Davno su prošla vremena kada nam je bio dovoljan jedan server za sve potrebe: mail, web, ftp.  Danas nekih servisa više nema, zato ima novih, ali najvažniji je bio i ostao web. Web je danas službeno glasilo institucije pa se očekuje da je brz, pouzdan, dinamičan, moderan i atraktivan. Drugim riječima, potreban je poseban server za web servis.

Kako novaca za novi server obično nema, odlučili smo se za virtualni server (VPS), kojeg danas možemo jednostavno dobiti kao institucija u sustavu visokog školstva. No, princip je isti ako ste se odlučili za vlastiti hardver ili za vlastiti virtualni server.

Ono što je nama trebalo, odnosno što smo trebali napraviti je:
- instalirati CMS na novi server, ubaciti informacije sa starog weba
- prebaciti stari web na novi server (zbog eventualno korisnih starijih podataka i starih linkova)
- korisničke stranice (/~korisnik) moraju ostati na starom serveru
- LDAP/AAI web sučelje također mora ostati na starom serveru

Kada se uzme u obzir postojeće preusmjeravanje na zajedničku (unizg, uniri, unios...) domenu, jasno je da treba pripaziti na preusmjeravanja, DNS i konfiguraciju Apacheja. U našem slučaju, s obzirom na zahtjeve koji smo dobili, rješenje je bilo relativno jednostavno.

Za preumjeravanje i filtriranje odlučili smo koristiti jednostavniji mehanizam od Rewrite-a, dakle RedirectMatch. RedirectMatch je redirekcija HTTP zahtjeva, ali uz podršku za regularne izraze, što je taman dovoljno za naš slučaj.

Na VPS-u smo instalirali CMS i dodali novi sadržaj, a naziv web servera je isključivo "www.institucija.sveuciliste.hr".

Potom smo na novi server instalirali i stari CMS (uz dump i import mysql baze), a u tome nam je pomogla činjenica da je stari web bio u poddirektoriju, pa nismo imali problema kod njegovog pozivanja (stari web je bez problema moguće dobiti sa http://www.institucija.sveuciliste.hr/subdir).

Nadalje, morali smo se pobrinuti da se ne preusmjeravaju korisničke stranice kada se pokušava webu pristupiti sa znakom "~".

Da bi to postigli, u osnovnom VHOST-u na starom serveru, gdje smo i prije ove promjene radili redirekciju na sveučilišnu domenu, i dalje ćemo raditi redirekciju, ali samo ako su udovoljeni određeni uvjeti:

<VirtualHost A.B.C.D:80>
        ServerName www.institucija.hr
        RedirectMatch /~(.*)$ http://imeservera.institucija.hr/~$1
        RedirectMatch /ldap(.*)$ http://imeservera.institucija.hr/ldap$1
        RedirectMatch /(.*)$ http://www.institucija.sveuciliste.hr/
</VirtualHost>

RedirectMatch preusmjerava na drugi server čim su udovoljeni uvjeti, zato sve izuzetke treba staviti prije finalnog preusmjeravanja na sveučilišnu domenu i novi server. Vidimo iz priloženog da smo radili izuzetke za korisničke stranice i AAI@EduHr sučelje (/ldap). Na isti način možete dodati i bilo koje druge poddirektorije.

Server na koji se preusmjeravaju izuzeci je zapravo isti taj stari server, samo pod drugim imenom. Ne možemo koristiti naziv "www" (jer se on preusmjerava na novi server), nego koristimo osnovni naziv servera (u primjeru je to "imeservera.institucija.hr").  Naravno, možete staviti i neki alias (www2, web i slično).

Prije nego restartamo apache kako bi nove redirekcije proradile, moramo se pobrinuti za DNS. Ovo je vrlo važno: dan prije svih promjena smanjite $TTL vrijednost na 10 minuta ili manje.  Mnogima tu stoji vrijednost 86400 (u sekundama, to je 1 dan), što znači da cijeli jedan dan neki korisnici neće moći doći do vaših stranica.  Ovo je zato što svaki DNS klijent pamti stare podatke, što traje sve do vremena koje piše u $TTL-u.  Evo što treba napraviti ($TTL se obično nalazi na početku datoteke):

$TTL 86400

treba promijeniti u

$TTL 5m

Povećajte Serial (u standardnom obliku datuma) i obavezno restartajte named.

Ukoliko je DNS na računalu sveučilišta, zamolite kolegu sistemca da umjesto vas najprije promijeni vrijednost $TTL-a, zatim dan kasnije upiše adresu za novi server. Ukoliko je zona delegirana vama, onda to možete napraviti sami. Ne zaboravite povećati Serial i vratiti vrijednost $TTL-a na staro.

Kod nas je to izgledalo ovako, u datoteci gdje je definirana naša zona smo samo promijenili:

;www             IN      CNAME   www.institucija.hr.
www             IN      A       IP.IP.IP.IP

Samo smo zakomentirali alias koji je vodio na naš server, i dodali IP adresu novog servera.

Ovime je naš problem riješen, ali situacija kod vas može biti puno složenija. Uglavnom su problemi kod korisnika s raznim starim adresama iz Bookmarka/Favoritesa, ili korisnici kucaju adrese koje su našli na vizitkama i slično. U tom slučaju ćete možda morati posegnuti za Rewrite pravilima, ali o "tom-potom".

Windows Credentials Manager (dalje: WCM) imaju sve desktop i serverske Windows edicije, od XP/2003 naovamo, uključujući još neslužbeni Win Server 2016. Dostupan je kroz Control Panel, njegov komandnolinijski ekvivalent je cmdkey. WCM je u stvari front end programske logike (lokalnog servisa) koja korisniku windoza omogućuje upravljanje korisničkim računima potrebnim za autentikaciju na mrežne resurse - dijeljene mape i pisači, web proxy, web ili mail servisi, aplikacije za udaljeni pristup računalu... i slično.

Vjerodajnicu koju rabimo za autentikaciju na neki udaljeni resurs WCM upamti tako da ju spremi u takozvani Windows Vault, nakon što korisnik to naredi/odobri u aplikaciji poput Windows Explorer, Internet Explorer, Outlook, Remote Desktop, Skype.... a ponešto spremi i mimo korisnika. Da skratimo priču, niže je ilustrirana tipična situacija: WCM će spremiti vjerodajnicu za pristup dijeljenoj mapi na domaćinu Ralica7, jer smo mu tako naredili opcijom Remember my credentials.

Bez ikakve dvojbe, korisna je to stvarca jer u konačnici omogućuje Single Sign-On u nedomenskom prostoru tj. kad trebamo rabiti udaljeni resurs na kojega naš aktivni account nema prava. Budući spadam u IT profiće, dakle, kadar koji intenzivno „šara“ po LAN i WAN resursima, godinama koristim WCM servis. Čovjek prihvati stvari kakve jesu, posebno ako mu, barem nazivno, idu u prilog, i više o tome ne razmišlja... Loša navada, kako ćemo vidjeti!
Prije par dana poželih urediti vjerodajnice nagomilane u WCM-u, ta skupilo ih se kojih četrdesetak (jednom spremljeni akreditiv WCM pamti bez vremenskog ograničenja), ali shvatih da ih ne mogu brisati grupno nego jednu po jednu. Pa skoknuh na Internet po neku skriptu, računam, nisam ja jedini gotovan na ovom svijetu, netko je već nešto smislio.... Skriptu sam našao, no naletjeh i na nešto puno važnije – ranjivost WCM-a kao servisa. Ta ranjivost pogađa svakog korisnika windoza, a najviše onog s admin pravima!

Idemo redom. Za brisanje svih vjerodajnica iz Vaulta iskoristite nižu skriptu, hvala nepoznatom autoru.

cmdkey.exe /list > "%TEMP%\List.txt"
findstr.exe Target "%TEMP%\List.txt"> "%TEMP%\tokensonly.txt"
FOR /F "tokens=1,2 delims= " %%G IN (%TEMP%\tokensonly.txt) DO cmdkey.exe /delete:%%H
del "%TEMP%\List.txt" /s /f /q
del "%TEMP%\tokensonly.txt" /s /f /q

Za selektivno brisanje prilagodite gornju skriptu ili iskoristite Nirsoftov Network Password Recovery jer je ovaj, od Microsofta anatemiziran programčić (vidi niže zašto), opremljen i funkcijom brisanja više vjerodajnica odjednom.

Ahilova peta WCM servisa je iznenađujuće slaba zaštita lozinki ukeširanih vjerodajnica pa ih alati poput Network Password Recovery (dalje: NPR) ekspresno deenkriptiraju. Za razbijanje mojih lozinki, a većina ih je ekstradugačkih i kompleksnih, NPR utroši 4 – 5 sekundi! Niža slika prikazuje gornji dio popisa razotkrivenih vjerodajnica; razumljivo, prekrio sam polje Password (na slici P), no vidimo da su neke lozinke jačine Very Strong, također, da su uspješno iščitane razne vrste vjerodajnica, a ti su podaci za ovaj članak važniji od mojih lozinki.

NPR spada u lako dobavljive alate, besplatan je, portabilan je (jedan .exe veličine 50-ak kilobajta) i, srećom za sve potencijalne žrtve, ima neka ograničenja. Najvažnije ograničenje je to da radi samo u sigurnosnom kontekstu administratora konkretnog računala. Ali oprez - to ne znači da drugi alati, posebno oni kojima se služe cyber kriminalci, imaju takva ograničenja! Jer nije problem u NPR-u nego u WCM servisu.

Uočite kako neka zlonamjerna osoba, opremljena samo NPR-om, može ozbiljno nauditi nama sistemcima (i sličnima s admin ovlastima). Alat je, kako rekosmo, monolitan i portabilan, k tomu, može se pokretati i skriptom uz parametar za spremanje svih nalaza u log datoteku. Znači, dovoljno je da admin računala ostavi svoj stroj nezaključan svega 5 - 10 minuta pa da mu neki-lik-u-prolazu sa NPR-om na USB sticku ukrade sve ukeširane accounte. Nadalje, ako taj lik raspolaže naprednijim alatom i vještinama hakiranja... uz ovako slabo štićene akreditive „samo nebo je granica“!
Istina je, Microsoft pomalo unaprijeđuje WCM i kao aplikaciju i kao servis, ali sve je to nedostatno jer NPR radi podjednako uspješno na tek iskovanoj Desetki kao i na sada već ocvaloj Sedmici. Kažem „podjednako“ zato jer na Desetki alat ipak nije uspio iščitati moj Live ID za Microsoft cloud usluge, a na Sedmici jest. Što ne znači, podsjećam, da će i neki drugi alat te namjene zatajiti na Desetki.

Tehnološki aspekt cijele priče – koji su (a)simetrični enkripcijski algoritmi u igri, rabi li se uistinu enkripcija ili samo hashiranje, što je od svega toga (i)reverzibilno (i bla-bla) – potpuno je nebitan u odnosu na realno stanje, a ono nije dobro. Žargonom security officera sumirano: Potencijalni vektor napada identificiran je na svakoj novijoj Windows serverskoj i desktop instalaciji;  trenutna razina kritičnosti je High za Windows instalacije dohvatljive s Interneta, za vlasnike prijenosnika i IT administratore. Srećom, ti „sigurnjaci“ stalno nešto dramatiziraju... :o)

Svakako, na Microsoftu je da ovo konačno riješi, ta previše je windoza rasijano po svijetu, a i kupci MS-ovih OS-ova ne zaslužuju takav ignorantski odnos. Ili neka se u WCM UI postavi neka obavijest na temu slabe zaštite lozinki. Na nama je, pak, da se u međuvremenu osiguramo kako najbolje znamo. Zato par savjeta tipa „obrana i zaštita u kontekstu WCM-a“:

a) U mjere zaštite Windows računala uvrstite i ovu glede WCM servisa.

b) Provjerite i pročistite ukeširane vjerodajnice na svim važnijim desktop i serverskim Windows instalacijama. Na kritično važnim instalacijama deaktivirajte servis Credential Manager (Admin Tools > Services).

c) Testovima sam potvrdio slutnju da WCM ne pamti vjerodajnice za pristup dijeljenim mapama ako se rabi legacy naredba net use. Zgodno je znati jer na LAN-u jako često moramo mapirati disk na dijeljeni direktorij (share).

d) Ako baš morate rabiti WCM, povremeno prekontrolirajte stanje. Ja sam si, recimo, na svom prijenosniku složio task koji jednom mjesečno poziva cmdkey /list.

e) IT persone sa većim ovlastima na računala pod Windows OS-ovima trebaju paziti kad riješavaju neki problem na tuđoj Windows instalaciji kako im WCM ne bi ukeširao njihov admin account. U mom WCM-u našao sam, i NPR-om učas iščitao account administratora foresta!

f) Ako to ikome može pomoći, znajte da se vjerodajnice spremaju u %systemdrive%\Users\UserName\AppData\Roaming\Microsoft\Credentials.

Jooj, pokušao sam, al’ ne mogu ovo prešutjeti! Pogledajte kako Korporacija rješava problem dugogodišnje ranjivosti WCM-a: instruirali su svoj Defender da prijavi NPR kao maliciozni program. Poruka je jasna - problem je ono što ukazuje na problem! Defender ne sprečava NPR u djelovanju, samo ponekad javi da je na disku. Istovremeno, TrendMicro, antivirusno rješenje enterprise razine, uopće ne reagira na NPR, bio ovaj pasivan (na disku) ili aktivan u RAM-u.

O kašnjenju mailova s Gmaila i drugih velikih providera smo već pisali, ali imamo osjećaj da bi svaki mjesec (ili češće) mogli pisati jedan članak o ovoj temi, jer postoji mnogo mogućih uzroka. I ovaj put smo dobili upit o kašnjenju poruka s Gmaila, ali samo u slučaju kad je uz poruku priložen privitak. Problem nije bio ni u TLS-u, ni u protokolu IPv6, nego na samim Gmailovim poslužiteljima.

Pitanje koje smo dobili na sys.help je glasilo:

"Poštovani,

imamo problem sa kanjenjem mailova s Gmaila i Yahooa na server
server.domena.hr (161.53.X.Y), a mailovi s attachmentom s Gmaila i Yahooa
uopce ne stizu.

Molimo za savjet i pomoc."

Nakon isprobavanja rješenjea s kojima smo se već susreli zatražili smo logove, jer je to jedini način da saznamo što se događa s isporukom maila. Iako se to može  obaviti i "ručno", mnogo nam je pomogao sam Google s Google Apps Toolboxom, odnosno alatom Messageheader.

Sve što je potrebno napraviti je kopirati cijelo zaglavlje u formu, i nakon klika na "Analyse" dobit ćemo preglednu analizu koliko je mail proveo na kojem poslužitelju:

U konkretnom slučaju, mailovi su se zadržavali po 6 minuta na googleovim poslužiteljima, pa tu nismo mogli ništa poduzeti, osim javiti njihovoj tehničkoj podršci ukoliko problemi potraju.

Važno je napomenitu da morate kopipejstati cijelo zaglavlje, gdje se vide linije "Received", što možete dobiti u svom mail klijentu sa opcijma "Show Raw Headers", "Full Headers" ili sličnim opcijama.

Onima koji se bave elektronikom i samogradnjom ne trebamo previše predstavljati Arduino. Također, poznato je da postoje mnoge inačice, klonovi i nadgradnje ove popularne hardverske platforme. Vjerojatno ste čuli da postoji i hrvatska inačice Arduina, Croduino. Ekipa iz e-radionice nam sada donosi novi model: Croduino Basic2.

Croduino Basic2 je osvježenje u liniji Croduino pločica. Croduino serija pločica su Arduino kompatibilne pločice iz domaće proizvodnje, koje su do sada uključivale pločice: Basic, Pico, Damba i Net. Basic2 je prva iz nove generacije pločica baziranih na Atmelovom mikrokontroleru Atmega328 i Silabsovom USB konverteru CP2102, a tu su i brojne druge promjene koje se tiču dizajna.

Atmelov Atmega328 je poznat mikrokontroler koji se vrlo često koristi među samograditeljima (makerima). Ima 22 I/O (ulazno/izlazna) pina, od kojih su na Basicu2 omogućeni svih 22 kao digitalni ulazi ili izlazi (digitalWrite/digitalRead), 6 od njih ima opciju PWM-a (analogWrite) u rezoluciji 0-255, a 8 njih ima mogućnost analognog ulaza u vrijednosti 0-1024 (analogRead).

Velika i bitna novost na Basicu2 je novi USB to UART bridge. Taj dio strujnog kruga omogućava komunikaciju između pločice i računala u oba smjera. Na Basicu2 je korišten CP2102, proizvod američke firme Silabs, kojeg koristimo za navedenu svrhu. Zamijenio je FTDI-jev FT232RL koji je do sada obavljao navedeni posao. Budući da oba čipa rade istu stvar, a CP2102 je povoljniji, bili smo u mogućnosti sniziti samu cijenu pločice.

Velika novost je i dizajn, pa je recimo pin za gnd sada s bijelom pozadinom za lakše uočavanje. Oznake za digital i analog pinove su drukčije i modernije. U svemu, naravno, pomažu i headeri s printom koje višestruko olakšavaju spajanje kablića na pločicu.

Novi Croduino je sada prilagođen za eksperimentalnu pločicu, što znači da, ako želite, možete zalemiti muške headere i staviti Basic2 direktno u eksperimentalnu pločicu i tako si pojednostaviti povezivanje kablićima.

Je li novi Croduino Basic2 open-source? Naravno da jest, a cijeli dizajn u obliku Cadsoft Eagle datoteka u .brd i .sch formatima (ali i .pdf sheme) dostupan je na Github repositoryju.

Cijeli originalni tekst objave pogledajte na adresi http://e-radionica.com/hr/blog/2015/10/11/novi-croduino-je-tu-croduino-basic2/, a posjetite i njihov webshop na adresi https://e-radionica.com.

Svaki sistem-inženjer u svom radu neizostavno mora koristiti protokol SSH za spajanje na server. Klijentski programi za SSH postoje za svaku moguću platformu, pa tako i mobilne platforme (za Android smo već opisali JuiceSSH). Sve dok je mreža na koju smo spojeni dovoljno kvalitetna (bilo Wifi bilo 3G/4G), rad ide bez problema. No, što ako je mreža spora ili ima prekida? Za to imamo rješenje, a zove se MOSH.

MOSH (MObile SHell) je razvijen na čuvenom MIT-u (Massachusetts Institute of Technology), što već unaprijed daje ovom softveru na težini. O čemu se zapravo radi?

Mosh je zamišljen kao zamjena klasičnom SSH-u, s ciljem da na mobilnim platformama (ili na sporim vezama) pruži bolje korisničko iskustvo. Ovo čini na više načina, a to je korištenjem UDP protokola (umjesto sporijeg i "težeg" TCP-a), lokalnim editiranjem komandne linije (umjesto čekanja na odgovor udaljenog servera) i otpornost na prekide linka (oporavak iste sesije) - drugim riječima podržava roaming.

Kod uporabe mosh klijenta, tekst koji kucate prikazuje se odmah, a ne čeka se odgovor servera. Ukoliko ste SSH nekad koristili preko sporog modema, znate koliko to može biti frustrirajuće. Kod Interneta preko 3G i 4G mreža problem možda neće biti čista brzina, nego latencija, što je podjednako iritirajuće u radu.

Tradicionalni SSH

Prikaz lokalno otkucanih znakova, bez čekanja da server potvrdi da je te znakove primio, je moguć zbog  implementacije prediktivnog prikaza znakova. Drugim riječima, klijent predviđa što će server poslati. Ukoliko je predviđanje pogrešno, nema problema, poništava se i dalje se nastavlja po starom. Pokazalo se da je oko 70% predviđanja točno, što ovisi o tome kako koristite komandnu liniju.

Ne tako tradicionalni MOSH

Mosh pod sobom ima vlastiti protokol SSP - State Synchronization Protocol. Kako SSP radi preko UDP-a, vrlo je jednostavno omogućiti roaming. SSP je moguće primijeniti i za druge programe, a pogodan je baš za mobilne aplikacije, jer omogućava roaming s kućne mreže na GSM mrežu bez prekida prijenosa podataka koji je u tijeku.

Za sigurnost se brine AES-OCB (Offset Codebook Mode) koji je, čini se, odabran jer nudi privatnost i provjerljivost, uz relativno mali overhead kada se usporedi tradicionalnim enkripcijskim metodama. Više o tome na Wikipediji: https://en.wikipedia.org/wiki/OCB_mode.

Mosh podržava UTF-8 (u principu to je i jedini charset koji podržava, no danas je to ionako standard). Izvršava se u userspace-u, dakle proces nije privilegiran, pa nema problema ukoliko bi se pojavio kakav sigurnosni propust (barem ne sa pretjeranim ovlastima). Prijava ide preko SSH mehanizama, ali odmah nakon prijave pokreće se mosh-server koji preuzima daljnju komunikaciju. Za ovu komunikaciju koristi portove 60000-61000, pa oni moraju biti otvoreni, što se vašem vatrozidu možda "neće svidjeti".

Mosh podržava IPv6 tek od verzije 1.2.5 (u Debianu Wheezy je 1.2.3, a u Jessie 1.2.4a), pa to imajte na umu ako rabite IPv6. Ukoliko koristite IPv6, ili ste na mjestu gdje ga koriste pa nemate izbora, možete forsirati IPv4 tako da navedete IPv4 adresu umjesto naziva servera. Na taj način preskočit ćete DNS koji može vratiti IPv6 adresu, na koju se mosh-server ne može spojiti.

Mana Mosh-a je nepodržavanje scrolling-a (scrollback history), pa ukoliko vam je ta funkcionalnost bitna, koristite ga u kombinaciji sa screenom i tmuxom. Autori obećavaju podršku za scrollback buffer u budućnosti.

Više informacija može se pronaći na ovom linku: http://mosh.mit.edu/

U drugom nastavku vidjet ćemo mosh u radu, kao i koji klijenti su dostupni za Android, Linux i Windows platforme.

U ovoj kuharici pokazat ćemo kako upravljati DNSSEC potpisanim zonama koristeći isključivo BIND server i njegove alate. Pokazat ćemo generiranje ključeva, ručno potpisivanje zona, periodički resign zona, automatsko potpisivanje zona koristeći BIND inline-signing i rotacije ključeva.

Inicijalni koraci

Prije svega potrebno je generirati ključeve. Generirat ćemo dva ključa, zone-signing ključ (ZSK) i key-signing ključ (KSK). Za to koristimo dnssec-keygen:

# mkdir -p /etc/bind/keys/carnet.tst.hr
# cd /etc/bind/keys/carnet.tst.hr
# dnssec-keygen -a RSASHA256 -b 1536 carnet.tst.hr
Generating key pair...
Kcarnet.tst.hr.+008+30234
# dnssec-keygen -a RSASHA256 -b 2048 -f KSK carnet.tst.hr
Generating key pair...
Kcarnet.tst.hr.+008+60151

Parametar -a specificira crypto algoritam, opcija -b definira duljinu ključa i opcija -f postavlja KSK flag na ključ.

Kreiramo zaseban direktorij zone i tamo postavimo nepotpisanu verziju zone (npr. /etc/bind/zone/carnet.tst.hr/carnet.tst.hr). Zatim generiramo potpisanu zonu dnssec-signzone alatom:

# cd /etc/bind/zone/carnet.tst.hr
# dnssec-signzone -S -K /etc/bind/keys/carnet.tst.hr carnet.tst.hr
Fetching KSK 60151/RSASHA256 from key repository.
Fetching ZSK 30234/RSASHA256 from key repository.
Verifying the zone using the following algorithms: RSASHA256.
Zone fully signed:
Algorithm: RSASHA256: KSKs: 1 active, 0 stand-by, 0 revoked
                      ZSKs: 1 active, 0 stand-by, 0 revoked
carnet.tst.hr.signed

Parametar -S uključuje smart signing opciju koja automatizira dodavanje DNSKEY zapisa u zonu prema metapodacima koje se nalaze u datotekama ključeva. Opcija -K specificira direktorij u kojem će signzone pronaći ključeve zone. Na kraju zadamo ulaznu datoteku zone, tj. našu nepotpisanu datoteku zone.

Napomena:smart signing je u BIND-u od verzije 9.7 i znatno olakšava upravljanje ključevima.

Prema zadanim parametrima bindće generirati NSEC chain za autenticiranje negativnih odgovora (NXDOMAIN). NSEC chain je povezana lista (eng. linked list) svih imena u zoni koja se koriste za autenticiranje NXDOMAIN odgovora. Problem s NSEC chainom je u tome što omogućava čitanje svih imena u zoni (eng. zone walk) što možda i nije poželjno. Ako želimo otežati zone walk potrebno je uključiti generiranje NSEC3 chaina koji hashira imena prije dodavanja u chain.

Signzone naredba s generiranjem NSEC3 chaina:

# dnssec-signzone -S -K /etc/bind/keys/carnet.tst.hr -3 <salt> carnet.tst.hr

Opcija -3 specificira NSEC3 chain, dok je salt hexadecimalna vrijednost koja se nalijepi na kraj svih imena prije hashiranja. Preporuča se se redovna promjena salta, primjerice kod rotacije zone-signing ključeva ili čak kod svakog periodičkog resigna zone.

Definicija zone u BIND konfiguraciji referirat će na potpisanu verziju zone, primjer:

# edit /etc/bind/named.conf.local
zone "carnet.tst.hr" IN {
    type master;
    file "/etc/bind/zone/carnet.tst.hr/carnet.tst.hr.signed";
    allow-query { any; };
};

Na kraju učitamo promjene u BIND konfiguraciji:

# rndc reconfig

Spremni smo za dodavanje našeg key-signing ključa u parent zonu. Signzoneće generirati datoteku dsset-<ime_zone.> u direktoriju zone koja sadrži DS zapise za naš KSK. DS zapisi se također mogu generirati naredbom dnssec-dsfromkey:

# cd /etc/bind/keys/carnet.tst.hr
# dnssec-dsfromkey Kcarnet.tst.hr.+008+60151
carnet.tst.hr. IN DS 60151 8 1 2559DFD85BF4BE6A38294AC1DF09F37EDA7B97B5
carnet.tst.hr. IN DS 60151 8 2 0E5675886BE12499ED3A7AEE0B78069CA2166719E880A45D3F9E3CF24D7145F8

Prije dodavanja DS zapisa u parent zonu valja pričekati propagaciju potpisane zone na svim sekundarnim poslužiteljima zone.

Nakon editiranja datoteke nepotpisane zone treba obaviti potpisivanje (ulazna datoteka je nepotpisana zona kao i kod inicijalnog potpisivanja) i napravit reload zone - ako imate zonu u git repozitoriju jednostavni post-commit hook može to napraviti za vas. Ne zaboravite inkrementirati serial u nepotpisanoj zoni prije potpisivanja.

Periodički resign zona

Sljedeći korak je osigurati periodičko osvježavanje potpisa u zoni. RRSIG zapisi prema zadanim parametrima signzone naredbi ističu nakon 30 dana. Validirajući rekurzori će provjeravati vremenske podatke u zapisima i vratiti SERVFAIL ako je potpis istekao.

Periodički resign može se riješiti jednostavnom shell skriptom koju pozivamo iz cron-a. Primjer skripte:

#!/bin/sh -e
ZONE=$1
ZONEDIR=/etc/bind/zone/$1
KEYDIR=/etc/bind/keys/$1
 
cd $ZONEDIR
/usr/sbin/dnssec-signzone -S -K $KEYDIR \
  -N increment \
  -o $ZONE \
  -f ${ZONE}.signed \
  ${ZONE}.signed
/usr/sbin/rndc reload $ZONE

Pripadajući cronjob:

*/3 * * * * root /usr/local/sbin/resign carnet.tst.hr

Valja primijetiti da smo u skripti signzone naredbi kao ulaznu datoteku naveli potpisanu verziju zone. Signzoneće provjeriti sve potpise u zoni i generirati nove potpise prema potrebi (ako su unutar tjedan dana do isteka). Smart signingće se pobrinuti i za eventualne rotacije ključeva čitanjem metapodataka u datotekama ključeva kod svakog poziva iz cron-a.

Parametrom -N možemo signzone alatu specificirati što treba napraviti sa serialom u potpisanoj verziji zone (izlazna datoteka). Ovdje nam je idealno inkrementiranje seriala jer je ulazna datoteka ista kao i izlazna datoteka (-f parametar). To znači da će se serial inkrementirati u potpisanoj zoni za svaki resign neovisno o serialu u nepotpisanoj verziji zone.

BIND inline-signing

Od verzije 9.9 bind podržava mogućnost on-the-fly potpisivanja promjena u zoni. Opcija inline-signing automatski generira potpisanu zonu i ažurira potpise kod promjena u nepotpisanoj verziji zone. Osim toga, opcija auto-dnssec kao i smart signing prati metapodatke ključeva što olakšava upravljanje ključevima. Ova konfiguracija eliminira potrebu za shell skriptama i cron jobovima kako bi se osigurala validnost zone.

Ako bi htjeli prekonfigurirati zonu iz primjera tako da koristi ove funkcionalnosti BIND servera prije svega treba potvrditi da koristimo verziju BIND s podrškom za inline-signing:

# named -v
BIND 9.9.5-4~bpo70+1-Debian (Extended Support Version)

Zatim možemo podesiti konfiguraciju zone:

zone "carnet.tst.hr" IN {
    type master;
    //file "/etc/bind/zone/carnet.tst.hr/carnet.tst.hr.signed";
    file "/etc/bind/zone/carnet.tst.hr/carnet.tst.hr";
    key-directory "/etc/bind/keys/carnet.tst.hr";
    inline-signing yes;
    auto-dnssec maintain;
    allow-query { any; };
};

Uključili smo inline-signing i auto-dnssec opcije i preko key-directory direktive naveli BIND serveru gdje može pronaći ključeve zone. Umjesto potpisane zone sada referiramo na nepotpisanu datoteku zone u definiciji zone (bez obzira na to BIND će generirati i posluživati potpisanu verziju zone).

Napomena: bitno je osigurati korisniku pod kojim se pokreće BIND čitanje privatnih ključeva zone. BIND alati za rad s ključevima postavit će dozvole 600 tako da je ručno potrebno podesiti vlasništvo/dozvole na datotekama ključeva.

Zatim brišemo potpisanu zonu koju smo ranije ručno generirali i nakon toga ponovno učitamo BIND konfiguraciju:

# rm /etc/bind/zone/carnet.tst.hr/carnet.tst.hr.signed
# rndc reconfig

BIND će automatski generirati NSEC chain, ako želimo NSEC3 moramo specificirati BIND-u generiranje NSEC3 chaina:

# rndc signing -nsec3param 1 0 10 <salt> carnet.tst.hr

Ovom naredbom dodajemo NSEC3PARAM zapis u zonu koji specificira parametre NSEC lanca: hash algoritam, opt-out flag i broj iteracija. Zadane postavke su zadovoljavajuće za većinu potreba.

Bind će generirati potpisanu verziju zone u raw/binarnom formatu. Ako je potrebno, tekstualnu verziju potpisane zone možemo generirati naredbama:

# rndc sync carnet.tst.hr
# named-compilezone -f raw -F text -o carnet.tst.hr.signed.text carnet.tst.hr carnet.tst.hr.signed
zone carnet.tst.hr/IN: loaded serial 2015102909 (DNSSEC signed)
dump zone to carnet.tst.hr.signed.text...done
OK

Rotacija ključeva

Ovime smo pokrili sve što je potrebno za nesmetan rad DNSSEC potpisanih zona u BIND okruženju. Preostala nam je samo tema periodičke zamjene ključeva. Rotacije ključeva nisu obavezne, tj. validiraćuji rekurzori ne provjeravaju starost ključeva tako da to ovisi samo o vašoj administrativnoj politici. Preporuča se barem rotacija zone-signing ključeva pošto je procedura relativno bezbolna i može se jednostavno automatizirati. Za ključ duljine 1024 i više bitova dovoljno je zamijeniti ključ jednom godišnje. Što se key-signing ključa tiče, za duljinu od 2048 bitova dovoljna je rotacija jednom u 5 godina.

U slučaju da administrator želi rotirati ZSK ključ potrebno je podesiti metapodatke aktivnog ZSK ključa i generirati ključ koji će ga naslijediti. Primjer:

# cd /etc/bind/keys/carnet.tst.hr
# dnssec-settime -I 20151129 -D 20151229 Kcarnet.tst.hr.+008+30234
./Kcarnet.tst.hr.+008+30234.key
./Kcarnet.tst.hr.+008+30234.private
# dnssec-keygen -S Kcarnet.tst.hr.+008+30234
Generating key pair...
Kcarnet.tst.hr.+008+03408

Koristimo dnssec-settime alat za postavljanje metapodataka za aktivni/stari ZSK ključ. Postavljamo -I parametar, tj. datum deaktivacije ključa (ostaje u zoni ali se ne koristi za potpisivanje). Također postavljamo -D parametar, tj. datum brisanja DNSKEY zapisa ključa iz zone.

Bitno je napomenuti da je potrebno ostaviti dovoljno vremena starim RRSIG zapisima da isteknu prije nego što obrišemo stari ZSK iz zone. Ako se koristi zadani end-time RRSIG-ova od 30 dana potreban je barem toliki razmak između deaktiviranja (-I parametar) i brisanja ključa (-D parametar).

Zatim generiramo successor ključ pozivanjem dnssec-keygen alata sa -S parametrom i kao drugi parametar dajemo ID našeg starog ZSK ključa. Keygen alat će pregledati metapodatke starog ZSK ključa i prema tome postaviti datum dodavanja novog ZSK ključa u zonu (pre-publish datum, default je 30 dana prije aktivacije) i datum aktivacije novog ključa (na dan kada se deaktivira stari ZSK ključ).

Za rotaciju KSK ključa možemo koristiti istu metodu kao i kod rotacije ZSK ključa (pre-publish metoda) ili možemo koristiti double-signing metodu. Za double-signing jednostavno generiramo novi KSK ključ koji će odmah postati aktivan u zoni uz naš stari KSK ključ. Novi ključ generiramo istom naredom kojom smo generirali naš inicijalni KSK ključ:

# cd /etc/bind/keys/carnet.tst.hr
# dnssec-keygen -a RSASHA256 -b 2048 -f KSK carnet.tst.hr
Generating key pair...
Kcarnet.tst.hr.+008+38770
# dnssec-dsfromkey Kcarnet.tst.hr.+008+38770
carnet.tst.hr. IN DS 38770 8 1 4A33CC9C14E2D86AAF8537195B9E0AB71E23DC03
carnet.tst.hr. IN DS 38770 8 2 07554D9348D1278742322C48AF92C5B2960E4D430C1374A50DEAC6F0C78C16E4

Nakon propagacije novog KSK ključa dodajemo nove DS zpise u parent zonu. Stari ključ možemo obrisati nakon što smo sigurni da je novi DS zapis propagiran u cache rekurzora. Propagacija ovisi o TTL-u DS zapisa u parent zoni i TTL-u DNSKEY zapisa u našoj zoni. Brisanje starog KSK ključa iz zone:

# dnssec-settime -I now -D now Kcarnet.tst.hr.+008+60151

Ako se koristi auto-dnssec s maintain parametrom, nije potrebno ručno potpisivati i reloadati zonu nakon dodavanja novog ključa. BIND će kod svoje periodičke provjere zone (svakih sat vremena) primijetiti novi ključ i aktivirati ključ u zoni kako je definirano u metapodacima. Bitno je da nakon generiranja novog ključa ili postavljanja metapodataka dnssec-settime alatom osiguramo bind korisniku mogućnost čitanja privatnih ključeva zone.

Ako ručno potpisujemo zonu, cron iz ranijeg primjera pobrinut će se za rotaciju ključeva.

Korisni linkovi

BIND DNSSEC guide - uvod u DNSSEC, upute za korištenje BIND inline potpisivanja, recepti za rotacije ključeva itd.

NSEC3 info - usporedba NSEC i NSEC3 specifikacija uz detljna objašnjenja funkcionalnosti.

DNSSEC operational practices - savjeti za administriranje DNSSEC potpisanih zona (ne nužno "Best Practices").

Postoje mnogi programi za sigurno chatanje, ali malo koji je do sada rabio mrežu Tor kao komunikacijski kanal. To je od nedavno moguće s Tor Messengerom. Iako je sam program nastao još 2012. godine, tek sada je izdan u stabilnoj inačici (iako još uvijek u nazivu ima "beta"). Ono što je zanimljivo je to što je baziran na Javascriptu.

Sam program je baziran na Instantbirdu (koji dolazi iz Mozille), a omogućava "Off the record" (OTR) slanje poruka preko mreže Tor. Dostupan je za Mac, Windows i Linux.

Adresa na kojoj možete naći inačicu za svoje računalo je: https://blog.torproject.org/blog/tor-messenger-beta-chat-over-tor-easily.

Tvrdnja kako je Linux (ili bilo koji Unixoid) zbog svoje arhitekture imun na zloćudne programe ne stoji, a argument kako je mali broj poznatih zaraza dokaz toj tvrdnji je promašen. No, činjenica jest kako je u odnosu na druge popularne operacijske sustave Linux značajno manja, rekli bismo i teža meta - ako ni zbog čega drugog, onda zato što su korisnici Linuxa uglavnom tehnički dobro potkovane osobe kojima nije lako podmetnuti  trikove u stilu "klikni ovdje za besplatan pornlć".

Sigurnosne tvrtke povremeno izvještavaju korisnike o pronađenim (ili prijavljenim) "komadima" zloćudnog softvera, pa tko prati scenu zna da ona nije beživotna. A ponekad se pojave i priopćenja poput ovog (https://news.drweb.com/show/?i=9686&lng=en&c=5) - o ransomware zlu koje napada Linux poslužitelje i od webmastera zahtjeva otkupninu od jednog bitcoina.

Istraživači zapravo ne znaju na koji način malware zarazi poslužitelj: kalkuliraju sa propustom u Magentu, ali u tom slučaju malware ne bi smio dobiti administratorske privilegije, već one tipične za web poslužitelj (www-data).

S tim pravima malware ne može učiniti sve za što ga se okrivljuje (enkriptirati korisničke datoteke u /home direktoriju, primjerice), pa istraživači na posredan način sugeriraju kako malware"magično" dobije administratorske ovlasti (hmm, možda neki sistemaši ipak padaju na trik sa besplatnom pornjavom?).

Objava je pomalo konfuzna, a ne pomaže niti pretpostavka autora da je ovim ransomware uratkom zaraženo na... desetke korisnika.

Članak na žalost ne opisuje problematiku dovoljno detaljno pa je teško iz njega izvući konkretne podatke, ali možemo pretpostaviti da je riječ o ransomware napadu koji iskorištava propust u Magento CMS-u (ili propust administratora koji zaboravi vratiti dozvole nakon instalacije ekstenzija), ili o nesposobnom administratoru koji je pokrenuo nepoznat program sa administratorskim privilegijama.

Što god bilo, najjednostavnije rješenje je - vratiti podatke iz backupa. Malware se čini glup, pa odmah po infekciji zaključa sve što se zaključati da i tako ekspresno obavjesti okolinu o svom postojanju. Srećom po žrtvu, jer to znači da su backup datoteke vjerojatno čiste.

Podatak o iznimno velikom broju žrtava (desetine) govori nam da taj malware nije naročito raširen, no nemojte na osnovu toga zaključiti kako je to dokaz da je Linux imun na digitalne gadarije; očito je mala vjerojatnoća da će ova digitalna beštija ikad doći do vaših poslužitelja, ali dobro je tu informaciju imati na umu.

Besplatna inačica Microsoftovog dokumentacijsko-kolaboracijskog softvera, SharePoint Foundation (dalje: SPF), čest je izbor radnih timova i manjih poduzeća, još od onih vremena kad se zvao Team Services. Naime, iako je po raznim funkcionalnim aspektima značajno reduciran u odnosu na komercijalne SharePoint edicije, SPF je i dalje vrlo upotrebljiv, ujedno uz minimalna ulaganja - u rečeno se možete uvjeriti na linku http://sistemac.carnet.hr/node/1168, u članku u kojem su opisane njegove najvažnije značajke. 

Postoji jedno važno područje u kojem je Microsoft zakinuo svoj besplatni SharePoint. To je audit, praćenje korisničkih aktivnosti - od kretanja po bibliotekama preko editiranja dokumenata i pretraživanja... do potencijalno destruktivnih radnji poput brisanja. Odsustvo audita postaje uistinu neuralgičan nedostatak SPF-a kad shvatimo da je poslovna dokumentacija mission-critical resurs tvrtke, pa dokumentacijski servis u konačnici treba nadzirati i štititi baš kao poslovnu web aplikaciju oglašenu na Internetu.

Istina je, na www.codeplex.com, Microsoftovom web mjestu za open source rješenja, naći ćemo modul AuditingLog.zip, ali taj je za SPF 2010 i ne radi na SPF 2013. Srećom, g. Trevor Seward prilagodio je predmetni modul za SPF2013 i objavio ga na adresi https://onedrive.live.com/?id=CBCE97C71A32BCAE%211575. Kako sam se doklackao do tamo, ne pitajte, ne znam niti sam. Bitno je sljedeće:

* sigurnosna provjera lika i djela Trevora Sewarda, koju sam, dakako, pažljivo odradio (ta ne treba nam sigurnosni softver sa backdoorom, zar ne?!) pokazala je da se radi o stvarnoj osobi sa respektabilnim stručnim referencama;
* temeljem višemjesečnog iskustva mogu reći da je softver stabilan i radi ono za što je namijenjen.

Budući AuditingLog za SPF 2013 nije dokumentiran, evo što treba učiniti da bismo ga ispravno ugnijezdili u SPF i okoristili se njime:

a) ukopirati datoteku AuditingLog.wsp u C:\

b) pokrenuti SharePoint PowerShell i zadati:

Add-SPSolution -LiteralPath c:\auditinglog.wsp
Install-SPSolution -Identity auditinglog.wsp -GACDeployment -CompatibilityLevel {14,15}

c) aktivirati modul kroz Site Settings > Site Collection Features

Nakon tih koraka pod Site Collection Administration pojavljuje se naredba Audit Management, tu se uključuju događaji koje želimo pratiti; naredbu Auditing Viewer, preglednik za uvid u zabilježene događaje, naći ćemo pod Settings web mjesta. Rečeno se vidi na nižoj slici. Budući da se svi zapisi upisuju u SQL bazu, kako bismo spriječili njeno nekontrolirano bubrenje isključili smo praćenje nekih nama nevažnih događaja.

Nedavno je kolega od mene tražio savjet da li da uloži novac u neku od internetskih valuta. Zapravo je mislio na cryptocurrencies, čiji je prvi i do danas najpoznatiji predstavnik Bitcoin, ali se pojavljuju nove inačice iza kojih stoje poslovni projekti. Pitao sam ga da li bi kupio  digitalnu valutu zato što načelno podržava takve projekte, ili to smatra poslovnim ulaganjem i očekuje zaradu? Odveo me prezentaciju jedne takve valute, a sve što sam tamo čuo natjeralo me da preispitam svoja znanja i uvjerenja o novcu i ekonomiji.

Prije svega, još sam jednom shvatio da je svaka valuta virtualna. Nekada je vrijednost novcu osiguravao autoritet vlastelina koji je davao iskovati novac, a i vrijednost zlata iz kojeg su "dukati" izrađeni. Papirnati novac se počeo proizvoditi u Kini. Marco Polo se čudio s kakvim poštovanjem ga svi primaju i razmjenjuju - iza tih papirića stajao je neporecivi carski autoritet. U srednjovjekovnoj Engleskoj, kad je ponestalo plemenitih kovina, koristili bi drvene letvice, tally sticks, na kojima bi sa strane nožem urezivali zareze koji su označavali iznos duga. Štapić bi zatim prepolovili, tako da obje strane imaju dokaz transakcije. U to su doba ljudi bili nepismeni, a ovakvu poruku je svatko mogao razumjeti.

Današnje valute više nemaju podlogu u zlatu. S time je započeo predsjednik Nixon kad je imao problema s financiranjem rata u Vijetnamu. Od tada SAD mogu tiskati novčanice kako im zatreba. Ako ste pomislili da to znači da papirnatih dolara ima kao lišća na drveću, promašili ste. Većina novčarskih transakcija danas se obavlja elektroničkim putem. Kažu da banke imaju samo desetinu novca u obliku novčanica i kovanica. Kažu da za svaku kunu naših novaca banke mogu izdati 10 kuna kredita. Zato bi banke propale kada bi ljudi nagrnuli da izvade svoje novčanice, jer ih zapravo nema dovoljno.

Iza novca danas stoji država, ona garantira njegovu vrijedost. Propašću države, njen novac postaje stari papir i ide u recikliranje. To smo u našim geografskim širinama već nekoliko puta doživjeli. Država počiva na dva monopola: monopolu izdavanja novca i monopolu na nasilje. Pojedinci i grupe koji posižu za nasiljem stavljaju se izvan zakona, proglašavaju kriminalcima i teroristima, ali države legalno primjenjuju silu, objavljuju ratove. Malo ljudi zna da su u 19-tom stoljeću u SAD najveće banke izdavale svoj novac, prije nego je država preuzela na sebe tu funkciju.

Novac zapravo funkcionira na povjerenju. Kad se izgubi povjerenje, kad ga ljudi prestanu prihvaćati kao zamjenu za robe i usluge, on postaje bezvrijedan. Kažu da vrijednost dolara ovisi o povjerenju arapskih i kineskih kreditora. Sve dok oni vjeruju da će dobiti povrat ulaganja plus kamate, dolar opstaje kao svjetska valuta, njime se određuje cijena nafte, u dolarima se izražava bruto nacionalni dohodak. Kažu da je Iran poželio određivati cijenu nafte u eurima, pa je dospio na Američku crnu listu jer bi se time pokrenuli procesi koji bi promijenili odnose snaga u svijetu.

Elektroničke transakcije dovode do još jednog fenomena današnjeg društva, a to je nestanak privatnosti. Banke i kartičari znaju gdje trošimo novac, na što ga trošimo, znaju o nama mnogo više nego što mi mislimo da znaju. Neki se zalažu da se gotovina posve izbaci iz upotrebe, da se i najmanje transakcije obavljaju elektronički, plaćanjem karticama i mobitelima. To će nas dovesti u društvo potpunog nadzora.

I sada na scenu stupa Internet. Mreža svih mreža, mreža računala, mreža informacija, mreža ljudi. Mijenja se način učenja, vijesti putuju brzinom svjetlosti, nestaju prostorne udaljenosti, granice gube na značaju. Ekonomija postaje globalna, a razvoj se strahovito ubzava. Što u takvom svijetu znače nacionalne valute? U ovom se pitanju već naslućuje odgovor. Internet je prevelik da bi iza njega mogla stati bilo koja pojedinačna država. Internet traži novu valutu, elektroničku valutu koju će svi prihvatiti i koja će postati univerzalno sredstvo plaćanja. Treba nam nadnacionalna, planetarna valuta, koju neće biti moguće krivotvoriti, ukrasti.

Tko će stajati iza takve valute? To je pravo pitanje! Hoće li se formirati Svjetska vlada, neki novi UN, ili iza digitalne valute trebaju stajati poduzetnici?

Bitcoin će ući u povijest kao prvi društveni eksperiment u tom smjeru. Njegov mitski autor Satoshi Nakamoto, za kojeg neki kažu je da je zapravo pseudonim grupe hakera, smislio je algoritam koji osigurava osnovne principe funkcioniranja nove valute. Svaka je transakcija anonimna, ali se može pratiti povijest kretanja svakog Bitcoina. Naime svakom se bitcoinu pridodaju hashevi koji jedinstveno označavaju obje ugovorne strane i sve pojedinačne transakcije. Bitcoin je peer-to-peer valuta, kojom dvije strane stupaju u ugovorni odnos. Količina Bitcoina je ograničena, a vrijednost mu varira, raste i pada kao i svakoj robi. Može ih se zaraditi rudarenjem, odnosno iznajmljivanjem računala za izračun hasheva i čuvanje podataka o transakcijama, ili ih se kupi za neku od "državnih" valuta. Međutim algoritam koji svakom novčiću pridodaje kriptografske hasheve je univerzalan i primjenjiv u mnogim drugim djelatnostima, na primjer u zemljišnim knjigama, gdje bi se pomoću njega mogla eliminirati korupcija.

Drugo važno pitanje je da li je Bitcoin valuta ili roba, kao zlatne poluge. Ako je roba, onda pri kupovini coina treba platiti porez. Tako je to regulirano i u Hrvatskoj!

Treća, a možda i najvažnija dilema je hoće li nove digitalne valute omogućiti potpun nadzor nad ljudima, ili će omogućiti da transakcije budu anonimne, kao što je "anarhistički" zamislio Nakamoto. Prezentacija nove kriptovalute kojoj sam prisustvovao primjer je posve drugačijeg smjera: tvrtka prodaje softver preko kojeg obavljaš sve poslove na Internetu: dopisivanje, surfanje, kupovanje itd. To znači da sada ta tvrtka zna sve o tebi i prodaje te informacije oglašivačima i trgovcima, a dio zarade daje svojim kupcima u obliku digitalne valute koju možeš trošiti kupujući pomoću njihove aplikacije, zarađujući kupovanjem nove kovanice. Tako bi ljudi za sitnu zaradu prodavali svoju privatnost. S druge strane, već je daju besplatno Googleu, Facebooku, kartičarima i tko zna kome sve ne, pa im možda zvuči primamamljivo da sad mogu uzeti dio zarade koju drugi ostvaruju na njima?

Mnogo je pitanja na koja treba odgovoriti. Svijet se sve brže mijenja, a mi kaskamo za promjenama i ne osvješćujemo ih dovoljno. Hoće li razvoj čovječanstva ići u smjeru oslobađanja čovjeka, ili u smjeru novih načina porobljavanja i iskorištavanja?

I što sada savjetovati kolegi? Što bih ja učinio? Uložio bih u skrivene novčiće (kripto na grčkom znači skriveno), ali ne u takve koji poništavaju moju privatnost. Svjetski moćnici žele sve veću moć nad nama, takvu moć koja će im omogućiti sve veću zaradu. Tu se radi o borbi za slobodu.

Naravno, treba biti spreman na rizik: vrijednost skrivenih kovanica može rasti i padati, trgovci mogu odlučiti da li ih prihvaćaju ili ne. Tridesetak inačica cryptocoinsa već je u upticaju, bit će ih još. Posve sam uvjeren da će s vremenom nestajati tradicionalni novac i da će ga zamijeniti digitalne valute. Oni koji uskoče u pravi trenutak na pravi vlak daleko će dogurati, dobro zaraditii. Ostali, koji čekaju da vide što će biti, pokupit će mrvice. Za većinu ljudi promjene su prebrze i oni će biti samo pasivni promatrači i žrtve tih promjena. Zato, ljudi moji, pamet u glavu! Podržimo promjene koje nam idu u korist, profitirajmo od njih, ali se suprotstavimo porobljavanju i čuvajmo svoju privatnost.

U sklopu CARNetove konferencije CUC 2015. održava se sys.trek, za kojeg bismo se već usudili reći i tradicionalni, poseban dio konferencije namijenjen sistem-inženjerima, tehničarima i informatičarima svih profila. Sys.trek započinje jedan dan ranije od ostatka konferencije posjetom određenom objektu ili tvrtki, koja je svojom ulogom ili djelatnošću zanimljivost u očima sistemaca. Ove godine posjetili smo Hidroelektranu Dubrovnik u mjestu Plat.

HE Dubrovnik građena je od 1960. do 1965. godine, te u prosjeku proizvodi preko 1600 GWh električne energije godišnje. Impresivna je činjenica da se strojarnica nalazi preko 500 metara ispod zemlje, a prilazni tunel je dugačak 520 metara, pri čemu može bez problema glumiti skrovište nekog Bondovog super-zločinca.

Jedan agregat je trenutno u remontu, a zanimljivo je bilo vidjeti kako su pomiješane nove i stare tehnologije. Poslije obilaska sistemci su se mogli okrijepiti u obližnjem obiteljskom domaćinstvu.

Pogledajte kako HE Dubrovnik izgleda iznutra.

Prvog dana konferencije CUC 2015 na sys.treku su se održala zanimljiva predavanja, a započela je i trodnevna radionica "Internet of Things". Branko Radojević otvorio je sys.trek, a nakon toga Ljubomir Hrboka je predstavio novi Portal za sistemce, koji će ubrzo proraditi na novoj adresi. Toni Pralas je predstavio mogućnosti on-line obrazovanja preko CARNeta za sistem-inženjere. Na kraju je održano sučeljavanje između Radoslava Dejanovića (ReadCube/Labtiva), Tomislava Bronzina (Citus), Marina Bjeliša (Nimium) i Ivana Capana (CARNet) na temu je li kvalitetnija plaćena ili community podrška.

Pogledajte kako je to izgledalo:

Sys.trek je u četvrtak otvorilo predavanje Kristijana Fabine (Microlink) o načinima analize Wi-Fi mreža kako bi se maksimalizirala brzina i njihova pouzdanost. Pod nazivom "Godina nadogradnji" Marin Lučić (CARNet) i Željko Boroš (CARNet) analizirali su što je novo u svijetu Windowsa (Windows 10) i Linuxa (Debian Jessie). U nastavku Zoran Vlah (CARNet) je izložio kako je moguće doći do certifikata za servise i što je novo u odnosu na stari način dobivanja certifikata.

U drugom dijelu konferencijskog dana Mijo Đerek (Srce) i Dubravko Penezić (Srce) izložili su novosti u svijetu AAI@EduHr i Eduroama. Marin Lučić (CARNet) osvrnuo se na status e-commercea u Hrvatskoj. U poslijepodnevnim satima održao se drugi dio radionice "Internet of Things - nadzor i kontrola sistem-sale".

Pogledajte kako je izgledao drugi dan sys.treka:

Zadnji dan sys.treka otvorilo je predavanje Marka Staneca (CARNet), koji je opisao rezultate provedene sveobuhvatne sigurnosne analize CARNetove mreže. Alan Jurčič (CARNet) je imao zanimljivu prezentaciju o DNSSEC-u, te je na praktičan način pokazao kako svoje DNS poslužitelje prilagoditi za DNSSEC.

U nastavku sys.treka održan je treći dio radionice "Internet of Things - Nadzor i kontrola sistem-sale".

Jedan od najpopularnijih aktivnosti na sys.treku je nagradna igra. Kroz tri dana trebalo je na dodijeljenom virtualnom poslužitelju otkloniti sve nedostatke, kako bi se otkrio ključ za nastavak igre. Prvi je do kraja stigao i osvojio prvu nagradu Stanko Kružić (Sveučilište u Splitu), na drugom mjestu je Domagoj Vuković (ETF Osijek), ai na trećem Mario Miloloža (ETF Osijek).

Pogledajte slike sa zadnjeg dana sys.trek-a:

Postoje dvije predrasude o Windows OS-u koje su, zahvaljujući dugogodišnjem nekritičkom prenošenju „s koljena na koljeno“ (što pisanom što govornom riječju), dosegle razinu mita, postajući time neupitne, samorazumijevajuće:
a) Windows OS je nesiguran, što ga čini nepodesnim za primjenu u sigurnosno iole zahtjevnijim situacijama, posebno onima koje uključuju Internet konekcije.

b) za dijeljenje mapa i pisača na Windows OS-u potrebna je gomila TCP/UDP portova, od kojih su neki sigurnosni problem, što Windows OS čini nepoželjnim za tu ulogu.

Izvorište oba mita nalazi se u davnoj prošlosti - informatičkim mjerilom mjereno, dakako – kada su windoze uistinu imale opisane slabosti. No, Windows 2000, i sve kasnije edicije, eliminiraju slabost (b), a sa pojavom Windows Server 2003 (i kasnijim desktop inačicama) i prva tvrdnja (a) postaje sve diskutabilnija. Da, ranjivosti i danas postoje, ta svi smo bolno svjesni toga, ali Windows OS je u tome ravnopravan drugim popularnim OS-ovima. Puno indikatora potvrđuju tu tezu, niže je samo jedan, ali reprezentativan (kompletan članak je na http://www.softpanorama.org/Commercial_linuxes/Security/top_vulnerabilities.shtml):

According the U.S. Government’s database of computer security vulnerabilities maintained by the National Institute of Standards and Technology (http://icat.nist.gov) as of April 15, 2004, there have been more High Severity (remotely exploitable) vulnerabilities found in the Linux operating system than in Microsoft Windows.

Autori također navode da je prednost Unix/Linux platforme u tome što se konkretna instalacija može bolje osigurati u smislu zaštite od provala s mreže i/ili ugnježđivanja zlonamjernog softvera. No, raspoloživi potencijali su jedno a njihova iskorištenost „na terenu“ drugo, pa u praksi, na veliko zadovoljstvo cyber kriminalaca, imamo tek polovično fortificirane unixoidne instalacije. Tako da, nakon vaganja „pro et contra“ možemo zaključiti da je jedini stvarni nedostatak Windows OS-a u odnosu na Linux/Unix kao njegovu pravu konkurenciju, veća izloženost Windowsa računalnim virusima i crvima. Što, opet, ima povijesne razloge – nešto od toga naći ćemo u spomenutom članku – no, svejedno, to je objektivno stanje.

Kako to biva, ljudi se emocionalno vežu ne samo za živa stvorenja nego i za stvari,  ideologije.... pa i tehnologije. Utoliko, nekome se rečeno neće svidjeti, naći će tucet zamjerki ali meni se, sa dosadašnjima spoznajama i iskustvima, gore izloženo čini istinitim.

Prijeđimo sada na mit o problematičnom dijeljenju mapa i pisača na windozama.
Suvremene edicije Windowsa rabe SMB3 protokol za dijeljenje mapa i pisača. Pri tome, Windows računalo koje na mreži oglašava svoje resurse, može prihvatiti klijentske konekcije na jedan od dva načina:
- SMB over TCP/IP, pri čemu se rabe portovi TCP/UDP 445
- NetBIOS over TCP/IP, kad se rabe portovi TCP 139 i 137 te UDP 137 i 138

Od Windowsa 2000, na WINS kartici (eno je pod Properties TCP/IP protokola na mrežnoj kartici), možemo isključiti NetBIOS over TCP/IP, čime se efektivno zatvaraju gore spomenuti NetBIOS portovi, a Windows računalo normalno nadalje prihvaća i opslužuje klijentske konekcije kroz TCP 445. WINS kartica je idealno konfigurirana ako odgovara nižoj slici.

Nasuprot uvriježenom mišljenju, ovime nismo otklonili nekakvu ranjivost jer je servis koji sluša na ozloglašenom portu TCP 139 odavno temeljito prerađen, znači, otporan je na napade koji su ga svojevremeno „proslavili“ kao sigurnosnu rupu. Ipak, možemo reći da smo smanjili manevarski prostor napadaču jer smo iz igre izbacili četiri porta. Znamo kako to ide u računalnoj sigurnosti – neka softverska komponenta sama po sebi ne mora biti ranjiva, ali može poslužiti kao izvor informacija za oblikovanje strategije napada. A može, bome, i sama postati sigurnosni problem; praksa nas podučava kako ono što se godinama smatralo sigurnim postane ranjivo, štoviše, da je godinama bilo ranjivo dok je istovremeno vrednovano kao uzor sigurnosti.

Isključivanje NetBIOS-a na Windows računalima ni po čemu se neće negativno odraziti na funkcionalnost dijeljenja i uporabe mapa i pisača, čak i na segmentiranom LAN-u (routanoj internoj mreži). Ujedno smo značajno smanjili broadcaste po mreži i omogućili finije filtriranje prometa na mrežnoj opremi, što će jako razveseliti mrežare. Naposljetku, možemo „umiroviti“ i WINS servis, ako smo ga ranije dignuli kako bismo omogućili korisnicima Windows računala na segmentiranoj mreži nesmetanu uporabu Network preglednika.

Možemo reći da smo na dobitku, barem na tehničkoj razini. Potencijalni problem su korisnici Windows računala jer ipak moraju promijeniti neke navike, ponekad i sami informatičari.

Što se tiče korisnika, nakon isključivanja NetBIOS protokola, na routanom LAN-u Network preglednik može prikazati samo one članove domene ili radne grupe koji su na istom subnetu. Na nižoj slici vidimo “razlomljenu“ domenu Corp – računala unutar istog mrežnog segmenta međusobno se vide, ali ne vide sabraću s one strane routera. Nepripremljenim korisnicima će to svakako otežati rad.

Može li korisnik računala Win10Ent1 vidjeti računala prisutna na drugom mrežnom segmentu domene, poput Servertst1 i Windoze81, i bez NetBIOS podrške? Može, samo se treba poslužiti naredbom Search Active Directory, koja se nalazi na kartici Network unutar preglednika Network, vidi gornju sliku. To je izvedivo zbog povezanosti Active Directory sustava sa DNS servisom. Ta povezanost korisniku ujedno omogućuje ono najvažnije: spajanje na neki dijeljeni resurs uporabom NetBIOS (single-label) imena ciljnog računala - znači, kako je i navikao - bez obzira nalazi li se to računalo s ove ili s one strane routera. Možemo, znači, na klijentu Win10Ent1 iskoristiti naredbe Map network drive ili Net use i putanjom \\servertst1\docs spojiti se na share Docs servera. Niža slika nam pokazuje da je klijentsko računalo NetBIOS imenu cilja dodalo primarni DNS sufiks i upitalo DNS koja je IP adresa tog računala. Potom se računala dogovaraju o prijenosu podataka (TCP i SMB handshake); uočite da je port cilja TCP 445.

Gornji primjer nam sugerira da se u stvari transparentno rabe DNS imena. U ispravno podešenom DNS-u te, dakako, Windows računalu, tajna je nesmetane uporabe dijeljenih resursa na Windows mreži sa disabliranim NetBIOS protokolom.

Pogledajte kako možemo, posredstvom naredbe Run, rabeći samo NetBIOS ime cilja, vidjeti sve dijeljene mape na računalu Servertst1 a potom se, dakako, spojiti na ciljnu mapu: nakon zadnjeg backslasha pričekamo sekundu – dvije i pojavit će se popis dijeljenih mapa kojima je taj server domaćin.

Što ako ne znamo ime ciljnog servera? Prisjetimo sa da Active Directory, „prirodno stanište“ Windows računala, omogućuje oglašavanje dijeljenih mapa i pisača. Rabeći maloprije spomenutu naredbu Search Active Directory (na kartici Network unutar preglednika Network, a dade se i postaviti na Desktop), možemo pristupiti bilo kojem domenskom dijeljenom resursu, kako to radimo na nižoj slici.

Naravno, pristup dijeljenim resursima možemo riješiti i raznim shortcutima, skriptama i sličnim tehnikama. Korisnicima su takva rješenja najpraktičnija jer imaju pripremljenu radnu okolinu. Niže je primjer uporabe NET* naredbi iz komandne linije, kako vidimo, i nakon disabliranja NetBIOS-a možemo se njima okoristiti, rabeći pritom i kratka i dugačka imena računala.

Kako stojimo s routanim LAN-om po kojem su raspršena domenska i nedomenska Windows računala, k tomu sa onemogućenim NetBIOS protokolom? U toj situaciji je neizbježna uporaba FQDN imena, posljedično, jako je važno znati ispravno podesiti ne samo DNS servere nego i DNS postavke na Windows računalima, posebno se to odnosi na sufikse pretraživanja i automatsko prijavljivanje u DNS. U ovoj situaciji korisnici upadaju u probleme, jasno, ako ih mi sistemci nismo pravovremeno educirali ili im pripremili radno okruženje.

U složenijim tehnološkim okolinama (više foresta, nepovezane interne DNS hijerarhije, postojanje NetBIOS aplikacija) resolving imena računala možemo unaprijediti primjenom GlobalNames DNS zona; samo spominjem jer ta tema probija okvir ovog članka, jednako kao obrada banalnosti poput uporabe lokalne Hosts za resolving.

Kad mi sistemci postajemo problem? Ne ovladamo li finesama Windows mreže u mjeri dovoljnoj da radna sredina o kojoj brinemo – i ljudi i računala i servisi - bezbolno nastavi obavljati svoje posliće bez NetBIOS protokola, e, tada smo mi problem, a ne „te gluuupe windoze“. Brzopletim ukidanjem NetBIOS-a pojave se razne greške i nedoumice, krenu brzinska rekonfiguriranja svega i svačega, krene gunđanje... i situacija se riješava vraćanjem NetBIOS-a u igru jer „gle, bez njega ipak ne radi“.

Ako Windows računalo bez NetBIOS-a ne nudi ili odbija rabiti dijeljene resurse, osnovno je provjeriti Advanced sharing settings (vidi nižu sliku), TCP/IP postavke na mrežnoj kartici, stanje lokalnog vatrozida te, svakako, stanje lokalnih servisa. Dovoljno je zaustaviti „sada nepotreban“ servis TCP NetBIOS Helper da izazovemo gadan problem... Probajte!

Važno je upamtiti: NetBIOS over TCP/IP nije samo mrežni protokol za dijeljenje datoteka i mapa, na što smo se mi trenutno fokusirali; njegov je zadatak i registracija imena računala (i nekih njegovih servisa) na lokalnoj mreži, te prevođenje imena računala u IP adresu, štoviše, NetBIOS je i API za klijent/server aplikacije. Ukidanjem NetBIOS-a onemogućit ćemo rad aplikacija koje o njemu ovise. Tih aplikacija danas ima jako malo jer sam Microsoft odavno sustavno radi na zamjenjivanju NetBIOS-a modernijim tehnologijama, ali postoje. Načelno, što je infrastruktura složenija, potrebno je više planiranja i testiranja. No, uvijek se možemo opredijeliti za opciju selektivnog isključivanja NetBIOS-a, npr. na Windows instalacijama u DMZ, i sl.

Još par riječi o SMB protokolu, jer njime se prenose podaci između domaćina dijeljenih
resursa i klijenata. Pouzdan je, robustan, čak i vrlo siguran jer od Windows Server 2012 / Windows 8 sav SMB promet možemo enkriptirati na domaćinu, deenkriptira se na klijentu. No, sigurnosno gledano, mnogo možemo postići i bez enkripcije ako u Local Security Policy windoza uključimo opcije:

Digitally sign communication (posebno za SMB server i SMB klijenta)
Do not allow anonymous enumeration of SAM accounts and shares
Restrict anonymous access to Named Pipes and Shares

Znači li to da ispravno podešena Windows računala mogu kombinacijom SMB + port 445 razmjenjivati podatke i preko Interneta? Dvije su prepreke: prva je ISP, koji po navici blokira SMB promet (defaultno je SMB promet onemogućen i na xDSL routerima), druga je brbljivost porta TCP 445, naime, on skenerima poput Nessusa isporuči informaciju o nekolicini RPC lokalnih servisa, zajedno sa imenom računala. Nessus, doduše, procjenjuje da je Risk factor = None, no zašto bismo potencijalnom napadaču davali bilo kakvu informaciju „na tacni“. Stoga je VPN pravo rješenje za simpatizere metode „SMB-over-Internet“. Ali budimo realni - postoji bezbroj načina za dijeljenje datoteka i pisača preko Interneta, ne mora to biti baš SMB protokol.

Nedavno otkriveni propust kojem su podložni mnogi davatelji VPN usluga jedna je od relativno rijetkih neugodnosti koje mogu zaskočiti korisnike VPN usluge. Riječ je o kreativnom korištenju port forwarding opcije na strani napadača; napad je zanimljiv, nije trivijalan, ali nije niti kompliciran i od napadača traži od obavi određene predradnje:

- napadač treba saznati izlaznu IP adresu VPN tunela žrtve;
- zatim, napadač se treba spojiti na isti VPN izlaz kao i žrtva;
- napadač treba aktivirati port forwarding svoje veze na izlaznom VPN serveru;
- najzad, žrtvu treba prevariti da kontaktira forwardirani port na serveru

Autori otkrića savjetuju klasičnu prijevaru s ugnježđenom grafičkom datotekom, ali poslužit će bilo koja prijevara koja će žrtvu ili softver koji žrtva koristi nagnati na otvaranje veze prema tom portu – količina i sadržaj podataka su posve nebitni, bitno je samo otvoriti komunikacijski kanal.

U trenutku kad žrtva uspostavi kontakt s forwardiranim portom na VPN serveru napadač može saznati njenu stvarnu (tj. ulaznu) IP adresu.

Zanimljivost ovog napada je u jednostavnosti trika: napadaču je dovoljno aktivirati port forwarding na serveru kojim upravlja i svaki klijent koji na ovaj ili onaj način klikne na podmetnuti link otkrit će svoju ulaznu IP adresu.

Autori preporučuju dvije metode zaštite: korištenje više IP adresa na strani davatelja VPN usluge (jedna IP adresa za dolazne i jedna za odlazne veze) ili postavljanje odgovarajućih vatrozidnih pravila koja zabranjuju korisnicima pristup preusmjerenim portovima koji nisu njima namjenjeni (tj. koji nisu otvoreni specifično za tog korisnika).

Koliko je uistinu opasan ovaj (nekako simpatičan) trik? U suštini, velike opasnosti nema: sve što napadač saznaje o žrtvi jest njena stvarna IP adresa. Za dobivanje drugih podataka napadač mora koristiti "klasične" tehnike napada ili obmane, no to već izlazi iz domene VPN konekcije.

Naravno, nije bezopasno znati nečiju točnu IP adresu, posebice ako postoji dobar razlog zašto netko komunicira kroz VPN mrežu. S druge strane, postoji tako veliki broj dobrih i posve opravdanih razloga za korištenje VPN mreže pri čemu je korisniku posve nebitno može li netko saznati njegovu stvarnu IP adresu (jer cilj je zaštititi promet, a ne podatak gdje se trenutno nalazite), pa ovaj propust u većini slučajeva nije značajan.

Port Fail možda će otkriti gdje se točno nalazite, ali neće otkriti što točno komunicirate i s kim. Dapače, nalazite li se iza kakvog NAT-a (najčešća situacija, posebice na javnim i otvorenim mrežama gdje postoji najveća potreba za VPN vezama), napadač se neće pretjerano usrećiti saznavanjem vaše IP adrese; s druge strane, valja imati na umu kako je to dobar prvi korak u fazi prikupljanja informacija o žrtvi, čak i ako napadač trenutno nije u fazi izvršenja direktnog napada na žrtvino računalo.

Nešto nervozniji svakako bi trebali biti oni koji VPN veze koriste kako bi skrivali svoje aktivnosti od ruke zakona ili zviždači koji žele na taj način zaštititi svoj identitet; u tom slučaju već i podatak o IP adresi može biti značajna informacija koja se može iskoristiti u otkrivanju lokacije na kojoj se neka osoba nalazi. Skidačima piratluka možda nije svejedno, no zviždači, politički aktivisti i disidenti bi se itekako trebali čuvati ovog propusta jer omogućuje vrlo precizno otkrivanje njihove fizičke lokacije.

Poštovani kolege,

Ukoliko ste sudjelovali na sys.treku na konferenciji CUC ove godine u Dubrovniku, mogli ste saznati da će Portal za sistemce uskoro biti objavljen u novom ruhu. Osim promjene izgleda, osvježili smo i "motor" (inačicu Drupala), a sam poslužitelj virtualizirali i preselili u oblak.

Najvažnija je promjena naziva Portala, kako bi taj naziv bio u skladu sa ostalim uslugama za vas sistemske inženjere, ali i drugo tehničko osoblje u IT odjelima vaših ustanova. Portal će se od sada nazivati isključivo "sys.portal", a bit će dostupan na adresi http://sysportal.carnet.hr/.

Do 21. prosinca 2015. godine, Portal će biti dostupan na staroj i novoj adresi, a poslije toga će automatskom redirekcijom biti preusmjeravan na novu adresu. Molimo, prilagodite svoje bookmarke i RSS čitače, kako bi i dalje mogli pratiti nove članke na Portalu.

Nadamo se da će novi izgled Portala pridonijeti daljnjem povećanju čitanosti, a time vam i dalje pomagati u svakodnevnom radu.

Uredništvo

Junak ovog teksta, tablet SurfTab Xiron 10.1“ (dalje samo: Xiron), na tržištu je od 2013. godine, nakon što su ga Kinezi producirali za njemačku firmu TrekStor. Nedavno se pojavio u ponudi nekolicine web shopova i trgovina tu u Hrvatskoj. Iako na prvi pogled izgleda kao povoljna kupovina, u isporučenom stanju nije baš ispravan: da bi radio kako treba trebat će se malo potruditi.

Jedan naš popularni IT časopis objavio je kupon s kojim se dobije 10% popusta, što znači da ćemo Xirona u konačnici platiti „okruglih“ 809,10 kuna. Za tu cijenu kupac dobija hardver prethodne generacije, ali dostatno potentan: programski kod „žvaću“ četiri jezgre Cortex A9 procesora, potpomognute malim-od-grafike Mali 400; RAM kapaciteta 2 GB pravi je primjer božićne darežljivosti; pa velik i jasan ekran rezolucije 1280 * 800, pa još baterija kapaciteta 8000 mAh... ma najbolje je skoknuti na web i osobno se uvjeriti da predmetnom tabletu, barem na relaciji uloženo <-> dobijeno, konkurencija teško može parirati. Ovaj Xiron nema 3G modul, no to ne doživljavam kao neki veći nedostatak, poput većine ionako sam non-stop sa svojim smartphoneom pa preko njega mogu tabletom na Internet (funkcija Tethering & Hotspot, vidi http://sistemac.carnet.hr/node/1216). Operativni sustav Android 4.2.2 minimalno je modificiran što je, ako se mene pita, još jedan plus. Vanjština iliti dizajn uređaja? Klasika, mada, mogu reći da je uživo ljepši nego na slikama.

I tako, budući sam već poduže planirao upecati neki tablet klase „jeftikaner“ - ta neću rovariti po operativnom sustavu i aplikacijama na svom dragom & dragocjenom tri puta skupljem Prestigio tabletu - a ne znajući da je taj Xiron faličan, odlučih baš njemu dodijeliti časnu ulogu božićnog poklona za vlastitu malenkost!

Naravno da nisam odmah odjurio u trgovinu nego prvo na Internet. Znam ja među kakvim svijetom živim, heh. Pa sam, kojih desetak minuta nakon odluke o kupnji, već čitao tekst o (instalaciji novog firmwarea, jer sam prethodno na forumima pokupio par informacija o problemima s NAND memorijom i Wi-Fi modulom te pratećim iritantnim kerefekicama poput poništavanja korisnikovih prilagodbi sučelja. Da, svakako, bio sam revoltiran još jednim primjerom nekorektnosti trgovačke branše jer nam, budući nitko nije opisao stvarno stanje uređaja, de facto uvaljuju robu s greškom. Kupci ovog i ovakvih artikala umjesto božićnog poklona dobiti će Božićni Problem... Potom, srećom, shvatih da za likove poput mene – sistemci, napredni korisnici – problem u stvari ne postoji! Jednostavno napravimo ono što smo zasigurno već odrađivali s matičnim pločama ili grafičkim karticama, pisačima, mobitelima (i sl.) - primijenimo novu verziju BIOS-a, ROM-a, kakogod i kakogdje, i uređaj će profunkcionirati onako kako je inicijalno zamišljeno. Tako naposlijetku odjurih u Chipoteku s prosinačkim časopisom pod miškom.

Ako se slažete s mojim pristupom, na gornjem linku naći ćete novi firmware s instalacijskim uputama. Prije skidanja provjerite Model Number tableta, ili na poleđini ili pod Settings > About tablet, jer ovisno o tom broju skidamo jedan od dva raspoloživa firmware paketa, a tu ne smijemo pogriješiti. Niže je prikazan update za moj model, ST10416-1. Ma uvjeren sam da je samo taj model Xirona tu kod nas, ipak, dajte to provjerite. Usput, postoji i Xiron 3G al' taj nije podesan za Hrvate, bezgrešan je. :o)

Upute su jasne, samo slijedite proceduru. Kad jednom nabavite Xiron, odradite taj upgrade što prije, jer se tijekom primjene datoteke update.img reparticionira NAND memorija (spremište) i gube svi podaci. BTW, kreiranje jedne jedine particije, što je rezultat spomenutog reparticioniranja, dobar je potez jer je praksa pokazala da podjela na dvije particije – sistemsku i podatkovnu –  i korisnicima i tehničkom osoblju donosi više problema nego koristi. Na nižoj slici vidimo stanje spremišta prije i nakon ažuriranja tableta.

Također je zgodno uočiti da Model Number tableta dobija sufiks „C“, znači, ako baš hoćemo cjepidlačiti, a ponekad je to nužno zbog preciznosti informacije, onaj broj na poleđini više nije točan.

Što nam je dalje činiti? Ovako: iz TrekStor GmbH su mi javili kako ne planiraju razvijati bilo kakvu podršku za ovaj model, znači, ostavljeni smo sebi. Utoliko, slijedi rootanje, pa instalacija novijeg Androida.... super! :-) A možete, pazite sad:  možete, ako vas je uistinu spopalo blagdansko raspoloženje, sređeni Xirončić mirne savjesti i pokloniti, osobe otporne na sindrom „što razvikanije, što novije“ bit će vam iskreno zahvalne.

Napomena: Ovaj članak posvećujem svojim sunarodnjacima, onoj golemoj većini dobrodušnih ljudi koji ovih dana troše teško stečen novac, sve ne bi li razveselili neku dragu osobu a (pre)često, zbog nedostatka pravih informacija, kupuju robu s greškom. Nažalost, obmanjivanje kupca, što propagandom što dezinformiranjem, jedna je od uobičajenih metoda kojom tzv. poslovni ljudi osiguravaju sebi ekstraprofit uz minimum truda a nama, kupcima, osiguravaju ekstra troškove i probleme. Kažem „nama“, ubrajam i sebe u ugroženu vrstu <Kupac Vulgaris> jer gore opisano iskustvo sa sretnim završetkom ipak je iznimka u odnosu na učestalost i raspon nečasnih rabota kojima smo svi skupa svakodnevno izloženi.  Prisjetimo se - ako trgovac nije jasno ukazao na stvarno stanje prodajnog artikla, riječ je o zakonom sankcioniranoj zavaravajućoj poslovnoj praksi, bez obzira na iskazanu cijenu! Utoliko, nek' se i to zna: po aktualnom Zakonu o obveznim odnosima, kupac ima pravo vraćanja tvornički neispravnog uređaja, zavirite na http://www.savjetovaliste.potrosac.hr/index.php/potrosacki-savjetnik.

Sretan Božić i Nova Godina!

Čitate li svaki dan obavijesti o otkrivenim ranjivostima? Kad se pretplatiš na brojne sigurnosne mailing liste, svakodnevno ti je inbox zatrpan porukama, tako da s vremenom čovjek "ogugla" (ups, ovo nema veze s Googleom!) i prestane obraćati pažnju. OK, otkrivena je još jedna ranjivost, pa što onda? Redovito instaliramo zakrpe i nove verzije paketa, pa se ne moramo opterećivati još i time da znamo baš svaku ranjivost.

Znate li tko vrlo pažljivo prati sve novosti iz svijeta informacijske sigurnosti? Loši dečki, koji su neprestano u potrazi za novim načinima da nam napakoste. Kad izađu zakrpe, stari exploiti prestaju biti djelotvorni, zato se neprestano traže nove slabosti.

Po mom dubokom uvjerenju, svaki pravi sistemac usprkos svemu svakodnevno prati te vijesti, ne samo mailove o ranjivostima i zakrpama, nego i siteove na kojima hakeri objavljuju svoja otkrića. Od otkrivanja ranjivosti do izdavanja zakrpe prođe dosta vremena, nekad čak godine, pa je potrebno uključiti druge načine obrane osim zakrpa. Dodavanjem pravila na vatrozidu, zatvaranjem portova, pristupnim listama i na razne druge načine može se podići letvica i napadačima otežati posao.

Nedavno sam dobio Security Advisory - RHSA-2015:2504-1, obavijest o ispravljenjoj pogrešci u biblioteci libreport, koji mi je izmamio smiješak dok sam ga čitao. Zaposlenik tvrtke Red Hat Bastien Nocera otkrio je da ABRT (Automatic Bug Reporting Tool) prilikom prijave problema šalje Red Hatu informacije koje korisnik možda želi zadržati za sebe. Radi se imenima računala, IP adresama i naredbama komandne linije. Većina korisnika Enterprise verzije, dakle poslovni korisnici Red Hata, nisu bili izloženi ovoj pogrešci, jer podrazumijevana konfiguracija nema uključenu automatsku prijavu pogrešaka. Red Hat se ispričao korisnicima i poduzeo mjere da se pogreška ispravi - izdao je novu inačicu libreporta, a u dosad prikupljenim podacima informacije koje su procurile označene su kao privatne.

Što je u ovoj vijesti tako neobično? Radi se o tome da je ovakva briga za korisnikove podatke u današnje vrijeme rijetka. Već smo navikli da nam se na Mreži nude besplatne usluge, koje zapravo plaćamo svojim osobnim podacima. Na to smo se navikli, Google, Facebook i ostali moraju na neki način pokriti svoje troškove, pa se tražilica pretvara u oglašivačku platfromu koja prati navike korisnika i prikupljene informacije koristi za ciljani marketing. Svaki pametni telefon samo djelomično služi nama, a dobrim dijelom prikuplja informacije o nama i omogućava stvaranje naših profila, prisluškivanje, praćenje kretanja, potrošačkih navika itd.

U svim spomenutim slučajevima radi se o našim privatnim životima, našim privatnim podacima. No posve je drugačija situacija kad se radi o tvrtkama. Oni imaju svoje poslovne tajne, o kojima im ovisi opstanak na tržištu. Državne i javne ustanove imaju obavezu čuvati neke kategorije podataka, poput osobnih, ali ne samo njih. Sve one donose sigurnosne politike kako bi spriječili neovlašten pristup takvim podacima i njihovo "curenje". Zato kupuju skupe zaštite, specijalizirana računala koja brinu o tome da se na perimetru javne i privatne mreže filtrira promet, i to u oba smjera, jer se kontrolira što zaposlenici rade i što komuniciraju s vanjskim svijetom.

Nedavno smo pisali o tome kako su novi Windowsi, verzija 10, zapravo spyware koji stvara ogroman promet i šalje Microsoftu informacije. Tako je s "defaultnom" konfiguracijom, a tko brine o svojim podacima može se pomučiti i isključiti neželjene funcije. No, ipak se ne može sve isključiti, a Microsoft si uzima pravo da s naših računala deinstalira neke aplikacije, na primjer ako više nisu podržane na novim Windowsima. Čak sam na mreži čitao zagovornike Microsofta među kolegama, koji kažu da ovo pomaže neukim korisnicima i olakšava im rad s Windowsima. Još malo pa će naš posao postati nepotreban, sve će za nas raditi Microsoft, zar ne? Windowsi će nam se sami instalirati umjesto starije verzije, više ne moramo instalirati ni "drivere", sve to za nas obavi veliki brat. Naravno, da bi to mogao, mora znati mnogo toga o nama i našim računalima. :)

S obzirom da, po svemu sudeći, Microsoft može raditi sve što hoće, neki komentatori zaključuju da time Microsoft postavio novu normu, novi standard. Sad će nadzor nad korisnicima računala biti sastavni dio operacijskog sustava i njegova podrazumijevana funkcija. Više se tu ne radi samo o privatnim korisnicima, koji žele besplatnu uslugu i spremni su se praviti da ju ne plaćaju izlaganjem svoje intime.

Ono što me najviše čudi jest posvemašnji muk poslovnih korisnika. Porazgovarao sam o tome s nekolicinom kolega, sistemaca, koji održavaju Windows računala. Čini se da oni dolaze iz nekog drugog svijeta, u kojem ja ne prebivam. Svi su odreda odmah izjavili da to nije njihov problem. Microsoft je privilegiran partner, ima ugovor s državom, pa neka država brine o tome. Postoje državne institucije koje brinu o nacionalnoj sigurnosti, sigurnosti informacijskih sustava, pa neka oni kažu što kako postupiti u ovakvoj situaciji.

Neki od tih kolega rade u ustanovama gdje firewalli blokiraju pristup Facebooku, Youtubeu, Google plusu itd. Navodno zato jer to kreira ogroman promet u mreži koja ima ograničenu brzinu linka prema Internetu, pa ljudi koji se na poslu igraju usporavaju rad onima koji rade svoj posao. Na stranu sada činjenica da sistemci na Facebooku i Youtubeu mogu pronaći vrlo korisne informacije koje im trebaju u poslu. I ne samo oni. Sad će sami Windowsi požderati dobar dio zakupljenog linka. Nema veze, kažu kolege, platit ćemo za veću propusnost. Dakle Microsoft može trošiti link i nabijati tvrtkama račune, a zaposlenici ne mogu!

Nešto ne štima u ovoj logici. Ili sam ja, koji sam informatiku učio na slobodnom softveru, u današnje vrijeme naprosto zastarjeli dinosaur, osuđen na izumiranje. Podsjetimo se razloga zbog kojih postoji slobodni softver: zato jer daje korisniku čeitiri slobode, slobodu korištenja, dijeljenja "susjedima", slobodu proučavanja koda i njegovog daljnjeg razvoja, što uključuje slobodu distribucije dorađenog softvera. Ukratko, nastao je iz poštovanja prema korisniku i njegovim pravima. Ove slobode ne podrazumijevaju da je slobodni softver besplatan, iako može biti.

Nova paradigma korisniku uzima novac tako što mu samo iznajmljuje vremenski i na druge načine ograničeno pravo korištenja softvera, zadržavajući sva prava nad tim softverom, čineći korisnika ovisnim o dobavljaču, a onda slobodno raspolaže njegovim računalom i njegovim povjerljivim informacijama. Dobro došli u vrli novi svijet.

U međuvremenu je Microsoft izdao zakrpe za Windowse 7 i 8, kojima špijunske funkcije spušta na starije verzije Windowsa. Radi se o zakrpama KB 3068708, 3022345, 3075249, 3080149. Kad sam spomenuo kolegama da se instalacija tih zakrpa može ograničiti pomoću Group Policyja, samo su slegnuli ramenima. Razmišljao sam kako bi se neželjeni promet prema Velikom Bratu mogao blokirati i na firewallu, ali sam onda shvatio da firewall zapravo služi kontroliranju zaposlenika.

Demokracija podrazumijeva mogućnost izbora, pa valjda i mi možemo izabrati neki drugi OS umjesto Windowsa. Na primjer spomenuti RHEL, koji naplaćuje podršku, što odgovara mnogim tvrtkama i ustanovama koje žele profesinalnu podršku, ali ne naplaćuje programski kod koji daje na uvid korisnicima. I još se k tome ispričava jer su do njega nenamjerno dospjeli podaci koji zapravo i nisu poslovne tajne, samo imena računala i njihove adrese.

Problem je zapravo jednostavan. Svodi se na to da svatko od nas može birati između slobode i sigurnosti. Statistički, 95% posto ljudi odriču se slobode radi sigurnosti. Na stranu što je ta sigurnost zapravo prividna. Na stranu što i za slobodu i za sigurnost treba platiti cijenu. Po meni, cijena sigurnosti je veća od cijene slobode, iako to većina nije u stanju vidjeti.

Što ćete vi izabrati? Jer štogod mislili, i koliko god bili uvjereni da netko drugi odlučuje a vi samo izvršavate njihove odluke, ipak i vi imate moć i uticaj koji je veći nego što vam se čini, zapreke koje nas u tome sprečavaju samo su u našoj glavi. Pogledajte ovu ilustraciju, pa se nasmijte na svoj račun, baš kao što sam se i ja nasmijao na svoj.

Krajem kalendarske godine tradicionalno se obavlja inventura proteklog razdoblja. Trgovci zbrajaju robu na skladištu, tvrtke i ustanove popisuju pokretnu, nepokretnu imovinu. U našem poslu dobro je imati popisan hardver i softver, tako da ste uvijek spremni za slučaj da od vas traže takve podatke. Opsi server ima odličnu podršku za taj "dosadan" posao.

Pošto smo se već u ranijim člancima upoznali s web sučeljem zvanim opsi configuration editor, ulogirajmo se na poznati način. Pronađimo u GROUPS našu grupu lab1 kreiranu u prethodnom članku. Odaberimo prvog klijenta po redosljedu koji je online, kako bi na njega instalirali softver za vođenje inventara.

Prebacimo se u Product configuration karticu, selektiramo hwaudit, zatražimo setup te Execute now pa potom Save. Ili zatražimo setup pa reboot klijenta. U oba slučaja bit će pokrenuta instalacija traženog proizvoda, odnosno modula za vođenje inventara.

Desni klik Relaod opcija nam može osvježiti progres instalacije klijentskog računala.

i

Nakon uspješne instalacije prebacimo se na Hardware information karticu, gdje možemo prelistati hardverske karakteristike
instaliranog klijentskog računala.

i

Na identičan način instaliramo modul za softverski inventar kroz Product configuration karticu, selektiranjem retka swaudit. Nakon pokrenute akcije "instalacija na Windows 7 klijenta", napredak procesa izgleda kao na ilustraciji.

Nakon instalacije Software inventory kartica daje pregled dostupne verzije softvera, arhitekture na određenom klijentu.

Ukratko, s nekoliko klikova kroz opsi configuration editor dobili smo informaciju o raspoloživom hardveru i softveru na
određenom klijentskom računalu. Inventura može početi :)

Trebalo bi još napisati upit (querry) za lijepo formatiran izvještaj. Zasada, napravite copy&paste podataka u tablični kalkulator.

Vezani članci:

Opsi server - Instalacija

Opsi server - konfiguracija

Priprema 64-bitne instalacije Windowsa 7 za Opsi server

Nenadzirana instalacija Windowsa 7 preko mreže

Instalacija Opsi klijenta

Opsi server u računalnoj učionici