Год 2015, новый

2014 год заканчивается. Следующий – 2015. Как минимум, он нечётный. А кроме того – аж 15 год третьего тысячелетия. Если смотреть с чуть меньшим размахом, то 15 год 21-го века (что, кстати, тоже может впечатлить). Как обычно, посмотрим, что там нового появится. Наверняка нас ждут полностью самоуправляемые автомобили (в предсерийном или даже серийном варианте), запреты любительских беспилотников, продолжение технического разрезания Сети на национальные сегменты и противодействия этому разрезанию, куча новых уязвимостей в “безопасных” протоколах, взломы боевых роботов (если последних удастся обнаружить, конечно), и много ещё всего интересного, а также – занимательного.

Традиционно, несколько ссылок на записки, публиковавшиеся в 2014 году:

(Кстати, в 2014 году dxdt.ru полностью перешёл на HTTPS. Тоже веха в развитии проекта.)

С наступающим Новым годом!



Комментарии (4) »

На сайте Spiegel Online опубликован (PDF) занятный документ британского Центра правительственной связи (GCHQ – это спецслужба, занимающаяся, в том числе, радиоэлектронной разведкой). Документ, – конечно, полученный от Сноудена, – описывает технологию, которую рекомендуют применять для деанонимизации пользователей сети TOR. Технология, впрочем, известная, основанная на корреляции параметров трафика на входном и выходном узлах сети. Конкретно – используются временные параметры.

Напомню, что TOR, для анонимизации, использует цепочку из узлов, пересылающих зашифрованный трафик. С цепочкой всегда связаны входной (“начальный”) и выходной (“оконечный”) узлы. Внутри сети TOR пользовательский трафик зашифрован, “вложенным” шифрованием. Известно, что параллельный анализ трафика, наблюдаемого на входном и выходном узлах (то есть, трафика, входящего в TOR и выходящего из этой сети), позволяет деанонимизировать источник трафика. Деанонимизация здесь сводится к определению внешнего IP-адреса пользовательского узла. Трафик можно собирать либо специальными средствами мониторинга, либо при помощи собственного выходного узла. Важно заметить, что выходной трафик не обязательно собирать непосредственно на выходном узле. Можно записывать TOR-трафик (который несложно выделить) непосредственно на сетях провайдеров, у которых размещаются посещаемые веб-сайты.

Собственно, методика известная (я, например, писал о ней в осеннем выпуске журнала “Доменные имена“), применяемая на практике, и не только в Великобритании, что подтверждает новая публикация “секретных документов” (датированных, кстати, 2011 годом). Более продвинутый вариант этой технологии деанонимизации TOR использует для построения сигнатур дополнительные параметры записываемого трафика. Между прочим, деанонимизацию можно проводить постфактум, используя ранее записанные сигнатуры. Весь трафик сохранять не требуется: как обычно, само использование TOR автоматически поднимает нужные флаги, выделяя интересующий поток из общего массива данных, идущих через узел мониторинга.



Комментарии (1) »

TrainБоевой железнодорожный ракетный комплекс (БЖРК) – это, как известно, железнодорожный состав, перевозящий и могущий запускать стратегические баллистические ракеты. Такие поезда, как носители ядерного оружия, чем-то похожи на подводные лодки: автономно перемещаются на большие расстояния, затрудняя мониторинг местоположения. Несмотря на то, что могут быть построены специальные ветки, ракетные поезда должны ходить по гражданской железной дороге, потому что чем более разветвлённая сеть используется, тем сложнее обнаружить поезд различным разведывательным системам.

Поезд, замаскированный под обычный состав, или просто – замаскированный, обнаружить сложно: он либо похож на другие составы, либо вообще плохо заметен, так как движется. Оказывается, в теории, может существовать дополнительный источник информации о вероятном местоположении таких поездов. Дело в том, что железнодорожное движение – явление регулярное. Регулярность, в том числе, относится и к гражданским поездам. Понятно, что для передвижения специальных поездов в режиме работы железной дороги должны быть зарезервированы окна, потому что такой поезд требует особого отношения. Естественно, на железной дороге используются автоматизированные системы управления движением.

Если у иностранной разведки есть удалённый доступ к этим компьютерным системам, то при помощи выгрузки и анализа данных о расписаниях и работе путевого оборудования аналитическая служба сможет выделить приблизительные графики движения БЖРК. Понятно, что для этого не нужно получать подробное расписание и знать о параметрах самих БЖРК. Тем самым сузится пространство поиска специальных поездов, потому что, как минимум, будет ясно, где они точно не могут находиться в заданный момент времени. А так как карта железнодорожной сети известна, это уже немало. Тут, конечно, необходимо вспомнить о возможностях АНБ по проникновению в различные вычислительные сети. Особенно – в гражданские.



Комментарии (7) »

Перехватывать гиперзвуковые летательные аппараты сложно. Зато против них можно попробовать использовать воздушные заграждения. Естественно, нового типа, а не просто тросы, натягиваемые аэростатами (хотя и тросы сгодились бы). Из-за огромной скорости полёта и особенностей конструкции, столкновение гиперзвукового аппарата даже с парой небольших стальных дробинок может нанести критические повреждения. В принципе, дробинка может быть и не стальной, а керамической – этот вариант подходит лучше. Механическое заграждение может быть выставлено на пути беспилотника (пусть гиперзвуковой аппарат будет беспилотным) за несколько десятков секунд до его прибытия. Способов постановки немало: например, выстреливаемые с земли кассеты, разбрасываемые с самолёта блоки. В воздухе заграждение может удерживаться некоторое время за счёт парашютов или подобных им устройств, годятся даже небольшие воздушные шары.

В теории, гиперзвуковой аппарат может облететь такое заграждение. Правда, для этого ему придётся маневрировать, а это перегрузки: чтобы перегрузку снизить, нужно заранее определить местоположение заграждения, а для этого его нужно увидеть на большом расстоянии. Но проблема в другом. Если вы дозвуковая крылатая ракета, то для обходного манёвра достаточно и полкилометра. Но если вы движетесь со скоростью более двух километров в секунду, то и одного километра мало: и даже не потому, что большая перегрузка, а просто потому, что на принятие решения и, собственно, на само маневрирование, остаётся заметно меньше 500 миллисекунд (500 миллисекунд – это, максимум, километр дистанции, понятно, что маневрировать нужно раньше, иначе столкновение неизбежно). Это чрезвычайно короткий промежуток времени. Наверное, если некий волшебный бортовой радар и успел обнаружить малозаметное воздушное заграждение, определить его размеры, а вычислительная система управления полётом успела просчитать новую траекторию, и затратили они на это около 100 миллисекунд, то за половину из оставшихся 400 миллисекунд нужно будет передвинуть органы управления, чтобы аппарат начал изменять траекторию. Конечно, гиперзвуковые скорости позволяют использовать органы управления минимальной площади, но это не означает, что ими легко управлять – воздушный напор ведь тоже немаленький.

Так что простые и дешёвые “заградительные меры” вполне могут оказаться эффективным инструментом противовоздушной обороны, если в качестве средств нападения используются гиперзвуковые аппараты. Главное, чтобы средства доставки заграждений успели эти самые заграждения развернуть. Ничто, впрочем, не мешает заранее подготовить запас заграждений на важных направлениях. Да и аэростаты, возможно, вновь обретут популярность.



Комментарии (6) »

Ещё несколько лет назад сайт, доступный только по HTTPS, мог оказаться вне зоны действия различных поисковых роботов, которые по HTTPS не умели страницы извлекать. Сейчас это не так. Я посмотрел в логи веб-сервера dxdt.ru и выбрал (произвольно) записи от нескольких ботов, чтобы определить, какие протоколы и шифронаборы они используют. Вот результат:

Googlebot/2.1 – “TLSv1 ECDHE-RSA-AES256-SHA”
bingbot/2.0 – “TLSv1 ECDHE-RSA-AES256-SHA”
YandexBlogs/0.99 – “TLSv1 DHE-RSA-AES256-SHA”
YandexBot/3.0 – “TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384”
Mail.RU_Bot/2.0 – “TLSv1 DHE-RSA-AES256-SHA”
SputnikBot/2.3 – “TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384”
YandexImageResizer/2.0 – “TLSv1 DHE-RSA-AES256-SHA”
sukibot_heritrix/3.1.1 – “TLSv1 ECDHE-RSA-AES256-SHA”
R6_CommentReader – “TLSv1 ECDHE-RSA-AES128-SHA”
rogerbot/1.0 – “TLSv1.1 ECDHE-RSA-AES256-SHA”
linkdexbot/2.0 – “TLSv1.2 ECDHE-RSA-AES128-SHA”
AhrefsBot/5.0 – “TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384”
MJ12bot/v1.4.5 – “TLSv1 ECDHE-RSA-AES256-SHA”
DotBot/1.1 – “TLSv1 DHE-RSA-AES256-SHA”

То есть, никаких проблем с обходом сайтов по HTTPS у ключевых для Рунета ботов – нет. Формально, из крупных ботов, “Яндекс” – самый прогрессивный, в смысле поддержки протоколов: тут мы видим TLSv1.2 и AES в режиме GCM (что, собственно, ожидаемо). Не подкачал даже SputnikBot – тут тоже все суперсовременно. Естественно, в случае с ботами, используемые шифронаборы мало на что влияют, да и вряд ли могут рассматриваться как определяющий показатель, особенно в современной структуре Веба. Но зато можно сказать, что работающие по HTTPS сайты, даже если они используют современные настройки TLS, вполне себе доступны для индексации самыми значимыми поисковыми машинами. Это означает, что можно смело переходить на HTTPS, не опасаясь, что боты не доберутся до контента.



Comments Off on TLS и боты в Интернете

Сегодня сервер dxdt.ru переехал из Amazon EC2 в Digital Ocean (естественно, в виртуальную машину). Вроде бы переезд обошёлся без особых проблем. Попутно поменялась операционная система: вместо Amazon Linux теперь CentOS 6. Посмотрим, как сайт будет жить на новом месте. С Amazon EC2, при этом, никаких проблем не было и нет, как нет и нареканий – там у меня, как и раньше, остаются другие проекты. Причина переезда dxdt.ru простая: есть ощущение, что Digital Ocean предоставляет большую вычислительную мощность по меньшей цене. Конечно, нет того разнообразия сервисов, которые предлагает Amazon, но для dxdt.ru как раз нужна просто виртуальная машина, с достаточными ресурсами.

(Снаружи, никаких изменений, кроме IP-адреса, заметно быть не должно. Если вдруг что-то сломалось – пишите, пожалуйста, в комментарии.)



Комментарии (2) »

Wind DongЗанятный, с точки зрения, так сказать, искусства, проект: Phantom Terrains. С помощью специального наушника превращаются в слышимый звук сигналы сетей WiFi, находящихся неподалёку от носителя наушника. Точнее, звук, формируемый наушником, отражает характеристики сетей WiFi – имя, тип протокола, параметры шифрования, скорость. На страничке проекта есть звукозапись, иллюстрирующая работу устройства.

В СМИ пишут, что данная технология позволяет “слышать Интернет”, но понятно, что это не так. Чтобы человек “услышал” Интернет, в акустические колебания нужно было бы преобразовывать поток IP-пакетов: сами пакеты могли бы “щёлкать”, адреса узлов гудеть чистыми нотами, а, например, какой-нибудь SYN-флуд – стрекотать, подобно кузнечику. Почему именно IP? Потому что это главная особенность, которая делает некий набор сетей Интернетом – так исторически сложилось.

Особого смысла в акустическом прослушивании параметров сетей WiFi нет. Разве что эти сигналы могут послужить дополнительным ориентиром, если человек плохо видит и заплутал. Тем более, что ничего фундаментально нового в таком инструменте нет – преобразовать электромагнитные колебания в звук может всякий радиоприёмник, которые используются людьми многие десятки лет. Что было бы интересно получить – так это трансляцию невидимого в видимое, прямо в глаза, как минимум, через ретинальный монитор, а то и напрямую в зрительный канал мозга. Те же точки доступа WiFi отображались бы уже в виде ландшафта, построить который можно при помощи чувствительного приёмника и данных о положении человека, последний должен идти, чтобы обеспечить базис для измерений. Отличная картинка получится, если показывать отражения волн от зданий и прочих конструкций, раскрашивая сигналы согласно их кодированию. Пользы, впрочем, не сильно больше, чем от звука. А главная проблема в том, что для решения такой задачи потребуется огромная вычислительная мощность. Она, пока что, не помещается в карман.

Ну и самое полезное: визуализация запахов (человек видит хорошо, а вот с обонянием у него не очень). Я писал про полезный “визуализатор запахов“, с интерфейсом, дополняющим реальность, больше трёх лет назад, но пока что подобного инструмента не видно даже в области публичных проектов. Похоже, придётся ещё подождать.



Comments Off on Прослушивание “сигнального” эфира и Интернета


Comments Off on Подборка записок о подводных лодках

Киборги и пенсия

(Зарисовка, которую я написал в октябре 2013 года, но, думаю, можно её в воскресенье декабря 2014 тоже разместить.)

Из разговоров в коридоре :

– Ты уже разобрался с управляющими компаниями для накопительной пенсии?
– Нет. И не собираюсь.
– Почему?
– До пенсии осталось двадцать лет. Слишком многое может измениться.
– Хм. Ну и чем же ты тогда собираешься зарабатывать, став пенсионером?
– Отстреливать киборгов, а добытые чипы реализовывать через скупщика, на блошином рынке в развалинах ГЗ МГУ.
– ?!
– По лицензии. Конечно, по лицензии. В соответствии с постановлением Сияющего Конгломерата.



Комментарии (3) »

Поделюсь настройками TLS на веб-сервере dxdt.ru. Я использую связку Apache+mod_ssl (стандартное решение). Важнейшие параметры – это используемые протоколы, “шифронаборы” (Cipher Suites – часто переводят как “наборы шифров”), а также их приоритет. Например, сейчас не рекомендуется использовать SSLv3 (и более ранние версии, которые, конечно, экзотика, но всё ещё встречаются в “живой природе”). Соответственно, в ssl.conf (файл конфигурации mod_ssl) для хоста dxdt.ru указаны следующие строки:

SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2
SSLHonorCipherOrder on
SSLCipherSuite “EECDH+AESGCM EDH+AESGCM EECDH+AES EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4”

Первая директива (SSLProtocol) разрешает только TLS (в трёх версиях, как несложно догадаться). Протоколы семейства SSL – не поддерживаем. Вторая директива (SSLHonorCipherOrder) указывает, что mod_ssl должен использовать приоритеты наборов шифров, заданные сервером (а не клиентом, то есть браузеру не удастся навязать свои предпочтения).

Директива SSLCipherSuite – это самое сложное место в настройках. Она определяет допустимые криптографические наборы (“шифронаборы”: алгоритмы обмена ключами и аутентификации, шифр, режим шифрования, алгоритм дайджеста). Условные имена наборов разделены пробелами. Конкретный набор согласуется клиентом и сервером во время установления соединения. Если договориться о подходящем наборе не удалось – TLS-соединение не устанавливается (именно это и происходит в случае IE8 под Windows XP).

В mod_ssl используются сокращённые имена для обозначения групп шифронаборов. Например: EECDH+AESGCM означает, что для генерации сеансового ключа будет использоваться алгоритм Ephemeral elliptic-curve Diffie-Hellman (разновидность алгоритма Диффи-Хеллмана на эллиптических кривых), а в роли алгоритма шифрования выступит AES в режиме GCM (Galois/Counter Mode – Режим счётчика с “аутентификацией Галуа”: один из современных “продвинутых” режимов блочных шифров, обеспечивающий, в том числе, аутентификацию данных; Галуа там возникает потому, что алгоритм аутентификации работает в конечном поле).

Сайт dxdt.ru использует серверный сертификат с ключом RSA; соответственно, аутентификацию сеансовых ключей можно проводить только при помощи криптосистемы RSA. Это некоторым образом экономит нам пространство в конфигурационной строке mod_ssl: вовсе не обязательно вписывать туда подробные указания вроде EECDH+ECDSA+AESGCM, как нередко рекомендуют, – DSA всё равно не поддерживается.

Несложно догадаться, что подстроки в SSLCipherSuite, начинающиеся с ‘!’, обозначают запрет на использование определённых криптосистем или криптографических примитивов. Всегда полезно прямо запретить заведомо неподходящие алгоритмы. Отмечу, что, в соответствии с современными традициями, запрещён RC4 (хотя он всё равно не предлагался бы сервером с указанными шифронаборами – не подходит).

Update (23/12/2014): в комментариях подсказали изящный вариант, с отключением всего ненужного одной директивой -ALL в SSLCipherSuite; такой вариант требует более точного описания шифронаборов, но зато он лаконичен:

SSLCipherSuite “-ALL:EECDH+aRSA+AESGCM:EDH+aRSA+AESGCM:EECDH+aRSA+AES:EDH+aRSA+AES”

(Обратите внимание, что пробелы заменены на двоеточия.)

В HTTP-ответ добавлено поле HSTS (HTTP Strict Transport Security – требование “принудительной безопасности” для HTTP):

Header add Strict-Transport-Security “max-age=15552000”

Данное поле означает, что, грубо говоря, браузер должен запомнить, что к данному сайту доступ необходимо осуществлять только по HTTPS, в течение времени, указанного в параметре max-age поля HSTS. Это позволяет защититься от множества атак, основанных на подмене протокола HTTPS на HTTP.

Вот. Так работает TLS на dxdt.ru.



Комментарии (6) »

На снимке, собранном из четырёх фотографий аппарата Rosetta, – комета Чурюмова-Герасименко, достаточно крупным планом:

67P/C-G, Credit: ESA

Источник фото – блог ESA, там же есть некоторые подробности и комментарии (англ.)



Comments Off on Фото: комета Чурюмова-Герасименко