Archive forDecember, 2008

Hash Competition

Nu mai devreme de ieri scriam un lucru pe care îl spun de mult timp:

Și eu (ca și mulți alții) consider că soluția cea mai bună ar fi organizarea unei competiții de tipul celei organizate pentru algoritmii de criptare în 1997 (competiție în urma căreia a apărut AES-ul).

Ei bine, iată că se întâmplă! Se pare că eram în urmă cu știrile – deja există așa ceva!

Concursul este deja deschis, și s-au primit 64 de propuneri. Cel mai probabil vom avea un standard undeva prin 2012. Not a moment too soon, aș putea spune :)

Detalii aici (wired.com), aici (schneier.com), sau aici (cio.com).

Comments (4)

MD5 Considered Harmful Today

Urmăresc de ceva vreme progresul făcut în direcția „spargerii” algoritmului MD5. Și nu o dată m-am contrazis cu oamenii care susțineau că a fost deja spart. De ce? Pentru că „posibilitatea găsirii unor coliziuni random” nu echivalează cu „posibilitatea găsirii unor coliziuni pentru un text dat”, sau (și mai important) cu „posibilitatea realizării unui atac pe baza acestor coliziuni”.

Ei bine, iată că a fost făcut și acest ultim pas. Astăzi a fost anunțat ceea ce este (din câte știu eu) primul atac „real-world” bazat pe vulnerabilitățile MD5. Un grup de cercetători au reușit să obțină un certificat „fals”, care apare în browsere ca fiind emis de un CA comercial. Ca urmare, certificatul este recunoscut și acceptat ca valid de către browser-ele web.

Mai mult – certificatul emis este un certificat de CA intermediar. Ca urmare, toate certificatele semnate ulterior folosind acest certificat vor fi recunoscute și acceptate ca valide de către browsere!

Da, cercetarea nu s-a bazat numai pe vulnerabilitățile MD5-ului. S-a bazat și pe anumite vulnerabilități din implementarea CA-ului (numere de secvență liniare, moment predictibil al emiterii certificatului, path length lipsă în CA-ul root, etc). Totuși, faptul că atacul a reușit (timpul necesar pentru calcul fiind de numai câteva zile!!) înseamnă că într-adevăr perioada de utilitate a MD5-ului s-a terminat.

Aș spune că este momentul să ne căutăm alți algoritmi de hashing, dar…. nu prea avem alternative. SHA-1 este mai secure, dar și el are o serie de vulnerabilități (nu de aceeași anvergură, dar vulnerabilități nevertheless). Ca urmare, și el va trebui înlocuit până în 2010 (recomandare NIST).

Cu ce? Încă nu știm. Și eu (ca și mulți alții) consider că soluția cea mai bună ar fi organizarea unei competiții de tipul celei organizate pentru algoritmii de criptare în 1997 (competiție în urma căreia a apărut AES-ul).

Detaliile despre atac le găsiți aici. Credits go to LifeTester, care se pare că în loc să se gândească la anul nou stă și citește despre MD5 pe ‘Net. :)

Comments (6)

Cisco for Christmas

„Can I have a 6509 to go with this?” =))

Comments (2)

“Thank you”. Varianta Orange

Aveam si eu o intrebare referitoare la Orange Thank you (legată de „ce se întâmplă dacă trec tel. pe persoană juridică”). Ca urmare, am făcut greșeala să cred ce scrie pe site-ul Orange:

aflã mai multe despre Orange Thank You

Pentru orice întrebare despre Orange Thank You sunã gratuit la 433 de pe telefonul tãu Orange sau scrie-ne la thankyou@orange.ro.

Dau mail. Aștept o zi. Aștept două. Aștept o săptămână. Nimic. După 12 zile, primesc totuși ceva:

Your message
To: Thankyou@Orange.ro
Subject: Abonament persoana fizica/juridica
Sent: Wed, 3 Dec 2008 15:48:00 +0200

was deleted without being read on Mon, 15 Dec 2008 15:31:55 +0200

Final-Recipient: RFC822; Thankyou@orange.ro
Disposition: automatic-action/MDN-sent-automatically; deleted
X-MSExch-Correlation-Key: 6CmigK6uTU2LczuryHw/zg==

Adică „na, fraiere! Nu numai că nu-ți răspundem – îți spunem clar că l-am șters fără ca măcar să îl citim! Acu’ oftică-te!”

„Mulțumim că ești clientul nostru”. Varianta Orange. Unică și inconfundabilă :)

Comments (2)

Cisco Developer Contest

Știți programare? Ceva Linux? Eventual și ceva rețelistică? Dacă da, aveți acum ocazia să le îmbinați, pentru a câștiga 50K USD :)

Despre ce este vorba? Despre Cisco Developer Contest – dezvoltarea de aplicații folosind Cisco AXP (Application eXtension Platform).

Primul deadline – 12 ianuarie 2009, pentru trimiterea ideii. Detalii în link-ul de mai sus :)

Comments (9)

RDS – partea a treia

Încă o rundă de stat la telefon cu RDS. Încă o discuție absolut fascinantă…

De ce am sunat din nou? Pentru că după ce do’n’shoara m-a trimis atât de insistent la admin.rdslink, am constatat că acolo nu am NICI codul de client, NICI codurile de factură pentru televiziune!

„Bună seara, spuneți-mi vă rog cum aflu datele necesare pentru plata online – cod client, cod factură. Pe admin.rdslink nu apar”

„Sunteți titularul de contract? CNP-ul, vă rog”

„xxxxxxxxx”

„Apar pe admin.rdslink”

„Nu apar”

„Ba apar, în partea dreaptă”

„Nu, nu apar”

„Aveți acolo, în dreapta: cont, banca, cod client”

„Nu, nu am”

„Eu pot să văd facturile exact cum le vedeți și dv”

„Vă rog uitați-vă, și veți constata că nu apar”

[… pauză 2 minute…]

„Aveți în dreapta cont, bancă, și cod client”

„În dreapta am așa: Cumpărător, cod fiscal, sediu, județ, cont, bancă, reprezentant. Dintre toate, DOAR sediul este completat (cu roșu), iar codul de client nici măcar nu apare ca rubrică”

„Ciudat, la mine apare…” (m-am abținut de la un „bine, atunci plătește tu!”)

„La mine nu apare”

„Notați, vă rog – xxxxxxx”

„Mulțumesc – și acum aceeași întrebare pentru televiziune”

„Pentru televiziune nu vă putem spune – apare pe factură”

„Problema este că eu nu am mai văzut o factură de 6 luni de zile!”

„Noi nu avem acces să vizualizăm informațiile respective – ele apar doar pe factură, în momentul în care se tipărește”

„Problema este că după ce se tipărește dispare, și la mine nu ajunge. Alte sugestii?”

„Plătiți la casierie”

„Cred că nu ați înțeles – prefer să plătesc online tocmai pentru a evita statul la cozi la casierie!”

„Oricum, la televiziune este sumă fixă. Plătiți în avans” („sumă fixă”, zici? Mă uit acum pe facturi: Oct-21 RON; Nov: 21 RON; Dec: 23 RON. Pare mobilă suma aia… )

„Nu, mulțumesc – am plătit în avans, și m-am trezit deconectat!”

„Plătiți pe 6 luni. Și peste 6 luni, plătiți din nou” (asta e un fel de „tu dai și bani în avans, nici factură nu vezi, și nici vreun beneficiu nu ai”)

„Da, bine, mulțumesc”

Genială relația cu clienții, nu?

Comments (1)

RDS, partea a doua

Azi am fost la casieria RDS. Ca să plătesc sumele restante (știți care, alea pentru care n-am primit nici în ziua de azi factură).

Ce am aflat:

  1. Că „într-adevăr, au fost niște probleme cu firma de curierat” – au schimbat firma, și de aia nu au mai ajuns facturile. Dar „probleme au fost doar luna aceasta, atât!” (hai pariu? Că din primăvară n-am mai văzut facturi de la voi?)
  2. Că pot să primesc factura prin e-mail. Nu faceți greșeala pe care am făcut-o eu – să vă bucurați când auziți asta! Pentru că „trebuie să sun la Relații Clienți”. Adică un fel de ”prin poștă n-o trimitem, iar ca să ți-o dăm prin e-mail trebuie să stai minim 20 de minute on hold la telefon(?!!)”
  3. Că mi-au pus scurt pe factură un „11 RON, taxă de reconectare”. Încep să înțeleg de ce nu trimit facturi – de ce să PLĂTEȘTI tu curierul, când poți să nu-l plătești, și să mai iei și banii frai^H^H^H clienților? Business, vere!

Bine-a zis cine-a zis: „Erdeesh – Internet să-ți bagi… picioru’!”. De fapt Internetul merge bine – relația cu clienții este de tot rahatul…

[ LE: Tocmai am sunat la ei. Încerc să reproduc conversația de-a dreptul… fascinantă pe care am avut-o:

„Bună seara, spuneți-mi vă rog cum pot să primesc o copie a facturilor prin e-mail”

„Le puteți vizualiza dv. pe admin.rdslink.ro” ( eu sunt încă în faza de calm)

„Mi s-a spus de la casierie că pot să primesc o copie prin e-mail”

„Le puteți vizualiza dv. pe admin.rdslink.ro” ( încep să intru în faza de enervare )

„Întrebarea era cum pot să fac să primesc o notificare atunci când se emite o factură” (când plătesc pe 4 sau 6 luni în avans, nu mai stau să caut pe site-u’ lor)

„Primiți automat o notificare pe telefonul mobil” (hai nu zău?? PE CARE?)

„Pe ce telefon??”

„DigiMobil” (A-HA! Adică „suntem mult prea zgârciți ca să dăm măcar niște sms-uri pe mobile „normale”) „Dar nu aveți DigiMobil” (no shit? Și dacă știi asta, pe ce te așteptai să primesc notificările? Zău că nu am nici un fel de parte a corpului care să poată prinde semnalul DigiMobil!)

„Bun, încă o dată – se poate să primesc vreo formă de notificare atunci când se emite o factură?”

„Le puteți vizualiza dv. pe admin.rdslink.ro” (moment în care trec în faza de disperare )

„Mulțumesc, la revedere”

„Intrați pe admin(punct)rdslink(punct)ro…”

„Mulțumesc, la revedere”

(continuă imperturbabilă) „…vă conectați cu username-ul și parola din contract, și puteți vizualiza facturile” (eu mă pregătesc deja să-i trântesc telefonul în nas, că nu mai suport. Din fericire o aud:) „Cu alte informații vă mai putem ajuta?”

„Nu, mulțumesc, m-ați ajutat destul”

„Vă mulțumim că ați apelat…” (CLANK!, că n-am mai rezistat! :) )

Cred că și eu și ea am avut sentimentul de „ăsta chiar e prost și nu înțelege ce vreau să zic”…

Dacă nu știți la ce mă refer cu fazele, detalii aici.

]

[ ELE: am fost și pe admin.rdslink. Acolo sunt facturile, dar nu și codul de client (pe facturile de acolo nu apare decât adresa – câmpurile „nume client”, „cod client”, etc sunt necompletate).

Mai mult – acolo apar facturile pentru FiberLink, RDSTel, și convorbiri. Nu și factura de cablu TV.

Rezultat – tot nu pot să plătesc online pe baza a ce este acolo!! ]

Comments (6)

Să ne distrăm cu RDS

Astăzi m-am întâlnit cu o vecină care se plângea că nu mai are semnal pe cablu. Ocazie cu care verific și eu, și constat că nici mie nu îmi merge. Sun la ei, și… aflu că „sunt deconectat pentru neplată”.

Eu unul plătesc pe mai multe luni o dată, ca să nu am surprize. Și nu mai știam dacă am plătit până în octombrie sau până în decembrie.

Partea frumoasă? Nu am primit NICI UN FEL de factură!!!! NIMIC!!! De vreo 6 luni încoace! Înțeleg, 4 au fost plătite în avans, și nu s-au deranjat să trimită factură cu 0 (așa cum face orice alt furnizor de servicii, și cum este de altfel normal). Dar restul de 2???

Mai mult, când l-am întrebat pe guzganul de la telefon cum pot să plătesc online (v-am mai zis eu că în ultima vreme m-am învățat cu internet banking, nu cu cozile de la casierii :) ), aflu că „nu puteți dacă nu aveți factura”. Și mai frumos, n-a știut să îmi spună cum aș putea să obțin o copie a facturii.

Bravo, băieți! Țineți-o tot așa! X-(

Comments (5)

Între securitate și organizare

Astăzi am zis „hai să merg și eu la paradă”. Mai mult din cauză că se organiza o… deplasare în grup cu mai mulți maniaci^H^H^H^H pasionați în ale fotografiei.

Ajung acolo cu metroul, merg frumos pe stradă, și am o surpriză: exista un loc unde toată lumea stătea. Abia când m-am apropiat de locul respectiv mi-am dat seama de ce: erau acolo 2 persoane care stăteau și pipăiau lumea.Nu erau hoți de buzunare, erau „controlul de securitate”.

Dacă atunci când auziți cuvintele „control de securitate” vă gândiți la mănuși albe și detectoare de metale, înseamnă că sunteți de prea mult timp plecați din România. Nu – acolo era direct la stilul „te prind, te pipăi, îți dau drumu’”. Fără discriminări referitoare măcar la sexul pipăitorului și/sau al pipăitului.

Mă rog – ajung și eu acolo, mă caută tipa în geantă (ditamai rucsacul foto, că venisem pregătit :P ), și începe să mă mângâie. Și dă peste… (nu vă gândiți la tâmpenii!) briceag. Un briceag de vreo 5cm, prins într-un toc la centură (deci absolut la vedere). Briceag pe care îl port de ani de zile cu mine, pe post de „emergency repair kit” :) . Moment în care i se rupe filmul, și mă trimite direct la jandarmul de lângă. Rezultat preliminar – am reușit să pierd tot grupul de amici cu care venisem la pozat.

Mă rog – după vreo câteva minute de parlamentări, jandarmul a ajuns la concluzia absolut genială: „Îl ascundeți pe undeva sau îl aruncați, că nu aveți voie să intrați cu el!”. Mi-a fost foarte greu să îi explic politicos ideea că „eu am briceagu’ ăsta de ani de zile, și mai degrabă îmi bag picioru’ în toată parada voastră decât să îl arunc”.

Trecem peste partea cu controlul de securitate care nu era anunțat în nici un fel. Trecem și peste faptul că nu exista nicăieri o listă cu obiectele interzise. Sau o modalitate de a lăsa undeva briceagul, și de a-l recupera la ieșire (așa cum am găsit la orice control de securitate cu care m-am întâlnit până acum, cu excepția celor din aeroporturi). Și ajungem la partea interesantă: cea în care am luat frumos briceagul, l-am pus într-un buzunar, și am traversat strada către un alt punct de control.

Pe ce m-am bazat? Pe faptul că este practic imposibil ca în doar 2 puncte de securitate, practic lipsite complet de dotare (cum ar fi detectoarele de metale menționate mai sus) să poți să controlezi complet mii de oameni care vin la o manifestare. Întotdeauna securitatea se obține printr-un compromis – iar aici compromisul trebuia făcut cu timpul necesar verificării amănunțite a fiecărei persoane. Timp pe care nu îl ai atunci când în spatele persoanei mai sunt câteva sute care te înjură printre dinți.

Rezultat final? În 10 minute eram trecut de controlul de securitate, și am putut „să mă bucur în liniște de paradă” (ghilimelele sunt acolo din cauză că n-am putut să mă bucur decât de spinarea celor din față – de văzut nu am văzut NIMIC din paradă!) Rămânând totuși cu un gust amar din cauza evenimentului…

Am mai spus-o aici, și o repet: operațiuni de genul acesta nu sunt măsuri de securitate. Sunt doar un fel de „hai să ne facem și noi că facem ceva”. Doar o modalitate prin care unii oameni își justifică un salariu. Astfel de măsuri nu vor opri pe nimeni (see above), cu atât mai puțin pe un terorist hotărât (sau un grup). În schimb, vor reuși să strice ziua pentru sute de oameni cinstiți.

Comments (4)