Money web

kolumna informacijska sigurnost kriptovalute

Vote:

Vaša ocjena: NemaAverage: 5(1 vote)

story_tag:

Kako uštediti što više vremena, prebaciti sve dokumente i konfiguracijske datoteke sa starog na novi poslužitelj, bez dodatne instalacije osnovnog operacijskog sustava i k tomu još na posve novi hardware i da sve to zajedno proradi iz prve?

Na gore navedena pitanja pokušao sam pronaći odgovor s programom Clonezilla. Clonezilla je program za kloniranje diska, o kojemu je već bilo spomena na ovom Portalu, a više informacija možete pronaći na sljedećim linkovima (http://clonezilla.org/, https://sysportal.carnet.hr/search/node/clonezilla).

"Donor" za kloniranje je stari Dell server nabavljen davne 2005. godine. Server i dalje radi, no problem je, naravno, prostor na disku. Budući da mi je u ruke došao potpuno novi Dell PowerEdge, pružila se prilika isprobati kloniranje diska na novi server, a time i zadovoljiti znatiželja da će sve raditi bez ikakvih problema. U nastavku ćemo opisati proceduru kloniranja i prijenosa na novi poslužitelj. Naglasak ovog članka je kloniranje na server s potpuno drugačijim hardwareom. Nažalost, ne možemo garantirati da će baš svaka kombinacija starog i novog hardwarea funkcionirati bez potrebe za dodatnim intervencijama.

Prvo treba napraviti klon od starog poslužitelja. Dok se radi kloniranje, na novom poslužitelju napravit ćemo particije točno kako su i na starom poslužitelju. Prilikom kreiranja particija na novom poslužitelju one mogu biti veće nego postojeće (uostalom, to nam je i bio cilj), a ukoliko želite iste veličine particija, novi poslužitelj ne morate ni particionirati. Za kreiranje particija poslužit ćemo se s Gparted editorom (http://gparted.org/ ).

Da vidimo koji je CPU na starom poslužitelju (da bi kasnije mogli usporediti s novim poslužiteljem)

server:~# lscpu
Architecture:    i686
CPU op-mode(s):    32-bit, 64-bit
Byte Order:    Little Endian
CPU(s):    2
On-line CPU(s) list:    0,1
Thread(s) per core:    2
Core(s) per socket:    1
Socket(s):    1
Vendor ID:    GenuineIntel
CPU family:    15
Model:    4
Model name:    Intel(R) Xeon(TM) CPU 3.00GHz
Stepping:    1
CPU MHz:    2992.428
BogoMIPS:    5984.85
L1d cache:    16K
L2 cache:    1024K

Pogledajmo kako izgledaju particije na starom poslužitelju:

server:~# fdisk -l

Disk /dev/sda: 204.7 GiB, 219823472640 bytes, 429342720 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x5f374a7c

Device     Boot    Start           End           Sectors             Size       Id     Type
/dev/sda1             63           3148739       3148677       1.5G       82     Linux swap / Solaris
/dev/sda2 *     3148740       4192964     1044225        509.9M   83     Linux
/dev/sda3        4192965     29366819     25173855       12G       83     Linux
/dev/sda4       29366820     429337124     399970305     190.7G    f     W95 Ext'd (LBA)
/dev/sda5       29366883     39841199     10474317        5G       83     Linux
/dev/sda6       39841263     42989939       3148677      1.5G       83     Linux
/dev/sda7       42990003     429337124     386347122    184.2G   83     Linux

Iste ćemo napraviti na novom poslužitelju, samo znatno znatno većeg kapaciteta.

S Gparted pokrećemo poslužitelj i kreiramo sedam particija od sda1-sda7. Particije u ovom postupku ne treba mountati.

Prilikom kreiranja particija nije nam važan odabir datotečnog sustava ext3 ili ext4 iz razloga što će nakon vraćanja klona (image starog računala) datotečni sustav biti onaj sa starog poslužitelja, a to je u ovom slučaju ext3.

Nakon pripreme particija na novom poslužitelju i završetka procesa kloniranja starog poslužitelja slijedi prijenos kloniranih podataka (preslike) na novi poslužitelj.

Poslužitelj pokrećemo s izmjenjivog medija kako bi pokrenuli program Clonezilla.

Važno je napomenuti da, prije samog procesa restauracije preslike, Clonezillu treba pokrenuti u "Expert mode" načinu rada, kako bi mogli odabrati dodatne opcije koje su nam potrebne da bi mogli iskoristiti cijeli kapacitet pojedinih particija (podsjetimo se, napravili smo veće particije nego one na donorskom serveru).

Ako ostavimo osnovne vrijednosti i pokrenemo restauraciju preslike, prenijet će se i smanjeni kapacitet particija, a to nam nije cilj.

Odabiremo opciju "restoredisk":

U načinu "Expert mode" provjerimo da li je uključena opcija "r". Trebala bi biti, a ako slučajno nije odaberite tu opciju:

Na sljedećem upitu odaberite opciju "-k".

Ova opcija nam je jako važna jer omogućuje programu da iskoristi puni kapacitet particije.
Nakon odabira pokrenimo restauriranje.

Nakon završetka procesa vraćanja preslike, slijedi proces finog podešavanja i prilagodba veličinama particija:

I napokon - "The moment of truth" - da vidimo što smo napravili.

Boot proces prolazi normalno, prijava na sustav je prošla uspješno, servisi su se podignuli.

Pogledajmo što je s procesorom:

mojserver:# lscpu
CPU op-mode(s):    32-bit, 64-bit
.
.
.
.
Thread(s) per core:    2
Core(s) per socket:    8
Socket(s):    1
Vendor ID:             GenuineIntel
CPU family:            6
Model:                     79

Model name:            Intel(R) Xeon(R) CPU E5-2620 v4 @ 2.10GHzModel:    79

Stepping:    1
CPU MHz:    2097.873
BogoMIPS:    4195.02
Virtualization:    VT-x
L1d cache:    32K
L1i cache:    32K
L2 cache:    256K
L3 cache:    20480K

Vidimo da je sustav pokrenut na novom CPU sa 16 jezgri, a prepoznati su i novi mrežni uređaji, kojih sada ima dva komada.

mojserver:# lspci | egrep -i --color 'network|ethernet'
02:00.0 Ethernet controller: Broadcom Corporation NetXtreme BCM5720 Gigabit Ethernet PCIe
02:00.1 Ethernet controller: Broadcom Corporation NetXtreme BCM5720 Gigabit Ethernet PCIe

I ona je prepoznata. Kako bi svi PCI uređaji bili prepoznati (u slučaju da imate takvih), instalirajte paket pciutils (ukoliko već nije instaliran). U njemu se nalazi naredba update-pciids, koja će skinuti najnovije ID oznake.

# update-pciids
Downloaded daily snapshot dated 2017-07-15 03:15:02
server:#

Ovo je prošlo u redu, a mi ćemo pregledati stanje na particijama:

Možemo vidjeti da je Clonezilla uspješno uzela cijelu veličinu particija, što smo i htjeli jer smo koristili opciju "–k".

Proces kloniranja starog na novi poslužitelj s novim hardwareom prošao je bez ikakvih problema. Vjerojatno smo ima i malo dodatne sreće zato što su oba poslužitelja od proizvođača DELL. Hoće li tako biti i kod vas ne možemo odgovoriti sa velikom sigurnošću, ali svakako vrijedi pokušati jer stari server i dalje radi i nikakve žurbe nema.

uto, 2017-08-22 11:17 - Zdravko Rašić

Vijesti:

Kategorije:

Vote:

Vaša ocjena: NemaAverage: 5(1 vote)

story_tag:

Clonezilla

U prošlom smo nastavku objasnili što su units (objekti kojima systemd upravlja) i targets (ciljevi koje treba postići). Vrijeme je da se pozabavimo redoslijedom podizanja i spuštanja servisa. Zapravo, trebali bi se navikavati na novu terminologiju: radi se o međuovisnostima unita, jedinica. Sistemci stare škole po navici brinu samo o servisima, smatrajući da se ostali detalji podrazumijevaju. Ali jedinica ne mora biti samo servis, jer systemd ima načina da brine o detaljima kojima se stari init nije zamarao.

Evo odmah i primjera. Servis acpid ovisi o svom socketu, pa će očekivati da je socket spreman. Zato ćemo u konfiguracijskoj datoteci /lib/systemd/system/acpid.service pronaći ovakav zapis:

Requires=acpid.socket

Dakle ne ovise samo servisi jedni o drugima, već i o nekim temeljnim sistemskim funkcijama. Systemd je sve "razmrvio" na sastavnice: na vrhu je cilj (.target) koji želimo postići, a do njega se dolazi pomoću različitih objekata: servisa (.service) i jedinica nižeg reda, poput socketa iz našeg primjera (.socket), mountpointa (.mount), putanje (.path), uređaja (.device) itd.

Pokušat ćemo definiranje međuovisnosti u konfiguraciji objasniti što jednostavnije. Tri su osnovne međuovisnosti:

Requires=ime-unita
Wants=ime-unita
After=ime-unita

Ako je ovisnost obavezna, stavljamo

Requires=neki-unit.

Ako je samo poželjna, tada

Wants=neki-unit

Ako k tome još želimo naglasiti da je važan vremenski redoslijed, dodat ćemo

After=neki-unit.

U čemu je poanta? Zar nije dovoljno reći da se zahtijeva da je neki unit već spreman? Jednostavno, ako ne stavimo After tada će se servisi pokrenuti paralelno, a onda će uspostavljati međusobnu komunikaciju. U slučaju kada neki servis neće raditi ako neki drugi uvjet, odnosno unit nije već pripremljen, tada moramo staviti After. Na primjer, ako koristimo web aplikaciju koja se spaja na bazu podataka, logično je da se najprije pokrene baza, pa web server i aplikacija. Web servis će raditi i bez baze, ali aplikacija će javljati grešku jer ne može do podataka. Da se to spriječi, iskoristit ćemo After kako bi bili sigurni da će baza biti spremna prije nego se pokrene web servis.

Vrijeme je da upoznamo konfiguracijske datoteke kojima se opisuju jedinice. Obratite pažnju na izraz "opisuje". Tu se systemd razlikuje od SysVinita koji je koristio izvršne skripte za pokretanje i gašenje servisa. Evo datoteke koja opisuje servis anacron.

[Unit]
Description=Run anacron jobs
After=time-sync.target
ConditionACPower=true

[Service]
ExecStart=/usr/sbin/anacron -dsq
IgnoreSIGPIPE=false

[Install]
WantedBy=multi-user.target

Na prvi je pogled jasno da se opis sastoji od tri dijela. Sekcija Unit je obavezna i naći ćemo je u svim datotekama koje opisuju jedinice. Sekcija Service je, logično, prisutna samo ako se opisuje servis. Sekcija Install također nije obavezna i koristi je samo systemctl enable/disable naredba. U primjeru anacron servisa, nakon opisa slijedi zahtjev da se prije pokretanja anacrona obavi sinkronizacija vremena, kako bi dobili točno vrijeme. I ostatak ne izgleda previše zagonetan. Pod Service je putanja izvršne datoteke s parametrima za pokretanje, a u Install sekciji se kaže da ovu jedinicu traži multi-user.target, nekadašnji runlevel 3.

No ne treba se prerano radovati jednostavnosti naših primjera. Konfiguraciju je moguće jako zakomplicirati, još je mnogo stavki koje će s vremenom trebati usvojiti. Ali to ćemo ostaviti za neku drugu priliku. Zasad je dovoljno upoznati osnovne pojmove.

čet, 2017-08-31 18:47 - Aco Dmitrović

Kuharice:

Kategorije:

Vote:

No votes yet

story_tag:

systemd

units

U Hrvatskom narodnom kazalištu u Varaždinu 7. i 8. rujna održat će se FSec2017, najvažnija nezavisna konferencija o informacijskoj sigurnosti u Hrvatskoj. Konferenciju FSec2017 organiziraju zaposlenici i alumni Fakulteta organizacije i informatike, volonteri te pripadnici Hrvatske zajednice otvorenog koda, a organizatori ističu da je riječ o najvažnijoj konferenciji o informacijskoj sigurnosti u Hrvatskoj i regiji.

Na samoj će se konferenciji okupiti više od 300 sudionika naše zemlje, regije i svijeta. Predavači na konferenciji predstavljaju renomirane svjetske i domaće tvrtke i organizacije koje se bave informacijskom sigurnošću, a dolaze iz hakerske zajednice Chaos Computer Club i kompanija Google, Cisco, Wire, Kaspersky ResetSecurity. Posebno valja izdvojiti sljedeće predavače i njihova predavanja:

Alan Đurić, izvršni direktor tvrtke Wire i jedan od suosnivača Skypea, s predavanjem o privatnosti podataka i sigurnosti komunikacije na Internetu

Ryan Lackey, direktor tvrtke ResetSecurity iz Silicijske doline i sudionik Y Combinator programa

Jaya Baloo, direktorica informacijske sigurnosti u KPN-u, vodećem telekomu u Europi

Ivan Fratrić, Google Project Zero tim s predavanjem o sigurnosti Internet preglednika

Vanja Švajcer, Cisco Talos s temom predavanja o analizi malicioznog koda

Sva, Chaos Computer Club s predavanjem o privatnosti

Danas pojmovi informacijske i kibernetičke sigurnosti predstavljaju ključne izazove s kojima se susreću sva visoko digitalizirana društva pa tako i Republika Hrvatska. Kako bi se postigla i održala zadovoljavajuća razina sigurnosni na ovim područjima potrebno je osigurati dostupnost broja angažiranih i kompetentnih stručnjaka, ali i podići svijest javnosti o postojećim rizicima te primjerenim načinima zaštite. Školovanje stručnjaka i podizanje svijesti o rizicima i primjerenim načinima zaštite predstavljaju jedne od glavnih zadaća FSec konferencija, kako prošlih tako i ovogodišnje.

Prvi će dan FSec2017 konferencije biti održan okrugli stol o stanju računalne sigurnosti u Hrvatskoj. Posjetitelji će za vrijeme trajanja okruglog stola moći postavljati pitanja te sudjelovati u raspravi. Na okruglom stolu će sudjelovati predstavnici nadležnih službi i agencija:

Predstavnik PNUSKOK-a
Predstavnik ZSIS-a
Predstavnik MORH-a
Predstavnik HNB-a
Predstavnik NCERT-a

Program konferencije podijeljen je na dva tematska dana – strateški i tehnički, te su pripremljena dva okrugla stola o društveno i tehnološki značajnim temama GDPR i o normi za e-plaćanje PSD2. Uz konferencijski program održat će se i Job Fair na kojemu je cilj spojiti zainteresirane poslodavce i sigurnosne stručnjake.

pet, 2017-09-01 15:28 - Uredništvo

Vijesti:

Događanja

Kategorije:

Vote:

No votes yet

story_tag:

Program "vacation" možda ne koristi previše naših korisnika, ali oni koji ga koriste ne mogu bez njega. Sve je to u redu, ali što ako vacation prestane raditi? Kako je to uopće moguće, kada je sve radilo još prošle godine? Je li uzrok nadogradnja na jessie?

Neki kolege sistemci su primjetili čudan problem: korisnicima koji koriste vacation odgovor nije stizao pošiljateljima, ali samo na neke servere. Kako je vacation podešavan preko plugina u squirrelmailu, a u međuvremenu je izvršena nadogradnja na distribuciju jessie, nije bilo jasno u čemu je zapravo problem.

Ručno podešen vacation (iz terminala), je radio uredno, barem se tako činilo.

Prvo što smo provjerili je squirrelmailov plugin. Njih ima nekoliko, i svi su zastarjeli, odnosno više se ne održavaju. No, plugin koji se koristio na serveru je ispravno kreirao datoteke .vacation.db i .vacation.msg, kao i ispravan unos u datoteci .forward (istina, malo drugačiji, u jednom retku, ali to je u redu):

\korisnik, "|/usr/bin/vacation korisnik"

No, bilo da smo koristili squirrelmailov plugin, bilo da smo ručnim podešavali vacation, rezultat je bio isti: na neke servere poruke o odsutnosti idu, na druge ne. U čemu je problem, možda nešto s DNS-om? Ne, sve se adrese uredno mogu resolvati.

Sada sumja pada na nadogradnju na jessie. Možda se promijenio program vacation, možda sada ima neke dodatne provjere? No, vacation je manje-više identičan onom u wheezyju, dakle ponaša se jednako. U man stranicama se ne spominju nikakve nove ili dodatne restrikcije. Ono što i dalje zbunjuje je kako to da neki serveri dobiju odgovor, a neki ne?

Slučaj je prilično zanimljiv, pa je jedino rješenje malo razmisliti, eksperimentirati i na kraju isprobati moguća rješenja. Nakon nekoliko dana zajedničkih napora s kolegama, pronašli smo da je problem djelomično u ljudskom faktoru, a djelomično u CARNetovom paketu Postfix (ne da paket nešto krivo radi, nego da ono što radi može prouzrokovati ovakav problem). Na ovo razmišljanje nas je naveo redak u logu:

Aug  14 13:39:41 server postfix/smtp[19586]: BC02F92924: to=<ime.prezime@domena.hr>, relay=127.0.0.1[127.0.0.1]:10024, delay=5.9, delays=0.13/0/0/5.8, dsn=2.0.0, status=s
ent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as AABF39292D)
Aug  14 13:39:41 server postfix/local[19647]: AABF39292D: to=<korisnik@domena.hr>, orig_to=<ime.prezime@domena.hr>, relay=local, delay=0.01, delays=0/0/0/0.01, dsn=2.0
.0, status=sent (delivered to command: /usr/bin/vacation korisnik)

Oznaka "orig_to" u logu označava da se adresa na neki način transformirala putem nekog od mehanizama postfixa. Uz oblik adrese s imenom i prezimenom, ova nas je oznaka asocirala da provjerimo situaciju sa aliasima.

Vacation podržava aliase, u slučaju da imate potrebu primati mail na neki alias. Ukoliko ste sad pomislili "pa koji alias, ne primam mail na nikakav alias", varate se. Svaki server koji koristi CARNetove pakete automatski dodaje alias svakom korisniku na sistemu (u datoteci /var/lib/postfix-cn/aliases_gecos).

Upravo u tim aliasima leži problem, jer je tijekom testiranja netko koristio oblik adrese "username@<server>.domena.hr", a netko standardniji oblik "Ime.Prezime@domena.hr". Otuda potiču šareni rezultati da nekome vacation radi, a drugome ne radi.

Rješenje je jednostavno, treba uz username staviti i pripadajući alias u datoteku .forward:

\korisnik, "|/usr/bin/vacation korisnik -a ime.prezime"

Domenu ne treba pisati, sistem će to sam dodati.

Što ovo znači za korisnike? Ovo znači da neće moći koristiti plugin iz squirrelmaila. Morat ćete ljudima koji žele koristiti vacation ručno dodati alias ili to napraviti promjenom u izvornom kodu plugina. Ni jedno ni drugo nije idelano rješenje, ali ukoliko korisnici žele da im radi vacation na oba oblika adrese, nešto od toga ćete morati napraviti.

Možemo se tješiti, barem smo našli što uzrokuje ovaj zanimljiv problem.

čet, 2017-08-31 01:38 - Zdravko Rašić

Kuharice:

Kategorije:

Software

Vote:

No votes yet

story_tag:

pon, 2017-09-04 15:35 - Uredništvo

U sklopu najave konferencije o informacijskoj sigurnosti FSec2017 razgovarali smo s doc. dr. sc. Tonimirom Kišasondijem s Fakulteta organizacije i informatike iz Varaždina, predsjednikom organizacijskog odbora i jednim od utemeljitelja konferencije, koji nam je odgovorio na par pitanja vezanih uz samu konferenciju.

Poštovani gospodine Kišasondi, zahvaljujemo na trudu i vremenu koje ste izdvojili u vrijeme zadnjih priprema za konferenciju. FSec2017 je najvažnija nezavisna konferencija o informacijskom sigurnosti u Hrvatskoj. Možete li na opisati kako su izgledali počeci 2010. godine i kako je došlo do ideje da se organizira ovakva konferencija?

Ideja za FSec je nastala nakon posjeta mene i mojeg prijatelja Kosta na 27^th Chaos Communication Congress u Berlinu, konferenciju koja uz informacijsku sigurnost ima dosta drugih interesnih područja, većinom vezanih uz "hakerski" mentalitet. To je ostavilo dosta veliki dojam na mene. Okupljanje preko 10 000 ljudi na jednom mjestu, koje zanima struka, prijenos znanja i kako da nešto nauče. Zezancija je pala na temu zašto to nemamo kod sebe u Hrvatskoj i 9 mjeseci nakon toga, organizirali smo FSec paralelno s FOI-evom znanstvenom konferencijom CECIIS prije 7 godina. Bilo nas je oko 40-ak. Stali smo u kafić na Fakultetu.

Od 40 smo linearno rasli prema 150 i u jednom trenu jednostavno nismo mogli više ostati na FOI-u jer je najveća dvorana na Fakultetu postala premala te smo konferenciju morali preseliti u veći prostor. Odluka je pala na HNK Varaždin u kojem smo drugu godinu za redom. I eto nas tu, nije par desetaka tisuća ljudi kao na DEFCON-u ili CCC-u ali prešli smo 300 ljudi koje zanimaju teme iz informacijske sigurnosti u RH. Ako uzmemo u obzir da konferencija nema komercijalni interes nego skupljamo sponzorstva i ulažemo sve u unaprjeđenje konferencije, mi smo zadovoljni.

Kakvi su Vaši dojmovi nakon šest održanih FSec konferencija? Gdje vidite FSec za pet godina?

Nakon 6 konferencija dojmovi su kako je to puno posla. Iz jednog "underground" okupljanja smo se dotakli i korporativnih tema i stvari koje zanimaju korporativnu publiku do tema koje su bitne za cjelokupnu nacionalnu sigurnost iz aspekta informacijske sigurnosti. Trenutno imamo u programu svega, od jako tehničkih tema do organizacijskih tema, za svakoga ponešto. Plan za 5 godina je raditi isključivo na kvaliteti sadržaja koja se plasira posjetiteljima. To znači i promjene, ali ipak treba eksperimentirati.

Ono što FSec predstavlja je jednu platformu gdje se okuplja ekipa koja dijeli interes dijeljenja znanja i ekspertizu u području informacijske sigurnosti. Od početne trojke, Vlatka Košturjaka, Igora Vuka i mene, koja je osnovala prvi FSec, polako smo proširivali organizacijski odbor. Tu je i veza NCERT-a i FSec-a. Predavanje o stanju informacijske sigurnosti u RH je na prvoj konferenciji držao vaš kolega iz NCERT-a Domagoj Klasić, a do sve većeg uključivanja NCERT-a u FSec dolazi uključivanjem vaših kolega Tonija Gržinića i Marka Staneca u organizacijski tim konferencije.

U organizaciju su se uključivali kroz godine i drugi, Tomislav Androš, Ksenija Cajzek, Dalibor Dukić, Mario Harjač, Vitomir Margetić, Dobrica Pavlinušić, Slaven Smojver, Ivan Špoljarić, Miroslav Štampar, Ivo Ugrina, Neven Vučinić, Vedran Vukovac i Bojan Ždrnja. Ima nas 18, ali posla je za barem 40 ljudi. Ja sam izuzetno zahvalan cijelom organizacijskom odboru konferencije jer to bez njih to ne bih mogao napraviti.

Ovogodišnja konferencija ugošćuje značajne predavače na velikom broju predavanja i radionica. Kakva su Vaša očekivanja od ovogodišnje konferencije? Želite li neke teme posebno izdvojiti?

Mislimo da svatko može pronaći svoju nišu i interes te da imamo dosta dobro pokrivene teme. Od organizacijskih predavanja poput "How we do CISO @ KPN" gđe Jaye Baloo, "Trouble with updates" Ryana Lackeya, "Targeted Attacks in 2017" Aimea iz Kasperskog do tehničkih predavanja o fuzzanju browsera Ivana Fratrića iz Google Project Zeroa, "HTTP for good and bad" Xaviera Mertensa, napadima na DVR sustave Istvana Totha. Dotaknuli smo se dvije velike teme, GDPR-a kroz okrugli stol i radionicu o GDPR-u te okrugli stol o direktivi PSD2 koja se odnosi na servise plaćanja. Čak imamo i predavanje o NIS direktivi EU. Gotovo cijeli spektar interesa iz informacijske sigurnosti je pokriven i skoro svatko može pronaći predavanje koje mu je interesantno. Imamo 2 dana i 3-4 tracka predavanja, tako da je sadržaja više nego dovoljno. Dobra stvar je da snimamo neka predavanja pa ljudi mogu popratiti ono što ih zanima ako propuste neko predavanje.

Smatrate li kako se sigurnosti informacijskih sustava pridaje dovoljno pažnje u svakodnevici? Na koji način možemo, na razini cjelokupne populacije, podići razinu sigurnosti računalnih sustava?

Odgovor na ovo pitanje je: kako tko. Ne želim posebno neke hvaliti niti prozivati. U svojem poslu gdje u sklopu laboratorija za otvorene sustave i sigurnost radimo sigurnosne provjere, u praksi sam vidio vrlo dobro zaštićenih sustava gdje to nisam očekivao do užasno ranjivih sustava gdje sam očekivao daleko veću razinu sigurnosti i svijesti. Mislim da je vrijeme da u informacijskoj sigurnosti počnemo pričati o odgovornosti. Auto industrija je došla do toga, prije ili kasnije će i IT industrija morati prići tome.

Jedno od tih pitanja je bi li poduzeća koja razvijaju aplikacije za svoje klijente trebala razvijati sigurne aplikacije? Smatra li se sigurnost sustava jednako funkcionalnim zahtjevom kao i ispravan rad aplikacije? Imamo sve više priče o novim tehnologijama kao što su autonomna vozila, bitcoin i blockchain. U tim domenama softverska ranjivost može biti iskorištena za ubojstvo ili za krađu više milijuna eura. Prvo još nismo vidjeli kako bi znali za sigurno, ali drugo smo vidjeli kroz DAO hack i ranjivost u multi-sig verifikaciji ethereum walleta. Zadnjim napadom su kriminalci oštetili 3 walleta za oko 32 milijuna USD, a to je tek izolirani incident i početak. Interesantno je pitanje što će se dogoditi kada te tehnologije dođu u široki opticaj na međunarodnoj razini. SWIFT je prikazao dokaz koncepta na Burrow blockchainu, ISO ima radnu skupinu o blockchain / ledger specifikaciji i prije ili kasnije će i klasične mreže poput SWIFT-a prijeći na blockchain.

Cijeli će ekosustav postati interesantniji zbog GDPR-a prema kojem su predviđene drakonske kazne u slučaju gubitka osobnih podataka klijenta. Uzmite kao primjer situaciju kao u SAD - curenje podataka demokratskog komiteta i podataka o sigurnosnim provjerama zaposlenih u državnoj upravi. To otvara i nove mogućnosti u haktivizmu i korporativnoj špijunaži kroz namjerna curenja osobnih podataka s ciljem financijske štete ili novih oblika ucjene. Umjesto kriptiranja podataka, napadaču je dovoljno da prijeti javnom objavom osobnih podataka klijenta. Definitivno živimo u interesantnim vremenima punima novih izazova.

Podizanje razine sigurnosti je jednostavno, treba pridodati važnost informacijskoj sigurnosti, podizati svijest kod zaposlenika i managementa, a tu je bitan pristup prema kojem zaposlenike ne treba tretirati nekompetentne dronove, nego ih motivirati da budu bolji i da budu proaktivni u području informacijske sigurnosti. Prije 3 FSeca je CISO jedne veće banke u Sjedinjenim Američkim Državama govorio o tome kako imaju program "guardiana" prema kojem zaposlenici koji utvrde mailove s phishing porukama ili malicioznim kodom dobivaju bonuse kada incidente prijave uredu informacijske sigurnosti koji ih blokira diljem tvrtke. Tehničke mjere u informacijskoj sigurnosti su bitne, ali ključ su još uvijek ljudi, procesi i sistematičnost u primjeni slojevite zaštite.

Vijesti:

Događanja

Vote:

No votes yet

story_tag:

FSec

Tonimir Kišasondi

intervju

Rijetko dobijam "feedback" na članke objavljene u ovoj kolumni, ali članak Mreža novca od prošlog mjeseca pobudio je interes čitatelja. Dobio sam poruke s mnoštvom pitanja. Očigledno je da je tema "vruća" i da postoji potreba za dodatnim informacijama. To me potaklo da nastavim pisati o kriptovalutama. Građe ima dovoljno za seriju članaka, jer se u svijetu pred našim očima događaju velike promjene. Evolucija isprva marginalnog eksperimenta ide u smjeru u kojem će kriptovalute postati planetarni "mainstream".

Nekolicina čitatelja je čak od mene zatražila savjet za ulaganje u kriptovalute! WOW! Savjete izbjegavam davati i u četiri oka, a kamoli javno. Investiranjem se može zaraditi, ali i izgubiti novac, a za to odgovornost mora preuzeti svatko za sebe. Umjesto savjeta koji bi mogli dovesti do neizvjesnih rezultata, pokušat ću oslikati najnovija zbivanja u svijetu kriptovaluta i širem okruženju koje na njega utiče. Neka to potakne čitatelje na razmišljanje, a zaključke neka donesu sami. Pokušat ću posložiti mozaik od na prvi pogled nepovezanih vijesti, a onda nastojati popuniti praznine. Naravno, ne gubeći iz vida nit vodilju, a to je informacijska sigurnost.

Bitcoin je prošlog tjedna postigao cijenu od 5.000 $! Što se to moralo dogoditi da nešto nematerijalno, apstraktno, virtualna kovanica koja nije više od koda koji je proizveo kriptografski algoritam, a koja je 2009. ponuđena tržištu po cijeni od 0,001 USD, danas postigne cijenu od 5.000 dolara? Odgovor je jednostavan: ponuda i potražnja! Očigledno je da postoji potražnja za kriptovalutama. Kako, zašto? To je porast vrijednosti od 500.000 puta! Ili 5.000.000 puta? Vrti mi se u glavi, ne mogu točno računati, ispravite me ako griješim. Da ste u početku ove nove ere uložili 100 dolara u Bitcoin, sada biste bili milijunaši i ne biste više morali brinuti o financijskoj sigurnosti svoje obitelji!

Ne smijemo smetnuti s uma da su tradicionalne valute, iza kojih stoji država, inflatorne. Države danas tiskaju novca koliko im treba, zlatna podloga otišla je zaborav. Na taj način države izbjegavaju periodičke krize kapitalizma kao što je bila ona pred drugi svjetski rat, koja je u Njemačkoj dovela Hitlera na vlast. Nasuprot tome, kriptovalute su deflatorne, što znači da im vrijednost u načelu raste. To je osigurano time što je u programskom kodu zadan konačni broj kovanica i nema naknadnog "doštampavanja". S porastom potražnje raste i cijena.

Tko prati medije mogao je zapaziti nekoliko "nabačenih", "slučajnih" vijesti: na tržištu pada cijena zlata, a s burza na kojima se trguje dionicama u SAD povučene su milijarde dolara. Znači li to da ljudi višak kapitala umjesto u zlato i dionice ulažu u kriptovalute? Zanimljivo, zar ne? Idemo dalje.

Banke u EU zatvorile su 4,9% poslovnica. Kao razlog navodi se porast plaćanja preko Interneta, ali i pad kamatnih stopa, što bankama smanjuje profit (zašto su samo u Hrvatskoj kamate još visoke? Na to nećemo odgovarati.) Da li je razlog koji se ne spominje i činjenica da sve više ljudi plaća robe i usluge kriptovalutama? Banke su se godinama s visoka i čak s prezirom odnosile prema Bitcoinu i njegovoj braći. Nije ni čudo, jer se njihov posao temelji na povjerljivosti i tajnosti podatka o klijentima. Bitcoin ima glavnu knjigu koja je otvorena svima, a osim toga banke ne zarađuju na prometu kriptovaluta. Kako banke mogu prihvatiti distribuiranu i svima otvorenu bazu a pritom sačuvati anonimnost svojih klijenata? To je ključno pitanje i o odgovoru na njega ovisit će i budućnost banaka. Naravno, vlasnici banaka ne žele ostati po strani, pa u tišini pripremaju izdavanje vlastitih kriptovaluta. Napomena: transakcije kriptovalutama su pseudo anonimne, postoje načini da se uđe u trag vlasnicima walleta.

I poduzetnici žele zagrabiti svoj dio kolača. Otkrili su novi način prikupljanja sredstava za rast svojih startupa: ICO, Initial Coin Offering. To znači da najavljuju izdavanje vlastite kriptovalute, a ranim ulagačima nude posebne pogodnosti i veće količine coina. Tako se nude ekološki coini, kojima će se financirati zeleni projekti. Energetski coini financirat će industriju koja želi povećati učinkovitost električnih mreža. Pojavio se coin koji prihvaća turistička industrija, pa njime možete plaćati avionske karte i smještaj u hotelima. Itd, its. Nema garancije da će svi ti startupi uspjeti, pa ulagači moraju razumjeti rizik takvog ulaganja. Osim toga, ICO je praktički nereguliran, za razliku od strogih pravila koja moraju zadovoljiti tvrtke koje pripremaju tradicionalni IPO da bi na burzi ponudile svoje dionice.

Treći veliki igrač koji ima svoje interese je država, koja želi znati kako njeni građani zarađuju i troše novac, kako bi suzbijala kriminal i ubirala poreze. EU je donijela direktivu KYC/AMLD (Know Your Customer, Anti Money Laundering Directive) kojom se praktički traži ukidanje anonimnosti. U Rusiji je uhićena grupa ljudi pod optužbom za pranje novca preko Bitcoina. Kina i Južna Koreja najavile su da će regulativom zabraniti ICO na svom teritoriju, a od tvrtki koje su ga već pokrenule Kina traži da ulagačima vrate novac. NEO, kineska kriptovaluta, već je objavio da će ulagačima vratiti novac i prilagoditi se regulativi. Nakon toga vrijednosti kriptovaluta su padu, pa je cijena Bitcoina pala ispod 4.000 $. Dodajmo k tome još jednu vijest koja u našim medijima nije dobila odgovarajući prostor: Estonija i Rusija najavile su izdavanje vlastitih, državno podržanih kriptovaluta. Da li to znači da će u dogledno vrijeme napustiti dosadašnje valute? I kako će se prilagoditi situaciji u kojoj više ne mogu tiskati novac po volji?

Osim toga, priprema se zakonska regulativa po kojoj bi tvrtke koje pomoću Interneta posluju globalno plaćale porez u zemljama iz kojih dolaze kupci, a ne samo u zemlji u kojoj su tvrtke registrirane.

Četvrta skupina koja pokazuje živ interes za kriptovalute su kriminalci. Oni provaljuju na servere i iz walleta kupaca prebacuju coine u svoje wallete. Oko 120.000 Ethereuma je tako završilo kod kriminalaca. Umjesto da trgovanje ukradenom valutom onemoguće sofverski, upozoravaju kupce da paze kako ne bi kupili ukradene coine! U toj skupini pronaći ćete i neke neobične igrače: Sjeverna Koreja koristi svoju "vojnu jedinicu hakera" za krađu kriptovaluta. Omiljena meta su im serveri njihova južnog susjeda. Tako su u travnju ove godine s južnokoreske mjenjačnice Yapizon pokupili plijen u kriptovaluti vrijedan 5 miliona dolara. Narednih mjeseci su provalili na Bithumb, najveću južnokorejsku mjenjačnicu i pokupili osobne podatke 31.000 korisnika, nakon čega je uslijedilo prebacivanje njihove kriptovalute. Sjeverna Koreja tako nastoji zaobići sankcije.

Moramo spomenuti i jednu interesnu skupinu koja možda najviše utječe na vrijednost kriptovaluta, a to su špekulanti. Tu riječ upotrebljavamo bez negativnih konotacija. Forex je legalan biznis, zarađuje se na fluktuacijama vrijednosti valuta. No špekulanti znaju kako podizati i spuštati vrijednost neke valute/kritpovalute, pa na umjetan način podižu njenu vrijednost da bi je prodavali, a zatim spuštaju cijenu, da bi ponovo kupili valutu po nižoj cijeni. Jesu li im mali investitori dorasli i jesu li sposobni uspješno "jahati na umjetnim valovima" koje špekulanti proizvode?

Vratimo se korak nazad da pokušamo shvatiti tko je sve doprinio razvoju kriptovaluta?

Prvi val u razvoju blockchaina i kriptovaluta napravili su kriptografi i informatičari. Rad čovjeka ili grupe koji se krije iza pseudonima Satoshi Nakamoto pokazuje sve osobine matematičkog genija. Objavio je svoje ideje na kripto forumu i privukao rane entuzijaste koji su prizvatili izazov. Kad je Satoshi 2012. nestao s pozornice, oni su nastavili razvoj blockchaina, distribuirane knjige u kojoj se bilježe transakcije, a koja je napravljena da omogući poslovanje među entitetima koji se ne poznaju, pa si prema tome niti ne vjeruju.
Drugi val pobornika čine kriptoanarhisti. Za njih se tu ne radi o bogaćenju, nego o društvenom i političkom pokretu usmjerenom na to da se ograniči moć države, koja si je prigrabila prevelike ovlasti, i bogatih, koji imaju prevelik uticaj na političare i na donošenje zakona. Anarhisti nisu skloni kompromisima, odbijaju svaki pokušaj regulacije kriptovaluta. Satoshi je na forumu pokazivao simpatije za njihovu društvenu filozofiju.
Treći val su odradili financijski stručnjaci s Wall Streeta, koji su prepoznali potencijal koji nova tehnologija pruža svima, pa i tradicionalom biznisu. Financijaši nemaju ništa protiv državne regulative i plaćanja poreza. Napravili su velik posao u promoviranju nove tehnologije i stvaranju uvjeta da i tradicionalni investitoru mogu sudjelovati u poslu s kriptovalutama. Oni su praktički uveli kriptovalute u "mainstream".

Količina novca koja se vrti na kriptoburzama toliko je narasla da je zaprijetila tradicionalnom biznisu a postoje sumnje da bi to moglo ugroziti i monetarne sustave današnjih država. Zato se sprema "protureformacija" i tek ćemo vidjeti kako će se stvari odvijati. No jedno je jasno: razvoj se ubzava, na odgovor nećemo dugo čekati. A blockchain i kriptovalute više nitko ne može ignorirati, samo je pitanje na koji će ih način prihvatiti i ugraditi u mainstream poslovanje.

Anarhisti imaju pravo u jednoj stvari: država želi imati potpun uvid u zaradu i trošenje svih svojih građana, a da istovremeno način na koji država troši novac poreznih obveznika nije transparentan. Povremeno novinari otkriju poneki skandal tipa "farbanja tunela". Zamislite da i Vlada prihvati blockchain, pa će svi njihovi rashodi postati javni! Istina je i da današnje države više brinu o svojim najbogatijim građanima, donoseći zakone koji im omogućavaju izbjegavanje plaćanja poreza. U SAD se čak neki bogataši bune, Warren Buffet izjavio je da je apsurdno da njegova tajnica plaća više poreza od njega. Hoće li blockchain osim novog načina plaćanja proizvesti i promjene u društvu u smjeru veće demokratizacije i pravednosti? Živi bili pa vidjeli.

Sve u svemu, nadam se da sam neizravno odgovorio na pitanja koja mi postavljaju kolege sistemci. Društvena promjena odvija se pred našim očima, tko živi otvorenih očiju i nastoji se informirati moći će i profitirati, ali stvari nisu jednostavne, mnogo je igrača i suprotstavljenih interesa. Zasad ostaje činjenica koja poziva na oprez: tržište kriptovaluta je još neregulirano, što omogućuje prevarantima da pokreću fiktivne tvrtke i prikupljaju kapital za izdavanje coina, tehnologija je nova i ranjiva na napade kriminalaca, veliki igrači na financijskom tržištu upozoravaju da je rast kriptovaluta napuhani balon, štiteći pri tom ne samo kupce kriptovaluta nego i svoje interese, a države ubrzano rade na tome da sve stave pod kontrolu. Samo je pitanje hoćemo li se i mi aktivirati na jednoj od tih strana, ili ćemo ostati pasivni promatrači?

sri, 2017-09-13 21:15 - Aco Dmitrović

Vijesti:

Kategorije:

Vote:

No votes yet

story_tag:

informacijska sigurnost

kriptovalute

pet, 2017-09-15 13:47 - Uredništvo

Iz radionice CARNetove Službe za internetske servise pokrenuta je nova usluga za ustanove članice - sys.monitor.

Kao što se iz naziva može zaključiti, radi se o nadzoru vaših poslužitelja, servisa, ali i bilo kojih drugih mrežno povezanih uređaja. Do sada ste mogli koristiti sličnu uslugu prijavom preko sys.portala, no ova usluga nije bila automatizirana, nego se konfiguracija obavljala ručno što nužno znači kašnjenje u inicijalizaciji svakog pojedinog servisa ili poslužitelja.

Kako ovo nije idealna situacija, odlučeno je omogućiti samostalnu prijavu poslužitelja, servisa i mrežnih uređaja na nadzor, ali preko nove usluge.

Nova usluga je bazirana na sustavu Icinga 2, koja je omašak (engl. fork) sustava za nadzor Nagios, koji se koristio do sada. Icinga 2 je moderan sustav, s preglednim i dinamičnim web sučeljem, te ne sumnjamo da ćete uživati u njegovom korištenju. Svi korisnici stare usluge su migrirani na novu uslugu, pa mogu odmah provjeriti stanje svojih servisa.

Procedura pristupanja usluzi se obavlja na adresi https://sysmonitor.carnet.hr preko AAI@EduHr korisničkog računa, a aktivacija računa je automatska. Potvrdu prijave dobit ćete SMS-om na broj vašeg mobilnog uređaja.

Preporučujemo da svakako prije početka upotrebe usluge proučite upute koje su dostupne na adresi https://sysportal.carnet.hr/sysmonitor.

Pomoć i podrška je uobičajeno dostupna preko adrese sysmonitor@carnet.hr ili preko web-sučelja na adresi http://syshelp.carnet.hr.

Vijesti:

Službene obavijesti

Vote:

No votes yet

story_tag:

icinga

nagios

nadzor poslužitelja

pon, 2017-09-18 15:27 - Radoslav Dejanović

Poprilično neugodan problem pojavio se ovih dana: otkriven je niz propusta kroz koje napadači mogu ostvariti nadzor nad uređajem koji koristi Bluetooth vezu: CVE-2017-1000251, CVE-2017-1000250, CVE-2017-0785, CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-8628, CVE-2017-14315.

Posebice neugodna je činjenica da napadač, da bi ostvario uspješan napad, ne treba biti uparen sa uređajem kojeg napada, već je dovoljno da se nađe u njegovoj blizini: napad je moguće ostvariti čim se napadač nađe u dometu BT signala.

Rezultat uspješnog napada dobivanje je pristupa napadnutom uređaju sa povišenim privilegijama, nakon čega je moguće instalirati maliciozni payload. Dapače, kako autori tvrde, ovaj napad posebno je opasan jer se može "širiti zrakom", odnosno jedan zaraženi uređaj može aktivno zaraziti sve druge uređaje u svojoj blizini.

Na napad su osjetljivi uređaji koji koriste Linux OS, Windows OS i Android.

Kako je već i red, vjerojatno već imate instalirane sigurnosne zakrpe za Linux i Windows računala, no puno veći problem ovdje je - Android. I to ne zbog sebe (Google je također već izbacio sigurnosne zakrpe), nego zbog starog običaja proizvođača uređaja koji koriste Android da svoje proizvode nakon nekog vremena praktički zaborave i za njih više nikad ne ponude niti najnužnije sigurnosne zakrpe, a kamoli novu verziju OS-a.

Ta nas činjenica uvodi u najrazorniji problem BlueBorne napada: milijuni i milijuni uređaja, od pametnih telefona do pametnih televizora i IoT gadgeterije, svi redom osjetljivi na napad koji je moguće izvesti bez fizičke prisutnosti i, uz dobru opremu, sa sigurne udaljenosti od žrtve. Jednom provaljen, mnogi takav uređaj ostat će provaljen. A ako vam paranoja još nije proradila, zamislite što se sve može učiniti sa pametnim televizorom koji ima ugrađenu kameru i mikrofon.

Svakako, još jedan razlog više da dobro razmislite o izoliranju privatne opreme korisnika u zasebnu mrežu: zaražene telefone teško ćete otkriti, a još teže očistiti. Teoretski, svaki od tih uređaja koji neće dobiti sigurnosnu zakrpu šetajući je vektor zaraze izvan vaše kontrole.

Za one koji žele znati više, autori su pripremili simpatičan whitepaper na adresi http://go.armis.com/blueborne-technical-paper.

Vijesti:

Sigurnosni propusti

Vote:

No votes yet

story_tag:

bluetooth

BlueBorne

Kontinuiranim razvijanjem Windows Defendera kao univerzalnog anti-malware rješenja za novije desktop i serverske Windows OS-ove, Microsoft je uspio to svoje „ružno pače“ pretvoriti u... pa ne baš labuda, ali svakako u respektabilan namjenski softver. Stavovi upućenih u antivirusni softver uglavnom su pozitivni, ili barem nisu tako ubitačno negativni kao ranije. :o)

Ono što se u raznim osvrtima na Windows Defender prečesto prešućuje, a vrijedi znati, jest da nas je Microsoft odlično opremio za udaljeno upravljanje WDefenderom. Već lokalnu instalaciju tog zaštitnog softvera možemo administrirati GUI aplikacijom Windows Defender (msascui.exe), CMD naredbom mpcmdrun.exe i PowerShell modulom Defender. Za udaljeno administriranje, što nam je kao IT profićima puno zanimljivije, raspolažemo PowerShellom, domenskim grupnim politikama (Group Policies) te s komercijalnim Microsoft System Center Configuration Manager,. Spomenimo još i WSUS jer se putem njega mogu distribuirati nadogradnje i antivirusne definicije pa nije potrebno opterećivati internet link.

Microsoft System Center Configuration Manager je najbolje rješenje za centralizirano upravljanje WDefender instancama ali se mora kupiti, stoga ćemo ga ovom prilikom elegantno zaobići. Što se tiče PowerShella, integralnog dijela Windowsa, niža slika pokazuje naredbe modula Defender. Sve su one opremljene parametrom –cimsession, što je jasan znak da se mogu iskoristiti za upravljenje WDefenderom preko mreže.

Lokalni help je opširan, stoga se sa svakom naredbom modula Defender možemo zbližiti naredbom općeg oblika get-help PSnaredba –full.

Ako su nam Windows računala u domeni, što je zamalo pa neizbježno zbog raznih benefita koje takva implementacija donosi, PowerShell je vrlo lako rabiti za obrađivanje više računala odjednom. Podsjetnik: ukoliko neko računalo nije podešeno za prihvat udaljenih PowerShell konekcija, odradimo na tom računalo kako je prikazano nižom slikom i sve će biti OK. Veći broj računala podesit ćemo grupnom politikom, postoje na Webu brojni članci koji to opisuju.

Naredbom što slijedi sabiramo informacije o WDefenderu s nekoliko računala i zapisujemo ih na disk admin stanice:

get-mpcomputerstatus –cimsession stanica1,stanica2,stanica3,server1 > defstatus.log

Kako to već biva, izvještaj možemo otvoriti kao cjelinu pa gubiti vid tragajući za ciljnim podacima, a možemo se poslužiti i naredbom poput niže. Ispisati će stanje (ažurnost) signatura na svakom pojedinačnom računalu.

select-string –path defstatus.log –pattern pscomputername,signature

Povremeno ćemo htjeti pogledati je li WDefender otkrio kakvu prijetnju:

get-mpthreatdetection –cimsession stanica1,stanica2,stanica3,server1

Zanima nas je li WDefender na serverima već povukao definiciju za najnoviji malware, recimo da je to WannaCry kojemu je Microsoft u svojim artikima dodijelio slično ime ali, jao, ne možemo se prisjetiti koje (službeni MS-ov naziv za predmetni ransomware je Win32\WannaCrypt)... evo kako ćemo zaviriti u baze WDefendera na serverima:

Get-MpThreatCatalog –cimsession server1,server2 | Where-Object {$_.threatname -like "*wannac*"} | more

Toliko o PowerShellu u kontekstu upravljanja WDefenderom, samo još spomenimo da ovaj alat svoju pravu snagu pokazuje u skriptnom načinu rada. S nekoliko kvalitetno napisanih skripti možemo djelovati na grupe ili sva Windows računala odjednom u vrlo kratkim vremenskim intervalima.

Glede domenskih grupnih politika, još jednog vrijednog alata svakog sistemca zaduženog za Windows računala, brojne opcije za konfiguriranje WDefendera nalaze se pod Computer Configuration > Administrative Templates > Windows Components. Niža slika pokazuje neke postavke koje kroz Default Domain Policy namećemo svim Windows računalima domene.

Na kraju ovog kratkog pregleda i jedno osobno iskustvo: vašem je autoru već godinama upravo Windows Defender glavni A/V softver na privatnim Windows instalacijama, s besplatnom off-line inačicom Malwarebytes kao „inspektorom inspektora“. Webom skitaram lokalno ulogiran kao običan korisnik, primjenjujem uobičajene mjere zaštite računala... i nemam nikakvih problema. Kad bih administrirao IT pogon s manjim brojem Windows desktop i serverskih instalacija (radim u firmi s tisućama Windows računala), svakako bih pokušao upogoniti besplatni Windows Defender, jasno, uz prethodni dogovor s nadređenima te uz primjenu uobičajenih filtriranja i kontrola na aktivnoj mrežnoj opremi.

Odlučite li dati šansu WDefenderu, ovaj web resurs puno će vam pomoći: https://docs.microsoft.com/en-us/windows/threat-protection/windows-defender-antivirus/windows-defender-antivirus-in-windows-10.

sri, 2017-09-20 15:00 - Ratko Žižek

Kuharice:

Kategorije:

Vote:

No votes yet

story_tag:

windows defender

udaljeno upravljanje

remote management

sri, 2017-09-20 15:35 - Radoslav Dejanović

Da i programski jezici mogu biti metom napada, pokazuje nedavno objavljena informacija da su u repozitorij programskog jezika Python ubačeni maliciozni moduli. Doduše, cijela priča više “vuče” na nečiji eksperiment nego na pravi kriminalni napad, no u svakom slučaju demonstrira ključni sigurnosni propust: nepostojanje racionalnog mehanizma sigurnosne provjere modula.

PyPI (https://pypi.python.org/pypi) je repozitorij modula za programski jezik Python; moduli su biblioteke koje sadrže već gotove funkcije koje programeri mogu po potrebi uključiti u vlastiti program i koristiti. Napadači su iskoristili nisku razinu sigurnosti kako bi u repozitorij ubacili deset biblioteka koje su u svojoj naravi kopije stvarnih biblioteka sa minimalnom promjenom u nazivu modula i sa izvjesnim “dodatnim kodom”. Programeri koji bi se zabunili i pogrešno napisali ime modula (typosquatting (https://en.wikipedia.org/wiki/Typosquatting)) – primjerice “setup-tools” umjesto “setuptools” ili “urlib3” umjesto “urllib3” - instalirali bi maliciozni modul umjesto pravog i pritom izvršili “dodatni kod”.

Malicioznih modula je deset:

– acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition)
– apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms)
– bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file)
– crypt (uploaded 2017-06-03 08:03:14, impersonates crypto)
– django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api)
– pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash)
– setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools)
– telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib)
– urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3)
– urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3)

No, ono što ovu priču čini zanimljivom je činjenica da maliciozni kod ne čini nikakvu štetu, već na IP adresu 121.42.217.44:8080 dojavljuje naziv instaliranog malicioznog modula, korisničko ime i ime računala na kojem je modul pokrenut. Maliciozni kod dug je dvadesetak linija, a posebno zanimljiv je ovaj dio:

except Exception,e:
# Welcome Here! ?
# just toy, no harm ?
pass

Kod je pisan za Python 2, i na trojci će prijaviti greške.

Ovakav komentar sugerira da autor nije imao kriminalnih namjera, već je vjerojatno riječ o eksperimentu ili PoC aktivnosti čiji je cilj ispitati sigurnost repozitorija, dokazati ranjivost i izmjeriti koliki utjecaj može imati, tj. koliko se lako može širiti.

Dapače, prije dvije godine netko se na Redditu zapitao upravo to: koliko je sigurno koristiti PyPI module: https://www.reddit.com/r/Python/comments/2kq4a0/pypi_packages_safe/

Otprilike u to vrijeme, isto se pitanje ponovilo na Stackexchange: https://security.stackexchange.com/questions/79326/which-security-measures-does-pypi-and-similar-third-party-software-repositories

Ovo nije jedini takav “napad” - već je otprije primjećen problem loše organizacije PyPI repozitorija koji dozvoljava stvari koje bi zdravorazumski trebale biti zabranjene: https://hackernoon.com/building-a-botnet-on-pypi-be1ad280b8d6

Čak i ako je ovo, kako se čini, djelo nekoga sa potencijalno dobrim namjerama, valja nam imati na umu da ne smijemo slijepo vjerovati repozitorijima koji nemaju ugrađen sustav provjere datoteka koje nude, kao i to da jednostavne provjere autentičnosti datoteke (hash) ne garantiraju da u njoj nema malicioznog koda. Typosquatting je dosta nezgodan problem i za takav napad potreban je ljudski faktor, a u takvom slučaju dužna pažnja je najbolja preventiva.

Puni advisory možete pronaći ovdje: http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/

Vote:

No votes yet

story_tag:

python

čet, 2017-09-21 14:35 - Željko Boroš

Danas je nezamislivo imati bilo kakav poslužitelj, a da nemate nekakvo rješenje za sigurnosnu kopiranje podataka, popularnije zvano backup. Pri tome riječ "danas" shvatite uvjetno, jer uvijek je bilo pametno imati nekakvu kopiju podataka. Naravno, ako ste imali mogućnosti da to i napravite.

Sada je situacija dobra, jer imate uslugu sys.backup, a vjerojatno i tračnu jedinicu, jer DVD-ovi danas nemaju kapacitet za spremanje bilo kakvog backupa, osim samo najosnovnijih i najbitnijih podataka. Sve je popularnije rješenje backup na diskove, što niske cijene sporih diskova čine ovaj pristup atraktivnim, pogotovo ako imate kakvo hardversko rješenje u vidu, primjerice, NAS-a. Svako rješenje za backup je dobro rješenje.

Višestruki backupi su također OK, sve dok ne morate ručno mijenjati medije ili nešto slično (pojedini sistemci, po vlastitom priznanju, na zahtjev uprave ručno snimaju backupe na DVD medije, koje zatim arhiviraju). No, način na koji radite backup zapravo nije bitan.

Bitno je sljedeće: kad ste zadnji put testirali svoj backup? Kada ste zadnji put provjerili "radi" li taj backup, jesu li datoteke tamo gdje jesu i možete li do njih, jesu li čitljive i je li sadržaj neoštećen?

Dakle, povremeno bi trebali testirati vraćanje pojedinih datoteka ili direktorija, te provjeru je li sve na svom mjestu, te jesu li datoteke čitljive, odnosno upotrebljive (neoštećene). Napravite scenarije, poput vraćanja direktorija /var/mail ili /home/korisnik, kako biste u budućnosti mogli brzo vratiti podatke, na svoje zadovoljstvo, a i korisnikovu radost.

Ovo vrijedi i za uslugu sys.backup, koja doduše "vrijedi zlata", ali možda utvrdite da nešto cijelo vrijeme ne radi kako treba, a to niste uočili. Jako dobro čuvajte direktorij /etc/bacula, jer bez ključa koji se nalazi unutar tog direktorija ne možete do svojih podataka. Ni CARNet ne može do njih, jer su enkriptirani, zato treba imati "backup" za backup, na nekom USB sticku ili snimljen na neki neizbrisivi medij.

Na kraju, dvije zanimljive (horor) priče, obje su pročitane davno na sysadmin listama i forumima, ali vrijede u sličnom obliku i danas.

Sistem-inženjer, odnosno tehničar vanjske tvrtke je bio zadužen za backup na nizu lokacija jedne američke tvrtke. Taj je posao savjesno i odgovorno obavljao. Medije je držao off-site, najčešće u automobilu kojeg je koristio za posao. No, u jednom trenutku je trebalo vratiti podatke, no ni jedan magnetski medij nije bio čitljiv. Ispostavilo se da su svi mediji izbrisani, odnosno oštećeni magnetskim poljem. Kako je automobil imao električno grijana sjedala, a tehničar je medije držao na zadnjem sjedištu dok se vozio između lokacija, svi su mediji oštećeni elektromagnetskim poljem sa sjedala i s njih se nije moglo ništa pročitati.

Jedna druga tvrtka je narasla dovoljno da je backup prerastao mogućnosti sistem-inženjera i zaposlena je osoba kojoj je posao trebao biti isključivo backup. Ta osoba je taj posao radila mjesecima, sve dok nije došao trenutak da je zbog havarije diska zatrebalo vratiti jedan backup. No, to nije bilo moguće napraviti, jer sve što je osoba radila je mijenjanje naljepnica na trakama (na kojima su posali datumi backupa, odnosno dani ponedjeljak, utorak...). Nijedan backup nije nikada napravljen. Ne zna se zašto ta osoba nije obavljala svoj posao, ni kako je prošla screening kod zapošljavanja.

No, nije ni bitno - da su postojale uspostavljene procedure provjere backupa, ovo se ne bi dogodilo. Pri tome zaista nije bitno jesu li priče 100% točne, istina je samo da Murphy nikada ne spava i ako će se nešto dogoditi, dogodit će u najnezgodnijem trenutku.

Odaberite zgodniji trenutak da backup "ne radi".

Kategorije:

Vote:

No votes yet

story_tag:

backup

provjera backupa

Systemd se diči kompatibilnošću sa dobrim starim SysVinitom. Prije svega to bi značilo da su zadržani runleveli, a onda i skripte koje podižu/spuštaju servise, smještene u /etc/rc[0-6].d direktorijima koje slijede logiku runlevela. No hajdemo pogledati je li to baš tako, da li je ispoštovana tradicija, ili nas samo žele umiriti kako se ne bi previše bunili, Jer, zna se, ljudi ne vole promjene, pogotovo ako su im nametnute.

Podsjetimo se kako izgleda veza runlevela i systemd targeta.

Runlevel    Target
0          poweroff.target
1                rescue.target
2,3,4          multi-user.target
5                graphical.target
6              reboot.target

Vidimo da su runleveli 2 (multiuser), 3 (multiuser + networking + services) i runlevel 4 (uglavnom se nije koristio) skupljeni u jednoj jedinici, multi-user.targetu. Ako na to dodamo još X-e, dobijemo runlevel 5 iliti po novome graphical.target.

Jednostavno i razumljivo objašnjenje ovog odnosa posudit ćemo iz man stranice za naredbu runlevel:

"Runlevels su zastarjeli način pokretanja i zaustavljanja grupa servisa koji se koristio u SysV initu. Systemd pruža sloj koji omogućuje kompatibilnost, ondnosno mapira runlevele s ciljevima (targetima) i naredbama poput runlevel. U SysVinitu samo je jedan runlevel mogao biti aktivan u datom trenutku, dok systemd može aktivirati višestruke targete istovremeno, pa je mapiranje targeta u runlevele samo opribližno i zapravo zbunjuje. Runlevele ne treba koristiti u novom kodu, a najkorisniji su samo kao jednostavan način komuniciranja s kernelom, odnosno njegovim boot parametrima."

Da je tome tako pokazat ćemo na primjeru graphical.targeta. Pogledajmo koji su sve targeti aktivni na toj razini koja nalikuje runlevelu 5. Provjerimo najprije trenutni runlevel, po starinski:

$ runlevel
N 5

Aktivan je samo jedan runlevel, onaj peti. A sad pogledajmo kako bi to izgledalo po novome, koji su targeti aktivni:

$ systemctl list-units --type=target
UNIT                   LOAD   ACTIVE SUB    DESCRIPTION
basic.target           loaded active active Basic System
cryptsetup.target      loaded active active Encrypted Volumes
getty.target           loaded active active Login Prompts
graphical.target       loaded active active Graphical Interface
local-fs-pre.target    loaded active active Local File Systems (Pre)
local-fs.target        loaded active active Local File Systems
multi-user.target      loaded active active Multi-User System
network-online.target  loaded active active Network is Online
network.target         loaded active active Network
nss-user-lookup.target loaded active active User and Group Name Lookups
paths.target           loaded active active Paths
remote-fs-pre.target   loaded active active Remote File Systems (Pre)
remote-fs.target       loaded active active Remote File Systems
slices.target          loaded active active Slices
sockets.target         loaded active active Sockets
sound.target           loaded active active Sound Card
swap.target            loaded active active Swap
sysinit.target         loaded active active System Initialization
time-sync.target       loaded active active System Time Synchronized
timers.target          loaded active active Timers

LOAD   = Reflects whether the unit definition was properly loaded.
ACTIVE = The high-level unit activation state, i.e. generalization of SUB.
SUB    = The low-level unit activation state, values depend on unit type.

20 loaded units listed. Pass --all to see loaded but inactive units, too.
To show all installed unit files use 'systemctl list-unit-files'.

Ako ste očekivali jednostavan i jezgrovit odgovor, poput onog koji daje naredba runlevel, prevarili ste se. Istovremeno je (na Ubuntu desktopu) aktivno 20 jedinica tipa target. Neke od njih nemaju veze sa runlevelima, naprosto su podrška za zvuk, na primjer. Na nekadašnjim U*X serverima time se ne bi ni zamarali, zar ne? Ali na današnjim desktopima, koji se moraju nadmetati u ljubaznosti prema korisnicima, ovakvo postavljanje ima smisla.

Zadnji redak ispisa sugerira da možemo izlistati sve jedinice, uključivo i one jedinice koje nisu aktivne.

$ systemctl list-units --type=target --all
UNIT                      LOAD   ACTIVE   SUB    DESCRIPTION
basic.target              loaded active   active Basic System
cryptsetup.target         loaded active   active Encrypted Volumes
emergency.target          loaded inactive dead   Emergency Mode
failsafe-graphical.target loaded inactive dead   Graphical failsafe fallback
final.target              loaded inactive dead   Final Step
getty.target              loaded active   active Login Prompts
graphical.target          loaded active   active Graphical Interface
halt.target               loaded inactive dead   Halt
local-fs-pre.target       loaded active   active Local File Systems (Pre)
local-fs.target           loaded active   active Local File Systems
multi-user.target         loaded active   active Multi-User System
network-online.target     loaded active   active Network is Online
network-pre.target        loaded inactive dead   Network (Pre)
network.target            loaded active   active Network
nss-user-lookup.target    loaded active   active User and Group Name Lookups
paths.target              loaded active   active Paths
reboot.target             loaded inactive dead   Reboot
remote-fs-pre.target      loaded active   active Remote File Systems (Pre)
remote-fs.target          loaded active   active Remote File Systems
rescue.target             loaded inactive dead   Rescue Mode
shutdown.target           loaded inactive dead   Shutdown
slices.target             loaded active   active Slices
sockets.target            loaded active   active Sockets
sound.target              loaded active   active Sound Card
swap.target               loaded active   active Swap
sysinit.target            loaded active   active System Initialization
time-sync.target          loaded active   active System Time Synchronized
timers.target             loaded active   active Timers
umount.target             loaded inactive dead   Unmount All Filesystems

LOAD   = Reflects whether the unit definition was properly loaded.
ACTIVE = The high-level unit activation state, i.e. generalization of SUB.
SUB    = The low-level unit activation state, values depend on unit type.

29 loaded units listed.
To show all installed unit files use 'systemctl list-unit-files'.

Ispada da su neke jedinice učitane, ali nisu aktivne, na primjer rescue.target koji je zadužen za vraćanje u jednokorisnički način rada, da bi admin mogao na miru pronaći i riješiti probleme.

U SysVinit sustavima u tu svrhu napisali bi, s admin ovlastima:

# init 1

ili

# init single

Analogno, sada bi to, na prvi pogled, trebalo napraviti ovako nekako:

# systemctl start rescue.target

Ali to bi bilo pogrešno. Kako su nekadašnji runleveli ovdje izmješani, ispravna sintaksa naredbe jest:

# systemctl isolate rescue.target

Izolacija ovdje znači da treba eleminirati sve unite koji su suvišni za jednokorisnički način rada bez mreže i mrežnih servisa. Dobro je imati na umu zašto prizvati parmetar isolate. Kad jednom steknemo samopouzdanje, moći ćemo naredbu pisati i ovako:

$ systemctl rescue

Tada će se pokrenuti naredba wall koja će svim korisnicima ispisati obavijest "The system is going down to rescue mode NOW!"

Ako je raspad sustava toliki da se ne može ući u jednokorisnički spasilački način rada, systemctl nudi još jednu razinu niže:

$ systemctl emergency

Time ćemo montirati root filesystem samo za čitanje, ali neće se montirati ni jedan drugi lokalni datotečni sustav i, naravno, radit ćemo bez mreže. Ako bismo to pokušali prevesti u logiku runlevela, to bi bio runlevel 0,5. ;)

Targeti su, rekli smo, skup unita različitih vrsta, grupiranih na smislen način. Vidjeli smo na našem primjeru da je učitano 29 targeta, od kojih je 20 aktivno. Ako želimo vidjeti sve unite koji sačinjavaju te targete, naredba bi bila:

$ systemctl list-unit-files

Nećemo ovdje prenijeti ispis svih unita. Bit će jasno zašto ako samo zbrojimo unite:

$ systemctl list-unit-files | wc -l
295

Ako želimo upoznati sve unite, bit će to ogroman posao. Zanimat će nas i njihova međuovisnost, koju možemo vizualizirati ovako:

$ systemctl list-dependencies cron.service
cron.service
● ├─system.slice
● └─sysinit.target
●   ├─apparmor.service
●   ├─brltty.service
●   ├─console-setup.service
●   ├─dev-hugepages.mount
●   ├─dev-mqueue.mount
●   ├─friendly-recovery.service
●   ├─keyboard-setup.service
●   ├─kmod-static-nodes.service
●   ├─plymouth-read-write.service
●   ├─plymouth-start.service
●   ├─proc-sys-fs-binfmt_misc.automount
●   ├─resolvconf.service
●   ├─setvtrgb.service
●   ├─sys-fs-fuse-connections.mount
●   ├─sys-kernel-config.mount
●   ├─sys-kernel-debug.mount
●   ├─systemd-ask-password-console.path
●   ├─systemd-binfmt.service
●   ├─systemd-hwdb-update.service
●   ├─systemd-journal-flush.service
●   ├─systemd-journald.service
●   ├─systemd-machine-id-commit.service
●   ├─systemd-modules-load.service
●   ├─systemd-random-seed.service
●   ├─systemd-sysctl.service
●   ├─systemd-timesyncd.service
●   ├─systemd-tmpfiles-setup-dev.service
●   ├─systemd-tmpfiles-setup.service
●   ├─systemd-udev-trigger.service
●   ├─systemd-udevd.service
●   ├─systemd-update-utmp.service
●   ├─cryptsetup.target
●   ├─local-fs.target
●   │ ├─-.mount
●   │ ├─systemd-fsck-root.service
●   │ └─systemd-remount-fs.service
●   └─swap.target
●     └─dev-disk-by\x2duuid-6f04dafa\x2da58c\x2d40ef\x2da96e\x2d6aa202741932.swap

Zabavno, zar ne?

Na kraju, ostaje nejasno čemu zapravo služe skripte u /etc/rcX.d? Nalik su na slijepo crijevo, organ koji je nekad davno vjerojatno imao funkciju, ali je sada nepotreban. Ako idete editirati te skripte, ništa nećete postići. Doduše, postoji način da se promjene u rc. skriptama aktiviraju, ali o tome možda drugom prilikom.

Sve u svemu, najbolje je zaboraviti runlevele, kao da ih nikada nije bilo, a prihvatiti novotarije kao da su tu oduvjek. A priče o runlevelima neka ostanu za nas stare sistemce, kad se uz kavu budemo prisjećali "dobrih starih vremena".

sub, 2017-10-07 17:47 - Aco Dmitrović

Kuharice:

Kategorije:

Vote:

No votes yet

story_tag:

systemd

runlevels

Danas je petak trinaesti, pa ćemo prigodno zaviriti u naličje svijeta, na "tamnu stranu". Ispričat ćemo istinitu priču o tome kako je niz pogrešnih postupaka, nenamjernih i namjernih, doveo do katastrofe koja potencijalno pogađa 200 milijuna žrtava.

Davne 1989. vlada SAD donijela je odluku da će povjeriti osjetljive osobne podatke svojih građana trima velikim financijskim korporacijama: TransUnionu, Experianu i Equifaxu. Ove tvrtke čuvaju podatke o financijskim transakcijama, adresama stanovanja i kreditnu povijest građana SAD.

Sedmog ožujka ove godine razvojni tim Apache Stratusa, java platforme za razvoj aplikacija koju rado koristi financijska industrija, objavio je zakrpu koja rješava otkriveni sigurnosni propust. Sistemci Equifaksa propustili su instalirati zakrpu.

U svibnju (dva mjeseca kasnije) napadači su otkrili da su serveri Equifaxa ranjivi, provalili su i počeli prebacivati podatke. Kradljivci su na miru preko dva mjeseca imali na raspolaganju osobne podatke 143 miliona Amerikanaca, 44 miliona Britanaca i nepoznatog broja Kanađana, ukupno oko 200 miliona ljudi. Radi se o dosad najvećem gubitku osobnih podataka u povijesti informacijske ere, zapravo u povijesti čovječanstva. Podataka koji se mogu iskoristiti za krađu identiteta: imena, rođendani, sadašnje i prethodne adrese stanovanja, identifikacijski brojevi (br. socijalnog osiguranja i vozačke dozvole) i brojevi kreditnih kartica. Kriminalci sad mogu počistiti nečije račune, napraviti dugove i uništiti ljudima kreditni status. Mogu otvoriti nove račune u bankama s ukradenim identitetom, izvaditi nove osobne dokumente i lažno se predstavljati. Ako počine kazneno djelo, policija bi mogla pokucati na vrata čovjeku čiji je identitet ukraden.

Provala je otkrivena 29. srpnja, nakon čega su instalirane zakrpe, sa zakašnjenjem od gotovo pet mjeseci.

Usprkos regulativi koja propisuje da se gubitak osobnih podataka mora prijaviti "nadležnim tijelima" i ugroženim klijentima, uprava Equifaxa odlučila je odugovlačiti s objavom. Menadžeri su prodali svoje dionice Equifaxa u vrijednosti 2,000.000 $, predviđajući da će im cijena nakon objave pasti, što je eklatantni "insider trading", ili u duhu opisne prirode hrvatskog jezika, "zloupotreba povlaštenih informacija u prometu vrijednosnih papira".

Tek su 9. rujna (38 dana nakon otkrića) javnost upoznali s provalom, objavivši na web stranici kontakte za zamrzavanje računa. Nisu omogućili klijentima da zahtjev ispune preko weba, što bi bio najbrži put, nego su objavili brojeve telefona i adrese poštanskih pretinaca.

Ponudili se godinu dana besplatne zaštite od krađe identiteta, ali su u tekst ubacili "sitnim slovima" da se klijenti time odriču prava da protiv Equifaxa dignu tužbu. Tu su klauzulu kasnije povukli pod pritiskom javnosti.

Objavili su web stranicu na kojoj građani mogu provjeriti da li su njihovi podaci ukradeni. Bistri korisnici otkrili su da stranica daje nasumične odgovore i zaključili da u Equifaxu zapravo nemaju pojma čiji su podaci ukradeni.

Kao dodatnu zaštitu klijentima su dodjeljivali automatski PIN, za koji se pokazalo da je samo "timestamp" koji označava trenutak zamrzavanja računa. Ako otkrijete kad je netko zamrznuo račun, eto vam njegov PIN!

Nekoliko političara zatražilo je pokretanje istrage o indcidentu, a jedna odvjetnička tvrtka podiže tužbu vrijednu 70 milijardi dolara protiv Equifaxa. Vidjet ćemo kako će to završiti. Pretpostavljam da će se tvrtka nagoditi i jeftino izvući. Možda mislite da će Equifax izgubiti ugovor s državom i unosnu zaradu?

Incident se lako mogao izbjeći: zašto nisu odmah instalirane zakrpe? Je li to vječni sukob između sistemaca i aplikativaca: sistemci bi odmah instalirali sve zakrpe, ali aplikativci im to brane, jer je moguće da nakon toga neke aplikacije više neće raditi. Rješenje je jednostavno: lab u kojem se zakrpe instaliraju na testne servere, pa onda u produkciju. Nije previše teško, zar ne?

Zanimljiv je redoslijed prioriteta u glavama Equifaxovih menadžera. Najprije su se pobrinuli za sebe, rasprodavši dionice, zatim za tvrtku, kupujući vrijeme dok smisle kako smanjiti štetu. Na trećem im je mjestu bilo poštivanje zakona, ali taj dio su manje više loše odglumili. Briga o građanima dolazi tek na kraju. Equifax se očigledno ne boji posljedica, jer drsko izjavljuje da menadžeri koji su prodavali dionice nisu u tom trenutku znali za krađu podataka! Pa nek sad netko dokaže suprotno!

Što se savjetuje potencijalnim žrtvama? Preporuka je da odmah zatraže svoje bilance, odnosno financijske kartice. Iz toga se vidi da li je netko već počeo trošiti njihove novce, a ako nije, može se dokazati nulto stanje prije mogućeg odljeva sredstava. Nakon toga treba zatražiti "zamrzavanje" računa. Ispuni se on-line obrazac i uplati 10$. Ali to treba, čini se, napraviti za svaku financijsku ustanovu posebno! Nakon zamrzavanja mogu se otplaćivati postojeći krediti i rate ranijih kupovina, ali ne može se ulaziti u nove slične aranžmane. Poanta je da tako blokirate i kradljivca vašeg identiteta. Nadalje, savjetuje se da imate pri ruci izvode iz matičnih knjiga za sve članove obitelji - to je najbolji dokaz identiteta. I na kraju, savjetuju im da što prije predaju poreznu prijavu!? Zašto? Zato što kriminalci to znaju napraviti umjesto žrtve, pa pokupiti povrat poreza!

Načelan savjet stanovnicima SAD jest da se ubuduće ponašaju kao da su njihovi osobni podaci postali javni! Treba biti na oprezu kad vam se obraćaju nepoznati ljudi koji se predstavljaju kao predstavnici banaka ili drugih institucija. To što znaju vaše osobne podatke nije dokaz za zaista rade za ustanovu koju navodno predstavljaju.

Stručnjaci za sigurnost gledaju u budućnost i razmišljaju kako bi se ovakvi problemi mogli spriječiti. Obična šifra kao što je broj socijalnog osiguranja (kod nas OIB ili JMBG) više nije dovoljna kao dokaz identiteta. Trebalo bi uvesti složenije zaštite, nešto poput javnog i privatnog ključa. Tvrtke poput Equifaxa tada bi čuvale samo javni ključ, s kojim kriminalci ne mogu ništa. No tada bismo sami bili odgovorni za čuvanje privatnih ključeva.

Dodatnu dimenziju ovoj priči dao je legendarni Bruce Shneier. Po njemu, tržište nije u stanju riješiti ovaj problem. Jer građani SAD nisu birali kojoj će tvrtki povjeriti čuvanje osobnih podataka, taj je izbor netko učinio za njih. Po njemu, Equifax je samo "data broker". Equifax i slične tvrtke nisu samo zadužene za provjeru naše kreditne sposobnosti, one žive od prodaje tih podataka. Naši osobni podaci su vrijedni, ako mi to sami ne znamo, onda to znaju banke koje nas žele provjeriti prije nego nam odluče dati kredit, poslodavci koji razmišljaju da li da nas zaposle, iznajmljivači koji žele znati tko će im se useliti...

Sila koja trenutno pogoni Internet je "špijunski" kapitalizam (suveilance capitalism), kaže Schneier. Svi nas prate, čim otvorimo neku web stranicu to se bilježi. Facebook je, kaže Schneier, najveća organizacija za nadziranje, praćenje ljudi koju je čovječanstvo stvorilo. Schneier nema račun na Facebooku, ni gmail adresu, ali oni i bez toga imaju mnoštvo informacija o njemu jer većina ljudi s kojima komunicira ima tamo račune. Schneier kaže da "nismo klijenti, već proizvod" takvih tvrtki. Njih zapravo i nije previše briga hoće li izgubiti naše osobne podatke, jer smo time pogođeni samo mi. Oni će pričekati da se medijska prašina slegne i nastaviti po starom. Sjeća li se još netko koliko je osobnih podataka izgubio Yahoo? Bilo pa prošlo! I zato bi Vlada trebala uskočiti, jer je ona jedina u stanju podići letvicu, natjerati tvrtke da brinu o sigurnosti i strože ih kažnjavati ako to propuste.

Ako smo mi kao građani okruženi tvrtkama (koje žele zaraditi na nama) i kriminalcima (koji bi nas rado opljačkali), onda ispada da bi nas država trebala zaštiti i od jednih i od drugih. No, ako malo razmislimo, i država bi htjela znati sve o nama, upravo zato da bi nas štitila!?.

Na primjeru naše domaće vlasti očigledno je da država zadužena do grla ovisi o bankama i njihovim skrivenim vlasnicima, pa je Vladi lakše ostaviti građane na cjedilu nego se zamjerati stvarnim gospodarima svijeta. Na TV smo gledali primjer našeg sugrađana koji vraća kredit koji nije podigao i uzalud banci dokazuje da nije on sklopio ugovor. Banka ima presliku njegove osobne (krivotvorinu, ili je procurila kopija iz neke firme koja nas legitimira, na pr. telekoma?!). Vjerojatno bi se našla i video snimka na kojoj bi se provjerio izgled potpisnika (poslovnice su pune video kamera). No da li je itko zatražio takvu provjeru? Banci je zapravo posve svejedno tko će vratiti kredit. Sjećate se primjera kad su ljudi kupili stan u novogradnji, građevinska tvrtka je propala i ostala dužna banci. Sada banka naplaćuje kredit od stanara, koji moraju dva puta kupiti isti stan. Tako je presudio sud. Sve po zakonu. Tko im kriv što su potpisali loš ugovor? Nitko se u ovoj državi ne pita kako je takav ugovor uopće zakonit? Toliko o brizi države za građane.

Možda je rješenje u građanskom aktivizmu? U TV prilogu se spominje ime banke, ali da li je itko radi toga zatvorio račune u toj banci? Da li je itko pokušao organizirati bojkot? Banka bi se zamislila kad bi klijenti masovno počeli zatvarati račune. Ništa od građanske solidarnosti i aktivizma. Živi se u kolotečini, tuđi problemi su tuđi problemi, svatko se brine za sebe i nada se da će ga zla sreća zaobići.

Znači li to da je svatko prepušten sam sebi? Bojim se da je tako. Rješenje je edukacija i preventiva, a ako to zakaže, treba koristiti sva pravna sredstva, zakone koji nas načelno štite i naći dobrog odvjetnika.

Petak je trinaesti, pa ćemo si dozvoliti veću dozu skepticizma nego inače. Bitka se čini unaprijed izgubljena, jer većina ljudi još misli da živimo u prošlosti, u industrijskoj eri i nespremni su za izazove postindustrijskog, informacijskog doba, u kojem je informacija najvrijednija imovina. Možda nam primjer Equifaxa i njegovih klijenata/proizvoda, omogući da nešto naučimo iz tuđeg iskustva.

pet, 2017-10-13 19:13 - Aco Dmitrović

Vijesti:

Kategorije:

Vote:

No votes yet

story_tag:

kolumna

informacijska sigurnost

osobni podaci

U IT svijetu svakih nekoliko godina dođe vrijeme zamjene zastarjelih uređaja novima, bilo to iz razloga otkazivanja starog uređaja ili njegovih nezadovoljavajućih performansi za nove potrebe.

U našem slučaju dogodila se kombinacija tih dvaju razloga – sedmogodišnji poslužitelj koji je bio u funkciji primarnog domenskog kontrolera na ustanovi već je pomalo kašljucao pod teretom godina, postao poprilično spor i neresponzivan u radu, i još se k tome svakih nekoliko dana jednostavno smrzavao (vjerojatno zbog hardverskih problema i postupnog otkazivanja neke komponente). U vrijeme kada je on nabavljen aktualna verzija Windows Server OS-a bila je 2008R2, a zbog poslovične opterećenosti sistemca ta verzija je ostala i do sadašnjeg vremena. Kako smo uspjeli nabaviti novi, moderan i snažan poslužitelj, trebalo je napraviti migraciju svega sa sedmogodišnjaka na novi stroj. Trenutna verzija Windows Servera je 2016, pa je stoga logičan odabir bio upravo taj OS.

Na starom poslužitelju bile su instalirane sljedeće role: Active Directory Domain Services, DNS Server i File Services. Bitno je napomenuti da je GPO-ima konfigurirano da se korisnički profili svih domenskih korisnika (u našem slučaju zaposlenih na ustanovi), kao i njihovi Documents folderi preusmjeravaju upravo na taj poslužitelj. Iz tog smo razloga željeli da nakon završene migracije ime novog poslužitelja bude identično imenu starog. Kako je stari poslužitelj bio ujedno i DNS poslužitelj za sva računala u ustanovi, bitno je bilo i zadržati istu IP adresu na novome (da ne bismo morali rekonfigurirati mrežne postavke na korisničkim računalima).

U nastavku ćemo ukratko opisati slijed radnji potreban za migraciju starog poslužitelja na novi. Ova kuharica je napravljena za ovaj konkretan slučaj – potrebno ju je prilagoditi ako je potrebno migrirati drukčiji skup rola.

Pretpostavimo da je konfiguracija starog poslužitelja sljedeća:

Computer Name: DC1
OS: Windows Server 2008 R2
IP: 192.168.0.10

Na novi poslužitelj potrebno je instalirati Windows Server 2016 i postaviti mu naziv i adresu:

Computer Name: DC1-new
OS: Windows Server 2016
IP: 192.168.0.20

Zatim je potrebno poslužitelj DC1-new spojiti u postojeću domenu i nakon restarta logirati se kao domenski administrator. Nakon automatskog pokretanja „Server Manager“ aplikacije, pokrenimo čarobnjak Add Roles and Features:

Sada je potrebno instalirati samo rolu Active Directory Domain Services, sve ostale dijelove čarobnjaka možemo prijeći pritiskom na Next dugme:

Po završetku instalacije role (potrajat će koju minutu) ponudit će nam se mogućnost Promote this server to a domain controller koju treba svakako prihvatiti.

U novootvorenom čarobnjaku potrebno je odabrati Add a domain controller to an existing domain. U drugom koraku označimo (ako već nije tako) da novi poslužitelj treba biti DNS server i Global Catalog (GC) i upišemo Directory Services Restore Mode lozinku:

U sljedećim koracima možemo prihvatiti default postavke, uz iznimku Additional Options gdje pod Replicate from treba odabrati stari poslužitelj kako bi se AD replicirao s njega. Po završetku čarobnjaka poslužitelj će se ponovo pokrenuti i nakon prijave s ovlastima domenskog administratora možemo se uvjeriti da je naš novi poslužitelj postao dodatni domenski kontroler i DNS poslužitelj na našoj domeni!

Idući korak je prijenos FSMO uloga na novi poslužitelj. U konzoli možemo provjeriti kome su trenutno dodijeljene FSMO uloge, stanje bi trebalo biti ovakvo:

C:\Users\Administrator.DOMENA>netdom query fsmo
Schema master               DC1.domena.local
Domain naming master        DC1.domena.local
PDC                         DC1.domena.local
RID pool manager            DC1.domena.local
Infrastructure master       DC1.domena.local

U ovakvoj situaciji svih pet FSMO uloga obavlja naš stari poslužitelj DC1 i treba ih migrirati na novi. Za migracije posljednje tri uloge potrebno je pokrenuti Active Directory Users and Computers aplet, napraviti desni klik na našu domenu i odabrati Operations Masters:

Otvorit će nam se novi prozor s tabovima RID, PDC i Infrastructure koristeći koje možemo migrirati odgovarajuće uloge na novi poslužitelj:

Za migraciju Domain Naming Master uloge otvaramo aplet Active Directory Domains and Trusts, napravimo desni klik na Active Directory Domains and Trusts, odaberemo Operations Master i jednakim postupkom kao u prethodnom koraku migriramo i tu ulogu.

Preostala nam je još samo Schema master uloga. Za njezinu migraciju prvo moramo iz naredbenog retka registrirati odgovarajuću DLL datoteku i pokrenuti MMC konzolu:

C:\Users\Administrator.DOMENA>regsvr32 schmmgmt.dll
C:\Users\Administrator.DOMENA>mmc

U MMC konzoli pokrenemo čarobnjak za dodavanje novog snap-in-a (File – Add/Remove Snap-in) i dodamo Active Directory Schema. Sada napravimo desni klik na Active Directory Schema, odaberemo Operations Master:

i na već dobro znani način migriramo i Schema master ulogu.

Provjerimo je li sve u redu i je li migracija svih uloga uredno završila. Situacija bi sada trebala biti ovakva:

C:\Users\Administrator.DOMENA>netdom query fsmo
Schema master               DC1-new.domena.local
Domain naming master        DC1-new.domena.local
PDC                         DC1-new.domena.local
RID pool manager            DC1-new.domena.local
Infrastructure master       DC1-new.domena.local

Još nam je preostalo prekopirati korisničke profile i podatke sa starog poslužitelja na novi i promijeniti imena i IP adrese poslužiteljima. Ove je zadatke preporučljivo raditi u vrijeme kada korisnici nisu prijavljeni na svoja računala (kasno navečer, vikend) kako ne bi došlo do neželjenog gubitka podataka za vrijeme migracije.

Na starom poslužitelju imali smo foldere D:\Profiles i D:\UserData koji su bili mrežno dijeljeni i u kojima su bili pohranjeni korisnički podaci. Potrebno je takve iste foldere napraviti i na novom poslužitelju, podesiti im iste postavke dijeljenja i potom upotrijebiti robocopy naredbu za kopiranje foldera i datoteka uz zadržavanje svih njihovih atributa. Na starom poslužitelju izvršit ćemo naredbe:

C:\Users\administrator.DOMENA>robocopy d:\UserData\ \\DC1-new\d$\UserData *.* /mir /B /sec /r:0 /w:1 /LOG:D:\copy_userdata.txt /XF "desktop.ini""thumbs.db"

C:\Users\administrator.DOMENA>robocopy d:\Profiles\ \\DC1-new\d$\Profiles *.* /mir /B /sec /r:0 /w:1 /LOG:D:\copy_profiles.txt /XF "desktop.ini""thumbs.db"

Izvršavanje ovih naredbi bi, ovisno o veličini kopiranih foldera i brzini mrežnih sučelja na poslužiteljima, moglo potrajati i nekoliko sati. Nakon završetka, u log datotekama copy_userdata.txt i copy_profiles.txt može se provjeriti jesu li svi podaci uspješno preneseni.

Stari smo poslužitelj odlučili još neko vrijeme ostaviti u funkciji, dok se ne uvjerimo da je sve u redu. Iz tog smo mu razloga prvo promijenili IP adresu na, primjerice 192.168.0.21 a zatim i ime. Microsoft ne preporučuje mijenjanje imena domenskim kontrolerima, no mi smo zanemarili ta upozorenja i nadali se da će sve proći u redu. :)

Za ovu svrhu nikako se ne smije koristiti uobičajeni način promjene imena računala iz System Properties apleta, već ćemo se poslužiti naredbenim retkom:

C:\Users\administrator.DOMENA>netdom computername DC1.domena.local /add:DC1-old.domena.local
C:\Users\administrator.DOMENA>netdom computername DC1.domena.local /makeprimary:DC1-old.domena.local

Ovim smo naredbama dodali novo ime (DC1-old) poslužitelju i proglasili to ime primarnim. Sada je potrebno restartati poslužitelj, obrisati staro ime:

C:\Users\administrator.DOMENA>netdom computername DC1-old.domena.local /remove: DC1.domena.local

i provjeriti je li sve u redu npr. dcdiag naredbom. Također, potrebno je i provjeriti zapise u DNS-u i eventualno ih popraviti da odgovaraju novonastalom stanju.

Sada je još ostala finalizacija novog poslužitelja. Prvo mu treba promijeniti IP adresu na 192.168.0.10 i ponovo provjeriti DNS zapise. Na žalost, ranije opisani postupak promjene imena nam nije pošao za rukom na novom poslužitelju, a bilo nam je bitno da ime primarnog domenskog kontrolera i dalje bude DC1, pa smo pribjegli triku s DNS-om. Naime, u DNS-u smo dodali alias (CNAME zapis) DC1 i postavili ga da cilja na DC1-new. Na taj su način mrežne putanje do korisničkih profila i dokumenata ostale nepromijenjene (\\DC1\Profiles, odnosno \\DC1\UserData), promjena domenskog kontrolera je prošla potpuno transparentno za naše korisnike, a sistemac može mirno spavati znajući da mu je Active Directory siguran na novom poslužitelju.

pon, 2017-10-23 21:20 - Petar Taler

Kuharice:

Kategorije:

Software

Vote:

No votes yet

story_tag:

active directory

windows server

migracija

uto, 2017-10-31 12:02 - Aco Dmitrović

Unixoidi su dosad logove (dnevničke zapise) zapisivali kao običan tekst, a iskusni sistemci naučili su ih "grepati" kako bi iz njih filtrirali informacije koje ih zanimaju. No Lennart Poettering odlučio je to promijeniti, pa tako systemd zapisuje binarne logove. To je naravno izazvalo rasprave, čak je Linus Thorvalds bio protivan. Znamo da njega nije teško naljutiti. :) No Lennar bez uvijanja objašnjava što ga je navelo da promijeni uhodanu praksu.

Evo njegovih prigovora dosadašnjem načinu zapisivanja dnevnika.

Poruke koje se zapisuju u logove u čovjeku razumljivom obliku nemaju propisan standard i programeri mogu u novim verzijama softvera unositi izmjene. Programi za analizu logova koriste pravilne izraze koje treba stalno prilagođavati. Lennart to naziva "regex horror".
Iako je na prvi pogled lako čitati logove, ipak je teško uspostavljati korelaciju među različitim zapisima.
Syslog ne zapisuje informacije o zbivanjima u ranoj fazi podizanja niti pri kraju spuštanja OS-a.

Tu su i brojni sigurnosni problemi:

Bilo koji proces može tvrditi da ja Apache server i syslog će zapisivati njegove poruke bez provjere

Napadač može s lakoćom mijenjati sadržaj logova i prikrivati tragove

Kontrola pristupa je po principu sve ili ništa, znači da korisnik ili ne vidi logove ili ima sva prava nad njima

Vremenski zapis ne uključuje podatak o vremenskim zonama

Syslogov mrežni protokol je vrlo elementaran i ograničen, šalje pakete bez provjere da li su uredno spremljeni na ciljnom računalu

Rotacija i kompresija starih logova postoje, ali bez provjere zauzeća diska, tako da DoS napad može izazvati zapunjavanje particije.

Ne postoji "rate limiting", odbacivanje zapisa u slučaju preopterećenja sustava

Mora se priznati, sve su to valjani argumenti. Sistemci starog kova doduše rado koriste posebnu particiju za logove, kako u slučaju napada zapunjavanje te particije ne bi ugrozilo root particiju i rad OS-a. Pogledajmo kako je te probleme riješio Lennart, odnosno njegov systemd.

Proces koji je po novom zadužen za logiranje zove se systemd.journald. Admin može u konfiguraciji odlučiti da li će logove čuvati trajno, ili privremeno u radnoj memoriji, a može i posve isključiti logiranje. Ako želi logove u RAM-u, dateteka će biti smještena u /run/log/journal direktoriju. Trajni zapis smješta se u /var/log/journal. Razlika je u tome što je /var na tvrdom disku, a /run u ramdisku. U /run particiju, koja je tipa privremenog datotečnog sustava (tmpfs) smještaju se podaci trenutno potrebni za rad sustava, ali ih ne treba čuvati da bi bili dostupni nakon restarta.

Sa system daemonom više nema potrebe za dodatnim procesom koji se bavi rotiranjem logova, jer journald cijelo vrijeme vodi računa o zauzeću diska i čisti stare zapise.

Konfiguracija journal daemona nalazi se u datoteci journald.conf, a njena lokacija varira. Ubuntu je smješta u /etc/systemd/journald.conf, ali može biti u /run/systemd/ ili /usr/lib/systemd. Osim toga, neki paketi mogu instalirati svoje konfiguracije u poddirektorije, na primjer u /etc/systemd/journald.conf.d/.

U isporučenom journald.conf konfiguracijske varijable su redom zakomentirane, što bi značilo da su aktivne defaultne vrijednosti. Na nama je da unesemo promjene ako nam se nešto ne sviđa.

Na početku piše ovo:

[Journal]
#Storage=auto

Storage može imati četiri vrijednosti:

“none” isključuje logiranje

“volatile” sprema log u memoriju gdje je dostupan do gašenja računala

“persistent” šalje log na tvrdi disk u /var/log/journal
"auto" je načelno kao persistent, ali samo ako postoji direktorij /var/log/journal; u protivnom zapis ide u RAM, odnosno /run/systemd.

Na prvi je pogled zadnja vrijednost, "auto", posve nepotrebna jer ne donosi ništa što bi prethodne propustile. Zapisivanje na tvrdi disk ovisi o tome da li je kreiran direktorij /var/log/journal, što lako promakne pažnji, pa se može dogoditi da admin i ne zna gdje mu idu logovi, sve dok ih ne krene tražiti.

Naredna varijabla određuje da li komprimirati starije zapise. Podrazumijeva se da je kompresija uključena.

#Compress=yes

Tu su i dvije grupe varijabli koje služe ograničavanju veličine zapisa, da se ne bi zagušila particija. Prva grupa se bavi ograničenjem prostora, a podijelili smo ih u stupce zavisno od toga da li se odnose na zapis u RAM-u (volatile) i na tvrdom disku (persistent).

Volatile	Persistent
RuntimeKeepFree	SystemKeepFree	Određuje koliko prostora log mora ostaviti drugim aplikacijam, default 15%
RuntimeMaxUse	SystemMaxuse	Maksimalna veličina žurnala, default 10%
RuntimeMaxFileSize	SystemMaxFileSize	Najveća veličina datoteke, default je 1/8 od MaxUse.

Ime varijable je slično u oba slučaja, razlika je u prefiksu. Ako počinje s Runtime, odnosi se na zapis u RAM-u, a System označava trajni zapis na disku.

Druga grupa bavi se ograničenjem vremena čuvanja zapisa.

MaxRetentionSec	Maksimalno vrijeme čuvanja zapisa. Podrazumijevana vrijednost je 0.
MaxFileSec	Dok se prethodna varijabla odnosi na žurnale u cjelini, ova se bavi pojedinačnin datotekama

Journald može slati poruke na razne strane, na primjer syslogu, što je zgodno ako na primjer imate jedan server koji prikuplja logove svih drugih servera. Nazivi postavki govore dovoljno, ne treba im objašnjenje:

ForwardToSyslog

ForwardToWall

ForwardToKMsg

ForwardToConsole

Naredne postavke određuju koja će se vrsta zapisa bilježiti, da li samo kritične greške ili sve odreda, ili nešto između.

MaxLevelStore	0 ili “emerg”
	1 ili “alert”
	2 ili “crit”
	3 ili “err”
	4 ili “warning”
	5 ili “notice”
	6 ili “info”
	7 ili “debug”

Kako se poruke mogu usmjeravati na razne strane, predviđene su postavke za svako odredište zasebno:

MaxLevelSyslog

MaxLevelKMsg

MaxLevelConsole

MaxLevelWall

Na primjer, na konzoli vjerojatno želite gledati samo kritične greške.

Toliko o zadavanju postavki i konfiguriranju journal daemona. U narednom nastavku naučit ćemo kako pretraživati binarne logove.

Vote:

No votes yet

story_tag:

systemd

journald

„Sjećam se vremena“ – započeo bi Broj 1 jednu od svojih poučnih besjeda – „kad su vrijedni admini Linux servera prebivali u komandnoj liniji od jutra do sutra, i svetkom i petkom. A onda se pojaviše svakojaki smutljivci i dangube te počeše zagovarati GUI alate za lokalno i udaljeno upravljanje serverima, tako danas linuxaši imaju zavidni arsenal alata s grafičkim korisničkim sučeljem. Nasuprot ovome, kronično lijeni admini Windows servera uživaju u sistemskom GUI-u „od stoljeća sedmog“, a u komandnoj liniji završe samo spletom nesretnih okolnosti. Na veliko nezadovoljstvo gazde Microsofta jer ovaj već podulji niz godinica, uglavnom uzalud, nagovara windowsaše da se okanu kliketanja mišem i prihvate tipkaranja u PowerShellu. Pa je Gazda smislio pakleni plan! A to je, ovaaj, hmmm.... (hrrrr)“

Dedica je prešao u sleep režim rada pa ja preuzimam ulogu pripovjedača, gut! Dakle, vjerovali ili ne, Microsoft planira započeti s distribuiranjem isključivo komandnolinijske Windows serverske edicije. No, prije toga mora razmaženim adminima svog OS-a osigurati zamjenu za Microsoft Management konzole (MMC) i Server Manager - alate za lokalno i udaljeno upravljanje Windows serverima. Naime, Windows sistemci diljem svijeta jasno su poručili: PowerShell je „cool tool“, ali ne želimo se odreći alata sa tabovima, opcijama i sličicama. Tako su, naposljetku, Redmondovci lansirali projekt radnog imena Honolulu.

Ako ste ikada administrirali Linux server posredstvom Webmina, Pleska, cPanela, Cockpita (itd.) shvatit ćete Honolulu i konceptualno i operativno čim na Desetku instalirate .msi paket prisutan na linku https://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-honolulu. U osnovi, Honolulu je web aplikacija za udaljeno upravljanje Windows serverima. Znači, aplikaciju instaliramo na admin stanicu (mora biti Desetka), pristupimo joj preglednikom Edge ili Chrome, gumbom Add dodamo Windows servere i potom, nakon fokusiranja aplikacije na ciljni server, pokrećemo raspoložive funkcionalnosti za upravljanje tim serverom. Nećemo gubiti vrijeme na ovaj način rada, slijedi samo mala vizualna podrška rečenome. Možete uočiti da Honolulu prihvaća uporabu domenskih i lokalnih administrativnih računa za autentikaciju na ciljne servere.

Kako rekoh, gore opisani način rada nas ne zanima. Dijelom zbog toga što je samorazumljiv, a dijelom i zato što ga je ekipa iz Redmonda osmislila po načelu „nek se nađe“, naime, oni kao pravu instalacijsku osnovicu za svoj novi server manager vide Windows Core 2016. E, sad smo ušli u srž priče! Niža slika je skinuta s jedne on-line Microsoftove prezentacije pa još malo dorađena kako bi bila informativnija.

Dakle, instalacijom Honolulu upravitelja servera na Core server (IIS nije potreban jer Honolulu ima vlastiti web serverčić) dobijamo alat čijem front-endu pristupamo TLS tunelom, rabeći Edge ili Chrome. Utoliko, uz uobičajene mjere predostrožnosti, Honolulu čvor se može oglasiti na Internetu. Klijentsko računalo može biti Windows, Linux, Android... nije loše, zar ne?!

Još par tehničkih zanimljivosti: za razliku od MMC konzola, koje pored porta TCP 445 rabe i Remote Procedure Calls (protokol koji kombinira TCP 135 i dinamičke portove), što ih čini neprimjenjivima na segmentiranoj računalnoj mreži (a koja to danas nije, jel'te), Honolulu čvor uspostavlja konekciju sa ciljnim serverima po jednom jedinom portu, TCP 5985. Na tom portu sluša servis WinRM (Windows Remote Management, Microsoftova implementacija WS-Management protokola), čeka na Windows Management Instrumentation i PowerShell Remote pozive.

Velika je pogodnost ta što nekoliko admina Windows servera može istovremeno, posredstvom iste Honolulu instance, upravljati serverima koji su u njihovoj prinadležnosti i to tako da svaki admin raspolaže vlastitom upravljačkom pločom. Niža slika govori nam da na istom Core serveru istovremeno rade dva admina, jedan rabi Edge i lokalne račune za pristup ciljnim serverima a drugi Chrome i domenski račun. Pojašnjenje za oštrooke: Chrome kuka da veza nije sigurna zbog one novouvedene kontrole koja ne trpi prazno polje Subject Alternative Name u poslužiteljskom certifikatu a naš Honolulu serverčić Core16-2 ima baš takav certifikat.

Ciljni serveri – oni koje administriramo - mogu biti pojedinačne i klasterirane Windows ili Hyper-V instalacije, podržani serverski OS-ovi su 2012 i 2016, s time da na 2012 treba instalirati WMI 5.1. Na gornjoj slici vidimo da je na radnoj ploči admina prikazan i sam Honolulu čvor Core16-2, to nam sugerira da i njega možemo administrirati rabeći Honolulu.

Honolulu je koncipiran tako da podržava ekstenzije, znači, zainteresirana „treća strana“ može izraditi modul određene namjene kojega će Honolulu admin integrirati kad i ako mu zatreba. I trenutni Technical Preview strukturiran je po tom načelu, lijepo se vidi na nižoj slici s dijelom tih ekstenzija. Izraz gateway Microsoft koristi za Honolulu instaliran na Core server.

U ozračju rečenoga možemo zaključiti da nama, IT profićima, Gazda-od-Windowsa priprema ugodno i efikasno radno okruženje. Mada, kako rekosmo, za Linuxaše koji već podulji niz godina imaju priliku služiti se fenomenalnim Webminom i istorodnim alatima, sve je to „same old story“. Na nižoj slici su navigacijska okna Honolulua i njegovih ekvivalenata za Linux, popularnih i besplatnih Webmina i Cockpita. Uočavamo da uistinu moćni i svestrani Webmin u samo jednom izborniku ima mogućnosti zamalo kao cijeli Honolulu u ovoj razvojnoj etapi. Cockpit i Honolulu su trenutačno podjednakih mogućnosti, s time da sve govori kako je konačni Microsoftov cilj isproducirati za svoj serverski OS nešto jako slično Webminu.

sub, 2017-11-04 14:42 - Ratko Žižek

Vijesti:

Kategorije:

Vote:

No votes yet

story_tag:

honolulu

windows

alat

Danas su nam kućni ljubimci, psi, čipirani. Ako se izgube, zna se tko im je gazda. Ljudi još nisu čipirani, ali zato nose mobitele. Prosječan čovjek odbio bi ugradnju potkožnog čipa, jer bi ga to svelo na razinu stoke (sitnog zuba), ali zato rado nosi drugi "tracking device", mobitel, jer mu nudi pogodnosti koje ne može odbiti. Hoće li jednog dana i čipiranje ljudi postati nešto normalno, nešto što se ne isplati odbiti?

Što nam nosi budućnost? Hoćemo li težiti tome da budemo slobodni, ili ćemo slobodu trampiti za sigurnost i prihvatiti totalni nadzor, radi udobnosti? Pitanje je to o kojem bitno ovisi smjer u kojem će se razvijati čovječanstvo.

Tehnologija će radikalno promijeniti svijet, htjeli mi to ili ne. Promjena se zbiva pred našim očima, ali mi to uglavnom ne vidimo. Prihvaćamo male promjene, a ne vidimo kamo one vode. Na ulici povremeno uočimo električni automobil. Čuli smo da će uskoro doći vozila kojima ne treba vozač, dok taksisti još protestiraju protiv Ubera. Tehnologija nas oslobađa mukotrpnih poslova, roboti odrađuju repetitivne radnje koji bi nama bile dosadne, blockchain tehnologija će uvesti automatsko knjiženje i učiniti mnoga zanimanja suvišnim. A sve to je samo početak.

Bit će sve manje potrebe za ljudskom radom, imat ćemo sve više slobodnog vremena. Razvijene zemlje razmišljaju o tome kako osigurati svim stanovnicima zagarantiran prihod koji bi im osigurao pristojan život, iako su nezaposleni. Ali što mi činimo sa svojim slobodnim vremenom? Jesmo li hakeri koji se uvijek igraju nekom novom igračkom, ili sjedimo ispred TV-a i blazirano mijenjamo kanale? Nietzche je razlikovao "slobodu od" nečega i "slobodu za" nešto (kreativno).

Jeste li čuli za tvrtku 32M? Čuli ste za 3M, koristite njihove ljepljive papiriće i vrpce. Malo ih zna da se tvrtka zove Minnesota Mining and Manufacturing Company. Za 32M još nismo čuli, ali možda će jednog dana biti jednako poznati. 32M se izgovara Three Square Market, a radi se o tvrki koja proizvodi samoposlužne kioske. Udružili su se sa Švedskom tvrtkom BioHax International, koja proizvodi mikročipove. Smatraju ih liderima u novoj tržišnoj niši koja se zove "micro market" tehnologija, što zapravo znači da (zasad) proizvode mini-dućane bez prodavača, naprednije verzije automata za kavu. Dospjeli su na naslovnice jer su svojim zaposlenicima ponudili da pristanu na ugradnju mikročipova između palca i kažiprsta. Zauzvrat dobijaju "brojne pogodnosti": automatsku registraciju radnog vremena, otvaranje vrata, autentikaciju na računalu i mrežnim pisačima, kavu, sokić i grickalice na samoposlužnim kioscima. Mikročipovi koriste dvije tehnologije, RFID i NFC. Umjesto prodavača kiosci imaju RFID terminal, preko kojeg se naručuje i plaća.

Ugradnja čipova zaposlenicima organizirana je kao uredska zabava, gdje će dobrovoljci uz grickalice i aplauz dobiti svoje čipiće, kao pioniri koji najavljuju vremena koja dolaze. Tko se ne bi odrekao slobode za čokoladicu? Možemo samo zamišljati da li su ti ljudi pioniri i vizionari, ili su pristali jer se to od njih očekuje, a oni samo žele zadržati posao. Pristankom pokazuju ljudima da to nije ništa strašno, svojoj tvrtki pomažu u izgradnji tržišta, a sebi osiguravaju posao i plaću.

Ako pretpostavimoda se sve radi u dobroj namjeri mogli bismo mirno prihvatiti prednosti koje nam donosi nova tehnologija. Implantirani čip mogao bi biti naša osobna karta, putovnica, zdravstvena knjižica u kojoj su kodirani naša krvna grupa i zdravstveni podaci koji će liječnicima hitne službe olakšati i ubrzati intervencije. Implantat može biti i skriveni Bitcoin wallet koji je uvijek uz nas i olakšava nam plaćanje.Nećemo morati u ZET-u obnavljati mjesečnu tramvajsku kartu, vožnja će se automatski registrirati i naplatiti.

Ali nove tehnologije uvijek donose i nove mogućnosti zloporabe. Što će se dogoditi s našim identitetom i našim novcima ako netko klonira naš implantat? Hoće li nas na ulici presretati kriminalci s nožićem u ruci, kako bi nam ispod kože iščeprkalii mikročip? Što će se dogoditi s našom slobodom izbora ako pristanemo na implantat da bi dobili posao? Tko će se sve kontrolirati naše kreatanje, naše kupovine, tko će upravljati našim navikama? Kako ćemo anonimno glasati? Toliko pitanja, toliko mogućih problema, a tako mala spravica koja se bezbolno upuca između palca i kažiprsta. Već zamišljam policajce koji zaustavljaju ljude s RFID čitačima i u trenu ih legitimiraju i provjeravaju jesu li prijestupnici ili obični prolaznici. Baš kao što danas veterinari skeniraju čipove psima.

Jer sve te novotarije sa sobom nose brojne dileme, od kojih su neke pravne, a neke i moralne. Država će se, kao i uvijek, sa svojom regulativom uključivati naknadno, tek nakon što se pojave problemi. A i tada će vagati između zahtjeva uspješnog biznisa i zaštite građana.

Jutros sam na Mreži našao svjedočanstvo čovjeka koji je večerao u McDonaldsu kao jedini gost. Ušao je klošar, u dronjcima, gladan i promrzao, zamolio prodavačicu da mu u termosicu natoči tople vode, jer danima nije ništa jeo. Prodavačica je mrtva hladna odbila. Skitnica je pristojno zahvalio i otišao. Da li je prodavačica naprosto bezdušna, ili je kao dobra zaposlenica poštivala neka (ne)pisana korporativna pravila? U svakom je slučaju njen postupak totalno nehuman. Moj mozak već stvara novu verziju filma "Povratak u budućnost". Skitnica nema implantat, pa ga prodavačica ne može poslužiti. Nitko je ne može optužiti za bezdušnost, takav je sistem!

Slijepo vjerovanje u tehnologiju i uvjerenje da će nas tehnika sama po sebi osloboditi i odvesti u utopiju moglo bi nam se osvetiti. U tom silnom napretku najveći je problem kako sačuvati ljudskost, brigu za druge, kako razvoj implementirati na human i moralan način.

Sloboda ili sigurnost? Izaberite sami. Skeptici kažu da će barem 90% čovječanstva izabrati sigurnost. Realisti također. Što se mene tiče, ja sam za slobodu. Ako me budu legitimirali neće naći čip, ali barem će znati da nemam gospodara.

No možda će u toj budućnosti strojevi upravljati svijetom, brinuti o ljudima kao što mi danas brinemo o kućnim ljubimcima? Roboti će nam upucati microchip čim se rodimo, bez pitanja, kako bi se lakše brinuli o nama?!

pon, 2017-11-13 20:19 - Aco Dmitrović

Vijesti:

Kategorije:

Vote:

No votes yet

story_tag:

informacijska sigurnost

microchip

biometrika

Vjerujem da ćemo se brzo složiti oko stava kako je posebno zadovoljstvo nešto popraviti uz minimalan trud i trošak. Slijedi jedan primjer te vrste, popravit ćemo zaštopane mlaznice u glavama tintnog pisača s par jednostavnih zahvata i uz tek eventualni trošak od kojih desetak kuna. Živjeli! :o)

Popravkom pisača bavim se sasvim sporadično, zaista nisam „majstor od zanata“ po tom pitanju. Srećom, svojevremeno, ima tome dosta godinica,„napipao“ sam lagan način odčepljivanja mlaznica tintnih pisača - barem onih SOHO klase - etanolom ili izopropanolom (što nam se već nađe pri ruci), nedavno sam imao priliku pomoći jednoj kolegici u discipliniranju njenog Epson Stylus all-in-one pisača... pa mi se čini korisnim prenijeti iskustvo kolegama sistemcima. Dobro je tako nešto znati jer su tintni pisači rašireni, imamo ih i na poslu i doma.

Kako već i oni poslovični „vrapci na grani znaju“, u klasi SOHO tintnih pisača ispisne glave mogu biti na nosaču glava – znači, dio su pisača - ili na spremniku s tintom. Svako od ovih konstrukcijskih rješenja ima svojih prednosti i mana ali time se nećemo zamarati, nama je važno to što niže opisanu metodu možemo primijeniti u oba slučaja.

Evo što nam je potrebno od potrošnog materijala:

komad papira od kojeg ćemo napraviti traku poput one na zadnjoj slici članka;
nešto malo (ajmo reć, 0.3 dl) 70%-tne otopine etanola ili izopropanola - u tu kategoriju spada ona plastična bočica tzv. kućnog alkohola kojega kupimo u apoteci i kojega, blago nama, ima zamalo svako domaćinstvo.

Tipični simptomi začepljenih mlaznica su:

u spremniku ima boje, pisač ne dojavljuje nikakvu grešku glede spremnika ali te boje na papiru ili nema (ako su začepljene sve mlaznice u glavi za tu boju) ili je ispis u toj boji deformiran, necjelovit (to znači da su začepljene neke od mlaznica);
po papiru se tijekom ispisa pojavljuju pruge i packe – ovaj efekt je posebno izražen kad tinta u mlaznicama toliko zapečena da primjena u pisač ugrađenih funkcija čišćenja glava ne daje željeni učinak.

Znači, „propuhivanje“ glava ugrađenim alatima tipa Head Cleaning nije uspjelo... evo što nam je činiti:

1. Nosač glava pisača moramo osloboditi u smislu da ga možemo dovući iz parkirnog položaja negdje u sredinu njegove staze kretanja. Na nekim pisačima to se postiže kombinacijom tipaka. Spomenuti Epson Stylus ne spada u takve modele pa moramo primijeniti ovaj postupak:

- pustiti neki tekst na ispis;

- tijekom ispisa isključiti strujni kabel iz pisača ili iz utičnice;

- izvući poluispisani papir, otvoriti pisač i uvjeriti se da je nosač glava pomičan, otprilike kako je prikazano na nižoj animaciji;

- pomaknuti nosač glava sasvim desno ili lijevo;

- odmjeriti širinu staze ispod nosača jer ćemo izraditi traku od papira te širine, ne smije biti šira od staze;

- što se tiče papirnate trake, pogledajte završnu sliku – riječ je o dva-tri puta presavijenom dijelu papira za ispis (bankpost). Tako nešto trebamo napraviti ili od bankposta ili nekog drugog papira, poput onog upijajućeg za kućanstva;

- traku dobro natopiti alkoholom i postaviti ju u stazu iznad koje se kreće nosač glava pisača;

- namjestiti nosač glava iznad te trake, otprilike u sredini njene duljine

- ostaviti tako nekoliko sati, ne treba biti nestrpljiv jer moramo dati vremena alkoholnim parama da otope stvrdnutu tintu.

Na nižoj slici vidimo rezultat. Gornja traka je izvučena iz pisača nakon tri sata a donja nakon jedne noći. Kako vidimo, donja traka je odradila posao, pare su otopile tintu skorenu u glavi za crnu boju (ima i par točaka žute ali snimka nije dovoljno kvalitetna da bi se vidjele), pisač ispisuje kao nov, svi sretni!

Primjećujete, “parenju” smo izložili sve glave pisača. To nije loše! Svaka glava SOHO pisača opće namjene ima kojih stotinjak mlaznica promjera upola tanjeg od ljudske vlasi pa se u praksi vrlo često dešava da se u glavi za svaku boju začepe poneke mlaznice ali nitko to ne opaža sve dok je ukupna kvaliteta ispisa zadovoljavajuća.

A što ako happy end izostane? Možemo pokušati još jednom. Ako ni tada ne uspijemo, a baš želimo/moramo osposobiti taj pisač, čeka nas malo više posla i značajno veći trošak. U opremljenijim trgovinama računalne opreme naći ćemo razne komplete za čišćenje glava tintnih pisača, u pravilu su skuplji od 100 kuna. Možemo si složiti i vlastitu mješavinu za otapanje tinte, ima toga na Internetu jer je problem „zakrečenih“ glava prisutan od kad je tintnih pisača. Neki miješaju alkohol sa sredstvom za čišćenje prozora, neki se priklone amonijaku a ima i onih koji mješavinu začine uljem od masline! Po logici stvari, budući da je odlazak u servis najskuplji, to će nam vjerojatno biti zadnji izbor no treba znati da servisi, ako išta vrijede, imaju i vješte ljude i posebnu opremu poput ultrazvučnih kadica pa uistinu mogu pročistiti mlaznice svih vrsta i stupnja začepljenosti.

Vatrogasna mjera kad vam netko počne kukati da ne može ispisati ultravažni dokument za sastanak koji samo-što-nije zato jer nema te *.* crne boje, najme kaj, taj *.* pisač ispisuje samo pola od svakog *.* slova u *.* tekstu (uz takvu verbalnu kanonadu započela je moja intervencija na spomenutom Epson Stylusu): u aplikaciji za pisanje označiti tekst i primijeniti na njega plavu boju (ili ljubičastu, zelenu), potom ispisati. Začuđujuće je kako se tog jednostavnog trika ne mogu sjetiti niti oni korisnici koji godinama svakodnevno rabe tintne pisače! :o)

pet, 2017-11-24 14:47 - Ratko Žižek

Vijesti:

Zanimljivosti

Kategorije:

Hardware

Vote:

Vaša ocjena: NemaAverage: 5(1 vote)

story_tag:

uto, 2017-11-28 11:31 - Goran Šljivić

Unatrag zadnjih 5 godina razvojem i pojeftinjenjem SSD diskova, dosta korisnika njihovom ugradnjom dobiva puno brže performanse računala. S druge strane, takvi diskovi su s godinama upotrebe u praksi pokazali i svoje negativne strane. Neke od njih ćemo prikazati u ovom članku. Kako su uglavnom kapaciteti ugrađenih SSD diskova iz proteklog perioda bili oko 120 GB, zapravo su u nekoliko godina postali "pretijesni". Na primjeru korisnika iz naše ustanove možemo vidjeti kako.

Naš korisnik se požalio da je C: particija premala te da je treba proširiti nekim alatom za proširenjem particija. Utvrđujemo da se radi o SSD disku sa maksimalno iskorištenim kapacitetom. Slobodni prostor diska je došao u "crvenu" zonu.

Korisnika upozoravamo da izbjegava C: sistemski disk za skladištenje podataka, te da tako smanji zapunjenost diska. Dobijamo informaciju da već duže vrijeme ne koristi sistemsku particiju za čuvanje podataka, nego 2 TB disk koji je ugrađen na istom računalu. To odmah sistemcu pali "crvenu" lampicu, nešto je pošlo "po krivu". Uključujemo prikaz skrivenih datoteka i selektiramo sav sadržaj diska i otrivamo popriličan nesrazmjer.

Na disku se nalazi cca 40 GB sadržaja, koji nije prikazan kroz klasični file browser. Nakon malo proučavanja takvih tema na internetu pronalazimo mogućnost da System Recovery napravi previše arhiva tokom vremena. Provjerom utvrđujemo da je skupljeno oko 23 GB restore point arhiva. Brišemo sve prethodno i oslobađamo pola traženog prostora. Za svaki slučaj napravite odmah ručno jednu "točku povrata". Možete podesiti rezervirani prostor diska za potrebe recovery opcija na manju vrijednost.

Sad se već "lakše diše". Ali još prostora nedostaje.

Posežemo za dosada dosta spominjanim WinDirStat rješenjem. To je softver koji grafički vizualizira statističku zauzetost diska. Potražimo "uljeze" te "žderače prostora".

U oči nam upadaju 2 vrijednosti sistemskih datoteka: pagefile.sys i hiberfil.sys. pagefile.sys je rezerviran prostor na sistemskom disku koji uzima Virtual memory opcija, obično ga Windows sustav rezervira podrazumijevano po količini RAM memorije. U našem slučaju 8 GB. Što je zapravo značajan udio na malim diskovima poput našeg SSD-a.

Procijenjujemo da sa 8 GB RAM možemo uključiti No paging file opciju. Ova opcija se u pravilu ne preporuča, jer može izazvati nestabilnost sustava pri korištenju nekih softvera. Dok je možda optimalna opcija za naš slučaj da vežemo paging file na drugi disk od 2 TB ( oznake E: na slici)

Ostaje nam vidjeti što sa hiberfil.sys sistemskom datotekom. Zapravo se radi o prostoru koji rezervira uključena Hibernacija Windows sustava. Uobičajeno rezervira na sistemskom disku koliko iznosi količina RAM memorije. To je opet oko 8 GB. Jer Windows u trenutku odlaska u hibernaciju radi "snap shot" podataka iz radne memorije u hiberfil.sys prije gašenja sustava. Zapravo se ispričavamo ekolozima jer na stolnom računalu ne vidimo neku korist od odlaska u hibernaciju.

Isključimo hibernaciju na slijedeći način. Pokrenemo command prompt sa admistratorskim ovlastima te izvršimo naredbu.

C:\>powercfg.exe -h off

Pogledajmo statistiku. Sad raspolažemo sa značajnih 45.4 GB prostora.

Zapravo uviđamo da su apetiti Windows operativnih sustava rasli sa povećavanjem hardverskih resursa. Ali "usko grlo" je nastalo je masovnijom pojavom SSD diskova koji su kapacitete diskova vratili 10-tak godina unatrag. Optimizacija je uspjela, operativni sustav nije umro :)

Kategorije:

sys.kuharica

Vijesti:

Kuharice: