InstallFest 2012 se opět konal ve Školícím centru Silicon Hill na pražském Strahově. První březnový víkend se tu sešli studenti, linuxáci, admini, nadšenci, bastlíři a obecně „geekové“. Během dvou dnů bylo možné poslouchat desítky různých příspěvků, potkat zajímavé lidi a probrat aktuální témata.
Už dávno nejde o akci, na které zkušenější linuxáci pomáhají nováčkům instalovat linuxové systémy na jejich počítače. Akce se už před lety proměnila v klasickou dvoudenní konferenci s workshopy, přednáškami a zajímavými lidmi.
Zaznělo patnáct přednášek na mnohá témata, hovořilo se o rychlých sítích, procesorech ARM, počítači Arduino, IPv6 a dalších tématech. Na konferenci vystoupil například i Josef Průša se svou 3D tiskárnou, o které jsme už na Rootu psali. Vybrali jsme několik zajímavých přednášek a přinášíme vám z nich to nejzásadnější.
Pavel Tišnovský: ARM – zánik nebo znovuzrození desktopu
Pavel Tišnovský, kterého znáte jako autora Roota, se věnoval procesorům ARM, o kterých začal nedávno psát články. Procesory ARM se v poslední době začaly hodně používat v desktopových a mobilních počítačích a uvažuje se o využití v serverech. Ne že by byly tak výkonné, ale mají výrazně nižší spotřebu než procesory Intel. A při zvyšující se ceně elektřiny to začíná být velmi zajímavé,
začal Tišnovský svou přednášku.
Může se zdát, že procesory ARM zatím nejsou příliš rozšířené, ale opak je pravdou. Jsou v různých zařízeních jako jsou výtahy, automaty na kávu a podobně. Teď se začínají dostávat postupně i do počítačů.
Jejich výhodou je, že součástí procesoru může být i řada periferií jako paměť, grafická karta a další.
Pavel Tišnovský hovořil obecně o procesorech ARM, jejich architektuře a poznávacích znameních. Jedním z nich je, že architektura ARM má relativně malý počet tranzistorů. To je velká výhoda, protože se nám na čip vejdou další periferie.
Stejně tak mají malou spotřebu, což ocení zejména uživatelé mobilních zařízení a v budoucnu snad i provozovatelé serverů.
Protože jsou to RISC procesory, velmi dobře se pro ně píší překladače. Proto existuje řada dobrých překladačů pro ARM.
Stejně tak firmám vyhovuje, že mohou propojit Linux s architekturou ARM a přijít s hotovým řešením. Je to ekonomicky velmi výhodné spojení.
Firma si může koupit licenci na ARM, použije Linux a velmi rychle může vyjít na trh třeba s novým tabletem.
Ani ARM v desktopových počítačích není žádná novinka. Už v roce 1987 jej obsahoval počítač BBC Archimedes 305, který měl jen 512 KB paměti, ale měl už SCSI rozhraní. Bohužel měl vysokou cenu, která začínala na 899 librách. Tyhle počítače se nerozšířily kvůli ceně. Převálcovala je levná ‚písíčka‘.
Dnes tedy tyto počítače zná málokdo.
Pavel Tišnovský dále rozebral historii procesorů ARM, jejich hardware a nejdelší dobu se pak věnoval instrukční sadě. Ta je velmi efektivní a pomocí příznaků před instrukcemi omezuje použití podmíněných skoků a skoků vůbec. Může se tak stát, že zkompilovaný program má v assembleru méně řádků než původní kód v C. To je velmi neobvyklé, všude se uvádí, že v assembleru píšete a píšete a píšete dlouhý kód.
Ani z hlediska vývojáře nejde o nezajímavé prostředí, nástrojů je dostatek. Pro mikroprocesory ARM existují vývojové nástroje podobné kvality jako na x86,
tvrdí Pavel Tišnovský. Typicky je to překladač C++, ale k dispozici jsou i další jazyky. Viděl jsem překladač Fortranu, nebo je možné použít i Javu.
Podpora v Linuxu je k dispozici v distribuci Fedora, ale i v dalších a hovoří se také o tom, že by i Windows 8 měly být k dispozici pro ARM. Microsoft teď zkouší co může, aby se dostal s Windows na mobilní platformy,
vysvětlil Tišnovský snahy redmondské firmy.
Zmíněno bylo i několik konkrétních implementací architektury ARM. Z uživatelských zařízení byl zmíněn desktopový procesor Denver, počítač ASUS Transformer a známé desky Beagle Board, Panda Board, Raspberry Pi. Posledním jmenovaným zařízením předpovídá Pavel Tišnovský velkou budoucnost. Myslím si, že tyhle věci se začnou rozšiřovat, až lidé začnou přicházet na to, že když si chtějí pustit film, nemusí jim k tomu hučet počítač, ale stačí jim malá deska.
Na opačném konci výkonnostního spektra jsou cloudové servery. Při použití na serverech jde především o spotřebu energie. Nejde o grafický výstup, výkon jednotlivých procesorů a další podobné parametry.
Cloudová centra dnes neřeší zpětnou kompatibilitu, takže mohou využít tyto technologie velmi hladce. Je to logické, protože hardware začíná být levnější než energie. Každý ušetřený watt se počítá, protože jej nespálíme a nemusíme jej ani chladit klimatizací. Každý watt tedy vlastně ušetříme dvakrát.
Tomáš Hála: Active24 CSIRT
Týmy CSIRT se starají především o koordinaci při řešení bezpečnostních incidentů. Ideálně by týmy jednotlivých organizací měly komunikovat přímo, aby byla odezva co nejrychlejší. Proto by bylo ideální, kdyby každá větší organizace měla vlastní CSIRT tým Když se stane problém u nás a v nějaké bance, měli bychom se dohodnout vzájemně,
popsal na začátku ideální stav Tomáš Hála ze společnosti Active24, která nedávno svůj CSIRT tým založila.
Jen při opravdu velkých problémech nastupuje národní tým CSIRT, který vše koordinuje. K takovým stavům ale dochází jen velmi výjimečně. V Česku jsme zatím takto rozsáhlý útok ještě nezažili, ale například Estonci s tím zkušenost mají.
Před několika lety proběhl v Estonsku tak masivní útok, že došlo k ochromení celého místního internetu. O českém národním CSIRT týmu hovořila nedávno Andrea Kropáčová na konferenci Trendy v internetové bezpečnosti.
Tomáš Hála se dále v přednášce věnoval tomu, co tým v praxi dělá. Měl by v prvé řadě řešit všechny nahlášené bezpečnostní incidenty. Také by měl spolupracovat na výměně informací a zkušenostech s ostatními týmy. Zároveň by měl proaktivně sledovat citlivá místa a nasazovat preventivní opatření. A samozřejmě šířit osvětu.
Založení týmu podle Hály není nijak náročnou záležitostí. Nejprve je třeba určit rozsah zodpovědností, určit funkční a přímé kontaktní údaje a udržovat je aktuální. Je třeba zajistit, aby v případě hlášení incidentu skutečně někdo zareagoval. A ne na helpdesku, ale co nejblíže k někomu, kdo je schopen přímo problém řešit.
Všechny tyto a další informace je pak třeba zveřejnit na webu a kontaktovat dva akreditované týmy a dohodnout si jejich podporu. Dříve to byl problém, protože v Česku žádné akreditované týmy nebyly a bylo třeba se obracet do zahraničí. Dnes už je situace výrazně lepší.
Situace i přesto stále není ideální, v Česku je zatím jen pět CSIRT týmů. Národní, Active24, CZ.NIC, CESNET a CSIRT-MU Masarykovy univerzity. Tým Active24 je z nich nejmladší, existuje oficiálně od 9. února 2012. To ale neznamená, že jsme dříve neřešili incidenty. Teď jsme jen zařazeni do sítě CSIRT.
Ročně prý firma obdrží asi 1200 hlášení, ale často je jeden incident hlášen vícekrát. Na základě těchto hlášení je pak realizováno asi 120 zásahů ročně.
Tomáš Hála pak hovořil o konkrétním případu, kdy před Vánoci proběhl velký DDoS útok na obchody s RC moduly, které běžely právě u Active24. Jeden prodejce si myslel, že když zlikviduje konkurenci, bude před Vánoci vydělávat nejvíc.
Útok trval několik dní, byl velmi variabilní a projevil se i na grafech peeringového centra NIX. Nejprve jsme zjistili, na koho je to cíleno a vyčlenili jsme zákazníkům samostatný server.
Nakonec ale pomohl takzvaný blackholing, kdy se provoz neblokuje na místním firewallu, ale u nadřazeného poskytovatele. Odřízne se třeba celý zahraniční provoz na některé IP adresy, tím pádem se nám uvolní linka pro další zákazníky.
Z nedávných hrozeb zmínil ještě napadení syrského velvyslanectví, kde byly zneužity SQL injections. Velmi často se objevují různé hrozby od Anonymous. Od národního týmu dostáváme naštěstí různá varování, která jsou nejčastěji planá. Teď se ale objevila hrozba, která vypadá reálně, takže uvidíme, jsme na ni připraveni.
Několik dní po této přednášce mi Tomáš Hála řekl, že útok skutečně proběhl, ale nebyl nijak masivní a s předchozí přípravou se jej podařilo rychle eliminovat.
Podle Hály má ustanovení CSIRT týmu rozhodně smysl. Řešení incidentů se vyplácí, protože se tím zabrání jejich opakování a tím se sníží jejich negativní dopady. Když nebudete třeba řešit spam, brzy se dostanete na blacklisty a vaši zákazníci budou mít problémy.
Navíc se tím podporuje serióznost organizace a dáte světu najevo, svou ochotu se incidenty zabývat.
Tomáš Hála nabádal správce z dalších firem, aby zvážili založení vlastního CSIRT týmu. Už jen proto, že tím pomohou vybudovat funkční infrastrukturu bezpečnostních týmů v ČR. Ustavení týmu je navíc velmi jednoduché a nic nestojí.
Varoval před tím, že alternativou je regulace ze strany zákona, který je již v přípravě a není pro firmy příliš příjemný. Detailně jej nedávno na Lupě popisoval Jiří Peterka v článku Jaký bude zákon o kybernetické bezpečnosti?
Ondřej Caletka: buďte připraveni na IPv6
IP adresy došly na globální úrovni oficiálně 1. února loňského roku. U konkrétních poskytovatelů zatím ještě jsou, ale jistě nastane chvíle, kdy dojdou i jim. Pak to budou nuceni poskytovatelé přestat ignorovat a budou muset přijít s nějakým řešením. I když nepochybuji, že na začátku to budou zřetězené naty,
posteskl si na začátku přednášky Caletka.
V loňském roce proběhl první den IPv6, kdy řada poskytovatelů připojení a služeb na ukázku zapnula připojení po IPv6. Obávali se, že když s IPv4 funguje vše, nemůže se s IPv6 nic zlepšit, naopak zhoršit.
Firmy se bály, že někteří uživatelé mají rozbité IPv6 připojení a nebude jim to fungovat. Kdyby zapnutí provedla jen jedna firma, mohli by jí utéct uživatelé, protože by to zdánlivě nefungovalo u něj. Pokud by ale byl problém na více místech, uživatel by hledal problém u svého připojení. Nakonec to dopadlo dobře, žádné problémy nenastaly. Na letošní rok, na 6. června, je naplánován další den IPv6, kdy poskytovatelé zapnou a už nevypnou.
Zajímavé výstupy dávají Google Trends, při zadání „disable IPv6“ a „enable IPv6“. První pokusy o vypnutí se objevily v roce 2007. To vyšly Windows Vista, první operační systém se zapnutým IPv6. A tehdy začali lidé hledat, jak to vypnout.
V roce 2011 se objevují první uživatelé, kteří by zase chtěli IPv6 zapnout. Výrazná špička je pak v polovině roku 2011, kdy proběhl první den IPv6. Mediálně to byla poměrně viditelná akce a lidé o ní věděli.
V Česku už začal se zapínáním Seznam.cz. Zatím nemá všechny weby, jen Novinky.cz, Spolužáci.cz a některé další. Původně razil podobnou cestu jako Google, kdy DNS server vrací IPv6 adresu jen těm sítím, u kterých je bezpečně zjištěno, že jim IPv6 funguje.
Seznam ale svou logiku otočil, protože zjistil, že ve většině sítí už IPv6 funguje správně. Z whitelistu se tak stal blacklist, takže standardně AAAA záznam posílá všem, kromě sítí, které prokazatelně nefungují.
Následovalo povídání o odlišnostech IPv6 od IPv4. Většina věcí zůstává stejná, uživatelská aplikace by si ani neměla všimnout, že se jedna síťová vrstva vyměnila.
Přesto existuje několik odlišností, jako je autokonfigurace, linkové adresy, DHCPv6 a třeba také ICMPv6. Nové ICMP má výrazně důležitější roli než ve v4. Tyto pakety by se neměly filtrovat ani na čtyřce, na šestce se filtrovat nesmí, jinak se začnou dít podivné věci.
Ondřej Caletka tím narážel na horlivé správce sítí, kteří v rámci „bezpečnosti“ kompletně odfiltrují ICMP pakety.
Caletka dále hovořil o problémech IPv6. Velkým problémem dnešních IPv6 sítí jsou falešné routery. Router nemá žádnou autentizaci, takže se kdokoliv může stát routerem a rozbít síť.
Dělají to například Windows. Stačí zapnout funkci „sdílení internetu“ a počítač si zapne 6to4 a začne ho ohlašovat do sítě. Pokud pak tento nechtěný router nefunguje, uživatelé zůstanou bez připojení. Je možné to řešit filtrací ohlašování směrovače na síti nebo dalším ohlašováním, které to původní ruší. Pak se ale dvě ohlášení v síti perou, jedno se snaží rušit druhé a není to příliš ideální řešení.
Dan Horák: Fedora na platformě ARM
Pavel Tišnovský hovořil o platformě ARM jako takové, Dan Horák na jeho přednášku pomyslně navázal a hovořil o tom, jak se daří spojení ARMu a Linuxu, konkrétně distribuci Fedora. Linuxové jádro podporuje více než dvacet různých architektur, Fedora je rozděluje na primární a sekundární. Záleží hlavně na rozšíření konkrétní architektury mezi uživateli. Většina jich používá Linux na desktopech nebo serverech, kde dominují procesory od Intelu,
vysvětlil Horák. Vše kromě x86 a x86_64 jsou dnes sekundární domény, dříve byla primární i architektura PowerPC, ale od Fedory 13 už i ta patří mezi sekundární.
Každá sekundární architektura má vlastní infrastrukturu, nativní build systém a používá stejné zdrojové kódy jako ostatní buildy. Vývoj je ale závislý na komunitě. Red Hat se nedokáže starat o všechny architektury, takže se musí zapojit i uživatelé.
Jako příklad byla uvedena právě architektura PowerPC, která má stále svou skupinu uživatelů, kteří chtějí provozovat Fedoru především na starším hardware od Apple.
Z hlediska cílových zařízení se Fedora pro ARM nezaměřuje na různá multimediální zařízení a chytré telefony. Problém je, že se do nich alternativní operační systém dostává poměrně těžce.
Cílem jsou tedy různé netbooky, nettopy, tablety či servery, které se více blíží „velkým počítačům“ a vyvíjí se pro ně jednodušeji.
Fedora pro ARM není žádnou novinkou, jako první na ní začala pracovat společnost Marvell v období Fedory 13. Nejednalo se ale o kompletní distribuci. Následně se podařilo připravit podporu pro Fedoru 14 na OLPC a Raspberry Pi. Až postupným vývojem se pak podařilo vytvořit kompletní bootstrap pro Fedoru 15. Fedora 16 byla úplně přeskočena a nyní se pracuje na Fedoře 17.
Cílem je, aby rozdíly mezi primárními a sekundární architekturou byly co nejmenší.
První kompletní verzí Fedory pro ARM by tedy měla být verze 17, která by se měla objevit na přelomu letošního dubna a května. Cílem je, aby zároveň s Fedorou pro primární architektury vyšla i verze pro ARM.
Situaci však komplikuje velké množství různých implementací ARM, prakticky každý výrobce do čipu zavádí vlastní úpravy či přídavné periferie. V databázi ARM zařízení je v současnosti asi 4000 různých zařízení a není možné podporovat úplně všechny.
Z toho důvodu je podporovaná jen určitá podskupina zařízení.
V současné chvíli je k dispozici 11 tisíc zdrojových balíků. Na ARM jich zatím 2000 chybí nebo jsou ve starší verzi než v upstreamu. To je podle mě velmi dobrý výsledek na to, kolik na tomto portu pracuje lidí.
K dispozici také nejsou instalační média, ale systém se distribuuje ve formě rootfs obrazu, který se rozbalí třeba na SD kartu a rovnou se bootuje.
Vývojáři se snaží port ARM dostat mezi primární architektury. Zatím tuto činnost blokují zmíněné problémy s balíky a také nedostupnost dostatečně výkonného hardware pro kompilaci balíků. Čekáme, až velcí výrobci skutečně přijdou na trh s ‚velkými boxy‘ s větším množstvím paměti. Na dnešních destičkách s 1 GB paměti není možné velké balíky kompilovat.
Vývojáři se také snaží standardizovat celou platformu a technologie UEFI, ACPI, device tree, KMS a podobně. Cílem je zabránit roztříštěnosti celého ARM prostředí.
Všechny změny, které se dělají kvůli architektuře, je třeba dostat do upstreamu. Ať už ve vlastní distribuci nebo do vyššího upstreamu. Aby byly změny k dispozici i v budoucnu a mohl probíhat další vývoj a vylepšování.
Tím se naplňuje myšlenka open-source, že z výsledků práce jednoho týmu pak mohou těžit další vývojáři. Do budoucna se tak snad procesorům ARM budou věnovat i další distribuce.
(Foto: Petr Krčmář, Radim Roška a Petr Hodač)
