It

idziemy w ciekawą stronę jako ludzkość. kolejny dowód na to, że żyjemy w ciekawych czasach. AI uczy się rozmawiać jak zmarły na podstawie archiwum z Telegram a CIA używa już tego typu mechanizmów do określenia parę dni przed wybuchem niepokojów społecznych, że takie faktycznie wybuchną. zakładam zatem, że nauczania maszynowego używa się już dzisiaj do innych zadań - nie wszystkich opisanych gdziekolwiek w internecie :) w ciągu najbliższych latach zobaczymy kolejny etap ‘spłaszczania’ świata - coraz więcej pracy możliwej do zautomatyzowania będzie automatyzowane, a wartością ludzi przestaną być proste wyniki pracy - jak również proste analizy....

ogarnięcie nowej rzeczywistości (w szczególności na nowym miejscu) nie jest proste. wszystko jest jeszcze bardzo świeże, a jednocześnie tak doskonale znane :) wiecie może, że prowizorki trzymają się świetnie latami a zaczynają od prostego ’tylko na chwilę’? no właśnie :) tak czy inaczej, grudniowe początki zaczęły się od prawdziwego horroru związanego z podniesieniem mojego serwera pocztowego z FreeBSD 9-STABLE (właśnie się zEoLował) do 11-STABLE. tradycyjny make buildworld; make kernel KERNCONF=server; mergemaster -FiU; make installworld; reboot nie dało rady, z jakiegoś powody (WTF?...

OpenSSH 7 przyniósł między innymi wycofanie dla wsparcia mechanizmu wymiany kluczy za pomocą grupy 1 Diffie-Hellmana diffie-hellman-group1-sha1 (można ją zaatakować za pomocą Logjam). wszystko dobrze, do czasu próby dostania się potem do urządzeń, które domyślnie (lub w ogóle) obsługują tylko wymianę grupy 1. w drugim wypadku czeka nas uaktualnienie oprogramowania, w pierwszym - rekonfiguracja. na urządzeniach Cisco ASA należy dopisać do konfiguracji: ssh key-exchange group dh-group14-sha1 na urządzeniach z Cisco IOS/IOS-XE należy ustawić minimalną długość kluczy - IOS domyślnie iteruje z listy dostępnych mechanizmów i pominie (jako serwer) te, które nie spełniają tego wymogu:...

miałem ostatnio okazję spędzić podwójne -naście godzin w samolocie w podróży służbowej do US. postanowiłem skorzystać z dosyć drogiego, ale jednak przydatnego gadżetu, który mój znajomy pokazał mi już parę lat temu - choć wtedy tego nie doceniłem. mówię oczywiście o aktywnie wygłuszających otoczenie słuchawkach Bose - w moim konkretnie przypadku chodzi o QC35. po 10 godzinach słuchania muzyki i podcastów a NIE odgłosów silników, ludzi, kaszlu, chrapania i innych efektów tradycyjnie obecnych w latach transatlantyckich… muszę powiedzieć, że technologia stanęła na wysokości zadania....

co dwa (lub trzy, jeśli dopuścimy wejście w stan ‘zawieszony’) lata, w życiu każdego CCIE i CCDE pojawia się ten straszny moment zwany ‘recertyfikacją’. panika jest zwykle krótkotrwała i kończy się ‘popchnięciem’ - z użyciem różnych technik, ale jednak do przodu. miałem okazję trafić właśnie ostatnio na konieczność ‘recerta’ - i sprawdza się mądrość ludowa, że ludzie, którzy na bieżąco przestają mieć do czynienia z sieciami, mają z tym problemy....

ciekawy artykuł bloggera o tym jak stworzyć alternatywne źródło prawdziwie niecenzurowanego wolnego słowa. wygląda na to, że ostatni problem reddita spowodował wznowienie dyskusji o wolnym słowie i kryptograficznej niezaprzeczalności głoszonych tez - w kontekście coraz silniejszych nacisków w Stanach Zjednoczonych na wbudowanie tylnych furtek może to jakieś rozwiązanie problemu? jak o tym pomyśleć… a nie, nie trzeba myśleć. pomyślano za nas - są już ludzie wierzący, że Bitcoin (protokół, nie elektroniczne pieniądze) będzie niebawem podstawą całej komunikacji internetowej....

zdarzyło się tak, że dopadł mnie weekend na wsi :) router Cisco 887VAGW+7-E-K9, mała konfiguracja (jak poniżej) i jest dobrze. ! chat-script gsm "" "AT!SCACT=1,1" TIMEOUT 15 "OK" ! interface Cellular0 ip address negotiated ip nat outside ip virtual-reassembly in encapsulation slip load-interval 30 dialer in-band dialer idle-timeout 300 dialer string gsm dialer-group 1 async mode interactive ! ip nat translation timeout 60 ip route 0.0.0.0 0.0.0.0 Cellular0 ! dialer-list 1 protocol ip permit !...

warto rzucić okiem. a potem ze zdziwienia otworzyć oczy szerzej. bardzo szacowne sieci (i hosty) się na mapkach pojawiają: SenderBase malware SenderBase spam ogólne raporty z SenderBase, największej rozproszonej sieci zbierającej dane o zagrożeniach: SenderBase

…bo google znowu padło przez błąd z akceptowaniem prefiksów. konfiguracja jest banalna - przykłady na cisco IOS-XE, IOS-XR, na Juniperze można znaleźć w pół sekundy. trzeba odwiedzić RIPE i wycertyfikować swoje zasoby, potem jest już z górki. każdy prefiks i system autonomiczny, który zacznie podejmować decyzje o routingu pomaga. każdy.

właśnie migruje swoje środowisko “widoczne publicznie” na FreeBSD 10.1-STABLE z ostatnich maszyn, na których była jeszcze 9’ka. dotarło do mnie właśnie, że moja przygoda z FreeBSD zaczęła się w okolicach wersji 4.1 (jeszcze widziałem gdzieś płytki z 3.4) jakieś… 14 lat temu? było to zaraz po tym, jak upgrade glibc na Slackware spowodował totalną zapaść wszystkiego co się rusza, poza bootem samego jądra. jakiż świat dzisiaj jest inny - docker króluje, tworzenie kolejnych wirtualnych instancji jest tanie (brakuje tylko nowych publicznych adresów IPv4) a samo FreeBSD domyślnie zawiera już dzisiaj VIMAGE… starzeje się :)...

wygląda na to, że F-35 jednak nie może się wykaraskać z kłopotów. ciekawe, że mimo audytów GAO model budowania sprzętu wojskowego dla najpotężniejszej armii świata w ogóle się nie zmienił od czasu zakończenia drugiej wojny światowej - dalej produkuje to, na czym zarabiają najlepiej koncerny zbrojeniowe a nie to, co chce otrzymać ostateczny użytkownik. przyszedł mi natychmiast do głowy jeden z ostatnich artykułów z magazynu Queue organizacji ACM - responsive enterprise: embracing the hacker way....

jakiś czas temu zamieniłem w domu BINDa na Unbound, w związku ze zmianą domyślnego serwera DNS w FreeBSD (tak, mam w domu swój serwer DNS i serwuje z niego odpowiedzi na wszystkie zapytania; stoi sobie na wirtualce). właściwie, mam teraz cztery ;) za czasów BINDa korzystałem z wielu skryptów dopisujących strefy zawierające przekierowanie do 127.0.0.1 dla domen serwujących reklamy. za czasów Unbounda…. zupełnie o tym zapomniałem. w związku z ostatnimi ciekawymi doniesieniami o tzw....

…albo kto ich jeszcze dzisiaj potrzebuje? bardzo ciekawy artykuł pracownika Google, który opisuje jak pracują ciała standaryzacyjne i jak bardzo coraz mniej z tego wynika. Cisco już dawno poszło drogą pokazywania rozwiązań, które działają a potem prób standaryzacji protokołów i rozwiązań, ponieważ gdyby nie takie podejście, do dzisiaj zapewne trwałyby debaty czy potrzebujemy PVLANów, FabricPath (TRILL), ale również takich protokołów jak LDP czy HSRP/VRRP/GLBP. właśnie próbujemy przepchnąć przez standaryzację protokół OpFlex....

…wspiera BGP. właśnie wyszła. lubicie BGP na swoich firewallach? ja nie. czy warto mieć takie narzędzie w ręce? przyznaje, czasem warto. ale wracając do pierwotnego pytania - lubicie BGP na swoich firewallach?

funkcje związane z zarządzaniem pamięcią i/lub CPU w świecie IPv6 stanowią poważne wyzwanie nawet dla nowoczesnego sprzętu. wygląda jednak na to, że podstawowe praktyki programistyczne, oraz zdrowy rozsądek… nie idą w parze (a jakże). właśnie natknąłem się na opis problemu jaki ma Microsoft Windows (i nie tylko - z obsługą IPv6 RA. wygląda na to, że nie chodzi tylko o pakiety RA, ale w ogóle o całą komunikację sieciową odbywającą się za pomocą adresów link-local - ponieważ funkcje wbudowane w te systemy zajmują sobie pamięć dosyć swobodnie....

wygląda na to, że na GPU przenosi się coraz więcej zadań, z którymi CPU x86 nie radzą sobie szczególnie dobrze. praca o monitoringu sieciowym oraz o przetwarzaniu i analizie rekordów NetFlow za pomocą GPU do lektury w trakcie podróży albo do poduszki.

skończył się sezon ogórkowy i w kolejnych odsłonach przyszło nam pochwalić się nowościami w ofercie. większość nowości pokazuje, że Cisco po pierwsze bardzo poważnie traktuje SDN, a po drugie - faktycznie patrzymy całościowo na rynek, a nie punktowo i nadal w sposób nie wychodzący poza tradycyjne myślenie o sieci. po pierwsze zatem, NCS - Network Convergence System, pierwsze rozwiązanie na świecie zbudowane od podstaw aby połączyć dwa odrębne światy - optyczny i IP/MPLS....

…więc dzięki youtube znalazłem swoje ulubione odcinki Monty Pythona w wersji polskiej, Za Chwilę Dalszy Ciąg Programu (dlaczego nie ma tego nigdzie na normalnym, oficjalnym DVD!?) a niedawno udało mi się dotrzeć do archiwum wszystkich Bajtków, Top Secret i Secret Service (moja zbierana latami kolekcja pewnego pięknego dnia zniknęła z piwnicy - trauma na całe życie). poszukuje jeszcze Gamblera i Komputera. powrót do źródeł? może i tak, wartość słowa pisanego była wtedy zupełnie inna niż w śmieciach wydawanych dzisiaj....

wpadł mi właśnie w ręce arcyciekawy dokument. cytuję go: As remarked in this table the Windows version of TrueCrypt 7.0a deviates from the Linux version in that it fills the last 65024 bytes of the header with random values whereas the Linux version fills this with encrypted zero bytes. From the point of view of a security analysis the behavior of the Windows version is problematic. By an analysis of the decrypted header data it can’t be distinguished whether these are indeed random values or a second encryption of the master and XTS key with a back door password....

do tej pory można było spotkać mnie czasem w nocy na różnych serwerach Call of Duty Modern Warfare 2, ale właśnie postanowiłem zmienić zainteresowania i wrócić do swojej pierwszej prawdziłej miłości komputerowych gier - symulatorów. odkurzyłem płytkę z Microprose Falcon 4.0, ściągam właśnie patche BMS i czytam o Allied Force (płytka już gdzieś jest pracowicie pakowana w jednym z centrów logistycznych Amazonu). na razie zamierzam pograć na Saiteku Fly 5, ale pewnie z czasem szarpnę się na coś porządniejszego....

…czas przypomnieć sobie stare dobre CLI. próbuje właśnie wyeksportować gotową maszynę wirtualną z instancji VMware vSphere 5.1 stojącej bardzo-bardzo-daleko do OVA. niestety, przepakować w locie 40GB najwyraźniej nie jest łatwo i w różnych momentach proces ten kończy się błędem ’timeout’ (brawa dla jasności wypowiedzi). wystarczy jednak włączyć sobie SSH, a potem wykonać kopiowanie całego katalogu poleceniem SCP - z odpowiednimi parametrami - -C i -o CompressionLevel=9 żeby dostać mniej więcej to samo gdzieś lokalnie, spakować sobie i zostać szczęśliwym posiadaczem OVA: scp -C -o CompressionLevel=9 xyz@zdalne_IP:/vmfs/volumes/strasznie-fajny-ciag-znakow-uuid-i-takie-rozne/nazwa_maszyny/\* ....

…w następny czwartek, 11-ego kwietnia, pojawię się na zaproszenie Macieja Broniarza na Uniwersytecie Warszawskim o 18:30 aby porozmawiać z Wami trochę o bezpieczeństwie sieci IP “klasy operatorskiej”. chodzi o uwolnienie się od konkretnych pudełek i konkretnych firm, a porozmawianie raczej o mechanizmach - nie tylko o blackholingu, ale również :P - w luźnej atmosferze. zamierzam przytargać trochę paciorków w postaci gadżetów i książek - może warto się zaktywizować i zadać jakieś pytanie będąc na miejscu :) zapraszam - i do zobaczenia!...

ostatni DDoS na CloudFlare pokazał, że 300Gbit/s przestało być magiczną barierą dla atakujących. przy takich przepustowościach można spokojnie odciąć kraj wielkości Polski od Internetu. pojawiają się w tej sytuacji kwestie takie jak ‘infrastruktura krytyczna’, stabilność finansowa kraju, etc. w maju na RIPE 66 poświęconym mechanizmowi opisanemu w BCP 38 będę miał swoje pięć minut - to kolejna rzecz, z tzw. ‘dobrych praktyk’, które po prostu trzeba robić. zamykanie otwartych resolverów DNS również....

trafiłem właśnie na prawdziwą perełkę - ze świecą szukać tak dobrze zebranych i podsumowanych informacji.

wygląda na to, że EU dosyć rozsądnie postanowiła opowiedzieć się przeciwko przejęciu przez ITU kontroli nad internetem. ciekawe co faktycznie zrobi ITU na najbliższym spotkaniu - bowiem konsekwencje zarządzania przez osuwającą się powoli w niebyt i brak realnego wpływu na rozwój technologii organizację dosyć prosto można sobie wyobrazić.

ostatnio w ramach porządków i pewnych zmian w rozkładzie i zawartości biurka, postanowiłem przenieść swoją instalację windows 7 z dysku Seagate Momentus XT 320GB na jeden z OCZ Vortexów, które zostały mi po zmianie moich MacBookowych dysków na Intele 710. ponieważ miałem już swego czasu pozytywne wrażenia po jednokrotnym zastosowaniu windowsowego backup & restore, postanowiłem skorzystać z tego mechanizmu i tym razem. błąd. boot z USB instalacyjnego z Windows 7 i próba wykonania odzyskania obrazu z zasobu sieciowego kończyła się błędem (0x80070057) informującym mnie o złym parametrze....

…jak może lub powinna być bliska? dotknęła mnie ostatnio taka właśnie, nieco filozoficzna myśl. MBP na którym piszę te słowa pracuje w oparciu o koncepcję, której do końca bronił Steve Jobs - tylko zintegrowane ze sprzętem oprogramowanie, może być maksymalnie efektywne i przewidywalne. niezależnie od patrzenia na samego Steve’a, przykładów w naszym życiu takiego podejścia jest więcej. jednym z bardziej namacalnych jest oczywiście firma w której pracuje - w Cisco większość rozwiązań sprzętowych bazuje o bardzo ściśle zintegrowany ze sprzętem soft, który wykorzystując wszystkie jego możliwości może pokazać prawdziwą moc rozwiązania....

korzystając z nowej platformy Cisco, popełniłem krótki wpis o mającym swoją premierę na Cisco Live onePK. obserwuje od ponad dwóch lat dyskusje o korzyściach z zastosowania oprogramowania jako zcentralizowanej płaszczyzny kontroli dla sieci. z dystansem podszedłem do szaleńczej radości związanej z “eksplozją” OpenFlow i jak pokazał czas - słusznie. dzisiaj to producenci sprzętu zwolnili i podchodzą z dystansem do kolejnych wersji standardu, samo tempo prac też spada - coraz więcej z tych, którzy zdecydowali się na początku wejść we wsparcie sprzętowe dzisiaj zdaje sobie sprawę, że niewiele zyskuje - i zaczyna się wycofywać, jeśli nie wprost - to zarzucając aktywny rozwój platform....

właśnie popełniłem kolejny post ‘objaśniający’ działanie ’nowej’ matrycy na Sup720-10GE do Catalysta 6500 na cisco-nsp@: In old Sup720 design, the Supervisor itself is connected to the fabric using one channel. This channel is used by Hyperion ASIC to provide for bus interface, and multicast/SPAN features. Because there’s no other way to connect the uplinks on the Sup itself, the Hyperion has it’s interface also terminating the uplinks (2xGE) thus limiting effective throughput/etc....

ciekawe ulepszenie do transportu ruchu w sesjach HTTP zaproponowane jakiś czas temu przez Google zaczyna powoli zdobywać popularność. co prawda nie używam przeglądarki Chrome, ale w Firefoxie od wersji 11 jest możliwość włączenia tego protokołu (about:config -> network.http.spdy.enable=true). po stronie serwera warto odpalić sobie mod_spdy dla APache (na razie testowo), a w samym Firefoxie doinstalować rozszerzenie SPDY dla Firefoxa pokazujące czy SPDY faktycznie działa. efekt? jest szybciej, bardziej równolegle. warto? możliwe....