Ubuntu – płatne bezpieczeństwo

Ubuntu LTS kojarzy się nam z dystrybucją stabilną i bezpieczną, prawda? Otóż niezupełnie tak jest. Bowiem nie wszystkie pakiety w Ubuntu LTS (np. 20.04 LTS czy 22.04 LTS) otrzymują aktualizacje bezpieczeństwa. Przynajmniej nie za darmo. Od strony technicznej, które pakiety otrzymują aktualizacje (main), a które niekoniecznie (universe) przeczytacie w artykule na nfsec.pl, podobnie jak o genezie szumu wokół Ubuntu i repozytorium ESM (Expanded Security Maintenance).

Zarys sytuacji

Zamiast na stronie technicznej, skupię się na stronie etycznej i prawnej. Sytuacja wygląda bowiem na dość skomplikowaną. Tytułem wprowadzenia niezbędny skrót. Ubuntu w ramach Ubuntu Pro daje między innymi dostęp do repozytorium ESM, które zawiera łatki bezpieczeństwa do tych pakietów z repozytorium universe, do których zostały one przygotowane przez opłaconych przez Ubuntu maintainterów, zamiast przez maintainerów ze społeczności. Osoby fizyczne (personal) mogą bezpłatnie korzystać z Ubuntu Pro na maksymalnie 5 systemach. Natomiast firmy (enterprise) powinny zapłacić za dostęp, albo… nie korzystać z załatanych pakietów. Jest jeszcze trzecia kategoria – edukacja (education, research, and academia). Też powinni kupić, ale dostaną zniżkę w niejawnej wysokości.

Abonament na bezpieczeństwo

Mam mocno mieszane uczucia w stosunku do tego podejścia. Z jednej strony nie ulega wątpliwości, że maintainerzy, którzy wykonali na zlecenie pracę, której nikt nie chciał podjąć się za darmo, powinni otrzymać wynagrodzenie. Z drugiej strony, jest to podcinanie gałęzi, na której się siedzi i z której Ubuntu wyrasta. Bowiem maintainterzy społeczności mogą dojść do wniosku, że nie ma sensu robić za darmo tego, za co inni otrzymują wynagrodzenie. To z czasem może przełożyć się na gorsze wsparcie wolnego oprogramowania, w szczególności dystrybucji opartych o pakiety deb.

Kolejny aspekt to pewnego rodzaju szantaż w stosunku do użytkowników. Niby system i oprogramowanie są za darmo, ale jak chcesz mieć bezpiecznie, to zapłać… Płatne bezpieczeństwo to skomplikowane zagadnienie. Co powiecie na abonament na ABS, poduszki powietrzne czy pasy bezpieczeństwa w aucie? Albo jeszcze lepiej: hamulce w wersji zwykłej i pro, te drugie zapewniające krótszą drogę hamowania? I wszystko to rzecz jasna w formie abonamentu, czyli wszędzie jest zamontowane, ale trzeba zapłacić, by było aktywne.

Opłata za udostępnianie

No i ostatnia sprawa – czy Ubuntu może w ogóle brać pieniądze za udostępnianie oprogramowania na wolnych licencjach? Ograniczę się do licencji GPL. Zarówno wersja druga, jak i trzecia GPL wprost mówi, że akt udostępnienia oprogramowania może być zarówno darmowy, jak i płatny. Czyli Ubuntu może żądać wynagrodzenia za udostępnienie oprogramowania.

Jednak jednocześnie GPL zabrania zmiany licencji[1], a licencjonobiorca nabywa wszystkie prawa. W szczególności prawo do dalszej dystrybucji. Czyli czy dowolna osoba może skorzystać z Ubuntu Pro w wersji personal, pobrać z repozytorium ESM pakiety lub kod źródłowy i udostępnić je na swoim serwerze każdemu chętnemu? IANAL, ale wygląda na to, że tak. Przynajmniej te pakiety/patche wydane na licencji GPL.

O sprawie zaczęło się robić głośno dopiero teraz i sam jestem ciekaw, czy jakoś bardziej się to rozwinie i jak się ostatecznie skończy. Trzeba pamiętać, że Ubuntu Pro to znacznie więcej, niż tylko dostęp do załatanych pakietów z repozytorium universe w ramach ESM. To także możliwość aktualizacji kernela bez konieczności restartu systemu, support 24/7. Być może lepszą strategią dla Canonical byłoby udostępnienie patchy społeczności za darmo? Tym bardziej, że z prawnego punktu widzenia raczej są na przegranej pozycji, przynajmniej w kontekście licencji GPL.

[1] Pomijam tu przypadki oprogramowania wydawanego równolegle na kilku licencjach. Wówczas można wybrać, którą licencję się wybrało i modyfikować tylko kod na tej wybranej, dystrybuując go zgodnie z jej – i tylko jej – postanowieniami.

Instalacja drukarki HP DeskJet 920c na Linuksie

Zauważyłem skandaliczne zaniedbanie: nie mam żadnego wpisu o Linuksie i drukarkach na blogu. Jest jeden jedyny ślad w postaci opisu zużycia prądu przez HP DeskJet 854c na eksperymentalnym blogu wattmeter. A przecież drukarki to taki wdzięczny temat. Można pisać tomy o praktykach rynkowych producentów, czyli dymaniu konsumentów, o wolności, o ekologii… Last but not least drukarka miała ważny wkład w powstanie wolnego oprogramowania. Przy okazji, jeśli ktoś nie czytał Free as in Freedom, to polecam, jest dostępne za darmo.

Tym razem jednak będzie nieco mniej wodolejstwa, a więcej techniki. Nowoczesny sprzęt nieco odmówił posłuszeństwa i musiałem wrócić do korzeni, czyli tytułowej drukarki. W dodatku instalując ją na nowym sprzęcie. Instalacja drukarki na Linuksie jest prosta, ale system działa latami bez reinstalacji, więc stwierdziłem, że po prostu nie pamiętam jak to zrobić. Świetny pretekst do zrobienia wpisu.

HP deskjet 920c

Źródło: https://www.recycledgoods.com/

O DeskJet 920c słów parę

HP DeskJet 920c to stara drukarka atramentowa. Ma te same kartridże co 854c, ze zintegrowanymi głowicami, co przeważyło o jej przyjęciu. Trafiła do mnie bowiem jako sprzęt przestarzały moralnie. Ot, kiedyś ktoś w firmie kupił nowy, lepszy sprzęt i oddawał stary. Tymczasem ja drukuję niewiele, a wieki temu nauczyłem się szybko i skutecznie napełniać kolor czarny w tych kartridżach i od tej pory jestem wierny HP. Tym bardziej, że tolerancja na różne tusze uzupełniające też jest spora. Co prawda staram się trzymać w miarę możliwości przeznaczonych do tego modelu lub linii, ale różnie z tym bywało. A drukuje zawsze dobrze, cokolwiek wleję.

Kolor niby napełnia się analogicznie, ale wychodziło mi to gorzej i drukowało zawsze nieidealnie – jakieś przerwy, paski itp. Może mniej używane i głowica zaschła? W każdym razie dwa czy trzy razy podchodziłem do tematu i mimo różnych tricków, które działały dla tuszu czarnego, nigdy nie było dobrze. Ponieważ niespecjalnie potrzebowałem koloru, zniechęciłem się i zaprzestałem dalszych prób.

Podłączenie i instalacja

Instalacja przeprowadzona została na Debianie Bullseye, ale z tego co pamiętam wcześniej wyglądała analogicznie.

Po podłączeniu drukarki lsusb pokazuje:

Bus 003 Device 006: ID 03f0:1504 HP, Inc DeskJet 920c

natomiast dmesg:

[ 165.918646] usb 3-1.4: new full-speed USB device number 6 using ehci-pci
[ 166.079696] usb 3-1.4: New USB device found, idVendor=03f0, idProduct=1504, bcdDevice= 1.00
[ 166.079706] usb 3-1.4: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[ 166.079712] usb 3-1.4: Product: DeskJet 920C
[ 166.079715] usb 3-1.4: Manufacturer: Hewlett-Packard
[ 166.079719] usb 3-1.4: SerialNumber: CN1596C025BI
[ 166.111410] usblp 3-1.4:1.0: usblp1: USB Bidirectional printer dev 6 if 0 alt 0 proto 2 vid 0x03F0 pid 0x1504

Najpierw instalujemy pakiety, a w zasadzie pakiet. CUPS zostanie doinstalowany w ramach spełniania zależności.

apt install hplip

Następnie dodajemy wybranego użytkownika USER do grupy z uprawnieniami administracyjnymi do drukarki.

adduser USER lpadmin

Resztę można wyklikać. I tak jest najłatwiej. Aby dostać się do interfejsu zarządzania CUPS, w przeglądarce wchodzimy na http://localhost:631 Przechodzimy do administration, wybieramy add printer. Uwierzytelniamy się jako użytkownik, któremu wcześniej przyznaliśmy dostęp. I działamy, czyli w zasadzie klikamy continue. Seria zrzutów ekranu poniżej.

Wybieramy lokalną drukarkę:

CUPS wybór drukarki HP DeskJet 920c

Ustawiamy jej nazwę:

CUPS - nadanie nazwy drukarki

Jeśli chcemy, możemy także w tym miejscu ustawić udostępnianie drukarki.
Następnie wybieramy sterownik drukarki:

CUPS - wybór sterownika

Nie wiem, czemu pokazał tyle sterowników. Wybrałem pierwszy z brzegu.
Na koniec ustawiamy domyślne ustawienia drukowania:

CUPS - wybór domyślnych ustawień drukowania

I to tyle, jeśli chodzi o instalację HP DeskJet 920c na Linuksie. Od tej pory możemy korzystać z drukarki.

Apple skanuje zdjęcia

Przez sieć przetacza się fala komentarzy dotyczących wprowadzanego przez Apple skanowania zdjęć. Dotyczą one głównie zagadnień technicznych, typu czy hashe będą miały kolizje[1], czy będą false positive’y[2] albo kiedy będzie miało miejsce skanowanie zdjęcia. Nieliczne komentarze poruszają możliwość innego niż deklarowana wykorzystania rozpoznawania zawartości zdjęć.

Wydaje mi się, że większość komentarzy pomija sedno. Pod pozorem walki z pedofilią mamy bowiem do czynienia z udostępnieniem, prywatnych dokumentów do analizy firmie trzeciej lub służbom. Bez wymaganej dotychczas zgody sądu. I nie ma tu znaczenia, czy ocena jest automatyczna, czy ręczna.

Ba, nawet false positives są odbierającym prywatność na rękę. Przypuszczam bowiem, że szybko pojawi się procedura pozwalająca na ocenę – czyli przejrzenie przez człowieka – zdjęcia uznanego za naruszenie. Oczywiście motywowana redukcją false positives. Albo może – dla pewności i uniknięcia ewentualnych false negatives – od razu większej ilości zdjęć danego użytkownika?

W każdym razie w mojej ocenie jest to typowe zagranie odbierające ludziom wolność i prywatność, z klasycznym uzasadnieniem. Dla przypomnienia: tego typu zmiany zawsze forsowane są zwykle albo pod hasłem walki z pedofilią, albo walki z terroryzmem.

Nie rozpatrywałbym też tego jako finalnej zmiany. To, czy teraz skanowane są tylko zdjęcia wysyłane do chmury, czy robi to tylko Apple nie ma znaczenia. Uważam, że chodzi o zmianę mentalności i zrobienie pewnego wyłomu. Z czasem rozwiązanie można przecież rozszerzyć na inne platform. Albo wręcz nakazać producentom wsparcie skanowania wszystkich zdjęć, niezależnie od faktu ich wysyłania gdziekolwiek.

Gdyby ktoś się zorientował, że tego typu rozwiązania można ominąć przez stosowanie, czy nie będzie to wspaniały pretekst do zakazu szyfrowania? W imię walki z pedofilią albo terroryzmem, oczywiście.

[1] Oczywiście, że tak.
[2] Oczywiście, że tak.