Про закладки в системах (с ветки БПМ и выборы в США)

Цитата: Oleg K. от 29.03.2017 17:27:05Давайте дискуссию (если будет) продолжать там.

Цитата: Oleg K. от 29.03.2017 17:27:05

 

Думаю надо всё-таки отделить мух от котлет. Любое оборудование, находящееся в стенд-бае и подключённое к сети, может быть включено сетевым пакетом (равно как сигналом от мыши и клавиатуры), эта настройка давным давно есть, ну и наверняка можно её и обойти. Для получения доступа к сетевым картам и жёстким дискам никаких секретных ядер интела нафиг не нужно, достаточно того, что есть. Но без полноценной подачи питания работать это не будет от слова совсем.
Про неотключаемый шпионский модуль, выключающий ноутбук через 30 минут - скорее всего узкие специалисты влезли в систему, которую не поняли, и что-то напортачили. Такое не только с пользователями, которые директорию Виндовс для экономии места удаляли в былые времена, происходило, и не раз.
А так 90% IT безопасности - административные мероприятия, скучные, но достаточно надёжные. С компом, отвязаным от инета, никто ничего не сделает (хотя где теперь такой найдёшь...).

• +0.07 / 6

Цитата: Oleg K. от 29.03.2017 17:27:05Это из серьезных вещей. А из "несерьезных" - куча дыр безопасности в телефонах, WiFi роутерах, интернет-вещах и т.п. В общем, едиственный способ сохранить информацию в конфиденциальности - ручка, блокнот и сейф

Цитата: Oleg K. от 29.03.2017 17:27:05

 

Никто никого не заставляет использовать встроенную в чипсет сетевую карту. Купите себе отдельную, вставьте в свободный слот и работайте на здоровье.
Я Вам скажу, что мониторить железо на предмет закладок в разы, а то и на порядок дешевле, чем туда эти закладки запихивать. Даже, если для этого нужно послойно сошлифовывать кристалл и его травить. А уж что касается софта, то разобраться в коде ядра любой ОС гораздо проще, чем, например, в вопросах проектирования систем отопления. Всего то нужны мотивация, время и деньги. Если бы не мотивация, то и козу можно научить смотреть в код и не видеть фигу.

• +0.02 / 1

Цитата: adolfus от 30.03.2017 00:52:33Я Вам скажу, что мониторить железо на предмет закладок в разы, а то и на порядок дешевле, чем туда эти закладки запихивать. Даже, если для этого нужно послойно сошлифовывать кристалл и его травить. А уж что касается софта, то разобраться в коде ядра любой ОС гораздо проще, чем, например, в вопросах проектирования систем отопления. Всего то нужны мотивация, время и деньги. Если бы не мотивация, то и козу можно научить смотреть в код и не видеть фигу.

Цитата: adolfus от 30.03.2017 00:52:33

 

Что дешевле спорить не берусь.
Только вот на один малосерийный "лётный" децимал, делаем десяток-другой штучных для тестирования разной весьма внушительной импортной комплектухи.
А они по сложности "летные" порой уделывают...

• +0.00 / 0

Цитата: Andrew Carleet от 03.04.2017 01:52:32RAC (iDRAC, ILOM, ELOM), не то?

Цитата: Andrew Carleet от 03.04.2017 01:52:32

 

Я про них не слышал. Судя по тому, что дает гугл - да, это "оно"
Что делать - везде сейчас полно backdoor-ов от производителей.

• +0.02 / 1

Цитата: Andrew Carleet от 03.04.2017 12:26:35Это не back-door, это система удаленного администрирования. Не всегда есть возможность нажать кнопочку на сервере за 500 км от офиса. Она дает аппаратную диагностику, виртуальный доступ к кнопкам на сервере и доступ к консоли. Конечно, это отдельный чип со своей отдельной сетевой картой (может, кстати, использовать и штатную сетевую в режиме разделенного доступа). Так что, это не имеет отношения к несанкционированному доступу. При том количестве серверов, что есть у нас в конторе, я бы из командировок не вылезал без этой штуки.

Цитата: Andrew Carleet от 03.04.2017 12:26:35

 

Я знаю. И Intel ME - точно также. Система удаленного администрирования перестает быть backdoor-ом в тот момент, когда я могу её отключить (в биосе, аппаратно - джампером каким-нибудь или вроде того - всё равно как). И в целом мне общая цель такого рода систем ясна - это очень востребованно и удобно. Просто в некоторых случаях, такие штуки я захочу отключить, так как защита данных важнее экономии 3 часов рабочего времени сотрудника на дорогу в датацентр и обратно.
Например, никто же не жалуется на наличие портов USB в компьютере, хотя с их помощью можно загрузиться с флешки и получить полный доступ к жесткому диску - это не существенно в обычных ситуациях. Но в некоторых организациях такие порты заклеиваются (если их невозможно изъять), дабы в них ничего не засовывали, так как данные в системах очень важные и конфиденциальные. Intel ME, RAC и прочие "заклеить" не получается.

• +0.03 / 2

Цитата: Oleg K. от 03.04.2017 12:35:12Например, никто же не жалуется на наличие портов USB в компьютере, хотя с их помощью можно загрузиться с флешки и получить полный доступ к жесткому диску

Цитата: Oleg K. от 03.04.2017 12:35:12

 

Чтобы по USB можно было загрузиться, нужно специально в сетапе это разрешить. Не знаю никого, кто бы это делал даже на десктопах.
Насчет удаленного управления. Если нельзя решить проблему обычным образом (ssh), это значит кранты железу и выезжать придется независимо от того, есть там удаленная диагностика или нет. Допустим, эта ваша дигностика показала, что с железом все в порядке, но залогиниться на сервер невозможно. И что Вы будете с этим делать за 500 километров от сервера? А если она показала, что не в порядке? А кнопку на ящике и коза нажать сможет.

• +0.00 / 0

Цитата: Andrew Carleet от 04.04.2017 01:55:32Если ssh не работает, я соединюсь через ILOM и увижу консоль. Настоящую, как будто я стою перед сервером. И если сервер глухо висит, я нажму кнопку Power через ILOM. А если ОС (не железо!) сдохла совсем, то подмонтирую к консоли ISO и переустановлю систему. Вот для чего нужно удаленное управление.
У меня есть офис в 500 км от меня. Дорога - 5 часов туда, 5 обратно. Хотя бы час работы. Итого - 11 часов. Значит, буду брать гостиницу. Конторе дешевле, а мне проще иметь ILOM на всех серверах.
Даже в родном датацентре - у меня SLA на восстановление сервиса - 1 час в любое время суток, а ехать до работы - тоже час.

Цитата: Andrew Carleet от 04.04.2017 01:55:32

 

Добавлю немного.
В случае проблем с железом iLO тоже сильно выручает. Через консоль видно, что конкретно умерло (если совсем умерло, бывают хитрые исключения к сожалению) и чаще всего нет необходимости даже отправлять кого-то в коммандировку за пол мира. Видим умершую планку памяти - собираем диагностическую информацию и отправляем производителю сервера (если сервер на гарантии еще). Дальше либо специалист производителя сам приходит и меняет необходимое железо (это в случае крупных датацентров, о времени ремонта естественно договариваются), либо он почтой высылает в датацентр нужное железо, после чего заказывается SmartHands в датацентре. SmartHands - это услуга спеца самого датацентра, используется для выподнения простых операций типа "взять такую-то железяку там-то, открыть такой-то сервак, поменять то-то, старую железяку положить туда-то или отправить почтой тому-то". Получается на порядок быстрее и дешевле, чем отправлять недешевого спеца в какую-нить жопу мира типа США для замены севшей батарейки в RAID контроллере.

• +0.02 / 2

Цитата: Podli от 04.04.2017 08:55:59почтой высылает в датацентр нужное железо, после чего заказывается SmartHands в датацентре. SmartHands - это услуга спеца самого датацентра, используется для выподнения простых операций типа "взять такую-то железяку там-то, открыть такой-то сервак, поменять то-то, старую железяку положить туда-то или отправить почтой тому-то".

Цитата: Podli от 04.04.2017 08:55:59

 

Только вы ошиблись в названии, SmartHands - маркетинговое название. Реальное название этой услуги StupidMonkeyHands.

• +0.00 / 0

Цитата: pkdr от 04.04.2017 11:56:00Только вы ошиблись в названии, SmartHands - маркетинговое название. Реальное название этой услуги StupidMonkeyHands.

Цитата: pkdr от 04.04.2017 11:56:00

 

Ну, это с какой стороны посмотреть... Нужно все же учитывать, что инженер датацентра не имеет никакого понятия о том, как у вас устроено всё. Поэтому и возможны только простые операции. А чтобы не было косяков - нужно инженеру выдавать четкие инструкции. Не "второй слева HDD" а "HDD с серийным номером таким-то" и т.д. В таком случае риск ошибок не более оного при отправке  своего спеца в коммандировку.

• +0.00 / 0

Цитата: Podli от 04.04.2017 15:09:31Ну, это с какой стороны посмотреть... Нужно все же учитывать, что инженер датацентра не имеет никакого понятия о том, как у вас устроено всё. Поэтому и возможны только простые операции. А чтобы не было косяков - нужно инженеру выдавать четкие инструкции. Не "второй слева HDD" а "HDD с серийным номером таким-то" и т.д. В таком случае риск ошибок не более оного при отправке  своего спеца в коммандировку.

Цитата: Podli от 04.04.2017 15:09:31

 

Ага, выдаёшь ему чёткие инструкции, с номером стойки, юнитом сервера, номером диска, даже подсвечиваешь диск светодиодом, а оно такое, раз... и выдрало диск из соседней стойки.

• +0.03 / 2

Цитата: Andrew Carleet от 04.04.2017 01:55:32Если ssh не работает, я соединюсь через ILOM и увижу консоль. Настоящую, как будто я стою перед сервером. И если сервер глухо висит, я нажму кнопку Power через ILOM. А если ОС (не железо!) сдохла совсем, то подмонтирую к консоли ISO и переустановлю систему. Вот для чего нужно удаленное управление.
У меня есть офис в 500 км от меня. Дорога - 5 часов туда, 5 обратно. Хотя бы час работы. Итого - 11 часов. Значит, буду брать гостиницу. Конторе дешевле, а мне проще иметь ILOM на всех серверах.
Даже в родном датацентре - у меня SLA на восстановление сервиса - 1 час в любое время суток, а ехать до работы - тоже час.

Цитата: Andrew Carleet от 04.04.2017 01:55:32

 

ОС сдохла на живом железе... Да Вы откуда и где? Высосано из пальца. Если ssh/rsh/telnet не работает, значит однозначно кранты железу.
Потому что нет в природе таких осей, которые на нормальном железе не могут запустить файловую систему и сеть. Если железо в порядке, то всегда ось загрузится и всегда Вы зайдете по ssh. Чем Вы там пользуетесь, что на здоровом железе не работает? Уж не хьюлит-паккард говноцентр?

• +0.00 / 0

Цитата: adolfus от 04.04.2017 18:23:39ОС сдохла на живом железе... Да Вы откуда и где? Высосано из пальца. Если ssh/rsh/telnet не работает, значит однозначно кранты железу.

Цитата: adolfus от 04.04.2017 18:23:39

 

Если наблюдаются перечисленные проблемы, это ещё ничего не значит, это значит только то, что надо выяснять причину.

Цитата: adolfus от 04.04.2017 18:23:39Потому что нет в природе таких осей, которые на нормальном железе не могут запустить файловую систему и сеть. Если железо в порядке, то всегда ось загрузится и всегда Вы зайдете по ssh.

Цитата: adolfus от 04.04.2017 18:23:39

 

Может быть повреждена сама ось, могут потеряться настройки сети, может новое ядро просто несовместимо с железом, может надо сменить прошивку в оборудовании, может быть ещё 100500 причин по которым ОС не может загрузиться на вполне исправном железе.
Вот тут как раз и поможет доступ к сериал-консоли ОС.

Цитата: adolfus от 04.04.2017 18:23:39Чем Вы там пользуетесь, что на здоровом железе не работает? Уж не хьюлит-паккард говноцентр?

Цитата: adolfus от 04.04.2017 18:23:39

 

Что плохого в HP? Один из двух оставшихся производителей бывшей "большой четвёрки" серверостроителей. Пока ещё не скатились как бывший Sun, и не скатываются как бывший IBM.

• +0.01 / 1

Цитата: pkdr от 04.04.2017 19:39:09Что плохого в HP? Один из двух оставшихся производителей бывшей "большой четвёрки" серверостроителей. Пока ещё не скатились как бывший Sun, и не скатываются как бывший IBM.

Цитата: pkdr от 04.04.2017 19:39:09

 

А четвёртый кто?

• +0.00 / 0

Цитата: slavae от 04.04.2017 21:26:09А четвёртый кто?

Цитата: slavae от 04.04.2017 21:26:09

 

Dell наверное

• +0.03 / 2

Цитата: ps_ от 04.04.2017 22:02:53Dell наверное

Цитата: ps_ от 04.04.2017 22:02:53

 

Ну, к четвертому я бы отнес ныне покойную Digital Equipment Corporaion. Была куплена Compaq и далее "комплект" ушел под HP.
Кстати, почти все, что HP делает в области enterprise серверов и систем хранения данных, было изобретено еще DEC. В том числе и катастрофоустойчивые кластеры и СХД. Кстати, при грамотном построении дата-центров и сейчас бэкапы хранить у левых контор не нужно. Пользователи отказа одного из них даже не заметят.
Dell дальше писюков так и не продвинулся. Разе что EMC прикупил.

• +0.00 / 0

Цитата: Valery от 05.04.2017 00:15:39Ну, к четвертому я бы отнес ныне покойную Digital Equipment Corporaion. Была куплена Compaq и далее "комплект" ушел под HP.
Кстати, почти все, что HP делает в области enterprise серверов и систем хранения данных, было изобретено еще DEC. В том числе и катастрофоустойчивые кластеры и СХД. Кстати, при грамотном построении дата-центров и сейчас бэкапы хранить у левых контор не нужно. Пользователи отказа одного из них даже не заметят.
Dell дальше писюков так и не продвинулся. Разе что EMC прикупил.

Цитата: Valery от 05.04.2017 00:15:39

 

DEC же делал VAX-ы, а это из серии ну если не mainframe то наверное miniframe.
К серверам, в СОВРЕМЕННОМ, смысле этого слова не совсем относящиеся.

• +0.00 / 0

Цитата: ps_ от 05.04.2017 17:18:54DEC же делал VAX-ы, а это из серии ну если не mainframe то наверное miniframe.
К серверам, в СОВРЕМЕННОМ, смысле этого слова не совсем относящиеся.

Цитата: ps_ от 05.04.2017 17:18:54

 

Ну, MicroVAX 3100, да и AlphaServer DS10 (стоит у меня меня дома) по размерам как обычный десктоп.

• +0.01 / 1

Цитата: adolfus от 04.04.2017 18:23:39ОС сдохла на живом железе... Да Вы откуда и где? Высосано из пальца. Если ssh/rsh/telnet не работает, значит однозначно кранты железу.
Потому что нет в природе таких осей, которые на нормальном железе не могут запустить файловую систему и сеть. Если железо в порядке, то всегда ось загрузится и всегда Вы зайдете по ssh. Чем Вы там пользуетесь, что на здоровом железе не работает? Уж не хьюлит-паккард говноцентр?

Цитата: adolfus от 04.04.2017 18:23:39

 

Ну справедливости ради наиболее просто "потерять" сервер во время изменения настроек сети или фаервола. Поэтому либо "sleep 300 && reboot" в соседней консоли, пока настраиваешь, либо - удаленная админка (какого-нибудь типа).

• +0.00 / 0

Цитата: adolfus от 04.04.2017 18:23:39ОС сдохла на живом железе... Да Вы откуда и где? Высосано из пальца. Если ssh/rsh/telnet не работает, значит однозначно кранты железу.
Потому что нет в природе таких осей, которые на нормальном железе не могут запустить файловую систему и сеть. Если железо в порядке, то всегда ось загрузится и всегда Вы зайдете по ssh. Чем Вы там пользуетесь, что на здоровом железе не работает? Уж не хьюлит-паккард говноцентр?

Цитата: adolfus от 04.04.2017 18:23:39

 

Посмотрите пару месяцев на парк из нескольких тысяч серверов, на которых работают сотни различных проектов, которые в свою очередь регулярно обновляются и дописываются... В такой среде даже самые маловероятные события происходят на регулярной основе и удивления не вызывают. Ну а недоступность сервера по софтварным причинам возникает регулярно. ФС работает, ось работает, вот только LA 300 и оно тормозит так, что ssh работающим назвать можно только теоретически.

• +0.02 / 2

Цитата: adolfus от 04.04.2017 18:23:39ОС сдохла на живом железе... Да Вы откуда и где? Высосано из пальца. Если ssh/rsh/telnet не работает, значит однозначно кранты железу.
Потому что нет в природе таких осей, которые на нормальном железе не могут запустить файловую систему и сеть. Если железо в порядке, то всегда ось загрузится и всегда Вы зайдете по ssh. Чем Вы там пользуетесь, что на здоровом железе не работает? Уж не хьюлит-паккард говноцентр?

Цитата: adolfus от 04.04.2017 18:23:39

 

CentOS, тобишь RHEL, штатное обновление через yum и усё, система разорвана на куски. С виду всё хорошо, но на деле оказывается что всплыл долгоиграющий баг, и система осталась без загрузчика и модулей ядра. Ну а в консоли всё красиво. И это только один из тысяч вариантов.

• +0.00 / 0

Цитата: rinth от 07.04.2017 12:52:31CentOS, тобишь RHEL, штатное обновление через yum и усё, система разорвана на куски. С виду всё хорошо, но на деле оказывается что всплыл долгоиграющий баг, и система осталась без загрузчика и модулей ядра. Ну а в консоли всё красиво. И это только один из тысяч вариантов.

Цитата: rinth от 07.04.2017 12:52:31

 

И что это был за баг такой? Да еще и на RHEL. Даже на федоре такого отродясь не было, чтобы загрузчик не работал. За всю историю RH было всего два загрузчика лило и груб и ни с одним из них никаких проблем никогда не было. В лаборатории сервер и на нем FC c 11 версии вплоть до нынешней апгрейдится поверх предыдущей через ssh. У компа ни монитора, ни клавиатуры нет. Выходит, например, версия 25, делаю апгрейд с 23-й на 24-ю. Разумеется, все руками – это и есть штатный режим. Сначала ядро и shutdown. Максимум через 30 минут (сторожевой таймер запускает комп, если тот выключен) комп начинает отвечать на пинг и что-то я не помню, чтобы хоть раз не смог на него зайти. Потом пути к новым репозиториям прописываю и вперед dnf upgrade все остальное. И так каждые полгода.

• +0.02 / 2

Цитата: adolfus от 08.04.2017 23:32:18И что это был за баг такой? Да еще и на RHEL. Даже на федоре такого отродясь не было, чтобы загрузчик не работал. За всю историю RH было всего два загрузчика лило и груб и ни с одним из них никаких проблем никогда не было. В лаборатории сервер и на нем FC c 11 версии вплоть до нынешней апгрейдится поверх предыдущей через ssh. У компа ни монитора, ни клавиатуры нет. Выходит, например, версия 25, делаю апгрейд с 23-й на 24-ю. Разумеется, все руками – это и есть штатный режим. Сначала ядро и shutdown. Максимум через 30 минут (сторожевой таймер запускает комп, если тот выключен) комп начинает отвечать на пинг и что-то я не помню, чтобы хоть раз не смог на него зайти. Потом пути к новым репозиториям прописываю и вперед dnf upgrade все остальное. И так каждые полгода.

Цитата: adolfus от 08.04.2017 23:32:18

 

Обычный такой enterprise-bug: grubby не мог отработать ситуацию, когда в системе более 3-х версий ядра, сносил конфигурацию grub-а и блокировал установку модулей ядра. Вместо адекватной информации об ошибке в консоли только одна не блещущая конкретикой строчка. Вообще, за 15 лет работы с Linux меньше всего приходилось разгребать глюки, баги, костыли и подпорки когда я использовал xBSD или Solaris.

• +0.00 / 0

Важная информация о защищенности встроенной программы Intel Manageability

ЦитатаОбновление. Сведения о том, как использовать эту уязвимость, теперь становятся общедоступными. Важно как можно скорее принять меры для обеспечения безопасности уязвимых систем. См. Наше руководство по смягчению или подробности обслуживания клиентов ниже.

1 мая корпорация Intel опубликовала рекомендации по безопасности, касающиеся уязвимости прошивки в некоторых системах, использующих технологию Intel® Active Management Technology (AMT), технологию Intel® Standard Manageability (ISM) или технологию Intel® Small Business (SBT). Уязвимость может позволить сетевому злоумышленнику удаленно получить доступ к бизнес-ПК или устройствам, использующим эти технологии.

реакция на Wikileaks из CIA

• +0.03 / 2

Цитата: Поверонов от 10.05.2017 07:57:10Важная информация о защищенности встроенной программы Intel Manageability
реакция на Wikileaks из CIA

Цитата: Поверонов от 10.05.2017 07:57:10

 

В кучу ко всему.
Указ Президента Российской Федерации от 09.05.2017 № 203 "О Стратегии развития информационного общества в Российской Федерации на 2017 - 2030 годы"
http://publication.p…1705100002
http://publication.p…2?type=pdf

• +0.05 / 4

Цитата: adolfus от 08.04.2017 23:32:18В лаборатории сервер и на нем FC...

Цитата: adolfus от 08.04.2017 23:32:18

 

А у меня порядка 5 000 серверов, разбросанных по всему миру... Берем вероятность встретить недоступность сервера через ssh по софтварным причинам в "раз в 20 лет". Тогда я при таком парке машин буду сие наблюдать 5000/20=250 раз в году или почти каждый день... На практике - оно конечно пореже случается, но каждый месяц пару-тройку раз в консольку лазить приходится из за софтварных причин

• +0.00 / 0

Цитата: Andrew Carleet от 03.04.2017 12:26:35Это не back-door, это система удаленного администрирования. Не всегда есть возможность нажать кнопочку на сервере за 500 км от офиса. Она дает аппаратную диагностику, виртуальный доступ к кнопкам на сервере и доступ к консоли. Конечно, это отдельный чип со своей отдельной сетевой картой (может, кстати, использовать и штатную сетевую в режиме разделенного доступа).

Цитата: Andrew Carleet от 03.04.2017 12:26:35

 

Можно пояснить для несталкивавшихся - все эти радости жизни стоят на дорогостоящих и специфических (даже по памяти) серверных платах или их можно встретить на ширпотребных материнках?
Если на бытовых машинах этого нет (или встречается за отдельные большие деньги), то не проблема совсем.

• +0.01 / 1

Цитата: Senya от 03.04.2017 15:46:15Можно пояснить для несталкивавшихся - все эти радости жизни стоят на дорогостоящих и специфических (даже по памяти) серверных платах или их можно встретить на ширпотребных материнках?
Если на бытовых машинах этого нет (или встречается за отдельные большие деньги), то не проблема совсем.

Цитата: Senya от 03.04.2017 15:46:15

 

Да, на недешёвых серверных платах.
Ещё бывают отдельные, выполненные в виде ISA/PCI/PCIE платы, которую можно вставить в любой компьютер, но у таких возможностей меньше, да и  в последние лет 15 такое вроде бы только у всяких недопроизводителей вроде супермикро бывает.
Не встречал ещё ни одной ширпотребной десктопной материнки с какой-либо разновидностью IPMI.

• +0.02 / 1

Цитата: pkdr от 03.04.2017 17:47:03Ещё бывают отдельные, выполненные в виде ISA

Цитата: pkdr от 03.04.2017 17:47:03

 

Это да, давным-давно встречал рекламу "набора тестировщика".

• +0.01 / 1

Цитата: Andrew Carleet от 03.04.2017 12:26:35Это не back-door, это система удаленного администрирования. Не всегда есть возможность нажать кнопочку на сервере за 500 км от офиса. Она дает аппаратную диагностику, виртуальный доступ к кнопкам на сервере и доступ к консоли. Конечно, это отдельный чип со своей отдельной сетевой картой (может, кстати, использовать и штатную сетевую в режиме разделенного доступа). Так что, это не имеет отношения к несанкционированному доступу. При том количестве серверов, что есть у нас в конторе, я бы из командировок не вылезал без этой штуки.

Вообще-то, я в backdoor от производителя железа не сильно верю. Даже если предположить его наличии в процессоре/сетевой карте, пусть он попробует уйти за пределы внутренней сети.

Цитата: Andrew Carleet от 03.04.2017 12:26:35

 

Если такие же backdoor стоят в роутерах и свитчах то извне можно добраться и до серверов просто пробивая все встреченные файерволы.
А если в серверах заложены программы "утечки" данных то они должны знать и как пройти через роутеры и файерволы по их бэкдорам.

• +0.00 / 0

Цитата: Andrew Carleet от 03.04.2017 23:46:49Я и круче сценарий "утечки данных" придумать могу, только зачем? Идите в Iron Mountain и читайте бэкап любой компании

Цитата: Andrew Carleet от 03.04.2017 23:46:49

 

Опять двадцать пять. Я же вас не агитирую за "шеф всё пропало". Давайте каждый сам для себя будет решать, что является угрозой безопасности данных, а что - нет.
Intel ME тоже вполне можно отключить - надо только перепрошить флешку на материнской плате: купить программатор, разобрать ноутбук и подключив программатор напрямую к карте памяти (не забудьте полностью обесточить ноутбук!), скачать с неё прошивку, забекапить, пропатчить и залить обратно на флешу. Итого, нужны прямые руки, доступ в интернет и 5 баксов.

Почему вы думаете, что все компании бекапятся в какой-то ирон мантан? Многие всё-таки полагаются на собственные силы и средства. Ещё не всех директоров поразил аутсорсинг мозга

• +0.00 / 0

Цитата: Andrew Carleet от 04.04.2017 01:48:08Iron Mountain - это хранилище бэкапов. Все крупные компании отсылают свои ленточки в хранилище. Вот сгорит здание датацентра, вместе со всеми дисками и лентами - где брать данные для восстановления? Оборудование купить можно, а данные - нет. Поэтому у всех есть запасное хранилище бэкапов далеко от основного здания. Вот там и можно читать все что надо. Не только лишь все могут это делать (с), так это другой вопрос

Цитата: Andrew Carleet от 04.04.2017 01:48:08

 

Никто пока это делать не умеет. Вернее, возможно, умеет, но не делает.
Элементарный пример –  системы контроля версии ПО. Типа, git или svn. Казалось бы, но нет. Есть такое понятие – инвариантность исходных кодов. Это когда результат даже не компиляции, а результат связывания один и тот же. Нет ни одной системы. которая может распознать изменения в исходных текстах, которые не затрагивают результата компиляции и связывания. Соответсвенно, она их отметиит для коммита, смысла в котором нет никакого.
Отдельный вопрос с комментариями – если с изменениями исходных текстов, в принципе, справиться несложно (я знаю как), то с комментариями полная огурцов.
Следующий уровень – документы. Те самые, которые производят ворд-и табличные процессоры. Просто откройте документ и, ничего в нем не меняя, принудительно сохраните. Потом сделайте дифф. Да хоть xmldiff или "ваш вордпроцессор формат"-дифф. Ага... Вот вроде ничего не менялось, а в результате ничего не понятно, почему дифф гавкает. В результате вместо того, чтобы сохранить в репозитории децел команд вордпроцессору (пять нажатей на кнопки клавиатуры), будет сохранено децел килобайт говноиксэмэля, а то и вообще говноблоба.
Следующий, более высокий уровень – pdf. Переносимый формат документа. Спрашивается, какое отношение имеет время генерации этого самого документа к этому самому документу? Неужели смысл документа может зависеть от времени его создания? Какой смысл несет эта информация? А никакого. Она присутствует исключительно для того, чтобы усложнить и затруднить обмен документами "в формате pdf". Почему так? Ведь эта информация уже присутствует в файловой систме и нет никакого смысла еее дублировать в файле.
В результате перманентно сохраняется информация с беспрецендентной степенью избыточности. Но ен это хреново, а хреново то, что невозможно узнать, что поменялось. Контент или формат? Значимо изменение формата (в смысле седьмого госта) или это просто бзик долбодятла.

• +0.00 / 0