SolarWinds i Log4Shell

Vjerovao si tom ažuriranju, a ono te izdalo — dobrodošao u lanac koji nitko ne kontrolira.

poglavlje 4/1620 min čitanja2020 – 2023

Vrijeme smrti: negativ ne postoji, jer pacijent nikad nije bio siguran da je živ. Ovo je patologija bez datuma rođenja, bez rodnog lista, bez ičega osim uvjerenja koje je svijet gajio desetljeće i pol — uvjerenja da je moderni softver zdrav organizam, a ne ono što je zapravo bio: hrpa organa posuđenih od nepoznatih donora, ušivenih u žurbi, s natpisom „radi, ne diraj” zalijepljenim preko šavova.

2020. i 2021. su godine kad je taj organizam prestao samo pomalo krvariti — sjećaš se, curilo je i prije: Heartbleed, propust u enkripciji koji je godinama tiho cijedio lozinke i privatne podatke s pola interneta, a nitko nije primijetio; ili Left-pad, sitni paket kôda od jedva desetak redaka, čije je brisanje 2016. srušilo pola weba jer je pola weba, bez da to zna, na njemu visjelo — i počeo je propadati u dva navrata, javno, s državnim pečatom na optužnici. Prvi put u prosincu 2020., kad se otkrilo da je softver koji je čuvao mreže pola Washingtona sam bio trojanski konj, uredno potpisan i uredno instaliran, jer tko provjerava zdravlje glasnika kad glasnik dolazi s tvojim vlastitim pismom preporuke. Drugi put godinu dana kasnije, u tjednu kad su svi htjeli samo ugasiti laptop i sjesti za svečanu večeru, kad se pokazalo da je pola interneta oslonjeno na komad koda tako sitan i tako dosadan da mu ni ime ne zvuči kao prijetnja — samo bilježi što se događa, ništa više. Ili je bar to trebao raditi.

Ono što slijedi nije priča o dva incidenta. To je obdukcijski stol na kojem leži nešto puno veće od SolarWindsa i puno veće od Log4Shella — leži iluzija da postoji nešto poput „zdravog lanca”. Rezat ćemo slojeve, jedan po jedan, i pod svakim ćemo pronaći isti nalaz koji je ova kronika bilježila od poglavlja o buffer overflowu nadalje: da je softver koji se sviđa marketingu — proizvod jedne firme, s jednim logom, jednom pričom o osnivaču u garaži — u stvarnosti lanac od tisuću tuđih dijelova, od kojih polovicu nitko u toj firmi nikad nije ni pogledao.

Ne tražimo ovdje ubojicu iz strasti. Tražimo strukturalni propust — onu vrstu smrti gdje je uzrok upisan u dizajn desetljećima prije nego što je srce stalo. Skalpel je već naoštren, rukavice su navučene.

Vrijeme smrti: negdje između rujna 2019. i prosinca 2020. Uzrok smrti — ako se to uopće smije zvati smrću, jer pacijent je cijelo to vrijeme hodao, disao i redovito sam sebe ažurirao, dok mu je netko iz Moskve tiho vadio organe kroz stražnja vrata. Pacijent na stolu za obdukciju zove se iluzija zdravog lanca — ideja da kad ti softver kaže „dostupno je novo ažuriranje, klikni ovdje za sigurnost”, taj klik stvarno znači sigurnost. Otvorimo ga.

Firma se zove SolarWinds. Nemoj se sramiti ako nikad nisi čuo za nju — to je bio i dio problema. Prave softver zvan Orion, alat kojim IT odjeli nadziru vlastite mreže: koji je server pao, koji je preopterećen, gdje gori. Dosadno kao porezna prijava, ali dosadno na način na koji je dosadan i portir — dok ima ključeve od svih vrata u zgradi. Orion su koristila američka Ministarstva financija, trgovine, domovinske sigurnosti, dijelovi Pentagona i, sasvim usput, oko 18.000 drugih organizacija širom svijeta koje su htjele samo malo mira dok gledaju grafove na ekranu.

I tu stiže prvi nalaz, onaj koji patologu digne obrve: nije provaljeno kroz prozor. Nije nasilan ulazak. Ušli su kroz glavna vrata, ona koja im je pacijent sam otvorio i pridržao. Napadači — ruska služba, kasnije identificirana kao APT29, poznatija pod imenom Cozy Bear, ime koje zvuči kao plišani medvjedić a ponaša se kao netko koji ti mjesecima čita poštu — ubacili su svoj kod direktno u izvorni kod Oriona, na razini gdje se softver gradi i potpisuje. Taj »potpis« nije potpis kemijskom kao na ugovoru, nego digitalni pečat — kriptografski dokaz da update stvarno dolazi od SolarWindsa i da ga nitko nije dirao usput. Napadači ga nisu krivotvorili, nisu ga trebali: zarazili su kod prije nego što je pečat stavljen, tako da je sustav pošteno i po istini potpisao nešto što je već bilo trulo. Rezultat: legitiman update, s legitimnim digitalnim potpisom SolarWindsa, koji je isporučen kroz potpuno legitiman kanal ažuriranja, sadržavao je stražnja vrata po imenu SUNBURST — takozvani backdoor, skriveni prolaz koji napadaču dopušta da se izdaleka ušulja u tuđi sustav i radi što hoće, bez da vlasnik i posumnja. Ažuriranje koje je trebalo popraviti sigurnosne rupe — samo je jednu, veliku, ugradilo.

Drugi nalaz, ovaj još neugodniji: koliko je to trajalo. Backdoor je ubačen negdje u rujnu 2019., isporučen klijentima u ažuriranjima tijekom 2020., a otkriven — slušaj sad ovo — u prosincu 2020. Više od godine dana. Ne zato što su napadači bili sporiji, nego zato što nisu žurili. Nisu brisali diskove, nisu tražili otkupninu, nisu ostavljali poruke s lubanjama. Sjedili su, gledali, kopirali dokumente, čitali interne mailove američke vlade i mirno odlazili dalje kad bi im dosadilo u jednoj mreži. To nije vandalizam, to je špijunaža, a špijunaža ima strpljenje koje kriminalac za brzu zaradu nikad neće imati — kriminalac hoće novac danas, država hoće informaciju za deset godina.

A tko je otkrio leš? Ovdje obdukcija dobiva crnohumornu fusnotu koju bi svaki scenarist odbio kao „previše na nos”: otkrila ga je kompanija za kibernetičku sigurnost FireEye — dok je istraživala vlastiti proboj. Netko je provalio i njima te im ukrao alate koje koriste za testiranje tuđih sustava (zamisli da ti provalnik ukrade komplet pajsera za otvaranje brava, pa ih onda upotrijebi na tebi). Dok su forenzičari FireEyea pratili taj trag unatrag, otkrili su cijeli SolarWinds lanac. Firma koja prodaje sigurnost postala je pacijent nulti koji je, umirući, dijagnosticirao epidemiju za cijelu bolnicu.

Zašto je ovo, patološki gledano, genijalno zao potez? Ovakvom se napadu kaže napad na lanac dobave — supply chain napad — a suština mu je jednostavna: ne moraš probiti 18.000 brava. Moraš probiti jednu — tvornicu koja proizvodi ključeve za svih 18.000 vrata. Umjesto da hakiraš Ministarstvo financija, hakiraš firmu čiji softver Ministarstvo financija svojevoljno instalira i ažurira, s punim povjerenjem, jer — pa zašto ne bi vjerovali dobavljaču kojeg plaćaju? Jedan uspješan upad u izvorište i dobiješ ključeve od tisuća zgrada odjednom, potpisane, ovjerene, dostavljene na kućni prag s uslugom besplatne dostave. Ekonomija napada koju bi svaki menadžer prodaje pohvalio: maksimalan učinak, minimalan trud, samo je proizvod nešto drugačiji od onog što stoji u opisu.

Prvi rez je gotov, i nalaz je jasan kao dan: pacijent nije umro od nemara. Pacijent je umro od povjerenja — onog istog povjerenja koje mu je cijela struka desetljećima govorila da mora imati prema svom dobavljaču. Ali ovo je samo jedan organ na stolu. Idemo dalje, jer godinu poslije drugi pacijent leći će na isti stol, i ovaj put neće ga ubiti tajna vladina agencija s beskrajnim strpljenjem. Ubit će ga jedan redak teksta i biblioteka za logiranje koju je pola svijeta koristilo, a nitko nije platio.

Log4Shell: božićni požar (2021)
§ 02

Log4Shell: božićni požar (2021)

Nalaz drugi. Ako je SolarWinds bio kirurški ubod skalpelom, negdje duboko u trbušnoj šupljini, ovo je udarac iz topa — netko je pacijentu, dok je već ležao na stolu, zabio čekić ravno u sredinu grudi. I zabio ga preko praznika, jer, valjda, patolog isto zaslužuje Božić.

Upoznajmo pacijenta broj dva: Log4j. Ime koje nikad prije nisi čuo, a koje je, ispada, bilo ušiveno u pola tvog digitalnog života. Log4j je Java biblioteka za logiranje. Java je jedan od najraširenijih programskih jezika na svijetu — u njemu su napisani ogromni dijelovi poslovnog softvera, bankovnih sustava i vladinih portala, pa kad nešto zapeče u „Java biblioteci”, ne zapeče u jednoj aplikaciji, nego u pola infrastrukture planete. Zaustavimo se na tren i uživajmo u toj rečenici, jer je vjerojatno najdosadnija rečenica u ovoj cijeloj enciklopediji. Logiranje — softver koji ne radi ništa osim da bilježi: „u 14:32 korisnik se prijavio”, „u 14:33 pokušaj plaćanja”, „u 14:34 nešto je puklo, evo zašto”. To je digitalni ekvivalent dnevnika smjene na portirnici. Nitko ga ne čita dok je sve u redu. Programeri ga ubace u projekt, zabetoniraju negdje u dnu ovisnosti, i zaborave da postoji. Baš kao onaj Left-pad iz prijašnje knjige — samo ovaj put dnevničar drži ključeve od pola interneta.

Sad, obdukcijski nalaz: kako dnevnik postane oružje? Odgovor je frustrantno jednostavan i frustrantno stara priča — toliko stara da smo je već sekcirali u prvoj knjizi ove serije, kod von Neumanna. Program i podaci žive u istoj memoriji, rekli smo tada, i to je genijalno i to je prokletstvo, u istom paketu. Log4j je taj grijeh oživio na posve nov način: biblioteka je bila napisana tako da, kad zapisuje neki tekst u dnevnik, taj tekst smije sadržavati posebnu naredbu koja kaže — otiđi na ovu adresu, preuzmi kod odande i izvrši ga. Zamisli da tvoj kućni dnevnik, u koji zapisuješ „danas sam kupio mlijeko”, ima pravilo da ako neka rečenica počinje magičnom formulom, dnevnik prestane biti dnevnik i pretvori se u robota koji sluša naredbe tko god ih upiše. To ti je Log4Shell. Upišeš određeni niz znakova — u polje za korisničko ime, u naziv Wi-Fi mreže svog telefona, svugdje gdje se taj tekst na kraju zapiše u log — i server, umjesto da ga samo zabilježi, poslušno ga izvrši. Podaci su, još jednom, postali kod. Isti dug, samo naplaćen 76 godina kasnije, s kamatama.

A rasap je bio — ne pretjerujem — svugdje. Log4j nije bio zakopan u jednoj nejasnoj aplikaciji koju koristi pet firmi u Belgiji. Bio je ušiven u Amazonove servere, Appleove, Microsoftove, u bankovne sustave, u vladine portale, u industrijske kontrolere, u Android aplikacije koje ni ne znaju da koriste Javu. Sigurnosni timovi po cijelom svijetu tjednima su radili jedno i jedino: skenirali vlastitu infrastrukturu pokušavajući odgovoriti na pitanje koje bi trebalo biti trivijalno, a bilo je egzistencijalno — imamo li mi ovu stvar negdje, i ako imamo, gdje sve? Odgovor je, u praksi, redovito bio: ne znamo. A ta dijagnoza vrijedi upravo za ovaj slučaj — pacijent na obdukcijskom stolu ju je zaslužio u cijelosti.

Datum otkrića? Prosinac 2021. Baš na vrijeme za Božić. Folklor je to odmah krstio — administratori i sigurnosni inženjeri po cijelom svijetu su taj tjedan opisivali kao „log4j Christmas”, uz gorku šalu da se njihov jedini poklon te godine zove CVE-2021-44228 i da ga nitko ne želi otvoriti. (CVE, za one koji se prvi put susreću s tim čudnim akronimom, samo je serijski broj — svaka poznata rupa u softveru dobije svoju jedinstvenu oznaku, kao što auto dobije registarsku pločicu, da bi cijela sigurnosna zajednica znala pričati o istoj stvari bez zabune.) Obiteljski ručkovi su se prekidali zbog pagera. Ljudi su se logirali s plaže, iz kolica u Lidlu, s vjenčanja rodbine, da zakrpe sustave koje su do prošlog tjedna smatrali dosadnima kao — pa, kao dnevnik.

Patolog zapisuje uzrok smrti povjerenja: alat koji je trebao samo šutke bilježiti što se događa — kao kućni dnevnik koji zapisuje „u 14:32 se netko ulogirao” i ništa više — u jednom trenutku je dobio moć da sam izvršava naredbe, umjesto da ih samo zapisuje. I nitko, uključujući one koji su taj alat pisali besplatno, u slobodno vrijeme, nije mogao znati koliko je duboko zašiven u organizam interneta — dok organizam nije počeo gasiti.

Zašto se ovo stalno ponavlja
§ 03

Zašto se ovo stalno ponavlja

Patolog se sad mora vratiti korak unazad, jer pacijent — iluzija zdravog lanca opskrbe — nije zaražen od jučer. Ova infekcija je kronična, ne akutna. Da bismo razumjeli zašto SolarWinds i Log4Shell nisu nesretan slučaj, nego dva simptoma iste bolesti, treba otvoriti trbušnu šupljinu i pogledati što se zapravo krije unutra. Odgovor: ne znamo. Nitko zapravo ne zna.

Moderni softver, statistički gledano, nije softver koji si napisao ti. Ono što ti napišeš tanak je sloj glazure na vrhu torte koju je nakuhalo tisuću nepoznatih ljudi — biblioteke, frameworkovi, biblioteke koje te biblioteke koriste, biblioteke koje koriste te biblioteke koje koriste te biblioteke. Devedeset posto svakog projekta koji danas ide u produkciju tuđi je kod, uvezen jednom naredbom i nikad ponovno pogledan. Ovu smo dijagnozu već postavili kod left-pada. Tada je to bio nesretan slučaj — čovjek koji je uzeo loptu i otišao. Sad je to oružje. Isti mehanizam, samo umjesto uvrijeđenog developera na drugom kraju lanca sjedi državna služba sa strpljenjem i budžetom. Ranjivost je identična. Samo je napadač konačno shvatio koliko je vrijedna.

Drugi nalaz je administrativan, i po njemu se ova obdukcija najviše razlikuje od prethodnih. Kad je liječnik istraživao Heartbleed, znao je barem koji je organ zaražen, ime i prezime. Ovdje je problem dublji: kompanije koje su otkrile da im u sustavu živi Log4j nisu to znale unaprijed. Nisu imale popis. Zamisli da ti liječnik kaže da imaš rak, ali ne u kojem organu, jer ni on ni ti nemate cjelovit popis organa koje uopće imaš. To je otprilike stanje sigurnosnih timova u prosincu 2021. — grebali su po serverima i tražili je li Log4j negdje zakopan tri razine dublje, u paketu koji je uvezao paket koji je uvezao paket. Zato u ovoj sekciji patologije ulazi novi termin, i valja ga zapamtiti jer se od sad neće micati: SBOM, software bill of materials — popis sastojaka softvera, kao deklaracija na poleđini kutije keksa. Prije Log4Shella je to bila birokratska sitnica za entuzijaste. Poslije je postala pitanje koje svaki ozbiljan CISO (šef sigurnosti u firmi, čovjek čiji posao postoji upravo za noći kao što je ova) mora znati odgovoriti u sekundi: što sve vrtimo? Ako ne znaš odgovor, nisi siguran — samo još nisi svjestan da nisi.

Zaključak ove faze obdukcije, dakle, ne glasi da je netko bio nemaran — SolarWinds je imao sigurnosne timove, Log4j su radili sposobni ljudi. Zaključak glasi da je ranjivost ugrađena u samu arhitekturu povjerenja na kojoj cijela softverska industrija stoji. Takvu stvar ne možeš zakrpati jednim commitom (jednom sitnom izmjenom koda, ubačenom i gotovom za pet minuta). Možeš je samo pokušati suzbiti — vidjeti gdje je infekcija, ograničiti štetu i, ako imaš sreće, sljedeći put otkriti prijetnju prije nego što je Božić i prije nego što je backdoor već mjesecima unutra.

Odgovor: sigurnost lanca
§ 04

Odgovor: sigurnost lanca

Patolog na kraju obdukcije napiše preporuku. Ne zato što će mrtvac oživjeti, nego da sljedeći na stolu ne završi zbog istog uzroka. Bijela kuća je, nakon SolarWindsa, napisala baš takvu preporuku. Zvala se Executive Order 14028, iz svibnja 2021., i bila je, otprilike, prvi put da je američka vlada javno rekla: naš softver umire od tuđih ruku koje smo mi platili, i to moramo prekinuti. Kriza je, kao i uvijek, rodila regulaciju — isti obrazac koji smo gledali kad su antitrust zakoni (oni protiv monopola) čekali da situacija postane neizdrživa prije nego što je bilo koga natjerala da potpiše papir. Zakon ne dolazi na vrijeme. Dolazi na leš.

Konkretno, nalog je tražio da svaki dobavljač koji prodaje softver federalnoj vladi mora znati — i priložiti — popis svega što je ugradio u svoj proizvod. To se zove SBOM, i zvuči kao papirologija jer i jest papirologija, ali papirologija koja prije toga nije postojala u praktički nijednoj firmi na svijetu. Zamisli da kupiš gotovo jelo u dućanu i ono nema popis sastojaka — jedeš, i nadaš se. Tako je funkcionirao cijeli softverski lanac dvadeset godina: instaliraš, i nadaš se. SBOM ne sprječava sljedeći Log4Shell. Samo mu, kad se dogodi, daje da za tri sata znaš gdje curi, umjesto devet mjeseci koliko je trebalo FireEyeu da uopće otkrije da je zaražen.

Drugi dio recepta zove se potpisivanje i reproducibilni buildovi — dvije stvari koje zvuče tehnički suhoparno, a rješavaju upravo ono što je SolarWinds slomio. Sjećaš se, backdoor je ušao kroz legitiman, potpisan update. Problem nije bio što nije bilo potpisa; problem je bio što je potpis potvrđivao samo da je paket došao od SolarWindsa, a nije govorio ništa o tome je li ono što je unutra isto što su programeri stvarno napisali. Reproducibilni build je odgovor na to: ako dva neovisna stroja, na dva kraja svijeta, iz istog izvornog koda naprave bit-po-bit identičan finalni program, znaš da nitko nije tiho ubacio ništa dodatno između pisanja i isporuke. Prije toga si vjerovao potpisu kao potpisu na omotnici koju nikad nisi otvorio. Sad barem provjeravaš je li omotnica prazna.

A onda ono najzanimljivije, jer ovo je serija koja je već dva puta pokopala pacijenta zbog istog razloga: Log4j je održavala šačica volontera, kao i Left-pad, kao i Heartbleed. Nakon SolarWindsa i Log4Shella, konačno je krenuo novac koji nije samo PR gesta — sovereign tech fondovi, inicijative koje plaćaju održavatelje kritične infrastrukture da rade ono što su dosad radili u slobodno vrijeme, uz posao, uz djecu, uz sve. Njemačka je pokrenula svoj Sovereign Tech Fund, EU je počela ozbiljno govoriti o financiranju open-source okosnice interneta. Trebalo je dva velika kolapsa da netko shvati da temelj svjetskog gospodarstva ne bi trebao ovisiti o tome hoće li se neki neplaćeni volonter negdje u svijetu umoriti od besplatnog rada i prestati odgovarati na e-mailove.

Sve to ide pod krovni pojam koji je iznenada postao moda: shift left. Prevedeno s konferencijskog žargona na ljudski — razmišljaj o sigurnosti na početku, ne na kraju. Ne dodaj zaštitu kad je proizvod gotov i kad je prekasno; ugradi je u proces prije nego što je napisan prvi red koda. Zvuči kao zdrav razum. Jest zdrav razum. Problem je što zdrav razum, u industriji koja plaća za brzinu isporuke a ne za odsustvo katastrofe, gubi svaki put dok katastrofa ne postane skuplja od brzine. SolarWinds i Log4Shell su, zajedno, konačno pomaknuli tu vagu.

Nalaz obdukcije, dakle, dobiva svoj recept: transparentnost lanca (da se točno zna od kojih tuđih dijelova je tvoj softver sastavljen, umjesto da to ostane tajna do dana kad nešto pukne), provjeriv build — postupak izrade softvera posložen tako da svatko, ne samo proizvođač, može provjeriti da u finalnom paketu nije nešto tiho dodano ili zamijenjeno — plaćeni čuvari infrastrukture, sigurnost od prvog dana. Papir postoji. Potpisi postoje. Novac, napokon, počinje teći. Pitanje koje patolog ne smije postaviti glasno, ali ga postavlja u sebi dok skida rukavice, jest sasvim drugo — je li ovo lijek, ili samo bolji zapisnik za sljedeću obdukciju.

Nova prijetnja kao normalnost
§ 05

Nova prijetnja kao normalnost

Nalaz obdukcije, zadnja stranica. Uzrok smrti pacijenta — iluzije da postoji nešto poput „zdravog softvera” — nije jedna rana. Patolog to mora upisati crno na bijelo, koliko god zvučalo kao izlika: uzrok smrti je sustavni. Nije SolarWinds ubio pacijenta. Nije Log4Shell. Ubio ga je lanac nabave (supply chain) — cijeli onaj nevidljivi niz tuđih komponenti, biblioteka i alata od kojih je sastavljen svaki modern softver, baš kao što je tvoj automobil sastavljen od dijelova desetak podizvođača o kojima nikad nisi čuo. Pacijent je od samog početka bio sastavljen od tuđih organa, transplantiranih bez pretraga, umotanih u ugovore koji kažu „uzmi kakvo jest” (as is) i nadu da nitko neće gurnuti prst tu gdje ne treba. Lanac nabave nije jedan od vektora napada. Lanac nabave je jedini vektor koji je ikad postojao — samo smo trideset poglavlja trebali da to napišemo dijagnozom, umjesto da to zovemo lošom srećom.

Zato napadač danas ne razmišlja kako probiti tebe. Razmišlja komu ti vjeruješ. A ti vjeruješ svima — dobavljaču SolarWindsovog Orion softvera, održavatelju Log4j biblioteke koji to radi u slobodno vrijeme, paketu koji je netko od dvadesetak ovisnosti povukao dok si ti spavao. Karika je bezbroj, i to nije metafora nego popis datoteka u mapi node_modules — onoj mapi u koju svaki JavaScript projekt strpa sve tuđe komponente koje mu trebaju, i koja zna narasti na desetke tisuća datoteka koje nitko normalan nije, niti će, pročitati. Napadač bira najslabiju kariku, a najslabija je uvijek ona koju najmanje ljudi gleda — sitna biblioteka, sitna firma, sitan ugovor o održavanju koji je netko potpisao 2014. i otad zaboravio da postoji.

Jer ova kronika nije počela u Austinu 2020. Počela je s buffer overflowom koji je pretvorio podatke u kod, jer je von Neumann davno spojio memoriju i program u isti ormar. Nastavila se s Morrisovim crvom, momkom koji je htio prebrojati internet i umjesto toga ga ugasio. Prošla je kroz Heartbleed i kroz left-pad, iste priče koje smo već sekcirali, samo drugi datum na nalazu. Svaki put zaključak je bio isti: sigurnost nije stanje, sigurnost je dug koji se plaća kamatama, i nikad glavnicom. SolarWinds i Log4Shell nisu novo poglavlje te priče. Oni su trenutak kad je taj dug prestao biti tehnički i postao geopolitički — kad je špijun s državnom plaćom shvatio da je jeftinije platiti nekome da probije jedan update nego probijati tisuću meta pojedinačno.

A dok se to događa na razini ministarstava i obavještajnih službi, negdje na drugom kraju tog istog lanca sjedi čovjek koji Log4j — onu dosadnu, nevidljivu biblioteku koja programima u pozadini bilježi što se događa, kao crna kutija u avionu — održava u slobodno vrijeme, besplatno, jer voli taj projekt i jer ga nitko drugi neće preuzeti. Božić mu je te godine prošao pišući krpe u dva ujutro, dok su korporacije koje su na njegovom radu zaradile milijarde slale mailove s „URGENT” u naslovu. Ironija je toliko debela da bi je i patolog s tridesetogodišnjim stažem teško izrezao skalpelom: najozbiljnija prijetnja nacionalnoj sigurnosti prolazi kroz kod koji čuva volonter, isti onaj lik iz K6, isti onaj iz K4, isti onaj koji drži cijelu zgradu, a plaćen je — ničim.