Michal Valášek: Odolá FOSS nové generaci útoků zevnitř?
Hlavní princip svobodného a open-source softwaru je, že jsou lidé dobří a chtějí společně tvořit. Největší problém je, že to není pravda.
Existuje menšina lidí, kteří to myslí dobře a dělají to dobře. Většině uživatelů je to jedno a používají to proto, že je to zadarmo nebo jim to někdo nainstaloval. Pak je tu skupina lidí, kteří chtějí škodit.
XZ Utils je sada nástrojů a knihoven, které slouží k práci s komprimovanými daty. Hlavním a jediným autorem je dnes Lasse Collin, který není padouchem a neudělal nic špatně.
Vývoj nástroje začal v roce 2009 a dnes ho používají prakticky všechny linuxové distribuce a najdete ho tedy na milionech zařízení po celém světě.
Knihovna je dnes prakticky hotová, jak jen software může být. Vždycky se to dá vylepšit, ale nedají se očekávat žádné revoluční změny. Co tam chcete naprogramovat dalšího?
Do 29. října 2021 se správou zabýval vlastně jen jeden člověk. Poté se ozval uživatel jménem Jia Tan, který navrhl přidání souboru .editorconfig. Ten není pro vývoj potřebný, ale můžou ho používat některé editory.
Poté byl v únoru 2022 první patch přidán do repozitáře XZ. Během roku pak přišli další vývojáři jako Jigar Kumar a Dennis Ens, kteří začali tlačit na původního autora, aby předal Jia Tanovi práva ke správě repozitáře. Když se objeví někdo, kdo vám chce v projektu pomoci, jste nadšení a nebudete ho vyhánět.
Jia Tan začal být velmi aktivní a řešil spoustu věcí, které nechtěl řešit nikdo jiný a pomáhal projekt vylepšit. V únoru roku 2024 pak přidal binární datové soubory, které mají sloužit pro automatické testování. Jsou tam schválně chybná data, která nejsou syntakticky validní, aby bylo možné na nich knihovnu otestovat.
Počítá se s tím, že jde o podivná data, ale už nikdo nečeká, že obsahují i malware.
Den nato vyšla nová verze 5.6.0, která se začala šířit linuxovými distribucemi a měla být postupně adoptována. V březnu pak vyšla verze 5.6.1, která obsahovala backdoor. Poté byla nová verze zařazena do Debianu a měla se dostat do Ubuntu.
Na konci března 2024 si Andres Freund při vývoji PostgreSQL všiml, že přihlašování pomocí SSH trvá třikrát déle než dříve. Objevil velmi chytrý backdoor, který není v kódu knihovny XZ Utils, ale je v binárních testovacích datech.
Pokud je backdoor zaveden, přidá možnost vzdáleného spouštění vlastního kódu do OpenSSH.
Děsivé na celém příběhu je, že žádný mechanismus tento problém nezachytil, všiml si ho náhodou náhodný vývojář. To pro svobodný software neznamená nic dobrého.
Stav knihovny XZ Utils je norma, ne výjimka, často celá infrastruktura závisí na knihovnách, které udržují jednotlivci po celém světě.
Konkrétních příkladů je celá řada. Bash od roku 1993 spravuje Chet Ramsey ze státu Ohio. Dnsmasq je velmi rozšířený DHCP a DNS server, který spravuje Simon Kelley z Keswicku. Používají ho různé malé routery a Wi-Fi AP. Zřejmě máte doma deset kopií v různých verzích.
Běžnou JavaScriptovou knihovnu core-js udržuje Denish Pushkarev z Moskvy, na kterého tvrdě dopadly sankce a není možné mu poslat peníze. Strávil 18 měsíců ve vězení, protože podle soudu způsobil dopravní nehodu se zraněním.
Tyhle věci jsou veliké bezpečnostní riziko.
Otevřený software je na tom z hlediska bezpečnosti hůře, než komerční software. Předpokládá se, že máte dobré úmysly.
Pokud se nabídnete jako dobrovolný přispěvatel, okamžitě budete přijati. Vývojářů je vždycky velmi málo, takže je snadné se dostat na nějaké místo, které pro své účely potřebujete.
U komerčního softwaru je o několik řádů náročnější se dostat k vývoji konkrétního systému.
Jeden z argumentů bezpečného svobodného softwaru je, že je možné zkontrolovat každý řádek kódu. To samo o sobě ale ještě neznamená, že to doopravdy někdo udělal.
Celý kód XZ Utils je veřejný a kdokoliv se do něj mohl podívat, nikdo to ale neudělal.
Velká korporace se umí bránit státnímu nátlaku. Používám stejná Windows jako ty největší korporace na světě s nejdražšími právníky.
Otevřený software dokáže odstranit některé typy útoků, například zlou vůli jedné korporace. Otevírá ale některé další problémy, které mohou být ještě nebezpečnější.
Velkým projektům může pomoci nalití dalších peněz, ale to neplatí pro projekt jednoho člověka. On bude rád, ale nepomůže mu to dělat lepší software.
Žádné jednoduché řešení neexistuje, zřejmě by byla nutná výrazná změna v celém konceptu. Důležité je si uvědomit, že takový problém vůbec existuje.
Vůbec nevíme, kdo je Jia Tan. Nikdy se ho nepodařilo vypátrat, nemá žádnou veřejnou stopu. To je ale úplně normální, spousta lidí si potichu vyvíjí a nemusí exhibovat na internetu.
Proniknout takto do některých projektů může být velmi snadné, stačí do nich nějakou dobu přispívat. Všichni vás za to budou mít rádi.
Případ XZ Utils a Jia Tan je první, ale zdaleka ne poslední. Ono to funguje a možná je to jen první, o kterém víme.
Kolik takových vývojářů už se zapojilo do vývoje otevřeného softwaru? Kolik malwarů jen čeká na to, až si někdo všimne, že se mu zpomalil počítač?
Tomáš Tichý: Hraní her na starém hardwaru
Pokud máte slabý hardware na hraní současných her, je možné hrát vzdáleně. Buďto na svém výkonném hardwaru nebo si jej můžete pronajmout. Nejznámější službou v tomto směru je Nvidia Go, kde můžete hrát zdarma, ale musíte čekat ve frontě.
Můžete také zaplatit a poté hrát bez omezení a okamžitě. Další variantou jsou například placené služby Boosteroid, Xbox Cloud Gaming nebo Amazon Luna. Služba Google Stadia už byla ukončena.
Většina podobných služeb funguje tak, že si zaplatíte za pronájem hardwaru, ale samotné hry si musíte kupovat u jejich tvůrců. Nechtěl jsem se ale spoléhat na službu někoho jiného, kdo ji může kdykoliv vypnout nebo omezit.
Je možné si samozřejmě koupit vlastní počítač, ale to je obvykle zářící a hučící bedna, u které nechcete sedět. Herní počítač je ale možné provozovat někde jinde a připojovat se k němu vzdáleně.
Jednou z možností pro vzdálené hraní je Steam Remote Play, nebo je možné použít svobodné řešení: server Sunshine a klient Moonlight. Server otevře webové rozhraní na portu 47990, kde je možné si vytvořit uživatelský účet. Poté se pomocí klienta připojíme k výkonnému stroji a na jeho vzdálené ploše můžeme spustit hru. Moonlight podporuje kodeky AV1, HEVC a H.264. Je možné nastavit také počet snímků za sekundu a povolený maximální datový tok. Vyřešen je i přenos zvuku, který se na vzdáleném počítači ztiší a přenáší se na klienta.
Uvádí se minimální rychlost uploadu 10 Mbps, ale podle zkušeností je pro plynulé hraní lepší vyšší hodnota, nejlépe 30 až 40 Mbps. Na místní síti nepoznáte, že hrajete vzdáleně.
Kódování videa spotřebovává část výkonu počítače, na Steamdecku je to zhruba čtvrtina, na běžném výkonném herním PC to není téměř znát.
Podpora klientských zařízení je ohromná, je možné hrát na Androidu, konzolích Xbox, Nintendo Switch, Nintendo Wii, televizích LG a dalších.
Matěj Růžička: Simulátor dispečinku metra
Simulátor dispečinku metra je inspirován pražským metrem, ale není jeho přesnou kopií. Simuluje systém, který slouží k dálkovému ovládání zabezpečovacího zařízení v metru. Dispečer má možnost si rozkliknout jakoukoliv stanici, stavět vlakové cesty a provádět další úkony.
Simulátor je dvouvláknový a má jednovteřinový simulační cyklus. Vlaky se v něm pohybují dynamicky, ale v grafickém rozhraní se obarvují celé kolejové obvody. K dispozici je autoblok, tedy permisivní návěstidla, která dispečer neovládá. Souprava jede a za ní se automaticky rozsvěcují návěsti zakazující jízdu, aby se nesrazily.
Provoz je řízen dálkově z dispečinku, kdy je možné manuálně stavět cesty, nebo se systém sám řídí grafikonem a automaticky vše řídí sám. Zatím mám implementovanou jen jízdu na interval, kdy se vlaky snaží dodržovat devadesátivteřinový interval.
Půjde o open-source projekt, který bude moci dále rozvíjet komunita. Zatím není aplikace k dispozici, v plánu je otevřít zdrojové kódy a zpřístupnit simulátor na Steamu. Každý si bude moct stáhnout zdrojové kódy, nebo za drobný poplatek stáhnout připravenou verzi.
Program je napsaný v Pythonu s pomocí knihovny Qt a využívá nativní grafické prvky operačního systému.
V plánu je přidat simulaci grafikonu a možnost přidat scénáře. Kromě volného ježdění bude možné jezdit podle scénáře a snažit se o co největší přesnost.
Bylo by možné také přidat elektrodispečink, ochranný systém metra a další prvky, které s metrem souvisejí.
Štěpán Bechynský: DIY Wallbox pro PHEV
Volvo XC60 PHEV není čistý elektromobil, ale jde o plug-in hybrid, který je možné dobíjet a má dojezd asi 70 km. Když takové auto máte, je to pěkná hračka, hledáte nabíječky, parkujete v nákupním centru vzadu a podobně.
Nechce se vám ale do auta kupovat drahou elektřinu. Máme na střeše fotovoltaiku a za letního dne mám v jedenáct dopoledne dobitou baterii.
Použitá FVE má výkon 6,75 kWp a baterie mají kapacitu 14,2 kWh. Dům v základním stavu potřebuje jen 300 wattů, mám tedy spoustu elektřiny.
Čínský střídač GodWe nabízí možnost vyčítání dat pomocí IP sítě, existuje k tomu i knihovna v Pythonu. K dispozici je několik desítek parametrů, opravdu hodně podrobných. Data je možné pravidelně číst a zobrazovat si aktuální stav.
Řízení je možné udělat velmi jednoduše pomocí Node-Red, kdy je možné snadno zjistit aktuální výrobu, přičíst spotřebu auta a poté zapnout nebo vypnout nabíjení. Potřeboval jsem nějakou spínanou zásuvku, vybral jsem si jednu v průmyslové kvalitě.
Konkrétně jde o Netio PowerCAble 1Kx, která je testovaná na 16 A při 40 stupních Celsia. Má to velké množství aplikačních rozhraní, kterým to můžete ovládat.
K dispozici je Modbus, MQTT, Telnet, HTTP, SNMP a další. Nejprimitivnější je zavolat URL, kam pošlete on/off.
Zřejmě kvůli spínání nulou nebyla nabíječka spokojená a zhruba v pětině případů padala do chyby. Koupil jsem si za stovku zásuvku s relé, ale mezi tím ženě změnila práci a auto vrátila.
Ondřej Caletka: O elektřině, elektroměrech a trhu v Nizozemsku
Nizozemsko je konstituční monarchie, která má jednu z nejvyšších hustot osídlení, která je asi třikrát vyšší než v Česku. Hustota obyvatel je velmi variabilní, ve městech je hustota obyvatel vysoká, jinde není skoro nic.
V Česku mezi variabilní náklady na elektřinu patří: cena za silovou elektřinu, distribuci elektřiny, daň z elektřiny, systémové služby a zastropované náklady na obnovitelné zdroje. Pokud spotřebujete určité množství elektřiny, už platíte za OZE pevnou částku.
Mezi fixní náklady naopak patří platba za odběrné místo, rezervovanou kapacitu a za činnost operátora trhu.
Specialitou českého systému jsou distribuční sazby, které ovlivňují ceny regulovaných složek a vyžadují instalaci určitých spotřebičů. Typickým příkladem je bojler na ohřev teplé vody.
Další specialitou je dálkové ovládání pomocí HDO, kdy operátor ovládá spotřebiče u vás doma. Přepíná také vysoký a nízký tarif na elektroměru.
HDO nabízí jistou operativnost distributorům sítě, kteří tak mohou regulovat zátěž.
V Nizozemsku se platí variabilní náklady za silovou elektřinu a daň z elektřiny. Ta je asi dvacetkrát vyšší než v Česku, ale obsahuje v sobě všechny další položky.
Fixní náklady jsou také jednodušší, platí se za poskytování elektřiny a za rezervaci kapacity. Pak je tu také sleva na dani z elektřiny, pokud ji používá domácnost.
Připomíná českou slevu na dani a vztahuje se na všechny fixní náklady. Celkové fixní náklady na elektřinu jsou záporné. Když nespotřebujete nic, tak vlastně vyděláváte.
Hranice se pohybuje okolo 50 W, takže to v praxi znamená, že v Nizozemsku zdarma provozujete Wi-Fi routery, noční světýlka, různé stand-by spotřebiče a kohoutky s vařící vodou zvané Quooker. To jsem nikde jinde neviděl, je to malý bojler, kde je voda pod tlakem a jakmile ji vypustíte, začne okamžitě vařit.
Tohle zařízení tedy stále nabízí vařicí vodu, ale má ztráty asi 10 W, které je potřeba neustále doplňovat.
Česká vyhláška 359/2020 sb. určuje různé typy měření pro maloodběratele. Měří se jen činná složka výkonu a buď se data průběžně jednou denně odesílají operátorovi, nebo je třeba ho jednou za rok odečíst. Pokud chcete mít chytrý elektroměr, musíte být malovýrobce, být členem komunitního sdílení nebo počkat do 1. července 2027, kdy by je měli dostat všichni spotřebitelé s roční spotřebou nad 6 MWh.
Chytrý elektroměr měří a zaznamenává výrobu a spotřebu v každé fázi zvlášť. Můžete jednou fází spotřebovávat a dvěma vyrábět a data se ukládají odděleně, to mechanický elektroměr neuměl.
Data se agregují po čtvrt hodině a odesílají se jednou denně nejčastěji pomocí mobilní sítě GPRS, CDMA nebo LTE. Zobrazuje také počítadla pro uživatele, aby simuloval funkci původního elektroměru.
Elektroměr v Nizozemsku může sbírat také data z dalších spotřebičů jako plynoměr, vodoměr nebo měřič tepla. Elektroměr je vždy napájený a může tak být centrálním měřicím bodem odběrového místa.
Komunikace na dálku je realizována pomocí CDMA450 nebo dříve GPRS. Zákon kvůli bezpečnosti zakazuje funkci dálkově ovládaného vypínače.
Starší elektroměry mají funkci vypnutou aktualizací firmwaru, nově vyrobené elektroměry v sobě ani žádný vypínač nemají.
Pro kutily je nejzajímavější rozhraní P1, které musí být uživatelsky přístupné. Je to velmi jednoduchá sériová linka, která každou sekundu vypisuje vnitřní stav elektroměru.
Nabízí neměřené napájení 5 V/250 mA. K dispozici je spotřebovaná elektřina, aktuální spotřeba, napětí na jednotlivých fází, seznam výpadků a podobně. Vše je velmi přesné, spotřeba je měřena na jednotlivý watt.
S chytrým elektroměrem je možné nabídnout takzvané spotové ceny, které odpovídají aktuální situaci na trhu a mění výši částky každou hodinu. Operátor určí ceny s denním předstihem kolem poledne a poté je publikuje.
Pak si přidává pevnou marži dva centy za kWh. Podobné služby existují i v Česku, ale je zakázáno nabízení takových tarifů pro odběrná místa bez průběhového měření.
Data o aktuálních spotových cenách je možné najít v ENTSO-E Transparency platform, což je webová stránka, která zobrazuje spoustu podrobností o sítích a cenách. Nabízí API, které je zdarma a stačí se zaregistrovat.
Můžete tak zkontrolovat svého dodavatele elektřiny, jestli vám účtuje správnou cenu zvýšenou pouze o pevnou marži.
Původní poskytovatel nabízel pevnou cenu 38 centů za kilowatthodinu. Dodavatelé jedou na jistotu a částku nastaví nad spotové ceny.
Podle skutečného měření je téměř pořád spotová cena výrazně níže než je původní fixní částka. Několik hodin v měsíci je cena vyšší, ale po tu dobu prostě nebudete péct a prát.
V Nizozemsku se stále používá saldování výroby a spotřeby elektřiny. Historicky byla povolena výroba elektřiny i odběratelům s analogovým elektroměrem.
Při výrobě se tak jednoduše odečítal stav počítadla. Tato možnost je k dispozici i uživatelům elektronických a chytrých elektroměrů. Distribuční soustava zatím funguje jako baterie s neomezenou kapacitou.
Tato možnost ale brzy skončí.
(Autorem fotografií je Petr Krčmář.)
