работа - Page 8 - Lab Journal 6

Вот интересно

Когда вся эта бодяга с ковидлой наконец закончится так или иначе, и работодатели начнут снова требовать от работников приходить в офис — как много народу скажут «нунах, либо я теперь 100% из дома буду работать, либо уйду в другое место?»

В почтовый ящик валом валятся предложения работы, подавляющее большинство — 100% удалёнка. Так что вопрос «куды бечь» не стоит вообще.

Ташта если начальство вдруг решит, что мы должны снова быть в офисе — я ещё подумаю. Может быть, и не пойду, хоть работа мне и нравится. Поначалу я всю эту идею работы из дома принял в штыки. А теперь привык, и даже больше нравится. Ну, а чо, кругом ведь выгода — на одном бензине хер знает, сколько денег сэкономить можно.

Блютусное

Хозяйке на заметку. Если ваш лаптоп с десятой вендой вроде бы подключается к блютусным колонкам, но в панели управлением звуком эти колонки показываются как «disconnected» потому что индусские долбопрограммеры в очередной раз что-то сломали в ОС, попробуйте вынести колонки из системы КЕМ, и добавить следующий ключик в реестр из командной строки:

reg add HKLM\SYSTEM\ControlSet001\Control\Bluetooth\Audio\AVRCP\CT /v DisableAbsoluteVolume /t REG_DWORD /d 1 /f

Видимо, по умолчанию венда чего-то там пытается сделать с колонками, но натыкается на непонимание, и маркирует колонки как «отключенные». А этот ключик, насколько понял, отключает эту функциональность.

Чего-то мне в последнее время всё больше и больше хочется на Мак. Игр вот под ним только мало, а для работы всё, что надо, есть. Мелкомягкие даже RDP клиент с поддержкой смарт-карт (это к вопросу, почему я категорически не могу работать под ентим вашим недоразумением под именем «Линупс», помимо многих прочих причин) сварганили для Маков.

Сел на пособие

Вернее, на бюллетень. Так как дома два ребёнка, работать полновесные 8 часов тупо нереально физически. Получается от силы 4.

Спасибо федеральному правительству, малый и средний бизнес получили специальные гранты на оплату отпусков, взятых по болезни, и в число «болезней» входит необходимость смотреть для детьми, которые не могут находится в школах из-за их закрытия. Так что работаю 4 часа, а остальные мне оплачивают, спасибо Донни. На ²⁄₃ от обычной зарплаты, правда, но это ничо, мы и на меньше денег жили, к тому же из-за карантина многие траты сильно снизились (например, на бензин).

Никаким нахлебником из-за этого я себя не чувствую. Ведь остальные 4 часа я не сижу, засунув палец в задницу. В это время я и повар, и учитель, и нянечка — профессии, которые вообще-то, оплачиваются. Я и лошадь, я и бык, я и баба и мужик — как говорила моя покойная бабушка — плюс исправнейшим образом плачу десятки тысяч долларов налогов в год. Пора хоть что-то получить назад.

Нарушил карантин

В офисе медным тазом накрылся ИБП, на котором сидело четыре хоста ВМВари. Хошь не хошь, а пришлось ехать — вытаскивать тяжеленную дуру из рэка удалённо я пока не научился.

Пока ехал, видел бензин по рупь шисят, а кое-где и по рупь писят. Я таких цен уже лет пятнадцать не видел. Только кому этот бензин теперь на х. нужен.

Контора уходит на дно

Пораздавали всем сотрудникам лаптопы, научили всех пользоваться VPN и MSTSC. Эту неделю буду работать из дома, последующую буду работать уже из офиса, а там видно будет.

me and my coworkers logging into all of our meetings remotely for the next couple of weeks pic.twitter.com/fpOYiHJLcl

— isha (@ikasliwal) March 9, 2020

FIPS

Дальше всякое сисадминское.

FIPS это Федеральный Стандарт по Обработке Информации (Federal Information Processing Standard). Когда говорят FIPS, обычно подразумевают публикацию Национального Института Стандартов и Технологий (NIST) за нумером 140–2. В ней описываются всяческие стандарты безопасности, включая алгоритмы шифрования, генерации случайных чисел и т.д. В России тоже есть аналог этого документа, это ГОСТ 54583–2011.

В Винде режим совместимости с FIPS включается довольно просто — либо через групповые политики (если у нас домен) или же через локальные настройки безопасности: Local Policies -> Security Options -> Use FIPS Compliant algorithms for encryption, hashing, and signing. Это заставит все программы, выполняемые на компьютере, использовать только безопасные алгоритмы. Если же программа захочет использовать небезопасный алгоритм (например, алгоритм хеширования MD5), то она вывалится с ошибкой «не шмагла», а в евентах останутся соответствующие матюги от SCHANNEL.

И вот заодно пнём Линукс. Вернее, не сколько сам Линукс, сколько восторженных линуксофанатов. Скажите мне, дарагие друзиа, как на вашей любимой платформе включается режим совместимости с FIPS? А? Чего молчите? Ну, тогда отвечу я: НИКАК. Чтобы получить FIPS-совместимый Линукс, надо менять ядро на FIPS-совместимое, а оно (кокой сурприз!!) — продаётся и обновляется строго за деньги. Просто вы, дарагие друзиа, ничего сложнее пишмашинки или стандартного LAMP-сервера в жизни не делали, поэтому продолжаете считать, что Линукс — он бесплатный.

Пойдём далее. Самая большая засада с включением FIPS в том, что весь софт, который не умеет в SHA, AES и прочие умные слова, перестаёт работать. И ладно там если перестаёт работать какое-то самописное изделие или ещё какой несерьёзный софт. А вот у меня вчера перестал работать SQL Server. Ага, вот так вот, мля, знай наших! Вернее, перестал работать не сам сервер баз данных, а сервис линкования серверов. Он же шпарит по шифрованому протоколу между сервантами. И вот видимо конкретно эта часть не является FIPS-совместимой, так как от сервера прилетает TCP RST сразу после попытки TLS-рукопожатия.

Будем сегодня разбираться, не то это DBA чего-то не так наконфигурял, либо надо писать телегу в Microsoft, чтобы FIPS-совместимый продукт стал, наконец, FIPS-совместимым.

Четвертые сутки пылают станицы

Всё же дал стране угля Микрософт с последним обновлением, закрывающим не просто дыру, а ДЫРУ с большой буквы в crypt32.dll ТАКИХ размеров, что филин залетает туда не складывая крыльев. Начальство потребовало, чтобы оно было установлено везде к концу недели, и у всех наших сисадминов задница в мыле.

Что интересно, кстати, что Микрософту про эту дыру рассказало АНБ США. Интересно, сколько лет они об этой дыре знали и сидели на этой информации, используя дыру в своих целях.

Ну чо, попатчимся?

Криптографические сопроцессоры (TPM) производства STM и Intel имеют уязвимость, используя которую можно вытащить из сопроцессора ключи шифрования. В том числе — и удалённо, по сети, т.к. криптографический сопроцессор используется в том числе при установлении TLS сессии. Потребуется, правда, быстрая сеть, т.к. возможность атаки сильно зависит от разницы во времени между посылками команд.

У меня сопроцессор производства Infineon, так что нужды патчиться у меня нет. Владельцы чипов Nuvoton тоже могут выдохнуть.

Просмотреть информацию о производителе cопроцессора на Винде можно при помощи утилиты tpm.msc. IFX — это Infineon. Про других не знаю.

https://www.zdnet.com/article/tpm-fail-vulnerabilities-impact-tpm-chips-in-desktops-laptops-servers/

Ну, а владельцы облачных серверов сегодня споют и спляшут — нас-то это не касается. За это мы и любим облачные технологии.

Отбивательство

Блин, последнюю неделю практически все мои разговоры на работе происходят так:

Тестеры: Вы добавили на фаерволл ексепшены?
Я: А вы мне прислали список ексепшенов как я потребовал две недели назад?
Тестеры: Вот прямо щас поглядим и пришлём!

Программисты: вы установили наш новый код на веб-приложение?
Я: А вы его скомпилировали и мне его дали, как я просил три недели назад?
Программисты: Дайте пять минут, пришлём!

Отдел документации: что-то мы до сих пор не видим новую базу данных, которую мы просили добавить
Я: А вы прислали мне схему БД которую я уже вторую неделю ежедневно прошу, чтобы я её добавил?
Отдел документации: Ну добавьте хоть чего!
Я: Чего добавлять-то? Тонну таблиц и толпу варчаров? А какой длины? Сколько? А индексы где будем делать? А проверки на уникальность? А первичный ключ надо? А кто к этому должен иметь доступ, и какой?
Отдел документации: Мы щас подумаем.

Начальник: Чего-то у нас нихера не работает!
Я: У меня все ходы записаны.
Начальник: Понятно. Щас я их смотивирую.

А завтра будет, японский бог, ровно то же самое.

Лучшие заработки — у женатых мужчин

О чём я уже неоднократно говорил.

И, что характерно, я считаю такую ситуацию абсолютно правильной и логичной. Именно на такого человека должно опираться общество, именно их нанимать в первую очередь, и именно им давать максимум бенефитов. Не на холостяков же опираться — сегодня они есть, а завтра их нет. Я не о том, что «нет ответственных работников-холостяков» — они есть. Но в массе (повторяюсь — в массе) это народ менее надёжный.