U njemačkom gradu Münchenu su prije desetak godina odlučili uštedjeti na licencama za mnogobrojna PC računala u gradskoj i regionalnoj upravi. Čak su razvili i svoju inačicu Linuxa, koju su nazvali LiMux. Sve je konačno proradilo nakon nekoliko godina inženjer-sati. U uporabi je preostao još jedan dio računala na Windowsu, ali svi su počeli razmišljati kako bi i drugi gradovi mogli prijeći na Linux. No, ne samo da se to nije dogodilo, nego se nakon deset godina i München odlučio vratiti na Windows. Zašto?

Gradsko vijeće je glasovalo za povratak  na staro i instalaciju Windows 10 na 29 tisuća računala kojima grad raspolaže. Kao razlog je rečeno da su troškovi održavanja dva tipa računala i operativnih suatava veći od održavanja samo jednog tipa računala. Početak reinstalacija računala se očekuje 2020., a predviđeni troškovi prelaska su 50 milijuna eura. Pretpostavljamo da se zapravo samo radi o kupnji novih računala s predinstaliranim Windows 10 operativnim sustavom, zato je i cijena tolika.

Razlog velikih troškova održavanja je upravo ta mješovita mreža, u kojoj je na Windowsu po nekima ostalo samo 20% računala, a po drugima čak 40%. Windows je, inače, zadržan zbog legacy aplikacija ili zbog nemogućnosti njihova virtualiziranja.

Ostaje za razmišljati je li u ovoj odluci prste imao Microsoft ili su zaostale aplikacije zaista presložene da se iznova napišu? Da li bi trošak pisanja ekvivalentnih aplikacija zaista bio veći od 50 milijuna eura, koliko će koštati povratak na Windows OS? Odgovori na ova pitanja su, kako stvari sada stoje - nebitni.

Više pročitajte na:

https://www.techrepublic.com/article/end-of-an-open-source-era-linux-pioneer-munich-confirms-switch-to-windows-10/

U Debianu 8 paket slapd podrazumno (defaultno) koristi MDB umjesto HDB kao format zapisa LDAP imenika na disku, u direktoriju /var/lib/ldap/.

U Debianu 7 paket slapd koristio je stariji format HDB.  Ako je posluzitelj svježe instaliran, koristit će se novi format zapisa MDB, dok nadogradnjom poslužitelja pomoću carnet-upgrade ostaje stari format.

No, jednostavnom akcijom je moguće prebaciti slapd u novi format zapisa.

Prvo je potrebno napraviti backup imenika koristeći naredbu:

slapcat -l /tmp/backup.ldif 

Zatim se zaustavi slapd:

service slapd stop 

Stare datoteke se mogu izbrisati, no dobro ih je privremeno spremiti u direktorij /tmp:

cp -a /var/lib/ldap /tmp/
rm -rf /var/lib/ldap/* 

Zatim se može prionuti rekonfiguraciji paketa slapd koristeći sljedeću naredbu:

dpkg-reconfigure slapd 

Na sva pitanja treba samo stisnuti tipku enter, osim na pitanje:

"Database backend to use: BDB HDB MDB"

Na to pitanje odgovorite s MDB.

Zatim prekonfigurirajte paket openldap-aai koristeći naredbu:

dpkg-reconfigure openldap-aai 

Opet spustite slapd:

service slapd stop

Vratite podatke koje ste na backupirali:

slapadd -l /tmp/backup.ldif 

Nakon tog je potrebno promijeniti ovlasti nad datotekama u direktoriju /var/lib/ldap/:

chown -R openldap:openldap /var/lib/ldap/*mdb 

I konačno možete podići slapd:

service slapd start 

To bi bilo to.

Dok su tradicionalni Unixoidi prepuštali pojedinim servisima i aplikacijama da sami zapisuju vlastite logove, dnevnike, systemd uvodi jedinstven sustav kojem je prvenstven cilj prevazilaženje razlika u zapisima, bolja kontrola i preglednost logova. Servis koji se time bavi je journal daemon ili journald, koji je sad zadužen za logiranje svega, od kernela do korisničkih aplikacija. Time se standardizira način na koji se logovi prikupljaju i analiziraju.

Binarni način zapisivanja omogućava da se zapisi prikazuju na različite načine, na primjer u syslog formatu, ili kao JSON java objekti za grafičke prikaze. Journald čuva kompatibilnost sa starim syslogom, što je korisno ako na primjer koristite centralni syslog server na kojem prikupljate logove se svih servera. No dozvoljava da centralni log server koristi journald, a dozvoljva i kombiniranje oba sustava.

Analiza logova različitih servisa na istom serveru kao i zapisa sa različitih servera, koji mogu biti u različitim vremenskim zonama, zahtijeva prije svega sinhronizaciju vremena. Mi admini stare garde, odgojeni na Unixu, podešavamo hardverski sat u računalu na univerzalno vrijeme, UTC, a onda zadavanjem lokalne vremenske zone omogućujemo da sat pokazuje lokalno vrijeme. Na MS Windowsima nije tako, tamo se računalo podešava na lokalno vrijeme, a zadavanje vremenske zone omogućava određivanje univerzalnog vremena. Da bi provjerili konfiguraciju na svom računalu, koristimo alat timedatectl:

$ timedatectl status
      Local time: Čet 2017-11-30 17:12:20 CET
  Universal time: Čet 2017-11-30 16:12:20 UTC
        RTC time: Čet 2017-11-30 16:12:20
       Time zone: Europe/Zagreb (CET, +0100)
 Network time on: yes
 NTP synchronized: yes
 RTC in local TZ: no

Ovdje je jasno pokazano da je lokalno vrijeme sat vremena ispred univerzalnog, znači da sunce kod nas ranije izlazi nego Greenwichu. Uključena je sinkronizacija vremena preko NTP protokola, a hardverski sat (RTC) je podešen na UTC, a ne na lokalno vrijeme.

Pogledajmo kako su definirane vremenske zone:

$ timedatectl list-timezones
Africa/Abidjan
Africa/Accra
Africa/Addis_Ababa
Africa/Algiers
Africa/Asmara
Africa/Bamako
Africa/Bangui
Africa/Banjul
Africa/Bissau
...

Prekinuli smo ispis jer je predugačak, ali očito je da se zona određuje parom Kontinent/Glavni grad. Ako pustimo ispis dalje, pojavait će se Europe/Zagreb, kao što nam je pokazala prethodna naredba.

Vremensku zonu podesimo ovako:

$ timedatectl set-timezone Europe/Zagreb

Nećemo ništa pokvariti ako zadamo vremensku zonu Europe/Sarajevo, jer je to ista zona, CET, odnosno UTC +1, samo ćemo se pretvarati da smo u susjednoj državi. :)

Journald može prikazivati vrijeme zapisa kao lokano, ili univerzalno, kako vam drago. Podrazumijeva se da će pokazivati lokalno vrijeme, ako se drugačije ne zada:

$ journalctl --utc

Ako natipkamo journalctl bez parametara, dobit ćemo sve zapise, počev od najstarijih prema najnovijima. Ali ako želimo vidjeti samo događaje nakon zadnjeg podizanja sustava, koristit ćemo parametar -b (boot):

$ journalctl -b
-- Logs begin at Čet 2017-11-30 16:54:56 CET, end at Čet 2017-11-30 17:35:44 CET. --
Stu 30 16:54:56 l33t systemd-journald[228]: Runtime journal (/run/log/journal/) is 4.6M, max 37.3M, 32.6M free.
Stu 30 16:54:56 l33t kernel: microcode: CPU0 microcode updated early to revision 0x4, date = 2013-06-28
Stu 30 16:54:56 l33t kernel: Initializing cgroup subsys cpuset
Stu 30 16:54:56 l33t kernel: Initializing cgroup subsys cpu
Stu 30 16:54:56 l33t kernel: Initializing cgroup subsys cpuacct
Stu 30 16:54:56 l33t kernel: Linux version 4.4.0-101-generic (buildd@lcy01-amd64-006) (gcc version 5.4.0 20160609 (Ubuntu 5.4.0-6ubun
Stu 30 16:54:56 l33t kernel: Command line: BOOT_IMAGE=/boot/vmlinuz-4.4.0-101-generic root=UUID=ab4ae64d-d5e1-4fd0-967a-45766a96e524 
Stu 30 16:54:56 l33t kernel: KERNEL supported cpus:
Stu 30 16:54:56 l33t kernel:   Intel GenuineIntel
Stu 30 16:54:56 l33t kernel:   AMD AuthenticAMD
Stu 30 16:54:56 l33t kernel:   Centaur CentaurHauls
Stu 30 16:54:56 l33t kernel: x86/fpu: Legacy x87 FPU detected.
Stu 30 16:54:56 l33t kernel: x86/fpu: Using 'lazy' FPU context switches.
Stu 30 16:54:56 l33t kernel: e820: BIOS-provided physical RAM map:
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x0000000000000000-0x000000000009fbff] usable
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x000000000009fc00-0x000000000009ffff] reserved
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x00000000000e0000-0x00000000000fffff] reserved
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x0000000000100000-0x00000000ba366fff] usable
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x00000000ba367000-0x00000000bb4e6fff] reserved
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x00000000bb4e7000-0x00000000bb766fff] ACPI NVS
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x00000000bb767000-0x00000000bb7fefff] ACPI data
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x00000000bb7ff000-0x00000000bb7fffff] usable
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x00000000bb800000-0x00000000bbffffff] reserved
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x00000000e0000000-0x00000000efffffff] reserved
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x00000000fec00000-0x00000000fec00fff] reserved
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x00000000fed10000-0x00000000fed13fff] reserved
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x00000000fed19000-0x00000000fed19fff] reserved
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x00000000fed1b000-0x00000000fed1ffff] reserved
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x00000000fee00000-0x00000000fee00fff] reserved
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x00000000ffd00000-0x00000000ffffffff] reserved
Stu 30 16:54:56 l33t kernel: BIOS-e820: [mem 0x0000000100000000-0x0000000137ffffff] usable
Stu 30 16:54:56 l33t kernel: NX (Execute Disable) protection: active
Stu 30 16:54:56 l33t kernel: SMBIOS 2.6 present.
Stu 30 16:54:56 l33t kernel: DMI: Hewlett-Packard HP EliteBook 2740p/7007, BIOS 68COU Ver. F.04 03/08/2011
Stu 30 16:54:56 l33t kernel: e820: update [mem 0x00000000-0x00000fff] usable ==> reserved
Stu 30 16:54:56 l33t kernel: e820: remove [mem 0x000a0000-0x000fffff] usable
Stu 30 16:54:56 l33t kernel: e820: last_pfn = 0x138000 max_arch_pfn = 0x400000000
Stu 30 16:54:56 l33t kernel: MTRR default type: uncachable
Stu 30 16:54:56 l33t kernel: MTRR fixed ranges enabled:
Stu 30 16:54:56 l33t kernel:   00000-9FFFF write-back
Stu 30 16:54:56 l33t kernel:   A0000-BFFFF uncachable
Stu 30 16:54:56 l33t kernel:   C0000-FFFFF write-protect
Stu 30 16:54:56 l33t kernel: MTRR variable ranges enabled:

Ovaj nam isječak islustrira činjenicu koju smo naveli u prethodnom članku, naime da journald bilježi zapise iz rane faze bootanja, koje smo nekada morali "loviti" po ekranu. Zapis počinje vremenom bootanja, a zatim navodi koliko su veliki logovi i koliko je ograničenje za maksimalnu veličinu datoteka, što nas opet podsjeća da nam više ne treba logrotate, jer journald sam brine da ne zaguši diskove.

O pojedinoj distribuciji ovisi da li se logovi čuvaju "trajno", ili se brišu kod gašenja sustava. Podsjetimo se, dnevnik ostaje nakon gašenja ako kreirate direktorij u kojeg se sprema datoteka:

$ sudo mkdir -p /var/log/journal

ili to možete zadati u konfiguraciji:

$ visudo /etc/systemd/journald.conf
[Journal]
Storage=persistent

Čuvanje starih logova ima više smisla na serverima nego na desktopima, gdje logovi nisu persistent (baš kao i na Windowsima :). Provjerimo na mom notebooku:

$ journalctl --list-boots
 0 ab1b4e0ce9fc496fbcfcfbb18011c5a4 Čet 2017-11-30 16:54:56 CET—Čet 2017-11-30 18:21:44 CET

Ovo će izlistati jedan redak za svako podizanje sustava. Na serveru bi bilo više redaka, ovdje samo jedan. Iza rednog broja vidi se jedinstveni ID svakog boota. Ako biste na serveru željeli vidjeti zapise od zadnjeg boota, trebalo bi ih zatražiti ovako:

$ journalctl -b -1

ili ovako:

$ journalctl -b ab1b4e0ce9fc496fbcfcfbb18011c5a4

Ako pretpostavljate da se nešto dogodilo između jedan i dva poslije ponoći, možete izrezati taj dio loga koristeći parametre --since i --until.

$ journalctl --since "2017-11-29 01:00" --until "2017-11-29 02:00"

Treba li reći da je maska za datum YYYY-MM-DD HH:MM? Ili naški GGGG-MM-DD SS:MM :). (Samo da netko ne pomisli da SS predstavlja sekunde.)

Ponekad će nam zatrebati filtriranje zapisa po procesu, korisniku ili grupi. U tom slučaju koristit ćemo slijedeće parametre:

$ journalctl _PID=1234
$ journalctl _UID=1000
$ journalctl _GID=1000

To je zgodno ako znate ID nekog procesa, korisnika grupe. Ali ako ne znate PID procesa, poslužite se imenom korisnika koji je vlasnik procesa.

$ journalctl -u clamav

Poruke koje zapisuje kernel dosad bi izlistali pomoću naredbe dmesg, a sad to možemo i ovako:

$ journalctl -k

ili

$ journalctl --dmesg

Dosad ste već primijetili da ne morate, kao nekad, iza naredbe dodati | less, ili | more, jer journalctl automatski koristi pager. No ako želite ispis spremiti u datoteku, isključit ćete pager:

$ journalctl --no-pager

Journal preuzima syslogove razine poruka:

    0: emerg
    1: alert
    2: crit
    3: err
    4: warning
    5: notice
    6: info
    7: debug

To omogućuje filtriranje na primjer samo poruka o greškama:

$ journalctl -p err

Time bi trebali dobiti poruke od treće do sedme razine.

Kod brzog pregledavanja logova vjerojatno ćete htjeti samo osnovne informacije, bez suvišnih detalja:

$ journalctl --no-full

A kad pronađete nešto sumnjivo, možete zatražiti puni zapis

$ journalctl -a

Naravno, ograničit ćete ispis na određen proces ili vremensko razdoblje:

$ journalctl -a -u XXX --since "YYYY-MM-DD" --until "YYYY-MM-DD HH:SS"

Nekad smo koristili naredbu tail da bi vidjeli samo najsvježije zapise, a sad to činimo ovako:

$ journalctl -t

ili ovako, ako želimo vidjeti zadnjih 10 redaka:

$ journalctl -n 10

U prošlom smo nastavku objasnili kako se ograničava prostor koji zapisi zauzimaju i vrijeme čuvanja, ali što ako se nađete u kritičnoj situaciji u kojoj je disk zapunjen, pa morate hitno nešto pobrisati? Ako želite žrtvovati logove, pogledajte koliko diska vam troše:

$ journalctl --disk-usage

A onda pobrišete starije zapise, zadavši veličinu loga koju želite:

$ sudo journalctl --vacuum-size=100M

Sve u svemu, zanimljivo. Mislim da ćemo se brzo navići na journal, ako već nismo.

Da sam admin online dućana koji u ponudi ima Android One i Nokia pametne telefone, ekspresno bih postavio ovakav banner na stranicu: Developeri i sistemci! Ovo je prvi Advent u povijesti koji VAMA donosi darove! Nastavite čitati... (itd.)! :o)

Podsjetimo se na cilj sada već višegodišnje Googleove inicijative poznate kao Android One: dogovoriti s prozvođačima Android uređaja plasiranje modela s izvornim (vanilla) Android operativnim sustavom (dalje: AOS), istim onim kojega Google „natoči“ na svoje Nexuse i Pixele. S time što je Google zamislio da Android One uređaji budu, za razliku od njegovih, slabije hardverske osnovice i kvalitete izrade, što neizostavno dovodi do niže tržišne cijene tih uređaja. Time bi tzv. korisničko iskustvo neizmjenjenog i bloatwareom neopterećenog AOS-a postalo dostupno masama. Google je spreman spuštati sigurnosne i funkcionalne nadogradnje na takve uređaje rabeći vlastite ljudske i tehničke resurse, čime se proizvođaču Android One uređaja umanjuju troškovi održavanja uređaja „na terenu“. I korisnici su na dobitku jer u kraćem vremenu dobijaju nadogradnje.

Istini za volju, Gazda-od-Androida pokrenuo je Android One inicijativu zbog razloga njemu puno važnijih od interesa korisnika ili partnera. Svi ti razlozi dadu se utrpati pod jedinstvenu parolu „Defragmentirajmo AOS!“. Nećemo sada o tome razglabati – lako je naći na Netu - ali vrijedi spomenuti da je problem fragmentacije AOS-a velik, višedimenzionalan i značajno remeti Googleove poslovne i prihodovne projekcije. Primjerice, već godinama veliku štetu trpi Googleov u osnovi perspektivan projekt Android for Work, u njega je Korporacija uložila velike pare a realizacija ne prati očekivanja. Utoliko, Android One je samo jedna komponenta Googleove globalne strategije konsolidiranja stanja; druga, jednako značajna komponenta poznata je kao Project Treble a riječ je o open-source inicijativi temeljitog reinženjeringa AOS-a s ciljem postizanja što veće nezavisnost izvornog koda od „šarene“ hardverske osnovice i zahvata u AOS od strane proizvođača uređaja. Oreo je prva inačica AOS-a nove arhitekture, u izvedbi kompromisne, doduše, jer nije još sve usklađeno s jakim imenima Android industrije.

Niža slika pokazuje kako jedan žedni Android One smartfon, jadničak još nema niti SIM karticu, ubrzano „cucla“ zadnje ažuriranje. Obratite pozornost na veličinu te zakrpe, preko 1 GB. Zbog isprepletenosti Googleovog i proizvođačevog programskog koda, ažuriranja se često odrađuju tako da se na smartfon instalira cijeli stock ROM – znači, AOS sa driverima i aplikacijama i konfiguracijskim postavkama... i ponekom zakrpom! Tek ponekad je moguće pokrpati AOS onako kako smo navikli na Linux ili Windows OS-ovima. Projekt Treble bavi se ovom i sličnim nezgodancijama.

Sve dok je i konzument Android tehnologija na dobitku, Googleove planove nije teško podržati. S time da mi, IT profesionalci, trebamo – po mišljenju vašeg autora, dakako – posebno toplo pozdraviti Android One inicijativu jer nam omogućuje da se, za potrebe struke, uz minimalne troškove dočepamo suvremenih smartfona, phableta & tableta s najnovijim čistim AOS-om. Doduše, u praksi je to ipak „zamalo-pa-čistim“ jer proizvođači, vođeni marketinškim imperativom o tržišnom identitetu svog branda nastoje i u uređaje klase budget ucijepiti nešto specifično - ili komadić hardvera za kojega vanilla AOS još nema kvalitetnu podršku ili „važnu“ aplikacijicu. Kakogod, upućeni tvrde da je na Android One smartfonima od 95 do 98 posto originalnog Googleovog OS-a. Prihvatljivo.

Dodatni benefiti, na koje Google nastoji obvezati proizvođače Android One uređaja, su ovi:

• svi Android One uređaji dobijaju minimalno dvije iduće verzije AOS-a i to u najkraćem mogućem roku nakon službene objave izvornog AOS-a – znači, ako sada kupimo smartfon klase Android One s AOS-om Nougat, odmah bismo trebali dobiti Oreo, potom Android P (potonji je trenutno u ranoj beti);
• svi Android One uređaji u najkraćem mogućem roku dobijaju nadogradnje raznih vrsta minimalno dvije godine;
• zaštita uređaja klase Android One je unaprijeđena jer imaju integriran Play Protect modul.

Još jedna pogodnost, neslužbena je ali će nekima baš dobro sjesti: Android One uređaji se lagano rootaju!

Tijekom Adventa koji nam se upravo dešava, zbog aktualnih sniženja možemo si priuštiti poklončić u obliku Android One smartfona. Po prvi puta od kad je te inicijative (precizije, od 2014.), u našim trgovinama možemo birati između tri jako dobro ocijenjena modela: Xiaomi Mi A1, Motorola Moto X4 i HTC U11 Life. Četvrtog mušketira, to je GM 5+, ne preporučamo jer su male šanse da dobije Android P, vremešan je.

Xiaomiev uradak uvjerljivo je najjeftiniji, možemo ga imati već za kojih 1.800 kuna a jedino što mu evidentno nedostaje je NFC, sve drugo je baš potaman za osobu koja tipičan moderni smartfon želi proučavati, pisati za njega aplikacije te, naposljetku, koristiti kao „obični smrtnici“. Motorolini i HTC-ovi predstavnici performansno su nešto potentniji (hardverski su potkovaniji), okićeni certifikatom IP67/68 i cijenom od kojih 3000 kuna. S druge strane, Mi A1 diči se najvećim ekranom i najduljom autonomijom rada, sudeći prema informacijama objavljenim na www.gsmarena.com.

E, sad, ako nam je baš do NFC-a, ali nipošto ne želimo žrtvovati tri tisuće kuna za jedan Android One telefon, u igru uskače Nokia. Smartfoni ove firme nisu službeno u Android One programu no u praksi se ponašaju kao da jesu – zamalo pa izvorni AOS, obećanje glasnogovornika da će kupac novijih modela dobiti ne samo Oreo nego i Android P... i slično, da se ne ponavljamo. Ekvivalent spomenutom Mi A1 je Nokia 6. Nokia 7 značajkama opako konkurira Motorolinim i HTC-ovim Android One predstavnicima i jeftinija je ali za nju se moramo malo strpiti, samo što nije. Usput, Nokijini pametni telefoni opet jako dobro kotiraju u stručnim krugovima.

Dragi svi! Nemamo više izgovora za izbjegavanje kupnje novog digitalnog asistenta, razbijmo kasicu-prasicu i prepustimo se čarima Adventa. Sretno u nabavci svog AAOS gadgeta, Anno Domini 2017.!

 Slijedi motivacijska završnica: Glečte ih kak' su slatki, frrrr! :-P

 *

Pssss, među nama.... Ako uistinu kupujete baš za sebe, obavite to početkom 01. mjeseca. Sniženja tada još traju, s time što su trgovci spremniji na dodatne popuste (pregovarajte!) jer znaju da je blagdansko rasipništvo definitivno finito.

Posljednjih dana dobijamo upite što se događa s ClamAV-om, antivirusnim softverom koji se nalazi na svim našim poslužiteljima (osim ako niste kupili neki drugi). I prije se događalo da se antivirusne datoteke ne mogu skinuti, ali sve je to obično potrajalo koji sat ili eventualno dan-dva. Sada je ispad malo duži i traje tjednima. Zato smo krenuli istražiti što se događa.

Problem se manifestira u logovima na sljedeći način:

WARNING: getpatch: Can't download daily-24111.cdiff from database.clamav.net
ERROR: getpatch: Can't download daily-24111.cdiff from database.clamav.net
WARNING: Incremental update failed, trying to download daily.cvd
ERROR: Can't download daily.cvd from database.clamav.net
Giving up on database.clamav.net...  
Update failed. Your network may be down or none of the mirrors listed in
 /etc/clamav/freshclam.conf is working. Check
 http://www.clamav.net/doc/mirrors-faq.html for possible reasons

ClamAV ima sustav zrcalnih poslužitelja koji opslužuje određene regije, a sve ide preko aliasa database.clamav.net i db.local.clamav.net. Preko njega svaka regija dobije najbliže polužitelje, kako bi se opterećenje distribuiralo na sve poslužitelje u mreži podjednako. Mi pripadamo (tko bi rekao) regiji jugoistočne Europe:

$ host db.local.clamav.net
db.local.clamav.net is an alias for db.southeu.clamav.net.
db.southeu.clamav.net has address 193.92.150.194
$ host 193.92.150.194
194.150.92.193.in-addr.arpa domain name pointer athftp02.forthnet.gr.

Dakle, za nas je odgovoran jedan poslužitelj u Grčkoj, koji ni nakon nekoliko tjedana očigledno nije proradio. Na stranicama blog.clamav.net smo pronašli da se zaista dogodio ispad zrcalnih poslužitelja, ali da je sve riješeno još 15.11.2017. Kako to očigledno nije bio slučaj, odlučili smo sami potražiti rješenje.

Najlakše rješenje koje smo našli je dodati nove poslužitelje u /etc/clamav/freshclam.conf, a koje smo pronašli uz nešto malo guglanja i nešto malo logike: db.de.clamav.net, db.at.clamav.net, db.it.clamav.net. No, postoji i poslužitelj db.eu.big.clamav.net, koji bi trebao posluživati cijelu Europu (odnosno preusmjeravati na poslužitelje po cijeloj Europi, ne samo regionalno). Ovo pretpostavljamo nije rješenje koje bi se svidjelo pokretačima projekta ClamAV, pa ga shvatite kao privremeno rješenje. Problem će sigurno biti riješen u nekom trenutku, ali do tada sve što trebate napraviti je dodati redak u datoteku /etc/clamav.freshclam.conf, pa će popis zrcalnih poslužitelja biti:

DatabaseMirror db.eu.big.clamav.net
DatabaseMirror db.local.clamav.net
DatabaseMirror database.clamav.net

Još samo trebate restartati freshclam:

# systemctl restart clamav-freshclam

Nakon ovoga poruke o greškama se više ne bi trebale pojavljivati.

Ubrzani razvoj Mreže donosi u prvi plan nove funkcionalnosti, neke željene, druge baš i ne. Pisali smo kako je Internet postao Money Web. Nekoliko naizgled nevezanih vijesti koje su mediji prenijeli ovih dana potakli su nas da još jednom razmislimo o novim funkcijama, a jedna od njih je "špijuniranje", odnosno manje ili više (i)legalno prikupljanje informacija.

Tri istraživača sa sveučilišta Princeton objavili su rezultate istraživanja o prikupljanju informacija o posjetiteljima web stranica. Rezultat je više nego zanimljiv: 482 od 500 najposjećenijih stranica koristi analitičke funkcije nezavisnih tvrtki (tzv. treće strane) koje se ponašaju kao keyloggeri, što znači da bilježe i šalju velikom gazdi sve što korisnici tipkaju i sve pokrete miša za vrijeme dok im je otvorena posjećena web stranica. Wow!

Zamislite da gledate recept za jelo koje želite pripremiti za ručak, a usput se logirate na stranicu na kojoj obavljate neke povjerljive poslove, na primjer web bankarstvo, ili tražite informacije o bolesti koju su vam nedavno dijagnosticirali. Analitika s kulinarske stranice presreće URL, korisničko ime, password, ključne riječi po kojima pretražujete web, stranice koje otvarate... Zvuči zastrašujuće. Zar je moguće da je tako jednostavno zloupotrebljavati povjerenje ljudi koji surfaju?

Istraživači su podigli svoje web servere na kojima su aktivirali analitičke funkcije sljedećih tvrtki: Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale, SessionCam. Odabrali su ih zato jer se te usluge koriste na 482 sitea koje Alexa svrstava među najposjećenije. U fokusu su im bile takozvane replay skripte koje bilježe korisnikov unos. One odreda nude automatsko ili manualno postavljanje filtera koji bi trebali osigurati da ne primjer passwordi ili brojevi kreditnih kartica ne snimaju. Ispitujući rad tih skripti ustanovili su da se njihovo ponašanje razlikuje od deklariranog. Evo njihovih zaključaka:

• Passwordi su ponekad uključeni u snimku sesije (čini se da automatski filteri u nekim slučajevima ne rade dobro).
• Filtriranje osjetljivih informacija nije potpuno (na primjer FullStory zapisuje broj kreditne kartice, ali ne i tajni CC broj kojim se ovjerava plaćanje).
• Ručna konfiguracija filtera za svaku pojedinu stranicu je u osnovi nesigurna (trebalo bi provjeriti svaku stranicu posebno, zadati pravila i postupak ponavljati nakon svake izmjene na stranici)

Proizvođači analitičkog softvera obećavaju lakoću, sve će raditi odmah nakon instalacije. Ali bez ručnog podešavanja gotovo je sigurno da će povjerljivi podaci curiti, što tvrtke koje na svojim stranicama koriste analitiku stavlja u nezgodnu situaciju, jer korištenjem softvera treće strane mogu ugroziti vlastita pravila o čuvanju osobnih podataka i time se izložiti problemima. Na kraju krajeva, pitanje je koliko i njima samima odgovara kršenje naše privatnosti? Tako se na web ušuljala nova vrsta usluge: Keylogger as a service.

Radoznalci mogu cijeli izvještaj pročitati na adresi: https://freedom-to-tinker.com/2017/11/15/no-boundaries-exfiltration-of-personal-data-by-session-replay-scripts/ . Tu će pronaći i link na web siteove koji koriste replay skripte, kako bi ih mogli izbjegavati.

Druga vijest kaže da je Ministarstvo obrane Indije objavilo listu od 42 mobilne aplikacije za koje smatra da su potencijalno opasne. Radi se kineskom softveru, instaliranom na pametnim telefonima kineskog porijekla, ali ih i korisnici uređaja drugih proizvođača mogu instalirati. Indijske obavještajne službe napravile su analizu i zaključile da taj spyware šalje informacije serverima u Kini, pomoću kojih bi se mogao otkriti raspored jedinica, na primjer. Pograničnim trupama je zabranjeno koristiti mobitele tvrtki Huawey i ZTE.

Evo popisa rizičnih aplikacija: Weibo, WeChat, SHAREit, Truecaller, UC News, UC Browser, BeautyPlus, NewsDog, VivaVideo- QU Video Inc, Parallel Space, APUS Browser, Perfect Corp, Virus Cleaner (Hi Security Lab), CM Browser, Mi Community, DU recorder, Vault-Hide, YouCam Makeup, Mi Store, CacheClear DU apps studio, DU Battery Saver, DU Cleaner, DU Privacy, 360 Security, DU Browser, Clean Master – Cheetah Mobile, Baidu Translate, Baidu Map, Wonder Camera, ES File Explorer, Photo Wonder, QQ International, QQ Music, QQ Mail, QQ Player, QQ NewsFeed, WeSync, QQ Security Centre, SelfieCity, Mail Master, Mi Video call-Xiaomi, and QQ Launcher.

Možda ćete poželjeti provjeriti na svom mobitelu je li neka od tih aplikacija instalirana. Možda ćete je poželjeti deinstalirati. Ako to vam to proizvođač to dozvoljava, naravno.

Iz tvrtke Truecaller, čija je aplikacija na listi, ogradili su se od ovakvih interpretacija, izjavivši da su oni Švedska tvrtka, da njihov program nije malware, da su sve sporne funkcije isključene "by default" i korisnik mora sam dati dozvolu za njihovu aktivaciju. Kad telefon zvoni, većina bi ljudi htjela znati tko ih zove. To nije moguće ako pozivatelj nije u vašem imeniku. Tu uskače Truecaller, koji iz svoje globalne baze provjerava tko je vlasnik broja i savjetuje korisnike da li da prihvate ili odbiju poziv. No, zapitat ćete se, čemu onda dodatne špijunske funkcije, ako nisu dio ove deklarirane usluge? Zar to nije definicija Trojanca: program koji osim deklarirane funkcionalnosti nosi još i neke skrivene, nepoželjne? Osim toga, iz činjenice da je tvrtka registrirana u Švedskoj ne može se zaključiti da su joj stvarni vlasnici Šveđani, zar ne? :)

Zanimljivo je pri tom da se prstom upire samo u Kineze. Samo bi naivac pomislio da se druge tehnološke velesile ne ponašaju jednako!

Tako je holandski sud presudio da Microsoftovi Windowsi 10 krše Zakon o zaštiti osobnih podataka, jer prikupljaju povijest surfanja bez znanja i pristanka korisnika.

S prstima u pekmezu uhvaćen je i HP, na čijim je prijenosnicima pronađen predinstaliran tvornički softver koji također šalje "telemetriju" proizvođaču.

Njihove PR službe imaju spremne odgovore: oni poštuju privatnost korisnika, a podatke skupljaju samo radi poboljšanja usluge. :)

Kao zaključak ove priče može se lijepo iskoristiti razmišljanje koje iznosi izumitelj World Wide Weba, Tim Berners-Lee u članku "3 dark trends that could destroy the web"

Lee izražava zabrinutost za budućnost weba, upozoravajući da se moramo pozabaviti s tri nova trenda koji prijete da će spriječiti web "da ostvari svoj potencijal alata u službi čovječanstva".

• Izgubili smo kontrolu nad osobnim podacima

Prevladavajući poslovni model je nuđenje besplatnih usluga u zamjenu za osobne podatke. Mnogi pristaju na to, ne shvaćajući da se ti podaci drže u "silosima" koji su posve izvan nadzora. Nitko nas ne pita da li želimo da se ti podaci dijele, tko će im pristupati i u koje svrhe, a nećemo dobiti ni dio potencijalne zarade koja se prodajom naših podataka može ostvariti. Osim tvrtki koje zanima zarada, naši su podaci primamljivi i državama, pogotovo represivnim režimima koji žele sve kontrolirati, pa čitamo o progonu ljudi koji su naivno povjerovali da na Internetu vlada sloboda govora i mišljenja.

• Previše je lako koristiti web za širenje dezinformacija

Večina koristi svega nekoliko siteova preko kojih tražimo sadržaje. Oni prate naše ponašanje i serviraju nam sadržaje u skladu s onim što oni misle da mi želimo. To se može koristiti da nam se serviraju lažne vijesti i poluistine koje ćemo lako prihvatiti jer odgovaraju našim predrasudama.

• Prikriveno političko oglašavanje traži veću transparentnost i razumijevanje

Politički marketing je naglo postao sofisticirana industrija. Na izborima 2016. samo je preko Facebooka korisnicima servirano 50.000 varijacija oglasa prilagođenih individualnim profilima, odnosno na način na koji će ih pojedinac lakše "progutati". Neke su prakse izrazito neetične, na primjer kada se djeluje na ciljane grupe da ne izađu na izbore. Ovo nam zvuči poznato, zar ne?

Lee shvaća da neće biti lako riješiti ove probleme, ali nudi neka tehnička rješenja. Treba razviti nove tehnologije, na primjer organiziranje "čahura", "kapsula" koje čuvaju osobne podatke i omogućuju kontrolu pristupa. Korisnik bi bio upozoren na to da netko pokušava pristupiti njegovim podacima, mogao bi odbiti, dozvoliti, tražiti nešto zauzvrat itd. U isto vrijeme trebat će obeštetiti tvrtke koje pružaju servise, plaćati im usluge pretplatom ili "mikroplaćanjima" za povremeno korištenje, kako ne bi bili u napasti da traže polulegalne i ilegalne načine zarade. Nema tehničkih rješenja protiv vlada koje previše zadiru u privatnost građana, često pokrivene zakonima koji dozvoljavaju nadzor u ime nacionalne sigurnosti. U borbu protiv dezinformacija treba uključiti mjesta gdje se one objavljuju (FB i Google na primjer).

Lee nas poziva da se aktivno uključimo u ovu borbu, da podržimo Web Foundation i lokalne organizacije koje se zalažu za "digitalna prava". Ako vas je ovo zaintrigiralo, na kraju njegova članka su linkovi. U svakom slučaju, lijepo je čuti da netko nastoji riješiti problem, umjesto pustog kukanja i pasivnog prihvaćanja svega što nas zadesi.

A što da radimo dok čekamo novu generaciju weba, koja će poštivati našu privatnost? Evo jednog prijedloga. Ne bi smjeli koirsiti isto računalo za neobavezno surfanje i za obavljanje ozbiljnog posla. Ako si ne možemo priuštiti dva fizička računala, nije teško podići jednu virtualku koju ćemo pokrenuti samo kad obavljamo povjerljive stvari, maksimalno je zaštiti vatrozidom, anonimizirajućim browserom itd. Sistemac može kod kuće odvojiti na routeru mrežu za ukućane od mreže za obavljanje posla. Itd. its. Može se, kad se hoće.

A kako se boriti protiv dezinformacija i pranja mozga? Za to nema tehničkog rješenja. Prije nego povjerujemo nekoj vijesti, promislimo kome je u interesu da prihvatimo poruke iz članka kao istinite? Zašto je vijest oblikovana baš tako, da nam se uvuče pod kožu bez aktiviranja sivih ćelija? Malo po malo razvit ćemo otpornost. Barem neki od nas.

Kao bivši sistemac, koji je povremeno objavljivao članke za sistemac.carnet.hr evo šaljem jednu zanimljivu funkciju. Ja ju relativno često koristim, pa zato mislim da bi mogla biti korisna i drugima, koji možda još ne znaju koliko im je nedostajala.

To su zapravo dvije funkcije koje se stave u .bashrc datoteku i mogu se odmah koristiti nakon što izvršite naredbu:

source ~/.bashrc

Prvu funkciju smo nazvali "fh" (teško je naći smislena kratka imena funkcija kad mnogobrojne Unix/Linux naredbe imaju tako kratka imena!)

function fh() { grep -i $1 ~/.bash_history | sort -u; }

Druga funkcija je "hh":

function hh() { clear;d=$(fh $1|wc -l);paste <(seq $d) <(fh
      $1);read -p "broj linije: " l; c=$(fh $1|head -n $(($l+0))|tail -1); read
      -e -i "$c" d;eval $d ; }

Kad se u naredbenom retku ukuca:

hh <neki pojam>

izlista se popis svih naredbi iz datoteke .bash_history, koje sadrže <neki pojam>, te ukucavajući broj iz liste, odgovarajuća naredba se može odmah izvršiti, uz dodatnu mogućnost da se prije izvršenja naprave eventualne izmjene unutar naredbe.

<neki_pojam> se može staviti i u komentare naredbi iza znaka #, pa se će pretraživanje obuhvatiti i te komentare. Umjesto funkcija "fh" i "hh" može se kreirati i neki drugi par funkcija npr. "fk" i "kk" gdje bi se umjesto .bash_history koristila lista naredbi iz neke tekstualne datoteke.

Primjer:

$ hh txt

1       strace -e trace=open,close,read,write -o strace-file.txt dpkg-reconfigure mediawiki-aai #kako koristiti strace
2       cat popis.txt| while IFS= read ln; do echo $ln; done; # Čitaj file liniju po liniju
3       sed -ru 's/(..)\1{2,}/\1/g' # remove repeated pairs of characters e.g. "xtxtxtxt" will become "xt"
4       cat popis.txt| while IFS= read ln; do echo $ln; done; # Čitaj file liniju po liniju
5       sed -i 's/\s\+/ /g;s/\s*$//' file.txt #Get rid of multiple spaces/tabs in a text file
6       sed -i 's/\s\+/ /g;s/^\s*;s/\s*$' file.txt #Optionally, if you want to clear the leading whitespace, try:

broj linije: 2

cat popis.txt| while IFS= read ln; do echo $ln; done; # Čitaj file liniju po liniju

Zgodno je npr. ukucati:

hh cd

i dobije se nešto poput:

1 cd ./zim-0.65~ubuntu14.04.1/
2 cd ./YX8018_Datasheet___YX8019_Solar_LED_driver_files/
3 cd ./Your_contributions/
4 cd ./www.semiconductormuseum.com/
5 cd ./www.historyofelectronics.com/
6 cd ./winusbdotnet/
7 cd ./win32_executable/
8 cd ./web.archive.org/
9 cd ./webaddressbook/

broj linije: 6
cd ./winusbdotnet/

Na kraju godine pozabavit ćemo se jednim od alata koje donosi systemd, programom za analizu brzine pokretanja Linuxa. Opsjednuti smo brzinom, vrijeme je novac, korisnici ne žele čekati računalo, bolje da računalo čeka njih! Procesori su višejezgreni, sa "nitima", prilagođeni za paralelno izvršavanje, rade na sve većim taktovima - sve zato da se dobije na brzini. Systemd nastoji iskoristiti te mogućnosti i ubrzati podizanje OS-a.

Alat se zove systemd-analyze.

$ systemd-analyze time 
Startup finished in 3.614s (kernel) + 7.447s (userspace) = 11.062s

Primjer je s notebooka na kojem je Ubuntu s X-ima. Vrijeme je podijeljeno na dva razdoblja: vrijeme potrebno kernelu i vrijeme utrošeno da se sve pripremi za rad korisnika. To se vrijeme naziva prostorom: kernelspace i userspace, dokazujući da je Einstein bio pravu. :)

Ako nam se 11 sekundi za podizanje sustava čini presporo :) zanimat će nas koji servis možemo okriviti za usporavanje:

$ systemd-analyze blame
         15.267s apt-daily.service
          5.742s NetworkManager-wait-online.service
          1.393s dev-sda6.device
           276ms systemd-logind.service
           269ms apparmor.service
           244ms accounts-daemon.service
           224ms console-setup.service
           216ms systemd-rfkill.service 
           203ms snapd.service
           191ms irqbalance.service
           189ms upower.service
           183ms ufw.service
           171ms NetworkManager.service
           169ms gdomap.service
           155ms networking.service
           151ms avahi-daemon.service
           149ms grub-common.service
           144ms apport.service
           139ms thermald.service
           131ms ondemand.service
           123ms speech-dispatcher.service
           109ms systemd-udev-trigger.service
       ... 

Najveći "krivac" u ovom primjeru je apt-daily.service. U postavkama je zadano dnevno provjeravanje dostupnost novih verzija paketa. Tu smo postavku za probu isključili, pa ponovili traženje krivca:

$ systemd-analyze blame
          5.549s NetworkManager-wait-online.service
          1.344s dev-sda6.device
           244ms apparmor.service
           240ms systemd-logind.service
      ...

Najveći krivac je nestao s popisa! No dobro, mogli bismo reći da taj proces ionako ne spada u boot. Troši 15 sekundi, a boot se obavi za 11. Osim toga pokreće se tek nakon što proradi mreža. No apt-daily je zgodno poslužio za provjeru funkcionalnosti analize. Sad možemo vratiti dnevni upgrade, ili ga, kao pravi sistemac stare škole, ručno pokretati svako jutro kad dođemo na posao.

Najkorisnija funkcija analize je izrada grafa koji nam zorno prikazuje cijeli proces podizanja operacijskog sustava i servisa (pardon, unita).

$ systemd-analyze plot  > systemdplot.svg

Rezultat analize dobili smo u grafičkom obliku zapisan u datoteku, koju možemo pogledat na primjer u browseru (file:///putanja/systemdplot.svg), ili pomoću programa display koji je dio imagemagic paketa.

$ display systemdplot.svg

Kažu, s pravom, da slika vrijedi više nego 1000 riječi. Sivom bojom označeno je vrijeme koje je utrošeno za pokretanje kernela ili unita, a crvenom vrijeme čekanja da se završi neki prethodni proces bez kojeg se unit ne može pokrenuti. Optimizacijom bi se to vrijeme čekanja možda moglo skratiti.

Graf je zgodan radi još jedne stvari: nazubljen je, lijepo pokazuje kako se uniti pokreću u grupama, odnosno nekoliko ih kreće istovremeno, a nakon nekog vremena pokreće se druga grupa itd. Na ovaj način je cijela procedura mnogo jasnija. Paralelizam ne znači da se sve pokreće odjednom, nego po grupama, uzimajući u obziri međuovisnosti i redoslijede.

Naredni postupak izradit će nam još jedan graf, ali taj nam neće biti jednako koristan. Naime, slika nije baš pregledna, da bi je cijelu vidjeli treba je smanjiti do te mjere da postaje nečitka, ili je projicirati na veliki ekran ili zid. Naredba za izradu ovog grafikona izgleda ovako:

$ systemd-analyze dot | dot -Tsvg > systemddot.svg
   Color legend: black     = Requires
                 dark blue = Requisite
                 dark grey = Wants
                 red       = Conflicts
                 green     = After

Morat ćete pričekati (oko dvije minute ili više) dok se ne pojavi kursor. Nemojte biti nestrpljivi i stiskati Ctrl-C jer onda nećete dobiti cijelu sliku.



Namjeravao sam napraviti upload originalnih .svg datoteka, ali CMS mi to nije dozvolio, pa sam dijelove slika izrezao i pretvorio u png format. Nije problem, sami ćete napraviti slikice za svoje servere.

Analyze prima i neke parametre koji, reklo bi se, ne spadaju u vremenske analize.

Parametar set-log-level služi za to da podesimo razinu logiranja. Koje su razine objasnili smo opisujući konfiguriranje journal daemona (https://sysportal.carnet.hr/node/1770). Podsjetimo se:

0 ili “emerg”
1 ili “alert”
2 ili “crit”
3 ili “err”
4 ili “warning”
5 ili “notice”
6 ili “info”
7 ili “debug”

Svaka viša razina uključuje i sve prethodne.

Najprije provjerimo zadanu razinu logiranja. Po RedHatovoj dokumentaciji, to bi trebalo napraviti ovako:

$ systemd-analyze get-log-level

ali eto problema: Ubuntu verzija ne poznaje taj parametar. Snaći ćemo se drugačije:

$ systemctl -pLogLevel show
LogLevel=info

Za promjenu loglevela trebaju nam admin ovlasti:

$ sudo systemd-analyze set-log-level debug

Promjena zadana na ovaj način je privremena. Ako želimo trajno promijeniti razinu logiranja, treba editirati konfiguracijsku datoteku.

$ visudo /etc/systemd/system.conf
#LogLevel=info
LogLevel=debug

Parametar set-log-target određuje kamo ćemo usmjeriti logove.

$ systemd-analyze set-log-target console

Moguće vrijednosti su console, syslog, kmsg, syslog-or-kmsg, null.

Provjeru bi, opet po dokumentaciji, trebalo obaviti ovako:

$ systemd-analyze get-log-target

Ali ni to ne radi na Ubuntuu. Radi ovako:

$ systemctl -pLogTarget show
LogTarget=journal-or-kmsg

Mogli bi se zapitati zašto bi uopće naredba za analizu boot procesa služila za promjenu razine logiranja, ili za preusmjeravanje logova? To bi trebala obavljati naredba systemctl, zar ne?

Nećemo se upuštati u rasprave, a razlike između dokumentacije i konkretne implementacije, koja se može razlikovati od jedne do druge verzije Linuxa razriješt će nam naredba man, ili parametar --help.

$ systemd-analyze --help

Naredba systemd-analyze napravljena je u prvom redu za developere i paketaše, a sistemcu će poslužiti ukoliko se upusti u optimizaciju i ubrzavanje rada servera. U članku nismo iscrpili sve njezine mogućnosti, ali je ovo sasvim dovoljno da nas potakne na istraživanje i učenje. Usput smo nabasali na neke probleme, razlike u dokumentaciji i implementaciji, ali to ćemo pripisati činjenici da je systemd još u razvoju. Već smo naučili da sada Linux počinje nalikovati na MS Windowse, pa nas više ne uzrujava (recimo) što je narušen osnovni princip po kome alati trebaju raditi samo jednu stvar i biti maksimalno optimizirani za taj posao. No usprkos svemu systemd-analyze se pokazao kao koristan alat, ne samo za optimizaciju nego i za učenje, razumijevanje Linuxa koji ne stoji na mjestu, nego je živ i razvija se.

Izlazak prvih zakrpa za Intelov (pokazalo se i dijelom AMD-ov i ARM-ov) propust u arhitekturi mikroprocesora pokazao se zabrinjavajućim: prvo su stigla izvješća o tome kako Microsoftova zakrpa ruši (https://gizmodo.com/microsoft-pauses-meltdown-patches-for-some-amd-processo-1821906738) neka računala opremljena AMD procesorom, a zatim i njima slična izvješća o nemogućnosti pokretanja Linux računala (specifično, Ubuntu 16 - https://www.bleepingcomputer.com/news/software/meltdown-and-spectre-patches-causing-boot-issues-for-ubuntu-16-04-computers/) nakon instalacije sigurnosne zakrpe.

Windows administratori trebali bi prije pokretanja instalacije napraviti restore point ili još bolje presliku Windows particije (tako se brže i lakše stroj vraća u funkcionalno stanje), dok Linux administratori trebaju provjeriti imaju li prilikom pokretanja stroja mogućnost izbora starije verzije Linux kernela: ako novi kernel zablokira računalo, izbor starijeg kernela prilikom pokretanja riješit će problem.

Imate li ranjive Windows ili Linux poslužitelje, to su načini da ih održite na životu dok ne stigne odgovarajuća zakrpa koja ih neće rušiti.

Neugasiva je želja agilnijih, znatiželjnijih korisnika Android uređaja da se barem povremeno odmaknu od Googleovog dućana aplikacija jer korisne ili zabavne aplikacije (i usluge) postoje i u drugim online dućanima, poput Amazonovog, tu su i ApkMirror, Aptoide, F-droid, Getjar, SlideMe... ma ima ih više od zavoja na Jadranskoj magistrali! Slijepo držanje za Googleove skute najviše šteti nama IT profesionalcima jer nam sužava spoznajne horizonte te, u konačnici, značajno otežava stručno napredovanje u oblasti mobilnih tehnologija.

Nažalost, turobne prognoze upućenih da tek slijede stvarno sofisticirani napadi na Android mobilne uređaje zlorabljenjem ne samo lokalnih ranjivosti već i onih prisutnih u mobilnim mrežama, djeluju poput hladnog tuša i gase istraživački žar. Uistinu, što više čovjek prati sigurnosne peripetije Android smartfona - ranjivosti se ne otkrivaju samo u AOS-u nego i u firmwareu SoC-a, pokrpa se jedna ranjivost a otkriju dvije, "slow motion" princip krpanja i to samo novijih modela, stotine malwareom zaraženih aplikacija otkriveno je i u dokazano najsigurnijem od svih dućana, Googleovom... - to je veća bojazan da ćemo vrludanjem po Webu i instaliravanjem aplikacija "from untrusted sources" izložiti svog dragocjenog digitalnog asistenta svakojakim softverskim opačinama. Budući da isti taj uređaj često rabimo za financijske transakcije, udaljeno administriranja računala firme i slične u osnovi senzitivne poslove, radije ćemo odustati od traganja za novim ili boljim alatima nego se izložiti kompromitaciji i odgovornosti. Nitko neće pokazati previše razumijevanja za naše samoeduciranje ili nastojanje da što učinkovitije izvršavamo svoje radne obveze ako se ustanovi da je sigurnosni incident uzrokovao malware koji čuči u našem smartfonu.

Srećom, uz nešto samokontrole, uparene s niže izloženim postupcima, moguće je zamalo-pa-bezopasno ispitivanje raznih web sadržaja i isprobavanje aplikacija prisutnih u katalozima dućana niže sigurnosne razine od Googleovog. Kako to već biva u oblasti računalne sigurnosti, rizik ne možemo eliminirati ali ga možemo minimizirati.

U svim primjerima unutar ovog članka referentni Android OS nam je Nougat, trenutno „zlatna sredina“ zastupljenijih AOS verzija na tržištu (Marshamallow – Nougat - Oreo).

1. Za smartfon izraditi tzv. baseline snimku stanja, baš kako to radimo za servere neposredno prije puštanja u produkciju ili nakon većih preinaka. Alata vrste "system info" ima napretek, osobno kombiniram AIDA64 i Network Connections. Na nižoj slici iz Aide si šaljem izvješće u mailbox, od tamo odlazi u arhivu.

2. Uvjerit ćemo se da je opcija Untrusted sources isključena, eno je u sistemskim postavkama AOS-a pod stavkom Security. Opciju ćemo uključiti neposredno prije instalacije aplikacije, o tome kasnije. Nasuprot ovome, Play Protect funkcionalnost treba biti uključena. Ne rootati smartfon jer time postaje ranjiviji, o tome smo ranije pisali, vidi https://sysportal.carnet.hr/node/1629. Par odličnih aplikacija spomenutih tijekom obrade ove teme nesmetano radi na nerootanim uređajima.

3. Slijedi priprema za brzu i potpunu revitalizaciju smartfona, time se u podjednakoj mjeri osiguravamo od teško uklonjivog malwarea i osobnih lakomislenih postupaka. Dakle, opremit ćemo se s aktualnim službenim ROM-om (stock ROM, official firmware), alatom s uputama kako taj ROM natočiti na smartfon te s driverom za USB konekciju smartfona s računalom. Važna napomena: dođemo li u situaciju da  uistinu moramo flashati smartfon, prvo odradimo Factory data reset (kroz Settings AOS-a) ili Wipe data/Factory reset iz Recovery konzole jer moramo počistili Data i Cache particije. Niže je "borbeni komplet" za moj phone.

4. Postoji cijela jedna „škola“ koja problematizira korisnost antivirus/antimalware aplikacija na mobilnim Android uređajima, nećemo ulaziti u raspravu, samo skrećemo pozornost da od njihove prisutnosti na uređaju ipak imamo više koristi nego štete. Rečeno se posebno odnosi na situaciju za koju se pripremamo. Guglanjem ćemo lako pronaći usporedne analize raznih softverskih rješenja ove vrste pa se možemo opredijeliti.

U prilog iznesenom je i to što u AOS integrirana Googleova antimalware usluga Play Protect za sada gubi bitke u komparacijama sa drugim produktima iste namjene. Do daljnjega, znači, nije mudro osloniti se isključivo na zaštitne potencijale Play Protect mašinerije. Zgodno je znati da je opcija Improve harmful app detection defaultno isključena - vjerojatni je razlog minimiziranje trošenja podatkovne kvote od strane samog AOS-a – ali isplati nam se aktivirati ju; nadalje, Play protect možemo i ručno pokretati kad god nam se prohtije.

5. Sad smo spremni za skitaranje po bespućima Weba i skidanje zanimljivih nam aplikacija kako bismo ih isprobali. Evo, napikirali smo jedan sistemski alat, tko zna, možda nam baš on postane glavni za odrađivanje nekih poslića. Skinemo na smartfon .apk paket i sad ga trebamo instalirati, dakle, uključit ćemo maloprije spomenutu opciju Untrusted sources , jel'te.... NE! Postoje online servisi poput VirusTotal i NVISO Apk Scan koji "češljaju" apk-ove u potrazi za malicioznim kodom, zašto ih ne bismo iskoristili?! Znači, dostavit ćemo skinuti .apk antimalware servisu i saznati što će reći o toj aplikaciji. U prvom dijelu niže slike vidimo mišljenje Virus Totala. Ako se njegov nalaz podudara s nalazom drugog servisa iste namjene - a vidimo da je tako – tu aplikaciju je najpametnije zaboraviti, kolikogod nam se učini "bogomdanom". A opciju Untrusted sources uključit ćemo samo kad nas servisi poput spomenutih izvijeste da je s .apk-om sve u redu, kako bismo instalirali aplikaciju.

Gornja slika ujedno opominje: zaguglajte da biste provjerili status kreatora aplikacije i same aplikacije prije nego što ju uopće skinete na svoj uređaj.

Zašto je dobro opet isključiti Untrusted sources nakon instalacije? Zato jer nam se u pravilu nudi instalacija aplikacije odmah nakon skidanja .apk paketa pa pukom zabunom možemo odobriti instaliranje zloćudnog koda!

Nasuprot raširenom mišljenju, i aplikacije skinute s nezavisnih dućana mogu se automatski ažurirati, naime, postoje aplikacije - spominjemo ApkUpdater - koje upravo tome služe, da provjere postojanje novih verzija instaliranih aplikacija. Obično dućani nude vlastite aplikacije te namjene. 

6. Cyber kriminalci imaju nezgodnu navadu plasirati nekoliko čistih verzija aplikacije, onda počnu distribuirati istu aplikaciju "obogaćenu" malwareom. Srećom, nismo nemoćni ali treba znati kontrirati. Budući da ulazimo u pomalo iritantnu IF-THEN-ELSE materiju, bolje nam je točki 6 posvetiti zaseban članak.

(nastavlja se)

Služba sistemske pomoći ustanovama članicama je u suradnji s CARNet NOC-om uvela jednu novinu u uslugu sysmonitor. Od sada će svim korisnicima sysmonitor usluge, a koji su u CARNet-ovoj bazi evidentirani kao kontakt osobe za ustanovu, u slučaju ispada CARNet-ovog uređaja na ustanovi dolaziti SMS poruka s obavijesti o ispadu.

Do sada su korisnici mogli kroz uslugu unositi svoje poslužitelje i mrežnu opremu, ali nije bilo moguće SMS-om obavijestiti korisnika da se dogodio ispad CARNet-ovog mrežnog uređaja. Sada se, u slučaju ispada mrežnog uređaja, provjerava postoji li u CARNet-ovoj bazi kontakt osoba s ustanove koja koristi sysmonitor uslugu i koja je postavila svoj broj mobilnoga telefona za slanje SMS poruka. Ukoliko sustav pronađe takvu osobu ona dobija poruku o ispadu mrežnog uređaja.

Ova nova usluga je automatski postavljena za sve korisnike sysmonitor usluge koji su podesili broj mobitela i nije moguć "opt-out"– pretpostavljamo da onaj koji je podesio sysmonitor uslugu i želi primati poruke o stanju svojih uređaja zasigurno želi primiti i poruku o ispadu ustanove s mreže. Nakon povratka dostupnosti uređaja na mreži sustav šalje obavijest kontakt osobama prema istom algoritmu.

Za one sistemce koji do sada nisu koristili uslugu sysmonitor sustav je dostupan na adresi https://sysmonitor.carnet.hr/.

Običaj je da se početkom godine napravi rekapitulacija najvažnijih zbivanja prethodne godine. No to ćemo ostaviti za neku drugu priliku, sad nas više zanima kakva nas budućnost očekuje. Kao techije, svakako nas najviše zanima kako će se razvijati tehnologija, kakve će promjene unijeti u naše živote, kako će promijeniti civilizaciju u kojoj živimo.

Jasno je da se promjene ubrzavaju eksponencijalno, na to ne treba trošiti riječi. Podsjetimo se, u grubim crtama,  što se dogodilo zadnjih 50 godina.

• Sedamdesetih godina prošlog stoljeća vladali su mainframe kompjuteri, kolokvijalno zvani "big iron". Trokrilni ormari, skupi, gutači struje, donijeli su mogućnost obrade većih količina informacija i ubrzali složene kalkulacije. Postojali su i prije toga u nekom rudimentarnom obliku, koristili bušene kartice i magnetne trake, radili "batch" obrade podataka. Sedamdesetih dobijaju interaktivna korisnička sučelja i postaju višekorisnički, višezadaćni.

• Osamdesete je obilježila pojava osobnih računala, s kojima računalstvo prestaje biti eksluziva i postaje potrošačka elektronika. Računala ulaze u urede, a zatim i u domove jednako kao štednjaci, perilice i zamrzivači.

• Devedesetih je veliku promjenu započeo Internet. Povezivanje odvojenih računala i mreža omogućuje laku dostupnost informacija, mogućnost komuniciranja i suradnje među ljudima istih interesa koji se radi geografske udaljenosti ne bi nikada susreli. Internet mijenja sve, od trgovine, medicine, bankarstva, izdavaštva, politike, ratova, neprestano se otkrivaju novi načini njegova korištenja.

• Na prelasku u novo stoljeće nastaje bum društvenih mreža. Svatko dobija priliku postati novinar, izdavač, objavljivati blog, stavljatipostove na FB, reći svijetu što misli i kako se osjeća ( pa i što jede...).

• 2010. kreće nova revolucija: blockchain tehnologija, a s njom i kriptovalute, kao prva od brojnih mogućih primjena. Bit je nove tehnologije u tome da uspostavlja odnos povjerenja među nepoznatim ljudima i grupama. Kriptografskim ovjeravanjem sve su transakcije neporecive. Počinju bujati brojne kriptovalute, ljudi ulažu sve veće količine novca kupujući virtualni novac, nadajući se lakoj zaradi. Kad je količina novca koja se tu obrće postala značajna, pokrenula se "protureformacija". Vlade će nastojati zadržati svoj monopol na tiskanje novca i ubiranje poreza. Bit će to teška i dugotrajna bitka s neizvjesnim ishodom. Tko će biti na dobitku ako oslabi moć današnjih država?

Kao naredna velika promjena najavljuje se Internet of Things. Svijet će premrežiti bezbrojni mali uređaji koji će se ponašati kao umreženi senzori. Možemo samo zamišljati kakve će to promjene donijeti. Pametne žarulje u velikim trgovinama osim što svijetle pomažu kupcima da pronađu robu. U stanu mogu mjeriti količinu ugličnog dioksida, na primjer, otvarati prozore, štedjeti energiju, zvati Hitnu ako je stanar nepokretan neko vrijeme ili mu je temperatura izvan normale. Narukvice će nam mjeriti tlak, kontrolirati šećer u krvi. Testiraju se protipovi automobila koji ne trebaju vozača. Senzori i kamere olakšat će upravljanje prometom.

U povojima je još jedna posve nova grana industrije, ako je tako uopće možemo nazvati. Kratica NBIC krije sintezu nanotehnologije, biotehnologije, informacijske tehnologije i kognitivne znanosti. Veliki se novci ulažu u startup tvrtke od kojih se očekuju značajne inovacije, na primjer lijekovi prilagođeni pojedinom pacijentu (tzv. precizna medicina), ili poboljšanje ljudske inteligencije. Cilj je produljenje života i poboljšanje njegove kvalitete. Ulagači očekuju da će se na tome obogatiti (ipak živimo u kapitalizmu), ali će od toga imati koristi i čovječanstvo, barem oni među nama ostalima koji će si to moći priuštiti.

Količine podataka također eksponencijalno rastu, pa će trebati nove generacije velikih računala za njihovu obradu. Više ih ne zovemo mainframe, nego superkompjuteri. Da li nekoga još iznenađuje da najjače superkompjutere trenutno ima Kina?

• Sunway TaihuLight sa 93 petaflopsa je trenutno prvi.

• Slijedi Tianhe-2 sa 33.9 petaflopsa. Tianhe je do 2016. bio svjetski prvak, a koristi ga kinesko Ministarstvo obrane.

• Na trećem mjestu je Piz Daint, Cray XC50 sistem sa 19,6 petaflopsa, instaliran u Swiss National Supercomputing Centru (CSCS).

• Četvrto mjesto drži Titan, Cray XK7 sistem američkog Ministarstva energetike sa 17,6 petaflopsa.

• Peti je Sequoia (17.2 petaflops), IBM BlueGene/Q sistem u Lawrence Livermore National Laboratory.

Ako pogledamo kolika je razlika u snazi između prvog i ostalih, jasno je da ovdje započinje nova utrka u kojoj se ne radi samo o prestižu, već i o moći, ekonomskoj, političkoj, vojnoj. SAD planiraju početkom ove godine upogoniti superkompjuter sa 200 petaflopsa, dok Kina radi na "exascale" računalu koji bi trebao biti zgotovljeno do 2020. "Exascale" znači 1 "quintillion" operacija u sekundi.

A to je, začudo, ravno mogućnosti ljudskog mozga! Sa 100 milijardi stanica (neurona) od kojih svaka može imati do 40.000 veza (sinapsi) s ostalima, s brzinom prijenosa impulsa od 460 km/h, naš bi mozak, u teoriji, trebao biti sposoban za "1 quintillion" operacija u sekundi. Za što mi koristimo takav potencijal? Za gledanje glupih serija i ispijanje piva uz prijenos utakmice? Možda će NBIC tehnologija moći unaprijediti naše mozgove tako da ih konačno počnemo upotrebljavati. Ili ćemo, kao u Matrixu, sanjati u čahurama i služiti za proizvodnju energije (mozak proizvodi struju dovoljnu za jednu žarulju).

Što će se raditi s tolikim informacijama o svijetu, ali i o nama, koje će pametne stvari prikupljati i slati u superkompjutere? Hoće li rezultati obrada služiti dobrobiti čovječanstva ili povećanju moći onih koji su već moćni? Ili će ih presretati kriminalci da bi nas opljačkali? I jedno i drugo i treće, jer se ljudska priroda i naš mozak nisu mnogo promijeli od doba neandertalaca i kromanjonaca. Samo su nam na raspolaganju bolji alati. Zato će jedna od "kolateralnih"žrtava ove revolucije biti naša privatnost, koja nikad nije bila u toj mjeri ugrožena kao danas, a bit će još ugroženija sutra. Očekujemo od države da nas zaštiti regulativom, ali što ako i država ima interes da zna sve o nama? Moć koju donosi tehnologija trebat će nekako ukrotiti. Ljudi još spavaju u kukuljicama, ne osjećaju se ugroženima, udobno im je. Citirat ću Edwarda Snowdena: "Ako mislite da vaša privatnost nije važna zato jer nemate što kriti, to je kao da vam nije važna sloboda govora jer nemate što reći."

Kao i uvijek, problemi su veći u društvu nego u samoj tehnologiji. No nijedno društvo ne može funkcionirati bez povjerenja, bez toga nema ni obitelji, ni biznisa, ni države. Iz tog će razloga u budućnosti cvjetati još jedna grana industrije: informacijska sigurnost.

Hoće li nas tehnologija osloboditi mukotrpnog rada i dati nam slobodu, ili će nas porobiti na načine koje još nismo osvijestili? Hoće li ljepota, zdravlje i pamet koju će nam donijeti NBIC tehnologije biti dostupni svima ili samo bogatima? I, slijedom te misli, hoće li si privatnost moći priuštiti samo najbogatiji?

Svi znamo da 25. svibnja 2018. na snagu stupa  GDPR (General Data  Protection Regulation) odnosno Opća uredba o zaštiti podataka koja  predviđa ozbiljne kazne u slučaju njezinog kršenja (do 20 000 000  EUR  ili do 4 % ukupnog godišnjeg prometa na svjetskoj razini, ovisno o tome  što je veće).

No, i po "staroj" no trenutno važećoj direktivi odnosno zakonima koje iz nje proizilaze, mogu se odrediti značajne kazne. Tako je u V. Britaniji izrečena kazna od 400 000 GBP (3 360 000 HRK) telekom  trgovcu Carphone Warehouse budući  da nije:
 
- dobro i redovito provodio sigurnosna testiranja,
- redovito ažurirao i patchirao svoje sustave,
- imao firewall (WAF),
- imao antivirusni softver na serverima,
- imao dobar sustav za detekciju napada,
- imao različite root passworde na različitim serverima,
- redovito brisao stare (nepotrebne) podatke,
- znao točno koje sustave i podatke ima,
- držao ključ za kriptiranje na sigurnom,
 
Posljedica ovoga je bilo curenje osobnih podataka preko 3,3 milijuna njegovih korisnika, preko 18 000 podataka o kreditnim karticama i oko 1000 podataka o njegovim zaposlenicima. Kaznu je izrekao britanski ICO (nije Rako, nego Information Commissioner's  Office) koji je pandan našima AZOP-u i Povjereniku za informiranje).
 
Više informacija na: Infosecurity Magazine, Tekst kazne.

"Pomagaj! Server mi je zagušen spamom, reklamiraju uklanjanje nekih gljivica, s više domena, različite IP adrese, ni tekst nije uvijek isti, sve prolazi kroz SpamAssassin. Sve je puno  g l j i v i c a !"

Otprilike je tako glasio jutarnji poziv "sistemca u panici (TM)". To je trenutak koji su svi doživjeli, ali ga zapravo ne bi trebali doživjeti - nikad. Dobro, dobro, ponekad se stvari tako poslože da se ne može biti na više strana odjednom, pa može nastupiti panika. Jedino rješenje je - vježba i priprema za takve situacije.

"Kad bi imali dovoljno vremena, napravili bi bolju pripremu", čuje se negdje iz zadnjih redova. Da, tako je, ali tako nam je kako nam je, vrijeme se mora pronaći. Pokušajte napraviti scenarije"ŠTO AKO".

"Što ako crkne disk, imam li pričuvni? Memorija, imam li dva dodatna keksa memorije? Ispad mreže od 24 sata, kako će moji korisnici slati i primati mail?" Napravite si barem okviran plan reakcije na (ne)predviđene situacije. Napišite upute za druge kolege kada jednom nađete dobar recept. i tako pomognite  jedni drugima.

Da se vratimo na originalan problem. Spam. Spameri se prilagođavaju i uče. Sad, čini se, imaju kampanje. Udare s istom temom spama (odnosno poslodavcem) na sve načine, pa tako dobijate mail s različitih nepovezanih domena, IP adresa, a i sam tekst spama se mijenja, pa ručno postavljeni filteri ne zaustavljaju sve ključne riječi. Što možemo učiniti, kakve alate imamo na raspolaganju?

1) postfix

Postix ima mogućnost blokirati mailove po sadržaju u zaglavljima, ali i tijelu poruke. To ga čini izuzetno jakim oružjem u našem arsenalu. Upute za podešavanje su na adresi:

https://sysportal.carnet.hr/node/1289

Potrebno je ručno unijeti ključne riječi, odnosno rečenice, da ne biste blokirali legitimne mailove koji sadrže iste riječi (riječ "gljivice" nije problem blokirati na informatičkom fakultetu, ali jest problem na nekakvom odsjeku za biologiju). Dakle, uzmite što više riječi iz rečenice, a ne samo pojedine riječi:

header ESTATE_SPAM               Subject =~ /Nekoliko prskanja i nestale su gljivice noktiju/
score  ESTATE_SPAM        10.0
describe ESTATE_SPAM             Spam sa subjectom: Gljivice

Pravila je potrebno nadopunjavati dok ne pokrijemo spamerov fond različitih inačica maila.

2) iptables

Iptables će svoj posao odraditi, ali ne možete ići blokirati adresu po adresu. Treba blokirati cijeli mrežni range, što je laka odluka ukoliko se radi o zemljama s kojima obično ne komuniciramo mailom. Ovdje je od pomoći alat "whois":

$ whois A.B.C.D
...
inetnum:        A.B.C.0 - A.B.C.255
...
route:          A.B.C.0/23

Dakle, može se blokirati cijeli range A.B.C.0/23:

# iptables -I INPUT 1 -p tcp -s A.B.C.0/23 --dport 25 -j DROP

Sve ovako napravljene blokade treba staviti u kategoriju "maknuti poslije par dana". Nema smisla blokirati cijeli range samo zbog jednog napada, jer možemo imati problem s dostavom legitimnog maila. U znanstveno-istraživačkoj zajednici uobičajeno je da ljudi dopisuju s kolegama iz drugih država i drugih kontinenata (a za koje ne biste pomislili da imaju ikakve veze s vašom institucijom), pa to ne smijete zaboraviti. Blokiranje adresa ograničite samo na port 25, jer je to logično u ovom slučaju. Drugi napadi traže druge portove ili potpunu blokadu njihovih adresa.

Ovo je vatrogasna mjera i nije dobro na ovaj način dugoročno rješavati probleme. Nakon nekog vremena resetirajte iptables.

3) spamassassin

SpamAssassin statistički analizira mailove i odlučuje što je spam, a što nije. Provjerite da li SA radi i koje scoreove/ocjene daje spamovima, da slučajno nije izgašen ili slično. Ukoliko SpamAssassin dodjeljuje score 0, nešto ne štima, morat ćete provjeriti svoju instalaciju i postavke.

SpamAssassin isto može blokirati mailove direktno po sadržaju ili naslovu, samo to nema smisla rabiti ako već imate podešen postfix koji to isto radi (i to još ranije, prije Amavisa i SpamAssassina). Kako podesiti pravila možete pročitati na linku:

https://sysportal.carnet.hr/node/842

4) fail2ban

Nažalost, fail2ban slabo radi kad, kao ovdje, "napad" dolazi s više IP adresa. On radi tako da uzme adresu iz logova za pojedini servis i onda broji spajanja u jedinici vremena. Nakon što je broj spajanja prešao limit, blokira tu adresu. Ako spamer pošalje samo tri poruke s jedne IP adrese, pa nakon par sati opet tri, fail2ban ga neće nikada blokirati. Intervencije u obliku produžavanja vremenskog okvira se mogu provesti, ali onda možemo slučajno blokirati legitimne mail servere. Ukoliko želite koristiti i fail2ban "for good measure", upute za konfiguraciju su na adresi:

https://sysportal.carnet.hr/node/542

U prethodnom smo članku sveli točku 6 na napomenu: "Cyber kriminalci imaju nezgodnu navadu plasirati nekoliko čistih verzija aplikacije, onda počnu distribuirati istu aplikaciju "obogaćenu" malwareom. Srećom, nismo nemoćni ali treba znati kontrirati." Slijedi razrada 6. točke.

Bitna značajka raznih vrsta digitalnih nametnika - trojanaca, spywarea, keyloggera... - jest potreba spajanja na određene javne IP adrese kako bi kontaktirali "maticu", usput predali naše podatke ili primili naredbu. Zato ćemo svoj smartfon naoružati alatima za praćenje rada aplikacija i mrežnog prometa. Kako to već biva u praksi, što više pozornosti im posvetimo to bolje ćemo kontrolirati svoj uređaj. Puno dopunskih informacija o vanjskim IP adresama i URL-ovima časkom ćemo prikupiti s Weba, dobra polazna točka je https://www.malwareurl.com/, uostalom, vidjet ćemo da nam neki od sistemskih alata nude preusmjeravanje na neki anti*.* web servis kako bismo nastavili s istraživanjem.

Sljedećih par napomena o tipičnom ponašanju Android aplikacija i dozvolama AOS-a verzije Nougat/Oreo pomoći će nam u obrani suvereniteta našeg digitalnog suradnika, time i nas samih.

a) Budući da je tako od samih početaka, danas možemo ustvrditi da je za AOS aplikacije normalno "istrčavati" na Internet. To radi većina predistaliranih i naknadno instaliranih aplikacija, svaka ima neke svoje okidače i razloge za takvo ponašanje. Možebitnih razloga je puno i uglavnom se smatraju legitimnima - od "cicanja" reklama (tipično za besplatne inačice aplikacija) do informiranja Googleovih servisa o stanju sustava, lokaciji uređaja, našim navikama... ma znate to već, bitno nam je ovo:

• Svakoj je aplikaciji defaultno dopušteno trošenje podatkovne veze u pozadini, znači, aplikaciju ne moramo pokrenuti niti moramo biti na bežičnoj mreži da bi kontaktirala neki vanjski server/servis. 
• Neke aplikacije odjurit će "vanka" kad ih pokrenemo, ali postoje i one koje se povremeno samopokrenu u pozadini, popričaju s udaljenim serverom a onda se ili opozovu ili ostanu aktivne kao pozadinski proces.

Poanta: Ne postoji lako uočljiv, jednoznačan indikator koji će upućivati na prisutnost zloćudnog koda niti ga je lako spriječiti u prijenosu podataka ili primanju instrukcija. Kad se, recimo, legitimna aplikacija ne bi mogla ponašati po modelu "sama se pozovem - sama se opozovem" imali bismo dobar kriterij za razlikovanje i daljnje postupanje. No, stanje je takvo kakvo jest i s time moramo računati. 

b) AOS verzije Nougat uveo je razne sigurnosne inovacije s ciljem što bolje međusobne izolacije aplikacija i AOS-a od utjecaja aplikacija. Nuspojava je blokiranje svih sistemskih alata usmjerenih ka praćenju procesa i sistemskih logova, to smo već spomenuli u 1. točki teme. Hvalevrijedni programski uratci poput OS Monitora na Nougatu su beskorisni osim ako je uređaj rootan a potonje, podsjećam, ne želimo jer time povećavamo mogućnost proboja u sustav. Budući da postoje napadi u kojima malware djeluje kao proces sasvim nevidljiv na razini korisničkog sučelja, ili se čak ugnježđuje u neki postojeći legitimni proces, bez alata za analizu procesa značajno nam je otežano otkrivanje uljeza, dovoljno je pogledati nižu sliku da shvatimo kakve smo dragocjene pomagače izgubili.

c) Nougat (i Oreo) prakticira automatsko dodjeljivanje dozvola aplikacijama ako te dozvole spadaju u kategoriju "Normal". Tek kad aplikacija zatraži neku dozvolu iz kategorije "Dangerous", AOS izvješćuje korisnika i traži njegov pristanak. Susreli smo se s tim upitima svi mi koji smo se u nekom trenutku dočepali smartfona ili tableta s novijim AOS-om. To je svakako dobra praksa, kao i mogućnost da korisnik po volji upravlja tim opasnim dozvolama - uključuje ih ili isključuje - tijekom životnog ciklusa aplikacije na svom uređaju. Ali za nas su nepovoljna ova dva rješenja:

• Svaka aplikacija - bila ona dobroćudna ili zloćudna - može nesputano koristiti WiFi mrežni podsustav Android uređaja. Dozvole kojima se regulira ponašanje aplikacije u WiFi kontekstu spadaju u kategoriju Normal pa korisnik to ne može regulirati u AOS ugrađenim naredbama. 
• Opasne su dozvole grupirane u nekoliko grupa a primjenjuju se tako da se mogu zlorabiti, posebice nakon ažuriranja aplikacije. "Lakoprobavljiv" primjer: Postoji grupa dozvola android.permission-group.STORAGE, ona obuhvaća dozvolu za čitanje i dozvolu za pisanje/brisanje po korisničkom dijelu podatkovne memorije. Tijekom instalacije aplikacija zatraži od AOS-a, posredstvom svoje konfiguracijske datoteke AndroidManifest.xml, pravo čitanja podataka, AOS zatraži od nas odobrenje...(itd., to znamo), ali ako naknadno autor u manifest te aplikacije postavi zahtjev za dozvolom "piši/briši", AOS će to prihvatiti bez notifikacije korisnika. Ovakvim baratanjem dozvolama otvara se manevarski prostor hakeru da neprimjetno osposobi svoj softver za iskorištavanje ranjivosti u sustavu. Kontramjera je povremena kontrola dozvola aplikacija, nije to lako ali je izvedivo jer, vidjet ćemo, postoje alati koji nam olakšavaju taj posao.

Odlično štivo o dozvolama nalazi se na adresi https://developer.android.com/, mi ćemo priču o njima završiti jednom ilustracijom. Sad kad znamo kako su dozvole kategorizirane i kako se primjenjuju, neće nas zbunjivati izvještaj AOS-ovog Application Managera u kojem općepoznati alat IP Tools nema nikakve dozvole a nesmetano radi, kak' sad pa to?! Odgovor je: aplikacija funkcionira na razini mrežnog podsustava, za to su joj dovoljne dozvole "Normal" a njih joj AOS blagonaklono daruje; jedina Dangerous dozvola (Location) je isključena... u konačnici, ali samo za neupućene u ove finese, aplikacija radi bez ikakvih dozvola.

Ok, gornje smo "naštrebetali", voljni smo braniti se od svakojakih digitalnih parazita i humanoidnih zločestoba koje iz njih stoje... sad ćemo se još naoružati s par odličnih alata. Zajedničko nižim alatima je to što rade bez superuser prava, za aktiviranje svih funkcionalnosti treba kupiti licencu ali, srećom, i besplatna verzija od velike je pomoći. Iskreno, barem što se tiče navedenih alata, trošak na licencu uistinu je zanemariv u odnosu na ono što dobijamo.  

* NETWORK CONNECTIONS (Anti Spy Mobile) ukratko: bilježi spajanje lokalnih aplikacija i servisa na vanjske IP adrese; vrijedi i obratno, registrirati će i dolaznu konekciju. Također će pratiti internu komunikaciju aplikacija ako se odvija posredstvom loopback mrežnog adaptera. Pored uvida u detalje konekcije, od IP do geolokacije, daje i kvantitativne podatke o ostvarenom prometu u oba smjera. Posebno su nam zanimljivi opcija Show notifications when hidden apps are making connections te izvješće o dozvolama iskorištenim tijekom konekcije, nije teško skontati zašto. Sve što alat hvata možemo snimati, spremiti i potom analizirati. Aplikacija je prilagođena sistemcima u svakom svom aspektu, riječ je o preciznom softverskom instrumentu krcatom mogućnostima.

Niže se bavimo "inspekcijom inspektora", pratimo ponašanje NetGuarda, aplikacijskog vatrozida. Tap-po-tap i pred očima nam se redaju dragocjeni podaci o ponašanju aplikacije i značajkama čvorova s kojima komunicira.

Postoji i IP Connections, jednostavan alat koji prikazuje mrežne konekcije u realnom vremenu, praktičan je za nadzor sve dok nemamo potrebu za nekim posebnim istraživanjima (mada, PRO inačica ima i mogućnost izvoza podataka). Vizualno orijentiranim dušama svidjet će se jednostavni geolokator IP adresa Connect jer značajke mrežnih konekcija prikazuje na mapi svijeta.

* PACKET CAPTURE (Grey Shirts) ukratko - mrežno njuškalo koje opominjujuće odlično odrađuje svoj posao. Opominjujuće i odlično - kakva je to uvrnuta kombinacija?! Heh, uočite da alat umije analizirati pakete koji cirkuliraju TLS tunelom, što znači da istu tehniku (man-in-the-middle) može primijeniti i neki spyware... toliko o "sigurnim" HTTPS konekcijama smartfona s web uslugama na Internetu! Alat možemo fokusirati na jednu aplikaciju ili pratiti sve njih. Inače, postoji svestraniji, developerima naklonjeniji alat Debug Proxy, ali dok ga ne kupimo gotovo je neupotrebljiv.

Na nižoj slici usnimili smo vjerodajnicu odaslanu ciljnoj web usluzi htttps-om, pripremamo se spremiti cijelu komunikaciju u PCAP formatu kako bismo na PC-u analizirali Wiresharkom.

* ASPOTCAT (Sam Lu) ukratko - na pregledan i razumljiv način upoznaje sa stanjem dozvola za svaku aplikaciju. Alat uspoređuje dozvole deklarirane u AndroidManifest.xml određene aplikacije sa realnim stanjem njenih dozvola u sustavu i informira koje su od zatraženih dozvola aktivne a koje su neaktivne, koje su neopasne a koje opasne... ukratko, pomaže u otkrivanju aplikacija s (pre)velikim ovlastima. Nažalost, izvještaji se ne mogu spremiti, to umanjuje vrijednost alata no, s druge strane, informativan je i dotjeranog sučelja. U praksi ćemo ga vjerojatno kombinirati s AOS-ovim upraviteljem aplikacija kako bismo sumnjivoj aplikaciji "reprogramirali" opasne dozvole ili je se riješili po kratkom postupku, deinstalirali.

Recept "riješiti po kratkom postupku" primijenili smo na aplikaciju Mi Remote - zahvaljujući aSpotCatu shvatili smo da ta aplikacija, po namjeni softverski daljinski upravljač, ima zamalo pa administratorske dozvole na sustav. E, nećeš, razbojniče! :o)

* NETGUARD NOROOT FIREWALL (Marcel Bokhorst) ukratko - nije baš pravi firewall jer ne sprječava niti ne registrira dolazne konekcije, ali uistinu je moćno pomagalo. Naime, omogućuje nam da svim ili pojedinim aplikacijama blokiramo spajanje na Internet resurse, nadalje, da pratimo komunikaciju aplikacija - korisničkih i sistemskih - sa čvorovima na Internetu. Pri tome alat rabi notificiranje korisnika i/ili logiranje konekcija. Potonja metoda omogućuje naknadnu vrlo detaljnu analizu komunikacije, samo što trebamo nešto malo iskeširati kako bismo otključali tu funkcionalnost. 

Za ispravnu uporabu alata važno je znati da jednokratno izvješćuje o svakoj vanjskoj adresi kojoj aplikacija pristupa. Ako ne znamo za taj detalj, učinit će nam se da su nakon nekog vremena aplikacije prestale izlaziti na Internet. Takav način rada alata u stvari je dobar jer lakše uočavamo i ispitujemo konekcije ka novom odredištu. Upravo takve, za dotičnu aplikaciju neuobičajene konekcije i treba pažljivije analizirati jer ih može uzrokovati malware skriven u aplikaciji. Ako, pak, u nekom trenutku želimo snimiti baš sve URL-ove kojima konkretna aplikacija pristupa, odemo u njenu sekciju Access attempts i izbrišemo postojeće zapise.   

Kad to zatražimo, Netguard će nas preusmjeriti na uslugu scanadviser.com, gdje možemo provjeriti sigurnosni status adrese/servisa na kojega se neka aplikacija spaja. 

Na nižoj slici provjeravamo aSpotCat, fokusirani smo na maloprije spomenutu sekciju Access atempts.

Tijekom nadmudrivanja s aplikacijama i alatima dobro će nam doći "one-tap" alat FAST TASK KILLER, njegov je učinak sličan soft resetu pa nam pomaže da za neku planiranu aktivnost ekspresno dobijemo okolinu pročišćenu od procesa i podatkovnih struktura kreiranih našim ranijim postupcima.

* 

Vaš autor od nedavno ima dva smartfona, etiketirao ih je kao "poslovni" i "prljavi". Na poslovnom su samo neophodne i dobro provjerene aplikacije za internet bankarstvo, kupoprodaju te, dakako, razni sistemski alati; uključene su sve zaštitne funkcije - lokalne i Googlove oblačne - koje se mogu uključiti a da ipak nesmetano rabim taj uređaj. "Prljavac" mi služi za stručnu edukaciju i zabavu, što neizostavmo uključuje "landranja" po Webu, istraživanje raznih online sadržaja, instaliranje i ispitivanje svakojakih aplikacija sa svakojakih repozitorija.... i tako to. Tragikomično ali istinito: tek sada, opremljen s dva smartfona, mogu se uistinu okoristiti svim prednostima mobilnih uređaja, efikasno ovladavati mobilnim tehnologijama a usput i spavati snom pravednika! Dodajmo još da "prljavko" uvelike doprinosi zaštiti svog čistog kolege jer upravo njime stječem dragocjena iskustva i vještine iz područja zaštite Android uređaja. Preporučamo! :-)

Odjednom su nas zapljusnuli SPAMovi. Gljivice iskaču sa svih strana.  Spamovi su napisani na hrvatskom jeziku i to bez očitog google translate-a. Prva pretpostavka je: Spamassin ih ne prepoznaje jer nisu na engleskom, jer su ciljani upravo na naše tršište. Pod tom pretpostavkom krećemo vatrogasnu akciju, pišemo vlastita pravila za spamassasin, blokiramo pošljatelja, itd. No jesmo li provjerili radi li uopće naš spamassasin ili možda zabušava na poslu.

Prvu naznaku da nešto nije kako treba biti našao sam u syslogu

Jan 25 03:32:23 XXXXXX  amavis[23923]: (23923-09) Passed CLEAN {RelayedInbound}, [212.129.18.13]:48794 [212.129.18.13] <r0hcb71@example.com> -> <xx.xx@xx.hr>, Queue-ID: 79A32600787, Message-ID: <606405.cbppixpvifpfcxtomjzbiwpzgdp@wmjfzjg.example.com>, mail_id: jqQeoXU2g53M, Hits: 0, size: 2499, queued_as: 9D411600786, 98 ms

Kako je moguće da sve poruke imaju isti spam-score od 0? Amavis i spamassasin rade, očito, ali ne rade ništa korisno.

Da spamassasin nije pokupio nova pravila za prepoznavanje spama saznao sam u logovima spamassain update-a.

~# tail /var/log/sa-update.log
25-01-2018 06:25:24: Fetching new SA rules...
gpg: process '/usr/bin/gpg' finished: exit 2
error: GPG validation failed!
The update downloaded successfully, but the GPG signature verification failed.
channel: GPG validation failed, channel failed
25-01-2018 06:25:26: No new rules. Exiting now.
25-01-2018 06:25:26: Will restart services due to updated rules...

Pokrenuo sam spamassin update u debug modu i saznao:

~# sa-update -D
....cut...
Jan 25 12:36:36.587 [7597] dbg: gpg: calling gpg
Jan 25 12:36:36.596 [7597] dbg: gpg: gpg: Signature made Thu 25 Sij 2018 09:31:33 CET using RSA key ID 24F434CE
Jan 25 12:36:36.596 [7597] dbg: gpg: gpg: WARNING: signing subkey 24F434CE is not cross-certified
Jan 25 12:36:36.596 [7597] dbg: gpg: gpg: please see https://gnupg.org/faq/subkey-cross-certify.html for more information
Jan 25 12:36:36.596 [7597] dbg: gpg: [GNUPG:] ERRSIG 6C55397824F434CE 1 2 00 1516869093 1
Sij 25 12:36:36.596 [7597] dbg: gpg: gpg: Can't check signature: general error
gpg: process '/usr/bin/gpg' finished: exit 2
error: GPG validation failed!
The update downloaded successfully, but the GPG signature verification failed.
channel: GPG validation failed, channel failed
....cut...

O čemu se ovdje radi?

Spamassin je to ovako objasnio: (vidi https://wiki.apache.org/spamassassin/SaUpdateKeyNotCrossCertified iz 2009. godine)
"As bug 5775 describes, the GnuPG developers decided to create a new error condition for a potentially-dangerous signature style, which unfortunately was one we use for the SpamAssassin update-signing key."

Kako bi ažuriranja proradila moramo uraditi sljedeće:

~# wget http://spamassassin.apache.org/updates/GPG.KEY
~# sa-update --import GPG.KEY
~# sa-update -v
~# service amavis restart

Et Voila, amavis i spamassasin više ne zabušavaju.

Jan 25 13:08:26 XXXXX amavis[9978]: (09978-01) Passed CLEAN {RelayedInbound}, [108.174.3.174]:52818 [108.174.3.174] <yy@yy.yy> -> <xx@xx.xx>, Queue-ID: 0A8B55C0319, Message-ID: <wwwwww>, mail_id: utJBsRvK0jvd, Hits: -3.101, size: 108973, queued_as: 7B0F15C02FC, 3382 ms

Jan 25 13:08:37 XXXXX amavis[9980]: (09980-01) Blocked SPAM {BouncedInbound,Quarantined}, [188.130.45.145]:53946 [103.94.80.21] <yy@example.com> -> <xx.xx@xx.xx>, quarantine: F/spam-FW-ft4yLAm_S.gz, Queue-ID: 3A7025C02FC, Message-ID: <20D252E4-039D-45A2-BB1D-4AC6D35F8384@example.com>, mail_id: FW-ft4yLAm_S, Hits: 7.596, size: 1859, 2633 ms

Ovo sam uočio na nedavno reinstaliranom serveru. Dakle problem je u samom paketu!

Računala postaju sve manja, sve se rijeđe kupuju velika desktop kućišta u koja možeš ugurati više tvrdih diskova. Zato sve više koristimo vanjske diskove koji se spajaju na USB portove. Svejedno da li su to klasični tvrdi diskovi, SSD diskovi ili USB stickovi, pa čak i SD kartice za koje notebooci imaju utore. Ili pak dok za diskove, s jednim ili dva utora, u koje se mogu utaknuti diskovi bez kućišta. Ovi s dva utora zgodni su i za kloniranje diskova. Kod kupovine vanjskog diska većina gleda na njihov kapacitet, a tek kad ih počnu koristiti postani svjesni da su neki od njih - sporiji, drugi - brži. Većina se kupaca zadovolji specifikacijom da uređaj podržava USB 3 standard, naivno vjerujujući da su svi USB 3 uređaji jednako brzi.

Uz malo "googlanja" brzo se nađe program za Windowse kolji mjeri brzinu diskova. Spomenimo samo CrystalDiskMark, bit će dovoljno. No nas bi zanimalo možemo li izbjeći skidanje i instalaciju programa koji ćemo rijetko koristiti, umjesto toga radije bi za testiranje koristili Unixove standardne komandno-linijske alate.

Spojili smo tvrdi disk na USB 3.0 port, pa najprije potražimo veličinu bloka podataka:

$ sudo blockdev --getbsz /dev/sdb1
512

Za zapisivanje podataka na disk iskoristit ćemo "prastaru" naredbu dd. Najprije se prebacimo u direktorij na koji je montiran vanjski disk, pa napišemo ovakvu naredbu:

$ dd if=/dev/zero of=./testfile bs=512 count=100000
100000+0 records in
100000+0 records out
51200000 bytes (51 MB, 49 MiB) copied, 1,69308 s, 30,2 MB/s

Snimili smo 100.000 blokova veličine 512 byteova u datoteku testfile. Naredba dd nam ljubazno ispisuje brzinu pisanja po disku.

Nakon toga možemo provjeriti brzinu čitanja datoteke testfile:

$ dd if=./testfile of=/dev/null bs=512
100000+0 records in
100000+0 records out
51200000 bytes (51 MB, 49 MiB) copied, 0,0543826 s, 941 MB/s

Ups! Nešto tu ne štima, nemoguće je da brzina čitanja bude 30 puta veća od brzine pisanja. Vjerojatno je testfile ostao keširan u memoriji. Da to provjerimo, počistit ćemo memory cashe:

$ sudo sync
$ sudo echo 3 > /proc/sys/vm/drop_caches 
bash: /proc/sys/vm/drop_caches: Pristup odbijen

Najprije smo se sa sync pobrinuli da cashe bude u ispravnom stanju, a onda bi ubacivanje vrijednosti 3 u /proc/sys/vm/drop_caches trebalo natjerati kernel da počisti memorijski cache. No, kao što vidite, nije nam uspjelo. Pretpostavljamo da nam trebaju prave root ovlasti.

$ sudo su - 
# sync
# echo 3 > /proc/sys/vm/drop_caches

Sad možemo provjeriti brzinu čitanja:

$ dd if=./testfile of=/dev/null bs=512
100000+0 records in
100000+0 records out
51200000 bytes (51 MB, 49 MiB) copied, 1,66855 s, 30,7 MB/s

To je već bolje. Brzina čitanja neznatno je veća od brzine zapisivanja.

Za ovaj test koristimo dva "čudna uređaja", /dev/null i /dev/zero. Razlika među njima je u tome što u /dev/null nešto možemo ubaciti, kao u crnu rupu, i to nestane. Ništa se ne da izvući iz /dev/null, dok se /dev/zero ponaša drugačije: iz njega se može nešto izvući, ništice. Tim ništicama punimo testnu datoteku, a zatim je vraćamo u /dev/null.

Da li će se nešto promijeniti ako USB kabel prekopčamo u USB 2 port?

$ dd if=/dev/zero of=/media/hombre/VERBATIM\ HD/testfile bs=512 count=100000
100000+0 records in
100000+0 records out
51200000 bytes (51 MB, 49 MiB) copied, 2,18024 s, 23,5 MB/s

Posve očekivano, brzina pisanja je manja.

# dd if=/media/hombre/VERBATIM\ HD/testfile of=/dev/null bs=512
100000+0 records in
100000+0 records out
51200000 bytes (51 MB, 49 MiB) copied, 1,67842 s, 30,5 MB/s

A brzina čitanja je gotovo ista. Ako test ponavljate više puta, dobit ćete malo različite rezultate. To je prednost "samostojećih" programa, njima možete zadati koliko će se puta ponavljati test, promjenu veličine bloka i slično.

Ako isti HD prebacimo u noviji dock drugog proizvođača, s utorima za dva diska istovremeno:

# dd if=/dev/zero of=./testfile bs=512 count=100000
100000+0 records in
100000+0 records out
51200000 bytes (51 MB, 49 MiB) copied, 0,256492 s, 139 MB/s

Pisanje po istom disku mnogo je brže kad ga prebacimo u novi dock! Iako su oba deklarirana kao USB 3 uređaji!

Eto, sad imamo način testiranja brzine pisanja i čitanja po diskovima, bez instalacije posebnog programa. Uz minimalan trud ovih nekoliko naredbi može se objediniti u jednoj skripti, koju bi mogli nazvati na pr. ds, u stilu štedljivosti ranih Unixa (disk speed).

Na kraju, nekoliko riječi o tome zašto smo se prihvatili testiranja brzine diskova. Kod kuće imam dva HD docka, stariji s jednim utorom i novi, s dva utora za diskove. Kad sam ih kupovao, na webu nije bilo pouzdanih informacija o brzini čitanja/pisanja, a trgovci su me čudno gledali kad sam ih to pitao. Ispada da ćeš tek kad kupiš uređaj saznati kakvog si mačka u vreći dobio. Zato bi bilo dobro održavati dobre odnose s nekim od trgovaca, da dozvoli testiranje uređaja prije nego ih kupimo. Nije problem doći s notebookom u trgovinu.

Drugi problem je u kapacitetu današnjih diskova. Dockovi starijeg datuma imaju ograničenje i radit će s HD-ovima do 3 TB. Noviji dock u prospektu ne navodi koji najveći kapacitet diska podržava. Ljubazni trgovac obećao je da će otvoriti pakiranja docka i HD-a najvećeg kapaciteta koji ima na raspolaganju. Kod takvog se trgovca isplati kupovati, zar ne? Tim više što je i sam haker, više od običnog trgovca, pa ga zanima kakvu robu prodaje.