Na TV-u pratimo National Geographicovu seriju "Istrage zrakoplovnih nesreća". Avioni su kompleksni tehnološki proizvodi, kada zakažu ljudski su životi u opasnosti. Pogreške koje su ustanovljene tijekom istrage vode do konstantnog poboljšavanja tehnologije, hardvera i softvera, ali i procedura kojih se moraju pridžavati piloti i serviseri koji održavaju zrakoplove. Američka agenicija koja vodi istrage zrakoplovnih nesreća zove se National Transportation Safety Board (NTSB). U njihovu jurisdikciju spadaju i nesreće u cestovnom prometu. Tako su nedavno, 5. studenog 2019. objavili rezultate istrage prometne nesreće u kojoj je sudjelovao Uberov automobil bez vozača.

Zagovornici tehnologije s nestrpljenjem očekuju izgradnju mobilne mreže pete generacije, koja će omogućiti da raznovrsni umreženi uređaji međusobno komuniciraju. To bi, između ostalog, trebalo povećati sigurnost u prometu, jer će računala u vozilima "u stvarnom vremenu" razmjenivati podatke međusobno i s uređajima koji okružuju prometnicu. Vozač koji ulazi u nepregledan zavoj ne može znati da se s druge strane nalazi prevrnuta prikolica. Ali računalo u automobilu primilo bi obavijest i počelo kočiti prije nego vozač ugleda mjesto nesreće. Istovremeno će i ostala vozila u koloni početi kočiti. Sjajno, zar ne?

Tehnološki noviteti još su u razvoju, trebat će proći vremena dok se pronađu i otklone neizbježne "početničke" greške. Taj je put prošla i avioindustrija, koja je učeći na pogreškama i neprestanim usavršavanjem tehnologije s vremenom postala najsigurniji način prometanja. Na primjer, avio motori su konstruirani tako da mogu raditi dok pljušti kiša i pada led. Ali testiranja su iz nekog razloga obavljana pri punoj snazi, a nesreća se dogodila dok je avion slijetao. Pri manjem broju okretaja kiša i led su izazvali gašenje svih motora. Nakon istrage proizvođač je prihvatio sugestije NTSB-a i ugradio u motore dodatnu zaštitu protiv ulaska leda u motor i ispuste za izbacivanje vode koja je ušla. Kao rezultat takvih istraga avio promet je danas siguran. Veća je šansa da čete stradati na cesti nego u zraku. Nesreće se neizbježno događaju i dalje, privlače pažnju javnosti radi broja žrtava, ali statistika je neumoljiva: ako trebate doći iz Zagreba u Dubrovnik, sigurniji ste u avionu nego u automobilu. Hoće li se to promijeniti uvođenjem pete generacije mreže, IoT i računalno upravljanih automobila? Nadajmo se da hoće. Ali do tog vremena bit će potrebno naučiti mnogo lekcija, ispraviti brojne greške, očekivati neočekivano i otkrivati događaje koje nitko nije predvidio prilikom projektiranja.

Uberovo vozilo bilo je opremljeno s deset kamera i infracrvenim radarom (LIDAR) koji emitira ljudima nevidljivu svjetlost i mjeri vrijeme do povrata odbijenih zraka, kako bi pratio kretanje "objekata" u prometu. Računalo je bilježilo sve podatke prikupljene u vožnji i koristilo ih za upravljanje vozilom. Na vozačevom sjedalu sjedio je operater čiji je posao bio da nadzire vožnju i reagira u slučaju potrebe. Softver je bio konfiguriran tako da otkriva situacije u kojima treba reagirati kočenjem, ali kočenje prepušta operateru. Kako se radilo o testnoj verziji, time se htjelo izbjeći situacije u kojima bi vozilo bez prave potrebe zakočilo i time izazvalo rizik od lančanog sudara. Ukratko operater ne bi smio čitati i surfati, posao mu je bio da prati situaciju i dodirom na ekranu obilježava situacije za koje smatra da ih treba kasnije proučiti.

Prometna nesreća dogodila se u Arizoni 18. ožujka 2018. oko 9 sati navečer. Pred Uberov Volvo izašla je pješakinja koja je gurala bicikl. Računalo je najprije uočilo nepoznat predmet, zatim je prepoznalo bicikl. Da li je time pogrešno izračunalo brzinu kretanja "objekta", očekujući da će brže preći cestu? Zatim je računalo upozorilo na nadolazeći sudar. Operaterka je reagirala okretanjem volana, ali počela je kočiti tek nakon sudara.

NTSB je na svojoj web stranici objavio opsežan izvještaj, koji se sastoji od 43 dokumenta! Štivo je zanimljivo, ali treba strpljenja i upornosti da se sve prouči. Nismo sve pročitali, ali ukratko, čini se da je pješakinja prelazila cestu mimo pješačkog prijelaza. Nije uopće gledala u smjeru dolazećeg automobila, sve do pred sam sudar. Dakle automobil je imao prednost, pješakinja ga je trebala propustiti. Svoj dio krivice snosi i operaterka, koja je prekasno reagirala i u istrazi nastojala prikriti činjenicu da je u vožnji koristila mobitel. Softver nije zvučno upozorio operatera na dolazeći sudar, jer se, vjerojatno, pretpostavljalo da će operater cijelo vrijeme pratiti situaciju. Kao što se događa u avionskim nesrećama, ne može se pokazati na neki jednostavan uzrok, već se u pravilu radi o nesretnoj kombinaciji nekoliko čimbenika.

NTSB je čuven po tome da poslije svake nesreće daje preporuke kako ubuduće izbjeći slične događaje. Dokumentacija pokazuje da su na prometnici nakon nesreće učinjene izmjene, dodani su znakovi koji upozoravaju pješake da ne prelaze cestu i usmjerava ih prema obilježenom prijelazu.

U istrazi su korištene snimke svih kamera, podaci iz računala, ali i iz elektronike koja upravlja zračnim jastukom. Podaci su višestruko provjeravani, iz udaljenosti na koju su pješakinja i bicikl odbačeni izračunali su snagu udara i brzinu kretanja automobila. Rezultat se slaže s podacima iz računala u vozilu. Provjeravano je također da li cestovna mapa koju koristi računalo odgovara stvarnoj cesti na kojoj se dogodila nesreća. Na cestama su uobičajeni naknadni radovi, dodavanje traka za skretanje, novih prometnih znakova i slično, tako da ovakva provjera ima smisla kad se traži uzrok nesreće.

Pravne posljedice ovakvog tipa nesreće još nisu poznate. Hoće li žrtve tužiti proizvođače vozila i tražiti odštete? Tko će biti proglašen krivim ako vozilom upravlja računalo? Hoće li svoj dio krivice morati preuzeti i 5G mreža? To ćemo ubrzo saznati, kažu da u SAD ima najviše odvjetnika prema broju stanovnika, a oni se pobrinu da se podižu tužbe u svim slučajevima kada se može nešto zaraditi.

No sa stanovišta informacijske sigurnosti, možemo se zapitati kakve bi bile posljedice hakiranja prometne mreže i vozila u prometu? Hoće li neki budući tehno teroristi šaljući lažne podatke vozilima izazivati lančane sudare? Hoće li se neki hi-tech atentatori upletati u promet kako bi izazvali nesreće u kojima će stradavati ciljane osobe? Kako će istražitelji uopće moći dokazati da je netko namjerno izazvao nesreću?

Vratimo li se u sadašnjost, naći ćemo situacije koje izgledaju kao nagovještaji budućih problema. Otkriven je malware za pametne telefone kojeg je, kad se jednom instalira, nemoguće ukloniti. Ne pomaže ni vraćanje na tvorničke postavke, čime se briše sav naknadno instaliran softver. Zločestoća se i u tom slučaju vrlo brzo vrati na mobitel. Još nije otkriven mehanizam koji to omogućuje. Radi se programu xHelper za Android, koji se instalira prilikom skidanja nekog drugog programa, koji usput skine xHelper s weba izvan PlayStorea. Zasad ne radi ništa posebno opasno, samo prikazuje neželjene reklame. Ali neka buduća primjena mogla bi biti zloćudnija.

S obzirom da nas kao korisnike pametnih telefona nervira softver koji dobijemo predinstaliran s mobitelom, a ne koristimo ga, samo troši energiju, ne da se ni zaustaviti ni deinstalirati, ne možemo a da se ne zapitamo da li xHelper samo koristi nešto što je proizvođač već ugradio u sam OS? Pratit ćemo rezultate istrage koja još traje. Više o xHelperu pročitajte u članku na ZDNetu.

Nadalje, čitamo kako je otkriveno da su Kinezi, točnije hakeri iz grupe APT41 koji rade za vladu, još davne 2012. u mreže telekoma ubacili virus MESSAGETAP, koji prati i snima SMS poruke odabranih mobitela. Zanimljivo nam je zapadni mediji primjećuju takve stvari samo kad su u pitanju Kinezi ili Rusi, kao da samo oni rade takve nepodopštine.  Pratimo izdaleka i trgovinsko-obavještajnu bitku oko toga čiju ćemo 5G mrežu koristiti? Kineska je nekima nepoželjna, posve smo svjesni činjenice o kojoj se baš i ne govori otvoreno: tko će moći nadzirati promet u 5G mreži? Da li nam je svejedno hoćemo li koristitii Kinesku opremu ili opremu nekog "zapadnog" proizvođača? Nećemo politiku u svoju butigu, ali politika sama u nju ulazi, htjeli mi to ili ne.

U svakom slučaju, živimo u zanimljivim vremenima, kako kaže stara Kineska kletva.

Računala nisu efikasni potrošači električne energije, većinu pretvaraju u toplinu, a manji dio u koristan rad. S vremenom se sve više zagrijavaju, pa bi ih trebalo povremeno očistiti. To možda i nije posao sistemskog inženjera, jer je hardverski problem, ali bože moj, tko će to napraviti ako neće sistemac? :(

Kada vam korisnik donese notebook tvrdeći da se pregrijava, hoćete li odmah uzeti alat u ruke i otvoriti kućište da ga očistite? Ili ćete, kao pravi inženjer, najprije nastojati potvrditi "dijagnozu"? :)

Na Linuxu nam mogu pomoći praktični softverski alati, koji pokazuju temperaturu tvrdog diska i pojedinih čipova. Krenimo od diska. Pomoći će nam program hddtemp. Najprije ćemo ga instalirati:

$ sudo apt install hddtemp

Sintaksa za dobivanje temperature diska izgledala bi ovako: hddtemp TYPE:disk, gdje je TYPE SATA, PATA, SSD...

Na primjer:

$ sudo hddtemp SSD:/dev/sda
/dev/sda: HFS128G39TND-N210A: 34°C

TYPE se može izostaviti, hddtemp će se snaći i sam. To će nam dobro doći da ne moramo istraživati kakav je disk u računalu kojeg smo tek dobili u ruke.

$ sudo hddtemp /dev/sda
/dev/sda: HFS128G39TND-N210A: 34°C

Dobili smo podatke o uređaju (/dev/sda), identifikacijski kod diska i njegovu temperaturu. Za praktične svrhe to bi bilo dovoljno, ali previše smo radoznali da ne bismo iskušali što nam sve ovaj alat nudi.

Treba li reći da možemo dobiti očitanja za više diskova odjednom, samo ih treba redom navesti:

$ sudo hddtemp /dev/sda /dev/sdb /dev/sdc

Uz naredbu se u paketu dobije i baza s podacima o diskovima koji imaju senzor temperature. Baza je u datoteci /etc/hddtemp.db, a možete je izlistati ovako:

$ sudo hddtemp -b
Regexp                                       | Value | Description
-----------------------------------------------------------------------------------
FUJITSU MHM2100AT                 |     0 | Fujitsu MHM2100AT
HITACHI_DK228A-65                   |     0 | Hitachi DK228A-65
IBM-DARA-212000                       |     0 | IBM Travelstar 12GN
IBM-DTTA-35*                              |     0 | IBM Deskstar 16GP serie
IBM-DJNA-35.*                            |   231 | IBM Deskstar 25 GP serie
IBM-DJNA-37.*                            |   231 | IBM Deskstar 22 GXP serie
IBM-DHEA-(34330|36480)             |     0 | IBM Deskstar 5 serie
IBM-DHEA-(34331|36481|38451)   |     0 | IBM Deskstar 8 serie
IBM-DPTA-37.*                            |   231 | IBM Deskstar 34GXP serie
IBM-DPTA-35.*                            |   231 | IBM Deskstar 37GP serie
Maxtor 5(1024|1369|2049|2732|3073|4098)U(2|3|4|6|8)    |     0 | Maxtor DiamondMax Plus 40
...

Potražimo u bazi disk iz našeg primjera:

$ hddtemp -b | grep HFS128G39TND-N210A

Nismo ga promašli, što nije smetalo da dobijemo očitanje temperature. Možemo ga sami dodati, i/ili još bolje javiti autoru Emmanuelu Veragnatu (hddtemp@guzu.net) koji će ga uvrstiti u novu verziju paketa. Google će nam brzo pronaći podatke o disku, na primjer za disk iz našeg primjera dobit ćemo ovaj rezultat:

Hynix 128GB MLC SATA 6Gbps M.2 2280 Internal Solid State Drive (SSD) Mfr P/N HFS128G39TND-N210A

U datoteci su upute koje podatke treba unijeti u redak kojim prijavljujemo novi disk.

Ako želite pratiti kako se disk u računalu zagrijava dok radite, iskoristite naredbu watch.

$ sudo watch -n 20 hddtemp /dev/sda
Every 20,0s: hddtemp /dev/sda                                        nb-aco: Thu Nov 28 12:52:04 2019
/dev/sda: HFS128G39TND-N210A: 36°C

Dobit ćemo novo očitanje svakih 20 sekundi.  Ali što ako želimo nadzirati temperaturu diskova i kad nismo prisutni?

Iskorist ćemo mogućnost da hddtemp pokrenemo kao daemon, što će nam dobro doći kad sumnjamo da se diskovi u serveru pregrijavaju.

$ sudo hddtemp -d

Daemon će primati konekcije na portu 7634 ako mu se drugačije ne naredi. Da bi provjerili temperaturu diskova na udaljenom računalu bit će se dovoljno telnetom spojiti na IP adresu računala i port, pa ćemo dobiti očitanje baš kao na lokalnom računalu.

$ telnet 192.168.1.11 7634

Možete koristiti i netcat:

$ nc 192.168.1.11 7634

Ako želite redovito pratiti koliko se diskovi zagrijavaju možete hddtemp daemonu reći da očitanja sprema u syslog, tako što ćete dodati parametar --syslog=n, gdje je n interval zapisivanja u sekundama.

Ako ste dodavali nove diskove u bazu dok hddtemp radi kao daemon, morat ćete ga restartati da bi ponovo učitao bazu.

Zanimljiva je i mogućnost da u slučaju pregrijavanja diska iz crontaba pokrenemo skriptu koja će pokrenuti shutdown. Jednu je takvu s nama podijelio Vivek Giti, možete je skinuti s ovog linka.

Prenosimo je malo izmjenjenu:

#!/bin/bash
# Purpose: Shutdown server if disk temp crossed $ALERT_LEVEL
# Author: Vivek Gite {https://www.cyberciti.biz/}, under GPL v.2.x
# -----------------------------------------------------------------
HDDS="/dev/sda /dev/sdb /dev/sdc /dev/sdc /dev/sdd"
HDT=/usr/sbin/hddtemp
LOG=/usr/bin/logger
DOWN=/sbin/shutdown
ALERT_LEVEL=60
for disk in $HDDS
do
  if [ -b $disk ]; then
        HDTEMP=$( ${HDT} --numeric ${disk} )
        if [ $HDTEMP -ge $ALERT_LEVEL ];
        then
           $LOG "System going down as hard disk \"$disk\" temperature ($HDTEMP) crossed its limit."
           sync;sync
           $DOWN -h 0
        fi
  fi
done


Skriptu prilagodite tako što ćete u njoj navesti diskove u vašem serveru i zadati kritičnu temperaturu (ALERT_LEVEL) nakon koje se računalo gasi. Normalna radna temperatura tvrdog diska je 25-40 C, prihvatljiva 40-50, a preko toga se skraćuje radni vijek diska. Prema tome odredite svoj ALERT_LEVEL. Prije shutdowna skripta pokreće naredbu sync, da se počisti privremena memorija, odnosno da se podaci spreme u datoteke u kojima se trajno čuvaju.

Da bi skriptu pokrenuli svakih deset minuta, dodajte u /etc/crontab ovaj redak:

*/10 * * * * /root/bin/naziv-vaše-skripte.sh

Toliko o praćenju radne temperature diska. Kako nadzirati temperaturu procesora? O tome u narednom članku.

U prošlom smo članku objasnili kako nadzirati temperaturu tvrdih diskova i automatski gasiti računalo u slučaju pregrijavanja. Preostaje nam pokazati kako nadzirati temperaturu raznih procesora u računalu koji imaju ugrađen senzor topline.

Što je CPU moćniji, to više struje troši i više se grije. To je jednostavno pravilo. Za mobilne uređaje proizvode se štedljivi procesori koji troše manje energije i manje se zagrijavaju, omogućujući time duži rad i sporije trošenje baterije. Cijena koja se plaća je manja procesorska snaga, ali s obzirom na sposobnosti današnjih procesora o tome ne treba previše brinuti, osim u slučaju kada vam radi posla, ili igranja :), treba zaista moćno računalo.

Primjera radi, Intelov procesor N5000 troši samo 6 W, što se pri opterećenju podiže na 15 W. CPU se pokazao sasvim dovoljan za rad notebooka koji služi za surfanje, čitanje maila, pisanje tekstova. Govorim iz vlastitog iskustva: lagani prijenosnik (samo 1,3 kg) s N5000 procesorom, Intelovom FullHD grafikom, SSD diskom i (za današnje pojmove) svega 4 GB RAM-a, veselo vrti Linux. Bateriju sam uspio isprazniti nakon 17 sati ležernog rada, bez gašenja, ali s povremenim spuštanjem ekrana dok radim druge stvari. Ali kad sam pokušao pogledati 4K video snimljem digitalnom kamerom, sve što sam dobio bio je niz zamrznutih kadrova. Ako bih počeo razmišljati o editiranju 4K videa trebalo bi mi mnogo snažnije računalo: CPU Intel i9 ili AMD Ryzen 7, barem 32 GB RAM-a i dobra grafička kartica koja može koštati više od skromnijeg računala. Intelovi i7 i i9 procesori pri normalnom radu troše oko 80 W, ali pri testovima koji ih natjeraju da rade punim gasom potrošnja raste i preko 200 W. Slično je s najjačim AMD Ryzenima. Naravno, ne govorimo o verzijama procesora za prijenosna računala, već o onima za stolna.

Ako pretpostavimo da se 95 % te energije pretvara u toplinu, shvatit ćemo potrebu za nadzorom temperature i dobrim hlađenjem računala. U velikim data centrima nastoje toplinu koju stvaraju serveri iskoristiti za grijanje prostorija, zagrijavanje tople vode, a ljeti za pogon chillera. Pronašao sam podatak da 123 servera "oklopljena" mineralnim uljem koje odvodi toplinu mogu pogoniti chiller od 10 tona koji troši 50 kW!

Kako nadzirati temperaturu procesora? Na Linuxu nam treba paket lm-sensors, koji koristi senzore ugrađene u hardverske komponente da bi nadzirao temperaturu. Instalira se ovako:

 $ sudo apt install lm-sensors

Pitat će vas kako je na računalu podešen mail servis, pa odgovorite na postavljena pitanja. Na notebooku taj dio možete preskočiti, nećete ga ostavljati upaljena preko noći.

Nakon uspješne instalacije treba pokrenuti skriptu koja će nastojati otkriti senzore koji su dostupni u hardveru računala, a zatim sugerirati koje module kernela treba pokrenuti da bi mogli komunicirati sa senzorima.

 $ sudo sensors-detect
 # sensors-detect revision $Revision$
 # System: Acer Swift SF114-32 [V1.03] (laptop)
 # Board: GLK Sapporo_GL
 # Kernel: 5.3.0-23-generic x86_64
 # Processor: Intel(R) Pentium(R) Silver N5000 CPU @ 1.10GHz (6/122/1)

 This program will help you determine which kernel modules you need
 to load to use lm_sensors most effectively. It is generally safe
 and recommended to accept the default answers to all questions,
 unless you know what you're doing.

 Some south bridges, CPUs or memory controllers contain embedded sensors.
 Do you want to scan for them? This is totally safe. (YES/no):
 Module cpuid loaded successfully.
 Silicon Integrated Systems SIS5595...                       No
 VIA VT82C686 Integrated Sensors...                          No
 VIA VT8231 Integrated Sensors...                            No
 AMD K8 thermal sensors...                                   No
 AMD Family 10h thermal sensors...                           No
 AMD Family 11h thermal sensors...                           No
 AMD Family 12h and 14h thermal sensors...                   No
 AMD Family 15h thermal sensors...                           No
 AMD Family 16h thermal sensors...                           No
 AMD Family 17h thermal sensors...                           No
 AMD Family 15h power sensors...                             No
 AMD Family 16h power sensors...                             No
 Intel digital thermal sensor...                             Success!
     (driver `coretemp')
 Intel AMB FB-DIMM thermal sensor...                         No
 Intel 5500/5520/X58 thermal sensor...                       No
 VIA C7 thermal sensor...                                    No
 VIA Nano thermal sensor...                                  No
 ...

Nakon ovoga pitat će vas za dodatna skeniranja kojima pokušava otkriti senzore u različitim čipovima.

 Some Super I/O chips contain embedded sensors. We have to write to
 standard I/O ports to probe them. This is usually safe.
 Do you want to scan for Super I/O sensors? (YES/no):
 /dev/port: Operation not permitted
 ...

Skratit ćemo ispis, što će skripta pronaći ovisi o tome što je ugrađeno u vaše računalo. Na kraju slijedi sažetak i sugestija koje module treba pokrenuti. Ako ste lijeni, skripta će vas pitati da li da to uradi umjesto vas. Uspješno će nazive modula upisati u /etc/modules.

 Now follows a summary of the probes I have just done.
 Just press ENTER to continue:
 Driver `coretemp':
   * Chip `Intel digital thermal sensor' (confidence: 9)

 To load everything that is needed, add this to /etc/modules:
 #----cut here----
 # Chip drivers
 coretemp
 #----cut here----
 If you have some drivers built into your kernel, the list above will
 contain too many modules. Skip the appropriate ones!

 Do you want to add these lines automatically to /etc/modules? (yes/NO)
 Monitoring programs won't work until the needed modules are
 loaded. You may want to run '/etc/init.d/kmod start'
 to load them.

Ljubazna skripta nam je sve objasnila. Dakle:

 $ sudo /etc/init.d/kmod start
 [ ok ] Starting kmod (via systemctl): kmod.service.

Provjerimo je li modu coretemp pokrenut:

 $ lsmod | grep coretemp
 coretemp               20480  0

Sad možemo pogledati koliko se griju čipovi koji imaju svoje senzore.

 $ sensors
 coretemp-isa-0000
 Adapter: ISA adapter
 Package id 0:  +41.0°C  (high = +105.0°C, crit = +105.0°C)
 Core 0:        +41.0°C  (high = +105.0°C, crit = +105.0°C)
 Core 1:        +41.0°C  (high = +105.0°C, crit = +105.0°C)
 Core 2:        +41.0°C  (high = +105.0°C, crit = +105.0°C)
 Core 3:        +41.0°C  (high = +105.0°C, crit = +105.0°C)

 BAT0-acpi-0
 Adapter: ACPI interface
 in0:         +11.80 V 
 curr1:        +0.51 A 

 iwlwifi-virtual-0
 Adapter: Virtual device
 temp1:        +30.0°C 

 acpitz-acpi-0
 Adapter: ACPI interface
 temp1:        +40.0°C  (crit = +104.0°C)

S ovim štedljivim notebookom nema problema, temperatura komponenti je daleko ispod kritične granice. Na drugim računalima, pogotovo na serverima, računalima za igranje ili grafičkim radnim stanicama nećete dobiti ovakve idilične rezultate. Tamo gdje imate moćne grafičke kartice dobit ćete očitanja i za njihov GPU, jer će i njihovi senzori biti detektirani i očitani.

Umjesto ovako lijepo formatiranog ispisa možete zatražiti i onaj sirovi (raw):

hombre@kupina:~$ sensors -u
coretemp-isa-0000
Adapter: ISA adapter
Package id 0:
  temp1_input: 41.000
  temp1_max: 105.000
  temp1_crit: 105.000
  temp1_crit_alarm: 0.000
Core 0:
  temp2_input: 41.000
  temp2_max: 105.000
  temp2_crit: 105.000
  temp2_crit_alarm: 0.000
Core 1:
  temp3_input: 41.000
  temp3_max: 105.000
  temp3_crit: 105.000
  temp3_crit_alarm: 0.000
Core 2:
  temp4_input: 41.000
  temp4_max: 105.000
  temp4_crit: 105.000
  temp4_crit_alarm: 0.000
Core 3:
  temp5_input: 41.000
  temp5_max: 105.000
  temp5_crit: 105.000
  temp5_crit_alarm: 0.000

BAT0-acpi-0
Adapter: ACPI interface
in0:
  in0_input: 11.753
curr1:
  curr1_input: 0.368

iwlwifi-virtual-0
Adapter: Virtual device
temp1:
  temp1_input: 33.000

acpitz-acpi-0
Adapter: ACPI interface
temp1:
  temp1_input: 42.000
  temp1_crit: 104.000

Otkrivamo nove varijable, na primjer temp_crit_alarm, kojima je inicijalno dodijeljena ista vrijednost kao temp_max. Pretpostavljamo da se te vrijednosti mogu podesiti na nižu vrijednost, kako bi se mogle iskoristiti za ranije usporavanje rada ili gašenje računala.

Konfiguraciju potražite u /etc direktoriju. Tu se nalazi sensors.conf, u mom slučaju sensors3.conf i podirektorij /etc/sensors.d. U sensors3.conf su zadane vrijednosti koje vrijede za sva računala, dok se u poddirektorij sprema konfiguracija koju ćete vi sami dodati, kako bi izmijenili zadane vrijednosti.

I ovdje možemo iskoristiti watch za nadzor:

 $ watch -n 20 -d sensors

Parametar -d traži da se istakne diferencija, ako se temperatura promijeni ta će vrijednost biti ispisana inverzno, da se lakše vidi što se promijenilo od zadnjeg očitanja. Otvorite si mali terminal u kutu ekrana i pokrenite ovu naredbu. Dobro će vam doći kad preko vikenda ležite na trosjedu i gledate utakmicu, pokriveni dekom, s notebookom na krilu. CPU će pregrijati jer ste dekom zatvorili rešetku ventilatora. :)

I ovdje bi se mogla napisati skripta koju pogonimo iz crontaba, a koja bi gasila računalo kad se procesori pregriju.

Nudi se i nekoliko appleta koji bi nam u taskbaru mogli prikazivati temperature, ali ovdje se nećemo njima baviti.

Toliko o lm-sensors, ali time nismo iscrpili temu. u nastavku ćemo obraditi thermal daemona, čiji je zadatak automatsko reguliranje temperature računala.

Prošlog mjeseca pisali smo o sigurnosti vozila bez vozača. U današnjoj kolumni zaputit ćemo se "Down under", u daleku Australiju. Tamo je, u pokrajini New South Wales, testiran video nadzor sa softverom koji prepoznaje kada se u vožnji koristi mobitel.

U Hrvatskoj su trenutno u pogonu nove kamere, fiksne i mobilne, koje mjere brzinu vozila i očitavaju registracije. Osim prometnih prekršaja, koristit će za otkrivanje ukradenih vozila, vozila korištenih u pljačkama i slično. Tipično za naše prilike, dio fiksnih kamera bit će lažnjaci, kućišta bez kamere, s čisto preventivnom funkcijom. Očekuje se da će vozači usporavati radi njih. Naši su mediji prenijeli vijest više kao upozorenje vozačima, navodeći lokacije gdje su kamere postavljene.  Kao da sugeriraju gdje treba usporiti, a gdje se onda opet može ubrzati. :)

Australci su otišli dalje od nas. Njihove kamere osim prekoračenja brzine otkrivaju i drugi prekršaj, korištenje mobilnih uređaja u vožnji. Kamere i pripadajući softver nastali su kao rezultat Australsko-Indijske kooperacije, nazvane Acusensus. Rade dobro i danju i noću, mjere brzinu vozila, a snimke visoke rezulucije omogućuju prepoznavanje registracije, vozača, putnika. Sustav koristi umjetnu inteligenciju za prepoznavanje situacija u kojima se u vožnji koristi pametni telefon ili tablet. Ako ih koriste putnici, AI neće reagirati, ali ako se otkrije da je prekršitelj vozač, snimka se šalje ljudskom operateru. AI zasad zamagli registraciju i lica putnika (nije jasno da li to rade samo u testnom razdoblju), a operateri procjenjuju da li se radi o prekršaju i mogu proslijediti snimku tijelu koje odlučuje o kažnjavanju.

Testiranje je obavljeno početkom ove godine. Pri tom je snimljeno oko 8 i pol milijuna vozila, a u 104.000 slučajeva otkriveni su vozači koji u vožnji koriste mobilne uređaje. Statistika je zanimljiva. Većina prekršaja zabilježena je na prometnicama na kojima je brzina ograničena, dakle tamo gdje se vozi sporije. Vozači podjednako koriste mobitel i danju i noću. 15% prekršitelja vozilo je teška vozila, što predstavlja veću opasnost po ostale sudinike u prometu. U 85% slučajeva vozač je bio sam u vozilu, što bi sugeriralo da suvozač preuzima komunikaciju ako je prisutan. Zanimljiva je raspodjela načina korištenja: 4% vozača je telefoniralo, 28% slalo poruke, 25% je naprosto držalo mobitel u ruci, a 43% ga je držalo u krilu, da im bude pri ruci.

Zanimljiv je podatak da su Australci većinom "ljevaci" (75% vozača je koristilo mobitel lijevom rukom), dok bi kod nas vozači uglavnom držali mobitel desnom rukom. Vjerojatno je to zato što se tamo vozi lijevom stranom ceste, pa je i volan "na krivoj" strani vozila. :)

Još je zanimljivije da 5% vozača uopće ne drži volan dok koristi mobitel u vožnji! Za rad s mobiteljom potrebne su im obje ruke!

Dosad je u toj pokrajini naplaćivano 40.000 kazni godišnje za korištenje mobilnih uređaja u vožnji. Uz pomoć novih "inteligentnih" kamera u svega nekoliko mjeseci otkriveno je 104.000 prekršaja, što bi moglo dovesti do drastičnog povećanja naplaćenih kazni, na čak 1,6 milijuna godišnje! Iznos kazne je 337 AUD, a vozač dobije još 5 bodova. U slučaju ponovljenog prekršaja, vozačka se oduzima na tri mjeseca. Kazne su stroge jer je u Australiji vozačima zabranjeno bilo kakvo korištenje mobitela u vožnji. No prije službenog uvođenja novog nadzora bit će provedena medijska kampanja i prva tri mjeseca vozači će dobivati samo opomene. Kao rezultat takvog postupanja očekuje se da će se broj prekršaja drastično smanjiti prije nego se sustav počne koristiti. Kao dodatno upozorenje vozačima, na prometnice će biti postavljeni znakovi koji upozoravaju na lokaciju novih kamera. Ovakvo postupanje ukazuje na to da državi nije prioritet naplata kazni, nego prevencija prekršaja i nesreća. Zato će se stanovnici unaprijed pripremiti za novonastalu situaciju. Koliko je to različito od postavljanja kamera kod nas!

Australci su promislili i o posljedicama uvođenja novog nadzora. Kritičari kažu da ostaje nekoliko pitanja na koja nema odgovora. Očekuju dodatno opterećenje (prekršajnih) sudova. Trenutno je sudska praksa takva da prometni policajci moraju priložiti dokaz da se radi o mobilnom uređaju. Sada bi taj dio posla odrađivala "umjetna inteligencija", a pitanje je koliko je ona pouzdana. Predviđaju da će biti određen postotak pogrešnih procjena, u slučaju da vozač ne drži u ruci mobitel, već na primjer novčanik, ili hranu. Tada bi teret dokazivanja pogrešne procjene bio na vozaču! Kritičari smatraju da nije posve jasno koliko će dodatno opterećenje trpiti sudovi, administriranje oduzetih vozačkih dozvola, kakav će učinak na ekonomiju, društvo i osobni život izazvati moguće masovno oduzimanje dozvola.

Drugi problematičan aspekt o kojem se raspravlja je moguće narušavanje privatnosti vozača i putnika. Propituje se kako će se snimke čuvati, koliko dugo, tko će im imati pristup i u koje se svrhe smiju koristiti. Sve to dokazuje da je australska demokracija razvijena, za razliku od naše domaće, gdje se o kamerama koje nas nadziru gotovo uopće ne raspravlja, a ako se i raspravlja onda to mediji ne prenose. Zaštita privatnosti pred najezdom novih tehnologija još nije važna tema. Besplodne rasprave o prošlosti još su važnije od pogleda unaprijed, da bismo probali shvatiti što nas čeka iza ugla.

Australski kritičari željeli bi da se snimke odmah brišu ako nije zabilježen prekršaj, a odgovaralo bi im i da se zakonski ograniči trajanje regulative koja prati nadzor, tako da se može predahnuti i proučiti sve posljedice ovog programa. Zabrinjava ih i mogućnost pritiska da se snimke s vremenom počnu koristiti u dodatne svrhe o kojima se danas ne govori. Primjer nedemokratske države kakva je Kina, gdje se nadziru i kažnjavaju građani koji nisu po volji vladajućima, dovoljno je zabrinjavajući.

Nakon Novog južnog Walesa i ostatak će Australije početi uvoditi novu tehnologiju. Naravno, ako se primjena pokaže uspješnom, a negativni učinci budu zanemarivi.

I tako smo se u ovom članku bavili fizičkom sigurnošću, nadzorom prometa i upozorili na to kako tehnologija mijenja svijet u kojem živimo. Sve dok nove kamere smanjuju rizike i broj žrtava na cestama, primjena nove tehnologije je dobrodošla. Ali još ne vidimo u našim prostorima ni naznaku razmišljanja o tome kako se nova tehnologija može zloupotrebljavati i ugrožavati ljudska prava, pogotovo pravo na privatnost. Ni riječi o tome kako će se spriječiti zloporabe i tko će nadzirati one koji nas nadziru.

Još ponešto možemo naučiti od Australaca. U okolici Sidneya trenutno bjesni veliki požar. Mediji savjetuju stanovnike kako se pripremiti i zaštiti. Udisanje dima je opasno, zbog mnoštva sitnih čestica i otrovnih kemikalija koje sadrži. Savjetuje se da ljudi kupe i nose sa sobom maske za lice, koje imaju filter prilagođen ovakvoj vrsti opasnosti. Preporučuje se filter s oznakom P2. P1 je dovoljan kod pilanja drveta i sličnih radova, a najjači, s oznakom P3, novodno zaustavlja i viruse! Na webu su upute kako se maske pravilno postavljaju, da se dim ne bi provukao sa strane. Muškarci moraju biti obrijani da bi maska imala učinak!

Maska kakvu nose liječnici navodno je beskorisna, neće vas zaštiti ni od dima ni od ljudi koji kašlju u tramvaju. Već sam vidio ljude u Zagrebu koji hodaju gradom s tim maskama. Ne znam da li su im je preporučili liječnici radi njihova zdravstvenog stanja, ili su to vidjeli na TV: Japanci često nose takve maske kad je zrak loš.

Kod nas se kao prevencija protiv gripe nudi cijepljenje. Znaju li naši liječnici da se u željezarijama i trgovinama koje prodaju zaštitu na radu nude i P3 filteri? Nije ih teško pronači na webu, mogu se kupiti u Zagrebu. Čini mi se da ću kupiti nekoliko P2 i P3 filtera, staviti ih u "borbeni komplet", ruksak u kojem mi je osnovni pribor za hitne slučajeve i preživljavanje u slučaju prirodne nepogode, požara, potresa, epidemije i slično. Neki su filteri za jednokratnu upotrebu, ali ima i nešto skupljih, koji se mogu koristiti sve dok ne postane teško disati kroz njih.

Toliko za danas. Nešto smo, nadam se, svi zajedno naučili od Australaca. :)

Aplikacija za slanje poruka ToTok, koju su koristili milijuni korisnika, zapravo je špijunski alat Ujedinjenih Arapskih Emirata! To je vijest koja je procurila preko New York Timesa iz obavještajne zajednice. Posljedično, Apple i Google su je uklonili iz svojih trgovina, a korisnicima koji su je instalirali preporučuje se da je uklone s pametnih telefona. Blago nama! Otkrivena je još jedna prijevara, besplatna aplikacija koja nas špijunira. Sada smo sigurni, više nas ne špijuniraju neki zakašnjeli outsideri koji se nastoje ubaciti u svjetsku igru prijestolja.

U krimi serijama navikli smo na prizore ispitivanja sumnjivaca u prostoriji s minimalnim namještajem: tu je stol s nekoliko stolica i veliko ogledalo na zidu. Svi već znaju da je to lažno ogledalo, staklo koje propušta svjetlost u jednom smjeru, ogledalo sa skrivenom funkcijom, neka vrsta trojanca. S druge strane ogledala su specijalisti koji čitaju govor tijela i profiliraju sumnjivce, nastojeći otkriti kad lažu, kad govore istinu, gdje ih treba pritisnuti, u kom smjeru voditi razgovor.

Zapravo ne bismo trebali koristiti izraz sumnjivci. Ljude se ispituje i kad se smatra da znaju informacije koje bi pomogle istrazi. Američki izraz za njih je "person of interest". To je politički korektnije. No u fizičkom svijetu ne može se svakoga samo tako dovesti u sobu za ispitivanje, mora postojati valjan povod, a osoba od interesa može odbiti odgovarati na pitanja bez prisustva odvjetnika. Dakle osoba od interesa ima svoja prava, na koja se može pozvati. Pretpostaljamo da ista pravila vrijede i u virtulanom svijetu Interneta, zar ne?

Nedavno je Electronic Frontier Foundation, neprofitna organizacija posvećena zaštiti digitalne privatnosti, slobode govora i inovativnosti, objavila dokument o tome kako tvrtke prikupljaju podatke o nama. U dokumentu se koristi "trojansko" ogledalo kao metafora tog nadzora. Dokument pod nazivom "Behind the One-Way Mirror: A Deep Dive Into the Technology of Corporate Surveillance" javno je dostupan i može se skinuti s ove adrese.

Doslovno ćemo prenijeti uvodno poglavlje spomenutog dokumenta.

"Pratitelji (trackers) kriju se u gotovo svakom kutku današnjeg Interneta, a to znači u gotovo svakom kutku modernog života. Web stranice dijele podatke s desecima vanjskih tvrtki. Prosječna mobilna aplikacija čini isto, mnoge aplikacije prikupljaju osjetljive podatke kao što je lokacija i zapisi poziva čak i kad ih ne koristimo. Praćenje zahvaća i fizički svijet. Trgovački centri imaju automatske čitače regitracija za praćenje prometa na svojim parkiralištima i zatim ih dijele s policijom. Tvrtke, organizatori koncerata i političke kampanje koriste bluetooth i Wifi odašiljače za pasivni nadzor ljudi unutar svog prostora. Trgovine koriste prepoznavanje lica da identificiraju kupce, otkrivaju krađe i isporučuju ciljane reklame.

Tehnološke tvrtke, data brokeri i oglašivači koji stoje iza ovog nadzora kao i tehnologije koja ga omogućavaju većinom su nevidljivi prosječnom korisniku. Korporacije su izgradile dvoranu  jednosmjernih ogledala: iznutra vidimo samo aplikacije, web stranice, oglase i samog sebe kako nas odražavaju društvene mreže. Ali u sjenama iza stakla pratitelji tiho bilježe sve što radimo. Ovi pratitelji nisu sveznajući, ali su široko rasprostranjeni i nisu izbirljivi. Podaci koje prikupljaju i izvode nisu savršeni, ali su svejedno iznimno osjetljivi."

Nakon ovako upečatljivog uvoda, ostatak dokumenta (PDF od 48 stranica) jasnim, razumljivim jezikom objašnjava kako praćenje funkcionira. Dokument bi trebao pročitati svaki korisnik Interneta, kako bi shvatio razmjere nadzora i pobrinuo se da smanji i ograniči zloupotrebu vlastitih osobnih podataka. Prenijet ćemo, ukratko, nekoliko naglasaka.

Najprije se objašnjava što je "first-party" odnosno "third-party" praćenje. Kad Facebook ili Google bilježi sve što radite koristeći njihove servise, tu je sve manje više jasno, oni su "first-party". Pristali smo na to kad smo kliknuli, gotovo uvijek bez čitanja napornih detalja, da pristajemo na uvjete korištenja. Osim toga, donekle se možemo zaštiti podešavanjem postavki, ako si damo truda, čime se većina korisnika ne zamara. Google i FB ipak moraju poštivati regulativu koja štiti osobne podatke, makar nevoljko.

No u igru su, zahvaljujući softverskim dodacima koji se aktiviraju na web stranicama, uključujene brojne tvrtke "treće strane". Tu korisnici posve gube kontrolu nad time što se događa s njihovim podacima. Data brokers su tvrtke koje žive od prikupljanja podataka iz mnoštva izvora, njihove obrade, odnosno pročišćavanja, organizacije i analize. Te podatke daju na raspolaganje svima koji su zainteresirani. Pri tom se ne koristi izraz "prodaja podataka", jer bi to bilo pravno problematično, s obzirom na činjenicu da brokeri nisu vlasnici podataka koje obrađuju, pa ne mogu prodajom prenijeti vlasništvo nad njima. Zato kažu da svojim klijentima daju licencu za korištenje obrađenih podataka za određenu, ograničenu svrhu. Lukavo, zar ne? Tako se pitanje vlasništva nad podacima ostavlja po strani. Zasad to funkcionira, sve dok mi to dopuštamo. Naime, temeljna je činjenica koju olako previđamo da smo vlasnici osobnih podataka mi, korisnici. Sve dok nas nije briga što se s tim podacima radi, netko će na tim podacima profitirati, a da mi od toga nemamo nikakvu korist. Činjenica je da korisnici Interneta nisu svjesni vrijednosti svojih osobnih podataka, pa se olako odriču svojih prava. Da bi dobili neku sumnjivu mrežnu uslugu, odriču se privatnosti i dopuštaju da netko skriven iza ogledala zarađuje na njihovom vlasništvu, bez njihova znanja, bez traženja privole, a pri tom ne mora s njima dijeliti dobit. Kad bi netko obrađivao njivu koju ste naslijedili kao djedovinu, da li biste tražili za sebe dio dobiti? Pogotovo ako njivu obrađuje na crno, ne tražeći od vlasnika dozvolu?

Najveći dio dokumenta objašnjava različite tehnike praćenja korisnika. Čitatelji koji nisu tehnološki potkovani neće sve shvatiti, ali im svejedno preporučujem da pokušaju izdržati do kraja, ako ništa drugo, zaprepastit će ih mnoštvo načina na koji se pratitelji dovijaju kako doći do informacija, koristeći sve što im tehnogija pruža. Sam web preglednik šalje dosta informacija kad zahtijeva konekciju, na primjer javlja da se radi o Firefoxu na Ubuntu Linuxu. Otkriva se IP adresa s koje se korisnik spaja, pomoću nje se može odrediti država, vremenska zona. Tada slijede različite vrste kolačića, od kojih su najopasniji local storage cookies. Kod kriptiranih veza pamti se TLS state, polutrajni podatak koji šalje server da bi se rasteretio zahtjevnog procesa izračunavanja kriptografskih ključeva za svakog klijenta. Složenije su tehnike browser i canvas fingerprinting - to će gradivo zanimati radoznale sistemce.

Ono što trackeri pokušavaju napraviti jest prikupiti što više naizgled nepovezanih informacija, a onda ih složiti u profil i po mogućnosti taj profil povezati sa stvarnom osobom. Kako koristimo više uređaja, računalo, tablet, pametni telefon, jedan od izazova je sve te uređaje povezati s korisnikovim identitetom. Kad pristupite Googleu ili Facebooku s novog uređaja, dobit ćete mail koji od vas traži da javite da li ste to bili vi. Tu se radi o brizi za vašu sigurnost, upozorenju da je možda netko drugi koristio vaš identitet. Ako ne odgovorite na mail, praktički ste potvrdili da se radi o vama, pa se uz vaš profil veže novi uređaj, na kojeg će se odmah snimiti neka šifra koja potvrđuje vaš identitet i služi za praćenje vaše aktivnosti.

Zapanjujuća je količina veza koje web stranice povezuje s tvrtkama koje spadaju u "treću stranu", a kojih korisnici nisu svjesni. Pratitelji se ne oslanjaju samo na usluge prve strane, već nastoje na naša računala ubaciti svoje idenitifikatore, koristeći na primjer JavaScript. Srećom, Firefox već sa zadanom konfiguracijom blokira mnoštvo takvih pokušaja, a ta mu pravila možemo još i postrožiti. Cijena koju ćemo platiti jest da nećemo moći koristiti neke siteove, ali uvijek možemo postaviti iznimke za stroge blokade. Provjerite imate li istu razinu zaštite s preglednikom koji koristite.

Postoje zakoni koji štite našu privatnost, ali je praksa još u razvoju, u previranju. Griješe korisnici koji misle da su automatski zaštićeni, da će netko drugi sve odraditi za njih. Google na primjer ima svoje poslovne interese i nastoji balansirati između prava korisnika i zahtjeva svojih komercijalnih partnera. Čak je i gđa. Merkel kao granicu zaštite osobnih podataka navela potrebe privrednog razvoja. Kako tu pronaći granicu? Drugo mjesto gdje zaštita osobnih podataka smeta napretku jesu znanstvena istraživanja. U medijima možemo pročitati s koliko je napora mlada istraživačica skupljala podatke o razvodima u Hrvatskoj. Neke analize nije mogla ni provesti, jer nije imala uvid u sve potrebne podatke. S druge strane, kao negativni primjer još nam je pred očima afera s Cambridge Analiticom koja je uz pomoć analize podataka, dobijenih od Facebooka bez privole korisnika, ciljanim marketingom utjecala na rezultate izbora. Dokument EFF opisuje tehnike nadzora koje komercijalne tvrtke koriste u svoju korist, a s Cambridge Analiticom dodirnuli smo se i politike.

Kakve zaključke možemo izvući nakon što osvijestimo ovu situaciju masovnog nadzora? Ako se vratimo na metaforu s početka članka, možemo li reći da je Internet cijeli svijet pretvorio u jednu veliku sobu za ispitivanje? Da smo svi postali "osobe od interesa" iako nismo sudjelovali niti svjedočili nekom kršenju zakona? Nadziru nas a da nismo ni svjesni da smo u sobi za ispitivanje (interogation room) pa i ne tražimo zaštitu odvjetnika. Da li, nakon što smo u prošlom stoljeću preživjeli dva totalitarizma, ulazimo u novi: društvo totalnog nadzora? Ispada da u virtualnom svijetu imamo manja prava nego u fizičkom, iako nas štite zakoni poput GDPR-a. Nismo svjesni razmjera tog praćenja, pa ga olako shvaćamo. Većina će se ljudi odreći svojih prava radi malo komfora i poneke besplatne usluge. Čekaju nas novi izazovi, ako ne namjeravamo samo tako prihvatiti "nužnosti" i prepustiti da nas nosi struja. Slobodu treba definirati na nov način. Dosad smo je definirali kao slobodu mišljenja, govora i udruživanja. Danas možeš misliti što hoćeš, govoriti (manje više) što misliš, udruživati se do mile volje s "prijateljima" koje ne poznaješ i zapravo ne znaš da li su stvarne osobe ili trolovi, a da to nema nekog utjecaja na svijet. Danas se, možda, sloboda treba definirati pravom na privatnost! Kao i uvijek, samo najbogatiji si mogu priuštiti takvu slobodu. Najbolje je biti bogati i anoniman, zar ne?

NSA je otkrila propust u provjeri certifikata koji Widowse 10 čini ranjivima tako što omogućava instalaciju zlonamjernog softvera. Propust je prijavljen pod oznakom CVE-2020-0601, a Microsoft je po brzom postupku izdao zakrpu u utorak 14.1.2020.

Analitičari hvale pristup NSA koja je ranjivost najprije prijavila Microsoftu, kako bi se propust što prije otklonio. Zar su trebali postupiti drugačije? :)

U opisu ranjivosti stoji: Otkrivena je ranjivost u načinu na koji Windows CryptoAPI (Crypt32.dll) provjerava Elliptic Curve Cryptography (ECC) certifikate. Napadač bi mogao iskoristiti ranjivost izradom lažnog certifikata kojim bi potpisao maliciozni program, čime bi se on predstavljao da dolazi od provjerenog, legitimnog izvora. Ranjivost je nazvana  'Windows CryptoAPI Spoofing Vulnerability'.

Savjete Microsofta i linkove na zakrpe potražite ovdje: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

Kao dodatna prijetnja navodi se da bi exploit dozvolio man-in-the-middle napad i dekriptiranje povjerljivih informacija tako što bi se veze prema napadačkim računalima predstavljale kao da su sigurne, a podaci koji dolaze s njih kao provjereni.

Instalacijom zakrpa omogućit će se potpuna i ispravna provjera certifikata, pa bi rizici bili uklonjeni. Narednih tjedana očekuju se napadi na računala koja nemaju instaliranu zakrpu, zato ne bi trebalo odgađati njihovu instalaciju.

Čini se da je u zadnje vrijeme bilo problema s Microsoftovim zakrpama, neki su korisnici prijavljivali da im se nakon instalacije zakrpa pojavljivao zloglasni Blue Screen of Death (BSOD). Zato bi bilo dobro isprobati nove zakrpe na testnom računalu u labosu. :) Nedostatak pravog laboratorija sistemac može kompenzirati instalacijom virtualke, izradom snapshota, sa ispravnim stanjem, pa zatim instalacijom zakrpa. Ukoliko se nakon instaliranja zakrpe pojave problemi, može se problem prijaviti i odgoditi instalaciju zakrpa.

Mada, iskusan sistemac će vam reći da zakrpe ponekad prođu bez greške na desetak računala, da bi se na jedanaestom pojavio BSOD. :)

Šalu na stranu, isprobajte zakrpu, instalirajte je na sva Windows 10 računala, radi se o propustu koi bi mogao imati dalekosežne (loše) posljedice.

Tvrtka VPNpro objavila je rezultate istraživanja aplikacija za Android. Isprva su testirali VPN aplikacije, među njima nekoliko iz Kine, a onda su otkrili da pojedine traže od korisnika da im dodijeli prevelike ovlasti, da bi ih nakon toga zlorabili. Otkrili su da je izvor tih aplikacija tvrtka Shenzhen HAWK, iako su kao autori navedeni različite pravne osobe. Radi se o 24 aplikacije sa skrivenim funkcionalnostima koje je instaliralo preko 380 milijuna korisnika.

Primjera radi, aplikacija pod imenom Weather Forecast šalje podatke o korisnicima na servere u Kinu. Osim krađe osobnih informacija, aplikacija pokreće skriveni browser i prikazuje reklame. K tome još aktivira pretplatu na telefonske brojeve s posebnim uslugama čime korisnicima nabijala račune.

Evo popisa inkriminiranih aplikacija, s brojem preuzimanja u zagradi:

    Sound Recorder (100M)
    Super Cleaner (100M)
    Virus Cleaner 2019 (100M)
    File Manager (50M)
    Joy Launcher (10M)
    Turbo Browser (10M)
    Weather Forecast (10M)
    Candy Selfie Camera (10M)
    Hi VPN, Free VPN (10M)
    Candy Gallery (10M)
    Calendar Lite (5M)
    Super Battery (5M)
    Hi Security 2019 (5M)
    Net Master (5M)
    Puzzle Box (1M)
    Private Browser (500,000)
    Hi VPN Pro (500,000)
    World Zoo (100,000)
    Word Crossy! (100,000)
    Soccer Pinball (10,000)
    Dig it (10,000)
    Laser Break (10,000)
    Music Roam (1,000)
    Word Crush (50)

Ako neku od njih nađete na svom telefonu, deinstalirajte je bez oklijevanja. Objava VPNpro dostupna je online.

Da bi ovakve aplikacije mogle funkcionirati od korisnika traže da im da dozvolu za obavljaje poziva, fotografiranje, snimanje zvuka i videa. Možda se pitate kolika je doza naivnosti potrebna da se aplikaciji dodijele tolike ovlasti? Nažalost, velik broj korisnika jednostavno da pristanak, ne provjeravajući ništa i ne čitajući što se traži, samo da se što prije riješe gnjavaže i pokrenu aplikaciju. U nekim situacijama malware nije ni trebalo skidati s mreže jer je bio predinstaliran na mobitelima (spominje se Alcatel). Prisjećamo se da je 2017. Indijska vojska tražila od svojih pripadnika da uklone aplikaciju Virus Cleaner, jer je otkriveno da je to zapravo spyware.

Google je nakon upozorenja uklonio navedene aplikacije iz svog dućana, uz obrazloženje kako oni ozbiljno shvaćaju narušavanje sigurnosti i privatnosti svojih korisnika. (U napasti smo da ovdje stavimo smješkića :) Iz Kine je ubrzo stigao odgovor kojeg je pripremila služba za odnose s javnošću majčinske tvrtke TCL Corporation. Oni razumiju zašto je Google uklonio aplikacije i aktivno rade s tvrkom Shenzhen kako bi bolje razumjeli uzroke Googlove zabrinutosti. Također planiraju angažirati vanjskog sigurnosnog konzultanta koji će nadzirati svaku njihovu aplikaciju kako bi za svoje kupce osigurali “peace of mind and trust”. Kako to lijepo zvuči, zar ne? Njima je stalo do našeg duševnog mira i uspostave međusobnog povjerenja.

U vijestima ovih dana saznajemo da su Kineski hakeri optuženi za krađu osobnih podataka dvjestotinjak milijuna američkih državljana. Prisjećamo se jednog takvog slučaja o kojem smo pisali, kada su 2017. provaljeni serveri tvrtke Equifax iz Atlante, koja prikuplja osobne podatke američkih građana radi provjere kreditne sposobnosti. Hakeri u kineskim vojnim uniformama prikupili su imena, datume rođenja, brojeve socijalnog osiguranja i kreditnih kartica, a usput su se dočepali i povjerljivih poslovnih podataka. Opsežna istraga slijedila je tragove napadača preko 34 servera u dvadesetak država, da bi došli do izvorišta napada. Podignuta je optužnica protiv četiri člana 54-tog Istraživačkog instituta Kineske armije. Državni tužitelj SAD tvrdi da se radi o "uznemirujućem i neprihvatljivom uzorku upada na računala koja sponzorira kineska država i njeni građani". "Podaci imaju ekonomsku vrijednost, ove krađe mogu doprinjeti razvoju alata umjetne inteligencije, kao i pripremanju ciljanih obavještajnih paketa."

Ne možemo se pohvaliti da razumijemo obavještajni žargon, nije nam baš jasno o kakvim se paketima radi. Ali razumijemo da su kao krivci označeni ne samo državne institucije Kine nego i njeni građani! Zar se tu sugerira kolektivna krivnja? Ne raspolažemo cijelim govorom tužitelja pa je bolje da se uzdržimo od tumačenja. Možda se tu sugerira da nisu svi napadači u državnoj službi, ali se njihov rad tolerira? Samo nam je jasno da građani SAD ne mogu odgovarati za rad njihovih obavještajnih agencija, pa valjda analogija vrijedi i za druge države. No na stranu prepucavanja među nacijama, razmjeri zloupotrebe Interneta su zaista užasavajući, bez obzira na to tko je počinitelj, kriminalci, kompanije ili države. Ostaje činjenica da ih tehnologija omogućava i da smo svi ugroženi, bez obzira u kojoj državi živimo.

Iako se načelno slažem sa stavovima koje iznosi Američki državni tužitelj, ne mogu ne primjetiti da se ljudi zgražaju samo kad su u položaju žrtve, a kad njihova strana to isto radi drugima, onda je to patriotizam. Kad ćemo se izvući iz tih podjela, "mi" kao dobri dečki i "oni" kao loši? Živimo u vremenu sebičnosti nacija, gdje ekonomski i vojno jače države nameću svoju volju slabijima. Tu kolektivističku paradigmu prevladali su rijetki pojedinci.

Jedan od ljudi koji misle da su ljudska prava pojedinca iznad prava nacija i država jest Edward Snowden, čija je knjiga Trajni zapis (Permanent record) prevedena i u nas. Zanimljiva priča čovjeka koji je programirao za NSA, sve dok mu se nije smučilo. Odlučio je javnosti ispričati što se događa "iza ogledala". Ukratko, NSA ima izravan pristup serverima Googlea, Facebooka, telekoma, automatski i bez ikakvog biranja snima ukupan promet i pomoću programa, koje je razvijao i sam Snowden, može tu sirovu građu pretraživati i organizirati prema zadanim kriterijima. Ako netko postane "osoba od interesa", softver automatski upozorava na njegove telefonske pozive, mailove, pretraživanja itd. Tako se u realnom vremenu može pratiti što takav čovjek radi. Rukovoditelji NSA svjedočili su pred kongresnom komisijom da se to radi samo kad imaju sudski nalog, dok Snowden otkriva da su lagali. U prikupljanje podataka uključene su i države saveznici SAD, tako da je nadzor globaliziran. Osim nadzora telekomunikacija provodi se i fizički nadzor, iznad kuća američkih građana lete dronovi koji snimaju dolazi, odlazi, također bez sudskog naloga.

Snowden je zaglavio u Rusiji, protiv svoje volje. U razgovorima s Putinom, Oliver Stone postavlja pitanje Putinu da li odobrava to što je napravio Snowden? Ne, odgovara Putin, ako se Snowden nije slagao s time što radi NSA trebao je dati otkaz, kao što je Putin učinio dok je bio ruski obavještajac. Ali nije trebao djelovati protiv svoje domovine. I Putin razmišlja kolektivistički.

Glenn Greenwald, nezavisni novinar kojeg je Snowden odabrao da prenese njegovu priču, izdao je knjigu pod naslovom No Place to Hide, Edward Snowden, the NSA and the Surveilance State, u kojoj iznosi svoje viđenje masovnog nadzora. Saznajemo da je 2001. New York Times objavio kako je Bushova administracija u tajnosti naredila NSA da bez sudskog naloga nadzire elektronsku komunikaciju američkih građana. U trenutku objave takva praksa je trajala već četiri godine. Bila je to demonstracija moći, praksa po kojoj je predsjednik iznad zakona kad se radi o sigurnosti nacije i zaštiti od terorizma. Greenwald je po obrazovanju pravnik, bavio se ustavom i građanskim pravima. Bez ustručavanja je javno iznosio svoj stav da je predsjednik takvom odlukom prekršio zakon i da za to treba odgovarati. Zato ga je Snowden odabrao i donio mu brojne dokumente koji pokazuju masovne razmjere nezakonitog nadzora.

Američki kolonisti u osamnaestom su se stoljeću protivili tome da Britanski službenici po volji ulaze u njihove kuće i preturaju po stvarima. I tada je morala postojati opravdana sumnja. Opći nalog koji bi omogućio da se sve građane redom nadzire i pretražuje bio je nezakonit. O tome govori četvrti amandman, koji garantira zaštitu osobe, kuće, dokumenata i stvari od neopravdanih pretraga i zapljena, traži da se u sudskom nalogu izričito i precizno navede prostor koji se smije pretražiti, stvari koje se smiju zaplijeniti, kao i osobe koje se smiju privesti. Prava pojedinca su iznad moći države, osim u slučaju kada se njihovo ograničenje može opravdati. U to se vrijeme radilo o pretresu kuća, ali s razvojem tehnologije mijenja se i način nadzora. S izgradnjom željeznice i poštanske službe vlast si je prisvajala pravo da otvara poštu, a u dvadesetom stoljeću počeli su prisluškivati telefonske razgovore. Uvijek su na udaru bili marginalci i disidenti. Sve do 21. stoljeća, kada tehnologija omogućuje da se snima i sprema sva elektronička komunikacija.

Kamo to može odvesti? Hoće li se ostvariti Orwellova 1984., ali ne u Sovjetskom savezu, nego u razvijenim demokracijama? Nije teško zamisliti da softver pokupi neke ključne riječi i zaključi da netko potencijalni protivnik režima. Ne vjerujemo da je softver u stanju razumjeti kontekst u kojem je nešto izrečeno, da se radi o ironiji, šali, ili je izrečeno u žaru usijane rasprave kakvih ima dosta na Mreži. Kad je takav pojedinac označen kao "osoba od interesa", nedostaje još samo korak pa da postane "sumnjivo lice" i da nadzorni softver počne aktivirati alareme svaki put kad mu zazvoni telefon.

Ako su građani cijelo vrijeme svjesni da ih se nadzire, to vodi do autocenzure i atmosfere straha, a time se ugrožavaju sami temelji demokracije. Lako je to povezati s Kinom u koju demokracija još nije dospjela, gdje autokratski vlada jedna partija, a građanima se dodjeljuju bodovi u skladu s njihovom lojalnošću državi i vlasti. Ali Amerika je kolijevka demokracije, tamo to nije moguće, zar ne? U 70-tim godinama prošlog stoljeća FBI je prisluškivao razgovore pola miliona građana koji bili označeni kao subverzivni. Na popisu su bili na primjer Martin Luther King, John Lennon, feministice. Kolonijalne sile poput Velike Britanije i Francuske nadzirale su pripadnike antikolonijalnih pokreta. Nedavno smo svjedočili Arapskom proljeću, masovnoj pobuni protiv diktature, kada su režimi na vlasti shvatili da brzo moraju uspostaviti kontrolu nad Internetom. Krenuli su u šoping i nakupovali tehnologiju razvijenih zapadnih, demokratskih zemalja. Na primjer, alate za razbijanje enkripcije Skypea, kako bi mogli prisluškivati razgovore aktivista.

Masovni nadzor daje ogromnu moć onima koji ga provode, a s obzirom na nesavršenu ljudsku prirodu teško je zamisliti da oni tu moć neće zloupotrebljavati, da se održe na vlasti ili da ostvare neku drugu korist za sebe.

U prošlom smo nastavku govorili o tome kako se privatnost narušava iz komercijalnih pobuda, a sada smo dodirnuli društvenu stranu problema, ugrožavanje demokracije. U 21. stoljeću pojedinac se ne može zavući u neku rupu i sakriti, cijeli je svijet premrežen tehnologijom koja se može koristiti protiv njega. Što nam preostaje, osim nastojanja da jačamo demokraciju i ograničimo moć ljudi koji upravljaju tehnologijom. U protivnom, naša formalno zajamčena prava u praksi će biti bezvrijedna. Srećom, demokracija nam daje mogućnost da se pobunimo i izborimo za svoja prava. Sad još samo preostaje da to i učinimo, zar ne?

U prethodnim člancima pokazali smo kako na Linuxu naredbama s komandne linije nadzirati temperaturu procesora i diskova. Naredni korak je upoznavanje s procesima koji automatski nadziru i održavaju radnu temperaturu računala.

Sjećam se IBM-ovih konferencija od prije desetak (i kusur) godina kada su "ajbiemeri" najavljivali svoje velike i dugoročne projekte, pametne gradove, energetski samoodržive zgrade i između ostalog "self healing computers", računala koja sama zacjeljuju. Tada sam zamišljao velike plave servere koji, uz pomoć robotske ruke na živo vade pokvarene diskove i zamjenjuju ih ispravnima, umeću nove kartice s procesorima, radnom memorijom i tome slično. Nije lak zadatak, čak i kad je ista tvrtka proizvođač hardwarea i softwarea. Kako to izvesti u svijetu osobnih računala, gdje je na tržištu mnoštvo proizvođača komponenti i mnoštvo sastavljača koji iz te ponude dijelova sklapaju računala.

Ipak, malo po malo kao da počinje ostvarivanje vizije računala nalik na živi organizam. Nismo još razvili organska računala, ali barem nastojimo automatski regulirati radnu temperaturu.

Kako se povećava snaga računala, raste broj jezgri procesora i njihov radni takt, tako raste i potrošnja energije, a s njom i zagrijavanje. Dodajte na to istovremenu težnju da se smanji fizička veličina uređaja, pa dobijamo sve jače zagrijavanje u sve manjim kućištima. U tankim prijenosnicima, tabletima i pametnim telefonima nema mjesta za ventilatore. Kako onda hladiti uređaje i održavati radnu temperaturu na prihvatljivoj razini?

Već pri dizajniranju računala treba izračunati koliko će se energije pretvarati u toplinu. Specifikacije procesora sadrže vrijednost TDP, Thermal design power. Mnogi prije kupovine računala provjeravaju specifikacije procesora. Ako žele lagan prijenosnik, važno im je da se ne pregrijava i da baterija traje što dulje. Radi toga traže računala sa štedljivim procesorom. Kada otvorimo stranicu sa specifikacijama, brzo pronađemo deklariranu vrijednost TDP izraženu u W, pa se to odmah shvati kao potrošnja CPU. No TDP je zapravo utrošena snaga minus koristan rad, odnosno ostatak energije koji se pretvara u toplinu (entropija?). Zabuna oko toga da li je TDP potrošnja struje ili generirana toplina, rekli bismo, nije posve slučajna, jer se prilikom predstavljanja novih procesora prezentatori olako razmeću štedljivošću novih generacija procesora citirajući pri tom TDP kao potrošnju.

Bilo bi idealno da se odmah pri projektiranju računala predvidi maksimalno zagrijavanje i računalo osposobi da ga podnosi, kako bi sustav bio spreman i na najgore radne uvjete. No u praksi nije uvijek tako. Da li radi uštede ili radi skraćivanja radnog vijeka računala, odlučite sami. U svakom slučaju skuplja računala bolje se nose s pregrijavanjem i dulje će trajati.

Obično se TDP odredi kao vrijednost zagrijavanja pri korištenju standarnih, najčešćih aplikacija. Osim toga određivanje TDP-a varira od proizvođača do proizvođača, a k tome ga još i pojedini proizvođači mijenjaju s protokom vremena, odnosno s pojavom novih generacija procesora. Intel je nedavno uveo novu metriku, koju je nazvao SDP, Scenario design power.Čini se da se u igru umiješao marketing, štednja energije je postala tržišna prednost. Novi se procesori diče manjom potrošnjom/zagrijavanjem, ali ne treba odmah povjerovati specifikacijama. Testovi mogu pokazati da procesor s deklariranim SDP-om od 7 W zapravo ima TDP od 13 W. A ako se računalo podvrgne intenzivnom testiranju performanski, benchmark testovi će natjerati procesore na maksimalne napore i izazvati zagrijavanje koje će biti dobrano iznad deklariranih vrijednosti. Isto će se dogoditi i prilikom korištenja zahtjevnih aplikacija, poput na primjer GIS-a, igrica, montaže videa...

Sve u svemu, ispada da je TDP više neka društvena konvencija nego precizna odrednica. Stoga neki kažu da TDP treba pomnožiti s 1,5 da bi procijenili stvarno zagrijavanje.

Ironično je da aktivno hlađenje i samo troši energiju i time proizvodi dodatnu toplinu. Taj problem još je veći u serverskim halama nego u pojedinačnim računalima, ali time se ovdje nećemo baviti. Spomenut ćemo samo da ako želite nabrijano računalo trebat će vam snažni procesori i grafičke kartice koji troše mnogo struje i jako se zagrijavaju. Umjesto prijenosnika, bit će bolje kupiti stolno kućište sa mnogo ventilatora i s vodenim hlađenjem.

Dok se četvernošci hlade dahtanjem, a čovjek znojenjem, računala za to koriste rebrasta hladila, termalne paste, materijale koji lako odvode toplinu (na pr. titan u IBM Thinkpad T seriji računala). Dakle prva linja zaštite je sam hardver, s pasivnim hlađenjem. Drugu liniju obrane je neko vrijeme obavljao BIOS, snižavajući temperaturu pojačavanjem rada ventilatora ili smanjivanjem radnog takta procesora, a cijena koja se za to plaćala je pad performansi računala.

Naredna stepenica u razvoju je Advanced Configuration and Power Interface (ACPI), otvoreni standard koji na operacijski sustav prebacuje dogovornost za otkrivanje i podešavanje hardverskih komponenti računala, a onda i za upravljanje potrošnjom energije. (Preskočit ćemo ovdje međufaze, APM i PnP BIOS, koji su otišli u zaborav.)

Kako samo ime kaže, ACPI je sučelje za konfiguraciju i energiju. Na razini firmwarea sastoji se od nekoliko komponenti: ACPI tabele,ACPI BIOS, ACPI registri. ACPI BIOS učitava ACPI tabele u memoriju, a u njima se nalazi ACPI Machine Language (AML). Da bi operacijski sustav mogao koristiti ACPI tabele, mora sadržavati prevoditelj (interpreter) za AML. Implementaciju referentnog AML interpretera sadrži ACPI Component Architecture (ACPICA). Radi se o open source kodu koji omogućuje da operacijski sustavi podržavaju ACPI. Razvio ga je intel, a koriste ga Linux i FreeBSD. Čim OS aktivira ACPI, on preuzima kontrolu na konfiguracijom uređaja i upravljanjem enrgijom.

Upravljanje potrošnjom energije je naš primarni interes u ovom članku. ACPI je u stanju komponente računala koje se trenutno ne koriste poslati "na spavanje". Preuzimajući tu funkcioalnost od BIOS-a omogućuje bolju fleksibilnost, uštedu energije i neovisnost o hardveru. Da bi to funkcioniralo, trebalo je osigurati da pojedine komponente računala podržavaju standard. Tvorci standarda isprva su bili Intel, MIcrosoft i Toshiba, kasnije su pridruživali i drugi zainteresirani proizvođači, pa je stvoren ACPI Special Interest Group (ACPI SIG). Prva je verzija objavljena još 1996. a od tada se standard proširivao da bi se prilagodio razvoju hardvera. Na primjer, dodavana je podrška za SATA kontrolere, PCI Express bus, višeprocesorske sustave, ambijentalnu rasvjetu, kontrolu temperature drugih komponenti osim procesora itd. Usporedno je tekao i razvoj UEFI BIOS-a, pa je briga o razvoju ACPI standarda 2013. prebačena na UEFI Forum, koji je 2019. objavio trenutno zadnju verziju ACPI 6.3.

Razvoj i primjena ACPI standarda nisu prolazili glatko i bez problema. Windows 98 prvi su dobili podršku za ACPI (acpi.sys), ali kako su svoj dio posla trebali odraditi i proizvođači hardvera, podrška za ACPI bila je aktivna samo na probranom hardveru. Problemi su se nastavljali i kasnije, pa tako Vista nije radila na matičnim pločama bez ACPI BIOS-a, a kasnije verzije Windowsa bile su izbirljive, tražile su da BIOS ima datum noviji od 1999. godine. Brojne verzije Unixoida s vremenom su dobivale podršku za ACPI. Linux je dobiva s kernelom 2.4 u rudimentarnom obliku, a od verzije 2.6 podrška radi samo ako je BIOS noviji od 1.1.2002.

Arhitektura ACPI standarda je slojevita. Zadaća je BIOS-a koji podržava ACPI učitavanje ACPI tablica u sistemsku memoriju, a tu je i ACPI Machine Language (AML), koji služi za komunikaciju s hardverom. Sustav nadzire i upravlja stanjima računala i njegovih komponenti.

Na primjer, Globalna stanja i njima pripadajuća Sleep stanja su:

    G0 Working
        S0 računalo radi, CPU izvodi instrukcije
    G1 Sleeping
        S1 Power on suspend
        S2 CPU power off
        S3 Suspend, RAM je pod naponom
        S4 Hibernacija, memorija je spremljena na disk, računalo ugašeno
    G2 Soft off
        S5 Ugašeno, ali napajanje (PSU) radi na minimumu, pritiskom na prednju tipku računalo ide u  reboot i S0 stanje, a može ga pokrenuti sat, impuls s mreže, tipkovnice, USB i sl.
    G3 Mechanical off
       
G3 znači da je računalo ugašeno mehničkim prekidačem, (sa stražnje strane, na napajanju) ili je isčupan strujni kabel. Radi samo real time clock kojeg pogoni baterija.
   
Device states, stanja uređaja, idu od
 
    D0 - normalan rad
    D1 i D2 - nešto između rada i spavanja, stanje ovisi o samom uređaju
    D3 - dijeli se na
        "D3 hot" (radi na smanjenoj energiji, spremno za buđenje)
        "D3 cold" (stvarno ugašeno).

Stanja procesora, od C0 do C3.
 
    C0 - CPU normalno radi
    C1 - Halt, procesor ne radi, ali je spreman brzo se aktivirati.
    C2 - Stop Clock, procesor je vidljiv softveru, ali se sporije aktivira.
    C3 - Sleep, CPU ne čuva svoj cache, ali čuva neka druga stanja.

Noviji procosori još više raščlanjuju stanja procesora, sve do C10, kako to već odredi proizvođač.

Performance state ide od

    P0 - označava maksimalnu snagu i potrošnju, do
    P(1-n) - stupnjevito sve se više smanjuje napon i frekvencija

Konkretne implementacije ovise o proizvođaču i generaciji procesora.

Korištenjem ACPI standarda današnja računala mogu štediti energiju i smanjivati zagrijavanje, uzimajući u obzir činjenicu da ne rade uvijek pod maksimalnim opterećenjem. U kritičnim situacijama hlađenje se postiže usporavanjem rada računala, ali pri normalnom, isprekidanom radu, može se dosta uštedjeti. Uvedena su i međustanja, razičiti načini "spavanja", pri čemu se isključuju ili usporavaju pojedine komponente, s namjerom da se računalo brže vrati u radno stanje nego kad bi bilo posve ugašeno.

Gašenje računala više nije jednoznačno. U dobra stara vremena logika je bila binarna: računalo je ili upaljeno ili ugašeno, odnosno ili uključeno ili isključeno (XOR). Danas su stvari složenije, računalo može biti u nekom (kvantnom) stanju između dvije krajnjosti.

Dok Windowsi koriste acpi.sys, Linux je dobio nove sistemske procese, acpid i thermald. Ali o tome više u narednom nastavku.

Poštovani korisnici,

kako bismo vam osigurali bolju kvalitetu usluge sys.backup, tijekom mjeseca studenog započinjemo sa zamjenom opreme i nužnim građevinskim radovima u podatkovnom centru u kojemu je usluga smještena. Zbog toga će usluga sys.backup biti nedostupna najmanje mjesec dana, a o točnom datumu završetka radova ćemo vas pravovremeno obavijestiti.

Molimo Vas da, ukoliko je potrebno, preuzmete vaše pohranjene podatke najkasnije do 13. studenoga 2020. Nakon tog datuma podatke više neće biti moguće vratiti. U razdoblju dok je usluga sys.backup nedostupna, molimo vas da čuvate lokalne kopije svojih podataka ili koristite neke od usluga javno dostupnih cloud providera.

Služba internetskih servisa
Hrvatska akademska i istraživačka mreža - CARNET
http://sysportal.carnet.hr

Poštovani korisnici,

kako bismo vam osigurali bolju kvalitetu usluge sys.backup, završili smo sa zamjenom opreme i nužnim građevinskim radovima u podatkovnom centru u kojemu je usluga smještena.

Usluga je ponovno dostupna.

Molimo Vas da provjerite, ukoliko imate poslužitelje uključene u uslugu sys.backup, da su Vam pohrane dostupne.

Služba internetskih servisa
Hrvatska akademska i istraživačka mreža - CARNET
http://sysportal.carnet.hr

CARNET preko 20 godina podržava operativne sustave bazirane na linuxu, pogotovo njegovu inačicu Debian. Debian se kroz godine pokazao kao izuzetno stabilan i pouzdan sustav, te se iz tih razloga i mnoge institucije članice CARNET-a odlučuju da na glavnom poslužitelju održavaju Debian Linux. Postojećim poslužiteljima je nadogradnja sustava na novu inačicu  olakšana kroz proceduru "carnet-upgrade", no potpuno novi poslužitelj nema nikakve prilagodbe CARNET-ovim servisima i mreži. Kako onda brzo "carnetizirati" poslužitelj pod Debian linuxom?

U slučaju da na poslužitelju nema nikakvog operativnog sustava, trebat ćete skinuti sliku originalnog Debianovog instalacijskog CD-a. Dovoljno je skinuti najmanji CD (netinst.iso), a sve ostalo što vam treba možete instalirati naknadno putem APT-a.

Instalacijski CD možete skinuti s adrese https://www.debian.org/CD/netinst/. Odaberite zadnju dostupnu inačicu datoteke debian-10.*-amd64-netinst.iso za Debian 10 Buster (amd64) u direktoriju https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/. 

Napomena: ukoliko u datoteci /etc/apt/sources.list imate neke nestandardne repozitorije, prebacite ih u posebne datoteke u direktoriju /etc/apt/sources.list.d, jer instalacijska skripta, ali i sve kasnije CARNET-ove procedure brišu i postavljaju svoj sadržaj u datoteku /etc/apt/sources.list. Primjerice, ukoliko koristite PHP repozitorij sa https://deb.sury.org/, njega bi mogli staviti u datoteku /etc/apt/sources.list.d/sury.org.list.

Nakon instalacije i osnovnog podešavanja poslužitelja (IP adresa, naziv i slično), trebate skinuti jednostavnu instalacijsku skriptu s adrese ftp://ftp.carnet.hr/carnet-debian/dists/carnet-buster/carnet-buster.sh i pokrenuti je kao korisnik root. Skripta će sama povući i instalirati osnovne CARNetove pakete, koji će vam olakšati instalaciju ostalih paketa koji su vam potrebni. Ne morate instalirati sve pakete, ali neki su povezani (primjerice postfix, amavis i clamav).

Nakon instalacije CN paketa dobit ćete standardni CARNET-ov poslužitelj s distribucijom CARNet-Buster i paketima koje ste odabrali. Naknadno s anredbom "apt" možete dodati bilo koji CARNET-ov paket koji vam treba (popis je na http://sysportal.carnet.hr/paketi).

NAPOMENE:

1. Imajte na umu da CARNetovi paketi podrazumijevaju da ćete ih instalirati  na glavni poslužitelj ustanove i tako se prilagođavaju. Primjerice, podrazumijeva se da taj poslužitelj prima poštu za cijelu vašu domenu, što možda nije slučaj jer poštu prima neki drugi poslužitelj.

Zbog toga će neke pakete trebati naknadno podesiti naredbom "dpkg-reconfigure paket", a možda i ručno u konfiguracijskoj datoteci paketa. Neke možete obrisati ako ste ih zabunom instalirali ili ih jednostavno nemojte ni instalirati (primjerice, ne treba vam niti paket vsftpd niti proftpd, ako ne koristite  zastarjeli protokol FTP. SFTP iz paketa "openssh" je daleko bolja solucija).

2. Ako samo želite instalirati dodatni poslužitelj sa samo jednim ili dva servisa, razmislite jesu li vam CARNET-ovi paketi uopće potrebni. Jednostavnije je brinuti o poslužitelju s manje paketa i ne brinuti hoće li vam CARNET-ovi paketi poremetiti konfiguraciju servisa na poslužitelju.

3. Ukoliko želite instalirati poslužitelj koji je identičan nekom drugom poslužitelju (primjerice, stari poslužitelj je postao preslab i zato selite sav njegov softver na ovaj novi poslužitelj), ovako možete skinuti popis paketa i njihovu debconf konfiguraciju sa starog poslužitelja:

old# dpkg --get-selections > paketi.txt
old# apt install debconf-utils
old# debconf-get-selections > debconf-selections.txt

U datoteci paketi.txt bit će svi paketi s njihovim statusom (instaliran/nije instaliran), a u datoteci debconf-selections.txt njihova debconf konfiguracija, onako kako ste odgovarali na pitanja prilikom instalacije). Datoteke jednostavno prebacite na novi poslužitelj (primjerice naredbom scp *.txt korisnik@new_server:), te napravite:

new# dpkg --set-selections < paketi.txt
new# apt install dselect
new# dselect update
new# apt-get dselect-upgrade
new# debconf-set-selections < debconf-selections.txt

Sada ćemo se poslužiti malonm skriptom (onelinerom) da primjenimo sve potrebne promjene:

new# for i in $(dpkg --get-selections | grep "install" | cut -f1) ; do dpkg-reconfigure $i ; done

Ova će procedura potrajati, ali će konfigurirati novi poslužitelj po vašim prethodnim odgovorima i "klonirati" instalaciju sa starog poslužitelja. Naravno, vjerojatno će biti potrebna i pokoja ručna intervencija.

Sretno i ugodna uporaba CARNET-ove distribucije Debiana!

Poštovani kolege,

objavljena je CARNET-ova distribucija Debian 10 (Buster).

Za nadogradnju na buster potrebno je instalirati paket "carnet-upgrade" te pokrenuti istoimenu naredbu, te jednostavno slijediti upute na ekranu.

S paketom carnet-upgrade uobičajeno dolazi  i dokumentacija koja se nalazi u direktoriju /usr/share/doc/carnet-upgrade. Tu se nalaze upute i savjeti koji će vam pomoći da nadogradnja prođe što jednostavnije i brže. Dokument možete pronaći i ovdje.

Proučite ovaj dokument prije početka zahvata na poslužitelju, pogotovo ako instalaciju radite prvi put. Kao i uvijek, preporučujemo da napravite potpuni lokalni backup podataka.  Možete očekivati da će postupak nadogradnje trajati od dva do četiri sata, ovisno o brzini poslužitelja, brzini veze vaše ustanove, te broju servisa na poslužitelju.

Kao i uvijek, postoje posebne napomene. U busteru dolazi PHP 7.3, pa prije nadogradnje provjerite kompatibilnost svojih CMS sustava i svih modula koji dolaze s CMS-om s novim PHP-om . Promjena inačice nije velika u odnosu na prošlu (PHP 7.0), pa ne očekujemo probleme ukoliko vaš softver već radi na Debianu 9.

U Debianu 10 ne postoji paket phpmyadmin, ali moći ćete ga instalirati iz repozitorija buster-backports.

Poneki problem bi se mogao pojaviti s OpenSSL-om, jer osnovne postavke na Debianu 10 ne dopuštaju ključeve manje od 2048 bita i protokol niži od TLS1.2. Problem možete riješiti ili pravljenjem novih ključeva, pazeći da su minimalno 2048 bita (poželjno) ili smanjiti minimalne zahtjeve u datoteci /etc/ssl/openssl.cnf. Više o toj temi možete pronaći na https://wiki.debian.org/ContinuousIntegration/TriagingTips/openssl-1.1.1.

Ukoliko koristite bazu Postgres, morat ćete ju reindeksirati, a potencijalni problem s gubitkom mrežne ovezanosti zbog promjene naziva sučelja (eth0 -> enp0s1) možete preduhitriti prije instalacije. Više o tome, ali i drugim potencijalnim problemima možete pročitati na adresi https://www.debian.org/releases/stable/i386/release-notes/ch-information.en.html#migrate-interface-names.

Svoje poslužitelje na Debianu 9 bi trebali nadograditi do 30.06.2022., jer tada ističe LTS (Long Term Support) sigurnosna podrška za Debian 9 (stretch).

Kako nije moguće predvidjeti sve probleme koji se mogu pojaviti prilikom instalacije, u slučaju potrebe podršku potražite na adresi "syshelp at carnet.hr".

Preseljenje DNS poslužitelja je lak zadatak - ali samo ako pazite na redosljed operacija. U suprotnom, gneminovno slijedi problem s primanjem maila ili dostupnošću weba, u ovisnosti kako vam je složena mreža i servisi na ustanovi. Postoji nekoliko scenarija po kojima možete prebaciti DNS na novi poslužitelj, a mi ćemo se obraditi scenarij kada imate istovremeno dostupan i stari i novi DNS poslužitelj.

1. Stari poslužitelj je dostupan i radi na adresi IP1
2. Drugi poslužitelj je dostupan na adresi IP2 i nije konfiguriran kao DNS poslužitelj

Instalirajte bind9 na novom poslužitelju, prebacite zonske datoteke hosts.db i hosts.rev, dodajte zapise novog DNS servera (u datoteku na starom i novom serveru) i provjerite dobivate li ispravne zapise iz zone, i to na sljedeći način:

# dig a vasadomena.hr @novidnsserver.vasadomena.hr
# dig a novidnsserver.vasadomena.hr

Kada dodajete zapise pobrinite se da za novi server dodate i NS i A zapis.

U slučaju da vam se sekundarni DNS poslužitelj nalazi na poslužitelju Sveučilišnog računskog centra bjesomar.srce.hr, morate im se javiti jer trebaju omogućiti prijenos zone na bjesomar.srce.hr s nove IP adrese (IP2). Isto vrijedi i za sve ostale sekundarne poslužitelje s kojima imate dogovor.

Ako je sve OK, smanjite vrijednost SOA TTL u zonskim datotekama (hosts.db i hosts.rev). TTL vrijednost je obično jedan sat (3600 sekundi), ali za potrebe prebacivanja možete staviti 10 minuta (600 sekundi) ili manje. Ne zaboravite nakon prebacivanja vratiti vrijednost na standardnu koja je bila prije. Više o tome zašto je vrijednost TTL bitna možete pročitati na adresi https://ns1.com/resources/understanding-ttl-values-in-dns-records.

Nakon što pričekate nekoliko sati i nove se adrese propagiraju, možete pristupiti izmjeni DNS servera za vasadomena.hr na webu https://www.domene.hr. Provjerite koja je email adresa upisana kao tehnička kontakt osoba, a ako ne zaprimite mail, javite se DNS službi CARNET-a na helpdesk@carnet.hr. Obrišite adresu starog poslužitelja (IP1).

Kada unosite novi DNS server svakako za njega unesite i njegovu IP adresu (tzv. glue zapis). Opcija u sučelju postane dostupna tek nakon što unesete puno ime novog poslužitelja (FQDN).

Pričekajte propagaciju iz aplikacije na .hr poslužitelje (što traje oko 15 minuta) i provjerite da li je sve ispravno završilo (naravno, u odgovoru očekujete vidjeti novi zapis IP2):

:~$ dig ns vasadomena.hr @hr-ns-1.carnet.hr
;; AUTHORITY SECTION:
vasadomena.hr.        14400    IN    NS    bjesomar.srce.hr.
vasadomena.hr.        14400    IN    NS    novidnsserver.vasadomena.hr.

;; ADDITIONAL SECTION:
novidnsserver.vasadomena.hr.        14400    IN    A    161.53.XXX.YYY
bjesomar.srce.hr.    14400    IN    A    161.53.2.70

Očistite cache za NS zapise sa sljedećih prometnih resolvera, kako klijenti ne bi slučajno dobivali staru adresu:

https://1.1.1.1/purge-cache/

https://developers.google.com/speed/public-dns/cache

S navedenim postupkom nikakvog downtime-a ne bi trebalo biti, ako je sve ispravno iskonfigurirano. U svakom slučaju mijenjate samo jedan zapis (IP adresa koja se mijenja, odnosno novi naziv poslužitelja), dok sekundarni DNS serveri nastavljaju posluživati i vašu zonu, poput bjesomar.srce.hr ili sysdns.carnet.hr.

CARNET u svom servisu sys.dns nudi uslugu sekundarnog poslužitelja, pa ukoliko rabite ovaj servis, ne zaboravite promijeniti IP adresu na novu (IP2).

Ukoliko do sada niste rabili sys.dns, pozivamo vas da zatražite pristup preko sučelja na adresi https://sysdns.carnet.hr.

Objavljena je CARNET-ova distribucija Debiana 11 (Bullseye).

Ovo izdanje distribucije je ujedno i posljednje izdanje Debiana koje će CARNET objaviti. Štoviše, bit će obrisani svi CARNET-ovi paketi sa sustava.

Ne brinite, CARNET-ove postavke iz paketa će ostati, dakle konfiguracija pojedinih servisa se neće brisati (npr. konfiguracija Postfixa)! Također, paketi za podršku AAI@EduHr sustavu se neće brisati.

Ovime prestaje i službena CARNET-ova podrška za Debian, a podrška će se moći dobiti samo za servise koje CARNET nudi, poput sys.monitor ili sys.dns, te ostale usluge (i za sve usluge koje će se naknadno pojaviti).

Za nadogradnju na distribuciju Bullseye, prvo trebate nadograditi paket "carnet-upgrade" na inačicu 11.0.0 i izvršiti istoimenu naredbu. Kao i uvijek, dalje slijedite upute na ekranu.

S paketom "carnet-upgrade" dolazi i prateća dokumentacija smještena u direktoriju /usr/share/doc/carnet-upgrade. Tamo ćete pronaći korisne smjernice i savjete koji će vam pomoći da nadogradnja prođe glatko i brzo.

Molimo vas da pažljivo proučite ovu dokumentaciju prije nego što krenete s nadogradnjom na vašem poslužitelju, posebno ako to radite po prvi put. Također, uvijek preporučujemo da napravite potpuni lokalni backup podataka prije izvođenja nadogradnje. Očekujte da će sam postupak nadogradnje trajati između dva i četiri sata, ovisno o brzini vašeg poslužitelja, brzini internetske veze i broju servisa koji se izvršavaju na poslužitelju.

Mogući problemi mogu se pojaviti u vezi s OpenSSL-om, jer osnovne postavke u Debianu 11 zahtijevaju ključeve s minimalno 2048 bita i protokol viši od TLS 1.2. Probleme možete riješiti stvaranjem novih ključeva s minimalno 2048 bita (poželjno) ili prilagodbom minimalnih zahtjeva u datoteci /etc/ssl/openssl.cnf, gdje možete smanjiti minimalne zahtjeve. Više informacija o ovom potencijalnom problemu možete pronaći na sljedećim poveznicama:

• https://wiki.debian.org/ContinuousIntegration/TriagingTips/openssl-1.1.1
• https://www.openssl.org/docs/man1.1.1/man3/SSL_CTX_set_security_level.html

Ako koristite PostgreSQL bazu podataka, bit će potrebno ponovno indeksirati bazu. Također, budite svjesni mogućeg problema s promjenom naziva mrežnog sučelja (eth0 -> enp0s1) te ga preduhitrite prije nadogradnje. Više informacija o ovome i drugim potencijalnim problemima možete pronaći na sljedećoj poveznici: https://wiki.debian.org/NetworkInterfaceNames.

Napominjemo da bi svi poslužitelji koji koriste Debian 10 trebali biti nadograđeni do 30.06.2024. godine, jer tada ističe krajnja podrška za sigurnosne nadogradnje (LTS - Long Term Support).