Pull to refresh
23
0
Vital Koshalew @VitalKoshalew

Sr. Systems Administrator

Send message
Спасибо за статью, коллега!

«В качестве платформы виртуализации была закуплена — VMWare, на тот момент 5 версии. Тут, думаю, все согласятся, что выбор практически безальтернативен.»

Вот тут не соглашусь. В 2012 году не обязательно было тратить деньги на VMWare (у вас же на потолочный лоток денег не было!), когда можно было обойтись бесплатным Hyper-V Server (2008 R2, а к концу года и 2012), да и SCVMM тогда продавался отдельно от остального SC за относительно смешные деньги.
Я, простите, не вижу связи между вашим последним комментарием и предыдущим обсуждением. Суть сети Интернет — отсутствие границ и возможность в том числе предоставлять услуги жителю другой страны на другой стороне глобуса.

Если иностранная компания по какой-то причине хочет открыть традиционный филиал — их _право_. В Канаде это не обязанность и никто трансграничный бизнес не душит (а, наоборот, поощряют: при экспорте не берут даже те налоги, которые берут при продаже той же услуги внутри страны).

По поводу мотивов этого российского закона я бы не был так оптимистичен. И, вне зависимости от мотивов, результат не будет положительным: доля России в мировом потребительском рынке слишком мала, чтоб диктовать свои условия иностранным фирмам. Останется десяток корпораций, у которых уже есть филиал и отдельный штат бухгалтеров и поднять цены для российских потребителей на 18% для них — пара кликов мышкой. Остальные будут вне этого закона.

В итоге, мне кажется, жители России получат Чебурашку, но не пустую, которой пугают, мол, как же народ без котиков на YouTube, а с десятком самых популярных иностранных сервисов, которые будут предоставлять российские филиалы, выполняя все указания «кого следует». Остальные будут забанены под таким красивым предлогом — неуплата налогов. Ни один правозащитник не подкопается: во всём мире налоги — это святое.
Вы сбросили в одну кучу налоги, которые платит фирма по месту регистрации (чем фирма, торгующая электронным товаром лучше гастронома? — конечно должна платить!) и совсем отдельный налог, по сути, с гражданина, который берёт *страна проживания*.

С украинской вашей карты у вас ничего не берут, потому что это считается экспорт услуг и канадская фирма освобождена от налога в этом случае. Так же как европейские фирмы не берут с меня VAT при подтверждении проживания в Канаде.

Нет в Канаде такого закона, чтоб платить налог с продаж при покупке виртуального товара за границей.

Что до Европы — я не берусь судить, но мегакорпорации с филиалами в каждой стране и оплатой в местной валюте я бы в пример не приводил, т.к. вполне возможно, что идёт оплата местного налога местной фирмой-представителем, а совсем не то, что приняла российская Дума.
От того, что прайс-лист (видимо, для удобства основных клиентов) у них в USD, фирма Voip.ms не перестала быть квебекской. Потому квебекские налоги вы и платите. Была бы фирма в Штатах, платили б налоги того штата, где она зарегистрирована. Не пугайте людей. Никому в голову не придёт облагать иностранную фирму канадскими (квебекскими) налогами.

Вот на импорт физических товаров может налагаться пошлина, в зависимости от типа товара и страны-производителя.
Меня когда-то при попытке апгрейда DL160 G6 ошарашила жадность HP: в сервере 4 отсека горячей замены 3.5" жёстких дисков, но, поскольку сервер был куплен с двумя дисками, в нём установлен backplane только на 2 диска! Я не вижу никакой технической причины так делать. Что они сэкономили на этом — 5 центов?
Stylish, как всегда, помог:

"@namespace url(http://www.w3.org/1999/xhtml);

@-moz-document domain('habrahabr.ru') {
.post__flow {
font-size: 7px;
}
}
"
Хэш на той же странице — олдскульный метод защиты от нетаргетированных атак. Например, если трафик перехватывается и _во все_ .exe внедряется зловред. Или на компьютере пользователя вирус заражает файл и при этом не имеет возможности маскировать факт заражения.

Не поможет такая защита в случае взлома сайта с дистрибьютивом (за последний год не менее трёх таких новостей припоминается), в случае очень хитрой таргетированной MItM атаки (когда подменяется и дистрибьютив и страница с хэшем) и в случае, если вирус маскирует заражение, выдавая для проверки незаражённый файл.

Во времена бесплатных TLS-сертификатов, олдскульные авторы могли бы и потратить 15 минут на переход на HTTPS. Понятно, что авторы freeware никому ничем не обязаны, и спасибо им за то, что есть, но всё же.

К счастью, на странице 7zip есть ссылка на SourceForge, где дистрибьютив по HTTPS можно скачать.
> По моему опыту, старые (а потому нестандартные) системы ломают гораздо реже, чем те, что постоянно обновляются.
Не потому, что защита лучше, а потому что никто не хочет разрабатывать специальный софт для взлома редких систем. Просто невыгодно.

Простите, что нестандартного в простом наборе CVE, которым является ваша система? Я понимаю, если б вы под OS/2 сидели, такой подход имел бы смысл.
Зловред тупо перебирает эксплойты из своего набора. Если система обновлена, а 0day в наборе нет — не повезло (зловреду), ничего, найдутся миллионы пользователей без обновлений.

Никакой магии нестандартности в остановке обновлений нет: зловреду не нужна dll конкретной версии, достаточно, чтоб не была заткнута дыра. Посмотрите CVE на досуге — там будут сплошь и рядом указаны уязвимые версии от 0 до даты патча.

> Во-первых, ещё и файрвол,

Вы запретили на брандмауэре доступ антивирусу в интернет? Если нет, то как он помешает вашему антивирусу работать против вас?

Ну и чисто технически, если брандмауэр не на отдельном устройстве, а просто программа, то после заражения дырявой системы руткитом ему на ваш брандмауэр должно быть плевать. Кроме того, вы реально используете брандмауэр в режиме запрета исходящих соединений с подтверждением каждого соединения? Даже если так, то шифровальщику, скажем, нет необходимости соединяться с C&C сервером, достаточно вывести вам на экран открытый ключ и попросить заплатить для получения закрытого ключа расшифровки.
А для заражения в наше время не нужно входящее соединение, достаточно исходящего от браузера.

> а во-вторых, я могу быть уверен, что по крайней мере эти программы и на мою безопасность _тоже_ работают. Ибо в этом их предназначение.

Странно, предназначение антивирусного софта, например, от человека, известного тем, что моется с друзьями по КГБ в бане, вам ясно, а предназначение операционной системы от публичной компании — нет.
Но, предположим, антивирус пишут святые люди, но ведь достаточно погуглить (или поискать на GT/Хабре) новости за последний год, чтобы почитать о множестве былинных RCE в антивирусах. Да хоть бы соседнюю статью про Symantec, который как раз и являлся (до патча) вектором заражения!

> А вот в то, что постоянные говнообновления Windows выпускаются для блага пользователей, я поверить никак не могу, извините. Наш мир не так устроен.

Допустим, но почему в таком случае страшный Microsoft не встроил закладки уже в дистрибьютив вашей старой системы? Почему всё зло только в обновлениях?
Почему вы используете дырявый (от отсутствия обновлений) Windows, а не LibreBoot + Gentoo?
Я правильно понимаю, что вы рекомендуете, скажем, ежедневно загружаться с внешнего носителя со свежим антивирусным «boot-CD/USB» и час-другой не пользоваться компьютером, пока идёт проверка?
Иначе как антивирус в дырявой системе сможет обнаружить маскирующийся руткит? По сигнатуре в момент заражения? А если сигнатуры ещё нет в базе?

Даже если вы отключили Flash, друзья/родственники/коллеги никогда не присылают вам файлы, вы скачиваете только с проверенных сайтов, бывают же RCE в браузерах, новости о подмене дистрибьютивов на «проверенных» сайтах тоже периодически приходят.

Как минимум, такая ежедневная игра в «русскую рулетку» не может быть «ничем не хуже».

Опять же, какова мотивация отказываться от обновлений? Боязнь Microsoft? А производители антивирусов чем лучше? Вы уверены, что антивирусы работают (только) на вашу безопасность?
Выборка совсем маленькая. Дисков большинства моделей по пару штук всего, но даже для тех, которых тысяча, по всего нескольким вышедшим из строя некорректно, на мой взгляд, делать какие-то выводы.

Смешаны диски разной наработки — поломка после 5 лет работы и после полугода — это принципиально разный результат.

Малое количество дисков WD дополнительно снижает полезность исследования.

По сути, можно говорить о двух более-менее обоснованных выводах. Оба подтверждают многочисленные «народные» отклики:
— Seagate — ругательное слово. Серия AS/NS — металлолом (из моего опыта — пока приезжал курьер менять один диск по гарантии, ему «в нагрузку» уже лежало 2-3 диска).
— HGST — дороговаты, но надёжны.

Жаль, мало данных для обоснованного ответа на вопрос — стоит переплачивать за HGST или достаточно WD?
В этом нет необходимости. Это не дело банковского клиента бороться с угрозами безопасности. Для контроля целостности есть электронная подпись исполнимых файлов, которой весь нормальный софт, а уж тем более банковский, подписывается. Без такой подписи в защищённой среде никакие исполнимые файлы не должно быть возможно запустить вообще.

Дополнительно должна быть задействована функциональность ревизора по мониторингу контрольной суммы критических файлов. Собственно, это чёрным по белому записано в требовании 11.5 стандарта PCI DSS.

Система SWIFT виновата в одном: требования соответствия стандарту (PCI DSS или аналогичному) либо не выставляются вообще, либо не проверяется их выполнение. Если требования были выставлены, то, в идеальном мире, должны «полететь шапки» как аудитора, так и того, кто этого аудитора сертифицировал. Реально, мне кажется, как всегда, не ответит никто.
В данном случае — проблема не в Windows Server. У них нет своего Windows Server. Есть сервис на его базе, который кто-то как-то настраивает на основе пожеланий заказчика, записанных в некоей мета-конфигурации. Сервер сам куда-то лезет в интернет, сам что-то откуда-то скачивает. Такое решение хромает на обе ноги в плане безопасности, а уж стабильности от такого самообновляющегося решения ожидать совсем странно.
В остальном: тривиальная ошибка конфигурации, на которую открытым текстом указали все возможные диагностические системы. Вместо того, чтобы первым делом проверить единственное, над чем в такой системе есть контроль — конфигурационный файл, стали проверять текущее состояние отдельных самообновляющихся экземпляров.
Исправив, наконец, конфигурацию, я так понимаю (этот момент не совсем понятен из текста), забыли, что необходимо перевыпустить все экземпляры, и с испугу откатили обновления.

Никаких диагностических сообщений в журналах в такой ситуации быть не могло — на сервер установили действительный сертификат. Какова цепочка доверия между корневыми сертификатами, установленными у каждого отдельно взятого *клиента* и этим сертификатом сервер знать не может. Может предположить на основе своих корневых сертификатов (которые, например, могут вообще быть все удалены в некоторых конфигурациях), но не более того.
Я думаю, битва не проиграна. Дело в том, что изначально в общих правилах никто прошивку устройства менять не запрещал, речь шла о самом аппаратном радио-модуле. Но в дополнительном документе-опроснике для изготовителей они вдруг вписали вопрос «а как вы защищаете ваше устройство от прошивки, в частности DD-WRT?». Это уже был удар ниже пояса и журналисты подняли волну. В результате, 12 ноября 2015 FCC выпустила новую ревизию опросника (594280 D02 UNII Device Security v01r03), в которой запрет на прошивку заменили более-менее адекватным вопросом о способе обеспечения паспортных режимов работы, если есть возможность использовать стороннюю прошивку и упоминание о «страшном» DD-WRT убрали. Так что TP-Link поспешил, запрет отменили.

Что касается моды на DD-WRT, моё личное мнение — её актуальность стремительно падает. Как правило, бытовые маршрутизаторы и точки доступа имеют ужасно медленные процессоры и в режиме программной маршрутизации тянут пару Мегабит/с. У многих есть аппаратные модули ускорения, но их в DD-WRT, как правило, задействовать нельзя.

В то же время на рынке доступны полноценные бесшумные x86 мини-ПК за $100-$200, а также ARM-миникомпьютеры за ещё меньшие деньги (популярные модели маршрутизаторов/точек доступа для прошивки DD-WRT обычно имеют ужасно медленный MIPS). Часто в таких мини-ПК уже присутствует Wifi-модуль. Если же нет — скорости USB3.0 «ought to be enough for everyone».

Пока в USB-Wifi модулях не запретили режим Host (я надеюсь, до этого не дойдёт) комбинация мини-ПК и USB-Wifi модуля позволяет создать настоящий Linux-маршрутизатор с точкой доступа (если нужен ещё и 2.4ГГц — вставляется второй модуль). Размер — тот же, что у китайской точки доступа, если не меньше. Функционал — во многом превосходит: это не урезанный WRT с экономией на каждом байте, а полноценный «взрослый» дистрибутив Linux. Производительность — достаточная для современных скоростей и нагрузок.

И главное, для чего имеет смысл делать самодельный маршрутизатор/AP — безопасность. Вы правда перепрошиваете ваш DD-WRT каждый раз, как в ядре/библиотеках/программах находят очередную уязвимость? А в Debian/Ubuntu Server на нормальном мини-ПК у вас будет unattended-upgrades.

Information

Rating
Does not participate
Location
Канада
Registered
Activity