IT kutak - IT ćoše jednog informatičara

Nakon fenomenalnog mini-odmora želim da pisanje nastavim jednom laganom temom. Već neko vreme razmišljam o njoj ali sam pre par dana "prelomio" a za to je uglavnom zaslužan offline život i trenuci provedeni u jednom niškom klubu koji se sada zove "Od sumraka do svitanja" ali je poznatiji pod starim imenom "Salun".

Za one koji za njega ne znaju (mada je poznat i van granica niške opštine) radi se o klubu u kome 5 dana u nedelji možete da čujete živu svirku za koju se stara nekoliko bendova. E sad, nekako bi išlo da kažem "neotkrivenih" bendova ali i nije baš tako. Pomenuću sada već poznati "Penthouse band" koji je jedinica dobrog provoda u Srbiji. Oni su svoju karijeru počeli baš u ovom klubu. Ukazana im je šansa i svojih 5 minuta su iskoristili na pravi način. Od drugih valja pomenuti i bend "Denis napast" čiji je uspeh na uzlaznoj putanji, "Hattrick", "S.O.S", "Pin Up", "Team System...

Generalno govoreći radi se o klubu koji je uspeo da spoji promociju kvalitetnih bendova i dobru, priuštivu zabavu posetiocima. Celi fazon podseća malo na tone klubove iz američkih serija poput "O.C.", "One tree hill" i slično.

Ali sve ovo je samo offline uvod a tema zapravo ima online karakter. Zadržimo se malo na promociji kvalitetnih ljudi, timova, projekata. Tako nešto je uvek dobrodošlo zar ne? A blogovanje na neki način predstavlja nastup na sopstvenom stejdžu gde instrumenti koje svirate zavise isključivo od vaše kreativnosti. 

Većina vas verovatno zna za projekat Tihomira Stojanovića pod nazivom "Mreža kreativnih ljudi". Radi se o sajtu koji za cilj ima upravo promociju kreativnih ljudi, promociju njihovih radova i projekata. Već neko vreme na "ovaj ili onaj" način (e sad ovo shvatite kako hoćete) pratim njegov rad i vidim da se inicijator zaista trudi oko svega. Iako je, kao što reko, već poznat u odredjenim granicama, mislim da projekat zaslužuje veću pažnju i bilo bi zaista lepo videti da nešto ovako postaje još uspešnije. Na meni je samo da mu to i poželim.

Drugi projekat koji bi se mogao uklopiti u priču jeste "Balkanrock". O njemu je pisao moj prijatelj  SSpin (Srki) iz ugla "uspeha na osnovu truda bez SEO-a". Pokretači su Dejan Dinić i Miloš Najdanović, moji dobri prijatelji, pa na osnovu informacija iz prve ruke mogu da govorim o trudu koji je uložen i koji se još uvek ulaže na promovisanju ovog projekta. Radi se o sajtu koji je pokrenut bez ikakvih finansija (najpre na free hostu) da bi se ubrzo kupio domen, uplatio hosting i postao najveći rock portal u ovom delu sveta ;) Balkanrock se trudi da u okviru svojih delovanja promoviše neafirmisane bendove i muzičare. 

Najsvežiji projekat koji bih da pomenem (i za sada ugrabim odredjenu ekskluzivu) jeste sajt koji je pokrenuo gore pomenuti SSpin pod nazivom Niš-Music. Radi se o agregatu dešavanja u Nišu iz sfera umetnoti, kulture, lifestyle-a... Tek je počeo sa radom a ja mu želim sve najbolje. ;)

Zadatak za vas: Nadjite nekoliko kvalitetnih sajtova, blogova i slično i preporučite ih svojim prijateljima. Zašto da ne stvaramo kvalitetne "kompilacije" i van naših "blogroll-ova" (ja ga još uvek nemam, uskoro ću ga srediti, obećavam) :)

Najveća pljačka banke nije izvršena ni vatrenim ni hladnim oružjem, nije izvršena ni uz pomoć kompjutera. 10 miliona američih dolara je prenešeno sa jednog računa na drugi tako što je Stenli Rifkin jednostavno od par službenika banke zatražio da to učine. Obmana (social engineering) uz detaljno planiranje i nadarenost za ophodjenje sa ljudima je najmoćnije oružje u industrijskoj špijunaži. Da li je neko siguran?

Postoji jedna hakerska izreka koja kaže "Samo je ugašen kompjuter - siguran kompjuter". Ako ubacimo elemente obmane čitav taj koncept pada u vodu jer se polazi od osnove da je naslabija karika u kompjuterskoj bezbednosti u stvari ljudski faktor. Kaže se da "obmanjivač može ubediti osobu da uključi kompjuter i time ga učini dostupnim hakerima".

Obmanjivač može a i ne mora da poseduje tehničko znanje. Glavni ciljevi dobrog obmanjivača jeste da na prijatan i neupadljiv način dodje do informacija koje se Vama čine nevažnim. Česta je greška očekivanje da će neko želeti da od Vas dobije sve neophodne informacije. Dobar obmanjivač je strpljiv i vama naizgled nevažna informacija njemu predstavlja kockicu koju će kasnije sklopiti u veću i razumljiviju sliku. Postoji više "popularnih" metoda kojima se ovi ljudi služe:

Direktan napad 

Radi se upravo o principu "tražite ono što vam treba". Mnoge su informacije danas nažalost zaštićene metodom "tajne lokacije" što znači da su informacije potpuno nezaštićene ukoliko znate gde se one nalaze. Tako je u mnogim firmama - službenici uglavnom neće pitati zašto su vam informacije potrebne ako znate pravi način da ih zatražite. Oni jednostavno ne očekuju da neko van preduzeća zna za interne procedure, izraze, protokole... 

Da bi se izvršio napad ovakvim pristupom potrebno je kao i uvek pažljivo planiranje, dobro upoznavanje sa načinom funkcionisanja tog preduzeća i slično... Sve to uglavnom ne predstavlja veliki problem ljudima kojima su informacije potrebne.

"Žaoka" ili "Dozvolite da Vam pomognem"

Vrlo često, obmanjivač ume da sabotira odredjeni deo servisa i da se u ključnom momentu pojavi kao spasilac nudeći svoju pomoć. Ko je ne bi prihvatio kad zna da mu gori pod nogama? Nakon što se "problem" reši, igrajući na kartu zahvalnosti i poverenja, nije teško izvući potrebne informacije. Metoda je dobila naziv "žaoka" po istoimenom filmu iz 1973.

"Obrnuta žaoka"  ili "Možete li mi pomoći?"

Obrnuta situacija u odnosu na "žaoku". Obmanjivač umesto da nudi rešenje, zapravo sebe predstavlja kao osobu u nevolji i igrajući na kartu ljudske dobrote i saosećanja dolazi do potrebnih informacija.

"Obrnuta obmana" ili "reverse social engineering" 

Ovo se može tumačiti dvojako. U smislu napada, žrtva je ta koja zove napadača (znam, zvuči iskrivljeno ali nije retka pojava) ali se isto tako može smatrati postupcima koji slede nakon što potencijalna žrtva prepozna prevaru i trudi se da na svaki način dodje do što više informacija o napadaču. 

Ko su potencijalni napadači? 

Ukratko svako kome bi koristile vaše informacije ili godio vaš pad. Konkurencija često ume biti nemilosrdna i pokušaće na sve načine da bude iznad vas. Nezadovljni zaposleni su konstantna interna pretnja (Srbija je tempirana bomba što se ovog tiče), nedavno otpušteni službenik koji zna protokole i način funkcionisanja često to može iskoristiti u svoju korist.  

Kako se zaštititi? 

Gledajući stvar ovako, mnogi bi rekli da ne treba imati poverenja u druge, ne treba biti dobar i fin prema drugima. Mnogi, kao što sam pomenuo, veruju da je metod "tajne lokacije" dovoljna bezbednost. Takva zaštita je bila popularna u Americi u periodu prohibicije. Mesta na kojima se točio alkohol su bila vrlo tajna i niko nije očekivao da ste policajac ako znate gde je podrum i ako znate potrebnu lozinku. U današnje vreme, to je dečja igra.

Pravi pristup se može ostvariti kroz edukaciju (učiti, učiti i samo učiti) i obuku zaposlenih.  Svest o važnosti informacija konstantno mora biti na najvišem nivou. U svetu postoje agencije koje se bave PenTestingom koje možete unajmiti i one će odraditi testiranje i procenu kompletne sigurnosti vašeg preduzeća.

Što se tiče teme, ukoliko vas nešto dodatno interesuje (dosta je ispušteno jer je tema preširoka) možete slobodno da pitate ili ako bi ste da pročitate dobru literaturu preporučujem Kevina D. Mitnicka jednog od najumešnijih hakera i osnivača organizacije "Defensive thinking" koja se bavi obukom preduzetnika u zaštiti informacija. On je napisao dve dobre knjige, prva je "Art of deception"
 ("Umetnost obmane" u izdanju "Mikro knjige") a druga je "Art of intrusion" (kod nas prevedena kao "Umeće provale" takodje u izdanju "Mikro knjige").

Srbija i region se trenutno nalaze u fazi razvoja kad se otvaraju vrata mnogim mogućnostima za ovakve igre. Sve češće u prvi plan izbijaju informacije o "visoko tehnološkom kriminalu" pa treba očekivati da će i industrijska špijunaža uskoro postati realnost. Pesimisti bi rekli: "koja industrija?" ali postoji isto jedna fina izreka posmatrana iz ugla bezbednosti informacija: "Baš onog trenutka kad se zapitate kome bi uopšte trebale informacije iz vašeg preduzeća - bar jedna osoba radi na tome da ih pribavi" 

Čini mi se da sam zakon o digitalnom potpisu kao i kasniji razvoj situacije nekako prolazi na mala vrata. Razvoj e-uprave je bitna stvar koja nosi ogromne prednosti u odnosu na dosadašnji način poslovanja nekih javnih servisa. Iako se primećuje veliki napredak, daleko smo od nivoa na kome su evropske zemlje a uglavnom nas koči "Zakon o digitalnom potpisu". Šta je digitalni postpis? Kako do potpisa? Šta nosi?

 Šta je digitalni potpis?

 Digitalni potpis je digitalna verzija ručnog potpisa (ne skenirana) i uz odgovarajuće zakone dokument sa digitalnim potpisom, prenesen preko Interneta je jednako validan kao i dokument ručno potpisan. Sama metoda autentifikacije se zasniva na asinhronom (de)šifrovanju podataka javnim ključem i tajnim ključem.

- Javni ključ je kako mu i ime kaže ključ/podatak koji je dostupan svima. On služi da njime šifrujete podatke ukoliko želite da osigurate da ih niko drugi sem osobe kojoj ih šaljete čita. Znači ukoliko želite da meni pošaljete poruku koju bih samo ja smeo da vidim, na mom sajtu bi pronašli moj JAVNI ključ, njime bi šifrovali poruku i poslali bi je meni. Ja bih, sa druge strane, taj šifrovani tekst mogao da dešifrujem samo uz pomoć mog TAJNOG ključa.

- Tajni ključ je podatak koji posedujemo samo mi i koji kao i svaku drugu šifru ne bi smeli da otkrivamo drugima. Kada na našu adresu stigne dokument koji je šifrovan našim JAVNIM ključem, on se može dešifrovati samo našim TAJNIM ključem.

Na gore opisan način se osigurava tajnost komunikacije ali isto tako ne garantuje autentičnost strana, tj. prenešeni podaci nisu "potpisani". Kako i to rešiti? Praktično u prevazilaženju ovog problema nije smišljeno ništa novo već se samo malo "igralo" sa redosledom šifrovanja podataka.

Potpis koji bi trebao da garantuje da iza poruka stojite Vi, jednostavno šifrujete Vašim TAJNIM ključem a moguće ga je dešifrovati samo Vašim JAVNIM ključem. E sad, neko će reći: "JAVNI ključ je svima dostupan, pa svako može da dešifruje taj potpis." Poenta je u tome da se samo potpis šifruje Vašim TAJNIM ključem a da se cela poruka (zajedno sa šifrovanim potpisom) šifruje JAVNIM ključem onoga kome šaljemo dokument. Na taj način osiguravamo i tajnost komunikacije i autorstvo iste jer se dokument najpre može dešifrovati samo TAJNIM ključem primaoca, nakon čega će ispod dokumenta ostati samo šifrovan potpis, a njega će primaoc lako dešifrovati pomoću Vašeg JAVNOG ključa koji je svima dostupan.

Ovakva metoda eliminiše (ako izuzmemo ljudski faktor) neke osnovne slabosti neke šifre poput simetričnosti i problema razmene ključeva. Možda sve deluje malo komplikovano ali preporučujem jedan ilustrovan primer a ako vam i nakon toga ne bude nešto bilo jasno, pitajte ili vam jednostavno ostaje da mi verujete na reč i da se ne brinete jer praktično nećete Vi nešto šifrovati i dešifrovati već to rade specijalizovani softveri i servisi. :)

Kako do digitalnog potpisa? 

Svakako najpoznatije sertifikaciono telo za izdavanje elektronskih potpisa jeste VeriSign. Najbitniji korak do validnog digitalnog potpisa jesu zakonske regulative koje jedna država mora doneti kao i standardi u ovoj oblasti. Trenutno skoro sve banke koje imaju e-banking u ponudi u Srbiji, korisnicima nude neku verziju digitalnog potpisa. To čini i PTT Srbija i Narodna banka Srbije. Ipak to su trenutno nekvalifikovani sertifikati i nemaju pravnu snagu potpisa. Krajem Januara je završena javna debata o četiri pravilnika o registraciji sertifikacionih tela za elektronski potpis, a već početkom Marta je trebalo početi sa samom registracijom. Dokle se stiglo? Na sajtu Ministarstva za telekomunikacije i informatičko društvo nema previše informacija ali preporučujem da pročitate studiju o našoj poziciji u odnosu na region koju je radio tim sa Elektronskog fakulteta u Nišu, kao i dokument o stanju na zapadnom Balkanu koji su sastavile naše komšije Makedonci, tačnije profesori sa Unverziteta č†irilo i Metodije, PMF. Za stanje u našoj zemlji preporučujem da pratite seriju tekstova na Personal magazinu ili forum eSrbija.net.

Šta nam digitalni potpis donosi? 

 Spomenuću odmah možda najvažniju stvar - eUprava. eUprava je termin koji označava sve one administrativne poslove koje će od početka primene zakona o digitalnom potpisu moći da se vrše i elektronskim putem. To uprošćeno znači da će praktično svaki kompjuter priključen na Internet postati šalter neke od službi (matična, komunalna itd. itd.). Sve, zašta ste do sad morali da čekate (nekad i satima) u red, od sada ćete moći da uradite u vrlo kratkom roku ne pomerajući se iz svoje stolice. Postupak će se svoditi na popunjavanje potrebnih podataka, downloadovanje traženog dokumenta i eventualno njegovo štampanje. Taj odštampani dokument će biti jednako pravno validan kao i da ste čekali u redu neke službe i sve radili "ručno".

Druge prednosti isto tako nisu zanemarljive. Prednosti poput eObrazovanja, eTrgovine uključiće nas u svetske tokove i otvoriti nove mogućnosti za ovo područje.

U narednom periodu planiram da napišem bar još tri teksta vezana za sigurnost elektronskih i privatnih podataka. Nadam se da je bar ovaj uvod dovoljno jasan, kasnije će možda biti objašnjeni neki drugi aspekti ove priče. 

Već duže vremena razmišljam o "gerili kao načinu za postizanje ciljeva". Da me ne bi odmah pogrešno shvatili, (trenutno) ne mislim na oružanu gerilu. Generalno, gerila je primenljiva u skoro svim aspektima a meni je posebno interesantna gerila u gradjanskom aktivizmu i kriticizmu uz pomoć savremenih tehnologija.

 Gerila je uz pomoć Interneta prešla na jedan novi nivo i sada je zaista ne bih mogao nazvati bespomoćnom i tehnikom koja ne "čini razliku". Sve češće se, ona dobro vodjena, prepliće sa viralnim marketingom, uzrokujući veliki odjek u javnosti i samim tim postižući rezultate. 

Preći ću odmah na stvar i pomenuti izbore. Ne mislim samo na naše, ove godine, sasvim slučajno, bitni izbori se odvijaju i u Rusiji i u Americi. Pomenuću odmah one silne letke i ostala čudesa koje stranke (nekako) uspevaju da uguraju u poštansko sanduče. To bi recimo mogao biti negativan primer kampanje. Lično ne verujem da se time postiže nešto drugo sem nerviranja onog koji sve "to" zatekne medju svojom poštom. Kako treba raditi?

Da krenemo od samih stranaka. Rusiju neću pominjati jer nisam primetio da se vodi neka ozbiljnija kampanja, tamo je uglavnom sve već bilo rešeno. Amerika... Počinjem time da svaki kandidat ali baš svaki ima "svoj" sajt, koji je uradjen po već ustaljenom šablonu, uglavnom nudi informacije o toku kampanje i celom problemu pristupa "frontalno". Tu gerile nema, po dolasku na sajt vam odmah traže pare ili da se upišete u listu pristalica. Ništa drugačije od naših :D

Ono što imam na umu kao gerilu, sprovodi nekoliko grupacija, bilo da podržavaju nekog od kandidata ili ne a glavno oružje je YouTube i video(pod)casting uopšte.

1. Declare yourself je neprofitna organizacija koja za cilj ima podsticanje mladih ljudi da glasaju. Mnoge javne ličnosti su članovi organizacije i mislim da im ove godine ide odlično kad je podsticanje omladine u pitanju.

2. James Kotecki je čovek koga morate voleti. Mlad je, sveže diplomirao, inteligentan, dobro izgleda (nemojte ovo da izvrćete) i ima dobar smisao za humor. Čovek je počeo snimanjem video podcastinga u svojoj sobi u studentskom domu a sada snima u studiju sa zelenom površinom iza sebe (koju naravno ne vidite). Došao je dotle da radi intervjue sa kongresmenima i da postane prepoznatljiva ličnost kad je u pitanju praćenje političkih prilika. Preporučujem takodje "parnerski kanal" sa Davidom McMillanom.

3.  Politico je nešto ozbiljnija strana priče. Radi se o sajtu koji prati politička dešavanja u Americi.  James Kotecki je jedan od aktivnih saradnika na ovom projektu a cela priča je po mom mišljenju vredna pažnje jer se i ovde ne radi o jednoj stranci već o grupi gradjana koji bi da menjaju neke stvari.

4. Barely Political je pored Koteckijevog video bloga druga destinacija koju treba posećivati redovno. Ovaj sajt je okrenut kandidatu Obami a nudi nekoliko zanimljivih stvari. Prva je igra koju igrate nakon što izaberete svog kandidata. Lično verujem da je to zanimljiv način da se opipa puls pirača. Druga stvar koju bi trebalo izdvojiti jeste Obama girl koja se medju zvezde vinula nakon spota koji je snimila za ovaj sajt. Ostaviću vas da i sami pronadjete svoje favorite ali još bih preporučio The Ward ROOM.

Ima ovakvih stvari još ali ću ovde stati. Postavlja se pitanje kada će naši aktivisti (mislim pre svega na NVO) preći na ovakav način širenja informacija. Verujem da će političke stranke brzo "skontati fazon" i uvideti prednost ove pristupačne tehnike. Dobra stvar je što je Internet nemilosrdan i ne priznaje spamovanja i silu. Kvalitet i originalnost će uvek privlačiti više pažnje.

U naslovu sam stavio "za male pare". Time sam želeo da kažem da za ovaj sport i nisu potrebna velika finansijska ulaganja. Verujem da ukoliko postoji kvalitet, kasnije će za razvijanje biti sredstava. ;) 

"Svet kompjutera", časopis koga izdaje Politika a.d., redovno kupujem od marta 2001. godine za sve vreme do sad nisam propusito nijedan broj. Ipak, u proteklih godinu dana nisam naročito zadovoljan ovim časopisom, tj. ono što mi nudi nije mi više bilo dovoljno, pa prethodna dva meseca sam razmišljao koji bi časopis mogao zameniti ovaj.

 Da krenem najpre od "Sveta kompjutera". Šta je to što on nudi i šta je to što meni fali. Predstavljanje novog hardvera, verovatno je dobro ali ne bih mogao tačno reći jer ako i pročitam neki review onda je u pitanju neki zanimljiv gadget, notebook ili mrežna oprema. Grafičke, matične, hard-diskovi i ostale stvarčice jednostavno nisu  u mojoj sfera interesovanja (osim kada kupujem nešto od istih). Softver je već zanilmljivija tema i tu se da probrati poneki kvalitetan tekst. Akcenat stavljam na slobodni softver i sekciju "Laki pingvini". Kuzmanovićeva kolumna je naširoko poznata a njegov stav mi je dugo bio zanimljiv. Iskren da budem, dosadio mi je i u poslednje vreme uglavnom smara svojim egoizmom koji je prešao sve granice dobrog ukusa. Intrenet i slične "teorijske" teme su mi privlačile najviše pažnje. Nažalost, samo jedan od dva ili tri broja ima temu koja mi se jako dopada i koja mi pruži informacije koje do tada nisam znao. Cena i broj reklamnih stranica su vremenom rasle i sada je cena 139 dinara a reklame su na svakoj drugoj stranici. Marta 2008. zatvaram to redovno druženje dugo 7 godina.

 "Internet ogledalo" je magazin koji mi na prvi pogled deluje kao pravi izbor. Počnimo od naziva koji uglavnom defniše moja interesovanja. Prikazivanje hardvera je svedeno na minimum i uglavnom se radi o hardveru koji je meni zanimljiv. Ima raznovrsnih tema iz skoro svih oblasti, intervjua, pregleda i slično. Kvalitet tih tekstova je na zavidnom nivou, kvalitet štampe takodje a reklame ne iskaču na svakom "koraku". Cena od 200 dinara po broju mi trenutno deluje kao opravdana i ne predstavlja mi veliku prepreku u zamenu za "sledeći nivo" kad je ova vrsta štampe u pitanju. Verovatno je ovaj "the one".

"PC World - Mikro"  je kvalitetan časopis ali na žalost kad se radi o mojim potrebama ne ulazi u uži izbor zbog svog sadržaja. Iako su tekstovi kvalitetni uglavnom se radi o "offline" temama vezanim za hardver ili softver koji uglavnom nije slobodan. Uz časopis dolazi DVD sa demo verzijama softvera koji je opisan u časopisu i po nekim trailerom, igricom i slično... Kvalitet štampe je dobar a trenutna cena mi nije poznata mada bih se kladio na brojku veću od 200 dinara

"PC PRESS" je sličan Mikrou. Rekao bih da je malo bolje balansiran kad su kategorije, kojima se časopis bavi, u pitanju. Uz primerak koji košta 290 dinara takodje dolazi DVD. Kvalitet štampe i tekstova je OK ali je i dalje previše orjentisan na hardver za moj ukus. Sajt im je malo konfuzan i uglavnom daje informacije samo vezane za časopis.

Časopis koji bi odgovarao početnicima jeste "Explorer" . Eto da ne bude da spominjem samo časopise za više srednje znanje iz poznavanja tehnologije. Magazin "Digital" je prava  stvar za hardcore ljubitelje  hardvera. Časopis ne-hardverskim temama posvećuje tek 15ak do 20ak stranica.

Treba u tekstu pomenuti i online magazine. Prvi bi trebao biti "PC magazin" koji je jedno vreme imao i štampano izdanje. Odlikuje ga široka paleta tema medju kojima se može naći za svakog po nešto. Drugi je nezaobilazni "Personal magazin" u kome se mogu uglavnom naći vesti iz raznih oblasti kao i tutorijali. Vredi pogledati.

Meni omiljeni je "(IN)Secure Magazine" koji je u potpunosti posvećen raznim aspektima e-bezbednosti. Moguće je downloadovati ga u vidu pdf fajla i ukoliko vas zanimaju ovakve stvari toplo ga preporučujem. Intervjui, tekstovi, "case study" članci i ostali materijal je na engleskom ali računam da vas to neće sprečiti da ga u potpunosti razumete.

I to je to. Verovatno sam nešto i prevideo, zato ste vi i tu da mi na to ukažete. Ja se samo nadam da će u skorije verme na našem tržištu biti dostupni listovi poput "Plan B-a" ili možda čak "Magazina 2600". Kad već pomenuh 2600, preporučujem redovan download podcasta radio emisije "Off the hook" koju vode Emmanuel Goldstein (urednik 2600) i poznati hacker Kevin Mitnick.