Kolejny rok za nami, czas go rozliczyć! Tym razem z minimalnie dłuższej perspektywy, bo złamałem luźny zwyczaj pisania podsumowań w ostatni dzień roku.
A jest co rozliczać – nawet jeśli pominie się sprawy szczególnie medialne, jak wybory w USA, zostanie niemało przetasowań w świecie cyfrowym i korporacyjnych afer.

Wielkanocnym zaskoczeniem była „afera XZ”. Jedna z największych, najbardziej ambitnych prób ataku hakerskiego na światową infrastrukturę. Na szczęście świat open source pokazał swoją siłę, szybko wykrywając i usuwając zagrożenie.

Dla kontrastu świat korporacyjny zaliczył spektakularną wtopę – programy firmy CrowdStrike, mające poprawiać cyberbezpieczeństwo w dużych organizacjach, zostały powalone błędem i pociągnęły za sobą miliony komputerów z systemem Windows. Przestały działać liczne sieciówki, lotniska… A nawet szpitale.

Poza tym całkiem oficjalnie, wyrokiem sądu, uznano Google’a za monopolistę. Po poznaniu dowodów sąd orzekł, że popularność ich wyszukiwarki to w znacznej mierze kwestia nieetycznych zmów, a nie czystej jakości.

Oprócz tego była afera zbożowa, gdy rolniczy giganci załatwili dla siebie otwarcie granicy polsko-ukraińskiej, powodując chaos. Było pozwanie przez polską firmę Newag ludzi, którzy nagłośnili ich praktyki. Był samotny wilk, Luigi Mangione, który zastrzelił prezesa szczególnie nielubianej korporacji. Ogólnie: działo się.

Zapraszam na omówienie!

Przerobiony kadr z mangi Terra Formars. Postać z logo Ciemnej Strony na plecach stoi naprzeciw hordy, na którą nałożono loga różnych korporacji i aplikacji: Cargill, Google, Nestle, Bayer, Facebook, TikTok. Nad nimi, jak transparenty unoszą się napisy po angielsku 'Konsumuj' i 'Bądź posłuszny' z filmu 'Oni żyją'. W tle widać napis 2025, a w górnej części obrazka, po angielsku: 'Nie pozwól, żeby zabrali ci duszę'.

Źródła: Yū Sasuga i Kenichi Tachibana, manga „Terra Formars”, rozdział 115 (wznowiona w 2024 roku po długiej przerwie :metal:); napisy z filmu „Oni żyją”. Przeróbki moje.

Spis treści

Sprawy na świecie

Uznanie Google’a za monopolistę

Google’a można uznać za jednego z głównych antagonistów tego bloga. Głównie ze względu na masowe zbieractwo danych i oddawanie ich – w pakiecie ze sporą częścią współczesnego internetu – w ręce reklamodawców i innych korpogigantów.

Sprzeciw wobec praktyk Google’a to nie tylko wymysł buntowniczej blogosfery. Również amerykański Departament Sprawiedliwości się za nich wziął i zarzucił im, że zyskali swoją dominującą pozycję przez zmowy i blokowanie konkurencji.
Sąd, po długiej analizie dowodów, orzekł na niekorzyść Google’a. W wyroku nazwał go monopolistą.

Obecnie trwa planowanie kary; może nią być na przykład nakaz wydzielenia przeglądarki Chrome jako osobnej firmy. Google błaga, żeby im tego nie kazali robić.
Wywołałoby to małą rewolucję, bo to sam środek zintegrowanego pionowo „gmachu”, nad którym Google ma kontrolę. Jeśli za jego podstawę uzna się fizyczny sprzęt i system Android, a za górną część serwisy internetowe, to Chrome tkwi w samym środku.

Warto też dodać, że sprawa dotyczyła wyszukiwarki. Łatwo o tym zapomnieć, bo to sam rdzeń działalności Google’a, więc na rozprawie przewijało się wiele innych produktów – przeglądarka Chrome, system Android…

A tymczasem to zaledwie jedna ze spraw czekających na rozstrzygnięcie. Pod lupą sądów jest też rzekoma zmowa z Facebookiem (kryptonim Jedi Blue) czy możliwe zmonopolizowanie giełd reklamowych.
A że sąd już zasugerował przy tej „wyszukiwarkowej” sprawie, że kolejni sędziowie mogą łatwo nie darować Google’owi usuwania wewnętrznych wiadomości (potencjalnych dowodów)… To gigant może dostać też na innych frontach.

Ale Google odpowiada ogniem. W tym roku już na pewno przepchną przynajmniej Manifest v3, osłabiający dodatki od blokowania reklam. Poza tym zamierzają poluzować zasady dla swoich partnerów reklamowych, pozwalając na identyfikację użytkowników bardziej inwazyjnymi metodami.

Tracąc kontrolę w jednym aspekcie, próbuje ją zyskać w innym. Pozostaje mieć nadzieję, że nie zdołają wziąć zakładników, nim dosięgną ich kary.
Zaś w międzyczasie zachęcam do odgooglowania swojego smartfona.

Afery XZ i CrowdStrike – kruchość cyfrowej centralizacji

Ten rok przyniósł dwie głośne historie związane z cyberbezpieczeństwem.

Pierwszą z nich była próba użycia do cyberataku popularnego programu XZ (ściślej rzecz biorąc – biblioteki stanowiącej takie techniczne zaplecze tego programu; ale sprawa upowszechniła się jako „afera XZ”).

Atak był przygotowywany od lat. Haker, przedstawiający się oficjalnie jako Jia Tan, manipulował twórcą XZ, oferując mu pomoc i wkupując się w jego łaski. Potem zaczął dodawać do programu złośliwy kod i zachęcać innych, żeby zaktualizowali program do nowej (groźnej) wersji.

Dokładna natura zagrożenia nie jest do końca znana, bo złośliwy kod został szybko wykryty – anomalię dostrzegł pewien programista, widząc że łączenie się z bazą trwa pół sekundy dłużej niż zwykle. A że XZ to program open source (o publicznie dostępnym kodzie źródłowym), to szybko go przeszukał i znalazł zagrożenie.

Drugą wielką aferą była ta związana z firmą CrowdStrike.

Tutaj z kolei nie było cyberataku. Była natomiast wadliwa aktualizacja po stronie korporacji, której inni wielcy gracze płacą za ochronę przed atakami. A że programy tej firmy instalują się głęboko w bebechach systemu, to ich błąd prowadzi do wyłączenia całego urządzenia. A nawet „pętli śmierci”, wymagającej ręcznego resetu.

Efekt? Cały świat rozjaśnił się na niebiesko, kiedy różne firmowe komputery z systemem Windows przestały działać. Nie działały duże markety, lotniska, centrala Formuły 1… W USA nawet część szpitali.

Choć obie afery nieco wstrząsnęły światem, moim zdaniem wszystko potoczyło się w najlepszy możliwy sposób:

  • idea korporacyjnego outsourcingu cyberbezpieczeństwa do jednego wielkiego podwykonawcy, bez konieczności osobistego poznania zagrożeń, została skompromitowana;
  • świat open source pokazał swoją siłę, a publiczna dostępność kodu pozwoliła szybko rozpoznać zagrożenie, gdy pojawiły się pierwsze niepokojące sygnały.

Mimo wszystko obawiam się, że kiedyś w końcu jakiś większy cyberatak się przemknie. Rozlegną się wtedy lobbystyczne głosy przemawiające za restrykcjami i uszczelnianiem.

W wariancie lżejszym – nawołujące do uznania tylko wybranych produktów (oczywiście od dużych firm) za zaufane i dopuszczane do interakcji. W wariancie cięższym – patologie zupełne, jak weryfikacja tożsamości, żeby móc publikować w znanych miejscach swoje programy open source.

A na to kompletnie, pod żadnym pozorem, nie można pozwolić. Już wolę hakerów od monopolistów.

Newag i ciąg dalszy afery

Skoro już jesteśmy przy cyfrowej centralizacji, to wypadałoby też wspomnieć o firmie Newag, polskim producencie pociągów.

Rok temu pewien niezależny zakład naprawczy mimo usilnych starań nie był w stanie naprawić pociągów Newaga. Wynajęli firmę Dragon Sector, speców od inżynierii wstecznej (potocznie: „dobrych hakerów”), bo mieli podejrzenia, że problem tkwi w komputerach.

Wyszło na jaw, że w programach sterujących pociągami znajdował się złośliwy kod. Zatrzymujący je po upływie określonego czasu i wymuszający skorzystanie z serwisu.
A także inny kod, który uniemożliwiał ponowne uruchomienie pociągów, jeśli według GPS-a były u konkurencji. Czytaj: stały w którejś z zaprogramowanych lokalizacji odpowiadających niezależnym zakładom naprawczym.

Wybuchł wielki skandal, głos w sprawie zabrali politycy, a także zagraniczni twórcy internetowi poruszający kwestie centralizacji. Cyfrowa zależność przez pewien czas stała się tematem całkiem mainstreamowym. Wydawało się, że nastąpi happy end.

Ale od tamtego czasu niestety wyszła na jaw smutna prawda – jak świetnie ktoś by nie ogarniał cyfrowego świata, ostatecznie wszystko rozstrzyga się w świecie realnym. Ze wszystkimi jego układzikami i kruczkami prawnymi.
Nastąpiły spotkania. Różni ludzie w garniakach zapewne stukali teczkami, szeleścili dokumentami, porównywali swoje wizytówki. W efekcie:

  • Newag pozwał ekipę z Dragon Sectora, która ujawniła aferę;
  • pozwał również zakład naprawczy, który ich zatrudnił;
  • pozwał posłankę, która przodowała w badaniu nieprawidłowości;
  • podczas posiedzenia komisji posłowie z okolic Nowego Sącza (gdzie działa Newag) stanęli po stronie firmy;
  • Newag wygrał w przetargu PKP Intercity.

Tak, moi drodzy – świat bywa zgniły.
Pozostaje mieć nadzieję, że wszystkie prowadzone sprawy okażą się tylko graniem na czas, a oliwa sprawiedliwa jednak na wierzch wypłynie.

Zboże, Bovaer i Belarus – sprawy rolnicze

Lubię czasem eksplorować konkretne branże spoza cyberprzestrzeni. Jak rolnictwo.

Gdybym miał zestawić tegoroczne sprawy rolnicze z komputerowymi – młoda cyfrowa korpooligarchia raczej obrywa za swoje. Ale ta wiekowa, która rozsiadła się wokół podstawowych towarów, ma się dobrze, umacnia swoją kontrolę i przemyka poniżej radaru. A szkoda.

Afera zbożowa

W lutym tego roku opisywałem aferę zbożową.

Mówiąc, że mamy sytuację awaryjną, politycy znieśli opłaty za wwóz zboża z Ukrainy do Unii Europejskiej, co spowodowało napływ wielkich jego ilości. Miało docelowo jechać dalej, m.in. do Afryki, ale część rozjechała się po Polsce.

Uwaga społeczna skupiała się albo na obawach o zdrowie (straszono pojęciem „zboże techniczne”), albo na odwiecznej plemiennej wojence politycznej. Swoje oczywiście dorzucili Rosjanie, napuszczając ludzi na siebie (skutecznie; wystarczył np. jeden prowokacyjny transparent, żeby wielu miastowych odwróciło się od rolników).

W swoim wpisie zaproponowałem nieco inne spojrzenie na sprawę, wskazując na to, że rolników warto zrozumieć, a tych polskich i ukraińskich w rzeczywistości więcej łączy niż dzieli.
Ci z Ukrainy są wyciskani przez duże rolnicze koncerny (o czym piszą największe ukraińskie gazety). A ci z Polski obrywają przez to, że zapadła odgórna decyzja znosząca de facto normy, które ich chroniły wewnątrz Unii.
Decyzja, dodajmy, zadziwiająco korzystna dla gigantów. Na Ukrainie wyprodukowali po taniości, a teraz po taniości wywiozą.

Przy okazji przedstawiłem czterech takich gigantów.
Archer Daniels Midland. Bunge. Cargill. Louis Dreyfus. W skrócie ABCD. Firmy, których nazwy warto zapamiętać.

Spośród nich szczególnie ciekawi mnie Cargill. Choć jest spółką prywatną, nieobecną na giełdzie, osiąga przychody porównywalne z giełdowymi gigantami. Przy aferze zbożowej nie było tego po nim widać, bo – zgodnie z opublikowaną listą firm ściągających zboże do Polski – sprowadził we własnym imieniu stosunkowo małe ilości.

Numerem jeden na liście była zaś firma Złote Ziarno – pośrednik („zbożowy VPN”), który sam nie przerabia zboża, więc zapewne ukrywa się za nim ktoś inny. Kto taki?

Bovaer

Kolejną głośną sprawą był bojkot Bovaera – dodatku do pasz dla krów, który ma sprawić, że w krowich żołądkach będzie powstawało mniej metanu.
Gdy ludzie się dowiedzieli w grudniu 2024 roku, że wielcy producenci mleka planują stosować ten dodatek, to doszło do wielkiego bojkotu (z epicentrum zapewne w Wielkiej Brytanii).

W swoim wpisie na początku robię dość typową weryfikację faktów i obalam parę obaw, które uznaję za naciągane. Jak rozdmuchiwanie rutynowych ostrzeżeń z ulotki produktu. Albo niesłuszne doszukiwanie się roli nielubianego miliardera w całej sprawie.

Potem jednak zwracam uwagę na realne kontrowersje. Na uzależnienie od jednego producenta (mającego patent na antymetanowe stosowanie 3-NOP, składnika aktywnego produktu). Na fakt, że ekspansja dodatku jest zadziwiająco zgrana ze zmianami w przepisach i dopłatami spychającymi ku niemu.

Ciekawostka

Bovaer nie jest jedynym dodatkiem wprowadzonym w tym czasie. Oprócz niego w 2022 roku na rynek trafił inny, SilvAir, oparty na azotanie wapnia. Również opatentowany. Od wspomnianego wyżej wpływowego giganta, Cargilla.

Fajnie by było, gdyby ludzie w swoim bojkocie bardziej się skłaniali ku kwestiom centralizacji niż zdrowia. Ale, skoro już jest jak jest… Można przynajmniej potraktować sprawę jak barometr nastrojów społecznych. Widać, że są napięte, a kredyt zaufania wobec korposów bliski zera.

Traktory Belarus

Tej afery z kolei nie opisałem na blogu, ale elegancko uzupełnia zdarzenia z rolniczej kategorii, więc też o niej wspomnę (dziękuję Czytelnikowi za podrzucenie tematu na maila).

Problem polegał na tym, że do Polski sprzedawano traktory firmy Belarus, które nie spełniały obowiązujących norm spalania. Z formalnego punktu widzenia nie miały prawa jeździć po drogach.

O sprawie było wiadomo od kilku lat (artykuł z 2021 roku), problemy gromadziły się jak chmury burzowe. Mimo to sprzedaż traktorów nie ustawała. Importer obchodził restrykcje, sprzedając traktory jako używane. Jakimś cudem nikt nie ukrócił tego procederu.

Teraz przyszła burza. Zapadł wyrok Naczelnego Sądu Administracyjnego, uznający traktory za nieuprawnione do poruszania się po drogach publicznych.
Wszystko wskazuje na to, że kilka tysięcy rolników straci swoje traktory (albo będą musieli trzymać je tylko na polu).

Ta sprawa, podobnie jak afera zbożowa, również może być trudna do rozplecenia.
Jaka część tego miksu to urzędnicze zaniedbania, jaka to celowe zatajanie wad przez Belarusa, jaka to rolnicza samowolka? Czy jest w tym element białoruskiej prowokacji i wojny hybrydowej (o restrykcje wobec Belarusa wnioskowało CBA)?

Jeszcze nie wiem, temat do zbadania. Mogę natomiast wspomnieć o centralizacji. Jak pisze o tych traktorach farmer.pl, jeden z większych portali rolniczych:

wszelkie kłopoty można było usunąć we własnym zakresie (jak ktoś ma smykałkę do mechaniki) lub zmieścić się w kosztach, które nie szokują. (…) głównym targetem firmy byli mali i średni rolnicy indywidualni pracujący w gospodarstwach rodzinnych.

Zapominając na moment o genezie traktorów: zwyczajnie smuci mnie fakt, że oberwie to, co mniejsze, lokalne, rozproszone. A przyroda nie lubi pustki, więc możliwe, że lukę zapełni taki na przykład John Deere i jego sztuczne blokady cyfrowe, uzależniające ludzi od oficjalnych, drogich serwisów firmy.

Sprawa Luigiego Mangionego

W tym roku nastąpiła rzecz bez precedensu. Pojedynczy człowiek, niejaki Luigi Mangione, zastrzelił prezesa wielkiej amerykańskiej firmy ubezpieczeniowej UnitedHealthcare. Krótko po tym został złapany.

Na miejscu zbrodni zostawił łuski od nabojów podpisane słowami: delay, deny, depose.
Mają one specjalne znaczenie, bo obrazują w skrócie taktykę, jaką stosują ubezpieczalnie, żeby nie pokryć kosztów leczenia (nawet jeśli powinny to zrobić według umowy). W wolnym tłumaczeniu: „zwlekanie, odmowa, walka sądowa”.

Niektórych może zaskoczyć fakt, że Mangione został przez wielu Amerykanów okrzyknięty kimś w rodzaju bohatera ludowego. Nawet przed tym, jak poznano jego tożsamość. W Europie ta radość może wywoływać zdziwienie – „no tak, ubezpieczalnie czasem lecą w kulki… ale żeby aż zabić?”.

Ta sprawa jest ściśle związana z systemem amerykańskim, gdzie układy między firmami-pracodawcami, ubezpieczalniami a szpitalami są zgoła inne niż w Europie. Skala firmowych nadużyć jest znacznie większa.
Nie znając kontekstu, trudno zrozumieć niektóre wątki. Dlatego w miarę wolnego czasu chętnie go przybliżę.

Nie sądzę, żeby sam czyn wiele zmienił na poziomie firmy UH. Wielkie spółki akcyjne nie są jak „folwarki jednego dyrektora” znane z Polski. Nawet zarząd to wymienne trybiki na łasce inwestorów. Zastąpią zmarłego innym człowiekiem po szkole biznesu.
Jeśli natomiast chodzi o memiczność (rozumianą ogólnie, jako wpływ na świadomość społeczną, a nie śmieszne obrazki), to sprawa może okazać się przełomowa. Zobaczymy.

Ciekawostka

Sprawa ma również aspekt prywatnościowy – Luigi zadbał o parę rzeczy, jak zakrywanie twarzy na ulicy, ale olał inne, przez co szybko go złapali. Interesującą analizę tematu z tego punktu widzenia można znaleźć na kanale The Hated One (YouTube).

Sprawy blogowe

Jeśli chodzi o kwestie prywatnościowe, omówiłem wreszcie to, co od dawna chciałem, czyli analizę ruchu sieciowego. Rzeczy, jakie są w stanie odczytać o nas różne podmioty (głównie operatorzy telekomunikacyjni), śląc internetem informacje wszelakie. Od nas i do nas.

Często są one zaszyfrowane… Ale metadane wystają poza szyfry, pozwalając ustalić na dłuższą metę, co nas interesuje, jaki jest nasz rytm dnia. A nawet, w skrajniejszych przypadkach, co dokładnie czytamy albo z jakimi ludźmi mamy wideokonferencje.

Dałem też nieco głębszego nura w tryb prywatny przeglądarki. Wbrew skrajnym opiniom nie jest to ani panaceum, ani bezużyteczna zabawka. Jest czymś pomiędzy – daje realną ochronę, ale dopiero po zadbaniu o parę podstaw, jak nielogowanie się na strony, uważanie na linki czy użycie innego adresu IP niż przed jego włączeniem.

Swoją drogą, tworząc ten ostatni wpis, miałem okazję często linkować do wpisów z serii „Internetowa inwigilacja”, jakie mi się nagromadziły. To fajne uczucie, kiedy nie muszę każdorazowo wyjaśniać wszystkiego od nowa. Wystarczy dać zajawkę i odesłać po więcej do swoistej bazy wiedzy. Napisanej po mojemu, na miejscu, bez reklam – czego by nie dawały źródła zewnętrzne.

Plany

Uznałem, że taka baza wiedzy przyda się również dla wpisów aferkowych. Dlatego jedną z rzeczy, jakie planuję rozpocząć w tym 2025 roku, będzie nowa seria. Corponomicon. Omówienie sztuczek powtarzających się między korporacjami, po jednej na wpis.

A do tego akcelerometr, maszyny wirtualne, ogólny przewodnik po Torze i VPN-ach, więcej przykładów międzynarodowej branżowej propagandy. Nawet gdyby rok nie był ciekawy, postaram się, żeby przynajmniej blog taki był :wink:

Do zobaczenia w kolejnych wpisach!