Wednesday, February 14th, 2007 10:07 pm
В одной маленькой, но гордой стране было, как водится, правительство. А у правительства были сайты. И у разных других государственных органов тоже. А чтобы за ними всеми ухаживать, был специальный датацентр. И все там было сделано по науке. Снаружи файрволлы очень умные, внутри фейковые IP с NAT'ом, и такое разграничение доступа, что иногда даже на соседнюю машину в той же подсети не попадешь, пока дырочку специльно не проделают. И мониторинг всякий, чтоб если враги как-нибудь пролезут, то их бы сразу видно было. И инженеров тьма. Обслуживают это всё, патчи, производителями рекомендуемые, ставят, и всё такое. Правда, пока они там разберутся, кто за что отвечает, недели три-четыре пройти может, ну да речь не о том.

А только однажды пришла беда, откуда не ждали. Просочилась на машинки нехорошая программа. Прямо по HTTP, который, понятное дело, открыт был наружу. Обосновалась там и стала спам рассылать. А машинки мощные, и каналы толстые - правительство ж не поскупилось. Выключать машины нельзя - правительственные же сайты, конфуз будет. Почту блокировать тоже никак нельзя - там и полезная тоже рассылаается. И программу эту нехорошую даже видно, если приглядеться, а только как ее удалишь - она сразу обратно приползает, а патча против нее производитель еще не прислал..

Домашнее задание: как обычно, определить, что делать, и кто виноват.

Upd: производятеля я сознательно не называл, хотя это был слонёнок MS. Но если немножко подумать, с таким же успехом там мог стоять какой-нибудь Солярис или Линукс. В них тоже бывают дырки, представьте себе.
И если это, скажем, какое-нибудь переполнение буфера в ядреном вызове из-за неправильной обработки какой-нибудь совершенно корректной строки, то результат будет одниковый - ждать, пока производитель выпустит патч. Будь то MS, Sun или open-source сообщество. Найти специалиста, который сможет найти и пофиксить баг в ядре линукса, может оказаться дольше и дороже, чем достучаться до коммерческого производителя.

Поэтому вопрос совершенно не в конкретной операционной системе, а в организации производственного процесса.
Wednesday, February 14th, 2007 10:45 pm (UTC)
Забросить в офис производителя роту спецназа при поддержке артиллерии и авиации, установить полученный через 24 часа патч.

А вообще просто зарулить 25-й исходящий порт на промежуточный сервер с хорошим антиспамом.
Wednesday, February 14th, 2007 11:01 pm (UTC)
ну, ты понимаешь, что офис производителя находится в Редмонде..
Wednesday, February 14th, 2007 11:07 pm (UTC)
И после этого спрашивается, кто виноват? Тот, кто выбрал этого производителя...
Thursday, February 15th, 2007 06:24 am (UTC)
за отмазку не канает.

Найти специалиста, который быстро пропатчит сервис в open-source решении не дешевле, чем специалиста, который найдёт решение для win*

на этом уровне, разница уже не в платформе, а в способностях управляющих.
Для open-source решении, нужно знать людей, кто на такое вообще способны, и иметь к ним подход
для фирменого - иметь рычаги для давления на фирму.

В общем случае правительства, на фирму надавить может быть проще. Если, конечно, фирме интересен рынок этой страны.
Thursday, February 15th, 2007 08:11 am (UTC)
Штука в том, что решения под вин* может не быть в данный момент времени - какой бы супер-специалист не был. А отсутствие сырцов делает невозможным самостоятельный поиск этого решения. Так что - да, вопрос упирается в рычаги давления. Мне кажется, это довольно хреновая зависимость...
Thursday, February 15th, 2007 08:31 am (UTC)
Штука в том, что решений под open source, тоже может не быть в данный момент.

Помнится, когда-то давно, контора в котрой я работал, решила таки протянуть выделенку, и поставить хороший сервер под всяческие интернет-сервисы. Сервер купили HP. Потмоу что под словами "хороший сервер", те, кто покупал железо, понимали "брендовый сервер". Тогда это было HP NetServer LC-какой-то там. EISA шина, SCSI диски, и всякое такое.
Конечно ставить и настраивать систему отдали провайдеру. Они же специалисты. Я тогда ваще про юниксы только слышал краем уха.
Думаю, можно найти во FreeBSD sourcebase тот патч, который делал ovod@dipt, на ядро, чтоб фря увидела толи контроллер SCSI, толи еще что-то на EISA шине этого сервера. Несколько лет позже, я находил этот патчик в /usr/src лежащий отдельно, и даже не поленился глянул в ChangeLog - они в следующей ревизии систему этот патч включили в основную ветку.
Windows NT, кстати, ставилась "из коробки". К серверу прилагался диск настроек и подробные инсрукции, как на наго ставить Win*, OS/2, NetWare, SCO Unix, итд.

Абстрактная "возможность самостоятельного поиска решения" - это хорошо. Но людям нужно готовое решение. Отсутсвие "под рукой" людей, которые способны разобраться в сырцах, может
1. оочень высоко поднять цену решения
2. и увеличить время
На тот момент, людей, которые могли такое сделать, в городе было, ну пара-тройка человек. На сегодня, думаю тоже. Это не Москва.

Есть еще одна история, когда в том же городе, ни один "юниксоид", ни на одной платформе не смог решить задачу хитрой раздачи потокового Video. Заказчик за ценой не стоял (в пределах разумного, конечно). Microsoft Support через несколько дней после обращения, выдал пошаговые инструкции, что из компонент добавлять, и как их настраивать, чтоб получить результат. Кроме цены лицензии, заказчик не заплатил ни копейки. Заказчику всёравно было, кому отдавать деньги. Чесслово. Им нужно было решить задачу. Юниксоиды, кстати, потратили больше времени суммарно. И так сходу, просили больше денег. Потому как специалистов, способных на такие извраты, опять-же, в городе было всего человек пять. И цену они себе знают.

Так вот, повторюсь - ключевой момент - управление.
Еще есть такой хороший показатель, для простых людей "цена владения". Очень часто, Microsoft Solutions, получаются дешевле. За счет массовости.
Thursday, February 15th, 2007 09:17 am (UTC)
Да, с этим глупо спорить - бывают ситуации, когда МС дешевле и проще. Соббсно, об этом, кажется, и RMS говорил - только внутреннее убеждение в необходимости свободы может убедить людей не использовать коммерческий софт. Потому (читаем между строк), что другие причины могут работать против свободного софта.
Thursday, February 15th, 2007 09:35 am (UTC)
именно. внутренее убеждение.
Но каким-бы это внутренее убеждение не было, люди часто хотят тривиально экономить деньги и время.
Thursday, February 15th, 2007 09:47 am (UTC)
Люди почти всегда хотят экономить. Просто внутренние убеждения бывают сильнее этого желания.
Thursday, February 15th, 2007 09:49 am (UTC)
так или иначе, внутренее убеждения влияют на принятие решения.
Опять-же, у разных людей разные пути экономии, даже при одинаковых внутрених убеждениях.
Thursday, February 15th, 2007 10:03 am (UTC)
Меня-то в этом вопросе интересует только один аспект - есть ли у человека, принимающего решения, другие соображения, кроме экономии. Если убеждения влияют на уровне "при прочих равных показателях экономичности" - этого недостаточно (для меня, разумеется). Тем более что "равных" в реальности бывает редко (никогда?)
Thursday, February 15th, 2007 10:06 am (UTC)
А меня не интересует :))
Решение уже принято. Даже если этого человека убрать, а поставить другого, ситуация будет... Другая. Но не факт, что лучше. С прикладной-практической стороны.
Да и лучшесть идейной стоороны, тоже не доказана.

Сложно аргументировать "личные внутрение убеждения". Да и не нужно, если вдуматься.
Thursday, February 15th, 2007 10:11 am (UTC)
Да, убеждения - дело такое. Недоказуемое и неаргументируемое;) Но и правда - они не нуждаются в этом. Хорошо б, чтоб их было... (гхм, наверное, я типо романтик;)
Wednesday, February 14th, 2007 11:31 pm (UTC)
Обычно в рамках поддержки крупных и/или престижных заказчиков (а правительство маленькой и гордой страны относится к тем и другим) MS делает штучные патчи для устранения конкретных проблем. Так, например, было с DNS Server под W2003, который при некоторых сценариях использования начинал терять память — патч сделали для кого-то из крупных регистраторов и о его существовании было известно, но официально он не релизился, а вошел уже в SP1.
Wednesday, February 14th, 2007 11:31 pm (UTC)
В смысле, я понял, что это MS, и исходя из этого знания давал совет :)
Thursday, February 15th, 2007 06:28 am (UTC)
+1

перефразирую:
Кто виноват: человек, который организовывал работу на MS Solution, и не организовал поддержку от MS с достаточным уровнем оперативности.
Что делать: по возможности решать своими силами, искать специалистов которые смогут залезть во внутрености IIS, и отловить эту заразу на этапе как она пролезает, парралельно, таки озаботиться сервисом MS для таких случаев.
Thursday, February 15th, 2007 07:47 am (UTC)
Тогда не роту спецназа, а парочку "Тополей".
Thursday, February 15th, 2007 07:23 am (UTC)
кто виноват, я так понял - определились.
что делать - быстренько собрать параллельный датацентр на ПО альтернативного производителя.
Thursday, February 15th, 2007 07:53 am (UTC)
Предлагаю всем запостить объявление (http://ivlad.livejournal.com/184754.html):

В связи с т.н. "историей Дилевского", хочу сказать, что если вы - правительство России (или любое другое правительство, или представитель руководства страны), который хочет (или, скажем мягче, готов попробовать) использовать Linux в государственном процессе, но не знает, с чего начать, я готов встретиться, рассказать и показать. Более-менее в любые выходные. Небезвозмездно, то есть за деньги. =)

Пока - только в пределах Европы и ближайшего Востока. Ну, может еще Китай, куда я все равно мечтал поехать.

Если таких правительств (премьеров, президентов и глав хунт) наберется несколько человек, будет еще лучше!

Комменты оставлять тут.
Thursday, February 15th, 2007 08:04 am (UTC)
я не правительство, и сам могу рассказывать за деньги про "ПО альтернативных производителей" (мне просто нечего рассказать про ПО "основного производителя" - не сталкивался, не знаю).
Thursday, February 15th, 2007 08:38 am (UTC)
Увы, вывод совершенно неправильный. Щас напишу апдейт к посту.
Thursday, February 15th, 2007 10:25 am (UTC)
 
Thursday, February 15th, 2007 08:50 am (UTC)
Не смешно. Датацентр собрать можно, а вот переписывать весь прикладной софт, который там крутится..
Thursday, February 15th, 2007 09:31 am (UTC)
а вот эту часть, в которой там что-то нехорошее проглядывается, переписать можно?
Thursday, February 15th, 2007 10:50 am (UTC)
А нехорошее проглядывается где-то глубоко в системной dll'ке от IIS.
И заменить ее решительно нечем.
Thursday, February 15th, 2007 02:16 pm (UTC)
н-дя.
прямо в параллель к дискуссии про свободное ПО в государстве:
http://exler.livejournal.com/466014.html
Thursday, February 15th, 2007 08:21 am (UTC)
найти что это за троян, разобрать, дать ему команду на отключение
Thursday, February 15th, 2007 08:52 am (UTC)
Сколько времени займет поиск специалиста, который спососбен это сделать, сколько времени он будет разбираться с трояном, и какова вероятность, что он вообще сможет его отключить?
Thursday, February 15th, 2007 09:23 am (UTC)
я не очень понял - а что, ничего антивирусного там не установлено? ну, отослать тогда в дрвеб и как начнет определяться скачать cureit и залечить...
Thursday, February 15th, 2007 08:22 pm (UTC)
Фиг его знает, может и установлено, но не поймало.
Лечить бессмысленно, пока не заткнута дырка в системе. Оно опять приползет.
Thursday, February 15th, 2007 09:53 am (UTC)
Если область возникновения предполагаемых проблем - вирусы/трояны, то может даже есть смысл не к производителю системы за "расширеным сервисом" обращаться, а к компаниям которые пишут антивирусы.
Thursday, February 15th, 2007 09:35 am (UTC)
с учетом апдейта: все равно придется нанимать специалиста, который должен будет отловить заразу и залатать дырку...
Thursday, February 15th, 2007 09:47 am (UTC)
Процесс нужно организовывать так, чтоб "специалист" был вкурсе, что его услуги могут понадобиться, и гарантировал решение проблем и сроки получения этих решений.
Насколько я понимаю, крупные производители (дистрибьюторы) предлагают такого рода услуги. Сравнить кто что предлагает, подсчитать цену, добавить вероятность возникновения и критичность.
Если в итоге альтернативные платформы окажутся дешевле, подсчитать цену перевода датацентра на другую платформу. Подумать, есть ли смысл переходить. Работа, грубо говоря, для управленца и экономиста :)

уж насколько у нас узкая область (медицинские лаборатории), и высока цена перехода на другую систему автоматизации (непрерывный процесс), но и тут случается, что от одного решения отказываются, и внедряют альтернативное. По вполне экономическим причинам.
Thursday, February 15th, 2007 11:29 am (UTC)
Есть альтернатива, запросить помосч пацанов из Рэдмонда... Уверен, с радостью займутся новой заразой.
Thursday, February 15th, 2007 12:21 pm (UTC)
фильтровать исходящую почту можно?
не убивать, а застопорить процесс трояна можно?
не застопорить (если в нём есть проверка запрос-ответ, то не подходит), а понизить приоритет до никакого?
приползает по HTTP? выделить под почту отдельные машины без IIS можно?
положить в то место, куда он пишет свой .exe, другой (безвредный) файл, который нельзя удалить?
Thursday, February 15th, 2007 08:32 pm (UTC)
посту фильтровать можно, только для этого надо ставить либо смартхост, и менять конфиги у тучи машин, либо прозрачный прокси, что совершенно нетривиально. И опять же, требует сильно ненулевого времени на установку и настройку. На будущее, конечно, полезно бы.

Дима, ты забыл, как переводится IIS? Это не веб-сервер, это монстр типа "все-в-одном", куда входит и SMTP. Пишуший логи в формате от HTTP-сервера, за что его авторов надо медленно убить.
Письма, сгенерированные на веб-сервере, обычно отправляются только вот этой вот штуковиной. Альтернативыне способы отправки тербуют переделки прикладного софта.

P.S. правильно настроенные винды вообще не дают писать кому попало куда попало. В том числе, и вирусам. Проблема в том, что очень мало кто умеет их правильно настраивать :)
Thursday, February 15th, 2007 02:21 pm (UTC)
кстати, да: поставить машинку с контент-фильтром на входе/выходе.
рубить вход по 80 порту на предмет просовывания заразы.
на выходе - по 25 незнамо от кого внутри...
Thursday, February 15th, 2007 08:18 pm (UTC)
Если это правительство - то можно и с другой стороны долбануть: не MS, а спамеров.
Если это местные, то прижать их проще простого.
Friday, February 16th, 2007 05:06 pm (UTC)
Да нифига они не местные. Они международные