Moderní vzdělání ve 21. století a útoky na průmyslové sítě, zápisky z OpenAltu

21. 11. 2023
Doba čtení: 13 minut

Sdílet

O víkendu 11. a 12. listopadu proběhl osmnáctý ročník brněnského OpenAltu. Mluvilo se o tom, jak se dá moderně dělat střední škola, jaký je osud firmy Jolla, proč používat OpenBSD a jak se bude instalovat Fedora.

Radko Sáblík: Vzdělávání pro 21. století

Radko Sáblík je ředitelem Smíchovské střední průmyslové školy a gymnázia. Jde o druhou nejstarší průmyslovou školu v Praze, která má 655 studentů a snaží se vyučovat velmi moderní obory a témata. Tým klasických učitelů je doplněn o 80 bývalých absolventů, kterých polovina je mezi 19 a 26 lety. To ovlivňuje atmosféru v celé škole. Studenty je potřeba aktivizovat už během studia, po maturitě už by bylo pozdě. Máme asi 120 velmi aktivních studentů zapojených do výuky.

Škola zakládá přesahové organizace jako je Czech IT Academy, která má propojovat firmy se studenty. Ale ne abychom zprostředkovávali práci, ale projektově. Zapojila se například Škoda Mladá Boleslav, která už vyčlenila peníze a projekt rozbíhá. Chtějí něco dělat, ale nemají na to lidí a nevadí jim, když to bude trvat déle.

Důležitá je projektová výuka, kdy mají všichni studenti od 3. ročníku dvě hodiny týdně na to, aby pracovali na vlastním projektu. Neschválím žádný projekt, který nemá žádné využití. Mentorem projektu je obvykle bývalý absolvent školy, který je už v praxi. Totéž probíhá i ve 4. ročníku a je to nedílnou součástí maturity.

Škola v roce 2020 otevřela vlastní televizní studio, které vzniklo na začátku covidové doby. My jsme ho nezavřeli, ale naši studenti pravidelně vysílali pořad o online výuce. Mediální dům se rozšířil a dnes jde o legitimní organizaci, která poskytuje řadu služeb. Stejně jako u ostatních našich aktivit, i tady vznikla samostatná studentská firma. Se zřizovatelem školy je dohodnuta podpora v podobě možnosti využívat školní zařízení zdarma.

V roce 2018 bylo založeno vývojářské Studio 301, které je inkubátorem vývojářů 3D aplikací. Máme celou místnost postavenou jako 3D laboratoř, měli jsme ji dříve než ČVUT.

Škola byla několikrát obviněna z toho, že nedodržuje rámcový vzdělávací program (RVP). Ten říká, co má student umět, ale neříká, kdy a jak ho to naučím. Česká školní inspekce také řešila podnět směřující na to, že škola do výuky zapojuje absolventy bez aprobace, kteří prý nic neumějí. Inspektorka byla překvapená, že jsou jiní než běžní učitelé a podle ní je nejdůležitější, že se od nich studenti chtějí učit. Inspekce byla ve škole už téměř čtyřicetkrát a nikdy žádné závady neobjevila.

I když škola dělá hodně věcí a nehoní se za známkami, má stoprocentní úspěšnost při státních maturitách. Asi 42 % studentů maturuje s vyznamenáním. Škola zkouší poslední tři roky kombinované studium, kdy studenti čtyři dny v týdnu tráví prezenční výukou ve škole a jeden den mají pro samostudium. Cíle jsou tři: naučit se učit, pracovat s časem a určovat si priority.

Už sedm let škola umožňuje také individuální studium, pokud je student vrcholovým sportovcem nebo už pracuje. V loňském roce bylo do tohohle programu zařazeno 114 studentů. Na takové studenty se pak nevztahuje povinnost 75% docházky, sami si řeší organizací výuky a musí komunikovat se svými učiteli. Za celou dobu jsme k tomu nenapsali žádnou čárku, nevyplňujeme u toho žádné dokumenty a přesto to funguje.

Přes 95 % studentů pak pokračuje na vysoké školy, někteří v zahraničí. Chceme, aby byli připraveni nejen na informatiku, ale i po lidských stránkách. Škola například zrušila výuku informatiky, studenti by se měli s konkrétními programy naučit sami. Je mi jedno, jaké nástroje používají, důležitější je naučit se je správně využívat. Studenti mají naopak povinnou výuku komunikačních dovedností a výchovu k podnikání.

Způsob výuky je plně v rukou ředitele školy, který má v Česku největší pravomoci na světě, ale má taky největší zodpovědnost. Ministr mě nezajímá, ten skoro nic nemůže. Musím udržovat vztahy se zřizovatelem, který nám dává peníze. Rámcové vzdělávací programy jsou velmi široké, což umožňuje udělat výuku velmi moderní. Kolegům ředitelům říkám, ať na nic nečekají a začnou hned. Škola už není pouhým zdrojem informací, většina studentů se vzdělává samostatně a neformálně.

Martin Kolman: 10 let mobilní linuxové distribuce Sailfish OS

Sailfish OS je určený primárně pro mobilní zařízení, jeho kořeny sahají do Finska a jednotlivé verze jsou stále pojmenovávány podle různých finských místních názvů. Začátek sahá do roku 2005, kdy Nokia vyrobila tablet postavený na linuxovém jádře a GTK. Zařízení se jmenovalo Nokia 770, označoval se jako internetový tablet a mělo 252MHz procesor s 64 MB paměti a 128 MB paměti flash.

Následovaly pak další tablety jako N800 a N810 a operační sytém byl přejmenován na Maemo. V roce 2009 vyšel mobilní telefon Nokia N900, který měl 600MHz procesor, 256 MB paměti, klávesnici, fotoaparát a konektivitu pomocí 3G. Kvalitní náhrada s otevřeným systémem dodnes nevznikla, ale telefon má křehký napájecí konektor a na dnešní dobu málo paměti.

Nokia pak začala spolupracovat se společností Intel a vznikl operační systém MeeGo. Nokia si myslela, že bude soutěžit s ostatními mobilními operačními systémy a převálcuje je. Další telefon Nokia N9 byl ale nakonec posledním telefonem z řady Maemo/MeeGo. Nabízel 1GHz procesor, měl 1 GB paměti a OLED displej. Bylo to také jedno z prvních zařízení, které používalo ovládání gesty.

V únoru roku 2011 překvapivě Nokia ohlásila konec Symbianu a zároveň MeeGo a rozhodla se pro přechod k Windows Phone. Po deseti letech můžeme zhodnotit, jak úspěšný tento krok nakonec byl. V návaznosti na to se odštěpil vývojářský tým, který pracoval na Maemo/MeeGo a založil společnost Jolla. V roce 2012 oznámili záměr vyrábět chytré telefony s operačním systémem Sailfish OS.

Prvním zařízením s tímto operačním systém se stala Jolla 1, která převzala mnoho prvků z MeeGo. Používaly se balíčky RPM, Qt4 i ovládání gesty. Přišly ale i změny, například se od začátku používá Wayland, systemd nebo btrfs. Na tomto telefonu bylo možné měnit zadní kryt, který mohl být aktivní – třeba s výsuvnou klávesnicí nebo senzory. Pro další vývoj systému je důležité, že je možné do něj doplnit podporu Androidu.

Poté ovšem byla ukončena podpora hardwarové platformy OMAP od Texas Instruments, pro kterou výrobce přímo poskytoval linuxové ovladače. Společnost Jolla tak musela hledat náhradu, kterou našla v Qualcomm SoC. V té době už ale začal kralovat Android a výrobci čipů už ani nepočítali s tím, že tam poběží něco jiného. Sailfish OS tedy začal používat libhybris, který umožňuje používat ovladače z Androidu. Většina telefonů se Sailfish OS takto funguje dodnes.

Po úspěchu prvního telefonu se Jolla pokusila zkusit štěstí s projektem Jolla Tablet a první prototyp 10palcového zařízení s procesorem x86 byl představen začátkem roku 2015. Na konference v Barceloně toto zařízení získalo cenu za nejlepší tablet. Tablet měl čtyřjádrový procesor Intel, 2 GB RAM, 32 nebo 64 GB paměti flash.

Při výrobě ale nakonec došlo ke zpoždění, protože bylo potřeba vyměnit displej. Displej z prototypů už nebyl k dispozici v dostatečném počtu, takže bylo potřeba vše předělat. Na podzim roku 2015 ale situace vypadala dobře a výroba běžela, ale najednou selhala jednání s investory. Právě ve chvíli, kdy Jolla potřebovala zaplatit výrobu v Číně. Než se to podařilo vyřešit, výrobce na tablety nahrál Android a prodal je na čínské variantě eBaye.

Jolla v tu chvíli propustila polovinu zaměstnanců a ukončila výrobu vlastního hardware. Tato krize ale firmu nezabila, ale měla velké dopady na budoucnost. Novým cílem se tak staly nové oblasti, zaměření na firemní zákazníky a program Sailfish X – oficiální podpora systému pro vybraná zařízení třetích stran. Hlavním firemním zákazníkem se stal Rostelecom a vznikla odnož systému pro ruský trh s názvem Aurora OS. Zatím nejnovějším podporovaným zařízení je Xperia 10 III s osmijádrem Snapdragon.

Další krize přišla s válkou na Ukrajině a Jolla tak v roce 2021 ukončila komerční aktivity v Rusku. Nejasné procento firmy ale stále vlastní ruští investoři, což komplikuje nabírání investorů odjinud. V tuto chvíli je firma Jolla v soudem nařízené restrukturalizaci, která je způsobena především dluhy a snahou zbavit se ruských investorů. Výsledek procesu restrukturalizace je očekáván na konci letošního roku.

Dost možná poslední šancí Sailfish OS je plán se zaměřit na automobilový průmysl s možností spouštění aplikací pro Android. Emulace Androidu je v systému od začátku, ale jde o uzavřené řešení. Začínalo se s Androidem 4.1, nyní je podporováno API až z Androidu 11.

Ani po deseti letech se nepodařilo vyřešit některé problémy: uživatelské rozhraní a nástroje nejsou otevřené, systém používá prastarý mix Qt 5.2 a 5.6, obchod s aplikacemi není dotažený a je velmi restriktivní a emulace Androidu je velmi omezená. Nelze použít zařízení přímo připojená přes bluetooth a Wi-Fi. Zároveň nejsou dostupné služby Google.

Jaká je tedy budoucnost Sailfish OS? První možný scénář bude znamenat, že restrukturalizace selže a Jolla zbankrotuje. To je bohužel dost pravděpodobná varianta a komunita pak postupně vzdá snahy o údržbu systému kvůli komplexitě a uzavřenosti některých částí. Druhá varianta je, že Jolla bankrot odvrátí a bude pokračovat po stejném složení po stejné trajektorii. V takové situaci by firma existovala dál a nějaký vývoj by probíhal. Výrazně optimističtější scénáře jsou velmi nepravděpodobné.

Jiří Navrátil: Bezpečný nebo použitelný?

Když se zvyšuje bezpečnost, často se snižuje použitelnost. Nejbezpečnější varianta je počítač odpojit a vložit do sejfu, ale my bychom ten počítač chtěli používat. Čím více toho ale povolíme, tím větší je pravděpodobnost, že nás někdo napadne. Přednášející má svou doménu Navratil.cz od roku 1997 a od toho roku provozoval svůj server s Red Hat Linuxem a na něm poštovní server Sendmail. Pak mi volal kolega, že je tam divný provoz a zjistili jsme, že to někdo hacknul.

Poté následoval přechod na qmail na FreeBSD. Ten pro mě fantasticky fungoval, ještě do loňského roku to běželo. Postupně následoval přechod na OpenBSD, který se mnoha různými technikami snaží o co nejvyšší bezpečnost. V OpenBSD se snaží staré věci vypínat, aby nebylo možné dělat některé typy útoků. Výchozí konfigurace je udělaná bezpečně, takže pokud systém nainstalujete a neuděláte konfigurační chybu, měli byste být v bezpečí.

Celé prostředí systému OpenBSD je spartánské a velmi přímočaré. Instalace je rychlá, aktualizace je rychlá a z příkazové řádky se toho dá udělat hodně. Systém má velmi dobrou dokumentaci v podobě manuálových stránek, FAQ, dokumentů nebo zdrojových kódů. Nemusíte googlovat nebo se ptát umělé inteligence, všechno je perfektně dokumentované v systému.

Na pracovní stanici bylo potřeba dříve všechno dělat místně a mnoho věcí bylo potřeba dělat na Windows v Internet Exploreru. Měl jsem spoustu potřeb Windows používat, což jsem řešil virtualizací a zároveň jsem hledal alternativu.

Velmi dobře jsou podporovány notebooky ThinkPad, na kterých funguje většina periferií včetně Wi-Fi karet. Je potřeba se ale vyhnout grafickým kartám od nVidia, které jsou příliš proprietární. Říká se, že ThinkPady jsou dobré, protože je používají vývojáři OpenBSD. Pracuje se také na podpoře nových Macbooků s procesory ARM.

Pro instalaci grafického systému je potřeba jen při instalaci nainstalovat X server, který ve výchozím stavu automaticky funguje bez další konfigurace. Můžete si vybrat libovolné prostředí jako KDE nebo GNOME, mně stačí základní cwm. Systém má řadu periferií ve výchozím stavu zakázanou kvůli bezpečnosti, pokud chcete kameru a mikrofon, musíte je explicitně povolit.

Michal Novotný: Skryté útoky na OT sítě

OT jsou takzvané Operační Technologie, tedy průmyslové sítě pro řízení procesů a zařízení v továrnách, elektrárnách a jiných průmyslových závodech. Problém je, že tyhle technologie byly navrhovány jako hodně spolehlivé, ale ne s ohledem na bezpečnost.

Počátek najdeme už v době průmyslové revoluce, klíčovým bodem pak je vznikl PLC v 60. letech dvacátého století. Na přelomu 20. a 21. století se začalo k propojování IT a OT a s tím se musela řešit i bezpečnost.

V průmyslových sítích se stále používají velmi staré protokoly, jako Modbus z roku 1979. Nikoho nenapadlo tu věc zabezpečit, většinou se to řeší nasazením VPN, ale řešení v protokolu neexistuje. Dalšími protokoly jsou CC-Link, PROFInet, EtherCAT nebo GOOSE. Používají se například pro komunikaci s roboty nebo s elektrickými rozvodnami.

Průmyslové sítě používají běžný model ISO/OSI, ale nepoužívají všechny vrstvy. Používají se především vrstvy L2 a L3. Problém linkové vrstvy je, že není viditelná pro běžné systémy IDS, které jsou základem bezpečnostních řešení. Tato vrstva může být použita pro útoky a bezpečnostní systémy je nedokáží zachytit.

Linková vrstva nepodporuje směrování a všechny systémy tedy musejí být v jednom segmentu. Takové sítě často nejsou dobře zabezpečené a jsou náchylné na útoky typu ARP spoofing.

K útoku je možné použít například protokol PROFINET DCP, který umožňuje nastavovat konfigurační údaje na PLC firmy Siemens. Pomocí malé utility je možné změnit IP adresu zařízení, takže už s ním nebude možné komunikovat. Je možné takhle také způsobit pád celého PLC, protože nic není dokonalé. Stačí k tomu umístit útočníkovo zařízení do stejné sítě a spustit na něm utilitu.

Jak takové útoky detekovat, když většina IDS pracuje od třetí síťové vrstvy výše? Existují takzvané L2 IDS, ale jejich viditelnost do vyšších vrstev je omezená. Neexistuje žádné open-source řešení, které by to umělo. My ale potřebujeme zvýšit bezpečnost těchto zařízení.

Jednou z cest je vynucování politiky přístupu k síťovému prvku a nastavení politik přístupu. Nejde o zvýšení bezpečnosti v samotné technologii, ale její zajištění pomocí procesů. Bezpečnost není jen technická záležitost, ale měla by řešit i lidský faktor. Je potřeba také dostatečně segmentovat síť a nasadit bezpečnostní řešení pro detekci komunikace na linkové vrstvě.

Martin Kolman, Jiří Konečný: Webové rozhraní instalátoru Fedory

V srpnu letošního roku byla přidána možnost mít aktivované webové instalační rozhraní pro Fedoru Workstation. Jde o rozhraní, které nahrazuje původní instalátor v GTK3 používaný od roku 2013. Současný plán je takový, že Fedora 40 to bude mít pro Workstation jako výchozí stav.

Nejde jen o změnu prostředí, ale změnila se také celá řada dalších věcí: je přepracovaná správa úložišť, přibyla integrovaná nápověda a instalátor funguje jako průvodce. Stále ovšem platí, že v pozadí je instalátor Anaconda, web UI jen nabízí uživatelské rozhraní. Obě strany spolu komunikují pomocí web socketu, který je Cockpitem překládán do DBus. Zobrazení pro uživatele používá Firefox, který má minimalistické rozhraní a vypnuté všechny lišty.

V rané fázi instalace se spouští průvodce nastavením prostředí v GNOME, kde je možné zvolit jazyk. V samotném instalátoru je pak výběr jazyka deaktivován a už jej není možné změnit. Poté naskočí instalační prostředí, ve kterém má uživatel například možnost na liště zkontrolovat stav baterie notebooku nebo se připojit k Wi-Fi. V tu chvíli nastartuje Firefox s instalačním rozhraním.

Nejprve je uživatel dotázán, na jaké disky bude instalace prováděna a jak budou úložiště rozdělena. K dispozici jsou automatické i manuální volby. Ručně je možné využít rozdělení úložiště provedené ještě před instalací nebo použít integrovaný nástroj Blivet GUI. Dalším krokem je přiřazení důležitých systémových přípojných bodů ke konkrétním úložištím. To nabízí největší flexibilitu, pokud je uživatel schopen připravit potřebná úložiště.

Poté instalátor zobrazí souhrn navolených informací a vše je připraveno pro instalaci. V tomto případě instalátor jen pomocí rsync přenese soubory z instalačního média na zapisovatelný disk. Proto je instalátor takto jednoduchý, protože uživatel nevybírá například žádné balíčky pro instalaci. Systém už je nainstalován na přenosném médiu a odtud se zkopíruje.

Instalátor je možné spustit z živého prostředí, kdy je možné používat i další programy v plnohodnotném desktopu. Uvidíme, jak to bude dál a kterou variantu budou uživatelé preferovat. Webové rozhraní nyní také umožňuje uživateli kdykoliv odeslat hlášení o problému, které se dříve nabídlo jen v případě vážné chyby. Doufáme, že takto získáme lepší zpětnou vazbu od uživatelů. Díky tomu, že rozhraní běží v prohlížeči, je možné použít integrované nástroje pro vývojáře. Nám to hodně pomohlo urychlit vývoj celého instalátoru.

Vývojáři chtějí do vydání Fedory 40 zajistit úplnou stabilizaci celého instalátoru. Chceme také nabídnout uživateli možnost odeslat nám zpětnou vazbu. Pravděpodobně bude tato možnost součástí poslední obrazovky pro ukončení celého instalátoru.

V plánu je pro práci s úložišti nahradit Blivet GUI pomocí nástroje Cockpit Storage, který bude lépe integrovaný s Anacondou. Zatím na něm kolegové z Cockpitu pracují, například přidávají podporu btrfs. Přechod na Cockpit umožní také vzdálené instalace, které se současným řešením nejsou možné. Velkou změnou je, že zásahy do dělení disků se budou okamžitě projevovat, nepůjde tady o plánovanou akci. Výrazně na to uživatele upozorníme, ale půjde o významnou změnu.

bitcoin školení listopad 24

Největší prioritou je implementovat vše podle uživatelských zpětných vazeb. Bohužel zatím máme velmi málo informací, protože nepoužíváme žádná telemetrická data. Do budoucna se nabízí takto upravit i instalaci Fedora Server, ale to určitě nebude ve verzi 40 a zatím se vývojáři zaměřují na Workstation. Vyzkoušejte si to, stáhněte si Fedora Rawhide a dejte nám zpětnou vazbu.

(Autorem fotografií je Petr Krčmář.)

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.