dxdt.ru: занимательный интернет-журнал

Тендер на техническое управление всей адресацией в Интернете – фактически, отменили (но будут проводить ещё один похожий). Официальная причина проста: не собрали достойных предложений. Напомню, что речь о так называемой IANA-функции, то есть, о важнейших технических рычагах, вроде распределения номеров автономных систем, IP-адресов, управления корневой зоной DNS. Ответственную организацию назначает минторг США, по результатам изучения предложений, мнения рынка и мнения сообщества.

Если в двух словах, то это означает, что ситуация с контролем над Интернетом становится всё интереснее. Сейчас IANA-функцию выполняет ICANN. Естественно, ICANN выдвигалась и в новом тендере, собирала поддержку от международного интернет-сообщества. Но, если бы всё было гладко, то минторг, в итоге, именно ICANN мог бы и выбрать, по накатанной, так сказать. А тут вот как вышло: “не получили ни одного подходящего предложения”.

Занимательная схема телеграфирования состояла на вооружении жителей Древней Греции. Водяной (“гидравлический”, если хотите) оптический телеграф. Использовали два идентичных сосуда, заполненных одинаковым количеством воды. На поверхности воды размещается поплавок, снабжённый рисками. Каждая риска – определённое фиксированное сообщение. Сосуды имеют одинаковые сливные отверстия. Понятно, что сосуды разнесены по башням связи, а передача сообщений происходит ночью, из-за использования факелов.

Протокол передачи сообщений такой: сперва устанавливают состояние готовности, для этого передающая сторона поднимает факел, а принимающая, заприметив сигнал и подготовившись к приёму, отвечает тем же; на следующем шаге передатчик опускает факел и одновременно открывает слив воды из сосуда, приёмник делает то же самое. Как только поплавок опустился до нужной риски, передатчик поднимает факел (стоп-бит, да), по этому сигналу приёмник останавливает слив воды и, благодаря тому, что сосуды работают синхронно, считывает сообщение. Если использовать зеркала и солнечный свет, то схема работает и днём.

Какая тут ключевая особенность, необходимая для успешной связи и имеющая важное значение даже в наше время? Правильно, синхронные часы! В случае древних греков с факелами – водяные.

(Иллюстрация к тексту отношения не имеет.)

(На правах технократического юмора.) Обсуждали тут, реально ли переделать Интернет таким образом, что будет невозможно запустить поверх “пиринговую сеть” (то есть, организовать свободный обмен информацией между пользователями), но при этом сохранятся обычные полезные для типичного пользователя функции.

Есть огромная куча проблем с реализацией такой сети при помощи именно современных технологий связи. Ну, скажем, можно придумать, как прочно запретить соединения вида “пользовательское устройство – пользовательское устройство” (для устройств разных пользователей), даже без всякой там криптографии: достаточно доработать NAT и составить глобальный белый список разрешённых соединений, разрешённых серверов. Не ясно другое, как закрыть канал связи через интерактивные функции веб-сайтов. Допустим, мы зафильтровали протоколы, запретили серверам связывать пользователей друг с другом в произвольной манере (это, впрочем, уже убивает некоторые полезные функции, вроде чатов и тому подобных штук). Но ведь пользовательские компьютеры, оснащённые специальным программным обеспечением, смогут организовать обмен через комментарии на сайте, транслирующем, скажем, кино.

Да, текстовый канал можно отслеживать, анализируя записи и убивая всё подозрительное, что не является текстом на естественном языке. Это не исключает связь, прикрытую стеганографией, но гарантированно делает скорость обмена совершенно мизерной – сгодится разве что текстовые петиции распространять. Но остаются файлы изображений, а здесь можно надёжно спрятать довольно большой трафик. Проблема, верно?

В общем, перейду к сути: спорить тут особо не о чем, известно, что сделать такой “закрытый” Интернет можно. Но нужно не только ограничить сервера по белому списку и фильтровать протоколы, а, прежде всего, строго контролировать программное обеспечение, доступное пользователям. Если вы разрешаете работать с Интернетом только “правильным” программам, в которых нет функции “сделать стеганографическую вставку в эту фотографию, которую я только что снял на мобильный телефон”, то проблема решается сама собой. Да, в принципе, можно даже не менять протоколы.

Какой самый лучший способ добиться использования только “правильных” программ? Верно – нужно вынести их “в облако”, предоставив пользователю только интерфейс. Тоже не новость, к сожалению. А в качестве интерфейса должен быть особый тонкий клиент, скорее всего, просто браузер, намертво привязанный к аппаратуре доступа.

(Естественно, можно предложить решение, в котором для подготовки специальных изображений используется другое компьютерное устройство, полученный файл автоматически переливается в защищённый браузер, и так далее. Но это уже не будет доступным для обычного пользователя инструментом.)

Есть такой современный военно-транспортный самолёт A400M, который, не без проблем, но доводят до рабочего состояния. Годится ли такой на замену Ил-76?

Спрашивают в комментариях к записке об использовании открытых и “чужих” сетей – зачем нужен собственный резолвер DNS, налаженный внутри VPN?

Давайте сперва вспомним типичный сценарий использования DNS. Для того, чтобы получить адрес узла, соответствующего данному имени, нужно опросить несколько серверов DNS. Обычно, этот опрос берёт на себя некий резолвер (специальная программа), принадлежащий провайдеру услуг доступа в Интернет и выполняющий извлечение адресов по запросам клиентских компьютеров.

Понятно, что в случае с собственным VPN-соединением, запущенным через “чужую” сеть, определять адреса серверов может всё тот же провайдерский резолвер. В конце концов, через VPN ходит TCP/IP, а не символьные имена доменов. После того, как резолвер определил IP-адрес сервера, соединение будет устанавливаться уже через VPN.

Но, как вы понимаете, паранойя встречается разных типов и масштабов, а резолвер провайдера как раз и используется для того, чтобы осуществлять подмену адресов страниц. Ведь именно при помощи подстановки “кривого” адреса в ответ на запрос о любом домене происходит переадресация браузера на замечательные страницы с предложением приобрести ту или иную услугу, с напоминанием о том, что на счёте мало денег, и так далее, и тому подобное. “Чужой” резолвер ставит крест на всех полезностях VPN, если, конечно, вы планируете использовать DNS. (Кроме того, если вы настроили локальную маршрутизацию таким образом, что весь трафик ходит через VPN, может возникнуть проблема: резолвер владельца сети не станет обслуживать запросы, поступающие с вашего компьютера, потому что они будут приходить извне – со стороны шлюза VPN.)

Другое решение – держать рекурсивный резолвер локально, на своём ноутбуке. Я не уверен, может ли это делать Windows (наверное, может), но с юниксоподобными системами проблем нет, достаточно поднять локальный BIND. Трафик резолвера нужно завернуть в VPN, это обеспечит секретность. (Тут есть подводный камень: использование NAT, – а трафик из VPN во внешний мир может выходить именно через NAT, – грозит тем, что испортится один из защитных механизмов DNS, который называется “рандомизация портов UPD на источнике запроса”; но это другая история.) А главный недостаток один: нужно на каждом клиенте VPN держать свой рекурсивный резолвер. Неудобно. Поэтому куда более логично разместить собственный резловер на сервере, обеспечивающем VPN. Всё равно этот сервер работает постоянно.

А кроме того, редкий провайдерский резолвер поддерживает DNSSEC. Я таких вообще не видел.

(И, хорошо, можно использовать открытые сервисы, наподобие Google public DNS, но это всё ж не то решение, которое сравнится с собственным резолвером. При этом гугловский сервис быстрее. В моём случае – заметно быстрее.)

Кстати, что-то часто журналисты (и не только) спрашивают про “мусорный трафик”, размерами которого предлагается измерять DDoS-атаку. Тут такой момент: во многих случаях, если трафик можно определить как “мусорный”, то и с атакой проблем меньше – можно эффективно фильтровать трафик по критерию “мусорности”, и он не будет доходить до точки приложения атаки. Хорошая атака как раз подразумевает, что сложно измерить долю именно “мусорного трафика”.

В Штатах продолжают испытывать прототипы электромагнитных пушек. BAE Systems распространила видеозапись теста своего прототипа, там неплохо виден снаряд, которым эта штука пуляет:

Снаряд немаленький, но, как можно предположить, не очень-то тяжёлый. И форма его далека от практической.

Интересно составить список расхожих конспирологических идей о секретных технологиях, в котором будут технологии, оказавшиеся реальностью. (Вроде бы, такое уже кто-то делал, да?) Например, хорошо отработанная со всех сторон идея о “зомбоизлучателе”, который наводит голоса в голове. На поверку оказывается, что технология такая есть, да и не одна. Чисто акустическое решение, основанное на правильной модуляции набора ультразвуковых источников, предлагается на коммерческой основе, я об этом писал довольно давно.

Да, “фольгированная шапочка” от такой штуки не поможет. Но исследуются (или исследовались раньше) способы передачи “голосов” с помощью микроволнового излучения, и тут уже металлическая сеточка, накинутая на уши, вполне защитила бы, ага. Вообще, технология-то очень удобная для скрытной связи. Есть куча сценариев применения, придумывать их нужно, начиная от задачи передачи информации агенту, действующему под прикрытием и поэтому не имеющему при себе совсем никаких средств связи.

(Между прочим, для обеспечения защиты помещений от утечек информации через побочные, вынужденные излучения, используют встроенные источники шумовых сигналов, работающие в СВЧ и других диапазонах; схема годится также для подавления ряда жучков, принесённых посетителями с собой. Так вот, бывали случаи, когда такие излучатели, обнаруженные вдруг в стенах защищённого помещения, приравнивали к тем самым “зомбоштукам”. А ещё СВЧ годится для дистанционной подачи питания жучкам, которые находятся в чужом прослушиваемом помещении и своего питания не имеют, но это уже другая история, к тому же, старая.)

Вторая технология: некое “погодное оружие”. Тут тоже есть неожиданные заморочки. С одной стороны, инструменты для ограниченного изменения погоды “здесь и сейчас”, то есть, работающие локально, давно известны. “Разгон облаков”: его схему можно обратить, что и делалось, например, для того, чтобы дожди размыли дороги, затруднив перемещение войск (это популярный пример – США, война во Вьетнаме). С другой стороны, считается, что климат и погода в глобальном масштабе это очень сложные системы, не поддающиеся точному моделированию. Если это так, то сконструировать полезное погодное оружие невозможно. Да. А дальнейшие рассуждения прямым ходом выводят к очередной конспирологии, поэтому не станем их продолжать.

Наверняка, есть ещё какие-то варианты “техноартефактов”. В принципе, подходят “невидимые самолёты”, но это не совсем то. Чтение мыслей “из головы”? Ничего официального. База на Марсе? Интересно, была ли конспирология с отправкой роботов на Марс? Если да, то, выходит, уже сбылось. Ещё варианты?

В трансляции Библиотеки Конгресса попалась фотография 1915 года – буксировка самолёта:

Если это германский самолёт, то похож он на какой-нибудь Albatros B.II. Крылья демонтированы, как и часть киля (руль направления).