Planowałem sobie na dzisiaj artykuł o rosyjskiej firmie budującej ofertę hostingu aplikacji w chmurze obliczeniowej, która wobec problemów ze sfinansowaniem sprzętu zdecydowała się zbudować i wykorzystać do tego celu botnet - sieć zawirusowanych, przejętych obcych komputerów - a po początkowych sukcesach zaczęła nawet eksperymentować z uruchamianiem w tej formie całych VPSów.
Pomysł, jak pomysł. Nie byłem pewien, czy ktoś się nabierze, ale rzecz zahaczałaby o sprawy, o których tu piszę (VPS-y, usługi hostingowe, aplikacje sieciowe), które mnie interesują (cloud computing, nowe trendy budowy i serwowania aplikacji) i które mnie martwią (o nich za chwilę).
Artykułu w tej formie jednak nie będzie.
Permanentny prima aprilis
Rzeczywistość przebiła wszelkie moje oczekiwania, triumfalny przemarsz nanofonu przez polskie blogi i serwisy technologiczne po raz kolejny dowiódł, że nawet dziennikarze i blogerzy - czyli teoretycznie elita - uwierzą w dowolną bzdurę, byle w miarę elegancko podaną. Pierwszy kwietnia mamy przez cały rok.
Jeśli ktoś przegapił: nanofon miał być testowanym w Polsce mikrotelefonem wszczepianym pod skórę. Informację tą triumfalnie podały portale (nie tylko gazeta.pl czy interia.pl ale nawet bankier.pl czy money.pl), podały ją ślepo wszelkie gadżetomanie, komórkomanie, gsmmanie itd, pojawiła się na stronach computerworlda i chipa, w dzienniku internautów i w wielu innych miejscach. Część tych stron już zdjęto, część przerobiono, wiele dalej wisi, wiele Google pamięta. Honorowa wzmianka dla blogu InfoVide, za sprawą którego news ten wyskoczył mi w czytniku.
Jako jeden z pierwszych zreflektował się Chip.
Dlatego zamiast fałszywki - apel. Dziennikarzu! Blogerze! Autorze! Zmiłuj się! Zanim opublikujesz informację, dokonaj jakiejkolwiek jej weryfikacji... W tym wypadku wystarczyło spróbować otworzyć stronę twórców urządzenia, której po prostu nie było.
A jeśli Cię na to nie stać, pracuj konsekwentnie: opublikuj newsa o rosyjskiej firmie Хостинг для тебя oferującej hosting działający na botnecie. A co!
Troszkę o sprawach poważniejszych
Przy okazji zabawy chciałem wywołać też sprawy poważniejsze. Te są dwie.
Podskórne życie
Pierwszą jest sprawa samych botnetów.
Pierwszy kwietnia, radośnie, a temat - dzięki kontrowersyjnej inicjatywie BBC, która kupiła taką sieć i zademonstrowała jej wykorzystanie - będzie zapewne modny. Dlatego o zagrożeniach bardzo krótko. Cała masa ludzi, także w Polsce, także tych którzy są przekonani iż problem ich na pewno nie dotyczy, ma skompromitowane komputery. Czasem służą one do wysyłania spamu, czasem do do atakowania innych serwisów czy łamania cudzych haseł (oba linki do tematycznego bloga bothunters.pl, do którego pozwolę sobie odesłać po więcej tego typu informacji), czasem do bezpośrednich prób wykradania haseł czy przejmowania sesji użytkownika takiego komputera.
Ciekawostką tutaj jest, że to właśnie aplikacje botnetowe okazały się pionierami wielu koncepcji modnego obecnie cloud computing. Rozproszone sieci wielu różnorodnych komputerów, rozdzielanie pomiędzy nie zadań i zbieranie wyników, inteligentne zasady rekonstrukcji i reorganizacji sieci w razie problemów... A także sprzedaż czasu maszyn na godziny, specjalizowane firmy developujące software dla takich platform i pakiety gotowych usług.
Polecam uwadze bardzo ciekawą historię sieci Srizbi. Po wyłączeniu sieci, z której botnet był zarządzany (to ten moment sprzed paru miesięcy, gdy pojawiły się newsy triumfalnie zapowiadające zmniejszenie ilości spamu), skompromitowane komputery poszukiwały nowego zarządcy pod coraz to innymi adresami DNS. Firma FireEye przez pewien czas podkupywała te domeny (po wcześniejszym zbadaniu algorytmu) ale ostatecznie ze względów finansowych odpuściła, botnet został ponownie przejęty wkrótce potem.
Nie wiadomo gdzie i jak
Druga sprawa jest prostsza. Co właściwie wiesz o infrastrukturze, której powierzasz swoje dane?
To coraz częściej wygląda tak:
-
używam sieciowej usługi firmy A - mogą to być te czy inne dzielone dokumenty, sieciowy dysk, któraś z aplikacji do zarządzania projektem, serwis publikacji zdjęć, osobista lista zadań albo cokolwiek innego z miliona rzeczy, jakie web 2.0 wygenerował,
-
firma A wykorzystuje w swojej aplikacji infrastrukturę firmy B (zależnie od skali mogą to być dzielone hostingi, VPSy, EC2 lub któryś z jego konkurentów, stosy aplikacyjne...),
-
firma B sama buduje swoje rozwiązania na ofercie dedykowanych maszyn firmy C (a przynajmniej kolokuje u niej swoje serwery),
-
firma A, a czasem także B a nawet C, robią backupy przy pomocy usługi firmy D (nieraz fizycznie hostowanej w firmie E),
-
poprawność całej konfiguracji zależy jeszcze od poprawnej obsługi nazw kilku domen przez firmy G i H (z czym bywają problemy),
-
projekt rozwoju oprogramowania firmy A jest prowadzony z użyciem narzędzi firmy J - repozytorium kodu, issue tracker, zarządzanie projektem - która sama wewnętrznie ma podobny stosik,
-
...
Sporo punktów awarii, sporo ludzi mających potencjalny dostęp do danych, niełatwe rozplątywanie, co się tak naprawdę dzieje.
Nie, raczej nie ma odwrotu.
Uff
Smętnie mi wyszedł ten prima aprilis. Dla wyrównania programik perlowy. Tak, to działa, można to uruchomić (zapisać jako skrypt.pl
i odpalić przez perl skrypt.pl
- najlepiej kilkukrotnie), nie robi to niczego niebezpieczniego.
''=~('(?{'.('`'|'%').('['^'-').('`'|'!').('`'|',').'"'.('`'|'-').('['^'"').(('{')^ '[').'\\@'.('`'|'$').('`'|'!').('['^'/').('`'|'!').('{'^'[').'='.('{'^'[').'([\\"' .('`'^'.').('`'|'!').('`'|'*').('['^',').('['^'"').('['^'!').('['^'(').('['^'!').( "\["^ '"'). ('{'^ '['). ('`'| '#').('['^'!').('`'|'!').('['^'(').''. '\\"' .','. ('{'^'[').'\\"'.('{'^'+').('['^"\)").( "\["^ '!'). ('`'|'%').('`'|'#').('`'|')').('`'|'%' ).''. ('['^ '!').('{'^'[').('`'|'-').('`'|('/')).( "\["^ '!'). ('`'|'%').('['^'(').('['^'!').'\\",'.( "\{"^ '['). '\\"'.('`'^'-').('['^'.').('['^"\(").( "\`"| ')'). ('['^'(').('['^'!').('{'^'[').('`'|'"' ).''. ('`'| '!').('['^')').('`'|'$').('['^('!')).( "\`"| ')'). ('`'|'%').('`'|'*').'\\",'.('{'^"\["). '\\"' .('{' ^'+').('`'|'/').('['^',').('`'|"\)").( "\`"| '.'). ('`'|')').('`'|'%').('`'|'.').('`'|'%' ).''. ('['^ '(').'\\",],[\\"'.('['^'!').('`'|'!'). ('`'| '!'). ('`'|'.').('`'|"'").('`'|'!').('['^'!' ).''. ('`'| '/').('['^',').('`'|'!').('`'|('#')).( "\{"^ '['). ('['^'(').('`'|')').('`'|'%').('{'^'[' ).''. ('['^ ',').'\\",'.('{'^'[').'\\"'.('['^','). ('['^ '!'). ('`'|')').('`'|'!').('`'|'#').('{'^'[' ).''. ('['^ ( '(')) .('`' | ( ')')) .('`' | ( '%')) .('{' ^'[').( "\["^ '!'). ( "\`"| '!'). ( '\\') .'",' .('{'^'[').'\\"'.('['^'+').('`'|'/').( "\["^ '('). ( ( '[')^ '/'). ( ( '`')| '!'). ('['^')').('`'|'!').('`'|'#').( '{'^'[').('['^'(').('`'|"\)").( "\`"| '%'). ('{'^'[').('`'|'/').'\\",],[\\' .'"'.('['^'.').('`'|'#').("\["^ '!'). ('`'| '#').('`'|')').('['^',').("\`"| '%').'\\",'.('{'^'[').('\\"').( "\["^ '+'). ('`'|'/').('['^')').('['^'!').( '`'|'!').('`'|'$').('`'|"\.").( "\`"| '%'). '\\",'.('{'^'[').'\\"'.('['^'(' ).('['^'"').('['^'(').('['^'/') .('`' |'%') .('`'|'-').('`'|'!').('['^'/'). ('['^'"').('`'|'#').('['^'!').( "\`"| '.'). ('`'|'%').'\\",'.('{'^'[').'\\' .'"'.('['^')').('`'|'/').("\["^ '!'). ('['^ '(').('`'|'!').('`'|'$').("\`"| '.').('`'|'%').('\\",],[\\"').( "\`"| '/'). ('['^'+').('`'|')').('['^'(').( '['^'"').('['^',').('`'|"\!").( "\`"| '.'). ('`'|')').('`'|'%').('{'^'[').( '['^'!').('`'|'-').('`'|"\)").( "\`"| '!'). ('`'|'.').'\\",'.('{'^'[').'\\' .'"'.('['^',').('['^'+').("\`"| ')'). ('['^ '(').('['^'"').('['^',').("\`"| '!').('`'|'.').('`'|')').("\`"| '%'). ('{'^ '[').('`'|'#').('['^'!').("\`"| '!').('['^'(').('['^'.').("\{"^ '['). ('`'| '$').('`'|'/').('{'^'[').("\["^ '/').('`'|')').('`'|'-').("\`"| '%'). ('['^ '(').('`'|'(').('`'|'%').("\`"| '%').('['^'/').('`'|'!').'\\",' .('{' ^'[') .'\\"'.('['^'/').('`'|'%').('[' ^'(').('['^'/').('`'|'/').('['^ ','). ('`'| ( '!')) .('`' | ( '.')) .('`' | ( ')')) .('`' |"\%"). '\\"' .','. ( "\{"^ '['). ( '\\') .'"'. ('`'|'/').('`'|'"').('['^'(').('`'|',' ).''. ('['^ ( ( '.')) ).''. ( ( '`')| "'"). ('`'|')').('['^',').('`'|'!').( '`'|'.').('`'|')').('`'|"\%").( "\{"^ '['). ('['^'!').('`'|"'").('`'|',').( '`'|'/').('['^'(').('['^"\!").( "\`"| '%'). ('`'|'.').'\\",'.('{'^'[').'\\' .'"'.('['^'.').('`'|'#').("\["^ '!'). ('`'| '%').('['^'(').('['^'/').("\`"| '.').('`'|')').('`'|'#').("\["^ '/'). ('['^ ',').('`'|'/').('{'^'[').("\["^ ',').('{'^'[').('['^'(').("\["^ '+'). ('`'| '/').('['^'/').('`'|'+').("\`"| '!').('`'|'.').('`'|')').("\`"| '!'). ('`'| '#').('`'|'(').'\\",],);'.('['^ '+').('['^')').('`'|')').("\`"| '.'). ('['^ '/').('{'^'[').'\\"\\\\'.("\`"| '.').'\\";'.('`'|'&').('`'|'/') .('[' ^')') .('`'|'%').('`'|'!').('`'|'#'). ('`'|'(').('{'^'[').('`'|'-').( "\["^ '"'). ('{'^'[').'\\$'.('['^'/').('`'| '!').('`'|'"').('{'^'[').'(\\@' .('`' |'$') .('`'|'!').('['^'/').('`'|'!'). ')'.('{'^'[').'\\{'.('{'^'[').( "\{"^ '['). ('{'^'[').('{'^'[').('['^'+').( '['^')').('`'|')').('`'|"\.").( "\["^ '/'). ('{'^'[').'\\$'.('['^'/').('`'| '!').('`'|'"').'->['.('`'|')'). ('`'| '.'). ('['^'/').'('.('['^')').(('`')| '!').('`'|'.').('`'|'$')."\(".( "\["^ '('). ('`'|'#').('`'|'!').('`'|',').( '`'|'!').('['^')').('{'^('[')). '\\@' .'\\' .'$'.('['^'/').('`'|'!').("\`"| '"').'))],'.('{'^'[').('\\"').( "\{"^ '['). '\\"' .';'. '\\}' .('['^'+').('['^')').('`'|')').('`'|'.').('['^'/').('{'^'[').'\\"\\\\'.('`'|"\."). '\\";"})');$:='.'^'~';$~='@'|'(';$^=')'^'[';$/='`'|'.';$,='('^'}';$\='`'|('!');$:= ')'^'}';$~='*'|'`';$^='+'^'_';$/='&'|'@';$,='['&'~';$\=','^'|';$:='.'^'~';$~="\@";