Bezpieczeństwo

ciekawy artykuł bloggera o tym jak stworzyć alternatywne źródło prawdziwie niecenzurowanego wolnego słowa. wygląda na to, że ostatni problem reddita spowodował wznowienie dyskusji o wolnym słowie i kryptograficznej niezaprzeczalności głoszonych tez - w kontekście coraz silniejszych nacisków w Stanach Zjednoczonych na wbudowanie tylnych furtek może to jakieś rozwiązanie problemu? jak o tym pomyśleć… a nie, nie trzeba myśleć. pomyślano za nas - są już ludzie wierzący, że Bitcoin (protokół, nie elektroniczne pieniądze) będzie niebawem podstawą całej komunikacji internetowej. ...

warto rzucić okiem. a potem ze zdziwienia otworzyć oczy szerzej. bardzo szacowne sieci (i hosty) się na mapkach pojawiają: SenderBase malware SenderBase spam ogólne raporty z SenderBase, największej rozproszonej sieci zbierającej dane o zagrożeniach: SenderBase

temat stary jak świat, ale właśnie musiałem zrobić trochę porządków i trafiłem na problem z kluczami… 4096 bitowymi. bardziej dla własnej informacji, ale być może komuś to zebrane w jednym miejscu się przyda. klucze do Cisco IOS importuje się bez specjalnego problemu: router#conf t Enter configuration commands, one per line. End with CNTL/Z. router(config)#ip ssh pubkey-chain router(conf-ssh-pubkey)#username TEST router(conf-ssh-pubkey-user)#key-string router(conf-ssh-pubkey-data)#AAAAB3NzaC1yc2EAAAADAQABAAACAQDCiLBaopUwsFb9YJNhGqVYqBajlrH S/zwD6/yR6N8VcRzrpqMMNCFXe1q5GMGM[...]ANWInd9GHBjTzbJWVwavxy1ooQewii8ErofZuv1l/SXSdXLzfL p0zMoZ0L+BNPS0j4XBS0N3t8Vl8oVixqIeG2BNTCNaDDt6hx2Q== lukasz@bromirski.net router(conf-ssh-pubkey-user)#exit router(conf-ssh-pubkey)#exit dla Cisco ASA klucze powyżej 2048 bitów trzeba zaimportować używając formatu pkf - ponieważ linia poleceń ma ograniczenie do 512 bajtów. żeby przygotować klucz publiczny w formacie używanym przez OpenSSH takim jak ten: ...

…bo google znowu padło przez błąd z akceptowaniem prefiksów. konfiguracja jest banalna - przykłady na cisco IOS-XE, IOS-XR, na Juniperze można znaleźć w pół sekundy. trzeba odwiedzić RIPE i wycertyfikować swoje zasoby, potem jest już z górki. każdy prefiks i system autonomiczny, który zacznie podejmować decyzje o routingu pomaga. każdy.

…przeczytałem właśnie krótki wywiad z Matem Prince’m, który jest jednym z założycieli CloudFlare. w jego odpowiedziach zwróciłem uwagę na dwie rzeczy - że lubi opowieści, a to sprawdzony sposób, żeby ludzie zapamiętali, co do nich mówimy. po drugie, jest skromny, ale pokazuje jedną ważną rzecz - w CloudFlare, dzięki skupieniu na jednym zadaniu, robią lepiej wiele rzeczy związanych z infrastrukturą, niż potężni tego świata - w szczególności Amazon i Google. ...

jakiś czas temu zamieniłem w domu BINDa na Unbound, w związku ze zmianą domyślnego serwera DNS w FreeBSD (tak, mam w domu swój serwer DNS i serwuje z niego odpowiedzi na wszystkie zapytania; stoi sobie na wirtualce). właściwie, mam teraz cztery ;) za czasów BINDa korzystałem z wielu skryptów dopisujących strefy zawierające przekierowanie do 127.0.0.1 dla domen serwujących reklamy. za czasów Unbounda…. zupełnie o tym zapomniałem. w związku z ostatnimi ciekawymi doniesieniami o tzw. fingerprintingu za pomocą API Canvas w przeglądarkach, wróciłem do tematu blokowania addthis.com i pochodnych. ...

…wspiera BGP. właśnie wyszła. lubicie BGP na swoich firewallach? ja nie. czy warto mieć takie narzędzie w ręce? przyznaje, czasem warto. ale wracając do pierwotnego pytania - lubicie BGP na swoich firewallach?

funkcje związane z zarządzaniem pamięcią i/lub CPU w świecie IPv6 stanowią poważne wyzwanie nawet dla nowoczesnego sprzętu. wygląda jednak na to, że podstawowe praktyki programistyczne, oraz zdrowy rozsądek… nie idą w parze (a jakże). właśnie natknąłem się na opis problemu jaki ma Microsoft Windows (i nie tylko - z obsługą IPv6 RA. wygląda na to, że nie chodzi tylko o pakiety RA, ale w ogóle o całą komunikację sieciową odbywającą się za pomocą adresów link-local - ponieważ funkcje wbudowane w te systemy zajmują sobie pamięć dosyć swobodnie. ...

fenomen Jennifer Lawrence (nie rozumiem popularności Hunger Games ale kocham Silver Linings Playbook, jak się powinno robić prawidłowo identyfikatory na konferencje (oj tak, uczymy się, uczymy), Departament Obrony przekazuje na 10 lat w zarządzanie prywatnej firmie swoje archiwum obrazów i filmów, RSA zgodziła się promować słabszy algorytm szyfrowania w zamian za 10M$ ‘łapówki’ od NSA i w końcu wizja DARPA z lat osiemdziesiątych XX wieku autonomicznego rozwiązania a’la SkyNet. a na koniec pół-żartem, pół-serio, jak poradzić sobie z tym, że to co robimy w pracy nie zawsze jest tym, co kochamy najbardziej robić. z własnego doświadczenia powiem jednak, że lepiej jest znaleźć sobie pracę, którą kochacie wykonywać i traktować ją jak hobby (choć są i tacy, którzy uważają, że to prowadzi do łatwego zatarcia granic i pracoholizmu - nie mogę się nie zgodzić). ...

wywiad z Michaelem Haydenem, byłym szefem NSA o tym jakim zagrożeniem stało się Blackberry (oraz jak to było ze słuchaniem rozmów Angeli Merkel), na jakiej zasadzie uważa, że NSA może czytać komunikację obywateli USA, że Izraelczycy byli na tyle uprzywilejowani, że mogli wnosić do siedziby NSA swoje laptopy i komórki i wiele innych stwierdzeń. z drugiej strony - rekomendacje przygotowane dla prezydenta Obamy. przy okazji okazuje się, że w grupie roboczej IETF zajmującej się kryptografią, siedzi pracownik NSA, który w dodatku zachowuje się nieco dziwnie i rzuca pomysły lekko amatorskie - specjalnie? krzywe eliptyczne, tak ostatnio źle komentowane, znowu w świetle reflektorów - błąd w generatorze liczb losowych OpenSSL, rzuca nowe światło na to, co właściwie testuje się dla zgodności z FIPS 140-2. dyskusja czy lepiej mieć 384GB czy 768GB w serwerze. no i w końcu Apple, realizujące konsekwentnie strategię ograniczonej dostępności dóbr - ludzie rzucają się na nowe Maci Pro, produkowane w USA, jak gdyby ich sprzętowa konfiguracja była czymś niesamowicie rewolucyjnym. nie jest. ...