Categories
Ekonomija Politika Priroda i društvo

Kako su naše mirovine završile kod slučajnog ministra Paladine

Vjerujem da ste pročitali članak na Index istragama koji objašnjava mehanizam kojim je novac kojeg uvjerljiva većina nas uplaćuje u drugi mirovinski stup nizom arbitrarnih i meni se čini očigledno kriminalnih transakcija pretočen u imovinu aktualnog ministra Ivana Paladine. Šteta prema mirovinskim fondovima je procijenjena na otprilike 12 milijuna kuna, što znači da je svatko od nas tko je obveznik plaćanja u drugi mirovinski stup (a to je u ovome času više od 80% radno sposobnih građana) sudjelovao u gradnji Paladinovog malog ilegalnog carstva s oko 10 kuna.

Mehanizmi kako se to dogodilo su detaljno opisani u seriji Indexovih članaka, no teško je ne postaviti nekoliko pitanja na koje bi nam netko morao dati odgovor.

Esencija problema je otprilike sljedeća; obavezni mirovinski fondovi upravljaju danas s otprilike 130 milijardi kuna i svake godine, ne računajući prinose, povećavaju se za oko 7 milijardi kuna novih uplata. Budući da su to najsnažnije financijske institucije u zemlji, za očekivati je da zapošljavaju najkvalitetnije moguće ljude koji će najvećom mogućom pažnjom upravljati tim novcem i donositi za svoje članove najpovoljnije moguće poslovne odluke. Ako je to tako, kako je onda moguće da su OMF-ovi odlučili kupiti obveznice Instituta građevinarstva Hrvatske nepunih godinu dana prije nego što je IGH završio u blokadi i potom u predstečajnoj nagodbi (s time da morate znati da u trenutku izdavanja obveznica Zakon o predstečajnoj nagodbi još nije postojao). Svaka moguća imalo temeljita analiza morala je pokazati značajne rizike investicije u takvu vrijednosnicu, i ti rizici su bili barem dijelom ugrađeni u obveznicu kroz vrlo visoki obećani prinos od 9%. Vrijedi reći kako nije moguće zaraditi novac bez rizika, no to ne znači da se novcem budućih umirovljenika smije igrati ruski rulet. Savjesna i temeljita analiza poslovanja IGH (povijesti, trendova, tržišta) morala je pokazati visoku vjerojatnost default događaja, posljedično stečaja, kao i neizvjesnosti naplate obveznice. Konteksta radi, IGH je u 2012. godini iskazao gubitak od nevjerojatnih 449 milijuna kuna, što je 50% više od ukupnih prihoda te godine i ne postoji izgovor kojeg bilo koji analitičar može dati a da pritom opravda ovu investicijsku odluku (a koja je donesena u lipnju 2012., usporedbe radi 2011. godinu je IGH završio s 13.5mil kuna dobiti i 429mil kuna prihoda). Vrijedi podsjetiti da 2012. godine kada su OMF-ovi odlučivali o kupovini, na snazi je bila i tadašnja, puno konzervativnija verzija Zakona koji regulira njihovo ponašanje. Pitanje je stoga kako je uopće moguće da sredinom najgore poslovne godine u povijesti IGH nekolicina analitičara u više fondova daju pozitivno mišljenje na kupnju tako rizično i izvjesno nenaplativog instrumenta?

Odgovor leži u činjenici da OMF-ovi vjerojatno uopće nisu slobodnom odlukom “kupili” ove obveznice, nego ako malo bolje pretražite internet, vidjeti ćete kako je IGH u istome trenutku kada je plasirao obveznice objavio kako je i iskupio svoje komercijalne zapise u gotovo istoj vrijednosti (a možemo “nagađati” kako je struktura vlasnika komercijalnih zapisa istovjetna ili vrlo slična strukturi vlasnika nove obveznice). To bi također značilo i da su OMF-ovi bili dobro upoznati s financijskom situacijom IGH-a najmanje godinu dana prije default događaja, te da su iz tog razloga utjecali na izdavatelja i kreirali obveznicu koja u svojim osiguranjima plaćanja ima i nekretnine (to također znači i da su se propustili naplatiti na vrijeme i time kasnije oštetili članove OMF-ova, ali vjerojatno i prekršili cijeli niz drugih zakona koji reguliraju trgovačka društva, obvezne odnose i pravila ponašanja na tržištima kapitala).

Svejedno, u času kada je IGH otišao u predstečajnu nagodbu (što se vidjelo godinu dana ranije, iz orbite, čak i lošim dalekozorom), OMF-ovi su se našli u situaciji da je obveznica odjednom nenaplativa. U instrumente osiguranja plaćanja ove obveznice naveden je u zalog i cijeli spektar raznih nekretnina, a koje su tijekom vremena, to sada znamo, redom završile kao privatna imovina aktualnog ministra Paladina. Na direktno pitanje zašto su prodali u bescjenje svoje potraživanje po osnovi obveznica, odgovor OMF-ova je vrlo proziran i neuvjerljiv, naime oni kažu kako Zakon koji regulira njihovo djelovanje izrijekom zabranjuje stjecanje nekretnina pa su stoga radije prodali obveznicu pod velikim diskontom nego da prekrše zakon. Znamo da je 54.5% obveznica ministar Paladina stekao za 200.000EUR kroz ortački ugovor sa Sergejem Gjadelkinom iako su se te obveznice u tome času nalazile u B2 kapitalu (kojeg naš Sergej, barem nominalno, nije mogao/smio kontrolirati pa je dobro pitanje koje bi se mogao upitati motivirani tužitelj; koju je točno polugu Sergej imao prema B2 kapitalu), a analogno tome za pretpostaviti je kako su i OMF-ovi prodali svoje obveznice sa sličnim diskontom. Pravu cijenu stjecanja mi ne znamo, a brojka od 30% koja se pojavljuje u Indexovom članku je bazirana na nekoj od internih valuacija jednog od fondova a koji se našao u javno dostupnom dokumentu; to nije jamstvo da je obveznica doista prodana za 30% nominale, prava istina je najvjerojatnije puno, puno gora za članove OMF-ova (ali spreman sam biti iznenađen :).

Taj gore navedeni alibi kojeg su OMF-ovi iskoristili je, gledajući povijesnu perspektivu, vrlo smiješan. Naime, OMF-ovi su stekli obveznicu koja je u svojoj pozadini imala “fail safe” zalog nekretnina; mislim da je validno pravno pitanje da li je u slučaju naplate svojeg potraživanja (iako je izrijekom zabranjeno u zakonu), osobito ako govorimo u kontekstu pažnje dobrog gospodara, bolje prodati obveznice za kikiriki (kao što su to učinili OMF-ovi) ili se naplatiti u značajno većem iznosu (ili u cijelosti, a možda i zaraditi) kroz prodaju nekretnina? Prateći tu izvrnutu logiku OMF-ova, svaki financijski papir koji kao osiguranje plaćanja u sebi sadrži nekretnine (što je ultimativno i univerzalno prihvaćeno sredstvo osiguranja) a koji bi mogao dovesti do situacija da OMF-ovi steknu nekretnine je za same OMF-ove nevjerojatno rizičan i neprihvatljiv instrument(!?).

Ali smiješni dio njihovog alibija je u biti ovaj; ako promatrate što je napravio ministar Paladina, nekretnine nisu uopće u njegovom vlasništvu nego se vode na Auctoru kao skrbniku čiji je posao unovčiti te nekretnine. Tko kaže da OMF-ovi nisu mogli napraviti apsolutno istu shemu i tako se pokušali naplatiti i pritom uopće ne prekršiti zakon (ili barem da daju dojam da su se trudili)? Iz imovinske kartice ministra Paladina znamo koliko te nekretnine i potraživanja vrijede danas, tako da su naši OMF-ovi i ovdje kolosalno pogriješili u svojim procjenama.

Problematični dio (što je ujedno i osnov šanse da se sva ta imovina i u međuvremenu stečeni prihod vrati u početno stanje), a koji se odnosi na ministra Paladina je činjenica da je on cijelo ovo vrijeme povezana osoba, a povezane osobe ne smiju glasati na skupštinama, uključivo i na skupštinama imatelja obveznica. Dobro je pitanje i zašto nije preispitan status Paladine obzirom da je moralo bit poznato kako je on potencijalno povezana osoba (povezanom osobom ga čini više elemenata, činjenica da je bio predsjednik uprave IGH, činjenica da je barem neko vrijeme bio i dioničar IGH, te naravno ortački ugovor koji je na svjetlo dana izronio tek kroz Indexovu istragu). U trenucima kada su se razvrgavale prethodne odluke o namirenju iz prodaje nekretnina (vidi Indexov članak), članovi skupštine imatelja obveznica su znali ili morali znati da postoji vjerojatnost da je Paladina povezana osoba. Još jedan proziran odgovor vjerojatno leži u činjenici da je na skupštini glasao kroz institut skrbničkog računa putem opunomoćenika pa su članovi skupštine mogli ustvrditi da ne znaju tko je stvarni vlasnik te da povezanosti nema (malo neuvjerljiv argument kod obveznice sa svega nekoliko vlasnika, ali bitno je da postoji barem minimalni osnov za “deniability”; bilo bi zanimljivo vidjeti zapisnike o glasanju i kako je skrbnik glasao i u čije sve ime, da li je glasanje bilo pojedinačno ili skupno jer i to ima konsekvence u potencijalnom sudskom postupku, kao i preispitati da li skrbnik ima zakonsku obvezu prijaviti ili odgovarati za glasanje povezanih osoba, što je u konkretnom slučaju morao znati).

Kako god okrenuli, promatrajući ovu cijelu krimi priču iz današnje perspektive, moramo odlučiti vjerujemo li OMF-ovima da su napravili detaljnu i savjesnu analizu koja je unatoč tome što upošljavaju najbolje analitičke umove, svejedno dovela do milijunskih gubitaka za članove (te da nisu svjesno sudjelovali u procesu dovođenja IGH u default), ili pak govorimo o cijelom kaskadnom nizu situacija u kojoj su OMF-ovi demonstrirali krajnji nemar i ne samo propustili zaštititi imovinu fonda nego možda čak i otvoreno pogodovali trećim stranama na štetu svojih članova (u ovome slučaju ministru Paladini kao krajnjem vlasniku obveznica). A ako je to tako, legitimno pitanje je koja je bila protučinidba i prema kome točno?

Obavezni mirovinski fondovi do 2014. godine uopće nisu imali zakonsku obvezu izvještavanja o svojim rezultatima, a do danas nije definiran ni obvezni raspon podataka koji bi se u takvom izvještaju morao naći (što je veliki propust HANFA-e), pa se kao rezultat izvještaji pojedinačnih fondova bitno razlikuju u opsegu, sadržaju ali i metodologiji (ili nedostatku iste). Transparentnost poslovanja OMF-ova je mala ili nikakva i u osnovi im moramo vjerovati na riječ da posluju savjesno i/ili uspješno. Ja pak smatram da im ne treba previše vjerovati i da sve treba preispitati jer o tome, ali doslovno, ovise naše mirovine.

I posljednje, negdje u nekom od komentara napisano je kako je ovih 12 milijuna samo kap u moru od 130 milijardi kuna i zašto se uzbuđujemo na tako minornom gubitku. Moj argument je apsolutno identičan, ovo doista je malena kapljica, no more se sastoji od puno kapljica poput ove i pitanje je koliko je ovakvih investicija bilo, kao i na kojim se sve razinama manipulira ili oštećuju članovi fonda; koliko još ima novopečenih bogataša poput Ivana Paladina, a koji su svoje male tax-free imperije stvorili o trošku članova mirovinskih fondova?. Uz malo sreće, ovo će biti kapljica koja će preliti čašu i natjerati regulatora HANFA-u da se ozbiljno pozabavi OMF-ovima, kao i zakonodavca da u nadolazećoj i neizbježnoj “reformi” mirovinskog sustava nepovratno ugradi mehanizme transparentnosti, odgovornosti i nužnosti vezanja nagrade za rezultate koji u ovom času nedostaju.

p.s. samo da bude totalno jasno, duboko vjerujem da je individualizirana štednja (kroz obavezne, dobrovoljne mirovinske fondove i na cijeli niz drugih načina) jedini mogući oblik mirovine koji jamči iole smislenu mirovinu, na državnu mirovinu I stupa nemojte previše računati (osobito ako ste mlađi), to što sam vrlo kritičan prema našim OMF-ovima ne znači da ne podržavam taj model (dapače)

Misao dana:
“A man approaching retirement called the retirement office to inquire about his pension. Afterward, he was asked if his wife worked. “She’s worked all her life making me happy”, he replied. “Yes sir, but has she earned money to receive her pension?” “When we got married we agreed on an arrangement”, he said. “I would earn the living, and she would make the living worthwhile”.

“Make the living worthwhile”…have we forgotten the very essence of that? Have we forgotten to live for someone else, that doing so IS what makes a living worthwhile?”

Categories
Edukacija i školstvo Internet

Praćenje kvalitete zraka

Prije nekoliko godina sam otkrio kako sam odjednom postao osjetljiv na pelud, najviše reagiram na ljetnu/jesensku sezonu ambrozije koju više ne mogu preživjeti bez redovitog uzimanja lijekova (a povremeno i kortikosteroida u doista lošim danima). Osjetim i ove proljetne peludne groznice (peckanje u očima, smetnje u disanju) ali to mogu prebroditi bez lijekova.

Prirodno je onda da pokušavam kontrolirati svoju okolinu kako bih na razne načine ublažio utjecaje prašine i peludi, pa je tokom vremena nastao cijeli niz raznih mehanizama praćenja kvalitete zraka oko mene.

Većinu svog vremena provodim u uredu pa je puno toga koncentrirano u uredu. Mjerenje sam krenuo raditi uz pomoć Netatmo uređaja koji je zgodan jer mjeri niz elemenata bitnih za kvalitetu zraka u uredu, od kojih je svakako najbitnije mjerenje koncentracije CO2 u prostoru.

Koncentracija CO2 tijekom ožujka 2022.

Mjerenje CO2 je bitno jer izloženost prevelikim količinama CO2 dovodi do zamora i glavobolja, ali puno bitnije, ako se nalazite u okolini s više od 800ppm-a CO2, tada je narušena vaša sposobnost donošenja odluka (skoro kao da ste pijani tj. pod utjecajem alkohola).

Netatmo, iako brine o mnogo toga vrlo malo kaže o količini nečistoća u zraku pa sam da bih to pokušao riješiti, nabavio Xiaomi Air Purifier Pro. Ovaj pročistač koristi laserski senzor koji mjeri onečišćenja u rangu od 2.5 mikrometara (a koji su najveći izvor problema za disanje) i ovisno o očitanju pokreće filter koji potom filtrira zrak u svojoj okolici. Da bih imao kakav-takav pregled što se događa sa zrakom, kupio sam prošle godine i Ikea Vindriktning senzor, to je vrlo jeftini senzor koji pak koristi IR svjetlo za mjerenje kvalitete zraka (to znači da je za red veličine neprecizniji). Ovaj senzor je zanimljiv zato što na sebi ima mali semafor (zeleno, narančasto i crveno) pa možete lagano vidjeti koja je kvaliteta zraka (iako možda nije najpreciznije izmjerena). Slični semafor ima i Netatmo ali se odnosi samo na koncentraciju CO2 u prostoru.

Xiaomi Air Purifier Pro dashboard (u mojoj Android aplikaciji).

Ovo se naravno sve odnosi na kvalitetu zraka u samom uredu, no nečistoće dolaze izvana i tu u biti dolazimo do razloga zašto pišem ovaj tekst. Ako se sjećate, tijekom studenog prošle godine imali smo u nekoliko dana niz tekstova koji su govorili o tome kako je Zagreb najzagađeniji grad na svijetu. Problem imamo i s kriterijima što je točno zagađeni zrak, jer kao i u mnogim drugim situacijama postoji niz standarda. Na internetu ćete najčešće pronaći reference na AQI – Air Quality Index što je američka mjera kvalitete zraka, dok bi mi trebali mjeriti po EU AQI indexu (koji je vrlo sličan, razlikuju se u periodima uzorkovanja). U AQI indexu se mjeri štošta, poput ugljik monoksida, ozona, sumpora, NOx, olova i 2.5 i 10 mikrona čestica. Čestice od 10 mikrona se odnose na peludi i prašinu, dok ove od 2.5 se odnose na kemijske spojeve (a manje od 1 mikrona na bakterije i viruse). Jedan od problema s indeksom kvalitete zraka je i nedovoljan broj postaja koje mjere kvalitetu ili mjere samo dijelove indeksa. Ima dosta izvora za kvalitetu zraka, poput Hidrometeorološkog zavoda, Ministarstvo gospodarstva, a postoje i “amaterske” postaje poput one moju je postavio Možemo!.

Jedan od većih svjetskih kontributora je i IQAir, tako da ako imate neku od njihovih stanica za mjerenje kvalitete zraka onda možete odabrati da se podaci izmjereni na vašoj postaji (a riječ je o poluprofesionalnoj opremi) može dijeliti s ostalima. Nakon serije članaka o lošem zraku u Zagrebu, moj prijatelj Nikola Vrdoljak (iz Agencije 404) je bio u kontaktu s ekipom iz IQAir-a te su oni, kako nema dovoljno postaja u Zagrebu donirali nekoliko komada njihovih postaja kako bi ih postavili (veliko hvala IQAir-u). Jedna od njih se nalazi od nedavno i na zidu mog ureda i počela je “dijeliti” svoje podatke sa svijetom, pa tako mjerenja ulaze u svjetsku statistiku. Konkretnije, postavili smo IQAir AirVisual Outdoor stanicu, a koja je opremljena modulima za mjerenje temperature, vlažnosti, pritiska zraka, te mjerenju 10, 2.5 i 1 mikron čestica u zraku.

Dashboard moje IQAir stanice na dan pisanja teksta.

Rezultati moje stanice koja je non-stop spojena na internet tako postaju dio svjetske statistike, te su uključeni u razmjenu podataka o mjerenju kvalitete zraka u gradu Zagrebu. Ako želite promatrati što se točno događa na mojoj stanici (a koja je locirana otprilike pored raskršća Donjih Svetica i Vukovarske), to možete u bilo kojem času pogledati ovdje. Moj dashboard (vidi sliku gore) je puno detaljniji od ovog javnog, no podaci se i dalje slijevaju gdje trebaju. Kroz praćenje mjerenja posljednjih dana, uočavam da je koncentracija čestica od 10 mikrona kontinuirano u zelenom, dok se koncentracije manjih čestica često dižu iznad optimalnih vrijednosti. IQAir prikuplja podatke iz raznih izvora, ali i dijeli podatke s ostalima pa tako možete dobiti i API ključeve kako bi se zakvačili na njihov API servis i direktno preuzimali željene podatke.

Još jedan dashboard, koji pokazuje ažurne rezultate mjerenja.

p.s. ovo nije sponzorirani tekst nego moj mali pokušaj da bacite pogled na kvalitetu zraka i da pročitate ovih nekoliko linkova koji se odnose na mjerenja, bitne parametre kvalitete i da (koliko to možete) pokušate utjecati na to da boravite u zdravom prostoru i znate što možete očekivati od dugotrajne izloženosti lošem zraku

Misao dana:
People today have forgotten they’re really just a part of nature. Yet, they destroy the nature on which our lives depend. They always think they can make something better. Especially scientists. They may be smart, but most don’t understand the heart of nature. They only invent things that, in the end, make people unhappy. Yet they’re so proud of their inventions. What’s worse, most people are, too. They view them as if they were miracles. They worship them. They don’t know it, but they’re losing nature. They don’t see that they’re going to perish. The most important things for human beings are clean air and clean water.

Categories
Edukacija i školstvo Internet

Računalna sigurnost, kratki vodič (I dio)

Sažetak bloga (dolje piše kako i zašto): što prije svoje korisničke prebacite na 2FA/MFA autentikaciju, a passwordi trebaju imati minimalno 12 (optimalno 14 i više znakova). Te dvije aktivnosti će vam umanjiti šansu kompromitacije korisničkog računa za +99%.

Ovaj blog je dopunjen 19. kolovoza 2022., osvježena je ilustracija s vremenom potrebnim za “razbijanje passworda” (stara slika je ostala usporedbe radi). Te je dodan link na službene Microsoftove preporuke za passworde.

Posljednjih dana, a potaknuti aktualnim događanjima, puno se razgovaralo o računalnoj sigurnosti. Često govorim o istim ili sličnim temama, pa sam krenuo pisati ovaj vodič čiji je cilj da malo bolje razumijete protiv kakvih prijetnji se borite ali i da dobijete ideju kako umanjiti ili u cijelosti izbjeći neke od tih opasnosti. Cijelo polje računalne sigurnosti je iznimno veliko, široko i komplicirano, te jednostavno nije realno obuhvatiti sve u jednom tekstu. Svrha ovog posta je da opišem nekoliko osnovnih problema i ponudim rješenja koja bi trebala dramatično povećati razinu vaše računalne sigurnosti (po Pareto principu, 20% aktivnosti će riješiti 80% mogućih problema). Za vas koji ste malo stručniji, odmah da napomenem kako je dio teksta, čitljivosti i opće razumljivosti radi, generaliziran i pojednostavljen. Također, sva je šansa da ćete na internetu ili od prijatelja i kolega dobiti pitanja “tko vam je to rekao?” pa ću pokušati objasniti razloge pojedinih taktika, kao i razloge zašto neke druge taktike nisu nužno bolje ili čak ispravne (a s čime se možete i ne morate složiti, no ako razmislite o njima već smo napravili pomak).

Ideja je ovaj vodič napraviti u više dijelova i u prvome dijelu se bavim samo zaštitom korisničkih računa (samo i jedino time). Kako drugi dijelovi budu dostupni, na ovome mjestu će se nalaziti linkovi na njih.

Korisnički računi

U današnje doba, suma vaših online korisničkih računa i interakcija putem društvenih mreža stvara vaš digitalni identitet koji je sve češće važan ili čak kritični element funkcioniranja u društvu. Ako vam netko preotme vaše korisničke račune na društvenim mrežama (Facebook, Instagram, Twitter, Linkedin, YouTube) i email servisima (Gmail, Outlook, Yahoo i dr.). osim što može naučiti sve ili puno toga o vama, u mogućnosti je analizirati mrežu vaših poznanstava, promotriti vaše interakcije, vjerojatno će pronaći i niz korisničkih računa u raznim web dućanima, forumima i cijelom nizu drugih web servisa koje koristite a koji se potom mogu eksploatirati.

U praksi, korisnički računi najčešće imaju hijerarhiju (koje možda niste ni svjesni), a koja se svodi na to da svi servisi koji su gore nabrojani, prije ili kasnije vode do vašeg email računa (bio to vaš privatni email račun ili poslovni). Na mnogim servisima će vaša email adresa biti ime korisničkog računa, dok će neki servisi koristiti vaše email sustav (gmail) ili društvene mreže (facebook) kao login podatke. Poanta je u tome da je vaša email adresa centar/ishodište vašeg digitalnog/virtualnog identiteta i najosjetljiviji korisnički račun kojeg treba štititi koliko je god to moguće, potom dolaze sekundarni servisi koji vas čine vidljivima na internetu (društvene mreže), te naravno svi onu servisu kroz koji obavljate različite financijske i druge transakcije (web dućani, zdrastvene ustanove, eGrađani i slično).

Da bi dobro zaštitili email račun, potrebno je uvijek odabrati dobar i jedinstveni password (šifru, zaporku). Oko toga kakav password treba odabrati ima puno diskusija, ali recimo da sigurnost passworda ovisi o njegovoj dužini i fondu znakova koji se koristi. Password može imati samo slova, slova i brojeve, slova i posebne znakove (+-*,.}[~*). Svaki dodatak u passwordu za red veličine diže kompleksnost zadatka “pogađanja” passworda, a isto vrijedi i za svaki dodatni znak u passwordu. Neki servisi i neke organizacije uvjetuju obaveznu promjenu passworda nakon isteka nekog vremenskog periodadanas se ta praksa smatra pogrešnom jer neminovno vodi do pojednostavljenih passworda, učestalog ponavljanja ili kreiranja varijacija na osnovnu temu, a zbog čestih promjena nerijetko budu i zapisani na nekom očiglednom mjestu.

Generalno gledano, konsenzus je da sigurni password danas ima 14 ili više znakova, te se sastoji od kombinacija malih i velikih slova, brojeva i/ili posebnih znakova. Sigurni password možete kreirati na puno načina, jedan od njih je da ga generirate u nekom password generatoru. Problem s računalno generiranim passwordima je da su oni najčešće “lagani” računalo za pogađati (jer računalo inkrementalno mijenja znak po znak dok ne dođe do “pobjedničke” kombinacije), a istovremeno iznimno teški ljudima za zapamtiti (pa se onda ti passwordi zapisuju po postitima, rokovnicima ili u drugim digitalnim dokumentima i bilješkama).

Koliko treba računalu/softwareu iz 2021. godine da “razbije” password.
Koliko treba za razbijanje passworda u 2022. godini (uočite razliku!!!)

Kako bi se tome doskočilo, postoje i aplikacije koje su namijenjene generiranju i čuvanju passworda – tzv. password manageri. To su najčešće aplikacije na vašem mobilnom telefonu koje otvarate nekim pinom ili sličnom shemom i koje za svaki korisnički račun imaju zapisan password. Treba reći da oni značajno pojednostavljuju priču, ali isto tako ovisite o tome da je uređaj s aplikacijom uvijek pored vas (da nije npr. ukraden). A treba znati da su neki od password managera u prošlosti bili uspješno hakirani i mnogi ili svi passwordi koji su tamo pospremljeni su odjednom postali dostupni hakerima (u hashiranom obliku, o čemu malo kasnije).

Treća i vrlo efikasna moguća taktika jest da kao password koristite neku vama lako pamtljivu rečenicu (rečenicu iz omiljene knjige, stih pjesme ili nešto slično), a kojeg “začinite” nekim slučajnim velikim slovom (usred riječi), interpunkcijom, brojem ili nekim posebnim znakom. Npr. password koji glasi “IvicaimAricasuseizGubili+1” lagano je pamtljiv i sastoji se od 26 znakova što ga čini iznimno sigurnim.

Svejedno, neovisno o tome koliko god sigurni password imali, to nije uvijek dovoljno. U praksi, neće se dogoditi da će haker pogađati vaš password pokušavajući se ulogirati u vaš email račun, nego će umjesto toga hakirati neki web servis i pokušati downloadati tablicu iz baze podataka u kojoj se nalazi vaše korisničko ime i/ili email adresa te password. To također znači da imate vrlo malo utjecaja na sigurnost svojeg vlastitog korisničkog računa jer će se proboj dogoditi negdje drugdje.

Vi nemate stvarnu kontrolu niti znate kako je vaš password pohranjen na nekom web servisu, no mogu objasniti kako to (najčešće) funkcionira. Aplikacije uopće neće bilježiti vaš password u svoju bazu podataka, nego će umjesto toga zapisati hash vrijednost vašeg passworda (ako vam prilikom pokušaja resetiranja passworda servis pošalje emailom vaš aktualni password, to znači da password zapisuju kao nezaštićeno tekstualno polje i bježite od tog servisa koliko god daleko možete).

Hashiranje je jednosmjerni matematički postupak koji će iz polja (u našem slučaju password) bilo koje dužine izračunati “hash” vrijednost uvijek iste veličine, a koji je jedinstven za upravo to polje znakova. Kažemo da postupak nije reverzibilan na isti način kao što iz mljevenog mesa ne možete natrag napraviti biftek (kada bi postupak bio reverzibilan onda ne bi govorili o hashiranju nego o enkriptiranju vaših podataka).

Programer vašeg hakiranog web servisa ima mnogo opcija, no na današnji dan, najbolja praksa zapisivanja passworda u baze uključuje hash funkciju (postoje mnogobrojne, danas je najčešća SHA256, prije je to bila SHA1 ili MD5), a koja je začinjena sa “solju” (engl. salt). Salt je “začin”, najčešće sasvim slučajni slijed znakova koji je jedinstven samo vašem korisničkom računu, a koji se pridoda vašem passwordu (na početku ili kraju) kako bi se dodatno zakomplicirala hash vrijednost. Ako se baš želi otežati situacija, onda primjerice hash funkciju provrtite npr. tisuću puta (zato da kalkulacija duže traje).

U praksi to znači da ako imate password “mračniblog” MD5 hash vrijednost glasi “d66b9eb45c0a19fa5171fffe432ddec4”, ali ako to izvrtimo stotinu puta onda je rezultat “0adcac5a56774665e22cadd4941d3c0a”. Ako na password dodamo “+salt” tada će vrijednost biti “12c148ece5e82c6ae0c26ef93688efae”, a ako protjeramo takav začinjeni password stotinu puta dobijemo “1fd2d3a475aa90454c0668d49a2135a0”. Sve ovo i sami možete provjeriti na nekom od online hash generatora. Poanta, soljenja hasha je u tome da se čak i malenom razlikom u polju kojeg hashiramo, finalni rezultat drastično razlikuje – što se vidi iz gornjeg primjera.

Na web stranici Have I Been Pwned možete upisati svoje email adrese koje koristite, kao odgovor dobiti ćete popis curenja podataka u kojima se one spominju. Ovisno o tipu proboja, vjerojatno se u njima negdje nalazi i hash vrijednost passworda kojeg ste tada koristili. To još uvijek ne znači da je vaš password kompromitiran. Ako se hash vašeg passworda nalazi u nekoj od tzv. rainbow tablica tada će haker usporediti i pokušati pronaći hash vašeg passworda i passworda koji se nalaze u rainbow tablicama i ako postoji podudaranje to znači da je vaš password kompromitiran i svima dostupan. Zato je “salt” bitan jer on dodaje razinu kompleksnosti na svaki hash i uobičajene rainbow tablice tu neće pomoći, pa se umjesto toga, ako ste doista osoba od interesa, pokušava napraviti brute force koji pokušava napraviti hash od svih mogućih permutacija ili dictionary attack koji pak koristi riječnik već poznatih passworda. Ovdje dolazi do izražaja i programer aplikacije, jer ako je proces hashiranja napravljen 100x uzastopce tada će svaka operacija trajati stotinu puta duže (i toliko je manja šansa da password bude otkriven). Moderno računalo može kreirati milijune hasheva u sekundi, a ako za hashiranje koristite grafičku karticu tada možemo govoriti o desetinama ili stotinama milijuna kalkulacija u sekundi.

Možete se zaštititi dobrim passwordom (i gore je navedeno kakav bi password trebao biti), no password sam po sebi nije uvijek dovoljan i potrebno je podići razinu sigurnosti za još jednu razinu. Kako bi to postigli, koristi se princip višestruke autentikacije ili najčešće korišten 2FA. 2 (two) Factor Autentikacija koristi vrlo jednostavno načelo koje kaže da za uspješnu autorizaciju morate imati dva elementa: nešto što znate i nešto što posjedujete – i ovo je srž svake dobro implementirane sigurnosne politike. Banke vam vjeruju s milijunskim transakcijama preko interneta zato što ste prilikom prijave servisu napisali nešto što znate (PIN ili password) i zato što imate neki fizički predmet koji je jedinstven i kojeg nije moguće kopirati (bankovnu karticu, USB s certifikatom, token uređaj ili nešto treće).

Prijedlog je dakle da na svim imalo kritičnim korisničkim računima aktivirate 2FA autentikaciju, jer ako haker i posjeduje vaše korisničko ime i password, to mu i dalje neće biti dovoljno da izvrši uspješnu autentikaciju i preuzme kontrolu nad servisom (email računom, društvenom mrežom ili web dućanom). Ovo osobito vrijedi ako ste administrator nekog servisa u kojem se nalaze podaci o većem broju korisnika (gdje je veći broj korisnika svaka brojka koja je jednaka ili veća broju 2).

Gotovo svi moderni servisi posjeduju 2FA način autentikacije i smatram da u današnje doba, ako naletite na neki servis koji to ne podržava, morate ozbiljno razmisliti želite li s njima poslovati. Na internetu ima više imenika sa servisima koji podržavaju 2FA, a ovo je jedan od onih koje ja (ponekad) koristim.

Čisto da bude jasno, ima puno različitih nijansi 2FA autentikacije i iako svaka od njih je bolja od toga da nemate uključen 2FA, činjenica je da su neka od rješenja manje ili više podložna proboju (ali opet, u redovima veličina je to teže nego da zlonamjernici imaju samo vaše korisničko ime i password).

Najjednostavnija i vrlo česta forma 2FA autentikacija je autentikacija putem SMS-a. To otprilike znači da ste morali autorizirati prilikom prve prijave i svoj broj mobilnog telefona, a u času kada se pokušate ponovno ulogirati u servis, vlasnik servisa će vam nakon što ste uspješno upisali korisničko ime i password, na broj vašeg mobitela poslati jednokratnu šifru tzv. OTP (najčešće šesteroznamenkasti broj). Problem sa SMS porukama je što one nisu apsolutno sigurne jer se SMS poruka može presresti, a SIM kartica klonirati.

One Time Password je moguće generirati i putem aplikacija za autentikaciju (npr. Google ili Microsoft Authenticator, makar postoje i druga rješenja) a koje onda možete koristiti da pospremi sve korisničke račune koji mogu koristiti 2FA. Ovo je nešto sigurnija metoda od SMS-a, jer nema razmjene podataka putem interneta ili GSM mreže, no i ovdje postoji šansa kompromitacije ako je vaš mobilni uređaj zaražen nekim virusom/trojanom a koji može u pozadini pokretati aplikacije i čitati odgovore koje aplikacija daje. Fizička ekstenzija OTP autentikacije su tokeni, njih najčešće koriste banke i financijske institucije, a ponekad se koriste i kao element ulogiravanja u računala (inače, jedna od poznatijih kompromitacija token sustava je onaj kada je bio hakiran RSA).

Obitelj Yubico ključeva.

Ultimativno rješenje za sigurnost je korištenje security ključeva poput onih koje prodaje Yubico ili Hypersecu (ja koristim). Ovdje je riječ o minijaturnim računalima koja su zalivena u blok plastike i koje spajate na računalo/mobilni telefon putem USB porta (ok, postoje i NFC verzije, ali shema je ista). U trenutku autentikacije, ključ mora biti u USB portu i na traženje vaše web aplikacije morate kliknuti fizički gumbić na security ključu (što osigurava da nitko ne može aktivirati ključ s udaljene lokacije, nego to može samo korisnik napraviti). U tom času računalo USB ključu pošalje upit (challenge), USB ključ vraća odgovor (response) i ako on odgovara očekivanom odgovoru autentikacija je dopuštena. Vrijedi samo napomenuti da se security ključevi razlikuju ne samo po vrsti porta na koji se spajaju, nego i po sigurnosnim protokolima koje podržavaju tako da nije svejedno koji ključ ćete koristiti za koju namjenu (i da, jedan ključ se može koristiti za mnogobrojne servise).

Da zaključim, da bi bili sigurni – vaši passwordi moraju biti kompleksni (14 znakova i više), moraju biti jedinstveni (jer ako sigurnost jedne web stranice bude probijena onda je probijena svugdje gdje imate korisnički račun) i za pravu sigurnost morate koristiti neku od ponuđenih 2FA taktika. Izbjegavajte koristiti lagano dostupna imena iz obitelji, datume rođenja i slične očigledne passworde. Ako krenete u zonu 2FA, pokušajte izbjegavati SMS autentikaciju – no svakako je koristite ako je to jedina 2FA metoda na željenom servisu. Naučite koristiti autentikator aplikacije, a za doista mirni san počnite koristiti security ključeve (i ne zaboravite na sigurnom mjesto pohraniti backup podatke, jer ako izgubite 2FA. Svakako preporučam da vaša glavna email adresa (ona na koju su vezani svi drugi servisi) svakako bude na nekom sigurnom servisu koji omogućava sve ove oblike zaštite (primjerice Gmail, Outlook, Office365…).

p.s. ista shema funkcionira i za PIN-ove, bolje je koristiti šesteroznamenkasti PIN nego četveroznamenkasti (gdjegod ga koristili), a ako možete konfigurirajte i paswordless login na svojem računalu (to je podržano i na Windowsima i OS X).

Misao dana:
Most people are starting to realize that there are only two different types of companies in the world: those that have been breached and know it and those that have been breached and don’t know it. Therefore, prevention is not sufficient and you’re going to have to invest in detection because you’re going to want to know what system has been breached as fast as humanly possible so that you can contain and remediate.