LinuxDays: neděle o sítích, bezpečnosti a Bitcoinech

23. 10. 2012
Doba čtení: 10 minut

Sdílet

Druhý konferenční den zbrusu nové konference LinuxDays jste opět mohli zaslechnout zajímavé přednášky především o Linuxu. Pokud jste se na konferenci nedostali, můžete si alespoň v našem článku přečíst, o čem zajímavém se hovořilo. Dnes to bude nasazení Ubuntu v praxi, virtuální měna Bitcoin či bezpečnost sítí.

Jan Hrach: Bitcoin (workshop)

Ve svém raním workshopu se Jan Hrach věnoval alternativní svobodné měně Bitcoin, o které se hovoří čím dál více nejen mezi geeky. Bitcoin je vlastně experiment. Je to teprve první síť, která je tímto způsobem postavena, vysvětlil Hrach. Proto ani i konkrétní implementovaný software zatím není dostatečně odladěný a má zatím své bugy. Pokud možno nesvěřujte všechny své úspory Bitcoinu, není to dobrý nápad.

Popsán byl princip generování a výměny virtuálních peněz. Zásadní je, že vše je decentralizováno, neexistuje žádná centrální banka, žádný správce. Vše funguje na principu peer-to-peer, aby neexistovala žádná autorita, na kterou by bylo možné působit. V principu to vypadá velmi jednoduše a elegantně, ale vše je samozřejmě komplikovanější. Zní to krásně, ale vůbec nebylo jednoduché takový protokol vymyslet, řekl Hrach.

Součástí jádra Bitcoinu je rovnou skriptovací jazyk, který umožňuje připravit výrazně složitější transakční mechanismy než prosté převody mezi dvěma účty. Transakce si můžete velmi komplexně naskriptovat. Můžete třeba určit, že Frantovi pošlete peníze, jen pokud on zaplatí dluh Jirkovi, uvedl příklad Hrach. Stejně tak je možné určit, že pošlete peníze na veřejnou sbírku jen tehdy, když se do určité doby nasbírá dost peněz třeba k zakoupení dětského hřiště. Pokud nebude podmínka splněna, peníze se vám mohou dodatečně samy vrátit. Není tak možné, aby některá firma nasbírala peníze a pak utekla na Bahamy. Skriptovací jazyk je velmi komplexní, ale není turingovsky kompletní. Je to tak schválně, v opačném případě by bylo možné vytvořit nekonečnou smyčku.

Dále se přednáška věnovala obecným možnostem plateb za zboží tak, jak je známe dnes. Hotovost je sice poměrně anonymní, ale například po internetu ji nemůžeme využít. Tam jsou k dispozici platební karty, ale ty už anonymní nejsou a navíc se občas stane, že některá banka někomu zmrazí účet. Příkladem je třeba Wikileaks. Těm lidé posílali peníze, ale lidé z Wikileaks si je nemohli vybrat.

Bitcoin tenhle problém řeší decentralizovaným zasíláním zpráv o transakcích. Tyto zprávy pak putují sítí mezi všemi klienty. Každý, kdo chce převést peníze, o tom vygeneruje digitálně podepsanou zprávu a rozešle ji do sítě. Každý uživatel tak má přehled o tom, kdo má k dispozici jaké finance.

Aby nebyl systém ohrozitelný na jednom místě, neexistují v něm žádné autority. V opačném případě by bylo poměrně snadné na takovou autoritu působit. Třeba by vláda některé země mohla autoritu nutit, aby vydávala falešné informace nebo informace naopak zadržovala. Stejně tak neexistuje nikdo, kdo vydává peníze a může uměle ovlivnit míru inflace. Na všech rozhodnutích se podílejí všichni uživatelé a musí dojít ke konsenzu.

Konsenzus má ale obecnou nevýhodu v tom, že musí být navázán na identitu uživatele. Jinak by mohl kdokoliv vytvářet falešné hlasy a ovlivnit tím výsledek. Použít k hlasování IP adresy dnes není možné, protože velké instituce mají také velké bloky adres. Při vzniku internetu dostaly různé instituce velké rozsahy. Třeba americké ministerstvo obrany má vlastní rozsah se 16 miliony adres. Využívá se tedy hlasování pomocí výpočetního výkonu. Kdo má víc výkonu, ten má silnější hlas. Počítače v síti tedy řeší složitý matematický problém, při jehož výpočtu dokáží, že mají dostatek výkonu. Problém je vybrán tak, aby byl řešitelný jen hrubou silou a navíc je možné měnit jeho obtížnost. Předpokládá se, že většina uživatelů má dobré úmysly.

Aby měli uživatelé motivaci podílet se na výpočtech potvrzujících transakce, dostávají odměny v podobě možností získání nových peněz v nové transakci. Transakce se jmenuje coin base a vede vlastně odnikud na váš účet. Tyto peníze se vám na účet připíší. Jde o odměnu za vyřešení jednoho výpočetního bloku a v současnosti je to 50 BTC. Na konci roku to bude už jen 25 bloků a postupně budou odměny klesat. Celkem bude v síti nakonec 21 milionů BTC a další už přibývat nebudou.

Další motivací pak budou transakční poplatky. Součástí každé transakce je totiž i odměna pro minery, kteří počítají transakční bloky. Každý uživatel může zvolit, jak velký poplatek do transakce zahrne, ale miner zase může nastavit, které transakce pak vyřeší prioritně. Idea je taková, že čím větší transakční poplatek zvolíte, tím rychleji se nějaký miner vaší transakce ujme a zahrne ji do bloku. Stejně tak jde o přirozenou ochranu proti zahlcení sítě nesmyslnými transakcemi. Taková akce by vás stála velmi mnoho peněz právě na transakčních poplatcích.

Velký pokrok nastal také ve způsobu provádění potřebných náročných výpočtů. Na začátku se výpočty pro Bitcoin dělaly na procesoru a počítalo se softwarově. Dnes se využívá především grafických karet, které mají řádově vyšší výkon. V budoucnu se začne využívat dedikovaných ASIC zařízení, která mají hashovací funkci přímo v hardware. Spotřebuje to desítky wattů a dokáže vypočítat stovky miliony hashů za sekundu. Už je možné si takové zařízení u několika firem předobjednat, řekl Hrach.

Hrach se věnoval také potenciálnímu nebezpečí v podobě prolomení používané hashovací funkce. Kdyby k takovému prolomení SHA256 došlo, měla by celá Bitcoin síť velký problém. Doufá se ale, že až někdo tu slabinu objeví, bude ještě rok dva trvat, než se ji podaří využít a do té doby bude možné zavést do protokolu změny.

Pavel Šimerda: novinky v linuxovém síťování

Pavel Šimerda pracuje pro společnost Red Hat jako vývojář démona Network Manager. Ve své přednášce se věnoval právě tomuto projektu, jehož výsledky využívá na desktopu většina moderních distribucí. Na začátku se věnoval obecné správě sítě v Linuxu. V současné době se běžně v distribucích používá statická konfigurace sítě založená na skriptech. Například to jsou ifcfg ve Fedoře, ifupdown v Debianu a ifnet v Gentoo. Myslím že ifupdown z Debianu je nejlepší varianta, je velmi flexibilní a dokážete s ní nakonfigurovat hodně věcí.

Pokud už ale statické skripty nestačí, je třeba využít konfiguračního démona, který se o nastavení postará automaticky. V mnoha různých situacích si se skripty nevystačíme. Pokud se například pohybujete v různých sítích zákazníků, je obtížné řešit připojení statickou konfigurací. Rovněž v této oblasti existuje řada možností: Network Manager, Wicd, connman, netcfg a další. Ve Fedoře, o které Pavel Šimerda především hovořil, se používá Network Manager.

Důvodů pro volbu tohoto démona je několik: dlouhá historie, dobrá podpora IPv6 a aktivní vývoj, který ovlivňuje vývoj dalších souvisejících aplikací. Velmi často při vývoji narážíme na chyby v jiných nástrojích, které samozřejmě reportujeme, protože je potřebujeme opravit. I přesto má Network Manager své mouchy. Pavel Šimerda zmínil to, že démon je v současnosti primárně zaměřený na desktopové uživatele a chybí mu důležité vlastnosti pro nasazení na serveru. Problém projektu také je, že často slíbí nové funkce, které pak nefungují. Nebo jsou otestovány na konkrétním systému a jinde zlobí.

Pavel Šimerda se podílí na přepsání velké části Network Manageru. Mění se například celý kód pro interakci se systémem. Předěláváme komunikaci s jádrem a dalšími součástmi systému. Všechny hacky pro linuxové jádro třeba přemisťujeme na jedno společné místo, aby bylo možné je lépe spravovat. Umožní to také celý výsledný kód lépe testovat, takže bychom se v budoucnu měli setkávat s menším množstvím chyb.

Změní se také konfigurace Network Manageru. Připravujeme možnost runtime konfigurace, která zůstává v paměti, můžete ji upravovat za běhu a případně později uložit na disk. Pokud dojde k problémům, můžete to nástroji detekovat a vrátit se do předchozího funkčního stavu, vysvětlil výhody Šimerda. Konfigurace bude dostupná pomocí API, stejně jako obsah uložených konfiguračních souborů. Ke správě budou dodány nové administrační utility.

Kromě toho je třeba opravit řadu problémů se sítí i v jiných aplikacích, které zpětně ovlivňují síťování v nasazeném systému. Problematická je například podpora DNSSEC v některých konfiguracích, jádro ignoruje prioritu RA, Avahi nepodporuje linkové IPv6 adresy a podobně. Běžný ping například stále ještě neumí obsloužit IPv6. Je třeba použít speciální příkaz ping6.

Rozšíří se také záběr Network Manageru, který je dnes znám především z desktopu. Nebojte se, neopouštíme desktopové uživatele, zaměříme se ale i na ty ostatní. Nově bude možnost nasadit jej s jednoduchým řádkovým rozhraním i na server nebo na virtualizačního hostitele. Chceme také připravit NM pro běh v řízeném síťovém prostředí, kdy nebude reagovat na požadavky uživatele konkrétního počítače, ale na nadřazenou autoritu určující pravidla na síti. Říkáme tomu network API.

Radek Neužil: (Ne)bezpečnost internetové sítě

Následující přednáška měla za úkol upozornit uživatele na stále podceňovaná rizika používání cizích WiFi sítí. Řada lidí stále ještě podceňuje nebezpečnost připojení k cizí síti nebo zabezpečení své vlastní sítě. Cílem této přednášky je, abyste si především uvědomili rizika, řekl na úvod Radek Neužil.

Na Živě.cz nedávno vyšel článek, ve kterém byl popsán výsledek testu zabezpečení téměř milionu hotspotů. Téměř třetina sítí používá slabé šifrování WEP, které nepředstavuje pro mírně zkušeného útočníka překážku. WEP je velmi snadné překonat, ať je heslo jakkoliv složité. Jen třetina sítí používá silné šifrování WPA2. Ani toto zabezpečení ale není neprolomitelné a je závislé na použitém hesle. Pokud použijete jednoduché slovníkové heslo, stejně se vám do sítě někdo může dostat.

Uživatelé i přes častá varování stále hrozby podceňují. Radek Neužil uvedl několik příkladů toho, čím uživatelé argumentují. Jde o časté Ať se připojí, mně to nevadí nebo Mám Linux, nemůže se mi nic stát. Připomněl, že data odesílaná do internetu neochrání sebelepší operační systém. Lidé mají často pocit, že jsou v naprostém bezpečí a nemůže se jim stát.

I když mají uživatelé svou vlastní síť zabezpečenou, data putují do internetu často přes nezabezpečené linky. Můžeme věřit operátorům a poskytovatelům internetu? Znám několik poskytovatelé WiFi sítí, kteří vůbec nepoužívají šifrování, jen filtrují MAC adresy. Napadnout síť a ovlivnit toky v ní tedy nebývá často příliš složité.

Radek Neužil v přednášce upozornil také na O2 a jeho router Huawei HG520i, který standardně kromě běžné uživatelské WiFi sítě vytváří také síť s názvem VoIP, která má veřejně známé heslo. Je pak úplně jedno, jestli máte na své síti WPA2 s extra silným heslem. Stejně je možné se k vám připojit.

Řešení je naštěstí jednoduché, v administraci stačí přepnout počet SSID na jedna. Sítě s názvem VoIP jsou po celé republice a já vůbec nevím, proč O2 takovou síť na uživatelských routerech provozuje.

Následovala ukázka konkrétního útoku. Byla vytvořena nová WiFi síť, na které pak dokáže útočník sledovat nešifrovaný provoz. Pokud se uživatelé k takové síti připojí, může útočník například jednoduše číst z komunikace přihlašovací údaje. Předveden byl i útok na SSL, kdy byla spuštěna reálná síť a na plátně se objevovaly přihlašovací údaje připojených (a předem varovaných) uživatelů. To jen dokazuje to, že názory uživatelů 'to jsou jen kecy‘ jsou nesmyslné. Takový útok je velmi snadno realizovatelný. Bohužel přednášející odmítl veřejně předvést konkrétní řešení, které k útoku použil. Později nám ale prozradil, že šlo o útok zvaný SSL strip, tedy o formu man-in-the-middle útoku, kdy se SSL navazuje na straně útočníka a k uživateli putuje nešifrovaný provoz.

Tadeáš Pařík: nasazení Ubuntu v praxi

Tadeáš Pařík z občanského sdružení Ubuntu ČR zmínil některá zajímavá úspěšná nasazení Ubuntu. Vycházel přitom z případových studií, které jsou k dispozici na stránkách Canonicalu. Je jich tam opravdu hodně, kdybyste někdy třeba potřebovali informace o tom, kde všude se Ubuntu používá, můžete se tam podívat, řekl Pařík.

Jako první bylo zmíněno nasazení do škol ve španělské Andalusii. Nejde o čisté Ubuntu, ale o upravenou verzi nazvanou Guadalinex EDU. Projekt migrace letos končí a celkem bude Linux nasazen na 4000 školách pro 1,5 milionu žáků a 200 tisíc učitelů. Je to jedna z nejzajímavějších případových studií, kterou můžete na stránkách Ubuntu najít.

Dále byl uveden příklad z Francie, kde na Ubuntu přešlo francouzské četnictvo s 85 000 počítači. To prý přineslo úsporu až dva miliony eur ročně. Kéž by si více podobných státních organizací uvědomilo, že mohou takto ušetřit nemalé peníze nás, daňových poplatníků. Dalším francouzským příkladem bylo využití Ubuntu v organizaci Wikimedia, která jej používá od roku 2006.

Další příklad už byl z blízkého Slovenska, kde na Ubuntu přešlo město Skalica. Nepřešli na Ubuntu na sto procent, několik počítačů s Windows tam zůstalo, protože ne vše je s Linuxem kompatibilní. Nejedná se zdaleka jen o radnici a úředníky, ale i další instituce jako například knihovna. Podařilo se jim ušetřit až 70 % nákladů, tedy asi 25 000 eur ročně.

ict ve školství 24

V USA na Ubuntu přešla rozhlasová stanice KRUU-FM, která je dostupná ve 30 státech v USA. Dohledal jsem, že vysílá především death metal. Jde o neziskovou radiostanici, která si podporu operačního systému i software řeší po svém. Využívají především komunitní podporu, různá fóra a odborné weby, což jim umožnilo snížit náklady prakticky na nulu. Stanice v Ubuntu používá především řadu různých aplikací pro úpravu zvuku.

Posledním uvedeným příkladem byla německá společnost Contact Air, která je partnerem letecké společnosti Lufthansa. Pracuje pro ni řada pilotů, kteří potřebují před letem nastudovat nejrůznější materiály. Musí si připravovat mapové podklady a spoustu dokumentů souvisejících s provozem. Na 120 služebních noteboocích Dell k tomu používají Ubuntu.

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.