odd_parity

Izašao je Mozilla Firefox 3, a čini se kako će biti nešto i od Guinnessova rekorda: zabilježeno je preko osam milijuna skidanja Firefoxa, a u trenutku pisanja ovog bloga, brojilo pokazuje brzovrteću brojku od otprilike 8.8 milijuna (*). Zgodno je napomenuti kako je Firefox 3 srušio interni rekord Firefox 2 browsera, koji je imao "samo" 1.6 milijuna skidanja prvog dana. Još zgodnije je napomenuti kako je u prvom danu izdavanja Firefox 3 već zabilježio 4% udjela na tržištu (iako tu vjerojatno ulogu igraju i prethodne, beta verzije).

Koristim FF3 već neko vrijeme i zaista sam zadovoljan karakteristikama, a posebice oduševljen ekstenzijama, sitnim dodacima za browser koji izuzetno obogaćuju korisnost tog programa.

No, vratimo se na naslov. Navala na Firefox, naime, bila je tolika da je zagušila servere i jedno vrijeme nije se moglo doći do nove verzije programa; svjedočili smo pravom DDoS napadu od strane vjernih korisnika - eto, nije istina da se takve stvari događaju samo iz zlih pobuda. :-)

Bug On Line, naravno, to je komentirao kao veliku sramotu Mozilla ekipe, koja se - vrlo neprofesionalno - nije pripremila kako treba i bila pregažena stampedom bezmozgave rulje koja niti ne razumije o čemu se radi (jer bi inače koristili MSIE, naravno!)

Šalu nastranu, naklonost Buga slobodnom softveru prilično je jasna (pozdrav tihoj manjini u uredništvu! ;-) - pa kad vijest-komentar napiše predavač sa WinDays-a, jasno je da naklonosti neće baš biti.

Naši susjedi rekli bi: "'Ko gubi, ima pravo da se ljuti."

P.S.

2004. smo na sajmu Info organizirali tulumić glede izlaska Firefoxa 1, pod parolom "budući najpopularniji browser na svijetu". Kolege iz informatičkih novina nisu došli na tulum, a i ostatak Info sajma nas je gledao čudno. :-)

P.P.S.

(*) Pišući ovaj blog, morao sam tu nesretnu brojku tri puta ispravljati!!!

Pročitavši originalni post Ivana Krstića, odlučio sam njegovu priču prevesti na hrvatski i malo pojednostavniti, jer - prijetnja je zanimljiva i ima veliki potencijal žrtvu ostaviti sa vrlo realnim gubitkom podataka na računalu.

Piše tako Ivan o Gpcode.ak, informatičkom zlu koje će, zarazi li vas, učiniti sve da vaši podaci budu nedostupni. I to *grdo* nedostupni - vaši dokumenti bit će zaključani snažnom enkripcijom, a ključ za otključavanje dokumenata dobit ćete tek nakon što platite - ucjenu. Zaista, prava otmica vaših podataka.
I dok se tako Ivan zabavlja sa tehnikalijama priče i sigurnosnim implikacijama (a što mu sasvim dobro ide), ja ću se osvrnuti na tu priču sa prizemnije strane:

Zamislite slijedeći scenarij: vlasnik ste tvrtke. Velike, male - svejedno. Jednog dana, unatoč svim mjerama opreza, netko u vašu mrežu pripusti Gpcode.ak. Program je vrlo zao - uzet će vaše dokumente, i enkriptirat će ih na takav način da je dekripcija bez ključa faktički neizvediva u razumnom roku (čitaj: nekoliko godina neprekidnog rada jednog ili više računala samo na razbijanju enkripcije). Drugim riječima, nitko vam ne može vratiti te podatke, iako oni i dalje čuče na vašem disku, enkriptirani.

Što ćete raditi nekoliko godina sa podacima do kojih ne možete doći?

Naravno, brzo rješenje je - platiti ucjenu. Onaj tko plati ucjenu, dobit će ključeve kojima će moći doći do svojih podataka. I, jednom kad vam se tako nešto dogodi, to je nažalost jedini način da vaše podatke dešifrirate u izvorno stanje.

Bolje rješenje je - imati uredan backup, i to duboko u prošlost, kako biste mogli odbaciti kriptirane podatke i zamjeniti ih starijima, ali zato čitljivim. (prije toga se riješite virusa, inače će vas kolege zvati Sizif)

Nažalost, jedina relativno čvrsta obrana od ovakve napasti je antivirus koji može prepoznati i zaustaviti napasnika prije nego uopće dođe u priliku dohvatiti se vaših podataka.
Za svaku ozbiljnu tvrtku ovako što je poprilično kockanje, jer se faktički poslovanje tvrtke oslanja na sposobnost treće strane da izradi softver koji će moći zaštititi ju od ovakvih napada.

Ima li tvrtke kojoj biste zaista vjerovali? Ne želim reći kako proizvođači antivirusa ne zaslužuju povjerenje ili nemaju dobre proizvode, dapače. Ali, svi oni pate od jednog velikog problema: antivirusi uvijek kaskaju za virusima. Priroda stvari je jednostavno takva - kao što naše tijelo proizvodi antitijela tek nakon što je zaraženo, tako i antivirusi mogu spriječiti viruse tek nakon što znaju o čemu se radi. Heuristika pomaže, istina, i djeluje na neki način preventivno, ali to je vrlo slično cjepljenju protiv gripe, kada se odete cijepiti protiv mutacije A, a za tjedan dana vas u krevet sruši mutacija B.

Ima li zaštite od ovako nečega? Zapravo, ne. To je kao i ptičja gripa, svi se nadamo da će nas zaobići. Ne postoji potpuna zaštita od ovakve prijetnje, a katastrofični scenario je lako zamisliv i vrlo lako izvodiv: zli genij (ili obični zli luđak) odluči napraviti takav virus, i to potpuno nov, kojeg antivirusi ne prepoznaju, i zahvaljujući ljepotama Interneta, pusti ga u divljinu. U roku 24 sata, zaražen je ogroman broj računala. Nakon što istekne vremenska bomba (kako se virus ne bi prerano aktivirao i bio otkriven prije nego uspije zaraziti veliki broj računala), virus enkriptira sve podatke do kojih može doći na mnoštvu zaraženih računala. Zlo i naopako. Zli genij će onda tražiti otkupninu za podatke, ali - zli luđak neće, jer ga novci ne zanimaju, niti će ponuditi mogućnost vraćanja podataka.

Može li se prevencijom umanjiti mogućnost štete? Slijedi petominutni tečaj preživljavanja:

1. Vrlo ozbiljno i studiozno radite backup podataka. Ne dozvolite si pritom gaf da backup radite na medij kojeg zaboravite promjeniti i na kojeg je moguće pisati (traka, primjerice), pa virus usput enkriptira i te podatke...

2. Educirajte sebe i zaposlene - needucirani i/ili glupavi djelatnici najveća su sigurnosna rupa u vašem IT sustavu.

3. Promjenite OS na kojem radite - iako to nije samo po sebi zaštita, korištenje Linuxa ili Mac OS X-a maknut će vas sa prve crte udara (MS Windows).

4. Ako su vam licence za antivirus do sad bile skupe, mislite li da će biti jeftinije platiti ucjenu? I, kako ćete to provesti kroz knjigovodstvo?

Naposljetku, ako zaista mislite da baš vi znate najbolje o vašoj IT infrastrukturi i zaštiti iste, pa vam stručna pomoć nije potrebna - želim vam sreću.

Ne baš atipična situacija za Hrvatsku je tvrtka koja želi uštedjeti troškove i ne želi kupiti simetričan stalni link, već trpi mušice aDSL veze.

Da, da - nema do optike, ali puno više mojih klijenata bira ovu jeftiniju varijantu priče. Na kraju krajeva, najveća količina prometa je ulazna, a odlazni paketi često i nisu tako bitni - neka je sporije, kad ode otići će.

Nedavno sam slagao, između ostaloga, jedno prosto failover rješenje. Tvrtka ima dva aDSL linka, jedan je flat-rate link prema Iskonu, a drugi je stari ne-flat-rate link prema Amisu, kojeg je tvrtka zadržala jer je toliko jeftin da stoji za "zlu ne trebalo".

Naravno, stvar bi bilo zgodno automatizirati, zar ne?

Postoji više načina na koje se može riješiti ovaj problem - najjednostavniji je ugrađen u sam kernel i sastoji se od tri jednostavne linije koda:

route add default gw 192.168.1.254 dev eth1
route add default gw 192.168.100.1 dev eth2
echo "10" > /proc/sys/net/ipv4/route/gc_timeout

Dakle, postavimo jednu rutu, postavimo drugu rutu, te u gc_timeout postavimo vrijeme u sekundama nakon čijeg isteka će računalo zaključiti kako je ruta mrtva, te prijeći na drugu rutu.Mana ove priče je što u slučaju da drugi link radi kako treba, računalo se neće samo od sebe vratiti na prvi link.

No, ovdje pričamo o dva linka, pri čemu je flat-rate link debelo preferiran onom drugom linku. A ljudi surfajuuuuu...

Skripta koja slijedi (a koju sam bezočno ukrao sa Interneta i malo prilagodio) od jednostavnijih je rješenja ovog problema.

Potrebno je postaviti cron job koji će svakih par minuta pokrenuti ovu skriptu:

#!/bin/sh
#Note: Please make sure this script run in the
#cronjob every 5 minutes

# U ove varijable stavite gateway IP adrese vaša dva providera.

# Pritom pazite na ethernet kartice:

# ISP1 -> eth1 (primarni link)

# ISP2 -> eth2 (backup link)

# U ovom slučaju eth0 je lokalna mreža!

ISP1=192.168.1.254

ISP2=192.168.100.1

function switch_isp2()
{
/sbin/route del default
/sbin/route add default gw $ISP2 dev eth2
}

function switch_isp1()
{
/sbin/route del default
/sbin/route add default gw $ISP1 dev eth1
}

if /bin/ping -q -c1 -Ieth1 161.53.19.201 >/dev/null 2>&1; then
if /sbin/route -n | /bin/grep '^0.0.0.0' | /bin/grep "$ISP2" >/dev/null; then
/sbin/ip route flush cache;
echo `date` "Prebacujem se na ISP1";
switch_isp1;
/sbin/route -n | grep UG;
fi;
exit 0;

elif /sbin/route -n | /bin/grep '^0.0.0.0' | /bin/grep "$ISP1" >/dev/null; then

echo `date` "Prebacujem se na ISP2";
/sbin/ip route flush cache;
switch_isp2;
/sbin/route -n | grep UG;

fi;

Kako skripta radi? Pokrenuta svakih nekoliko minuta iz cron-a, skripta će prvo provjeriti može li kroz primarni link pingati www.hr (161.53.19.201). Naredbu ping možete opcijom -I nagovoriti da pinga preko interface-a kojeg vi želite (u suprotnom će pingati preko podrazumjevane rute). Ako je sve u redu, tj. ako se host odaziva, provjerit će je li gateway namješten na pomoćni link i ako jest, automatski će prebaciti rutu na flat-rate vezu tako što će prvo obrisati informacije o trenutno korištenom gatewayu te postaviti novi gateway sa striktno definiranom ethernet karticom koja je vezana na flat-rate aDSL.

Ako se host ne odaziva, prebacit će se na pomoćni link i na gore opisani način postaviti novu rutu.

Ova skripta nije savršena. Nije stalno čučeći daemon već se poziva iz cron-a, što znači da se gubitak primarnog linka neće odmah sanirati prebacivanjem na pomoćni, već će proći određeno vrijeme,barem jedna minuta (jer je to razlučivost cron daemona, ili više ako ne želite opterećivati vaš stroj čestim provjerama linka - što zapravo i nije neko opterećenje - veći problem su nestrpljivi korisnici) dok skripta ne dođe na red za izvršavanje. U praksi, u cronu definiran interval kojim će se pozivati skripta je najveće očekivano vrijeme odziva, jer se skripta može, uz malo sreće, doći na red za pokretanje sekundu ili dvije nakon pada veze, u kojem slučaju će korisnici imati privid fantastično inteligentnog i brzog failover sustava. ;-)

Zatim, uvijek postoji mogućnost da oba linka krepaju, no na to zbilja ne možete utjecati. Skripta je dovoljno "inteligentno" napisana da preuzme bilo koji link koji prvi dođe sebi, a zatim se vrati na flat-rate link čim ovaj postane dostupan.

Najzad, što ako vanjski server kojim kontroliramo dostupnost linka iz nekog razloga ne radi? Dakako, www.hr je vrlo pouzdan server, ali nitko ne garantira da neće otkazati u nezgodnom trenutku. Ovo možete ublažiti tako da pingate neki od servera "bliže" vašoj primarnoj aDSL vezi, DNS server vašeg flat-rate ISP providera, primjerice.

Ako ISP ne dozvoljava ping? Promjenite ISP!

Ispis skripte možete hvatati u željeni log; svaka promjena gatewaya rezultirat će porukom sa datumom i vremenom promjene.

Može li skripta biti bolja? Svakako! No, ovo je otprilike najjednostavnije što sam našao.

There it is - Euro 2008 world cup.

The globe is shaped like a soccer ball. Austria and Swiss in the center.

I don't like soccer, so I surf while my country (Croatia) is playing against Austria.

My God, The Net is so fast!