epic fail.part 2

Совсем недавно, около 10 дней назад, по сообщению Interfax, конденсатом залило сервера, на которых хранились заявки граждан на получение загранпаспортов.  Ничего страшного, бывает. Жара. Смешно  другое, что в результате, система простояла не менее 5 дней. Итак, у вас есть система, заказчиками которой являются все жители страны старше 16 лет, при этом каждый заказчик платит вам 2500р ($83)  за паспорт...но у Вас все-таки не хватает денег на резервную систему и даже  нормальный кондиционер. При общей стоимости системы не менее 200 млн рублей.   Раз система простояла 5 дней, то вряд ли они ее восстаналивали из backup -это заняло бы гораздо меньше времени. Скорее всего (это мое предположение), собирали заново, недостающее пересканировали..

Ok, можно украсть и разворовать все что угодно, но сделать резервную  систему изо всякого хлама стоит совсем недорого. Сейчас многотерабайтный NAS стоит несколько тысяч рублей.  Навтыкать дисков в Linux машинку и  поднять Openfiler - делов на пару часов. Складывать там резервные копии - простейший скрипт. Но, см. например сюда:  "70 баз работают 8 лет в режиме noarchivelog, при сбое носителей простой базы может дойти до 3-х дней , естественно с потерей данных за последний день, мало того даже холодные бэкапы не делаюся, делается полный экспорт базы, из которого база (90 Гб) восстанавливается 30 часов. Это всех устраивает!". Без комментариев. Дело не миллионах рублей и дачах, построенных на эти деньги. Дело все-таки в отношении к своей работе...

PS Ну  а пока вспомните, когда последний раз вы пробовали восстановиться, из того, что вы считаете своим backup :))  Так, на всякий случай, чтобы про вас не написали в газете.....


Читать дальше...

epic fail.part I

По сообщению РосБизнесКонсалтинг хакеры получили доступ к конфеденциальной информации на сервере службы ФСО. При близжайшем рассмотрении, оказалось, что это был сервер, где был установлен продукт Дозор-Джет, для которого я несколько лет назад разрабатывал серверную часть и некоторые утилиты по администрированию. Дозор-Джет среди прочих возможностей, осуществляет фильтрацию почтовых сообщений, предоставляет доступ системе поиска по сообщениям. При этом вся информация хранится в Oracle Database. Конечно СМИ в восторге, "взломан" сервер, предназначенный для обеспечения безопасности!

Однако, на основе опыта внедрения Дозора в нескольких организациях, я осмелюсь предположить, что взлома, как такового и не было. Было поразительное головотяпство, при котором после установки "забыли" убрать сервер с Дозор-Джет в ДМЗ. "Хакеры" нашли открытый ip адрес на котором отвечал web сервер, затем, скорее всего прочитав документацию, вошли с паролем по умолчанию. Если все так, как я предполагаю, доступ им удалось получить только к web-интерфейсу с тестовым набором e-mail сообщений. При переводе системы в production отдельно убеждались, что Дозор стоит в ДМЗ.

Конечно, если бы попались умники, они бы могли попробовать sql injection, но похоже, что на это ума уже не хватило. Кстати, насколько я могу вспомнить, защиты от sql injecttion в Дозоре не было, поскольку считалось, что к этой системе имеют доступ только доверенные персоны.

Рекомендованной конфигурацией являлась установка web интерфейса отдельно от СУБД. Как было сделано в вышеприведенном случае я конечно не знаю. Но если СУБД находилась на этом же сервере то появлялись возможности для более серьезного взлома.

Любое допущение в системе безопасности - есть дыра, а пароли по умолчанию - самая большая из них. В принципе и Oracle не сразу догадался закрывать (lock) пользователей по умолчанию (кажется только начиная с 9i). По вот этой ссылке утверждают, что всего за 2 дня удасться перебрать все 8 сивмольные комбинации, и без включения password policies рано или поздно пароль подберут . Кстати, в 11gR2 учетная запись будет автоматически заблокирована после 10 неудачных попыток.

Хорошей практикой является прослушивать только определенные подсети, выделенные для администрирования. К сожалению, в Listener можно вносить только конкретные адреса, для подсетей придется использвать cman. Да, и закрыть паролем Listener было бы также неплохо.

Если вы прочитали все вышепериведенное и не нашли для себя ничего нового, почему бы не прочитать про Oracle Database Firewall ? А если у Вас Solaris, то даже и вот это :)


Читать дальше...

PL/SQL Native Compilation - "разгон" выполнения хранимых процедур

Oracle Database версии 11g, помимо множества новых возможностей и улучшений, принесла еще одну замечательную технологию - PL/SQL Native Compilation.

Мне думается, что у большинства читателей этого блога для реализации бизнес-логики активно используется именно PL/SQL, и многие "ломают" голову над тем, как заставить свой код выполняться быстрее... :-)

Существует два варианта компиляции ваших хранимых процедур PL/SQL:
- interpreted (в результате из исходного кода процедуры получается интерпретируемый код виртуальной машины PL/SQL);
- native (в результате компиляции на выходе получается исполняемый код текущей платформы).


Читать дальше...

Москва сегодня



Видимость 500 м. В аэропортах немедленно начинается коллапс. Web-сайт Домодедово немедленно лег, и уже не в состоянии показать таблицу вылетов самолетов. Одновременно идет регистрация на ~ 300 самолетов, в каждом в среднем по 150 человек. Нельзя рассчитать систему, на то, что все эти люди вдруг захотят посмотреть,  а вылетает ли их самолет ?   "Одноклассники", "В Контакте"  могут, а Домодедово - нет ?   Нет, я не верю что тут есть технические проблемы... верните рынду, а ?


Читать дальше...

Пища для размышления



На меня произвело впечатление это видео. Информация, передаваемая "из уст в уста" посредством социальных сетей, блогов и т.п. зачастую представляет бOльшую пользу, чем доставляемая нам по традиционным "коммерческим" каналам типа телевидения или печатной продукции. Меня впечатляет динамика развития средств обмена информацией и накопления знаний непосредственно между людьми. Например, если у меня возникла проблема с каким-то продуктом (предположим, с автомобилем), то я мгновенно нахожу на множествах форумов и сайтов информацию про то, что именно сломалось и какой конкретно ремонт меня ожидает. Эта информация опубликована простыми людьми как и я. Если я зачоху, то еще через минуту на YouTube можно найти видео как произвести ремонт самостоятельно и т.п. Положительным "побочным эффектом" информационного обмена является тот факт, что автомобильному дилеру теперь тяжелее вешать мне лапшу на уши. Положительным для меня, а не для автодилера :^). Bottomline: Поделиться информацией в интеренете стало совсем не сложно и это многое меняет.

Еще важнее то, что эти изменения коснутся коммерческого сектора экономики. Ведь если у Вас плохой продукт, то об этом все узнают буквально сегодня. Если у Вас хороший продукт, то об этом тоже все узнают сегодня. Факты (из видео): 78% потребителей верят тому, что говорят их знакомые и только 14% верят тому, что говорит реклама. Тоже самое на рынке труда. У людей, которым есть что сказать, появилась возможность реализовать себя за счет того, что они пишут в блог (или в википедию или куда-то еще) что-то нужное и важное. Написать статью ничего не стоит -- было бы что писать. Я узнал множество интересных людей просто за счет эффекта социальных сетей. Соответственно, если сказать нечего, то "информационного следа" от человека не остается.

Просто мысли.


Читать дальше...

MySQL Cluster

Как вы уже знаете, вообще-то это Oracle MySQL Cluster. Вот мне и стало интересно, а зачем Oracle два кластера, ведь у нас уже есть Real Application Cluster ? Попробуем разобраться. Вся документация доступна на сайте mysql.com, правда для этого необходимо зарегистрироваться.



Читать дальше...

Windows guest on OracleVM

Многие интересуются запуском паравиртуальных машин Windows под OracleVM. Такая возможность есть, и Windows полностью поддерживается в качестве гостевых систем OracleVM.
В качестве примера мы подробно рассмотрим процесс создания виртуальной машины MS Windows 2003 Server x64 работающей под управлением OracleVM, внутри которой затем будет установлена база данных Oracle 11g Release 2 for MS Windows x64.


Читать дальше...

HP и DELL будут сертифицировать Oracle Solaris, OEL, Oracle VM

Ссылка на пресс-релиз:  Dell and HP to Certify and Resell all Three Oracle Operating Systems – Oracle Solaris, Oracle Enterprise Linux and Oracle VM – on their x86 Server Computers.

DELL уже давно и последовательно поддерживает Oracle VM, для чего создал специальный ресурс.

Новость важная, поскольку из нее, мне кажется, следует:

  • Solaris x86 будет развиваться
  • Наконец-то можно будет купить сертифицированное под Oracle VM железо
Последний пункт кстати, оказался не таким простым. Дело в том, что по какой-то причине разработчики Oracle VM успешно дорабатывают xen, но в сборки Oracle VM упорно продолжают включать драйвера почти годичной давности.  Я наблюдал уже несколько ситуаций, когда последний update OEL встает без проблем, а Oracle VM - нет. Как вы понимаете, дальше начинаются пляски с бубном. По умолчанию gcc, исходников ядра в Oracle VM  нет. Даже если у вас есть исходники драйвера задача не выглядит такой уж простой. Хотя, при помощи нашего гуру по Linux Петра Фатьянова она оказалась вполне решаемой.  


Читать дальше...