Често задавани въпроси

…за последно през 2008 г.

На 25С3 - двадесет и петата хакерска конференция Chaos Communication Congress, няколко изследователя откриха нов начин да счупят фундаментално интернет.

От ляво надясно: Benne de Weger, Arjen Lenstra, Marc Stevens, Jacob Appelbaum, David Molnar, Александър Сотиров. Фотография: Alexander Klink (CC-BY)

По същество те са открили начин, по който да създадат валидно Certificate Authority или Сертификационен Доставчик ( като нашите мили родни Инфонотари, Би-тръст и т.н. ). Ключовото е, че тяхнотото СА всъщност е подписано с фалшифициран сертификат, издаден от някое от основните CA - тези които са заложени във всеки браузър. Използвайки техният собствен CA, хората от горната снимка могат да издадат валиден сертификат за абсолютно всеки сайт - например ubb.bg, fibank.bg, microsoft.com. Този сертификат се използва за удостоверяване на “самоличността” на сайта пред вашият браузър и за изграждане на криптирана ( SSL / TLS ) връзка. Ако подобен сертификат се инсталира на фалшиф сайт, когато потребителите се логнат в него, те няма да забележат нищо необичайно - браузъра ще си има катинарчето, връзката ще е SSL, всичко ще е криптирано - идеалната MitM атака, при която нито подслушваният, нито доставчика му на услуги могат да установят подслушването, а човекът по средата ще може да прехване целият комуникационен обмен.

Други интересни факти - използван е клъстер от 200 PlayStation 3 системи, за да направят нужните изчисления в разумен срок ( в рамките на два дни ), което е първото практическо приложени на игровата конзола за хакване, единият от изследователите е българин.

Използваните Playstation 3

Атаката се базира на т.нар. колизия на MD5, като доразвива идеята на група китайски учени, представена през 2004-та и използва предсказуемият начин на генериране на сертификати от едният от основните СА - последователни серийни номера и фиксирано време от подаване на заявката. За повече информация - посетете сайта на Александър Сотиров или прочетете подробната статия по въпроса.

Социопатните ми настроения са най-силни по време на празници… И всъщност най-дразнещи са хората, които смятат, че празниците са прекрасно време за безмерна консумация, както и всичките реклами, които затвърдяват тази идея.

Все пак, в духа на празника - Честита Коледа с малко извадки от Коледното шоу на Джеф Дънам и мъртвия терорист Акхмед:

I’ll Kill you till you are dead

I’m Santa Claus damnit

Merry Christmass infidels

И разбира се специалната коледна песничка:

Jingle Bombs

в Германия. Да, милиона.

Репортери от WirtschaftsWoche са разследвали крадците на лични данни и са успяли да договорят продажбата на 21 милиона банкови сметки, съпроводени с имена, адреси, телефони, рожденни дати за сумата от 12 милиона евро. Като доказателство за възможностите си престъпниците са предоставили CD с данни за 1,2 милиона човека. Според осведомени 21 милиона потребители е около 75% от всички потребители на банкови услуги в Германия. По всички мерки това е ОГРОМЕН брой хора, като според журналистите по-голямата част от информацията е събрана от call центрове ( като например пробива в центъра на Т-mobile през 2006-та, при който са задигнати 17 млн потребителски записа ).

Основни потребители на подобни записи традиционно са спамъри, които по този начин могат много по целенасочено да генерират съобщенията си, но в условията на стесняващ се пазар от подобни нелоялни методи биха се заинтересували доста хора.

Ето линк към статията ( на немски )

Преди няколко дни се сблъсках със задачата да се подкара система за видеонаблюдение от следните компоненти:

• няколко камери Edimax IC-1520 с wireless модул
• рутер Edimax ( тип сапунерка ), който да рутира Интернет и да служи за AP на камерите
• отделен компютър, посветен само да записва видеото. ( ОС-а е без значение ). Софтуера, който ще се използва трябва да е безплатен.

В общия случай - относително евтина система за видеонаблюдение, прилично надеждна и евтина за поддръжка, с която да може да борави всеки с компютърна грамотност.

Да, ама не - При опитите за оживяване на системата, след много главоблъскане и скубане на коси, разбрах, че всъщност доста малко (безплатни) софтуери поддържат тези камери, още повече в такова количество. Този модел камера представлява всъщност малка embedded Linux системка, с вграден уеб сървър и всъщност под GPL лиценз - точно по модела на известните Linksys WRT рутери. Дотук добре - има 2 начина да изкараме изображение от камерата - като MJPEG видеопоток и като отделни JPEG картинки. Самата камера е способна на 30 fps при 640х480 разделителна способност, но това е валидно само за MJPEG. Zoneminder, който е един приличен софтуер за управление на подобни системи, не може да се закачи за видеопотока точно на тази камера, заради което останахме на втората опция - отделни JPEG изображения, като сървъра непрекъснато полва камерата за ново. По този начин се постигат 10-15 fps, което е повече от достатъчно за видеонаблюдение, но… се оказа че камерата забива след едно известно време. Не успях да разбера защо и как, и за мое съжаление нямаше по-нова версия на фърмуера.
Второто нещо, което може и да допринасяше за забиването е, че цялата мрежа работеше на границата на възможностите си - повече от 5 камери бълваха информация и в един момент на сапунерката и идваше в повече.

Третият аспект на системата е, че камерите бяха свързани през безжична мрежа. Което от една страна е евтино, просто и бързо… но от друга страна - това е система за сигурност. Какво ще се случи, ако някой недоброжелателен елемент донесе някой по-мощен рутер ( например моето любимо Buffalo WHR-HP-G54 ), настроен на същият канал, дори и без да си играе да налучква SSID и криптиране ? Пуф - и няма телевизия…

Затова хора, моля ви, като почвате да правите подобни системи, отделяйте малко повече време за планиране, поне по следните параграфи:

• съвместимост - отделете време и пробвайте/четете коя камера с какво е съвместима. Пробвайте, питайте по форуми - уверете се, че всичко работи заедно, преди да го купите.
• пропускателна способност - прости сметки - за една камера необходимата честотна лента се изчислява така: <хоризонтални пиксели>*<вертикални пиксели>*<кадри в секунда>*3 ( байта на пиксел, ако е цветна, 1 ако е чернобяла), или за нашият случай - 640*480*30*3 = 27 648 000 байта за секунда или почти 27 Мбайта/с. Сега умножете това по броя камери и ще получите колко трябва да е широка тръбата. Ако например си говорим за 7 камери - това прави 189 Мбайта/с. Впечатлително, нали ? Нищо и никакви седем камери запушват спокойно 100 Мб етернет, да не говорим за 54 Мб/с безжична мрежа ( 802.11g )¹. Но проблемите не спират до мрежата - дори и да сегментираме камерите, да сложим отделни мрежови карти и т.н. самата машина трябва да е в състояние да обработи това количество информация и да го запише на дисковете си. Решението на проблема, без да се изсипват огромно количество пари за техника е: по-малко кадри за секунда, по-ниска разделителна способност, сегментираме мрежата, така че трафикът от камерите да е отделен от другият трафик, ползваме гигабитов интерфейс на сървъра за наблюдение, подбираме самия сървър да е по производителна машина - задължително с добро FPU, защото обработката на видео и изображения товари предимно FPU-то² и достъчно памет, особено ако се анализира движение. Друго, което може да намали най-вече необходимият диск е запис, само когато има движение - и Zoneminder, и самите камери поддържат това, а хубавото при Zoneminder-а е, че може при движение на една камера, да почне да записва от няколко камери едновременно
• сигурност - споменах малко по-горе как относително просто може да се обезмисли подобна система, реализирана през Wireless. Тук решението е използване на класическа ethernet мрежа, като отново препоръчвам сегментиране в отделен VLAN ( хайде де, дори DD-WRT поддържа VLAN-и от 100 години ), за да не може недобросъвестен служител да прекъсне видеопотока, като претовари мрежата, или още по-лошо - да го прехване.

Не ме разбирайте погрешно - подобни системи за видеонаблюдение никак не са лоши, и са доста изгодни, но в стремежа си да спестим някой и друг лев, не бива да обезсмисляме видеонаблюдението като цяло. Системата сама по себе си трябва да е защитена от външно посегателство и надеждна. С правилно планиране това може да бъде постигнато относително лесно и евтино. Без никакво планиране - на практика си хвърляте парите на вятъра.

1. обърнете внимание, че за мрежите скоростите са в мегабита за секунда, не в мегабайта. Този факт често се забравя. [обратно ↩]
2. т.е. забравете за Celeron или въобще евтин процесор [обратно ↩]

Какво правим, когато се счупи страничното огледало, а новото е “ебаааси цифрата” ?

Много просто - тунинговаме го с малко тиксо и знанията, придобити в часовете по “Труд и творчество”