ОколоITшный дыбр #84
... Собаки опять начали линять. Старшая сбрасывает подпушек. Ненуачо, жарко жы ж. Зимы нормальной нет, нафиг ей мех? М-дя.
... Странная история у меня произошла. Жили-были две технические площадки "А" и "Б" (обе в Москве), между ними IPSec-тоннель по PI-адресам. 28 октября 2024 года он сам по себе перестал работать, причём симптомы крайне странные. С IKE (UDP:500) всё в порядке, ESP не проходит. Что интересно, пять-шесть раз в сутки случаются "озарения" на пару минут, несколько пакетиков умудряются пролететь через этот тоннель, потом опять всё глухо как в танке.
Я заманал техподдержку всех провайдеров-аплинков, те слегонца потыкали веточкой ЦМУ ССОП. Последние ожидаемо ответили в духе "я не я и лошадь не моя". И ничего не изменилось. Но! В какой-то момент я взял и запустил пинги через этот "проблемный" тоннель "навстречу друг другу". И о чудо! Всё заработало. Причём, когда я запустил пинг с площадки А на площадку Б, пакеты продолжали уходить "в никуда", до получателя они не добирались. Но как только послал встречный трафик от Б к А, тут же всё "прорюхалось" и с тех пор больше не падало. Не тоннель, а канализационный коллектор какой-то. "Пробили давлением", что называется. Но это какой-то форменный капец, таарищи. Ненавижу такие глюки, долбаные сетевые барабашки. Впрочем, я даже примерно знаю как их зовут, но ничего сделать с ними всё равно не смогу.
... Георгий Данелия в 1971-м году явно что-то знал. А может быть наоборот, грабители посмотрели фильм и вдохновились. Шлем жалко, но ситуация смешная.
... Кому похлёбка жидкая, а кому жемчуг мелковат. Эти олимпийские чемпионы от скромности явно не помрут. Причём, чего такого они сделали? Может, вакцину от ковида изобрели? Или придумали как сделать чтобы никто в мире не голодал? За что им такие привилегии? Просто за то что умеют на лыжах кататься и из ружья стрелять? Я бы постеснялся подобное на публику произносить.
... Хотите посмотреть как выглядят эталонные долбо**ы? Вот так. Оставили ребёнка наедине со своими телефонами, да ещё и пароль сказали. * facepalm * Это ещё относительно легко отделались, могло быть и хуже...
... Весёлые истории про других долбо**ов, на зарплате. А таки знаете шо? Да тысячи их. Могу рассказать две байки из личного опыта, прям недавние.
Тут на днях менеджер проекта попросил профильного линейного сотрудника выпустить лицензию на некоторый самописный софт собственной разработки для клиента "икс" на 100000, подразумевая при этом ограничение на сто тысяч запросов в месяц. Исполнитель не сильно заморочившись выпустил лицензию на сто тысяч дней, то бишь считай безлимитную. Хорошо, я оказался рядом и вовремя заметил. А то бы фирма недосчиталась выручки. И шосукахарактерно, один не потрудился нормально сформулировать задачу, а у второго ничего не "щёлкнуло" в голове, когда он увидел цифру. Просто все отработали "на отъ**ись".
Чуть ранее я заметил, что у нас один из сервисов своим API торчит "голой ж..й в интернет" безо всякой авторизации. Ну и ровно та же самая фигня: какой-то менеджер проекта когда-то давно, ещё при царе Горохе, попросил кого-то из инженеров организовать сервис "игрек" для заказчика "ку". Исполнители сделали, не особо подумав. Вроде работает, все довольны, а проверить за собой никто не проверил. Ну ладно, лучше поздно чем никогда. Опять же повезло что дёрнул меня чОрт случайно посмотреть в ту сторону. Так-то это тоже не мои обязанности, тем более что и делалось это всё задолго до того, как я в эту контору работать пришел.
... Вот и получается, что все эти громкие взломы и утечки персданных на самом деле происходят больше от банальнейшего раз3.14здяйства, а не от каких-то мифических уязвимостей в алгоримах шифрования или ещё чего-нибудь в этом духе. Про такое мне тоже есть что рассказать.
... Было у нас некое решение, развернутое в контуре у заказчика. Пару лет проработало, всех всё устраивало. Но тут налетели их "бизапасники" и потребовали немедленно везде установить касперского. Ага, на машинах где кроме баз данных и веб-сервера ничего нет. Да и с пользователями напрямую этот софт тоже не взаимодействует: чистой воды M2M.
Ну ладно, как в анекдоте, "проще дать чем объяснять почему нет". Поставили. Через неделю приходят, говорят что касперский обнаружил... критическую уязвимость в редакторе "vim". Мы сначала поржали. Но когда поняли, что они не шутят, предложили обновить дистрибутив до Debian 12, где эта "уязвимость" устранена. Нет, говорят, мы Debian 12 "не поддерживаем" и не благословляем. Вот и как их понимать? С одной стороны, у них зудит от наличия CVE, с другой стороны обновить дистрибутив они тоже не разрешают. Где логика, где справедливость?
И важный штрих: эти "бизапасники"-касперсководы не умеют заходить на Linux-машины по SSH-ключам. Только по паролям. А про ключи они ничего не знают и знать не хотят. Занавес.
Всем интересных кинокартин и разобраться как заходить по ключам.