Месечни архиви: септември 2012

Евала бе, електронна митница! – втора част

Както знаете от първа част, валидността на SSL сертификата на системата за EORI регистрация на агенция „Митници“ беше изтекла на 18.07.2012. Мога да ви зарадвам, че от няколко дни сертификатът на сървъра е подменен!

След изпращането на писма до и телефонни разговори със служители на агенцията без никакъв ефект, накрая писах и директно до кабинета на г-н Ваньо Танов. Не знам дали моето последно писмо има нещо общо, но малко след това подновеният сертификат беше инсталиран. Естествено, и в този случай наблюдавах типичният при комуникация с държавната администрация ефект „черна дупка“ – демек отговор няма. По-важното е, че има някакъв реален ефект от цялата работа и макар и много бавно нещо се случва. И така, да разгледаме така бленувания нов сертификат:

eori-new-cert.png

Забелязват се няколко интересни неща.

Сертификатът е издаден на 10 август 2012 (компютърът на който направих скрийншота явно е настроен да работи с формат mm/dd/yyyy). Хувабото е, че това е станало няколко дни преди аз да забележа и сигнализирам за проблема. Тоест има вероятност и сами да са го забелязали, или пък някой друг да е сигнализирал преди мен. Лошото е, че подновяването на сертификата се е случило около 20 дни след неговото изтичане. Нормално би било обратното – мерки по подновяването да се вземат още преди да е изтелка валидността на текущия сертификат. Още по-лошото е, че инсталирането на подновеният сертификат на сървъра явно е отнело повече от месец! Причината за това за мен си остава загадка, също както не ми е ясно защо издаването на ЕОРИ номер отнема 5 дни. Резултатът обаче е, че сървърът е работил с невалиден сертификат повече от 50 дни. Сега остава и да си оправят инструкциите за употреба, че да има и някаква полза от валидния сертификат. В момента те съветват просто да се игнорират всякакви предупреждения от браузъра.

Друг любопитен факт е, че подновеният сертификат има идентичен сериен номер със стария. Това ми се струва малко странно и не мога да си обясня причината от „Информационно обслужване“ да не го променят. В момента не се сещам за някакви проблеми със сигурността, които могат да бъдат резултат от това, но не прави добро впечатление. По принцип серийният номер трябва да е уникален за всеки сертификат на даден издател. Така двойката сериен номер/издател е уникален идентификатор за всеки един сертификат. В текущия случай обаче, поради преизползване на серийния номер се получава дублиране.

Тук ще вметна, че трябва да се разграничат понятията „подновяване“ и „преиздаване“ на сертификат. При подновяването само се удължава периодът на валидност, но се запазва съществуващата двойка ключове. При преиздаването се генерира изцяло нова двойка ключове. И при двата варианта обаче винаги се променя серийният номер. Ето мой превод на част от дефиницията на термина „подновяване на сертификат“ от rfc4949:

За един X.509 сертификат с публичен ключ този термин означава, че периодът на валидност се удължава (и, разбира се, присвоява се и нов сериен номер) …

Ако имате идея каква е причината за практиката на StampIT да не се променят серийните номера, или пък до какви желани или нежелани ефекти може да доведе това ще се радвам да споделите в коментарите.

Тайния живот на машините

Честно казано, за мен е неразбирамо защо на повечето хора не им е любопитно и интересно как работят машините. Аз бих искал да знам, и се опитвам да разбера, как работи всяко нещо около мен. Сега сме заобиколени от толкова много машини, които правят живота ни по-лесен, че само изучавайки тези у дома човек може да си осигури безкрайно забавление. Това е една от причините да харесвам всякакъв вид свободен хардуер и софтуер, защото потребителят има възможността и дори е подканен да погледне „под капака“. Ползата от това, освен задоволяване на любопитството е, че и в такъв случай ще можете сами да ремонтирате или дори подобрите машината.

Преди години гледах Дискавъри. За съжаление в последно време много от предаванията са се изродили в някакъв вид „риалити шоута“. Вместо истинска информация как работи или се прави нещо получаваш викания, интриги и друг вид драма, която явно се продава по-добре.

Предвид това, когато попаднах на поредицата „Тайния живот на машините“ бях много приятно изненадан. Автор и водещ е англичанинът Тим Хънкин. Смея да твърдя, че знаех как работят повечето от представените машини. Въпреки това изгледах серийките на един дъх и ми бяха много интересни. В тях няма просто сухи факти, а съвсем достъпно е показано не само как работят различните машини, но и историята на тяхното изобретяване и развитие през годините. Всичко това е гарнирано с малко хумор и впечатляваща арт инсталация в края на всеки епизод.

Най-хубавото е, че със съгласието на Тим можете да свалите всички епизоди от тук.

Приятно гледане!

Евала бе, електронна митница!

Посвещение
Посвещавам този материал на ИнжИнера, ревностен читател на този блог (вероятно единственият – здрасти, Пепи!). Неговите неколкократни подканяния спомогнаха да възстановя по-бързо сайта след дългото прекъсване.

Предистория
Миналата година си купих комплект за електрически велосипед. От Конрад/Щайнбергер тогава ме излъгаха (и предполагам все още лъжат), че контролера има функцията регенеративно спиране. От мерак да видя има ли все пак полза от тази функция си поръчах нов контролер, който я поддържа. Разбире се, произведен от братският китайски народ, стуващ към $60.

Проблемът
Телефонът ми звънна. Непознат номер. Отсреща женски глас произнесе думите, които никой интернет пазаруващ не иска да чуе – „Вашата пратка беше спряна на митницата!“. До момента бях успявал да избегна тази клопка. Основно пазарувайки от ЕС, или ползвайки за доставка на извънобщностни пратки Български пощи. За който не знае – „пощата“ по някаква причина има една суперсила, с която не разполага никоя друга куриерска компания – може да ви представлява пред митницата. И то без никакви разправии от ваша страна, просто като си вземате пратката плащате и Х лева мито/ДДС директно в пощенската станция. Този път обаче китайците бяха пратили контролера с FedEx.

Решението
Тъй като, макар и не от личен опит, съм запознат с безумието наречено „освобождаване на пратка от митницата“ дори и не си помислих да се захвана с това. Достатъчно е човек да прочете класиката в жанра или кое да е от продълженията (1, 2, 3), за да разбере, че тази работа не е за простосмъртни.

Със служителката на FedEx се разбрахме да им изпратя нотариално заверено пълномощно, за да могат те да ме представляват. Остана една малка продробност – необходим ми е и EORI номер (друго безумие, този път европейско). Служителката ме усведомява, че те могат да се заемат и с това, но ще струва скромната сума от 30 лв. Иначе самото издаване е безплатно, дори всичко може да стане он-лайн през сайта на митницата – ако имам електронен подпис. Аз имам електронен подпис.

Заблуждението
Предполагам, че попълването на електронната форма в сайта на митниците ще отнеме 4-5 минути. Мислено пресмятам, че ако работя ще спечеля по-малко от 30 лв за 5 минути. Решавам, че вместо да плащам и за тази услуга на FedEx, ще свърша работата сам. При това седейки удобно пред компютъра си! Благославям „електронното правителство“ и предвкусвам как със спестените пари се черпим бира с приятелите.

Реалността
Отварям така нареченият „ПОРТАЛ ЗА ЕОРИ РЕГИСТРАЦИЯ“ и ме посреща предупредително съобщение, че сертификатът на сървъра е невалиден. Първо си мисля, че тъй като съм с нова машина, още не съм добавил сертификатите на българските удостоверители в браузъра. Оказва се обаче, че не е така. Всъщност причината за предупреждението е, че сертификатът на сървъра е изтекъл преди около месец.

eori_cert.png

Стискам очи, надявайки се, че наистина от другата страна е сървърът на Агенция митници, и игнорирам предупреждението. За което, между другото, много прилежно съм инструктиран в трета стъпка от „Ръководството за потребителя за регистрация на еори номер по електронен път„. Къде ли другаде съм виждал това? А, да, Пощенска банка.

treta_stupka.png

След като попълвам формата с моите лични данни идва ред за подписването. Ползва се някакъв Java аплет, който обаче не работи. Казва ми, че нямам електронен подпис/смарт карта. Тук е моментът да спомена, че използвам Линукс базирана операционна система.

Решавам да се обадя на предоставеният телефон за връзка и да се усведомя, очаква ли се въобще да работят нещата с моята операционна система. Както после ще разбера, за мой невероятен късмет, отсреща някой вдигна телефона. Първо споменах на служителката проблема с изтеклия сертификат. Тя каза, че това не е новина за тях, ама да не се притеснявам. Не било толкова важно, „работят по въпроса“. Ако не сте много наясно с техническите въпроси и какво точно означава това, погледнете секцията „Защо толкова шум за един изтекъл сертификат?“ най-долу. Относно поддръжката на операционни системи различни от Windows – не знаят, никока не са пробвали.

Отчаянието
Почти съм се предал. Вече обмислям да сваля бланката с формуляра и да подам заявлението на хартия. Поне имаме митническо бюро в Кърджали, та няма да се наложи да ходя до друг град. Или още по-лошо, да ходя при приятел да търся компютър с Windows. При тази мисъл обаче ми идва нов прилив на ентусиазъм. Няколко часа по-късно и след изчитане на малко документация за Java програмния интерфейс за смарт карти откривам следа. Освен пътят към библиотеката, при инициализация трябва да се укаже и в кой слот да се търси картата. При аплета ползван от митниците няма поле в което да се въведе кой слот да ползва. По подразбиране търси картата в слот 0. Моята смарт карта се вижда в слот 1, а слот 0 е някакъв виртуален. Променям конфигурационният файл /etc/opensc/opensc.conf (в секцията app opensc-pkcs11 pkcs11 добавям plug_and_play = false;) и картата вече се вижда в слот 0.

Успехът
Попълвам за 1374-ти път полетата с моите данни (при всеки опит се губят) и този път подписването сработва! Но, радостта не продължава дълго. Забелязвам, че точно този път съм пропуснал да попълня полето с датата на раждане. По подразбиране то е попълнено автоматично с текущата дата. Веднъж изпратени, данните в заявката не могат да бъдат променяни, докато не бъдат „обработени от оператор“.

План Б
Срокът за издаване на ЕОРИ номер е 5 работни дни (защо е такъв е напълно необяснимо за мен, но да кажем, че е тема на друг материал). Представям си, как на петия ден ми казват – грешна ти е датата на раждане, и после чакам още 5 дни. Решавам да се обадя пак на предоставения телефон и да попитам възможно ли е по някакъв начин да коригирам данните в заявлението. Никой не отговаря. В продължение на 3 работни дни, звъня по няколко пъти на ден, и никой не отговаря.

Решавам да отида до местното митническо бюро. Описах ситуацията на служителя, а той ми отговори с реторичния въпрос: „И аз какво очаквате да направя?“. Отговорих му, че очаквам да ми съдейства да отстряня грешката с датата. Последваха известни поучения, за какво въобще се опитвам да ги ползвам тези електронни услуги, и един вид сам съм си виновен. Виж, ако бях подал на хартия, до сега да са ми я свършили работата. В крайна сметка един от служителите се задейства и проверява в електронната система получените заявления за ЕОРИ. Резултатът – при тях няма получено по електронен път никакво заявление от мен. Нито с правилна, нито с грешна дата. Питам, в такъв случай, мога ли да подам при тях хартиено – не може! Какво щяло да стане, ако извъднъж получат и електронното и се дублират. Те нищо не могат да направят по въпроса, отпращат ме да се разбера със „София“. Дават ми телефонния номер, на който звъня от 3 дни.

План В
Издирвам от сайта някакъв адрес за електронна поща. Не вярвам, че въобще някой ще ми отговори, ама все пак се пробвам. Ненадейно ми отговарят и дори говорим по телефона. Служителката ми казва, че това със датата не било проблем и се ангажира да провери защо заявката не пристига в Кърджали. Аз се оплаквам и на нея за изтеклия сертификат – и тя знае, че е изтекъл. Но, казва ми, „то подновяването не става със щракване на пръсти“ и споменава нещо за началника. Тя винаги съветва хората да не се и опитват да ползват електронните услуги, защото „с тях само проблеми“.

Развръзката
Наближава последният 5-ти работен ден от срока за идаване на номера. Напомням по елелктронната поща на служителката, с която говорих, че на следващият ден изтича срока за издаване на номера. В последният 5-ти работен ден получавам писмо от служителката съдържащо така лелеяният номер (който, между другото е просто ЕГН-то ми BGB отпред и ZZZ2 след него). Също ме усведомява, че относто проблемите със сертификата „колегите са предприели действия по преиздаването на сертификата“. Това се случва на 21.08.2012. Сертификатът е изтекъл на 18.07.2012 и не е подновен и до ден днешен – 04.09.2012. Писмото завършва с „Надявам се вече всичко да е наред!“

Изпращам прочуствен отговор, че не всичко е наред. Обяснявам, че след като има проблем с електронните услуги, той трябва да бъде отстранен, а не да съветват хората да не ги ползват. Питам в какъв срок ще бъде подновен сертификатът. Съобщавам и за още дребни проблеми като валидацията на мейл адресите и, че часовника на сървъра е грешен и показва повече от 2 часа в бъдещето. На долната картинка може да видите, че заявлението ми е регистрирано като прието в 15:30, а все още е 12:51.

eori-date-time.png

Пращам последно писмо, за да кажа, че съм се объркал и проблем с валидацията на адресите най-вероятно няма. Също ги поздравявам, че поне са сверили часовника. Явно вече съм в СПАМ филтъра, защото никой не ми отговаря на писмата.

Защо толкова шум за един изтекъл сертификат?
Предназначението на сертификатът е да сте сигурни кой стои „отсреща“. Тоест дали наистина сте се свързали със сървъра на агенция митници, или някой, който само се представя за него. В момента е изключително лесно да се реализира спуфинг измама. Всеки, който има достъп до интернет трасето някъде по пътя между вас и агенция митници може да го направи. Обикновено, при подобни измами целта е да се прилъже потребителят, че е посетил сайт, който той ползва и да въведе своите име/парола за достъп. Това могат да бъде сайтове за уеб базирана електронна поща, интернет магазини и т.н. Ако потребителят не осъзнае, че всъщност не се е свързал с истинкия сайт и въведе своите данни те вече са в ръцене на измамника. Сега злосторникът ще има достъп до електронната поща/профила на жертвата.

Възможностите за измама чрез имперсониране на системата за електронни заявления за EORI са много по-сериозни. Тук се ползва предоставен от сървъра Java applet за полагане на електронния подпис върху заявлението (според мен лоша идея, но това също е друга тема). Поради тази особенност измамникът съвсем лесно може да постигне следните две неща:

1. Пълен достъп до локалните файлове на компютъра на жертвата. Да, всички документи и информация които се намират на твърдия диск на вашия компютър. Ако трябва да сме съвсем точни, тези до които има достъп текущия потребител.

2. Да положи електронния подпис на жертвата върху произволен документ, без тя дори да подозира за това.

Смятам, че тези рискове са доста сериозни, а поведението на агенция „Митници“ – меко казано безотговорно. Въпреки неколкократните ми запитвания по електронната поща така и не получих отговор на въпросите кой е отговорен за това и в какъв срок ще бъде подновен сертификатът. Май няма и да получа.

Междувременно, „За да си нямате проблеми, подайте си заявлението на хартия …“.

Вижте продължението в Евала бе, електронна митница! – втора част.