U sklopu CARNetove konferencije CUC 2015. održava se sys.trek, za kojeg bismo se već usudili reći i tradicionalni, poseban dio konferencije namijenjen sistem-inženjerima, tehničarima i informatičarima svih profila. Sys.trek započinje jedan dan ranije od ostatka konferencije posjetom određenom objektu ili tvrtki, koja je svojom ulogom ili djelatnošću zanimljivost u očima sistemaca. Ove godine posjetili smo Hidroelektranu Dubrovnik u mjestu Plat.

HE Dubrovnik građena je od 1960. do 1965. godine, te u prosjeku proizvodi preko 1600 GWh električne energije godišnje. Impresivna je činjenica da se strojarnica nalazi preko 500 metara ispod zemlje, a prilazni tunel je dugačak 520 metara, pri čemu može bez problema glumiti skrovište nekog Bondovog super-zločinca.

Jedan agregat je trenutno u remontu, a zanimljivo je bilo vidjeti kako su pomiješane nove i stare tehnologije. Poslije obilaska sistemci su se mogli okrijepiti u obližnjem obiteljskom domaćinstvu.

Pogledajte kako HE Dubrovnik izgleda iznutra.

Prvog dana konferencije CUC 2015 na sys.treku su se održala zanimljiva predavanja, a započela je i trodnevna radionica "Internet of Things". Branko Radojević otvorio je sys.trek, a nakon toga Ljubomir Hrboka je predstavio novi Portal za sistemce, koji će ubrzo proraditi na novoj adresi. Toni Pralas je predstavio mogućnosti on-line obrazovanja preko CARNeta za sistem-inženjere. Na kraju je održano sučeljavanje između Radoslava Dejanovića (ReadCube/Labtiva), Tomislava Bronzina (Citus), Marina Bjeliša (Nimium) i Ivana Capana (CARNet) na temu je li kvalitetnija plaćena ili community podrška.

Pogledajte kako je to izgledalo:

Sys.trek je u četvrtak otvorilo predavanje Kristijana Fabine (Microlink) o načinima analize Wi-Fi mreža kako bi se maksimalizirala brzina i njihova pouzdanost. Pod nazivom "Godina nadogradnji" Marin Lučić (CARNet) i Željko Boroš (CARNet) analizirali su što je novo u svijetu Windowsa (Windows 10) i Linuxa (Debian Jessie). U nastavku Zoran Vlah (CARNet) je izložio kako je moguće doći do certifikata za servise i što je novo u odnosu na stari način dobivanja certifikata.

U drugom dijelu konferencijskog dana Mijo Đerek (Srce) i Dubravko Penezić (Srce) izložili su novosti u svijetu AAI@EduHr i Eduroama. Marin Lučić (CARNet) osvrnuo se na status e-commercea u Hrvatskoj. U poslijepodnevnim satima održao se drugi dio radionice "Internet of Things - nadzor i kontrola sistem-sale".

Pogledajte kako je izgledao drugi dan sys.treka:

Zadnji dan sys.treka otvorilo je predavanje Marka Staneca (CARNet), koji je opisao rezultate provedene sveobuhvatne sigurnosne analize CARNetove mreže. Alan Jurčič (CARNet) je imao zanimljivu prezentaciju o DNSSEC-u, te je na praktičan način pokazao kako svoje DNS poslužitelje prilagoditi za DNSSEC.

U nastavku sys.treka održan je treći dio radionice "Internet of Things - Nadzor i kontrola sistem-sale".

Jedan od najpopularnijih aktivnosti na sys.treku je nagradna igra. Kroz tri dana trebalo je na dodijeljenom virtualnom poslužitelju otkloniti sve nedostatke, kako bi se otkrio ključ za nastavak igre. Prvi je do kraja stigao i osvojio prvu nagradu Stanko Kružić (Sveučilište u Splitu), na drugom mjestu je Domagoj Vuković (ETF Osijek), ai na trećem Mario Miloloža (ETF Osijek).

Pogledajte slike sa zadnjeg dana sys.trek-a:

Postoje dvije predrasude o Windows OS-u koje su, zahvaljujući dugogodišnjem nekritičkom prenošenju „s koljena na koljeno“ (što pisanom što govornom riječju), dosegle razinu mita, postajući time neupitne, samorazumijevajuće:
a) Windows OS je nesiguran, što ga čini nepodesnim za primjenu u sigurnosno iole zahtjevnijim situacijama, posebno onima koje uključuju Internet konekcije.

b) za dijeljenje mapa i pisača na Windows OS-u potrebna je gomila TCP/UDP portova, od kojih su neki sigurnosni problem, što Windows OS čini nepoželjnim za tu ulogu.

Izvorište oba mita nalazi se u davnoj prošlosti - informatičkim mjerilom mjereno, dakako – kada su windoze uistinu imale opisane slabosti. No, Windows 2000, i sve kasnije edicije, eliminiraju slabost (b), a sa pojavom Windows Server 2003 (i kasnijim desktop inačicama) i prva tvrdnja (a) postaje sve diskutabilnija. Da, ranjivosti i danas postoje, ta svi smo bolno svjesni toga, ali Windows OS je u tome ravnopravan drugim popularnim OS-ovima. Puno indikatora potvrđuju tu tezu, niže je samo jedan, ali reprezentativan (kompletan članak je na http://www.softpanorama.org/Commercial_linuxes/Security/top_vulnerabilities.shtml):

According the U.S. Government’s database of computer security vulnerabilities maintained by the National Institute of Standards and Technology (http://icat.nist.gov) as of April 15, 2004, there have been more High Severity (remotely exploitable) vulnerabilities found in the Linux operating system than in Microsoft Windows.

Autori također navode da je prednost Unix/Linux platforme u tome što se konkretna instalacija može bolje osigurati u smislu zaštite od provala s mreže i/ili ugnježđivanja zlonamjernog softvera. No, raspoloživi potencijali su jedno a njihova iskorištenost „na terenu“ drugo, pa u praksi, na veliko zadovoljstvo cyber kriminalaca, imamo tek polovično fortificirane unixoidne instalacije. Tako da, nakon vaganja „pro et contra“ možemo zaključiti da je jedini stvarni nedostatak Windows OS-a u odnosu na Linux/Unix kao njegovu pravu konkurenciju, veća izloženost Windowsa računalnim virusima i crvima. Što, opet, ima povijesne razloge – nešto od toga naći ćemo u spomenutom članku – no, svejedno, to je objektivno stanje.

Kako to biva, ljudi se emocionalno vežu ne samo za živa stvorenja nego i za stvari, ideologije.... pa i tehnologije. Utoliko, nekome se rečeno neće svidjeti, naći će tucet zamjerki ali meni se, sa dosadašnjima spoznajama i iskustvima, gore izloženo čini istinitim.

Prijeđimo sada na mit o problematičnom dijeljenju mapa i pisača na windozama.
Suvremene edicije Windowsa rabe SMB3 protokol za dijeljenje mapa i pisača. Pri tome, Windows računalo koje na mreži oglašava svoje resurse, može prihvatiti klijentske konekcije na jedan od dva načina:
- SMB over TCP/IP, pri čemu se rabe portovi TCP/UDP 445
- NetBIOS over TCP/IP, kad se rabe portovi TCP 139 i 137 te UDP 137 i 138

Od Windowsa 2000, na WINS kartici (eno je pod Properties TCP/IP protokola na mrežnoj kartici), možemo isključiti NetBIOS over TCP/IP, čime se efektivno zatvaraju gore spomenuti NetBIOS portovi, a Windows računalo normalno nadalje prihvaća i opslužuje klijentske konekcije kroz TCP 445. WINS kartica je idealno konfigurirana ako odgovara nižoj slici.

Nasuprot uvriježenom mišljenju, ovime nismo otklonili nekakvu ranjivost jer je servis koji sluša na ozloglašenom portu TCP 139 odavno temeljito prerađen, znači, otporan je na napade koji su ga svojevremeno „proslavili“ kao sigurnosnu rupu. Ipak, možemo reći da smo smanjili manevarski prostor napadaču jer smo iz igre izbacili četiri porta. Znamo kako to ide u računalnoj sigurnosti – neka softverska komponenta sama po sebi ne mora biti ranjiva, ali može poslužiti kao izvor informacija za oblikovanje strategije napada. A može, bome, i sama postati sigurnosni problem; praksa nas podučava kako ono što se godinama smatralo sigurnim postane ranjivo, štoviše, da je godinama bilo ranjivo dok je istovremeno vrednovano kao uzor sigurnosti.

Isključivanje NetBIOS-a na Windows računalima ni po čemu se neće negativno odraziti na funkcionalnost dijeljenja i uporabe mapa i pisača, čak i na segmentiranom LAN-u (routanoj internoj mreži). Ujedno smo značajno smanjili broadcaste po mreži i omogućili finije filtriranje prometa na mrežnoj opremi, što će jako razveseliti mrežare. Naposljetku, možemo „umiroviti“ i WINS servis, ako smo ga ranije dignuli kako bismo omogućili korisnicima Windows računala na segmentiranoj mreži nesmetanu uporabu Network preglednika.

Možemo reći da smo na dobitku, barem na tehničkoj razini. Potencijalni problem su korisnici Windows računala jer ipak moraju promijeniti neke navike, ponekad i sami informatičari.

Što se tiče korisnika, nakon isključivanja NetBIOS protokola, na routanom LAN-u Network preglednik može prikazati samo one članove domene ili radne grupe koji su na istom subnetu. Na nižoj slici vidimo “razlomljenu“ domenu Corp – računala unutar istog mrežnog segmenta međusobno se vide, ali ne vide sabraću s one strane routera. Nepripremljenim korisnicima će to svakako otežati rad.

Može li korisnik računala Win10Ent1 vidjeti računala prisutna na drugom mrežnom segmentu domene, poput Servertst1 i Windoze81, i bez NetBIOS podrške? Može, samo se treba poslužiti naredbom Search Active Directory, koja se nalazi na kartici Network unutar preglednika Network, vidi gornju sliku. To je izvedivo zbog povezanosti Active Directory sustava sa DNS servisom. Ta povezanost korisniku ujedno omogućuje ono najvažnije: spajanje na neki dijeljeni resurs uporabom NetBIOS (single-label) imena ciljnog računala - znači, kako je i navikao - bez obzira nalazi li se to računalo s ove ili s one strane routera. Možemo, znači, na klijentu Win10Ent1 iskoristiti naredbe Map network drive ili Net use i putanjom \\servertst1\docs spojiti se na share Docs servera. Niža slika nam pokazuje da je klijentsko računalo NetBIOS imenu cilja dodalo primarni DNS sufiks i upitalo DNS koja je IP adresa tog računala. Potom se računala dogovaraju o prijenosu podataka (TCP i SMB handshake); uočite da je port cilja TCP 445.


Gornji primjer nam sugerira da se u stvari transparentno rabe DNS imena. U ispravno podešenom DNS-u te, dakako, Windows računalu, tajna je nesmetane uporabe dijeljenih resursa na Windows mreži sa disabliranim NetBIOS protokolom.

Pogledajte kako možemo, posredstvom naredbe Run, rabeći samo NetBIOS ime cilja, vidjeti sve dijeljene mape na računalu Servertst1 a potom se, dakako, spojiti na ciljnu mapu: nakon zadnjeg backslasha pričekamo sekundu – dvije i pojavit će se popis dijeljenih mapa kojima je taj server domaćin.


Što ako ne znamo ime ciljnog servera? Prisjetimo sa da Active Directory, „prirodno stanište“ Windows računala, omogućuje oglašavanje dijeljenih mapa i pisača. Rabeći maloprije spomenutu naredbu Search Active Directory (na kartici Network unutar preglednika Network, a dade se i postaviti na Desktop), možemo pristupiti bilo kojem domenskom dijeljenom resursu, kako to radimo na nižoj slici.



Naravno, pristup dijeljenim resursima možemo riješiti i raznim shortcutima, skriptama i sličnim tehnikama. Korisnicima su takva rješenja najpraktičnija jer imaju pripremljenu radnu okolinu. Niže je primjer uporabe NET* naredbi iz komandne linije, kako vidimo, i nakon disabliranja NetBIOS-a možemo se njima okoristiti, rabeći pritom i kratka i dugačka imena računala.

Kako stojimo s routanim LAN-om po kojem su raspršena domenska i nedomenska Windows računala, k tomu sa onemogućenim NetBIOS protokolom? U toj situaciji je neizbježna uporaba FQDN imena, posljedično, jako je važno znati ispravno podesiti ne samo DNS servere nego i DNS postavke na Windows računalima, posebno se to odnosi na sufikse pretraživanja i automatsko prijavljivanje u DNS. U ovoj situaciji korisnici upadaju u probleme, jasno, ako ih mi sistemci nismo pravovremeno educirali ili im pripremili radno okruženje.

U složenijim tehnološkim okolinama (više foresta, nepovezane interne DNS hijerarhije, postojanje NetBIOS aplikacija) resolving imena računala možemo unaprijediti primjenom GlobalNames DNS zona; samo spominjem jer ta tema probija okvir ovog članka, jednako kao obrada banalnosti poput uporabe lokalne Hosts za resolving.

Kad mi sistemci postajemo problem? Ne ovladamo li finesama Windows mreže u mjeri dovoljnoj da radna sredina o kojoj brinemo – i ljudi i računala i servisi - bezbolno nastavi obavljati svoje posliće bez NetBIOS protokola, e, tada smo mi problem, a ne „te gluuupe windoze“. Brzopletim ukidanjem NetBIOS-a pojave se razne greške i nedoumice, krenu brzinska rekonfiguriranja svega i svačega, krene gunđanje... i situacija se riješava vraćanjem NetBIOS-a u igru jer „gle, bez njega ipak ne radi“.

Ako Windows računalo bez NetBIOS-a ne nudi ili odbija rabiti dijeljene resurse, osnovno je provjeriti Advanced sharing settings (vidi nižu sliku), TCP/IP postavke na mrežnoj kartici, stanje lokalnog vatrozida te, svakako, stanje lokalnih servisa. Dovoljno je zaustaviti „sada nepotreban“ servis TCP NetBIOS Helper da izazovemo gadan problem... Probajte!



Važno je upamtiti: NetBIOS over TCP/IP nije samo mrežni protokol za dijeljenje datoteka i mapa, na što smo se mi trenutno fokusirali; njegov je zadatak i registracija imena računala (i nekih njegovih servisa) na lokalnoj mreži, te prevođenje imena računala u IP adresu, štoviše, NetBIOS je i API za klijent/server aplikacije. Ukidanjem NetBIOS-a onemogućit ćemo rad aplikacija koje o njemu ovise. Tih aplikacija danas ima jako malo jer sam Microsoft odavno sustavno radi na zamjenjivanju NetBIOS-a modernijim tehnologijama, ali postoje. Načelno, što je infrastruktura složenija, potrebno je više planiranja i testiranja. No, uvijek se možemo opredijeliti za opciju selektivnog isključivanja NetBIOS-a, npr. na Windows instalacijama u DMZ, i sl.

Još par riječi o SMB protokolu, jer njime se prenose podaci između domaćina dijeljenih
resursa i klijenata. Pouzdan je, robustan, čak i vrlo siguran jer od Windows Server 2012 / Windows 8 sav SMB promet možemo enkriptirati na domaćinu, deenkriptira se na klijentu. No, sigurnosno gledano, mnogo možemo postići i bez enkripcije ako u Local Security Policy windoza uključimo opcije:

Digitally sign communication (posebno za SMB server i SMB klijenta)
Do not allow anonymous enumeration of SAM accounts and shares
Restrict anonymous access to Named Pipes and Shares

Znači li to da ispravno podešena Windows računala mogu kombinacijom SMB + port 445 razmjenjivati podatke i preko Interneta? Dvije su prepreke: prva je ISP, koji po navici blokira SMB promet (defaultno je SMB promet onemogućen i na xDSL routerima), druga je brbljivost porta TCP 445, naime, on skenerima poput Nessusa isporuči informaciju o nekolicini RPC lokalnih servisa, zajedno sa imenom računala. Nessus, doduše, procjenjuje da je Risk factor = None, no zašto bismo potencijalnom napadaču davali bilo kakvu informaciju „na tacni“. Stoga je VPN pravo rješenje za simpatizere metode „SMB-over-Internet“. Ali budimo realni - postoji bezbroj načina za dijeljenje datoteka i pisača preko Interneta, ne mora to biti baš SMB protokol.

Nedavno otkriveni propust kojem su podložni mnogi davatelji VPN usluga jedna je od relativno rijetkih neugodnosti koje mogu zaskočiti korisnike VPN usluge. Riječ je o kreativnom korištenju port forwarding opcije na strani napadača; napad je zanimljiv, nije trivijalan, ali nije niti kompliciran i od napadača traži od obavi određene predradnje:

- napadač treba saznati izlaznu IP adresu VPN tunela žrtve;
- zatim, napadač se treba spojiti na isti VPN izlaz kao i žrtva;
- napadač treba aktivirati port forwarding svoje veze na izlaznom VPN serveru;
- najzad, žrtvu treba prevariti da kontaktira forwardirani port na serveru

Autori otkrića savjetuju klasičnu prijevaru s ugnježđenom grafičkom datotekom, ali poslužit će bilo koja prijevara koja će žrtvu ili softver koji žrtva koristi nagnati na otvaranje veze prema tom portu – količina i sadržaj podataka su posve nebitni, bitno je samo otvoriti komunikacijski kanal.

U trenutku kad žrtva uspostavi kontakt s forwardiranim portom na VPN serveru napadač može saznati njenu stvarnu (tj. ulaznu) IP adresu.

Zanimljivost ovog napada je u jednostavnosti trika: napadaču je dovoljno aktivirati port forwarding na serveru kojim upravlja i svaki klijent koji na ovaj ili onaj način klikne na podmetnuti link otkrit će svoju ulaznu IP adresu.

Autori preporučuju dvije metode zaštite: korištenje više IP adresa na strani davatelja VPN usluge (jedna IP adresa za dolazne i jedna za odlazne veze) ili postavljanje odgovarajućih vatrozidnih pravila koja zabranjuju korisnicima pristup preusmjerenim portovima koji nisu njima namjenjeni (tj. koji nisu otvoreni specifično za tog korisnika).

Koliko je uistinu opasan ovaj (nekako simpatičan) trik? U suštini, velike opasnosti nema: sve što napadač saznaje o žrtvi jest njena stvarna IP adresa. Za dobivanje drugih podataka napadač mora koristiti "klasične" tehnike napada ili obmane, no to već izlazi iz domene VPN konekcije.

Naravno, nije bezopasno znati nečiju točnu IP adresu, posebice ako postoji dobar razlog zašto netko komunicira kroz VPN mrežu. S druge strane, postoji tako veliki broj dobrih i posve opravdanih razloga za korištenje VPN mreže pri čemu je korisniku posve nebitno može li netko saznati njegovu stvarnu IP adresu (jer cilj je zaštititi promet, a ne podatak gdje se trenutno nalazite), pa ovaj propust u većini slučajeva nije značajan.

Port Fail možda će otkriti gdje se točno nalazite, ali neće otkriti što točno komunicirate i s kim. Dapače, nalazite li se iza kakvog NAT-a (najčešća situacija, posebice na javnim i otvorenim mrežama gdje postoji najveća potreba za VPN vezama), napadač se neće pretjerano usrećiti saznavanjem vaše IP adrese; s druge strane, valja imati na umu kako je to dobar prvi korak u fazi prikupljanja informacija o žrtvi, čak i ako napadač trenutno nije u fazi izvršenja direktnog napada na žrtvino računalo.

Nešto nervozniji svakako bi trebali biti oni koji VPN veze koriste kako bi skrivali svoje aktivnosti od ruke zakona ili zviždači koji žele na taj način zaštititi svoj identitet; u tom slučaju već i podatak o IP adresi može biti značajna informacija koja se može iskoristiti u otkrivanju lokacije na kojoj se neka osoba nalazi. Skidačima piratluka možda nije svejedno, no zviždači, politički aktivisti i disidenti bi se itekako trebali čuvati ovog propusta jer omogućuje vrlo precizno otkrivanje njihove fizičke lokacije.

Poštovani kolege,

Ukoliko ste sudjelovali na sys.treku na konferenciji CUC ove godine u Dubrovniku, mogli ste saznati da će Portal za sistemce uskoro biti objavljen u novom ruhu. Osim promjene izgleda, osvježili smo i "motor" (inačicu Drupala), a sam poslužitelj virtualizirali i preselili u oblak.

Najvažnija je promjena naziva Portala, kako bi taj naziv bio u skladu sa ostalim uslugama za vas sistemske inženjere, ali i drugo tehničko osoblje u IT odjelima vaših ustanova. Portal će se od sada nazivati isključivo "sys.portal", a bit će dostupan na adresi http://sysportal.carnet.hr/.

Do 21. prosinca 2015. godine, Portal će biti dostupan na staroj i novoj adresi, a poslije toga će automatskom redirekcijom biti preusmjeravan na novu adresu. Molimo, prilagodite svoje bookmarke i RSS čitače, kako bi i dalje mogli pratiti nove članke na Portalu.

Nadamo se da će novi izgled Portala pridonijeti daljnjem povećanju čitanosti, a time vam i dalje pomagati u svakodnevnom radu.

Uredništvo

Junak ovog teksta, tablet SurfTab Xiron 10.1“ (dalje samo: Xiron), na tržištu je od 2013. godine, nakon što su ga Kinezi producirali za njemačku firmu TrekStor. Nedavno se pojavio u ponudi nekolicine web shopova i trgovina tu u Hrvatskoj. Iako na prvi pogled izgleda kao povoljna kupovina, u isporučenom stanju nije baš ispravan: da bi radio kako treba trebat će se malo potruditi.

Jedan naš popularni IT časopis objavio je kupon s kojim se dobije 10% popusta, što znači da ćemo Xirona u konačnici platiti „okruglih“ 809,10 kuna. Za tu cijenu kupac dobija hardver prethodne generacije, ali dostatno potentan: programski kod „žvaću“ četiri jezgre Cortex A9 procesora, potpomognute malim-od-grafike Mali 400; RAM kapaciteta 2 GB pravi je primjer božićne darežljivosti; pa velik i jasan ekran rezolucije 1280 * 800, pa još baterija kapaciteta 8000 mAh... ma najbolje je skoknuti na web i osobno se uvjeriti da predmetnom tabletu, barem na relaciji uloženo <-> dobijeno, konkurencija teško može parirati. Ovaj Xiron nema 3G modul, no to ne doživljavam kao neki veći nedostatak, poput većine ionako sam non-stop sa svojim smartphoneom pa preko njega mogu tabletom na Internet (funkcija Tethering & Hotspot, vidi http://sistemac.carnet.hr/node/1216). Operativni sustav Android 4.2.2 minimalno je modificiran što je, ako se mene pita, još jedan plus. Vanjština iliti dizajn uređaja? Klasika, mada, mogu reći da je uživo ljepši nego na slikama.

I tako, budući sam već poduže planirao upecati neki tablet klase „jeftikaner“ - ta neću rovariti po operativnom sustavu i aplikacijama na svom dragom & dragocjenom tri puta skupljem Prestigio tabletu - a ne znajući da je taj Xiron faličan, odlučih baš njemu dodijeliti časnu ulogu božićnog poklona za vlastitu malenkost!

Naravno da nisam odmah odjurio u trgovinu nego prvo na Internet. Znam ja među kakvim svijetom živim, heh. Pa sam, kojih desetak minuta nakon odluke o kupnji, već čitao tekst o (instalaciji novog firmwarea, jer sam prethodno na forumima pokupio par informacija o problemima s NAND memorijom i Wi-Fi modulom te pratećim iritantnim kerefekicama poput poništavanja korisnikovih prilagodbi sučelja. Da, svakako, bio sam revoltiran još jednim primjerom nekorektnosti trgovačke branše jer nam, budući nitko nije opisao stvarno stanje uređaja, de facto uvaljuju robu s greškom. Kupci ovog i ovakvih artikala umjesto božićnog poklona dobiti će Božićni Problem... Potom, srećom, shvatih da za likove poput mene – sistemci, napredni korisnici – problem u stvari ne postoji! Jednostavno napravimo ono što smo zasigurno već odrađivali s matičnim pločama ili grafičkim karticama, pisačima, mobitelima (i sl.) - primijenimo novu verziju BIOS-a, ROM-a, kakogod i kakogdje, i uređaj će profunkcionirati onako kako je inicijalno zamišljeno. Tako naposlijetku odjurih u Chipoteku s prosinačkim časopisom pod miškom.

Ako se slažete s mojim pristupom, na gornjem linku naći ćete novi firmware s instalacijskim uputama. Prije skidanja provjerite Model Number tableta, ili na poleđini ili pod Settings > About tablet, jer ovisno o tom broju skidamo jedan od dva raspoloživa firmware paketa, a tu ne smijemo pogriješiti. Niže je prikazan update za moj model, ST10416-1. Ma uvjeren sam da je samo taj model Xirona tu kod nas, ipak, dajte to provjerite. Usput, postoji i Xiron 3G al' taj nije podesan za Hrvate, bezgrešan je. :o)

Upute su jasne, samo slijedite proceduru. Kad jednom nabavite Xiron, odradite taj upgrade što prije, jer se tijekom primjene datoteke update.img reparticionira NAND memorija (spremište) i gube svi podaci. BTW, kreiranje jedne jedine particije, što je rezultat spomenutog reparticioniranja, dobar je potez jer je praksa pokazala da podjela na dvije particije – sistemsku i podatkovnu – i korisnicima i tehničkom osoblju donosi više problema nego koristi. Na nižoj slici vidimo stanje spremišta prije i nakon ažuriranja tableta.

Također je zgodno uočiti da Model Number tableta dobija sufiks „C“, znači, ako baš hoćemo cjepidlačiti, a ponekad je to nužno zbog preciznosti informacije, onaj broj na poleđini više nije točan.

Što nam je dalje činiti? Ovako: iz TrekStor GmbH su mi javili kako ne planiraju razvijati bilo kakvu podršku za ovaj model, znači, ostavljeni smo sebi. Utoliko, slijedi rootanje, pa instalacija novijeg Androida.... super! :-) A možete, pazite sad: možete, ako vas je uistinu spopalo blagdansko raspoloženje, sređeni Xirončić mirne savjesti i pokloniti, osobe otporne na sindrom „što razvikanije, što novije“ bit će vam iskreno zahvalne.

Napomena: Ovaj članak posvećujem svojim sunarodnjacima, onoj golemoj većini dobrodušnih ljudi koji ovih dana troše teško stečen novac, sve ne bi li razveselili neku dragu osobu a (pre)često, zbog nedostatka pravih informacija, kupuju robu s greškom. Nažalost, obmanjivanje kupca, što propagandom što dezinformiranjem, jedna je od uobičajenih metoda kojom tzv. poslovni ljudi osiguravaju sebi ekstraprofit uz minimum truda a nama, kupcima, osiguravaju ekstra troškove i probleme. Kažem „nama“, ubrajam i sebe u ugroženu vrstu <Kupac Vulgaris> jer gore opisano iskustvo sa sretnim završetkom ipak je iznimka u odnosu na učestalost i raspon nečasnih rabota kojima smo svi skupa svakodnevno izloženi. Prisjetimo se - ako trgovac nije jasno ukazao na stvarno stanje prodajnog artikla, riječ je o zakonom sankcioniranoj zavaravajućoj poslovnoj praksi, bez obzira na iskazanu cijenu! Utoliko, nek' se i to zna: po aktualnom Zakonu o obveznim odnosima, kupac ima pravo vraćanja tvornički neispravnog uređaja, zavirite na http://www.savjetovaliste.potrosac.hr/index.php/potrosacki-savjetnik.

Sretan Božić i Nova Godina!

Čitate li svaki dan obavijesti o otkrivenim ranjivostima? Kad se pretplatiš na brojne sigurnosne mailing liste, svakodnevno ti je inbox zatrpan porukama, tako da s vremenom čovjek "ogugla" (ups, ovo nema veze s Googleom!) i prestane obraćati pažnju. OK, otkrivena je još jedna ranjivost, pa što onda? Redovito instaliramo zakrpe i nove verzije paketa, pa se ne moramo opterećivati još i time da znamo baš svaku ranjivost.

Znate li tko vrlo pažljivo prati sve novosti iz svijeta informacijske sigurnosti? Loši dečki, koji su neprestano u potrazi za novim načinima da nam napakoste. Kad izađu zakrpe, stari exploiti prestaju biti djelotvorni, zato se neprestano traže nove slabosti.

Po mom dubokom uvjerenju, svaki pravi sistemac usprkos svemu svakodnevno prati te vijesti, ne samo mailove o ranjivostima i zakrpama, nego i siteove na kojima hakeri objavljuju svoja otkrića. Od otkrivanja ranjivosti do izdavanja zakrpe prođe dosta vremena, nekad čak godine, pa je potrebno uključiti druge načine obrane osim zakrpa. Dodavanjem pravila na vatrozidu, zatvaranjem portova, pristupnim listama i na razne druge načine može se podići letvica i napadačima otežati posao.

Nedavno sam dobio Security Advisory - RHSA-2015:2504-1, obavijest o ispravljenjoj pogrešci u biblioteci libreport, koji mi je izmamio smiješak dok sam ga čitao. Zaposlenik tvrtke Red Hat Bastien Nocera otkrio je da ABRT (Automatic Bug Reporting Tool) prilikom prijave problema šalje Red Hatu informacije koje korisnik možda želi zadržati za sebe. Radi se imenima računala, IP adresama i naredbama komandne linije. Većina korisnika Enterprise verzije, dakle poslovni korisnici Red Hata, nisu bili izloženi ovoj pogrešci, jer podrazumijevana konfiguracija nema uključenu automatsku prijavu pogrešaka. Red Hat se ispričao korisnicima i poduzeo mjere da se pogreška ispravi - izdao je novu inačicu libreporta, a u dosad prikupljenim podacima informacije koje su procurile označene su kao privatne.

Što je u ovoj vijesti tako neobično? Radi se o tome da je ovakva briga za korisnikove podatke u današnje vrijeme rijetka. Već smo navikli da nam se na Mreži nude besplatne usluge, koje zapravo plaćamo svojim osobnim podacima. Na to smo se navikli, Google, Facebook i ostali moraju na neki način pokriti svoje troškove, pa se tražilica pretvara u oglašivačku platfromu koja prati navike korisnika i prikupljene informacije koristi za ciljani marketing. Svaki pametni telefon samo djelomično služi nama, a dobrim dijelom prikuplja informacije o nama i omogućava stvaranje naših profila, prisluškivanje, praćenje kretanja, potrošačkih navika itd.

U svim spomenutim slučajevima radi se o našim privatnim životima, našim privatnim podacima. No posve je drugačija situacija kad se radi o tvrtkama. Oni imaju svoje poslovne tajne, o kojima im ovisi opstanak na tržištu. Državne i javne ustanove imaju obavezu čuvati neke kategorije podataka, poput osobnih, ali ne samo njih. Sve one donose sigurnosne politike kako bi spriječili neovlašten pristup takvim podacima i njihovo "curenje". Zato kupuju skupe zaštite, specijalizirana računala koja brinu o tome da se na perimetru javne i privatne mreže filtrira promet, i to u oba smjera, jer se kontrolira što zaposlenici rade i što komuniciraju s vanjskim svijetom.

Nedavno smo pisali o tome kako su novi Windowsi, verzija 10, zapravo spyware koji stvara ogroman promet i šalje Microsoftu informacije. Tako je s "defaultnom" konfiguracijom, a tko brine o svojim podacima može se pomučiti i isključiti neželjene funcije. No, ipak se ne može sve isključiti, a Microsoft si uzima pravo da s naših računala deinstalira neke aplikacije, na primjer ako više nisu podržane na novim Windowsima. Čak sam na mreži čitao zagovornike Microsofta među kolegama, koji kažu da ovo pomaže neukim korisnicima i olakšava im rad s Windowsima. Još malo pa će naš posao postati nepotreban, sve će za nas raditi Microsoft, zar ne? Windowsi će nam se sami instalirati umjesto starije verzije, više ne moramo instalirati ni "drivere", sve to za nas obavi veliki brat. Naravno, da bi to mogao, mora znati mnogo toga o nama i našim računalima. :)

S obzirom da, po svemu sudeći, Microsoft može raditi sve što hoće, neki komentatori zaključuju da time Microsoft postavio novu normu, novi standard. Sad će nadzor nad korisnicima računala biti sastavni dio operacijskog sustava i njegova podrazumijevana funkcija. Više se tu ne radi samo o privatnim korisnicima, koji žele besplatnu uslugu i spremni su se praviti da ju ne plaćaju izlaganjem svoje intime.

Ono što me najviše čudi jest posvemašnji muk poslovnih korisnika. Porazgovarao sam o tome s nekolicinom kolega, sistemaca, koji održavaju Windows računala. Čini se da oni dolaze iz nekog drugog svijeta, u kojem ja ne prebivam. Svi su odreda odmah izjavili da to nije njihov problem. Microsoft je privilegiran partner, ima ugovor s državom, pa neka država brine o tome. Postoje državne institucije koje brinu o nacionalnoj sigurnosti, sigurnosti informacijskih sustava, pa neka oni kažu što kako postupiti u ovakvoj situaciji.

Neki od tih kolega rade u ustanovama gdje firewalli blokiraju pristup Facebooku, Youtubeu, Google plusu itd. Navodno zato jer to kreira ogroman promet u mreži koja ima ograničenu brzinu linka prema Internetu, pa ljudi koji se na poslu igraju usporavaju rad onima koji rade svoj posao. Na stranu sada činjenica da sistemci na Facebooku i Youtubeu mogu pronaći vrlo korisne informacije koje im trebaju u poslu. I ne samo oni. Sad će sami Windowsi požderati dobar dio zakupljenog linka. Nema veze, kažu kolege, platit ćemo za veću propusnost. Dakle Microsoft meže trošiti link i nabijati tvrtkama račune, a zaposlenici ne mogu!

Nešto ne štima u ovoj logici. Ili sam ja, koji sam informatiku učio na slobodnom softveru, u današnje vrijeme naprosto zastarjeli dinosaur, osuđen na izumiranje. Podsjetimo se razloga zbog kojih postoji slobodni softver: zato jer daje korisniku čeitiri slobode, slobodu korištenja, dijeljenja "susjedima", slobodu proučavanja koda i njegovog daljnjeg razvoja, što uključuje slobodu distribucije dorađenog softvera. Ukratko, nastao je iz poštovanja prema korisniku i njegovim pravima. Ove slobode ne podrazumijevaju da je slobodni softver besplatan, iako može biti.

Nova paradigma korisniku uzima novac tako što mu samo iznajmljuje vremenski i na druge načine ograničeno pravo korištenja softvera, zadržavajući sva prava nad tim softverom, čineći korisnika ovisnim o dobavljaču, a onda slobodno raspolaže njegovim računalom i njegovim povjerljivim informacijama. Dobro došli u vrli novi svijet.

U međuvremenu je Microsoft izdao zakrpe za Windowse 7 i 8, kojima špijunske funkcije spušta na starije verzije Windowsa. Radi se o zakrpama KB 3068708, 3022345, 3075249, 3080149. Kad sam spomenuo kolegama da se instalacija tih zakrpa može ograničiti pomoću Group Policyja, samo su slegnuli ramenima. Razmišljao sam kako bi se neželjeni promet prema Velikom Bratu mogao blokirati i na firewallu, ali sam onda shvatio da firewall zapravo služi kontroliranju zaposlenika.

Demokracija podrazumijeva mogućnost izbora, pa valjda i mi možemo izabrati neki drugi OS umjesto Windowsa. Na primjer spomenuti RHEL, koji naplaćuje podršku, što odgovara mnogim tvrtkama i ustanovama koje žele profesinalnu podršku, ali ne naplaćuje programski kod koji daje na uvid korisnicima. I još se k tome ispričava jer su do njega nenamjerno dospjeli podaci koji zapravo i nisu poslovne tajne, samo imena računala i njihove adrese.

Problem je zapravo jednostavan. Svodi se na to da svatko od nas može birati između slobode i sigurnosti. Statistički, 95% posto ljudi odriču se slobode radi sigurnosti. Na stranu što je ta sigurnost zapravo prividna. Na stranu što i za slobodu i za sigurnost treba platiti cijenu. Po meni, cijena sigurnosti je veća od cijene slobode, iako to većina nije u stanju vidjeti.

Što ćete vi izabrati? Jer štogod mislili, i koliko god bili uvjereni da netko drugi odlučuje a vi samo izvršavate njihove odluke, ipak i vi imate moć i uticaj koji je veći nego što vam se čini, zapreke koje nas u tome sprečavaju samo su u našoj glavi. Pogledajte ovu ilustraciju, pa se nasmijte na svoj račun, baš kao što sam se i ja nasmijao na svoj.

Krajem kalendarske godine tradicionalno se obavlja inventura proteklog razdoblja. Trgovci zbrajaju robu na skladištu, tvrtke i ustanove popisuju pokretnu, nepokretnu imovinu. U našem poslu dobro je imati popisan hardver i softver, tako da ste uvijek spremni za slučaj da od vas traže takve podatke. Opsi server ima odličnu podršku za taj "dosadan" posao.

Pošto smo se već u ranijim člancima upoznali s web sučeljem zvanim opsi configuration editor, ulogirajmo se na poznati način. Pronađimo u GROUPS našu grupu lab1 kreiranu u prethodnom članku. Odaberimo prvog klijenta po redosljedu koji je online, kako bi na njega instalirali softver za vođenje inventara.



Prebacimo se u Product configuration karticu, selektiramo hwaudit, zatražimo setup te Execute now pa potom Save. Ili zatražimo setup pa reboot klijenta. U oba slučaja bit će pokrenuta instalacija traženog proizvoda, odnosno modula za vođenje inventara.

Desni klik Relaod opcija nam može osvježiti progres instalacije klijentskog računala.

i

Nakon uspješne instalacije prebacimo se na Hardware information karticu, gdje možemo prelistati hardverske karakteristike
instaliranog klijentskog računala.

i

Na identičan način instaliramo modul za softverski inventar kroz Product configuration karticu, selektiranjem retka swaudit. Nakon pokrenute akcije "instalacija na Windows 7 klijenta", napredak procesa izgleda kao na ilustraciji.

Nakon instalacije Software inventory kartica daje pregled dostupne verzije softvera, arhitekture na određenom klijentu.

Ukratko, s nekoliko klikova kroz opsi configuration editor dobili smo informaciju o raspoloživom hardveru i softveru na
određenom klijentskom računalu. Inventura može početi :)

Trebalo bi još napisati upit (querry) za lijepo formatiran izvještaj. Zasada, napravite copy&paste podataka u tablični kalkulator.

Vezani članci:

Opsi server - Instalacija

Opsi server - konfiguracija

Priprema 64-bitne instalacije Windowsa 7 za Opsi server

Nenadzirana instalacija Windowsa 7 preko mreže

Instalacija Opsi klijenta

Opsi server u računalnoj učionici

Kad se pojavi nova verzija OS-a, sistemci su suočeni s izborom načina dogradnje na korisnička računala. Da li naprosto instalirati novu verziju preko postojeće (in-place), ili kopirati korisničke podatke, počistiti disk i krenuti ispočetka (clean install). Ta se dilema ponovo pojavljuje i s dolaskom Windowsa 10. No unazad nepuna dva mjeseca Microsoft je toliko unaprijedio “clean install” način postavljanja Desetke na računala da više uistinu nema nikakvog razloga za primjenu “in-place” metode, osim u nekim sasvim specifičnim situacijama.

Do sada sam odradio kojih tucet “in-place” instalacija Desetke. Nekad su to bila starija, nekad novija Intel/AMD računala s različitim aplikacijama i uvijek je proces nadogradnje prošao bez problema ili s bezazlenim poteškoćama. No, dugogodišnje plivanje po uzburkanim IT vodama dovelo me do spoznaje da modernizacija operativnog sustava instaliranjem novije verzije preko starije prije ili kasnije izazove probleme. Utoliko, barem što se mene tiče, nakon nekolicine odrađenih čistih instalacija Desetke, “in place” metoda je definitivno “ad acta”.

Čistu instalaciju Desetke možemo izvesti na nekoliko načina, rabeći optički medij ili USB štapić, koristeći lokalnu .iso datoteku sa Desetkom ili Microsoftov on-line repozitorij... nije mi do prepričavanje opće dostupnog pa prilažem adresu od koje možete započeti sa istraživanjem ukoliko vam je niže izloženo nedostatno: https://www.microsoft.com/en-us/software-download/windows10.

Priprema

Slijedi modalitet čiste instalacije koji, barem za sada, savršeno odgovara mojim potrebama – uporabom USB flash memorije. Evo što nam je potrebno kako bismo uspješno realizirali naum:

• alat Windows 10 Media Creation Tool (dalje: MCT); možemo ga skinuti sa gornjeg linka;

• USB stick kapaciteta 4 – 8 GB; pozor, MCT će reformatirati medij na FAT32 pa pazite da ne izgubite neke važne vam podatke;

• internet konekcija kojom ćemo omogućiti MCT alatu pristup do Windows 10 on-line repozitorija;

• važeći licenčni ključ Sedmice ili Osmice koju nakanismo zamijeniti Desetkom; uzgred, za prevođenje Windows 7/8 na Desetku taj ključ vrijedi do 29. 07. 2016;

• mali podsjetnik: ako instalacijom Desetke “gazimo” postojeću Windows 7/8 instalaciju, trebaju nam i ključevi aplikacija jer ćemo ih morati reinstalirati.

Pripremanje USB sticka za čistu instalaciju Desetke možemo odraditi na bilo kojoj desktop ediciji windoza, od Sedmice na gore, pri čemu nije bitna arhitektura (x86 ili x86_64) tog, ajmo reći, "admin računala", niti u hardverskom niti u softverskom pogledu. Ono što jest bitno:

1. Na admin računalo moramo biti ulogirani sa ovlastima administratora, a ne običnog korisnika.

2. Nakon pokretanja MCT-a i odabira USB štapića kao instalacijskog medija, dolazimo do ekrana gdje moramo odabrati jezik, ediciju i arhitekturu, vidi nižu sliku. To su inputi temeljem kojih se stvara distribucija Desetke na USB-u. Treba paziti na detalje poput ovog: ako raspolažemo ključem za Home ediciju Sedmice na hrvatskom jeziku, a u nižem koraku odaberemo Professional ediciju sa hrvatskim (ili egleskim) jezikom, neće proći aktivacija Desetke.

3. Stavka “Architecture” zaslužuje zaseban odlomak jer je povezana s jednom pogodnošću: ako imamo 64-bitni hardver na kojem je 32-bitna licencirana Sedmica ili Osmica, čistom instalacijom možemo na računalo natočiti 64-bitnu Desetku, aktivacija će proći. Zgodno je to znati, zar ne? Inače, kako pokazuje naredna slika, možemo odmah kreirati distribuciju za obje arhitekture procesora: x86 i x86_64, što je praktično ako obrađujemo  računala koja se razlikuju po tom aspektu.


 
Poput svakog softvera, Desetka ovisi o nekim preduvjetima koje moramo ispoštovati kako bi operativni sustav ispravno nalegao na hardver. Utoliko, prije pokretanja Setupa sa USB sticka, moramo skoknuti u BIOS/UEFI ciljnog računala i pobrinuti se za sljedeće:

• ako je disk računala tipa MBR, onemogućiti Secure Boot i UEFI; tako će računalce prikazati Setupu resurse klasičnog BIOS-a (nakon uspješne instalacije možemo ponovo uključiti Secure Boot i UEFI);

• u Startup ili Boot sekciji BIOS-a postaviti USB disk kao primarni za podizanje OS-a;

• uključiti Execution prevention (ili kako god se zove u konkretnom BIOS-u) za izvršenje XD / NX bita; opcija bi već trebala biti uključena, ali provjerite.

Instalacija

Sada možemo startati računalo i pokrenuti instalaciju Desetke. Verifikacija licenčnog ključa odrađuje se interno, za to nije potrebna konekcija na Internet. Možemo nastaviti s instalacijom i bez ključa, ali tada završavamo sa nelicenciranom kopijom Desetke. No, isplati se probati, prenio mi kolega da je jednom baš tako napravio, potom je, na njegovo veliko zadovoljstvo, Microsoft aktivirao tu instalaciju tijekom prvog Windows Updatea. Pa eto, možda se i vama posreći.

Čista instalacija Desetke pruža nam jedinstvenu priliku bzopoteznog isključivanja ozloglašenih špijunskih opcija, sve su lijepo postrojene na jednom ekranu (vidi narednu sliku), čime izbjegavamo tumaranje po labirintima Privacy appleta nakon instalacije. Jasno, po završenoj instalaciji slijedi ugađanje OS-a, poput instalacije podrške za grafičku karticu, primjene zakrpa, antivirusni SW... ali to su već opće teme. Na ovaj detalj obratite pozornost: pratite instalaciju jer nakon prvog restarta morate izvući USB štapić, ako to ne napravite Setup će opet krenuti od samog početka.




Instalacija Desetke trebala bi proći glatko... sve dok je disk računala prikazan Setupu na razumljiv mu način. Suvremena se računala jako razlikuju u implementaciji i kvaliteti  firmwarea i sučelja za diskove, dodatno, nije svejedno je li disk tipa MBR ili GPT, koliko je ukupno particija na njemu, jesu li te particije recovery ili klasičnog tipa, i sl. Mene je u jednom (doduše, i jedinom) slučaju intenzivnijeg nadmudrivanja sa diskovnim podsustavom iz gliba izvukla diskusija korisnika na wiki stranicama proizvođača tog računala. Budući da nema univerzalnog rješenja, uletite li u ovom koraku u nevolje, zaguglajte, sigurno ćete naći neku korisnu informaciju. Ovo je trenutno stanje, pratite situaciju jer možda Microsoft “opameti” Setup glede inicijalnog pristupa diskovima.

Tip diska možemo saznati naredbom DISKPART ili posredstvom Disk Managera. Na narednoj ilustraciji oba alata pokazuju isto – disk je tipa MBR. U tom slučajui moramo, kako je ranije navedeno, onemogućiti Secure Boot i UEFI kako ne bi bilo biti problema. Ipak, načelno gledano, ako već imamo moderno računalo sa diskom kapaciteta većeg od 2 TB, prvo treba pokušati natočiti Desetku na računalo sa uključenom opcijom Secure Boot i aktivnim UEFI firmwareom.



Bez obzira na upravo spomenutu peripetiju, smatram da čista instalacija Desetke treba biti dominantna metoda prijelaza na najnovije Windowse. Evo još jednog vrlo konkretnog benefita čiste instalacije: dogovorio sam s jednim prijateljem, on vodi knjigovodstveni obrt i rabi aplikaciju lokalne softverske kuće, da mu ovih dana prevedem par uredskih računala sa Sedmice na Desetku. Jasno da to moram izvesti tako da nekolicina djelatnika tog obrta može nastaviti izvršavati svoje radne obveze bez poteškoća ili, ne daj Bože, prekida. Lijepo ću na zasebnu particiju jednog ili dva računala napraviti instalaciju Desetke pored Sedmice (znači, dual boot), natočit ćemo na Desetku taj njegov knjigovodstveni program i softver za čitač pametnih kartica i USB tokena (računovodstvena branša izrazito ovisi o on-line servisima raznih financijskih ustanova), pa nek’ probaju.... Ako bude sve u redu, nastavljam dalje sa prevođenjem računala na Desetku; ako bilo što zapinje, i nema brzog rješenja, ljudi će se prebaciti na Sedmicu a prijelaz na Desetku ćemo prolongirati dok se ne steknu uvjeti. Lukavo, kaj ne?! :o)

Posao sistemskog inženjera je specifičan, razlikuje se od poslova državnih/javnih službenika koji posluju sa strankama, pa managementu često predstavlja zagonetku kada pokušavaju taj posao normirati i mjeriti. Gledano sa strane sistemca, pravilnici o radu koji propisuju radno vrjeme od 8 do 16 sati posve su besmisleni, jer sistemac nije plaćen za to da osam sati sjedi za pisaćim stolom, nego zato da informacijski sustavi budu neprestano na raspolaganju korisnicima. Njegov je cilj "uptime" od 99,999%. Nemoguća misija, ali što se više približiš idealu, bolji si sistemac.

Sveti gral našeg posla su tri cilja definirana u normi ISO 27001, poznata po kratici CIA - Confidentiality, Integrity, Availability. Nije to nikakva mistika, već samo znači da sustavi trebaju/moraju biti na raspolaganju kad god su potrebni, da su podaci na njima ažurni i točni (što se postiže tako da samo ovlašteni imaju pravo unositi podatke, da se bilježi tko je što radio kako bi se odgovornost mogla adresirati). Neovlašteni, bez obzira da li dolaze izvana ili iznutra, ne smiju moći pristupati podacima. Na popisu neovlaštenih je dio zaposlenika, hakeri koji su prešli na tamnu stanui, agencije raznih vlada koje se bave prikupljanjem podataka, ali i tvrtke poput Microsofta koje se sve više pokazuju kao trgovci informacijama. Čak i kada su podaci kojima organizacija raspolaže u svojoj prirodi javni, pravila informacijske sigurnosti traže da ne može svatko po njima petljati, jer je to jedini način da se osigura njihova točnost.

Da bi se to postiglo, sistemac dobar dio posla treba obavljati izvan redovnog radnog vremena. Instalacija zakrpa koje zahtijevaju restart servera u radno vrijeme znači prekid u radu osnovnih servisa i prekid u radu zaposlenika, što narušava pravilo dostupnosti. Zato će svaki pravi, punokrvni sistemac nastojati da to obavi u vrijeme kada ne ometa korisnike. Moji raniji poslodavci su to shvaćali, pa su mi, na primjer, povjeravali ključeve od zgrade kako bih mogao dolaziti na posao čak i u vrijeme kada portiri ne rade. Bio sam tada mlad sistemac, zagrižen i željan znanja, tako da sam gotovo svaki vikend provodio na poslu. I nije mi to bila tlaka, jer sam uživao u neprestanom učenju i usavršavanju.

Nadalje, sistemac bi morao imati na raspolaganju lab u kojem na testnoj opremi isprobava promjene u konfiguraciji, instalaciju novih servisa, pa kad noviteti prođu provjere, onda se to može primijeniti u produkciji. Eksperimentiranje na produkcijskim serverima nije poželjna praksa. Evo i primjera. Nedavno sam bio prisiljen instalirati softver za upravljanje licencama na Windows server koji je Domenski kontroler. Dobavljači kažu da se to navodno može instalirati i na Linux, ali s tim nemaju nikakvog iskustva pa to ne preporučuju. Licence manager brine da istovremeno može raditi samo onoliko klijenata koliko je licenci kupljeno. Za to koristi portove koje je trebalo propustiti na firewallu. Nakon unošenja promjena u konfiguraciji vatrozida stvar nije proradila, pa smo restartali firewall servis. Windows server se nakon toga jednostavno zamrzao! Kako se preko njega obavlja autentikacija korisnika, poslovni procesi su stajali dok nismo uspjeli najprije zaustaviti nefunkcionalnu virtualnu mašinu koja nije reagirala na naredbu za shutdown, a zatim je ponovo pokrenuti.

Potaknut tim iskustvom, zatražio sam od pretpostavljenih da posao na miru obavim izvan radnog vremena. Na moje čuđenje, prijedlog je dočekan ne samo s nerazumijevanjem, već hladno, s nepovjerenjem. Birokratski um funkcionira po šabloni, odnosno po propisima: sav se posao treba obaviti u radno vrijeme, prekovremen rad treba obrazložiti i zatražiti dozvolu nadređenih. Kao da zakrpe ne stižu svakodnevno! Tu je i strah od povećanih izdataka, jer je satnica prekovremenog rada veća. Pravila su jednaka za sve, ne mogu se praviti iznimke!

Sistemcu starog kova takav je način razmišljanja stran. On je navikao raditi kad god je to potrebno, čak i dok je na godišnjem odmoru. Zauzvrat traži fleksibilno radno vrijeme, da može sam birati kada će raditi. Dok god sve radi kako treba, nema potrebe sjediti u uredu samo da se zadovolji forma. Dobar dio posla može se obaviti i od kuće. Nažalost, danas samo privatni poslodavci imaju razumijevanja za ovakav način razmišljanja. Oni to vide kao priliku za smanjenje troškova poslovanja. No pametan poslodavac naći će jednostavno rješenje: sistemcu će osigurati pristojan lab, pa će on rado ostajati na poslu družeći se sa svojim omiljenim igračkama i neprestano učeći. Na taj način bi obje strane bile zadovoljne!

Čini se da nove generacije lakše prihvaćaju birokratska pravila. U razgovoru s mladim kolegama slušam kako se oni dižu i idu kući u 16 sati, pa makar "padale sjekire". Nije ih briga ako neki server ne radi. Ako poslodavac želi da se problem riješi, neka zaposli drugu smjenu ili plati prekovremeni rad. Kada to čujem, počne me prati depra. Za mene to znači da su ti dečki ravnodušni prema poslu koji obavljaju i prema poslodavcu. Oni rade od-do i plaćeni su po satu. Gdje je osjećaj obaveze, rekao bih čak osjećaj časti i ponosa kada svoj posao obavljaš najbolje što možeš? Koliko puta sam se spajao od kuće poslije podne, navečer prije spavanja, ujutro čim ustanem, kako bih provjerio da li sve dobro radi, intervenirao prije nego problemi eskaliraju, rješavao zastoje prije nego ih korisnici primijete? Nije me bilo briga da li ću za to dobiti (zasluženo) priznanje, koje naravno redovito izostaje. Nekoliko puta mi se već dogodilo da dam otkaz i promijenim posao, pa onda sretnem bivšeg poslodavca koji tada osjeća potrebu da mi kaže  "Bio je to velik gubitak za nas kad ste otišli". Dok sam im bio na raspolaganju nije im to padalo na pamet. :)

Kolege koji su radili u inozemstvu pričali su mi kako uspješne tvrtke shvaćaju ovaj problem i nalaze rješenja. Informatičare često izdvajaju u posebne zgrade, gdje vladaju ležernija pravila odijevanja, gdje se nagrađuje inovativnost i važno je da je posao obavljen, a ne kada je tko došao na posao i otišao s njega. Obratite pažnju na razliku: umjesto smišljanja brojnih pravila i kazni za njihovo nepoštivanje, naglasak je na poticanju i nagrađivanju,.stvaranju ugodne radne sredine.

Profesor koji predaje informatiku na jednom našem fakultetu, nećemo imenovati ni njega ni fakultet, pričao mi je kako svake godine pita brucoše zašto su upisali studij informatike? Ranije su odgovarali da je to zato jer ih zanimaju računala, programiranje... Danas redovito odgovaraju da su studij odabrali jer su čuli da je s tom diplomom lako pronaći zaposlenje.

Pa se pitam: Gdje je nestala hakerska radna etika? Možda bi trebalo pitati: Gdje su nestali hakeri? Podsjetimo se: haker je svaka osoba koja svoj posao radi iz radoznalosti,zato jer želi sve znati i uz to joj posao predstavlja zadovoljstvo. Haker naprosto ne trpi da nešto ne zna i ne može! Što tu znači radno vrijeme? Ako treba probdjeti cijelu noć i nakon toga prespavati dan, to je u redu.

Što ako država kao poslodavac ne cijeni vrijednosni sustav po kojem žive hakeri? Svatko mora za sebe odgovoriti na to pitanje. Negdje možda dostupnost informacijskih servisa nije prioritet, pa će se korisnici strpiti dok se serveri ne oporave. Drugdje, gdje je pritisak posla jači, sistemac treba postići dogovor s upravom o radu izvan propisanog radnog vremena.

Sve se zapravo svodi na jednostavnu dilemu: što vam je važnije u životu, sigurnost ili sloboda? Ako vam je važna sigurnost, onda ćete se pokoriti birokratskim pravilaima i plesati kako drugi sviraju. Ako vam je važnija sloboda, promijenit ćete posao, ili pokrenuti svoj vlastiti. Činjenica je da što god odabrali, trebat će platiti cijenu. Po meni, cijena sigurnosti je veća, jer je u današnje vrijeme sigurnost zaposlenja iluzija, relikt iz nekih prošlih vremena. Odustajanje od slobode je, po meni, previsoka cijana i nisam je spreman platiti.

I zato, ako ste u duši haker, ne dajte se ukalupiti, jer ćete se na taj način odreći onog najboljeg u sebi. Ako imate sreće da vas poslodavac cijeni i daje vam slobodu da posao obavljate na svoj način, uzvratit ćete nu tako što ćete svoj posao obavljati najbolje što možete. Ako vas želi promijeniti i pretvoriti u činovnika, radije promijenite posao. Ne morate se bojati, uvijek će biti posla za dobre informatičare. Ali kao što rekoh, to sam samo ja. Svatko mora izabrati svoj put i biti spreman platiti cijenu za njega.

Jeste li se ikada zapitali gdje su postavljeni podvodni kabeli kroz koje „putuje“ internetski promet? TeleGeography, kompanija iz USA izradila je zanimljivu kartu podvodnih kabela kroz koje se odvija 99% međunarodnog podatkovnog prometa.

Karta prikazuje aktivne i planirane podmorske kabelske sustave, njihova polazišta i odredišta. Odabirom pojedinog kabela na projekciji dobije se detaljni opis koje uključuje njegovo ime, RFS datum (ready for service), dužinu, te vlasnike.

Prva komunikacija kroz takvu vrstu kabela ostvarena je daleke 1858. godine kada je engleska kraljica Victoria poslala telegramsku čestitku američkom predsjedniku Jamesu Buchananu.

Do danas je postavljeno preko 300 takvih kabela ukupne dužine 890.000 km. Daleko najdulji je onaj koji povezuje Koreju i Njemačku, čija je dužina nevjerojatnih 39.000 kilometara. Samo postavljanje podvodnih kablova je vrlo skup i dugotrajan posao

U našim vodama postoje dva takva kabela, na krajnjem jugu i sjeveru Jadrana, a oba su postavljena sredinom 90-tih godina. Jedan povezuje Umag i Mestre u Italiji, a drugi Dubrovnik i Durres u Albaniji. te ide dalje prema Grčkoj.

Više informacija o karti možete dobiti slijedeći link, a samu kartu možete pogledati i pretražiti klikom ovdje.

Sistemac navikao na debianolike Linuxe odlučio je instalirati CentOS 7. Prvi utisak je dobar, ali onda su počeli "problemi." Ubacio je USB stick od 32 GB, kojeg je formatirao na NTFS, kako bi mogao prenositi velike datoteke između Windows i Linux računala. Podsjetimo se, VFAT ne podnosi datoteke veće od 4 GB. Međutim, CentOS ne može montirati NTFS particiju!

Sistemac zna da podrška za Microsoftov file system na Linuxu postoji, no očigledno na CentOS-u nije uključena "by default".

Malo guglanja i evo savjeta: treba instalirati paket ntfs-3g. No naredba:

# sudo yum install ntfs-3g

ne daje rezultat. Nema takvog paketa!

Nazad na guglanje, ispada da je taj paket u drugom repozitoriju, a ne u CentOS-ovom. Nađen je u repozitoriju Fedore, još jednog izdanja zasnovanog na Red Hatu.

# wget http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-5.noarch.rpm
# sudo rpm -ivh epel-release-7-5.noarch.rpm
# sudo yum -y install ntfs-3g

Što je EPEL? Sraćenica od Extra Packages for Enterprise Linux, a radi se zajednici koja je okupljena pod kapom Fedore, kako bi srodnim izdanjima Linuxa pružila zapakiran slobodan i open source softver s podrškom za mreže, sistemsku administraciju, nadzor i slično.

Dakle najprije smo prijavili Fedorin repozitorij, kako bi yum u njemu pronašao tažene pakete.

Nedostaje još jedna sitnica: NTFS je ovisan o modulu kernela fuse, pa ga treba najprije aktivirati:

# sudo yum install fuse
# sudo modprobe fuse

Nakon toga i CentOS 7 zna raditi s NTFS-om!

Naš je sistemac navikao na Ubuntu kojeg troši na svom računalu. Ubuntu dolazi zapakiran u raskošnom izdanju, s podrškom za svekoliki hardware, pun softvera. Jest da je zato glomazan i treba mu dosta resursa, ali ti je sve pri ruci i odmah srpemno za korištenje. Zato mu je bilo u najmanju ruku čudno što CentOS ne dolazi s podrškom za NTFS.

Ipak, mora se priznati da u tome ima logike. Zašto bi po defaultu imao instaliranu podršku za NTFS, ako ti možda i ne treba? Ako zatreba, lako se instalira! Naš se sistemac sjetio dobrih starih vremena kad je za svoje servere morao kompilirati kernel, kako bi dodao podršku za neki netipičan hardware. Pa je to koristio da iz kernela izbaci sve što mu nije trebalo. U ta vremena kernel je, u komprimiranom obliku, zauzimao samo 300 KB. U to doba nije bilo ni paketa za SSH, pa je skidao izvorni kod, kompilirao ga i instalirao. Tada je to sve bilo normalno, dio svakodnevnog posla. Danas smo razmaženi, očekujemo da sve radi "out of the box", nervira nas svako zapinjanje. Srećom, nešto od stare snalažljivosti još je ostalo, nismo posve zahrđali. :)

Prilikom nadogradnje Windowsa 10 na računalu je iskočio prozor s upozorenjem "Windows detected a hard disk problem". Radi toga nije bilo moguće dovršiti instalaciju zakrpa. Potražili smo i pronašli rješenje ovog neugodnog problema.

Spomenut ćemo da je u BIOS-u S.M.A.R.T isključen.

Kako se radi o računalima javno dostupnim studentima, prvo što pada na pamet da je "uletio virus" i oštetio neke od sistemskih datoteka..
Pretraga antivirusnim programom kao i programima za detekciju spywarea nije pronašla zaražene datoteke niti čudne procese.

Sljedeći korak koji smo poduzeli je uporaba standardnog windowsovog alata "chkdsk" koji će provjeriti datotečni sustav i pokušati otkloniti problem. Pretpostavljamo da je kojim slučajem grešku "Windows detected a hard disk problem" prouzročio datotečni sustav, "chkdsk" bi trebao ispraviti nastale greške.

Ni kod ovog koraka nije otkirivena ni jedna greška.

Novi korak je provjera diska i particija s besplatnim programom Partition Guru:

(Program možete naći na adresi http://www.eassos.com/partitionguru-free.php).

Ubrzo smo dobili neke rezultate, jer je nakon podužeg rada Partition Guru pronašao greške.

Zbog nastave koja se održava preskočili smo oporavak (recovery) koji nudi Partition Guru za neko prikladnije vrijeme. Kako bismo što brže obavili nadogradnje i omogućiti nesmetano odvijanje nastave, bili sam prisiljeni pronaći drugo, privremeno rješenje.

Zbog poruke o detektiranju problema nadogradnja Windowsa nije bila moguća, a i studentima bi svako malo iskakao prozor s ovim upozorenjem. Na neki način trebalo je ovu poruku blokirati, tako da se nadogradnja nastavi. Inače, računalo je pod jamstvom, staro je 8 mjeseci.
   
Privremeno rješenje je poruku "Windows detected a hard disk problem" isključiti putem registry editora.

Postupak je jednostavan: kao administratorski pokrenite regedit (Start -> regedit).

Zatim pronađite sljedeći ključ:

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\DiskDiagnostics\FallbackPolicy

Na desnoj strani pronađite vrijednost EnabledScenarioExecutionLever s vrijednošću "2". Dvostrukim klikom započnite izmjenu, te umjesto vrijednosti "2" upišite vrijednost "1" koja će isključiti dijagnostiku:

Zatvorite registry te resetirajte računalo.

Nakon toga nadogradnja operacijskog sustava prošla je bez problema, a računalo je radilo sljedeća dva tjedna bez novih problema.

Kada se situacija sa slobodnim vremenom i navalom korisnika na računala popravila, napravljen je i oporavak pomoću programa PartitionGuru (informacije radi, trajao je preko 4 sata).

Nakon oporavka, vratili smo i ključ na prvobitnu vrijednost "2", a Windowsi više nisu javljali nikakvu grešku.

Ako kojim čudom, previdom ili legendarnom administratorskom lijenošću vaši poslužitelji još uvijek omogućuju komunikaciju korištenjem SSL2 protokola, DROWN napad trebao bi biti konačni argument za bacanje tog starog i provjereno ranjivog protokola u ropotarnicu kriptografske povijesti.

Punim nazivom "Decrypting RSA with Obsolete and Weakened eNcryption", ovaj vrlo ozbiljan napad omogućuje napadaču (pozicioniranjem kao MITM između klijenta i poslužitelja) vrlo brzo provaljivanje komunikacijskog kanala i posljedično potpuno prisluškivanje prometa.

Napad na SSL2 protokol moguć je zbog korištenja starog “export-grade” kriptografskog algoritma, pa provaljivanje ne troši previše resursa. Dapače, dio poslužitelja osjetljivih na taj napad koristi OpenSSL verziju koja sadrži bug čije postojanje značajno olakšava provalu: poslužitelje koji su osjetljivi na DROWN i pritom imaju i taj bug moguće je razbiti za nešto više od jedne minute korištenjem “običnog” kućnog ili uredskog računala.

Stvar se dodatno komplicira u ne tako rijetkom slučaju da ranjivi poslužitelj koji koristi SSL2 dijeli isti RSA ključ sa poslužiteljem koji koristi značajno sigurniji TLS protokol: u tom slučaju, jednom razbijen SSL2 poslužitelj omogućit će uspješno izvođenje napada na inače siguran TLS poslužitelj pomoću Bleichenbacherova napada - napadač može u kratkom vremenu (svega nekoliko sati) i uz mali trošak (oko 440$ za Amazon EC2, tvrde autori) razbiti komunikacijski kanal.

Drugim riječima, imate li u svojoj mreži samo jedan poslužitelj osjetljiv na DROWN napad, te ako među poslužiteljima dijelite isti ključ, svi vaši poslužitelji bit će izloženi ozbiljnom sigurnosnom riziku!

Rješenje problema je, naravno, vrlo jednostavno: isključite podršku za SSL2 na vašim poslužiteljima.

Drugi dobar savjet je – ako to nije apsolutno nužno, nemojte dijeliti ključeve na više poslužitelja.

Nakon toga, naravno, instalirajte i nove verzije OpenSSL-a (ali to i tako redovito radite, zar ne?)

Iako se lakoća ove zakrpe čini trivijalna, autori tvrde da je oko trećine poslužitelja na Internetu ranjivo, što zbog korištenja SSL2 podrške, što zbog dijeljenja ključeva među poslužiteljima – razlog više da se SSL2 podrške riješimo jednom za svagda.

Detaljnije informacije o napadu i whitepaper možete pronaći na web stranici The DROWN Attack, gdje se nalazi i alat kojim možete provjeriti jesu li vaši poslužitelji osjetljivi na ovaj napad.

Kao sistemac starog kova, odrastao uz Linux, rijetko se i nerado miješam u svijet Microsoftova zatvorena softvera. No kako većina ljudi oko mene koristi Windowse, povremeno se nađem u situaciji da treba pomoći. Tako su nedavno dva Win 7 računala, učlanjena u Domenu, ispala iz igre. Nitko se nije mogao ulogirati kao domenski korisnik, ni kao domenski admin, već samo kao lokalni admin.

Malo guglanja i savjetovanja s kolegama koji zarađuju za kruh održavajući Windowse, i skupilo se nekoliko rješenja za ovakvu vrstu problema.

No prije svega bootao sam računala s rescue CD-a jednog od proizvođača antivirusnog softvera i provjerio da na računalima nema virusa. Nije ih bilo, ili nisu pronađeni.

Prvi savjet

Ulogirao sam se kao lokalni admin, desnim klikom na Računalo odabrao Svojstva, pa PC odjavio iz Domene, učlanio ga u Workgroup. Nakon toga reboot, ponovno učlanjenje u Domenu, prijava postojećeg korisnika, i gle čuda, nakon toga sve radi!

Nisu mi poznate tajne Microsoftova Active Directoryja i nije mi jasno na koji je magični način ovo pomoglo, ali je pomoglo i nije bilo preteško. Pitam kolege što se to događa i zašto je ovo riješilo problem? Odgovor je slijeganje ramena.

Drugi savjet

Nažalost, isti recept nije upalio na drugom računalu. Nakon ponovnog učlanjivanja u Domenu, pri pokušaju prijave domenskog korisnika dobili bi poruku o tome kako se korisnički profil ne može učitati.

Pokušao sam slijediti drugačiju proceduru, u registriju sam potražio korisničke profile, ne bi li našao dva profila istog korisnika. U tom slučaju, kažu, pomaže aktiviranje backup profila, uz micanje trenutno aktivnog. Pokrenemo regedit, pa potražimo korisničke profile na lokaciji

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Nisam našao backup profil, već samo redovni profil korisnika računala. Ništa od ovog rješenja.

Treći savjet

Treći savjet sam odmah odbacio. Neki ovo rješavaju tako da korisniku otvore novi profil i prebace stare podatke u njega. Ali ostaje problem elektroničke pošte u Exchange serveru, jer s novim profilom više nema pristupa porukama koje pripadaju starom. Vjerojatno postoji način da se ovo riješi, ali cijela procedura mi izgleda nekako, kako da kažem, nedostojna pravog sistemca.

Četvrti savjet

Prema savjetima kolega, u tom slučaju ne preostaje drugo nego reinstalirati Windowse. Naravno, prije toga treba spasiti korisničke podatke. No s tim Windowsima su se dogodile čudne stvari, jer nisu prepoznali niti jedan USB stick ili USB disk na koji sam pokušao presnimiti podatke.

Odlučio sam da ću prestati glumiti Windows administratora i riješiti problem koristeći "Linux way". Ubacio sam Live CD i pokrenuo Linux, prvu distribuciju koju sam dohvatio. Na USB stick, kojeg je Linux odmah prepoznao i montirao (što znači da nije u pitanju hardverski nego softverski problem), presnimio sam korisničke podatke.

Nakon toga sam duboko uzdahnuo, jer me čekao nezahvalan posao instalacije Windowsa. Znate već kako to ide: instaliraš Windowse, onda sa stranica proizvođača skidaš drivere za uređaje nisu proradili (obično je to podrška za grafičku i mrežnu karticu itd.). Slijedi skidanje zakrpa, uz učestalo rebootanje. Sve to treba ponoviti za Office, pa instalirati korisničke aplikacije, podršku za smart kartice itd. Sve u svemu, prođe cijeli dan, nekad i dva, uz ostale sistemčeve obaveze.

Odlučio sam prije toga isprobati nešto drugo. Na komandnoj liniji sam utipkao naredbu:

$ fsck.ntfs -r /dev/sda2

Nakon što je obavljena provjera NTFS-a na particiji na kojoj su instalirani Windowsi, uz potrebne popravke (-r stoji za repair), Windowsi su se nakon restarta normalno pokrenuli, korisnik se kao i svakog dana prijavio u Domenu i nastavio obavljati svoje dnevne zadaće.

Kolege Windowsaši mi na to kažu da sam mogao provjeru file systema napraviti i iz Windowsa. Pitam ih zašto mi nitko od njih nije to savjetovao?

Kako bilo da bilo, problem je riješen uz pomoć malo Linux magije. Ostaje zagonetka zašto se ovakvi problemi događaju u svijetu zatvorenog Microsoftova softvera? Ako netko zna, neka mi objasni, rado ću poslušati. Ako ne, slijegat ćemo zajedno ramenima. Ovako napamet, čini se da se su se podaci zapisani na disku na neki način korumpirali, upravo tamo gdje su konfiguracijske datoteke, radi čega računalo više ne funkcionira kao član Domene.

Iznijeti ću atipično stajalište o tzv. bloatwareu na Android uređajima, pa moram biti sistematičan. Štivo nije namijenjeno developerima i serviserima Android uređaja, za njih vrijede druga „pravila igre“ zbog znanja i alata kojima raspolažu.

Za početak, podsjetimo se što pojam bloatware obuhvaća: oveći dio aplikacija - ugniježđenih u Android uređaj od strane njegovog proizvođača i ugovornih partnera poput neizbježnog Googlea te, naposljetku, pružatelja usluga mobilne telefonije - koje osviješteni korisnik uređaja smatra nepoželjnima jer takve aplikacije na neki način opterećuju uređaj, narušavaju privatnost, izazivaju dodatne troškove, beskorisne su... i slično. Zanimljivo je da nitko kao bloatware ne etiketira aplikacije što ih je korisnik sam instalirao i potom ih malo ili nikako rabi, iako se u konačnici te aplikacije ponašaju baš poput bloatwarea: same se povremeno pokreću u pozadini i spajaju na Internet servere te tamo-vamo prenose tko zna kakve podatke; besplatne aplikacije, kakve mahom rabimo, gnjave nas reklamama... Tja, kakogod, trenutno nam je najvažnije izraz bloatware uskladiti sa općim stavom da je riječ o nepoželjnim izvornim aplikacijama, one su nametnute korisniku od strane gore opisanih igrača. Sve ono što korisnik sam instalira, koliko god to loše bilo, nije bloatware. Te klasifikacije ćemo se nadalje držati.

Na Internetu možemo naći brojne liste nepoželjnih izvornih aplikacija. U te se liste trpa uistinu sve i svašta, pa se nepoželjnima proglašavaju i esencijalne, za svakog normalnog korisnika Android uređaja nadasve korisne aplikacije - Calculator, Clock, Google Play i Chrome, itd. Valjda kako bi se čitatelj impresionirao i što lakše progutao sugestiju o potrebi uklanjanja originalnih aplikacija. Od čega su određeni krugovi napravili što biznis, što opsesivnu zanimaciju. Pa s jedne strane aplikativci izrađuju, a ostrašćeni pojedinci bezrezervno podržavaju svakojake debloatere, boostere & cleanere; s druge su strane neupućeni ili jednostavno preangažirani korisnici Android uređaja koji te alate prigrle i rabe ih kad treba i kad ne treba, vrijedno rootaju svoje uređaje kako bi izbrisali proskribirane aplikacije... i potom traže hitnu podršku kroz forume jer su destabilizirali ili čak onesposobili svoj uređaj!

Pazite, ne tvrdim da su sve izvorne aplikacije – one prisutne u tzv. stock ROM-u -korisne, to bi uistinu bilo pretenciozno. Poput većine, godinama rabim Android uređaje i svjestan sam postojanja aplikacija što ih kroz sve ove godine nisam pokrenuo, niti imam namjeru. Ali prisjećam se i da sam u par navrata htio ne samo onemogućiti (disable) nego baš izbrisati Hangouts, po mojoj procjeni nepotrebnu aplikacju – pogađate, rabim Skype - koja je nakon svakog ažuriranja sve veća.... a potom sam, u jednom slučaju hitne komunikacije, koja je bila u mom interesu, zahvaljivao nebesima što imam Hangouts jer sam mogao uspostaviti vezu sa kolegom koji samo tu aplikaciju rabi a tada se nalazio na drugom kraju svijeta.

Slutite već u kojem smjeru ciljam: svaku priču o bloatwareu koja se svodi na brisanje izvornih aplikacija treba uzeti sa debelom zadrškom!  Moja je preporuka Ne brisati izvorne (stock) nepoželjne aplikacije. A sada ću obrazložiti taj „otpadnički“ stav.

Priča postaje zanimljiva već u samom startu, kad krenu diskusije oslobađa li se brisanjem neželjenih izvornih aplikacija dragocjeni spremišni prostor za korisnika. Jedna strana tvrdi da se korisnički prostor ne povećava jer su izvorne aplikacije na /system particiji, a ta je nedostupna korisniku ukoliko nije prethodno rootao uređaj; druga strana tvrdi, dakako, da se slobodni prostor povećava te da je najbolje uređaj rootati pa brisati izvorne nepoželjne aplikacije.

Svima koji baš u brisanju vide konačno rješenje, nudim pristup kojega smatram najracionalnijim. Da bismo se lakše razumjeli, prisjetimo se rasporeda aplikacija na Android uređajima.

Android OS podiže (mounta) sistemsku particiju /system kao r/o. Izvorne aplikacije nalaze se prvenstveno u direktoriju /app sistemske particije, ponešto je porazbacano po drugim direktorijima. Potonje ovisi o proizvođaču izvornog ROM-a, npr. koda nas jako popularni Samsung dio aplikacija smješta još u /system/priv-app, pa /system/container, itd. Korisniku dostupna particija, na koju on može instalirati aplikacije i spremati svoje podatke, poznata je kao /data. Dakako, ona je r/w. Sa stajališta lokacije aplikacija, ključni direktoriji na toj particiji su /app, /app-lib, /dalvik-cache i /data.

Sada slijedi najvažnije: u tim direktorijima /data particije ne nalaze se samo one aplikacije što ih je korisnik instalirao nego i sva ažuriranja i pomoćni podaci izvornih aplikacija prisutnih na /system particiji. A te novije verzije aplikacija redovito su nekoliko puta veće od izvornih verzija jer, logično, aplikacije se razvijaju. Znači, ako baš želimo osloboditi prostor od neželjenih aplikacija, trebamo brisati ažuriranja izvornih aplikacija na /data particiji, u spomenutim direktorijima, i na taj način dobit ćemo par stotina megabajta. Na narednoj ilustraciji to radimo za aplikaciju Drive, rabeći ugrađeni Application Manager. Nakon toga, će, naravno, uslijediti Force stop.


Budući da ništa ne radimo na /system particiji, ovim pristupom sigurno nećemo onesposobiti uređaj. Ako na /data particiji zabunom obrišemo neku aplikaciju, ili njene vitalne podatke, imat ćemo problem ali uz malo truda i snalažljivosti brzo ćema ga riješiti.

Idemo dalje s tim nesretnim brisanjem. Recimo da smo sredili /data particiju, i sada nam se baš hoće povećavati free space /system particije brisanjem izvornih aplikacija. Ok, rootali smo uređaj, opskrbili se Total Commanderom koji može brisati po /system particiji i vrijedno brišemo .apk i .odex datoteke... Koliko ćemo prostora dobiti, pokazuje nam jednostavna računica, samo da prvo bacimo pogled na sliku s aktivnim particijama Samsungovog GT-i9195.


Vidimo da je na System particiji ukupno podataka 1.45 GB. Direktorij /system/app zauzima 402 MB, /system/priv-app ima 362 MB, /system/container veličinom nije vrijedan spomena. Budući je Samsung na zlu glasu kao firma koja u svojim Android uređajima gomila nepotrebne aplikacije, velikodušno ćemo viškom proglasiti 1/3 sadržaja tih direktorija. Sada izbrišemo tu 1/3 čega-već-nepotrebnog; uređaj je i dalje operativan, nadajmo se. Dobili smo kojih 260 MB. Na r/o particiji. I što bismo sada s time!? Istina, možemo ovdje kopirati neki novi .apk pa ga instalirati, ali prethodno moramo remountati particiju kao r/w, postaviti odgovarajuća prava na .apk... ukratko, preporučljivo samo dokonima. Odlagati obične podatke na sistemsku particiju višestruko je besmisleno čak i da je prostor višestruko veći, mislim da se oko toga ne trebamo sporiti.

Kako vidimo, uklanjanje nepoželjnih izvornih aplikacija sa /system particije zbog dobitka na prostoru prilično je klimav argument. Ujedno je riskantno, naime, ako ovdje izbrišemo neki važan .apk, ili biblioteku funkcija i slično, možemo ozbiljno destablizirati sustav, počevši od onesposobljavanja OTA funkcionalnosti (jako česta posljedica brisanja aplikacija na /system particiji), a u pravilu nema načina da to riješimo bez flashanja originalnog ili custom ROM-a.
 
Brišemo po /system particiji kako bismo efikasno uklonili softver kojime se narušava naša privatnost? Naivno do bola! Niti proizvođač aktualnog ROM-a niti Google neće prave špijunske funkcije upakirati u lako uočljiv i uklonjiv .apk, .odex, .so i sl. formate; ugnijezditi će svoje agente u nekoliko softverskih modula različite namjene, pohraniti ih na „običnom smrtniku“ nedostupne lokacije. Prisjetimo se da svaki moderni Android uređaj ima barem 15-ak particija, a samo par njih je mountano. Pored svega, kako znamo da su po tom pitanju nevine razne aplikacije što smo ih svojevoljno instalirali, uključujući custom ROM—ove? Ako smo imalo dosljedni u zaštiti privatnosti metodom brisanja, moramo i njih ukloniti, heh!

U kontekstu zaštite privatnosti, slijedi par smjernica. Znači, ne brisati nego:
* Isključiti sve opcije za lociranje i odbijati ponude za prikupljanje podataka s obrazloženjima da se time unaprijeđuje sigurnost uređaja (pazite, ako izgubite uređaj, ili vam je otuđen, ovim postupkom ćete si odmoći).
* Instalirati samo uistinu potrebne aplikacije, i to one sa renomeom dobroćudnih u sigurnosnom smislu, nadalje, birati pouzdane repozitorije Android aplikacija.
* Instalirati barem jednu kvalitetniju antivirus / antimalware aplikaciju.
* Onemogućiti sve aplikacije koje ne rabimo, usnimiti ponašanje aktivnih (o tome malo niže).
* Aplikacije rabiti sukladno odavno obznanjenim uputama za zaštitu osobnog identiteta (često smo mi sami, a ne aplikacija, pravi krivac za otkrivanje naših osobnih podataka i navika).
* Strukovnim i građanskim inicijativama promicati pravo na privatnost u sferi ICT tehnologija – koliko god djelovala parolaški, ovo je najučinkovitija mjera jer samo zbog utjecaja tzv. javnog mnijenja i (nad)nacionalnih tijela kojima je to javno mnijenje (građanstvo) bitno, korporacije sve-po-malo reduciraju predinstalirane aplikacije i ugrađuju poneku funkcionalnost za njihovu „trijažu“.

Brišemo po /system particiji kako bismo rasteretili CPU, RAM, bateriju i podatkovnu konekciju od onih aplikacija koje ne možemo jednostavno zaustaviti? Niti u ovom scenariju brisanje nema rezona! Čak nam ne trebaju niti third-party aplikacije jer sam Android raspolaže Application, Connection i Battery kontrolama, samo se treba poslužiti njima. Banalan primjer sa KitKatom:  odemo u Settings > Data usage i ovdje možemo vidjeti koja aplikacija više radi u zaleđu (background) nego u prvom planu (foreground), štoviše, uključenjem opcije Restrict background data možemu tu aplikaciju spriječiti u trošenju naše podatkovne kvote. Postoje izvedbe KitKata sa opcijom koja onemogućuje pozadinsko brbljakanje svih aplikacija odjednom, vidi prvi ekran naredne slike.


U višim verzijama Androida još su izraženije mogućnosti kontrole aplikacija po svakom aspektu. Očekivano, Marshmallow je najdalje otišao po tom pitanju, npr. sposoban je onemogućiti sinkroniziranje aplikacije ako je ona u backgroundu, dulje vrijeme pasivnu aplikaciju zapisati će na swap particiju i ukloniti iz RAM-a... itd.

Rezimirajmo temu:
* Forsiranje brisanja nepotrebnih izvornih aplikacija sa /system particije nema nikakvog opravdanja.
* Ako nam je do brisanja, uklonit ćemo ažuriranja izvornih aplikacija i prateće podatke  sa /data particije, original na /system particiji treba onemogućiti (disable, freeze); ako nam disablirana aplikacija ikada zatreba, samo ju aktiviramo, sa izvornog repozitorija „popijemo“ ažuriranja i sve 5.
* Za disabliranje izvornih aplikacija možemo rabiti Androidov Application Manager, ako se možemo pomiriti s time da je taj alat nemoćan glede nekih aplikacija, ili alate poput Debloater, Package Disabler Pro, BloatKill, TrulyClean Script i slične im. Navedeni alati odradit će posao i na nerootanom uređaju. Za rootane uređaje ima anti-bloatware alata toliko da je teško odabrati, osobno preferiram ROM Toolbox Lite, sljedeći na popisu je Root App Deleter.
* Pripremiti se za eventualno flashanje originalnog ROM-a (ako nam nije do custom ROM-ova) jer i smrzavanjem nepoželjnih aplikacija na /system particiji možemo si na vrat navući velike nevolje. Pogledajte upozorenje Root App Deletera, na sličan način ograđuju se i autori drugih alata te namjene. S jedne strane, popularizira se stav da je brisanje izvornih aplikacija cool & macho dok se, s druge strane, svi ograđuju od posljedica čak i za disabliranje istih... :-\

Dobio sam poruku od korisnice: "Možeš li mi molim te otvoriti ovaj e-mail. Hitno mi je!"

Naravno, uvijek je hitno, a korisnici očekuju pomoć od sistemca svaki put kad dobiju nešto nepoznato. Iako je prava adresa za rješavanje ovog problema pošiljatelj poruke.

Poruka je imala prilog s nazivom winmail.dat. Uz pomoć Google pretraživača došao sam do poveznice:

http://kb.mozillazine.org/Winmail.dat_attachments

 
Naravno, radi se o Microsoftovom pametovanju - program Outlook ponekad šalje poruke u TNEF formatu (Transport Neutral Encapsulation Format). U većini klijenata elektroničke pošte taj format neće biti čitljiv i vidjet će se datoteka winmail.dat u prilogu. Korisnik je neće moći otvorit i eto problema. Naravno, krivac je pošiljatelj koji ima loše konfiguriran klijent elektroničke pošte, a mi se moramo gnjaviti s traženjem rješenja.

Kako pomoći pošiljatelju?  

To je najbolje rješenje - poslati pošiljatelju uputu da podesi svoj klijent. Da se izbjegnu ponovni problemi i kod nas i kod drugih primatelja.

 
Na ranije spomenutoj stranici postoji detaljna uputa, ali se i na drugim adresama mogu naći i sažetije upute.

 
U ovom slučaju naš korisnik treba sačekati pošiljatelja da obavi potrebna podešavanja i ponovno pošalje poruku s prilogom.

 
Naravno, postoje i rješenja koja omogućavaju korisnicma da obave konverziju winmail.dat datoteke. Idealna opcija su online rješenja koja ne zahtjevaju nikakve posebne instalacije na korisnikovom računalu.

 
Korisnici sam predložio da otvori web stranicu

http://www.winmaildat.com/

te jednostavno uploada winmail.dat datoteku  i klikne na Start. Nakon nekoliko sekundi otvara se stranica s koje se može preuzeti datoteka koja se nalazi u prilogu primljene poruke.

 
Korisnica je to uspješno napravila, a nadam se da je i pošiljatelju poruke poslala upute za podešavanje Outlooka.

Za razliku od ranijih vremena, danas nije preveliko iznenađenje čuti ili pročitati da Microsoft koketira s Linuxom i softverom otvorenog koda. No, ipak je zanimljivo pročitati da su objavili i svoju distribuciju Linuxa. Ono što nas još više raduje, bazirana je na Debianu.

Radi se o distribuciji koja je zapravo nadgradnja njihove mrežne platforme Azure Cloud Switch, još jedan projekt baziran na Linuxu objavljen prošle godine. ACS je mrežni OS koji se vrti na switchevima u Azure oblaku, a dio je projekta Open Compute Project. Sada je SONiC predviđen za uključenje u projekt OCP i ponuđen proizvođačima mrežnog hardvera i njihovim klijentima kako bi mogli svoje sustave izgraditi na generičkoj mrežnoj platformi i Microsoftovom softveru. Switchevi moraju podržavati SAI - Switch Abstraction Interface.

SONiC je inače kratica od Software for Open Networking in the Cloud, a čini se da Microsoft ne upotrebalja odrednicu "open" olako. Sve se više okreće softveru otvorenog koda i Linuxu, pa čak i svoje nudi za te platforme. Tako je nedavno objavljeno da će se MS SQL Server 2017. moći rabiti i na linuxovim poslužiteljima.

SONiC se može skinuti sa GitHuba na adresi: http://azure.github.io/SONiC/

Više pročitajte na:

http://www.theregister.co.uk/2016/03/09/microsoft_sonic_debian/

https://azure.microsoft.com/en-us/blog/ocp-2016-building-on-community-driven-innovation/