Objavljeno: 30.3.2010 | Monitor Marec 2010

Pisma bralcev

Digitalna ovčereja, prvič

Sem redni bralec revije Monitor in tudi nekdanji občasni sodelavec. S posebnim zanimanjem še vedno prebiram predvsem vaša mnenja, ki pogosto zrcalijo stanje razvoja informacijske tehnologije na zdrav in objektiven način. V zadnji številki je bil objavljen prispevek, ki je še posebej pritegnil mojo pozornost, in sicer kolumna z naslovom Digitalna ovčereja. Avtor prispevka obravnava tri zanimive pojave v spletu, ki pridobivajo iz dneva v dan vedno večjo pozornost in predstavljajo nov način izmenjave informacij v digitalnem svetu. Avtor v prispevku izraža (seveda) svoj svojevrsten pogled na fenomen socialnih omrežij, forumov in blogov tudi s posebnim poudarkom na, recimo temu, lokalnem nivoju.

Iz napisanega je moč razbrati (precej) negativen pogled avtorja na pojave v spletu, ki jih primerja celo z ovčerejo, kar je skromno rečeno žalitev za uporabnike novih komunikacijskih sredstev in na prvem mestu bi pričakoval, da tako ugledna publikacija, kot je Monitor, takšnih izrazov ne uporablja. Sam nisem niti uporabnik forumov niti pisec blogov, sem pa morda občasen uporabnik facebooka (poudarek na občasen). Kljub namenu teh pojavov in orodij se je namreč treba zavedati predvsem tega, da so socialna omrežja, forumi in blogi predvsem orodje za izmenjavo informacij na svoj način in omogočajo informacijski družbi, da učinkoviteje izmenjuje svoja mnenja, poglede in predvsem, da si uporabniki delijo digitalno vsebino s socialno mrežo, ki jo ustvarjajo na ta način. Kakšne socialne posledice imajo ti pojavi, sodi bolj v publikacije, ki obravnavajo družbenopolitične pojave in ne v tehnično revijo (čeravno je prav, da zaradi splošne razgledanosti tudi v takšni reviji preberemo o sociološkem pogledu na tehnike izmenjave informacij). Nemogoče je namreč prezreti dejstvo, da so vsi trije pojavi rezultat tehnološkega razvoja in napredka družbe in bi jih morali sprejemati z odprtimi rokami. Avtor prispevka pa se postavlja v de-facto ofenzivni položaj do omenjenih storitev in hkrati kritizira kulturo slovenskega forumstva in blogerstva, ki naj bi bilo namenjeno predvsem spodbujanju (neobjektivne?) kritike (do poljubnih tem). Zanimivo je, da sam počne isto, vendar z drugačnim (nedigitalnim) orodjem (v ugledni tiskani publikaciji) - avtorju, recimo, v celotnem prispevku ne uspe razložiti, kaj so omejitve pogodbe za prijavo v socialno omrežje facebooka, kljub temu da izraža transparentno izrazito kritičen, nekoliko pavšalen odnos do inovativne storitve.

Če se še enkrat povrnem k naslovu, povezanem z živinorejsko dejavnostjo, si lahko vseeno do neke mere delimo skupno mnenje, da je facebook (ali pa forum, blog) ustrezno orodje za usmerjanje pozornosti uporabnikov, vendar so to zgolj mehanizmi, kako tovrstne storitve ohranjati pri življenju (če že ne kovati ustrezen dobiček). Vseeno pa zastopam mnenje, da so vsi trije pojavi zrcalo napredka sodobne družbe, ki išče vedno nove izzive, kako omogočiti hitrejšo in učinkovitejšo izmenjavo informacij ter graditve socialnega omrežja, čeravno je to zgolj digitalno, vendar, ali ni to, ne nazadnje, ravno namen svetovnega spleta, ki podira geografske meje, sicer bi si še vedno dopisovali na papirju in potovali na različne konce z zbirko lastnih slikovnih ali video zapisov (ki prejemnika pogosta zaradi geografskih omejitev) sploh ne bi dosegli. Ne nazadnje, tovrstnih usmerjanj pozornosti uporabnikov ali socialnih skupin, ki si delijo skupno mnenje, pozna zgodovina človeštva že, od kar se zaveda same sebe, začenši z verskimi prepričanji, in tukaj zagotovo ni krivo orodje, ampak osveščenost in razvoj same družbe. Pavšalno grajanje in zaničevanje novih tehnologij si zato ne zasluži mesta v reviji, ki obravnava tehnološki napredek (v isti številki si, recimo, deli mesto tudi prispevek o multimedijskem orodju, ki ste ga pohvalili ravno zaradi njegove dodane vrednosti podpori socialnem mreženju - Boxee sistem).

Za konec lahko samo povzamem, da bi si kot zvesti bralec želel kakovostne(jše) vsebine, ki nas redno obveščajo o tehnološkem napredku in ga po potrebi obravnavajo tudi kritično, vendar na zdrav in objektiven način, brez subjektivni pogledov (ali bolečin?) in žaljivk do uporabnikov novih pojavov, kot so socialna omrežja, forumi in blogi. Za vzdrževanje kulture uporabe tovrstnih storitev (o tem imam sicer tudi sam pridržano mnenje), kot že povedano, so namenjene druge publikacije, na pa revija Monitor. V upanju, da tovrstni poziv prileti na plodna tla, vas lepo pozdravljam.

Aljoša Jerman Blažič

Rubrika Mnenja je že v osnovi subjektivna, zato njena vsebina seveda sme odstopati od siceršnje usmeritve revije. Se pa strinjam, da je prispevek ravno nekje na robu morebitne žaljivosti.

Matjaž Klančar

odgovorni urednik

2_2010

Digitalna ovčereja, drugič

Imam predlog za članek, ki bi po mojem mnenju bil zanimiv, ampak najprej se moram otresti razburjenja nad neko vsebino ali, bolje rečeno, obtožbo.

Rubrike Mnenja v reviji si ne znam razlagati z drugo besedo kot blog. (Saj podajanje lastnega mnenja množici neznancev je namen blogov, kajne? Ne bi rekel temu novinarstvo. Slednje je po mojem mnenju podajanje nekih dejstev, ne pa osebnih mnenj.) Blog, ki ni le (eventualno) dostopen vsem prek interneta, temveč tudi prek DVDja in tiskane verzije. In ima tudi bistveno več bralcev (doseg), kot neki anonimen spletni blog.

No, in kaj nam sporoča tokratni blog? To, da je veliko, če že ne večina, ki ga bere, ovc, za razliko od avtorja. Torej smo tam. Pri "gnojnici, ki ne vodi nikamor", pri "zdravniku, ki se sam fiksa".

Nekega dne bo avtor besedila morda iskal zaposlitev pri nekom, ki bo ugotovil, da ga je potencialni delojemalec proglasil za ovco ...

Mislim pa, da bi za revijo bilo precej smiselno, da se vzdrži žaljenja lastnih strank. Tudi v rubriki Mnenja.

***

Na koncu še en predlog, ki nima z vsem tem nobene zveze.

Ravno pred kratkim sem se ubadal z brezžičnim omrežjem za nekega kolega in sem ugotovil, da veliko ljudi (tudi prodajalcev te opreme) ne ve za en sklop tovrstnih naprav, ki se jim reče WiFi range extenderji ali repeaterji. Sem mnenja, da ni malo ljudi, ki tovrstno funkcionalnost potrebujejo, bodisi, za priklop na soseda (ali je dovoljen, je druga zgodba) bodisi zaradi neugodne arhitekture same zgradbe, ko bi želeli imeti brezžično omrežje po vsej hiši. Nekateri routerji ali access pointi imajo to vgrajeno kot dodatno funkcionalnost (a prodajalci ne vedo, kateri), nemalo pa so zanimive samostojne naprave takšnega tipa. Kolegu sem predlagal eno od slednjih naprav, priklopil jo je na elektriko, pritisnil gumb za inicializacijo in v naslednjem trenutku je že imel internet po vsej hiši. Mislim, da bi bilo smiselno narediti en test teh naprav, pri drugih pa odslej poudariti, ali takšna možnost je na voljo (na način, ki ne zahteva nekega strašnega strokovnjaka). Morda še kje kakšna razlaga o razlikah med routerji, access ponti, repeaterji.

Marko

Glede repeaterjev - imate prav. O praktični uporabi teh naprav smo že pisali, vendar bi to vsekakor kazalo ponoviti. Hvala za predlog.

Pismo smo zaradi dolžine nekoliko skrajšali, op. ur.

2/2010

Varnost nekega omrežja

Prebral sem članek v Monitorju z naslovom "Varnost nekega omrežja". Zanimiv uvod v pen-testing, vendar menim, da ni bilo dovolj jasno povedano, da to, če penetracijsko testiranje ne uspe, še ni zagotovilo za to, da je sistem varen.

Kar se tiče "Kaminsky DNS napake": v bistvu je iskanje te precej brezzvezno početje, če želimo kompromitirati strežnik. Zastrupljanje predpomnilnika DNS je smiselno, če ta strežnik uporabljajo ljudje za izvajanje svojih poizvedb (kot npr. pri DNS strežnikih ISPjev) in jim želimo prikazati napačne rezultate. Pa še takrat ne moremo strežnika, ki je avtoritativen za domena.si, prisiliti, da si zapomni napačen vnos za domena.si, saj v tem primeru nikoli ne pride do poizvedbe na drug strežnik.

Napad namreč deluje tako, da prisilimo strežnik v to, da pošlje drugemu vprašanje glede domene, takoj zatem pa mu ponudimo še svoj odgovor, ki je videti, kot da je prišel od tega drugega (vprašanega) strežnika. Ker kot napadalci načeloma ne vidimo vprašanja, je problem v tem, da moramo uganiti določene vrednosti, tako da je naš odgovor, ki prehiti pravega, videti veljavno.

Izjavi o tem, da je obstojnost lažnega DNS vnosa zelo kratka in da napad ni najbolj zanesljiv, se mi zdita zviti iz trte. Obstojnost je stvar TTL vrednosti, zanesljivost pa je vedno 100 %, le da moramo pač dovolj dolgo počakati, da "uganemo" prave vrednosti v odgovoru. Nam pa Kaminskyjeva ideja omogoča, da neskončnokrat poskušamo.

BIND 9.3.4-P1.2 sploh ne obstaja (obstaja le 9.3.4-P1). Po krajšem raziskovanju sem odkril, da je to v bistvu interna stvar, ki jo doda Debian, in sicer je P1.2 prisoten v verziji od 9.3.4-2etch5 naprej. Že dejstvo, da lahko izvemo distribucijo in verzijo DNS strežnika, je precej hud "information leakage", ki bi se ga dalo z ustreznim vnosom v named.conf preprečiti.

Načeloma je res, da je v tej verziji že zakrpana prej omenjena ranljivost. V praksi to pomeni, da so poleg IDja transakcije naključna tudi izvorna vrata. Ampak po drugi strani pa novi BIND še ni dovolj, vmes je lahko NAT, firewall, napačna konfiguracija ali kaj drugega, kar pokvari naključnost "source porta". In po objavljeni sliki sodeč, kjer so vedno prikazana vrata 32771, je videti, kot da je strežnik še vedno ranljiv.

Odkrita "DNS cache snooping" ranljivost je tudi bolj kot ne nekoristna. Avtoriziran uporabnik lahko vedno (če ne drugega pa po hitrosti odgovora) ugotovi, ali je neki zapis prišel iz cacha ali ne. Pa odkrivanje obiskanih spletnih strani ne deluje, odkrijemo lahko le hostname, ki ga je nekdo prej "resolval".

No, da ne bomo samo pri DNSu. Pri PHP ranljivosti "allow_url_fopen" ne bi smel biti relevanten. Najbrž je problem v tem, da z "register_globals" lahko "povozimo" spremenljivko MAX_type.

Tisto glede "blind SQL injectiona" mi ni bilo najbolj jasno. Kako naj bi onemogočeno pregledovanje imenika karkoli spremenilo - kakšen beden izgovor je zdaj to?! :)

Na koncu še to: iz vsebine je precej verjetno, da je šlo za varnostni pregled lastnega omrežja. To načeloma ni dobro, ker hitro pridemo do raznih subjektivnih mnenj o tem, kako super je vse skupaj skonfigurirarno ("Treba je priznati, da so skrbniki sistema zelo dobro poskrbeli za varnost"). Zaradi tega je tudi cenzura na slikah malo odveč. Če že, bi pa priporočal črn okvir namesto "blura", saj je drugače še vedno mogoče videti približne številke posameznega dela IPja (ali pa vsaj, kako dolg je posamezen del), kar lahko potencialen napadalec izkoristi.

Gregor

Najprej hvala za konstruktivno mnenje. Pa pojdimo lepo po vrsti. Pregledovanje za "Kaminsky bugom" se nam še zdaleč ne zdi "brezzvezno početje". Čeprav prek njega res ne moreš kompromitirati sistema, gre še vedno za pomanjkljivost. Vaša trditev je nekako v slogu, da je iskanje vrzeli XSS nesmiselno početje, saj prek njih ni možno kompromitirati sistema.

Glede obstojnost vnosa DNS, do takšnega sklepa smo prišli po lastnih izkušnjah in po pogovorih s številnimi "pen-testerji", ki so zadevo po dolgem in počez testirali. Predvsem bi tu izpostavili besede HD Moora (razvijalca orodja Metasploit), katerega modul je bil tudi konkretno uporabljen, da so imeli že pri samem razvoju navedenega modula velikanske težave s testiranjem ravno zaradi neobstojnosti vnosov. Nedvomno so tudi primeri, ko izkoriščanje te vrzeli poteka kot po maslu. Pa smo zopet tam, kar se nam je zdelo zelo pomembno poudariti: (ne)zanesljivost izkoriščevalne kode.

Glede BIND version "info leakage". Se popolnoma strinjam. V končnem poročilu naročniku je bilo to navedeno. Tudi nekoristnost DNS snoopinga je bila navedena. Na izrecno željo naročnika je bilo slednje celo dodatno obrazloženo.

Čisto po pravici, glede SQLi tudi nam ni bilo čisto jasno. Dejstvo je, da je na testnem mlinčku zadeva delovala, na ciljnem sistemu pa ne. Beden izgovor? Hmmm ...

Oba php.ini parametra sta pomembna pri preprečevanju/izkoriščanju vrzeli RFI/LFI. V konkretnem primeru je seveda "pomembnejši" register_globals, saj gre za LFI.

Še zadnja opazka, tisto, da smo najverjetneje testirali lastno omrežje. Kolikor nam je znano, je tako odpravljanje "blura" kot črnega okvirčka enako (ne)zapleteno. Vendar, kot ste že sami opazili, je na fotografiji, ki prikazuje izkoriščanje "Kaminsky buga", dejansko prikazan ranljiv strežnik, medtem ko v članku omenjamo, da sta bila strežnika zakrpana. Res je. Slika ne pripada ciljnemu omrežju. Verjamem, da lahko uganete, zakaj tako :-)

Z vašo trditvijo, da v članku ni bilo dovolj jasno navedeno, da "če pentracijsko testiranje ne uspe, to še ni zagotovilo, da je sistem varen", se žal ne strinjam. To je omenjeno na več mestih, čeprav ne vedno z identičnimi besedami.

Edi Strosar

Med Gregorjem in Edijem se je po elektronski pošti vnela konstruktivna debata, ki pa je zaradi pomanjkanja prostora na tem mestu ne moremo objaviti, up. ur.

2_2010

Digitalna slika na računalniku

Pozdrav, pišem vam v zvezi s člankom o digitalni televiziji. Članek je zelo zanimiv, vendar nekoliko pomanjkljiv.

V tabeli, kjer navajate testirano strojno opremo, imate namreč navedene podprte operacijske sisteme in žal imam občutek, da so podatki na nekaterih mestih zgolj prepisani iz gradiv izdelovalcev.

Konkretno govorim o podpori za Linux. Sam imam namreč Gigabytov GT-U7000 USB DVB-T tuner in zadeva v Linuxu deluje, čeprav je v vaši tabeli navedeno, da so podprta samo Windows Xp, Vista in 7.

Malce sem pobrskal po spletni strani www.linuxtv.org in našel podatke, ki kažejo, da je vsaj delno podprta še naprava AVerMedia AVerTV Hybrid NanoExpress (načeloma naj bi naprava delovala, vendar nekateri uporabniki poročajo, da ne deluje), morda bi delovala tudi AVerMedia AVerTV Hybrid Volar HD (stran LinuxTV wiki navaja, da je podprta naprava AVerMedia AverTV Hybrid Volar HX), preverjeno deluje Gigabytov GT-U7000 (razen priloženega daljinskega upravljalnika), razvijalci pa prav zdaj intenzivno delajo na PCTV Systems PCTV Hybrid Pro Stick.

Glede na to, da stran LinuxTV ne vsebuje najbolj ažurnih informacij, morda deluje tudi katera od drugih naprav, vendar tega žal ne bomo vedeli brez konkretnega testiranja. Zato lahko rečem le škoda, da napravic niste dejansko testirali tudi pod Linuxom.

lp, Matej

Res je, napravice smo preizkušali samo v Oknih, med podprte pa smo šteli le operacijske sisteme, za katere je izdelovalec uradno priložil gonilnike.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji