nieaktywni użytkownicy EntraID

w AD sprawa była prosta… no może nie tak bardzo prosta, bo historia atrybutów lastLogon i lastLogonTimeStamp też ma swoje drugie dno, ale od wielu lat wiadomo jak aktywność użytkownika zbadać… i pojawiła się Chmura i hybryda, która całość skomplikowała…

przez wiele lat nie było prostego sposobu na zapytanie 'wyszukaj nieużywane konta’, ponieważ nie było w EntraID odpowiednika lastLogonTimeStamp i trzeba było każdy system badać na dziwne sposoby. wedle Microsoft, należało odpytać logu audytu, który miał standardowo 3o dni.. wielce przydatne. nie drążąc dalej historii, od kwietnia 2o2o GraphAPI produkcyjnie obsługuje ’signInActivity’ – w końcu atrybut/zasób, który jest automatycznie aktualizowany ostatnią datą uwierzytelnienia.

uwaga. atrybut może mieć do 6h opóźnienia w aktualizacji

jak odpytać

kilka przykładów jak przygotować sobie raport, korzystając z commandletów Microsoft.Graph

wyświetlenie wszystkich użytkowników, wraz z ich mailem oraz datą ostatniej aktywności:

Get-MgUser -Property displayname,mail,signInActivity -all|
    select displayname,mail,@{L='signin';E={$_.SignInActivity.LastSignInDateTime}}

korzystanie z commandletów graphowych nie jest przyjemne i wymaga cierpliwości. większość operacji, ze względu na optymalizację, nie wyświetla prawie żadnych atrybutów – dla tego trzeba wyraźnie zaznaczyć w 'property’ czego będzie się potrzebowało.

trochę bardziej złożony raport, wyrzucany na csv, zawierający dodatkowo informacje o licencjach:

Get-MgUser -Property id,displayname,givenname,surname,accountenabled,userprincipalname,mail,signInActivity,userType -all|
    select id,displayname,givenname,surname,accountenabled,userprincipalname,userType,mail,`
    @{L='signin';E={$_.SignInActivity.LastSignInDateTime}},`
    @{L='licenses';E={(Get-MgUserLicenseDetail -UserId $_.id).SkuPartNumber -join ','}}|
        export-csv -nti c:\temp\EntraUsers.csv -Encoding utf8

co mnie denerwuje w tych commandletach, to że nie są przyjmują w prosty sposób obiektów, np to nie zadziała:

get-mgUser -all|get-mgUserLicenseDetail

to było abecadło PS, ale wzięli się za to developerzy webowi i taki efekt… trzeba też zawsze pamiętać o dodaniu 'all’ bo standardowo jest paging na 1oo obiektów.

i jeszcze drobny przykład na użycie filtra. nie jest co prawda widoczne w helpie od get-mgUser ale to jest filtr OData – z którego ogólnie korzysta cały Graph. tutaj prosty filtr, żeby wyświetlić tylko konta typu guest. nie podjąłem się filtrowania po dacie w OData bo to by kosztowało mnie za dużo czasu na rozkminkę – operacje na datach nie są oczywiste, a PowerShell sobie świetnie z tym radzi:

Get-MgUser -Filter "userType eq 'guest'" -Property displayname,usertype,signinactivity|
    ?{$_.SignInActivity.LastSignInDateTime -lt (get-date).AddMonths(-2)}|
    select displayname,usertype,@{L='activity';E={($_|select -ExpandProperty SignInActivity).LastSignInDateTime}}

connect

oczywiście żeby korzystać z commandletów graph trzeba się połaczyć z odpowiednim zakresem (scope). jeśli to jest dla ciebie nadal problemem to koniecznie wrzuć do bookmarków ten link, który opisuje jak użyć Find-MgGraphCommand żeby sprawdzić niezbędne zakresy.

jak Microsoft potrafi strzelić klientom w kolano

ciekawostką jest, że żeby być w stanie odczytać ten atrybut, trzeba mieć minimum EntraID P1 – inaczej wyskoczy błąd:

Get-MgUser_List: Neither tenant is B2C or tenant doesn't have premium license

Status: 403 (Forbidden)
ErrorCode: Authentication_RequestFromNonPremiumTenantOrB2CTenant

…dlaczego? nie chodzi mi o techniczne wyjaśnienie, ale to krzyk w stronę MS – dla czego tak podstawowa funkcjonalność, jak wyszukiwanie nieaktywnych kont, wymaga dodatkowej licencji?

eN.

’touch me’ – nieoczywista oczywistość

czemu tokeny FIDO chcą żeby je dotknąć?

ktoś zadał mi takie pytanie i w sumie ja też sobie je kiedyś zadawałem…

kiedyś

jako dinozaur, bardziej naturalnym [czy też tradycyjnym] sposobem uwierzytelnienia są dla mnie karty karty inteligentne. nie do końca rozumiem, czemu nigdy nie zdobyły popularności na rynku małych i średnich firm oraz prywatnie:

  • są super tanie!! pojedyncza karta to koszt ok. $1-2
  • łatwo dostępna technologia – przez długi czas dużo laptopów wychodziło z wbudowanymi czytnikami
  • fajnie integrowały się z systemami bezpieczeństwa dostępu fizycznego – ta sama karta do bramki przy wejściu i potem odpowiednie poziomy dostępu do pomieszczeń.
  • ta sama karta do logowania do systemu co do drzwi

taki klasyczny 'żarcik edukacyjny’ w niektórych firmach w jakich pracowałem, to szybka podmiana pulpitu na jakieś złośliwe zdjęcie, albo wysłanie maila do całego teamu 'stawiam wszystkim pączki!’, kiedy ktoś odszedł od kompa nie blokując pulpitu… dodatkowa zaleta smartcard jest taka, że kiedy osoba odchodzi od komputera – np. do toalety – musi użyć tej samej karty, a wyjmując ją z kompa automatycznie blokowana jest stacja.

a jednak to tokeny FIDO2, ze wszystkimi swoimi wadami, od ceny zaczynając, rozpychają się na obecnym rynku…

dodatkowo przez jakiś czas zastanawiałem się po co trzeba je dotknąć? spodziewałem się że to małe coś na tokenach, to czytnik linii papilarnych – to by miało sens. ale nie – to zwykłe zwarcie jest. niektóre 'nowoczesne’ modele są tak zaprojektowane, żeby były malutkie i 'nie przeszkadzały’ podobnie do nadajników radiowych, i żeby nie trzeba było ich w ogóle wyciągać – a więc co to za zabezpieczenie? to tak jakby zostawiać klucz w zamku – wystarczy przyjść i przekręcić.

odpowiedź

odpowiedź jest prosta – te klucze nie mają chronić przed próbą dostępu fizycznego. konieczność dotyku powoduje, że przy próbie uwierzytelnienia zdalnego, kiedy wymagany jest 2FA, potencjalny atakujący nie będzie w stanie go użyć… bo jest zdalnie, czyli nie może dotknąć tokenu. statystycznie patrząc, nie bronimy się raczej przed kolegami z pracy, dość rzadkim scenariuszem są również sytuacje, w których atakujący ma fizyczny dostęp do naszego komputera.

dodatkowo, bardziej prawidłową odpowiedzią będzie – „wygoda”. bo przecież konieczność wpisania PINu daje ten sam poziom [ba! wyższy! bo ktoś musi go znać], tylko jest bardziej upierdliwa. zresztą do tokenów też trzeba często podać PIN.

no to czemu nie smart card?

Pozostaje pytanie – czemu jednak nie karty inteligentne, skoro mają tyle zalet? w końcu to, że tokeny są tak ładnie obsługiwane przez przeglądarki i urządzenia to kwestia tego, że powstały standardy, które zostały zaimplementowane przez dostawców. są takie, ale mogły być inne. czego zatem brakuje kartom inteligentnym i czemu nie dostosowano tej technologii do protokołów Chmurowych WebAuthn/CTAP? co przełamało prawo konwergencji, forkując technologię, która wydawała się wygodniejsza [i tańsza] – pozostawiając karty inteligentne w niszy dostępu fizycznego, a stworzono Fast IDentity Online [FIDO]?

podstawowym powodem jest cały model uwierzytelnienia, tzw. authentication workflow. obsługa certyfikatu zorientowana jest na zcentralizowanym modelu. FIDO z założenia jest zdecentralizowane, oparte na szybkiej weryfikacji, bez konieczności dodatkowego sięgania do jakiegoś centralnego serwera. niepotrzebna jest Infrastruktura Klucza Publicznego [PKI] – która ma swoją własną złożoność, problemy, podatności etc…

można z tym wszystkim niby polemizować – że certyfikaty nie muszą być drogie, że wdrożenia PKI to wcale nie musi być nie-wiadomo-jak-skomplikowane… ale jak to wszystko zebrać razem, to po prostu nie tędy droga. tak na prawdę FIDO powinno być ewolucyjnie porównywane z tokenami OTP – np. RSA SecureID – a nie z kartami inteligentnymi. elektronika, która jest w tokenach pozwala na wiele więcej, niż pasywne przechowywanie certyfikatów:

  • generowanie tokenów jednorazowych TOTP/HOTP
  • izolację procesu generacji klucza publicznego bezpośrednio na urządzeniu, dodanie TPM, a więc nie ma praktycznie możliwości przechwycenia części prywatnej. przy klasycznym PKI mamy architekturę serwer-klient, a więc dodatkowy punkt potencjalnej słabości
  • proces uwierzytelniania WebAuthN nie jest trywialny… dodatkowa komplikacja w postaci weryfikacji certyfikatów na serwerach CA zabiła by Internet. kto przepalił godziny na rozwiązywaniu problemów uwierzytelnienia ten wie, że w
  • i w końcu wszystkie te bajery, które nie są bez znaczenia typu możliwość dodania biometrii – np. czytnika odcisków palców [jasne… cena jest kosmiczna, ale są],
  • self-service … [well… można polemizować z tym self-service. nie wszystkie scenariusze pozwalają na self-service…]

w skrócie – wymagana była aktywna elektronika.

pisząc ten art zadałem sobie pytanie – czemu nie połączy się tych dwóch technologii tworząc FIDO2 smart card… i jak to zwykle bywa – ktoś już odpowiedział na to pytanie – a czemu by nie? mam nadzieję kiedyś pracować przy wdrożeniu takiego cuda, jako część Integrated Security System, bo wygląda smacznie.

Exit

jednym z drażniących ograniczeń FIDO jest brak jego natywnej obsługi przez Windows logon. do tego celu można oczywiście wykorzystać system innych firm – jak np. Duo. problemem są koszty rozwiązania – same tokeny FIDO do najtańszych nie należą, a i subskrypcja Duo kosztuje… dochodzi dodatkowy poziom integracji, wybór IdP i tak dalej…

…nie podejmuję się odpowiedzi na pytanie 'dlaczego?’… a w każdym razie nie dzisiaj…

eN.

wyszukiwanie aktywności konta

ostatnimi czasy wróciłem do podstaw… i tak się stało, że duża część moich obowiązków związana jest z bezpieczeństwem. bezpieczeństwo zawsze było istotnym elementem mojej pracy zawodowej, ale zawsze jako dopełniający element, a nie przewodni – czy się zarządza, czy projektuje, zawsze trzeba mieć na uwadze czy środowisko/konfiguracja spełnia odpowiednie normy. wbrew niektórym poglądom środowiska on-premises prędko nie odejdą do lamusa, choć coraz bardziej się odchudzają. a ponieważ klienci, z którymi mam ostatnio do czynienia, nie mają wyszukanych rozwiązań, wszystko trzeba robić 'po staremu’.

podrzucam zatem przydatne komendy, które pomogą w manualnej inwestygacji. przyda się zarówno przy ogólnym audycie ale i w momencie jeśli próbujemy znaleźć gdzie jakieś konto 'żyje’, gdzie jest używane.

Event Log

można przeglądać live i offline. ponieważ jednym z pierwszych kroków jest zabezpieczenie logów i powinno się ograniczać pracę w zagrożonym środowisku, poniższy przykład pokazuje jak przeglądać wyeksportowane logi w poszukiwaniu aktywności użytkownika:

  • logi z DC nie są synchronizowane, każdy DC ma własne, w związku z tym trzeba wyeksportować z każdego oddzielnie. okazało się, że nie każdy to wie, więc tak na wszelki wypadek przypominam…
  • okazuje, nie jest również oczywiste, że logowanie nieudanych prób logowania jest co najmniej tak samo ważne, jak logowanie udanych. nieudane próby mogą świadczyć o próbie bruteforce na kontach albo po prostu próbach nieautoryzowanego dostępu
  • następnie można przeszukać korzystając z Get-WinEvent. problem z obróbka polega na tym, że zwrócony hashtable nie ma ustalonego formatu – zależnie od typu zdarzenia będzie inna ilość pól
  • poniższy przykład obrazuje wyszukiwanie udanych (4624) i nieudanych (4625) zdarzeń logowania dla kont 'account01′ oraz 'account02′
  • nazwy kont są bez domeny, match korzysta z regex więc dowolnie rozbudowywać i wyszukuję po atrybucie 'message’ ponieważ nazwa użytkownika przy tych zdarzeniach jest *zazwyczaj* na 6 pozycji w tablicy.. ale nie zawsze. dzięki przeszukaniu zawartości 'message’ wyłapuje się więcej
$events = Get-WinEvent -Path "C:\incident01\DC01_security.evtx" | Where-Object { ($_.ID -eq 4624 -or $_.ID -eq 4625) -and $_.message -match 'account01|account02'}
$events += Get-WinEvent -Path "C:\incident01\DC02_security.evtx" | Where-Object { ($_.ID -eq 4624 -or $_.ID -eq 4625) -and $_.message -match 'account01|account02'}
$events += Get-WinEvent -Path "C:\incident\DC03_security.evtx" | Where-Object { ($_.ID -eq 4624 -or $_.ID -eq 4625) -and $_.message -match 'account01|account02'}
$events|%{"{0},{1}" -f $($_.Properties.value -join ','),$_.TimeCreated}|Out-File C:\incident01\events_aggregated.csv

a jak ktoś korzysta z eNLib to jeszcze można sobie ułatwić życie i obejrzeć sformatowane w Excel:

&(convert-CSV2XLS c:\incident01\events_aggregated.csv)

smutną informacją będzie, że klasyczne logi Windows pokazują gdzie nastąpiło uwierzytelnienie… ale nie pokazują skąd – co w przypadku logowania sieciowego jest dużym brakiem, bo znalezienie gdzie takie konto w zasadzie jest używane bywa trudne. przydatna będzie również wiedza dotycząca właśnie typu logowania, a najważniejsze to:

  • Type 2 – klasyczne logowanie lokalne
  • Type 3 – non-interactive, network logon
  • Type 5 – non-interactive, service logon (chyba najtrudniejszy w interpretacji)

żywe elementy systemu

jak na szybko sprawdzić czy coś nie działa w kontekście danego użytkownika?

task scheduler:

Get-ScheduledTask | select TaskName,@{L='context';E={$_.Principal.ID}}|sort context

usługi systemowe:

gcim win32_service|select name,startname|sort startname
oraz procesy:
Get-Process | ForEach-Object {
    $process = $_
    $cimProcess = Get-CimInstance -ClassName Win32_Process -Filter "ProcessId = $($process.Id)"
    $owner = Invoke-CimMethod -InputObject $cimProcess -MethodName GetOwner
    [PSCustomObject]@{
        Name = $process.Name
        Id = $process.Id
        Owner = $owner.User
    }
}
warto zwrócić uwagę na get-CimInstanstance zamiast get-WmiObject – i to trochę będzie zależało od wersji systemu. na bardzo starych Windowsach może być problem z CIM, a na nowych nie działa już gwmi.

Exit

chmury, SIEM, EDR, XDR, MFA, całe to AI i przełomy technologiczne… łatwo zapomnieć że to tylko fragment świata – tego lepiej dofinansowanego, rozwiniętego, technologicznego… ale jest też druga strona. środowiska on-premises, skonfigurowane… mówiąc delikatnie, odbiegając od jakichkolwiek norm i standardów, gdzie klienci nie rozumieją tego co jest potrzebne lub niepotrzebne w środowisku – widzą tylko czy działa aplikacja na ich komputerze i tylko tyle są w stanie ocenić. cała reszta to jakiś techniczny bełkot, którego nie chcą słyszeć… a zazwyczaj również nie bardzo za to płacić.

często zastanawiam się nad tym dysonansem – z jednej strony wydaje się, że technologiczna osobliwość jest tuż tuż i czytam artykuły straszące AI, które przejmie władzę nad światem i kolonizacji Marsa, a z drugiej ta część świata, w której pracują systemy z przed dekad czy te odległe miejsca, w których szczytem technologii jest żarówka i kuchenka gazowa…

eN.

App Registrations vs Enterprise Apps

różnica pomiędzy App Registrations a Enterprise Apps w EntraID niby jest oczywista.. ale po chwili zastanowienia robi się dość niejasna i sprawia problemy. zgodnie z zasadą Feynmana, która mówi, że naprawdę rozumie się tylko to, co potrafi się w przystępny sposób wytłumaczyć, długo miałem z tym problem. niby wiedziałem… ale nie byłem w stanie odpowiedzieć na to pytanie przekonywająco.

normalnie poleciłbym opis mojego ulubionego 'nauczyciela Azure’ – John Savill, ale o ile uważam, że bardzo warto obejrzeć ten wykład, nie do końca dobrze tłumaczy to, co najważniejsze. bardzo fajnie rozkłada na czynniki pierwsze model uwierzytelnienia i autoryzacji i pokazuje workflow podczas uzyskiwania dostępu – a więc arcyważny i ciekawy element… ale prezentacja urywa się tam, gdzie tak na prawdę powinna się zacząć. i kiedy dochodzi już do pokazania praktycznej różnicy pomiędzy App Registrations i Enterprise Apps – czegoś mi zabrakło – zbyt dogłębnie, za mało praktycznie.

to coś, czyli bardziej praktyczne wyjaśnienie tych elementów, znalazłem natomiast tu:

tłumaczy 'po mojemu’ – trochę teorii, trochę praktyki, jak to 'dotknąć’ PowerShell’em i po co to wszystko. to pierwsza z kilku części dotyczących tego tematu (SIC!), co pokazuje, że wcale nie jest taki trywialny i oczywisty – i tak patrząc na inne ich spotkania, jeszcze trochę czasu poświęcę na ich nagrania.

eN.

WGUiSW 154

7 listopada będę miał przyjemność występować na 154 WGUiSW. przyjemność  niestety ograniczona odległością – zdalne prezentacje nie dają pełnej satysfakcji… ale mam nadzieję, że czegoś pożytecznego da się dowiedzieć. tematem będzie MFA w Azure/Office365 od strony administracyjnej i ostatnich/nadchodzących zmian.

spotkanie w nowym-standardzie, czyli na 23 piętrze WFC w siedzibie BEC-Poland.

zainteresowanym przypominam o konieczności rejestracji.

eN.

WGUiSW 152 – przekąska zza oceanu

w najbliższy wtorek, o5.o9, tradycyjnie obędzie się 152 WGUiSW. w Warszawie mnie co prawda nie ma, i tej tradycyjnej dawki wiedzy i śmiechu mi braqje.. ale dołączę ze snackiem zza oceanu.

wszystko się zmienia, zmienia się i miejsca spotkań – od września WGUiSW w siedzibie BEC Poland (https://www.bec.dk/poland/) na 23 piętrze.

REJESTRACJA OBOWIĄZKOWA – żeby przepuścili przez bramki, więc się odkliknij na meetupie.

do zobaczenia/usłyszenia!

eN.

nie tylko AI – technologie kosmiczne

Ax-2

chociaż temat energetyki nie jest jeszcze skończony, ze względu na zbliżające się kolejne, wielkie wydarzenie związane z naszą obecnością w kosmosie, musiałem zrobić szybką wrzutkę w tym  temacie. zaczynając od newsa:

już za kilka dni, w niedzielę, 21 Maja 2o23, planowany jest start drugiej prywatnej misji astronautów na ISS – Międzynarodową Stację Kosmiczną.  misja jest organizowana przez Axiom – firmę, której ambicją jest organizacja prywatnych lotów w kosmos. sam lot odbywa się oczywiście w kapsule SpaceX Dragon, która będzie wyniesiona rakietą Falcon 9.

kosmos

przemysł kosmiczny przeżywa renesans. od dziecka czekałem, aby zobaczyć jak ludzie lądują na innym ciele niebieskim… i nadal czekam. od 1972r. człowiek co prawda lata w kosmos, ale to nie tak spektakularne jak lądowanie na księżycu. pamiętam taki stary dowcip: „it took a CPU power of C64 to land on the moon, and it’s not enough for Pentium to run Windows”. i choć to żarcik z lat 9o’, minęło ponad pół wieq i mamy teraz moc obliczeniową liczoną w PetaFLOPSach, nadal nie potrafimy dokonać tej sztuki ponownie.

wiele się jednak zmieniło i to w dużej mierze, dzięki SpaceX. jeszcze w 1984 roq odbyło się, globalnie, 129 startów w kosmos. liczby te spadały rok-do-roq i w 2oo5 było tylko 47 startów. wszystko zmienił Sokół. rok 2o21 był przełomowy. kosmos polizały również inne prywatne rakiety – New Shepard firmy BlueOrigin oraz VSS Unity firmy Virgin Galactic. firmy te oferują krótkie, komercyjne loty prywatne, na wysokość 8o lub 1oo km

w Europie kosmos zaczyna się na wysokości 1ookm, w USA sufit jest na 8okm – stąd takie wysokości

a tuż potem, nadal jeszcze w 2o21, SpaceX pozamiatał misją Inspiration4, wysyłając czwórkę zupełnie zwyczajnych ludzi na niską orbitę. Przez 3 dni prowadzili badania, podziwiając naszą planetę. dech zapiera. fakt, że takie wydarzenie było tylko jednym z wielu newsów i wiele osób nawet o tym nie wie pokazuje, w jakim szumie informacyjnym żyjemy. jeśli ktoś chciałby nadrobić te informacje, to na Netflix jest mini-series pokazujący przygotowania do misji oraz sam lot.

w 2022 padły kolejne rekordy – odbyło się 178 startów, z których sam Falcon wykonał 61 [w tym jeden przez Falcon Heavy]. 16 listopada 2o22 wystartowała misja Artemis I, która docelowo ma w końcu dokonać tej zapomnianej sztuki – lądowania człowieka na księżycu – ale to nie wcześniej niż 2o25 wraz z Artemis III. mam nadzieję, że demon recesji i widmo kolapsu amerykańskiej gospodarki nie zrujnuje tych planów…

nie tylko USA, nie tylko SpaceX

choć SpaceX i NASA nadal są główną potęgą w kosmosie, to do rajdu o kawałek nieba ruszyło wiele krajów.

Chiny depczą po piętach, udowadniając, że są silną konkurencją.

  • podczas, gdy stacja ISS ma sztucznie podtrzymywane życie i datę deorbitacji wyznaczoną na 2o31 rok, Chiny zbudowały samodzielnie „Podniebny Pałac” (Tiangong) i regularnie wysyłają taikonautów (Chińscy astronauci).
  • ich  flagshipowa rakieta – Długi Marsz (Chang Zeng) odbyła niewiele mniej startów niż Falcon SpaceX (55)
  • w maju 2o21 samodzielnie wysłali łazik na Marsa – Tianwen-1. co prawda już umarł, przykryty Marsjańskim pyłem, ale jest to olbrzymi sukces

USA wysłały 5 łazików i ostatni, Perseverance, który wylądował 21 lutego 2o21, zgodnie ze swoim imieniem – nadal jest w czynnej służbie

  •  posiadają własną, w pełni operacyjną alternatywę dla GPS – BeiDou Navigation Satellite System (BDS)
  • mają też alternatywę dla Amerykańskiego X-37B – „Boski Smok” (Shenlong) – sekretny, autonomiczny statek orbitalny, prawdopodobnie tworzony w ramach kosmicznych sił zbrojnych. sekretny – ponieważ misje X-37B oraz Shenlong nie są znane i można się tylko domyślać co robią przez setki dni, które spędzają latając po różnych orbitach. raczej nie zbierają kosmicznych śmieci (a szkoda).
  • w ilości satelit nadal nie dorównują Amerykanom, ale prześcignęli już Brytyjczyków (USA: 2926, Chiny: 493, UK: 45o)
  • niewątpliwie są dominatorem w dziedzinie wymyślnych, poetyckich nazw dla swoich technologii kosmicznych (=

ze smutkiem można patrzeć na Europejskie poczynania (ledwie 5 startów w 2o22), którą już doścignęły Indie. Do rajdu przyłączają się Japonia, Południowa Korea ale również Iran czy Arabia Saudyjska. Rosja zalicza regres, co oczywiste w skutek jej ostatnich działań. do tego mają problemy z głównym portem – Bajkonur, który znajduje się w Kazahstanie.

wierzchołek

wszystko to tylko wierzchołek tematu. turystyka kosmiczna i planowane hotele orbitalne, wydobycie surowców z meteorytoidów, różne rodzaje satelitów, JWST i kolejne przełomy dzięki niemu, analogowe misje na Marsa (jakże trudno wygrzebać newsy o polskiej misji! czemu?!), o Polskim projekcie wysłania sondy na Marsa i ogólnie udziału Polaków w rozwoju technologii kosmicznej… można by w nieskończoność…

dla tych, którzy chcieliby zacząć śledzić ten temat:

  • Everyday Austronaut – najlepszy portal pozwalający śledzić aktualne i planowane misje. świetne relacje ze startów.
  • space.com – informacje ogólne, bardzo dużo newsów ze świata
  • Astrofaza – kanał dla wszystkich zainteresowanych astrofizyką, astronomią, lub po prostu kosmosem
  • Rakietomania – nazwa mówi sama za siebie…

eN.

nie tylko AI – energia z fuzji

fuzja

temat AI zdominował media. ilość newsów w tym temacie zalewa nas do stopnia, w którym można pomyśleć, że inne trendy nie są istotne. postanowiłem wyłowić kilka ciekawych technologii, które są przed lub tuż po przełomie i są porównywalnie istotne. dziś temat poniekąd związany z chatGPT.

chodzi o fuzję nuklearną. o tym, że świat czeka na czystą energię, wie każde dziecko. że fuzja jest świętym Graalem energetyki, pewnie też większość słyszała. może już mniej osób wie, że koncepcja powstała jeszcze w latach 5o’ razem z rozwojem prac nad rozszczepieniem atomu. ciekawostką może też być fakt, iż największym budowanym reaktorem jest ITER, budowany we Francji. Inwestycja jest porównywalna do lotu w kosmos – zarówno złożonością jak i kosztami – i podobnie jak loty w kosmos, jest inicjatywą wielu państw. choć fizyczna budowa rozpoczęła się w 2o12, wstępne prace i umowy rozpoczęto w 1978r.

Póki co lata płyną, technologia zmienia się niemal z dnia na dzień, o fuzji dużo słychać – ale wyników mało… aż do niedawna…

lata 2o’

od 2o21 roq, wielokrotnie można było przeczytać o kolejnym rekordzie w czasie utrzymania plazmy. na wiki można znaleźć timeline … choć niestety bardzo niepełny, ale widać, że w zeszłym roq było kilka przełomów i już w tym również padł kolejny rekord. nie wnikając w szczegóły techniczne czy o co chodzi w tym wyścigu, kilka szybkich wniosków:

  • choć w wyścigu bierze udział wiele państw, nie będzie zaskoczeniem jeśli powie się, że liderami są USA oraz Chiny. jest jednak jeszcze jeden pretendent, który na wiki o dziwno nie występuje – Korea Południowa. kilqkrotnie wysuwali się na czoło w ostatnich latach, chyba musze wyedytować wiki, bo należy im się miejsce.
  • choć przełomy zaczęły się wysypywać jak grzyby po deszczu, co zresztą zaczyna być coraz bardziej powszechne w większości dziedzin, to cały czas nawet nie do końca wiadomo czy to się w ogóle uda. Graal pozostaje mitycznym tworem, który da się policzyć na papierze ale niekoniecznie przekuć na praktykę. chodzi oczywiście o opłacalność oraz dostępność paliwa. bo ile samej fuzji dokonuje się w laboratoriach już regularnie, to na razie kosztuje ona krocie – a ma przecież przynosić zyski, a nie być obciążeniem kieszeni podatników.
  • niemal wszystkie duże projekty fuzji opierają się na architekturze TOKAMAK, powstałej w latach 5o’. skąd pochodzi ta architektura będzie jasne, jeśli napiszę co ten skrót oryginalnie oznaczał: тороидальная камера с магнитными катушками
  • nie oznacza to oczywiście, że Europa śpi – ITER jest w budowie, utworzono do niego największy magnes świata i montaż rozpoczął się w 2o21, sukces ogłosił również Niemiecki Wendelstein 7-X, działający w architekturze o kosmicznie brzmiącej nazwie Stellarator.

jak do tej pory mało to ma związq z chatGPT… więc czas połączyć kropki. o ile *większość* projektów jest opartych o TOKAMAK, to są koncepcja alternatywne. jedną z takich koncepcji testuje startup Helion Energy, który również zaliczył niedawno przełom – pod koniec zeszłego roq. na liście sponsorów HE, zawierających sześć nazw/nazwisk, jest m.in. Sam Altman – CEO openAI. natomiast kilka dni temu pojawił się news, iż Microsoft stał się pierwszą firmą na świecie, która zaqpiła energię z elektrowni generującej prąc za pomocą fuzji nuklearnej, właśnie od Helion Energy – poniekąd stając się sponsorem projektu. prąd ma popłynąć w 2o28 roq.

czym się różni Helion

dla tych którzy lubią wgryźć się mocniej w temat polecam Real Engineering – A New Way to Achieve Nuclear Fusion: Helion. dla tych, którzy wolą skompresowane uproszczenie kilka najważniejszych informacji poniżej.

  • TOKAMAKi wykorzystują paliwo deuterowo-triwodorowe (deuterium-tritium) i o ile deuter jest pierwiastkiem powszechnym, triwodór jest niezmiernie rzadki. jest go tak mało, że jeśli nie nauczymy się go produkować na dużą skalę, to nawet jeśli powstanie działający reaktor fuzyjny, to paliwa wystarczy mu… na miesiąc. [osoby, które znają się na temacie – wybaczcie hiper-uproszczenie!]
  • koncepcja przetwarzania energii jest taka sama jak w elektrowni atomowej – czyli jest to… silnik parowy. w wyniq reakcji powstaje ciepło, ciepło nagrzewa ciecz, ciecz sublimuje w parę wodną, ta obraca turbinę, turbina generuje prąd. idea rodem z XVIIIw (;
  • każda przemiana energetyczna wiąże się ze stratami, w związq z tym efektywność cierpi.

i tu wchodzi Helion, cały na biało:

  • Helion, zgodnie z nazwą, korzysta z paliwa Deuterowo-Helionowego czyli zamiast trytu korzysta z Helium-3. nie żeby Helium-3 rosło na drzewach – jego uzyskanie nadal jest kosztowne, ale w porównaniu do tritu, można uznać, że jest za darmo.
  • działa w technologii magneto-bezwładnościowej (Magneto-inertial fusion – MIF). a to oznacza, że nie ma tutaj technologii z epoki rewolucji przemysłowej, w zamian wykorzystuje się magnetyzm. zmienne pole elektryczne generowane przez reakcję ma zaindukować prąd bezpośrednio w kablach.

wydaje się więc przeskakiwać wszystkie problemy, z jakimi pałają się projekty TOKAMAK czy Stellarator. ostatnie sukcesy to dowód Proof of Concept a kolejny przełom, który ma być kolejnym potwierdzeniem wykonalności, zapowiadany jest na 2o24, wraz z 7-mym prototypem reaktora.

daty typu 2o24, 2o28 czy 2o3o wydają się tuż-tuż… no to czekam… cały świat czeka. z Microsoft na czele (;

eN.

 

The A.I. Dillema

UWAGA, A.I.!

jak duża część świata, tak i mnie pochłonęły informacje dotyczące rozwoju A.I. . oglądam i czytam masę dysqsji o możliwościach i zagrożeniach, aspekty techniczne, możliwości wykorzystania… i właśnie obejrzałem materiał, który oceniam jako najlepszy ze wszystkiego co do tej pory przeprocesowałem: The A.I. Dillema . prezentacja prowadzona przez twórców Social Dillema, który pomógł mi uwolnić się od demonów mediów społecznościowych, pokazując problem w odpowiedniej perspektywie, z lotu ptaka, wskazując na prawdziwe przyczyny i problemy, a nie tylko efekty. w podobny sposób to wystąpienie – The A.I. Dillema, w znamienity sposób przedstawia obecny stan rozwoju i wskazuje na realne zagrożenia, ale nie aby siać panikę, nie w nachalny sposób pokazując obrazek Cyberdyne Systems Model 1o1, ale poprzez poprawną analizę sytuacji. trochę zespoiluję – nie, nie otrzymamy pocieszenia w postaci 'wszystko będzie dobrze, ani nie otrzymamy recepty 'jak zrobisz to-a-to to uratujesz świat’, ale taki rodzaj dysqsji i przedstawiania rzeczywistości ma szansę zadziałać na nas, kierując problem w odpowiednią stronę. na rządy? na firmy? terminatory nam nie grożą – my sami, zagrażamy sobie.

na tym polega główny problem – nie wiemy co należy zrobić… albo wiemy ale nie możemy wiele zrobić?

z nurtem…

całe życie lubiłem [i nadal lubię] zastanawiać się 'co by było?’, 'jak będzie?’, odpowiadać na pytania 'dla czego jest?’, dla tego uwielbiam naukę i poszukiwanie, poszukiwanie prawdy. czymkolwiek ta prawda by nie była. zebranie elementów pokazujących gdzie jesteśmy, możliwości jakie zaczynają się wynurzać [emergence!], rozpala umysł do czerwoności. to na co miałem lata, dzieje się w dni, a wkrótce w minuty, może w seqndy. tworzymy matrix od dawana i od dawna się w nim zanurzamy. każdy musi zadać sobie pytanie – czy jesteś Neo, czy Cypher? czy wolisz niebieską czy czerwoną pigułkę? czy Twoim światem, jest ten, w którym prawdą będzie wygenerowana rzeczywistość cyfrowa, czy ta fizyczna, być może brzydsza i mniej wygodna, trudna…

polecę jeszcze jedną lekturę, która jest IMHO istotna zwłaszcza dla osób, które nie mają pojęcia jak A.I. działa i na czym 'technicznie’ polega problem. a ten polega głównie ta tym, że ludzie myślą po ludzq [zazwyczaj]. ciężko jest wielu osobom przeskoczyć próg tego, że możemy być wyłącznie danymi i liczbami. można to porównać do 'perspektywy generała’ – żołnierze idący na wojnę niby mają imiona, życie, ale dla generałów są liczbami przesuwanymi po mapie. i z takiej perspektywy można spojrzeć na to, czym jest A.I., że nie rozumie tego, czym jest człowiek, życie, miłość czy samk lodów, chodzenie – tak jak my to rozumiemy, tak jak nauczyła nas wieloletnia nauka sterowana fizyką i biologią. dla AI to są liczby, statystyki i zestawienia:

The danger of AI is wider than you think

prezentacja ma ponad 3 lata a więc dodatkowym atutem jest zobaczenie problemów – wydawałoby się – jeszcze tak niedawno. dziś zasypywani newsami, widząc możliwości i rozwój, tracimy umiejętność rozumienia tego, dla czego nie rozumiemy efektów.

dlaczego?

kiedyś, w ramach rozmyślań, zalany milionem pytań, spłynęło na mnie to jedno ważne – czy gdybym mógł dowiedzieć się wszystkiego, przez krótką chwilę zrozumieć wszystko, tak absolutnie wszystko, wiedząc, że kosztowałoby mnie to życie – czy chciałbym? AI to taka kusząca zabawka, drzwi do krainy wszechwiedzy, nieodkryta kraina… nie dziwi mnie, że ludzkość, która całe swoje istnienie opiera na samorozwoju, w końcu wydaje się sięgać po narzędzie realizujące ten cel… drzwi do wszechwiedzy… tylko ile ludzi lubi poznać prawdę? taką prawdziwą prawdę? bo według mnie większość jest raczej jak Zła Królowa, pytająca 'lustereczko, lustereczko, powiedz przecie…’ i oczeqjąca jedynej poprawnej odpowiedzi…

nadzieja

nie lubię tego słowa – nadzieja – bo oznacza, że nie ma się wpływu na rzeczywistość. ale, że tak właśnie się czuję, próbując utrzymać się na powierzchni rozwoju, to nią się karmię. jest takie powiedzenie, a w każdym razie jakaś wariacja: 'historia się nie powtarza, ale lubi się rymować’. dokonując analizy przeszłości, można było z jakimś przybliżeniem stwierdzić co wydarzy się dalej. tak n.p. przełom lat 6o-7otych można porównać do renesansu, przełom 7o-8otych jak barok, z przepasqdną, przesadzoną, przeintelektualizowaną sztuką, końcówka millenium trochę jak oświecenie, gdzie Internet i technologie zaczęły zmieniać rzeczywistość… problem w tym, że teraz wszystkie epoki dzieją się na raz.

ale swoją nadzieję widzę w skojarzeniach prowadzących właśnie do przełomu lat 6o-7otych – wojna w Wietnamie, ruchy hipisowskie, wielki boom Kultury i Sztuki, wyścig kosmiczny… a w końcu rewolucja społeczna, która powstrzymała wojnę, wielki rozwój świadomości społecznej i lądowanie na księżycu! mamy teraz wojnę w/na Ukrainie oraz odrodzenie neo-hipisowskie i powrót psychodeliqw oraz przygotowanie do lotu na księżyc. dla osób które nie bardzo wiedzą o co chodzi z psychodelikami, polecam tegoroczne wystąpienie ojca tego ruchu – Paula Stametsa, na konferencji SXSW, a jeśli kogoś temat ogólnie nie interesuje, to posłuchać chociaż ostatnich 1o minut, w których można poczuć się jak w latach 6otych, wysłuchując realnego manifestu hipisowskiego (:

słuchając neo-hipisowskich manifestów okraszonych badaniami naukowymi, oglądając jak Starship wznosi się w powietrze [w tej iteracji jeszcze nie w kosmos], i przeglądając wiadomości czy ruszyła kontr-ofensywa Ukraińców, widzę tą lepszą cześć ludzkości, dążącą do ulepszania siebie, jako ludzi, do budowania lepszego, trwalszego społeczeństwa opartego na wiedzy, miłości i współpracy. klisze i naiwność, że aż ciężko mi to pisać, żeby się trochę z siebie nie śmiać… ale jestem naiwny, bo chcę i lubię. bo taki świat kocham i takim chcę go tworzyć. jestem wychowany w takich właśnie wartościach: miłości, współpracy, dialogu, [współ]tworzenia społeczeństwa. i jestem mega wdzięczny wszystkim tym, którym to zawdzięczam – rodzinie i przyjaciołom. i choć wszystko to brzmi trochę jak z dziecięcej bajki, a życie smaga sarkazmem i rewiduje poglądy, to właśnie dzięki tym wspaniałym ludziom, z którymi przeżywałem życie i przygody, wierzę, że taka może być przyszłość. zarówno moi najbliżsi jak podróże po świecie pokazały mi, że wszędzie jest wielu dobrych ludzi, dążących do takiego właśnie świata.

na dziś, braqje nam przywódcy, leadera, kilka lat temu myślałem, że może Elon Musk, który przed AI przestrzegał lata temu i mówił o regulacjach, a ideologia, którą rozsiewał, brzmiała jak z bajki. ale nie wiem kogo potrzeba, żeby stworzyć bezpieczne granice i pokierować ludzkością? co jeszcze musi się wydarzyć, żeby dobrzy ludzie wstali i zaczęli wspólnie zmieniać świat na lepsze? jak te wszystkie piękne klisze przelać na rzeczywistość?

boom!

na koniec jeszcze jedna lektura – wywiad z Andrzejem Draganem, jednym z moich idoli. pierwsze 15 minut dotyczy sztucznej inteligencji, ale uprzedzam – trzeba mieć siłę przyjąć 'na klatę’ to, co się usłyszy… dalsza część poświęcona jest bardziej fizyce kwantowej. polecam, bo to jeden z najlepszych, jeśli nie najlepszy, wywiadów z A.Draganem [a sporo ich widziałem].

eN.