![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
В одной маленькой, но гордой стране было, как водится, правительство. А у правительства были сайты. И у разных других государственных органов тоже. А чтобы за ними всеми ухаживать, был специальный датацентр. И все там было сделано по науке. Снаружи файрволлы очень умные, внутри фейковые IP с NAT'ом, и такое разграничение доступа, что иногда даже на соседнюю машину в той же подсети не попадешь, пока дырочку специльно не проделают. И мониторинг всякий, чтоб если враги как-нибудь пролезут, то их бы сразу видно было. И инженеров тьма. Обслуживают это всё, патчи, производителями рекомендуемые, ставят, и всё такое. Правда, пока они там разберутся, кто за что отвечает, недели три-четыре пройти может, ну да речь не о том.
А только однажды пришла беда, откуда не ждали. Просочилась на машинки нехорошая программа. Прямо по HTTP, который, понятное дело, открыт был наружу. Обосновалась там и стала спам рассылать. А машинки мощные, и каналы толстые - правительство ж не поскупилось. Выключать машины нельзя - правительственные же сайты, конфуз будет. Почту блокировать тоже никак нельзя - там и полезная тоже рассылаается. И программу эту нехорошую даже видно, если приглядеться, а только как ее удалишь - она сразу обратно приползает, а патча против нее производитель еще не прислал..
Домашнее задание: как обычно, определить, что делать, и кто виноват.
Upd: производятеля я сознательно не называл, хотя это былслонёнок MS. Но если немножко подумать, с таким же успехом там мог стоять какой-нибудь Солярис или Линукс. В них тоже бывают дырки, представьте себе.
И если это, скажем, какое-нибудь переполнение буфера в ядреном вызове из-за неправильной обработки какой-нибудь совершенно корректной строки, то результат будет одниковый - ждать, пока производитель выпустит патч. Будь то MS, Sun или open-source сообщество. Найти специалиста, который сможет найти и пофиксить баг в ядре линукса, может оказаться дольше и дороже, чем достучаться до коммерческого производителя.
Поэтому вопрос совершенно не в конкретной операционной системе, а в организации производственного процесса.
А только однажды пришла беда, откуда не ждали. Просочилась на машинки нехорошая программа. Прямо по HTTP, который, понятное дело, открыт был наружу. Обосновалась там и стала спам рассылать. А машинки мощные, и каналы толстые - правительство ж не поскупилось. Выключать машины нельзя - правительственные же сайты, конфуз будет. Почту блокировать тоже никак нельзя - там и полезная тоже рассылаается. И программу эту нехорошую даже видно, если приглядеться, а только как ее удалишь - она сразу обратно приползает, а патча против нее производитель еще не прислал..
Домашнее задание: как обычно, определить, что делать, и кто виноват.
Upd: производятеля я сознательно не называл, хотя это был
И если это, скажем, какое-нибудь переполнение буфера в ядреном вызове из-за неправильной обработки какой-нибудь совершенно корректной строки, то результат будет одниковый - ждать, пока производитель выпустит патч. Будь то MS, Sun или open-source сообщество. Найти специалиста, который сможет найти и пофиксить баг в ядре линукса, может оказаться дольше и дороже, чем достучаться до коммерческого производителя.
Поэтому вопрос совершенно не в конкретной операционной системе, а в организации производственного процесса.
Tags:
no subject