НУЛТИ ДАН МЕЂУ РАЧУНАРИМА ИЛИ НАРЕДБА 66: Шта се десило 9. децембра 2021. године

Владимир Димитријевић (Извор: Снимак екрана)

БИЛО У „РАТОВИМА ЗВЕЗДА“?

Ко год је гледао циклус филмова, серија и цртића о „звезданим ратовима“ ( Star Wars ), зна да је челник легалне власти у галактичкој Републици, сенатор, па канцелар, Палпатин, који је, наводно, оличење реда, издао команду да се џедаји, племенити витезови у служби космичке равнотеже и саме Републике, побију да би он постао свемоћни Император, и Републику претворио у Империју. Он је Сидијус, господар зла, али о томе нико ништа не зна, осим његових најближих сарадника. Како су Сидијус и његови побили скоро све џедаје? Тако што су, правећи клонове – војнике у служби Републике, у сваког од њих уграђивали тајну команду 66, која је, кад се покрене (а није покренута одмах, него после дуге и дуге сарадње клонова са џедајима у борби против сепаратиста ), наређивала сваком клону да убија своје доскорашње саборце са светлосним мачевима.(1)

И покољ се десио, а Сидијус је постао император.

КАКВЕ ОВО  ВЕЗЕ ИМА СА НАМА?

Наравно да смо увек знали да је прва веза између два рачунара, која је основа интернета, успостављена између два компјутера америчке војске пре пола века. И наравно да смо увек слутили да ће једног дана наступити нека „наредба 66“, која ће процесе контролисаног хаоса ( „ред из хаоса“, пише на масонској застави 33. степена ) покренути. Јер, без таквог хаоса је немогућ „Велики ресет“ или Нови светски поредак. Ко је читао Едварда Сноудена, или макар гледао филм Оливера Стоуна о њему, зна какве су могућности искључивања много чега на планети кликом из једног центра – рецимо, NSA (Национална агенција за безбедност, за коју је Сноуден радио). Да ли неко мисли да је Русија случајно имала војне вежбе преласка са светске мреже на своју, од осталих изоловану, мрежу?

Основе за контролисани хаос путем дигиталног удара одавно постоје.
Ово је доба надзорног капитализма, зар не?

ДОБА НАДЗОРНОГ КАПИТАЛИЗМА

Марко Танасковић је о томе писао:“Савремени Прометеји информатичке слободе попут Едварда Сноудена и Џулијана Асанжа открили су и пружили уверљиве доказе да америчке обавештајне службе, уз прећутну сагласност и сарадњу технолошких компанија, шпијунирају практично читаву планету. У САД је однедавно усвојен и званичан теоријски назив за ову врсту новог друштвено-економског и политичког феномена, а то је надзорни капитализам (surveillance capitalism).

Аутор ове синтагме је Шошана Зубоф, професорка социјалне психологије са Харварда, која се дуго времена бави истраживањем и анализом утицаја технологије на друштво. У својој инспиративној студији Доба надзорног капитализма, коју неки попут списатељице Зејди Смит називају „најважнијом књигом 21. века“ и коју је недавно код нас објавила издавачка кућа „Клио“, Зубоф се бави деконструкцијом узрочно-последичних веза и друштвених актера одговорних за настанак овог новог еволутивног облика капитализма, који је заснован на тековинама информатичке револуције и у коме су лични подаци корисника постали најскупља роба.

Она идентификује велике технолошке компаније Гугл и Фејсбук као пионире овог модела друштвеног уређења, а надзорни капитализам види као „нови економски поредак који третира људско искуство искључиво као бесплатну сировину за обраду, кроз скривене комерцијалне праксе екстракције, предвиђања и трговине“. То је паразитска економска логика у којој је производња роба и услуга потчињена новој глобалној архитектури бихевиоралне анализе и модификације. Дакле, злоупотреба приватних података корисника као машинерија за прављење новца од секундарног је значаја у односу на прецизно таргетиране психолошке процесе и технике захваљујући којима је могуће не само ући у туђе мисли, већ их и потпуно трансформисати.    Управо у његовом инвазивном деловању на људску психу, коју настоји да обликује по својој вољи и потребама а не само да је предвиди зарад остваривања профита, Зубоф види највећу опасност од надзорног капитализма, на сличан на начин на који је индустријски капитализам 19. и 20. века представљао претњу за очување животне средине.

Он је, по ауторкином суду, дубоко антидемократска и антиегалитарна сила, јер настоји да заобиђе све државне институције, друштвене уговоре и уставне заштитне механизме, дајући истовремено готово неограничену моћ наизглед беневолентним фигурама милијардера из Силицијумске долине, попут Марка Закерберга из Фејсбука, који никоме не морају да полажу рачуне за своје поступке./…/“Све што је потребно садржано је у умирујућим порукама и емотиконима Великог другог; у тискању других, али не у паници него у неодољивој тежњи да уђу у слив, у вашој мајици начичканој сензорима, у нежном гласу виртуелног асистента Сири који одговара на ваша питања, у телевизору који вас чује, у кући која вас познаје, у  кревету који жељно ишчекује ваш шапат, у књизи која вас чита…“, пише Зубофова у закључку своје студије.“(2)

А онда…

СВЕТСКИ ДРЖАВНИ УДАР

Сад већ далеке 1998, објавио сам, у „Светигори“, зборник „Царство Божије и царство празнине“, где сам, не на основу своје оскудне памети, него на основу читања озбиљних књига, најави могућност контролисаног хаоса. То јест, нисам је најавио ја, него неко од делатника глобалног преврата из Светског економског форума луциферијанаца маскираних у капиталисте. Да цитирам оновремену причу:“Морис Стронг, један од најзначајнијих делатника Светског привредног форума, такође је ватрени следбеник Њу Ејџа. Сматра да му је унук инкарнација средњовековног будистичког ламе са Тибета… Као следбеник култа Шри Оробинда, који је тврдио да је 666 број „божанских моћи“, он је на свом ранчу Бака Гранде у Колораду подигао храм сунчаном богу. У разговору са Данијелом Вудом, новинарем канадског листа „West“ Стронг је 1990. године изјавио да би волео да напише футуристички роман о наредном десетлећу. Тема романа би била глобални привредни колапс који би убрзао уједињење човечанства у једну државу, а који би био намерно изазван по договору најмоћнијих светских бизнисменасмена. Сваке године у Давосу се састаје Светски привредни форум. Дакле, ово швајцарско место би послужило као место радње романа. Стронг је Вуду саоштио: „Шта ако се мања група светских вођа удружи у тајно друштво да би изазвала колапс светске привреде? Фебруар је, они су у Давосу. То нису терористи. То су светски вођи“. То би, у ствари, био глобални државни удар. Очито да Стронг ово није изговорио само као потенцијални писац футуристичког романа.“(3)

Да поновим – ово је писано 1998. године.

А сада, изгледа, почиње.

Као „Нулти дан“, рецимо. (4)

О ЧЕМУ ЈЕ РЕЧ?

Ствар је више него озбиљна.

Информатичар Десимир Ћировић је, на свом блогу, „Системија“ ( Систем и ја ) објавио текст „Трансер дигиталног блама“ који преносим у целости, без скраћивања. Читалац ће схватити зашто.

Десет дана чекам да се запали интернет и ништа. Још два чеках да га барем угасе и опет ништа. У међувремену прослaвих  св. Николу молећи га да спаси душе наше, па ако баш нема ко други ево ја ћу:                          

Свако ко се  разуме у основе програмерање, или је на нивоу приправника за безбедност софтвера, или је барем гуглао хакерске појмове упознат је са чињеницом да се 9.12.2021. узима као Zero-Day у информационим технологијма. Међутим, запањујуће  је да се о томе још увек не прича на свим медијима, у дневној штампи, међу лаицима и  изненађујуће је да нема панике код свих који користе било коју интернет услугу од плаћања рачуна, преко слања порука па до заказивња термина за пасош или било ког вида дигиталне ауторизације какав је, на пример, провера ковид сертификата. Последице су могле бити ( или су можда ) катастрофалне по сваког појединца. Да прецизирам – не мислим на онај  виртуелни свет, већ на (још увек) овај стварни. Елем, тај дан је дијагностификован епохални збир пропуста у информационим тахнологијама који су могли да нам салдо на рачунима у банкама сведу на нулу (мислим на оне који нису у дозвољеном минусу), да нам на јавни увид доставе тајне податке још тајнијих служби, презентирају технологије за израду атомске бомбе, свим контактима проследе сву нашу поверљиву коренсподенцију, да нам униште, замене или украду дигиталне идентитете. Нећу даље, ваљда сам већ довољно јасан, а што је још горе и потпуно прецизан и врло опрезан са употребом термина како бих избегао очито непотребан додатни сензационализам.

Пропуст о коме је реч је заведен као  CVE-2021-44228, а познат као log4shell  и сврстан је у најтежи могући ниво безбедоносног пропуста која означава ону ситуацију када неко може да у потпуности овлада нападнутом инфраструктуром  било приступом самом серверу, његовим подацима, било извршавањем било ког програма у било ком режиму,  а са могућношћу да о таквом систему  има потпуна сазнања. Ја немам довољно капацитета да сагледам целу слику, мислим да нема ни један појединац, а и крајње би неозбиљно било да се било који стручњак информационих технологија сада бави пропустима за које и сам може да сноси одговорност. Мислим да се комплетна струка довољно компромитовала, па да ни највећи експерти из ове области немају право да се овим баве, а што је најгоре једини су  у овом тренутку заинтересовани. Проблем је много изнад  правне одговорности  јер је по том питању законодавство нејасно, тј. комплетни постојећи и доступан правни сиистем није у стању да третира ову ситуацију.  Наравно, свестан сам да информатичари  и не могу бити одговорни за широке друштвене односе којима се силом прилика, а махом површно, баве, нити желим да нападнем своје колеге већ желим да укажем на трагичност идолопоклоничког третирања технологије и опасност од успоставе вештачког система где софтверске технократе почињу да се баве и бивају одговорни за ствари, појаве, идеје и ситуације који свакако превазилазе њихове могућности.  Штавише, похвалио бих реакцију доброг дела струке која је пре свега морално исправо и потуно стручно реаговала на накнадну свест о овом пропусту. Програмери који су открили овај пропуст су регуларно и јавно објавили проблем, непрофитна организација која се бавила одржавањем верзије компромитоване софтверске библиотеке брзо је изашла са исправком. Толико од програмера. Зар то није довољно  када се испоствља да и сами нису свесни величине пропуста? Или су, можда, заузели позицију да се на евентуалном судском процесу ваде на неурачунљивост? 

Оно што је запрепашћујуће је да је у периоду дужем од пет година било могуће искористити ове пропусте и појављује се оправдани страх од могуће злоупотребе, а што је још горе и несигурност  да још увек постоје слични или пак потуно различити пропусти. Према првим грубим проценама око 10 милиона програмера је саучесник у овом чину без предомишљаја, негде око 2 милиона апликација је проблематично и милијарду уређаја је потенционално могло бити компромитовано. Како? Мислим да би у овом случају свака теорија завере била олакшавајућа околност, повољнија и разумљивија верзија, јер се испоставља да је проблем већи због евидентног недостатка колективне свести, јасне поделе одговорности, изостанка критичког става и неоправданог очекивања да неко други боље ради посао од онога који је за то плаћен. Конкретно  – велики проценат програмера је користио јавно доступну бесплатну библиотеку Apache log4j2  за надгледање сопствених апликација. Испоставило се да та библиотека, која је неформални стандард у том домену, може да користи механизам именовања

JNDI lookup који дозвољава инстанцирање било које софтверске компоненте па самим тим и програма, а да ствар постане кобна такав програм може бити инсталиран на било ком рачунару користећи удаљени приступ RMI или LDAP протокол. (Једноставније од овога не може да се објасни). Тако компромитовани сервер, на сопственом хардверу, користећи сопствени оперативни систем и све своје податке може да ради било шта у име онога ко га је заузео. Тиме, било ко коме је додељен приступ као обичном крајњем кориснику може да у потпуности овлада овлашћенима као да је његов најпоузанији администратор. На пример, уместо да се на фејсбук улогује као корисник на обрасцу за логовање могла се унети позната и јавно документована команда којом ће сервер дозволити да буде запоседнут апликацијом која се покреће са личног рачунара и тако да се постане администратор Фејсбуковог сервера на коме се налазе сви подаци о свим његовим корисницима. Исто тако и за банку, пословну апликацију, владину агенцију, научну лабораторију, здравствену установу, фабрику лекова, вакцина ….

На први поглед ово је велики блам, али тај осећај се врло брзо прелази или у параноју или комлетно порицање  или барем збијање шала на рачун интелигенције. Програмери к`о програмери, они су се прво трудили да објасне шта се десило, без икакве жеље да анализирају  последице. Одмах се појавило брдо експерата  који брзо куцају по тастатури, користе терминеле, стурчне термине, затамњен мод и појмове ( „познaју довољно ефектних фраза“) да зесене простоту чињенице да смо толико оманули.  Мени је нејефектије било објашњењe чoвекa који себе представља као познатог хакера. Он себи не може да опрости чињеницу да није увидео толико очигледан пропуст иако тврди да се одувек зна колико су програмери површни, плитки и необучени да сагледају ширу слику и као такви стално подложни томе да праве озбиљне пропусте! Остаје невероватно како су толике владине безбедоносне агенције, толики антивирусни програми, експерти за безбедност остали слепи за овакву могућност. Сигурно су хиљаде милијарди долара до сада уложене у овим областима,  а испоставило се да постоји пропуст кога су могли да злоупотребе милиони корисника јавно доступног знања.  На почетку је  био мали рат пребацивања одговорности ко је то први видео јер постоји званичан податак да су петнаестак дана раније програмери кинеске компаније у чијем је власништву сајт Али-Баба бавили тим пропустима, но све се стишало када се испоставило да постоји јавно доступан траг да су они овај пропуст тада и пријавили. Неизбежно је питање шта се дешавало у том периоду, како то да нико није одмах реаговао већ се узбуна дигла тек 9.12.2021. Можда је нејефектинији тренутак када се на једној конференцији из 2016. на којој се презентира   једна од тих технологија чује питање из публике о могућности злоупотребе. Програмер самоуверено одговара да  нико норамалан то не би уградио у своју апликацију, а испоставља се да истовремено фирма за коју ради користи такву компоненту. Било је десетине хиљада прегледа те презентације само на једном јавном каналу и нико ништа!?    Ако је то било могуће, све је могуће! У преводу и опет: ја не умем да изведем било какав  ваљан закључак чиме завршавам моју мисију да помогнем у обавештавању како би се пронашле компетентне и кредибилне институције које би требало да су у стању да поставе дијагнозу и понуде некакво решење за овакве ситуације, јер смо сада сви сигурни да ће се овакви сценарији понављати.“(5)

Нарочито ако је у питању „ред из хаоса“. Прво хаос, па ред. Њихов, не наш, наравно.

УМЕСТО ЗАКЉУЧКА

Смисао овог мог текста није, заиста није, решење загонетке зване „Нулти дан“. Смисао овог текста је да подстакнем људе на размишљање о томе шта ѕсе десило у дигиталном свету, и то на основу доступног нам материјала. Мени се чини ( дај Боже да нисам у праву! ) – контролисани хаос је близу, и сваког тренутка команда број 66 може бити дата.

Ко су клонови, ко џедаји, а ко Сидијус видеће се. Али је најважније не бити глуп као Пинокио у Земљи дембелији, где је пушио, пио, коцкао се и тукао са неваљалим дечацима све док се није претворио у магарца са перспективом вечног рада за Злог Газду.

И да не заборавим: почетком године 2022, Светског економског форума у Давосу неће бити. Кажу – због короне омикроне.(7)                                             У Глазгову је, у новембру 2021, због климатских промена, одржан скуп светских лидера(6), и није их мучила корона, али, ето, неће бити великих ресеташа у Давосу. Што ли? Да се не спрема нешто very, very big, а да ми то не знамо? И да „нулти дан“ није био нека вежбица за ешто много веће?

Рецимо, „колапс светске привреде“, о коме је, давно, давно, говорио Морис Стронг.


УПУТНИЦЕ ( 22.12.2021. године )
1.    https://starwars.fandom.com/hr/wiki/Zapovijed_66
2.    http://www.arheofutura.rs/najnovije/marko-tanaskovic-bekstvo-iz-digitalnog-logora/
3.    https://svetosavlje.org/carstvo-bozije-i-carstvo-praznine-pravoslavlje-i-duhovnost-nju-ejdza-pravoslavlje-i-sekte-knjiga-vii/35/
4.    https://businessinsights.bitdefender.com/technical-advisory-zero-day-critical-vulnerability-in-log4j2-exploited-in-the-wild; www.zerodayinitiative.com/about/;https://arstechnica.com/information-technology/2021/12/minecraft-and-other-apps-face-serious-threat-from-new-code-execution-bug/; portswigger.net/daily-swig/zero-day�
5.    https://sistemija.blogspot.com/
6.    https://www.danas.rs/svet/u-glazgovu-i-ostatku-sveta-danas-skupovi-za-klimu/
7.    https://time.rs/c/c8468cbeff/zbog-omikrona-odlozen-davos-svetski-ekonomski-forum-se-pomera-do-pocetka-leta-trenutni-uslovi-teski-za-odrzavanje-skupa.html

Текст је писан искључиво за портал Правда, преношење је забрањено без сагласности редакције. 

Правда
?>