Wpisy

Opublikowane w

Błędy w moBILET – przepis na DoS i proste oszustwo.

Z moBILETu korzystam od dawna, ogólnie jestem zadowolony. Kiedyś, na starym blogu, pisałem o słabych punktach tej usługi i ogólnych wrażeniach. Dziś zaszło pewne zdarzenie, które przypomniało mi o tym, że miałem napisać parę słów więcej o bezpieczeństwie i możliwościach nadużyć.

Po pierwsze, najsłabszym punktem moBILETu są… kontrolerzy. Nigdy nie zdarzyło mi się, bym został poproszony o przełączenie na inny ekran, nie był sprawdzony kod i w ogóle całe sprawdzenie skończyło się na sprawdzeniu, czy godzina na wyświetlonym bilecie jest OK. Zatem najprostszy sposób oszustwa to prosta aplikacja w javie, która wyświetli co trzeba i doda taką godzinę, by bilet był ważny. Pewnie z 30 min roboty, jeśli ktoś zna Javę ME.

Po drugie, stosunkowo łatwo uniemożliwić komuś skasowanie biletu. Wystarczy zacząć dzwonić w momencie, kiedy próbuje skasować bilet. Zaowocuje to wyświetleniem przez aplikację komunikatu, żeby najpierw zakończyć rozmowę, a samo kupno biletu nie będzie możliwe do czasu, kiedy dzwoniący nie przestanie dzwonić (czy się nie rozłączy, nie testowałem dokładnie). De facto pozwala to na DoS na kasującego bilet, możliwe, że skuteczny, bo kanary mają przykry zwyczaj rozpoczynania kontroli tuż po ruszeniu tramwaju.

Tak dziś wyszło, jak kumpel zadzwonił tuż po moim wejściu do tramwaju. Chwilę później zadzwonił z pytaniem, czy moBILET się wywalił. Nie, ale i tak gratki za pomysł. Ląduje w kategorii security, choć nietypowe.

Opublikowane w

Niebawem koniec wysyłki maili na port 25.

Jeden z bardziej burzliwych tematów trzeciego spotkania PLNOG to planowane zablokowanie ruchu na porcie 25 przez TPSA. Dotyczyć będzie jedynie użytkowników Neostrady (oraz pakietów zawierających tę usługę – w skrócie – usługa dla klienta indywidualnego o zmiennym IP) i wysyłających pocztę z klientów pocztowych w stylu Thunderbirda czy Outlook Express (dla korzystających z webmaila nic się nie zmieni). Podobnie jak przy portach netbiosowych będzie istniała możliwość wyłączenia blokady poprzez zmianę loginu. Wprowadzone ma być całkiem niedługo, bo z dniem 1 grudnia.

Oczywiście było trochę ataków na TPSA podczas dyskusji, że czemu np. nie robią recenta (niby na czym?), czemu nie skanują poczty pod kątem spamu (ingerencja w treść) itp., ale akurat moim zdaniem jest to świetna decyzja (i jedyna wykonalna technicznie przy tej skali usług), tym bardziej, że i RFC pozwala na takie działanie, i – dla bardzo chcących wysyłać przez port 25 użytkowników – będzie prosta możliwość zdjęcia blokady (nie polecam). Poza tym, już teraz serwery mail na świecie mogą nie przyjmować poczty wysyłanej z portu 25 z klas IP oznaczonych jako przeznaczone do wysyłki po autoryzacji, przez serwer ISP lub webmail (zobacz PBL advisory), a takie powinny być klasy przeznaczone dla neostrady.

Nowość żadna, bo duże portale opiniowały to już parę miesięcy temu i są przygotowane, a większość dostawców została powiadomiona, ale pewnie sporo użytkowników i zupełnie małych dostawców kont pocztowych jeszcze o tym nie wie, dlatego informuję i polecam zapoznanie się z RFC 4409.

Jak już pisałem, decyzję uważam za dobrą, co więcej, mam nadzieję, że mniejsi i całkiem mali ISP pójdą tą samą drogą, i to wkrótce (pewnie poczekają nieco na efekty w TPSA). W tym przypadku inicjatywa TPSA jest naprawdę przemyślana, słuszna i dobrze wykonana (no dobrze, chwalę dzień przed zachodem słońca, ale wiem, co już zrobili i jak niewiele zostało – tylko poinformowanie użytkowników, które jest zaplanowane). W końcu jest szansa, że Polska nie będzie jednym z czołowych spamerów na świecie, a dostawcy poczty powinni odczuć spadek ilości nadchodzącego spamu, co przełoży się na spadek obciążenia serwerów poczty i maszyn skanujących.

Dla tych leniwych użytkowników, którzy nie chcą czytać – szybkie info jak włączyć nową wysyłkę poczty. Do nieszyfrowanego wysyłania poczty wystarczy zmienić port serwera pocztowego z 25 na 587.

Oficjalny komunikat TPSA dotyczący blokady portu 25, zawiera namiary na dokładne konfiguracje u większych darmowych dostawców poczty.

Opublikowane w

PKP = Polskie Koleje Popsute

Pociąg

Żródło: http://www.wiadomosci24.pl/artykul/vademecum_podroznego_41957.html

Wybraliśmy się na konferencję (o tym innym razem). Postanowiliśmy nieco nadłożyć drogi (ale nie czasu) i wziąć lepsze pociągi, żeby nieco popracować w trasie. Wyjechaliśmy z Poznania pociągiem IC który w Kutnie… stanął. Obsługa zapowiedziała, że na 90 min. Cudownie, zwłaszcza, że mieliśmy 30 min na przesiadkę w W-wie. Okazało się, że zepsuła się lokomotywa. Już w Poznaniu wiedzieli, że coś z nią nie tak, ale liczyli, że dojadą. Na szczęście wkrótce nadjechał pociąg pospieszny (konduktor w IC mówi, żeby poprosić w pospiesznym o skomunikowanie, co uczyniliśmy, bez efektu niestety), który co prawda nie zdążył na nasz ekspres, ale przynajmniej jechaliśmy (z Litzą w przedziale, jak się potem okazało – wiedziałem, że skądś znam twarz, ale nie mogłem skojarzyć skąd…).

Dodatkowo należy „pogratulować” obsłudze pociągu pospiesznego (dusznego i śmierdzącego – charakterystyczna mieszanina woni środków do dezynfekcji toalet i fekaliów) nieaktualnego rozkładu papierowego i w związku z tym błędnie udzielonych informacji. W W-wie niezbyt szybka, ale bezproblemowa zmiana biletów i bez większych przeszkód dotarliśmy do Krakowa.

Powrót też był wesoły. Najpierw nasz ekspres okazał się jakimś klonem pospiesznego, jeśli chodzi o wagony – charakterystyczny zapach z poprzedniego akapitu, 8 miejsc w przedziale, niedomyte szyby i ogólne klejenie się wszystkiego, plus białe nagłówki jako jedyna różnica. Po 40 minutach jazdy stanął w szczerym polu. Burzliwa dyskusja dyżurnego ruchu z obsługą pociągu zaowocowała ustaleniem, że jednak lokomotywa powoduje problem. Na szczęście udało się to naprawić na bocznicy i dojechaliśmy z jedynym 30 minut opóźnienia (tym razem na przesiadkę mieliśmy przezornie 1,5h, więc nie problem).

Szczerze mówiąc, wygląda to wszystko dramatycznie – pociągi nie są tanie (zwł. IC), w reklamach silą się na profesjonalizm, a ciągnięte są przez jakieś wiekowe, rozpadające się lokomotywy. Jak dla mnie – nigdy więcej. Wolę wyjąć sobie parę h z życiorysu, założyć, że czytam książkę/słucham muzy i jechać bezpośrednio, pospiesznym. Przynajmniej się nie rozczaruję.