lukasz.bromirski.net

aviate, navigate, communicate

kluczami, nie hasłami

temat stary jak świat, ale właśnie musiałem zrobić trochę porządków i trafiłem na problem z kluczami… 4096 bitowymi. bardziej dla własnej informacji, ale być może komuś to zebrane w jednym miejscu się przyda. klucze do Cisco IOS importuje się bez specjalnego problemu: router#conf t Enter configuration commands, one per line. End with CNTL/Z. router(config)#ip ssh pubkey-chain router(conf-ssh-pubkey)#username TEST router(conf-ssh-pubkey-user)#key-string router(conf-ssh-pubkey-data)#AAAAB3NzaC1yc2EAAAADAQABAAACAQDCiLBaopUwsFb9YJNhGqVYqBajlrH S/zwD6/yR6N8VcRzrpqMMNCFXe1q5GMGM[...]ANWInd9GHBjTzbJWVwavxy1ooQewii8ErofZuv1l/SXSdXLzfL p0zMoZ0L+BNPS0j4XBS0N3t8Vl8oVixqIeG2BNTCNaDDt6hx2Q== lukasz@bromirski.net router(conf-ssh-pubkey-user)#exit router(conf-ssh-pubkey)#exit dla Cisco ASA klucze powyżej 2048 bitów trzeba zaimportować używając formatu 'pkf' - ponieważ linia poleceń ma ograniczenie do 512 bajtów. czytaj dalej →

canvas fingerprinting… i unbound

jakiś czas temu zamieniłem w domu BINDa na Unbound, w związku ze zmianą domyślnego serwera DNS w FreeBSD (tak, mam w domu swój serwer DNS i serwuje z niego odpowiedzi na wszystkie zapytania; stoi sobie na wirtualce). właściwie, mam teraz cztery ;) za czasów BINDa korzystałem z wielu skryptów dopisujących strefy zawierające przekierowanie do 127.0.0.1 dla domen serwujących reklamy. za czasów Unbounda…. zupełnie o tym zapomniałem. w związku z ostatnimi ciekawymi doniesieniami o tzw. czytaj dalej →

truecrypt… i NSA?

wpadł mi właśnie w ręce arcyciekawy dokument. cytuję go: As remarked in this table the Windows version of TrueCrypt 7.0a deviates from the Linux version in that it fills the last 65024 bytes of the header with random values whereas the Linux version fills this with encrypted zero bytes. From the point of view of a security analysis the behavior of the Windows version is problematic. By an analysis of the decrypted header data it can’t be distinguished whether these are indeed random values or a second encryption of the master and XTS key with a back door password. czytaj dalej →

Aegis na UW

Maciej Broniarz zaprosił nas do uczestnictwa w nowej konferencji poświęconej bezpieczeństwu sieciowemu. Aegis (tak jak system pola walki dla krążowników rakietowych :P) odbędzie się 2⁄3 lipca na UW i mam nadzieję, że biorąc pod uwagę agendę, ściągnie wiele z Was na miejsce. razem z Maćkiem mamy również ambicję poprowadzić drugiego dnia panel o DDoSach oraz potem wspólną prezentację nawiązującą nieco do prowadzonych przeze mnie kiedyś na CONFidence serii sesji pt. “Bezpieczeństwo za pomocą taśmy klejącej” . czytaj dalej →

DDoSy

ostatni DDoS na CloudFlare pokazał, że 300Gbit/s przestało być magiczną barierą dla atakujących. przy takich przepustowościach można spokojnie odciąć kraj wielkości Polski od Internetu. pojawiają się w tej sytuacji kwestie takie jak ‘infrastruktura krytyczna’, stabilność finansowa kraju, etc. w maju na RIPE 66 poświęconym mechanizmowi opisanemu w BCP 38 będę miał swoje pięć minut - to kolejna rzecz, z tzw. ‘dobrych praktyk’, które po prostu trzeba robić. zamykanie otwartych resolverów DNS również. czytaj dalej →

Cisco SECURE - 2223 listopada

wracamy do organizacji jesiennej konferencji poświęconej rozwiązaniom Cisco związanym z bezpieczeństwem. jak łatwo możecie się przekonać, będziemy się starali opowiedzieć o całościowym podejściu Cisco do kwestii bezpieczeństwa, a całość dwudniowej konferencji przepleść dużą ilością praktycznych prezentacji, pokazów i dem. agenda już w zasadzie zbudowana, co ciekawe będę miał przyjemność z Gawłem poopowiadać trochę na żywo o bezpieczeństwie w chmurze i Centrach Przetwarzania Danych - dotkniemy (i pokażemy!) takie rzeczy jak CSR 1000v, ASA 1000v i różne inne ciekawostki - zrobimy to na koniec, ponieważ przed nami koledzy będą pokazywać dużo więcej i to zapewne dużo ciekawszych rzeczy. czytaj dalej →

network neutrality?

polecam ten artykuł z Wired - dopóki szansa, że niezależnością takich instytucji jak ITU będą potrząsać magnaci tacy jak Kaspersky, dopóty każdego dnia trzeba wstać i pracować nad tym, żeby Internet był wolny. brzmi jak naiwne wezwanie do broni? trochę tak, ale konsekwencje posiadania dużej ilości pieniędzy, a w konsekwencji - dostępu do władzy - przerażają mnie codziennie na nowo. czytaj dalej →

SOPA, PIPA i inne…

jeśli odwiedzacie zachodnie portale, czy też zaglądacie od czasu do czasu na angielskojęzyczną wikipedię, zauważyliście dzisiaj znaczący efekt protestu przeciwko tym dwóm aktom prawnym, które chcą wprowadzić w USA zwolennicy kontroli wszystkich i wszystkiego (z uwagi na - oczywiście - pieniądze). ciekawy punkt widzenia rzuca to również na dyskusję o technologiach cloudowych i ich realnemu zastosowaniu - polecam m.in. ten artykuł, przedstawiający zarys rozgrywek dziejących się na międzynarodowym poziomie. chcemy czy nie, żyjemy już w dużej części w świecie doskonale sportretowanym w książce 1984. czytaj dalej →