Ubuntu – płatne bezpieczeństwo

Ubuntu LTS kojarzy się nam z dystrybucją stabilną i bezpieczną, prawda? Otóż niezupełnie tak jest. Bowiem nie wszystkie pakiety w Ubuntu LTS (np. 20.04 LTS czy 22.04 LTS) otrzymują aktualizacje bezpieczeństwa. Przynajmniej nie za darmo. Od strony technicznej, które pakiety otrzymują aktualizacje (main), a które niekoniecznie (universe) przeczytacie w artykule na nfsec.pl, podobnie jak o genezie szumu wokół Ubuntu i repozytorium ESM (Expanded Security Maintenance).

Zarys sytuacji

Zamiast na stronie technicznej, skupię się na stronie etycznej i prawnej. Sytuacja wygląda bowiem na dość skomplikowaną. Tytułem wprowadzenia niezbędny skrót. Ubuntu w ramach Ubuntu Pro daje między innymi dostęp do repozytorium ESM, które zawiera łatki bezpieczeństwa do tych pakietów z repozytorium universe, do których zostały one przygotowane przez opłaconych przez Ubuntu maintainterów, zamiast przez maintainerów ze społeczności. Osoby fizyczne (personal) mogą bezpłatnie korzystać z Ubuntu Pro na maksymalnie 5 systemach. Natomiast firmy (enterprise) powinny zapłacić za dostęp, albo… nie korzystać z załatanych pakietów. Jest jeszcze trzecia kategoria – edukacja (education, research, and academia). Też powinni kupić, ale dostaną zniżkę w niejawnej wysokości.

Abonament na bezpieczeństwo

Mam mocno mieszane uczucia w stosunku do tego podejścia. Z jednej strony nie ulega wątpliwości, że maintainerzy, którzy wykonali na zlecenie pracę, której nikt nie chciał podjąć się za darmo, powinni otrzymać wynagrodzenie. Z drugiej strony, jest to podcinanie gałęzi, na której się siedzi i z której Ubuntu wyrasta. Bowiem maintainterzy społeczności mogą dojść do wniosku, że nie ma sensu robić za darmo tego, za co inni otrzymują wynagrodzenie. To z czasem może przełożyć się na gorsze wsparcie wolnego oprogramowania, w szczególności dystrybucji opartych o pakiety deb.

Kolejny aspekt to pewnego rodzaju szantaż w stosunku do użytkowników. Niby system i oprogramowanie są za darmo, ale jak chcesz mieć bezpiecznie, to zapłać… Płatne bezpieczeństwo to skomplikowane zagadnienie. Co powiecie na abonament na ABS, poduszki powietrzne czy pasy bezpieczeństwa w aucie? Albo jeszcze lepiej: hamulce w wersji zwykłej i pro, te drugie zapewniające krótszą drogę hamowania? I wszystko to rzecz jasna w formie abonamentu, czyli wszędzie jest zamontowane, ale trzeba zapłacić, by było aktywne.

Opłata za udostępnianie

No i ostatnia sprawa – czy Ubuntu może w ogóle brać pieniądze za udostępnianie oprogramowania na wolnych licencjach? Ograniczę się do licencji GPL. Zarówno wersja druga, jak i trzecia GPL wprost mówi, że akt udostępnienia oprogramowania może być zarówno darmowy, jak i płatny. Czyli Ubuntu może żądać wynagrodzenia za udostępnienie oprogramowania.

Jednak jednocześnie GPL zabrania zmiany licencji[1], a licencjonobiorca nabywa wszystkie prawa. W szczególności prawo do dalszej dystrybucji. Czyli czy dowolna osoba może skorzystać z Ubuntu Pro w wersji personal, pobrać z repozytorium ESM pakiety lub kod źródłowy i udostępnić je na swoim serwerze każdemu chętnemu? IANAL, ale wygląda na to, że tak. Przynajmniej te pakiety/patche wydane na licencji GPL.

O sprawie zaczęło się robić głośno dopiero teraz i sam jestem ciekaw, czy jakoś bardziej się to rozwinie i jak się ostatecznie skończy. Trzeba pamiętać, że Ubuntu Pro to znacznie więcej, niż tylko dostęp do załatanych pakietów z repozytorium universe w ramach ESM. To także możliwość aktualizacji kernela bez konieczności restartu systemu, support 24/7. Być może lepszą strategią dla Canonical byłoby udostępnienie patchy społeczności za darmo? Tym bardziej, że z prawnego punktu widzenia raczej są na przegranej pozycji, przynajmniej w kontekście licencji GPL.

[1] Pomijam tu przypadki oprogramowania wydawanego równolegle na kilku licencjach. Wówczas można wybrać, którą licencję się wybrało i modyfikować tylko kod na tej wybranej, dystrybuując go zgodnie z jej – i tylko jej – postanowieniami.

NataLIE

Głośno w sieci jest o filmie BOLLYWOODZKIE ZERO: NATALIA JANOSZEK. THE END[1]. Obejrzałem i mam parę przemyśleń.

Przede wszystkim zachęcę do samodzielnego obejrzenia filmu. Jest bardzo długi – niemal trzy godziny – ale mimo wszystko warto. Mimo wszystko, bo długość filmu uważam za jedną z większych wad. Pewnie łatwo dałoby się go istotnie skrócić, ograniczając się do przedstawienia faktów, rezygnując z reakcji autora, pytań retorycznych. Mam wrażenie, że jednak przede wszystkim za rozwleczenie odpowiadają powtórzenia. Powtórzenia pytań retorycznych, zestawień sprzecznych wypowiedzi. Zwłaszcza te ostatnie mnie w pewny momencie zirytowały, po pokazać raz – jasne, dwa razy – niech będzie, trzy – przerysowany środek stylistyczny. A było więcej. Niemniej, mimo wad, uważam, że warto.

Reportaż pokazuje, jak za pomocą kłamstw, a przede wszystkim odpowiedniego przedstawiania faktów, można zmanipulować ludzi. Czy może bardziej najpierw media, które zmanipulują ludzi. Mechanizm wydaje się prosty – zaistnieć gdziekolwiek, kolejne media podchwytują i dodają nieco od siebie. Zapewne w imię lepszej klikalności albo oglądalności. Nie mówimy bowiem o tabloidach, ale o mainstreamowych mediach.

Mechanizm jest prosty i stosowany w mediach cały czas. Pokazanie czegoś wraz z odpowiednią narracją. Nawet niekoniecznie totalnej fikcji. Bo czy zdobycie tytułu miss czegoś tam na jakimś konkursie[2], a potem niedopowiadanie, że chodziło o coś tam, więc zostaje sama miss, co sugeruje wygranie konkursu, to fikcja? Albo czy mówienie, że film miał premierę na konkursie w Cannes i niedopowiadanie, że chodzi nie o ten konkurs, to fikcja? Albo czy mówienie mój film o produkcji, w której na ekranie jest się kilka sekund to fikcja?

To, co jednak zaskakuje, to łatwość nabrania(?) mainstreamowych mediów. Bo między „aktorką hollywoodzką” a paroma sekundami w jednym filmie jest jakby różnica. I wypadało by jednak wiedzieć, z kim się rozmawia. No chyba, że ważne są tylko słupki. W tym przypadku – oglądalności. Rozmowa odbyta, program wyemitowany, następny proszę.

Co zabawne, Krzysztof Stanowski w swoim filmie także korzysta – świadomie lub nie – z podobnych manipulatorskich metod. Bo „zapytam 100 Hindusów, jeśli choć jeden rozpozna Natlię, to płacę 1000 zł” i „dowód” w postaci fragmentów w filmie jest przecież idealną do zmanipulowania metodą. Można pokazać 100 odpowiadających, ale to nic nie mówi o ilości zapytanych. Niewygodne odpowiedzi można wyciąć i pokazać, co się chce. Dodając wygodną interpretację lub pozostawiając (sugerując?) ją odbiorcy.

Marcin Prokop w usuniętym wpisie na Instagramie próbował usprawiedliwiać brak fact checkingu potrzebą sztabu ludzi. Próba usprawiedliwienia to pewnie za mocno powiedziane, bardziej chodzi o zabieg erytyczny.

Tu przypomniało mi się, jak w aucie włączyłem Trójkę. Tę „nową”. Włączyłem, bo niespecjalnie coś innego odbierało czy dawało się słuchać. Audycję prowadził Wojciech Cejrowski i prezentował muzykę zza oceanu jakoś tam powiązaną tematycznie. Między utworami gdakał jakieś banały o prezentowanych utworach. W pewnym momencie zapowiedział utwór jakiegoś wykonawcy, który mieszka w jakimś mieście. I tu nastąpiło coś, co mnie zmroziło. Dodał bowiem coś w stylu – cytat niedokładny – „albo mieszkał, bo nie wiem czy żyje”. Autor audycji muzycznej nie wie, czy prezentowany wykonawca żyje – lekki szok. I do tego porusza ten temat, w sposób niewymuszony, afiszując się ignoranacją – brak słów.

Wracając do sztabu ludzi i fact checkingu. Nie potrzeba sztabu. Wystarczyłoby, żeby rozmowa nie była pusta, o niczym, tylko miała jakąś treść. Zerknięcie na IMDB też może wzbudzić podejrzenia. Bo jeśli „gwiazda” nie „gwiazduje” (starring), to wiedz, że coś się dzieje.

Dlatego reportaż jest dla mnie w równej mierze opisem przypadku Natalii Janoszek, jak i pokazaniem niekompetencji mediów i fikcji, którą kreują na prawdę. I ta wykreowana prawda staje się rzeczywistością. Na przykład, gdy celebryta zaczyna interesować się -jak w tym przypadku – polityką.

UPDATE: Komentarz autora, który zdecydowanie trzeba przeczytać.

UPDATE 2: Zrobiło się jeszcze ciekawiej w kwestii standardów zawodowych i moralnych. Autor filmu „zapomniał” poprosić Edytę Bartosiewicz o zgodę na wykorzystanie utworu Skłamałam. Nie było jej też wymienionej w credits. Utwór ten jest jakby motywem przewodnim. Czy też bardziej – był, bo podobno film – po zwróceniu uwagi – miał zostać z niego wykastrowany. Zamiast przeprosić i zapłacić oczywiście.

[1] Określenie „film” nie jest najlepsze, ale takie utknęło mi w głowie i takiego chyba używa autor. Bardziej pasuje „reportaż”. Pisownia tytułu oryginalna, znaczy copy & paste z YouTube.
[2] Mam wrażenie, że te konkursy istnieją głównie po to, żeby realizować potrzebę zaistnienia i z niektórych nikt nie wychodzi bez tytułu.

Jak robić lepsze spotkania w Google Calendar?

Przeczytałem wpis o tym, jak telekonferencje zmieniają nasz sposób pracy. I jak jestem zdania, że praca zdalna niesie wiele korzyści, tak gdybym miał wskazywać wady, to ryzyko utraty przerw od komputera wskazałbym jako jedną z głównych. Można je zminimalizować planując skrócone spotkania.

W stacjonarnym modelu pracy okazji na oderwanie się od komputera jest wiele. Wyjście po kawę potrafi skończyć się krótką rozmową w kuchni, spotkania także są przerwą od pracy na komputerze. Przynajmniej dla większości uczestników i przez większość czasu. Czasem któraś osoba obecna na spotkaniu notuje na komputerze, albo ktoś musi sięgnąć po dane.

Dla przypomnienia: zgodnie z prawem pracy, pracownikowi przysługuje 5 minut przerwy od pracy na komputerze na każdą godzinę pracy. Nie musi być to przerwa od pracy w ogóle, ale przy pracy zdalnej raczej tak będzie, bo albo pracujemy na komputerze, albo jesteśmy na spotkaniu… na komputerze. O ile będziemy w stanie zrobić przerwę, a nie będziemy właśnie kończyć jedno spotkanie i zaczynać kolejne. Domyślnie bowiem Google Calendar ustawia koniec i początek spotkań co równe 30 minut.

Jak ustawić skrócone spotkania w Google Calendar?

Na szczęście można to zmienić. Google Calendar posiada bowiem wbudowaną opcję, która umożliwia domyślne ustawianie krótszych spotkań. Krótszych, czyli spotkań nie kończących się o pełnej godzinie.

W wersji angielskiej Google Calendar krótsze spotkania ustawimy poprzez
Settings -> Event settings -> Speedy meetings

Natomiast w polskiej wersji Kalendarza Google będzie to
Ustawienia -> Ustawienia wydarzeń -> Szybkie spotkania

Następnie możemy wybrać łączny czas trwania spotkań w trakcie każdej godziny.

Wady rozwiązania

Rozwiązanie nie jest idealne. Po pierwsze, mamy w ten sposób wpływ tylko na spotkania organizowane przez siebie, nie wszystkie, w których uczestniczymy. Przydałaby się choćby sugestia, że zapraszane osoby korzystają z trybu skróconych spotkań.

Kolejna wada to brak możliwości wybrania 55 minut spotkań, czyli wartości odpowiadającej wprost prawu pracy, w ciągu godziny. Dostępne są jedynie predefiniowane wartości. Najbliższa polskiemu prawu pracy jest wartość 50 minut. Daje ona co prawda więcej, bo 10 minut wolnego od spotkań na godzinę, ale nie jest to duża różnica. Dodatkowo świetnie sprawdza się przy spotkaniach półgodzinnych.

Osobiście za największą wadę uważam brak możliwości wyboru, czy spotkanie powinno być skracane z dołu, czy z góry. System przewiduje tylko wcześniejsze kończenie spotkań. Tymczasem bardziej naturalne wydaje się ustawienie późniejszego ich rozpoczęcia.