Дыра в безопасности...

На днях появился в прессе пост о дыре в одном из интернет банков нашей страны. В двух словах, студент-докторант показал, что в некоторых случаях можно  обмануть авторизацию и зайти в банк, зная только ваше имя пользователя. Смотрим видео.

Технически он сгенерировал selfsigned сертификат и импортировал его в бразуер. Почему приложение не делает никаких проверок никто не знает. И уже не узнает.  Самое интересное, что  данная проблема не только у СЕБ банка. Какое-то время назад точно такая же проблема была и у другого крупного банка нашей станы. Студентом был проведен большой анализ  и кому интересно есть целая научная статья на эту тему http://kodu.ut.ee/~arnis/tlscca.pdf с полным техническим описание проблемы, почему она есть и как ее решить. А также как правильно настроить ваш Апач, чтоб избежать подобных проблем. Мой совет - если у вас важная инфраструктура,  то не пожалейте денег на penetration test. 

Ну и немного интересного из статьи:
A client certificate that is issued by a trusted CA is required only in cases where the client has no account on a server and where the server would be required to know the user’s government issued identity for opening such an account.  Most service providers only care about a user’s identity established after the registration process. Therefore, in the process of account registration or after that, any service provider can register a client’s certificate, and this can be used to authenticate the user thereafter. 
....
Recent incidents involving the compromise of trusted CAs DigiNotar [28] and Comodo [29] and reported misbehavior of the CAs Trustwave [30] and TURKTRUST [31] show that MITM attacks using fraudulent certificates issued by trusted CAs are very realistic. Even if an attacker is not powerful enough to obtain a certificate issued by a trusted CA, he can perform a MITM attack using a self-generated certificate and if the victim clicks through browser security warnings, can achieve successful impersonation of the legitimate server.

Сервис рассылки СМС сообщений

В этом посте я хотел бы рассказать о другом проекте знакомых, которые занимаются рассылкой СМС сообщений по всему миру, а заодно и о СМС бизнесе. 

Каждый из Вас хоть раз получал информационное сообщение.Они бывают различного характера: из магазина где Вы постоянный клиент, реклама различных служб или услуг, информирование о рекламных акциях, информацию об СМС заёме и тд. Но мало кто задумывается как эти сообщения посылаются. Если Вы думаете, что сидит команда с телефонами, которая строчит СМСки, то вы ошибаетесь, технология ушла далеко вперед оставив такие дедовские методы позади. Для отсылки массовых СМС сообщений используют сторонние фирмы с API решениями. 

Самое простое - это посылать по HTTP протоколу, вставляя свои данные прямо в URL. Вот один из примеров такого URLа 

http://panel.smspm.com/gateway/52248aec022c6d53eabe30/api.v1/send?phone=37254515400&sender=SMSPM.com&message=This+is+a+test+message&output=json 

где 52248aec022c6d53eabe30 - hash ключ 

37254515400 - номер получателя СМС 

SMSPM.com - номер отправителя или название организации 

This+is+a+test+message - текст сообщения 

Такое решение очень просто интегрировать на свой сайт или в свою систему и посылать автоматические СМС после какого-то определенного действия. 

К сожалению, договориться с операторами связи о прямой передаче СМС на их сервера очень сложно. Точнее не так сложно, как проблематично решить проблему их стоимости. Их цены настолько закручены, что делает весь СМС бизнес абсолютно не выгодным ни для смс аггрегаторов (типа SMSPM) ни для конечного клиента. 

Поэтому приходиться договариваться с заграничными операторами, которые пересылают СМС по роуминг каналам. Звучит нелепо, но это снижает цену в несколько раз. Ничего необычного в том, что если СМС сообщение, отправленное эстонским клиентом в Tele2 уходит сначала в Венесуэллу, а потом возвращается обратно. 

Другой мунус бизнеса, то что операторы не очень рады таким СМСкам "издалека". Они считают что могли бы заработать на них больше и поэтому, когда трафик через один канал становится достаточно большим, то этот канал может просто быть заблокирован. Решение одно - постоянный мониторинг статистики и готовность переключить на другои канал. 

СМС услугами пользуются организации абсолютно разных направлений: 

СМС заёмы; магазины и салоны красоты, которые сообщают клиентам о скидках; ночные клубы; интернет магазины; мониторинг устройств; сервисы для активации телефонного номера и многие другие.

Тут можно посмотреть как:

Отправить СМС в Эстонию 

Отправить СМС в Россию 

Отправить СМС в Украину

Немного о такси в нашей любимой стране.

Не первый раз добираясь на такси домой задумываюсь - живу в стране, которая далеко не на последнем месте по технологиям и IT, но почему то поездки в такси доставляют совсем уж мало удовольствия. На весь салон машины "кричит и шипит рация". когда хочется тишины и покоя, чтобы расслабиться и подумать о своем. Сегодня расскажу о проекте-стартапе знакомых, благодаря которым в такси будет тихо, и, как они утверждают, машины будут приезжать быстрее, чем раньше. Сейчас у большого количества таксистов продвинутые телефоны на андроиде, именно они и заменят рации. Оператор не будет ничего кричать в эфир, у него будет программа для диспетчеров, где он будет вводить заказы. Дальше заказы будут перекидываться в специальное андроид-приложение на телефоне, и уже оттуда водитель сможет сам выбирать заказы которые он хочет выполнять. 

В соседних странах удачно практикуют похожую систему, но там используют старые телефоны и соответственно Java приложение. У таких телефонов есть существенные минусы: 

1). Маленький экран, информация сокращена и помещается полностью на экран, шрифт маленький. 

2) Экран не сенсорный, это не удобно и в пути пользоваться опаснее.  

3). Нет GPS, соответственно никто не знает где находится такси  

4). Нет стандартных андройдовских вещей, например Maps API от Google.

Немного о технических сторонах проекта. 

Для более удобной работы и диспетчера и таксиста используются сервисы Google. Например, вводя адрес клиента запрос проверяется Google Places API и возвращается правильный адрес вместе с координатами. Координаты передаются в программу для таксистов, где клиент отображается на карте вместе с положением таксиста. Зум у карты динамический, то есть по мере приближения таксиста к клиенту зум будет увеличиваться и карта будет всё подробнее и подробнее. Вполне можно использовать как альтернативу GPS навигатора :) 

Настройка HP iLO в Linux

iLO - HP Integrated Lights-Out (iLO) сервис на HP серверах, позволяющий менджерить сервера. Это отдельный чип на самом сервере, который имеет веб интерфейс. Можно, например перезапустить сервер. Или, посмотреть состояние железа. Даже, если ОС повисла. iLO автономен. 

Настроить iLO можно, перезапустив компьютер, нажав F8. Это можно также сделать без перезагрузки. Для этого есть свои утилиты. Первым делом, меняем sources.list файл. Добавляем туда репозиторий HP

vi /etc/apt/sources.list
Добавим
deb http://downloads.linux.hp.com/SDR/downloads/ProLiantSupportPack/ lucid current/non-free  

и запустим
apt-get update  

После чего надо поставить утилиту от HP
[root@somewhere ~]# apt-get install hponcfg

После этого экспортируем существующие настройки iLO  в файл этой утилитой

 [root@somewhere ~]# hponcfg -a -w iloconfig.cfg  
 Firmware Revision = 2.05 Device type = iLO 2 Driver name = hpilo  
 RILOE II/iLO configuration successfully written to file "iloconfig.cfg"  

Открываем файл iloconfig.cfg  и меняем настройки, например отключаем DHCP

<dhcp_enable value="N">
настраиваем IP
<ip_address value="192.168.0.244">
<subnet_mask value="255.255.255.0">
<gateway_ip_address value="192.168.0.1">

Далее прописываем назад в iLO измененный XML файл с новыми настройками

[root@somewhere ~]# hponcfg -f iloconfig_new.cfg  
Firmware Revision = 2.05 Device type = iLO 2 Driver name = hpilo  
Integrated Lights-Out will reset at the end of the script

А теперь заходим в iLO через браузер - https://192.168.0.244 :)

Задержка при записи на диски. Проблема с кэшем на HP Smart Array P411

Имеется следующая система: сервер и к нему подключен disc enclosure через HP Smart Array P411 - SAS/SCSI  с 256 мегами кэша райд контроллер. Система (Линукс) видит накопитель, видит файловую систему. Если мы копируем файл с винта на сторедж, даже простой командой  

cp /home/las97/test.txt /usr/storage/ 

возникает задержка в несколько секунд, прежде чем файл будет скопирован. Причем, если данных много, все то, что не скопировалось идет в буфер, и загрузка системы достигает 100%.

Решение такое: надо было поиграть с настройками кэша. Включил кэш на жестких дисках и  поменял cache ration на контроллере. По умолчанию было 50% write, 50% read. Поставил 10% write и 90% read. Все забегало!

Производитель также советует поставить следующую конфигурацию в системе:

echo "noop" > /sys/block/cciss\!c0d0/queue/scheduler 

blockdev --setra  4096 /dev/cciss/c0d0

echo 512 > /sys/block/cciss\!c0d0/queue/nr_requests

echo 2048 > /sys/block/cciss\!c0d0/queue/read_ahead_kb

Настройка UID/GID в NFS Client в Windows

Есть проблема: надо примонтировать сетевой NFS диск с пользователем у которого UID=1003.

Работает в Windwos с NFS Client. По умолчания в Windows нигде нет такого поля. Команда
net use или mount тоже не позволяют это сделать. Зачем это надо? Нужно, что бы у созданных пользователем файлов были правильный владелец (для Linux/Unix систем). Иначе не будет корректно работать инфосистема. Открываем regedit.exe
Ищем ключ Locate HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ClientForNFS \CurrentVersion\Default 

Добавляем новые ключи DWORD ключи AnonymousUid и AnonymousGid
Даем им нужный UID/GID. Далее монтируем диск:

C:\Windows\system32>mount -o sec=sys anon \\192.168.0.11\manager Z:
Z: is now successfully connected to \\192.168.0.11\manager

 Работает, ура