Danas je objavljena CARNetova inačica Linuxove distribucije Debian "jessie", numeričke oznake 8. Ova distribucija je namijenjena poslužiteljima koji rade unutar CARNetove mreže, iako je mogu rabiti svi koji to žele jer je javno dostupna na poslužiteljima CARNeta.

Glavna prednost uporabe CARNetove inačice Debiana je u tome što donosi postavke prilagođene CARNetovoj mreži, kako bi instalacija bila što jednostavnija za sistemca, a poslužitelj bio pušten u rad u što kraćem vremenu.

CARNetov Debian sačinjavaju dvije komponente: jedna komponenta su CARNetovi paketi, a druga je instalacijska procedura, "carnet-upgrade".

Pakete je moguće rabiti neovisno o drugim dijelovima paketne distribucije, pa poslužitelj može rabiti samo dio paketa iz CARNetove distribucije. Ukoliko želite instalirati sve pakete koje nudimo, to je najlakše napraviti preko paketa carnet-upgrade, ali i u tom slučaju možete izbaciti nepotrebne pakete i servise.

S paketom carnet-upgrade dolazi dokumentacija koja se nalazi u direktoriju /usr/share/doc/carnet-upgrade. Tu su upute i savjeti koji će vam pomoći da nadogradnja prođe što  jednostavnije i brže. Isti dokument u PDF formatu nalazi se na adresi:

http://sistemac.carnet.hr/system/files/carnet-upgrade.pdf (inačica 8.0)

Dobro proučite ovaj dokument prije zahvata na poslužitelju, pogotovo ako instalaciju radite prvi put. Također, preporučujemo da napravite potpuni backup podataka, a za radove odaberite termin koji će odgovarati vašim korisnicima.

Možete očekivati da će postupak trajati od dva do četiri sata, ovisno o brzini poslužitelja, brzini veze vaše ustanove, te broju servisa na poslužitelju.

Kako nije moguće predvidjeti sve probleme koji se mogu pojaviti prilikom instalacije, u slučaju potrebe podršku potražite u službi pomoći za sistem-inženjere (syshelp@carnet.hr).

Napomena: probleme u vezi sa sustavom AAI@EduHr rješava isključivo AAI@EduHr tim, koji je dostupan na adresi paketi@aaiedu.hr.

Nadamo se da će distribucija CARNet-jessie ispuniti vaša očekivanja.

E-mail je neizbježna sastavnica svakodnevne komunikacije. Navike njegova korištenja mjenjale su se od ranih devedesetih do danas. Najprije smo istu mail adresu koristili za službeno i privatno dopisivanje. S vremenom smo shvatili da je dobro odvajati privatne dopise od poslovnih. Kad su se pojavli komercijalni ISP-ovi, još smo bili navikli da je na Mreži sve "besplatno", nerado smo plaćali pristup Internetu od kuće, koristili smo CARNetove modemske ulaze. S vremenom smo shvatili da nam nije dovoljna jedna privatna mail adresa. Uvidjeli smo da nas profiliraju i zasipaju reklamama, to je cijena koju plaćamo za "besplatnu" uslugu, pa smo odlučili otvarati nove adrese za različite interese, da im pomrsimo račune. Danas nije rijetkost da ljudi imaju pet, šest i više mail adresa. Kad ih zamolite da vam "daju mail", najprije moraju razmisliti. Treba nas klasificirati, pa odlučiti koju će nam adresu dati.

Tako je nekako bilo i sa mnom. Prije nekoliko godina otvorio sam račun na Yahoo.com, Koristio sam ga namjenski, za neka svoja istraživanja iz područja nove ekonomije. Zadao sam kompliciran password i koncentrirao se na posao, ne razmišljajući više o "infrastrukturi". Mailove nisam čitao svaki dan, nije bilo potrebe. Korisnički račun kod domaćeg ISP-a koristio sam za plaćanje režija, davao ga komunalcima i bankarima. Gmail mi je služio za komunikaciju s kolegama iz IT struke. Itd, da ne nabrajam dalje.

Onda sam u medijima pročitao da je Yahoo u financijskim problemima. Kad sam si otvarao nove račune kod on-line tvrtki, sugerirali su mi otvoreno gmail, kao brži, pouzdaniji. Nisam na to obraćao pažnju. Jest da se znalo dogoditi da nakon otvaranja korisničkog računa moram nešto duže čekati da mi na Yahoo stigne poruka za potvrdu registracije. Nije me to smetalo. Onda mi je Yahoo počeo nuditi integraciju mojih mail računa, tako da sve mogu pratiti na jednom mjestu. Ignorirao sam to, jer bi time poništio razlog radi kojeg imam više mail adresa. Bila je i neka vijest o provali, gubitku korisničkih podataka, ali takvih je vijesti sijaset svakog dana. I onda se dogodilo nešto što me natjeralo da se zamislim. Na ekranu za logiranje pojavilo se upozorenje.

Dakle smatraju me potencijalno ugroženim korisnikom. To je trebalo provjeriti. Još jedan klik, i evo objašnjenja.

Yahoo me upozorava da je prije dvije godine ukraden "izvjestan broj koirsničkih podataka". Podaci kojih se napadač dočepao su: ime i prezime, datum rođenja, broj telefona, kriptirani password, te tajno pitanje i odgovor na njega. "Actor", izvršitelj, je po njihovim saznanjima netko tko radi za vladu!

Ljude koji provaljuju da bi se dočepali osobnih podataka, pa ih onda prodaju na crnom tržištu, mediji nazivaju hakerima, iako je to uvreda za hakere. Za mene je haker naprosto znalac, čovjek koji ne trpi da nešto ne zna i ne može, entuzijast. Ovi kradljivci podataka su obični kriminalci, koji imaju neka znanja i unovčuju ih, radeći na štetu građana i tvrtki radi osobnog probitka,

Međutim kriminalac koji je opljačkao Yahoo radi za vladu! Ne kaže se za koju. Da se radi o Kinezima ili Rusima, to bi bez problema istaknuli. Ti zločesti istočnjaci, oni ne poštuju ljudska prava! Dakle možemo pretpostaviti da se radi o vladi SAD. Prisjećamo se da američki zakoni donekle štite privatnost američkih građana, ali ne i nas iz ostatka svijeta. Dakle, ako nam je stalo do privatnosti, ne bi trebali otvarati mail račune u SAD, nego ovdje u EU, gdje smo bolje zaštićeni!

Ulogirao sam se na svoj Yahoo račun da malo pregledam postavke. Našao sam stavku "Nedavna aktivnost", a tu su bile navedene dvije sesije: moja trenutna, iz Zagreba, i još jedna iz Splita, koja traje već 5 sati! Bilo mi je ponuđeno da je jednim klikom prekinem. Pomislio da se možda spojio moj pametni telefon koji nema uključen GPS, ali na njemu nisam instalirao Yahoo aplikaciju jer je tražila previše dozvola, praktički pristup svim podacima na uređaju. Uz to je podatkovni promet na telefonu bio isključen. Počela me obuzimati paranoja.

Izdvojene informacije se polako povezuju u smislenu cjelinu. Ako se vladin provalnik dočepao podataka o milijunima korisnika, nije čudo da ljudi zatvaraju račune, nije čudo da je Yahoo u financijskim problemima. Ispada da je petljanje vlade u privatni biznis bilo pogubno za tu tvrtku. Pitamo se, može li Yahoo tužiti vladu SAD? To bi bilo nešto izuzetno! Naravno, trebalo bi prvo uhvatiti provalnika i dokazati za koga radi, a to nije lako. Nadalje, čak i da se to može dokazati, vjerojatno ne bi ni došlo do sudskog procesa, jer se radi o "nacionalnoj sigurnosti".

Vjerojatno se bar nekima do vas čini da u zaključcima idem predaleko. Država štiti građane od kriminalaca, zar ne, ona je naš saveznik! No moje filiozofsko obrazovanje tjera da me da mislim radikalno, a to samo znači da slijedim misao do korijena (lat. radix, korijen), odnosno da sve promislim do kraja, do uzroka. Ovdje su na djelu dvostruki standardi, dvostruki kriteriji. Reklo bi se da zakoni vrijede za građane, ali ne i za vlastodršce! Kad bi netko od nas građana provalio i ukrao osobne podatke, bio bi procesuiran. Ovako, "ujeo vuk magare". Stari su latini govorili: Quod licet Jovi, non licet bovi - što je dozvoljeno Jupiteru nije volu (tj. nije sve za svakoga). Jer, zaboga, vlast to radi za dobrobit nas, građana! Progutali smo da nas profiliraju i zasipaju reklamama pružatelji "besplatnih" usluga, a sad valjda trebamo prihvatiti i da vlade krše zakone koje same donose i da na ilegalan način prikupljaju informacije o nama? Osim toga, zar nije već svima jasno da u doba neoliberalizma vlast zapravo štiti bogate, a ne obične građane, "stoku sitnog zuba"?

Što mi je činiti? Promijeniti password. Možda i broj mobitela. A što s imenom i prezimenom? Datumom rođenja? Ili zatvoriti račun na Yahoo.com!

Sve u svemu, vrijeme je za novu fazu korištenja mail servisa i ostalih usluga na Internetu. Yahoo nudi povećanu zaštitu privatnosti za korisnike koji daju broj kreditne kartice i spremni su plaćati mjesečnu naknadu. No što ako im vladin "haker" ukrade i broj moje kreditne kartice? Problem sam riješio tako što sam našao drugu tvrtku, sa sjedištem u EU, koja nudi kriptiran mail servis, tako da su poruke spremljene na njihovom serveru kriptirane. Ako neki vladin agent dođe sa sudskim nalogom, dobit će kriptirane datoteke. Bit će ih skupo dekriptirati. Pa ako vole, nek izvole.

Ne radi se o tome da ja imam neke vrijedne podatke, važne za "nacionalnu sigurnost". Da je tako, rado bi ih ustupio vlastima. Radi se o tome da ja cijenim svoju privatnost. Tako bi se, po mom dubokom uvjerenju, svi mi građani trebali ponašati: naša je privatnost ugrožena novim tehnologijama, a ona nam je zadnja oaza mira u umreženom svijetu. Ne dam svoju privatnost, ni privatnim tvrtkama, ni vladinim agencijama!

Sad je jasno da ću za zaštitu privatnosti morati izdvojiti nekakvu mjesečnu naknadu. Nije problem. Privatnost i zaštita osobnih podataka bit će novo tržište koje će bujati narednih godina. Uostalom, zar me nije sam Yahoo lijepo naveo na takav način razmišljanja?

Kao i svake godine, na sys.portalu ćete moći naći detaljnije informacije o konferenciji CUC 2016, odnosno sistem-inženjerima zanimljivijem dijelu sys.treku.

Program konferencije: CUC2016

21.10.2016. - Predstavljamo predavanje i predavača: Alan Đurić: End to End encryption - new norm for the privacy conscious times

Često do Službe pomoći sistem-inženjerima dolaze pitanja kako instalirati CARNetovu distribuciju na "čisti" poslužitelj, dakle onaj na kojemu nije instalirana prethodna ili bilo koja druga inačica CARNetove distribucije Debiana. Neki imaju poslužitelj bez operativnog sustava, dok su drugi već instalirali Debian i sada bi željeli "CARNetiziranu" inačicu. U oba slučaja može vam pomoći ovaj članak.

U slučaju da na poslužitelju nema nikakvog operativnog sustava, trebat ćevam preslika originalnog Debianovog instalacijskog CD-a u ISO formatu (.iso). Dovoljno je skinuti najmanji CD (netinst.iso), a sve ostalo što vam treba možete instalirati mrežno putem APT-a.

Instalacijski CD možete skinuti s adrese http://mirror.carnet.hr/debian-cd/. Zadnja dostupna inačica, za 64-bitnu arhitekturu, trenutno je ova: http://mirror.carnet.hr/debian-cd/8.6.0/amd64/iso-cd/debian-8.6.0-amd64-netinst.iso. Link vrijedi dok ne izađe novija inačica. Tada jednostavno skinite zadnju dostupnu inačicu ISO datoteke za distribuciju Debian 8.

Provjerite da li su datoteci /etc/apt/sources.list navedeni CARNetovi repozitoriji. Ukoliko nemate, dodajte ih. Datoteka /etc/apt/sources.list izgleda ovako, a mora sadržavati repozitorij "carnet-debian" kako bi mogli doći do CARNetovih paketa:

# Paketi za Debian Jessie
deb http://ftp.hr.debian.org/debian jessie main contrib non-free

# Sigurnosne nadogradnje
deb http://security.debian.org/ jessie/updates main contrib non-free

# Bivsi repozitorij "volatile"
deb http://ftp.hr.debian.org/debian jessie-updates main contrib non-free

# Paketi za CARNet-Debian
deb http://ftp.carnet.hr/carnet-debian carnet-jessie main

# Paketi za sustav AAI@EduHr
deb http://ftp.srce.hr/srce-debian srce-jessie main

# Odkomentirajte ukoliko zelite pakete iz stabla Backports:
# https://sysportal.carnet.hr/node/52
#deb http://ftp.hr.debian.org/debian jessie-backports main

# Odkomentirajte ukoliko zelite instalirati pakete s izvornim kodom
#deb-src http://ftp.hr.debian.org/debian jessie main contrib non-free
#deb-src http://ftp.hr.debian.org/debian jessie-updates main contrib non-free
#deb-src http://security.debian.org/ jessie/updates main contrib non-free
#deb-src http://ftp.carnet.hr/carnet-debian carnet-jessie main non-free
#deb-src http://ftp.srce.hr/srce-debian srce-jessie main
#deb-src http://ftp.hr.debian.org/debian jessie-backports main

Nakon osnovnog podešavanja poslužitelja (IP adresa, naziv i slično), trebate skinuti jednostavnu instalacijsku skriptu s adrese ftp://ftp.carnet.hr/carnet-debian/dists/carnet-jessie/carnet-jessie.sh i pokrenuti je kao korisnik root. Skripta će sama povući i instalirati neke CARNetove pakete, koji će vam olakšati instalaciju. Na ovaj ćete način dobiti standardni poslužitelj s distribucijom CARNet-Jessie i paketima koje ste odabrali.

Imajte na umu da CARNetovi paketi podrazumijevaju da ćete ih instalirati  na glavni poslužitelj ustanove i tako se podešavaju. Primjerice, podrazumijeva se da taj poslužitelj prima poštu za cijelu vašu domenu. Zbog toga će neke pakete trebati naknadno podesiti naredbom "dpkg-reconfigure paket", a možda i ručno u konfiguracijskoj datoteci paketa. Neke možete obrisati ili ih jednostavno nemojte instalirati (primjerice, ne treba vam vsftpd ili proftpd ako uopće nećete rabiti zastarjeli protokol FTP).

S druge strane, ako samo želite instalirati dodatni web-poslužitelj (ili poslužitelj sa samo jednim servisom), razmislite jesu li vam CARNet paketi uopće potrebni. Jednostavnije je brinuti o manje paketa i ne brinuti što sve mijenjaju CARNetovi paketi na poslužitelju.

Ukoliko želite sustav koji je identičan nekom drugom poslužitelju (primjerice, hardver starog poslužitelja je postao preslab i selite sav njegov softver na novi poslužitelj), skinite popis paketa i njihovu debconf konfiguraciju starog poslužitelja:

# dpkg --get-selections > paketi.txt
# apt-get install debconf-utils
# debconf-get-selections > debconf-selections.txt

U datoteci paketi.txt bit će svi paketi s njihovim statusom (instaliran/nije instaliran), a u datoteci debconf-selection.txt njihova konfiguracija, onako kako ste odgovarali na pitanja prilikom instalacije). Datoteke jednostavno prebacite na novi poslužitelj (primjerice scp-om) te napravite:

# dpkg --set-selections < paketi.txt
# apt-get install dselect
# dselect update
# apt-get dselect-upgrade
# debconf-set-selections < /tmp/debconf-selections.txt
# dpkg-reconfigure --all

VAŽNO: Parametar "-all" naredbe dpkg-configure više nije dostupan u Jessie, pa se moramo poslužiti malom skriptom:

# for i in $(dpkg --get-selections | grep "install" | cut -f1) ; do dpkg-reconfigure $i ; done

Ova će procedura potrajati, ali će konfigurirati novi poslužitelj po vašim prethodnim odgovorima i "klonirati" instalaciju sa starog poslužitelja.

Ukoliko slijedite gornje upute, dobit ćete distribuciju "CARNet-Jessie" na poslužitelju na kojem ranije nije bila instalirana CARNetova inačica operativnog sustava Debian.

Kao prvo u nizu predavanja na sys.treku CUC 2016 predstavljamo predavača Alana Đurića i njegovu predavanje na temu end-to-end enkripcije.

S​ ​porastom​ fenomena ​Internet of Things,​ ​sigurna​ ​komunikacija​ ​je​ ​postala​ ​prioritet,​ ​pogotovo​ ​kada​ ​su​ ​u​ ​pitanju pejsmejkeri​ ​i​ ​auti.​ ​Istovremeno​ ​smo​ ​svjedoci​ ​sve​ ​dubljeg​ ​prodora​ ​nekih​ ​velikih​ ​Internet korporacija​ ​u​ ​našu​ ​privatnost.​ ​End​ ​to​ ​end​ ​enkripcija​ ​se​ ​pojavljuje​ ​kao​ ​nova​ ​norma​ ​koja​ ​će komunikaciju​ ​učiniti​ ​sigurnom​, ali​ ​i​ ​osigurati​ ​korisnikovu​ ​privatnost​ ​u​ ​narednim​ ​godinama. Predavanje​ ​opisuje​ ​neke​ ​od​ ​kritičnih​ ​aspekata​ ​izrade​ ​aplikacija​ ​koje​ ​koriste​ ​End​ ​to​ ​end enkripciju​ ​kod​ ​isporuke​ ​velikih​ ​razmjera​ ​prema​ ​desecima​ ​milijuna​ ​korisnika.​ ​Nadalje,​ ​proučava utjecaj​ ​na​ ​End​ ​to​ ​end​ ​enkripciju​ ​prema​ ​postojećim​ ​cloud​ ​tehnologijama.

Autor je suosnivač i glavni tehnički direktor tvrtke Wire Swiss GmbH, poznate po aplikaciji Wire koja je komunikacijski alat poput nove generacije Skype-a. Gospodin Đurić je serijski poduzetnik, te također suosnivač Telia, kao i Sonorita (kasnije kupljenog od strane Skypea) gdje je bio predsjednik upravnog odbora. Jedan je od pionira VoIP-a s preko dvadeset godina iskustva i aktivnog doprinosa na tom području kako kroz razvoj tako i kroz rad na brojnim internetskim (IETF, ETSI and ITU) standardima kao koautor ili suradnik. Također je član savjetodavnih odbora nekolicine startupova na području komunikacija i razvoja aplikacija.

Alat Disk Cleanup (cleanmgr.exe) s nama je u svim verzijama Windows desktopa, od djedice XP-a do mlađahne Desetke. Alat jako dobro kotira kod admina i naprednih korisnika radnih stanica i to opravdano, jer nakon par klikova, ili brzim upisom nekoliko parametara kad se pokreće iz komandne linije, briše stotine megabajta „smeća“, tj. nepotrebnih podataka raštrkanih po direktorijima na sistemskim ili podatkovnim particijama računala. Prilažemo ilustraciju pa će i slabije upućeni ekspresno shvatiti o čemu pričamo.

S jedne strane, čovjek se brzo navikne na dobro i korisno; s druge strane, na razini grafičkog sučelja i načina rada zanemarive su razlike između desktop i serverskih inačica „windoza“... utoliko, admini nekako podrazumijevaju da će se sa Disk Cleanupom bez problema moći okoristiti i na Windows serverima. Ali jao!, out-of-the-box instalacije Windows servera nemaju taj alat pa njegovo pozivanje naredbom cleanmgr završi porukom o grešci. Slijedi čuđenje, istraživanje o čemu se tu radi, potom i prolijevanje žuči na račun Redmondovaca nakon spoznaje da se Disk Cleanupa na Windows serverima možemo dočepati samo instalacijom značajke Desktop Expirience. A tom se značajkom neizbježno aktivira tucet funkcionalnosti koje na serverima u pravilu nemaju što tražiti - spomenimo samo Ink and Handwriting Services, Media Foundation sa Sound Recorderom i Media Playerom... Neprimjereno je i sa sigurnosnog i sa performansnog stajališta sav taj programski kod natovariti na server zbog jednog jedinog sistemskog alatića.

I ja sam svojevremeno bio među onima koji su ružili Microsoft zbog toga što Disk Cleanup nije uključio u defaultnu instalaciju serverskih windoza, recimo, barem komandnolinijsku verziju. No, kad sam iz znatiželje instalirao Desktop Expirience i pozabavio se mogućnostima tog alata na serveru, shvatio sam da nije baš upotrebljiv. Razlog je jednostavan  - nije prilagođen specifičnostima serverske platforme, samo je prenesen sa desktop edicije windoza. Njime, recimo, ne možemo brisati System Restore zaštitne kopije sustava, jer tu značajku serveri nemaju. Oni imaju System State koji se uzima Windows Backupom, a takve kopije Disk Cleanup ne registrira. Također su mu nepristupačne kopije servisa Shadow Copies, dojma sam da postoje neke međuzavisnosti zbog kojih je na serverima Disk Cleanupu onemogućeno uredovanje  po tom pitanju.

Na Windows serveru Disk Cleanup ima manji značaj i zbog zbirki pravila poznatih kao Best Practices za administriranje servera. Recimo, pregledavanje Web sadržaja sa servera smatra se lakomislenim postupkom, utoliko, admini koji poštuju pravila profesije neće niti imati što brisati iz mapa Downloaded Program Files, Temporary Internet Files i Offline Wepages. Pražnjenje Recycle Bin? Ako „kantu“ ne želimo u cijelosti isključiti, možemo joj reducirati zapreminu te, za admine profesionalce ovo što slijedi ne bi smjelo predstavljati problem – izbrisati programatski, uporabom neke skripte. U koju odmah možemo upisati i naredbu za rekurzivno brisanje privremenih i kojih god nam drago datoteka. Treba prihvatiti da se od IT profesionalca očekuje bolje poznavanje materije i veći angažman nego od korisnika radne stanice, a Disk Cleanup je stvoren za ove druge.

Kako vidimo, postoje dobri razlozi zbog kojih forsiranje Disk Cleanup alata na serverima i špotanje Microsofta – a na forumima naći ćemo toga puno i previše – nema opravdanja. Na Internetu čak možemo naći „stand-alone“ verzije cleanmgr.exe koje, kao, rade na serverima bez Desktop Expirience, ali to je varka. Cleanmgr.exe u toj formi naizgled radi, no preskače nekoliko stavaka koje originalna inačica iz Desktop Expirience obrađuje.

Na kraju par riječi o skriptama za uklanjanje nepotrebnih podataka s diskova Windows servera. I CMD (batch) i PowerShell skripte u cijelosti će odraditi posao. Ne moramo ih čak nit' pisati iz početka, ima ih na Internetu pa samo trebamo odabrati i eventualno prilagoditi svojim potrebama. Evo jedne novijeg datuma: https://gallery.technet.microsoft.com/scriptcenter/Clean-up-your-C-Drive-bc7bb3ed.

Tema okruglog stola "Žene u ICT-ju kroz iskustvo i primjer" možda je pomalo neuobičajena za sys.trek. Ipak, vjerujemo da će upravo zato biti zanimljiva svima vama. Procjenjuje se da od 7 milijuna zaposlenih u ICT sektoru 30% čine žene. Ako pogledamo u užim okvirima, od imenovanih CARNet sistem inženjera u ustanovama članicama CARNeta, postotak sistemki iznosi manje od 10%.

Želja nam je prodiskutirati s našim gostima iz akademskog i komercijalnog svijeta, ali i svima vama, kako taj broj učiniti većim i općenito dati pogled na broj zaposlenih inženjerki u odnosu na broj educiranih žena u tom području. Osim toga, dotaknut ćemo se i odnosa i komunikacije između tehničara i "društvenjaka" koji su nadasve zanimljivi.
                                                                                                                                                             
Iako bi se možda dalo naslutiti da su gosti okruglog stola samo dame, to ipak nije tako. Naši gosti su: prof. Vedran Mornar s Fakulteta elektrotehnike i računarstva u Zagrebu, gđa Vedrana Miholić iz tvrtke CROZ, gđa Ana Perkov iz tvrtke SedamIT te iz CARNeta gđa Barbara Kolarek, pomoćnica ravnatelja za podršku korisnicima i Emil Marmelić, inženjer računalnih sustava. Moderatorica okruglog stola je Vanja Librić Radojević.                                     
                                                                                                                                                             
Pozivamo vas da svojim komentarima, pitanjima, anegdotama i pričama iz života doprinesete dinamičnosti i zanimljivosti ove teme, a sigurni smo da svatko od vas ima neku "situaciju" sa školovanja ili radnog mjesta na predmetnu temu.

Trend imenovanja događaja i vremenskih pojava proširio se i na svijet informatičke sigurnosti, pa osim tropskih oluja, ciklona i inih pošasti, imena dodjeljujemo i sigurnosnim propustima.

Nije to novost u svijetu računala: razvojne verzije operacijskih sustava imaju svoja kodna imena, pa čak i Linux kerneli imaju svoje šašave nazive; zašto onda i sigurnosni propusti ne bi dobili simpatično ime, pa da ih tako možda lakše prebolimo?

Dirty Cow je zapravo poprilično dosadan sigurnosni problem... tehnički nimalo spektakularan, reći ćemo klasičan primjer eskalacije privilegija lokalnog korisnika. Svojim dosadnim tehničkim nazivom CVE-2016-5195  i činjenicom da se radi o relativno jednostavnom "race condition"  propustu koji omogućuje korisničkom procesu pisanje po segmentu memorije koji bi u normalnim prilikama trebao biti otvoren samo za čitanje. Propust je otkriven u copy-on-write operaciji čija implementacija u Linux kernelu dozvoljava korisničkoj aplikaciji da forsiranjem  sistemskog poziva madvise()  u spretnom slučaju dobiju željeni komad memorije sa read-write pristupom, što otvara mogućnost zapisivanja podataka u tuđi mapirani kod: proces može mijenjati datoteku koja pripada rootu ili nekom drugom privilegiranom)korisniku i zatim to iskoristiti da svom korisniku da veće privilegije od onih koje pripadaju napadnutom procesu.

No, postoje neke sitnice koje ovaj sigurnosni propust čine zbilja zanimljivim i opravdavaju davanje posebnog imena, nadimka uz klasičnu CVE notifikaciju.

Ovaj je sigurnosni propust poznat Linux developerima već jedanaest godina. Problem je uočen još 2005. godine kad je i ispravljen, no zbog ozbiljnog problema kojeg je propust izazvao na s390 računalima od zakrpe se odustalo, računajući tada da je potencijalni race condition više teorijske naravi nego što je praktičo izvediv.

Jedanaest godina je mnogo vremena, u što smo se imali prilike uvjeriti nedavnim odustajanjem od cijelog niza enkripcijskih algoritama, koji su u tom razdoblju prešli put od teoretski ranjivih do posve praktično provaljivih. Tako su i na ovaj propust vjerojatno i  developeri zaboravili, dok se nedavno  nisu pojavile demonstracije koda koji iskorištava tu ranjivost zloupotrebljavajući /proc/self/mem (reprezentacija memorije pokrenutog procesa kao datoteke) i PROC_POKEDATA ptrace zahtjev, a navodno je iskorištavanje
propusta primjećeno i "u divljini".

Rješenje problema, srećom, posve je jednostavno: instalirajte novi kernel koji ima odgovarajuću zakrpu. Red Hat je izdao i zasebno privremeno rješenje za korisnike njihovih distribucija koji nisu u mogućnosti promjeniti kernel na računalima u pogonu: ova zakrpa isključuje ptrace, pa niti normalni programi poput debuggera ili antivirusa kojima je ptrace nužno potreban za ispravan rad neće funkcionirati, pa tako sprečava izvršavanje napada koji su uočeni "u divljini". No to je samo privremeno rješenje: pravo rješenje je osvježenje kernela na verziju u kojoj je ovaj propust ispravljen.

Najveći utjecaj ovaj bi propust, pak, mogao imati na manje očekivanom mjestu: među korisnicima Android uređaja!!

Trenutno su baš svi Android uređaji osjetljivi na ovaj sigurnosni propust - i to je, rekao bih, daleko, daleko veći problem od PC računala: računala ćemo lako i brzo osigurati, dapače ažurni administratori vjerojatno već jesu preuzeli novi kernel i instalirali ga na svoja računala, no mobilne telefone, tablete, IoT i druge uređaje puno je teže osigurati zbog jednostavne činjenice da su korisnici osuđeni na update kojeg trebaju izdati proizvođači uređaja, a koliko često oni to (ne) čine već je postala notorna činjenica.
 
S jedne je strane to zastrašujuća pomisao: ogroman broj Android računala ostat će ranjiv na ovaj neugodan i ne pretjerano kompliciran napad koji malicioznom softveru otvara mogućnost infekcije, pri čemu je jedina stvar koja računalo štiti od provale svijest korisnika. Da bi se propust iskoristio, naime, potrebno je instalirati i sa lokalnog medija pokrenuti aplikaciju. To znači da "običnim surfanjem" vjerojatno nećete pokupiti malware, ali dovoljno je samo na trenutak zavarati korisnika i nagovoriti ga da preuzme i instalira malicioznu aplikaciju (koja čak može biti i sa Google Play-a jer nema jednostavnog načina da antivirusni algoritmi u ovom slučaju otkriju maliciozne namjere unutar koda aplikacije), da bi računalo postalo širom otvoreno potencijalnom napadaču.

Zaštita na Android računalima tako se svodi samo na poruku korisniku: "Pamet u glavu!". Poruka sistemašima u BYOD radnim okruženjima: "Sretno!"

No, s druge je strane ovaj propust pravi blagoslov za napredne korisnike Android uređaja koji žele puni pristup uređaju: tzv. "rootanje". Do sad je to bilo ograničeno specifičnim implementacijama softvera različitih proizvođača, a u osnovi se svodilo na traženje specifičnih propusta u OS-u pojedinih proizvođača i određenih modela telefona. Sada smo dobili niverzalni sigurnosni propust koji bi u teoriji trebao biti izvediv na svakom Android uređaju, pa bi sve takve uređaje sad bilo moguće "otključati". To, naravno, ne umanjuje opasnost od malicioznog preuzimanja uređaja od strane aplikacije za "rootanje, ali će ipak razveseliti zajednicu ljudi koji vole hackirati Android uređaje ili jednostavno imati nad njima potpunu kontrolu.

Ne, apt-get nije zapravo mrtav i sasvim sigurno neće biti mrtav još dugo vremena. No, što je "apt"?  Za razliku od apt-get-a, apt je na nešto višoj razini i namijenjen je interaktivnom radu. On i dalje radi isključivo u komandnoj liniji (nije kao aptitude), ali je nešto praktičniji i jednostavniji za korištenje. Zato smo ga odlučili isprobati.

Prvo smo morali pogledati koja je razlika između APT-a, apt-get-a i "apt"-a. APT, što znači Advanced Packaging Tool, označava sučelje za dpkg, ali i programsku biblioteku za druge alate, dok je apt-get jedan od komandnolinijskih alata za rad s paketima. U paketu "apt" za Debian Jessie sad nam dolazi naredba "apt", nešto jednostavniji alat za rad s paketima.

Apt ujedinjuje funkcije alata apt-get i apt-cache i donosi estetska poboljšanja, poput prikaza napredovanja instalacije (progress meter). Zato je praktičan za interaktivnu upotrebu, a nije praktičan za skripte i programske primjene. Zauzvrat, primjena mu je jednostavnija i nema toliko opcija koje treba pamtiti.

Način upotrebe je vrlo sličan:

apt update

je isto što i

apt-get update

Na pravi pogled, jedina je razlika to što ne moramo kucati toliko znakova. No, razlika ipak ima.

apt update ⇨ apt-get update, ali u boji

apt upgrade ⇨ apt-get dist-upgrade --with-new-pkgs

Ovdje situacija nije ista, jer "upgrade" ovdje znači "dist-upgrade" i još uz dodatak "--with-new-pkgs". Ova opcija znači da će operacija nadogradnje nadograditi sve pakete i bez dodatnih pitanja instalirati dodatne pakete ako neki stari donose ovisnosti o drugim paketima. Zgodno.

apt full-upgrade ⇨ apt-get dist-upgrade

Podsjetimo se, "dist-upgrade" služi za nadogradnju servera, a može obrisati pakete ako treba riješiti kakav konflikt. "Full-upgrade" je samo preciznije ime za to.

apt edit-sources ⇨ nova opcija

Opcija "edit-sources" otvara editor i obavlja neke rudimentarne provjere datoteke /etc/apt/sources.list. Nakon uređivanja napravite "apt update" kako bi novi repozitoriji bili aktivni.

apt remove ⇨ apt-get remove
apt install ⇨ apt-get install

Ove opcije obavljaju iste funkcije kao i apt-get s istim opcijama, samo u oku ugodnijem okružju - bojama i mjeraču napredovanja.

apt search ⇨ apt-cache search

Prva opcija koja je ekvivalent opciji naredbe apt-cache. Apt search ispisuje sve pakete dostupne za vašu arhitekturu. Ukoliko navedete i ime paketa (može i wildcard *), dobit ćete informacije samo o tom paketu:

# apt list apache2*
Listing... Done
apache2/stable,now 2.4.10-10+deb8u7 i386 [installed]
apache2-bin/stable,now 2.4.10-10+deb8u7 i386 [installed]
apache2-cn/testing,now 2.4.10+2 all [installed]
apache2-data/stable,now 2.4.10-10+deb8u7 all [installed]
apache2-dbg/stable 2.4.10-10+deb8u7 i386
apache2-dev/stable 2.4.10-10+deb8u7 i386
apache2-doc/stable 2.4.10-10+deb8u7 all 
apache2-mpm-event/stable 2.4.10-10+deb8u7 i386
apache2-mpm-itk/stable 2.4.10-10+deb8u7 i386  
apache2-mpm-prefork/stable,now 2.4.10-10+deb8u7 i386 [installed]
apache2-mpm-worker/stable 2.4.10-10+deb8u7 i386
apache2-suexec/stable 2.4.10-10+deb8u7 i386
apache2-suexec-custom/stable 2.4.10-10+deb8u7 i386
apache2-suexec-pristine/stable,now 2.4.10-10+deb8u7 i386 [installed,automatic]
apache2-utils/stable,now 2.4.10-10+deb8u7 i386 [installed]
apache2.2-bin/stable,now 2.4.10-10+deb8u7 i386 [installed]
apache2.2-common/stable,now 2.4.10-10+deb8u7 i386 [installed]

Ovoj opciju možete dodati još i parametre "--installed" (ispisat će sve instalirane pakete koje odgovaraju wildcardu), "--all-versions" (ispisat će sve dobavljive pakete, ne samo instalirane) i "--upgradable" (ispisat će sve pakete koji se mogu nadograditi).

# apt --upgradable list apache2*
Listing... Done
#

U ovom slučaju, nema paketa iz obitelji apache2* za nadogradnju.

apt show ⇨ apt-cache show

Apt show prikazuje informacije slične "apt-cache show" (ne prikazuje manje zanimljive informacije, poput hasheva) i "dpkg -s" (ne prikazuje polje Conffiles).  I apt show i "apt-cache show" prikazuju informacije o paketima koji nisu instalirani, dok "dpkg -s" prikazuje samo informacije o paketima koji su već na sustavu.

Dakle, zaključak je da naredba apt ima nekih svojih prednosti, pa nije zgorega imati još jedan alat u svom sistemaškom arsenalu.

Sistemac je još jednom u prilici da pomogne korisniku u nevolji. Na stolu mu je moderan, super tanak notebook, lagan, "damski". Kupljen prije godinu dana, s dvogodišnjom garancijom (nećemo spominjati ime proizvođača - Nomina sunt odiosa!). Notebook je isporučen s Windowsima 8, ali korisnik kaže da mu se Desetka "sama instalirala", radila do nedavno, a sad se odjednom ne želi više pokrenuti.

Nakon uključivanja na ekranu je obavijest o grešci 0x000021a. Slijedi reboot u recovery način rada. MSDN ima stranicu o toj grešci, Bug Check 0xC000021A: STATUS_SYSTEM_PROCESS_TERMINATED, dostupnu ovdje https://msdn.microsoft.com/en-us/library/windows/hardware/ff560177(v=vs.85).aspx. Tu se spominje nekoliko mogućih uzroka:

• oštećen/kompromitiran user-mode subsystem, na primjer WinLogon ili Client Server Run-Time Subsystem (CSRSS). OS se prebacuje u kernel mode.

• Nepodudarne sistemske datoteke, što se obično događa nakon restorea s pričuvne kopije. Programi za backup ponekad ne naprave kopiju sistemskih datoteka ako ih tog časa neki program drži otvorenima/zaključanima.
• Kao najvjerojatniji potencijalni krivac navode se loše napisane aplikacije treće strane i virusi. Dakle, nije kriv MS, nego netko treći. :)

Pokušavamo od korisnika saznati što više informacija, ali on samo sliježe ramenima. Sjeća se da je nakon kupovine računala napravio particiju na koju je instalirao Linux, ali se Linux nije htio pokrenuti, pa je iz Windowsa preformatirao tu particiju u NTFS i koristio je za podatke. Ne sjeća se da je u zadnje vrijeme instalirao neki novi program "treće strane".

Windowsi 10 nude brojne načine oporavka. Sve smo ih isprobali, uključujući restore sa skrivene particije, dakle vraćanje na stanje koje je bilo kad je računalo kupljeno. Nude se dva načina, s gubitkom korisničkih podataka, ili s njihovim očuvanjem. Korisnik se prisjetio da je i sam probao oba načina prije nego je zatražio pomoć, ni jedan nije uspio. Te su procedure dobro objašnjene na brojnim siteovima, pa se neću njima baviti.

Korisnik bi svakako želio sačuvati podatke. Godinu dana marljivog rada nije za bacanje. Nema backup, naravno. Što drugo preostaje nego dići neku rescue distribuciju Linuxa s USB sticka ili CD-a. U BIOS-u smo podesili boot poredak, USB stick/CD na prvom mjestu. Ubacimo stick s Linuxom - uzalud. Umjesto sticka priključimo vanjski USB DVD - isto. Uključivanje u druge USB portove ne pomaže. Kad spojimo stick ili USB CD na neko drugo računalo, Linux se normalno pokreće. Vjerojatno bi trebalo omogućiti boot sa non-efi uređaja, možda još isključiti Safe boot, jer Linux nema Microsoftov certifikat. No sistemca kopka kako ultra tanki, "damski" notebook izgleda iznutra! U napadu radoznalosti odlučuje otvoriti kućište, izvaditi HD, staviti ga u USB dock i spasiti podatke.

Otvaranje notebooka pretvorilo se u noćnu moru. Kao prvo, sistemac stare škole očekuje s donje strane kućišta poklopac koji prekriva tvdi disk, da se zamjena može obaviti bez otvaranja kućišta. Nekad su prijenosnici imali poklopce za RAM i za tvrdi disk. Ništa od toga na ovoj "modernoj" igrački. S donje strane su samo križni vijci, minijaturni, za koje trebaju urarski odvijači. Nakon pažljivog odvrtanja i vađenja vijaka sistemac uviđa da su svi različite dužine. Ako se pri sastavljanu računala u neki utor uvrne predugačak vijak, može se oštetiti matična ploča. Zato izvađen vijak odmah selotejpom pričvršćuje uz njegovo mjesto. Kad su svi vijci izvađeni kućište se ne da otvoriti! Na rubovima su plastične kuke, a njihovo razdvajanje je pipav posao jer je lako potrgati kuke od mekane plastike.

U ljutnji, sistemac donosi zaključak: notebook nije rađen za servisiranje, nego za bacanje. Dok radi, radi, kad se pokvari, baci ga i kupi novi. Kad je kućište nakon sat vremena otvoreno bez lomova, slijede nova iznenađenja. Tvrdi disk nije pričvršćen vijcima, nego ljepilom! Nakon pažljivog odijepljvanja, u rukama je tanka, krhka igračka, tanja od standardnog 2,5 inčnog diska. Sistemac se suzdržava od kihanja, da ne uništi podatke!

Stavljanje diska u USB dock ne polučuje rezultat. Toliko je tanak da je trebalo s obje strane utora ugurati smotane antistatičke vrećice da drže disk u okomitom položaju. Nakon nekoliko pokušaja, konktakt je uspostavljen, Linux na sistemčevom notebooku prepoznao je i montirao disk. Iz mape Users spašavamo korisničke podatke.

Prije nego se pokuša popravak, bilo bi poželjno napraviti bitcopy cijelog diska, da se u slučaju neuspjeha može vratiti početno stanje. Pozivamo u pomoć ddrescue, proširenu naredbu dd. Originalni dd preskočio bi dijelove diska koje ne može pročitati, pa se više ne bi slagali offseti.

$ sudo ddrescue /dev/sdc disk.img
GNU ddrescue 1.19
Press Ctrl-C to interrupt
rescued:   500107 MB,  errsize:       0 B,  current rate:   20470 kB/s
   ipos:   500107 MB,   errors:       0,    average rate:   43228 kB/s
   opos:   500107 MB, run time:    3.21 h,  successful read:       0 s ago
Finished
                               
Hajdemo sad pogledati što se dogodilo s diskom. Umjesto zastarjelog fdiska, koristimo gdisk.


$ sudo gdisk /dev/sdc
[sudo] lozinka: 
GPT fdisk (gdisk) version 1.0.1

Warning! Disk size is smaller than the main header indicates! Loading
secondary header from the last sector of the disk! You should use 'v' to
verify disk integrity, and perhaps options on the experts' menu to repair
the disk.
Caution: invalid backup GPT header, but valid main header; regenerating
backup header from main header.

Warning! Error 0 reading partition table for CRC check!
Warning! One or more CRCs don't match. You should repair the disk!

Partition table scan:
  MBR: protective
  BSD: not present
  APM: not present
  GPT: damaged

****************************************************************************
Caution: Found protective or hybrid MBR and corrupt GPT. Using GPT, but disk
verification and recovery are STRONGLY recommended.
****************************************************************************

Sad je jasnije što se dogodilo. Na disku su GPT particije, a glavna tablica i njezina kopija na kraju diska nisu sinkronizirane. U tablicama su spremljeni CRC kontrolni kodovi, koji ukazuju da je sadržaj tablice mijenjan, nakon čega nije generiran novi CRC kod. Je li to neki virus petljao po podacima? Ili loše napisana aplikacija? Ili Windows restore? Ne znamo.

Pogledajmo particije:

Command (? for help): p
Disk /dev/sdc: 976773165 sectors, 465.8 GiB
Logical sector size: 512 bytes
Disk identifier (GUID): 9C27FD54-ADD5-4B9F-BEE4-289BBD29F584
Partition table holds up to 128 entries
First usable sector is 34, last usable sector is 976773134
Partitions will be aligned on 2048-sector boundaries
Total free space is 4077 sectors (2.0 MiB)

Number  Start (sector)    End (sector)  Size       Code  Name
   1            2048         1230847   600.0 MiB   2700  Basic data partition
   2         1230848         1845247   300.0 MiB   EF00  EFI system partition
   3         1845248         2107391   128.0 MiB   0C01  Microsoft reserved ...
   4         2107392       533413887   253.3 GiB   0700  Basic data partition
   5       533413888       934780927   191.4 GiB   0700  Basic data partition
   6       934782976       943013887   3.9 GiB     8200  
   7       943013888       976773119   16.1 GiB    2700  Basic data partition

Korisniku su na raspolaganju dvije particije, jedna od 253 GiB, s Windowsima, druga od 191 GiB, na kojoj je nekada bio instaliran Linux. Na kraju liste je "izgubljen" prostor od 3.9 GiB, vjerojatno je instalacija Linuxa napravila swap particiju, te mala particija od 16.1 GiB, pretpostavljamo da je na njoj recovery.

Sad možemo prekontrolirati stanje diska.

gdisk ima naredbu za verifikaciju, pritisnemo tipku v.

Command (? for help): v

Caution: The CRC for the backup partition table is invalid. This table may
be corrupt. This program will automatically create a new backup partition
table when you save your partitions.

Problem: The secondary header's self-pointer indicates that it doesn't reside
at the end of the disk. If you've added a disk to a RAID array, use the 'e'
option on the experts' menu to adjust the secondary header's and partition
table's locations.

Problem: Disk is too small to hold all the data!
(Disk size is 976773165 sectors, needs to be 976773168 sectors.)
The 'e' option on the experts' menu may fix this problem.

Partition(s) in the protective MBR are too big for the disk! Creating a
fresh protective or hybrid MBR is recommended.

Identified 4 problems!

Dakle gdisk je dijagnosticirao četiri problema i sugerirao kako ih popraviti. Idemo u ekspertni način rada:

Command (? for help):x
 
Expert command (? for help): ?
a    set attributes
c    change partition GUID
d    display the sector alignment value
e    relocate backup data structures to the end of the disk
g    change disk GUID
h    recompute CHS values in protective/hybrid MBR
i    show detailed information on a partition
l    set the sector alignment value
m    return to main menu
n    create a new protective MBR
o    print protective MBR data
p    print the partition table
q    quit without saving changes
r    recovery and transformation options (experts only)
s    resize partition table
t    transpose two partition table entries
u    replicate partition table on new device
v    verify disk
w    write table to disk and exit
z    zap (destroy) GPT data structures and exit
?    print this menu

Tablicu particija ćemo kopirati na kraj diska, jer nam je gdisk javio da je rezervna tablica oštećena i na pogrešnom mjestu.

Expert command (? for help): e
Relocating backup data structures to the end of the disk

Pokušajmo još ponovo izračunati CHS vrijednosti (Cilinder, Head, Sector), jer gdisk kaže da veličina diska ne odgovara zapisanim podacima.

Expert command (? for help): h

Nakon ovih zahvata, mogli bi ponoviti verifikaciju.

Expert command (? for help): v

Caution: The CRC for the backup partition table is invalid. This table may
be corrupt. This program will automatically create a new backup partition
table when you save your partitions.

Identified 1 problems!

Dakle tri problema su riješena, ostao je pogrešan CRC. Hajdemo zapisati izmjene na disk, očekujući da ćemo time riješiti pogrešan CRC.

Expert command (? for help): w

Final checks complete. About to write GPT data. THIS WILL OVERWRITE EXISTING
PARTITIONS!!

Do you want to proceed? (Y/N): y
OK; writing new GUID partition table (GPT) to /dev/sdc.
Warning: The kernel is still using the old partition table.
The new table will be used at the next reboot or after you
run partprobe(8) or kpartx(8)
The operation has completed successfully.

Za svaki slučaj reboot, pa sad možemo ponoviti verifikaciju.

Command (? for help): v

No problems found. 4074 free sectors (2.0 MiB) available in 3
segments, the largest of which is 2048 (1024.0 KiB) in size.

Odlično, kontrolne sume obnovljene su prilikom snimanja izmjena.

Pokreške u konfiguraciji diskovnog prostora su popravljene, gdisk je uspješno odradio svoj posao. Za svaki slučaj pokrenuli smo još chkdsk koji je našao i popravo nekoliko grešaka. Puni nade krećemo u podizanje Windowsa, ali Desetka se i dalje odbija pokrenuti. Očigledno da je napravljena šteta bila prevelika. Korisnik je nestrpljiv, računalo mu treba za rad, pa je odlučio odnijeti ga u servis. Neka disk vrate u originalno stanje, s Windowsima 8. Nakon toga možemo vratiti korisničke podatke.

Sistemac je iz ovog iskustva izvukao nekoliko pouka. Prije svega, ne treba kupovati notebook koji s donje strane kućišta nema poklopce za vađenje/zamjenu diska i RAM-a. Drugo, ako želite zadržati staru verziju Windowsa treba isključiti automatski upgrade i sam birati update koje želite instalirati - definitivno previše posla za običnog korisnika. Treće, ako vam se već naseli Desetka, instalirajte sve ponuđene zakrpe pa nanovo napravite rescue image. Četvrto, ako započnete instalaciju Linuxa uz Windowse, onda je i završite. Vjerojatno je korisnik trebao samo promijeniti neke postavke BIOS-a, da bi se OS mogao bootati i s Linux particije. Obično pomogne isključivanje UEFI-ja, Legacy mode, isključivanje Safe boota, a u jednom bizarnom slučaju pomogla je zamjena AHCI standarda komunikacije s diskom starijim IDE standardom. Ne pitajte me zašto.

Pa čemu onda sav trud, kad je notebook ionako završio u servisu? Spasili smo korisničke podatke, koje bi servis pregazio (ili dodatno naplatio njihovo spašavanje). Ponešto smo i naučili, gdisk se pokazao kao korisna alatka. A i otvaranje notebooka nije bilo puka gnjavaža. Korisno je zaviriti u utrobu omiljene igračke. Spoznaja da se tvrdi disk može učvrstiti ljepilom, ajme meni, pokazuje što su sve proizvođači sposobni uraditi da bi uštedjeli. I kakvo smeće mi naivni kupci i ne sluteći kupujemo, u nastojanju da dobijemo "kvalitetu" za što manje novca.

Na kraju je sistemac ostao zbunjen. Kakav je niz koincidencija doveo Desetku u takvo rastrojeno stanje? Je li problem u tome što je korisnik pokušao instalirati Linux, pa je instalacija petljala po tablicama particija koje su napravili Windowsi? Zatim je iz Windowsa ponovo prisvojio Linux particiju, dakle Windowsi su pisali po tablicama koje je već modificirao Linux. Možda je "kriv" pokušaj restorea Desetke nazad u Osmicu? Ili je za sve kriv nekakav virus kojeg je korisnik usput pokupio? Sistemac je zadržao bitcopy tvrdog diska kako bi na miru obavio forenziku. Ali već se javio drugi korisnik kojem treba pomoći, pa je bio prisiljen pobrisati presliku diska. Ionako bi forenzika samo zadovoljila sistemčevu radoznalost, to nije djelatnost koju poslodavac cijeni, priznaje, nagrađuje. Sistemac bi to morao odraditi u slobodno vrijeme, "hobistički". Zar nije bolje prošetati parkom, maknuti se od računala na par sati?

No saga još nije gotova. Kad je preuzeo računalo sa servisa, korisnik je vratio podatke s vanjskog diska. Nakon toga zove sistemca, žaleći se da ne može otvoriti neke od tih datoteka! Većinu je kreirao s Desetkom, a Osmica ih sada ne može otvoriti! Sistemac mu savjetuje da ručno pokrene upgrade Osmice, ali da ne prihvati instalaciju Desetke. Drugi dan korisnik zove i zahvaljuje: zakrpe za Osmicu odradile su posao, sada može normalno raditi. Problem je riješen, ali sistemac je još jednom zbunjen: kakve veze imaju zakrpe za Osmicu s otvaranjem standarnih tipova datoteka? Umjesto da razbija glavu Microsoftovim misterijama, sistemac odlazi šetati u Maksimir. Treba iskoristiti lijep dan! Ne mora se sve znati i razumjeti, zar ne?

Nedugo nakon objave vijesti o desetljeće starom sigurnosnom propustu u Linuxovu kernelu, istraživačka tvrtka Ensilo objavila je otkriće dosad neviđenog vektora napada na Microsoft Windowse: AtomBombing kojeg, kako tvrde autori, antivirusni programi i sigurnosne aplikacije još uvijek ne znaju prepoznati, a još manje spriječiti. U srcu napada su atomske tablice koje, iako im naziv sugerira nuklearnu namjenu, nisu ništa drugo već jednostavne (atomske, dakle) tablice koje u sebi sadrže parove informacija: niz znakova (podatak) i 16-bitni integer koji je pokazatelj na niz znakova. Ništa više i ništa manje od toga.

Windowsi (od verzije 2000) koriste atomske tablice za različite namjene, a jedna od njih je i razmjena informacija iz tablica pomoću atomskih brojeva (16-bitnih integer brojeva) kao ključa: sustav tako ubrzava razmjenu informacija među procesima upućujući jednostavnije brojeve umjesto kompleksnijih nizova znakova. Osim samog operacijskog sustava i njegovih atomskih tablica različite namjene, svaka aplikacija može definirati i koristiti svoju privatnu atomsku tablicu, no za komunikaciju informacija sa drugim aplikacijama treba koristiti globalnu, koju nudi operacijski sustav.

I to je grm u kojem, istraživači tvrde, leži zec: spretnom manipulacijom globalne atomske tablice napadač može unijeti informaciju koja sadrži maliciozni kod kojeg zatim "podvali" nekoj legitimnoj aplikaciji na izvršavanje tako što je "nagovori" da prihvati sadržaj koji se nalazi pod atomskim brojem kojeg je napadač dobio unošenjem malicioznog koda u globalnu atomsku tablicu.

Naravno, nagovoriti aplikaciju da prihvati tuđu informaciju pod tuđim atomskim brojem nije trivijalno, no izvedivo je zloupotrebom APC poziva, preciznije zloupotrebom nedokumentiranog NtQueueApcThread poziva: kako to u blog postu lijepo dokumentiraju autori, direktnim korištenjem nedokumentiranog poziva umjesto standardnog napadački program može napadnutom podmetnuti maliciozni kod kao niz znakova iz jedne od pozicija u globalnoj atomskoj tablici.

Samo ubacivanje malicioznog koda pomoću globalne atomske tablice nije dovoljno da napadnuti program natjera na na njegovo izvršavanje, radi ugrađenog sigurnosnog sustava DEP kojeg Windows koristi kako bi spriječio upravo ovakve napade: sve što je definirano u bloku memorije označenom za podatke bit će tretirano kao podatak, nikad kao izvršni kod. U teoriji, dakle, sustav bi trebao biti zaštićen od ove vrste napada.

No, tu u igru ubacujemo tehniku razvijenu upravo za zaobilaženje ovih sigurnosnih metoda: ROP, odnosno Return-oriented Programming, koja lukavo koristi postojeći kod u računalu kako bi se, probranim izvršavanjem povratnih instrukcija u legitimnom kodu aplikacije - izvršio maliciozni kod koji bi inače bio nedostupan.

Maliciozni program koji želi izvršiti AtomBombing napad treba prvo pronaći odgovarajuću poziciju u napadnutom programu, podmetnuti mu maliciozni kod kroz globalnu atomsku tablicu, te spretnom ROP manipulacijom natjerati žrtvu da maliciozni kod izvrši.

Što uspješan napad donosi napadaču, a što odnosi žrtvi? Za razliku od DirtyCOW napada na Linuxu, AtomBombing ne omogućuje napadaču dobivanje većih privilegija od onih koje mu sustav uruči; drugim riječima ovaj propust ne može zaobići UAC i napadač ne može dobiti administratorske ovlasti.

Autori ipak ističu kako ovaj napad nije nimalo bezazlen jer može poslužiti za preuzimanje nadzora nad drugim aplikacijama, pa napadač tako može inicirati MITB  (Man-In-The-Browser) napad kojim maliciozna aplikacija može preuzeti nadzor nad preglednikom, zaobilazeći uobičajene sigurnosne rutine poput TLS-a ili 2- ili 3-faktorne autentifikacije; drugim riječima, trenutno najpouzdaniji načini zaštite privatnosti i podataka u preglednicima posve su transparentni napadaču koji se ovakvim napadom uspije domoći kontrole nad napadnutim procesom.

Pažljiviji (ili paranoičniji) čitatelj ovdje će odmah pomisliti na on-line bankarstvo. Tu se krije velika opasnost od ove vrste napada - napadač može ciljano usmjeriti napad na preglednik kako bi sačekao da korisnik pokrene bančinu on-line aplikaciju i zatim prisluškivao ili čak u ime korisnika zadavao financijske transakcije; pri tome korisnik ne mora biti svjestan te zle rabote jer mu je  preglednik pod kontrolom malicioznog koda lako može zatajiti. Drugi primjer kojeg autori navode je mogućnost krađe korisnikovih lozinki spremljenih u napadnutom pregledniku i njihovo slanje, u plaintext formatu, napadačevom poslužitelju - koristeći isti taj preglednik.

Slično kao i DirtyCOW napad za Linux, ovaj napad zahtjeva izvršavanje lokalnog koda na računalu, pa ga je (zasad) nemoguće izvesti s udaljenog mjesta; naravno, obzirom da se velika većina sigurnosnih incidenata ionako događa kad korisnik pokrene nešto što nije trebao, ne smijemo ovaj propust smatrati teorijskom prijetnjom - osim ako vaša računala zaista nemaju niti jednog korisnika.

Slično kao i DirtyCOW, i AtomicBombing je zapravo vrlo stara stvar jer Windowsi već dugo vremena koriste atomske tablice; no, za razliku od Linuxova propusta koji je namjerno ignoriran (tj. proglašen više teorijskom nego praktičnom prijetnjom u vrijeme otkrića, pa smjerno zaboravljen), atomske tablice su dio funkcionalnosti operacijskog sustava i njihov problem je arhitekturalne naravi: dizajn nije uzeo u obzir ovakve akrobacije s kodom, tim više što je DEP zaštita vrlo efikasna u sprečavanju mnogih owerflow napada. No, stvari su se promjenile pojavom ROP programiranja kao protumjere i atomske tablice ponovo su postale zanimljiv vektor napada.

Microsoft još nije izdao zakrpu za ovaj problem; ona će svakako doći, vjerojatno u vidu odgovarajućih izmjena u samom operacijskom sustavu, a kako je riječ o fundamentalnoj funkcionalnosti sustava bit će zanimljivo vidjeti na koji će se način Microsoft otkloniti ovaj propust, a da pritom ne potrga nešto važno. U međuvremenu, ne preostaje nam ništa drugo već da pazimo kako mi ili naši korisnici ne bi pokreneli kakav zločest program: zasad nas baš ništa neće upozoriti na ovu malicioznu aktivnost.

Stoga je vrlo važno napomenuti ovo: trenutno je jedini način zadržavanja sigurnosti računala onemogućavanje skidanja i pokretanja aplikacija s Interneta. I tako sve do sigurnosne nadogradnje koja će riješiti ovaj problem. Sigurnosni utorče, kad ćeš više doći?!?!

Na ovogodišnjem CUC sys.treku bit će organizirano tradicionalno nagradno natjecanje za sistemce. Ove godine nagradno natjecanje sastoji se od tri izazova: dva kvalifikacijska i trećeg - finalnog natjecanja u znanju za one sistemce koji su ostvarili najbolji rezultat u kvalifikacijama. Sponzor natjecanja OpenIT osigurao je tri vrijedne nagrade.

Kvalifikacijski izazovi

IZAZOV I - OpenIT Server Challenge

U ovom izazovu natjecatelj treba u što kraćem roku ubaciti veći broj diskova u server, te prikopčati mrežne kabele u označene portove u komunikacijskom ormaru. Natjecatelj ima pravo na jedan testni pokušaj, nakon čega se sljedeći pokušaj boduje prema brzini kojom je natjecatelj završio izazov.

Dostupnost: izazovu se moze pristupiti u srijedu 09. (11:00 - 16:00) i četvrtak 10.11. (9:30 - 16:00) na štandu OpenIT-a, sponzora natjecanja.

IZAZOV II - Webpitalica

Ovo natjecanje sastoji se od 20 pitanja s vremenom rješavanja od 10 minuta. Boduju se točni odgovori i vrijeme provedeno u rješavanju (kraće vrijeme znači viši položaj na listi ukupnog poretka).

Dostupnost: ovaj izazov, kao i prethodni, bit će dostupan na istom mjestu prvi i drugi dan konferencije.

Finalno natjecanje

Četiri najbolje rangirana natjecatelja pristupaju finalnom kvizu. Kviz uključuje 10-minutnu pitalicu, te igru asocijacija. Sva pitanja za kviz i izazov II dolaze iz ICT svijeta, ponajviše iz područja sistemske administracije poslužitelja  baziranih na Linux OS-u.

Nagrade: Sponzor OpenIT

Uvodnim predavanjem Branka Radojevića započeo je sedmi po redu sys.trek CUC 2016. Nakon uvodnog predavanja koje je proteklo u znaku broja sedam i obavijesti sudionicima vezanih za predavanja i nagradno natjecanje Branko je održao kratak razgovor s Alanom Đurićem, suosnivačem tvrtke Wire.

Alan se pokazao kao zanimljiv sugovornik i prenio je sudionicima sys.treka svoja razmišljanja o razlikama u sustavu školovanja u Hrvatskoj i Skandinavskim zemljama, pričao o svom putu do uspješnog poduzetnika i suosnivača nekoliko high-tech tvrtki te razmišljanja o poslovanju u budućnosti.

Tko će čuvati čuvare?

Svoje predavanje o privatnosti i enkripciji Alan Đurić započeo je primjerima iz javnog i privatnog života o zadiranju u privatnost građana i monetizaciji takve prakse. Često se u stvari pokazuje da naizgled besplatne stvari poput korištenja socijalnih mreža nisu uopće besplatne već da se načini naplate jednostavno prebacuju na neke druge modele koji se po korisnika u konačnici mogu prikazati kao jako skupi. Osim danas uobičajenog prodavanja korisničkih podataka marketinškim kompanijama,  otvaraju se mogućnosti prodaje informacija o korisniku kompanijama poput osiguravajućih kuća. Polica osiguranja može postati znatno skuplja ukoliko kompanija raspolaže podacima i fotografijama o korisnikovom primjerice avanturističkom ili boemskom načinu života. Licence i uvjeti korištenja često puta omogućavaju socijalnim mrežama takvu praksu.

Aplikacija Wire koristi miješani poslovni model plaćanja u kojem je većina prihoda predviđena iz dijela aplikacije namijenog poslovnim korisnicima. Alan Đurić naglasio je kako je njegov osobni uspjeh što je kod aplikacije objavljen pod open source licencom i dostupan svima.

Svoju prezentaciju Alan je završio motom: "Nemojte dopustiti da se pristup vašoj privatnost na internetu razlikuje od pristupa privatnosti u stvarnom životu".

Tradicionalno nagradno natjecanje na ovogodišnjem sys.treku sastoji se od tri izazova. Pravila za natjecanje donosimo u ovom prilogu.

OPĆA PRAVILA NATJECANJA

• natjecanju mogu pristupiti isključivo CARNet sistem-inženjeri tj. oni koji posjeduju adekvatnu akreditaciju.
• upotreba pametnih uređaja tijekom izazova II je strogo zabranjeno i kažnjava se automatskom diskvalifikacijom.
• konačni poredak natjecatelja ce biti objavljen u četvrtak, 10.11. iza 18h na stanici portala za sistemce (https://sysportal.carnet.hr/SysTrek2016).
• Prva četiri natjecatelja trebaju potvrditi dolazak na finalni kviz do petka, 11.11. u 9:30. U slučaju da ne potvrde, njihovo mjesto bit će ponuđeno sljedeće rangiranom natjecatelju.

IZAZOV I - OpenIT Server Challenge

U ovom izazovu natjecatelj treba u što kraćem roku ubaciti diskove u server, te prikopčati mrežne kabele u označene portove u komunikacijskom ormaru. Natjecatelj ima pravo na jedan testni pokušaj, nakon čega se sljedeći pokušaj boduje prema brzini kojom je natjecatelj završio izazov. Nepravilno ubačeni diskovi ili pogrešno prikopčani kabeli donose negativne sekunde.

Natjecatelji ostvaruju bodove prema rang mjestu na sljedeći način:
1. mjesto - 25 bodova
2. mjesto - 20 bodova
3. mjesto - 16 bodova
4. mjesto - 13 bodova
5. mjesto - 11 bodova
6. mjesto - 10 bodova
7. mjesto - 9 bodova
8. mjesto - 8 bodova
9. mjesto - 7 bodova
10. mjesto - 6 bodova
11. mjesto - 5 bodova
12. mjesto - 4 bodova
13. mjesto - 3 bodova
14. mjesto - 2 bodova
ostala mjesta - 1 bod

Dostupnost: Izazovu se može pristupiti u srijedu 09. (11:00 - 16:00) i četvrtak 10.11. (9:30 - 16:00) na štandu OpenIT-a, sponzora natjecanja.

IZAZOV II - Webpitalica

Izazov se sastoji od 20 pitanja i vremenom rješavanja od 10 minuta. Boduju se točni odgovori, ali bilježi se i vrijeme provedeno u rješavanju. Svako točno odgovoreno pitanje boduje se s dva boda. Rezultate izazova ćete dobiti na mail koji ste unijeli kod prijave na WebPitalicu.

Dostupnost: Ovaj izazov, bit će dostupan na istom mjestu i u istom periodu kao i prethodni.

FINALNO NATJECANJE.

Četiri najbolje rangirana natjecatelja, po zbroju bodova iz oba izazova, pristupaju finalnom kvizu u petak u 10:30, Kongresna dvorana Eden. Ukoliko dva natjecatelja imaju isti broj bodova prednost ima onaj koji je u kraćem vremenu riješio Izazov II. Ukoliko netko od četvorice finalista odustane, redoslijed natjecatelja se pomiče za jedno mjesto prema gore na listi ukupnog poretka.

Kviz uključuje 10-minutnu pitalicu, te igru asocijacija. Sva pitanja za kviz i izazov II dolaze iz ICT svijeta, ponajviše iz područja sistemske administracije poslužitelja  baziranih na Linux OS-u. Kod kviza točan odgovor nosi 3 boda, dok za netočan odgovor natjecatelj dobija negativni bod. Za igru asocijacije, svako ne otvoreno polje donosi jedan bod, točan stupac donosi 5, a konačno rješenje 10 bodova.

NAGRADE

1. Nagrada

OpenServer gaming PC. Komponente: CSE: Supermicro GS5A-753R, MBD: Supermicro C7Z170-OCE, RAM: Kingston Predator 32GB DDR4-3000, CPU: Intel I7-6700K, SSD: NVMe Toshiba XG3 512GB, VGA: INNO3D GTX1070.

2. Nagrada

OpenServer Asterisk Applience, Grandstream IP videotelefon GXV3275 i  Grandstream IP videotelefon GXV3240.

3. Nagrada

Grandstream network video rekorder GVR3552 i Grandstream IP kamera) GXV3611_HD.

S porastom količine dostupnih radova sve je veći izazov manualno otkrivanje eventualnih plagijata pa raste potreba za tehničkim rješenjima odnosno softverima za otkrivanje plagijata. Srce je stoga provelo analizu softvera za otkrivanje plagijata kako bi ustanovama u sustavu znanosti i visokog obrazovanja pomoglo u izboru takvog softvera i potaklo raspravu na ovu temu.

Definiran je skup od osam kriterija s kojima su se pokušale predvidjeti potrebe akademske zajednice i temeljem kojih je provedena analiza, a analizom su obuhvaćeni najčešće korišteni softveri u Europskom akademskom okruženju (abecedno): PlagScan, Turnitin, Unplag i Urkund. Rezultat analize su smjernice za odabir softvera za otkrivanje plagijata, a analiza može poslužiti i kao  temelj za raspravu o eventualnom zajedničkom i sustavnom rješavanju tog pitanja na razini sveučilišta ili države.

Predavanje su održali Tamara Birkić i Draženko Celjak.

Tamara Birkić zaposlena je u Centru za e-učenje Sveučilišnog računskog centra (Srca). Diplomirala je na Filozofskom fakultetu Sveučilišta u Rijeci i stekla titulu magistra edukacije informatike i magistra pedagogije. Radi kao podrška korisnicima u radu sa sustavom Merlin (Moodle) te pomoć nastavnicima u početnoj izradi i unapređenju već postojećih e-kolegija. Sudjelovala je u izradi online tečajeva za rad u sustavu Merlin, kao i izradi dodatnih sadržaja (animacija) pomoću programa Adobe Captivate. Održava učioničke tečajeve i radionice te izrađuje priručnike.

Više informacija na http://www.srce.unizg.hr/plagiranje

Predavanje Roberta Maltarića na temu uvođenja bežićnih mreža u akademske ustanove.

Učestalim porastom broja klijenata koji podržavaju povezivanje putem ili iskljućivo putem Wi-Fi-a, bežični pristup postao je nešto što korisnici danas sve više zahtijevaju i očekuju u svojoj, kako radnoj tako i edukacijskoj okolini. Uvođenje bežičnog pristupa unutar institucija akademske zajednice izazov je sam po sebi sa gledišta bežične komunikacije, no dio koji često u trenutku planiranja ostaje zanemaren je onaj sa žičane strane. U predavanju će biti obrađeni neki od najčešćih izazova koje susrećemo prilikom izgradnje bežične infrastrukture kako sa žičane tako i sa bežične strane, te savjeti na što paziti prilikom uspostave nove bežične infrastrukture.

Robert Maltarić je voditelj usluge Bežična mreža Sveučilišta u Zagrebu u Sveučilišnom računskom centru (Srce), certificirani je stručnjak za područje 802.11 bežičnih mreža za koje posjeduje industrijske certifikate CCNP-W, ACWP te ECSE. U Srcu se od listopada 2001. bavi poslovima vezanim za izgradnju i održavanja računalnih mreža a područja njegovog stručnog interesa su dizajn i izgradnja 802.11 bežičnih mreža.

WordPress se u CARNetu koristi još od 2007. godine te je do danas prešao put od manjih instalacija do multisite instanci sa nekoliko stotina blogova. Koji su razlozi odabira WordPressa kao platforme, potrebnih prilagodbi i izazova u instalaciji te ponajviše redovitom održavanju? Saznat ćete i kako se uklapaju WordPress, sistemske akcije, Nagios, wp-cli i git u uslugama poput From.hr i Javnog poslužitelja.

Boris Samardžija je softverski inženjer u CARNetu, gdje sudjeluje u razvoju usluga i servisa - najčešće mobilnih i web aplikacija za interne i javne potrebe. Uz sam razvoj, često se bavi osmišljavanjem novih informacijskih sustava, implementacijom postojećih rješenja te savjetovanjem pri planiranju, te provjerom kvalitete i testiranjem izrađenih sustava. Rođen je 1990. i živi u Samoboru. Završio je XV gimnaziju u Zagrebu, a zatim preddiplomski stručni studij računarstva te specijalistički diplomski stručni studij informatike na TVZ-u. Svoju prvu web stranicu izradio je u šestom razredu, a maturalni rad u srednjoj školi, završni rad i diplomski rad studija izradio je na temu raznih web aplikacija. Najviše voli koristiti otvorene tehnologije; LAMP, nginx, PostgreSQL  PHP/Hack, HTML, CSS i JavaScript. Trenutno ga jako zanimaju automatizacija kućanstva i udaljeno upravljanje putem web i mobilnih aplikacija.

Implementacija systemd-a je sve veća, a samim time raste potreba za znanjem o systemd-u i njegovim korištenjem za uspješno administriranje linux baziranog operacijskog sustava. Ovim predavanjem se nastoje definirati osnovne radnje potrebne za administriranje i praćenje OS-a.

Damir Banić radi na mjestu sistemskog administratora u odjelu računalne infrastrukture i servisa. Završio je diplomski studij fizike i informatike u Osijeku. Nakon lošeg iskustva s Windowsima počinje se baviti linux baziranim operacijskim sustavima. U slobodo vrijeme svira gitaru i prati novost i nove tehnologije iz open source svijeta.

Na Internetu se nalazi mnogo poslužitelja i mrežnih uređaja s podignutim servisima koji ne bi trebali biti javno dostupni. Neke od tih servisa moguće je iskoristiti za izvršavanje napada uskraćivanja usluge na treće strane. Predavanje govori o najčešćim servisima korištenim u DRDoS napadima te na koji način Nacionalni CERT prikuplja, obrađuje i šalje podatke o takvim uređajima u RH.

Marko Stanec radi u CARNetovom odjelu za Nacionalni CERT kao inženjer za računalnu sigurnost. Bavi se obradom računalnih incidenata, provjerom ranjivosti računalnih sustava te razvojem alata za automatizaciju obrade incidenata (Python/Django). Aktivno sudjeluje u EU vježbama obrane od kibernetičkih ugroza.

Računala i Internet jednom davno imali su auru nečeg novog, romantičnog, obećavali su svijet u kojem će raspodjela informacija i moći biti demokratičnija, dostupnija svima. Mreža računala, informacija i ljudi koja će promijeniti svijet na bolje. Bilo je zanimljivo u to doba raditi kao sistemac: pionirski posao, neprestano učenje, bili smo željni znanja. Bilo nas je malo, poslodavci su bili sretni da imaju nekoga tko je preuzeo brigu o tehnici.

Danas je biti sistemac posao kao svaki drugi. Računala i Mreža postali su infrastruktura, a posao rutina. Sistemci postaju autistični, nezanimljivi  ljudi, čudaci koji se druže sa sebi sličnima i vode ostatku svijeta nerazumljive razgovore u kojima nastoje jedni druge impresionirati poznavanjem najnovijih igračaka i tehnologija.

Organizacije za koje rade sistemci se globaliziraju, pa u njih prodire "američki" način upravljanja. Poslodavci uvode metriku koja bi im trebala pokazati koliko tko doprinosi. Unajmljuju tvrtke koje provode testiranja zaposlenika, izrađuju njihove psihološke profile. Druge tvrtke nastoje normirati poslovne procese, nakon čega se zahtijevaju dnevna izvješća o radu. Netko iz nižeg menadžmenta iz tih pojedinačnih tablica radi zbirna izvješća i prosljeđuje ih višoj upravi. I tako dalje, zavisno o tome koliko je organizacija velika.

Metrika se uvukla u sve pore života, a preko nje ekonomija. Kad se priča o filmovima, glazbi, beletristici, spominju se top liste i zarada. Kad gledamo nogometnu utakmicu, na ekranu se pojavljuju brojevi. Koliko je koji igrač pretrčao kilometara. Kao da se radi o trkaćim konjima! Kao da to nije kolektivna igra, gdje treba imati pregled igre, lucidno driblati i dijeliti lopte, nadigravati se s protivnikom. Koliko je koja ekipa imala udaraca na protivnički gol, koliko je od toga išlo u okvir vrata. U košarci više nije dovoljno to što neki igrač igra fantastično, najavljuje se da će uskoro premašiti neki rekord, na primjer broj zabijenih trica na jednoj utakmici. Uspoređuju ga s nekadašnjim zvijezdama, ali ne po ljepoti igre, nego isključivo po brojevima. Kod filmova je nebitna umjetnost, gleda se koji je više zaradio.

Kako izmjeriti radni učinak jednog sistemca? Koliko kilometara pretrči dnevno? Ili po tome koliko sati provede prikovan za stolicu, buljeći u ekran? Po tome kolika mu je dioptrija naočala i koliko se udebljao zadnjih godina?

Naš je sistemac ove godine istrpio dvije vanjske tvrtke koje su angažirane da mu uzmu mjeru. Jedna od njih kupila je licencu za američke testove. Dali su ih doslovno prevesti. Nema veze što bi ih trebalo prilagoditi našim uvjetima. Svaki zaposlenik dobije dva kompleta papira: na jednom su pitanja, na drugom se upisuju odgovori. Nastojali su štedjeti na papiru, slova su sitna, sve je prenatrpano. Osim toga, zašto bi odgovori bili odmah ispod pitanja, kad se papiri s pitanjima mogu ponovo koristiti, a oni s odgovorima se bacaju. Rasvjeta u prostoriji u kojoj se obavlja testiranje nije najbolja, sistemac čita pitanja s papira na lijevoj strani, a zatim traži gdje će upisati odgovor na drugom papiru. Nakon nekog vremena shvaća da je odgovore upisivao u pogrešan stupac. Shvaća da mu je vid oslabio i da je trebao ponijeti naočale. No ispitivači mjere vrijeme, odnose papire i donose nove. Sistemcu je zabavna ta besmislena štednja papira, činjenica da se troši vrijeme na traženje odgovorajućeg mjesta za upisivanje odgovora, a to se neće uzeti u obzir pri ocjenjivanju. Ispast će da su Amerikanci brži i pametniji od nas, samo zato jer ne škrtare na papiru! Sistemac se smije i testovima i psiholozima koji su pronašli tržišnu nišu za svoj biznis, ali i samom sebi. Ne osjeća potrebu za dokazivanjem, pa mu je svejedno kakvi će biti rezultati testova. Pokušava proniknuti u logiku koja stoji iza pitanja i ponuđenih odgovora. Uskoro uviđa da poslodavac želi vidjeti koliko je on kao zaposlenik kompetitivan. Konkretnije, da li je spreman poslodavcu ukazivati na loše strane svojih suradnika. Naški bi se reklo da li je spreman cinkariti kolege. Govoriti loše o drugima da bi istakao sebe kao kandidata za promociju i veću plaću. Kompetitivnost je ugrađena u zapadnu kulturu. I kod nas je uvijek bilo ambicioznih ljudi, ali to se više smatralo manifestacijom njihova karaktera, nego društveno poželjnim ponašanjem. Ne treba spominjati koliko je to besmisleno u okruženju državnih/javnih službenika, uguranih u platne razrede u kojima nema mjesta za dodatno nagrađivanje sposobnih. Možda podobnih. A po novim standardima, i bezobzirnih.

Amerikanci su smislili naziv za nadmetanje zaposlenih za bolji položaj i veću plaću. Zovu to rat race, utrka štakora. Taj je naziv višeslojan, ukazuje i na to da menadžeri smišljeno tako postupaju s radnicima. Neka se glođu među sobom, bolje nego da svoje frustracije usmjeravaju prema gore. Divide et impera.

Druga tvrtka popisivala je poslovne procese, razlagala ih na sastavnice i nastojala procijeniti koliko toga svaki zaposleni može ili treba obaviti u radno vrijeme. Od sistemca traže da opiše tipičan radni dan. OK, hajdemo redom. Ujutro ustajanje, spajanje VPN-om u mrežu organizacije, brza provjera rada servera. Dolazak na posao, čitanje logova, traženje grešaka, intervencije po potrebi, instalacija zakrpa, provjera da li nakon dogradnje sve radi kako treba. Čitanje mailova, učenje. Sistemac je pretplaćen na mailing liste i prati novootkrivene ranjivosti, traži načine da im parira. Razmišlja kako ubuduće preduhitriti ili spriječiti pojavljivanje grešaka. Član je Facebook grupe na kojoj s kolegama razmjenjuje savjete, traži i daje podršku. Na poslu mu je Facebook blokiran, tako da je odvojen od zajednice! Kažu mu da treba napisati obrazloženje, pa bi mu možda odobrili FB. Sistemac s gađenjem odbija takvu pomisao. Zašto bi on managementu koji ništa ne razumije morao dokazivati bilo što? On zna zaobići takve blokade, ali to ne želi raditi, jer bi time kršio pravila. Ako poslodavac ne želi da sistemac bude učinkovitiji na poslu, neka bude tako.

Idemo dalje. Podrška korisnicima nije posao sistemskog inženjera, ali kako to nema tko drugi raditi, mora se. Tu su printeri, skeneri, kartice s certifikatima za Finu i banke, instalacija korisničkih programa. Upgrade jave, jedna od većih glavobolja. Nove verzije stižu često, browseri se brane od starih, ranjivih verzija i gnjave korisnike da naprave upgrade, ali onda se zna dogoditi da web aplikacije ne rade s novom javom. Otkad je Oracle preuzeo javu... ali to mjeritelje ne zanima. Odštopavanje printera, zamjene tonera, manji popravci na računalima... Administriranje korisničkh računa, promjena zaboravljenih passworda. Spašavanje korisničkih podataka u slučaju kvara diskova ili kad korisnik klikne na privitak i aktivira ransomware.

Trebalo bi posjećivati stručne konferencije, usavršavati se, pratiti novosti u struci, ali sve je manje novca za kotizacije i sve manje razumijevanja uprave za takve ekstravagancije.

Gospoda iz vanjske tvrtke odavno su prestala zapisivati i bilježiti. Traže da se sve to pojednostavi. Koliko forenzika napravite? Dnevno? Mjesečno? Godišnje? To se ne da planirati, jednostavno to napravite kad se ukaže potreba. A koliko traje forenzika? Zavisi. Nekad nekoliko dana, nekad mnogo duže. Sistemac obično nosi disk s podacima kući, kod kuće ima bolji lab nego na poslu, pa pusti rescue programe da rade popodne i po noći. Mjeritelji odmahuju glavom.

To još nije sve, kaže sistemac. Popodne nakon ručka sjeda se za računalo i uči. Povremeno se provjere serveri, instaliraju zakrpe izvan radnog vremena, da se ne ometaju korisnici. Pa još jednom provjera prije spavanja. Nekada davno sistemac je dolazio na posao vikendom da bi presložio mrežu ili dotjerao nešto na serverima. Ali poslodavac mu to vrijeme nije priznavao, niti mu odobravao slobodne dane. Znate već, pravilnici i kolektivni ugovori, radi se od 8 do 16 sati, u to se vrijeme moraju obaviti svi zadaci. U redu, odgovara sistemac. Vraća se za svoje računalo i usred radnog vremena ruši servise, instalira zakrpe. Korisnici luduju, ne radi mail, ne radi Document management. Znam, odgovara sistemac. Zašto?, pitaju korisnici? Zato jer ste vi to tražili.

Gospoda iz vanjske tvrtke su nestrpljiva. Te im informacije nisu od koristi. Oni nisu tu da bi razumjeli bit posla sistemskog inženjera, pogotovo ovakvog dinosaura davno izumrle vrste, koji bi radio i dok spava. Oni samo žele brzo odraditi svoj posao, smisliti nekakvu metriku i uzeti novac. Nemaju vremena za nešto više od toga. Sistemac sliježe ramenima, odustaje od objašnjavanja, suhoparno i odsutno odgovara na pitanja.

Nakon nekog vremena stiže nalog uprave da se svaki dan moraju predavati dnevna izvješća. U tablici za stručne službe nekoliko je redaka koji se odnose na sistemca. Intervencije na serverima, "čitanje dnevnika nad serverima" (doslovno!), forenzika i još neke sitnice. Nema retka u kojem bi upisao vrijeme potrošeno za pisanje dnevnog izvješća. Naredni stupac traži da se upiše broj komada. Sve skupa jadno, vidi se da gospoda iz vanjske firme nisu pažljivo slušala, a kamoli razumjela. Sistemac se smije, pod čitanje logova upisuje broj servera, fizičkih i virtualnih, k tome pribroji još dva NAS-a. Nema veze što na jednom serveru postoji mnoštovo logova, zavisno od broja aktivnih servisa. To nikoga ne zanima. U rubrike intervencija  sa zadovoljstvom upisuje nule. Sad će ispasti da sistemac ništa ne radi! Pokušao je to objasniti gospodi mjeriteljima: dobar sistemac tako dobro sve posloži da da nema mnogo posla. Samo loš sistemac cijeli dan intervenira. Osnovni je posao dobrog sistemca preventiva, a ne kurativa. No to je za mjeritelje viša matematika.

Uskoro sistemcu stiže nalog uprave da treba unositi podatke u jednu od aplikacija. Odlazi kat više da bi dao otkaz. Zašto? Zato što sistemac nije operater, neka za to zaposle nekog studenta. Kako to sistemac zamišlja? Pa ako će unositi podatke, onda nema tko nadzirati servere i brinuti za njih. U redu, neka sistemac napiše obrazloženje zašto odbija radni zadatak. Sistemac neće napisati obrazloženje, jer bi to ispalo loše za upravu. Radije će dati otkaz. Nakon toga mu šalju ljude s pomirljivim porukama. Sistemcu nije problem dati otkaz, uvijek se može naći posla. A već su mu nekoliko puta do sada nakon što je otišao s nekog posla bivši kolege rekli kako je njegov odlazak za firmu bio velik gubitak. Shvatili su koliko je sistemac bio dobar tek kad su ostali bez njega.

Sistemac uzdiše za dobrim starim vremenima, kad je jedino bio važan uptime, kad nije bilo amerikaniziranog menadžmenta koji ne vjeruje ljudima i kad su svi bili zadovoljni samom činjenicom da sve radi bez problema. Čini se da je došlo vrijeme za loše sistemce. Njima ovakva retardirana metrika odgovara: svaki dan mnogo intervencija, mnogo kvarova, što više to bolje! Ništa ne radi bez sistemca koji na taj način dokazuje kako je neophodan.

Kažu da je najbolji nogometni sudac onaj koji je neprimjetan na terenu, ne sjecka igru, ne stavlja sebe u prvi plan, žviždi i dijeli kartone samo kad se to mora. Nekako je sličan položaj sistemca: najbolji je kad je neprimjetan, kad sve radi bez greške. Ali onda nastupa nerazumijevanje. "Onaj sistemac ništa ne radi, cijeli dan samo nešto tipka!"

Službenike ocjenju po tome koliko predmeta obrade, radnike na tekućoj vrpci po tome koliko vijaka zavrnu. Tu vrijedi logika da je više bolje. Kod sistemca vrijedi obrnuta logika: manje je bolje! Kažu da Kinezi plaćaju liječnike dok su zdravi, kad se razbole liječenje je besplatno sve dok ne ozdrave. Dok je sistemac imao vlastitu tvrtku, pokušavao je takvom logikom sklapati ugovore o održavanju. "Plaćat ćete da me ne vidite! Plaćat ćete da sve radi! Čim nastanu problemi, ja ću ih brzo riješiti, na svoj račun!" Bit će da je tu na djelu neka kulturološka barijera, nitko nije želio plaćati preventivu, svi su nudili plaćanje kurative, po satu. Uzalud je objašnjavao da je inženjer sat skup, da je jeftinije plaćati paušal. Imali su osjećaj da bi plaćali za ništa, kao da stvari prepuštene same sebi rade same po sebi. Sistemac zna da sustavi prepušteni sami sebi podliježu entropiji, da treba ulagati rad i energiju u održavanje reda. Ali što vrijedi kad to korisnici ne razumiju.

Sistemac je sretan jer mu se bliži mirovina. Sad se može uz smješak zabavljati na račun ljudskih ograničenja, tuđih i vlastitih. Pozvat će vanjsku tvrtku da mu normira umirovljenički dane. Doručak, šetnja po Maksimiru, posjećivanje izložbi, kava s prijateljima. Čitanje knjiga koje je nakupovao na Interliberu i koje godinama čekaju da ih pročita. Dva puta tjedno Tai Chi, svakodnevno joga. U glavi je nekoliko knjiga koje čekaju da izađu... ali sve bez pritiska, bez normiranja, bez dnevnih izvješća za (s)upper management. Neka se mladi dokazuju i prilagođavaju mjeriteljima.