Monthly Archives: August 2013

sunni vs shia

diverse

Azi m-am lamurit de o chestie care ma rodea de ceva vreme: care e diferenta intre sunniti si shiiti ?

  • Nici unii nu-i considera pe ceilalti musulmani
  • Sunnitii vorbesc direct cu allah si n-au sfinti sau alte cele
  • Shitii au au sfinti si oarecum ideea de popa prin intermediul caruia discuta cu allah
  • Nu se plac deloc unii pe altii

De ce se omoara intre ei prin orientul mijlociu nu e clar elucidat, da chiar nu se plac unii pe altii.

anti snooping

diverse

Ma gandeam io zilele trecute cum faci sa nu se mai uite toti taranii in traficul tau si mi-a venit in cap o idee de business. Da cum n-am bani, o s-o zic aci, poate citeste careva si face un ban cinstit.

Eu ma asteptam ca se uita unii si altii in ce mai face lumea pe internet, dar nu ma asteptam sa se uite chiar in tot. Si asta ma enerveaza, nu c’ar fi secret ce scriu pe facebook sau pe blog, da mi se pare de cacat sa fiu spionat non-stop.

Si io ca io, ca astia de spioneaza ciordesc informatiile care li se pare utile si le dau la ai lor sa le foloseasca in scopuri comerciale. Contracte, mailuri confidentiale si alte cele.

Super planul: oferirea unui serviciu de VPN de tip Hub & Spoke intre companii. Deja exista implementata treaba asta in companii (in alea cu multe branch-uri), acum nu trebuie decat facuta intre companii.

Cum functioneaza treaba: un 3rd party face tunele IPSec cu cei interesati de securitate. Tunelul este doar intre gateway-uri. peste acest tunel “point-to-point” se baga GRE si peste GRE faci un mic OSPF/BGP in care clientul isi anunta ce e ar trebui protejat la el (sa zicem subnetul definit ca DMZ ca ala de obicei are adrese IP publice).

Un al doilea client face acelasi lucru, al treilea la fel si tot asa. Si primesc inapoi de la fiecare ce prefixe trebuie rutate peste VPN.

Daca ajungi la o masa critica, atunci pentru business, internetul nu este decat o teava opaca pentru taranii care vor sa se uite in trafic dupa informatii pe care sa le poata folosi in scopuri nu tocmai utile sau legale.

Avantajul la un setup din asta e ca si daca una din companiile care participa in acest super Hub & Spoke e una sub acoperire a unei agentii de spionaj e degeaba, ca tot ce primeste sunt niste prefixe, nimic mai mult, nu poate trimite trafic aiurea sau sa primeasca trafic care nu trebuie.

Dezavantajul tehnic la jucaria asta e ca o sa ai foarte multe prefixe in tabela de rutare.

In toata ideea asta exista doua challenge-uri non-tehnice:

  • toata lumea trebuie sa aiba incredere in acel 3rd party care are hub-ul (sau hub-urile)
  • hub-ul (hub-urile) trebuie sa fie intr-o tara care nu e prietena cu spionajul asta la tot traficul astfel incat sa nu te trezesti cu mandat ca “suge-o, fa-ne mirror la ce trece prin hub ca asa vrea pula lu unchiu sam sau a reginei sau a lu’ mos craciun”

Tunelele sunt create cu certificate digitale, iar 3rd party pune la dispozitia clientilor o autoritate de certificare cu care doar semneaza CSR-urile, astfel incat sa nu existe suspiciune ca poate folosi in vreun fel cheile private pentru alt ceva. Si evident PFS activat la IPSec.

Singura premisa e ca NSA sau alta agentie de spionaj n-a gasit cum sa decripteze AES.