татко Крокодил

Около един разговор в четвъртък реших най-накрая да пусна един irc сървър с връзка с twitter. Накратко – marla.ludost.net, порт 6667, канал #marla, има там един bot, който предава нещата от twitter в канала и може да бъде накаран да follow-ва още някой. Бота е писан на python, и има нужда от дописване на няколко неща:
– да хваща неща от канала и да ги пуска в twitter на някакъв принцип
– филтър, за да реже разни глупости, като 4sq
– в някакъв момент – правене на канали от hashtag-ове

Снощи беше отпразнуван крокодиловден.

Идея си нямам колко изпихме, но бележките са в мен, ще взема да ги сметна накрая. Изкарах до около 2 и ги оставих да допиват.

Пак имаше танца на пияния и изпаднал крокодил, и май ще да е последното изпълнение. Крайно време е да се измисли някаква нова дивотия. Има огромно количество записи, вероятно няколко ще бъдат качени.
(трябва да има и снимки, ама не е ясно колко ще бъдат качени – има бая компромати из тях)

Както обикновено, в списъка подаръци има невероятни дивотии (не мога да си спомня кое от кого беше):
Лопата (от digger)
Плуваща играчка – хуй – за вана (навива се и размахва крака) и дъвка с хлебарка (от Весо).
Магнитни топчета (според физика и надписа на кутийката – 216 на брой) и 4×4 кубче на Рубик (което остана там, понеже почти го разглобиха оставих там да го сглобят наново)
Лула и тютюн (от Ици, после как да обясня, че не пуша…)
Часовник-бомба (за събуждане)
Една тениска с крокодил и надпис “bio debugger”, от Алекс.
Два афиша с Hannah Murray и две чаши, в които като налееш гореща вода отстрани им се появява тая картинка (на едната е малко по-различна версия) (от Линда).
Една табела със много ценен надпис, в общи линии отмъкната от някъде.
Три торби дрехи от Галя и Ирина (с надписи, че са чисти).
Разтегаема вилица и завеса за баня с кръв по нея.
Една кутийка черен хайвер.
Едно музикално устройство (в което се духа и е с клавиши като пиано) от Петьо, Катина и Виктор.
Устройство за правене на перца за китара от произволни неща (нещо като перфоратор) от Мариела.
Drinking игра от Мишо.
Някакво количество пиене (един Jack Daniels с чаши, един Dimple, един 12-годишен Tullamore dew и един sample с 3 single-malt уискита (Lagavulin, Talisker, Ragganmore))
Билет за Kultur Shock, увит в билет за Lepa Brena (Mastika i Boza tour), за 31ви февруари в Sin city, сектор 6 без 10, маса 3 (правостоящи отгоре и), от iffi и Канев.
USB лампа и вентилатор с допълнителни батерии (от Тинчев и Чорбаджийски).
Странен device за раздухване на барбекю, комбиниран с отварачка (от maxbam).
Двата тома на “Задочни репортажи за България” на Георги Марков (от immortal).
Новите задочни репортажи и “Машина за легитимност” (от Пейо).
“Жълтите очи на крокодила” (от Бобсън).
“Половите инфекции” и “Синдром на раздразненото дебело черво” (от Каравелов и д-р Михов)
“501 must-read books” (от Крис, както каза – meta-подарък)
Един голям плюшен задник (т.е. сърце, ама всички знаем оня виц за кардиолога).
Скицник, тетрадка и моливчета, като да ходя в първи клас.
Една статуетка с надпис “питието определя битието” (от blade runner).

Ако има още нещо, припомнете.

И така, отиде се на FOSDEM. Червото и компания не успяха да се доберат до багер, та нямаше големи ексцесии.

Престоят в Брюксел си беше ок – температурата беше по-висока от тая в София, за сметка на това имаше бая вятър. Бях в един хотел, който явно от доста време не беше ремонтиран сериозно (на самия център), а стаята ми гледаше към улицата и още на първата вечер реших, че ще се спи с тапи за уши (след като към 2 някакви хора минаха под прозореца ми пеейки).
Също така бирата им може да е малка (330ml), но па е 8% в много от случаите. Добре си пийнахме. По свидетелски показания червото почти заспал на масата, след като изпил 20-и-нещо бири.
Хубавите жени бяха основно в подсъдна възраст. Мъка.

Успях да присъствам на следните лекции:

1) Политическата лекция на Ебен Моглен. Основният въпрос беше как свободата на мрежата изостава и как услугите, които ползваме, от достъпа до разните web-базирани услуги са твърде централизирани и лесни за спиране/атакуване от разни хора, на които ние не вярваме особено (например щатското правителство). От една гледна точка идеята е добра, но като се заговори за реализацията, се почна едно обясняване как идеята е да имаме всички по едно малко устройство, което да играе router/server за отделните хора, да се mesh-ват и да може да се минава откъдето си искаш към Internet. Технически няма подобна реализация и не е ясно дали изобщо може да стане (текущите mesh протоколи с над 1000 точки почват сериозно да се шашкат, а и всичките са intradomain, т.е. когато устройствата са под един административен контрол). Да не говорим, че всяко едно тоталитарно правителство с малко инвестиции в микровълнови фурни и малко patch-ване да работят на отворена врата могат да убият всичкия wireless в един град без особени усилия…

2) Лекцията за Clang и LLVM – нищо ново, накратко по-бърз и по-добър компилатор от gcc, заради новата си по-изчистена архитектура.

3) Две лекции (“DevOps and more” и “I’m going M.A.D.”) за конфликта м/у разработчици и оперативни хора и какво може да се направи по въпроса. В тон с оптимистичния тон на конференцията идеята беше, че може двата типа хора да работят заедно и да се избегнат стандартните проблеми (например софтуер, който е тотално неизползваем в production). Идеята е добра, но имам някакви съмнения за реализируемостта и.

4) Дискусията за реформата в Gentoo – умряла работа почти като самата дистрибуция (въпреки техните твърдения). Излязох на средата, понеже нищо не се чуваше от това, което се говори (FOSDEM определено трябва да помислят за озвучаване на всички зали, не само на големите).

5) Debian GNU/kFreeBSD (известно още като “абоминацията”) – разказаха как проектът вече го има в последния stable release на Debian, просто е маркиран като technology preview (но си работи, има си инсталатор и т.н.). Имаше въпрос дали FreeBSD хората са щастливи от това, и отговорът беше, че са – повечето patch-ове, който debian-ци са написали, са приети във freebsd ядрото.

6) Practical Go programming – пак нищо особено интересно. Езикът не изглежда зле, има някакъв приличен framework, но не е нещо особено и велико. Може би и това му е основното предимство – лесен и чист начин човек да си свърши работата, без глупости.

7) Storage технологиите, които facebook ползва за съхраняване на съобщения – една доста притеснителна лекция. Фокусът беше в/у как те са реализирали складирането на 15 милиарда съобщения и 120 милиарда chat-а на месец, 25TB данни с възможност за индексиране и търсене. От архитектурна гледна точка изглежда съвсем нормално (например три копия, като ако едно изчезне, веднага се прави ново такова) и описаха софтуера който ползват (всичкия е отворен и те постоянно интегрират собствените си промени обратно в upstream-а и реално ползват официалната версия), но плашещият момент беше идеята им как пазят всичко, което минава през тях (вкл. sms-и, email-и и т.н.) и колко хубаво било това. Беше техническа лекция, та не вървеше да се зададе политическия въпрос “защо трябва да ви вярваме за каквото и да било”…

8) Лекцията на Johnatan Corbet (редактор на lwn.net) за проблемите в linux kernel development-а – доста интересно, беше събрал доста примери за провали около kernel development-а (както каза той, не е интересно да обясняваме колко добре се справяме, щото човек реално се учи от грешките си). Беше интересно, даде на *bsd хората около мен причини да се подхилват (те ако направят такава лекция за техните издънки ще е поне два пъти по-смешно, ама не смеят)…

Успях да говоря с хората, които правят GTA04 – следващия openmoko телефон, т.е. такъв, чиито софтуер е изцяло отворен и под контрола на потребителя. Очаква се скоро да имат нещо готово и използваемо, изглежда и че софтуерът е претърпял сериозна еволюция в последните две години, та най-вероятно ще си струва да се пробва пак.

Не можах да изобщо да посетя Data analytics, Security и Telephony track-овете (които през повечето време бяха препълнени и нямаше как да се стигне дотам). Ако вместо два събитието беше да речем 5 дни в по-малко (и по-големи) зали, можеше да е малко по-лесно…

Днес беше защитата на софтуерните проекти, изпитването за повишаване на оценки и писането им. От нашата страна на барикадата бяхме само аз и Пенчев, като аз изкарах половината време в кашляне (и дано не съм заразил твърде много от студентите). Странно ми е как само за 5 часа успяхме да се справим с всичко и да се уморя чак толкова.

Вероятно по някое време ще качим всичките проекти някъде online (като питаме хората дали някой няма против). Има още малко бюрократични и т.н. неща за довършване, но те ще са след FOSDEM.

Скапан съм и чувствам как бавно се побърквам, все едно съм в някакъв абсурден сериал и музиката, дето си пускам (или през повечето време – тая, дето ми се върти в главата) ми е soundtrack-а (в момента – Savage freedom на Killing Joke). Обмислям идеята да си налея малко уиски и да видя дали в един момент няма да започна да се виждам някъде отгоре или отстрани.

(трябваше да вдигна температура, че да почна да пиша пак)

Около гледането на “Skins” се появи пак въпросът за моя вкус за жени, та съответно смятам да проведа експеримент – ще пусна няколко link-а към снимки на жени, които намирам за красиви и да видим доколко моя вкус съвпада с тоя нормалните хора…

Като за начало – Hannah Murray, която играе Cassie Ainsworth в “Skins”, и която аз намирам за изключително красива.

Следва Morena Baccarin, играе във “Firefly”, “Serenity” и в някой от Stargate-овете, който мислех да се насиля да гледам само заради нея, ама нещо не събрах желание.

После е Alyson Hannigan, позната на хората от “American Pie”, а на мен основно от “Buffy the vampire slayer” и “How I met your mother”.

Та, какво е общото мнение за тия три девойки?

(много бих искал да сложа в списъка няколко жени, с които съм имал близки отношения, ама не би било учтиво…)

Update: А ето така трябва да се снимат красивите жени – сутрин, в леглото, с разпиляна по възглавницата коса, а който не харесва тая снимка, може да бъде броен за бездушен :)

(тия дни успях да грипясам, а преди малко проведох упражнение по бръснене въпреки кашлицата. Не успях да се заколя.)

Като занимание за почивка/свободното време по принцип предпочитам книги (кога по-леки, кога по-тежки), а след тях – да гледам сериали. Не обичам да гледам филми, понеже там не може да се изгради като хората характера на героя и няма начин да се търкаля повече от една сюжетна линия, без да стане твърде тромаво.

Измежду сериалите имам няколко много любими, като например “Firefly” или “Coupling”. Гледам и разни други течащи в момента (например “House”), но като цяло малко са наистина добри – по-голямата част са някаква лекичка боза, в която да има някой друг добър елемент (например голяма част от “House” е пълнеж). Като цяло откривам, че британските сериали са по-добри от американските…

Та наскоро намерих един британски сериал, който удря всичко останало в земята. Казва се “Skins”, разказва за живота на разни британски тинейджъри и има убийствени истории и още по-убийствени герои. Няма груби неща, които да са пропуснали, и все пак всичко си е на място и като цяло е може би най-истинското нещо, което съм гледал скоро (въпреки, че на моменти е малко пресилено). Човек има нужда да си почива между епизодите (или понякога по средата на някой)… Има 4 сезона и за разлика от останалите сериали не мога да го гледам постоянно, изисква време да се асимилира и обмисли.
(и разбира се, в първите два сезона участва едно невероятно красиво девойче)

(а са започнали да правят американска версия, която е скопена и скучна)

И последното включване от курса по мрежова сигурност – трета част на отдалечената администрация и преговор.

Остана ни втория тест, да проверим едно кило курсови проекти, да напише малко оценки и сме приключили.

На курса тая година до момента изговорихме сигурността в Unix (първа, втора, трета и четвърта част) и отдалечената администрация, от която ни остана още малко (първа и втора част).

Остана да довършим отдалечената администрация, един преговор, втори тест и може би ще организираме прожектиране на малко лекции от CCC Kongress на датата след теста. Очертава се Мариян да организира “Сигурно програмиране”, но това вече той си го знае, ще пиша, ако чуя нови подробности.

Напоследък се чудя дали наистина полудявам бавно, или вече тотално съм се побъркал.

Снощи ме навиха да ида на FOSDEM, взел съм си билети и всичко останало, и понеже сутринта ме събудиха в 8 да ми потвърдят резервацията за хотела, следобeда си легнах да си доспя. Сънувах, че сме на CCC Kongress (или беше CCC Camp) и как Червото, Мариян и още няколко други идиота от нашите са намерили наоколо няколко багера, оставени от някакви строители, някакви пиратки и подобни неща и вилнеят, а аз съм донякъде гласа на разума и се опитвам да измъкна някакви деца от пътя им и се чудя що не идва локалната полиция.

Имам лоши предчуствия за FOSDEM…

В общи линии преживяването на празнуването на нова година си е като да преживееш годината.

Основните моменти бяха следните:
Имаше танц на пияния и изпаднал крокодил (който се твърди, че бил записан в HD).
От баницата ми се паднаха следните два късмета – “пиячка” и “42 (животът, вселената и всичко останало)”.
Имаше толкова много бутилки, че май успяхме да изпразним (докато аз си тръгнах) само Lagavulin-а и още една-две.
Дядото ме събуди сутринта да ме поздрави и да каже, че неговия късмет от баницата бил “разширяване на семейството” с един специфичен тон, беше си живо проклятие.

Няма махмурлук и подобни проблеми, само няколко побъркани сурвакари сутринта, на които брата изръмжа.

Още две лекции от CCC Kongress-а.

Първата беше за проблемите на PDF формата. Нещата изглеждат толкова трагично, колкото с flash-а миналата година – странно специфициран формат, няма валидация (т.е. няма дефиниция на валиден pdf), може да се прочете всичко, включително странна комбинация между zip и pdf или exe и pdf. Имаше демонстрация на странен код в pdf, като в крайна сметка хората питаха точно колко опасно е да си свалим PDF-а с нейната презентация от слайда…
Записът е mirror-нат при мен.

Втората беше по темата за юрисдикцията и data haven-ите. Водена беше от една девойка, която се занимава с юридическата част на проект DoD, чиято цел е да пази хората от злоупотреби с DMCA и други подобни проблеми. Лекцията е доста интересна, въпреки че е леко америко-центрична, но е пълна с интересни наблюдения и данни.
И този запис е mirror-нат при мен.

Лекция, която директно засяга неща, които ползваме всекидневно – “Chip and PIN is broken”, т.е. всичките дебитни карти, които се използват в момента из България. Интересно за гледане, накратко – има огромни дупки в цялата система и измамите не са нещо особено сложно, а банките и свързаните с тях учреждения отричат до последно, че нещо лошо е възможно да се случи.

На моменти не ми е ясно как изобщо някой може да прави система, която да има такива елементарни проблеми, например да не се подписва цялата транзакция, да се вярва за PIN-а само на терминала и т.н..

Mirror-нал съм записът при мен.

Едно полезно следствие от тази лекция е, че за едно количество измами банките не могат да се измъкват и да казват “системата е защитена, проблемът е във вас (крайния клиент)”. Не мога и да не цитирам отговорът на един от професорите от Cambridge на изискването да бъдат махнати материалите от един сайт на университета, понеже дават информация за атаката (въпреки, че банките са били предупредени бая месеци преди това):
”
Second, you seem to think that we might censor a student’s thesis, which is lawful and already in the public domain, simply because a powerful interest finds it inconvenient. This shows a deep misconception of what universities are and how we work. Cambridge is the University of Erasmus, of Newton, and of Darwin; censoring writings that offend the powerful is offensive to our deepest values.
“

И наградата за най-побъркан лектор на 27c3 печели Lepht Anonym (лекцията “Cybernetics for the masses”), една девойка, която обясняваше как да си имплантираме сами разни сензори под кожата.

Имаше кило обяснения кое работи, и кое не работи – например как трябва да стерилизираме всичко (тя ползва водка), как да изолираме нещата, колко боли (особено ако си слагаме разни неща във възглавничките на пръстите) и какво мислят докторите, като си правим такива неща (нищо хубаво). Лекцията определено си струва да се гледа и като успея, ще преточа записа и ще го кача (още го няма по разните mirror-и и streamdump-ове), мисля да я пратя на личния си лекар, може да му стане и на него интересно…

Update: Ето запис на лекцията, първа и втора част.

Една интересна лекция от вчера беше тази на Daniel Domscheit-Berg по темата за исландския закон за медиите, Icelandic Modern Media Initiative. Всъщност, лекцията не беше чак толкова свързана със закона, понеже хората от Исландия не бяха пристигнали, а и я нямаше в началната програма и се беше появила в последния момент (аз хванах по случайност края и после с бая зор успях да издиря записа), но има интересни неща по темата за OpenLeaks и wikileaks.

Mirror-нал съм записа.

Успях днес да изгледам една лекция от вчера, която май е по-страшна от gsm подслушването – бъгове в baseband процесорите и колко лесно се exploit-ват. Особено колко лесно се пуска онзи весел feature, така че телефонът да прави auto-answer и да не го казва (т.е. да подслушвате какво се случва около някой телефон без никой да е наясно). Има обяснения за изпълняването на код по телефони, както и идващия проблем с коли, които имат т.нат. driver assistance, което явно представлява gsm модул, директно забит в CAN шината на колата (където е закачена и цялата електроника)…
Демонстрацията не сработва, но има показан кода от firmware, който може да се exploit-не.

Записът е mirror-нат при мен.

Една от хубавите лекции днес, която гледах беше тази на bicyclemark за наблюдаването на изборите в Афганистан. Като цяло доста весела история, струва си да се изгледа – mirror-нал съм записите, първа и втора част.

Мисля, че изгледах най-идиотската лекция в живота си.

Dan Bernstein (известен повече като djb) говори по темата “High-speed high-security cryptography: encrypting and authenticating the whole Internet”. Накратко – DNSSEC не струва и има хиляди проблеми (нищо ново по тях), за това ще ни разкаже за неговите идеи как да направим по-добър internet-а. Неговите идеи бяха толкова сбъркани, че през цялото време си мислех или как ще каже “шегувам се”, или как на сцената ще се качат няколко човека и ще го приберат в усмирителна риза. Запомних специално две неща от идеите му:
1) да се слага публичния ключ на сайта в URL-то, т.е. http://12312313213ACHFC8129.twitter.com/ (ключът, разбира се, е по-дълъг), като например да се слага това нещо някъде в CNAME (www.twitter.com IN CNAME 13123131231.twitter.com или twitter.com IN NS 131313122313212.twitter.com, щото не може да има в зона, в която има NS и CNAME), или като просто пишем цялото url с ключа в browser-а.
2) вместо tcp да ползваме curveCP, което работи в/у UDP и за да минава навсякъде е на порт 53, като вместо да препишем всичкия софтуер, си слагаме едно малко relay-ващо демонче на тоя порт и то търкаля целия ни трафик.
Имаше и други страшни неща. Mirror-нал съм записите, първа и втора част.

Лекцията за Wideband GSM подслушване поне до момента спокойно може да се отбележи като най-страшната от всички.

Обяснени бяха огромни дупки в методите за ползване на криптиране на GSM мрежите (от съвсем реалния свят, бяха заслушвали 4те GSM оператора в Германия), като например в два близки предсказуеми timeslot-а се изпраща някакво съобщения и после същото съобщение, но криптирано – и понеже A5/1 е поточен шифър, от това лесно се изважда keystream-а, а с достатъчно keystream и малко rainbow таблици (лесно достъпни за сваляне) много бързо се вади ключа, а той се reuse-ва доста, така че с него може да се декриптира доста прилична част от трафика (т.е. с малко повече място да се записва нечий GSM трафик всичките му разговори могат да бъдат подслушани). Имаше и други забавни неща, например как точно може да бъде локализиран някой в GSM мрежа.

Демонстрираха съвсем на живо (напук на принципа, че нито един demo не работи) как си записаха малко трафик, анализираха го, направиха обаждане, записаха трафика, декодираха го и го пуснаха да се чуе. Нямаха проблеми с frequency hopping, хардуерът им беше елементарен и евтин (един леко пипнат телефон, usrp, един лаптоп), като цяло почти всеки може да си го направи в домашни условия и да слуша…
Има вариант (в момента) самите оператори да направят мрежите си по-устойчиви на такива атаки, презентаторите дадоха един хубав wishlist с мерки, които биха искали да видят за догодина. Изпитвам сериозни съмнения, че има шанс да се случат (въпреки че не са особено сложни като цяло).

Mirror-нал съм записите, първа и втора част. Като излязат encode-нати в нещо по-свястно, ще пусна и другите link-ове.

(иначе – keynote в MKV с някакви по-нормални codec-и – първа и втора част)

За хората, които не знаят – в момента тече CCC Kongress, от който има излъчвания на лекциите на живо. Има програма, информация за живите предвавания и временни записи, така че който има време – нека гледа, има доста интересни неща.

От първия ден интересни бяха уводната лекция (която може да се прочете на сайта на Роп или да гледате streamdump-а от един mirror при мене), разказите по темата за Data retention директивата (как идващата година е моментът за сериозна атака срещу нея), както и една забавна лекция по темата за security проблеми в IPv6 (накратко, ситуацията е по-зле, отколкото си мислех :) ).

Днес имаше нещо интересно за нов метод за правене на печатни платки в домашни условия, като гледам ще има и доста други забавни неща (например един след друг са Дан Бернщайн и Дмитрий Скляров). Ако събера желание, ще blog-на и за тях.

(а, и в Lightning talk-овете ще се представя новия проект на Дан Камински, приложение за iphone/android, което помага на далтонисти да виждат цветове)

Така, кратка равносметка…

От плановете ми за тая година нещата изглеждат по следния начин:

0) Не се утрепах от работа – напуснах Securax, а с другата работа не се претоварвам. Почнах да се занимавам пак с курса по мрежова сигурност, което пак ми яде някаква част от времето, но се понася.

1) Имам няколко идеи за лекции, но не съм разписал нито една. Нищо, те си стоят и вероятно ще разпиша едната идващата година.

2) Upgrade-нах marla и изнесох повечето неща от zver.fsa-bg.org.

3) Като гледам се справих.

4) Така и не успях да изсвиря Schism, както и почти нищо от Tool (въпреки много опити с Disposition (началото се получава), Reflection (справям се с единия риф, но ме боли ръката), Sober (голяма мъка), Vicarious (intro-то става донякъде, основния риф също, ама толкова)). За сметка на това две неща на Offspring се получават доста добре (Gotta get away и Change the world).

5) Отпразнувах подходящо крокодиловден.

6) Раздадох прилично количество книги, трябва да го довърша, че има няколко останали.

Равносметка на свършените глупости и планове за догодина – в следващи post-ове.