Odrobina prywatności na codzień

Temat PRISM powoli się przewala, choć najprawdopodobniej to tylko wierzchołek góry lodowej. Ja trochę się poddałem, bo po kilku latach wykorzystania własnych narzędzi do synchronizacji telefonów, stawiania serwerów do tego celu i ogólnie z góry przegranej walki o prywatność przez przypadek znychronizowałem wszystkie moje skrupulatnie chronione kontakty telefoniczne z kontem gmaila i cała prywatność w pizduuu…

Dla dociekliwych stronka https://prism-break.org przedstawiająca wszelkie “darmowe”, “wolne”, “chroniące prywatność” narzędzia. Ja już chyba jestem za stary na używanie TOR’ów w codziennym życiu, a na forach nie hejtuje, wiec potulnie korzystam z chroma….  ale może ktoś skorzysta z wyszukiwarek mających zastąpić googla… powodzenia.

Osobliwości IT – IPv6 go home

W 2001 roku pisałem prace inżynierską o IPv6, już wtedy szósta wersja protokołu miała lada moment wchodzić do masowego użytku, po ponad 10 latach prym wciąż wiedzie IPv4. W zeszłym roku skończyło się rozdawanie nowych adresów IPv4, zostały tylko używki. Wg mnie IPv6 jeszcze przez długie lata nam nie grozi…
Mieliśmy okazje zwiedzić jeden z państwowych przybytków. Szczęśliwie nie rządowy, a raczej związany z edukacją. Celem wizyty było zorientowanie się w stanie infrastruktury IT. Niech tą wizytę podsumuje zdanie naszego administratora z raportu:
“Adresację LAN mają na adresach publicznych 1xx.1xx.xx.0/24 :) – mają całą klasę C  – jeden z ich problemów to że kończy im się powoli adresacja i będzie trzeba w końcu zacząć natować :) “

No coments. Jak poszukamy głębiej to adresów IPv4 starczy jeszcze na najbliższą dekadę,

 

 

Osobliwości IT

“Niepełna poczta”

To rozwiązanie jest teoretycznie poprawne technologicznie, ale w zaskakujący sposób utrudnia życie ludziom z niego korzystającym. Przyczyn upatruje nie tyle w złej woli autorów, ile sytuacji, która zmusiła ich do takiego rozwiania. Zatem:
Dana jest mała firma (50 osób), wykorzystująca wewnętrzny system pocztowy oparty na rozwiązaniu Lotus Notes (minuta ciszy, aby uczcić wszystkich wykorzystujących ten fantastyczny i beznadziejny zarazem system pocztowy, o którym można by stworzyć oddzielny szydzący z niego portal, ale na którego nie będę teraz wylewał wiadra pomyj, gdyż nie to jest teraz istotne). Więc firma i jej dzielni pracownicy korzystający z tego nieszczęsnego Lotusa potrzebują też poczty na telefonie.
Lotus hostowany jest wewnątrz organizacji, co było sensowne i konieczne gdyż był połączony z innym kluczowym dla funkcjonowania biznesu wewnętrznym systemem. Naturalną koleją rzeczy implementowany jest konektor do BlackBerry (kolejna minuta ciszy dla użytkowników BlackBerry…), gdyż zapewne to te telefony były pierwszymi „smartfonami z obsługą poczty”. Wszystko działa jak należy.

Technologia idzie jednak dalej i nie tylko garstka wybrańców ma już BlackBerry, ale także 90% pozostałych pracowników posługuje się smartfonami… z obsługą poczty i owi pracownicy też chcą mieć dostęp do firmowej poczty.
Uruchamiany jest zatem zewnętrzny, hostowany serwer pocztowy klasy POP3/SMTP….który staje się mail-relayem dla naszego lotusa. Konfiguracja wymaga utworzenia DODATKOWYCH, oddzielnych skrzynek pocztowych dla KAŻDEGO pracownika. Trochę ręcznej grzebaniny, ale NAGLE cel zostaje osiągnięty: użytkownicy smartfona w dowolnej technologii mogą podczepić swoją skrzynkę do telefonu i … Taadaam!!! Mają pocztę firmową w telefonie.

Teraz docieramy do sedna sprawy. Pracownicy, „dzięki” temu rozwiązaniu zostali podzieleniu na dwie grupy:
Szcześliwców z BlackBerry, którzy mieli i mają swoją pocztę w telefonie.
Resztę, korzystającą ze skrzynek POP3 z zewnętrznego relaya…. którzy mają pocztę firmową , ale BEZ WEWNĘTRZNEJ POCZTY FIRMOWEJ…. Tzn.: jeśli maila do nich przysłał klient: mail z wpada do telefonu ze skrzynki POP3 z relaya, ale jeśli maila wysłał współpracownik, albo nie daj boże prezes – mail już nie trafia do telefonu, gdyż Lotus nie wysyła w pizdu gdzieś na zewnątrz komunikacji, którą zamyka w wewnętrznym obiegu…
Mogę się tylko domyślać jak to wyglądało: pracownicy bez BlackBerry, mieli pocztę w telefonie, ale zawsze potrzebny był w pobliżu laptop, dzięki, któremu mogą sprawdzić pocztę “wewnętrzną”, albo wysyłają wewnętrzną pocztę firmową korzystając z adresów z relaya, dzięki czemu mają dwie tożsamości – “firmową-lotusową” i “firmową-zewnętrzną-na-pop3”, w obydwu przypadkach ubaw z poszukiwania “historii mailowej” – bezcenny.

Mówiąc szczerze nie mam pojęcia jak udało się ludziom przeżyć ten komunikacyjny koszmar (sytuacja z roku 2012, a firma należy do segmentu „wymagających” i nie chodzi o badylarzy handlujących warzywami).

Nie mam pojęcia jak udało się doprowadzić infrastrukturę do takiego stanu, ale zakładam jedno: nikt pewnie nie słuchał pana od IT, a ten musiał zrealizować postawione przed nim zadanie….

Rzeczywista historia może różnić się drobnymi szczegółami od przytoczonej, nie dojdę do nich, gdyż rozwiązanie zostało już zaorane i szczęśliwie to nie ja byłem na pierwszej linii sprzątających.

Osobliwości IT

Mi z kolei po głowie chodzi od dłuższego czasu cały cykl, opisujący osobliwości IT, które spotkałem w swoim życiu. Chodzi o najbardziej poronione, albo (rzadziej) genialne pomysły które zostały wdrożone produkcyjnie. Nie da się ukryć, że skupię się bardziej na tych pierwszych, bo to ile kurew i zdziwienia, oraz czasu odkręcanie takich wynalazków mnie kosztowało cały czas nie daje mi spokoju i muszę się tym z kimś podzielić.
Rozpoczynając zatem cykl:

„Outlook express jako narzędzie backupu poczty„

Prawdopodobne zapytanie klienta:
Potrzebujemy mieć kopie, wszystkich maili, które dostają nasi pracownicy.
Skala firmy: mała, ok 10 osób

Wdrożone rozwiązanie:
Na zewnętrznym, hostowanym serwerze utworzono skrzynkę pocztową xx@domena.pl na które zostały przekierowane maile z innych kont za pomocą przekierowana na danym koncie na skrzynkę xx@domena.pl.
Na „starym” serwerze windows w biurze, z którego została zmigrowana domena i funkcje serwera plików został odpalony na konsoli OUTLOOK EXPRES!!!!! Gdzie została skonfigurowana skrzynka xx@domena.pl (z kasowaniem maili z serwera, żeby nie zajebało tej skrzynki xx@domena.pl na śmierć).
Maile klienta, teoretycznie wszystkie lądowały elegancko w plikach DBX!
Cel osiągnięty!!!!

Nieszczęśliwie (a może i dobrze) klientowi nie przyszło odzyskiwać/poszukiwać maila.
Przyjrzyjmy się rozwiązaniu i wytknijmy jego wady, bo zalety, są jak zwykle dwie: teoretycznie działa i nie trzeba było nic kupować.
Na wstępie projekt obrywa po mordzie, bo okazuje się że nie wszystkie konta pracowników zostały przekierowane na tajną, backupową skrzynkę xx@domena.pl. Więcej niż jednego już brakuje. Więc NIE CAŁA poczta naszych pracowników „się backupuje”
System wymaga opieki. Outlook expres nie obsługuje plików z pocztą większych niż 2GB, więc trzeba go regularnie sprawdzać, częściej niż podlewać kwiatki na oknie, czy przypadkiem nie dobijamy do 2Gb, wtedy pliki były podmieniane na inne i hajda do przodu, spokój na parę dni/tygodni. TO BYŁO WYKONYWANE!
Nieszczęśliwie nie doszło do produkcyjnego odzyskiwania maila – czyli do sedna sprawy – poszukiwanie zagubionego maila wśród setek innych, podpinając bazy DBX do outlooka ręcznie jest rozwiązaniem równie prostym, co popierdolonym. Teoretycznie da się wykonać. Być może nawet w godzinę da się coś znaleźć i przesłać użytkownikowi.
Niestety, stawiam moje GTX 560 przeciwko S3Virge , że chuj z mailami otrzymanymi. Najszybciej przydałby się ten WYSŁANY do klienta z jakimś ustaleniem. Niestety system nie obejmuje takiej funkcjonalności. Nikt klientowi tego widać nie uświadomił.
O konieczności zapalania outlook expressa na konsoli po restarcie serwera, aby system w ogóle działał, nie musze wspominać.
Reasumując wdrożone rozwiązanie obejmuje tylko połowę maili (bo bez wysłanych) ale też nie całą, bo zapomniano o skrzynkach części pracowników. Rozwiązanie wymaga regularnego ręcznego utrzymania w postaci podmieniania plików baz danych, żeby się nie przepełniły, pamiętania o uruchamianiu klienta poczty po restarcie serwera, oraz w wypadku odzyskiwania – ręcznego poszukiwania maila poprzez dziesiątki, a z latami setki plików dbx- czyli najtańszego i jednego z najgorszych klientów poczty, co może trwać kilka godzin i prawdopodobnie nigdy nie zostało wytestowane produkcyjnie.
Ocena w skali poronienia pomysłu: 7/10, gdzie 1/10 to głupie, ale dobre, a 10/10 to kurwadżizusjapierdole.

To i tak nie jest debeściak ostatnich dni, więc oczekujcie na więcej!

removed or deprecated in 2o12

tak sobie czytam co się szczegółowo pozmieniało w w2o12. zazwyczaj mówi się o tym, co nowego się pojawiło, ale warto zerknąć również co zniknęło – bo można się nieźle zdziwić.

pracując z w12 mam nieodparte wrażenie, że system został upośledzony – przez ten obsrany interfejs i niedołężnego server managera. pomijając drobiazgi – jedna z najważniejszych rzeczy, która została usunięta [i nie ma tego na oficjalnej stronie!] to RDC Shadowing. w ogóle RDS zostało upośledzone – to taki obecny trend w zarządzaniu systemami Windows. jeśli ktoś planuje wdrożenie RDS na w12 to należy koniecznie zapoznać się z tym wątkiem.

natomiast w ‘przestarzałych’ opcjach – czyli tych, które mają być wycofane, jest całkiem sporo interesujących rzeczy, wymagających bliższego zbadania, ponieważ będą miały [w niedalekiej?] przyszłości wpływ na wiele skryptów i monitorowanie:

  • SMTP: SMTP and the associated management tools are deprecated. Though the functionality is still available in Windows Server 2012, you should begin using System.Net.Smtp. With this API, you will not be able to insert a message into a file for pickup; instead configure Web applications to connect on port 25 to another server using SMTP.
  • SNMP: SNMP is deprecated. Instead, use the Common Information Model (CIM), which is supported by the WS-Management web services protocol and implemented as Windows Remote Management.
  • WMI providers: […] The WMI provider for Active Directory is deprecated. Manage Active Directory with PowerShell cmdlets.
    The WMI command-line tool (Wmic) is deprecated. Use PowerShell cmdlets instead.

WMIC IS DEPRECATED? SMTP? SNMP? hmmm… jeśli ktoś ma jeszcze obiekcje co do przerzucenia się na powershell no niech lepiej je zarzuci i bierze się za naukę…

eN.

netsh w windows 2o12/8 – niespodzianka

operowanie linią poleceń w windows od wieków było problematyczne. powershell stara się to uporządkować. jak jednak mawiają – przyzwyczajenia drugą naturą człowieka. osobiście uważam, że pierwszą. odpalam netsh i…

C:>netsh
netsh>inter
In future versions of Windows, Microsoft might remove the Netsh functionality
for TCP/IP.

Microsoft recommends that you transition to Windows PowerShell if you currently
use netsh to configure and manage TCP/IP.

Type Get-Command -Module NetTCPIP at the Windows PowerShell prompt to view
a list of commands to manage TCP/IP.

Visit http://go.microsoft.com/fwlink/?LinkId=217627 for additional information
about PowerShell commands for TCP/IP.

OMG… z jednej strony super… z drugiej ciężko będzie się rozstać – zwłaszcza, że cmd nadal jest często niezbędne.

eN.

Takie tam o płatnościach.

  Po co nam bank?

                  Pytanie wydaje się trywialne. Są po to by trzymać tam kasę! Ale czy na pewno? Ja jej tam nie trzymam, przynajmniej nie dużą kasę i nie na długo. Praktycznie po kilku dniach od uznania, rozpływa się ona po wierzycielach. Pozostała kwota jest niemal symboliczna i fatycznie bank pomaga mi w pośrednictwie płatności. Jak kupuje kawę, to bank płaci za nią moimi pieniędzmi … ale czy na pewno?

  Akceptowalne formy płatności w punkcie z kawą są wszelkie. Mogę zapłacić gotówką, więc reszkę posiadanych pieniędzy mogę trzymać w spodniach i odliczając odpowiednie kwoty płacić za usługi, czerpiąc radość z drobnego tipowania obsługi. Mogę też korzystać z kart wydanych przez bank. Ściśle powiązane z moją kupką pieniędzy w banku zobowiązują bank do zapłaty za kawę z moich środków. Pośrednik tej transakcji pobiera swoje prowizje które ja spłacam w bardziej lub mniej świadomy sposób usługodawcy lub/i bankowi. Mogę użyć któreś z modnych technologii płatności zbliżeniowych, zbliżając kartę bez podawania PINu czy nawet telefon, brelok lub praktycznie (dzięki poręcznym naklejkom), każdy przedmiot który chcemy bezwstydnie przyłożyć do terminala. Niemniej jednak proces płatności pozostaje bez zmiany. Sklep dostaje swoje, płaci dodatkowo pośrednikowi, pośrednik obciąża moje konto w banku.
Nie muszę jednak trzymać swoich pieniędzy w banku. Są już liczne firmy, które chętnie przechowają dla nas nasze pieniądze i dadzą możliwość zakupu pewnych usług. I to praktycznie bez pośredników! Globalny PayPal czy popmoney, lokalny PayU, Mpay, SkyCash i inni.  Wrzucamy tam kasę (praktycznie udzielamy im pożyczki) a firmy te oddają nam część tych pieniędzy w postaci możliwości płatności za usługi. Kupić możemy już niemal wszystko, bo PayPal jest globalny i możemy płacić za towary na świecie a lokalną lukę zaczynają wypełniać firmy takie jak SkyCash.  Dodatkowo otrzymujemy usługi z którymi banki wchodzą na rynek mocno opóźnione, czyli płatności p2p (kolega do kolegi) oraz zarządzanie “finansami” przez aplikacje mobilne. Więc czy nadal potrzebujemy banku? Jeśli bank wdroży podobne narzędzia, to czemu nie, ale jeśli nie będzie tego oferował stanie się tylko routerem naszych pieniędzy, pracującym jedynie w dniu wypłaty.
Trend może wyglądać tak. Mam pewne stałe punkty w których wydaję pieniądze (Point Of Sale). Sklep przy domu, ulubiona kawiarnia, bilety autobusowe lub przydrożna stacja benzynowa. Jedna z firm (nie bank) umawia się z nimi, że jak przyjdę Ja, i podam kod z mojego telefonu, i on się będzie zgadzał z kodem który się wyświetli na tablecie podłączonym do kasy, to firma zobowiązuje się pokryć kwotę za moje zakupy. W wygodnej aplikacji na telefonie widzę dokładnie co i komy właśnie zapłaciłem i ile mam jeszcze kasy do dyspozycji.  Kolejne POSy w drodze do pracy powodują topnienie mojej góry pieniędzy. Czym to się różni od płatności kartami bankowymi? Praktycznie niczym szczególnym.  Jednak nie jestem już przywiązany mikro płatnościami ze swoim bankiem, mogę swoje pieniądze trzymać wszędzie. U operatora GSM, w elektrowni czy w sklepie spożywczym jeśli firmy te tylko udostępnią odpowiednie aplikacje (np. Biedronka już ma!). Liczy się tylko to by było wygodnie. Wygodnie dla mnie. Być może gazownia nie będzie wymagała formy pre-paid, bo mi ufa* i będę mógł spłacić zobowiązania razem z kwartalną fakturą wraz opłatą za gaz i dystrybucję, a jak będę trzymał u nich sporą nadpłatę, to może i zniżkę dostanę na w/w usługi…
 Krótko mówiąc robi się ciekawie na rynku mikro płatności i to w czasach kiedy wydawałoby się że wszystko dąży do konsolidacji a nie rozdrobnienia.  Że z setek banków zostaną cztery rozdające karty. Technologia po raz kolejny pokazała że potrafi namieszać nawet w tak skostniałym układzie.
 Obserwuję ten rozwój z wypiekami na twarzy i smartphonem w ręku.

  *ufa – bo jak nie zapłacę to mi odetną gaz co w zimę może być dodatkowo mobilizujące do spłaty…

certyfikaty – takie tam ciekawostki

kilka drobiazgów na które ostatnio natrafiłem…

  • self-signed certificate wcale nie musi być taki bardzo ‘self’. w niektórych scenariuszach [np. hyper-v replication] najpierw tworzy się self-signed rootCA a potem za pomocą tego certu tworzy się kolejne. takie odzwierciedlenie prawdziwej struktury serwerów. wady pozostają – oczywiście nie ma w nich CDP i AIA więc są nieweryfikowalne
  • można ominąć takie wydumane struktury zaufania. można wygenerować pojedynczy self-signed i dodać go zarówno do computerMy oraz do Trusted Root CAs – dzięki temu będzie samo-weryfikowalny (;
  • z jakiegoś powodu nie dodano do systemu makecert’a – dziwne. od w2k8 [w końcu!] nie trzeba instalować reskitów i support toolsów bo niemal wszystko co potrzebne jest w systemie. brak makecerta jest imho niedopatrzeniem
  • w w8/2o12 jest cmdlet new-selfsignedcertificate. niestety bardzo prymitywny – można za jego pomocą wygenerować najprostsze certy SAN [subject alternative name]
  • w w8/2o12 pojawił się [w końcu!] dodatkowy snap-in dla cert store komputera: certlm.msc

jakie widziałem certy z najdalszą datą ważności? standardowo AD wystawia cert dla admina do szyfrowania EFS na 1oo lat. sporo. niemniej przy okazji ostatniego grzebactwa trafiłem na cert wygenerowany przez Windows Server 2o12… nie udało mi się ustalić przy jakiej okazji. to selfsigned zrobiony na potrzeby jakiejś usługi [jakiej?]:
cert 3o12
trzeba ustawić sobie w kalendarzu na kwiecień 25o6, żeby go odnowić…

ale trafiłem na rekordzistę chyba nie do pobicia. certy generowane przez SharePoint:
SP certificate

eN.

znikająca drukarka

drukarka sieciowa HP, podłączona w biurze w oddziale. lokalnie działa normalnie, ale z różnych względów ma być na printserverze w centrali. i zaczynają się dziwne objawy: drukarka działa przez ok 1min po czym zwykły timeout. drukarka znika z sieci. wystarczy wejść w opcje konfiguracji i dokonać jakiejkolwiek zmiany i drukarka znów pojawia się na chwilę. po czym znika.

zgłoszenie do wsparcia HP – można było przewidzieć odpowiedź. standardowy bełkot bez żadnej wskazówki.

próbowałem skanować ruch sieciowy, ale bez możliwości zdefiniowania portu monitorowania na switchu nie da rady. router zbyt prymitywny i nie miał tcpdump czy czegoś w podobie. ogólnie wszystko wyglądało prawidłowo.

problem rozwiązał qmpel… okazało się, że na switchu był ustawiony nieprawidłowy gateway. po ustawieniu prawidłowego, drukarka zaczęła działać jak trzeba.

to rozwiązanie pozostawia jednak więcej pytań niż odpowiedzi. pewnie nie będzie czasu już nad tym posiedzieć:

  • konfiguracja TCP/IP na switchu nie jest obligatoryjna – jest to [a w każdym razie AFAIK powinno] być wyłącznie jako interfejs zarządzania. poza tym switch powinien być przeźroczysty
  • nawet jeśli ten GW był do czegoś wykorzystywany – skąd to dziwne zachowanie, że przez jakiś czas [1-2 minuty] działało ok i przestawało?
  • drukarka miała prawidłowo ustawiony GW, a skoro komunikacja była zrywana oznacza to, że switch ingeruje w ramki albo ma buga na poziomie obsługi IP! /:

jedynym sposobem byłoby przywrócenie konfiguracji, ustawienie portu monitorującego i wysniffowanie ruchu. dodam tylko, że to switch Dell. pozostaje w kategorii w-files.

eN.