ინვესტიცია NASDAQ-სა და NYSE-ზე განთავსებულ საჯარო კომპანიების აქციებში ანუ გამდიდრების ისტორიული შანსი საქართველოს მოქალაქეებისთვის

 

შესაძლოა, სათაური ხმამაღლა ჟღერდეს, მაგრამ ნამდვილად ასე მგონია, რომ 2021 წლის 6 დეკემბერს საქართველოს მოქალაქეებმა მიიღეს გამდიდრების ისტორიული შანსი. ზოგადად, ქვეყნის მოსახლეობის სიღარიბის მთავარ მიზეზად 21-ე საუკუნეში მიმაჩნია წვდომის უქონლობა ფინანსურ ინსტრუმენტებთან, რომელთა საშუალებით ადამიანს შეუძლია ფული დააბანდოს მსოფლიოს მოწინავე საჯარო კომპანიებში (Public Companies). მარტივად, რომ ვთქვათ, ვინმე რაჟდენ სეფერთელაძეს, რომელიც ცხოვრობს პირობითად ჩოხატაურში, საქართველოს ბანკის კლიენტია, აქვს იაფფასიანი სმარტფონი და ამ სმარტფონში დაინსტალირებული აქვს საქართველოს ბანკის მობაილ ბანკის აპლიკაცია, გაუჩნდა შანსი გახდეს ისეთი კომპანიის თანამეწილე, როგორიცაა, მაგალითად, Microsoft Corporation-ი. ეხლა კი შევეცდები მარტივი ქართულით ავხსნა, თუ რატომ არის რაჟდენისთვის ისტორიული შანსი 2021 წლის 6 დეკემბერს მომხდარი მოვლენა.

დავიწყებ პირადი ისტორიით. 24 წლის ასაკში, როდესაც წავიკითხე თეოდორ დრაიზერის "სურვილის ტრილოგია", რომელიც შედგება 3 ნოველისგან: "ფინანსისტი", "ტიტანი", "სტოიკი", სადაც მოთხრობილია მთავარი გმირის ფინანსისტ ფრენკ ალჯერნონ კაუპერვუდის ცხოვრების ისტორია, რომლის პროტოტიპიცაა ჩარლზ ტაისონ იერქსი (Charles Tyson Yerkes) - ამერიკელი ფინანსისტი, რომელმაც თავის მხრივ, დიდი როლი ითამაშა ჩიკაგოსა და ლონდონში საზოგადოებრივი ტრანსპორტის განვითარებაში... და აი ამ გმირის, კაუპერვუდის წყალობით დავინტერესდი ფინანსებით და მომცა ბიძგი, რომ გავრკვეულიყავი საფონდო ბირჟის არსში, ფინანსურ ინსტრუმენტებში და ა.შ. ვისაც კითხვა არ გიყვართ და ფინანსების თემაზე უფრო თანამედროვე რაიმე სერიალი გაინტერესებთ, გირჩევთ Showtime-ის "მილიარდებს" (Billions), სადაც საკმაოდ ნიჭიერადაა ნაჩვენები თანამედროვე აშშ-ს ფინანსური და პოლიტიკური ცხოვრება. მთელს სერიალს გენერალურ ხაზად დაყვება მილიარდერი რობერტ აქსელროდისა და პროკურორ ჩაკ როადსის დაპირისპირება. სადღაც სხვაგან წავედი... მე ხომ ერთი ჩვეულებრივი აიტიშნიკი ვარ და 2019 წლის იანვარში, როდესაც მე, ჩვეულებრივი აიტიშნიკი, ვუყურებდი CES-2019-ზე (Consumer Electronics Show) AMD-ს CEO-ს დოქტორ ლიზა სუს (სუსი არაფერ შუაშია 😀)  გამოსვლას, რომელიც აღვიქვი Intel-ის ნახევრადგამტარების ბიზნესში ლიდერობის ხანგრძლივი ეპოქის დასრულებად. დავინახე შესაძლებლობა, რომ გამომეყენებინა შანსი და შევმხტარიყავი AMD-ს სწრაფად წინ მიმავალ ფინანსურ ელმავალზე ანუ უნდა მეყიდა AMD-ს აქციები. 2019-წლის იანვრისთვის AMD-ს აქცია 19$-ის ფარგლებში ივაჭრებოდა და ერთადერთი ჩემთვის ცნობილი საშუალება (მადლობა ინფორმაციისთვის ჩემს კოლეგას ხაზინის დეპარტამენტის უფროსს) რომ შემეძინა აქციები, იყო Galt & Taggart - ში საბროკერო ანგარიშის გახსნა (მინიმალური დეპოზიტი 1000$ იყო)... რა თქმა უნდა, ეს თანხა ხელთ არ მქონდა... ცნობისათვის დღეს AMD-ს აქციები 150$-ის ფარგლებში ივაჭრება, ანუ 1000$-ის დაბანდებისას დღეს 7000$-ი იქნებოდა.

ეხლა რა ხდება 2021 წლის 6 დეკემბრიდან, თუ რაჟდენ სეფერთელაძესავით ხარ საქართველოს ბანკის კლიენტი და გაქვს შენს სმარტფონში მობაილ ბანკის აპლიკაცია, პირდაპირ აპლიკაციაშივე არეგისტრირებ საინვესტიციო ანგარიშს (რაც 6 დეკემბერსვე გავაკეთე), შემდეგ მოგდის email-ზე დასტური, რომ ანგარიში შეიქმნა, შეგიძლია საქართველოს ბანკის ანგარიშიდან შეიტანო თანხა (მხოლოდ აშშ დოლარი) საინვესტიციო ანგარიშზე და დაიწყო აქციებში ინვესტირება...

ეხლა ერთი მომენტი. რა განსხვავებაა ინვესტირებას და ბროკერობას კაპიტალის განიავებას შორის. ინვესტორს და ბროკერს შორის გასხვავება არის ვაჭრობის ოპერაციების სიხშირეში. ინვესტორი აწონ/დაწონის დააბანდებს თანხას კომპანიაში (აქციების შეძენით) და 1, 3, 5 ან X წლის შემდეგ დაითვლის ამონაგებს (ძალიან პრიმიტიულად, კომპანიის კვარტალურ ამონაგებს უნდა ადევნო თვალი, მუდამ ამ კომპანიაზე და მის კონკურენტებზე სიახლეებს უნდა ეცნობოდე...). დამოუკიდებელი ბროკერი (ჟღერს დედისერთა ფაშისტივით) სავაჭრო პლატფორმაზე ვაჭრობის საათებში იყიდის/გაყიდის ბევრჯერ სხვადასხვა ფინანსურ ინსტრუმენტებს მანამ, სანამ არ დაუმთავრდება ანგარიშზე თანხა. უფრო მარტივად: ინვესტორი, რომ გეიმერი იყოს, სტრატეგიებს ითამაშებდა ისეთს, როგორიცაა Sid Meier's Civilization და 72 სთ-ს თამაშის (არაგადაბმულად) შემდეგ გახდებოდა ძლიერი იმპერიის მმართველი. დედისერთა ბროკერი რომ გეიმერი იყოს, ითამაშებდა შუტერს და ძალიან მალევე მოკლავდნენ (თამაშში) 😆 მოკლედ, იმის თქმა მინდა, რომ დაანებეთ ფორექსებს და ათას სისულელეებს თავი. სწრაფად გამდიდრება არ ხდება. ეს არის ხანგრძლივი პროცესი. როგორც ხე არ იზრდება 24 საათში, ასევე ვერავინ ვერ გამდიდრდება 24 სთ-ში. ვისაც სასწაულების გჯერათ, კეთილი იყოს თქვენი მობრძანება მეუფე ნიკოლოზის იუთუბ არხზე 😇.

ეხლა მოვიხმოთ არითმეტიკა. ინვესტირება 1$-დან არ დაიჯეროთ, ეს უნიჭო პიარშიკების უნიჭო ხრიკებია. კარგ პროდუქტს აფუჭებთ პოტენციური მომხმარებლების თვალში ამ პროდუქტის პიარშიკებო! რა გზავნილს აძლევთ ბომჟ-ინვესტორებს, ვისთვისაც განკუთვნილია ეს პროდუქტი? ატყუებთ? ტყუილზე დაფუძნებული პიარი ხომ უნიჭობაა?! ამ შესანიშნავი პროდუქტის პიარშიკებს ბომჟ-ინვესტორებმა თითი დავუქნიეთ მივაჯვით და შეგვიძლია გავაგრძელოთ: ერთეული ან ათეული დოლარებით ინვესტირებას აზრი არ აქვს მიუხედავად იმისა, რომ საუბარი ე.წ. წილადობრივ აქციებზეა. მოდით დავითვალოთ: 

• საინვესტიციო ანგარიშის გახსნის, მასზე თანხის შეტანის ან გამოტანის საკომისიო არის 0$ - ეს არის დიდი პლიუსი.
• ოპერაციის ჩატარება ანუ აქციების ყიდვა/გაყიდვა 0.02% (დოკუმენტში არასწორად უწერიათ 0.02$ - იხილეთ სტატიის ბოლოს PPPS.) მინიმუმ 1$ - რაც ადამიანურ ენაზე ნიშნავს, რომ 5000$ და ნაკლები თანხით ოპერაციის ჩატარებისას საკომისიო არის 1$, ხოლო 5000$-ზე მეტ თანხაზე 0.02% (2 მეათიათასედი) ანუ 10000$ ოპერაციის ჩატარებისას საკომისიო 2$ იქნება. აბა ინვესტირება 1$-დანო? ისევ დავუქნიოთ თითი მივაჯვათ პროდუქტის პიარშიკებს!
• ასევე საინვესტიციო ანგარიშის ყოველთვიური მხარდაჭერის საკომისიო (Account monthly maintenance fee) არის 0.01% (ერთი მეათიათასედი) - მინიმუმ 2$. რაც ნიშნავს, რომ 10000$-დე თანხაზე იქნება ყოველთვიურად 2$, ხოლო 10000$-ზე უფრო მაღალ თანხაზე იქნება 0.01% (ერთი მეათიათასედი). აბა ინვესტირება 1$-დანო? ისევ დავუქნიოთ თითი მივაჯვათ პროდუქტის პიარშიკებს! 

გამოდის, რომ რაჟდენ სეფერთელაძემ 100$-ით NASDAQ: GOOGL -ის წილადი აქციები, რომ შეიძინოს (შარშანდელი აქციების ზრდა Alphabet Inc Class A აქციებს ქონდათ თითქმის 70%)

 და ელოდებოდეს წლის ბოლოსთვის 50%-იან ზრდას ანუ 100$ წლის ბოლოს 150$-ი გახდება (რა თქმა უნდა ეს ინფორმაცია რაჟდენს კი არა, სერგეი ბრინსაც არ აქვს, მაგრამ დავუშვათ) და ამ 150$-დან 24$ (2$ x 12 თვეზე) ყოველთვიური ანგარიშის მხარდაჭერის საკომისიო ექნება გადასახდელი და 1$ Alphabet Inc Class A ფასიანი ქაღალდების ყიდვისას საკომისიოც გადაიხადა. გამოდის, რომ რაჟდენს 100 დოლარის ინვესტირებისას 25$  საკომისიო ექნება გადასახდელი ანუ 125 დოლარი ჩასადები და თუ წლის ბოლოსთვის რაჟდენის პროგნოზი გამართლდა და აქციების ღირებულებამ 50%-ით მოიმატა, მას დარჩება 150$-125$ (წლის ბოლოს დაბანდებულ გაზრდილ თანხას მინუს ინვესტირებული თანხა (100$) და საკომისიოები (25$)). ეს მაგალითი გვეუბნება, რომ რაჟდენის ქონება წლის ბოლოსთვის გაიზარდა (150-125)/125 = 20%-ით. ვხედავთ, რომ ასეული დოლარის თანხების დაბანდებაც საკმაოდ სარისკოა. სადღაც, 300$-დან და უფრო უკეთესი 500$-დან ინვესტირება უკვე ინვესტირებას გავს. პლიუსები ის არის, რომ მყარ ვალუტაში ახდენთ თანხის ინვესტირებას და ამონაგებიც მყარ ვალუტაშია. მოკლედ, ინვესტირება არ არის აბსოლუტური ციფრების შესახებ, არამედ არის პროცენტული მაჩვენებლების შესახებ. მოთმინება და მომავლის ხედვა ეს არის ის, რაც გმართებთ ინვესტირებისას (არითმეტიკაზე აღარ ვსაუბრობ). და დაიმახსოვრეთ, თქვენ აძლევთ კომპანიას კაპიტალს, რომ მან აწარმოოს პროდუქტი/მომსახურება, შექმნას დოვლათი, მიიღოს მოგება და შედეგად თქვენი დაბანდებული თანხა გაიზრდება ღირებულებაში. არსაიდან დოლარები არ ჩნდება (ფედერალური რეზერვის გამოკლებით 😉) ეს უნდა გესმოდეთ. ინვესტირება შეგიძლიათ მხოლოდ Nasdaq-სა და NYSE საფონდო ბირჟაზე განთავსებულ კომპანიებში. დამერწმუნეთ იქ თითქმის ყველა წამყვანი კომპანიაა, რომლების შესახებ ოდესმე რაიმე გსმენიათ.

წარმატებებს გისურვებთ გამდიდრებაში!

PS. პიარშიკებს კიდევ ტყუილად ვუქნევდით თითებს ვაჯვამდით ბომჟ-ინვესტორები. მათ დასახულ მიზანს მიაღწიეს - ჩვენ დავინტერესდით მათი პროდუქტით (და კიდევ მაინტერესებს აქამდე თუ წაიკითხავენ და იუმორის გრძნობა თუ აქვთ ნიჭიერ პიარშიკებს).

PPS. აქ წესით მადლობებს ვუხდით ყველას, ვინც 2021 წლის 6 დეკემბრის მოვლენის ახდენაში მიიღო მონაწილეობა და თუ გაინტერესებთ სად ინახავს რაჟდენ სეფერთელაძე საკუთარ სენსიტიურ ფაილებს, წაიკითხეთ ამ ბმულზე განთავსებულ ვიდეოს ქვეშ ჩემი კომენტარი😉

PPPS. ინფორმაციის დაზუსტების მიზნით, მივმართე ოფიციალურ Facebook-გვერდს და აღმოჩნდა, რომ მე ვერ გავიგე სწორად  0.02$-თან დაკავშირებით პროცენტი რომ მეგონა 0.02$-ია მართლაც. საქართველოს ბანკის საინვესტიციო პლატფორმაზე მხოლოდ 2 საკომისიოა:

1. ყიდვა/გაყიდვის საკომისიო - მინიმუმ $1.0  განხორციელებულ ტრანზაქციაზე (ან ყოველ გაყიდულ/ნაყიდ აქციაზე $0.02). თუ თქვენ მიერ შეძენილი/გაყიდული აქციების რაოდენობა 50-ზე ნაკლებია, მაშინ ყოველ განხორციელებულ ტრანზაქციაზე საკომისიო $1.0-ია, ხოლო თუ თქვენ მიერ შეძენილი/გაყიდული აქციების რაოდენობა აღემატება 50-ს, მაშინ ტრანზაქციის საკომისიო გამოითვლება შემდეგი ფორმულით: აქციების რაოდენობა * $0.02. მაგალითად თუ თქვენ იყიდით 55 ცალ აქციაზე, ამ ტრანქაქციაზე საკომისიო შეადგენს 55*$0.02=$ 1.1.  
2. ყოველთვიური მომსახურების საკომისიო - მინიმუმ $2.0 თვეში (ან პორტფელის ღირებულების 0.01%). თუ თქვენი პორთფელის ღირებულება ნაკლებია $ 20,000-ზე, მაშინ ყოველთვიური მომსახურების საკომისიო შეადგენს $2.0-ს, ხოლო თუ თქვენ საინვესტიციო ანგარიშზე პორტფელის ღირებულება აღემატება $20,000-ს მაშინ ყოველთვიური საკომისიო გამოითვლება შემდეგი ფორმულით: თქვენი პორტფელის ღირებულება * 0.01%. მაგალითად თუ თქვენი პორტფელის ღირებულება შეადგენს $25,000-ს, თქვენი ყოველთვიური საკომისიო იქნება $25,000*0.01%= $2.5

ასევე გაეცანით ბმულს.

დათვური სამსახური ანუ თხზულება იმის შესახებ, რომ Microsoft-ის default კონფიგურაციებით მუშაობა, როგორც წესი, არ ვარგა

 დღეს მსურს შემოგთავაზოთ მოკლე პოსტი იმის შესახებ, თუ რამდენად მიაჩვია Microsoft-მა მომხმარებლები, რომ Default-კონფიგურაციით დაინსტალირებული Microsoft-ის ოპერაციული სისტემები, სერვისები, ყველაფერი... რაღაცნაირად და მუშაობს. ხოდა სწორედაც რომ ეს "რაღაცნაირად" მუშაობა არ ვარგა. უნდა გავერკვეთ სერვისში და დავაკონფიგურიროთ ისე, რომ სწორად იმუშაოს. არ აქვს მნიშვნელობა თუ რომელ ოპერაციულ სისტემას იყენებ. ყველაზე დაცული არის ის სისტემა, რომელიც იცი თუ როგორ უნდა დაიცვა.

ეხლა კი განვიხილოთ კონკრეტული 2 მაგალითი, როდესაც Microsoft-ის მიერ Default-ად შემოთავაზებული გზით ბრმად სიარული, იწვევს ისეთი მითების გავრცელებას, როგორიცაა "Windows-ი დაუცველი სისტემაა, ძმა, ლინუქსი დააყენე". 

პირველი მაგალითი ეხება ყველას, ვისაც ოდესმე Windows-ოპერაციული სისტემა დაუინსტალირებია. როდესაც აინსტალირებთ Windows-სისტემას, პირველ მომხმარებელს აქვს პრივილეგირებული უფლებები (Administrators ჯგუფშია). ამ მომხმარებელს შეუძლია მაუსზე ორი კლიკის დაჭერით დააინსტალიროს არა მხოლოდ ჩვეულებრივი და ანტივირუსული, არამედ ვირუსული (😎) პროგრამული უზრუნველყოფაც 😉. მართალია, Windows Vista-ში და შემდგომ Microsoft-ის ოპერაციულ სისტემებში არის ისეთი დაცვის მექანიზმი, როგორიცაა User Account Control შემოკლებთ - UAC, რომლის მეშვეობით პროცესები ეშვება Users-ჯგუფის შესაბამისი უფლებებით, იმ შემთხვევაშიც კი, თუ მომხმარებელი Administrators ლოკალური ჯგუფის წევრია - ძალიან რომ გავამარტივოთ, ასეა. მექანიზმი გულისხმობს შემდეგს: Local Security Authority (LSA) სერვისი ქმნის პრივილეგირებული მომხმარებლისთვის ორ logon-სესიას სხვადასხვა წვდომის token-ით. პირველი Token-ი ასახავს მომხმარებლის ყველა ჯგუფის წევრობის პრივილეგიებს, ხოლო მეორე Token-ი ფილტრავს მომხმარებლის პრივილეგირებული ჯგუფების წევრობას და მომხმარებელი სტანდარტული User-ის მსგავი უფლებებითაა (მოკითხვა ყველას ვინც UAC-ს თიშავთ და XP-ის დროინდელ Security-ში ცხოვრობთ ✌). თუ საჭიროა პროცესის დასტარტვა მომხმარებლის სრული უფლებების Token-ით, საჭიროა UAC Elevation-ი, რომელსაც Application Information (Appinfo) სერვისი განაგებს. აქვე ვახსენებ ამ უსაფრთხოების მექანიზმიდან ერთ გამონაკლისს: UAC მექანიზმი არ ეხება builtin administrator მომხმარებელს (რომელიც default-ად Disabled არის ანუ ზოგჯერ Microsoft-ის Default კონფიგურაციაც არ ნიშნავს ცუდს 😉), builtin administrator-ის logon-სესიას მხოლოდ ერთი Token-ი აქვს და ყველა პროცესი უმაღლესი პრივილეგიებით ეშვება (ხსენებაში არ იყო SU-777-DO და RO-777-OT სახელმწიფო სერიის ნომრები, როცა ჩემი "შესტით" SID-500 ნომრით დავდიოდი და არავინ იყო ჩემი გამჩერებელი 😎🤣). ე.ი. Windows-ადმინებისთვის Runas Administrator არის დაახლოებით იგივე, რაც ლინუქსის ადმინებისთვის sudo. 

საუბარი იქითკენ მიმყავს, რომ როდესაც Windows-ის ინსტალაციისას გააკეთებთ პირველ logon-ს პირველ ექაუნთში, შექმენით იქვე სტანდარტული მომხმარებელი და ამის შემდგომ სტანდარტული მოხმარებლიდან იმუშავეთ, ხოლო როდესაც დაგჭირდებათ ადმინის პრივილეგიებით პროცესის დასტარტვა, runas administrator და მიუთითეთ პირველად შექმნილი (member of local Administrators Group) მომხმარებლის Credentials-ი. ამ მარტივი წესის დაცვით 80% უბედურებას აიცილებთ თავიდან (პარეტოს პრინციპი).

ეხლა მაგალითი მეორე, რომელიც Domain Administrator-ებს დააინტერესებთ. ნოემბერში Microsoft-მა გამოუშვა უსაფრთხოების პატჩები CVE-2021-42287 და CVE-2021-42278 მოწყვლადობების დასახურად. ვისაც არ უყვარს ბევრი კითხვა და მზა რეცეპტებს ჯერდება: მთავარი არსი მდგომარეობს იმაში, რომ ამ ორი მოწყვლადობის კომბინირებით ჩვეულებრივ მომხმარებელს აქვს შესაძლებლობა "გავიდეს დამკაში" ანუ მოიპოვოს Domain-ზე სრული პრივილეგიები (impersonation of domain controller). ეს რომ არ მოხდეს, ADUC კონსოლში (dsa.msc) დომენის Properties-ში გადადიხართ Atribute Editor-ზე, ეძებთ ms-DS-MachineAccountQuota-ს და Microsoft-ის დეფოლტად მითითებული 10-იანის მაგივრად წერთ 0-ს ან/და აინსტალირებთ ყველა domain controller-ზე ნოემბრის უსაფრთხოების პატჩებს (KB5008102 და KB5008380).

ეხლა კი ოდნავ ვრცლად და წყაროების მითითებით:

ამა წლის 10 დეკემბერს კიბერუსაფრთხოების ენთუზიასტმა ჩარლი კლარკმა გამოაქვეყნა CVE-2021-42287 და CVE-2021-42278 მოწყვლადობების გამოყენების შესახებ კვლევა, რომლის თანახმად არაპრივილეგირებული მომხმარებლით მიიღო სრული წვდომა მთელ დომენზე.

CVE-2021-42278

მოგეხსენებათ, რომ Active Directory-ს სქემაში User-ის და Computer-ის sAMAccountName ატრიბუტი იმით განსხვავდება, რომ კომპიუტერის ატრიბუტი შეიცავს ბოლოში $-ის სიმბოლოს (Group Managed Service Account-ს დავანებოთ ამჯერად თავი 😉). ნოებრის პატჩამდე არ არსებობდა sAMAccountName ატრიბუტის შემოწმების არანაირი მექანიზმი იმისა, იყო თუ არა ბოლოში $-ის ნიშანი და default კონფიგურაციის თანახმად რიგით Domain User-ს აქვს პრივილეგია შეცვალოს 10 კომპიუტერის (ms-DS-MachineAccountQuota =10) ატრიბუტი და როგორც ამ მანქანების Owner-ს, შეუძლია ასევე sAMAccountName ატრიბუტის ცვლილებაც.

CVE-2021-42287

დომეინში Kerberos პროტოკოლით აუტნტიფიკაციისას, Key Distribution Center (KDC) სერვისიდან, რომელიც Domain Controller-ზეა, ხდება Ticket-Granting-Ticket (TGT) და შემდგომ Ticket-Granting-Service (TGS)-ის გამოთხოვა.

მაგალითად, თუ დომეინ კონტროლერის SAM account name-ია DC1$, CVE-2021-42278-ის თანახმად, Domain User-ს შეუძლია შექმნას ახალი machine account-ი და შემდეგ შეუცვალოს მას SAM account name-ი DC1-ზე ($ სიმბოლოს გარეშე ბოლოში). მოითხოვოს DC1-ით TGT, შემდეგ გადაარქვას სახელი machine account-ს და გამოითხოვოს TGS-ი, უკვე ხელთ არსებული TGT-თ.

TGS-ის გამოთხოვისას KDC სერვისი განახორციელებს DC1-ის ძებნას დომეინში და როდესაც ვერ იპოვის (რადგან გადავარქვით TGT-ის მიღების შემდეგ სახელი), განახორციელებს ხელახალ ძებნას, ოღონდ ბოლოში $ სიმბოლოს დამატებით ანუ DC1$-ით. რადგან ამ სახელით არსებობს დომეინ კონტროლერი, KDC-ი გასცემს TGS-ს DC1$-ის ანუ დომეინ კონტროლერის პრივილეგიებით. ამგვარად, ზემოთხსენებული მოწყვლადობების გამოყენებით რეგულარული Domain User-ით შესაძლებელია Domain Admin-ის პრივილეგიების მიღება. 

პრაქტიკა ვისაც აინტერესებს, დაიჭით სტატია ჰაბრზე, 

მორალი:

თუ არა გინდა, რომ დაგიძახონ:

"ბანძი ადმინი - შტერიძე გია",

მიეც დომეინში შენს მომხმარებლებს

ბევრად ნაკლები პრივილეგია!

Ⓒ - ჯუზეპე ადმინი

სამომხმარებლო როუტერების ეპოსის გაგრძელება ანუ მშობლები უნდა იცავდნენ ბავშვებს ინტერნეტშიც!

 

"შვილი ოჯახის სარკეა." - ყველასთვის ნაცნობი ფრაზა გვეუბნება, რომ შვილი იმეორებს იმას, რასაც აკეთებენ და ამბობენ მშობლები ოჯახში. ასევე არის ფართოდ გავრცელებული აზრი იმის შესახებ, რომ ადამიანი არის იმ 5 ადამიანის გასაშუალოებული არსება, ვისთანაც ყველაზე მეტად აქვს კომუნიკაცია, ხარი ხართან რომ დააბა... 

მოკლედ, იმის თქმას ვცდილობ, რომ მშობლისთვის მნიშვნელოვანია აკონტროლოს თუ ვისთან კონტაქტობს შვილი. ფიზიკურ სამყაროში, მეტნაკლებად, მშობლები ართმევენ ამ ამოცანას თავს, ხოლო ციფრულ სამყაროში მშობლების აბსოლუტურ უმრავლესობას სრული ფიასკო აქვს ბავშვის კონტროლის მხრივ. უფრო ხშირად პირიქით ხდება: შვილები აკონტროლებენ მშობლებს, რადგან უფრო გაწაფულები არიან გაჯეტებთან ურთიერთობაში.

ბოლო 10-12 წლის განმავლობაში ინტერნეტი საქართველოში სულ უფრო და უფრო მნიშვნელოვან როლს იძენს, განსაკუთრებით პანდემიურ პერიოდში, როდესაც მშობლებისთვის და შვილებისთვის გარე სამყაროსთან საურთიერთობო მთავარ საშუალებად იქცა. ამ სტატიაში მინდა მოგიყვეთ ჩემი გამოცდილების შესახებ, თუ როგორ ვაკონტროლებ ჩემი შვილის "თავისუფალ" განვითარებას ინტერნეტში. 👀👂

სანამ უშუალოდ შევუდგებით კითხვას, უნდა ვისწავლოთ მოკლედ თეორია:

Domain Name System ანუ DNS - არის შექმნილი იმისთვის, რომ კომპიუტერის ენაზე გასაგები IP მისამართები, რომლებიც გამოიყურება მაგ.: 208.91.199.202  - ოთხი ოქტეტი გამოყოფილი წერტილებით, გარდაიქმნას ადამიანისთვის ადვილად აღქმად სახელად. მაგ.: bing.com (ჩემი მხარდაჭერა მაიკროსოფტს 😁), google.com, nbg.ge და ა.შ. ინტერნეტში არსებობს DNS-სერვერები, რომლებიც დაკავებულნი არიან დომენური სახელების IP-მისამართებში გარდაქმნით და პირიქით. მარტივად, რომ ვთქვათ, დომენური სახელის IP-მისამართში გადაყვანას DNS resolving-ი ქვია. Windows-ში შეგვიძლია Command Prompt-ში ავკრიფოთ ბრძანება: ipconfig /all და შემდეგ Enter-ზე დაჭერით მივიღებთ რეზულტატს, რომელშიც DNS Servers გასწვრივ მითითებული მნიშვნელობებია DNS სერვერების IP-მისამართები, რომლებსაც ჩვენი კომპიუტერი იყენებს DNS resolving-ისთვის. 

DNS based blocking -  ეს არის საიტების დაბლოკვის მეთოდი, როდესაც DNS სერვერი არ არეზოლვებს კონკრეტულ IP-მისამართებს. Windows ოპერაციულ სისტემაში საიტის დაბლოკვის ყველაზე პრიმიტიული გზაა hosts ფაილში (%SYSTEMROOT%\System32\drivers\etc) კონკრეტული დომენის კომპიუტერის ლოკალურ მისამართზე (127.0.0.1) დარეზოლვება. მაგ. დაBing-ეთ (ჩემი მხარდაჭერა მაიკროსოფტს 😁) ფრაზა: how to block websites on hosts file

ეხლა კი განვაგრძოთ:

• ყველაფერი დაიწყო Cloudflare DNS For Families-დან (მანამდე დაიწყო სინამდვილეში, მაგრამ მარტივიდან რთულისკენ წავიდეთ და სრულად დავტკბეთ მიგნებული გადაწყვეტით სტატიის ბოლოს). 2020 წლის 01 აპრილს (არ არის ხუმრობა 😉) კომპანია Cloudflare-მა Covid-19-თან დაკავშირებით ყველა ინტერნეტ-მომხმარებლისთვის გახადა შესაძლებელი საკუთარი DNS სერვისის გამოყენება 2 ვარიანტში: Two Flavors: 1.1.1.2 (No Malware) & 1.1.1.3 (No Malware or Adult Content). მაგალითად, შეგიძლიათ თქვენი ბავშვის მოწყობილობაზე გაუწეროთ ხელით სტატიკური IP-მისამართი და შემდეგი DNS-ჩანაწერები 1.1.1.3 და 1.0.0.3, რის შემდეგაც იქნებით დაცული Cloudflare DNS-ით მავნე და +18 კონტენტის შემცველი საიტებისგან (იხ. ინსტრუქციის ბმული). ამით ვერ დავკმაყოფილდი და გავაგრძელე გადაწყვეტის ძიება.
• შემდეგი მცდელობა იყო OpenDNS Home სერვისი, Cisco-ს პროექტ Umbrella-ს უფასო ვარიანტი (საჭიროებს რეგისტრაციას). საჭიროებს მშობლისგან მეტ ძალისხმევას, ვიდრე Cloudflare-ის შემთხვევაში (ინსტრუქციების ბმული). OpenDNS Home-ის შემთხვევაშიც შეგიძლიათ, DNS-ის IP მისამართები ხელით გაუწეროთ, როგორც როუტერს და გავრცელდება სახლის მთლიან ქსელზე ან გაუწეროთ კონკრეტულ მოწყობილობას.
• შემდეგი მცდელობა იყო Aliexpress-დან Mini PC კომპიუტერის შეძენა 2 ქსელის ბარათით და Celeron N3160 პროცესორით (AES-NI მხარდაჭერის გამო), რომელზეც კომპანია Netgate-ის ოპერაციული სისტემა PfSense-ის Community Edition-ი დავაინსტალირე და pfBlocker-NG მოდულში სხვადასხვა Host-ფაილების მეშვეობით ვბლოკავდი რეკლამას, თრექერებს, Adult კონტენტს და ა.შ. მაგალითად, ვიყენებდი ამ Source-ს (მშობლების უმრავლესობას ეს საშუალება ვერ გამოადგება. ბევრი რამის შესწავლა დაგჭირდებათ 😀). პრინციპში, მაწყობდა ეს გადაწყვეტა, რომ არა სისტემის მხარდაჭერის სირთულე და PfSense-ის მიერ WIFI-ქსელური ბარათების სუსტი მხარდაჭერა (ანუ ყველაფერი ის რაც მემკვიდრეობით მშობლისგან FreeBSD-სგან მიიღო).
• იყო პერიოდი, როდესაც სამომხმარებლო როუტერებზე მაგ. Linksys EA4500-ზე OpenWRT-ც ვცადე თავის Adblock-სერვისთან ერთად. Openwrt-ში, PfSense-ისგან განსხვავებით, WIFI-ქსელური ბარათების მხარდაჭერის პრობლემა არ დგას, მაგრამ მაინც გეტენება სახლის ქსელის მხარდაჭერა. უმრავლესობისთვის ეს გადაწყვეტაც არ გამოდგება.
• ბოლოს მივედი გადაწყვეტამდე, რომელიც მაქვს ეხლაც: Netgear Nighthawk R7000P (მანამდე R6700v3 მქონდა). თვითონ როუტერი რა თქმა უნდა გადაწყვეტა არაა, გადაწყვეტა იმ სერვისებშია, რომლებსაც კომპანია Netgear-ი თავაზობს მომხმარებლებს საკუთარი პროგრამული უზრუნველყოფის მეშვეობით: Nighthawk App by NETGEAR - სმარტფონის აპლიკაცია, რომლითაც მართავ როუტერს და მასთან დაკავშირებულ მოწყობილობებს (თუმცა აპლიკაციით დღეს ვერავის გააკვირვებ); NETGEAR Armor™ - კიბერსაფრთხეებისგან, ვირუსებისგან და რანსომვერისგან სახლის ქსელის დაცვის სერვისი, რომლის საფასურში (ფასდაკლებით $55-დან ან ფასდაკლების გარეშე $90 წელიწადში) შედის Bitdefender Security ლიცენზია ყველა მოწყობილობისთვის, რომელიც სახლის ქსელშია. რაც სახლის ქსელის გარეთ ყოფნის დროსაც მოწყობილობის კიბერსაფრთხეებისგან დაცვას მოიაზრებს; ReadyCLOUD Storage და ბევრი სხვა სერვისი, რომლებზეც აღარ გავამახვილებ ყურადღებას. მთავარი სათქმელი, რის გამოც დავიწყე ამ ყველაფრის მოყოლა, არის Circle® Smart Parental Controls. ეს არის აპლიკაცია, რომელიც ხელმისაწვდომია მხოლოდ ამ კონკრეტულ Netgear-ის მოწყობილობებზე. სხვა მწარმოებლების როუტერებისთვის დაგჭირდებათ ცალკე Circle-მოწყობილობის შეძენა ანუ თუ ეს კონკრეტული Netgear-ის მოწყობილობები გაქვთ, მხოლოდ სმარტფონის აპლიკაცია დაგჭირდებათ. აპლიკაციას გააჩნია 2 ვარიანტი: უფასო და ფასიანი (4.99$/თვეში). უმრავლესობას სავსებით ეყოფა უფასო ვარიანტიც, რომელიც იძლევა სახლის ქსელში არსებული მოწყობილობების კონკრეტულ მომხმარებლებზე (ოჯახის წევრებზე) გაწერას, ყოველ მომხმარებელს (მაგალითად, შვილს)და შესაბამისად მის ყველა მოწყობილობას შეგიძლიათ დაადოთ წინასწარ დაკონფიგურირებული 5 ფილტრიდან (Pre-K, Kid, Teen, Adult, None) რომელიმე და ასევე აკონტროლოთ როგორც კატეგორიზირებულ საიტებზე შესვლა, მაგალითად, Online Games კატეგორია აკრძალოთ, Youtube-ში მხოლოდ Safe Search დაუშვათ და ა.შ. ასევე შეგიძლიათ ad-hoc კონკრეტული საიტები დაბლოკოთ. ერთი სიტყვით, მე კმაყოფილი ვარ. არანაკლებ მნიშვნელოვანია, რომ როუტერზე ვკითხულობთ წარწერას Made in Taiwan და არა Made in China -ს👈

იმედია, ვისთვისაც ეს თემა მტკივნეულია, ჩემი გამოცდილება გამოადგება. ახლა კი სიბრძნე:

შვილის თავისუფალი განვითარება მშობლის კონტროლქვეშ უნდა მიმდინარეობდეს - © არამაჰათმა არაგანდი

PS. შესაძლოა, ასევე დაინტერესდეთ ჩემი სხვა სტატიებით:

ინტერნეტ-პროვაიდერების ბრალეულობის მითი ანუ რატომ ჭედავს ინტერნეტი?

სამომხმარებლო როუტერების ეპოსის გაგრძელება ანუ მტერი ისევ ჩვენს სახლშია (თუ თავშია)?

PPS. დამავიწყდა მეხსენებინა Mini PC დამრჩა და თუ ხელი მიმიწვდება, მაქვს სურვილი გამოვცადო ოდესმე Sophos XG Home Edition Firewall-ი, რომელსაც კომპანია Sophos-ი უსასყიდლოდ გვთავაზობს პანდემიური წლიდან გამომდინარე. ფუნქციონალურად კომერციული პროდუქტის ყველა "ფიჩერს" მოიცავს, უბრალოდ ლიმიტირებულია 4 პროცესორული ბირთვით და 6 გბ ოპერატიულით.