Povestea cu Cloudstrike arată starea deplorabilă a IT-ului mondial.

Pe de-o parte avem vulnerabilizarea nucleului de Windows sub presiunile UE, vulnerabilizare ce are ca scop efectiv controlul cel puțin indirect pe care se chinuie UE să-l aibă asupra dispozitivelor conectate, iar de cealaltă parte avem infrastructura privată de IT, slab finanțată, slab gestionată, condusă de oameni care cred că cloud și aaS sunt Sfântul Graal al IT-ului.

Dar, hai să le luăm pe rând.

Vulnerabilizarea nucleului de Windows

Zilele astea Microsoft a recunoscut că felul relaxat în care Cloudstrike împingea actualizările fără niciun fel de filtru sau verificare în prealabil se datorează faptului că UE a cerut în mod explicit Microsoft să permită asta. O vulnerabilitate la nivel de nucleu de Windows.

Dar, nu orice fel de vulnerabilitate ci una care să poată să fie exploatată doar de cine trebuie și când trebuie.

Apple n-a cedat unui astfel de șantaj din partea UE. Deocamdată, fiindcă e o chestiune de timp.

Ce-o să se întâmple când o să pice și Apple în capcana asta? Ei bine, statele UE vor obliga utilizatorii să instaleze diverse aplicații software pentru binele lor sau pentru că fără acel software nu vor putea să aibă acces la platforme specifice pentru plata impozitelor și/sau încasarea salariilor, pensilor, ajutoarelor sociale etc.

Profitând de breșa de securitate pe care au provocat-o, cu riscurile de rigoare, vor monitoriza toată activitatea utilizatorilor, pe modelul China, Coreea de Nord etc.

Veți spune că am fumat iarba nepotrivită și am filme în cap, de asta scriu treburile astea.

Numai că nu, n-am fumat nimic, nu fumez de obicei, iar povestea asta nu e de azi, e de cel puțin 10 ani de când Germania se chinuie să instaleze pe dispozitivele cetățenilor germani un cal troian statal, iar acum trei ani a trecut o lege în acest sens.

„Under planned legislation, even people not suspected of committing a crime can be infected, and service providers will be forced to help. Plus all German spy agencies will be allowed to infiltrate people’s electronics and communications.

The proposals bypass the whole issue of backdooring or weakening encryption that American politicians seem fixated on. Once you have root access on a person’s computer or handheld, the the device can be an open book, encryption or not.”

surse: unu, doi, trei, patru și cinci

Ei bine, o chestie precum Cloudstrike permite fix asta, ca persoana care-l controlează să aibă acces total pe dispozitiv și astfel să facă ce vrea cu dispozitivul respectiv.

De la sovietul digital German la sovietul digital european nu e decât un pas, iar implementarea lui se va face prin șantaj.

Firmele care or să dorească să-și păstreze profiturile or să fie obligate să se pună în genunchi și să aplece capul în fața neocomunismului european, iar cele ce nu vor face chestia asta or să primească legi cu dedicație, iar acele legi le vor obliga să capituleze mai devreme sau mai târziu.

Pe lângă asta UE mai duce de altfel o serie de bătălii în acest sens. Pe de-o parte vrea să controleze felul în care se conduc mașinile cu ajutorul unor cutii negre și mai nou să monteze în volan camere care să monitorizeze în timp real fața șoferului.

Ba mai mult, vrea să scaneze în timp real orice fel de comunicare online și s-a angrenat în a doua bătălie pentru Chat Control, după ce o pierduse pe prima.

Toate astea, desigur pentru binele tău, împotriva terorismului, abuzului de copii și alte alea. /s

Infrastructura privată de IT

Conform unor estimări inițiale s-au văzut afectate 8,5 milioane de dispozitive Windows, majoritatea stații de lucru, însă și foarte multe servere, iar aici intervine stupoarea.

De ce ar rula cineva un server critic pe o platformă desktop?

Și mai ales, de ce ar urma cineva moda și ar rula pe un server o versiune specifică a unui sistem de operare atât timp cât n-are neapărat nevoie de ea?

Un MSSQL rulează la fel de bine și pe Linux fără să fie nevoie de un Windows Server și licența aferentă.

De ce nu ar încerca cineva să utilizeze o infrastructură mai eficientă?

Ei bine, pentru că mulți înțeleg faptul că pentru a lucra pe un server cu Linux ai nevoie de un minim de cunoștințe în domeniul IT fiindcă acolo pe Linux nu dai două-trei click-uri și gata. Ori pe un sistem vizual, pe un desktop cum e Windows Server e mai simplu că nu trebuie să ții minte comenzi și linii de comandă, nici operatori logici sau matematici.

Pe Linux ca să automatizezi un flux de procese trebuie să faci un minim de scripting, pe când pe Windows dai trei click-uri în Task Scheduler și ai cam terminat.

Ori oamenii care știu să lucreze cu un Linux, un BSD sau orice altă platformă headless, inclusiv Windows Server Core costă mai scump, iar firmele caută angajați ieftini și buni.

Asta pe de-o parte, apoi foarte mulți dintre angajați sunt acolo ca să dea la număr. Cu cât e firma mai mare cu atât sunt mai mulți angajați doar ca să îndeplinească niște dogme sociale de așa zisă egalitate.

Sunt oameni care au venit acolo nu neapărat pentru competențe și performanțe ci pentru culoarea pielii pe care o au, zeii la care se închină și perversiunile sexuale pe care le practică.

Trei-patru dinăștia costă firmele cât unul capabil să le facă infrastructura aia headless, dar cum aceleași guverne promovează mediocritatea în numele luptei pentru egalitate se ajunge la situații din astea.

Și nu în ultimul rând managementul care ia decizii mai degrabă bazate pe trenduri și mai puțin pe rațiune.

Totul trebuie să fie cloud și totul trebuie să fie as-a-service pentru că restul pute.

Mă rog, nu neapărat pute, dar mută responsabilitatea în altă parte, reduce (aparent) costurile pe termen lung și oferă redundanță și contingență (am văzut cât de departe merg astea).

Glumesc! Nu a publicat niciun anunț de angajare deocamdată, dar cu siguranță are nevoie de un devops.

De ce zic asta?

Ei bine în ultimele două săptămâni STS a făcut, sau mai bine zis a încercat să facă training operatorilor de tablete din secțiile de votare, în special astea din diaspora.

Și s-au confruntat cu o sumă de probleme stupide.

Bine, nici utilizatorii nu sunt chiar spuma spumelor în ceea ce privește utilizarea unui dispozitiv informatic, dar nici cu STS nu mi-e rușine.

Prima problemă, și cea mai mare de altfel e că sistemul de înregistrare a operatorilor nu știe ce e aia nTLD.

Și problema asta nu e numai la STS ci cam la aproape orice instituție.

Încercați să vă înregistrați cu ion@visarion.email și o să vedeți că o să vă ceară o adresă de email validă. Din epoca Yahoo! Mail n-au mai evoluat oamenii ăștia cu toate că nTLD-urile există de mai bine de 10 ani, există 1117 extensii și la ora actuală sunt active peste 38 de milioane de domenii cu extensii nTLD.

Asta e una.

Apoi, pentru videoconferința de training folosesc o chestie numită Poly Clariti. Un fel de Zoom self-hosted unde se simt ei mai în siguranță probabil.

Chestia aia merge doar pe PC cu Windows 10 și 11 sau mobil cu Chrome. Sau cel puțin așa zic ei.

Mă rog, pe macOS aparent nu merge, sau nu merge bine sau nu se pupă cu extensii de confidențialitate și protecție.

Oricum, combinația de confidențialitate și utilizarea Windows + Chrome nu sunt tocmai o alegere fericită, dar cine sunt eu să le spun ce și cum.

Pe urmă a fost balansul de resurse.

Convocaseră vreo 100 de persoane la training și a fost cam ca site-ul eMag în primii ani de Black Friday. Uite site-ul, nu e site-ul.

Un fel de:

Zilele trecute Europol a desfășurat o acțiune numită Operațiunea Endgame împotriva rețelelor de botnet folosite pentru infectări cu ransomware.

Conform comunicatului oficial au căzut botnets precum IcedID, SystemBC, Pikabot, Smokeloader sau Bumblebee.

Bilanțul oficial indică:

• 4 arestați – unul în Armenia și 3 în Ucraina (much wow!);
• 16 percheziții – una în Armenia, alta în Olanda, trei în Portugalia și 11 în Ucraina (din nou… much wow!);
• peste 2000 de domenii confiscate;
• peste 100 de servere confiscate în locații precum: Bulgaria, Canada, Germania, Lituania, Olanda, România, Elveția, UK, SUA și Ucraina.

Mai multe detalii despre Operation Endgame găsiți pe site-ul oficial.

Din păcate nu s-au publicat și firmele de hosting și înregistrare de domenii care înregistrează și găzduiau treburile astea. Era tare interesantă informația asta, cel puțin pentru noi, ăștia care activăm în domeniu.

Conform unui articol de pe profit.ro statul vrea să centralizeze paginile web are primăriilor și să facă un format standardizat:

Site-urile web ale 1.000 de Primării și Consilii județene vor fi adaptate sau reconstruite pe un format standardizat național, în baza unui program coordonat de Ministerul Cercetării, Dezvoltării și Digitalizării aprobat de Guvern, care prevede alocarea pentru acest an a 50 de milioane de lei, a anunțat, la Palatul Victoria, ministrul Bogdan Ivan.

Teoretic e o idee bună, practic însă e doar o metodă comunistoidă de sifonat niște bani și cam atât.

Și pe aici pe la noi s-a încercat schema asta la un moment dat, apoi când s-a observat că e mai simplu ca fiecare să aibă grijă de șandramaua lui și suportul pentru treaba asta să fie mai degrabă local decât centralizat undeva la nivel național.

La noi în sat de exemplu, pagina primăriei, după descentralizare, a refăcut-o și o întreține colega de birou. E mai simplu pentru oamenii ăștia să treacă strada și să meargă doi pași ca să rezolve posibile erori sau să actualizeze ce mai e de actualizat în loc să le deschidă ticket unora te miri pe unde.

La scurt timp după pandemie UE a decis să facă niște pomeni și a inventat Kit-ul Digital, o subvenție ce permite practic oricărui business să se digitalizeze sau să se îmbunătățească cumva prin mai multă digitalizare.

Cum UE e o birocrație sinistră cerințele pentru prestatorii de serviciu (agenți digitalizatori) și beneficiari sunt pe măsură.

Așa că văzând cerințele am zis pas, dar am ajuns să interacționez indirect cu el.

Pe măsură ce s-a aflat în urbe despre pomana asta s-au pus în contact cu mine diverși doritori.

Unii voiau doar un deviz de lucrare ca să-și ceară ei ajutorul în speranța că doar în baza devizului o să le bage UE aproape 3000€ în cont și apoi să uite de banii respectivi.

Alții voiau să le facem o chestie prin Kit Digital, dar dacă s-ar putea cumva să se ceară banii pe altă chestie.

Iar, alții voiau pur și simplu un site destul de complex în limita banilor oferiți de UE. E mișto să vezi un briefing de un client care dorește funcționalitate de zeci de mii de euro cu pomana de 3000€ de la UE.

Puțini, foarte puțini sunt cei care înțelegeau cum funcționează, ce limitări are și cât de puțin suport oferă de fapt.

De ce e Kit-ul Digital o schemă reușită

Ei bine, pentru că cerne grâul de neghină.

Adică te ajută ca profesionist să distingi clienții pe care nu-i dorești de cei pe care-i dorești.

De săraci cu bani și cu pretenții e plină lumea asta, iar faptul că o pomană UE îi scoate la iveală și-ți arată cam de cine să te ferești e un lucru bun.

Foarte mulți au speculat la nesfârșit pe marginea falimentului twitter și a țepei pe care și-a luat-o Elon Musk cu achiziția asta.

Numai că povestea e un pic mai complexă.

Musk nu a cumpărat twitter pentru ceea ce era, o rețea socială relativ mediocră și rudimentară ci pentru informația pe care rețeaua aia socială o deține.

Adevăratul scop al achiziției consta în utilizarea bazei de date a twitter pentru antrenarea xAI, iar costul pe termen lung e considerat marginal.

De ce twitter?

Păi singura rețea socială viabilă era twitter.

Pe Meta nu se putea băga și oricum Meta își antrena deja propriul AI, iar restul rețelelor sunt fie sărace în conținut fie riscante în ceea ce privește conținutul.

S-a văzut treaba asta în rateurile pe care le dă AI-ul de la Google cu conținutul de pe reddit.

Dincolo de asta, spre deosebire de Facebook, twitter a avut mai mereu conținut mai emoțional și implicit mai calitativ din foarte multe puncte de vedere, iar excluderea limitei de caractere cu condiția unui cost modic face ca cei care au idei și produc conținut pe twitter să producă și mai mult conținut în schimbul unui cost modic de altfel.

Toate astea fiind de fapt benzină pentru motorul xAI care a obținut recent o finanțare de doar 6 miliarde și valorează cam 18 miliarde la ora actuală.

A mai fost twitter un business prost? Eu zic că nu.

Zilele trecute încercam să ajung la contul de LastPass unde mai am salvate câteva chestii oarecum obsolete.

Nu mai folosesc LastPass de foarte mult timp, cam de când au fost sparți pentru a doua oară și am decis să trec la Bitwarden.

Așa că am încercat să intru în cont pentru că extensia de browser nu o mai am de foarte mult timp și cum atât browser-ul cât și rețeaua pe care o folosesc au tot felul de protecții sistemul automat de la LastPass a zis că e browser nou, sesiune nouă (deși era același IP) și mi-a cerut să verific accesul cu un cod trimis pe email.

Numai că emailul nu ajungea, deși cu câteva zile înainte mi-au trimis ceva email cu ofertă ca să iau de la ei varianta pe bani.

Cum nu ajungea emailul respectiv am decis să resetez parola și surpriză, emailul de resetare parolă ajungea

Iar, link-ul trimis de ei pentru verificare funcționa și el:

Numai că imediat după ce completam verificarea mă trezeam cu o eroare cel puțin bizară:

Nu mare mi-a fost surpriza când investigând mai adânc am descoperit faptul că orice email de la LastPass ajungea în Inbox numai mailurile cu codurile 2FA care aparent dădeau rateu la autentificare și erau marcate ca spam direct.

După ce le-am eliberat manual din carantină a mers să intru cu cod 2FA, însă mă gândesc la faptul că eu unul am acces și am acumulat cunoștințe ca să pot să fac un fel de troubleshooting și să găsesc problema, însă sunt mulți care n-au nici acces nici cunoștințe și care pică în astfel de capcane, iar când dau mai la support sau intră pe livechat au de-a face cu vărul mai retardat al lui ChatGPT care mai mult încurcă decât ajută.

Dacă plătești o sumă relativ decentă de bani ai câtuși de puține șanse să dai de o persoană reală, dar când plătești sub $10 pe lună primești orice, numai suport nu.

Asta așa, ca bonus după cretinitatea aia de Cookie Law și alte dume din astea care mai mult încurcă decât ajută.

După cum spuneam într-un articol anterior, mă uit adeseori pe site-urile posibilei concurențe ca să mă documentez și adeseori văd cazuri precum cel al Dezibel unde la portofoliul de clienți sunt enumerați clienții pentru care au prestat servicii respectivii împreună cu capturile de ecran aferente:

Din curiozitate am intrat pe link-uri și nu mare mi-a fost surpriza să constat că mai bine de jumătate sunt fie moarte fie reprezintă site-uri diferite sau refăcute de alții sau cu soluții DIY (do it yourself).

Mai amuzant e că la unul dintre site-uri chiar și a doua firmă de web design a dispărut între timp.

Și, cum și eu am avut la un moment dat tentația să pun la portofoliu link către site-ul clientului m-am gândit de două ori și am preferat fie să-i creez pagină separată cu captură de ecran, fără link, și descriere a serviciului prestat și a particularităților acestuia, fie să pun doar logotipul clientului fără niciun fel de link.

În felul ăsta, dacă vreodată clientul alege pe altcineva pentru facelift la website, sau pur și simplu se schimbă proprietarul și profilul site-ului între timp cel care a făcut cândva munca aia nu o să aibă niciun fel de problemă de imagine sau mai rău de securitate.

De ce poate să fie o problemă de securitate?

Ei bine să presupunem că faci un site pentru un client, clientul abandonează proiectul, îl preiau niște unii care profită de faptul că domeniul a fost folosit de un minister oarecare și-l transformă în site de vândut suplimente nutritive de origine, eficacitate și siguranță îndoielnică:

2010

vs. 2023

Sau mai rău, pun pe el un site ce distribuie malware sau folosesc domeniul pentru phishing, iar site-ul tău are link către el și apoi te întrebi de ce te penalizează Google.

Ce este un browser antidetect?

Un browser antidetect este o unealtă specializată concepută pentru a permite utilizatorilor să navigheze pe internet fără a lăsa urme digitale care să poată fi ușor identificate sau urmărite. Aceste browsere sunt proiectate pentru a proteja intimitatea și anonimitatea utilizatorilor pe internet, oferindu-le capacitatea de a ascunde sau de a schimba informații care sunt de obicei colectate de site-uri web și de terți, cum ar fi adresa IP, amprenta digitală a browserului (browser fingerprinting), sistemul de operare, tipul de dispozitiv, rezoluția ecranului și alte detalii care pot fi folosite pentru identificarea sau urmărirea utilizatorilor.

Caracteristici principale ale browserelor antidetect:

1. Schimbarea amprentei digitale a browserului: Browserul modifică informațiile pe care site-urile le pot colecta despre dispozitivul și software-ul utilizatorului, făcându-l să pară diferit la fiecare sesiune de navigare.
2. Ascunderea sau modificarea adresei IP: Unele browsere antidetect pot integra funcționalități de VPN sau de proxy pentru a ascunde sau schimba adresa IP a utilizatorului.
3. Control asupra cookie-urilor și a stocării locale: Aceste browsere oferă opțiuni avansate pentru gestionarea cookie-urilor și a datelor stocate local, permițând ștergerea automată a acestora la închiderea sesiunii.
4. Izolare sesiunilor: Posibilitatea de a crea profiluri sau identități separate în cadrul aceluiași browser, fiecare cu setările și datele sale de navigare, pentru a preveni amestecarea urmelor digitale între diferite activități sau conturi online.

Utilizări comune:

• Testarea și dezvoltarea web: Permite dezvoltatorilor să testeze cum sunt afișate site-urile web pe diferite dispozitive și sisteme de operare.
• Marketing și cercetare: Specialiștii în marketing pot folosi browsere antidetect pentru a evita algoritmi de direcționare și pentru a obține informații mai precise.
• Protecția intimității: Utilizatorii conștienți de aspectele de confidențialitate folosesc aceste browsere pentru a evita urmărirea online și colectarea de date.
• Evazionarea restricțiilor geografice sau a interdicțiilor: Permit accesul la conținut restricționat geografic sau la platforme de unde utilizatorii au fost anterior blocați.

Browser-ele antidetect sunt o soluție importantă pentru cei care doresc să își maximizeze anonimitatea online, dar este esențial să fie folosite responsabil și în conformitate cu legile și regulamentele aplicabile.

Listă browsere antidetect

Vă las mai jos o listă de browsere antidetect. Pe unele le-am probat deja pe altele nu.

O să revin periodic cu articole în care descriu fiecare browser în parte cu bune și rele:

• GoLogin
• AEZAKMI
• Linken Sphere
• xLogin
• Undetectable
• Clon Browser
• Ghost Browser
• AdsPower
• MultiLogin
• Incogniton
• HydraHeaders
• Dolphin-Anty
• Wade

Scriam în urmă cu foarte mulți ani o serie de postări apropo de securitatea firmelor de hosting (le aveți aici: unu, doi, trei). Făceam asta din postura unui individ care la vremea respectivă lucra exclusiv în domeniul ăsta, al securității la o firmă de hosting.

Nu am dezvăluit treaba asta atunci pentru că aveam un contract cu anumite clauze și am vrut să evit orice polemică la nivel profesional și orice conflict de interese.

Totuși, treaba asta a securității firmelor de hosting e o chestie cu care încă interacționez mai ales pentru că și eu ofer acum hosting.

Așa se face că adeseori mânat de curiozitate o mai ard pe forumuri unde diverse firme de hosting își prezintă serviciile ca să văd și eu ce mai vinde lumea și cum.

Majoritatea firmelor au rămas blocate în anii 90 cu clasicul hosting shared ce în ziua de azi e util și viabil doar pentru un site static, exclusiv în HTML pentru că orice chestie dinamică ar da rateuri.

Dar, nu despre asta e vorba ci despre securitate și despre felul în care ar trebui să se prezinte o firmă de hosting cu adevărat serioasă.

De dimineață am intrat pe site-ul unei firme de hosting din Polonia care oferea suport pentru versiunile PHP de la 5.3 la 8.3:

Ce e rău în asta? Ei bine, o firmă ce ține la securitatea datelor și ce are un departament tehnic puternic nu face treaba asta. Nu oferă versiuni de PHP care nu mai primesc suport de securitate de aproape 10 ani:

Un furnizor de hosting care face treaba asta la modul conștient, pe un server utilizat de mai mulți clienți e o firmă de hosting ce efectiv nu dă doi bani pe integritatea și securitatea datelor clienților săi.

Un furnizor de hosting ce acceptă la el pe servere clienți ce nu-și mențin site-urile și aplicațiile web actualizate în schimbul a câțiva € lunar e un furnizor ce joacă ruleta rusească cu securitatea și integritatea datelor celorlalți clienți care chiar se chinuie să respecte minime norme de securitate și integritate.