?

Log in

No account? Create an account
записки рисованного
 
[Most Recent Entries] [Calendar View] [Friends View]

Monday, January 23rd, 2006

Time Event
8:37a
Вроде всего 7 градусов разницы, а на работу идти гораздо приятнее ...
12:20p
Ха! Еще раз убеждаюсь в правильности пословицы "половина ответа находится в правильно сформулированном вопросе". 2 дня развлекался с самбой при включенном ldapsam:trusted = yes. Ну не работает и всё тут. И факи прочитал и документацию ... Даже "один-в-один" уже пробовал делать. Не работает.

Какой вывод можно сделать? Или я дурак, или самбу сломали или документация с факами кривые. Первый вывод из-за своей обидности откинем. Всё-таки практика показала, что зверюшка из меня если и получается, то фиговый. Самбу сломать можно, но как-то не охота верить. Вроде работает же ... Значит - документация кривая. Ибо по себе знаю, что редкий девелопер способен документировать свою работу, как бы его не кормили пряниками и не били кнутом. Еще более редкий девелопер документирует правильно.

В общем, оказалось, что самбе для работы мало обычной группы с posixgroup, ей еще надо и sambaGroupMapping туда же запихать. А вот этого не написано нигде. Даже в супер-оффициальной документации. sambaGroupMapping там применяется для совершенно другого ... Обидно, да? ;-)
1:59p
Кстати, на горбушке белый ветер АКА digital.ru открыл новый магазин в пристройке. Здоровый до безобразия. В общем, там же, где эльдорадо, только на 2м этаже. Походил, поглядел - цены вполне себе конкуренто способные. И даже маки продают. А рекламируют, просто подключив видимокамеру к маку по firewire и предлагая попробовать :-)
4:15p
Во френдленте обсуждают прокол (?) британских джеймсов бондов. Большинство сходится на мнении, что британцы дураки - надо было заюзать компьютеры с их электронной почтой (вариантов много) и не мучаться ... Как человек, немного знакомый с компьютерными технологиями и что бы не повторяться, вынужден разочаровать - фигню предлагаете.

Итак, как происходит отправка почты для большинства моих френдов. Пишем письмо на компьютере, входим в интернет, отправляем, отключаемся. Писать можно в почтовом клиенте, а можно в веб-формочке в интернет-кафе. К интернету можно быть подключенным постоянно или заходить, используя карточку предоплаты. Отправлять можно как через сервер провайдера, так и используя всякие анонимные прокси. Типа, ежели чего, то мы в шоколаде и никто нас за филейную часть не возьмет. А для подстраховки будем не просто письмо писать, а запихивать его в zip с паролем или даже стеганографию использовать ...

А теперь как оно происходит на самом деле у 99.9% пользователей с моей точки зрения. Сначала разберем вариант с диалапом (ибо выделенка - чуть более частный случай). Вы нажимаете кнопку "соединение". Модем поднимает трубку. В логах вашей АТС появляется запись "время такое-то, абонент такой-то поднял трубку". Модем набирает номер. В логах АТС появляется запись "абонент набрал номер такой-то, время такое-то, звонок отправляю по транку такому-то на АТС такую-то". У АТС провайдера в логах появляется "с такой-то в такое-то время АТС пришел звонок на номер такой-то, отправляю на транк такой-то". У провайдера на AS (сервер доступа) приходит "звонок от такого-то номера на такой-то". AS провайдера смотрит в конфиги "ага, номер диалапный, не из блек листа, значит поднимаем скрипт для диалапа". В логи пишем "время такое-то, входящий звонок от такого-то номера". Модем свиристит и улюлюкая, соединяется. Компьютер увидев это, сообщает логин и пароль, который вы набрали. AS провайдера смотрит в базу и записывает в логи "время такое-то, юзер такой-то, сессия началась тогда-то, адрес выдан такой-то, просидеть может столько-то". Вам компьютер сообщает, что в интернете.

Теперь вы радостно давите на кнопку "послать" в своем любимом почтовом клиенте. Онный клиент формирует технические заголовки для письма "от кого, кому, зачем" и лезет к серверу имен за именем почтового сервера. Получает и присоединяется. Почтовый сервер в логах пишет "время такое-то, ко мне присоеденился такой-то". Почтовый клиент по необходимости сообщает логин и пароль (и сервер пишет в логи логин) и сообщает от кого и кому письмо (то, что в заголовках письма, никого не волнует). Сервер соглашается принять письмо и получает его целиком. Дабавляет в технические заголовки свои записи о времени, и от кого получено письмо и кладет письмо в очередь на доставку. Сообщает почтовому клиенту о том, что письмо принято и готов принять следующее. Почтовый клиент отцепляется и сообщает вам, что письмо отправлено.

Вы отсоединяетесь от интернета, а в логах провайдера и всех участвующих в звонке АТС появляются записи о времени отключения. Они потом будут использоваться для выставления счетов и прочих расчетов.

В это время почтовый сервер повторяет путь почтового клиента Нцать раз и в конце-концов письмо попадает в почтовый ящик абонента. Учите, что на каждом шаге в логах промежуточных серверов остаются записи о времени и от кого и кому ...

Как-нить абонент повторяет процедру выхода в интернет и почтовым клиентом забирает письмо. При этом в логах опять остается "когда, от кого и кто". Наконец, абонет читает письмо, вводя пароль к зип-файлу, открывая джипежку и прочее, прочее. Да, при этом все эти логи может получить любой следователь согласно описанной где-то процедуре. Про спецслужбы и говорить нечего.

Теперь представим, что мы - "управление Зет" и наша прямая задача отлавливать таких вот несознательных граждан. Методов очень много, но самый простой - идти "от противного". Сиречь смотреть за посольскими работниками и их коммуникациями. Телефоны отловить просто - прийти к оператору и взять логи. Но мы ведь компьютерами пользуемся ... а посольские, гады, всяко-разно шифруются и через спутники между посольствами шифровками обмениваются. Поди разбери - почту он качает или голых девочек смотрит ... И тут просто - выясняем всякими методами список организаций, так или иначе связанных с посольскими делами и выясняем список адресов, которые им выделены - это не так сложно. Следующий шаг - на магистральном провайдере ставим простенький фильтр, который будет отсеивать все нам интересное для разбора людьми. Делается это не просто, а очень просто. Для интересующихя - поиск по слову СОРМ. Самое известное применение такой системы -у китайцев. В россии СОРМ есть у каждого крупного провадера. У буржуев тоже есть что-то свое, не помню как называется. И они после 11 сентября вообще на этом помешались.

Прямой метод - отслеживать коммуникации уже "засвеченного" - забирать у провайдера логи и вообще записывать всю интернет сессию вместе с записью камер видеонаблюдения из интернет-кафе.

В общем, самый главный факт из всего вышенаписанного: компьюеры не признают анонимов. Любой грамотный админ при наличии полномочий и возможностей возьмет "под лупу" любой ваш контакт, совершенный с помощью современных средств. Более того, он вообще может прогнать весь ваш трафик "через себя", а вы об этом даже и не узнаете ...

Теперь про зипы и стеганографию с PGP. Все это или ломается очень быстро или вызывает подозрение самим своим существованием. А всем нам по фильмам известен метод термобарического взлома шифров (утюг на живот или паяльник в попу). Ну а у спецслужб есть всякие "наркотики правды" ...

Мне могут возразить "не, ну я крут и меня не достанут". Фигу. Я, зная всю эту кухню кучу лет - не могу придумать неотслеживаемого контакта через интернет (Невзламываемого - запросто) А я знаю о всем этом гораздо больше, чем 99,9% населения.

А теперь поставьте себя на место британских шпионов. У них, как и у всех, нифига нет денег. Плюс агенты - это нифига не спецы в компьютерах. Плюс они прекрасно знакомы с тем, что спецслужбы противной стороны тоже не спят. Посему они и делают эту каменюку. Засовывают в нее кастрированный КПК с блутусом и инструктируют агентов. Дешево, и фиг найдешь, пока носом не ткнут. Затраты на агента - ну баксов 200 максимум (или сколько нынче самый дешевый КПК с блутусом стоит?) Оно и работало, пока носом не ткнули ... А не ткнули бы - так бы и гоняли инфу скрытно ...
4:45p
Сижу и по идиотски улыбаюсь ... веб-авторизация через LDAP работает, самба через LDAP работает, юзеры в системе опять же через ldap появляются и исчезают. Осталось почту прикрутить и dns с dhcp (но надо ли? И вообще, есть ли смысл) ...

В общем, балуюсь с построеной игрушкой ...
5:14p
Да, видимо я разучился писать. Общая идея поста про шпиенов - не то, как их надо ловить (я тут ламер), а то, что логи пишутся практически на каждый чих. И при наличии желания и возможностей можно по ним многое отследить ...
6:09p
Да, про ldap+dns. Я нашел только какой-то бэкенд к bind и http://nimh.org/code/ldapdns/ сервер. Я плохо искал или их на самом деле нет?
6:26p
(поглядев на объем файла с заготовкой для рассказки) 70 килобайт. Умереть и не встать. А я еще только половину максимум сделал ... Замучаетесь читать :-) (собирается домой, злобно хохоча)

<< Previous Day 2006/01/23
[Calendar]
Next Day >>
multik   About LiveJournal.com