Category: сисадминское

Ама­зо­нов­цы опуб­ли­ко­ва­ли тех­ни­че­ский раз­бор при­чин недав­не­го паде­ния AWS. То, что вино­ват был DNS, уже было извест­но, но лич­но мне было любо­пыт­но понять — что же имен­но они смог­ли сло­мать в систе­ме, кото­рая, по идее, долж­на быть одной из самых про­стых и надёж­ных в инфра­струк­ту­ре интер­не­та?

Ока­за­лось, в их реа­ли­за­ции DNS скры­вал­ся ранее неза­ме­чен­ный баг, при­вед­ший к клас­си­че­ской race condition — ситу­а­ции, когда несколь­ко про­цес­сов или нитей про­цес­са одно­вре­мен­но пыта­ют­ся полу­чить доступ к обще­му ресур­су и в ито­ге меша­ют друг дру­гу. Такое состя­за­ние закан­чи­ва­ет­ся тем, что ресурс «зали­па­ет», а вся систе­ма рушит­ся, как кар­точ­ный домик.

При­знать­ся, изна­чаль­но у меня было подо­зре­ние на на чело­ве­че­ский фак­тор — дума­лось, что какой-нибудь неопыт­ный сисад­мин дёр­нул не за ту руч­ку, посо­ве­то­вав­шись с ИИ, но не спро­сив стар­ших това­ри­щей. Такое быва­ет, и мне тоже дово­ди­лось такое устра­и­вать. Но, как выяс­ни­лось, всё ока­за­лось куда глЫб­же.

Боль­ше все­го впе­чат­лил мас­штаб тре­ша, уга­ра, и бед­ла­ма с содо­ми­ей, вызван­ных сбо­ем. Лег­ла такая туча сер­ви­сов, что толь­ко успе­вай пам­пер­сы менять. Наши систе­мы, к сча­стью, напря­мую не постра­да­ли — но один из наших вен­до­ров ощу­тил послед­ствия спол­на.

Хочет­ся верить, что в Amazon извле­кут из это­го инци­ден­та пра­виль­ные уро­ки — ведь даже гиган­там вре­мя от вре­ме­ни полез­но вспом­нить, что совер­шен­ство инфра­струк­ту­ры не отме­ня­ет зако­нов веро­ят­но­сти и чело­ве­че­ской при­ро­ды.

Как несколь­ко лет назад нам актив­но впа­ри­ва­ли тех­но­ло­гию под назва­ни­ем блок­чейн? Мол, эта тех­но­ло­гия спо­соб­на на то, что­бы пере­вер­нуть мир. И как всем вдруг ста­ло казать­ся, что в блок­чейне обя­за­тель­но надо хра­нить реши­тель­но всё – от резуль­та­тов голо­со­ва­ния до всех финан­со­вых тран­зак­ций ком­па­нии?

Нет, я не спо­рю, в каче­стве реше­ния для хра­не­ния дан­ных, обя­за­тель­но тре­бу­ю­щих вери­фи­ци­ру­е­мо­сти, при­чём пуб­лич­но — это не обя­за­тель­но пло­хое реше­ние. Нава­лять код мож­но бук­валь­но минут за десять, у меня в жур­на­ле даже было пару рас­ска­зов про эту тех­но­ло­гию. Но повсе­мест­ный снос кры­ши на этой поч­ве я хоро­шо пом­ню. АААА!!!! Блок­чейн это кру­то!!! Обя­за­тель­но внед­рять!!! Немед­лен­но!!! Хва­тай меш­ки — вок­зал отхо­дит!!!»

А теперь я сижу и чешу репу — а в этот раз не снес­ло ли, слу­ча­ем, у всех кры­шу на обя­за­тель­ном внед­ре­нии систем исску­ствен­но­го интел­лек­та, при­чём повсе­мест­но? Нет, иску­ствен­ный интел­лект — это пре­крас­но, но вот на кой чорт он мне в нот­па­де? Систе­мы ИИ небез­греш­ны. И повсе­мест­ное их вко­ря­чи­ва­ние в нед­ра всех про­грамм без раз­бо­ру я счи­таю абсо­лют­но ненуж­ным. ИИ в соф­те хорош, когда он к месту. Ска­жем, он очень к месту в фото­шо­пе. А на кой бес он в Аксес­се? Все что, так силь­но соску­чи­лись по Скре­пы­шу?

Каж­дый раз одно и то же: сна­ча­ла «всем сроч­но внед­рить», потом — «а зачем мы это сде­ла­ли?» Очень может быть, что «ИИ» ско­ро зай­мёт почёт­ное место рядом с «блок­чей­ном» — в спис­ке забы­тых мод­ных слов. Ведь вид­но, что уже насту­па­ет отрезв­ле­ние — про­гресс ИИ начал упи­рать­ся в закон убы­ва­ю­щей отда­чи, а в Бри­та­нии вне­зап­но ока­за­лось, что при любых рас­кла­дах на все хотел­ки тупо не хва­тит элек­тро­энер­гии. А у нас (тоже вне­зап­но) выяс­ни­лось, что что­бы накор­мить все эти ИИ-моз­ги элек­три­че­ством, при­шлось вер­нуть в строй уголь­ные стан­ции. Хотя все вро­де бы уже согла­си­лись, что уголь — это пло­хо, радио­ак­тив­но (не шучу, они выбра­сы­ва­ют боль­ше ради­а­ции чем АЭС), и вооб­ще, на дру­гом кон­це зем­но­го шара Гре­точ­ка пла­чет в тужур­ку. А АЭС стро­ить — это доро­го, дол­го и не хай­по­во. Я вот уже несколь­ко раз упо­ми­наю в жур­на­ле АЭС «Воугл», что в брат­ской Джор­джии. Два её реак­то­ра вве­ли в строй толь­ко в 2023 году, а под­пи­сал бума­ги на её стро­и­тель­ство ещё Оба­ма, в 2009. А ИИ всем надо «прям­щас», и чего с этим делать при таких ввод­ных — реши­тель­но неяс­но.

Все дума­ли, что повсе­мест­ный пере­ход на элек­тро­мо­би­ли пере­гру­зит нашу энер­го­си­сте­му, ан беда под­полз­ла с совсем дру­го­го боку. Ждём, когда появят­ся стар­та­пы по опти­ми­за­ции потреб­ле­ния элек­три­че­ства с помо­щью ИИ. Круг замкнёт­ся.

Сла­ва богам, не у меня, а у сотруд­ни­ков. Но тут есть один занят­ный момент в кибер­без­опас­но­сти, на кото­рый сто­ит обра­тить вни­ма­ние.

Зар­пла­та в нашей ком­па­нии, разу­ме­ет­ся, пере­чис­ля­ет­ся напря­мую на бан­ков­ский счёт. У сотруд­ни­ков есть доступ к систе­ме, где мож­но посмот­реть начис­ле­ния и дру­гую инфор­ма­цию. Жули­ки про­бра­лись в акка­ун­ты несколь­ких чело­век и под­ме­ни­ли рек­ви­зи­ты бан­ков­ских сче­тов для выплат — на свои соб­ствен­ные. Спас­ло то, что любое изме­не­ние таких дан­ных тре­бу­ет руч­но­го под­твер­жде­ния бух­гал­те­ри­ей. Там вовре­мя запо­до­зри­ли нелад­ное и предот­вра­ти­ли кра­жу.

И вот тут самое инте­рес­ное. Доступ к систе­ме осу­ществ­ля­ет­ся через код, кото­рый каж­дый раз высы­ла­ет­ся на лич­ную почту сотруд­ни­ка при попыт­ке вхо­да. То есть у учёт­ной запи­си нет посто­ян­но­го паро­ля — каж­дый раз новый код из пись­ма. Види­те про­бле­му? Полу­чил доступ к почте — авто­ма­ти­че­ски полу­чил доступ и к зар­плат­но­му акка­ун­ту. Жули­ки лома­ли не сами эти акка­ун­ты, а имен­но лич­ную почту сотруд­ни­ков: навер­ня­ка с паро­ля­ми уров­ня 123456, без 2FA, или же через баналь­ный фишинг.

И тут важ­ный вывод. Абсо­лют­но вне зави­си­мо­сти от лич­ной бди­тель­но­сти сотруд­ни­ков, такой под­ход к без­опас­но­сти, нын­че частень­ко встре­ча­ю­щий­ся, мне кате­го­ри­че­ски не нра­вит­ся. Взлом одно­го сер­ви­са не дол­жен авто­ма­ти­че­ски вести к взло­му дру­го­го. Акка­ун­ты долж­ны быть защи­ще­ны раз­ны­ми паро­ля­ми и фак­то­ра­ми, а не пола­гать­ся на одну-един­ствен­ную уяз­ви­мую точ­ку.

Нако­нец-то при­е­ха­ли нор­маль­ные Ару­бов­ские (в деви­че­стве; нын­че — Хью­летт-Пак­кард Энтер­прайз) яче­и­стые точ­ки досту­па, и я смо­гу выки­нуть этот грё­ба­ный Нет­гир Орби к соот­вет­ству­ю­щей мате­ри.

Так как эти точ­ки досту­па под­дер­жи­ва­ют нор­маль­ный чело­ве­че­ский PoE, мои воз­мож­но­сти по их уста­нов­ке зна­чи­тель­но рас­ши­ря­ют­ся — не надо, что­бы рядом была розет­ка. Так что в под­ва­ле буду при­вин­чи­вать, как поло­же­но — к потол­ку.

PS: Иной раз при­хо­дишь домой — а там всё то же самое, что на рабо­те: стан­ки, стан­ки…

Я вот уже не пом­ню, когда в послед­ний раз при­хо­ди­лось зани­мать­ся этим чле­но­вре­ди­тель­ством. Как, всё же, хоро­шо, что у нас, нако­нец-то, вез­де юни­код — без допол­ни­тель­ных выви­хов моз­га любые язы­ки чита­ют­ся нын­че на любых устрой­ствах.

Ну, плюс теперь есть самые раз­ные и инклю­зив­ные эмод­зи! В Вин­де, кста­ти, вклю­ча­ет­ся по Win + .

😈👍

У капи­та­лиз­ма есть мно­же­ство недо­стат­ков (толь­ко вот всё осталь­ное — ещё хуже). Но вот что нико­гда нель­зя было поста­вить в вину капи­та­лиз­му — так это отсут­ствие инно­ва­ций. Пото­му что инно­ва­ции могут и при­но­сят допол­ни­тель­ную при­быль. И даже самые круп­ные ком­па­нии, когда забу­ре­ва­ют, и пре­кра­ща­ют эти самые инно­ва­ции — быст­ро отъ­ез­жа­ют в мир иной. Похо­же, эта же самая участь ждёт ком­па­нию Интел, в своё вре­мя дав­шую нам про­цес­со­ры x86. Ком­па­ния при­зна­ла, что навсе­гда отста­ла от лиде­ров рын­ка мик­ро­про­цес­со­ров, исполь­зу­е­мых в реше­ни­ях с иску­ствен­ным интел­лек­том, дав­но выпа­ла из десят­ки веду­щих про­из­во­ди­те­лей полу­про­вод­ни­ков, тыся­ча­ми уволь­ня­ет сотруд­ни­ков, и борет­ся за выжи­ва­ние.

Интел не выдер­жи­ва­ет состя­за­ние даже по нано­мет­рам — их теку­щий про­цесс мас­со­во­го про­из­вод­ства мик­ро­про­цес­со­ров толь­ко недав­но пере­сёк отмет­ку в 5 нано­мет­ров, а чипы АМД уже дав­но про­из­во­дят­ся по 4nm тех­про­цес­су. Это, прав­да, не сколь­ко заслу­га АМД, сколь­ко тай­вань­ской TSMC, так как имен­но их мощ­но­сти они исполь­зу­ют (у Инте­ла — свои фаб­ри­ки). Но всё рав­но.

А как началь­ник отде­ла айти нашей ком­па­нии, добав­лю, что мы всей кон­то­рой пере­шли на ком­пью­те­ры с про­цес­со­ра­ми АМД уже несколь­ко лет назад. Глю­ки ком­пью­те­ров с про­цес­со­ра­ми Intel (свя­зан­ные, по-мое­му, с дис­пет­че­ром задач в ОС из-за гибрид­ной схе­мы про­цес­со­ра с «быст­ры­ми» и «мед­лен­ны­ми» ядра­ми) нас доста­ли до такой сте­пе­ни, что мы плю­ну­ли и нача­ли поку­пать АМД «Рязань» для поль­зо­ва­тель­ских машин и АМД Ерус для сер­ве­ров.

А как дыс­а­ли, как дыс­а­ли? Но когда АМД выка­тил АМД64, а 64-бит­ный «Ита­ни­ум» про­ва­лил­ся как лом в про­рубь, даже не бульк­нув — это был даже не пер­вый зво­но­чек о пре­вос­ход­стве НИОКР АМД, а целый коло­кол. Интел был вынуж­ден лицен­зи­ро­вать архи­тек­ту­ру АМД64 вме­сто сво­ей, что­бы исполь­зо­вать её в сво­их про­цес­со­рах. Да, про­цес­сор Интел деся­то­го поко­ле­ния в ком­пью­те­ре, на кото­ром я сей­час это печа­таю, исполь­зу­ет мик­ро­ар­хи­тек­ту­ру, при­ду­ман­ную в АМД, вот так.

Что до меня лич­но — гля­дя на то, что Мик­ро­софт дела­ет со сво­и­ми ОС, и какие пере­спек­ти­вы они обе­ща­ют в новых вер­си­ях Вин­ды (иди­от­ские совер­шен­но), кля­нусь, я дома вооб­ще забро­шу эту Вин­ду к чор­то­вой бабуш­ке, и перей­ду на Мак. А на Маках нын­че RISC-про­цес­сор M4, а ника­кой не x86 и не x64. Нет, спа­си­бо, Линукс не пред­ла­гать. Я хочу поль­зо­вать­ся нор­маль­ным соф­том вро­де Фото­шо­па и Эйб­л­то­на, а не линуп­сяш­ны­ми недо­ра­зу­ме­ни­я­ми. Игры вот толь­ко будет немно­го жаль, но ниче­го, раз­бе­рём­ся. Рабо­чий ком­пью­тер, как и любой дру­гой инстру­мент, исполь­зу­е­мый посто­ян­но, не дол­жен вызы­вать ника­ких дру­гих эмо­ций, кро­ме поло­жи­тель­ных. А не острое жела­ние расхе­ра­чить его кувал­дой.

Жду не дождусь нор­маль­но­го гига­би­та как вниз, так и вверх. Ура! Но — рас­ска­зать я хотел про дру­гое.

Нака­нуне того, как интер­нет­чи­ки при­гна­ли тяжё­лую тех­ни­ку для уклад­ки кабе­ля, при­ска­ка­ли все город­ские служ­бы и поме­ти­ли свои ком­му­ни­ка­ции. Теле­фон — оран­же­вым, воду — синим, газ — жёл­тым, а искри­че­ство — крас­ным.

Но нель­зя недо­оце­ни­вать уме­ния экс­ка­ва­тор­щи­ков! Даже в хоро­шо раз­ме­чен­ном месте они всё рав­но что-нибудь возь­мут и рас­ко­па­ют. И таки да — смот­ри, рас­ко­па­ли!

Сидим без воды.

В Англии вве­ли закон, соглас­но кото­ро­му сай­ты, даю­щие доступ к мате­ри­а­лам толь­ко для взрос­лых, долж­ны про­ве­рять воз­раст поль­зо­ва­те­лей. Иди­о­тия тупая, как обыч­но. И дело даже не в том, что про­вер­ка воз­рас­та про­ис­хо­дит, напри­мер, по ска­ну госу­дар­ствен­но­го доку­мен­та, кото­рый может потом «утечь» — и пре­це­ден­ты уже были. И даже не в том, что таким обра­зом про­ис­хо­дит втор­же­ние в част­ную жизнь поль­зо­ва­те­ля. Про­бле­му я вижу в том, что с боль­ной голо­вы посто­ян­но валят на здо­ро­вую — на тех­ком­па­нии.

Идея ведь в чём? Офи­ци­аль­но — «что­бы дети не смот­ре­ли пор­ну­ху». Это уже набив­шее вот такую оско­ми­ну поли­ти­че­ское кли­ше — под видом «защи­ты детей» на деле вво­дит­ся любая дра­кон­щи­на.

Разу­ме­ет­ся, оно уже было в Симп­со­нах.

Дети — это ответ­ствен­ность роди­те­лей. Точ­ка.

Если у тебя дети дома бес­кон­троль­но могут смот­реть вся­кое — это ты мудак, а не тех­ком­па­нии. К тому же, как пока­зы­ва­ет опыт, все эти «огра­ни­че­ния» доста­точ­но лег­ко обхо­дят­ся. В Англии коли­че­ство VPN акка­ун­тов вырос­ло на 1400%!! А если дети могут бес­пре­пят­ствен­но менять настрой­ки и уста­нав­ли­вать на устрой­ства про­грам­мы, вклю­чая VPN — это тебя надо штра­фо­вать, а не тех­ком­па­нии. Твои дети — это твоя ответ­ствен­ность, а не тех­ком­па­ний. Функ­ции роди­тель­ско­го кон­тро­ля есть на всех опе­ра­ци­он­ных систе­мах — от Вин­ды до Мака и iOS. Я не знаю, как на Вед­ро­и­дах, но уве­рен, что там тоже оно есть. Если ты не можешь потра­тить пять минут на их настрой­ку — либо не имей детей, либо не поку­пай устрой­ства. А уж с нали­чи­ем вез­де­су­ще­го ИИ, кото­рый может дать поша­го­вые инструк­ции, по-мое­му, уже даже кот может эти настрой­ки сде­лать. Надо­е­ло уже вот это спи­хи­ва­ние ответ­ствен­но­сти с роди­те­лей за детей на кого попа­ло — толь­ко не на самих роди­те­лей.

Осо­бен­но горь­ко осо­зна­вать, что Англия, увы, это не исклю­че­ние. Задол­го до Англии при­мер­но те же педе­ра­сы в пло­хом смыс­ле сло­ва сде­ла­ли то же самое в нашем шта­те в 2024 году, при­няв билль 164. И, увы, не один наш штат такой дол­ба­ну­тый.

Пор­но­сай­ты, кста­ти, по-мое­му, не вво­ди­ли ника­ких про­ве­рок. Про­сто при захо­де с ала­бам­ско­го или дру­гих айпиш­ни­ков, где есть соот­вет­ству­ю­щие дол­бо­за­ко­ны, неко­то­рые сай­ты не дают ниче­го про­смат­ри­вать, про­сто высве­чи­ва­ет­ся над­пись «в каче­стве про­те­ста мы не обслу­жи­ва­ем запро­сы из ваше­го шта­та. ваше воз­му­ще­ние може­те пере­дать вашим зако­но­да­те­лям.». И при­вет, котят­ки.

Если у вас on-prem вер­сия 2019 — бегом про­ве­рять­ся и пат­чить­ся.

Если у вас SharePoint 2016 — поздрав­ляю тебя, Шарик, ты бал­бес, отклю­чай­те от интер­не­та нахер и к соот­вет­ству­ю­щей мате­ри. 0‑day с оцен­кой в 9.8 из 10 — это вам не шут­ки.