Спустя примерно месяц, я вновь собрал SSL-сертификаты с серверов, на которые указывают домены .ru. Методика описана в прошлой записке по этой теме. Кратко повторю основные моменты: на первом этапе делается попытка определить адрес сервера (A-запись) для каждого из делегированных доменов (учитывая www.) в зоне .ru; из найденных серверов с уникальными IP выбираются те, у которых открыт 443-й порт (https); на заключительном этапе каждый из отобранных серверов опрашиваются на предмет SSL-сертификатов путём открытия https-сессии; собранные сертификаты разбираются при помощи OpenSSL.

В результатах “много цифр”, поэтому прячу под “Читать полностью”.

Читать полностью



Комментарии (1) »

Очень удобно, когда имя сети Wi-Fi (SSID) говорит само за себя, то есть, содержит прямое указание на “административную” принадлежность: avtosalon-gorod, bank-takoyto, cafe-apelsin. У удобства есть обратная сторона: всякие современные мобильные устройства, поддерживающие Wi-Fi, пытаясь найти знакомую точку доступа, передают в эфир имена сетей, к которым они раньше подключались.

То есть, наблюдая при помощи доступного “снифера” пакеты, отправляемые в эфир, можно легко определить, где бывает обладатель того или иного мобильного устройства (коммуникатора, планшета, ноутбука). Ну хорошо, точнее: где он подключается к Wi-Fi. А для особо активных устройств, “анонсирующих” множество известных им сетей, можно проделать обратную операцию – “угадать” владельца устройства, используя некоторую дополнительную информацию.

(Кроме того, список известных устройству сетей, очевидно, годится для того, чтобы это устройство заманить в специально подготовленную сеть.)



Комментарии (1) »

Оффтопик: встреча ENOG

Вчера посетил проходившую в Москве встречу ENOG (это конференция, формально, ориентированная на вопросы технического обеспечения работы Интернета, хотя в программе встречаются и совсем не технические темы).

Пара моментов. Первый: судя по пленарному заседанию, сообщество уже довольно сильно раздражено деятельностью оператора стоп-листов SpamHaus, который на свой собственный вкус банит большие сегменты Интернета. Второй: непосредственно во время встречи случился самый “тематический” сбой, какой только можно представить – глобальный сбой на MSK-IX (это важнейшая московская точка обмена трафиком); см. график внизу, почти часовой провал отчётливо виден.

Вот какие неприятные совпадения случаются.



Комментарии (4) »

Между прочим, едва прошло четыре года, а перспективный боевой беспилотник X-47B уже воплощён в двух летающих прототипах (см. фото ниже). В 2014 году планируют уже испытания по дозаправке в воздухе, а предшествовать им будет серия испытаний по работе с борта авианосца: аппарат проектировался для базирования именно там. На 2015 год в Штатах запланирован спуск на воду авианосца нового поколения – “Джеральд Форд”. Постройку “Форда”, впрочем, уже сдвигали на год (2014 -> 2015). Может, сдвинут ещё. Но так или иначе, пока что с X-47 примерно успевают.

Очевидно, что беспилотник, пригодный для базирования на авианосце, может базироваться и на всяком наземном аэродроме. Такой вот прообраз следующего, – шестого, если хотите, – поколения истребителей.



Комментарии (36) »

С разведывательными спутниками связана интересная и важная тенденция. Так как технологии развиваются, и подобные спутники не только дешевеют, но и становятся гораздо более функциональными, то однажды может так выйти, что территория той или иной страны детально и в реальном времени просматривается спутниковой группировкой, с низкой орбиты. Действительно, спутники сейчас согласованно работают в группах, при этом бортовые РЛС, очевидно, не стояли на месте и хорошо шагнули вперёд в своём развитии. И не только РЛС, оптические системы – тоже.

Сеть спутников, находящихся на малой высоте, задачу “зондирования земной поверхности” решает на новом уровне. Учитывайте, что информация, поступающая от группы космических аппаратов, обрабатывается согласованно и одни данные дополняют другие.

Теперь перейдём к наземной части проблемы, к тем, за кем наблюдают. Не так трудно составить список стратегических задач, выполнение которых требует скрытности. Например, перемещение систем вооружений. Или, скажем, строительство укреплённых объектов для размещения ракетных комплексов. Что уж говорить про организацию добычи тех или иных стратегически важных полезных ископаемых. В общем подобных задач много, но если территория круглые сутки мониторится в реальном времени, то обеспечение скрытности если и не становится невозможным, то существенно усложняется.

То есть, появление сплошного наблюдательного поля в околоземном пространстве – это заметная угроза. Под подобным мониторингом придётся либо играть совсем в открытую, либо разработать какие-то превентивные меры, которые помешают мониторинг построить или, хотя бы, создадут ему помехи.

Вариант с помехами – самый мягкий. Во-первых, некоторый опыт противодействия спутникам-шпионам уже имеется. Во-вторых, помехопостановщики можно сделать не агрессивными, то есть, они не обязательно будут выводить спутники из строя. Но проблема в том, что ставить помехи группе спутников, использующей самые разные сенсоры для наблюдения – задача хитрая, и такие системы противодействия (наверняка) связаны с существенными затратами на развёртывание и сопровождение. При этом система нужна развитая, включающая множество узлов, иначе сам факт постановки помех окажется демаскирующим признаком.

Агрессивный вариант – это препятствование развёртыванию системы мониторинга. И вот тут на ум приходит противоспутниковое оружие. В том числе, в форме специальных микроспутников, заранее выведенных на орбиту. И, наверное, где-то тут кроется мотивация для пересмотра международных соглашений о вооружениях в космосе.



Комментарии (17) »

Записка про DNSSEC в реальности Интернета получила хорошее продолжение.

Благодаря поддержке RU-CENTER, – персональное спасибо Павлу Ильичеву, – содействию ФРИ (Фонд Развития Интернет – администратор домена SU) и ТЦИ (Технический Центр Интернет – оператор реестра), домен nox.su, который я привожу в пример в прошлой записке по теме, подписан по всем правилам. Cоответствующая DS-запись внесена в зону .su без проблем. (Для того, чтобы посмотреть на результат, можно воспользоваться всё тем же инструментом от VeriSign.)

Так что технология DNSSEC в домене с особым статусом SU начала разворачиваться на практике. Это хорошо. Насколько я понимаю, nox.su стал первым подписанным доменом второго уровня в .su. Зато теперь не нужно перебираться в .org с экспериментами: .su, при всех особенностях, вполне себе российский домен.



Комментарии (4) »

Вот что сообщают:

23 ноября ночью наземным пунктом Европейского космического агентства (г.Перт, Австралия) в ходе одного из четырех сеансов связи получен радиосигнал с космического аппарата (КА) «Фобос-Грунт» в освещенной части витка.

То есть, выходит, что-то пискнуло. Интересно.



Комментарии (5) »

Добавил очередную порцию ссылок на страницу “Избранные записки”. Рубрикатор – в планах.



Comments Off on Обновление “Избранного”

В корневой зоне DNS технологию удостоверения адресной информации DNSSEC развернули больше года назад. Напомню, что DNSSEC криптографическими методами удостоверяет записи об адресации внутри того или иного домена, сильно затрудняя их подделку. Сейчас можно воспользоваться этим полезным механизмом для доменов, находящихся в наиболее технологически развитых зонах верхнего уровня.

К сожалению, в домене ru DNSSEC появится неизвестно когда, но точно нескоро. Другой российский (по факту) домен – su, – хоть и заявлен недавно на конференции ICANN как поддерживающий DNSSEC, на практике, насколько я смог выяснить, не позволяет воспользоваться защитными механизмами. Записи об su в корне DNS подписаны, но в самой этой зоне мне не удалось найти ни одного подписанного домена второго уровня. Более того, не подписан даже домен администратора SU – fid.su. Для рядового же пользователя проблема в том, что, на практике, отсутствует механизм “привязки” подписанной зоны второго уровня к ключам домена SU.

(Addon (17/11/11): как пишут из ТЦИ, реестр SU поддерживает работу с DNSSEC, но регистраторы пока не реализовали свою часть. Ждём.)

Вообще, подписать саму зону можно не прибегая к услугам администратора домена верхнего уровня (см., например, nox.su, который я подписал в порядке эксперимента – сами записи в зоне подписаны, но цепочка рвётся в .su, разместить там нужные данные сейчас не представляется возможным). “Привязка” доменов к единой цепочке выполняется с помощью специальных DS-записей (Delegation signer), вносимых в зону, уровнем выше удостоверяемой, для построения иерархии, ведущей к корневому ключу (кстати, опубликованному на сайте IANA). Если делать всё добротно, то данные DS-записей для подписывания должны передаваться минуя DNS, по другим каналам, подразумевающим некоторую аутентификацию отправителя – иначе теряется большая часть смысла в развёртывании DNSSEC. Стандартный путь проходит через регистраторов доменов.

Итак, для получения работающей конфигурации пришлось dxdt.ru и nox.su предпочесть домен tooktook.org, так как зона .org корректно подписана и размещение DS-записей в ней поддерживается крупными регистраторами (я воспользовался GoDaddy).

Функционирование каждого домена обеспечивают серверы имён (NS). Для tooktook.org я взял пару серверов с BIND 9.7.3 (это известная реализация DNS-сервера), который полностью поддерживает DNSSEC. На сайте ISC есть подборка инструкций по настройке DNSSEC в BIND-е. Я не стану приводить подробных деталей, потому что это будет офтопик, на мой взгляд (если что, то пишите вопросы в комментарии). Сам процесс создания подписанной зоны DNS несложен, и сводится к генерации нескольких ключей (закрытых и открытых), с последующим удостоверением с их помощью записей в файле зоны. В пакете с BIND есть все утилиты: dnssec-keygen, dnssec-signzone и т.п. То есть, на входе у вас текстовый файл зоны без подписей, на выходе – текстовый файл зоны, но уже с дополнительными записями (RRSIG, DNSKEY), содержащими подписи и открытые ключи для их проверки.

После того, как зона подписана, генерируем DS-запись (записи), содержащую значение хеш-функции от открытой части ключа (KSK), с помощью которого подписан ключ (ZSK), удостоверяющий записи в зоне. (Пара ключей используется для удобства их ротации и оптимизации процедуры подписывания зоны. И, да, можно сгенерировать DS-запись до подписывания зоны.) В случае с доменом tooktook.org я без каких-то трудностей разместил DS-запись при помощи клиентского веб-интерфейса GoDaddy. На удивление, весь процесс – генерация подписанной зоны, размещение записей, – занял примерно 20 минут, включая ожидание обновления информации в DNS.

Теперь tooktook.org подписан (проверить можно с помощью веб-интерфейса от VeriSign). Зачем? Следующий шаг – проверка на практике технологии, дополняющей, с помощью DNSSEC, механизмы использования SSL-сертификатов в браузерах и уже поддерживаемой в Chrome. Нужно же посмотреть, что нас ждёт в ближайшем будущем.



Комментарии (1) »

В сентябре очень шумно обсуждалось сообщение о наблюдении нейтрино, летящих со сверхсветовой скоростью. Как обычно, столь странный результат потребовал от физиков-экспериментаторов дополнительной проверки всего оборудования, в том числе, перепроверки “тайминга” для всех электрических цепей и устройств, участвовавших в измерениях. Ну и вообще сообщество физиков ищет самые разные возможные ошибки, связанные с тем нашумевшим экспериментом OPERA.

Появилась и работа (Ronald A.J. van Elburg – arXiv:1110.2685v3), примечательная тем, что там ошибка в измерениях скорости нейтрино объясняется неверной интерпретацией релятивистских эффектов, связанных с работой GPS. Как известно, GPS – это такое живое подтверждение того, что специальная теория относительности работает. А “сверхсветовые нейтрино”, как бы спорят с этой же теорией (хотя, это и не так).

При помощи GPS в исходном эксперименте (давшем “сверхсветовую скорость нейтрино”) синхронизировались часы на разных точках, задействованных в схеме измерений. Экспериментальные данные оперируют масштабами времени в десятки наносекунд, так что задача синхронизации тут технически непростая. И при этом, – если прав автор упомянутой статьи, – выходит, что набралось примерно 60 наносекунд ошибки, причиной которой послужило взаимное движение орбитальных часов (то есть, электроники спутников GPS) и экспериментального оборудования.

Естественно, при подготовке исходного эксперимента релятивистские эффекты учитывались, и сам спор (если так можно выразиться) идёт вокруг того, правильно ли эти эффекты учли. Кроме того, пока что не ясно, кто там вообще прав.

(Via Physics arXiv Blog)



Комментарии (5) »

“Фобос-Грунт” аппарат большой. На борту должно остаться топливо. В общем, сход его с орбиты в атмосферу будет заметным событием. Судя по схемам, на борту также находится капсула, предназначенная для доставки грунта с Фобоса. Она прочная, и рассчитана именно на такое “баллистическое” падение. Конечно, тот факт, что капсула для грунта сейчас связана с самим аппаратом, может стать причиной того, что она тоже сгорит. Но всё равно шансы для каких-то обломков прибыть на поверхность Земли очень велики.

Вообще, амбициозность проекта и тут приводит к сплошным негативным последствиям для имиджа: практически всё сообщество энтузиастов-наблюдателей, – из тех, у кого подходящее географическое положение, – будет следить за тем, как “Фобос-Грунт” сгорает в атмосфере. Одно дело, если бы небольшой сбойный спутник остался где-то на орбите, или незаметно сгорел при падении. А тут – раскрученный проект, большая межпланетная станция. Ещё один “красочный” повод для СМИ. И даты довольно интересно подбираются: примерно в тех же числах ноября к Марсу отправляется MSL от NASA. Параллели провести несложно.



Комментарии (12) »
Навигация по запискам: « Позже Раньше »