Tag Archives: Linux

ID-tarkvara paigaldamine Linuxile

Blogiseeria selles osas uurime ID-kaardi tarkvara paigaldamist Linuxile. Väga kasulik on eelnevalt tutvuda ID-kaardi installeerimisega mõnel teisel platvormil (näiteks Windowsil), siis on lihtsam ootusi häälestada ja tulemust hinnata.

Kui Sa pole süsteemiadministraator, siis lihtinimesele ainuke enam-vähem töökindel rada ID-kaardi tarkvara installimiseks on operatsioonisüsteemi (OS) kõige viimane versioon koos ID-kaardi tarkvara kõige viimase versiooniga. Kirjutamise hetkel tähendab see Ubuntu 16.10 versiooni kuniks aprillis 2017 saabub (ja millalgi saab toetatud) Ubuntu 17.04.

Tädi Maali katsetused erinevate Linuxitega (v.a kõige viimane versioon Ubuntu 16.10) näitasid, et eri distrotega (distributsioonidega) tekib erinevaid põhimõttelisi probleeme, ennekõige sirvikute (veebilehitsejate) puhul.

Autor: Anto Veldre

Ubuntu 14.04-05 puhul hakkasid mõlemad sirvikud küll tööle, ent alles pärast arutut hulka restarte, uuendusi ja moodulite korduvat häälestamist. Ubuntu 15.04 sattus ajaliselt sirvikute turvaideoloogia vahetushetkele ja selle sirvikutele allkirjastatud (e töötavaid) mooduleid enam ei toodeta. 15.10 all hakkas alul tööle üks brauser ja pärast teine, ent ühekorraga ei õnnestunud neid tööle panna isegi pärast arvuti korduvaid restarte. Distro 16.04 LTS puhul Chrome tööle ei hakanudki (testija kannatus katkes). Distrot 16.10 sai proovitud kolmes eri masinas, neist kahel Chrome ID-kaardiga tööle ei hakanudki (kiireimal masinal hakkas) ning üks isend kolmest suutis hangutada isegi haldusvahendi.

Linuxi toe puhul jääb täiesti ilmselt probleemiks, et häkkerid lahendavad iga ettesattunud probleemi vaid enda jaoks ja toote lihvimiseks vajalikku kriitilist kasutajate massi ei kogune. Mistõttu mul on siinkohal tõsine palve – andke palun igast lahendatud või isegi lahendamata murest (ID-kaart & Linux) teada ka telefonil 1777, et anda tagasisidet.

Murekohad

Olulised “tisklaimerid” ID-kaardi tarkvara juurde Linuxi all:

  1. Pigem läheb käima Firefox kui Chromium, ent kui Firefox mõne äkilise uuendusega välja tuleb, võib ajutiselt juhtuda ka vastupidi.
  2. Pigem läheb tarkvara käima käima uuel, 4GB+ mäluga arvutil kui mõnel vanal masinal.
  3. Ennemini läheb käima autentimine kui allkirjastamine. Aga kui autentimine käima ei läinud, siis pigem ei lähe käima ka allkirjastamine (mis on üllatav, kuivõrd autentimise ja allkirjastamise alamsüsteemid sirvikutel käivad eri radu).
  4. id.ee instruktsioonide järgimine ei ole sihini jõudmiseks piisav – leidub veel hulk salanippe, mille peale alati ei tulegi.
  5. Firefox eeldab, et käivitamise hetkel oleks ID-kaart juba lugejas, kaarti hiljem lugejasse pistes võivad tekkida “nähtused”, mis nõuavad suisa masina restarti.
  6. On kasulik teha restarti iga olulise paigaldus- või häälestustoimingu järel (see ei tohiks nii olla, ent on). Juba pärast paaripäevast töötamist on kasulik (või töövõime taastamiseks möödapääsmatu) sirvikule restarti teha – Y- ja Z-põlvkonna kasutajate suureks meelehärmiks, kelle tööstiil teatavasti on 50 korraga lahtiolevat sirvikuakent.
  7. Linuxi mittekasutajatel on hea meenutada, et iga Unix (sh Linux) eristab suur- ja väiketähti, seega on täpsus failinimedes abiks.
  8. Olgu ära mainitud ka mainitud segadused 32 bit / 64 bit brauseritega. Kuni veebruari 2017 keskpaigani seisab Firefoxi juures tisklaimer, et ta 64-bit brauseriga ei tööta. Mida see praktikas tähendab, sellest tädi Maali aru ei saanud.
  9. GUI disain muutub mitme asjaosalise koostöös sedavõrd koledaks, et Maci esteedid saaksid rabanduse. Linuxi häkkerile on see pisiasi.

Allikas: kuvatõmmis

  1. Lõpuks, id.ee avaldus toetatud operatsioonisüsteemidest jätab üht-teist ütlemata:

Allikas: kuvatõmmis

Ütleme siis selgelt välja: reast on puudu Ubuntu 14.10 ja 15.04. Neid ei toetata. Haldusvahend ja Digidoc3 lähevad küll kenasti käima, ent sirvikumooduleid ID-kaardiga tööle saada pole võimalik. Teatest ei ole võimalik välja lugeda 32/64bit distrote kõlblikkuse täpseid asjaolusid – näiteks 14.04-05 distrot sai proovitud mõlemas variandis ja selgust ei saabunud.

Ka ei räägi ametlik toetusrida midagi lUbuntu, kUbuntu, xUbuntu, Ubuntu Mate ja teiste erifookusega distrote kohta. Rõõmus uudis kõlab, et need käituvad enamjaolt nagu samanumbrilised põhidistrod – garantiid anda ei saa, aga tasub proovida!

Paigaldus

Paigaldamise töövoog on esitatud alljärgneval diagrammil.

Autor: Anto Veldre

Tuleb järjest läbi käia kolm rada, kusjuures järgmist ei võeta ette enne kui eelmine on edukalt läbitud. Allpool on ka väga detailne joonis kõigist tegevustest, mis tuleb paigaldamise, häälestamise ja testimise käigus läbida:

Autor: Anto Veldre

Raja A läbimine garanteerib, et programmid on õigesti paigaldatud. Rada B sunnib kasutajat kontrollima oma teadmisi: PIN-koodide olemasolu ja elementaarseid kasutamisoskusi. Lõpuks, raja C läbimine kindlustab, et sirvikud saavad ID-kaardi tarkvaraga hästi läbi ja nõustuvad koostööd tegema.

Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

Rada A

Raja A läbimine (tegevused 1–5) paigaldab vajaliku tarkvara ning annab kindluse, et kaardilugeja töötab ja ID-kaardi sisu on operatsioonisüsteemile üldse nähtav.

Algus > 1. Uuenda arvuti tarkvara! > Rebuut! > 2. Paigalda arvutisse ette ära kõik vajalikud sirvikud > 3. Paigalda UUSIM versioon ID-tarkvarast > 4. Ühenda kaardilugeja arvutiga, pista ID-kaart sisse (ja hoia seal lõpuni) > 5. Kontrolli ID-kaardi loetavust haldusvahendiga >

Autor: Anto Veldre

Tegevus 1 – uuendamine/värskendamine/ajakohastamine – käib kas automaatselt või kamandatakse administraatorina käsurealt:

sudo apt-get update

sudo apt-get upgrade

Tegevus 2 – paigaldamine. Linuxi all on kasulik mitte hakata uusimaid tarkvaraversioone käsitsi kohale tõmbama. Kodukasutajal soovitan jätta paigaldamine ja uuendamine distributsiooni autorite kontrolli alla (ning mitte paigaldada ise asju algkoodist)… siis on suurte turvaaukude puhul lootust, et mure kiiremini ära paigatakse. Maitse asi, kas pruukida mõnd graafilist uuendit (mina eelistan Synaptic’u nimelist) või suisa käsurida:

apt-get install chromium-browser

Tegevus 3 – ID-kaardi tarkvara installides tuleb lähtuda id.ee veebisaidi suunistest. Põhjus: see blogi siin võib aeguda, id.ee saidi sisu uuendatakse pidevalt. Sinna Linuxiga minnes antakse platvormikohaseid soovitusi:

Allikas: kuvatõmmis

Linuxi all toimub ID-kaardi tarkvara paigaldamine shelli skriptiga, mis aga tuleb eelnevalt ID.ee saidist alla tirida:

Allikas: kuvatõmmis

„Save“ valikuga nõustudes salvestub installiskript kataloogi /home/<KASUTAJANIMI>/Download/. Siis tuleb shelli akna (terminaaliakna) abil mainitud kataloogi siseneda ning seal asudes käsurealt kamandada:

sudo sh install-open-eid.sh

Administraatori õigustesse tõusmiseks küsitakse kasutaja parooli ning paigaldamise keskpaigas on vajalik üks Y |ENTER| vajutus.

Allikas: kuvatõmmis

Tegevus 4 – Ühenda kaardilugeja arvutiga (enamasti käib see USB abil, mõnikord aga on kaardilugeja salaja monteeritud arvuti korpusse) ning pista kaart lugejasse. Hetkel veel pole oluline, et tegu oleks uue ja kehtiva kaardiga, kõlbab ka vana.

Seda, kas ID-kaart on operatsioonisüsteemile nähtav, saab kontrollida käsurealt:

Allikas: kuvatõmmis

Tegevus 5 – Käivita ID-kaardi haldusvahend (alammenüüst Accessories) ning veendu, et haldusvahend näeb kaarti ning suudab andmed sellelt välja lugeda

Võimalikud veateated

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Eeldatav tulemus

Allikas: kuvatõmmis

Õnnitleme! Rada A on läbitud, tarkvara paigaldatud ja esmane kontakt ID-kaardiga saavutatud.

Rada B

Rada B on mõeldud krüptograafiaga kaasneva info kontrollimiseks:

  • kas PIN-koodid on meeles?
  • ega PIN-koodid ole lukustunud?
  • kas isikusertifikaadid kehtivad?
  • kas konkreetne kaart on võimeline krüptograafilisi toiminguid sooritama.

Autor: Anto Veldre

Tegevus 6 – PIN1 abil saab haldusvahendis avada oma passipildi (see tuuakse PPA andmebaasist). Selleks tuleb vajutada õigele lingile (“Load picture”) ja sisestada PIN1:

Allikas: kuvatõmmis

Kas nägid oma passipilti? Kui ei, siis pole mõtet edasi liikuda.

Allikas: kuvatõmmis

Tegevus 7 – PIN2 koodi kasutades tuleb Digidoc3 utiliidi abil digiallkirjastada mõni fail. Kuivõrd digiallkirjal on õiguslik tähendus, siis tuleks sel otstarbel valida mõni ohutu kiisupilt.

Allikas: kuvatõmmis

Hoiatus! Rada B tuleb kindlasti enne edukalt lõpetada, kui üldse raja C (ehk sirvikute konfigureerimise) juurde edasi liikuda. Põhjus – kui ID-kaart ei hakanud tööle kohalike utiliitidega, siis ülima tõenäosusega ei hakka ta tööle ka sirvikutega. Sestap on siin mõttepausiks vahel punane joon.

Rada C

Kolmas ja viimane rada kätkeb endas sirvikute konfigureerimist netis allkirjastamiseks. Lähtuda tuleb id.ee sellekohasest infost:

Autor: Anto Veldre

Raja C tegevusi tuleb korrata mõlemi sirviku jaoks eraldi. Otstarbekam on alul häälestada ära Firefox (keerulisem, ent õnnestub sagedamini) ning alles seejärel Chromium.

Parandus [2017-10-13]: veebileht sk.ee/tervitus pole enam käigus, esmatestimiseks logi sisse riigiportaali eesti.ee.

Tegevuse 8 (automaatinstalli tulemuste ülevaatuse) saab Linuxi puhul täiesti vahele jätta. Isegi kui install teeb midagi kasutaja eest ära, siis, vastavalt Linuxi ideoloogiale, õnnestumisest ei raporteerita, kasutajale sellest teada ei anta ega nõuta OK-vajutusi õnne aktsepteerimiseks.

Tegevus 9 – kontrolli, kas sirvik suudab operatsioonisüsteemi vidinatega suheldes Sind mõnda e-teenusesse autentida (sisse logida). Lihtsaim on selleks kasutada testimiseks mõeldud spetsiaalset tervituslehte https://www.sk.ee/tervitus.

 

Eeldatav tulemus

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Allikas: kuvatõmmis

Võimalikud veateated

Allikas: kuvatõmmis

(Ülalolev veateade paraku ei osuta jama sügavamatele põhjustele. Nimelt – viisakate e-teenuste https-ühendus moodustatakse viisil, et TLS pannakse püsti ID-kaardil leiduva krüptomaterjali abil. See omakorda eeldab kaardi „avamist“ PIN1 koodi abil. Kui sirviku ja ID-kaardi suhtlus miskipärast ei toimi, siis ei õnnestu püsti panna ka turvalist https-ühendust ja tervituskatse luhtub.)

Allikas: kuvatõmmis

NB! Muide, ka Linuxi all peab sirvikus autentimine hakkama ise tööle kohe pärast sirviku installeerimist (rada A, pärast sammu 3). Kui seda ei juhtu, siis on tegemist tõsise (ja paraku sagedase) probleemiga, millega (kui korduv restart ei aita) peaks tegelema spetsialist. Võimalikud vead: vale distro, uuendamata põhitarkvara, vanaraud. Kuniks pole autentimist tööle saadud, ei tasu allkirjastamise juurde üldse edasi liikuda (sest praktiliselt kõikidesse digisigneerimist nõudvatesse e-teenustesse tuleb eelnevalt sama sirvikuga sisse logida).

Tegevus 10 – Kontrollida, et brauseritel on lisamoodulid installitud. Tegevuses tuleb lähtuda id.ee juhistest:

Chromium

Chromiumis vajab ülekontrollimist üksainus laiendus (extension). Nn kolme-täpi-menüüst tuleb valida Settings -> Extensions. Laiendus nimega „Token Signing“ peab olema aktiivne (enabled). Kui polnud, siis tuleb see käsitsi aktiveerida ja teha restart sirvikule (või isegi arvutile).

Allikas: kuvatõmmis

Firefox

Firefoxis vajab ülekontrollimist üks laiendus ja üks plugin (ehk siis kokku tervelt kaks lisamoodulit). Märkus: jaanuaris 2017 ilmub ID-kaardi tarkvarast uus versioon, kus laiendusi on kaks. Laienduste menüüsse jõudmiseks tuleb nn kolme-triibu-menüüst tuleb valida Lisad:

Allikas: kuvatõmmis

Laiendustega on sel pildil kõik korras – „Firefox PKCS11 Loader“ ongi juba aktiveeritud:

Allikas: kuvatõmmis

Seevastu pluginate menüüd üle kontrollides selgub, et plugina olek vajab käsitsi sekkumist:

Allikas: kuvatõmmis

Plugin „(Firefox) Token Signing“ peab olema alati aktiivne.

Pärast muudatusi on soovitav teha restart brauserile või isegi arvutile (arusaamatu, kuid toimib). Pärast rebuuti tuleks laiendused/pluginad veel kord üle vaadata ning veenduda, et tehtud valikud on säilinud.

Allikas: kuvatõmmis

Tegevus 11 – Sirvikuga allkirja andmine. Hetkel kõige mugavam on teha esimesed katsed digidoc.ee keskkonnas. Sinna tuleb alul sisse logida, siis laadida üles mõni sobilik kiisupilt ning see lõpuks allkirjastada.

Digidoc.ee veebisait on värskelt muutunud, Estina on teinud selle rahvusvaheliseks, mistõttu on vaja läbida kohustuslik registreerimine (konto avamine) ning esineb piirang 5 digiallkirja kuus. Sellegipoolest on portaal testimiseks täiesti kasutatav.

Eeldatav tulemus

Allikas: kuvatõmmis

Allikas: kuvatõmmis

 

NB! Juhul kui ei õnnestu isegi digidoc.ee-sse sisse logida, siis marss tagasi Tegevuse 9 juurde!

Tegevus 12 – Tuleb sooritada sirvikuga allkirjastamise test veel mõnes teiseski e-teenuses, eelistatult pangas. Netipankade allkirjastamisskriptid on ühtlasi keerulised ja neid kasutatakse kõige sagedamini, mistõttu vead ilmnevad seal kõige kiiremini. SEB on valitud isikliku eelistuse põhjal, testida võib ka teistes netipankades.

Eeldatav tulemus

Sisselogimine:

Allikas: kuvatõmmis

Makse allkirjastamine:

Allikas: kuvatõmmis

PIN2 sisestus:

Allikas: kuvatõmmis

Nalja kah

Tänapäeval ei maksa ehmatada koledate keeleüllatuste üle mistahes tarkvaras. Mida küll võiks tähendada omahost, minuhost, temahost? Tähendusväärsel kombel „turvaseade“ on formaalselt õige, kuivõrd PIN1 tõesti avab ID-kaardi (turvaseadme), mitte ei liigu traatipidi panka (nagu tädi Maali naiivselt arvas). Kas Sina teadsid, et sisestatud PIN kood liigub vaid ID-kaardini ja ei kunagi kaugemale?

Allikas: kuvatõmmis

Räpane lehm CVE-2016-5195

Riigi Infosüsteemi Ameti intsidentide käsitlemise osakond (CERT-EE) kirjutab haavatavusest Linuxi tuumas.

dirty-cow

Allikas: https://www.turnkeylinux.org/blog/dirty-cow-kernel-privilege-escalation-vulnerability

Räpane lehm edaspidi Dirty COW on privileegide eskaleerimise haavatavus Linuxi Kernelis.

Mis on CVE-2016-5195?

CVE-2016-5195 on ametlik viide haavatavusele. CVE (Common Vulnerabilities and Exposures) on infoturbe haavatavuste nimede standard, mida haldab MITRE.

Miks just Dirty COW?

Linuxi Kerneli mälu alamsüsteemist leiti trügimishaavatavus (sündmustevahelist siirdelist ajalõiku nõrkusena ärakasutav rünne), mis käsitles copy-on-write (COW) privaatlugemiseks ainult (read-only) mälu kaardistust (memory mapping). See võimaldab lokaalsel kasutajal mööduda standardsetest failisüsteemi pääsuõigustest ning muuta faile, millele muidu õigused puuduvad.

Mida saan teha?

Tutvu allolevate linkidega ning järgi oma operatsioonisüsteemile vastavaid tegutsemisjuhiseid!

Rohkem infot haavatavate süsteemide kohta leiab allolevatelt linkidelt:

Mis teeb Dirty COW haavatavuse nii eriliseks?

Dirty COW haavatavus on olnud süsteemides 9 aastat ning seda on paigatud ühe korra. Seda on tunnistanud ka Linuxi Kerneli looja ise, põhjendades, et 11 aastat tagasi jäi paikamine poolikuks IBM süsteemide ühilduvusprobleemide tõttu.

mm-remove-gup_flags

Kuvatõmmi

Seega võib spekuleerida, et kasutajatel on olnud võimalus kirjutada privileege eskaleerides ohvri masinasse faile/tagauksi. Samuti on Dirty COW just nüüd erilise tähelepanu all, sest varem paigati see “enam-vähem” põhimõttel, kuid praeguseks on süsteemid arenenenud tohutu kiirusega tehes trügimisründe (sündmustevahelist siirdelist ajalõiku nõrkusena ärakasutamise) võimalikuks.

Kuidas toimib Dirty COW haavatavus?

Idee tõestamisekood (PoC kood) kasutab haavatavuse ära kasutamiseks faili read-only (ainult lugemiseks) olekus.

read-only

Kuvatõmmis

Pärast faili avamist read-only olekus kutsutakse esile mmap funktsioon, mis kaardistab faili mälu kasutades järgnevaid lippe (flags): f (varem avatud fail), PROT_READ (ainult lugemiseks), MAP_PRIVATE (lubab copy-on-write kaardistamist).

map_private

Kuvatõmmis

Mmap lubab nüüd lugeda mälus olevat faili või kirjutada mälus olevale koopiale.

Järgnevalt on vajalik luua kaks lõimu paraleelselt kasutamaks ära trügimishaavatavust. Trügimine selles kontekstis tähendab kahe lõimu sündmustevahelise ajalõigu nõrkusena ära kasutamist.

two-threads

Kuvatõmmis

Selleks on meil loodud lõim nr1 madvise süsteemikutse aitamaks Kernelil leida sobiv ettelugemise ja puhvri loomise võimalus. See on kriitiline osa haavatavusest. Madvise lõimule antakse kaasa lipp, mis paigutab Kernelile antava teabe: kuidas kaardistada mälu nii, et see ei kasutaks ära 100 biti mäluaadressil.

madvise

Kuvatõmmis

Need 100 bitti, mille kasutamist ei oodata, võib üle laadida uue sisuga, juhul kui peaks toimuma bittide samasse mäluvähemikku sattumine.

madv_dontneed

Kuvatõmmis

Lühidalt on võimalik eirata mälukaardistamise häid tavasid ning kasutada trügimist, tekitamaks olukorda, kus kasutaja sisend kirjutatakse originaalfaili, mitte enam mälus olevasse koopiasse.

Kas on oodata Dirty COW paika?

Jah, see on juba valmis. Paik sisaldab endas ainult kolme rida koodi.

paik

Kuvatõmmis

Me kõik jääme vanaks

analüütik Anto Veldre

Microsoft_Windows_XP

Mida küll võiks tähendada asjaolu, et eesti.ee külastajatest 56% kasutab operatsioonisüsteemi Windows 7, mille “peavoolu” tugi lõpetati juba jaanuaris 2015? Aga eks ikka seda, et põhjusel või teisel on eesti inimene üritanud läbi ajada nii vana arvutiga, kui veel parasjagu võimalikuks osutub.

Ideaalses maailmas tarvitseb vaid jalgrattatöökotta helistada ning nad on kohe valmis 1885. aasta mudelit teenindama. Vähem ideaalses (ehk siis tegelikus) maailmas on tagavaraosad sellele mudelile ammu otsa saanud, rataste mõõdud osutuvad mittestandardseks ning peale kollektsionääride keegi nii vana rattaga tegeleda ei taha.

Majandusseadused kehtivad igal ajal ühtemoodi. Et saada suurimat tulu, tuleb toodete nomenklatuur hoida mõõdukas ja tagavaraosade laovarud väikesed. Lisaks, kui mehhaanik asuks õppima kõigi rataste remontimist alates aastast 1869, siis selle peale kuluks kogu tema aeg ning töökotta remontima ta kunagi ei jõuakski.

Paralleelid arvutimaailmaga on ilmsed. Tegelikult on IT-maailmas asi veelgi hullem. Tehnoloogia on oluliselt keerukam. Vahel tuleb välja vahetada terve tehnoloogiapõlvkond. Näiteks Windows 3.11 kadus seetõttu, et failinime pikkuseks sai olla kõigest 8 märki.

Arvuteid kuuris toota ei saa (enam), tegemist on väga kalli tööstusharuga, kus tuleb oma investeeringud ja kulud tagasi teha. Terve kimbu “ehkudega” saab ju Windows XP’d edasi pruukida, kuid see muutub üha ohtlikumaks. Ühel hetkel laseb kodune ruuter läbi mõne rünnaku, mida relikt-toode või kodaniku andmed üle ei ela. Kas see hetk on täna, tuleb homme või oli ära juba eile? Windows XP oli Microsofti kõige pikaealisem operatsioonisüsteem, kuid võta või jäta: selle tugi sai läbi, uuemad tooted on peale tulnud ning … nojah. Ärge siis vaest Microsofti ka väga kiruge, nad ei saa oma kontorit kinni panna XP surma oodates ja ülejäänud maailma eirates.

Tegelikult on võtmeküsimus hoopis selles, kas “uut” XP plaati saab installida igavesti? Vastus on: ei, kindlasti mitte. Ühel päikesepaistelisel päeval lülitab Microsoft oma seerianumbriserverid välja ja sellest hetkest alates ei õnnestu XP’d isegi enam installida mitte. Üllatus?

Üllatust ei tohiks olla. Kui jalgratas on ese, siis seda ka remonditakse nagu eset. Arvutiprogramm reeglina ei ole ese, arvutiprogramm moodustub bitikombinatsioonist ja sellega kaasnevast teenusest. Teenuse ülalpidamine aga maksab raha – serverid võtavad ju voolu ja itimees küsib ka palka. Bitikombinatsioon ehk jääbki, aga kui ikka teenust enam pole, siis enamik kaasaegseid arvutiprogramme, näiteks need, mis asuvad meie nutiseadmetes, lõpetavad töö.

Sestap oleks inimestel vaja pisitasa harjuda uue majandusmudeliga, kus teenuse osakaal järjest kasvab. Juba räägitakse ääri-veeri, et Windows 10 saab olema viimane Windows. Pärast seda programm kui säärane kaob ja jääbki vaid teenus kusagil pilves.

Jutu algusse naastes, täna pruugib Eesti internetikasutajatest 10% endiselt Windows XP’d. See number langeb ja siin oleme kenasti maailma tasemel. Hoopis hull on aga lugu Windows 7’ga – nagu eespool öeldud, kõigist eesti.ee pruukimisjuhtudest moodustab Win7 suisa 56%. Microsoft ei väljasta Win7-le enam uuendusi ega põhimõttelisi parandusi, selle operatsioonisüsteemi müük on lõpetatud.

Mida teevad konkurendid?

Apple hoiab korraga toes vaid kaht, maksimaalselt kolme versiooni. Täna on nendeks:

  • OS X 10.8 “Mountain Lion”,
  • OS X 10.9 “Mavericks”,
  • OS X 10.10 “Yosemite”.

Linuxeid on väga mitut tõugu, kõige levinum neist on Ubuntu ja nemad on asja lahendanud lihtsalt – igal ajahetkel peetakse vaid üht pika perioodiga toodet (Ubuntu 14.04LTS), teisi tuleks uuendada.

Millised peaksid olema riigi valikud ning kuhu paisata ID-kaardi ökosüsteemi uuendamiseks ette nähtud maksuraha? Kas eirata reaalsust ja toetada muldvanu tooteid? Või panustada üksnes neisse toodetesse, mis kestavad veel mitmeid aastaid? Need on otsused, mida tarkvara eest vastutajatel paratamatult tuleb teha. Majanduslik reaalsus ei lase idealistlikel imedel paraku sündida, piirates saadaoleva toe vaid iga toote kõige uuemate versioonidega. Kord ammu ütles püha Fransiscus, et “Jumal, anna mulle meelerahu mitte muretseda asjade eest, mida ma muuta ei saa, julgust muuta asju, mida ma muuta suudan, ja tarkust nende kahe vahel vahet teha”.

Võitlus IT-firmade toote- ja toemudeliga vist viiks meelerahu. Kuid võimalik on muuta iseenda käitumist – hoides oma arvutis kõik tarkvaraversioonid kas viimase peal või vähemasti vastavuses toetatud asjade nimistuga. Kui tekib oht toevööndist väljalangemiseks, tuleb julgus kokku võtta ja teha mõni tark otsus: kas muretseda uuem tarkvara või teenus (ja paratamatult võib neist mõne eeltingimus olla kallim rauatükk) või tuleb hoopis juurde õppida mõni keerulisem käitumismall (nagu Linux või nagu oma andmete loovutamine Google’ile), mis võimaldaks edaspidi odavamalt läbi ajada.

Punasest toejoonest allapoole jäämist ei soovita täna kellelegi – vana kronu seljas ratsutades kulub väärtuslik aeg tagajärgedega võitlemisele, selmet mõtestatult tegutsedes uusi väärtusi luua.