Vrli novi svijet
Čitate li svaki dan obavijesti o otkrivenim ranjivostima? Kad se pretplatiš na brojne sigurnosne mailing liste, svakodnevno ti je inbox zatrpan porukama, tako da s vremenom čovjek "ogugla" (ups, ovo nema veze s Googleom!) i prestane obraćati pažnju. OK, otkrivena je još jedna ranjivost, pa što onda? Redovito instaliramo zakrpe i nove verzije paketa, pa se ne moramo opterećivati još i time da znamo baš svaku ranjivost.
Znate li tko vrlo pažljivo prati sve novosti iz svijeta informacijske sigurnosti? Loši dečki, koji su neprestano u potrazi za novim načinima da nam napakoste. Kad izađu zakrpe, stari exploiti prestaju biti djelotvorni, zato se neprestano traže nove slabosti.
Po mom dubokom uvjerenju, svaki pravi sistemac usprkos svemu svakodnevno prati te vijesti, ne samo mailove o ranjivostima i zakrpama, nego i siteove na kojima hakeri objavljuju svoja otkrića. Od otkrivanja ranjivosti do izdavanja zakrpe prođe dosta vremena, nekad čak godine, pa je potrebno uključiti druge načine obrane osim zakrpa. Dodavanjem pravila na vatrozidu, zatvaranjem portova, pristupnim listama i na razne druge načine može se podići letvica i napadačima otežati posao.
Nedavno sam dobio Security Advisory - RHSA-2015:2504-1, obavijest o ispravljenjoj pogrešci u biblioteci libreport, koji mi je izmamio smiješak dok sam ga čitao. Zaposlenik tvrtke Red Hat Bastien Nocera otkrio je da ABRT (Automatic Bug Reporting Tool) prilikom prijave problema šalje Red Hatu informacije koje korisnik možda želi zadržati za sebe. Radi se imenima računala, IP adresama i naredbama komandne linije. Većina korisnika Enterprise verzije, dakle poslovni korisnici Red Hata, nisu bili izloženi ovoj pogrešci, jer podrazumijevana konfiguracija nema uključenu automatsku prijavu pogrešaka. Red Hat se ispričao korisnicima i poduzeo mjere da se pogreška ispravi - izdao je novu inačicu libreporta, a u dosad prikupljenim podacima informacije koje su procurile označene su kao privatne.
Što je u ovoj vijesti tako neobično? Radi se o tome da je ovakva briga za korisnikove podatke u današnje vrijeme rijetka. Već smo navikli da nam se na Mreži nude besplatne usluge, koje zapravo plaćamo svojim osobnim podacima. Na to smo se navikli, Google, Facebook i ostali moraju na neki način pokriti svoje troškove, pa se tražilica pretvara u oglašivačku platfromu koja prati navike korisnika i prikupljene informacije koristi za ciljani marketing. Svaki pametni telefon samo djelomično služi nama, a dobrim dijelom prikuplja informacije o nama i omogućava stvaranje naših profila, prisluškivanje, praćenje kretanja, potrošačkih navika itd.
U svim spomenutim slučajevima radi se o našim privatnim životima, našim privatnim podacima. No posve je drugačija situacija kad se radi o tvrtkama. Oni imaju svoje poslovne tajne, o kojima im ovisi opstanak na tržištu. Državne i javne ustanove imaju obavezu čuvati neke kategorije podataka, poput osobnih, ali ne samo njih. Sve one donose sigurnosne politike kako bi spriječili neovlašten pristup takvim podacima i njihovo "curenje". Zato kupuju skupe zaštite, specijalizirana računala koja brinu o tome da se na perimetru javne i privatne mreže filtrira promet, i to u oba smjera, jer se kontrolira što zaposlenici rade i što komuniciraju s vanjskim svijetom.
Nedavno smo pisali o tome kako su novi Windowsi, verzija 10, zapravo spyware koji stvara ogroman promet i šalje Microsoftu informacije. Tako je s "defaultnom" konfiguracijom, a tko brine o svojim podacima može se pomučiti i isključiti neželjene funcije. No, ipak se ne može sve isključiti, a Microsoft si uzima pravo da s naših računala deinstalira neke aplikacije, na primjer ako više nisu podržane na novim Windowsima. Čak sam na mreži čitao zagovornike Microsofta među kolegama, koji kažu da ovo pomaže neukim korisnicima i olakšava im rad s Windowsima. Još malo pa će naš posao postati nepotreban, sve će za nas raditi Microsoft, zar ne? Windowsi će nam se sami instalirati umjesto starije verzije, više ne moramo instalirati ni "drivere", sve to za nas obavi veliki brat. Naravno, da bi to mogao, mora znati mnogo toga o nama i našim računalima. :)
S obzirom da, po svemu sudeći, Microsoft može raditi sve što hoće, neki komentatori zaključuju da time Microsoft postavio novu normu, novi standard. Sad će nadzor nad korisnicima računala biti sastavni dio operacijskog sustava i njegova podrazumijevana funkcija. Više se tu ne radi samo o privatnim korisnicima, koji žele besplatnu uslugu i spremni su se praviti da ju ne plaćaju izlaganjem svoje intime.
Ono što me najviše čudi jest posvemašnji muk poslovnih korisnika. Porazgovarao sam o tome s nekolicinom kolega, sistemaca, koji održavaju Windows računala. Čini se da oni dolaze iz nekog drugog svijeta, u kojem ja ne prebivam. Svi su odreda odmah izjavili da to nije njihov problem. Microsoft je privilegiran partner, ima ugovor s državom, pa neka država brine o tome. Postoje državne institucije koje brinu o nacionalnoj sigurnosti, sigurnosti informacijskih sustava, pa neka oni kažu što kako postupiti u ovakvoj situaciji.
Neki od tih kolega rade u ustanovama gdje firewalli blokiraju pristup Facebooku, Youtubeu, Google plusu itd. Navodno zato jer to kreira ogroman promet u mreži koja ima ograničenu brzinu linka prema Internetu, pa ljudi koji se na poslu igraju usporavaju rad onima koji rade svoj posao. Na stranu sada činjenica da sistemci na Facebooku i Youtubeu mogu pronaći vrlo korisne informacije koje im trebaju u poslu. I ne samo oni. Sad će sami Windowsi požderati dobar dio zakupljenog linka. Nema veze, kažu kolege, platit ćemo za veću propusnost. Dakle Microsoft meže trošiti link i nabijati tvrtkama račune, a zaposlenici ne mogu!
Nešto ne štima u ovoj logici. Ili sam ja, koji sam informatiku učio na slobodnom softveru, u današnje vrijeme naprosto zastarjeli dinosaur, osuđen na izumiranje. Podsjetimo se razloga zbog kojih postoji slobodni softver: zato jer daje korisniku čeitiri slobode, slobodu korištenja, dijeljenja "susjedima", slobodu proučavanja koda i njegovog daljnjeg razvoja, što uključuje slobodu distribucije dorađenog softvera. Ukratko, nastao je iz poštovanja prema korisniku i njegovim pravima. Ove slobode ne podrazumijevaju da je slobodni softver besplatan, iako može biti.
Nova paradigma korisniku uzima novac tako što mu samo iznajmljuje vremenski i na druge načine ograničeno pravo korištenja softvera, zadržavajući sva prava nad tim softverom, čineći korisnika ovisnim o dobavljaču, a onda slobodno raspolaže njegovim računalom i njegovim povjerljivim informacijama. Dobro došli u vrli novi svijet.
U međuvremenu je Microsoft izdao zakrpe za Windowse 7 i 8, kojima špijunske funkcije spušta na starije verzije Windowsa. Radi se o zakrpama KB 3068708, 3022345, 3075249, 3080149. Kad sam spomenuo kolegama da se instalacija tih zakrpa može ograničiti pomoću Group Policyja, samo su slegnuli ramenima. Razmišljao sam kako bi se neželjeni promet prema Velikom Bratu mogao blokirati i na firewallu, ali sam onda shvatio da firewall zapravo služi kontroliranju zaposlenika.
Demokracija podrazumijeva mogućnost izbora, pa valjda i mi možemo izabrati neki drugi OS umjesto Windowsa. Na primjer spomenuti RHEL, koji naplaćuje podršku, što odgovara mnogim tvrtkama i ustanovama koje žele profesinalnu podršku, ali ne naplaćuje programski kod koji daje na uvid korisnicima. I još se k tome ispričava jer su do njega nenamjerno dospjeli podaci koji zapravo i nisu poslovne tajne, samo imena računala i njihove adrese.
Problem je zapravo jednostavan. Svodi se na to da svatko od nas može birati između slobode i sigurnosti. Statistički, 95% posto ljudi odriču se slobode radi sigurnosti. Na stranu što je ta sigurnost zapravo prividna. Na stranu što i za slobodu i za sigurnost treba platiti cijenu. Po meni, cijena sigurnosti je veća od cijene slobode, iako to većina nije u stanju vidjeti.
Što ćete vi izabrati? Jer štogod mislili, i koliko god bili uvjereni da netko drugi odlučuje a vi samo izvršavate njihove odluke, ipak i vi imate moć i uticaj koji je veći nego što vam se čini, zapreke koje nas u tome sprečavaju samo su u našoj glavi. Pogledajte ovu ilustraciju, pa se nasmijte na svoj račun, baš kao što sam se i ja nasmijao na svoj.
- Logirajte se za dodavanje komentara
- Inačica za ispis
- PDF version
Komentari
Kako onemogućiti Windows Customer Experience Improvement Program
Glede spomenutih zakrpa koje uključuju Windows Customer Experience Improvement Program, a koji je početno isključen u MS Windows 7/8, kako kaže članak Manage Privacy: Windows Customer Experience Improvement Program and Resulting Internet Communication, on se može isključiti ako se postavi sljedeći group policy (najbolje na cijelu Windows domenu):
Computer Configuration / Policies / Administrative Templates / System / Internet Communication Management / Internet Communication settings / Turn off Windows Customer Experience Improvement Program -> enable
Ako Windows računala nisu u domeni, CEIP se može isključiti kroz Registry, npr. putem sljedeće naredbe:
reg add "HKLM\Software\Policies\Microsoft\SQMClient\Windows" /v CEIPEnable /t REG_DWORD /d 0 /f
ili pak otklikati kroz Action Center > Change Action Center settings > Customer Experience Improvement Program settings > No, I don't want to participate in the program
No u ta dva slučaja će se vjerojatno postavka ponovno uključiti ako se instalira neka slična nova zakrpa.
Treba uočiti i da se radi o sistemskoj postavci koju može promijeniti samo korisnik s administratorskim pravima.
Eto, borba s Microsoftom nikada ne prestaje.