już w najbliższy czwartek, 10’ego października o 19, poprowadzę wspólnie z Maciejem Broniarzem z UW krótką pogadankę o bezpieczeństwie w ujęciu nie do końca tradycyjnym. zapraszamy do zapisywania się i do zobaczenia w auli Akademii Leona Koźmińskiego.
…wygląda na to, że to maszyny lepiej budują stosy TCP niż ludzie. trafiłem na ślad ciekawego projektu - RemyCC, zapewniającego większą wydajność i jednocześnie lepszy podział i mniejsze opóźnienia (średnio). warto rzucić okiem.
załóżmy, że to bredzenie zmęczonego po paru zarwanych nocach człowieka. na początek zakładamy, że służby bezpieczeństwa będą chciały podsłuchiwać wszystko coraz częściej i to, że NSA czy inne agencje zaczynają zgrywać nasz ruch z połączeń w agregacji i w szkieletach sieci operatorów zaczyna nam przeszkadzać. czemu nie wrócić do pomysłu, by każda transmisja punkt-punkt realizowana była za pomocą połączeń IPsec (każda!) - szerokie wdrożenie IPv6 i rozpowszechnienie się urządzeń, które są w stanie szyfrować ruch z dużą wydajnością bardzo w tym pomaga. co więcej jednak, zgodnie z pierwotnymi koncepcjami wokół IPsec, wprowadzamy model generowania stale takiej ilości ruchu, która w całości, lub prawie w całości (aby uniknąć efektu buffer bloatu) wypełnia nasze dostępne łącza. operatorzy w szczególności nawet dla klientów indywidualnych już dawno zrezygnowali z opłat za transfer (poza połączeniami komórkowymi - to jednak być może też w końcu się zmieni przy migracji do LTE). efekt takiego zabiegu jest taki, że podsłuchiwanie łącz przestaje się opłacać, ponieważ ilość danych zbieranych w postaci sieczki IPsecowej zaczyna przerastać pojemność jakiejkolwiek przestrzeni dyskowej, a nie można selektywnie wybierać połączeń do podsłuchiwania i zgrywania, ponieważ wszystko jest szyfrowane. czy agencje dzisiaj posiadają środki pozwalające odszyfrowywać transmisje algorytmem AES? raczej nie, ale załóżmy, że będzie to za parę lat możliwe. nawet przy bezczynnej stacji, generujemy w ciągu dnia gigabajty danych w losowych połączeniach (pozostaje oczywiście problem generowania połączeń, które nie są możliwe do odróżnienia od niosących ze sobą użytecznie informacje, a zatem np. oprócz krótkich połączeń do serwisów WWW, generujemy dłuższe sesje do serwerów pocztowych/etc - wymagałoby to być może pewnej ekwilibrystyki technicznej, ale znając inwencję programistów, zapewne dałoby się jakoś rozwiązać). ...
Maciej Broniarz zaprosił nas do uczestnictwa w nowej konferencji poświęconej bezpieczeństwu sieciowemu. Aegis (tak jak system pola walki dla krążowników rakietowych :P) odbędzie się 2/3 lipca na UW i mam nadzieję, że biorąc pod uwagę agendę, ściągnie wiele z Was na miejsce. razem z Maćkiem mamy również ambicję poprowadzić drugiego dnia panel o DDoSach oraz potem wspólną prezentację nawiązującą nieco do prowadzonych przeze mnie kiedyś na CONFidence serii sesji pt. “Bezpieczeństwo za pomocą taśmy klejącej” . innymi słowy, postaramy się z Wami porozmawiać na konkretnych przykładach o tym jak to jest w Polsce z tym bezpieczeństwem. ...
…czyli red eagles autorstwa Steve Daviesa to bardzo ciekawa książka o tym, jak Amerykanie badali zdobyczne MiGi 15, 17, 19, 21 i 23 w bazie Tonopah. tej samej, do której trafiły zaprojektowane przez Lockheeda F-117, oraz tej samej, z której startowali do walki z nadlatującymi nad poligon Nellis F-4/14/15/16/18. zabieram się właśnie do poświęconej temu samemu ‘america’s secret MiG squadron’, po zaliczeniu ostatnio prawdziwej przebieżki lotniczej, głównie z wydawnictwa Osprey (seria Osprey Combat Aircraft, obejmująca między innymi zeszyty o walce MiGów-17, 19 i 21 w Wietnamie, F-14 w operacjach Iraqi Freedom i Enduring Freedom, arabskich MiGach-19 i 21, F-15C i F-15E w Desert Storm, F-117 w Desert Storm, SR-71 w operacjach nad europą i środkowym wschodem) oraz paru osobnych pozycji (doskonałą Skunk Works Leo Janosa, Flying the A-10 in the Gulf War oraz Flying the F-15E in the Gulf War. z tej serii zdecydowanie odradzam Bandits Over Baghdad, która zawiera wiele błędów, źle podpisane zdjęcia i cytaty ze Skunk Works i książki Ospreya o F-117 nad Zatoką. ‘red eagles’ polecam z uwagi na masę ciekawych anegdotek - w tym jak to Good Year wyprodukował dla Sił Powietrznych za 200k$ starte hamulce (dokładną kopię hamulców, które dostarczono im od MiGa 21 i poproszono o skopiowanie), oraz jak naprawiało się układ sterujący skrzydłami w MiGu 23. biorąc pod uwagę, że teraz da się kupić z amerykańskiego muzemu np. polskiego, latającego MiGa-21 za 95k$ kto wie co przyjdzie mi kiedyś do głowy (jak już dowiem się, jak zdobyć 95k$…) ...
do tej pory można było spotkać mnie czasem w nocy na różnych serwerach Call of Duty Modern Warfare 2, ale właśnie postanowiłem zmienić zainteresowania i wrócić do swojej pierwszej prawdziłej miłości komputerowych gier - symulatorów. odkurzyłem płytkę z Microprose Falcon 4.0, ściągam właśnie patche BMS i czytam o Allied Force (płytka już gdzieś jest pracowicie pakowana w jednym z centrów logistycznych Amazonu). na razie zamierzam pograć na Saiteku Fly 5, ale pewnie z czasem szarpnę się na coś porządniejszego. po chwili oglądania na youtube z filmów na których wielu graczy wspólnie wykonuje misje… to chyba to, o co zawsze chodziło. ...
bardzo ciekawe badanie wykonane w dobrej wierze na tysiącach elementów sieciowych. polecam pociągnięcie 596GB danych i przejrzenie ich, lub choćby rzucenie okiem na mapkę hostów - Polska jest wyraźnie widoczna. o czym to świadczy nie muszę mówić.
…czas przypomnieć sobie stare dobre CLI. próbuje właśnie wyeksportować gotową maszynę wirtualną z instancji VMware vSphere 5.1 stojącej bardzo-bardzo-daleko do OVA. niestety, przepakować w locie 40GB najwyraźniej nie jest łatwo i w różnych momentach proces ten kończy się błędem ’timeout’ (brawa dla jasności wypowiedzi). wystarczy jednak włączyć sobie SSH, a potem wykonać kopiowanie całego katalogu poleceniem SCP - z odpowiednimi parametrami - -C i -o CompressionLevel=9 żeby dostać mniej więcej to samo gdzieś lokalnie, spakować sobie i zostać szczęśliwym posiadaczem OVA: scp -C -o CompressionLevel=9 xyz@zdalne_IP:/vmfs/volumes/strasznie-fajny-ciag-znakow-uuid-i-takie-rozne/nazwa_maszyny/\* . ...
…w następny czwartek, 11-ego kwietnia, pojawię się na zaproszenie Macieja Broniarza na Uniwersytecie Warszawskim o 18:30 aby porozmawiać z Wami trochę o bezpieczeństwie sieci IP “klasy operatorskiej”. chodzi o uwolnienie się od konkretnych pudełek i konkretnych firm, a porozmawianie raczej o mechanizmach - nie tylko o blackholingu, ale również :P - w luźnej atmosferze. zamierzam przytargać trochę paciorków w postaci gadżetów i książek - może warto się zaktywizować i zadać jakieś pytanie będąc na miejscu :) zapraszam - i do zobaczenia! ...
tak jak się spodziewałem - i szkoda, że tak - koledzy z Orange zadzwonili do mnie po miesiącu od ostatniego telefonu z wymazaną pamięcią. znowu zaczęła się rozmowa o przedłużaniu umowy, ale skierowałem rozmowę raczej na tory nowej usługi. okazało się, że tym razem po 15 minutach telefon oddzwonił - dowiedziałem się więc, że mój poprzedni rozmówca nie oddzwonił, bo nie mógł zrealizować zamówienia na nową Neostradę sam. dziwne, wypadałoby poinformować… nic to - złamałem się i zamówiłem posługując się błękitną linią drugą Neostradę. po godzinie otrzymałem jednak telefon, że opcja 20Mbit/s odpada i będzie tylko 10Mbit/s z uwagi na ‘brak portów na centrali’. ...