оказва се обаче, че в зоната на домейна government.bg вместо посочените три достоверни сървъри за имена, са описани само два (липсва stone.gocis.bg с IP адрес 195.138.133.10):


$ dig @leo.government.bg -t ns government.bg

...

;; QUESTION SECTION:
;government.bg.                 IN      NS

;; ANSWER SECTION:
government.bg.          86400   IN      NS      leo.government.bg.
government.bg.          86400   IN      NS      dove.government.bg.

;; ADDITIONAL SECTION:
leo.government.bg.      86400   IN      A       212.122.160.33
dove.government.bg.     86400   IN      A       212.122.160.34

Проявата на лоша практика не е всичко. Оказва се, че от двата сървър за имена достоверни за зоната government.bg работи само leo.government.bg, а dove.government.bg има сериозни проблеми, защото връща SERVFAIL на отговорите на заявките:


$ dig @dove.government.bg -t ns government.bg

...

;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 50583
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;government.bg.                 IN      NS

Питате се къде остана stone.gocis.bg. Той си работи... но как работи. Това е сървър, който в момента се оперира от едни "ненадминати" специалисти в областта на телекомуникациите. Този сървър за имена най-безотговорно е оставен да работи с версия на BIND 4.9.7, която има историческо значение, работи с правата на потребител root и може да бъде взломена:


$ dig @stone.gocis.bg -t txt -c ch version.bind

...

;; QUESTION SECTION:
;version.bind.                  CH      TXT

;; ANSWER SECTION:
VERSION.BIND.           0       CH      TXT     "4.9.7"

За да не вземе някой да се изкуши да каже, че си чешем езиците, давам връзка към страницата на разработчиците на BIND - Internet Systems Consortium, на която те съобщават, че верии 4 на BIND не се поддържат и поради причини свързани със сигурността тази версия не бива повече да се използва:

http://www.isc.org/sw/bind/view?release=4.9.11

За недовиждащите, ще запиша тук какво е най-важното написано на тази страница:

ISC BIND 4 IS OFFICIALLY DEPRECATED

b) проверяваме (върху единствения работещ сървър за имена за домейна government.bg, макар строго погледнато и stone.gocis.bg да е такъв) кои са сървърите за имена, достоверни за домейна daits.government.bg (тук поемете дъх):


$ dig @leo.government.bg -t ns daits.government.bg

...

;; QUESTION SECTION:
;daits.government.bg.           IN      NS

;; AUTHORITY SECTION:
daits.government.bg.    86400   IN      NS      ns.ict.bg.
daits.government.bg.    86400   IN      NS      ns.ist.bg.

;; ADDITIONAL SECTION:
ns.ict.bg.              84859   IN      A       194.141.6.2

Все съм виждал порнографски изпълнения, но това чупи рекордите. Вярно, че ISOC.bg имат подобно делегиране, но там (сигурно случайно) поне са сложили две имена да сочат към един DNS сървър, а тук дори това не е направено. Явно някой е казал на администраторите на зоната government.bg, че трябват два сървъра за имена за делегирането на домейн, а те са имали на разположение само един и просто са го написали два пъти. Хвала на такива експерти, хвала! Вярно, че домейн ist.bg не съществува и са искали да забият два имена към един адрес.. ама всичко си има граници.

И така, оказва се, че домейнът daits.government.bg е делегиран по възможно най-куция начин върху сървърите за имена на домейна governmen.bg. Само забележете, че така за извличането на каквато и да е заявка за запис от домейна daits.government.bg се преминава през друг домейн, ict.bg. Но и това не е всичко. Сега ще видите небивала въртележка. Първо питаме Регистър БГ, за да видим как е делегиран домейна ict.bg:


$ dig +norecurse @ns.digsys.bg -t ns ict.bg

...

;; QUESTION SECTION:
;ict.bg.                                IN      NS

;; AUTHORITY SECTION:
ict.bg.                 345600  IN      NS      ns.ict.bg.
ict.bg.                 345600  IN      NS      ns.bitex.com.
ict.bg.                 345600  IN      NS      ns.galaxite.net.
ict.bg.                 345600  IN      NS      amigo.acad.bg.

;; ADDITIONAL SECTION:
ns.ict.bg.              67166   IN      A       194.141.6.2
ns.bitex.com.           3474    IN      A       195.34.96.3
amigo.acad.bg.          345600  IN      A       194.141.0.3

Оказва се, че сървърът за имена ns.galaxite.net изобщо не функционира:


$ dig @ns.galaxite.net -t ns ict.bg

...

;; global options:  printcmd
;; connection timed out; no servers could be reached

За това какво търси сървър за имена на частната фирма bitex.com (която е с неизяснен за момента статус) в зоната на домейн на държавна агенция, може би е най-добре да се пита Орлин Кузов. От друга страна whois информацията за домейна galaxite.net е много интересна (ще видите едно познато име):


Registrant:
   Internet BG Foundation
   1, Bulgaria Sq. NDK Adm. 17th
   Sofia, SF 1463
   Bulgaria

   Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
   Domain Name: GALAXITE.NET
      Created on: 02-Dec-99
      Expires on: 02-Dec-07
      Last Updated on: 24-Nov-05

   Administrative Contact:
      Kouzov, Orlin  orlando@galaxite.net
      1, Bulgaria Sq. NDK Adm. 17th
      Sofia, SF 1463
      Bulgaria
      +359-2-9515190      Fax --

   Technical Contact:
      CS, Alex  acampbell@galaxite.net
      P.O. Box 1261
      ,
      +359.2
            Fax --

   Domain servers in listed order:
      NS.GALAXITE.NET
      NS.BITEX.COM
      NS2.BITEX.COM

Полето за технически контакти за домейна е попълнето изключително "професионално".

Както виждате техническият капацитет на ДАИТС в областта на DNS го няма никакъв. Да продължим с електронната поща. Реших да видя кой е сървърът за електронна поща за домейна daits.government.bg:


$ dig -t mx daits.government.bg

...

;; QUESTION SECTION:
;daits.government.bg.           IN      MX

;; ANSWER SECTION:
daits.government.bg.    86400   IN      MX      0 mail.daits.government.bg.

Реших да хвърля едно око на този SMTP сървър. Разбира се, некадърността се е проявила и тук. ДАИТС е "високотехнологична" агенция, чиито пощенски сървър не поддържа разширенията (ESMTP) на протокола SMTP (да напомним, че в момента сме 2007 година). Ето една кратка справчица с telnet:


$ telnet mail.daits.government.bg 25
Trying 194.141.6.67...
Connected to mail.daits.government.bg (194.141.6.67).
Escape character is '^]'.
220 ********************
ehlo mail.com
502 unimplemented (#5.5.1)
quit
221 mail.daits.net
Connection closed by foreign host.

Разбира се, че в ДАИТС тече още развитие по темата SMTP и в момента се намират някъде около 1997 година. Много бих искал да изпитам служителите на ДАИТС по темата "електронна поща". Със сигурност ще чуя неща, които не съм и мислил, че мога да чуя. Изключително съм поласкан от начина, по който администратора на този сървър за поща е скрил т.нар. "greeting" явно с цел да скрие името и версията на софтуера, с който е реализирал сървъра за електронна поща.

Одата с електронната поща не свършва до тук. Оказва се, че високотехнологичната агенция с ранг на министерство не е в състояние да пусне сертификатен удостоверител и използва самоподписани X.509 сертификати. Давам пример:


$ openssl s_client -host mail.daits.government.bg -port 993
...
Certificate chain
 0 s:/C=BG/ST=Bulgaria/L=Sofia/O=daits.net/OU=mail/
CN=mail.daits.net/emailAddress=postmaster@daits.net

   i:/C=BG/ST=Bulgaria/L=Sofia/O=daits.net/OU=mail/
CN=mail.daits.net/emailAddress=postmaster@daits.net
...

От полето "emailAddress" на самоподписания сертификат разбрах за съществуването на домейна daits.net. Познайте кое лице фигурира в данните за регистрация. Разбира се, че пак Орлин Кузов:


Registrant:
   ICTDA
   6 Gourko Str.
   Sofia 1000
   Bulgaria

   Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
   Domain Name: DAITS.NET
      Created on: 05-Oct-05
      Expires on: 05-Oct-07
      Last Updated on: 06-Sep-06

   Administrative Contact:
      Kouzov, Orlin  president@ict.bg
      ICTDA
      6 Gourko Str.
      Sofia 1000
      Bulgaria
      35929492151      Fax -- 35929492277

   Technical Contact:
      Kouzov, Orlin  president@ict.bg
      ICTDA
      6 Gourko Str.
      Sofia 1000
      Bulgaria
      35929492151      Fax -- 35929492277

   Domain servers in listed order:
      NS.ICT.BG
      NS.IST.BG

Оказва се, че адресното пространство на ДАИТС, в което и прословутия високотехнологичен пощенски сървър принадлежи към Академичната мрежа. Интересно защо в информацията за него в RIPE DB, никой високотехнологичен специалист на ДАИТС не си е направил труда да оправи записите за административни и технически лица и да осъвремени името на организацията.

Помислте сега, на този фон, как ви звучи тази новина:

Подготвяме екип за реагиране при компютърни инциденти

Малко за демагогията на ДАИТС. Един от най-лесните начини да се демагогства е свързан с опазването на децата от пороци, посегателство и т.н. Ето как се развива демагогията ДАИТС. Основния рефрен е порнографското съдържание в Интернет (ще си помисли човек, че като е нямало Интернет е нямало порно филми). То се обявява за вредно за децата. В момента, в което то се обявява за такова, 12 годишни деца отдавна са изгледали първия си порно филм. Да не си гледал такъв е непрестижно в средите на децата, където стремежа е да се правиш на голям иначе си аутсайдер. На 14 години доста деца започват сексуален живот (имаше наскоро и един доста скандален документален филм, а и всеки от нас е бил дете). Със сигурност мохиканите в ДАИТС са започнали сексуалния си живот на 20 и повече години, а за някои от тях изобщо се съмнявам, че изобщо са го имали. Явно в ДАИТС или нямат деца и внуци, или не се опитват да ги разберат, или просто са заровили глави в пясъка и не виждат реално какво става навън. Но от едни лелки и чичковци в критическа или пенсионна възраст друго едва ли може да се очаква. Разбира се родителите обичат да подкрепят такива решения. Удавник за сламка се хваща. Ако някой обещае, че ще спаси децата им ог поквара, те са готиви да гласуват за всичко и всеки. Разбите се, родителите са плод на "развитото социалистическо общество", а нещата от тогава насам са се променили коренно. Вместо от рано да говорят с децата си на тема сексуално възпитание, родителите превръщат тази тема в забранена, нежелана и насаждат у децата си мнението, че сексуално желание е нещо забранено, вредно и срамно. И те веднага намират алтернатива - учат се за тези неща от слухове, филми и улицата. След това родителите се хващат за главата от резултатите и почват да проклинат държавата, че не била опазила децата им (за да не признаят те самите пред себе си, че са виновени). Сигурно се очаква от държавата да слага на всеки ученик заключващи се с катинар слипове и др. бельо. Ето тук идват добрите дядовци, бабички, чичковци и лелки от ДАИТС, които излъчват интелигентност и безгранични знания. Те обещават, че ще сложат на всеки компютър софтуер, който ще следи детето им и така всичко ще е под контрол. Децата разбира се ще научат за този софтуер и ще го разбият. Ако не могат, ще отидат при приятели, при които този софтуер е разбит и пак ще гледат каквото си искат. Ще се появи веднага черен пазар на порно филми в училищата. Учениците ще дават за порно парите, които би следвало да дадат за храна.

Сред безспорните изяви на старческа деменция на мега специалистите от ДАИТС е искането всеки доставчик на интернет свързаност за домашни потребители да питал дали имало деца в дома на абоната и да слагал филтър на съдържание. Не се шокирайте, това далеч не е най-извратената идея на ДАИТС. Идеята "бабички и дядки срещу порното" е най-известната идея на ДАИТС - връх на техническата мисъл. Предполага се, че бабичките и дядовците, за които е трудно да боравят с обикновен телефон, ще са компетентни да следят внуците си в Интернет. По тези идеи можете да разберете що за хора има в ДАИТС.

Разбира се, че истината е наблягане на образованието на децата и вместо с олигофренски часове по религия, на децата да се обясни кое какво е от рано, а не после да гледаме трагедии като бременни 12 годишни ученички или деца на 16 години с диагниоза СПИН. В момента децата нямат доверие на родителите си, нямат доверие на училището, нямат доверие на държавата, нямат доверие на обществото. И проблемът е, че те се възпитават със забрани в общество, което претендира да е свободно. Децата усещат това лицемерие и от малки спират да вярват на възрастните. Психолозите отдавна алармират за това. Но странно защо нито родители, нито държавници искат да ги чуят. Никой не иска да научи децата как да ползват свободата.

Маде ин Булгариа

2007-01-17T08:43:00.000+02:00

Снощи един познат от Холандия ме попита дали това е истина:

http://vbox7.com/play:b4a31c11
(Азис И Десислава - Казваш Че Ме Обичаш)

Трудно е да се обясни на някой, който не живее в България, че това не е пародия или майтап от телевизионно шоу, а част от иронията наречена "българската действителност". Мятащи се по екрана чуми, изваяни от силикон, турбо аграри с дебели задници, боядисани в бяло бради и тресящи се зурли (имащи претенции да са певици) - това е най-често срещания музикален избор на населението в България, което е съставено от 80% непоправими мега идиоти.

За режисьорите, сценаристите и продуцентите на такива творения може да се каже само, че от километри им личи, че са се занимавали през по-голямата си част от живота със свиневъдство и говедовъдство, а някои са все още активно практикуват тези професии.

Пиратство? Хайде стига смешки. Т.нар. "български творци" са ограбени така от природата, че "творенията" им могат да бъдат харесвни само от по-ограбени от тях.

Сбогом на CRYPT-PW хешовете за пароли в обектите на RIPE DB

2007-01-14T14:04:00.000+02:00

Най-накрая RIPE направиха това, което трябваше да направят много отдавна, а именно да се иницират поетапна операция по премахването на CRYPT-PW хешовете за пароли в обектите на RIPE DB. Проектът се нарича "CRYPT-PW Deprecation Project"

Първият етап на операцията включваше изпращане на предупреждение за промяна на хеша на паролата в обекти, в които той е генериран с метода CRYPT-PW. Предупрежденията бяха изпратени на 30 ноември 2006 година. Вторията етап започна в сряда (10 януари 2007) и включваше в себе си налагане на забрана за създаване на нови обекти, които да са защитени с CRYPT-PW хеш. Достъпът до модификация на обекти, защитени с хеш на парола, генериран с CRYPT-PW също вече е забранен. Третият етап трябва да започне на 21 февруари 2007 година и включва премахване на полетата, които съдържат CRYPT-PW в обектите в RIPE DB.

За какво пиша това? Миналата година бях свидетел на това как голяма компания като БТК е оставила mntner обекта си защитен с парола, чиито хеш е генериран с метода CRYPT-PW. Няма да говорим за "най-добрите специалисти в Интернет", които по правило работят в ISOC.bg и БОЛ. За mntnet обекта им освен, че хеша на паролата бе пресметнат с CRYPT-PW метода, за парола бе използвана дума, която се намира в речниците за атака чрез налучкване. Имаше разбира се и други именити фирми и организации, които нехаеха за сигурността си и аз лично не мога да ги разбера. Хайде, за ISOC.bg и БОЛ е ясно - те коваха поправките в НК за т.нар. "компютърни престъпления" (терминът е турбо безмислен, но поне издава ясно и еднозначно нивото на интелектуално развитие на тези "творци", които са го внесни в наказателния кодекс). Затова и БОЛ не се страхуват от атаки, защото тях ги пази наказателния кодекс и ако някой посмее да им се изака на обектите в RIPE DB, те ще изпратят по дирите му потеря начело с мега експерти по "компютърни престъпления" от ГДБОП (които ако бъдат уволнени от ГДБОП и попаднат на пазара на труда, с притежаваните си "експертни" знания най-много да станат падари или охранители по паркове и градинки). С кеф си представям как "експерта" Яворчо Колев строява населението на китайско село и го плаши с външен вид, истерия, значки и емблеми, само и само да намери бледия китаец, който се е повеселил с автономната система на БОЛ.

Очевидно трябваше RIPE DB насила да почнат да извеждат от употреба CRYPT-PW метода, защото невероятно количество организации нехаят за сигурността на обектите си в RIPE DB. Нехайството обикновено е следствие от ниската грамотност на хората в тези организации.

Време е това да се промени. Интернет може да е сигурна среда само, ако се управлява от хора със знания в областта, а не от копои, позьори-комсомолци и какви ли не други случайни хора, които поради липса на личен живот и интересни занимания, са решили да се занимават с "охрана" на Интернет със закони.

5 неща, които не знаеш за мен

2007-01-10T12:53:00.000+02:00

Не ти трябва да знаеш за мен нищо повече от това, което аз сам съм преценил, че мога да ти кажа.

Филтриране на автономните системи за частно ползване чрез регулярни изрази

2007-01-07T12:40:00.000+02:00

Повечето администратори на маршрутизатори на организации, които следват добрата практика знаят, че в RFC1930 е записано следното:


10. Reserved AS Numbers

  The Internet Assigned Numbers Authority (IANA) has reserved the
  following block of AS numbers for private use (not to be advertised
  on the global Internet):

                          64512 through 65535

Доколкото винаги администраторите, които спазват добрата практика по анонсирането, описана по-горе, ще имат сблъсъци с администратори, които не зачитат споменатата добра практика, се налага да градят филтри за да предотвратяват приемането на анонси касаещи номера на автономни системи за частна употреба, описани в RFC1930.

Тук ще си позволя да споделя моя скромен опит по изграждането на филтър с регулярен израз, който има за цел да отхвърли за приемане/излъчване всички префикси, обявени в състава на автономни системи за частно ползване. Филтърът е създаден за Quagga, но според мен може да се прилага и на Cisco маршрутизатори. Състои се в следния ред:


ip as-path access-list 5 deny _(6451[2-9]|645[2-9][0-9]|64[6-9][0-9][0-9]|
                 65[0-4][0-9][0-9]|655[0-2][0-9]|6553[0-5])_

Този филтър се влага в съответния route-map, отчитащ входящите или изходящи префикси.