Danas "obilježavamo" tzv. DNS flag day, trenutak kad će razni DNS softveri i provideri usluga rekurzivnog rezolvanja domena ukinuti neke mogućnosti naših domena koje se nisu držale standarda. Iz povijesnih razloga, te mogućnosti nestandardnih odgovora na upite su uključene kako bi se podržali neki nestandardni autoritativni serveri, no tome je srećom došao kraj. Većina nas se ne bi trebala brinuti, radi se o zaista starim verzijama DNS softvera i možda nekim embedded uređajima, no kako bi zaista bili sigurni (ili saznali više informacija o cijelom problemu), posjetite URL: https://dnsflagday.net/ gdje možete testirati vašu domenu.

Poštovani korisnici usluge sys.dns,

poslužitelju za uslugu sys.dns je iz tehničkih razloga promijenjena adresa.

Nova adresa je 40.68.22.239, a nju morate upisati u konfiguraciju DNS poslužitelja. Opcija za dopuštanje prijenosa vaše zone se obično nalazi u datoteci /etc/bind/named.conf.options, ali može se nalaziti i u nekoj drugoj datoteci unutar direktorija /etc/bind. Opcija u kojoj treba zamijeniti adresu je "allow-xfer", a obično je izdvojena s drugim adresama u poseban ACL blok naziva "xfer", primjerice:

acl "xfer" {
// obrisati staru adresu 82.221.47.6
        40.68.22.239;
}
allow-transfer { xfer; };

Nakon izvedene promjene potrebno je restartati DNS servis:

# systemctl restart bind9

Ispričavamo se na eventualnim neugodnostima koje su mogle nastati zbog navedene promjene.

Srdačan pozdrav,

sys.dns team

Kad su braća Lumiere 1896. projicirali crno bijelu filmsku snimku dolaska vlaka na peron, u dokumentarcu nazvanom "L'arrivée d'un Train à La Ciotat", izazvali su histeriju, publika je vrišteći bježala iz kina, u strahu da ih ne pregazi lokomotiva. Danas nam to može izgledati smiješno, ali tadašnja publika, nenavikla na novi medij, projekciju nije razlikovala od stvarnosti. Od tada je prošlo više od stoljeća, od nas se očekuje da razlikujemo stvarnost od njezine medijske prezentacije. Jesmo li zaista evoluirali, ili još uvijek ne možemo pouzdano razlikovati fikciju od realnosti?

Od tih smo dana tehnološki napredovali. Celuloidni film još se može kupiti, postoji kao tržišna niša za nostalgičare. No danas se snima digitalnom tehnologijom, a snimke se dotjeruju na računalima, koristeći specijalizirani software. Već se u samim kamerama/mobitelima slika obrađuje, tako da više i ne postoji "sirova", "prirodna", nedirnuta snimka. Odmak od neposrednog doživljaja sve je veći, stvarnost je tehnološki posredovana. Umjesto da planinarimo, gledamo dokumentarce o planinama. Umjesto da se bavimo sportom, gledamo utakmice na televiziji. Umjesto da živimo, gledamo tuđi život. Umjesto da mislimo svojom glavom, puštamo da nam netko drugi servira gotova mišljenja.

Kolika je naša medijska pismenost? Mnogo se toga događa u svijetu, ali događaj još nije vijest. Samo će mali broj zbivanja dospjeti u medije kao vijest vrijedna spomena. Naravno, netko drugi za nas odlučuje koji događaj će postati vijest. Velika je vjerojatnost da će i tada činjenice biti prerađene, dorađene, reducirane s namjerom da se izazove reakcija koja odgovara vlasniku medija. Taj vlasnik ne mora biti poznat, najčešće i nije. Studente novinarstva uče da treba prije svega "objektivno" prenijeti činjenice, a onda eventualno dodati komentare, pri čemu treba objema stranama dati priliku da iznesu svoje viđenje. Tko god prati naše medije zna da se u praksi ta pravila zanemaruju. Ništa bolje nije ni u velikom svijetu. Vijesti se prenose na takav način da oblikuju naša uvjerenja. Zato kažemo da se vijesti proizvode, a vijesti proizvode naše stavove.

Predsjednik Trump je skrenuo pažnju javnosti na "fake news" i napao novinare kao "loše ljude". Smetaju ga "lažne vijesti" koje su uperene protiv njega. Istovremeno on sam bez problema iskrivljuje činjenice kako mu odgovara. Obraćajući se naciji, nedavno je ustvrdio da bogati demokrati koji se protive izgradnji zida na južnoj granici žive iza ograda u bogataškim naseljima gdje ih čuvaju zaštitari. Kakvi licemjeri! Nije rekao da isto tako žive i bogati republikanci, koji žele izgraditi zid. Tko je od ljudi koji su ga slušali bio u stanju prozrijeti tu manipulaciju?

U proizvodnju vijesti umiješala se u zadnje vrijeme visoka tehnologija. Današnja su računala dovoljno moćna da se fotografija, zvuk i video mogu "obraditi" na takav način da se gubi veza sa izvornim događajem, sa stvarnošću. Evo nekoliko primjera.

Da bi pokazali što sve mogu uraditi pomoću tehnologije, produkcijska tvrtka Histeria Music napravila je audio snimku na kojoj predsjednik Trump daje ostavku. Uzeli su snimku govora koji je održao bivši predsjednik Nixon kad je podnio ostavku nakon afere Watergate. Na Nixonov su tekst dodali Trumpov glas, naglasak, ritam, sve što treba.

Belgijska politička stranka Socialistische Partij Anders objavila je na Twitteru i Facebooku video u kojem Trump, u svom samodopadnom i samouvjerenom stilu, savjetuje Belgijce da "odbace Pariški klimatski sporazum, kao što ga je i on odbacio". Stranka je uradak osmislila kao provokaciju koja treba privući pažnju javnosti i navesti ljude da potpišu peticiju koja bi navela vladu da se ekološki angažira. No objava je izazvala navalu bijesa i neodmjerenih komentara. Autori su napravili hi-tech krovotvorinu, namjerno je ostavivši nesavršenom, računajući da će ljudi shvatiti da je to lažnjak, provokacija. Izgleda da su precijenili sposobnost publike da prepozna lažnu vijest, pa su izazvali skandal i bili prisiljeni ispričavati se i objašnjavati svoje prave namjere.

Naša djeca kao začarana gledaju crtiće, uživljavajući se i proživljavajući priču kao da je stvarna. Mi odrasli idemo u kino, gledamo TV program, čitamo knjige, ali znamo razlikovati fikciju od stvarnosti, zar ne? Film je film, fikcija, a vijesti su nešto ozbiljno. Politika, bizins, struka, to su ozbiljne stvari. Jesmo li spremni shvatiti da su i vijesti samo "crtići", nečija priča koja nas nastoji uvjeriti u nešto što autorima odgovara? Virtualna realnost preuzima sve veći dio onog što smatramo realnošću. A posljedice su posve realne, nisu nimalo virtualne. Netko nas je nagovorio da kupimo njegov proizvod, damo glas nekoj političkoj stranci. I mi smo postali proizvod, koji je netko osmislio, izradio.

Mislite li da je ovakva izjava pretjerana?

Nedeljni Jutarnji 3. veljače donosi članak o filmu "Brexit, Uncivil War". Dominic Cummings, "čovjek koji je uvjerio Britance da napuste EU" danas se posipa pepelom i priznaje da je sve bilo duboko pogrešno. Želio je uzburkati političku scenu, "postaviti pitanja koja se karijerni političari ne usude postaviti".  Film otkriva kako je organizirana kampanja za Brexit. Korištene su usluge tvrtke koja je AI softverom profilirala korisnike društvenih mreža i slala im ciljane poruke koje su ih navodile da glasaju za izlazak iz EU. Nešto poput metode koju je koristio Trump u predsjedničkoj kampanji. Time je prekršena GDPR regulativa, pa se tvrtka Agregate IQ, kao i Cambridge Analytica koju je koristio Trump, nalaze pod istragom. Bit će zabavno ako se nakon izlaska Velike Britanjije iz EU referendum proglasi nelegalnim, radi nepoštene kampanje. Facebooku, koji je prodao podatke o svojim korisniciam, dosuđena je kazna od 500.000 funti radi povrede zaštite osobnih podataka. U međuvremenu Brexit je postao stvarnost, na iznenađenje ljudi koji su ga učinili stvarnim. Cummings danas smatra da je referendum najgluplji način odlučivanja o važnim stvarima. Film otkriva još neke zanimljivosti. Spominje se matematičar i informatičar koji je izradio softver za analizu tržišta i obogatio se vodeći hedge fond. On je financirao kampanju. Pomoću tehnologije, umjetne inteligencije, promijenio je stvarnost. Barem za sebe i svoje klijente. A birači koji su nasjeli na priču da su za sve njihove nevolje krivi stranci, imigranti i EU, sad će imati priliku saznati što se zapravo dobija a što gubi izlaskom iz EU.

I u našem malom medijskom prostoru odvijaju se  bitke za naše glasove. Kad su se skupljali potpisi protiv Istanbulske konvencije slušali smo kako je bit tog dokumenta u tome da će muškarci moći ulaziti u ženski WC! Hoće li glasači pročitati originalni dokument, da se uvjere je li to istina? Neće, naravno, ali su već stvorili mišljenje o tome. Ne damo sir i vrhnje, ne damo nasilje u obitlji, to je naša tradicija! Nedavno je objavljena fotografija ministra u škaljivoj situaciji, ali gle čuda, odmah je najavljena kao lažna, a Premijer je zahvalio novinama jer su tu laž ipak objavili iako su znali da je laž! Možda nam je ta lažna vijest u domaćim igrama prijestolja trebala odvratiti pažnju od nećega, na primjer od činjenice da je svaki stanovnik Hrvatske dosad dao 1.000 € za Uljanik, a uskoro treba dati još. Tko nas je pitao da li želimo da se tako raspolaže našim novcem? Nitko, servira nam se "činjenica" da je to u nacionalnom interesu. Uprava brodogradilišta koja je stvorila toliki dug povukla se u tišini i nikada nećemo saznati kamo je iscurio novac poreznih obveznika.

Spomenuti film o Brexitu napravljen je u maniri dokumentarca, ali je zapravo glumljen. Glumci su proveli dosta vremena u razgovoru sa stvanim ljudima koje utjelovljuju, tako da je film interpretacija koja se oslanja na stvarnost. Kao takav postavlja pitanja i daje neke odgovore, ali prije svega tjera na razmišljanje. Pokazuje kako je nečija zamisao uspješno provedena u djelo medijskim manipulacijama i korištenjem moćnog softvera.

A nama ostaje da se informiramo o novim pojavama u razvoju tehnologije. Dosad smo slušali o umjetnoj inteligenciji, strojnom učenju, sad stižu novi pojmovi, deep learning, fake news, deep fake. Mi pasivni primatelji vijesti moramo se sami obrazovati kako bismo razlikovali vijest od lažne vijesti, kako bismo shvatili da moramo biti oprezni gledajući dnevnik i čitajući novine. Iza svake vijesti stoji nečiji interes, netko nas neprestano oblikuje po svom modelu kako bi ostvario svoje ciljeve na "demokratski način", uz naš pristanak.

Reinstalirao sam računalo i krenuo nešto "izguglati". Google je odmah izbacio pop-up prozor u kojem traži da pristanem na uvjete korištenja. Spominje se GDPR i zaštita privatnosti. Google objašnjava na koji sve način obrađuje podatke o nama, nudi nam da biramo hoće li nam prezentirati ciljane reklame, koje odgovaraju našem profilu, ili ćemo dobijati nasumiične ponude? Ne možemo izabrati da nas ne profiliraju, da nam ne plasiraju reklame. Google će moći nastaviti po starom usprkos GDPR-u, jer smo mu mi dali dozvolu za to. Mi smo im dali moć nad nama svojim pristankom, jer nam je tako najjednostavnije. Jesmo li i sami postali "fake" ljudi, nečiji proizvod?

Nedavno nam se javila jedna korisnica na našoj instituciji da joj se na računalu zacrnila pozadina i da se ispisala poruka "Windows 7, verzija 7601, nije autentična". Ovo nam je bilo poprilično iznenađenje, jer je na svim računalima instalacija Windowsa uredno aktivirana.

Pretpostavili smo da se dogodila situacija koju smo imali prije nekoliko godina - da su neki aktivacijski ključevi zloporabljeni, pa ih je Microsoft blokirao. To se jednostavno rješavalo standardnom procedurom aktivacije s ispravnim aktivacijskim ključem. Tako smo i ovaj put napravili, ali došlo je do pogreške - aktivacija nije bila moguća.

Uslijedila je već poznata procedura, traženje savjeta pomoću Googlea. Naišli smo na savjet s kojim se brišu svi podaci o licenci, nakon čeka je moguća ponovna aktivacija. Stranica koja je pomogla je ova https://stackoverflow.com/questions/7759642/reset-windows-activation-remove-license-key.

Procedura je sljedeća:

1. Upisom naredbe cmd otvaramo Command prompt (Naredbeni redak), ukoliko nismo prijavljeni kao Administrator, kliknemo desnom tipkom miša i odabiremo opciju 'Pokreni kao Administrator'
2. Slijedi korištenje Windows Software Licensing Management Tool (slmgr):
1. slmgr /upk  - s ovim brišemo postojeći ključ proizvoda, a Windows prelazi u nelicencirano stanje
2. slmgr /cpky - uklanja  ključ proizvoda iz registra
3. slmgr /rearm - poništavanje statusa aktivacije, tako da se nakon ponovnog pokretanja pojavi upit za aktivaciju
3. Nakon ovoga potrebno je ponovno pokrenuti računalo. I onda upisati aktivacijski ključ, nakon čega sve radi normalno.

Na žalost, ova korisnica nije bila jedina, problem se pojavio na još nekoliko računala. Nakon malo raspitivanja i istraživanja ustanovio sam da je uzrok u nadogradnji KB 971033. To je opisano na web stranicama Microsoftove podrške. Ova pojava je zapažena još 8. siječnja 2019, a prema navodima s ove stranice napravljena je izmjena koja grešku popravlja. U ovom tekstu savjetuje se uklanjanje ove nadogradnje, što nisam pokušao jer je ranije opisano rješenje pomoglo.

Treba se samo nadati da se pogreška neće ponovno javiti.

Scena informacijske sigurnosti nikad ne miruje. Radi se o mladoj disciplini koja se trudi uhvatiti korak sa sve bržim razvojem tehnologije i izazovima koje taj razvoj donosi. Implikacije su daleko šire od same tehnologije, one su političke, ekonomske, socijalne, općeljudske. Na taj se način dotiču i nas tehničara, koji na svoj skromni način sudjelujemo u širem društvenom zbivanju. Ali možda bismo mogli u većoj mjeri doprinjeti zajednici?

Iz medija saznajemo da Rusija planira izgraditi svoj vlastiti Internet, koji bi zapravo bio Ruski intranet, baš kao što mnoge tvrtke čuvaju svoje poslovne podatke u privatnoj mreži. Kakve su tu mogućnosti nadzora i kontrole moguće, ne treba posebno naglašavati. No vlada SAD gradi Govnet, svoj vlastiti intranet, zaštićen od napada izvana. Sve u cilju poboljšanja nacionalne sigurnosti. Pa zašto onda isto ne bi mogli napraviti Rusi? Razlika je u stupnju demokratičnosti dva društva, jer vlada SAD ne brani korištenje Interneta svojim građanima, a kritičari misle da bi se to u Rusiji moglo dogoditi. Sjećate se, ženski protestni bend PussyRiot izveo je performans u pravoslavnoj crkvi protestirajući radi činjenice da su mediji pet mjeseci prije izbora već proglasili Putina pobjednikom. Nastupom u crkvi aludirale su na povezanost Putina i vodstva crkve. Osuđene su radi "huliganizma motiviranog mržnjom prema vjeri". Nakon odslužene kazne, predvidjele su i pobjedu Trumpa, objavivši protestni video prije samih američkih predsjedničkih izbora. U SAD nisu radi toga tužene ni optužene, tamo ih nisu shvatili kao ozbiljnu prijetnju poretku.

Druga zanimljiva vijest je pokušaj SAD da spriječi širenje kineske informatičko-komunikacijske tehnologije po svijetu, prvenstveno kod svojih saveznika. Huawei proizvodi se ionako ne mogu kupiti na tržištu SAD (koje propagiraju ideologiju slobodnog tržišta), ali se prodaju u EU, pa i kod nas. Na prvi pogled, mogli bismo reći da nas Amerikanci mogu špijunirati svojim telefonima i mrežnom opremom, ali nije dobro ako to rade i Kinezi. Kad bi zatražili dokaze da Kinezi to rade, ne bi ih dobili. Možda zato što bi onda dobili i dokaze o tome da i druga strana čini iste stvari?

No tehnološki obrazovan i društveno osviješten pojedinac mogao bi reći da se radi o (ne)sigurnosti ugrađenoj u samu tehnologiju, u mrežne protokole, koje može koristiti za svoje svrhe svatko tko to zna i može. Pa onda i Rusi i Kinezi, čija društva nisu tako demokratska kao naša. Nećemo se ovdje upuštati u raspravu o tome koliko su razvijene demokracije stvarno demokratske i tko tamo zapravo upravlja društvom.

Uvijek se vraćamo na činjenicu da su problemi dijelom tehnološki, dijelom socijalni, a moćna tehnologija omogućava dosad neviđene zloupotrebe. Tako na primjer saznajemo da su u naslonima avionskih sjedala ugrađene kamere. One su dio zabavnog paketa zamišljenog da skrati dosadu prekooceanskih letova. U naslonu su sa stražnje strane ugrađeni ekrani i slušalice koje dokonim putnicima nude izbor filmova. Kamera i mikrofon su skriveni dio paketa za koji avio kompanije tvrde da ih nikad ne koriste. Ali tu su, ako zatreba..Trebamo se zabrinuti nad mišlju da zapravo ne znamo u koje su sve uređaje koje kupujemo ugrađeni mikrofoni i kamere "koji se ne koriste", a tvrtke su, eto, nekim čudnim previdom zaboravile spomenuti ih u tehničkim specifikacijama.

Jedini način da se obuzda prevelika moć koju tehnologija daje odabranim grupama jest zakonska regulativa. Pretpostavljamo da ludističko razbijanje strojeva kao rješenje problema ne dolazi u obzir. Naravno, nije dovoljno donijeti regulativu, treba je provoditi, a onda i nadzirati one koji upravljaju tehnologijom, da se ne bi, u polumraku svojih zatvorenih prostorija osilili i koristili tu moć za neke svoje ciljeve.

Tko donosi regulativu? To je ključno pitanje, koje si postavlja i legendarni Bruce Schneier. Po njemu, problem je u tome da regulativu donose ljudi koji ne poznaju tehnologiju. Propise i zakone pišu i predlažu ljudi kojima javni interes nije u prvom planu. Važniji im je neki drugi interes, briga za nacionalnu sigurnost, ili za komercijalne interese, koje lobiranjem nastoje progurati. Schneier tvrdi da nam nedostaju tehnološki obrazovani ljudi koji razumiju i kako funkcionira društvo, sposobni artikulirati i nametnuti brigu za opće dobro.

Schneier konstatira da oni koji donose pravila (policy) ne razumiju tehnologiju, niti oni koji razumiju tehnologiju razumiju političku razinu rasprave. Oni govore jedni mimo drugih, a prijedlozi politika, kad se usvoje, predstavljaju katastrofu s tehnološkog stanovišta. Takva situacija nije održiva, a jedini način koji Schneier vidi kao rješenje jest da se angažiraju tehnolozi koji se zalažu za javni interes (public-interest technologists).

Ovdje se moramo na trenutak zaustaviti da bi objasnili kako u engleskom postoje dva izraza, policy i politics, koji se kod nas prevode jednim izrazom, politika. Bolje bi bilo da umjesto sigurnosna politika kažemo sigurnosni pravilnik, jer su to norme ponašanja i pravila koja važe za pojedine profesije, kodeksi, a ne političke igre moći.

Dakle, možemo li reći da Schneier ne očekuje od političara ili pravnika da razumiju javni interes i opće dobro, jer su oni opsjednuti nekim drugim prioritetima, nacionalnom sigurnošću, međunarodnim prijetnjama i slično, pa su olako spremni žrtvovati osobne slobode i privatnost svojih građana kako bi ih "zaštitili"? Schneier ističe da američki zakoni bolje štite privatnost američkih građana, ali nimalo ne štite privatnost građana ostaka svijeta. "Na vašem mjestu bio bih zabrinut!", rekao na svom predavanju na konferenciji FSEC u Varaždinu. Eto, sad imamo još više razloga za brigu, jer se u tehnološko političku igru uključuju još i Kina, Rusija i tko zna koja država.

Enkripcija je u središtu interesa, oko nje se lome koplja već decenijama. Mogu li se pomiriti na prvi pogled međusobno isključive potrebe nacionalne sigurnosti i zaštita privatnosti? Obavještajcima smeta enkripcija, oni bi željeli pratiti komunikaciju terorista i kriminalaca. S druge strane, obični građani koji ne predstavljaju prijetnju nikome ne žele da ih se nepotrebno nadzire. Sama tehnologija je tu neutralna, ali se naprosto nudi za zloupotrebe raznih vrsta, od dobronamjernih do zlonamjernih. Problem je tko će se okoristiti moćima koje nudi tehnologija? Kriminalci, teroristi, nedemokratski vlastodršci, nesavjesni pojedinci na položajima koji im omogućuju neovlašteno presretanje tuđih poruka? Hoće li sve riješiti regulativa, ako znamo da će je mnogi nekažnjeno zanemarivati?

Kod nas u domeni .hr pripremaju se još jedni izbori. Kao dio predizbornog folklora plasiraju se vijesti o tome što su sve igrači na političkoj sceni zgriješili, od prometnih nesreća do sukoba interesa, materijalne koristi, itd. Te se vijesti kao slučajno plasiraju baš u predizborno vrijeme, tako da se tu ne radi o zaštiti zakonitosti, jer bi se u tom slučaju optužbe pokrenule u vrijeme kad su prekršaji počinjeni. To su igre prijestolja u kojima sudjeluje obavještajno podzemlje, sigurnjaci koji nisu pravi profesionalci već su u službi pojedinih stranaka i moćnika. Na sceni su manipulacije mnogih vrsta. Ponešto od objavljenog je istina, ponešto poluistina, uz zlonamjerno tumačenje, ponešto vjerojatno i neistina. Žrtva može tužiti novinare, ali ako i dobije zadovoljštinu to će biti za koju godinu, kad izbori već budu daleka prošlost.

Vodeća politička snaga pred lokalne izbore je objavila rezultate ankete po kojoj će na izborima dobiti 44% glasova. Na kraju ih dobiju desetak posto manje, ali se prešućuje da je to postotak onih koji su izašli na izbore, a ne postotak ukupnog stanovništva s pravom glasa. Što ako pola građana koji imaju pravo glasa uopće ne izađe na izbore? Tada stranka koja dobije stvarnih 15% svih mogućih glasova ostvari gotovo apsolutnu vlast, predstavljajući se kao glas naroda. A oni koji izađu na izbore ali glasaju za minorne stranke samo daju legitimitet izbornim pobjednicima. Sve više mojih znanaca odbija sudjelovati u toj igri, iako su svjesni činjenice da time samo ojačavaju postojeće stanje, barem dok se ne stvori kritična masa onih koji ne izlaze na izbore. Politika je složenija od tehnike, tu nije tako lako uklanjati bugove, pogotovo one ugrađene u algoritam.

Zašto spominjemo domaće izbore u članku o informacijskoj sigurnosti? Zato što, htjeli ne htjeli tehnologija je važan dio društva, danas postaje odlučujući faktor u raspodjeli moći, a ta njena funkcija nije dovoljno osviještena i o njoj se ne raspravlja. Osnovna pismenost danas podrazumijeva razumijevanje načina na koji se koristi tehnologija, pa i stvaranje imuniteta na njene zloupotrebe.
 
Tehnolozi javnog interesa su "tehnološki praktičari koji se fokusiraju na društvenu pravednost, zajedničko dobro i javni interes". Tim Berners-Lee, otac World Wide Weba naziva ih "filozofskim inženjerima". je  je postojanje nasušna potreba ako ne želimo da se tehnologija okrene protiv čovječanstva. Citiram Bruce Schneiera: "Trebamo tehnologe javnoog interesa u raspravama o politici, u osoblju kongresa, u vladinim agencijama, u nevladinim organizacijama, u akademiji, u tvrkama, u novinarstvu. Trebamo ih uključiti ne samo u kripto ratove, već svugdje gdje se kibersigurnost i politika dodiruju, u raspravama o ranjivostima, sigurnosti izbora, pravilima koja reguliraju kriptovalute, sigurnosti IoT, big data, poštenim algoritmima, strojnom učenju, kritičnoj infrastrukturi i nacionalnoj sigurnosti. Kada proširite definiciju informacijske sigurnosti, mnoga područja spadaju u presjek kibersigurnosti i politike. Naša specifična ekspertiza i način gledanja na svijet kritični su za razumijevanja mnogih tehnoloških područja, kao što je mrežna neutralnost (net neutrality) i regulacija kritične infrastrukture. Ne bih želio formulirati javnu politiku o umjetnoj inteligenciji i robotici bez sudjelovanja tehničara specijaliziranih za sigurnost."

U svijetu postoje takve organizacije tehničara usmjerenih javnoj dobrobiti, Schneier ih spominje nekoliko: od starijih organizacija poput EFF i EPIC do novijih poput Verified Voting i Access Now.  Mnogi akademski programi kombiniraju tehnologiju i javne politike.. Medijski startupi kao što je The Markup bave se tehnološki orijentiranim žurnalizmom, prate kako korištenje tehnologija utiče na čovječanstvo. Postoje čak programi i inicijative usmjerene na javni interes unutar komercijalnih korporacija.

No Schneira brine činjenica da ljudi takvog profila naprosto nema dovoljno! Da bi javni interes bio zaštićen, trebalo bi ih biti aktivnih mnogo više nego što je to slučaj danas! Tada bi tehnologija koju koristimo bila mnogo sigurnija već po dizajnu, a mogućnosti njezine zloupotrebe bile bi mnogo manje. Schneier uporno ponavlja da tehnologija mora biti sigurna za sve, da svaki pokušaj da se napravi tehnologija koja je sigurna "za nas" a nesigurna "za njih" dovodi do nesigurnosti za sve.

Zanimljivo je pitanje da li u .hr domeni postoje društveno osviješteni tehničari koji su spremni angažirati se na promoviranju općeg dobra? O tome nemam saznanja, ako čitatelji znaju više neka podijele informacije s nama. Demokracija je ovdje još u povojima, a većina ljudi smatra da je dovoljno dati nekoj stranci glas na izborima, pa će se oni pobrinuti za sve. Nažalost, stvari tako ne funcioniraju. U zastupničkom sustavu morate paziti čije interese zapravo zastupaju ljudi kojima ste dali povjerenje. Hoće li takvo razmišljanje potaknuti nekog kolegu sistemca da se angažira u "hakiranju društva"? Više očekujem od pobornika slobodnog softvera, jer je to po sebi već način društvenog angažmana. Tko zna, možda se za početak učlane u neki NGO?

Danas je objavljena još jedna zanimljiva vijest: Rusija radi na testiranju, u Moskovskoj oblasti, elektroničkog glasanja temeljenog na blockchain tehnologiji! Hoće li u izgradnji i korištenju te tehnološke inovacije biti uključeni tehničari koji će kao sokolovi paziti na zaštitu javnog interesa?
 

Kao i svake godine travanj je rezerviran za Windays konferenciju. Navikli smo u ovo doba godine otići na sjeverni Jadran, tako da nas je sve pomalo iznenadila najava da će se ovogodišnji Windaysi održati u Šibeniku (ili kako se to u dijalektu kaže - uŽben'ku). Svima koji su prošle godine bili na CUC-u mjesto održavanja je dobro poznato - novi kongresni centar pored hotela Ivan.

Odmah možemo napisati da je ovo najbolji konferencijski prostor koji je ova konferencija do sad imala. Mnogi se još sjećaju Opatije, gdje smo u pauzama trčali između hotela u kojima su se održavala predavanja, a ručali u šatoru. U Rovinju je konferencija prvi put bila na jednom mjestu, ali je većina hotela bila daleko, pa smo ovisili o autobusnom prijevozu. U Umagu su konferencijski prostori bili u hotelima gdje smo bili smješteni, ali su bili premaleni. U Poreču se konferencija održavala na otoku, pa se puno vremena gubilo na prijevoz brodovima, a većina dvorana nije bila dovoljne veličine.

Na žalost, u Šibeniku se javio jedan veliki problem, a to je preskupi smještaj. Dok smo u Poreču imali u ponudi hotele sa cijenom jednokrevetne sobe od 410 kuna, ovdje je u svim hotelima ista cijena - 798 kuna za jednokrevetnu sobu, što je preskupo. Organizatori bi trebali dogovoriti jeftinije cijene smještaja ili mijenjati lokaciju.

Konferencija je održana po istom rasporedu kao i ranijih godina - prva dva dana poslovni dio (Business), a nakon toga tri dana tehnološki dio (Technology). Poslovni dio konferencije započeo je u utorak 2. travnja, a tehnološki dio u srijedu 3. travnja.

Nakon objave programa ostali smo neugodno iznenađeni, jer je tehnološki dio konferencije sveden na dan i po (četvrtak i petak jutro), dok je prvi dan tehnološkog dijela konferencije napravljen kao zajednički za tehnološki i poslovni dio konferencije. U stvari to se svelo na to da prvi dan konferencije nema biranja između više paralelnih predavanja, već možemo slušati samo jedno predavanje u pojedinom terminu. Ukratko, za istu cijenu kotizacije dobili smo manje.

Općeniti dojam je da je ove godine organizacija puno lošija nego ranijih godina. Puno stvari je bilo lošije nego prije - od iznenađujuće praznog konferencijskog ruksaka (koji je izuzetno slabe kvalitete) do nedostatka vode u pauzama. Puno predavanja u rasporedu objavljeno je s naslovom na engleskom jeziku što ukazuje na neozbiljnost organizatora.

Zbog velikog broja sudionika došlo je do opterećenja bežične mreže, pa je jedno jutro bilo teško prostupiti internetu i Windays aplikaciji. Kolega se požalio na Info pultu i dobio je jako zanimljiv odgovor od hostese - mreža loše radi jer vani puše jak vjetar?!? Da, puhalo je jako jugo, ali obično to loše djeluje na ljude....

Kao i svake godine, održana je centralna svečanost, koja je predstavlja zatvaranje poslovnog dijela konferencije i otvaranje tehnološkog dijela. I ovdje su se primjetili organizacijski propusti. Ovo je prvi put da je ovaj događaj bio dosadan, i da je više od polovice prisutnih napustilo dvoranu. Prisutnima se na početku s predugim govorom obratio Philippe Rogge (potpredsjednik Microsofta za regiju Srednje i Istočne Europe), a nakon njega Tatjana Skoko (direktorica Microsofta Hrvatska). Za kratki zabavni program pobrinuli su se plesači iz skupine Mirror Crew. Uslijedila je preduga panel diskusija na engleskom jeziku. A na kraju se prisutnima obratio i bivši CARNet-ovac Bernard Gršić (državni tajnik Središnjeg državnog ureda za razvoj digitalnog društva).

Ono što se najviše spominjalo na Središnjoj svečanosti, a i na zajedničkim predavanjima je umjetna inteligencija (AI). Primjećeno je da se mnogi zabavljaju sa chat botovima, a demonstraciju jednog takvog bota imali smo prilike vidjeti na Središnjoj svečanosti, naravno sa unaprijed pripremljenim pitanjima, pa su se mnogi zapitali što bi se dogodilo da neko iz publike spontano postavi neko pitanje.

Organizatori se nisu baš potrudili da nas informiraju o broju sudionika konferencije, jedinu informaciju čuli smo na otvaranju od državnog tajnika Bernarda Gršića koji je spomenuo brojku od 1800 sudionika.

Ozbiljna predavanja počela su u četvrtak (4. travnja) ujutro. Program je bio podijeljen na sedam paralelnih sekcija, tako da je i ove godine izbor bio raznolik i nije bilo vremena za malo duže pauze. Održan je i Technology Keynote na kojem su sudjelovali Tomislav Tipurić, Alen Delić, Damir Dobrić, Ivica Ivančić i Igor Pavleković. Kao i ranijih godina najzanimljvije je bilo izlaganje Alena Delića, ovaj put o pametnom javnom prijevozu, s primjerima iz Singapura. Napravljena je i zajednička fotografija svih prisutnih u dvorani, sa visoko podignutim mobitelima u rukama.

Nekoliko predavanja treba posebno istaknuti. Prvo je Šta se krije ispod haube MS Teams? Koje su održali Omar Kudrović i Zoran Cvetković. Drugi predavač nalazio se u Kanadi pa su sve korisne funkcije MS Teams prikazane u živo - bez većih problema u komunikaciji.

Zanimljivo predavanje održala je Kristina Barišić, u programu najavljeno na engleskom jeziku O365 from Yammer to PowerApps and back, for engineer, manager and cleaning lady - vidjeli smo kako su Yammer i PowerApps iskorišteni za upravljanjem problemima u poslovnim prostorima. Korisnici preko ovih aplikacija prijavljuju probleme, a upravitelj zgrade (ili jednostavnije: domar) raspoređuje zadatke tehničkom osoblju, koje svemu tome pristupa preko mobilnih telefona.

Kao i ranijih godina imali smo na raspolaganju konferencijsku valutu WinCoin, uz sve ranije nedostatke - brzo trošenje konkretnih nagrada (žetona za piće) i veliku gužvu za igranje nagradne igre za osvajanje sitnih suvenira.

Što napisati na kraju - da je organizacija bila kao ranijih godina, uz ovakve konferencijske prostore ovo su mogli biti najbolji Windaysi do sada. Puno kolega je izrazilo nezadovoljstvo s cijenama smještaja i nedostatkom kvalitetnih sadržaja na koje smo navikli na ovoj konferenciji. Nadajmo se da će ovi propusti biti ispravljeni sljedeće godine.

Naši mobiteli, tableti, prijenosna računala i USB stickovi naša su privatna oprema, prepuna osobnih podataka, bankovnih, zdravstvenih, poslovnih, poruka i korespodencije koje su samo za naše oči. Te sprave nosimo sa sobom na godišnji odmor, na službeni put, kad idemo popiti kavu, jer jedva čekamo da se spojimo na mrežu. Nitko ne bi smio pristupiti našim uređajima, osim policije s valjanim sudskim nalogom. Tako misli većina od nas. No postoji izuzetak, mjesto na kojem su osobne slobode manje zaštićene, a to su državne granice. Na ulazu u SAD prilikom carinskog pregleda mogu od vas zatražiti da im omogućite pristup sadržaju računala. Što učiniti u tom slučaju?

Iako priča nije nova, nedavni događaji doveli su je još jednom u fokus. Državljan SAD, nekadašnji tehnički direktor Mozille, Andreas Gal, zadržan je i maltretiran na granici. Nakon ispitivanja i ozbiljnih, nepotkrijepljenih optužbi, rečeno mu je da nema pravo na odvjetnika i traženo da "otključa" svoj pametni telefon i računalo. Dogodilo se to krajem 2018. na aerodromu u San Franciscu. Odbio je "otključati" svoju opremu bez konzultacije s poslodavcem i odvjetnikom, na što mu je službenik citirao članak zakona koji kaže da svaka osoba koja nasilno napadne državnog službenika, odupire mu se, prijeti i ometa ga u obavljanju dužnosti čini krivično djelo.

Gal je borac za ljudska prava, radio je na zaštiti privatnosti i enkripciji, a nedavno je javno iznio svoje protivljenje predsjedniku Trumpu i njegovoj imigracijskoj politici. Gal kaže da nije jedini aktivist koji je maltretiran na granici, uvjeren je da pogranična policija ima popis aktivista i uvid u njihove biografije, jer su mu postavljali vrlo konkretna pitanja o njegovoj karijeri. Pogranična kontrola nerijetko postupa grubo s imigrantima, strancima, ali sad primjenjuju slične metode i prema odabranim građanima SAD.

"Ako su me željeli preplašiti, uspjeli su u tome", kaže Gal. "Prorijedio sam putovanja u inozemstvo, srce mi lupa svaki put kad prolazim carinsku kontrolu. Ali neće me utišati!"

Prisjećam se intervjua s glazbenicima nove postave bosanske grupe "Zabranjeno pušenje". Na turneji po SAD često su koristili avio prijevoz. Aerodromski sigurnjaci uvijek su, slučajnim odabirom, izdvajali člana grupe koji ima muslimansko prezime. Jednom prilikom, nakon što ga je krupni crni policajac nabio na zid i cijelog ga prepipao, nakon čega nije ponudio nikakvu ispriku ili gestu koja ukazuje na pristojnost, momak mu je rekao: "E moj jarane, s ovakvim manirima nećete vi tako skoro u Europsku Uniju!" Mislim da policajac nije imao razumijevanja za Bosanski humor.

Dok pišem ovaj članak, na TV prikazuju kako policija iznosi Assangea iz Ekvadorske ambasade u Londonu, a Ekvadorski ambasador iznosi smiješnu patetičnu priču kojom nastoji opravdati činjenicu da je njegova zemlja morala popustiti pred pritiskom moćne Amerike. Kao oni su gostoljubiva zemlja, ali Assange ih je kritizirao! Drugim riječima, sam je kriv! Pobornika istine i transparentnosti jedni slave kao heroja ljevice, drugi ga nazivaju običnim izdajnikom. U svakom slučaju, njegovo izručenje pokazuje koliko je opasno zamjeriti se moćnoj državi.

Dok se Hrvatska pripremala za ulazak u EU, pričali su nam o slobodi kretanja kao jednom od glavnih argumenata za pridruživanje zajednici. Brzo smo se navikli da granice unutar EU možemo prelaziti s osobnom iskaznicom, a države koje su unutar Schengena niti ne provjeravaju dokumente na granici. Zvuči utopijski, ali šetnja preko granice bez legitimiranja i pregledavanja prtljage postala je nešto uobičajeno. EU je postala primjer ostatku čovječanstva, pokazujući da je moguć život u obilju, s dobrom zdravstvenom zaštitom, dobrim školama, uređenim odnosima među državama, poštivanjem ljudskih prava.

A onda su na vanjske granice EU pohrlile tisuće izbjeglica iz siromašnih, zaraćenih država Azije i Afrike. Jedinstvo država unutar EU našlo se na kušnji. Dok je Njemačka predsjednica spremno otvorila granice ljudima u nevolji, nove članice zajednice uplašile su se tolike navale. Javljaju se pokreti suverenizma, čuvanja vlastitih vrijednosti, zatvaranja granica. Politika zatvaranja prevladala je i u Velikoj Britaniji, koja se na referendumu odlučuje za izlazak iz Unije, pri čemu je jedan od odlučnih argumenata bila upravo želja da sami odlučuju o prihvatu izbjeglica, koji ugrožavaju radna mjesta domaćim radnicima.

U povjesti su se i ranije događale migracije. Naši su preci, Germani i Slaveni, došli iz Azije. Asimilirali su domaće stanovništvo, stvorili carstva, pretvorili ih u nacionalne države, srušili feudalizam, oslobodili kmetove, uveli demokraciju, opće pravo glasa, pokrenuli znanstvenu i industrijsku revoluciju i od tada stalno napredujemo. Doduše, uspjeli smo preživjeti dva svjetska rata i totalitarne režime, nakon čega još više cijenimo miroljubivu suradnju. No što je s ostatkom svijeta?

Nedavno sam saznao da na Filipinima još postoji kmetstvo. Seljaci obrađuju zemlju u vlasništvu veleposjednika, koji imaju svoje privatne vojske kojima kmetove drže u pokornosti. U isto vrijeme država je naizgled demokratska, imaju višestranačje, izbore. No kmetovi se uzalud bore da im se dodijeli u vlasništvo zemlja koju obrađuju već generacijama, zemlje koja je bila njihova prije nego su postali španjolska kolonija. U Europi je zemlja podijeljelna seljacima još 1848!

Spomenimo još da se u Africi događa eksplozija stanovništva, tako da pravu navalu na granice EU tek možemo očekivati. Kao što naši ljudi idu gdje im je bolje, u Njemačku ih, kažu, ode pedesetak tisuća godišnje, tako i Afrikanci idu za boljim životom. Mi Europljani morat ćemo se bolje organizirati i smisliti zajedničku strategiju koja će omogućiti bolje nošenje s migrantskom krizom.
Migracije velikih razmjera nisu spontane, netko njima upravlja. EU ne smije dozvoliti da bude puka žrtva zbivanja kojima netko drugi upravlja.

Klaustrofobija i optuživanje stranaca da su krivi za naše probleme neće riješiti ništa - nisu krivi migranti, nego loša situacija u njihovim zemljama. Dok se to ne riješi, ništa od svjetskog mira i života u raju. Uostalom, kako bi Europljani mogli živjeti u raju, ako ostatak svijeta skapava u bijedi?

Osjećali smo potrebu da se ukratko osvrnemo na širi kontekst kako bi bolje razumjeli probleme sa zaštitom privatnosti na granici. U isto vrijeme, ne želimo postati žrtve sumnjičavosti nekog službenika koji je čvrsto uvjeren da vježbanjem strogoće štiti svoju domovinu. Što učiniti da svima pojednostavimo život?

U tome nam može pomoći sjajan priručnik koji je objavila EFF, dostupan na ovom linku kao i savjeti Brucea Schneira o tome kako zaštiti svoj notebook.

Ukratko, na granicu ne treba nositi računalo i mobitel ako na njima imate podatke za koje ne želite da ih drugi gledaju. Ili ćete sve počistiti prije puta, ili još bolje ponijeti, ako možete, laptop/pametni telefon/tablet koji je nov, samo s minimalnom instalacijom, bez ikakvih podataka. Isto se odnosi na USB stickove ili slične medije na kojima spremate svoje prezentacije, CV, članke, što god. Te bi materijale trebalo kriptirati i/ili ih držati u cloudu.

No stvari nisu tako jednostavne. Ako ste podesili laptop da pamti zaporke i automatski otvara pristup cloudu, mailu, webu vaše tvrtke i slično, u nevolji ste. Ako vam je disk na laptopu kriptiran, na granici mogu od vas tražiti šifru za otključavanje. U slučaju da odbijete mogu vam uskratiti ulaz u SAD. Propade vam putovanje, poslovna prilika ili godišnji odmor, propade uložen novac i vrijeme. Sve zato jer naivno vjerujete u privatnost i ljudska prava!

Bez obzira na pritisak koji na vas vrše granični službenici, shvatite to kao psihološku igru, nastojanje da vas slome i iznude pristanak. Ne smijete ni u kom slučaju izgubiti živce i početi vikati, zahtijevajući svoja prava, jer će ispasti da ste agresivni prema službenoj osobi i ometate je u obavljanju posla. Zato pamet u glavu, ponašajte se s poštovanjem, ali jasno i smireno iznosite svoje stavove i argumente. I nemojte se izvlačiti humorom, jer ćete brzo shvatiti da vaši sugovornici apsolutno ne razumiju bosanski humor i sve što kažete shvaćaju doslovno.

Najbezbolnije ćete proći ako slegnete ramenima, uključite računalo na kojem nema ničega osim operacijskog sustava. Neka ga proučavaju do mile volje! Malo je škakljivo s mobitelom, ako ga odnesu u drugu prostoriju mogu klonirati SIM karticu bez vašeg znanja. Zato bi bilo dobro za put koristiti svježu karticu. Svoj regularni SIM ostavite kod kuće, ili ga ponesite u prtljazi, tako da ga možete ubaciti kad je granica već pređena.

Najjednostavnije bi bilo naprosto ostaviti laptop kod kuće! Razmislite o tome, možda se možete snaći i bez njega. S mobitelom je već teže, zašto se odreći komunikacije s bližnjima?

Još jednostavnije bilo bi uopće ne putovati! Čemu gnjavaža, kod kuće vas nitko neće tretirati kao mogućeg terorista! :)

Kad objavljujete nešto na Facebooku, možda biste mogli triput razmisliti da li će to privući pažnju neke obavještajne agencije. Nemojte se ni za živu glavu zalagati za ljudska prava, privatnost, transparentnost, slobodu novinarstva i slične teme koje se neće svima dopasti. Ni za živu glavu ne spominjite Assangea ili Snowdena! Radije objavljujte samo fotografije ćevapa koje ste tog dana pojeli. To je neutralno i neće vas uvaliti u nevolje.

Šalimo se, naravno, ali samo napola. Dok sam radio na Srcu slali su me na edukaciju. Mogao sam sam birati i predlagati konferencije na koje ću ići. Uvijek sam birao one koje se održavaju u Europi. Ne zato što ne bih rado upoznao i SAD, već zbog gnjavaže pri dobijanju vize, a i mogućnosti da nekome zapnem za oko na graničnoj kontroli. Nije da ja nekoga ugrožavam, ili da imam štogod skrivati, ali zar nije bolje otputovati u prijateljsku zemlju, članicu EU, gdje će me lijepo primiti, biti ljubazni prilikom kontrole, a i u EU ima mnogo toga što treba vidjeti, naučiti!

Vi odlučite sami, ali prije puta se pripremite, poslušajte savjete EFF. Sretno vam bilo, na putu i na granici!

Kroz ruke sistemca prolaze mnoga računala, uglavnom završe na radnom stolu kad se pojavi problem. Tako je prije nekoliko mjeseci korisnik donio notebook koji je iz čista mira prestao raditi. Ne podiže se operacijski sustav. Računala brzo zastarjevaju, čak i kad dobro rade ne mogu se mjeriti s novijim modelima. Zato je, uz dijagnostiku problema, dobro saznati datum proizvodnje, kako bi mogli donijeti odluku o tome da li ga se uopće isplati popravljati?

Na stolu je zanimljivo računalo, HP Elitebook s mobilnom verzijom i7 procesora, 4 GB RAM-a, SSD diskom, ekranom osjetljivim na dodir koji se može rotirati, preklopiti tako da se računalo pretvara u tablet (doduše malo podebljan, jer je tipkovnica skrivena ispod ekrana). Na prvi pogled, isplati ga se osposobiti, dobar dio novih laptopa u trgovinama ima slabije performanse.

Korisnik je uredno radio backup na vanjski USB disk, tako da mu ne treba spašavati podatke. Bravo! Rijetki su tako mudri i pouzdani korisnici.

S USB sticka pokrećemo Linux, radimo testove hardvera. Memorija je ispravna, grafika radi bez greške, na tipkovnici nekoliko tipki ne reagira na prvu, touchpad je ispravan, na SSD disku ima nešto loših blokova. Ako uzrok problema nisu neke "podivljale" zakrpe, najvjerojatnije se radi o grešci na disku. Pitamo koliko je računalo staro, koliko je dugo bilo u upotrebi? Korisnik se ne sjeća kad ga je kupio, ali bilo je to davno.

Prisjećamo se da HP uključuje u serijski broj nekoliko znamenki koje ukazuju na datum proizvodnje. Evo kako izgleda tipska naljepnica HP prijenosnika:



A evo i snimke naljepnice na poleđini našeg Elitebooka:



Da bi otkrili godinu proizvodnje, treba pronaći četvrtu znamenku serijskog broja, u ovom slučaju to je broj 1. S obzirom da smo u drugoj deceniji, to bi bila godina 2011. Naredne dvije znamenke su redni broj tjedna, u našem slučaju to je 19. Ako u kalendaru uključimo prikaz rednog broja tjedna i vratimo se u 2011-tu, vidjet ćemo da se radi o drugom tjednu svibnja 2011. Dakle, u trenutku kad ovo pišem bliži se dan kad će Elitebook napuniti punih osam godina! Trogodišnja garancija mu je odavno istekla.

Vlasnik odmah postavlja pitanja. Zašto je za godinu rezervirana samo jedna znamenka? Otkud znam da se radi o 2011-toj? Zašto ne 2001? Zašto netko za koju godinu ne bi mogao tvrditi da je godina proizvodnje 2021? Odgovaram da u HP-u ne računaju na to da bi notebook trajao cijelu deceniju! Sve preko 4 godine dobitak je za vlasnika, a gubitak za proizvođače hardvera i softvera koji željno očekuju da mi kupci odriješimo kesu za neke nove verzije.

Vraćamo se na razgovor o konkretnom računalu. Problem je najvjerojatnije u tome da je SSD disk počeo pokazivati znakove otkazivanja. Znamo da je broj upisivanja u memorijske ćelije ograničen, te da software na uređaju brine o tome da se opterećenje jednoliko rasporedi, pazeći da se neke ćelije ne bi opterećivale više od ostalih. Isto tako, softver automatski isključuje iz upotrebe "loše sektore", kako obično kažemo, iako znamo da na SSD-u nema ni traka ni sektora. Osam godina je lijepa starost kako za notebook, tako i za SSD disk. Korisnik pita zašto ne obavimo test diska, odgovaram da će to samo skratiti vijek trajanja memorijskih ćelija.

Sad kad smo saznali starost računala započinje rasprava o tome isplati li se popravljati tako staro računalo. Ja sam protiv toga, novo računalo je uvijek bolje od staroga, ali korisnik je odlučan, želi zadržati računalo s kojim je tako dugo bio zadovoljan, a cijene SSD diskova su sada već pristupačne.

Iz ladice vadim SSD od 120 GB, korisnik se slaže da mu je to sasvim dovoljan kapacitet. Otvaramo računalo (što nije ispalo trivijalno, mnogo je vijaka na donjoj strani, nisu svi jednake dužine pa treba paziti da pri sastavljanju ne napravimo zamjenu i oštetimo matičnu ploču). No čeka nas iznenađenje. Novi disk je fizičke veličine 2,5 inča, a onaj ugrađen u notebook je manji, 1,8 inča!

Na webu nalazimo dva tri domaća trgovca koji u ponudi imaju SSD od 1,8", ali nitko ih nema na lageru. Rasprodali su ih, neće naručiti nove jer je potražnja mala. Mogu se naručiti iz Kine, ali cijena je mnogo veća od 2,5" istog kapaciteta. Ako na to dodamo carinu, poštarinu, ne isplati se. Korisnik je spreman preuzeti rizik, platiti cijenu. Nastojim ga odgovoriti. Računalo je staro, pregrijava se, uskoro će se pokvariti nešto drugo, a onda će ostati sa skupim diskom kojeg nema kamo ugraditi. Svejedno, korisnik ustraje na tome da bi kupio novi disk od 1,8", pa koliko košta da košta! No trebat će čekati na isporuku, a na čemu će u međuvremenu raditi?

Ispričam mu svoje iskustvo. Imao sam Thinkpad T42, originalni IBM-ov, koji su "ajbiemeri" radili za sebe. Čvrst, s odličnom tipkovinicom, otpornom na polijevanje tekućine, legurom magnezija koja čuva ekran, hladilom od titana, bešumnim ventilatorom itd. its. Služio me bez greške skoro šest godina, a onda je postao prespor za nove Windowse. Dva memorijska čipa po 512 MB zamijenio sam s dva nova po 1 GB, zamijenio tvrdi disk većim. Pojačano računalo služilo me još pola godine, a onda se nešto drugo pokvarilo. Dao sam ga prijatelju koji preslaguje stara računala i poklanja ih ljudima koji si ih ne mogu priuštiti. Ukratko, ulaganje se nije isplatilo, bolje bi mi bilo da sam taj novac dao za novi notebook.

Na kraju razgovora s korisnikom postižemo kompromis. Preformatirali smo postojeći disk, instalirali OS, vratili podatke s backupa. Pobrinuli smo se i hardware, očistili ventilator, zamijenili termalnu pastu na CPU. Sad radi tiše, manje se zagrijava. Neka računalo radi dok radi, a onda ćemo odlučiti što dalje.

Od tada mi se korisnik više nije javlja, jer mu računalo radi dobro. Neka tako i ostane. Do daljnjega. Možda elitni notebook doživi i devetu?!

Vrijeme će pokazati da li se isplati održavati tako staro računalo. Korisniku sam preporučio da nastavi redovito raditi backup podataka i neka odmah počne štediti novac za novi notebook, tako da ga može kupiti čim mu se Elitebook ponovo pokvari.

Razgovaram o tome s kolegom koji je godinu dana stariji od mene. Okrenuo je priču na šalu, kaže mi da je njemu istekla garancija kad je napunio trideset petu, a sad gura dalje dok ide. Dodaje da je problem naše generacije u tome što imamo zeznut JMBG, naš vlastiti "serial no", ali tu nema pomoći. Jednog će dana netko odlučiti da se više ne isplati ulagati u nas, pa će nas zamijeniti mlađim, moćnijim modelom. A onda mi je zapjevao pjesmu Bijelog dugmeta: "Baš je gnjavaža u životu doživjeti stotu."

Opća uredba 2016/679 Europskog parlamenta i vijeća od dana 27.4.2016 o zaštiti pojedinca u vezi s obradom osobnih podataka i o kretanju takvih podataka morala se provesti do 25.5. 2018. godine, kako u Hrvatskoj tako i u cijeloj EU. Potražili smo primjere iz prakse koji pokazuju u kojoj se mjeri zaštita osobnih podataka provodi u praksi.

Volimo snimati mobitelima, a nije loše ni spremiti kopiju fotografija u oblak, za slučaj da se sprava pokvari, izgubi. Upravo takvu uslugu pruža tvrtka Ever, koja besplatno čuva fotografije svojih brojnih korisnika. Nudi se i izrada albuma, kako bi se uspomene prelistavale kao u dobra stara vremena. Kako to već biva, kad je nešto besplatno, onda tu mora biti neka kvaka 22.

Doduše tvrtka nudi i komercijalnu verziju svoje usluge, za 12$ mjesečno može se spremati fotografije visoke rezolucije i filmove. Čini se da pri besplatnoj verziji smanjuju veličinu datoteka, a time i kvalitetu snimaka, što mnogima neće previše smetati.

No mnogima će smetati kad saznaju da ista tvrtka razvija softver za prepoznavanje lica, koji prodaje privatnim tvrtkama, policiji i vojsci. Za testiranje softvera koristili su fotografije svojih klijenata, a da ih o tome nisu ni obavijestili ni tražili privolu. Ako se nešto može bez ikakve sumnje smatrati osobnim podatkom, onda je to fotografija osobe. Pa kako se onda tvrtka usuđuje koristiti osobne podatke bez pristanka vlasnika, kršeći pri tom zakon? Vjerojatno su smatrali da će proći ispod radara, nitko se neće buniti ako ne zna.

Opet se moramo pitati koliko je korisnika pročitalo ugovor prije nego je skinulo aplikaciju i dalo svoj pristanak. Ti su ugovori, uvjeti korištenja, namjerno pisani nerazumljivim pravnim jezikom, opsežni i do zla boga dosadni, tako da se malo tko potrudi da ih pročita do kraja, a kamoli da ih razumije.

Eto ideje za pobornike slobodnog softvera! Zašto netko ne bi napisao aplikaciju koja će prožvakati takve ugovore i za radoznalog korisnika izbaciti kratak i jasan sažetak? Na primjer: prihvaćanjem ovog dokumenta odustajete od bilo kakvog zahtjeva za odštetom. Tvrka može koristiti vaše podatke za različite analize, a rezultate tih analiza može prodavati trećoj strani bez vašeg znanja i pristanka. Itd. its.

Zanimat će vas barem kako tvrtka štiti svoje servere, hoćete li izgubiti svoje slike u slučaju neke havarije, što ako se netko neovlašten dočepa vaših fotografija? Sve je uzalud ako ste potpisali ugovor kojim ste tvrtki dali sva prava a sebi ih uskratili.

Nisu sve tvrtke tako beskrupulozne. Kažu da je Apple, kad je razvijao aplikaciju za prepoznavanje lica, tražio pristanak od svojih korisnika i čak ih obeštetio. Tu je na djelu tvrtka koja razmišlja dugoročno i zna koliko su joj njezini kupci vrijedni. Ozbiljan posao ovisi o povjerenju i lojalnosti kupaca. Nasuprot tome, netko može pokrenuti biznis radi prikupljanja podataka na kojima može zarađivati, a tvrtku ugasiti u trenutku kad mu postane teret. Imate li iskustva s web siteovima koji nestaju preko noći, bez objašnjenja, bez obaveze prema korisnicima, bez rizika da će ih netko tužiti i zatražiti odštetu? Trebalo bi nas zanimati s kim imamo posla, prije nego donesemo odluku o tome da postanemo korisnici.

Donošenje zakona koji štite osobne podatke svakako je civilizacijski korak naprijed, ali od toga nema koristi ako se tih zakona nitko ne pridržava. Nema vajde od zaštite koju nam pružaju zakoni niti ako korisnici ne čitaju ugovor s proizvođačem. Na kraju, nema koristi od zaštite ni ako prekršitelji prolaze nekažnjeno.

Infosecurity magazine prenosi da je od 11.468 prijavljenih slučajeva gubitka osobnih podataka u godinu dana izrečeno svega 29 kazni, iliti jadnih 0.25%! Da stvar bude još gora, kazne nisu izrečene po GDPR-u, već po ranijem zakonu, Data Protection Act iz 1998. Radi se o Ujedinjenom kraljevstvu, gdje se gubici podataka prijavljuju ustanovi pod nazivom the Information Commissioner’s Office (ICO), što bi bila njihova verzija naše Agencije za zaštitu osobnih podataka. Na upit novinara zašto je tako malo izrečenih kazni, ICO odgovara da oni prije svega djeluju preventivno i nastoje educirati društvo, a kazne izriču u krajnjem slučaju, kada se radi o pravnim subjektima koji se opetovano oglušuju o propise i ponavljaju iste prekršaje. Dakle s tvrtkama postupaju kao s malom djecom koju najprije treba naučiti lijepom ponašanju, a kažnjavati ako baš ne ide drugačije.

Tehničari vole tehnička rješenja problema. Zar bi bilo teško dizajnirati takvu bazu podataka u kojoj bi se za svaki podatak zabilježilo tko mu je vlasnik, koja su ograničenja pristupanju i korištenju podataka. Vlasnik podataka mogao bi dobiti obavijest o tome da su njegovi podaci obrađivani u nekoj analizi tržišta, tko je to proveo, da li su pri tom prekršena njegova prava, ili da ima pravo tražiti odštetu? Zamislite da vam u inbox sjedne poruka o tome da je netko neovlašteno pristupio vašim podacima? Istu takvu poruku mogao bi automatski dobiti i AZOP, MUP, ili već netko treći čija je dužnost zaštita građana i provođenje zakona. Utopija, ili samo još jedan zadatak koji tehničari mogu odraditi bez većih problema?

Pitanje je postoji li interes da se tako nešto provede? Ili je još jači interes da se, bar još neko vrijeme, dozvoli lov u mutnom. Naše podatke vrebaju ne samo beskrupulozni poslovni subjekti, nego i obavještajci raznih vrsta, dobronamjerni i nedobronamjerni. Pa zar nedavno nismo mogli čitati da ugledni političar (navodno) čita poruke svoje bivše supruge? Zar nisu procurili mailovi o grupi Borg, kojima se djelovalo na javno mnijenje, pale su ostavke i smjenjivanja, a kao nebitno se zanemaruje pitanje da li su te poruke procurile na zakonit način, ili "na crno". Nitko nikad neće odgovarati ako se radi o ovom drugom slučaju, kao da je normalno da svakoga prisluškuju i špijuniraju, naprosto zato jer nam to tehnologija omogućuje, zakoni se provode selektivno, a interesi su jači od svega, od zakona, od morala, od ljudi?

Mnogo pitanja, mnogo mogućih odgovora. No već je i pravo da se takva pitanja postavljaju nekakav civilizacijski iskorak, kao i zakoni koji se donose u EU, makar na njihovu primjenu morali strpljivo čekati.

No možda među čitateljima ima dobrovoljaca koji su spremni uložiti trud i vrijeme u hakiranje društva? Zanima li nekoga izrada aplikacije koja bi vlasnike podataka obavještavala o tome kako se njihovi podaci koriste? Ili izrada AI programa koji prevodi nečitljiv pravni jezik na ljudima razumljiv govor?

Instalirali smo Javu i Tomcat na CentOS, odradili osnovne provjere funkcionalnosti (vidi: https://sysportal.carnet.hr/node/1834)... sve je ok. Vrijeme je da razmislimo kako ćemo zaštititi našeg Mačka od napada s mreže. 

Tomcat uživa status softverskog uratka s vrlo malo evidentiranih ranjivosti, još tijekom instalacije primijenili smo neke bazične mjere zaštite (npr., primjena tar.gz paketa i servisnog računa) pa sada, ako smo mu namijenili neki posao u lokalnoj mreži, možemo odmah prijeći na prihvat aplikacija. S druge strane, opslužuje li naš web server klijente koji dolaze s nesigurnih mreža, bilo direktno ili indirektno (kroz reverzni proxy), imamo dodatnog posla, posebice ako su podaci koji cirkuliraju na relaciji klijent <-> Tomcat klasificirani nekim internim ili zakonskim normama.

Sigurnosno zbrinjavanje Tomcata svakako trebamo započeti primjenom smjernica izloženih na adresi http://tomcat.apache.org/tomcat-9.0-doc/security-howto.html, većina ih je razumljiva i lako provediva. Mi ćemo se fokusirati na varljivo jasne savjete i primjere, naime, tijekom njihove implementacije pojave se razne dileme ili stvar jednostavno ne radi. Guglanje pomaže, svakako, ali samo ako smo voljni studirati prikazanu građu - pažljivo čitati, uspoređivati i isprobavati savjete jer ima ih svakojakih. Kakogod, vaš autor se prihvatio tog posla, slijedi provjereno štivo na temu zaštite Tomcata 9.x.

1. Zbrku kontradiktornih savjeta glede možebitnih napada kroz port TCP 8005 na kojem Tomcat očekuje naredbu za prestanak rada, i kako tome doskočiti, rasplest ćemo nižim smjernicama:

• nije potrebno mijenjati defaultni port - on prihvaća konekcije samo s loopback adaptera, iznutra; također, redovito je zatvoren vanjskom svijetu lokalnim ili mrežnim vatrozidom;
• potrebno je promijeniti izraz SHUTDOWN u nešto osobito jer taj izraz je u stvari lozinka a bez nje niti jedan user-mode proces ne može isključiti Tomcat kroz port 8005;
• u specifičnim situacijama, recimo da Tomcat opslužuje klijente s ovećim pravima neophodnim za razvoj aplikacija, možemo i onemogućiti taj port u conf/server.xml: <Server port="-1" shutdown="L0z1nka">. Sada Tomcat može spustiti samo superuser naredbom kill, uočite, to je još uvijek regularni način stopiranja procesa.

2. Security Lifecycle Listener, u conf/server.xml predstavljen elementom <Listener className="org.apache.catalina.security.SecurityListener"/>, onemogućen je kako ne bi ometao inicijalno postavljanje Tomcata. Naime, on sprječava podizanje web servera ukoliko nisu zadovoljeni određeni sigurnosni preduvjeti jer tada, po mišljenju ASF-a, njihov produkt postaje isuviše nezaštićen. Nažalost, niti nakon višednevnog rovarenja po Webu nisam pronašao pregled svih provjera koje odrađuje, no to nije razlog da ga ignoriramo. Znači, kad obavimo osnovnu konfiguraciju Tomcata, uključit ćemo ga, restart, pa ako se Tomcat ne digne zavirit ćemo u conf/catalina.out da vidimo što nam zamjera.

3. Kad jednom upogonimo alate Manager i Host Manager, u conf/tomcat-users.xml imat ćemo lozinke admina Tomcata u čitljivom obliku. Neugodna situacija ali, srećom, riješiva jer su nam ASF-vci omogućili digestiranje tih lozinki uporabom algoritama klase SHA-2. Upareno s dodatnim Tomcatovim kontrolama, rješenje zadovoljava i high-security normu ukoliko su lozinke oblikovane "po pravilima službe" (ukratko, ekstradugačke i kompleksne). U primjeru što slijedi provući ćemo lozinku L0zin-ka: admina Tomica kroz SHA-512 hashing funkciju (uključeno je soljenje hasha), usput se suprotstaviti brute force napadima probijanja lozinke.

a) Izgled conf/server.xml nakon podešavanja defaultnog virtualnog hosta za sprječavanje brute force napada i za digestiranje lozinki korisnika upisanih u conf/tomcat-users.xml.

<Engine name="Catalina" defaultHost="localhost">

<Realm className="org.apache.catalina.realm.LockOutRealm" failureCount="3" lockoutTime="1800">

<Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase">

<CredentialHandler className="org.apache.catalina.realm.MessageDigestCredentialHandler" algorithm="SHA-512" />

</Realm>

</Realm>

b) U komandnoj ljusci, u /bin direktoriju, zadajemo:

./digest.sh -a SHA-512 -h org.apache.catalina.realm.MessageDigestCredentialHandler L0z1n-ka:

Naredba će prikazati digestiranu lozinku, taj podulji niz kopiramo u conf/tomcat-users.xml (vidi naredni korak)

c) Izgled tomcat-users.xml nakon zamjene Tomičine tekstualne lozinke digestiranom:

<role rolename="admin-gui"/>

<role rolename="admin-script"/>

<role rolename="manager-gui"/>

<user username="tomica" password="47744d3e8a...(itd.)...33dcc94" roles="admin-gui,manager-gui"/>

<user username="tadmin1" password="Naze1e-Nad01i.." roles="admin-script"/>

<user username="tadmin2" password="Mual1:Schep0n1a" roles="manager-gui"/>

Nadalje Tomica tijekom ulogiravanja upisuje lozinku L0z1n-ka:, kao i ranije. Pogriješi li više od triput, bit će mu onemogućen pristup daljnjih pola sata; događaj se bilježi u conf/catalina.out pa možemo definirati alert.

4. Tuneliranje i enkripcija HTTP prometa danas je podrazumijevani oblik računalne komunikacije. TLS nam treba i za komercijalne aplikacije i za Tomcatove "webolike" admin alate. Pravilo je, naime, da se u okolinama visoke razine zaštite podataka i samog sustava TLS primjenjuje i na relaciji proxy -> Tomcat, znači, Mačak zaprima konekcije na port TCP 8443. Zaštita HTTP sesija ka Manageru i Host Manageru, složit ćemo se, neupitna je potreba.

Prvo ćemo kreirati keystore, datoteku-skladište digitalnih certifikata. Za potrebe Tomcata koristimo Finin demo (besplatni) certifikat imena devs.fina.hr u .pfx formatu. Certifikati CA-eva Finine Demo PKI infrastrukture javno su dostupni - moraju biti - pa smo i njih skinuli, u .cer formatu, na admin stanicu. Nećemo se zamarati vrijednim ali zahtjevnim Openssl i Keytool alatima; na svoju stanicu - svejedno je li pod Windows ili Linux OS-om - instalirali smo besplatan i susretljiv KeyStore Explorer. Kreirat ćemo PKCS #12 keystore jer je napredniji od .jks formata.

• Create a new KeyStore > odabrati format PKSC #12
• Tools > Import trusted certificate > importirati certifikat Fininog root CA
• Tools > Import trusted certificate > importirati certifikat Fininog issuing CA
• Tools > Import key pair > PKCS #12 > importirati TLS certifikat (plus lozinka kojom štitimo privatni ključ) > postaviti lozinku
• pokrenuti proceduru spremanja, ime neka bude devs-kstore i postaviti lozinku kojom štitimo tu datoteku (na slici)
• kopirati devs-kstore na CentOS u /opt/tomcat9/tomcerts/ + primijeniti na tomcerts chown -R u korist računa tomsvc.

Slijedi pipaviji posao - osposobljavanje Tomcatovog defaultnog hosta "localhost" za prihvat HTTPS konekcija. Napravimo si rezervnu kopiju datoteke conf/server.xml, potom u editoru poput Nano otvorimo izvornu server.xml i krenemo s modifikacijama.

a) Pametni kakvi jesmo, već smo shvatili da smo samo zaboravna ljudska bića, utoliko, prvi zahvat je u stvari podsjetnik i za nas i za naše kolege; ispod elementa <Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true" definiramo mrežno ime defaultnog virtualnog hosta.

<Alias>devs.fina.hr</Alias>

.... kod ....

</Host>

b) Zakomentiramo ili izbrišemo postojeći konektor za HTTPS konekcije, prepoznatljiv je po atributu <Connector port="8443", i umjesto njega ukopiramo niži tekst, to je HTTPS konektor konfiguriran za TLS 1.2 konekcije. Svakako pobrišemo oble zagrade i sve što je u njima jer to su pojašnjenja, dio su ovog članka a ne konektora.

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

maxThreads="400" (atribut se redovito navodi jer služi za fino ugađanje Tomcata)

enableLookups="false" (doprinosi performansama)

SSLEnabled="true" (obavezno za TLS konekcije)

scheme="https"(obavezno za TLS konekcije)

secure="true"(specifičan atribut, vidi dokumentaciju HTTP konektora)

sslProtocol="TLSv1.2"(namećemo zadnju općeprihvaćenu verziju TLS protokola)

sslEnabledProtocols="TLSv1.2"(namećemo zadnju općeprihvaćenu verziju TLS protokola)

honorCipherOrder="true"(prepreka napadu naguravanja ranjivih algoritama)

ciphers="TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,

TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,

TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384,

TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256,

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA"

keystoreType="PKCS12"(default je JKS pa ovo moramo navesti)

keystoreFile="/opt/tomcat9/tomcerts/devs-kstore"

keystorePass="Zap0rka!" />

Atribut Ciphers (specificira algoritme zaštite TLS konekcije i podataka u transportu) neozbiljno je popratiti kratkim komentarom, nije na odmet upoznati se s ovim štivom: https://www.owasp.org/index.php/TLS_Cipher_String_Cheat_Sheet. Usput, upravo smo se OWASP preporuka držali pri odabiru ciphersa za našu konfiguraciju.

c) Nakon restarta Tomcata slijedi probno spajanje s admin stanice kao klijentskog računala (otvorili smo port TCP 8443 na vatrozidu servera, jel' tako?). U lokalno skladište certifikata instaliramo spomenuta dva Finina CA certifikata a u lokalnu Hosts unesemo IP adresu Tomcat servera i vežemo ju uz ime devs.fina.hr. Za uobičajeno spajanje na glavnu stranicu u preglednik ćemo upisati https://devs.fina.hr:8443.

d) Ako nam nisu potrebni, sada možemo onesposobiti HTTP i AJP konektore. Doduše, komuniciramo li direktno sa Tomcatom, možda ćemo htjeti postaviti skretanje svih HTTP zahtjeva ka svim aplikacijama (tipično: http://devs.fina.hr:8080) na HTTPS, postavljanjem filtera u conf/web.xml, neposredno iznad elementa </web-app>. Da bi ova redirekcija radila, HTTP konektor mora biti aktivan!

<!-- = redirekcija s HTTP na HTTPS = -->

<security-constraint>

   <web-resource-collection>

   <web-resource-name>HTTP-to-HTTPS</web-resource-name>

   <url-pattern>/*</url-pattern>

   </web-resource-collection>

   <user-data-constraint>

   <transport-guarantee>CONFIDENTIAL</transport-guarantee>

   </user-data-constraint>

</security-constraint>

Niža slika nam pokazuje da smo dobro zbrinuli Tomcat i njegove aplikacije.

5. Tragikomična zbrka vlada oko kontrole pristupa admin aplikacijama Manager i Host Manager po IP adresi, pa ćemo i to obraditi. U nižem primjeru koristimo jedan od Tomcatovih ventila koji ispituju ili modificiraju HTTP-request pakete prije nego što ih na obradu preuzme Tomcatova mašinerija. Prema admin aplikacijama dopustit ćemo propuštanje samo onih paketa koji dolaze s, recimo, dvije IP adrese u vlasništvu dviju admin stanica. Djelujemo na datoteke /META-INF/context.xml aplikacija Manager i Host Manager tako da u njih upišemo kako je niže prikazano. Sintaksa dopušta uporabu asteriska, recimo, izrazom 192.168.10.* dozvoljavamo pristup svim hostovima s predmetne interne mreže.

<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="192.168.10.15|192.168.10.20" />

6. Niže mjere zaštite ne možemo primijeniti bez dobre suradnje s aplikativcima, utoliko, skrećemo na njih pozornost ali ih ne razrađujemo jer su priča za sebe:

• Aktiviranje Security Managera - nametanjem pravila aplikacijama (u ovu kategoriju spada i Tomcat jer je i on Java aplikacija) posredstvom datoteke conf/catalina.policy, kojim će aplikativnim i sistemskim resursima pristupati, i na koji način, efektivno postavljamo aplikacije u sandboxing režim rada. ASF upozorava da će pokretanje Tomcata s opcijom -security (catalina.sh start -security ili startup.sh - security) vrlo vjerojatno izazvati nepravilan rad aplikacija ukoliko iste nisu razvijane za rad pod kontrolom SM-a. Ovo djeluje obeshrabrujuće jer sugerira dosta posla no, s druge strane, i dobitak je velik - Security Manager značajno unaprijeđuje zaštitu sustava kao cjeline. Napomena: Security Lifecycle Listener iz 2. točke nije povezan sa SM-om.
• Odabir Security Realm komponente - čime se, u suštini, s Tomcatom povezuje izvorište korisničkih računa i aplikativnih uloga za jednu ili više aplikacija. Realm je višeslojna softverska konstrukcija koja Tomcatu omogućuje zaštitu aplikacija (uključujući sebe) i pripadajućih joj podataka tako što provjerava identitet korisnika i njegove dozvole. U produkcijskim implementacijama tehnološka osnovica realma redovito je neka baza podataka ili LDAP servis, tada se bavimo JDBC/DataSource ili JNDI realmima, pri čemu ih možemo i kombinirati, naime, aplikacije se mogu konfigurirati tako da koriste različite realme.
• Security by obscurity mijenjanjem brojnih defaultnih vrijednosti legitimna je metoda zaštite jer uljeza dovodi u "minsko polje" nepoznanica, veća je vjerojatnost pravovremene detekcije ili će barem ostaviti tragove..., ali bez suradnje i pedantnog dokumentiranja opako ćemo se zamjeriti kolegama.

 *

Zastarjele datoteke i nepotrebni nagomilani paketi uobičajena su posljedica dugogodišnjih nadogradnji. S druge strane, suvremeni poslužitelji, hardverski jaki i s visokim stupnjem pouzdanosti nalažu novu praksu: umjesto dosadašnjih nadogradnji, obavlja se instalacija čistog poslužitelja, a korisnici, njihove datoteke i mailovi se migriraju.

Sama instalacija novog poslužitelja nije složen postupak. Korištenjem opcije network install izbjegavamo instalaciju nepotrebnih paketa, a skidanje ISO slike i pokretanje instalacije su trivijalni. Naglasit ćemo dvije stvari. Prva, za FQDN novog poslužitelja trebamo postaviti isto ime kao što je na starom poslužitelju uz različitu IP adresu, ali bez izmjena u DNS-u. Kada je postupak okončan, jednostavno se za IP adresu postavlja ona koja se nalazi na starom poslužitelju te novi poslužitelj nastavlja s radom tamo gdje je stari stao. U postupku konfiguracije novi naglasak je i na promjeni putanje na kojoj se nalaze mailovi, i to iz: /var/mail/korisnik u /home/korisnik/Maildir. Pritom je važno pripaziti na veličinu particije /home. O ovome će biti riječi u nastavku.

Dodavanjem CARNetovog repozitorija instaliramo već podešene i dobro nam poznate CARNetove pakete. Tako je nakon dovršetka instalacije potrebno u datoteci: /etc/apt/sources.list za aktualnu verziju Debiana dodati sljedeće unose:

deb http://ftp.hr.debian.org/debian jessie main contrib non-free
deb http://security.debian.org/ jessie/updates main contrib non-free
deb http://ftp.carnet.hr/carnet-debian carnet-jessie main

Time možemo nastaviti instalaciju potrebnih paketa poput postfixa, dovecota i apacheja. Naravno, pričamo o -cn verzijama paketa. Također, potrebno je pobrinuti se i za certifikat za servise na poslužitelju, kako bi svi servisi nastavili rad na siguran način.

Sljedeća stvar koju radimo jest kreiranje korisnika. Datoteke koje nam trebaju su: /etc/passwd, /etc/shadow i /etc/group. Dobrom starom opcijom copy/paste iz svake stare navedene datoteke u svaku novu "kreiramo" stare korisnike na novom poslužitelju, pritom pazeći na korisnike i grupe s uid-om manjim od 1000. Njih ne diramo jer se radi o sistemskim korisnicima i grupama. Za lakše snalaženje u navedenim datotekama možemo koristiti prikaz sortiran po uid-u, primjerice:

sort -n -t ':' -k3 /etc/passwd

Korisnike koje ne želimo migrirati jednostavno nećemo kopirati u navedene datoteke. Također, dobro je provjeriti koristimo li datoteke: /etc/gshadow, /etc/subgid i /etc/subuid. Njih, naime, treba urediti na isti način.

Time je završena priprema korisnika i prelazimo na migraciju korisničkih podataka. Podrazumijevana lokacija korisničkih podataka je unutar direktorija /home/, a mailovi se nalaze na putanji  /var/mail/. Koristit ćemo rsync, svestrani alat za kopiranje datoteka, kako lokalno, tako i udaljeno, uz mogućnost zadržavanja vlasništva dozvola nad datotekama. Međutim, kako moramo kopirati podatke svih korisnika, to moramo napraviti kao korisnik root koji jedini ima pristup svim datotekama. Rsync koristi ssh za prijenos podataka, što znači da moramo napraviti iznimku i prekršiti pravilo koje kaže da je ssh pristup za korisnika root zabranjen. Opcija koja nam treba nalazi se u datoteci /etc/ssh/sshd_config, a redak koji će nam omogućiti ssh pristup za korisnika root treba izgledati ovako:

PermitRootLogin yes

Naravno, moramo biti sigurni da smo korisniku root postavili "jaku" lozinku. Ovu vrijednost ćemo na kraju postupka vratiti na "no" ili "without-password" koja je pretpostavljena. Naravno, nakon izmjene potrebno je napraviti restart servisa kako bismo uključili promjene.

Sjećate se korisnika koje smo odlučili izostaviti na novom poslužitelju? Kako bismo izbjegli kopiranje njihovih datoteka, popis tih korisnika treba navesti u zaseboj datoteci koju ćemo nazvati iskljuci_home.txt, primjerice:

/mmatic
/aantic
/pperic

Sama naredba za prebacivanje korisničkih podataka jest sljedeća:

stari_stroj#rsync -avz --delete --progress --exclude-from='/home/iskljuci_home.txt' \
/home/ root@ip_adresa:/home/

Naredbu ćemo izvršiti na starom poslužitelju, a parametar ip_adresa se odnosi na adresu novog poslužitelja. Ukratko, naredba će sve datoteke s putanje /home/ sa starog poslužitelja (osim onih navedenih u datoteci iskljuci_home.txt) prebaciti na isto mjesto na novom poslužitelju. Navedene opcije imaju sljedeća značenja:

-avz pokreće rsync u arhivskom modu, komprimira datoteke i poveća "verbosity". Sama opcija -a uključuje opcije -rlptgoD (više o tome, naravno, u man stranici alata)
--delete na odredištu briše eventualne datoteke koje ne postoje na izvorištu
--progress prikazuje proces na ekranu
--exclude-from isključuje datoteke na putanjama navedenim u datoteci /home/iskljuci-home.txt

Kao što smo rekli, mailovi korisnika se nalaze u direktoriju /var/mail/ pa ćemo njih prebaciti pomoću slične naredbe:

stari_stroj#rsync -avz --delete --progress --exclude-from='/var/iskljuci_var.txt' \
/var/mail/ root@ip_adresa:/var/mail/

Vidimo novu datoteku, /var/iskljuci_var.txt u kojoj su sadržani korisnici čije mailove ne želimo prebaciti. To su, ustvari, oni isti korisnici koji su navedeni u prvoj txt datoteci, ali bez početnog znaka "/". Primjerice:

mmatic
aantic
pperic 

Nakon izvršenja obiju naredbi (što može i potrajati) slijedi spajanje na poslužitelj te provjera urednosti inboxa.

Odlučili sam se uvesti dvije promjene: prva (vidljiva iz naslova) je promjena formata mailova iz postojećeg mboxa u Maildir. Mbox podrazumijeva da je inbox jedna datoteka koja (uglavnom) samo raste, a Maildir "razbija" inbox na onoliko datoteka koliko ima mailova. Time će eventualni gubitak jedne datoteke izazvati gubitak samo jednog maila, dok greška u inboxu formata mbox uzrokuje greške u cijelom inboxu. Problem jest što će neke stvari prestati raditi (poput prikaza "Mail last read on ..." naredbe finger) jer je mbox ukorijenjen u povijest Unixa, ali prednosti brzine i pouzdanosti prema IMAP-u su tolike da se malo truda isplati - barem tako piše na Debianovim wiki stranicama. Kako je spomenuto na početku, potrebno je pripaziti na veličinu particije /home, jer se formatu Maildir inbox premješta s putanje /var/mail/ na putanju /home/korisnik/Maildir.

A druga promjena jest zamjena nekima omražene "vjeverice" aplikacijom Roundcube. Naravno, i to je zahtijevalo malo dodatnog truda poput pisanja kratkih uputa kako prebaciti postojeći adresar iz Squirellmaila u Roundcube. Međutim, daleko ugodnije sučelje je kod većine korisnika naviklih na Squirrelmail izazvalo oduševljenje pa se trud isplatio.

Ideja je nekoliko puta tijekom par dana pokrenuti naredbe rsync za prebacivanje korisničkih datoteka i mailova. Na taj način ćemo smanjiti downtime kad novi poslužitelj budemo puštali u produkciju, Jednom kad odlučimo napraviti "zamjenu" poslužitelja, na starom poslužitelju prvo trebamo isključiti postfix i dovecot kako bismo u potpunosti zaustavili isporuku mailova te zadnji put zadnji put pokrenuti navedene dvije naredbe rsync. Nakon što smo završili s prebacivanjem korisničkih datoteka i mailova, slijedi nam mailman i njegova arhiva:

stari_stroj# rsync -azv --delete --progress /etc/mailman/ root@ip_adresa:/etc/mailman
stari_stroj# rsync -azv --delete --progress /var/lib/mailman/ root@ip_adresa:/var/lib/mailman

Baze podataka unutar MySQL-a ćemo prvo izvesti pomoću naredbe mysqldump, zatim prebaciti na novi poslužitelj i tamo opet uvesti:

stari_stroj# mysqldump –u root –p database_name > /var/backups/backup_database_name.sql
stari_stroj# rsync –avz –delete –progress /var/backups/backup_database_name.sql \
root@ip_address:/var/backups
novi_stroj# mysqldump –u root –p database_name < /var/backups/backup_database_name.sql

Još je ostalo promijeniti IP adrese na način da ćemo na starom poslužitelju postaviti neku novu adresu, a na novom ćemo postaviti onu koja je bila na starom. Datoteke koje nam trebaju su /etc/network/interfaces i /etc/hosts. Kako nismo mijenjali DNS zapise, a ime poslužitelja je (ostalo) isto, sustav će nastaviti raditi gdje je stari poslužitelj stao. I ne zaboravite onemogućitissh pristup korisniku root na novom poslužitelju.

Vratimo se na format Maildir. Stari poslužitelj je koristio format mbox, a on je pretpostavljen i na novom Debianu (Jessie, u mom slučaju) pa se za prebacivanje u Maildir može iskoristiti paket mb2md koji je dostupan na standardnom repozitoriju. Paket sadrži skriptu mb2md.pl koja zaista omogućava finu kontrolu nad procesom konverzije, a trebala bi raditi na svim *nix operativnim sustavima. Međutim, paket pretpostavlja da promjenu formata napravi svaki korisnik za sebe pa ako se radi o poslužitelju s velikim brojem korisnika nenaviklih na rad u konzoli, njegovo je korištenje problematično. Kako bismo stekli malo više kontrole nad procesom promjene mail formata, a i pokrenuli proces kao svaki od korisnika na poslužitelju, kreirali smo vlastitu bash skriptu koja ne koristi navedeni paket nego samu skriptu sadržanu u paketu.

#!/bin/bash
for korisnik in $(cat korisnici.txt);
do
        {
                echo $(date)
                echo "starting user "$korisnik
                cd /home/$korisnik
                echo "su - " $korisnik " -c '/mb2md-3.20.pl -s . -R'"
                su - $korisnik -c '/mb2md-3.20.pl -s . -R'
                echo "su - " $korisnik " -c '/mb2md-3.20.pl -s /var/mail/$korisnik'"
                su - $korisnik -c '/mb2md-3.20.pl -s /var/mail/'$korisnik
                echo "su - " $korisnik " -c ' cp .subscriptions Maildir/subscriptions'"
                su - $korisnik -c 'cp .subscriptions Maildir/subscriptions'
                echo "mv /var/mail/"$korisnik " /var/mail/old_"$korisnik
                mv /var/mail/$korisnik /var/mail/old_$korisnik
                echo "end user "$korisnik
                echo ""
        } >> /root/scripts/skripta.log 2>&1
done

Ta skripta koristi tekstualni popis korisnika (korisnici.txt) kojima će se promijeniti format maila, a podrazumijeva da korisnici imaju ljusku (shell), tj. da im nije zabranjen ssh pristup pomoću opcije /bin/false u datoteci /etc/passwd. Skriptu pokreće korisnik root kao standardnu skriptu, bez parametara. Redak 9 rekurzivno opcijom -R iz svakog poddirektorija uzima jednu mbox datoteku s lokacije . (što je home direktorij korisnika) i pretvara je u format Maildir. Redak 11 radi isto, ali za mbox na lokaciji /var/mail/, dok idući redak na novu lokaciju kopira popis eventualnih direktorija koje je korisnik kreirao unutar svog inboxa. Na kraju, da znamo kojeg smo korisnika "riješili", imenu inboxa na lokaciji /var/mail/ dodajemo prefiks old. Retci koji imaju ključnu riječ echo služe isključivo kao dio loga koji se zapisuje u datoteku skripta.log, kako bismo lakše riješili eventualne probleme. Podrazumijevano odredište za konverziju je ~/Maildir, a može se promijeniti opcijom -d. Sama konverzija ide vrlo brzo, mbox s cca 1500 mailova u našem slučaju promijeni format za otprilike 5 sekundi, a brzina, naravno, ovisi o hardveru poslužitelja

Za ispravno funkcioniranje formata Maildir, osim promjena navedenih na Debianovoj wiki stranici, potrebno je promijeniti konfiguraciju postfixa na način da se zada novi format maila u datoteci /etc/postfix/main.cf:

home_mailbox = Maildir/

Također, i dovecotu trebati dati do znanja za postojanje novog formata, a to se postavlja u datoteci: /etc/dovecot/conf.d/10-mail.conf:

mail_location = maildir:~/Maildir

Ukoliko na starom poslužitelju koristite uslugu sys.backup, za nastavak njezinog rada potrebno je pratiti upute navedene na stranici usluge. A ako se odlučite zadržati Squirellmail, potrebno je rsyncom prebaciti korisničke postavke i adresare koji se nalaze na putanji /var/lib/squirrelmail/data. Nakon što korisnici provjere svoje inboxe, datoteke s prefiksom old mogu se obrisati.

Izlaskom nove CARNetove verzije Debiana uvijek je dobro zapitati se je li nadogradnja pravi izbor. Novom instalacijom nove distribucije te ručnom instalacijom i konfiguracijom servisa dobije se "čisti" poslužitelj bez nepotrebnih paketa, zaostalih datoteka, krivih simboličkih linkova i ostalog otpada koje ostane nakon što instalacija nekog paketa pukne. A prebacivanje korisnika, njihovih podataka i mailova, iako uzima nešto vremena, nije toliko složeno kako se na prvi pogled čini. Uz pravu pripremu, downtime je uistinu minimalan.

Nakon Sjeverne Koreje, koja je razvila vlastiti Linux, i Kina je odlučila krenuti istim putem. Njihova vojska ne želi više koristiti MS Windowse, smatraju ih sigurnosnom ugrozom. Nije jasno da li će rješenje biti inačica Linuxa, ili operacijski sustav razvijen ab ovo. U svakom slučaju, Kina ima dovoljno snage za takav poduhvat. Sjećamo se kako su Rusi kao uvjet prihvaćanja MS Windowsa tražili njihov izvorni kod. Čemu tolika sumnjičavost prema softveru?

O tome piše ZDNET: Zahvaljujući žviždačima poput Snowdena, koji su otkrili da Amerikanci imaju velik arsenal alata za provaljivanje na računala, od pametnih televizora do Linux servera, routera, telefona, operacijskih sustava za stolna računala itd., Kinezi su se odabirom izrade vlastitog operacijskog sustava odlučili za princip security by obscurity. 

Internet više nije samo mreža računala, mreža (dobronamjernih) ljudi koji se druže i pomažu jedni drugima, a uz to još i ogromna biblioteka dostupna svima (mreža informacija). Postao je tržište na kojem se kupuje i prodaje, tvrtke špijuniraju konkurenciju, medij za globalni marketing, raj za kriminalce koji pecaju naivce širom svijeta, ali i bojno polje na kojem se iskušavaju nove tehnike ratovanja. Slogan današnjih generala glasi: "Prije nego vojnička čizma stane na neki teritorij, rat treba dobiti u informacijskom prostoru." To ima višestruko značenje. S jedne strane treba prikupiti što više informacija o protivniku, kako se ne bi ulijetalo u nepoznato i kako bi se što bolje isplanirao napad na ključne ciljeve. S druge strane pažljivim plasiranjem informacija treba što veći broj ljudi, na svim stranama, uvjeriti u ispravnost vlastitih namjera i postupaka. Stoga nam, ako želimo misliti vlastitom glavom, ne preostaje drugo nego da svaku vijest odvagnemo prije nego je prihvatimo zdravo za gotovo. Čiji je interes skriven iza objavljivanja neke vijesti? Samo mali broj činjenica dospije u medije kao vijest, time one koje su odabrane kao pogodne za objavljivanje dobivaju dodatne slojeve značenja koje treba otkriti i osvijestiti. Dok bezazleno surfamo webom, upijajući ono što smatramo znanjem, za nas se lijepe nevidljive niti paučine iz mreže nečijih interesa.

Sve je veći broj država koje u okviru vojske osnivaju jedinice za kibernetičko ratovanje. Podatke o tome možemo naći u izvještaju Ujedinjenih nacija, dostupnom ovdje. UN se trudi postići razoružanje i miroljubivu koegzistenciju. Ali logika podijeljenog svijeta nameće utrku u naoružanju: ako drugi imaju takva oružja, onda ih i mi moramo nabaviti.

Ne postoji jedinstvena definicija kibernetičkog ratovanja. Uglavnom se pod time misli na hakiranje, napad na računala protivničke strane, da se pribave povjerljivi podaci ili izazove nered, prekine normalno funkcioniranje druge strane. Ovakvim se napadima ne služe samo države, već i kompanije, teroristi, kriminalci, društveni aktivisti i slične grupe koje žele ostvariti svoje interese. Neki stručnjaci tvrde da je termin cyber war pogrešan, jer se tu ne radi o pravom ratu, nasilju. Naprotiv, cyber war trebao bi biti bez ljudskih žrtava. Mada postoji primjer miješanja kibernetičkog napada i primjene sile: u svibnju 2019 Izrael je bombardirao zgradu iz koje se upravo odvijao kibernetički napad.
 
U svim dosadašnjim ratovima stradavali su civili, možda najviše u prvom i drugom svjetskom ratu. Sjećamo se bombardiranja kojima su sravnjene cijele gradske četvrti (carpet bombing) i atomskih bombi bačenih na dva grada u Japanu. Današnja su oružja zahvaljujući novim tehnologijama preciznija, mogu se usmjeriti na vojne ciljeve i smanjiti civilne žrtve. Da li je taj princip primjenjiv i u kibernetičkom ratovanju? Kako bi uopće izgledale žrtve takvog rata? Da bi to razumjeli, moramo shvatiti što je sve cyber war.

Nedavna povijest nudi nekoliko primjera: napad na Estoniju , kada su stručnjaci NATO saveza pomagali Estoncima da se obrane, ili napad na Iranska postrojenja za preradu radioaktivnog materijala, izvedena pomoću crva Stuxnet. Pada nam na pamet i jedna aktualna kriza: u sklopu akcije rušenja nepoćudnog režima u Venezueli nestalo je struje. Iako mediji ne spominju uzroke (o tome ćemo možda čitati za koju godinu), čini se da se radi o koordiniranom nastojanju da se narodu pokaže kako se njihova vlada nije u stanju brinuti za vlastiti narod, kako bi izazvali revolt i svrgavanje vlasti. Narod Venezuele gladuje, nema lijekova, tu sigurno ima kolateralnih civilnih žrtava.

Kad govore o kibernetičkom ratu vlade objašnjavaju da se radi o zaštiti vlastite kritične infrastrukture od napada izvana, smanjivanju ranjivosti, minimiziranju štete i skraćivanju oporavka od cyber napada. O ofenzivnim sposobnostima se nerado govori. Među njih spada špijuniranje (Snowden nam je otkrio masovno prisluškivanje koje provodi NSA, bez znanja država i građana koje se prisluškuje), sabotaže (napadi na električnu mrežu i ostale javne usluge, transport, satelite, odabrana industrijska postrojenja...), propaganda (fake news, korištenje društvenih mreža za psihološki rat), slabljenje protivnikove ekonomije (primjer su napadi virusa WannaCry i Petya na britanski zdravstveni sustav, farmaceutsku tvrtku i kaos koji su izazvali u Ukrajini).

Srećom, nije sva moć u rukama vojske, politike, velikih tvrtki, kriminala. U demokratskim društvima postoje i orgranizacije koje brinu za javni interes i prava pojedinca. Tako je nedavno održan skup na kojem su stručnjaci raspravljali o potencijalnim civilnim žrtvama kibenetičkog sukobljavanja. Sažetak je dostupan na stranicama Crvenog križa,  Među primjerima navode ranjivosti medicinske opreme koja je sve više spojena na mrežu kako bi se omogućio udaljeni nadzor. Spominju pacemakere i inzulinske pumpe, opremu koja održava na životu pacijente. Jesu li proizvođači te opreme unaprijed razmišljali kako ti uređaji mogu biti mete napada i ugradili u njih sigurnosne funkcije? Civile će ugroziti i napad na ICS (industrijske kontrolne sustave) računala koja upravljaju javnim servisima poput električne i vodovodne mreže.

Za napade se obilno koristi malware, reverznim inženjeringom otkriva se njegov način rada i stvaraju nove inačice, za posebne namjene. Zamislimo situaciju u kojoj se atentat želi napraviti napadom na pacemaker određene osobe. Hoće li virus biti u stanju ciljano opstruirati jedan određeni uređaj, ili će stradati svi pacijenti koji ga koriste? Svijet je sve više premrežen uređajima spojenim na Internet koji su odreda potencijalne mete napada. IoT će još više povećati rizik.

Bilo bi sjajno kada bi se sve otkrivene ranjivosti objavljivale, a proizvođači brzo otklanjali sigurnosne propuste. No mnogi se neće držati tog principa, želeći ostvariti neku korist ili prednost. Ako otkrijete na primjer ranjivost softvera koji upravlja dronovima, hoćete li je obznaniti svima ili ćete je zadržati za sebe, kako bi je iskoristili u slučaju potrebe?

Kažu da na jednom stećku u BiH piše: "Stah, boga moleć, zla ne misleć. Ovden ubi me grom!" U današnjoj vojno-političkoj terminologiji rekli bismo da je bogumil kojeg je pogodio grom iz vedra neba kolateralna žrtva. Bogumili su vjerovali u kozmički dualizam, svijetom upravljaju istovremeno dobri i zli bog. Nije dovoljno biti pobožan, vjerovati u dobro i ne činiti zlo, svejedno te neka nasumična nepogoda može zbrisati s ovog svijeta. Današnje vjere dobro pripisuju Bogu, a zlo slobodi izbora koja je ostavljena čovjeku. No dualistički način razmišljanja još je sveprisutan. Pa zar se svi populizmi ne mogu svesti na jednostavnu formulu: mi smo dobri, oni drugačiji od nas su zli. Za sve naše probleme krivi su stranci, imigranti, susjedni narodi...

Sve dok se na taj način razmišlja i djeluje, dok postojimo "mi" i "oni", dotad će se svi odreda truditi da "naše" mreže i uređaji budu sigurni, a "njihovi" nesigurni, kako bi "mi" imali predost. Hoćemo li dočekati vrijeme kad će čovječanstvo shvatiti da smo svi "mi", i da ćemo biti sigurni jedino ako svi budemo sigurni? Ujedinjene nacije i Europska Unija primjeri su da je to ispravan put, usprkos svim pokušajima njihove destabilizacije i marginalizacije dugoročno će čovječanstvo evoluirati u tom smjeru. Barem se tome nadamo, a možemo i sami doprinijeti pazeći na to što mislimo, govorimo, kako djelujemo. Defetizam i cinizam, osjećaj nemoći pred silom, sve to samo održava postojeće stanje.

Kad smo se već potrudili pa instalirali i zaštitili naš Tomcat serverčić, podignut ćemo na njemu par aplikacija. Svojom defaultnom internom strukturom Tomcat podržava "portalski pristup", znači, početnoj stranici portala pristupamo domenskim imenom (FQDN, poput www.google.com), potom za pristup aplikacijama rabimo poveznice prikazane u pregledniku. Dobar primjer je na nižoj slici - s FQDN URL-om http://primjeri.corp.hr:8080 pristupili smo Tomcatovoj početnoj stranici (portalu), potom, da bismo došli do njegovih oglednih aplikacija kliknemo na linku Examples. Naravno, isto bismo postigli uporabom punog URL-a: http://primjeri.corp.hr:8080/examples ... i tako to.

Naš je zadatak ovaj:

a) ostaviti defaultni virtualni host, poznat kao "localhost", za administratore;

b) podići tri aplikacije za potrebe radnika firme, ali tako da im se pristupa kao tipičnim web uslugama, znači, upisom imena app1.corp.hr, app2.corp.hr i app3.corp.hr u preglednik.

Stavka b) sugerira nam da je Tomcat na LAN-u, IP neka bude 192.168.10.11. U ovoj pokaznoj vježbi, budući da se koncentriramo na rad s virtualnim serverima - to je zato jer njima rješavamo zahtjev - iskoristit ćemo aplikacijicu sample.war koju ćemo instalirati najjednostavnijom metodom auto-deploy.

1. Zaustaviti Tomcat: systemctl stop tomcat9.

2. U conf/server.xml koristimo definiciju localhosta kao predložak za dodatna tri virtualna servera... napravimo točno kako je na nižoj slici te, dakako, spremimo.

3. U direktorij tomcat9 kreiramo direktorije webapp1, webapp2 i webapp3.

4. Iz direktorija /opt/tomcat9/webapps/docs/appdev/sample kopiramo paket sample.war u svaki novokreirani webappX.

5. Preimenujemo kopirane sample.war u ROOT.war (velika slova su obavezna).

6. Pobrinuti se da vlasnik svih webappX direktorija i njihovih sadržaja bude tomsvc:

chown -R tomsvc:tomsvc webapp1 webapp2 webapp3

7. Pokrenuti Tomcat: systemctl start tomcat9 -> Tomcat raspakirava .war paket i čini te aplikacije spremnima za pristup.

8. U Hosts korisničke stanice upisati tri retka:

192.168.10.11 app1.corp.hr

192.168.10.11 app2.corp.hr

192.168.10.11 app3.corp.hr

9. Spojiti se s korisničkog računala na prvu aplikaciju: http://app1.corp.hr:8080, kliketati po pristupnim linkovima da vidimo radi li kako treba; isto ponoviti s preostale dvije aplikacije.

10. Kako bismo si olakšali zahtjevnija rekonfiguriranja i neizbježni tshooting (tko radi, taj griješi, jel'te), svakoj ćemo aplikaciji dati njen jedinstveni on-line identitet zahvatom u njen index.html, tako ćemo tijekom svakojakih isprobavanja i probnih spajanja uvijek znati na koju smo aplikaciju i virtualni host spojeni. Nakon izmjene datoteke nije potreban restart Tomcata, on prati promjene i učitava ih.

11. Uvidom u /logs/catalina.out vidjeli smo da Tomcat uredno podiže virtualne hostove s našim aplikacijama ali nigdje nema logova o našim pristupanjima tim aplikacijama. Omogućit ćemo logiranje za svaki virtualni host (aplikaciju) zasebno: konfigurirajte server.xml kako je na nižoj slici, rabeći definiciju od localhosta kao osnovicu + restart Tomcata, potom pristupajte aplikacijama i pratite zapise u logovima tih aplikacija.

Lijepo smo to odradili pa su apetiti nadređenih porasli, sad žele da taj Tomcat server udomi i aplikaciju za HR, sa zaštitom podataka u transmisiji jer ipak se posredstvom te aplikacije radi s osobnim i poslovno senzitivnim podacima, i tako to. Možemo podići novu instancu Tomcata pa aplikaciju zavrtjeti u zasebnom procesu, možemo podići zasebnu instalaciju Tomcata pa će ta aplikacija biti u vlastitoj JVM... ali mi ćemo ovaj zahtjev riješiti na najbrži način, dupliciranjem Tomcatove sistemske komponente Service. 

1. U direktoriju Tomcat9 kreiramo direktorij hrwebapp, ukopiramo u njega ROOT.war, predamo vlasništvo računu tomsvc.

2. Zaustavimo Tomcat.

3. Server.xml rekonfiguriramo prema nižoj slici.

Slika namjerno obuhvaća i definiciju app3.corp.hr. Prvi je razlog bolja orijentacija u kodu. Drugi je razlog usporedba sekcija za zapisivanje događaja, naime, pripremamo pristup aplikaciji kroz reverzni proxy koji će biti konfiguriran tako da u polju X-Forwarded-For HTTP headera proslijedi Tomcatu IP adresu klijenta, zato smo redefinirali logiranje kako bi Tomcat zapisivao te izvorne IP adrese. 

4. Sredimo si spremište digitalnih certfikata kako je opisano u prethodnom članku (vidi https://sysportal.carnet.hr/node/1836), s time da nam u ovom scenariju treba poslužiteljski certifikat za ime hrapp.corp.hr.

5. Na vatrozidu servera otvorimo port TCP 8448 - novoj mašini (Engine) dodjeljujemo konektore sa zasebnim portovima jer je optimizacija konektora zasebna priča.

6. U Hosts korisničke stanice dodamo mrežno ime web usluge i IP: 192.168.10.11 hrapp.corp.hr.

7. Startamo Tomcat, potom se URL-om https://hrapp.corp.hr:8448 spojimo na HR aplikaciju.

Primjećujete da se u gornjim situacijama bavimo naprednijom razinom administriranja, ali bez ikakog teoretiziranja. Razlog je jednostavan: zainteresira li vas sve ovo, lako ćete se sami upoznati sa Tomcatovim komponentama poput Service, Engine, Connector, Context..., na službenom siteu Tomcat projekta.

*

Poštovani kolege,

objavljena je CARNET-ova distribucija Debian 9 (Stretch).

Za nadogradnju na stretch potrebno je instalirati paket "carnet-upgrade" te pokrenuti istoimenu naredbu, te jednostavno slijediti upute na ekranu.

S paketom carnet-upgrade dolazi dokumentacija koja se nalazi u direktoriju /usr/share/doc/carnet-upgrade. Tu se nalaze upute i savjeti koji će vam pomoći da nadogradnja prođe što jednostavnije i brže. Dokument možete pronaći i ovdje.

Proučite ovaj dokument prije početka zahvata na poslužitelju, pogotovo ako instalaciju radite prvi put.  Kao i uvijek, preporučujemo da napravite potpuni backup podataka.  Možete očekivati da će postupak trajati od dva do četiri sata, ovisno o brzini poslužitelja, brzini veze vaše ustanove, te broju servisa na poslužitelju.

Ovaj put postoje posebne napomene.  Paketa Squirrelmail više nema u Debianu, te ga više neće biti ni u CARNET-ovoj distribuciji.  Umjesto toga, koristit će se Roundcube webmail.  Za prebacivanje postavki korisnika postoji skripta na adresi https://github.com/WebuddhaInc/squirrelmail-to-roundcube . Preporučujemo da  prebacivanje postavki i instalaciju Roundcubea napravite prije nadogradnje.

Alternativno, možete korisnike uputiti na webmail.carnet.hr, kojeg ne morate održavati niti brinuti o nadogradnjama.

Također, u Stretchu dolazi PHP 7, pa prije nadogradnje provjerite kompatibilnost svojih CMS sustava s novim PHP-om, ali i svih modula koji dolaze s CMS-om.

Svoje sustave morate nadograditi do 30.06.2020., jer tada ističe sigurnosna podrška za Jessie (Debian 8).

Kako nije moguće predvidjeti sve probleme koji se mogu pojaviti prilikom instalacije, u slučaju potrebe podršku potražite na adresi syshelp@carnet.hr.

Na jednom od poslužitelja imamo web stranice koje su izrađene u kombinaciji html i php datoteka, korištenjem Dreamweavera. Stranice se izrađuju u tom obliku više godina i sadrže velik broj direktorija i datoteka. Ove stranice napravljene su u kodnoj stranici ISO-8859-2, što je i definirano odgovarajućom META oznakom u zaglavlju svake datoteke:

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2">

Nakon nadogradnje na Debian jessie, pojavio se problem prikaza slova hrvatske abecede, što je jednostavno riješeno dodavanjem linije php_value default_charset ISO-8859-2 u konfiguracijsku datoteku web poslužitelja (/etc/apache2/sites-available/www.conf). Godinama su stranice dobro radile, dok se nije pokazala potreba da se na stranci prikaže RSS sadržaj s jednog Wordpress poslužitelja. Sadržaj na tom poslužitelju je u kodnoj stranici UTF-8, pa se sadržaj nije dobro prikazivao. Kako smo već ranije naučili da i Apache očekuje stranice u takvom obliku, zaključili smo da je došlo vrijeme da se cjelokupni sadržaj prekodira po UTF-8 standardu.

Da se ne bi nešto poremetilo na web sadržaju, a i kako bi izbjegli da posjetitelji naših stranica gledaju promjene na stranicama (uz moguće pogreške) napravili smo privremeni web na adresi www1.domena.hr (to je zahtijevalo odgovarajući zapis u DNS konfiguraciji, kao i konfiguraciju posebnog web poslužitelja). Sadržaj weba ostao je nepromijenjen u direktoriju /srv/www, za probni web smo predvidjeli direktorij www1, i u njega prebacili sadržaj postojećeg:

cd /srv

cp -pr www www1

koristili smo opciju -p da sačuvamo vrijeme kreiranja datoteka. Ovo nam omogućava da u slučaju nekih pogrešaka jednostavno obrišemo direktorij www1 i na gore opisan način prebacimo nepromijenjeni sadržaj.

Nakon ove pripreme trebalo je razmišljati kako napraviti promjenu kodne stranice u svim datotekama. Jedna od opcija je korištenje perla

perl -pi -e 's/charset=iso-8859-2/charset=utf-8/gi' *

Kako su stranice raspoređene u više direktorija, onda bi ovaj postupak trebalo ponoviti u svakom od direktorija. Ili raditi nešto ovakvo:

perl -pi -e 's/charset=iso-8859-2/charset=utf-8/gi' */*

perl -pi -e 's/charset=iso-8859-2/charset=utf-8/gi' */*/*

perl -pi -e 's/charset=iso-8859-2/charset=utf-8/gi' */*/*/*

Naravno, ovo bi trebalo ponoviti i za svih 5 slova hrvatske abecede (i velika i mala). 

Očito je da treba pronaći jednostavnije rješenje. Uz pomoć Googlea saznali smo da postoji naredba iconv, i ne samo to - taj paket je već instaliran na našim poslužiteljima:

> dpkg -l | grep iconv

ii  libtext-iconv-perl   1.7-5+b2 i386 converts between character sets in Perl

S ovom naredbom sve je jednostavnije, konverzija kodne stranice u jednoj datoteci napravi se ovako:

iconv -f ISO-8859-2 -t UTF-8 index.html > index.html.novi

Sigurno je da nećemo raditi konverziju jedne po jedne datoteke, pa treba napraviti jednostavnu shell skriptu:

#! /bin/bash

for f in $(find . -name "*.html");

do

  filename="${f%.*}"

  echo -n "$f"

    iconv -f ISO-8859-2 -t UTF-8 $f > "${filename}_utf8.tex"

    mv "${filename}_utf8.tex" $f

    echo ": CONVERTED TO UTF-8."

done

Skripta vrlo jednostavno napravi konverziju kodne stranice u svim datotekama. 

Ne smijemo zaboraviti ni META oznake na početku svake datoteke, koje izgledaju ovako

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2">

Iskoristit ćemo ranije spomenutu mogućnost zamjene niza znakova s perlom i to ubaciti u našu skriptu:

#! /bin/bash

for f in $(find . -name "*.html");

do

  filename="${f%.*}"

  echo -n "$f"

  #

  perl -pi -e 's/charset=iso-8859-2/charset=utf-8/gi' $f

  #

  iconv -f ISO-8859-2 -t UTF-8 $f > "${filename}_utf8.tex"

  mv "${filename}_utf8.tex" $f

  echo ": CONVERTED TO UTF-8."

done

I s ovim smo obavili konverziju svih html datoteka. Pojavila se još jedna sitnica - poželjeli smo zadržati originalni datum kreiranja svake od datoteka.

Jedan od načina za saznati datum kreiranja datoteke je upotrebom naredbe date:

> /bin/date -R -r www/greska.html 

Wed, 09 Aug 2006 13:36:23 +0200

S naredbom touch -d možemo svakoj datoteci promijeniti datum kreiranja. Preostalo je i ovo dodati u skriptu:

#! /bin/bash

for f in $(find . -name "*.html");

do

  filename="${f%.*}"

  echo -n "$f"

  #

  last_modif_ts=$(/bin/date -R -r $f)

  #

  perl -pi -e 's/charset=iso-8859-2/charset=utf-8/gi' $f

  iconv -f ISO-8859-2 -t UTF-8 $f > "${filename}_utf8.tex"

  mv "${filename}_utf8.tex" $f

  #

  touch -d "$last_modif_ts" $f

  #

  echo ": CONVERTED TO UTF-8."

done

Skriptu spremimo pod nekim imenom, npr. utf-conv.sh, i spremimo je negdje po želji, npr. u direktorij /srv

Nakon ovoga sve je spremno za konačnu konverziju, iz originalnog direktorija vraćamo originalne stranice u direktorij www1, obavimo konverziju, stari direktorij preimenujemo, kao i www1 u www.

ovako bi to izgledalo:

cd /srv

rm -r www1

cp -pr www www1

cd  www1

/srv/utf-conv.sh

cd /srv

mv www www-stari-iso

mv www1 www

I posao je završen... :)

Vrijeme je godišnjih odmora, sistemci odmaraju na plaži ili plijeve vrt na djedovini. Na odmor su ponijeli knjige koje su davno nabavili, ali nije bilo prilike da ih se pročita. Službeni mobiteli su na dohvat ruke, s notebooka se povremeno provjerava stanje servera i mreže na poslu. Neprijatelj nikad ne spava, zar ne? Usput se prate vijesti iz struke, a možda se stigne naučiti nešto novo. Ljeti se sve radi usporeno, treba puniti baterije, odmoriti se za nove izazove, ali radoznalost se ne može zatomiti. Otkrili smo zanimljive vijesti iz svijeta informacijske sigurnosti. Ali odmak od svakodnevnih briga tjera na razmišljanje, pa i traženje šireg konteksta iz kojeg se potpunije sagledava naša svakidašnjica.

Iz medija saznajemo da su napadači godinama provaljivali na servere mobilnih operatera, kako bi se domogli podataka o pozivima, odnosno o tome tko je koga zvao, u koje vrijeme i s koje lokacije. Umjesto napada na pametne uređaje odabranih korisnika koji su napadačima zanimljivi, odlučili su pronaći slabe točke operatorskih servera. S javnih servera dobili bi pristup internoj mreži i redom osvajali umrežene uređaje, tražeći akreditive, povećavajući ovlasti, nastojeći steći što potpuniji pristup. O tome nas je izvijestila tvrtka Cybereason koja se bavi zaštitom "endpoint" uređaja. Operaciju Soft Cell otkrili su prije godinu dana, ali izgleda da su napadi počeli još 2012., možda i ranije. Oprezni su kada govore o počiniteljima, kažu da sve ukazuje na kinesku grupu APT 10, ali ostavljaju otvorenom mogućnost da je taj trag podmetnut kako bi se prikrio identitet pravog počinitelja. Više detalja pronaći ćete ovdje.

Što da se kaže na to? Znali smo da su ti podaci dostupni operaterima i preko njih vlastima ukoliko imaju valjan nalog, a možda i bez njega. Sad smo saznali da su se tih podataka dočepale i vlasti nekih drugih država, uz pomoć hakera u uniformi. Ima li još uopće smisla govoriti o privatnosti? Naravno da ima smisla, danas više nego ikad, jer je upravo danas najugroženija, a svima nam je važna.

Reutersovi istraživački novinari objavili su 26. lipnja opsežan članak o tome kako su napadači iz Kine najprije "osvojili" cloudove dviju renomiranih tvrtki, pazite sad, HP-a i IBM-a! Kad su u tome uspjeli, koristili su ih da bi s njih vršili napade na klijente ovih informatičkih divova. Popis je popriličan, na listi žrtava je i tvrtka Ericsson, izravan konkurent kineskim tvrtkama na tržištu telekomunikacija. Napadi su trajali godinama, od 2014. do 2017. Kad bi provala bila otkrivena, računala očišćena, napadači bi se vratili s novim oružjima i igra bi se ponavljala. Napadači su identificirani kao grupe hakera povezane s Kineskim Ministarstvom Državne sigurnosti (i tu se spominje APT 10). Ugrabili su mnoštvo povjerljivih informacija koje pripadaju tvrtkama i vladi SAD, s nakanom da se osnaže kineski ekonomski interesi. Štivo je zanimljivo, preporučujem da ga pročitate u cijelosti, a dostupno je na ovom linku.

Ransomware je maliciozni softver koji kriptira datoteke na korisničkim računalima, a korisnik dobije poruku da će dobiti šifru za dekripciju ako uplati nemalu sumu na anonimni bitcoin račun. Neki od kolega sistemaca imali su priliku pobliže upoznati tu napast nakon štu su njihovi korisnici neoprezno kliknuli na privitak dobijen uz phishing mail. Kako ova inačica kriminalne djelatnosti dobija na zamahu, pojavile su se tvrtke koje nude da će razbiti enkripciju bez plaćanja kriminalcima. Ako su podaci dragocjeni, a nemate valjan backup, lakše ćete se odlučiti da platite dobrim dečkima, nego kriminalcima, zar ne? No ProPublica, neprofitni medij koji istražuje zloupotrebe moći, otkriva način na koji bar neke od tih tvrtki posluju. Oni plate ucjenjivačima, a zatim otključaju korisničke podatke i naplate korisniku cijenu ucjene plus svoju zaradu. Podlo, zar ne? Američko ministarstvo Domovinske sigurnosti tvrdi da se dnevno dogodi oko 4000 ransomware napada, tako da ovaj biznis cvjeta, a nepoštene tvrtke pomažu da i dalje bude uspješan. Izvješće je dostupno ovdje.

Za identifikaciju ljudi koriste se otisci prstiju (zaslugom Ivana Vučetića, koji je naše gore list), pa zatim novije tehnologije poput softvera za prepoznavanje lica, analize DNK, a sad se pojavljuje još jedna metoda. MIT Technology Review otkriva nam da svaki čovjek ima drugačije otkucaje srca. Američko Ministarstvo obrane naručilo je izradu tehnologije koja pomoću infracrvenog lasera na daljinama do 200 metara otkriva jedinstveni ritam bila i tako omogućuje identifikaciju. Ako se izradi bolji laser, bit će to moguće i s veće daljine. Čemu će to služiti? Otkrivanju terorista, koji su se prerušili da zavaraju softver za prepoznavanje lica? Prepoznavanju vlastitih vojnika na bojišnici, da se izbjegne prijateljska vatra? Ili će to koristiti atentatori kako bi pogodili pravu metu? Sve ovisi o tome tko će tu tehnologiju imati na raspolaganju i kakve su mu namjere.

Mogli bismo ovako nastaviti s prenošenjem (loših) vijesti do besvijesti. Ali vaš omiljeni sistemac čita i knjige koje je pripremio za godišnji odmor, koje nisu informatičke, prije spadaju pod "opću kulturu". Jedna od njih je iz Hararijeve trilogije koja je prevedena i kod nas (Sapiens, Homo Deus, 21 savjet za 21 stoljeće). Harari kaže da su u prošlosti čovječanstvo desetkovale tri pošasti: glad, bolest i ratovi. Razvojem civilizacije, znanosti i tehnologije danas su sve tri prijetnje praktički eliminirane. Hrane ima dovoljno za sve, lijekova također, a ratova je sve manje. Današnjem stanovniku razvijenog svijeta veću prijetnju predstavlja Coca Cola nego ratovi i terorizam, jer više ljudi umire od dijabetesa nego od nasilja (tipičan primjer Hararijeva smisla za humor, ali on takve tvrdnje podupire statističkim podacima). Svijet nije savršen, ali se neprestano kreće nabolje, a slijedeći korak bit će produžavanje života, potraga za besmrtnošću. Wow! Kakva pohvala znanosti i nepoljuljana vjera u Čovjeka!

Harari je načitan i znanstveno orijentiran mislilac koji nam nudi drugačiji pogled na povijest homo sapiensa. Druga knjiga koju sam čitao na plaži djelo je čovjeka koji nije imao priliku obrazovati se, ali je nekim čudom dobio iznenađujući uvid i razumijevanje svijeta. Zanimljivo je da se u nekim zaključcima ova dva različita autora slažu.

Martinus Thomsen je rođen u siromašnoj danskoj obitelji 1890. Radio je kao pastir, a zatim se zaposlio u mljekari. 1921. je doživio duhovno prosvjetljenje, a s njim je dobio "kozmički uvid" u razvoj života. U knjizi Sudbina čovječanstva konstatira stanje suvremenog svijeta: ima hrane za sve, a ljudi gladuju. Ima lijekova za sve, a ljudi umiru od bolesti. Ima dovoljno strojeva i konjskih snaga, a ljudi rade u znoju lica svog. Imamo sjajne škole i fakultete, znanost, crkve gdje propovijedaju ljubav prema bližnjem, a pokazujemo genijalnost u izmišljanju ubojitih oružja. Čovječanstvo bi trebalo proglasiti nemoralnim ili ludim! No to su samo razvojne faze, jer skupljamo iskustva, učimo i napredujemo. Evolucijski je čovjek u fazi razvoja inteligencije, ali je istovremeno još napola životinja koja ubija da bi preživjela. Razum nije posve razvijen, čovjekom upravljaju emocije koje nisu osviještene. Nacionalizam je sebičnost nacija, ali je istovremeno svijet toliko premrežen trgovinom, savezima i međunarodnim udruženjima (Internetom, dodali bismo), da narodi više nisu izolirane i neovisne države, već provincije u internacionalnom svjetskom carstvu. Ono je doduše još u zametku, nema svjetsku vladu i globalno važeće zakone koji bi štitili sve ljude podjednako, pa mu nedostaje pravda. U takvom svijetu najjači prigrabe vlast, a oni nisu najpravedniji ili najmoralniji, već često najsebičniji. Ljudi su za Martinusa "stanovnici" ovog planeta, grupirani u narode koji se naoružavaju, tako da jači mogu ugnjetavati i izrabljivati slabije stanovnike. To je stanje koje treba prevladati, razvojem inteligencije, znanosti, izgradnjom globalnog društva čiji je zametak UN (i EU). Takva zajednica više neće imati vanjskog neprijatelja, pa će nestati potreba za naoružavanjem! Svijetom bi tada konačno mogli upravljati najmudriji, a ne najsebičniji pojedinci.

Martinusove su knjige prevodene na brojne svjetske jezike (pa i hrvatski), ali je najpopularniji u Skandinaviji gdje ga smatraju filozofom i mistikom.

Čitajući loše vijesti koje prevladavaju u medijima, i one koje se odnose na informacijsku sigurnost kao i dnevno političke, čovjeka pomalo hvata depresija i defetizam. Što ja tu mogu, svojim malim snagama, doprinjeti? Zar Trumpov slogan "Amerika prije svega" ne podsjeća na Hitlerov "Deutchland uber alles" (sebičnost nacija)! Zar nam sada nije jasnije zašto nacionalistima svih boja EU predstavlja trn u oku? Zar nam nije jasnije zašto su u Vladu dospjeli ljudi koji obavljaju javnu funkciju za svoju osobnu korist (sebičnost političara)?

Čitajući na plaži Hararija i Martinusa možemo se opustiti, nasmijati, zabaviti, ali i razumjeti da nije sve tako crno, da svijet ide na nabolje, čovječanstvo evoluira. Još je pred nama mnogo posla, ali svatko od nas može doprinjeti time što će pošteno obavljati svoj posao, zar ne? Angažirati se u nekoj dobrotvornoj akciji, paziti kome dajemo glas na izborima, razotkrivati loše stvari i jasno se i glasno opredijeliti protiv njih, umjesto da samo sliježemo ramenima. Svaki se mali korak zbraja.

Dok sam na plaži surfao i tražio informacije za ovaj članak, notebook mi je uz glasni Puf! prestao raditi. Nije mu prijalo globalno zatopljavanje, a ni naša domaća bura. Znate kako to ide, ako nešto treba poći po zlu, poći će po zlu u najgori mogući trenutak. Kako ću održati rok i objaviti članak na vrijeme, u malom mistu na poluotoku, bez igdje ikog poznatog? Situacija se brzo i lako razriješila, pišem na posuđenom računalu. Nema toga što malo ljudske solidarnosti ne može riješiti.

Dok smo se mi odmarali, u srpnju se dogodilo nekoliko važnih stvari koje ukazuju na smjer u kojem se razvija naša tehnološka civilizacija. Nove tehnologije su moćne, onima koji žele moć mogu donijeti neslućene prednosti na račun ostaka čovječanstva koji tehnologiju doživljava isključivo s korisničke strane. 12. srpnja Facebook je dobio pljusku od regulatora: mora platiti kaznu od 5 milijardi dolara jer je podatke svojih korisnika bez njihova znanja i privole ustupio tvrtki Cambridge Analytica, koja ih je koristila kako bi utjecala na ishod predsjedničkih izbora u SAD i za podršku LeaveEU kampanji, popularno zvanoj Brexit.

Reakcije na kaznu su različite. Jednima ona izgleda ogromna, jer je Google 2012. dobio globu od samo 22 miliona dolara. To je dosad najveća kazna koju je FTC odrezao jednoj tvrtki. Ali pobornici ljudskih prava i dio kongresmena smatra da je preblaga, jer toliko otprilike FB zaradi mjesečno. Zuckerberg je kongresnicima koji su ga saslušavali priznao da FB nije dovoljno štitio prava svojih korisnika i obećao da će se ubuduće popraviti. Za svaki naredni proizvod (u najavi je kripto valuta) morat će prije njegova lansiranja objasniti koje će podatke prikupljati i kako će ih koristiti, te "obećati" da će poštovati privatnost korisnika. To nije prvi put da je FB pod sumnjom, ali očito je da regulatori paze da ne bi naštetili poslovanju tako uspješne tvrtke, dok u isto vrijeme moraju javnosti dati do znanja da se ne slažu s lošim poslovnim praksama i izigravanjem zakona. I vuci siti i ovce na broju!

Prisjetimo se kako EU namjerava oporezovati internetske tvrtke koje posluju globalno, a porez plaćaju lokalno, u državi u kojoj je sjedište. Ubuduće bi se za promet ostvaren u stranoj državi i pripadajući porez plaćao u toj državi. Mediji su nakon objave te vijesti prenijeli prijetnju predsjednika Trumpa da će SAD uzvratiti trgovinskim sankcijama! FB i društvo imaju moćne zaštitnike!

Sve u svemu ispada da skandal nije naškodio Facebooku: nakon objavljivanja vijesti o rekordnoj kazni FTC-a, dionice Facebooka su skočile! Očigledno je da su ulagači odahnuli, očekujući da će FB bez problema platiti kaznu i nastaviti poslovati po starom.

FB pruža uslugu besplatnog publiciranja svojim korisnicima, ali zarađuje od marketinga i prodaje osobnih podataka. Možemo očekivati da će sada njihovi odvjetnici preformulirati uvjete poslovanja i tražiti od korisnika da pristanu na njih, nastojeći tako od samih korisnika dobiti pravo na raspolaganje njihovim osobnim podacima.

Dok je FB kažnjen, Cambridge Analytica se više i ne spominje. Kako je to moguće, kad im je FB "samo" ustupio podatke, a oni su s njima radili nedopuštene stvari? Jednostavno, proglasili su bankrot, sakrili dokumentaciju i nestali.

Što je zapravo radila Cambridge Analytica? Iz ogromne mase podataka o biračima njihovi analitičari (numerati) nastojali su izdvojiti dvije grupe od interesa. Neodlučne, koji ne znaju za koga bi glasali, a onda među njima one koji bi se dali nagovoriti da se priklone strani za koju Cambridge Analytica radi. Druga grupa su ljudi koje se može pasivizirati, nagovoriti da se uzdrže od glasanja, a posebno među njima one koji su skloniji suprotnoj strani. Procjena je da su pobjedu Trumpu donijeli birači iz tri savezne države, njih ukupno 70.000, što je neznatna brojka u odnosu na ukupni broj birača u SAD. Ali pažljivim ciljanjem i slanjem personaliziranih poruka Cambridge Analytica je uspjela donijeti malu, ali presudnu prevagu i tako odlučiti ishod izbora.

Kako su u tome uspjeli? Analizom podataka o tome koje stranice ljudi lajkaju, tko su im prijatelji, koje su im sklonosti, što kupuju, koje stranice posjećuju, koje statuse čitaju itd. Drugim riječima, ostavljajući digitalne otiske mi korisnici otkrivamo o sebi mnogo više nego što smo u stanju zamisliti. Time dajemo trgovcima i političarima mogućnost da utječu na naše odluke. Trebamo se zapitati tko smo mi zapravo, što stvarno želimo, a što nam je usađeno izvana a da toga nismo ni svjesni? Jesmo li još autentični, ili smo postali nečiji proizvod?

Neke poslovne prakse koje je koristila Cambridge Analytica u najmanju su ruku degutantne, a svakako nemoralne i nezakonite. Poruke koje su širili društvenim mrežama nisu dio službene političke kampanje, već se plasiraju kao "glas naroda" s fiktivnih korisničkih računa. Za Trumpa su napravili slogan Crooked Hilary, a umjesto dvostrukog "o" stavili su lisičine, sugerirajući da se radi o nepoštenoj osobi koju bi trebalo zatvoriti. Trump je na svojim predizbornim skupovima izvikivao: Put her away! O tome nam pričaju bivši zaposlenici Cambridge Analytice koji su zgroženi time što se radi dali otkaze i postali žviždači. Do tada je Cambridge Analytica radila u tišini, ispod radara. Provodili su kampanje i u drugim zemljama osim Britanije i SAD, gdje su imali urede. Čini se da su sudjelovali i u huškanju budista u Mianmaru protiv muslimanske manjine, šireći strah i netrpeljivost, što je rezultiralo nasiljem nad manjinom. I za Brexit je jedan od najjačih "argumenata" bio strah od imigranata.

Otkrivanje skandala Facebook - Cambridge Analityca možemo zahvaliti istraživačkoj novinarki Carole Cadwalladr, koja je na to utrošila dvije godine. Godinu dana trebalo joj je da bivšeg zaposlenika CA nagovori da se ohrabri i progovori. Slijedila je trag novca da otkrije tko je financirao LeaveEU kampanju, otkrila je poslovne veze najvećeg britanskog donatora Arrona Banksa s Rusijom, gdje mu je nuđen udio u rudniku minerala. Jesu li i Rusi, uz neke bogate Amerikance, financirali Brexit? Lakše je pregovarati s pojedinim državama nego s EU kao blokom, pa je interes slabljenja EU očigledan. Cadwalladr je cijelo vrijeme izložena pritiscima, prijetnjama i sudskim tužbama. FB joj je prijetio tužbom ako objavi članak. Banks ju je na kraju tužio (također 12. srpnja), na što je ona uzvratila protutužbom za uznemiravanje i prijetnje s ciljem da je se spriječi u obavljanju novinarskog posla. Ni zviždačima iz Cambridge Analytice nije bilo lako, prijetila im je bivša tvrtka, čiji je vlasnik Robert Mercer, milijarder i republikanac koji je donirao 25 milijuna dolara za Trumpovu predizbornu kampanju.

Carole Cadwalladr je ugledna nezavisna novinarka (freelancer). Objavila je uspješan roman The Family Tree, po kojem je BBC snimio radio dramu i koji je preveden na nekoliko svjetskih jezika. Za svoj novinarski rad dobila je brojne prestižne nagrade (pobrojane su na njenoj stranici u Wikipediji).  Da bi mogla nastaviti istraživanja i podnijeti sudske troškove organizirala je uspješnu crowdfunding kampanju. Čitatelji su je odlučili podržati financijski, zato jer cijene njezino nezavisno novinarstvo. Za naše uvjete to se čini kao SF! Čitamo kako su na studiju novinarstva na Politologiji odlučili ukinuti predmet Istraživačko novinarstvo, vjerojatno zato jer se smatra da je to kod nas izumrlo i da mlade novinare s takvim obrazovanjem ionako nitko ne bi zaposlio. :(

O njenim otkrićima snimljen je film The Great Hack, koji je Netflix počeo prikazivati krajem srpnja. Film je sjajan, otkriva mnoštvo detalja i svjedočanstava iz prve ruke. Vrijedi ga pogledati. Izdvojit ću samo jedan živopisan detalj: bivša zaposlenica Cambridge Analytice, dok gleda prijenos saslušanja Zuckerberga i direktora Cambridge Analytice, ne može izdržati i svaki put kad oni izgovore neistinu emotivno reagira i buni se.

Carole Cadwalladr nastupila je u travnju 2019. na TED talku s izlaganjem pod nazivom "Facebook's role in Brexit — and the threat to democracy". U publici su bili "Bogovi Silicijske doline", osnivači Facebooka, Googlea, Twittera. Prenijet ćemo ovdje nekoliko citata iz njezina govora, a cijeli nastup pogledajte na TED-u.

"Ne moram vam reći da se mržnja i strah siju online širom svijeta. Ali mi vidimo samo mali dio koji se odvija na površini. Otkrila sam ponešto o ovom tamnom podzemlju samo zato jer sam počela istraživati tvrtku Cambridge Analytica. Mjesecima sam tražila bivšeg zaposlenika Christophera Wylia. Ispričao mi je kako je ta tvrtka radeći za Trumpa i Brexit profilirala ljude politički da otkrije njihove osobne strahove kako bi ih bolje ciljala Facebookovim oglasima. Nezakonito su od Facebooka pribavili profile 87 miliona ljudi. Tehnologija koju ste izmislili je sjajna, ali sada je ona prizorište zločina. Zato se sada obraćam izravno vama, bogovima Silicijske doline: Marku Zuckerbergu, Sheryl Sandvberg, Larry Pageu, Sergey Brinu i Jack Dorseyu. I vašim zaposlenicima i investitorima također. Vi ste to što se događa zapadnoj demokraciji kada se stoljetna tradicija izbornih zakona poremeti tehnologijom. Jer glasanje za Brexit pokazuje da je liberalna demokracija slomljena, a vi ste je slomili. To nije demokracija: širenje laži u mraku, plaćenih ilegalnim novcem dobijenim Bog zna otkud. To je subverzija i vi ste joj pomagači. Ne radi se više o lijevom ili desnom, Brexitu ili ostajanju, Trumpu ili ne. Radi se o tome da li je ubuduće moguće imati slobodne i poštene izbore. Kako stvari stoje, mislim da nije moguće. Zato vas pitam: da li vi to stvarno želite? Želite li da vas povijest tako pamti? Kao pomagače autoritarnoj vladavini koja se uzdiže širom svijeta? Jer vi ste naumili povezati ljude, a odbijate priznati da nas ista ta tehnologija sada razdvaja. Moje pitanje za sve ostale ljude jest: da li mi to želimo? Hoćemo li ih pustiti da se izvuku, zavaliti se i igrati se našim telefonima dok se spušta mrak?"

Zaista, hoćemo li ih pustiti da nam nekažnjeno rade što hoće? Današnji su moćnici već odavno naučili kako se manipulira demokratskim procesima, ali društvene mreže, big data i umjetna inteligencija pružaju im nove moćne alate. Dovoljno je imati novac da kupiš korisničke profile, a zatim platiš analitičarima da ti od toga naprave skrivenu kampanju koju ne može zaustaviti nikakvo izborno povjerenstvo. Cambridge Analytica je nestala sa scene, ali umjesto nje niknut će brojne slične tvrtke da zadovolje potražnju. A nama ne preostaje drugo nego se educirati da prepoznajemo kad netko cilja naše strahove i budi u nama netrpeljivost. Uostalom umjetna inteligencija se može koristiti i za prepoznavanje lažnih vijesti, zar ne?

Ovog smo mjeseca ponovo dočekali da trinaesti dan u mjesecu pada u petak. Nije se dogodilo ništa spektakularno, nebo nam se nije sručilo na glavu, ali taj nas datum može potaknuti, makar i ne bili praznovjerni, da se poigramo traženjem rizika koji bi nas mogli izložiti nezgodama na neki drugi datum. Naravno, ovdje nas najviše zanimaju nove tehnologije i načini na koje one obogaćuju društvo, ali istovremeno donose i nove opasnosti.

Pažnju nam je privukla vijest koju prenosi The Washington Post. Događaj je prenesen u anonimiziranom obliku, tako da ne znamo tko su stvarni sudionici. Po svemu sudeći, dogodilo se to negdje u Velikoj Britaniji, u tvrtki koju je osnovala kompanija iz Njemačke. Rukovoditelja engleske tvrtke nazvao je šef roditeljske kompanije i naložio mu da hitno izvrši prijenos 220.000 € na račun treće, neimenovane tvrtke. Kad je prijenos novca obavljen, njemački šef je ponovo nazvao i zahvalio, obećavši da će brzo nadoknaditi isplaćenu sumu. No umjesto toga nazvao je treći put i zatražio da se prebaci dodatni iznos. Kako novac nije nadoknađen, probudila se sumnja i novi transfer nije obavljen. Uskoro se pokazalo da je sve skupa bila prijevara, nalog nije stigao od stvarnog rukovoditelja, već je netko (ili nešto!) vješto imitirao njegov glas, izgovor engleskog s njemačkim akcentom, boju glasa, sve je savršeno odgovaralo. Već pogađate da se nije radilo o čovjeku imitatoru, već je glas rukovoditelja proizveo program umjetne inteligencije. I tako smo dobili novu kategoriju socijalnog inženjeringa, financijsku prijevaru, ili narodski rečeno krađu, koja je izvedena na daljinu, krađom identiteta uz pomoć AI. Pokušaj vraćanja novca nije uspio, jer je već prebačen preko nekoliko računa i izgubio se u bespućima bankarske mreže, završivši u mraku u nekoj poreznoj oazi.

Pisali smo već o tome kako se umjetna inteligencija koristi za stvaranje lažnih video i audio snimaka kojima se može izazvati komične efekte ili kompromitirati neka javna osoba. U takvim se slučajevima radilo o humoru, ili o nekakvoj kampanji za pridobivanje (ne)simpatija javnosti, odnosno birača. U ovom slučaju radi se o čistom kriminalu.

Naša djeca na mobitelu koriste aplikaciju Snapchat koja svojim filterima preobličava snimljene likove i pretvara ih u karikature, likove iz crtića, na primjer zečiće s dugim ušima. Nije teško otići korak dalje, pa zamisliti kako na mobitelu imamo instaliranu AI aplikaciju koja snima glasove (i video) ljudi s kojima komuniciramo i sprema specifičnosti svakoga od njih. Kad se prikupi dovoljno podataka, s pomoću te aplikacije možemo nazivati ljude tako da iz izbornika odaberemo osobu čiji identitet želimo preuzeti. AI će tada preobličiti naš glas (a možda i izgled) u imitaciju odabrane osobe. Mogućnosti socijalnog hakiranja postaju neograničene. No osim zabave i praktičnih šala mogući su i zloslutniji scenariji, koje će kriminalni mozak već znati osmisliti prema svojim potrebama.

Takva aplikacija zasad nije u ponudi na javnom tržištu, ali čini se da je nešto nalik na to već napravljeno, možda se nudi na crnom tržištu.

Znači li to da uskoro nećemo više smjeti vjerovati u identitet sugovornika s kojim komuniciramo? Svako se uspješno društvo zasniva na povjerenju među njegovim članovima. Istovremeno u svakom društvu postoje pojedinci i grupe koji to povjerenje nastoje zloupotrijebiti. Što se toga tiče, u osnovi se ništa nije promijenilo, samo se mijenjaju načini prijevare. Ljudi nenavikli na nove tehnologije praktički se sami nude kao potencijalne žrtve. Zato je važno držati korak sa sve bržim razvojem i biti informiran istovremeno o upotrebi i zloupotrebi svake nove tehnologije.

Kako sa sve većim brojem ljudi komuniciramo preko mreže, a sve manje u četiri oka, morat ćemo usvojiti nove navike i očekivati nove vrste prijevara, kakve do sada nismo poznavali. A to se ne odnosi samo na nas korisnike, već i na društvo u cjelini. Treba pohvaliti objavu primjera neimenovane tvrtke koja je kriminalcima isplatila novac jer nisu prozreli high tech prijevaru . Ocijenili su da je važnije upozoriti javnost i prihvatili rizik da time ugroze image tvrtke. Nije poznato da li je to prvi slučaj takve prijevare, ili naprosto prvi koji je prijavljen. U svakom slučaju trebamo se pripremiti za nove pokušaje.

Ne znam da li je normalna praksa da se isplate obavljaju usmenim nalogom, bez papirologije? No tu se radi o privatnim tvrtkama, gdje vlasnik ima veće ovlasti. Svejedno, koliko bi teško bilo nazvati osobu koja je dala nalog i zatražiti još jednom potvrdu? Kako god bilo, bit će potrebno popraviti i sigurnost bankarskih transakcija, uključujući nove načine plaćanja. Bilo bi lijepo da možemo pratiti trag novca i zatražiti povrat prijevarom oduzetih sredstava. No porezne oaze teško ćemo iskorijeniti. Sve dok bogati i moćni imaju interes očuvati ih za svoje potrebe, njima će se koristiti i kriminalci.

Istraživači su otkrili da se može izigrati ograničenje dnevne potrošnje/podizanja gotovine na Visa kartici. Ograničenje je oblik zaštite: ako se netko dočepa vaše kartice, neće moći potrošiti sve brzo i odjednom. Također saznajemo da lopovi hodaju po gradu noseći uređaj za očitavanje čipa na kreditnim karticama. Čuvajte svoje kartice! Jeste li već kupili RFID novčanik, koji će to spriječiti? Otključavanje automobila na daljinu je komforno, ali lopovi imaju prijemnik koji očita signal, pa mogu otvoriti automobil kad se vi udaljite. Da li vaš ključ šalje uvijek isti signal za otvaranje vrata, ili ih generira nekim algoritmom? Sumnjam da je to itko pitao prodavača automobila, a sumnjam i da oni znaju odgovor na to pitanje. Itd, its. Ukratko, sigurnost se ponekad može popraviti low tech metodama, kao što je RFID novčanik, ili otključavanjem automobila na starinski način.

Na blagajnama sve češće vidimo ljude koji plaćaju prislanjanjem mobitela na POS. Još nismo saznali da li su lopovi pronašli način da hakiraju i tu metodu plaćanja. Ali to je samo pitanje vremena.

Ah, da, da ne zaboravimo... Koristite li webmin, ljubazno sučelje za administriranje Linux servera? Otkriven je backdoor koji napadaču omogućava izvršavanje brojnih naredbi na serveru. Procjenjuje se da je na mreži oko milijun servera s instaliranim webminom. Provjerite da li je vaša instalacija ranjiva, pa poslušajte preporuku za prelazak na verziju 1.930. Članak s više informacija potražite na ovoj adresi.

Mediji prenose vijest kako je Google dobio pravnu bitku protiv EU. Na webu ćete naći naslove koji sugeriraju da je Google ostvario veliku pobjedu time što je European court of Justice presudio da Google ne mora ukloniti poveznice na osjetljive osobne informacije koje pretraživač prikazuje ako su sadržaji objavljeni izvan granica 28 članica EU. GDPR to naziva "pravo na zaborav". Po presudi, to pravo ne vrijedi izvan granica EU. Što to zapravo znači i kakve bi mogle biti posljedice ovakve presude?

GDPR je regulativa EU koja je na snazi od 2018., kada je zamijenila Data Protection Directive iz 1995. godine. Obvezuje tvrtke i organizacije koje su osnovane u Europi ili tamo imaju klijente. Regulira način na koji se mogu prikupljati, čuvati i koristiti osobni podaci. Ukratko, osobni podaci su vlasništvo osobe, to je osnovni postulat koji često zaboravljamo i olako ga se odričemo, bez pravog razumijevanja posljedica. Pristup osobnim podacima imaju državna tijela, radi obavljanja svojih poslova, ali i neke kompanije poput banaka i telekom operatera, kojima je to neophodno za obavljanje posla. Ostale tvrtke bi trebale biti oprezne kad traže osobne podatke klijenata, objasniti im kako će ih koristiti i zatražiti od klijenta privolu za to. Jedna od stvari o kojoj se ne vodi računa je rok do kojeg se smiju čuvati osobni podaci? Ponekad regulativa zahtijeva  da se podaci čuvaju određeno vrijeme. Što kad to vrijeme istekne? Da li se podaci brišu? Tko to provjerava? GDPR daje korisniku "pravo na zaborav", pravo da zatraži uvid u osobne podatke koje čuvaju tvrtke i organizacije i zahtijeva da se ti podaci na njegov zahtjev brišu. Baš me zanima kako bi se kod nas proveo klijent koji bi ušetao u ured neke tvrtke, tražio uvid u svoje osobne podatke i  naložio da ih se uništi.

U praksi se ta pravila često krše. Od mene su tražili ime, prezime, adresu i broj telefona kad sam htio kupiti WC kotlić! Na pitanje zašto im trebaju moji osobni podaci, trgovac je odgovorio da im trebaju "radi garancije". Prigovorio sam da je za garanciju dovoljan račun i ovjera pečatom, bez ikakvih osobnih podataka! Odgovorili su mi da su ih tako instruirali iz uprave. Na pitanje kako će se podaci koristiti i koliko će ih dugo čuvati (na pr. do isteka garancije), nisu znali odgovoriti. Nisu krivi trgovci, nego tvrtka koja ih nije informirala o zakonskoj regulativi.

Toliko o lokalnim trgovcima. Što s gigantima poput Googlea ili Facebooka, koji imaju milijarde klijenata, registrirane su u jednoj državi a posluju diljem planeta? Javna je tajna da zarađuju trgujući osobnim podacima korisnika, prodajući ih ne samo trgovcima koji su u lovu na kupce, nego i tvrtkama poput Cambridge Analitice, koje rade za političke stranke. Za njih su naši osobni podaci pravo blago na kojem se može dobro profitirati. Tržišna vrijednost Facebooka procijenjena je na 475 milijardi dolara, a dobit im raste 38% godišnje. Što može jedan mali korisnik iz Hrvatske tražiti od tvrtke čija je dobit veća od BDP-a cijele Hrvatske? Za svoje se stanovnike pravnim sredstvima zalaže EU, ali eto, sudeći prema novinskim napisima, izgubila je bitku protiv Googlea. No ako pažljivo čitamo tekst ispod bombastičnog naslova, ispada da bitka nije posve izgubljena. U slučaju spomenutog sudskog spora Francuska agencija za zaštitu osobnih podataka tražila je od tvrtke Google da europska pravila primjeni globalno, barem na francuskoj verziji pretraživača (Google.fr). Sud je presudio da GDPR vrijedi unutar EU, ali ne i izvan nje! Od 2014. građani EU dobili su bolju kontrolu nad svojim podacima, mogli su tražiti da se uklone poveznice na podatke koji su zastarjeli, uvredljivi ili "osjetljivi". Sud je dakle samo presudio da Europski standardi ne mogu vrijediti izvan EU sve dok ostatak svijeta ne uvede sličnu regulativu. Ukratko, izgubljena je bitka, ali ne i rat. Google bi, prema preporuci koja ide uz presudu, trebao otežati pretraživanje povjerljivih podataka o građanima EU i izvan EU, iako se tamo ne primjenjuje GDPR.

A mi se, Europljani, još jednom moramo podsjetiti koliko smo privilegirani jer živimo u ovoj zajednici država koja pruža ostatku čovječanstva primjer kako se može ostvariti prosperitet u miru, suradnji i pružati svojim građanima dobru pravnu zaštitu. Problem s Googleom se dogodio kad je Francuska Agencija pokušala tu pravnu zaštitu proširiti na ostatak svijeta.

No nas će i dalje zanimati na koji način tvrtke poput Googlea koriste osobne podatke svojih korisnika? Kad izguglate pojmove Google i GDPR, na vrhu liste poveznica pojavit će linkovi na Googleove dokumente u kojima je na jednostavan način objašnjen smisao GDPR-a, a zatim su pobrojani načini na koje Google tvrtkama klijentima pomaže u ostvarivanju te regulative. U Google cloudu na raspolaganju su im alati za višestruku autentikaciju i slično. Sve u svrhu postizanja poznatih ciljeva: Confidentiality, Integrity, Availability. Na prvi pogled, regulativa je ozbiljno shvaćena, Google je primjenjuje i pomaže korisnicima clouda da to i sami ostvare. Ako želimo zaviriti ispod površine, treba potražiti pomoć organizacija i pojedinaca kojima je stalo do zaštite osobnih podataka.

Tvrtka Brave osmislila je radikalno drugačiji način praćenja sadržaja na Internetu. Njihov Brave browser je brži (2x na laptopu i 7x na pametnom telefonu) i troši manje bandwidtha tako što blokira oglase i pratitelje, smanjuje račun za telekom vezu i produžuje vijek trajanja baterije na mobilnim uređajima. Jer htjeli mi to ili ne, dobar dio prometa potroše sadržaji koje ne tražimo, ali ih u postojećem poslovnom modelu ne možemo izbjeći. Zašto bi korisnici plaćali za nešto što nisu naručili? Zato su u Bravu osmisli novi model oglašavanja zasnovan na blockchain tehnologiji. Uvode se tokeni, pa će korisnici koji žele vidjeti neki sadržaj biti nagrađeni tokenima, koje će moći poklanjati izdavačima čije sadržaje žele pratiti i koje žele poduprijeti. Blockchain tehnologija će eliminirati prijevare i omogućiti nam da biramo sadržaje koje želimo. Zvuči odlično, zar ne? Zašto bi neki posrednici zarađivali na reklamama koje nam se nameću i na prodaji podataka o nama?

Brave je napravio i analizu postojećeg poslovnog modela. Pratili su što se događa s podacima o korisnicima pretraživača. Googleov “DoubleClick/Authorized Buyers sustav oglašavanja aktivan je na preko 8.4 milijuna siteova. On odašilje osobne podatke o posjetiteljima na adrese preko 2,000 tvrtki, stotinama milijardi puta dnevno”, tvrdi Dr Johnny Ryan of Brave (zvuči kao plemićka titula). Dokaze za tu tvrdnju dao je nadležnoj Irskoj agenciji (Irish Data Protection Commission). Kako to funkcionira?

Na stranici https://brave.com/google-gdpr-workaround naći ćemo informacije o tome kako Google zaobilazi prepreke koje postavlja GDPR. Google je razvio Real Time Biding sistem, koji omogućuje tvrtkama da se nadmeću tko će pojedinom korisniku pokazati reklamu. Tvrtke se ohrabruju da dijele podatke, a Google im nudi “Push Pages” uslugu sa svoje domene (https://pagead2.googlesyndication.com). Svaka push stranica zove se “cookie_push.html”, a međusobno se razlikuju po kodu koji Google dodaje na kraju. Kod sadrži skoro 2000 znakova koji sadrže podatke o posjetitelju. Citiramo: "Svaki put kad osoba posjeti web stranicu koja koristi RTB, podaci o njoj se šalju desecima i stotinama tracking tvrtki, koje omogućuju oglašivačima da se nadmeću za priliku da im pokažu reklamu. Podaci mogu uključivati podatke o tome što čitaju, čime se može otkriti njihova seksualna orijentacija, politički pogledi, vjeroispovijest, zdravstveno stanje, na primjer AIDS, bolesti koje se prenose seksom i depresija. Uključeni su podaci o tome što osoba čita, gleda, sluša, njihova lokacija, ID kodovi specifični za tu osobu, tako da se s vremenom i kontinuirano ti podaci mogu povezivati s fizičkom osobom." Google zapravo i nema kontrolu što se sve događa s osobnim podacima koje tako velikodušno dijeli, ali njihova tehnologija je upravo tako i zamišljena.

Neki dan sam gledao simpatičnu talijansku seriju o detektivu Montalbanu. On rješava ubojstva počinjena pištoljem. Forenzičar mu kaže da se vjerojatno radi o "pištolju za gađanje", kako je to prevedeno s talijanskog . Zar postoje pištolji s kojima se ne gađa? Pretpostavio sam da se radi o sportskom pištolju za natjecanja u streljaštvu. Išao sam izguglati taj pojam, bio sam u pravu, oružje za streljaštvo ima dužu cijev i veliku dršku koja je ergonomski oblikovana da bolje leži u ruci. Zadovoljno sam zatvorio preglednik, ali onda sam shvatio što sam uradio. Sad je moj profil obogaćen "činjenicom" da me zanima oružje. Tko zna kakve ću odsada reklame morati podnositi? Googleov cookie vjerojatno nije u stanju razabrati da sam samo provjeravao da li je prijevod dobar.

Pametnome dosta. Idem instalirati Bravo preglednik. Novi browser donosi novi poslovni model, koji je bolje usklađen s pravima korisnika. Mogli bismo reći da donosi i civilizacijski napredak. A Google vjerojatno može očekivati nove tužbe.

S padom cijena SD kartica počele su se sve više koristiti i čak zamjenjivati popularne USB stickove kao prijenosni medij za naše dragocjene podatke. No i SD i USB memorije su ranjive, nepouzdane, mogu se pokvariti. Sistemci su često u poziciji da se od njih traži pomoć kad podatkovni medij zataji, a korisniku hitno trebaju podaci koji su na njima. Tako je i meni nedavno došao korisnik s dvije SD kartice od 64 GB koje su iznenada, iz čista mira, prestale raditi. I to simultano, obje odjednom, kao da su se dogovorile!

Ubacio sam ih, jednu po jednu, u utor na svom notebooku. Ubuntu je primijetio da su kartice ubačene, ali ih nije uspio inicijalizirati, kao što pokazuje kernel log.

Oct 13 08:41:00 doma kernel: [ 6280.204871] mmc0: error -5 whilst initialising SD card

Dakle zapelo je na niskoj razini, prije pokušaja da se montira datotečni sustav. Kernel prepoznaje da se radi od SD kartici, ali nije u stanju prepoznati o kojoj se vrsti kartice radi, koliki je njen kapacitet. Nakon toga bi se prepoznala particija, tip datotečnog sustava, i montirao datotečni sustav.

Greška je vjerojatno u kartici, ali moguće je da nešto ne radi kako treba na računalu. Malo guglanja i brzo nađemo primjere kako su se drugi snašli. Neki su uspjeli riješiti problem tako što su ponovo pokrenuli računalo.

No u našem slučaju to nije pomoglo. Nakon reboota ništa se nije promijenilo.

Posegnuli smo za savjetima druge grupe korisnika koji tvrde da se problem pojavio nakon instalacije novog kernela. Problem su riješili kad su digli Linux sa starijom verzijom kernela. No dobro, ni to nije problem: kod boota se drži pritisnuta tipka Shift, pojavi se grub izbornik, umjesto "defaultnog", zadnjeg kernela odaberemo prethodnu verziju, pričekamo da se OS učita. Ulogiramo se, ubacimo karticu. Nema promjene.

Dakle problem nije u kernelu. Trebalo bi eliminirati mogućnost greške čitača kartica. Ubacujem kartice u drugo računalo, ali ni to nije riješilo problem. Sad je jasno da je problem u karticama.

Da bih to potvrdio, vadim SD karticu iz fotoaparata i ubacujem je u računalo. Radi! Dakle i softver i hardver na mom računalu su ispravni. Kernel log to potvrđuje:

Oct 13 08:45:46 doma kernel: [ 7166.638696] mmc0: new high speed SDHC card at address 1234
Oct 13 08:45:46 doma kernel: [ 7166.738110] mmcblk0: mmc0:1234 SA04G 3.64 GiB

Kartica iz fotića je manjeg kapaciteta, 4 GB.

Da je računalo ispravno identificiralo korisnikove kartice mogli bismo pristupiti uređaju na fizičkoj razini, napraviti bitcopy sadržaja i onda forenzičkim alatima spašavati podatke. O tome smo već pisali. Nažalost, ovdje nam to neće pomoći.

Korisnik je donio SD kartice u plastičnoj vrećici koja s jedne strane ima nešto nalik na smičak ( starohrvatski: ciferšlus :). Pitam ga da li je vrećicu kupio kao etui za čuvanje SD kartica? Kaže da je tražio po gradu torbicu za tu namjenu, ali je nije našao, pa je iskoristio plastični uložak iz jednog starog poslovnog planera. Pitam ga da li je napravljen od antistatičkog materijala? Korisnik sliježe ramenima, nije o tome razmišljao. Možda je problem u statičkom elektricitetu? Kako bi bilo da pokušam isprazniti naboj na kartici? Nadam se da neću time uništiti karticu. Korisnik se složio, ionako više nema koristi od nje.

Oprao sam ruke da se najprije ja ispraznim od statičkog elektriciteta. Nakon toga prelazim palcem preko kontakata na kartici. Ništa se dramatično nije dogodilo, nije zaiskrilo. Ponovim "pražnjenje" s drugom karticom. Za svaki slučaj izgovorim magične riječi: Abrakadabra! Obojica se smijemo dok priključujem karticu. Gle čuda, radi! Ubuntu je montirao karticu, podaci su gore, sve izgleda kako treba biti. Probam i drugu karticu, sve 5!

Oct 13 8:50:56 doma kernel: [40476.931054] mmc0: new ultra high speed SDR50 SDXC card at address 1234
Oct 13 8:50:56 doma kernel: [40476.935058] mmcblk0: mmc0:1234 SA64G 58.0 GiB
Oct 13 8:51:44 doma kernel: [40524.645740] mmc0: card 1234 removed
Oct 13 8:52:43 doma kernel: [40583.415198] mmc0: new ultra high speed SDR50 SDXC card at address 0007
Oct 13 8:52:43 doma kernel: [40583.420259] mmcblk0: mmc0:0007 SD64G 58.3 GiB
Oct 13 8:59:14 doma kernel: [43374.852365] mmc0: card 0007 removed

Kartice su ispravne! A malo je nedostajalo da ih bacimo u smeće! Pouka je da ne treba odustajati, ponekad treba razmišljati "out of the box". Iz datuma u logu vidimo da se to dogodilo 13-tog ovog mjeseca, u petak! Nije čudo da je za popravak bila potrebna abrakadabra. :) Korisniku je pao kamen sa srca, datoteke s kartica trebaju mu za posao. Pozvao me na kavu, zaslužili smo je. Usput sam održao predavanje o važnosti backupa. Treba li reći da smo plastičnu vrećicu bacili, umjesto nje privremeno spremili kartice u antistatičku vrećicu u kojoj se isporučuju tvrdi diskovi.

Kasnije sam potražio torbice za čuvanje SD kartica na web stranicama naših trgovaca. Zaista ih nitko nema! Zanimljivo je da trgovci prodaju SD kartice, ali ne i torbice u koje bi ih mogli spremiti! Onako minijaturne, lako se izgube, pa je njihovo arhiviranje neophodno. Srećom, ima ih na Internetu, pa ih možemo naručiti "izvana" (ako taj pojam ima smisla na globalnoj mreži).