Kako se nositi s ranjivostima procesora?

Vote:

No votes yet

story_tag:

spectre

meltdown

informacijska sigurnost

Često dolazimo u situaciju da prilikom instalacije Windowsa našim korisnicima nemamo odgovarajuće "pogonitelje uređaja", odnosno odgovarajuće drivere. Korisnici rijetko čuvaju medije sa orginalnim driverima ili su oni u međuvremenu zastarjeli, pa ih moramo tražiti po internetu. Posebno nezgodna situacija bude s nekim modelima prijenosnika koji su imali nekoliko tipova grafičkih, mrežnih i bežičnih kartica, pa traženje postane "mala noćna mora". Kod pretraživanja, moramo filtrirati po zemljama, modelima uređaja itd, a najčešće se svaki driver distriburira pojedinačno i treba ga posebno preuzeti. Najlakša je varijanta kad postoji all-in-one instalacije u jednoj datoteci.

Potrebno je nekad puno dosjetljivosti i snalažljivosti da se nađe odgovarajući driver.

Nedavno je kolega "običan" korisnik, instalirajući prvi put Windows 7 samostalno, upao u problem i tražio od mene pomoć "na daljinu". Navikao je iz svojih nekadašnjih iskustava da nakon instalacije Windowsa mreža proradi automatski. Navodio sam ga da potraži mrežnu ethernet karticu u popisu uređaja i zaključili smo da mreža ne radi jer nema odgovarajući driver. Naravno, korisnik nema medij s popratnom podrškom za to stolno računala. Njegovo iščitavanje Device Manager - Ethernet controller Properties - Details - Hardware ID, nije dalo rezutata. Prešli smo na drugu taktiku, "brutalnu silu" zvanu cmd. Poslao sam mu porukom naredbu, koja komandnom linijom na Windows sistemu provjerava model matične ploče.

wmic baseboard get product,Manufacturer,version,serialnumber

Dobio je rezultat koji šalje u obliku fotografije sa pametnog telefona.

Po oznaci pronalazim drivere na stranici proizvođača i šaljem mu na pametni telefon.

Korisnik instalira mrežnu karticu, internet radi. Svi sretni i zadovoljni.

No postoji puno težih scenarija u kojim ne možemo naći odgovarajuću podršku, jer je jednostavno isčezla sa stranica prozvođača koji više ne daje podršku za starije uređaje zbog nekompatibilnosti s novijim operativnim sustavima. Znači, ili imamo "živući" sustav na kojem određeni uređaj radi, a nemamo instalacijsku arhivu ili se sistem buni radi nekompatibilnosti drivera.

Nedavno smo na ustanovi imali slučaj da smo na 32-bitnom Windowsu 7 uspjeli instalirati nekompatibilan winxp driver (pronađen na http://www.helpjet.net/), koji je na naše oduševljenje pokrenuo skener. Isti scenarij smo pokušali ponoviti na identičnom hardveru i operativnom sistemu, ali bez uspjeha. Iako smo znali da se radi o nekompatibilnosti nismo se pomirili sa neuspjehom. Istraživanje i nestandardne metode su dale razultat. Tražili smo način kako prekopirati ručno sistemsku datoteku. Iako se ne preporuča ručni copy-paste sistemskih windows datoteka pronašli smo način da prepoznamo skener.

Na konfiguraciji koja radi smo našli detalje o datotekama koje pokreću skener i pronašli put do njih.

Ručno smo prenijeli te 2 sistemske datoteke na drugo računalo i pri ponovnom startanju to računalo je prepoznalo nekompatibilni driver za skener na lokaciji C:\Windows\system32\DRIVERS\usbscan.sys

Znači, u određenim uvjetima uređaj se može instalirati na ovaj način, ukoliko ne zahtjeva dodatne registry, DLL i slične promjene. O takvim slučajevima se može naći dodatnih informacija na internetu. Da se osiguramo za "sigurnu budućnost"što se tiče upravljačkih programa, našli smo Double Driver.

On nam zapravo omogućava da nakon svježe instalacije Windows sistema i pripadnih uređaja napravimo backup kolekciju svih upravljačkih programa za tu specifičnu konfiguraciju. U slučaju sljedeće reinstalacije sistema imamo mogućnost povratka upravljačkih programa iz "jednog klika". Backup arhivu treba skloniti na sigurno mjesto što dalje od nesavjesnih korisnika.

Iako softver datira iz 2010. godine u komentarima se može vidjeti da dobro radi na Windows 10, a samim tim i na ranijim verzijama.

Za traženje odgovarajućih upravljačkih programa na ustanovama mogu poslužiti i sustavi za popis hardvera kao npr. Opsi server iz kojih se može iskopirati izvještaj poput ovog.

pon, 2018-02-26 10:21 - Goran Šljivić

Kuharice:

Kategorije:

Hardware

Vote:

No votes yet

story_tag:

driver

kopiranje

windows

Linux se razvija, pa stalno dobija nove naredbe, koje mi, tradicionalni uniksaši, tek trebamo otkriti i prihvatiti. Tako sam našao naredbu blockdev, ali se sve do nedavno nisam potrudio da je upoznam. Nije bilo vremena, nije mi trebalo... No upoznavanje s tom naredbom prilika je za obnavljanje zaboravljenog znanja i da se nauči nešto novo.

Kratko podsjećanje: block device je uređaj s kojim ne komuniciramo bajt po bajt (kao s character deviceom), već podatke šaljemo/primamo u "blokovima" različite veličine.

$ blockdev --help

Usage:
 blockdev -V
 blockdev --report [devices]
 blockdev [-v|-q] commands devices

Available commands:
 --getsz                   get size in 512-byte sectors
 --setro                   set read-only
 --setrw                   set read-write
 --getro                   get read-only
 --getdiscardzeroes        get discard zeroes support status
 --getss                   get logical block (sector) size
 --getpbsz                 get physical block (sector) size
 --getiomin                get minimum I/O size
 --getioopt                get optimal I/O size
 --getalignoff             get alignment offset in bytes
 --getmaxsect              get max sectors per request
 --getbsz                  get blocksize
 --setbsz <bytes>          set blocksize on file descriptor opening the block device
 --getsize                 get 32-bit sector count (deprecated, use --getsz)
 --getsize64               get size in bytes
 --setra <sectors>         set readahead
 --getra                   get readahead
 --setfra <sectors>        set filesystem readahead
 --getfra                  get filesystem readahead
 --flushbufs               flush buffers
 --rereadpt                reread partition table

Uz nekoliko iznimki, parametre (kako smo ni naučili govoriti u prošlom mileniju), odnosno "opcije" (kako kažu mlađi kolege), možemo podijeliti u dvije grupe:

--get<nešto>
--set<nešto>

Get parametri čitaju kako su trenutno podešene postavke, dok set mijenja te vrijednosti. U ovom članku ćemo se baviti "get" parametrima, ali komplikacije počinju kad se prihvatimo "set" dijela - komplikacije ćemo ostaviti za drugu priliku.

Odmah nas je privukla "opcija" --report.

$ sudo blockdev --report /dev/sda
RO    RA   SSZ   BSZ   StartSec            Size   Device
rw   256   512  4096          0    160041885696   /dev/sda

Odjednom smo dobili mnogo informacija o disku:

RO pokazuje da li je uređaj samo za čitanje, ili, kao u ovom slučaju, i za pisanje

RA je kratica za "readahed", koliko se podataka povuče s diska u jednom pristupu, da se ubrza rad računala pod pretpostavkom da će slijedeći upit tražiti podatke koji neposredno slijede

SSZ je sector size, veličina fizičkog bloka podataka za taj disk

BSZ je block size, veličina bloka na koju je formatiran filesystem, ona se može razlikovati od veličine sektora diska.

StartSec je kod diska 0, a kod particije veći od nule.

Size je veličina diska - u bajtovima!

Svaki od tih podataka možete zatražiti i odvojeno:

$ sudo blockdev --getro /dev/sda
0

Vraćena je nula, znači da nije istina da je disk read only.

$ sudo blockdev --getrw /dev/sda
1

Dakle istina je da se može pisati po disku.

$ sudo blockdev --getsz /dev/sda
312581808

S parametrom --report dobili smo veličinu diska u bajtovima (160041885696 za SSD disk od 160 GB), dok --getsz daje veličinu u blokovima od 512 bajtova, što je u ovom slučaju veličina sektora na fizičkom disku. Ako 312581808 pomnožite s 512, dobit ćete 160041885696.

Parametru --getsz nalikuju --getss, --getpbsz, --getbsz, --getbsz. Trebalo bi shvatiti razlike među njima.

--getsz                   get size in 512-byte sectors
--getss                   get logical block (sector) size
--getpbsz                 get physical block (sector) size
--getbsz                  get blocksize
--getsize64               get size in bytes

No, kako rekosmo, u koštac s komplikacijama uhvatit ćemo se u narednom nastavku.

sri, 2018-02-28 20:56 - Aco Dmitrović

Kuharice:

Kategorije:

Vote:

No votes yet

story_tag:

blockdev

Financijski savjetnici upozoravaju Amerikance da bi mogli ostati bez mirovina ako netko ukrade njihov digitalni identitet. O čemu se radi pokazat ćemo na primjeru umirovljenika iz Atlante. Steven Voss, umirovljeni inženjer, prošle je godine "iz čista mira" odlučio provjeriti stanje svoje mirovinske štednje. Nazvao je tvrtku Prudential Financial, koja brine o njegovoj mirovini, da bi saznao da je njegov račun ispražnjen jer je on sam zatražio isplatu svih sredstava.

Kradljivac identiteta telefonskim je pozivom zatražio isplatu. Službenik je "provjerio" identitet pozivatelja, koji je znao osnovne podatke, adresu, rođendan, broj socijalnog osiguranja i sl. Zatražio je da se ček pošalje na kućnu adresu, što ne izaziva sumnju, da bi se kasnije predomislio i zatražio dostavu u lokalni ured UPS-a. Ako vam je čudno kako je moguće takve naloge zadati telefonom, sjetite se da i kod nas brokeri primaju naloge svojih klijenata telefonom ili emailom.

Voss je pukim slučajem uspio sačuvati mirovinu: FBI je postavio zasjedu na vrijeme i ulovio dvojac koji je došao po pošiljku. Vjerojatno su to samo sitni kriminalci, koji preuzimaju na sebe rizik da ih se uhvati na djelu, dok pravi igrači ostaju skriveni. Istraga traje, ali po svemu sudeći radi se o dobro organiziranim kriminalcima koji su pronašli nov način zarade, mnogo unosniji od krađe kreditnih kartica. Više detalja možete pronaći ako kliknete ovdje.

Naime vlasnike kreditnih kartica štiti regulativa, pa će im kartičari nadoknaditi štetu ako se krađa kartice prijavi. Slično je i s čekovima, koji se kod nas (srećom) više ne koriste. Međutim brokeri koji upravljaju mirovinskim fondovima u SAD nemaju nikakvu odgovornost za naknadu štete ako se nečija mirovina "izgubi". U prosjeku kriminalci koji peglaju tuđu karticu uspiju izvući oko 3.000 $ prije nego se kartica blokira. No ako isprazne nečiji mirovinski fond, mogu se dočepati desetaka ili stotina tisuća dolara, praktički nečije cjeloživotne štednje uvećane za dobit od investiranja! A jadnog nesuđenog umirovljenika pri tom nitko ne štiti i nitko nema obavezu nadoknaditi mu štetu, niti će za krađu odgovarati brokerski fondovi!

Mirovinski sustav u SAD razlikuje se od našega. Zaposlenici imaju veći izbor načina na koje će štediti za mirovinu - izraz "štediti" već pokazuje da je odgovornost na njima, a ne na tvrtkama i državi. Nećemo ulaziti u detalje, dovoljno je reći da zaposlenik sam odabire jedan od ponuđenih mirovinskih planova, a onda će tvrtka za njega uplaćivati doprinose. Prvi očigledan izbor je koliko će izdvajati, a zatim da li uplate za mirovinu podliježu porezu odmah, pri uplati, ili na kraju, kod isplate. Jer ipak se tu radi o investiranju, gdje se dobit oporezuje. U prvom slučaju se od mjesečne rate odbija porez, a ostatak ide u mirovinski fond. Ako su uplate oslobođene poreza, veći je novac u igri, veće su zarade od ulaganja, ali će država uzeti svoje kad se umirovite. Dugoročno je tax-free isplativiji, pod uvjetom da brokeri dobro investiraju. Amerikanci mogu i prije umirovljenja povući novac, ako im iz nekog razloga to odgovara, a o isplatama odlučuju i kad su već u mirovini: na primjer mogu zatražiti da im se sve isplati odjednom. Očigledno, država tamo smatra da su građani vlasnici svog novca, dok se kod nas tradicionalno novac daje svemoćnoj državi, koja će se pobrinuti za sve. Tako novac iz prvog stupa ne možemo oporučno ostaviti djeci, jer on više nije naš. Drugi i treći mirovinski stup su iskorak prema zapadnom modelu. Novac koji se odvaja za mirovine investira se, ulaže u gospodarstvo koje ga oplođuje, pa je korist dvostruka.

Nedavno sam na Mreži našao grubu procjenu našeg tradicionalnog mirovinskog sustava. Ako netko radi 40 godina i prima (trenutno prosječnu) neto plaću od 5.600 kn, umirovit će se sa 65 godina starosti i dobivati mirovinu od otprilike 2.500 kn mjesečno. 2.500 kn je zapravo vrijednost prosječne mirovine, ali ako uzmemo da će nam mirovina biti 40% od plaće, ispada da bi trebali dobiti još manje, oko 2.200 kn. Kako je prosječan životni vijek 75 godina, dobivat ćemo mirovinu samo deset godina, pa nećemo povratiti sav novac koji smo godinama uplaćivali. Zato se taj sustav naziva solidarnim, jer naše uplate idu generaciji naših roditelja, a naša djeca će uplaćivati za nas. Ovaj je sustav neodrživ, zbog sve dužeg životnog vijeka, smanjenja nataliteta, ali i zbog činjenice da će na duge staze roboti i računala preuzimati sve više radnih mjesta. K tome možemo računati na smanjenje nadnica jer će konkurencija za malobrojna radna mjesta bivati sve veća. Umjesto stalnog posla ljudi će se sve više morati zadovoljavati povremenim zapošljavanjem preko agencija. Kako će onda naša djeca i unuci uopće skupiti 40 godina staža?

Ispada da bi kod nas bilo isplativije ulagati u zlato ili dionice, nego uplaćivati u mirovinski fond. Drugi mirovinski stup je u krizi, političari razmišljaju da ga pripoje prvom, obveznom. Treći stup, kad sam zadnji puta pitao, donosi dobit oko šest, sedam posto, ali od toga bi trebalo odbiti inflaciju. To je novac koji mogu naslijediti vaša djeca.

A sad su se u igru ubacili još i kriminalci, koji gledaju kako ukrasti naše mirovine! Očigledno je da nas sve skupa čeka mnogo posla: građane učenje da svladaju osnove financijske pismenosti i prestanu se oslanjati na državu, koja polako diže ruke od mirovinskog i zdravstvenog sustava, državu čeka poboljšanje regulative, a tvrtke neprestano ulaganje u zaštitu i poboljšanje informacijske sigurnosti.

Ova priča vuče poveznicu s događajima koje smo opisali u članku Najveća krađa osobnih podataka u povijesti, Doduše nema izravnog dokaza da su osobni podaci upotrijebljeni za krađu mirovina dobiveni hakiranjem tvrtke Equifax, ali ne treba previše pameti da se povuče ta poveznica, jer su u tom incidentu iscurili osobni podaci većine građana SAD.

U prošlomjesečnoj kolumni (Kako se nositi s ranjivostima procesora) skrenuli smo pažnju na ranjivosti većine suvremenih procesora. Ta vijest nije dobila zasluženu pažnju u javnosti, vjerojatno zato jer većina nije ni svjesna potencijalnih posljedica. No kako se građani, država i tvrtke mogu obraniti od napada ako su već proizvođači CPU-a u svoj proizvod ugradili "mala vrata" kroz koja se mogu provući svi odreda, i obavještajci, i kriminalci, i darovita djeca željna dokazivanja! Cijela priča o informacijskoj sigurnosti ruši se kao kula od karata! Intel je objavio, pa povukao zakrpe, da bi ih ponovo objavio nakon dotjerivanja. Ali istraživači su nakon toga objavili da se usprkos najnovijim zakrpama i dalje može iskoristiti neke od pronađenih ranjivosti. Radi toga sam i donio odluku da ću se uzdržati od kupovine računala sve dok se na tržištu ne pojavi posve nova, zdrava generacija procesora.

Za kraj, malo statistike. Krađe kreditnih kartica se u postotku smanjuju. Činjenica da zakonodavac propisuje da kartičari snose gubitke, a ne korisnici, natjerala je kartičare i banke na značajno poboljšanje sigurnosti. Lopovi su se okrenuli lakšim metama. U porastu su tzv. "nekartične" prijevare, pa kriminalci kradu sve čega se mogu dočepati, od nagradnih bodova kojima tvrtke nagrađuju vjernost kupaca, do walleta s kriptovalutama i mirovinskih računa! Upravo krađe brokerskih računa pokazuju znatan porast: od 2% u 2016. do 7% u 2017-toj. Možemo očekivati daljnji rast i u ovoj godini.

Možda ne bi škodilo povremeno se pomoliti Bogu, bili religiozni ili ne! I stalno provjeravati stanje svojih računa, kako bi imali kakvu takvu šansu da smanjimo gubitke.

uto, 2018-03-13 15:11 - Aco Dmitrović

Vijesti:

Kategorije:

Vote:

No votes yet

story_tag:

informacijska sigurnost

krađa identiteta

brokerski računi

mirovine

U članku o naredbi blockdev obećali da ćemo se pozabaviti "komplikacijama" vezanim uz parametre za iščitavanje/mijenjanje sektora/blokova na disku. Da bismo ih naučili razlikovati i razumijevati, vratit ćemo se u povijest, u prošli milenij, dok su računala još bila u "pelenama". U to doba se podacima na diskovima pristupalo preko CHS geometrije, koja je krajem osamdesetih zamijenjena LBA adresiranjem. Tada su iskovani i termini koje još uvijek koristimo, puput sektora, bloka, klastera, cilindra.

CHS

CHS je kratica za cylinder-head-sektor. Tvrdi disk se sastoji od nekoliko metalnih ploča premazanih magnetnim slojem, na koje se podaci zapisuju obostrano, pa svaka ploča ima dvije glave za čitanje/pisanje. Na svakoj strani ploče prostor je podijeljen u koncentrične trake, podijeljene na sektore. Sektor je najmanja količina podataka koji se mogu zapisati. Sve je to zorno prikazano na sljedećoj ilustraciji.

CHS ide od većeg prema manjem, od cilindra preko glave do sektora. Izgleda jednostavno, bar na prvi pogled. Ali nije baš tako.

Pogledajmo narednu ilustraciju.

Ovdje se izraz sektor pojavljuje u dva značenja: najprije kao "geometrijski sektor", u obliku kružnog isječka (kriška torte), a drugi put kao "sektor trake", presjek isječka i trake, prostor na kojem ćemo spremiti podatke. U ovom drugom značenju se izraz sektor najčešče upotrebljava, kao najmanja jedinica na koju disk zapisuje podatke. Ponekad ćemo ga zvati fizički sektor, da bi se znalo da se odnosi na zapis na fizičkom mediju.

Veličina sektora kod tvrdih diskova se mijenjala, ali s vremenom je uspostavljena standardna veličina od 512 bajtova, a kod CD-a 2048 bajtova. Kako raste kapacitet medija, mijenja se i standard, kod novijih diskova sektor je 4096 bajtova i još će rasti.

Slika 2 pokazuje i grupu od nekoliko sektora kao cluster. To je izraz iz Microsoftova svijeta koji se odnosi na najmanju jedinicu koju koristi datotečni sustav (FAT, NTFS) kad pristupa disku. To bi bio blok u terminologiji iz Unixova univerzuma. Ako je veličina bloka 512 bajtova, onda je blok jednak sektoru. Česće će blok biti veličine 4096 bajtova, dakle grupa od osam fizičkih sektora.

Prva stvar koja upada u oči na ovim ilustracijama jest da sektori bliži vanjskom rubu zauzimaju veći prostor od onih u središtu. A na svaki sektor možemo upisati istu količinu podataka! Sukladno tome razlikuje se i veličina traka, one vanjske su veće, ali sadrže isti broj sektora kao i one u sredini. Kakvo razbacivanje prostora!

Druga "komplikacija" jest u tome da ćemo najprije pomisliti da je cilindar isto što i ploča. Jer ploča je zapravo spljošteni cilindar, zar ne? No prva ilustracija nam sugerira da je cilindar isto što i traka!? To je neobično jer cilindar zapravo znači valjak, todimenzionalno tijelo, a traka je dvodimenzionalna. Dok sam mozgao o tome stariji me kolega podsjetio na činjenicu da je prvi IBM-ov hard disk zaista izgledao kao veliki cilindar, pravi pravcati valjak!

Cilindar nije nešto što možemo vidjeti očima na današnjim diskovima, morat ćemo ga zamisliti. Sve se glave kreću zajedno, na istoj su osovini, pa je cilindar skup traka na svim stranama ploča koje su jednako udaljene od centra. Podaci se zapisuju po vertikali, istovremeno na svim glavama, tvoreći trodimenzinalni presjek kroz sve ploče koji tvori oblik valjka, odnosno cilindra.

Većina ovih standarda potiče od IBM-a, što nije čudno jer je IBM (ako ste zaboravili) tvorac IBM-PC računala, koja su danas praktički standard, pa ih zovemo samo PC. IBM-ovi inženjeri iskoristili su svoja postojeća znanja, standarde, tehnike i terminologiju razvijenu za velika računala. Tako su CHS adresiranje koristili još 1960-tih na svojim mainframe računalima.

Radi unificirane geometrije diska u to smo doba koristili disk kontrolere koji su zauzimali jedan od utora za proširenja. Diskovi su bili klasificirani kao MFM ili RLL što ukazuje na način kodiranja podataka.

Hajdemo još malo zakomplicirati stvari. Adresu u CHS sustavu određuje takozvani "tuple" (uređen niz brojeva). Maksimalne vrijednosti u CHS adresi od 24 bita su 1023/255/63. C je broj traka na jednoj strani ploče, a istovremeno i broj (zamišljenih) cilindara. Ako ga pomnožimo s brojem glava (H), puta broj sektora po traci (S) - dobit ćemo veličinu diska u sektorima. Ako rezultat pomnožimo još i s veličinom sektora, dobit ćemo kapacitet diska u bajtovima. To bi izgledalo ovako: 1023 x 255 x 63 x 512 = 8,414.461.440. Dakle najveći mogući disk je sa CHS adresiranjem ograničen na otprilike 8 GB podataka.

Ali onda primjećujemo još jednu nelogičnost: kako broj glava za čitanje može biti neparan? I nije neparan, tako se samo čini na prvi pogled jer CHS adresiranje počinje od 0/0/1, (cilindri i glave broje se od nule, ali sektori od jedinice!) Radi toga maksimalan broj glava za čitanje/pisanje zapravo nije 255 nego 256. U tom slučaju trebalo bi korigirati i izračun kapaciteta diska. Broj cilindara i glava treba povećati za jedan, jer kod njih brojanje počinje od 0, a broj sektora ne dirati: 1024 x 256 x63 x 512 = 8455716864.

Za jako radoznale koji žele znati zašto se sektori broje od 1, a ne od 0, odgovor treba opet potražiti u naslijeđu prošlosti: autor prvog BIOS-a u vrijeme kad je IBM-PC još bootao OS s diskete rezervirao je sektor 0 za provjeru pozicioniranja glave. Kad se prešlo na tvrde diskove, pozicioniranje glave više nije bilo problem, pa bi bilo šteta ne iskoristiti i taj nulti sektor.

Ta je iznimka ili nedosljednost kasnije stvarala probleme programerima, pa i Microsoftovim, jer su verzije DOS-a do 7.0 krahirale kod bootanja ako je ako disk bio prijavljen s 256 glava. :)

Kod tehnologije koja se brzo razvija stalno su u igri ograničenja koja treba prevladati, na primjer ona u BIOS-u, zatim broja bitova u adresi itd. Kako se povećavala glad za memorijom, nužno je bilo smisliti način da se bolje iskoristi raspoloživi prostor, a onda i omogući adresiranje diskova većih od 8 GB. Tako je nastala nova generacija IDE diskova s LBA adresiranjem.

LBA

LBA je skraćenica od Logical Block Addressing. Novi je standard uveden kao apstrakcijski sloj, s namjerom da s vremenom zamijeni CHS adresiranje. Koristi jednostavno linearno adresiranje, od 0 nadalje, pa su adrese u jednodimenzionalnom nizu logičkih blokova, gdje je logički blok najmanja jedinica. Prostor se pametnije koristi, na vanjskim trakama ima više sektora, pa onda i više podataka.

Ilustracija zorno pokazuje kako je svaki sektor i fizički jednake veličine, pa vanjske trake sadrže više sektora.

Da bi diskovi različitih generacija i različitih proizvođača mogli bez problema raditi s PC računalima, više se ne koristi univerzalni vanjski kontroler, već je on integriran u disku. Uz to LBA se više ne oslanja na BIOS da bi saznao nešto o disku. Kod CHS-a diskove je trebalo prijaviti BIOS-u, preko kojeg su detalji o fizičkoj organizaciji diska bili dostupni operativnom sustavu, dok LBA uvodi sloj koji apstrahira fizičku geometriju diska.

Jedna je od zadaća integriranog kontrolera jest posredovanje, prevođenje izmođu LBA i CHS adresiranja kojeg su tada još očekivali BIOS, operacijski sustavi, driveri, neke aplikacije. Kod LBA adresiranja kontroler od softvera skriva stvarnu fizičku geometriju. Uvode se logički sektori/blokovi, za razliku od fizičkih. Tako logički sektor nula počinje na traci 0, glavi 0 i fizičkom sektoru 1. :)

Godine 2002. ATA-6 specifikacija uvodi 48 bitno LBA adresiranje i proglašava CHS adresiranje zastarjelim, ali u praksi ćemo se još dugo susretati s cilindrima i trakama.

Danas se sve više koriste flash mediji, u obliku SSD diskova (disk bez pokretnih dijelova), USB stikova ili SD kartica. Tu nema nikakvih cilindara i traka! Ali i dalje koristimo sektore i blockove, jer su i ti novi uređaji "block devices". No povremeno vam se može dogoditi da vam neka funkcija vrati CHS tuple i za flash memorije.

Ako bismo željeli rezimirati što smo naučili (podsjetili se), evo ukratko:

Sektor je najmanja veličina podataka koju šaljemo blok uređaju. Kod tvrdih diskova razlikujemo geometrijski sektor (kružni isječak) od fizičkog sektora (presjek trake i geometrijskog sektora. LBA adresiranje uvodi pojam logičkog sektora, skrivajući od OS-a fizičku adresu. Tu se u nazvu standarda više ne spominje sektor, već blok!

- geometrijski sektor - kružni isječak na ploči tvrdog diska
- fizički sektor - presjek trake i geometrijskog sektora
- logički sektor - sektor čija je fizička lokacija skrivena od OS-a

Povremeno ćemo u literaturi naći da se izrazi sektor i blok koriste bez jasnog razlikovanja. Načelno, sektori su jedinice na mediju, a blokovima se bavi datotečni sustav pojedinog operacijskog sustava, koji objedinjuje više blokova u vlastitu najmanju jedinicu, blok. No ostaje i dalje da je sektor zapravo blok podataka. :)

Sad se možemo vratiti parametrima naredbe blockdev s boljim razumijevanjem.

--getsz                   dohvati veličinu (diska/partcije) u sektorima od 512 bajtova
--getsize64            dohvati veličinu diska/particije u bajtovima
--getss                   dohvati veličinu logičkog bloka (sektora)
--getpbsz               dohvati veličinu fizičkog bloka (sektora)
--getbsz                 dohvati veličinu bloka u bajtovima

Kad smo tako raščistili osnovne pojmove i nostalgičarski se vratili u prošlost, u narednom nastavku možemo se vratiti naredbi blockdev i njein parametrima --setxxx pomoću kojih mijenjamo zadane vrijednosti blokova, sektora.

sub, 2018-03-31 14:04 - Aco Dmitrović

Kuharice:

Kategorije:

Vote:

Vaša ocjena: NemaAverage: 5(1 vote)

story_tag:

pet, 2018-04-13 20:33 - Aco Dmitrović

Ovih dana u medijima pratimo krizu u koju je upao Facebook nakon što se saznalo da je ustupio podatke o svojim klijentima engleskoj tvrtki Cambridge Analytica, koja ih je koristila za plasiranje (dez)informacija kojima je svrha bila utjecati na birače pred američke predsjedničke izbore 2016. Navodno su tu prste imali i Rusi. Amerikancima je njihova demokracija "svetinja" i teško podnose pomisao da se netko izvana petlja u njihove izbore.

Naravno, kad Amerikanci rade to isto drugima, to je u redu. Ali to nije tema ovog članka, pa ćemo s osmjehom krenuti dalje. Facebook je jedna od tvrtki koja većini svojih korisnika daje mogućnost da besplatno objavljuju svoju web stranicu i komuniciraju s "prijateljima". Tako smo svi postali izdavači, pa cijelom svijetu dajemo na znanje što mislimo, ili što smo danas ručali, kako vam drago. Naravno, Facebook mora na nečemu zarađivati, pa zarađuje na nama, koji plaćamo "besplatnu" uslugu prešutno dozvoljavajući da se naši podaci analiziraju i prodaju.

S druge strane, tvrtke koje žele plasirati svoje proizvode trebaju kupce. One raspolažu sredstvima za marketing i spremne su ih pametno uložiti. Trošak marketinga uračunat je u cijenu proizvoda, pa tako marketing na kraju krajeva ne plaća tvrtka, nego njezini kupci. Najefikasnije je ciljano oglašavanje, a Facebook zahvaljujući profiliranju korisnika zna naše interese i koje će nam reklame plasirati. Ništa novog, reći ćete, većina ljudi nije toga svjesna, ne želi biti svjesna, ili ih naprosto nije briga. No ono što ne znamo jest koliko su naši podaci vrijedni? FB je 2012. zaradio 4,2 milijarde dolara, 2016. 26 milijardi, a 2017. čak 40 milijardi dolara, pri čemu je čista dobit iznosila 16 milijardi! Koliko će tek zaraditi ove godine? Dva internetska giganta, Facebook i Google zajedno uzmu 61% zarade od online oglašavanja, što iznosi 25% globalnog novca za marketing.

Doduše nakon ovog skandala cijena dionica Facebooka je pala sa 184 na 150 dolara. Tome je doprinijela i inicijativa #deleteFacebook pokrenuta na drugoj socijalnoj mreži, ali korisnici Interneta ionako ne mogu dugo zadržati pažnju na jednoj stvari, pa će se sve brzo zaboraviti, nove "senzacije"će nas preplaviti i zaboravit ćemo sve.

Zanimljivo je bilo saslušanje Marka Zuckerberga pred Kongresom. Senatori su ga provocirali, pitali da li bi sudjelovao u donošenju bolje regulative koja bi štitila osobne podatke. Odgovorio je potvrdno. To bi bilo kao da lisicu zadužite za čuvanje kokoški. Jedan ga je senator pitao da li bi mu bilo drago da svi znaju u kojem je hotelu odsjeo? Nakon kraćeg razmišljanja, Zuckeberg je odgovorio da ne bi. Ispada da osnivač Facebooka cijeni svoju privatnost, ali ne i privatnost ljudi na kojima zarađuje.

Pitanje je: Kad ćemo mi sami početi cijeniti svoju privatnost? Kad sam pročitao koliki se novac vrti na Mreži, prva misao bila mi je: Kad FB i Google tako lijepo zarađuju na meni, zašto mi ne bi dali dio zarade? Ipak ti podaci pripadaju meni, zašto bi zarada bila njihova? Bruto društveni proizvod Hrvatske zasad je nešto veći od bruto zarade Facebooka, no po svemu sudeći FB će nas uskoro dostići i prestići. Usporedbe radi, divovi poput IBM-a i HP-a imaju godišnji bruto prihod dva-tri puta veći od našeg BDP-a. Neto zarada Facebooka u prošlog godini jednaka je BDP-u Bosne i Hercegovine! Ne bi škodilo da se nešto tog novca vrati nama siromasima, zar ne? Kad se već "prostituramo", da bar nešto imamo od toga!

Kad sam se danas ulogirao u svoj FB account, dočekala me poruka: Odgovorite na pitanje kako bi vas ljudi lakše upoznali - Kad bi bili fiktivni lik, koji bi izabrali? Sve je to samo igra i zabava, nije prikriveno profiliranje kojim otkrivamo više nego što bismo htjeli, zar ne?

Privatnost bi trebali štiti prije svega sami, pazeći što objavljujemo, što pretražujemo, koristeći anonimizaciju pri surfanju. Pa onda i štiteći svoja računala od znatiželjnih očiju. Ali kako to postići kad na svojim računalima/telefonima/tabletima koristimo softver koji nas uhodi, a nedavno smo saznali da i procesori imaju "mala vrata". U medijskoj halabuci, koja je već zamrla iako ranjivosti Spectre i Meltdown još nisu zakrpane, gotovo su se nezapaženo provuklo nekoliko zanimljivih članaka.

Ako se sjećate, AMD-ovi su procesori su nešto manje ranjivi na nego Intelovi, ali sasvim dovoljno da nas izlože napadima. Istraživači iz Izraelske tvrtke CTS-lab pronašli i potvrdili niz ranjivosti AMD-ovih procesora, ali začuđuje da su proizvođaču dali rok od samo 24 sata da prouči rezultate prije nego oni objave detalje javnosti! Neki od članaka koji su prenijeli vijest pisani su u huškačkom tonu, kao da je riječ o naručenoj medijskoj kampanji kojom se želi blatiti AMD i skrenuti pažnja s drugih tvrtki. Ne pada nam napamet braniti ili zagovarati AMD, ali čitanje tog članka ostavlja mučan osjećaj, kao da smo upali u korporacijske ratove. Nama kao kupcima to je sve irelevantno, mi želimo sigurne procesore koji nas neće izlagati rizicima od špijuniranja.

Jedan drugi članak objelodanjuje još teži problem povezan s Intelom. Naime, navodno je bivši Intelov inženjer, a sada žviždač, objavio da je Intelove procesore ugrađen takovani Management Engine Backdoor, višestruki backdoori koji omogućuju pristup računalima bez obzira koji se OS koristi, čak i kad su ugašena (dovoljna je energija iz baterije). Na "mala vrata" može se dobiti pristup cjelokuponoj memoriji, priključenim uređajima, TCP prometu. Navodno su obavještajne službe pomogle pri izradi backdoora. Članak je dostupan ovdje , a na Wikipediji možete naći članak posvećen ovom fenomenu, u kojem se navodi da Intel ugrađuje ME od 2008., ali i da AMD ima slične funkcije od 2013.

Mnogi ove vijesti uzimaju s rezervom, vjerojatno i zato jer im se tako nešto čini pretjeranim. Čista teorija zavjere, zar ne? Kao da bi Intel dozvolio tvrtkama i pojedincima da sumnjaju u njegove proizvode? Zar ne bi time ugrozili svoje poslovanje? Uostalom, preplavljeni smo "lažnim vijestima", pa bi ovo mogla biti jedna od njih.

Što se mene tiče, nemam namjeru u dogledno vrijeme kupovati novo računalo. Jedan kupac manje, koliko god to njima značilo. Meni znači mnogo.

Pa što ću onda kupovati? Još je jedna vijest prošla ispod radara. Postoji nada da ćemo jednog dana koristiti procesore koji nemaju namjeru špijunirati svoje korisnike. Radi se o Risc-V procesoru koji jedini ima posve open source set instrukcija! Zašto bi to bilo važno? Zato, na primjer, što je na Black Hat konferenciji pokazano da x86 procesori sadrže nepoznate, nedokumentirane instrukcije.

Otvoreni softver i otvoreni hardver neće sami po sebi riješiti sve sigurnosne probleme, (spominje se pokušaj da se u kernel BSD-a ubaci "kriptografska" funkcija koja je bila prikriveni backdoor), ali su oruđe kojim se možemo suprotstaviti dominaciji snaga koje žele kontrolirati svijet po svaku cijenu. Zato bi ih open source pokret svatko od nas trebao podržati. Ne samo pojedinci koji drže do sebe i svoje slobode, nego i tvrke koje vjeruju da poslovne tajne treba čuvati, kao i državne institucije koje štite svoje građane.

Kategorije:

Vote:

No votes yet

story_tag:

osobni podaci

sigurnost

Možete li zamisliti poslovni scenarij koji favorizira pametne kartice kao najbolje rješenje za dosezanje visoke razine zaštite podataka, naposljetku se implementira 7-zip - i sve bude baš kako treba?! Tja, čujte, ili sam - blago meni - jaaako promućuran ili sam napravio neku gadnu "grešku u koracima". Priča ide ovako...

Poznanik koji vodi omanje knjigovodstveno poduzeće školovani je ekonomist i računalni zanesenjak. Značajan dio svakodnevnih poslova on i njegovi radnici odrađuju uz podršku pametnih kartica, tipično, https-om se spoje na web uslugu neke banke, autenticiraju posredstvom kartice pa onda provode svakojake financijske transakcije... klasika za tu djelatnost. Kad nešto zapne, a uzrok je tehničke prirode, moj poznanik poletno se primi tshootanja, ponešto riješi sam, ponešto uz asistenciju likova poput mene, i tako se to kotrlja godinama. U trenutku nadahnuća, bijaše to pred samu Novu godinu, odlučio je tipične funkcionalnosti pametne kartice - enkripcija podataka i digitalni potpis - primijeniti na elektroničku razmjenu poruka sa senzitivnim podacima između svog poduzeća (nadalje: Centrala) i poduzeća-klijenata. Ideja se zasnivala na spoznaji da su već godinama u optjecaju RDC-ovi poslovni certifikati, štoviše, sve više ljudi ima eOI koja omogućuje uporabu identifikacijskog i potpisnog certifikata, i zašto se time ne okoristiti.

Kad mi je poznanik priopćio tu svoju odluku o štićenju važnijih poruka e-pošte pametnim karticama, brzopotezno sam se složio jer od svih postojećih rješenja baziranih na tehnologiji javnog ključa (PKI), ona je uistinu najsigurnija. Zašto je, recimo, pametna kartica sa certifikatom za digitalno potpisivanje sigurnija od certifikata iste namjene instaliranog u OS računala? Zbog toga što privatni ključ nikada nije dostupan operativnom sustavu ili bilo kojoj aplikaciji računala, sve operacije s njime odrađuje operativni sustav pametne kartice lokalno. Da, do sada su evidentirani raznovrsni uspješni napadi na pametne kartice ali uzrok je traljava implementacija konkretnog smart card rješenja, recimo, driver ili aplikacija za upravljanje karticom imaju sigurnosni propust, ili je čip na kartici određenog proizvođača loše konstruiran... ma to je priča za sebe, idemo mi dalje s temom.

Kako sam sve bolje upoznavao konkretno poslovno okruženje, postajao sam sve neodlučniji. Sama po sebi, ideja zaštite određenih podataka u porukama e-pošte sasvim je opravdana, posebice u ozračju GDPR uredbe kojom se svi poslovni subjekti obvezuju na zaštitu osobnih podataka. Očito je da osobni podaci u porukama e-pošte moraju biti enkriptirani kako ih kradljivac ne bi mogao pročitati, digitalni potpis tu nije dovoljan. A osobni podaci, pored onih financijskih, uistinu povremeno cirkuliraju na relaciji Centrala - klijenti. Ti klijenti, nek se zna, razna su omanja poduzeća, njih desetak, raštrkana po Zagrebu i okolnim gradovima: ima tu restorana, mesnica, trgovina odjećom i drvenim (polu)prerađevinama... Za njih poduzeće mog poznanika obavlja sve knjigovodstvene i računovodstvene poslove, zato ga i poimam kao Centralu. Saznao sam u jednom trenutku da su izvorište poruka sa potencijalno senzitivnim podacima klijenti, Centrala uglavnom potvrđuje primitak, podsjeća na nešto ili traži podatke. Saznao sam i još važnije: e-poruke šalju ili vlasnik poduzeća-klijenta ili, češći slučaj, od njega ovlašteni djelatnik koji sretnim stjecajem okolnosti znade poslati neku poruku s privitkom kako bi Centrala odradila svoj posao (nekakvu uplatu/isplatu, obračun plaće, ovakav-ili-onakav podnesak Poreznoj upravi ili tzv. trećoj strani, i slično). Nadalje, iako su sva klijentska računala Windows, sami klijenti kao pravne osobe dozlaboga su šareni po odabiru sustava i klijenata e-pošte - neki rabe Gmail, drugi Yahoo, treći su se opredijelili za uslugu e-pošte telekom operatera koji im iznajmljuje Internet vezu; manjina koristi Outlook, jedan ima Thunderbird a većina rabi Internet preglednik... i tu sam puko, dreknuh "NEMERE!".

Navodim razloge za svoje kontriranje:

* Klijenti su, u najboljem slučaju, obični korisnici računala, štoviše, sa pametnim karticama kojima će enkriptirati i/ili potpisivati poruke nemaju baš nikakva iskustva. To znači da bi ih se trebalo educirati, odraditi nabavu i inicijalno podešavanje čitača i programske podrške, kupiti certifikate, podesiti klijenta e-pošte te, naposljetku, organizirati efikasnu tehničku podršku. Treba misliti i na višegodišnje arhiviranje privatnih ključeva jer bez odgovarajućeg ključa nećemo moći pročitati poruku enkriptiranu isteklim certifikatom. Iz iskustva znam da su, kad rade s pametnim karticama, bez stručne podrške korisnici bespovratno izgubljeni u praktično svim problemskim situacijama. U istoj se situaciji često nađu i neiskusniji informatičari jer infrastruktura javnog ključa jest sveprisutna, ali i vrlo specifična u odnosu na sve druge računalne teme & dileme.

* Napomena glede osposobljavanja klijenata: očito bi to trebali biti djelatnici koji neće nakon edukacije "zbrisati" na novi posao, pri čemu je jasno da je poduzeću najprivrženiji kadar - njegov gazda! A ti ljudi su 24 sata dnevno okupirani problematikom preživljavanja svog poduzeća, računalo im je "zadnja rupa na svirali" pa nije teško pretpostaviti kako će se postaviti naspram prijedloga da se obrazuju za uporabu pametnih kartica u dopisivanju.

* Ne treba zanemariti troškovni aspekt priče, kao i volju klijenta da uvede pametnu karticu u svoje radne procese - dovoljno je da jedan odbije to učiniti i evo odstupanja koje ruši koncept kao cjelinu jer tada za sigurniju mail komunikaciju s tim klijentom treba osmišljavati neko drugo rješenje.

* Pametna kartica s RDC-ovim poslovnim certifikatima poslužiti će svrsi, ali ne i AKD-ova elektronička osobna iskaznica (eOI) jer na nju "zaprženi" identifikacijski i potpisni certifikati ne omogućavaju niti enkripciju podataka niti digitalno potpisivanje e-poruka. Zašto tako korisne funkcionalnosti nisu implementirane, ne znamo, ali znamo da nam baš eOI može poslužiti kao odličan primjer gnjavaže s pametnim karticama: nakon instalacije drivera za čitač i aplikacije za upravljanje certifikatima, evo problema kao na slici - iz poruke nitko živ ne može dokučiti da Windows računalo nema AKD-ov root certifikat u Trusted root spremištu certifikata. Za potrebe ovog članka provjerih on-line uputu za instalaciju eOI softverskog paketa i mogu reći da AKD-ov root certifikat kao preduvjet u uputi nije spomenut (možda je u nekoj od nekolicine drugih uputa, ali tada čitatelj mora imati fotografsko pamćenje). Da poantiram: iz poruke niti informatičar ne može shvatiti stvarni uzrok greške, snaći će se samo onaj koji već ima pozamašnog iskustva iz tog područja, potom treba znati dohvatiti i instalirati taj certifikat = neriješivo običnom korisniku!

* Značajan broj klijenata rabi Internet preglednik kao klijenta e-pošte a čak niti Gmail, zasigurno najmasovniji i najnapredniji besplatni sustav e-pošte, nema integriranu podršku za enkriptiranje i digitalno potpisivanje poruka. Znači, trebali bismo pokrenuti pravu kampanju konsolidacije klijentske strane po tom pitanju = mission impossible. Istina je da danas na ovim prostorima vjerojatno nema komercijalne usluge e-pošte koja nije zaštićena TLS-om na relacijama korisnik <-> mailbox i SMTP server <-> SMTP server ali opet - dovoljan je jedan izuzetak da sruši cijeli koncept.

I tako, počeo sam tragati za nekim primjerenijim rješenjem... ubrzo "napikirah" općepoznati 7-zip, besplatan i za osobnu i za poslovnu primjenu. Čime su ispunjeni svi preduvjeti za početak jednog divnog prijateljstva!:o)

Dodatne su vrline 7-zip alata:

* Postavljanje ovog programa na računalo nije niti za dlaku složenije od instalacije neke pasijans, mah-jong, fliper i slične igre kakve si obični smrtnici redovito priušte na poslu ili doma. Veliki plus za većinu koja još uvijek ne vlada engleskim je lokalizirano sučelje. Što se tiče uporabe alata, višestruko je jednostavniji od bilo kakve igre i u to ćemo se odmah uvjeriti.

* Ako mu tako naredimo, 7-zip će tijekom sažimanja podataka odraditi i enkriptiranje, rabeći vrlo siguran AES256 algoritam, ujedno će nam omogućiti postavljanje zaporke. Ovo je sve što klijent treba učiniti:

- desni klik na dokumentu prikazanom u Windows Exploreru > 7-Zip > Dodaj u arhiv > unos lozinke i potvrda (eventualno uključi prikaz upisane lozinke kako bi se uvjerio u njenu ispravnost);

- otvoriti mail klijenta, priložiti doc-arhiva.7z i poslati Centrali.

Jednostavnije ne može! U stvari, može ako nam je klijent e-pošte registriran u sustav, naime, tada u WinExploreru, iz 7-zip izbornika, odaberemo naredbu Sažimanje i slanje e-poštom pa 7-zip sam doda paket u novu poruku.

* Centrala može raspakiravati pakete iz GUI-a ili skriptno, iz komandne linije, ovako:

7z x doc-arhiva.7z -pLozinka

* Naravno da sam dobro ispitao ranjivost produkta i zaštitu jednom postavljene lozinke, ta neću poslovnim ljudima uvaliti "rupičasti" softver! Ukupan broj spomena vrijednih ranjivosti u zadnjih 10 godina je 8, niti jedna nije razine High, kažu CVE Details, također, autor 7-zip alata vrlo brzo reagira.

A sada par riječi o najslabijoj karici rješenja - lozinki. Dogovoreno je da svaki klijent postavi svoju lozinku, koju potom telefonom ili poštom priopći Centrali. Unikatna lozinka identificira klijenta, što je koristan detalj u praksi. Lozinka se mijenja jednom godišnje. Vjerojatnost probijanja lozinke samo je teorijska jer se od klijenata očekuje postupanje prema uputi koju sam izradio, slijedi njen sažetak:

a) Minimalna duljina lozinke je 16 znakova.

b) Pored slova engleske abecede, brojeva i posebnih znakova, uključujući razmak, u lozinki mora biti prisutno poneko veliko i/ili malo slovo palatala hrvatske abecede.

c) Lozinka se formira tako da se složi od izobličenih ili presloženih riječi, idealno od žargonizama.

d) Operativni sustav i antimalware softver poslovnog računala treba pažljivo održavati, ne skitarati po webu s tog računala.

Primjer 1: RuužnaŠaškastaDžuke11a (nap.: miks deformiranih riječi književnog hrvatskog i žargonizma džukela kojega smo dodatno "začinili")

Primjer 2: Sowa-ČŽŠ-Cuck0v1a (nap.: postoji sova vrste kukuvija, iz te riječi izvodimo riječ Cuckovia, potom neke samoglasnike zamijenimo brojevima)

Kad promislimo gornje upute i primjere, primijetit ćemo:

- iako deformirane, lozinke su pamtljive Hrvatima i onima koji se tako osjećaju, utoliko, ne treba ih zapisivati;

- napad rječnikom je zamalo pa nemoguć odn. primjenjivi su samo vrlo sofisticirani napadi, uz brojne prateće modifikacije izvorne morfologije riječi;

- preostaje "brute force" napad ali njemu se suprotstavljamo duljinom lozinke i uporabom slova s dijakritičkim znacima. Utoliko, i taj tip napada mora biti sofisticiran.

Za dictionary i brute force napade vrijedi: moraju biti podržani superračunalom ili klasterom računala sa snažnim grafičkim karticama i prvoklasnim sofverom ukoliko se želi probiti lozinka u nekom razumnom vremenu. Lako ćemo naći razne izračune na webu. U pripremnom periodu isprobao sam tucet poznatih lokalno instaliranih i on-line password crackera, većina bi "otkačila" kad bih im uvalio sekvencu čšž i slično. Uočite da se uključivanjem u lozinku naših slova s dijakritičkim znakovima, za 10 slova povećava osnovni skup slova - onaj temeljen na engleskoj abecedi - koje cracker mora obraditi, što je samo po sebi veliki dobitak u smislu zaštite lozinke. Tako smo svojevremenu noćnu moru hrvatskih informatičara - palatale hrvatske abecede - pretvorili u prednost!

Cyber kriminalci su dosjetljivi i uporni likovi, kvalificirani za svoj nečasni posao, također, mogu upogoniti izvanredno jak hardver... ali sve to košta i para i vremena! I tu dolazimo do kategorije motiviranosti - kolika je vjerojatnost da će napadač uložiti golema sredstva u razbijanje lozinke prisutne u mailu nekog omanjeg poduzeća ili obrta?! Za one koji smatraju da koncept ruši keylogger koji će jednostavno "pocicati" lozinku: u uputi je smjernica d) kao obveza korisnika računala, dodatno, prisjetimo se da je to slaba točka i smart card tehnologije, znači, po tom smo pitanju "na pozitivnoj nuli". Mislim da u konačnici možemo zaključiti kako je sigurnost ovog besplatnog rješenja zaštite osjetljivih osobnih i poslovnih podataka na vrlo visokom nivou.

7-zip smo upogonili tijekom prvog mjeseca ove godine. Svi su se brzo snašli. Sva Windows računala u startu su imala dobro podešene Language, Keyboard i prateće regionalne kerefekice pa lozinka sa čćđšž nikome nije bila problem. Čak je zadovoljena i kategorija interoperabilnosti - ako na Android smartfon instalirate Zarchiver, pa tijekom zipanja postavite kodnu stranicu 12521 (European Western ANSI) i paket zaštitite lozinkom koja uključuje naša "problematična" slova, primatelj s ispravno podešenim Windows 10 bez problema će sa 7-zip raspakirati zaprimljeni paket. Luud1ll000čžš! :o)

čet, 2018-04-05 09:21 - Ratko Žižek

Vijesti:

Kategorije:

Sigurnost

Vote:

No votes yet

story_tag:

U prošlom nastavku naučili smo kako naredbom blockdev iščitati zadane veličine sektora, bloka... No istom se naredbom te vrijednosti mogu i mijenjati, ako koristimo parametre --set.

Evo koje postavke možemo mijenjati:

$ blockdev --help | grep set
 --setro                     set read-only
 --setrw                     set read-write
 --getalignoff             get alignment offset in bytes
 --setbsz <bytes>      set blocksize on file descriptor opening the block device
 --setra <sectors>      set readahead
 --setfra <sectors>     set filesystem readahead

Najprije upada u oči da ne možemo mijenjati veličinu sektora. U prošlom smo nastavku vidjeli da veličinu sektora zadaje proizvođač diska, pa se u to i ne treba petljati. Ali o veličini bloka, a to je već razina datotečnog sustava, možda bismo već mogli sami odlučivati. Blok je ponekad jednak sektoru, obično kod tvrdih diskova manjeg kapaciteta, ali danas je uobičajena vrijednost 4096 bajtova. Evo kako bismo je, bar u teoriji mogli zadati:

# sudo blockdev --setbsz 512 /dev/sda1

Ali oprezno s time! Ne bi bilo dobro mijenjati veličinu bloka na živom, montiranom datotečnom sustavu! Pogotovo ne na onom na kojem nam je root filesystem! U najmanju ruku pogubili bismo podatke, jer bi narušili stukturu inodova koji pokazuju na datoteke, odnosno na blokove u kojima su smještene. Da bi naredba blockdev sačuvala podatke, morala bi napraviti nešto slično komprimiranju diska na Windowsima: skloniti podatke, promijeniti veličinu bloka, napraviti novu strukturu inodova i onda vratiti podatke. Pratktički bi trebalo nanovo napraviti filesystem i onda na njega vratiti podatke. Nema šanse da to može napraviti jednostavna naredba čiji izvršni kod ima svega 35 kilobajta.

Zato ćemo u dok za diskove, spojen na USB port, umetnuti stari disk, izvađen iz rashodovanog računala, na kojem nema ničeg vrijednog, pa na njemu isprobavati što se i kako može napraviti.

$ sudo blockdev --getbsz /dev/sdb1
4096
$ sudo blockdev --getpbsz /dev/sdb1
512

Fizički blok je velik 512 bajtova, a logički 4k. Pokušajmo logički smanjiti na 512, da bude isti kao fizički.

$ sudo blockdev --setbsz 512 /dev/sdb1
blockdev: ioctl error on BLKBSZSET: Uređaj ili resurs je zauzet

Moramo odmontirati particiju.

$ umount /dev/sdb1
$ sudo blockdev --setbsz 512 /dev/sdb1

Ovog puta nema poruke o grešci. Montirajmo ponovo vanjski disk, pa provjerimo da li smo stvarno promijenili veličinu bloka:

$ sudo blockdev --getbsz /dev/sdb1
4096

Sve je po starom. Naredba blockdev nije javila grešku, ali na disku se ništa nije promijenilo!

Evo kako bi se promjena veličine bloka napravila školski. Najprije odmontiramo particiju.

$ umount /dev/vdb1

Kreiramo nanovo particiju s drugačijom veličinom bloka:

$ mkfs -t ext4 -b 512 /dev/sdb1

Ponovo montiramo particiju i provjerimo da li se promjena "primila":

$ mount /dev/sdb1 /test/
$ blockdev --getbsz /dev/sdb1
512

Ukratko, veličina bloka zadaje se prilikom formatiranja diska, a ne onako usput, kako se sjetimo. Pa se moramo zapitati: čemu uopće služe "set" parametri naredbe blockdev?

Prije nego donesemo zaključke isprobat ćemo još neke set parametre. Možda uspijemo promijeniti status diska read-only i read-write? To se tradicionalno zadaje prilikom montiranja, a može se promijeniti parametrom remount:

$ sudo mount -o remount ro /dev/sdb1

Kako bi to napravili koristeći naredbu blockdev? Najprije pogledajmo zadanu vrijednost.

# sudo blockdev --getro /dev/sdb1
0

Read only je 0, znači nije postavljeno.

# sudo blockdev --setro /dev/sdb1

Nema poruke o grešci. Provjerimo da li se promjena primila.

# sudo blockdev --getro /dev/sdb1
1

Čini se da jest. No kad kopiramo datoteku na tu particiju, ona se presnimi bez problema. Naredba mount pokazuje da je datotečni sustav i dalje montiran u rw načinu. Što ako ga odmontiramo pa nanovo montiramo?

$ sudo umount /dev/sdb1
$ sudo mount /dev/sdb1 /mnt
mount: /dev/sdb1 is write-protected, mounting read-only

Reklo bi se da smo naredbom blockdev stavili oznaku koja će vrijediti za naredno montiranje. Pokušajmo remount.

$ sudo mount -o remount rw /dev/sdb1
mount: /dev/sdb1 not mounted or bad option

Nije uspjelo. Particija je i dalje read-only. Hoće li pomoći ako je odmontiramo pa nanovo montiramo?

$ sudo umount /dev/sdb1
$ sudo mount /dev/sdb1 /mnt
mount: /dev/sdb1 is write-protected, mounting read-only

Rezultat je zapravo zanimljiv. Na prvi pogled čini se da ovako sadržaj tvrdog diska možemo "zamrznuti", sačuvati ga od brisanja, izmjena. Zamislite da smo na disk spremili backup koji želimo sačuvati za budućnost. Primjer koji mi pada na pamet: za potrebe forenzike napravimo bitcopy"osumnjičenog" diska na vanjski USB HD. Nakon toga naredbom blockdev taj HD proglasimo za read only. Sad ćemo moći na miru raditi forenziku, bez straha da ćemo svojim postupcima narušiti originalnu kopiju, što se može pokazati presudnim ako istraga završi na sudu, a sudac odredi vještaka koji će provjeriti postupke forenzičara! Prisjećam se nekadašnjih modela USB stickova s prekidačem kojim ste mogli zabraniti pisanje na njih. To je korisno ako s tim stickom idete okolo i instalirate softver: nećete pokupiti virus ako je stick zaštićen od upisivanja! Eto, sad nam je naredba blockdev omogućila da to napravimo softverski, ne reskirajući da će nam se, namjerno ili nenamjerno, prekidač prebaciti u pogrešan položaj.

No jesmo li se prerano obradovali? Kad bi to bilo tako, blockdev bi morao upisati ro u sam uređaj. Brzi test će nam to začas pokazati: nakon reboota disk se montira u read-write načinu. Šteta! Naredba zapravo mijenja vrijednosti postavki u tablicama kernela, izmjene ne prežive reboot sustava.

Pokušajmo promijeniti readahead postavku:

$ sudo blockdev --getra /dev/sdb1
256
$ sudo blockdev --setra 512 /dev/sdb1
$ sudo blockdev --getra /dev/sdb1
512

Uspjelo je!

Naredba blockdev nudi još jednu zanimljivu mogućnost, čišćenje buffera, forsiranje snimanja podataka na disk. Za to smo tradicionalno koristili naredbu sync, ali možda ćemo poželjeti pospremiti podatke iz privremene memorije samo na jedan disk/particiju. Na primjer prije nego je odmontirate?

$ sudo blockdev --flushbufs /dev/sdb1

Tako možete "isplahnuti" podatke i na više uređaja odjednom, samo ih nabrojite.

Baš smo htjeli zaključiti kako blockdev donosi mogućnosti koje ne možemo koristiti ili suvišnu redundanciju (sync). No autor je ove naredbe Andries E. Brouwer, matematičar i programer, doktor znanosti i predavač na sveučilištu. Skoro smo zaboravili: uključen je razvoj kernela, u području geometrije diska i particioniranja. Čovjek zna što radi, samo se mi moramo potruditi da ga razumijemo. Napravio je za nas zanimljivu naredbu, koja nas je navela da naučimo stvari koje smo dosad prešutno podrazumijevali. S ovom serijom članka učenje nije završeno, lako je moguće da se naredbi blockdev još vratimo, pogotovo što bi za njeno puno razumijevanje trebalo znati više o tome kako funkcionira kernel!

pon, 2018-04-30 18:18 - Aco Dmitrović

Kuharice:

Kategorije:

Software

Vote:

No votes yet

story_tag:

blok uređaji

blockdev

sri, 2018-05-02 09:47 - Damir Mrkonjić

Windays 2018 Već je postala tradicija da tekst o Windaysima započinjem sa vremenskim izvješćem. Ove su godine organizatori konačno dočekali lijepo vrijeme. Konferencija Windays se već treću godinu održava u Poreču na otoku Sveti Nikola. Sve nedostatke ovog mjesta održavanja opisao sam još prije dvije godine.

Ali uz lijepo vrijeme lakše je i podnijeti plovidbu brodovima na otok. Organizatori su se potrudili da ove godine prijevoz bude kvalitetno organiziran - brodovi su tokom dana prema obje lokacije na kopnu (centar grada i hotelsko naselje Brulo) plovili u razmacima od 15 minuta. Između pristaništa Brulo i hotela još smo imali i mogućnost vožnje električnim transportnim vozilima, tako da je vrijeme putovanja maksimalno skraćeno - ako smo u pravo vrijeme napustili hotelsku sobu na otoku smo bili nakon 25 minuta.

Na samom otoku ista situacija kao i prošle godine - dvije normalne konferencijske dvorane, dvije improvizirane u šatorima i još tri u neadekvatnim prostorima. Ove godine se ponovila situacija od prije dvije godine da na nekim predavanjima nije bilo dovoljno stolica za sve zainteresirane - takve stvari se ne bi smjele događati na konferenciji sa ovako skupom kotizacijom.

Konferencija je održana po istom rasporedu kao i ranijih godina - prva dva dana poslovni dio (Business), a nakon toga tri dana tehnološki dio (Technology). Poslovni dio konferencije započeo je u utorak 24. travnja, a tehnološki dio u srijedu 25. travnja.

U srijedu je održana i središnja svečanost u već uobičajenom formatu - malo govora, malo zabave, malo prezentacije novih tehnologija.

Za govore su bili zaduženi Anke den Ouden (direktorica Microsofta za regiju Srednje i Istočne Europe), Tatjana Skoko, direktorica konferencije WinDays18 Business i direktorica Microsofta Hrvatska), Philippe Rogge (potpredsjednik Microsofta za regiju Srednje i Istočne Europe) i na kraju bivši CARNet-ovac Bernard Gršić (državni tajnik Središnjeg državnog ureda za razvoj digitalnog društva). Svi oni spominjali su digitalnu transformaciju koja je istaknuta kao preduvjet za daljnji, uspješni razvoj tvrtki i društva.

Prezentaciju novih tehnologija obavili su Igor Pavleković i Tomislav Tipurić iz Microsofta koji su prikazali upotrebu alata Flow i Video Indexer. Demo je protekao bez tehničkih problema, koji su se obično dešavali ranijih godina.

Zabavni dio svečanosti ove godine bio je posebno zanimljiv. Prvo smo vidjeli kratki film u kojem su prikazane reakcije srednjoškolaca na proizvode koje smo koristili u vrijeme njihovog rođenja (film je moguće pogledati na web stranicamačasopisa BUG). Organizatori su nas ove godine iznenadili i angažiranjem umjetnice u animaciji s pijeskom. Ukrajinka Kseniya Simonova s programom od nekoliko minuta oduševila je prisutne u dvorani.

Uslijedio je udarni dan konferencije (četvrtak 26.04) sa predavanjima koja su trajala od 9:30 do 19:30, sa relativno kratkim pauzama i jednom malo dužom za ručak. Ukupno je održano preko 60 predavanja u 7 paralelnih sekcija. Održan je i Technology Keynote na kojem su pod kontrolom moderatora Igora Pavlekovića kratka predavanja održali: Anela Husković iz Microsofta (o korištenju umjetne inteligencije sa svrhom prepoznavanja raspoloženja u objavama na Twitteru), Uroš Kastelic iz Microsoft Slovenije (o GDPR-u i nestrukturiranim podacima), Tomislav Tipurić iz Microsofta i Ilija Ranogajec iz Combisa (demonstrirali su kako pomoću anonimizacije podataka različiti korisnici mogu vidjeti više ili manje podataka na razini baze) i šesnaestogodišnji Rastko Đorđević (predstavio Beacon uređaj, tiskanu elektroničku pločicu s procesorom, baterijom i bluetooth radijem koja ima primjenu u marketingu, analitici, gamingu i drugim područjima).

U drugom dijelu održan je okrugli stol pod nazivom 'Ima li života bez oblaka' na kojem su sudjelovali Alen Delić iz Diverta, Ilija Ranogajec iz Combisa, Bernardin Katić iz Hammera i Tomislav Tipurić iz Microsofta. Sudionici okruglog stola zaključili su kako je oblak realnost, a ne budućnost, ali i da će se još dugo paralelno koristiti lokalno instalirani poslužitelji i usluge u oblaku. Neki sudionici konferencije su se nakon ovog okruglog stola zapitali žive li ljudi iz Microsofta u oblacima s obzirom da su mnogi od nas prisiljeni na poslu koristiti i stare tehnologije koju su oni odavno napustili.

Na konferenciji je i najviše riječi bilo o Microsoftovim uslugama u oblaku - Azure i Office 365. Mnogi od nas smo se zapitali vodi li nas to prema budućnosti u kojoj na računalima nećemo trebati instalirati ništa više od operativnog sustava i web preglednika?

Od predavanja još treba istaknuti prezentaciju novosti u proljetnoj nadogradnji Windowsa 10 koju je održao Jens Tinapp. Na kraju dana je Alen Delić održao zanimljivo predavanje '7 savjeta za penetriranje', a organizatorima smo zamjerili što je ovo atraktrivno predavanje stavljeno u zadnji termin, kad su sudionici premoreni.

I ove godine smo zarađivali konferencijsku 'valutu' WinCoin (sudjelovanjem na predavanjima, ispunjanjem anketa i drugim aktivnostima). Moglo ih se potrošiti kao i prošle godine u brzoj lutriji (za koju je trebalo čekati u redu).

Konferencijski ruksak je ove godine bio neobično prazan. Unutra se našlo nešto sitnih poklona, a izostali su reklamni materijali od sponzora. Već se nekoliko godina sa sjetom sjećamo konferencijskih torbi punih vrijednih poklona.

Opći dojam je da je odabir tema predavanja malo lošiji nego prošle godine, ali kao i uvijek našlo se puno toga zanimljivog, a ne treba ni zanemariti uvijek korisno druženje s kolegama i razmjenu iskustava.

Vijesti:

Događanja

Vote:

No votes yet

story_tag:

windays 2018

uto, 2018-05-08 14:00 - Radoslav Dejanović

Nedavno otkriveni (i potom loše krpani) Spectre i Meltdown propusti u mikrokodu Intelovih procesora, ne previše iznenađujuće, nisu bili i jedini. Novi skup propusta, njih točno osam komada, otkriveni su u Intelovim procesorima. Četiri od njih Intel je označio kao vrlo ozbiljne, a kako prenosi njemački časopis c't (https://www.heise.de/ct/artikel/Exclusive-Spectre-NG-Multiple-new-Intel-CPU-flaws-revealed-several-serious-4040648.html), jedan od napada omoućuje napadaču da iz instance virtualnog poslužitelja napadne računalo na kojem je pokrenut virtualni poslužitelj, ili pak druge virtualne poslužitelje koji se nalaze na istom računalu.

Ovaj scenario je posebice opasan jer u opasnost stavlja ne samo virtualni poslužitelj nekog korisnika, već i ostale virtualne poslužitelje na tom računalu, što bi u teoriji moglo ugroziti i one poslužitelje čiji administratori vrijedno i stručno rade svoj posao, i svoje sustave drže u skladu sa visokim standardima zaštite podataka.

Novi propusti su otkriveni na Intel platformi, no čini se da je dio procesora ARM arhitekture također zahvaćen ovim propustima, a ispitivanje AMD procesora u trenutku pisanja ovog teksta još uvijek traje.

Zakrpa koja je trebala biti izdana danas odgođena (https://www.heise.de/security/meldung/Spectre-NG-Intel-verschiebt-die-ersten-Patches-koordinierte-Veroeffentlichung-aufgeschoben-4043790.html) je za dva tjedna, kako navodi Intel. Praktično, to znači da ćemo vjerojatno zakrpe vidjeti do kraja ovog ili sljedećeg mjeseca, iako nas iskustvo (http://bgr.com/2018/01/22/intel-spectre-patch-performance-bugs-reboot/) sa prethodnom generacijom zakrpa uči da budemo na oprezu.

Potencijalno traumatičniji problem je što ovi propusti pokazuju kako su proizvođači hardvera, očekivano fokusirani na postizanje što boljih performansi, manje pažnje posvetili sigurnosti svojih inovacija. Ako se nastave otkrivati slični propusti prediktivnog grananja, u budućnosti bismo mogli očekivati izlazak radikalno redizajnirane serije procesora, uz potencijalne probleme sa kompatibilnošću sa starim hardverom ili softverom.

Dodamo li na hardversku priču i onu softversku, uzmemo li u obzir da je Microsoft izdao zakrpu za (staru generaciju) Spectre i Meltdown samo za Windows 10 (a i to nakon par loših pokušaja za koje je dobrim dijelom kriv Intel (https://www.zdnet.com/article/spectre-reboot-problems-now-intel-replaces-its-buggy-fix-for-skylake-pcs/), a za Windows 7 i 8 ne, konačnu cijenu nepažnje pri dizajniranju procesora platit će krajnji korisnik, dok bi u ovom distopičnom scenariju proizvođači hardvera i softvera na kraju dana mogli i lijepo profitirati.

ᐧ

Vijesti:

Sigurnost

Vote:

No votes yet

story_tag:

meltdown

spectre

pet, 2018-05-11 16:00 - Radoslav Dejanović

Ako ste u bližoj ili daljoj budućnosti koristili ssh-decorator modul u svojim Python skriptama, vrijeme je da promjenite sve svoje ssh lozinke: otkriveno je kako je modul imao ugrađenu funkciju koja na adresu ssh-decorate.cf šalje prikupljene podatke o SSH vezama: IP adresu, port, privatni ključ, korisničko ime i lozinku.

Modul je uklonjen iz PyPI repozitorija, no ne prije nego što je netko pospremio dokaz o malicioznom kodu:

Autor je (privremeno ili trajno) uklonio modul iz repozitorija (glavna stranica projekta dostupna je kroz Google cache: http://bit.ly/2IgL8IJ), vjerojatno zato što su mnogi baš njega optužili za instaliranje malicioznog koda, iako je autorova tvrdnja da je kod ubačen od strane trećih osoba.

Ako ste koristili ssh-decorator modul noviji od verzije 0.27, jedina ispravna odluka je da odmah promjenite SSH ključeve i lozinke!

Vijesti:

Vote:

No votes yet

story_tag:

python

maliciozni kod

ssh

ned, 2018-05-13 20:02 - Aco Dmitrović

Bill Gates je, nastupajući u Ask-Me-Anything na Redditu, upitan za mišljenje o kriptovalutama, iz vedra neba optužio kriptovalute za brojne smrti nevinih ljudi. Droga se sve više kupuje kriptovalutama. Smeta ga anonimnost koju pruža ta tehnologija, što mogu koristiti kriminalci.

Droga se kupuje i za dolare, ali nikome ne pada na pamet optužiti američku valutu za brojne smrti nevinih žrtava. Za dolare se kupuje i oružje, da ne nabrajamo dalje. U krivim rukama sve postaje opasno. Gates je ustvrdio da je kupovinu fiat valutama potreban fizički kontakt, što pri otmicama pruža policiji mogućnost da uhvati počinitelje. Ni ta tvrdnja nije posve točna, jer se dolare može prebacivati bankovnim transakcijama u banke gdje im se gubi trag. Dakle o čemu se tu radi, čemu huškanje protiv kriptovaluta? Pogotovo što se oni s malo dužim pamćenjem sjećaju da je prije 3-4 godine Gates imao pozitivno mišljenje o kriptovalutama.

Zanimljivo je da Gates izdvaja jednu od osobina kriptovalute, anonimnost, da bi okrivio kriptovalute radi načina na koji ih pojedinci koriste. Gates staje na stranu države, koja mora nadzirati promet valutama radi "borbe protiv pranja novca, izbjegavanja plaćanja poreza i financiranja terorizma".

Nije prvi puta da se Gates/Microsoft okomljuju na nove tehnologije. Gates nije revolucionar, on će pustiti druge da izmisle stvari, namuče se dok novotarije ne postanu dio "mainstreama", a onda izgurati konkurente i preuzeti tržište. Kad je SUN proglasio moto "Računalo je mreža", Microsoft se tome rugao. Windowsi su imali podršku samo za lokalnu mrežu, i to vlastiti, nestandarni protokol, posve u skladu s vlastitom PC-centričnom filozofijom. S vremenom su, kako i svi ostali, ugradili podršku za TCP/IP protokole. Nisu na vrijeme reagirali ni na pojavu pametnih telefona. Tu su bitku izgubili jer su ušli prekasno. Rogoborili su protiv Linuxa, a sad nude Linux servere u svom oblaku. Hoće li se taj obrazac ponoviti s kriptovalutama? Ili Gates priprema teren za svoju kriptovalutu, koja će biti po ukusu bankama i državi? Vidjet ćemo.

S Gatesovom izjavom o kriptovalutama kao ubojicama opet se vraćamo na staru pjesmu: radi određenog postotka loših korisnika, čovječanstvo bi se trebalo odreći privatnosti i dozvoliti državi i tvrtkama da imaju uvid u sve aspekte naših života. Znamo da za zloupotrebe nije kriva tehnologija, nego kvarni ljudi. Da bismo se odrekli svoje slobode u korist države najprije bismo morali biti sigurni da u državnom aparatu nema kvarnih ljudi, zar ne? Prelako je zloupotrebljavati novostečenu moć koju pruža tehnologija. Upravo su SAD zemlja u kojoj dobar dio stanovništva ne vjeruje državi, zato se tako žilavo zalažu za pravo na posjedovanje oružja, na primjer. Kad udari kriza, neće ih zaštiti ni policija ni vojska ako se sami ne zaštite! To je duboko usađeno u njihov mentalitet.

Na Netflixu gledam izuzetno zanimljivu seriju Elementary. Legendarni detektiv Sherlock Holmes iz viktorijanskog Londona potezom pera biva osuvremenjen je i prebačen u današnji New York. Njegova desna ruka, dr. Watson je žena! No iako je prije svega velemajstor u minucioznom opažanju i dedukciji, izvlačenju zaključaka iz detalja koji policajcima izmiču, Sherlock posjeduje široko, renesansno poznavanje činjenica iz mnogobrojnih disciplina. Jedna se njegova vještina u ovoj seriji posebno ističe: Sherlock se vrlo spretno služi Internetom za prikupljanje informacija! Dok se vozi na mjesto zločina, pomoću pametnog telefona pronalazi podatke o ljudima, tvrtkama. Tamo gdje njegovo poznavanje neke specifične struke nije dovoljno, koristi pomoć specijalista, na pr. anarhističkih hakera-aktivista okupljenih u on-line zajednici Everyone. Hakeri se u jednoj epizodi polariziraju: dok bi jedni rado ostali anarhisti, od slučaja do slučaja odlučivali kome će pomoći, a kome odmoći, drugi bi da se čvršće profiliraju u lijevo orijentiranu političku snagu. Prva bi im akcija bila hakerski napad na konzervativni Think tank, s čijim se reakcionarnim stavovima ne slažu. Sherlock se odbija umiješati u njihov unutarnji sukob: "The internecine struggles of a group of emotionaly stunted self-styled activists interests me not one iota." (iota: deveto slovo grčke abecede, "i", u prenesenom značenju ekstremno mala količina nečega).

Sherlock u seriji često izražava svoju intelektualnu nadmoć otmjenim, arhaičnim engleskim. Tako predstavniku think tanka kaže: "You are partisan hacks who twist facts until they cohere into a preexisting viewpoint, all whilst hiding behind the seemingly academic label of think-tank. I despise you and people of your ilk on both sides of isle." Wow! Jadni loše plaćeni prevoditelji, oni žure zaraditi svoju crkavicu i nemaju vremena kopati po rječnicima, engleskim i domaćim, ne bi li našli adekvatan prijevod (ilk - arh. type, sort, class, category, group, variety, family...). U prijevodu se posve gubi nijansiranost Sherlockova izričaja. Zato se isplati naučiti kako se koriste prednosti streaminga, zaustaviti sliku, "premotati" nazad, poslušati rečenicu više puta, uključiti titlove... Ukratko, uživati u djelu na svoj vlastiti način, u vrijeme koje sam odabereš, tempom koji sam biraš. Kad se čovjek navikne na blagodati nove tehnologije, brzo odustaje od gledanja iste serije na TV programu.

No gledatelj TV programa je anoniman, nitko ne zna što gleda. Netflix je Internetski servis: dok mi gledamo, oni gledaju nas. "Oni" znaju da gledam Elementary, da prekidam, vraćam se nazad, razmišljam o tome što vidim. Rado bih vidio kakav su profil priredili za mene. Čim se ulogiram, imaju spremnu ponudu za moj ukus.

U think-tanku svi nose odijela, kravate i kratke, sportske frizure. Sherlock primijećuje i pištolje skrivene ispod besprijekorno skrojenih sakoa i u trenu shvati da je think-tank paravan za vladine hakere koji pomoću svog čovjeka u Everyone žele isprovocirati sukob, kako bi samovoljne anarhiste pohvatali i pozatvarali. Sherlock je, zanimljivo, upozorio članove Everyona, iako ih smatra nakupinom nezrelih anarhista. Sherlock je i sam indiviualist, iako pomaže policiji, ne pripada joj. On ne želi da moćni tjeraju sve po svome.

Zašto pričam o seriji Elementary? Zato što se u mnogim nastavcima rješavaju zločini vezani uz tehnologiju. U jednom nastavku (S3E18) zaposlenik car sharing tvrtke (nešto poput Ubera) povezuje korisnike, koje prati pomoću aplikacije na mobitelu, i mjesta na koja ih vozači prevoze. Tako otkriva obrasce, tajne sastanke preljubnika, registrirane pedofile koji se motaju u blizini škola, da bi ucjenjivao putnike koji nisu ni svjesni kakve sve "digitalne otiske" ostavljaju posvuda i na koje se sve načine ti podaci mogu povezati i koristiti.

U epizodi S3E20 bakica misli da je progoni duh pokojnog supruga. Sherlock otkriva da netko kopa tunel ispod temelja zgrade. Tu prolazi svjetlovod koji povezuje SAD i Evropu. U duhu vremena najprije pomisli da je posrijedi terorizam, sabotaža. Ali Internet koristi redundantne veze, prekid jednog kabela ne bi bio dovoljan. Sherlock pronalazi počinitelja dok sklapa neku napravu. Terorist bježi, zapalivši prije toga svoj izum. Policijski tehničari uspijevaju rekonstruirati šemu. Ispada da sprava, koju bi trebalo "ugraditi" u svjetlovod, ne služi krađi podataka, nego samo propušta neizmjenjene podatke na drugoj strani. Na prvi pogled - besmislica. Sherlock shvati poantu: super brzu Internetsku vezu koriste uspješne brokerske tvrtke s Wall Streeta. Siromašniji brokeri koriste sporije, jeftinije linkove. Kako je trgovanje uglavnom automatizirano, nekoliko milisekundi prednosti u kupovini/prodaji dionica donosi velike zarade. Bogati postaju još bogatiji, siromašni ostaju siromašni. Ona kutija služi samo tome da uspori promet na svjetlovodu, kako bi se prednost u brzini anulirala. Sjećate se rasprave o Net neutrality, nastojanju da svi na Internetu imaju iste prilike?

Dok pišem članak, saznajem da se Microsoft sprema kupiti Netflix. Imaju gotovine na pretek, a Trumpova porezna reforma je bogate učinila još bogatijima. Netflix je odradio mukotrpan pionirski posao, sad je vrijeme da ga preuzmu oni koji dolaze na gotovo. A ja moram razmisliti da li ću ubuduće koristiti taj servis, kad iz ruku vizionara i pređe u ruke predatora. Sjećam se Microsoftova pokušaja s uslugom Passport. Nudili su nam da će čuvati naše privatne podatke, osobne, putovnice, zdravstvene, bankovne kartice itd. Sve na jednom mjestu, sigurno! To su podaci koje ima država, koja bi kao trebala biti na našoj strani i štiti svoje građane. Ali zašto bi te podatke davali komercijalnoj tvrtki koja ima samo jedan sveti cilj: povećati svoj profit?

Za rastanak, sažetak još jedne epizode (S4E2): Sherlock i Watson pomažu FBI-ju istražiti slučaj nestalih podataka znanstvenog istraživanja koje se bavi "neuroekonomijom". Na ljudima su mapirali područja mozga u kojima se "pale lampice" kad se dogodi emotivna reakcija na podražaje, tražeći gdje i kad se događa promjena stava. Nastoje usavršiti algoritam koji radi kao "osobna pretraga", prati vijesti koje korisnik čita online, nalazi priče na koje reagira, kako bi mu se ponudilo još sličnih sadržaja. Namjera je da se čitateljevi stavovi "učine fluidnijima". Sherlock smatra kako oni "usavršavaju umjetnost pranja mozga", našto vladin agent odgovara: "Ne bismo to tako nazvali. To je .. meko oružje." (It is a weapon of soft power). To nas podsjeća na činjenicu da je i Internet, kao i ostali medijiji, područje na kojem se odvija specijalni rat, gdje se sukobi nastoje riješiti širenjem vlastitih uvjerenja, potiranjem drugačijih.

Na domaćoj medijskoj sceni "ratuje" se mailovima koji su procurili i otkrivaju detalje o tome kako se provodila operacija Agrokor. Ali nitko ne spominje kako to da su privatni mailovi dospjeli u novine? Ne pada mi na pamet zauzimati strane ili opravdavati stranačke likove koji su upleteni, ali zaboga, zar nemamo zakone koji štite privatne mailove? Da li su mailovi dobijeni legalno, uz pomoć sudskog naloga, nelegalnim hakiranjem, ili se opet radi o "obavještajnom podzemlju" (nešto između)? Gdje nam je naš domaći Sherlock, da ovo raspetlja? Ispravite me ako griješim, ali opet se čini da donosimo zakone radi EU, a onda ih ne poštujemo.

Ako tehnologija stvara probleme, tada tehnologija može ponuditi i rješenja. Najavljuje se nova generacija socijalnih mreža, zasnovanih na blockchain tehnologiji, gdje će korisnički podaci i njegovi postovi biti zaštićeni kriptografijom i digitalnim potpisima. Jedva čekamo! Hoće li to oslabiti moć Facebooka i Googla? Hoće li korisnički profili uz pomoć takve tehnologije biti anonimizirani i sigurni od "numerata"?

U postindustrijskom društvu tehnologija će nam svima omogućiti brojne dobrobiti, ali će se pojaviti novi načini zloupotrebe o kojima još ni ne sanjamo. Trebat će nam Sherlock da shvatimo na koje će nas sve načine preveslati! Na našu nesreću, Sherlock je fiktivan lik!

Kategorije:

Vote:

No votes yet

story_tag:

informacijska sigurnost

kriptovalute

privatnost

uto, 2018-05-15 21:30 - Radoslav Dejanović

Čak i ako ste posljednje vrijeme proveli sakriveni ispod kakvog kamena, vjerojatno ste čuli za "snap" kontejnere, objedinjene softverske pakete koji omogućuju pokretanje aplikacija unutar vlastitog okruženja. Originalno kreiran rukom Canonicala, ovaj sustav omogućuje jednostavnu distribuciju univerzalnih aplikacija na mnogim distribucijama Linuxa, bez obzira na njihove interne različitosti.

Kako je riječ o tipičnom repozitoriju aplikacija mnogih developera, i ovom se repozitoriju dogodilo što se već više puta dogodilo sličnim mjestima (Google Play Store, Apple Store...) koja okupljaju različite autore, ne uvijek sa dobrim namjerama: snap arhive 2048buntu i Hextris (autor Nicolas Tomb) u sebi sadrže cryptominer, odnosno softver koji će na vašim računalima veselo i neumorno rudariti kriptovalute, trošeći vašu struju i skraćujući radni vijek vaših komponenti, a u korist treće osobe.

Ovaj sigurnosni problem nije kritičan jer miner neće krasti niti mijenjati podatke, ali i kao takav predstavlja neugodnog uljeza kojeg ne želite imati na vašim računalima. Posebice kad uljez koristi email adresu myfirstferrari@protonmail.com.

Snap repozitorij (barem zasad) ne prolazi relativno rigoroznu kontrolu kao službeni Ubuntu repozitorij, pa je nužan oprez prilikom preuzimanja softvera s njega: labava kontrola paketa omogućuje ubacivanje i puno gorih stvari od skripti za rudarenje, pa takve repozitorije nikako ne biste trebali koristiti na produkcijskim strojevima - bez obzira na jednostavnost korištenja koju nude.

Vijesti:

Vote:

No votes yet

story_tag:

cryptominer

snap

ubuntu

sri, 2018-05-16 12:39 - Radoslav Dejanović

Grupa istraživača najavila je za utorak objavu jednog ili više značajnih propusta u PGP/GPG i S/MIME enkripciji, a EFF je preporučio izbjegavanje korištenja PGP-a u e-mail komunikaciji. Štura najava(https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now) djeluje poprilično uznemirujuće: sigurnosni propust omogućuje čitanje novih i starih poruka (što nije iznenađujuće), ali EFF savjetuje isključivanje ili brisanje svih dodataka za programe za elektroničku poštu koji omogućuju automatizirano dekodiranje zaštićenih poruka (Enigmail za Thunderbird, GPGTools za Mac, GPG4Win za Outlook), uz dodatno napisane upute kako isključiti ili obrisati te dodatke.

Ovo je uznemirujuća vijest, jer iako ne možemo trenutno sa sigurnošću znati ništa (pa ni kakvo se to zlo krije u automatiziranom otključavanju zaštićene poruke), uputa za ovako drastičan korak ne sluti na dobro.

S druge strane, pojavili su se komentari da je problem jednostavno rješiv isključivanjem HTML podrške u programu za čitanje email poruka, jer se eksfiltracija dekodiranih podataka obavlja pozivom prema udaljenom poslužitelju sa tijelom poruke unutar zahtjeva: drugim riječima, zbog loše izolacije sustava - a PGP propust zapravo ne postoji, jer je krivac loše napisan program za čitanje elektroničke pošte.

O čemu se točno radi saznat ćemo uskoro, a na vama je da odlučite želite li poslušati savjet EFF. U svakom slučaju, EFF savjetuje barem privremeni prelazak na druge oblike zaštićene komunikacije dok se uočeni problemi ne riješe i eksfiltracija ne onemogući.

Neslužbeni whitepaper (draft 0.9.0 u trenutku pisanja ovog teksta) moguće je pronaći ovdje: https://efail.de/efail-attack-paper.pdf

Vijesti:

Vote:

No votes yet

story_tag:

PGP

GPG

S/MIME

pon, 2018-05-28 13:19 - Ratko Žižek

Prisjetimo se višestruke uloge Active Directory (dalje: AD) sustava: posredstvom Group Policy i pratećih upravljačkih alata omogućuje nam efikasno administriranje Windows (može i Linux) računala određene ustanove; ujedno je, budući da mu je osnovica LDAP servis, baza raznovrsnih podataka o korisnicima, računalima i servisima te ustanove. Zahvaljujući spomenutim ulogama, Active Directory omogućuje autentikaciju i autorizaciju na IT resurse. Dakle, s obzirom na rečeno, da kojim slučajem obnašam časnu ulogu administratora AD-a, ne bih baš bio sretan s ovime što slijedi....

Pretpostavimo ovu situaciju:

* imamo jednodomenski AD sustav - to je preporučeni, u Hrvatskoj i najzastupljeniji arhitekturalni model;

* Domain Controlleri, bazirani na Windows Server 2016, nalaze se u zasebnom mrežnom segmentu - opet, u skladu s best practices;

* shodno gornjem, Windows 10 računala su u tzv. klijentskom ogranku korporativne mreže;

* Na Windows 10 stanicu, članicu Windows domene (AD-a), ulogirani smo s domenskim računom koji je, glede prava, i na stanici i u AD-u običan korisnik (standard user).

Kakve sve podatke o djelatnicima i računalima svoje ustanove može takav "obespravljeni" korisnik iščitati iz AD-a? Odgovor je kratak i uznemirujuć: teško za opisati!

Naš znatiželjni korisnik ne mora se zamarati s rebusima poput "%windir%\System32\rundll32.exe" dsquery.dll,OpenQueryWindow - s time nek se pate nadobudni informatičari, jel'te - jer isti alat za pretraživanje AD-a može elegantno pokrenuti iz Windows Explorera klikom na naredbi Search Active Directory. Potom će u hipu, s par samorazumljivih operacija, saznati koji su sve korisnici, računala i grupe u AD-u. Na nižoj slici vidimo kako pregledava članstvo sigurnosno senzitivnih AD grupa Domain, Enterprise i Schema Admins.

Običan korisnik računala može pokrenuti CMD naredbe poput gpresult i nltest pa kombiniranjem njihovih opcija prikupiti svakojake low-level informacije o AD-u. Na nižoj slici korisnik ispituje značajke Domain Controllera koji ga je autenticirao. Popis aktivnih DC-eva i njihov razmještaj po AD siteovima - uočite, riječ je o topologiji AD servisa - prikazati će opcija /dclist:.

Znamo da običan korisnik računala ne može instalirati aplikacije bez podrške administratora stanice, znači, nedostupna mu je suita alata poznata kao Remote Server Administrative Tools (RSAT), s konzolama za administriranje AD-a, ds*.exe naredbama i Powershell ADDS modulom. Niti alate tzv. treće strane neće moći instalirati. Ali, ako je imalo dosjetljiv, potražiti će alat kojega niti ne treba instalirati, poput LDAP Admina. Dakle, skine taj kompaktni LDAP preglednik s Interneta, pokrene ga, spoji se sa svojim računom na root AD particija, od domene preko konfiguracijske... sve do DNS-a ako je ovaj integriran s AD-om (vidi nižu sliku) i - EUREKA - zamalo pa nema tog zakutka AD-a u kojega naš znatiželjni korisnik ne može gurnuti nos! Da se admini AD-a ne bi zapitali zašto je tako dugo konektiran na DC, svo to podatkovno blago spremiti će na disk i baviti se njime kad mu se prohtije.

Dolazimo tako do paradoksalne situacije da običan korisnik Windows računala ne može uključiti Network Discovery i File and Print Sharing funkcionalnosti na svojoj stanici, ali može usnimiti maltene cijeli AD sustav! Po logici stvari, korisnik s administratorskim ovlastima na stanicu ima širi manevarski prostor, može si instalirati svakojake alate, tipično, RSAT pa konzolama poput AD Users and Computers, Sites and Services, ADSIEdit... odn. PowerShell modulom za AD pregledavati objekte i njihove atribute. Na slici vidimo kako u ADSIEdit čita značajke računa s raznim admin dozvolama na AD. Pokrene li Group Policy Management, ne samo da može pregledavati svaku politiku nego odabrane, poput onih za DC-eve, može lokalno spremiti u HTML formatu i na miru proučavati.

Da, od samih je početaka AD sustav zamišljen kao repozitorij podataka o djelatnicima i računalima neke ustanove, pretraživ od strane najšireg auditorija, sve kako bi se olakšala komunikacija i suradnja djelatnika te ustanove. Nažalost, to pravo čitanja je bilo i ostalo neselektivno pa svaka osoba s domenskim akreditivima može, kako smo vidjeli, iščitati podatke o telefonu i radnoj prostoriji kolege, što ima puno opravdanje, ali - za ovo je teško naći pokriće - s jednakom lakoćom će prikupiti podatke o kontrolerima i serverima domene, članstvu administrativnih grupa, topologiji i particijama AD-a... puno-i-previše toga za bilo koga osim administratora AD-a! Podsjetimo da je naš radoznali korisnik iz gornjeg dijela ovog članka njuškao po najnovijoj inkarnaciji AD-a, onoj koju donosi Windows Server 2016. Što pokazuje da je Microsoft, usprkos tucetu vrijednih unaprijeđenja ovog sustava i brojnih dokumenata na temu njegove zaštite, opet propustio učiniti ono najkorisnije adminima AD-a - ugraditi u sustav instrumentarij za efikasno maskiranje svih senzitivnih podataka od onih individua - djelatnika, partnera, uljeza - koji ih ili ne trebaju ili ne smiju vidjeti. Rečeno dobija na težini kad se prisjetimo da danas, u ozračju implementacije GDPR uredbe, među senzitivne podatke više ne spadaju samo poslovni nego i osobni podaci. Tako da za AD admine pravi izazov trenutno nije upravljanje računalima nego podacima u LDAP-u AD-a jer ih maltene "svaka šuša" može vidjeti. I zlorabiti. A tada na red dolazi pitanje odgovornosti...

Objekte važne nama IT-evcima, poput servisnih i administrativnih računa i grupa, lako ćemo sakriti od znatiželjnih očiju, načelno to ide ovako:

kreirati organizacijsku jedinicu (OU) i u nju premjestiti predmetne objekte - voditi računa da se DC-evi i neke domenske grupe ne smiju micati iz svojih matičnih OU-ova, srećom, smijemo u taj novi OU utrpati grupe DNS Admins, Domain Admins, Enterprise Admins, Schema Admins, Domain Users i Domain Computers;
u tom OU kreirati globalnu grupu, npr. protected-objects i u nju učlaniti sve korisnike (njihove objekte, dakako) koje želimo spriječiti u čitanju senzitivnih podataka;
u pregledu dozvola za tu grupu postaviti Read na Deny.

Desi li se da nam nadređeni, potaknuti sve izraženijom potrebom zaštite poslovnih i osobnih podataka, dadu nalog da primijenimo model po kojem različite grupe korisnika mogu vidjeti različite objekte AD-a, imat ćemo jako puno posla. Radi se o tome da određene tipove podataka moraju moći pročitati ne samo ljudi nego i aplikacije i računala da bi ispravno funkcionirali, također, ne možemo primijeniti jednostavni Deny Read kriterij kako smo maloprije učinili. Iako je zaštita podataka od čitanja izvediva, zbog nedostatka ugrađenih kontrola te namjene riječ je o zahtjevnom poslu: treba se dobro pripremiti, oblikovati i testirati moguća rješenja, vjerojatno će se morati i restrukturirati AD. Jednoznačnih uputa, koliko vidim, nema - javite ODMAH ako ih otkrijete :o) - pa kao neku dobru polaznu točku mogu preporučiti http://www.itprotoday.com/management-mobility/hiding-data-active-directory-part-3-enabling-list-object-mode-forest. Na kraju treba reći i ovo: ako nam je zaista stalo do zaštite podataka u AD-u, zaštita skrivanjem (nevidljivošću) je samo jedna od brojnih mjera koje moramo poduzeti, prioritet je hardening Domain Controllera, potom na red dolaze i brojne druge mjere obrađene u dokumentima poput https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory.

Kategorije:

Mrežna sigurnost

Vijesti:

Kuharice:

Vote:

Vaša ocjena: NemaAverage: 5(1 vote)

story_tag:

Kao što lijekovi imaju nuspojave, tako je istraživanje naredbe blockdev proizvelo zanimljiv "sporedni efekt". Shvatili smo da sve izmjene konfiguracije koje donosi blockdev --setxxx traju samo dok se ne ponište ili dok se računalo ne ugasi. Pokušali smo vanjski disk proglasiti za read only, kako bi zamrznuli podatke na njemu, ali nakon reboota disk se opet montirao u read-write načinu. No jedan USB stick ponašao se drugačije. Svaki put kad bi ga utaknuo u USB port, na njega se nije moglo pisati. Kao da je naredba blockdev zaista uspjela zaštititi stick od pisanja? Ili je posrijedi nešto drugo?

Naredba

$ sudo blockdev --report /dev/sdb1
RO    RA   SSZ   BSZ   StartSec            Size   Device
rw   256   512   512      18784     15928737792   /dev/sdb1

pokazuje je da je stick u rw modu, dok mount kaže da je /dev/sdb1 montiran kao ro.

/dev/sdb1 on /media/hombre/26FE-D885 type vfat (ro,nosuid,nodev,relatime,uid=1000,gid=1000,fmask=0022,dmask=0022,codepage=437,iocharset=iso8859-1,shortname=mixed,showexec,utf8,flush,errors=remount-ro,uhelper=udisks2)

Tu vidimo i da se u slučaju da se pronađu greške disk montira u read only načinu ( errors=remount-ro ).

Bilo bi nam drago da se stick može softverski zaštiti od upisivanja, jer ga nosimo sa sobom kad pristupamo korisničkim računalima. Ipak, blockdev ga ne može trajno zaštititi od pisanja, jer se nakon reboota status ro gubi, ali zašto se disk ipak montira kao ro? O kakvim se greškama radi? Treba napraviti provjeru datotečnog sustava, možda tako nešto otkrijemo.

Ali prije toga želio sam probati još nešto: stick sam ubacio u USB port na Windows računalu. Radio je normalno, bio je otvoren i za čitanje i za pisanje. Pa u čemu se montiranje datotečnog sustava razlikuje na Linuxu i Windowsima?

$ sudo fsck  /dev/sdb1
fsck from util-linux 2.27.1
fsck.fat 3.0.28 (2015-05-16)
0x41: Dirty bit is set. Fs was not properly unmounted and some data may be corrupt.
1) Remove dirty bit
2) No action
? 1
There are differences between boot sector and its backup.
This is mostly harmless. Differences: (offset:original/backup)
  67:85/5f, 68:d8/d4, 69:fe/0a, 70:26/3a
1) Copy original to backup
2) Copy backup to original
3) No action
? 1
Filesystem has 1942527 clusters but only space for 1942526 FAT entries.

Dakle dijagnosticirana su tri problema, a prvi krivac je "prljavi bit", na kojeg se, po svemu sudeći, Windowsi ne obaziru. Barem ne u ovom slučaju. Zanimlljivo je da i Windowsi koriste "dirty bit", i tamo se javlja isti problem. Što je prljavi bit? Radi se o oznaci koja kaže da podaci za taj dio memorije nisu sinhronizirani, još su negdje keširani. Znamo da stick ne smijemo samo tako izvaditi iz porta, najprije ga treba "odjaviti", što zapravo znači da se pokreće "sync" pa onda "umount". Unixaši starog kova na to su naviki, njima je svetogrđe ukloniti neki datotečni sustav bez odmontiranja: kao što su ga spajali naredbom mount, tako ga treba odspojiti naredbom umount. S komandne linije, naravno. No mlađi korisnici navikli su na "automatiku", očekuju da će OS sve odraditi za njih. Dok montiranje ide automatski, za odmontiranje to ne vrijedi. Pa ako se stick samo iščupa, eto problema. U praksi sam vidio slučajeve da je nakon toga filesystem toliko korumpiran da se pokazuje kao prazan. (Sad bih se trebao posuti pepelom, ali zaista se ne sjećam da sam stick vadio a da ga nisam prije toga odmontirao! To je "automatika" ugrađena u moje prste).

Osim toga, brzo sam shvatio da sam uzalud birao akcije koje bi fsck trebao napraviti da riješi problem, jer su sve greške i dalje prisutne. Da bi se u to uvjerili, dovoljno je ponovo pokrenuti istu naredbu, pa će se sve ponoviti na isti način.

Kako natjerati fsck da stvarno napravi te promjene? Man stranica nije baš informativna, ali se na forumima može pronaći informacija kako fsck zapravo radi "na suho" (dry run), samo demonstrira, osnosno simulira rješavanje problema.

Man stranica spominje parametre koji bi mogli pomoći:

-r , za koji sam pomislio da znači repair, ali zapravo znači report

-a popravi sve greške bez pitanja

Uz -a je upozorenje da se koristi s oprezom. Također se spominje da je fsck samo "front end" koji poziva alate prilagođene datotečnom sustavu. Kako je stick formatiran za Windowse, filesystem je vfat, kako nam je i pokazala naredba mount. Zato pozivamo man stranicu za fsck.vfat. Zanimljivo, ovdje -r znači interaktivni repair, -w kaže da se ispravke odmah zapišu na disk, -v je verbosely, opisno. Za svaki slučaj najprije ćemo presnimiti sve datoteke, ako popravak ne uspije. Posve očekivano, nekoliko je datoteka korumpirano i nisu se dale kopirati. Možda ih spasi fsck:

$ sudo fsck.vfat -a -v -w /dev/sdb1
fsck.fat 3.0.28 (2015-05-16)
Checking we can access the last sector of the filesystem
0x41: Dirty bit is set. Fs was not properly unmounted and some data may be corrupt.
 Automatically removing dirty bit.
There are differences between boot sector and its backup.
This is mostly harmless. Differences: (offset:original/backup)
  67:85/5f, 68:d8/d4, 69:fe/0a, 70:26/3a
  Not automatically fixing this.
Filesystem has 1942527 clusters but only space for 1942526 FAT entries.

Samo je uklonjen prljavi bit, ostale dvije greške nisu. Zato pokušavamo ponovo, ali sada interaktivno:

$ sudo fsck.vfat -r -v -w /dev/sdb1
fsck.fat 3.0.28 (2015-05-16)
Checking we can access the last sector of the filesystem
There are differences between boot sector and its backup.
This is mostly harmless. Differences: (offset:original/backup)
  67:85/5f, 68:d8/d4, 69:fe/0a, 70:26/3a
1) Copy original to backup
2) Copy backup to original
3) No action
? 1
Filesystem has 1942527 clusters but only space for 1942526 FAT entries.

I još jednom:

$ sudo fsck.vfat -r -v -w /dev/sdb1
fsck.fat 3.0.28 (2015-05-16)
Checking we can access the last sector of the filesystem
Filesystem has 1942527 clusters but only space for 1942526 FAT entries.

Ostala je zadnja pogreška. Datotečni sustav ima jedan klaster (blok) viška, za njega nema mjesta u FAT tablici, pa mu se ne može pristupiti. Što sad? Obaviti provjeru datotečnog sustava s Windowsa, pa ako to ne uspije, nanovo formatirati particiju? Ne vjerujem da je Linuxov fsck lošiji od Microsoftova chkdsk. Isti popravak moguće je napraviti s Microsoftovim alatima, ali ja koristim Linux 99,99% posto vremena.

Na forumima se spominje upravo takvo rješenje (kopiraj podatke, dskchk, pa format ako ne ide drugačije), a kao uzrok greške navodi se odlazak računala u "sleep mode" ili hibernaciju, prije nego je sinhronizacija dovršena. Dakle keširanje podataka u nekom neđuspremniku, koje danas koriste svi operacijski sustavi da bi poboljšali performanse, nije 100% sigurno, ponekad se dogodi da upisivanje iz međuspremnika na disk ne uspije. Kako je notebook star već punih šest godina, baterija mu je oslabila, pa je vjerojatnost ovakve pogreške time veća. Stick sam koristio za ispitivanje rada s naredbom blockdev, često sam ga montirao, odmontirao, rebootao računalo, pokušavao sve ponovo. Vjerojatno nisam za to trebao koristiti stick koji koristim svakodnevno, već neki koji mi stoji zaboravljen u ladici. Ako ovaj slučaj ima pouku, onda je to da ni ljudi ni računala nisu 100% pouzdani, uvijek postoji mogućnost greške. "Errare humanum est", to znamo, ali trebalo bi dodati "Errare machinum est" ( excuse my latin: ispravno je "Errare machinarum est"). I opet se treba podsjetiti: backup, backup, backup...

čet, 2018-05-31 22:05 - Aco Dmitrović

Kuharice:

Kategorije:

korumpiran datotečni sistem

Vote:

No votes yet

story_tag:

dirty bit

"Great expectactions" je naslov romana koji je Charles Dickens objavio 1861. Radi se o "bildungsromanu", priči o osobnom razvoju siročeta zvanog Pip. Roman je pun ekstremnih situacija, u kojima siroče prolazi životne teškoće, siromaštvo, zatvor, na putu do društvenog uspjeha. Njegovu literarnu sudbinu u ranokapitalističkoj Engleskoj, možemo shvatiti kao metaforu razvoja suvremenih tehnologija, poput blockchaina.

Velika su očekivanja od blockchain tehnologije, koja se u svijesti ljudi prvenstveno veže za kriptovalute, odnosno Bitcoin, kao prvu i najpoznatiju kritpovalutu. No danas ih je na tržištu preko 1600, što se može provjeriti na Coinmarketcapu, gdje su navedene trenutne cijene i ukupna tržišna kapitalizacija svake od tih valuta. No postoje i kriptovalute koje nisu tu izlistane, jer imaju svoje interne burze. Vjerojatno je najpoznatija među njima Onecoin, čiji su se paketi s udjelima prodavali putem mrežnog marketinga. Angažiranjem vrsnih i poznatih marketera koji su širom svijeta održavali prezentacije, skupljeno je, navodno, preko 6 milijardi eura. Kako te valute nema na burzama, mnogi smatraju da Onecoin zapravo i nije kriptovaluta, već jedna od najvećih prijevara u povijesti financijskog tržišta. No sklapanjem ugovora s trgovcima omogućeno je kupovanje roba i usluga za Onecoine, čime ti digitalni novčići postaju upotrebljivi. I kod nas je stvorena "kasta" fanatičnih sljedbenika koji vjeruju u taj biznis.

S ovih nekoliko primjera naznačili smo osnovne probleme s kriptovalutama. Službene valute u svjetskim državama su još uvijek fiat valute iza kojih stoji država. One nose svoj dio problema, inflaciju, doštampavanje bez pokrića itd, ali ih ljudi koriste jer nemaju izbora. Plaću dobijete u fiat valuti, pa je trošite na život. Ako vam ostane neki višak, za njega možete kupiti stranu valutu kojoj vjerujete više nego "vlastitoj", pa tako ljudi štede u dolarima ili eurima.

No s pojavom kriptovaluta dobili smo veću mogućnost izbora. Jedna od prednosti je izbacivanje posrednika, banaka, koje uzimaju provizije od svih transakcija i još dodatno naplaćuju svoje usluge (plaćamo "vođenje računa"). Ukratko, banke daju negativnu kamatu, što znači da zapravo gubimo držeći novac u banci, jer banka nam više uzme nego što nam da u obliku kamata.

Trgovci koji su dalekovidni primaju kriptovalute kao sredstvo plaćanja, izdajući račune i plaćajući PDV oni ne čine prekršaj, ali je sve još zapravo u sivoj zoni koju države manje ili više toleriraju, dok se cijelo to tržište ne regulira.

Druga sporna stvar je razlika između IPO i ICO ponude. Kad tvrtka želi plasirati svoje vrijednosnice na burzu (IPO), mora predati opsežnu dokumentaciju i zadovoljiti brojne uvjete. Time prolazi reviziju, a država štiti buduće ulagače od prijevara. Inicijalna ponuda kriptovaluta (ICO) je mnogo "labaviji" proces, čime su ulagači u kriptovalute svjesno ili nesvjesno pristali na mnogo veći rizik. Iako tvrtke čije dionice kupujemo mogu propasti na tržištu, pa je rizik neizbježan dio igre, ipak je kupovanje kriptovaluta zasad više nalik na kockanje. Tako Warren Buffet kaže da ulaganje u kriptovalute nije investiranje, nego špekuliranje, što je u redu ako volite kockanje. Novinarski tim uglednog Wall Street Journala istražio je 1450 ICO ponuda, te zaključio da je njih njih 271 ili 18% čista prijevara, da bi predvidjeli da će i znatan broj onih "ispravnih" vjerojatno propasti. Znakovi upozorenja za prijevare bili su whitepaper koji je naprosto plagiran od nekog uspješnog projekta, zatim provjera članova tima, koji su ponekad izmišljene osobe, ponekad imaju loše reference jer su već sudjelovali u poslovnim prijevarama. Otkriveni su i slučajevi da su korištene fotografije i biografije ljudi koji nisu ni znali za to - eto još jednog oblika krađe identiteta. U SAD se zaštitom ulagača bavi Securities and Exchange Commission, koja je na svom webu objavljuje savjete za investitore. Tamo ćete pronaći dosta materijala za razmišljanje.

Buffet je nedavno Bitcoin nazvao "otrovom za štakore"! Tu su izjavu s veseljem dočekali anarhistički nastrojeni pojedinci, koji kao štakore odmah prepoznaju banke i državu, ali i pobornici slobodne trgovine koji smatraju da banke i države uzimaju poduzetnicima prevelik dio njihova truda, čime se hrani ogroman broj parazita koji zapravo ništa ne stvaraju, već svima kompliciraju život i žive na račun onih koji stvaraju vrijednosti. I jedni i drugi od kriptovaluta očekuju smanjivanje moći tih posrednika! Za njih je posrijedi prava revolucija koja će svijet učiniti boljim. Doduše i banke i države nastale su zato da povećaju sigurnost, smanje rizike i neizvjesnost, ali su s vremenom narasle do monstruoznih razmjera i postale same sebi svrha. Očekuje se odgovor banaka, odnosno nekolicine najbogatijih obitelji na svijetu koji su vlasnici većine banaka. Banke u tišini pripremaju svoje kriptovalute, tako da će moći i dalje uzimati provizije, iako će one, barem isprva, biti manje nego s fiat valutama. Ali možemo nagađati da će s vremenom rasti, ako "službene" kriptovalute uspiju potisnuti one "anarhističke". A i "državni sektor" uviđa da ne može kontrolirati ili zaustaviti nove tehnologije, pa smo nedavno naišli na izlaganje Douglas Maughana iz US Department of Homeland Security koji u blockchainu vidi ogroman potencijal i smatra da bi država trebala preuzeti inicijativu u njegovoj primjeni. "Sa stanovišta vlasti, blockchain donosi veću transparentnost i bolji nadzor (auditing) nad radom javnih službi, bolju vidljivost u lancu snabdjevanja, što bi olakšalo borbu protiv krivotvina, automatizaciju u obradi "papirnate dokumentacije", što bi poboljšalo i ubrzalo rad javnih servisa."

Kriptovalute nisu ni izdaleka jedini način korištenja blockchain tehnologije. Jeste li pomislili da bi ta tehnologija mogla osigurati poštene izbore? Kad bi svaki građanin dobio svoj digitalni identitet, kao Bitcoin, onda bi svatko iz svog "walleta" davao glasove političarima i strankama. Blockchain tehnologija osigurala bi svatko može glasati samo jedamput, da glasaju samo oni koji imaju pravo glasa. A mi bi mogli dati svoj glas koristeći mobitel, iz bilo kog kraja svijeta, ne bi morali odlaziti u najbližu ambasadu i legitimirati se - autentikaciju bi obavila aplikacija na mobitelu! Jedno je sigurno: dok bi mi građani rado prihvatili tu novu tehnologiju, vrlo je upitno da li će je političari prihvatiti s jednakim veseljem!? Pa oni kroje izborne jedinice tako da mogu dobiti više predstavnika/fotelja, mogu manipulirati listićima koje zaokružujemo. Sjećate se kako su nakon jednih izbora u smeću pronađeni birački listići - ta je vijest brzo nestala iz medija, ne treba sijati sumnju u legitimnost izbornog procesa, zar ne? Recimo još jednom da bi blockchain tehnologija onemogućila da se glas koji smo dali kasnije izmijeni, kad podatak sjedne u lanac u glavnoj knjizi, kriptografski je zaštićen od izmjena. Eto revolucije, eto demokracije! Osim toga svaki bi birač mogao naknadno provjeriti da su glasovi pravilno zbrojeni, da nisu mijenjani ili uklonjeni, te da nema ilegalnih glasova!

Još jedno područje primjene blockchaina bile bi zemljišne knjige i evidencije vlasništva! Kupoprodajni ugovori automatski bi se knjižili u blokove, a onda bi se automatikom mogle unositi i izmjene u zemljišnim knjigama! Kolike bi manipulacije na taj način bile spriječene! Ovdje nas naprosto vuče da se osvrnemo na poticije koje Ministarstvo poljoprivrede daje našim seljacima. Dovoljna su dva svjedoka da netko dobije pravo na poticaj za tuđu zemlju, a da stvar bude apsurdnija, tu zemlju ne mora ni obrađivati, jer se poticaj daje po hektaru a ne po količini proizvedene hrane. Zamislite koliko bi se tu nereda raščistilo na brzinu! Naravno, opet su tu ljudi kojima nered odgovara i koji bi protestirali na Markovu trgu protiv blockchaina. Nedavno je znanica otkrila da za njenu zemlju, zaraslu u šikaru, netko uzima državne poticaje! Baš me zanima hoće li se itko u državnim tijelima koja su zadužena za provođenje zakona potruditi da se ovo istjera na čistac i krivci kazne, a država i pokradeni vlasnik zemljišta obeštete. Još jedan primjer povremeno se pojavi u informativnom programu. Odvjetnica iz Zagreba kupila je stan koji je imao čiste papire, i odmah drugi dan čim su šalteri Gruntovnice otvoreni predala zahtjev da su uknjiži kao vlasnik čestice, bez čega ne može biti ni vlasnik nekretnine. Ali stari vlasnik stana još je jednom prodao isti stan drugom kupcu, koji je kasnije predao zahtjev u gruntovnici, ali je, gle čuda, njegov zahtjev odmah obrađen i tako se on uknjižio kao vlasnik čestice i stana. Stvar se već godinama vuče po sudovima, odvjetnica je ostala bez životne ušteđevine, bez stana i bez povjerenja u rad pravne države. Blockchain tehnologija i ovdje bi mogla onemogućiti takve manipulacije. Pretpostavljam da bi prva kupovina bila uknjižena u glavnu knjigu, a naknadni ugovor s drugim kupcem bio bi prepoznat kao nevažeči: vlasnik je promijenjen, bivši vlasnik ne može više prodati nekretninu, pa taj ugovor ne bi bio ovjeren i knjižen.

Za kraj, jedna poslastica: društvena mreža zasnovana na blockchainu! Svjesni smo činjenice da nam je privatnost ugrožena na društvenim mrežama, da se informacije o nama prikupljaju, obrađuju, da nas profiliraju i prodaju te informacije ni ne pitajući nas za pristanak. I dobro zarađuju na našim podacima! Pokrenuta je nova društvena mreža, Kuende, zasnovana na blockchainu, koja bi kriptografijom bolje štitila svoje korisnike. Korisnici se moraju autenticirati KYC metodom (nema lažnih profila i lažnih prijatelja), dobiju svoje tokene i priliku da sami upravljaju time koje će se informacije dijeliti i s kome. Prvi ulagači u ICO smatraju se investitorima i moći će ostvariti dobit kad naraste vrijednost tokena.

Spomenimo i da Hrvatska ima svoju kriptovalutu, Greenstream. Poduhvat je to kojim se financiraju ulaganja u ekološke proizvode, na primjer proizvodnju lijekova iz industrijske konoplje, sadnja brzorastućeg drveća, proizvodnja prirodnog gnojiva koje pospješuje rast i imunitet biljaka, ali i ulaganje u energetski samodostatne hotele na Jadranu. Svi će se ti proizvodi moći kupovati za fiat valute, ali će biti jeftiniji ako za njih date domaće kriptonovčiće. Poduzetnici ne čekaju državu, sami nastoje oblikovati našu zajedničku budućnost.

Ovih nekoliko primjera ilustrira velika očekivanja koja tehnološki svjesni i društveno angažirani pojedinci imaju od primjene blockchain tehnologije. Letvica će biti podignuta, brojne prijevare otežane, možda i onemogućene, a usput bi nestala mnoga radna mjesta birokrata koji nam zagorčavaju život, a ponekad otkrijemo da su potkupljivi. Živimo u zanimljivim vremenima, s nestrpljenjem očekujemo da blockchain postane dio svakodnevnice, nadajući se da će i društvo time postati pravednije i otvorenije.

sri, 2018-06-13 22:52 - Aco Dmitrović

Kategorije:

Vote:

No votes yet

story_tag:

Nekolicina poznanika, nadam se i prijatelja, prati moje objave na ovom portalu. Pa se, nastavno na članak o skrivanju objekata u AD-u, pred neki dan razvilo živahno on-linečavrljanje na temu AD-a i njegove antiintruder zaštite, sve "uzduž i poprijeko", kako to biva u neslužbenoj komunikaciji. U jednom trenutku sam, iz konteksta poruka, shvatio da moji kolege, doduše, svašta znaju o toj temi ali jednostavno ignoriraju Core serversku ediciju kao osnovicu za Domain Controller (dalje: DC) ulogu i kao jedan od najvažnijih zaloga sigurnosti AD instalacija. Na moj stav da bi trebalo preferirati Core odmah su počele stizati poruke s bljakastim smajlićima uz riječ PowerShell... pa odaslah prijetnju s bijesnim smajlićem: "Ahaaa, vi (cenzurirano), o ovome će se čitati na portalu!" Eto, ne možete reći da nisam od riječi. :o)

S PowerShellom se snalazim iako, ako ćemo iskreno, naklonjeniji sam Bash i Cmd interpreterima. Nećemo sada o razlozima, sporedno je u odnosu na ovo što slijedi: Windows Core kao Domain Controller možemo instalirati i nadalje ga administrirati rabeći GUI alate, uz sasvim sporadična i kratkotrajna druženja s PowerShell ili Cmd promptom! A što se tiče Corea kao edicije Windows OS-a, prednosti su toliko očite i poznate da na to ne treba trošiti riječi. Svima koji još uvijek zaziru od Domain Controllera na Core serveru, preporučam ovaj model: uvedite ga u produkciju - dakako, nakon razdoblja testiranja i privikavanja - uz postojeće GUI DC-eve. Kad ovladate njime - što će se brzo odvijati, vidjet ćete iz nižega zašto - zamijenite GUI DC-eve Core inačicama. Imat ćete manje briga a još ćete se moći hvaliti da ste prepolovili zauzeće poslužiteljskih resursa!

U "pokaznoj vježbi"što slijedi, polazimo od ovih pretpostavki:

Izričajem se obraćamo kolegama kojima Active Directory nije nepoznanica;
dva GUI Windows Server 2016 DC-a (ujedno drže interni DNS ogranak), su u poslužiteljskom segmentu korporativne mreže, želimo im dodati jedan Core 2016 DC;
admin stanica je Windows 10, nalazi se u klijentskoj mreži, za njom sjedi lik učlanjen u Enterprise Admins domensku grupu, rabit će GUI alate.

A koji su to GUI alati? Ma ima ih i previše! Kad na stanicu instaliramo Remote Server Administration Tools (RSAT), dobit ćemo, pored namjenskih PowerShell/Cmd naredbi, i tucet MMC konzola za "šefovanje" na Domain Controllerima, i šire, na objektima AD sustava. Jedna od tih konzola je tipa "upravljačka ploča" (dashboard), imenovana kao Server Manager. Dakle, SrvManom se spojimo na Core server - na nižoj slici to je corpdc3 - potom, nakon desnog klika na tom serveru, biramo potrebnu naredbu. Neke naredbe pokreću GUI alate a neke su komandnolinijske. Uočite da SrvMan prikazuje razne podatke o stanju servera, nudeći ujedno dodatnih par naredbi s grafičkim sučeljem.

Kad smo već instalirali RSAT, na admin stanici možemo si sami složiti "server manager" po svom ukusu. Naredba Run > mmc /a, potom kroz Add/Remove snap-in odaberemo sve namjenske konzole koje želimo imati objedinjene u općoj konzoli. Niža slika prikazuje moju kolekciju konzola za administriranje Core DC-a corpdc3.

Važan detalj! Da bi nas SrvMan i MMC konzole vjerno služile, moramo na vatrozidu Core DC-a otvoriti određene portove. Najjednostavnije ćemo to odraditi tako da se spojimo Remote Desktopom na Core i zadamo par nižih naredbi. Prva je ova:

netsh advfirewall firewall set rule group=”Windows Firewall Remote Management” new enable=yes

Nakon te naredbe možemo se s admin stanice spojiti na Core konzolom Windows Defender Firewall pa konfigurirati Coreov vatrozid, ali jednostavnije nam je prizvati izvršenu naredbu u naredbeni redak, sukcesivno ju preoblikovati u niže izložene naredbe i tako taj dio brzopotezno riješiti. Iz opisa grupa na koje djelujemo jasno je o čemu se radi.

a) netsh advfirewall firewall set rule group="Remote Service Management" new enable=yes

b) netsh advfirewall firewall set rule group="Remote Event Log Management" new enable=yes

c) netsh advfirewall firewall set rule group="Remote Scheduled Tasks Management" new enable=yes

d) netsh advfirewall firewall set rule group="Remote Volume Management" new enable=yes

Još jedan važan-i-sve-važniji GUI alat je Windows Admin Centar (WAC). Do nedavno je bio poznat kao Honolulu, obradili smo ga na adresi https://sysportal.carnet.hr/node/1771. Microsoft ga ubrzano razvija, nije finaliziran no zreo je za produkcijski rad. Ako već raspolažemo sa SrvManom i MMC konzolama, za poslove koje ćemo odraditi u ovom članku WAC nam nije stvarno potreban ali isplati se upogoniti ga jer Microsoft njime želi zamijeniti postojeće administrativne alate. Za WAC ne moramo na Coreu ništa podešavati, listener servisa WinRM željno očekuje konekcije na TCP 5985. To je, kako smo u spomenutom članku objasnili, jedna od velikih prednosti WAC-a. Glede niže slike: s admin stanice kopiramo neke GUI alate na corpdc3 Core server, 7-zip je već na njemu. Kopiranje smo, doduše, mogli brže odraditi tako da se Windows Explorerom spojimo na Coreov administrativni share, tipično c$, ali ovo je novotarija pa je "fora"... :o).

Na kraju ovog pregleda raspoloživih alata, valja spomenuti da nam i sam GUI DC može glumiti admin stanicu, u njegov SrvMan možemo učlaniti Core server, ili si na njemu složimo kolekciju MMC konzola usmjerenih ka Core serveru.

Sad kad smo se oboružali GUI alatima, učlanit ćemo Core server u corp.hr Active Directory i pretvoriti ga u Domain Controller s DNS-om.

1. Nakon instalacije, inicijalno podešavanje Core servera - od postavljanja IP parametara i primjene zakrpi preko uključivanja Remote Desktop pristupa do učlanjenja u domenu - odradit ćemo njegovim semigrafičkim alatom sconfig. Na nižoj slici vidimo kako tijekom učlanjenja u domenu sconfig skripta omogućuje preimenovanje servera. Preimenovali ga mi ili ne, nakon restarta Core se sam prijavljuje u domenski DNS (jasno, ako je u ovom omogućen Dynamic Update), znači, postaje dostupan po imenu i DC-evima i admin stanici.

2. Na Coreu otvaramo portove za uporabu RSAT konzola, kako je maloprije opisano.

3. Iz Server Managera (izbornik Manage, naredba Add Roles and Features) ili WAC-a (u lijevom stupcu klik na Roles & Features, označimo stavku DNS pa klik na gumbu Install) instaliramo rolu DNS. Mudro je odmah pod Features odabrati Telnet klijenta, znamo zašto.

4. Slijedi kratko sređivanje DNS-a:

Na glavnom DC-u postavimo Core kao još jedan domenski DNS (kartica Name Servers) i pobrinemo se da je na kartici Zone Transfers uključena odgovarajuća opcija za prijenos zone;
iskoristimo DNS konzolu iz zbirke konzola koju smo si priredili za Core server kako bismo u konfiguraciji njegovog DNS-a, kroz karticu Root Hints, izbrisali sve root servere globalne DNS hijerarhije.

5. Kao u trećem koraku, odaberemo ili SrvMan ili WAC da bismo na Core instalirali Domain Controller rolu. U ovom slučaju, što se vidi na nižoj slici, rabimo WAC, znači, u prikazanoj situaciji samo klik na gumbu Yes.

6. Ovaj korak, samo zato što je kritičan, odradit ćemo direktno na Coreu. RDP-om se spojimo na server i zadamo jednu-jedinu superjednostavnu Powershell naredbu: install-addsdomaincontroller. Iskočit će par upozorenja, ali ako se radi o porukama poput niže prikazanih, to su obavijesti, nisu greške.... uglavnom, nakon inicijalne sinkronizacije s kolegama DC-ima, Core se sam restarta.

7. Iz sučelja Sconfig naredbe, ili WAC-a, redefiniramo DNS postavke na mrežnoj kartici Core servera tako da mu kao primarni DNS postavimo 127.0.0.1 a sekundarni su mu drugi DC-evi. Ovima, pak, dodamo Core DC kao sekundarni.

8. Kako se Core DC uklopio u domenu lako provjerimo na razne načine, u ovoj situaciji najbolje je na Coreu zadati naredbu:

dcdiag /v /f:dcdiagini.txt & notepad dcdiagini.txt

Primjećujete da ćemo izvještaj dcdiag naredbe čitati u GUI alatu Notepad. Core je opremljen s kojih desetak GUI programčića, spomenimo uistinu korisne taskmgr i msinfo32.

Znadete li da ove godine Windows Server Core edicija navršava jubilarnih 10 godina postojanja? Da, da, pravi je to momak postao, utoliko, ako već radimo s Windows serverima, vrijeme je da ga prihvatimo kao pouzdanog i susretljivog suradnika.

pet, 2018-06-15 07:32 - Ratko Žižek

Vijesti:

Kuharice:

Kategorije:

Vote:

No votes yet

story_tag:

sub, 2018-06-30 20:42 - Aco Dmitrović

Proučavanje naredbe blockdev pružilo nam je priliku da naučimo što je prljavi bit. Korak dalje, pa ćemo se susresti i s pojmom "dirty cashe". Keširanje je način da se ubrza rad računala. Umjesto zapisivanje na spore diskove, podaci se privremeno sklanjaju u bržu memoriju. No ako s jedne strane dobijamo na brzini, s druge strane unosimo komplikacije i povećavamo rizik da se dogodi nešto nepoželjno. Možemo li očekivati da će se sve odvijati automatski, bez našeg znanja i naše intervencije?

Cashe memorija je svuda: procesori imaju svoj cache, diskovi također, a i poneki disk kontroleri, opskrbljeni vlastitim baterijama, da bi sačuvali keširane podatke u slučaju nestanka struje. Dodajmo tu i operacijske sustave, datotečne sustave i poneke aplikacije, prvenstveno baze podataka, koje također sklanjaju podatke "na brzinu", da bi ih kasnije trajno pospremili. Virtualizacija donosi još jednu razinu apstrakcije, povećavajući prometnu gužvu u kojoj su moguće različite nezgode.

Sjećam se jedne situacije iz ranih 90-tih. Trvrtka za koju sam radio kao programer prodala je aplikaciju knjigovodstvenom servisu. Aplikacija se izvršavala na Unixu za PC računala (ne sjećam se više da li je to bio SCO ili Interactive Unix), a knjigovođe su radili na terminalima, spojenim na server serijskom vezom, brzinom od 9600 bitova u sekundi. Za tekstualne terminale to je bilo dovoljno. Za razvoj smo koristili Faircomove alate "četvrte generacije", c-tree kao bazu, d-tree za kreiranje ekrana za unos podataka, r-tree za izradu izvještaja. Odabrali smo te alate jer smo za njih dobili izvorni kod u programskom jeziku C, pa smo mogli dodavati svoje funkcije.. Jedna od mojih prvih intervencija na zahtjev korisnika bila je zanimljiva: knjigovotkinja je unijela temeljnicu kojom je završila godinu i nakon toga pustila bilancu na matrični printer. Bilanca je izašla bez te zadnje temeljnice. Zbunjeno mi je pokazivala da je temeljnica spremljena, mogla ju je otvoriti na ekranu da mi to dokaže. Zašto onda bilanca ne štima? Problem sam brzo riješio. Nekoliko sam puta kao root na komandnoj liniji napisao sync, da se isprazni cache, nakon čega sam pustio bilancu na ekran terminala, umjesto na printer. Bilanca je sada štimala. Ali zašto se sve to događalo? Zadnja temeljnica ostala je u cache memoriji, aplikacija za unos podataka mogla joj je pristupiti. No za reporting je pozivala drugu aplikaciju, koja je pretraživala samo bazu zapisanu na disku, nije znala pristupiti cache memoriji prve aplikacije. Kad smo to shvatili, puštali smo reporte iz osnovne aplikcije. U međuvremenu, naučio sam gospođe iz knjigovodstva da bilancu najprije pogledaju na ekranu, prije nego je puste na pisač. Ako ne štima, neka se odlogiraju i ponovo logiraju: time bi izazvali zapivisivanje podataka iz cachea na disk. Zabavno, zar ne? Tada sam se prvi puta susreo s "tamnom stranom keširanja".

Ako su nam podaci dragocjeni, najsigurnije bi ih bilo odmah zapisati na tvrdi disk, da se ne zagube u nekom od cacheva. Ali diskovi su sporiji od radne memorije, a danas je brzina sve, donosi prednost na tržištu. Kada kupci biraju procesor ili na primjer DBMS, gledat će rezultate benchmarka. Rijetki će pomisliti da veća brzina nosi i veći rizik, da bi sporija baza podataka možda mogla biti sigurnija.

Naviknuti na brzinu, ponekad ćemo se iznenaditi kad se susretnemo s nekim sporim procesom. Na bivšem poslu začudio sam se kad sam prvi puta pokrenuo shutdown Windows servera. Trajao je preko 15 minuta! Mnogo pospremanja prije nego se računalo ugasi! No bolje da je tako, nego da se neki podaci zagube. Zapravo je sve bilo logično, na serveru je bilo instalirano više aplikacija, baza, preko mreže su bili montirani vanjski diskovni sustavi. UPS je bio programiran da pokrene gašenje svih servera kad se baterija napola isprazni. S obzirom na sporost zatvaranja procesa i spremanja podataka, poželio sam ranije pokrenuti shutdown servera u slučaju nestanka struje. Za svaki slučaj. A i UPS bi trebalo redovito servisirati i kalibrirati, jer mu performanse s vremenom padaju. No nisam uspjevao uvjeriti upravu da treba servisirati UPS-ove, njima je to bio nepotreban trošak. Dok radi, radi...

Drugom prilikom podaci su izgubljeni kad je dotrajala baterija na SCSI kontroleru. Naručili smo novu, ali je isporuka trajala mjesec dana. Prije nego je nova baterija stigla, nestalo je struje.

Pa što je onda "dirty cache"? Jednostavno, to je međuspremnik iz kojeg podaci još nisu pospremljeni na trajnu memoriju. Ako redovito pratite članke na portalu, dosad ste već naučili kako natjerati cache da se "očisti".

Prije svega, na tradicionalan način:

# sync

Pa onda hakerski način, upisivanjem vrijednosti u datoteku u proc filesystemu:

$ sudo echo 3 > /proc/sys/vm/drop_caches

A tu je i jedan parametar ("opcija") naredbe blockdev, što nismo spominjali u prethodnim člancima:

$ sudo blockdev --flushbufs /dev/sdaX

Postoji li razlika među ovim postupcima? Na to nisam našao definitivan i argumentiran odgovor, samo sugestiju da se sync odnosi na cache datotečnog sustava, a da blockdev --flushbufs radi na nižoj razini, gdje se odvija I/O na sam uređaj. Zato bi možda bilo dobro, ako želite biti sigurni, najprije napraviti sync, pa onda neku od ovih ostalih naredbi.

A onda sam naletio na raspravu o tome da blockdev --flushbufs neće obaviti svoj posao kako treba kad se radi o virtualnom disku, odnosno ako na hostu vrtite osim "domaćinskog" operacijskog sustava još poneku virtualnu makinu. Pa se onda savjetuje da virtualne diskove ne držite na istom fizičkom disku na kojem je host operacijski sustav!

Čini se da nam je privremeno pospremanje podataka osim dobrobiti donijelo nove glavobolje i da ga ne smijemo uzeti zdravo za gotovo. Dakle u žurbi ne griješe samo ljudi, ponekad griješe i strojevi. Errare machinarum est!

Kuharice:

Kategorije:

Vote:

No votes yet

story_tag:

Danas je petak 13-ti, dan kada se, po pučkoj predaji događaju nesreće. Ovu kolumnu posvećenu informacijskoj sigurnosti nazvali smo Petak 13. Oobjavljujemo članke svakog trinaestog u mjesecu. Dok sve radi kako treba, o sigurnosti i ne razmišljamo. Problemi se događaju drugima, tamo negdje daleko. Pitalo me nekoliko kolega zašto sam, zaboga, za piktogram rubrike odabrao djetelinu s četiri lista? Šala mala, odgovaram, ali velika istina! Većina ustanova iz Akademije oslanja se na sreću, računaju na da su premali i da nemaju važne podatke, beznačajne su mete, pa zašto bi onda brinuli o sigurnosti i ulagali u nju? Neće baš njih zadesiti peh, zar ne?

Stručan izraz, da ne kažemo znanstven, za takav pristup je "prihvaćanje rizika". Ne ulažemo u zaštitu, radije prihvaćamo rizik. Kako voli reći prijatelj i kolega Kost, "Da nas mogu naći na karti svijeta, možda bi nas napadali, ovako smo sigurni." :)

Ali za dva dana naši će nogometaši postati svjetski prvaci (ja držim palčeve, a i vi, siguran sam), a onda će nas svi potražiti na karti svijeta. Što ćemo tada sa informacijskom sigurnošću?

Što se to događa na "petak 13.", kakve se havarije,makar u malim razmjerima, događaju u ovom zabačenom raju na zemlji?

Nedavni pokušaj spašavanja poslovnih podataka male privatne tvrtke, čiji mi se vlasnik obratio za pomoć, ponukao me da još jednom promislim cijeli postupak zaštite vrijednih podataka koje svi mi, i informatičari i korisnici, čuvamo na računalima. Tko je odgovoran za zaštitu podataka, te koja je pri tome uloga sistemca - to su dva pitanja na koja prije svega želimo jasan odgovor.

Nažalost nisam uspio spasiti podatke spomenute privatne tvrtke. Najprije je otišla matična ploča, stara barem desetak godina. Na njoj je bio PATA disk kontroler, i dva PATA diska od kojih je samo jedan radio. Tko se još sjeća PATA diskova? Paralelni ATA bio je prijelazna tehnologija od ATA do SATA diskova (serial ATA). Drugi disk bio je posve "mrtav", nije mu se moglo pristupiti ni na fizičkoj razini. Nazivajući kolege koji su u mirovini, uspio sam pronaći, na nečijem tavanu, računalo s PATA kontrolerom. Kad smo u njega prebacili diskove, učitao se DOS i pokrenula knjigovodstvena aplikacija. Prebacili smo u novo kućište iOmega ZIP drive, s disketama od 100 MB (sjećate li se toga?), na kojeg su snimani backupi. Vlasnik je bio sretan da mu aplikacija radi, odnio je odmah računalo jer mu je trebalo za rad. Upozorio sam ga da bi najprije trebalo napraviti kopiju cijelog sadržaja diska. Obećao je da će se javiti. Nije se javio, sve dok mu i tvrdi disk nije otkazao. Tada mi je ponovo donio računalo. Disku se moglo pristupiti na fizičkoj razini, napravio sam bitcopy cijelog diska koristeći ddrescue. No disk je velik 10 GB, a preslika koju sam dobio imala je samo 3 GB! Iz nje se nije moglo izvući niti jednu datoteku koja bi imala veze s poslom. Vlasnik je fakture, primke i otpremnice nastavio pisati "ručno", u tekst procesoru. Nije mu preostalo drugo nego kupiti novu aplikaciju, unijeti početno stanje iz lanjske bilance, pa zatim ponovo utipkati sve ovogodišnje dokumente iz registratora. Bio je toliko očajan da nije ni došao po staro računalo.

Tko je tu "kriv" za gubitak podataka? Sam vlasnik, bez ikakve sumnje. Spremao se u mirovinu, nadao se da će računalo izdržati dok ne rasproda svu robu sa skladišta. Nije razmislio o riziku koji predstavlja prastaro računalo koje može svakog časa otkazati. Štoviše, programer koji mu je prodao aplikaciju preminuo je prije nekoliko godina. Rekao sam mu da je istog časa trebao prijeći na novu aplikaciju, jer što vrijedi aplikacija bez podrške? Ali to bi bio dodatni trošak, a trošak je nešto što treba izbjeći po svaku cijenu. Uzdamo se u sreću, "prihvaćamo rizik".

Kolika je u svemu tome moja krivica? Odgovoran sam jer sam mu dozvolio da odnese računalo nakon prvog popravka, a da nisam odmah napravio presliku tvrdog diska, dok je još radio. No pitanje je da li bi aplikacija radila da smo presliku naprosto prebacili na drugi disk, jer su u dobra stara vremena DOS-a programeri u aplikacije ugrađivali zaštitu od kopiranja. Naime aplikacija je radila samo na disku na kojeg ju je instalirao vlasnik programa. Prebacivanje na drugo računalo trebao je obaviti sam vlasnik programa, za što je, naravno, tražio novčanu naknadu. A to je, naravno, nepotreban trošak. Tek kad nas pogodi nesreća, Petak 13-ti, dosjetimo se kamo vodi prevelika štednja. Onda se sjetimo i one Engleske poslovice: "Nisam dovoljno bogat da kupujem jeftino."

Mnogo sam puta, radeći u akademskoj zajednici, vodio slične razgovore kao s vlasnikom spomenute tvrtke. Objašnjavo sam upravi da je potrebno raditi dnevni, tjedni, mjesečni, godišnji backup svih podataka važnih za poslovanje. Načelno bi se složili, zatražili pismeno obrazloženje i nekoliko ponuda, a onda bi sve zapelo na novcima. Novca nema dovoljno ni za hladni pogon, a pogotovo za nešto što bi se jednog dana možda moglo dogoditi. Možda ćemo imati sreću, možda neće nesreća pogoditi baš nas... itd. its. Prihvatit ćemo rizik. A kad se nesreća dogodi, trošak je mnogo veći nego da se reagiralo na vrijeme. Ali tako je kako je, još nikdar ni bilo da nekak ni bilo... Pak nikdar ne bu da nekak ne bu... Snaći ćemo se, na ovaj ili onaj način.

Na jednom od prethodnih poslova, ustanova je dobila novi server od Ministarstva. Podigao sam na njemu virtualnu mašinu, Linux, na njega instalirao aplikaciju Backup-PC, podesio servere i korisnička računala tako da dopuštaju pristup backup daemonu s te virtualke i naprave dnevni backup podataka. Na klijentska računala nije trebalo instalirati klijentsku aplikaciju, samo podesiti dozvole za pristup. Korisnicima sam objasnio da u svojoj Documents mapi imaju mapu koja se zove Poslovno, neka u nju spremaju sve što im je važno da se sačuva. Iznenadio sam se tada jer većinu korisnika to uopće nije zanimalo! Oni spremaju sve što im je važno na USB stickove, na svoje vlastite vanjske diskove. Svjesni, savjesni korisnici, zar ne? Ali zašto su mi povremeno neki od njih donosili svoje USB stikove i vanjske diskove koji više ne rade, molili me da im pokušam spasiti podatke? Ako se uređaju moglo pristupiti na fizičkoj razini, uspijevao sam spasiti bar nešto. U protivinom... Upravo radi toga želio sam problem, kao pravi sitemac, riješiti "sistemski". S polovičnim rezultatom.

Zaključio sam da korisnici ne žele "službeni backup" je ne žele da itko u ustanovi, ni informatičari ni uprava, vidi što oni rade dok su na poslu. Vjerojatno zato jer rade neke poslove u fušu? Nije me to zanimalo. Bio sam im spreman ponuditi backup svih važnih podataka, ne razmišljajući o tome o da li se radi o "službenim" ili "neslužbenim" podacima.

Satisfakciju sam, moralnu, dobio dvije, tri godine nakon što sam promijenio posao. Pokvarilo se računalo na kojem su bili pohranjeni svi znanstveni radovi nastali od početka postojanja ustanove! Moj je nasljednik uspio sa backup servera spasiti i vratiti na novo računalo sve vrijedne podatke! Nazvao me da me obavijesti o tome, na posredan način mi je zahvalio. Bilo bi lijepo da me nazvao ravnatelj, ali što se tu može.

Dakle tko je u akademskoj ustanovi zadužen za brigu o vrijednim podacima? Ako se spremate na to pitanje odgovoriti "sistemac", niste u pravu. Amerikanci bi rekli da je za podatke odgovoran njihov "vlasnik" (owner). Za knjigovodstvene podatke odgovoran je šef računovodstva ili financijski direktor. Za osobne podatke odgovara osoba koja je za tu funkciju prijavljena Agenciji za zaštitu osobnih podataka. Za znanstvene radove u digitalnom obliku također treba naći "vlasnika". Ne volim taj izraz, "vlasnik", jer na primjer knjižničarka nije vlasnik znanstvenih radova, ona samo brine za njihovo čuvanje. Kad se kaže vlasnik, radi se zapravo o psihološkom triku, jer ljudi bolje brinu o stvarima koje su njihovo vlasništvo, nego o tuđima. Ni financijski direktor nije vlasnik knjigovodstvenih podataka, on je samo zadužen da brine o njima. Dakle kad vam netko dodijeli takvo "vlasništvo", samo je na vas prebacio brigu i odgovornost.

No dobro, vratimo se pitanju: tko je zadužen za brigu o podacima? U pravilu, zaposlenik u čiji to opis posla spada. On je taj koji bi sistemca trebao pitati da li se backup podataka obavlja redovito, te kada je zadnji puta pokušao napraviti "restore" iz "backupa". Sistemac će se pobrinuti da stvari funkcioniraju na tehničkoj razini. Ako nešto zapne na tehničkoj razini, bit će odgovoran sistemac. Ali "Vlasnik" podataka treba se pobrinuti za zaštitu, čiji je dio i "vježba" u kojoj će se simulirati havarija na serveru, gubitak podataka, pokretanje rezervnog servera i vraćanje podataka. Sistemac je tu samo tehnička podrška. Ali kako stvari stoje u Akedemiji, sistemac je tu usamljeni vitez koji bi htio na sebe preuziti i tuđu brigu. Svaki savjestan i brižan sistemac brine o tome da svi serveri/servisi, pa i mreža rade kako treba. On predviđa i mogućnost havarije, pa je nastoji preduhitriti. Ali uprava ne misli na isti način. Dapaće, cijelo moje iskustvo CARNetova sistemca govori mi da je Uprava često zapreka i najveća smetnja pravo brizi za informacijsku sigurnost. Uprava je ta koja se oslanja na djetelinu s četiri lista i prihvaća rizike.

Prvi problem u vrednovanju podataka je njihova klasificija. Podatke koje koristi akademska zajednica može klasificirati kao tajnu samo nadležno Ministarstvo. Dekan/ravnatelj može nekim podacima dodijeliti status poslovne tajne. Iako se za tim nekako nerado posiže u Akademiji, koja se diči otvorenošću. Javlja se problem da li su podaci koje proizvode neko istraživanje javni, samo zato jer Ministarstvo znanosti financira hladni pogon ustanove? A što ako je ustanova u potpunosti ili djelomično sama financirala neko istraživanje? Tko onda ima pravo proglasiti te podatke javnima? Pogotovo danas, kad se teži tome da se Akademija poveže s privredom, da se sve većim dijelom financira iz vlastitih prihoda?

Sjećam se predavanja direktora britanskog Geološkog društva (Geological Survey), kojem sam imao čast prisustvovati. Njima država financira 70% (ako se dobro sjećam) hladnog pogona. Ostatak moraju zaraditi sami na tržištu. No Velika Britanija je zrelo društvo koje je u stanju procijeniti važnost znanja i znanosti. Zakonom je propisano da svi koji obavljaju geološka ispitivanja moraju uzorke i rezultate predati u tu državnu ustanovu, kojoj su na "zelenoj livadi" (greenfield investicija) izgradili cijeli mali grad sa skladištima u kojima se čuvaju uzorci. Kako tehnika napreduje, stari se uzorci mogu ispitati novim metodama i dobiti još bolje rezultate. Geološka služba Ujedinjenog Kraljevstva pruža 24-satno dežurstvo i svima je na raspolaganju u slučaju potrebe. Na primjer, kad je harala epidemija slinavke, vojska je eutanazirala cijela stada, ali nisu smjeli zakopavati leševe gdje im padne na pamet. Geološka služba im je davala lokacije gdje je tlo nepropusno, a zemljište državno. Na taj su način spriječili zagađivanje podzemnih voda. Kod nas nema takvih zakona, pa su podaci koji je imala INA otišli Mađarima, a Hrvatske geološki institut ih nije dobio. Ovome ne treba komentara.

Zato prije nego počnemo grditi spomenutog privatnika kako je dozvolio da mu radi prevelike štednje propadnu podaci bez kojih ne može poslovati, trebamo se zapitati nije li to zapravo simptomatično za cijelo naše društvo? Cijenimo li mi svoje podatke onoliko koliko oni to zaslužuju? To nisu problemi kojima bi glavu trebao razbijati sistemac. Ali htio, ne htio, često je baš sistemac u poziciji da ljudima oko sebe objašnjava koliko su vrijedni podaci i što bi trebalo napraviti da se oni zaštite. No sistemac, sam protiv svih, ne može mnogo. To ne znači da treba odustati, zar ne?

pet, 2018-07-13 21:06 - Aco Dmitrović

Kategorije: