Retsensioon

Mõtlesin, millise wiki kohta retsensiooni teha ja jäi silma selline: http://stvk2014-turvariskid.wikidot.com

Valitud on huvitav ja täna ka päevakohane teema ning koondatud erinevad märksõnad, mõisted, sündmused, turvaaugud, meetodid, kuidas ründeid teostatakse virtuaalses ja ka päris maailmas.

Wiki loomise meeskond on teinud tubli töö ja kogunud tõesti suure mahu materjali kokku. Teemad olid jaotatud meeskonna liikmetele ning kõik on vastavalt ka panustanud, kuigi lehekülje muutjate nimedest loen välja 3 isikut, Siim Puustusmaa, siis keegi mvas ja Anonymous. Siin oleks meeskond võinud ehk kokku leppida ja ennast ära registreerida, kuna töö eesmärgiks oli ju wiki võimekuse kasutamine, mitte lihtsalt materjali kogumine "kodulehele". Kas nad selle töö käigus seda õppisid, jääb hetkel ebaselgeks.

Sissejuhatuses oleks võinud avada teema ja piirata ära skoop, millest antud wikis teemaks tuleb, hetkel jääb mulje, et see on pigem koha täiteks ja iga isik, kellel mingi teema oli, on teinud oma sissejuhatuse. Ilmselt teostatigi tööd nii, et teemad jaotati ära, igaüks tegeles oma materjalide kogumisega ja lõpus pandi see kõik korraga üles, kuid polnud kedagit, kes võtaks terviku kokku. Lootsin võrguseadmete nõrkuste alt leida oma vana hea sõbra "smurf-attacki" http://www.techopedia.com/definition/17294/smurf-attack, kuid seda polnud ilmselt nende teele ette jäänud.

Konkreetsetest asjadest on räägitud ilmekalt ja ülevaatlikult, üksühest tõlkimist palju ei kohtanud. 

Kokkuvõtteks võib mainida, et sisu on tugev, kuid vahendi kasutamist oleks soovinud rohkem näha, nii erinevaid tehnilisi võimalusi wikis kui ka meeskonna tööd selle kasutamisel.

Vaade tulevikku

Veeb ja sotsiaalne tarkvara 10 aasta pärast

Timo ärkab hommikul oma virtuaalses toas Hispaanias Valencias Carrer de Pavia mereäärses katusekorteris. Timo pole ise kunagi Eestis jalga välja tõstnud, kuid suurema osa oma teadlikust elust on ta elanud just nimelt seal soojal maal. 

Härdusega meenutab ta aegu, kus virtuaalmaailm tuli kasutajale läbi kandilise ekraani laua peal või siis jõukamatel läbi VR kiivri. Aasta 2020 tõi läbimurde virtuaalmaailmates, kus oli võimalik ühendada aju otse 3D maailmaga kasutamata silmi. 

Sellest tulenevalt hakkasid tormiliselt arenema kõikvõimalikud virtuaalmaailmad, mis vajasid just sellist liidest inimese jaoks, kuna seniolnud tehnoloogiad olid kohmakad interaktiivseks tegevuseks ning eelkõige domineerisid arvuti veebilehitseja kaudu kasutatavad internetileheküljed.

Timo avab oma virtuaalse kodu aknad ja hakkab ettevalmistuma õhtuseks külaliste vastuvõtuks - sõbrad peaksid talle täna külla tulema (virtuaalselt) ning neil tuleb vägev filmiõhtu. Filmid pole samuti enam sellised kui 21 sajandi algul, 2020 aasta filmid on nagu interaktiivsed mängud, kus filmi vaataja on tihti peategelase rollis ning teeb tegevusi reaalselt ise. Asja teeb põnevaks see, et isegi kui filmis osaletakse mitmekesi, siis iga mängija mängib oma personaalset mängu. On ka selliseid seiklusi, kus saab mitmekesi olla, kuid nende tegemine on kallim ja keerukam ning need ei ole veel nii levinud.

Timo töötab firmas, mis toodab tarkvara ühele suurimale virtuaalmaailmale NextGen. Tarkvara arendus toimub samuti virtuaalses kontoris ja virtuaalsetel arvutitel, kuna kõik töötajad on üldjuhul oma kodus ning ühendatud ühisesse virtuaalmaailma pilve. Koodi kirjutamine käib kiirelt - harrastatakse paarisprogrammeerimist ja grupianalüüsi - programmeerijad ja analüütik on ühises mõttemullis ning neil on jagatud analüütiline tarkvara mudel. Isikute privaatsust tagab uusim ja parim tulemüüri firma toodang, mis lubab teisi sinu ajuvõnkeid lugema vaid ettemääratud mahus.

Klõps - Timo avab oma silmad päriselt ning eemaldab peast kiivrit meenutava süsteemi - tema lingi virtuaalmaailma. Toas on rõske ja jahe ning maja vajab kütmist ning kõht on tühjaks läinud. Need on viimasel ajal veel vähesed põhjused, mis toovad inimesed virtuaalmaailmate keskkonnast pärismaailma - Maslowi esimene tase. Muud tasemed on juba viidud üle kõik küberruumi ja ei vaja füüsilisest maailmast midagi.

Manupulatsioonid ja pettused

1. Ketta kustutamine

Kunagi ammu, ammu IRC kanalis Z...
Kõik sai algose sellest, kui XY tuli kanalisse sisse ja tahtis kellegi teise arvuti kõvaketta tühjaks teha. Kuna ta aga eriti arvutist palju ei jaganud, siis õpetati teda irc kanalil kasutama sihtmärgina 127.0.0.1 ip aadressiga arvutit (tegemist on alati oma arvuti ip-aadressiga). Peale mitmeid katseid formaatida antud arvuti c ketas see tal ilmselt õnnestus, kuna mõne hetke pärast ta lahkus kanalilt. Õppetunniks siin see, et võhikust kräkker juhendati anonüümselt tegema midagi, mis seekord küll rikkus ta enda arvuti ära, alati ei pruugi halb ise karistust siiski saada.
http://knowyourmeme.com/memes/hack-127001

2. Kirjad Nigeeriast

Mingi periood levis palju kirju, kus suurte päranduste saajad Aafrika erinevates riikides soovisid oma raha sulle anda. Heausksed, kes nendele kirjadele reageerisid järgnesid erinevad tegevused mis tavaliselt päädisid alati sellega, et nad pidid mingi marginaalse summa ise välja käima - nö menetluskuludena
Siin on üks inimene seda nalja nendega kaasa teinud üsna pikalt ja toonud need kirjad ka lugejateni: http://www.whatsthebloodypoint.com/scam.php?scamno=7

3. Võltsitud tšekid

Skeemi eesmärgiks on siis see, et ohvrile saadetakse võltsitud tšekk, mille ohver välja võtab ja mille eest ta saadab tšeki saatjale väikse osa tagasi. Probleemiks on siin see, et need võltsingud tulevad mõne aja pärast välja ning ohver peab politseile aru andma, miks ta neid lunastas, kus ta need sai jne, paraku pettur on selleks ajaks juba oma tegevuse lõpetanud ja sina oled oma murega üksi.
Jällegi on tegevuste ja kirjade ahel jäädvustatud meile lugemiseks siin: http://www.whatsthebloodypoint.com/scam.php?scamno=11

Kokkuvõtteks

Viimase kahe kohta saab kokkuvõttes öelda, et niisama keegi teile internetis raha ei anna, internet ei ole võlumaa. Pigem otsitakse ahneid inimesi, kes on valmis riskima oma varaga, et kätte saada midagi suuremat ning paraku jäävad nad sellest ilma. Petturitele on see hea skeem, suhteliselt anonüümselt saab püüda väga paljusid rumalaid ning küll mõni ikka konksu külge jääb, kellelt siis raha ära võtta.

Vaba tarkvara arendamine

Tänapäeval on vaba tarkvara arendamine ja sellesse erinevate osaliste poolt panustamine tehtud väga lihtsaks. Täna piisab pull-requesti tegemisest, mingi aeg tagasi tuli saata komplitseeritud patch-e, mis pidid selle patchi rakendaja arvutis samuti töötama.

Üldjuhul on alati "keegi", kes otsustab, millised koodimuudatused ta võtab vastu ja millised mitte. Mugavaks vahendiks ettepanek esitada on pull-request näiteks Github-i keskkonnas, kus siis konkreetse tarkvara omanik otsustab, kas ta aktsepteerib selle, nõuab, veel mingei täiendusi või ei võta seda üldse vastu.

Võttes siis üheks näiteks programmeerimiskeele Groovy, mille koodi hallatakse githubis siin: https://github.com/groovy. Antud tarkvara arendaja on andnud ka juhised neile, kes soovivad panustada arendusse koos temaga ja need on siin: http://groovy.codehaus.org/Contributing. Mis välja tuua tasuks on see, et kõigepealt soovib autor, et kui sa tahad midagi parandada, siis sa teed pileti piletisüsteemis, muudad koodi oma repositooriumis ja siis teed pull-request, kus kindlasti märgid juurde selle pileti koodi, mille sa eelnevalt tegid. Samas, kui sa soovid arendada midagi suuremat, siis soovitab ta pöörduda arendajate maililisti poole, et seal oma ettepanek läbi arutada, enne kui tegema hakkad - et sa ei teeks asjata.

Teise näitena oleks PHP, kus omanik väga selgelt kehtestab suhteliselt keerulised reeglid, kuidas sa saad üldse panustada nö core arendamisse ja see on leitav siit: https://wiki.php.net/rfc/howto.

Eks neid variante kuidas kaasatakse kogukonda panustama toote arendusse on erinevaid. Peamine on see, et see on võimalik ja see aina levib.

Tootesse ise panustamine teeb sind selle toote kasutajaks ilmselt üsna pikaks ajaks ja ilmselt ei pea sa ka valima alternatiivi funktsionaalsuse puudumise tõttu, saad selle sinna alati ise lisada.

Häkkerid

http://whatishacking.org ütleb, et häkkimine on süsteemide muutmise harrastamine, et saavutada eesmärk, mis polnud algse süsteemi looja poolt mõeldud. Isik, kes sellist tegevust harrastab ja on võtnud omaks sellise elustiili ja filosoofia, ongi häkker.

Eric Steaven Raymondi artikkel (tõlge: http://www.kakupesa.net/hacker/) käsitleb häkkerlust positiivses nö heategija võtmes, kus häkkerid hoiavad üleval internetti, arendavad Linuxit või muud vabavara. Artikkel määratleb ka kräkkeri, kui nooruki, kes murrab arvutitesse ja telefonisüsteemidesse. Mina viitaks neile pigem kui "skriptipõnnidele" (ik script-kiddie), kes kasutades häkkerite poolt loodud vahendeid lolluste tegemiseks. Minu arvates on mõiste Kräkker pigem nagu kaitserefleks häkkerite poolt, et nendele omistatud mõistele ei tuleks halba varju? Oskused on suuresti samad, muuta süsteemi soovitud viisil, mis ei olnud algse süsteemi looja eesmärk, kuid motiivid tegudeks ja tulemid on erinevad.

Ma tõmbaks siin paralleeli ulmefilmidega, kus teatud saagas oli Jõud (seome oskusega Häkkida) ning sellel oli Tume külg ja Hele külg. Tume külg oli siis see tee, mille olid valinud isikud, kes kasutasid Jõudu halbadel eesmärkidel (Kräkkerid) ning Hele külg siis see tee, mille olid valinud isikud, kes kasutasid Jõudu headel eesmärkidel (Häkkerid). Suhteliselt vabalt tehtud paralleelid, kuid mõtte peaks edasi andma.

Häkkeri omadusteks on määratud järgmised isikuomadused (minu vaba ümbersõnastus) - soov lahendada probleeme, ühte probleemi vaid korra, mitte langeda rutiini, teha seda mida meeldib, suhtumine ja oskused täiendavad teineteist.

Häkkeri oskusteks nimetab artikli autor programmeerimist erinevates keeltes ehk pigem taset, kus konkreetne keel polegi tähtis, vaid sa oskad sõltumata süntaksist või keskkonnast probleeme lahendaad. Selleks pead sa lihtsalt omandama piisavalt kogemust ja teadmisi. Lisaks soovitab ta õppida selgeks mõni linuxilaadne, et saada nii kasutuskogemust kui ka häkkimise kogemust süsteemi muutes. Järgmiseks oskuseks tuuakse HTML-i tundmine, kuid minu hinnangul tänapäeval pole see isegi nii tähtis, kui eesmärgiks on oma teadmisi publitseerida. Mingi aeg tõesti, kus oma materjali avaikustamiseks pidi häkker tegema oma kodulehe, täna on selleks otstarbeks ettenähtud keskkondi piisavalt, et mitte sellele oma aega kulutada. Samas, ega see teadmine mööda külgi maha jookse. Viimaseks oskuseks nimetab Raymond inglise keele. Seda põhjusel, et inglise keelset materjali internetis on meeletus koguses, mida saab lugeda. Samuti on paljude programmeerimiskeelte süntaksi allikaks inglise keel.

Häkkeriks olemiseks ei piisa vaid isikuomadustest ja oskustest, kui sa seda teistega ei jaga. Raymond soovitab siduda end mõne vabavara arendusega, et sa panustaksid maailma koodibaasi. Kui sa kohe koodi ei oska panustada, siis testi, avasta ja edasta vead, mis sa tarkvaras leidsid, ka sellest on palju kasu ning sa ise õpid selle käigus palju. Samuti võid avaldada artikleid, blogikirjeid, kus sa oled ise mõne probleemi lahendanud ja seda teistega jagades, säästad sa aeg ja lood väärtust.

Mulle meeldib see zen, mis Raymondi artiklis sees:

Teel käimiseks:
Vaata meistrit,
Järgi meistrit,
Käi koos meistriga,
Näe läbi meistri,
Saa meistriks.

Kehtib nii ulmelise Jõu kui ka Häkkimise kohta :)
Head õppimist.

Vaba tarkvara kasutamine

Olen kasutanud erinevaid vabasid tarkvarasid erinevates it rollides juba aastast '96, seega ühte konkreetset neist ei tahakski väga välja tuua ja pigem kirjutan üldistatult plussidest ja miinustest.

Peamiseks argumendiks vaba tarkvara kasutamiseks on alati hind ja tihti just vaadatakse seda esmast hinda, mis tuleb kohe välja käia - soetushind. See on aga lühinägelik ja hiljem ollakse olukorras, kus algne tasuta asi, on muutunud meeletult kalliks.

Kindlasti tuleb koguhinna (TCO) juures arvestada järgmisi elemente:
1. Soetusmaksumus ehk esmane investeering;
2. Kasutusele võtmise kulud ehk koolitus, juurutus, integratsioon, migratsioon, vms;
3. Halduskulud tervikuna ehk püsimaksed kogulahenduse ülalpidamiseks;
4. Personalikulud (otsesed kui ka kaudsed);
5. Väljavahetamise maksumus ehk kui palju läheb maksma, et vastavast lahendusest loobuda.
Sõltuvalt valdkonnast või lahendusest võib neid elemente veelgi olla.

Ma ei taha siin külvata negatiivsust vaba tarkvara kasutamisel, vaid suunata vaatama paar sammu ette, et vaba tarkvara ei saaks külge negatiivset mainet asjaolu tõttu, et inimesed valisid toote, kuid ei mõelnud asja tervikuna läbi.

Kahtlemata annab vaba tarkvara üks põhiomadusi - olla avatud - võimaluse näha, millega meil on tegemist, seda vajadusel muuta endale sobivamaks või liidestada seda optimaalsel viisil teiste komponentidega või hoopis jagada seda sõpradega. See annab ka eelise näiteks tootetoe hankimiseks samale tootele erinevatelt (ja kvaliteedis ning hinnas) konkurentidelt, mis on tarbijale kindlasti soodne.

Tasuta kättesaadavusel on ka muidugi teine pool, et erafirmad ei näe selles sama mugavat kasumimudelit, kui näiteks nende endi poolt loodud litsentseeritavas tootes ning seetõttu võib ka kvaliteet kannatada toe osutamisel - lihtsalt ei anta sellele parimaid mehi.

Vaba tarkvara on tänuväärne liikumine, mis on andnud alternatiivse suuna sellises kunstiharus nagu tarkvara, suure avaliku vaba koodibaasi (githubid, sourceforged, bitbucketid, jne) ning siinkohal tänud Richard Stallmanile.

PlayStation Home

Mänguhuvilisena sai endale kunagi soetatud PS3. Lisaks offline ja online mängudele oli loodud PS3-le ka selline huvitav "mäng" PlayStation Home.

Kasutamiseks pidid seadistama omale PSN konto ning ligi pääseb maailmale vaid läbi PS3.

Nagu Wikipedias selle kohta ka pikemalt kirjas on, on tegemist PlayStationi kasutajatele mõeldud virtuaalmaailmaga, kus saad luua oma karakteri, mängida erinevaid mänge, suhelda inimestega (suht ebamugav on muidugi konsooli puldiga trükkida, hullem kui vana nokiaga sms-i saatmine :)), vaadata filme, jms.

Maailmas on mänge, mida saad mängida üksi, saad mängida sõpradega või suvaliste inimestega virtuaalmaailmas. Mängude hulgas on lihtsamaid arcade-tüüpi kui ka keerulisemaid indiana-jones-tüüpi mänge, kus viimases jooksed mööda virtuaalmaailma ringi ja otsid informatsiooni küsimustele vastamiseks.

Oma isikliku karakteriga alustad mereäärsest korterist, kuid saad endale reaalse raha eest soetada ka parema "elamispinna", osta kaubamajast endale riideid ja aksessuaare, et olla vingem :).

Mängude tegijad saavad luua nö ruume, kus siis reklaamida oma uusimaid mänge kui ka näiteks pakkuda mingi juba loodud mängule lisaväärtust.

Kellel võimalus on, soovitan vähemalt korra sisse vaadata, kui natuke aega leidub.