В общем-то хотел просто ответить на этот комментарий и в качестве примера привести неожиданные результаты одного как-то сделанного мною аудита веб-приложения, но ответ получался очень громоздкий.
Так родилась эта статья.
Речь шла о том, что иногда в корпоративном секторе, прикрываясь надуманными нормативами или навязанными стандартами от безопасности, случаются совершенно неоправданные, а иногда и совершенно дикие реализации последних, нередко граничащих просто с невозможными условиями работы. Например CIO и иже с ним (либо нерадивые или просто ленивые исполнители), руководствуясь такими политиками, возможно переусердствовали, а часто не нашли (или не искали) лучшего решения.
В результате имеем антивирусы на серверах, со всеми вытекающими, потому что просто должен быть на каждом компьютере. Сотрудников вынужденных работать под админом (aka MakeMeAdmin), потому что создать админский аккаунт (тех-юзера), тупо для скриптов, перестартовки и дебага сервисов, ну никак не возможно (да и ладно — все-равно есть же антивирус). Политики позволяющие запустить исполняемый файл отовсюду (сеть, временный каталог и т.д.), потому что какая-то там служба обновления по другому не умеет (не страшно — снова антивирус как аргумент). И т.д. и т. п.
На самом деле я совершенно четко понимаю откуда у таких требований ноги растут. Довольно часто это действительно условия клиентов-заказчиков, требования материнской там или партнерской компании или де-факто стандарты индустрии, которым просто нужно соответствовать. Ну т.е. тупо никуда не денешься.
Но, дело в том что технически как раз некоторые вещи, что касается безопасности, совершенно не оправданы, хуже того в действительности совсем «не секьюрны», мало того — мешают как разработке, так и продуктивной работе того же клиента.
И если прикрывая свою пятую точку (прикрываясь фальшивыми «стандартами»), решаешь соответствовать требованию безопасности от лукавого, то сделай это хотя бы включая голову, так чтобы это не влияло (ну или минимально влияло) на продуктивность компании.
Пример: как-то бились с одним известным антивирусом (доказуемо бажным, вероятно где-то в районе аналитики и очередях real time scanning) — при очень большой загруженности сервера (32 ядра >= 50% cpu load):
Например, что стоит разделить ту же сеть и воткнуть тот же антивирус за NAT-ом. Или хотя бы проверить на такие болячки и заменить на другой, более надежный. Сравните эту стоимость со скажем человеко-часом * 25000 сотрудников, ежедневно минута за минутой тратящихся на тупое ожидание ответа приложения.
А в результате растет-растет число велосипедов типа «safe_rename», «real_delete» или «start_process_with_observe» вокруг проектов. Тот же CIO быстро пересмотрел бы свою позицию, если бы ему (его подразделению) коллективный счет выставить за суммарное время «простоя» (ожидания) всех сотрудников.
Мне как-то приходилось делать audit одного более-менее крупного приложения в одном очень большом концерне. Web-приложение в интранете компании. Оно, по слухам, вроде бы и раньше не блистало скоростью. А после какого-то там релиза все стало ну очень-очень медленно.
Изготовитель божился, что у них все в порядке — якобы по логам не видно, что приложение перегружено, однако точно такой нагрузочный тест как в продакшн нереально симулировать. В общем терпение клиента кончилось — ну и собственно аудит…
Началось все с написания анализаторов присланных логов (слава богу протоколы в приложении, точнее в app-server'е можно было довольно сильно детализировать). В результате огромные логи сведены в более-менее читаемый вид. Пример обрезанного протокола после анализатора (и подстроенного под хабрапарзер), кому вдруг интересно, можно увидеть под спойлером ниже — скажу лишь сразу, что логи не показали ничего явного. Т.е. сервера (приложение) ну да — не быстрые (где-то местами SQL притормаживает, где-то — storage или NAS), но в общем могли бы в принципе справится и с нагрузкой, в десятеро превышающую анализируемую.
Не буду загружать читателя, с чем еще пришлось столкнутся в поисках злостного типа, натянувшего ручной тормоз.
После гадания на кофейной гуще, предполагалось все что угодно от того же антивируса (куда же без него) и проблем балансировщика, до тупого свопа на клиенте или каких-нибудь расширений браузера или медленной агонии javascript в броузере, в каких-нибудь асинхронных вызовах.
Все шло к тому, что предстоит адский аудит кода. Пока же решил на месте проверить как оно все себя ведет.
Показывают работу приложения — все действительно медленно донельзя. Браузер вяло скрипит, странички по клику открываются фрейм за фреймом и медленно как по модему. Свопа нет — памяти отъедено совсем ничего.
И потратив всего час на поиски — был в результате в тихом ужасе(тут вообще-то другое слово).
Но по порядку: сперва втиснул свой прокси, с включённым accesslog, между браузером и сервером, намучившись с MITM с подменой NTLM-credential (прокси работал тоже под аккаунтом пользователя), и с подменой абсолютных URL на другой порт и т.п. Я-то ожидал в логах увидить, что приложение ни при чем — это или антивирус, ну или что-то с браузером (скрипты там и т.д.).
А сделав несколько кликов в приложении, неожиданно обнаружил в тайл лога добрую сотню мини-реквестов от браузера на каждый вызванный запрос (на каждый клик). Вся статика, т.е. иконки, статичные скрипты и стили при каждом клике отрабатывалась снова и снова — т.е. имеем один-два больших запроса 200 и много (очень много) мелких 304 (Not Modified).
Однако приложение, как положено, отсылало для статики корректные заголовки для кеширования (Cache-Control, Expires и т.д.).
Короче говоря, выяснилось — кэш браузера был просто-тупо «выключен» (политиками)!
Во всем концерне!!!
Ну т.е. галочка «Check for newer version» стояла в «Every time I visit the webpage».
Добавим ко всему NTLM сверху (с handshake туда-сюда и запрос-ответ к PDC от обоих) и учитывая что имеем множество приложений в компании на веб-архитектуре, помножим на количество сотрудников всего концерна и Вуаля! Можно идти в серверную и любоваться красным свечением раскаленного донельзя сетевого оборудования.
Т.е. браузер мало того, что шлет и принимает кучу с гаком мелких запрос-ответов, еще и ждет подтверждения от последнего ресурса в страничке — я неизменен, чтобы закончить рендеринг и показать страницу. Думается мне, что и антивирус, постоянно бомбардируемый дополнительными запросами, внес свою посильную лепту в общую картину (хотя реакция его на к примеру тот же скрипт, вернувшийся с 304, мне не известна).
Ну и как бонус сверху — тупая донельзя сеть — про то, как огромная масса мини-пакетов может скрасить жизнь всего сетевого сегмента в целом и конкретного маршрутизатора в частности, сетевые администраторы могут длинные истории рассказывать (как правило нецензурно).
Кстати мне с поиском (да и клиенту) еще мягко говоря повезло — в настройках моего прокси accesslog для статики был включен, хотя обычно он выключен (просто крайний раз тестировал 304 и иже с ними и конфигурацию обратно не поправил). Ну не ожидал никто (присутствующие там админы тоже пошли пятнами), что сотрудники, отвечающие за полиси (в этом случае за настройки браузера), настолько некомпетентны. Настолько, что просто граничит, имхо, с основанием для увольнения с работы.
По слухам же, кэш был «выключен» потому, что совсем в другом проекте, какая-то бажная версия какой-то там SAP-компоненты, где-то не умела по другому (возможно не там проставили Cache-Control, Expires и т.д. или некорректно отрабатывался If-Modified-Since). Смысл в том, что тестеры не обнаружили, а исполнители, выкатившие бажный релиз в продакшн, не смогли откатится назад и не нашли ничего лучше, как тупо «отключить» проверку expires и cache-control. Еще раз — во всем концерне! Т. е. для всех приложений и серфинга как такового.
Они могли бы например поставить что-нибудь проксирующее перед приложением, чтобы поменять заголовки только для конкретно этих URL, или например врезаться в application server для «rewrite» в нем напрямую. На вскидку можно придумать десяток решений лучше.
Кстати, вместо того, чтобы признать фэйл — по слухам, они с пеной у рта доказывали что оно — нужно и хорошо, и что даже Microsoft рекомендует эти настройки для IE. В результате, вашему покорному слуге пришлось, в качестве приложения к отчету о проделанной работе, писать еще и «диссертацию» на тему «Почему плохо — это нехорошо».
А у простых пользователей той компании я прослыл волшебником, за час решившим проблему, которую месяцами (а то и годами) не могли найти местные IT-специалисты.
Вы представляете, вдруг не только то приложение, но и всё остальное в компании внезапно стало работать намного быстрее! Вплоть до последнего сетевого принтера…
Засим откланиваюсь, с просьбой не пинать со словами типа «Программисты тоже делают ошибки», и с надеждой, что может быть всё же ответственные лица (а также исполнители) прислушаются к нам и хотя бы иногда будут включать голову… Сильно помогает.
Так родилась эта статья.
Вступление
Речь шла о том, что иногда в корпоративном секторе, прикрываясь надуманными нормативами или навязанными стандартами от безопасности, случаются совершенно неоправданные, а иногда и совершенно дикие реализации последних, нередко граничащих просто с невозможными условиями работы. Например CIO и иже с ним (либо нерадивые или просто ленивые исполнители), руководствуясь такими политиками, возможно переусердствовали, а часто не нашли (или не искали) лучшего решения.
В результате имеем антивирусы на серверах, со всеми вытекающими, потому что просто должен быть на каждом компьютере. Сотрудников вынужденных работать под админом (aka MakeMeAdmin), потому что создать админский аккаунт (тех-юзера), тупо для скриптов, перестартовки и дебага сервисов, ну никак не возможно (да и ладно — все-равно есть же антивирус). Политики позволяющие запустить исполняемый файл отовсюду (сеть, временный каталог и т.д.), потому что какая-то там служба обновления по другому не умеет (не страшно — снова антивирус как аргумент). И т.д. и т. п.
На самом деле я совершенно четко понимаю откуда у таких требований ноги растут. Довольно часто это действительно условия клиентов-заказчиков, требования материнской там или партнерской компании или де-факто стандарты индустрии, которым просто нужно соответствовать. Ну т.е. тупо никуда не денешься.
Но, дело в том что технически как раз некоторые вещи, что касается безопасности, совершенно не оправданы, хуже того в действительности совсем «не секьюрны», мало того — мешают как разработке, так и продуктивной работе того же клиента.
И если прикрывая свою пятую точку (прикрываясь фальшивыми «стандартами»), решаешь соответствовать требованию безопасности от лукавого, то сделай это хотя бы включая голову, так чтобы это не влияло (ну или минимально влияло) на продуктивность компании.
Пример: как-то бились с одним известным антивирусом (доказуемо бажным, вероятно где-то в районе аналитики и очередях real time scanning) — при очень большой загруженности сервера (32 ядра >= 50% cpu load):
- антивирус блокирует (от нескольких миллисекунд до 30 секунд!) доступ к файлам, после их переименования — в результате многопоточный pipeline (асинхронная очередь заданий) периодически вылетает с «access denied» при доступе например к временным, только что созданным и затем переименованным файлам из другого потока, сообщившего об окончании работы. При том, что working folder вроде бы совсем исключен из real time scanning.
- или того хуже, кладет дочерние процессы спать (suspended) и забывает их «разбудить», а поток в предке бесконечно ждет окончания работы уснувшего дитя.
Например, что стоит разделить ту же сеть и воткнуть тот же антивирус за NAT-ом. Или хотя бы проверить на такие болячки и заменить на другой, более надежный. Сравните эту стоимость со скажем человеко-часом * 25000 сотрудников, ежедневно минута за минутой тратящихся на тупое ожидание ответа приложения.
А в результате растет-растет число велосипедов типа «safe_rename», «real_delete» или «start_process_with_observe» вокруг проектов. Тот же CIO быстро пересмотрел бы свою позицию, если бы ему (его подразделению) коллективный счет выставить за суммарное время «простоя» (ожидания) всех сотрудников.
Аудит
Мне как-то приходилось делать audit одного более-менее крупного приложения в одном очень большом концерне. Web-приложение в интранете компании. Оно, по слухам, вроде бы и раньше не блистало скоростью. А после какого-то там релиза все стало ну очень-очень медленно.
Изготовитель божился, что у них все в порядке — якобы по логам не видно, что приложение перегружено, однако точно такой нагрузочный тест как в продакшн нереально симулировать. В общем терпение клиента кончилось — ну и собственно аудит…
Началось все с написания анализаторов присланных логов (слава богу протоколы в приложении, точнее в app-server'е можно было довольно сильно детализировать). В результате огромные логи сведены в более-менее читаемый вид. Пример обрезанного протокола после анализатора (и подстроенного под хабрапарзер), кому вдруг интересно, можно увидеть под спойлером ниже — скажу лишь сразу, что логи не показали ничего явного. Т.е. сервера (приложение) ну да — не быстрые (где-то местами SQL притормаживает, где-то — storage или NAS), но в общем могли бы в принципе справится и с нагрузкой, в десятеро превышающую анализируемую.
Пример протокола анализа ...
Грубо говоря, об этом сообщает даже суммарный сведенный idle-time всех воркеров сервера (101,153 min из 155,644 min).| Analyse: | ||||||||||||||||
| Analyse-Time | 9338645 (155,644 min) |
07:45:09 — 10:20:48 | ||||||||||||||
| Idle(ms) | 6069160 (101,153 min) | Idle-AVG: | 735,66 | Count: | 8250 | |||||||||||
| Busy(ms) | 3269485 (54,491 min) | Busy-AVG: | 396,3 | |||||||||||||
| Total(ms) | 4536133 (75,602 min) | |||||||||||||||
| AVG(ms) | 285,6 | |||||||||||||||
| Requests | 15883 | |||||||||||||||
| Users | 106 | Avg(ms) | Min(ms) | Max(ms) | ||||||||||||
| WorkTime(ms) | 521217468 (8.686,958 min) | 4917145 (81,952 min) | 344 (0,006 min) | 9322426 (155,374 min) | ||||||||||||
| ServerTime(ms) | 4536133 (75,602 min) | 42793 (0,713 min) | 142 (0,002 min) | 298511 (4,975 min) | ||||||||||||
| Name | /app/mailbox.htm | /app/docmain.htm | /port/result.htm | /app/tree.htm | /app/view.htm | /app/docnavi.htm | /port/docview.htm | /app/result.htm | /port/report2.htm | /port/search.htm | /port/pdfview.htm | /app/action.htm | ... | /app/empty.htm | ||
| Time(ms) | 1135731 (18,929 min) | 770339 (12,839 min) | 616371 (10,273 min) | 606983 (10,116 min) | 286304 (4,772 min) | 255469 (4,258 min) | 173729 (2,895 min) | 135370 (2,256 min) | 109145 (1,819 min) | 72917 (1,215 min) | 34346 (0,572 min) | 32499 (0,542 min) | ... | 0 (0,000 min) | ||
| AVG(ms) | 1.108,03 | 514,59 | 1.064,54 | 211,35 | 239,79 | 222,73 | 622,68 | 474,98 | 5.457,25 | 197,07 | 602,56 | 172,87 | ... | 0 | ||
| Count | 1025 | 1497 | 579 | 2872 | 1194 | 1147 | 279 | 285 | 20 | 370 | 57 | 188 | ... | 1 | ||
| User-Times: | ||||||||||||||||
| UID | net\u101165 | net\u144102 | net\u193619 | ... | ||||||||||||
| Time(ms) | 298511 (4,975 min) | 238661 (3,978 min) | 168190 (2,803 min) | ... | ||||||||||||
| AVG(ms) | 2.446,81 | 269,07 | 282,2 | ... | ||||||||||||
| Count | 122 | 887 | 596 | ... | ||||||||||||
| WorkTime | 131,818 min 07:55:26-10:07:16 | 117,066 min 08:23:28-10:20:32 | 150,534 min 07:46:35-10:17:07 | ... | ||||||||||||
| Requests | Name | Time(ms) | AVG(ms) | Count | Name | Time(ms) | AVG(ms) | Count | Name | Time(ms) | AVG(ms) | Count | ... | |||
| /port/result.htm | 280962 (4,683 min) | 12.771,00 | 22 | /app/docmain.htm | 89560 (1,493 min) | 621,94 | 144 | /app/mailbox.htm | 53689 (0,895 min) | 1.677,78 | 32 | ... | ||||
| /port/docview.htm | 11938 (0,199 min) | 746,13 | 16 | /app/tree.htm | 55327 (0,922 min) | 278,03 | 199 | /app/docmain.htm | 39019 (0,650 min) | 750,37 | 52 | ... | ||||
| /port/search.htm | 3750 (0,063 min) | 250 | 15 | /app/docnavi.htm | 42245 (0,704 min) | 291,34 | 145 | /app/tree.htm | 22122 (0,369 min) | 254,28 | 87 | ... | ||||
| /port/tree.htm | 797 (0,013 min) | 88,56 | 9 | /app/view.htm | 22986 (0,383 min) | 247,16 | 93 | /app/view.htm | 15830 (0,264 min) | 316,6 | 50 | ... | ||||
| /port/view.htm | 640 (0,011 min) | 40 | 16 | /app/mailbox.htm | 16126 (0,269 min) | 1.466,00 | 11 | /port/result.htm | 9622 (0,160 min) | 253,21 | 38 | ... | ||||
Не буду загружать читателя, с чем еще пришлось столкнутся в поисках злостного типа, натянувшего ручной тормоз.
После гадания на кофейной гуще, предполагалось все что угодно от того же антивируса (куда же без него) и проблем балансировщика, до тупого свопа на клиенте или каких-нибудь расширений браузера или медленной агонии javascript в броузере, в каких-нибудь асинхронных вызовах.
Все шло к тому, что предстоит адский аудит кода. Пока же решил на месте проверить как оно все себя ведет.
Показывают работу приложения — все действительно медленно донельзя. Браузер вяло скрипит, странички по клику открываются фрейм за фреймом и медленно как по модему. Свопа нет — памяти отъедено совсем ничего.
И потратив всего час на поиски — был в результате в тихом ужасе
Но по порядку: сперва втиснул свой прокси, с включённым accesslog, между браузером и сервером, намучившись с MITM с подменой NTLM-credential (прокси работал тоже под аккаунтом пользователя), и с подменой абсолютных URL на другой порт и т.п. Я-то ожидал в логах увидить, что приложение ни при чем — это или антивирус, ну или что-то с браузером (скрипты там и т.д.).
А сделав несколько кликов в приложении, неожиданно обнаружил в тайл лога добрую сотню мини-реквестов от браузера на каждый вызванный запрос (на каждый клик). Вся статика, т.е. иконки, статичные скрипты и стили при каждом клике отрабатывалась снова и снова — т.е. имеем один-два больших запроса 200 и много (очень много) мелких 304 (Not Modified).
Однако приложение, как положено, отсылало для статики корректные заголовки для кеширования (Cache-Control, Expires и т.д.).
Короче говоря, выяснилось — кэш браузера был просто-тупо «выключен» (политиками)!
Во всем концерне!!!
Ну т.е. галочка «Check for newer version» стояла в «Every time I visit the webpage».
Добавим ко всему NTLM сверху (с handshake туда-сюда и запрос-ответ к PDC от обоих) и учитывая что имеем множество приложений в компании на веб-архитектуре, помножим на количество сотрудников всего концерна и Вуаля! Можно идти в серверную и любоваться красным свечением раскаленного донельзя сетевого оборудования.
Т.е. браузер мало того, что шлет и принимает кучу с гаком мелких запрос-ответов, еще и ждет подтверждения от последнего ресурса в страничке — я неизменен, чтобы закончить рендеринг и показать страницу. Думается мне, что и антивирус, постоянно бомбардируемый дополнительными запросами, внес свою посильную лепту в общую картину (хотя реакция его на к примеру тот же скрипт, вернувшийся с 304, мне не известна).
Ну и как бонус сверху — тупая донельзя сеть — про то, как огромная масса мини-пакетов может скрасить жизнь всего сетевого сегмента в целом и конкретного маршрутизатора в частности, сетевые администраторы могут длинные истории рассказывать (как правило нецензурно).
Кстати мне с поиском (да и клиенту) еще мягко говоря повезло — в настройках моего прокси accesslog для статики был включен, хотя обычно он выключен (просто крайний раз тестировал 304 и иже с ними и конфигурацию обратно не поправил). Ну не ожидал никто (присутствующие там админы тоже пошли пятнами), что сотрудники, отвечающие за полиси (в этом случае за настройки браузера), настолько некомпетентны. Настолько, что просто граничит, имхо, с основанием для увольнения с работы.
По слухам же, кэш был «выключен» потому, что совсем в другом проекте, какая-то бажная версия какой-то там SAP-компоненты, где-то не умела по другому (возможно не там проставили Cache-Control, Expires и т.д. или некорректно отрабатывался If-Modified-Since). Смысл в том, что тестеры не обнаружили, а исполнители, выкатившие бажный релиз в продакшн, не смогли откатится назад и не нашли ничего лучше, как тупо «отключить» проверку expires и cache-control. Еще раз — во всем концерне! Т. е. для всех приложений и серфинга как такового.
Они могли бы например поставить что-нибудь проксирующее перед приложением, чтобы поменять заголовки только для конкретно этих URL, или например врезаться в application server для «rewrite» в нем напрямую. На вскидку можно придумать десяток решений лучше.
Кстати, вместо того, чтобы признать фэйл — по слухам, они с пеной у рта доказывали что оно — нужно и хорошо, и что даже Microsoft рекомендует эти настройки для IE. В результате, вашему покорному слуге пришлось, в качестве приложения к отчету о проделанной работе, писать еще и «диссертацию» на тему «Почему плохо — это нехорошо».
А у простых пользователей той компании я прослыл волшебником, за час решившим проблему, которую месяцами (а то и годами) не могли найти местные IT-специалисты.
Вы представляете, вдруг не только то приложение, но и всё остальное в компании внезапно стало работать намного быстрее! Вплоть до последнего сетевого принтера…
Засим откланиваюсь, с просьбой не пинать со словами типа «Программисты тоже делают ошибки», и с надеждой, что может быть всё же ответственные лица (а также исполнители) прислушаются к нам и хотя бы иногда будут включать голову… Сильно помогает.
Комментарии (36)
teecat
29.04.2015 22:10+1про антивирус — поддерживаю. все именно так. никто не воспринимает его как инструмент имеющий свои возможности и недостатки — как и любой иной продукт. Для одних он панацея. Для других он бельмо на глазу. Взвешенное и правильное использование антивируса жуткая редкость
sebres Автор
29.04.2015 22:37К сожалению это же можно сказать не только про антивирус… Политики и права в системе, невозможность поднять или установить чего-нибудь (от «неподдерживаемой» виртуалки, до какого-нибудь «экзотического» юникса/линукса).
Да все что хочешь, пример:
Работая с парком определенных редакторов, привык к shortcut-ам типа Ctrl+Shift+[1..9] и Alt+[1..9] — чтобы ставить и прыгать к нумерованым закладкам, через все открытые файлы. А например Ctrl+Alt+0 переопределял, чтоб он передеплоивал процесс проекта на лету (вообще действие невидимое если в логи или консоль не смотреть).
Так во с определенного времени они просто перестали действовать (Нашел что в Win-7 нужно было выключить какую-то галочку, то ли в установках «Advanced Key Settings», то ли в «Regional Settings» (забыл уже). Короче нашел ее, выключил. Заработало! А через некоторое время бац — опять ни один shortcut не работает. Полез смотреть — галочка снова стоит (вероятно политики или профиль востановился)! И так всегда.
В результате «тикет» в саппорте уже несколько лет назад, а воз и ныне там. А от использования этих shortcut-ов я уже и отвык.
VlK
30.04.2015 11:46Согласен, корпоративный софтварный мир — ад. Опять же, консультанты того же SAP часто показывают себя… Ням-ням-ням, совсем не по-программистски.
Давным-давно надо было с ними интегрироваться через какой-то там жуткий стандартный протокол, описываемый в стандартном же XML-подобном формате. На просьбу начать проверяться в ответ на прислали скрин из консоли SAP с надписью «XML успешно загружен». Робкие попытки наших менеджеров доказать, что это даже не начало работы, были пресечены…
В итоге, естественно, все надо было переделывать, т.к. SAP поддерживал только часть огромного стандарта, наша либа — другую часть стандарта…
И так — всегда. А еще были разные подверсии IIS на машинах, проблемы в настройке AD (админ отказался читать наши рекомендации по интеграции со словами «там же все просто»)…
В общем, я ушел из корпоративного мира.
boblenin
06.05.2015 04:03У нас такой же ад. Аудиторы безопасники заставляют выключать браузерное кэширование на сервере (expires -1) мотивируя тем, что: «не безопасно». Так же запрет на HTTP GET по той же причине.
sebres Автор
06.05.2015 09:57+1Сочувствую… и таки да — гнать таких надо, да поганой метлой…
boblenin
06.05.2015 15:04Самое веселое, что это не наши сотрудники. Это компания аудитор, которую нам навязала одна из компаний учередителей. Вообще то, что в статье пишут — горькая правда. Куча велосипедов появляется из-за причин, которые совсем не являются техническими.
navion
14.05.2015 22:48Не избавиться нам от антивирусов, Microsoft даже в Nano Server встроил антивирус.
teecat
16.05.2015 09:13+1Антивирусы будут, пока программисты будут писать с ошибками, делая уязвимости, менеджеры будут предпочитать быстрый выпуск качественному продукту, заказчики будут экономить на оценке качества и найме профессионалов, а юзеры хотеть халявы
amarao
В рамках иезуитства: запускать виртуалку с антивирусом, чтобы не мешал работать серверу. Есть ли запущенный антивирус на сервере? Есть. Мешает ли он работать? Нет.
sebres Автор
Спасибо за идею :), но думаю не прокатит — нигде не видел, чтобы виртуалки не приравнивались к компьютеру. Т.е. и на хосте антивир + на госте тоже антивир.
Единственное исключение для host-а насколько знаю — железо/платформа на которое не встает антивирус (типа vmware vsphere). Да и то чтобы такое поставить — часто нужно спецразрешение. Ну либо умудрятся найти какое-нибудь
безполезное«антивирусное решение» и для таких платформ.amarao
Ну вы же понимаете, что «виртуалка» это такое очень растяжимое понятие. qemu-x86 antivirus.img вполне выглядит как процесс в системе.
Если кого-то смущает виртуализация — использовать контейнеры, иные формы изоляции. Короче, если нужен процесс с именем «антивирус», то существует масса методов сделать его менее вредоносным.
sebres Автор
И меня смущает как физическое отсутствие прав на удаление процесса с именем «антивирус», так и возможная ответственность в случае если «удаление» последнего все же удастся (обойти-то можно все) а это обнаружится, и что-нибудь типа потерянные данные, имидж или репутация компании просто тупо спишется на того у кого он (антивирус) был выключен. :)
К сожалению, в таком случае можно не отделаться только лишь потерей работы. Иск на круглую сумму денег — тоже вероятный сценарий.
teecat
практика показывает, что наличие прав на отключение антивируса приводит к четкому заражению при атаке. в письме пишут — отключите — и отключают!
amarao
Ну это вопрос формализации того, что «антивирус работает». Если его засунуть в namespace, это «работает»? Работает. Отстаньте, мы улучшаем безопасность через изоляцию ПО.
sebres Автор
Так я вам не про то… Ну как бы это понятней.
Готовы вы, например в суде, доказывать, что ваша (прямо скажем спорная в смысле «антивирус работает») концепция не стала причиной «дыры в безопасности» и как следствие потери данных и т.д.
В общем технически я вижу кучу способов убрать его с серверов (в конце концов тот же описанный мной выше — убрать за NAT). Дело в том, что:
а) это не моя работа;
б) хотелось чтобы это было одобрено свыше (стандарт и не велосипед);
в) если предположить (а это так и есть), что единственный источник возникновения зловреда на сервере — с клиентского компа (ну изначально интернет, емайл, cd-usb, но все-равно через клиента), а на клиенте стоит тот же антивирус, а чаще еще и до него (типа webwasher на шлюзах наружу и по емайлам) — то смысла антивируса еще и на сервере нет вообще никакого.
От слова абсолютно!
navion
Для VMware есть вариант с безагентным антивирусом, позволяющий снизить нагрузку и уменьшить его влияние сами ВМ.
sebres Автор
Мог бы тут раздуть аргументированный ответ на полстраницы, но не буду…
Просто поверьте — ни этому, ни любому другому антивиру, нечего на сервере делать. От слова совсем.
Даже некоторые сервисы, иногда втыкаемые в «серверный» антивирус (типа расширения firewall-а, анализ логов, эвристика и т.д. и т.п.), в идеале должны выноситься на другую машину (говорим машину, подразумеваем железо).
Проведя аналогию с автомобилем (лучшей к сожалению не нашел): устроила бы вас машина, удовлетворяющая всем стандартам, но при этом затрачивающая больше половины своей мощности на проверку всех систем безопасности. Ну типа контроль всего и вся (от уровня износа и давления шин и контроля пристегнуты ли ремни безопасности до датчиков экологичности выхлопа) вместо штатных контроллеров, осуществлял бы непосредственно сам двигатель и коробка передач. И на каждый чих автомобиль натягивал бы ручник.
Глупость? Да, причем совершеннейшая. Только вот, имхо, устанавливая антивирус на сервер, они как раз этим и занимаются. И если современный CPU это худо-бедно переживет (распараллеливание), то остальная обвязка в этом смысле пока оставляет желать лучшего.
navion
Я сам не сторонник антивирусов и тоже сталкивался с узколобыми бузопасниками, но в общем случае выступлю скрорее за них, чем против.
А любые аргументы ничтожны, если они противоречат индустриальным стандартам — либо вы их внедряете, либо ищите себя в другой месте. При этом в PCI DSS 3.0 отношение к антивирусу более чем сдержанное, его требуют только на системах подверженных заражению с возможностью отключения при необходимости.
В качестве аналогии можно привести имунную систему, которая не является гарантией защиты от заражения, но существенно уменьшает его вероятность и помогает в лечении.
sebres Автор
И я кстати, видел немало компаний, где здравый смысл и правильное понимание «индустриальных стандартов» (нередко это вообще рекомендации) выгодно выигрывало над паранойей.
Эээ… Мы все еще говорим про антивирус на сервере? Тогда вопрос: это как это?
Только плз, начните меня убеждать с момента заражения (т.е. интересен сам момент возникновения и первичного «исполнения» зловреда на сервере). :)
Как я уже писал выше (см. п. в)) — если вирус с клиента (на котором тоже вроде как есть антивирус) то я могу себе представить появление зловреда на сервере, только если он будет собираться с клиента по кускам (причем на стороне самого сервера, иначе антивирус последнего клиента должен бы его обнаружить). Либо дыра на сервере, со всеми вытекающими.
Так вот, имхо, для этого либо сисадмин должен быть полным идиотом (тогда не спасет ничего, включая и антивирус на сервере), либо в каком-либо софте, используемом на сервере — дыра размером со вселенную. Про то, сколько звезд для этого должны сойтись в виде того «парада планет», я лучше промолчу. Ну и антивирус тоже вероятно идет лесом, например отключается через ту же дыру, или если вся надежда только на эвристику, поведенческий анализ и иже с ними — оно обходится настолько просто, что даже обсуждать не хочется.
navion
В общем. На сервере за IPS и AV-шлюзом проверять почти нечего, но это неплохой вариант защиты от 0-day «для бедных», когда патч ещё не вышел и/или не установлен, а черви уже сканируют сеть.
sebres Автор
Это очень плохой вариант «защиты» как-раз от 0-day, т.к. как раз эта область «заражения» по понятным причинам часто вообще не детектится антивирусом.
navion
Скорее мы говорим про разный 0-day — я имел ввиду известные уязвимости, а вы неизвестные :-)
teecat
В общем-то верно, но какая из систем сейчас не подвержена заражению? Проблема как раз обратная. Есть множество систем, куда нельзя поставится по причине системных требований — а защищать их нужно
teecat
Последние новости из Екатеринбурга вас не порадуют. Схема внедрения включала проникновения на сервера с ранее зараженных клиентских машин и уже потом внедрение на интересующие участки сети. Это рассказывалось на последней конференции с участием представителей отдела К
Забегая вперед. Да, я тоже считаю, что средства ограничения доступа должны быть. Но реальность такова, что и их обходят. По разным причинам. Например по причине неверных настроек.
А вирусы для автомашин уже есть. Концепты правда. Что будет в будущем — кто знает
sebres Автор
Ну и вероятность того, что даже заточенный под хост антивирус, находясь на сервере, поправил бы ситуацию, настолько мала, что в пору микроскоп расчехлять.
И думается мне, что вероятность того, что в той сети что-то было «настроено» неправильно просто чудовищно огромна. ;)
teecat
Вопрос не в пропуске — как ни грусти, но для антивируса при целевой атаке это нормально. Вопрос в возможности лечения ранее пропущенного. Если на рабочих станциях все пролечится при обновлении, то сервер останется зараженным
sebres Автор
В любом случае — я такой системе безопасности даже шнурки гладить не доверил бы…
В общем и целом если на «настроенный» сервер, что-то таким образом просочилось, то грош — цена такому админу.
teecat
Какой компонент пролечиться зависит от того, попало к нам на анализ. Может все, а может и часть.
А вот по поводу админов я бы не был столь категоричен по поводу, что виновны только они:
— малый бизнес и большая часть среднего — у них денег вообще нет, а уж на действительно хорошего админа…
— гос предприятия, оборонка и тд — при их ставках удивительно, что там вообще кто работает в той же Москве
teecat
Крайне не уверен, что такой антивирус может перехватывать пропущенные (уже активные) инфекции. Сколько кого не спрашивал — все молчат. Плюс Евгений Касперский очень ругал этот подход
navion
Ему бы своё QA поругать — при таком низком качестве релизов выбора не остаётся.
sebres Автор
Ну тогда попробую я не «промолчать»:
на форумах определенного содержания курсируют упорные слухи, что защита типа «endpoint protection» просто подарок для хакера. Смысл заключается в том, что нередко там, где такую штуку установили, админы находятся в полной «нирване», ну т.е. тупо — расслабуха (логи не читаем, ничего не проверяем, никуда не заглядываем и т.д. и т.п.) — ведь есть панацея от всего.
Единственное за что ее там ругают, найденный и пофикшенный 0-day нередко прикрывается очень быстро.
Так вот, имхо, это все же не «защита», а что-то типа платной подписки на «своевременное» закрытие найденных дыр. Что, опять же имхо, за пару минут скриптом реализуется.
Хотя ведь люди могут ошибаться и это действительно «молочно-шерстяная свинья-несушка с преферансом и девочками», aka панацея от всего и вся:)
teecat
Как сказать. Подарок само отношение к антивирусу, как к средству, которое должно ловить все. То есть в большинстве случаев, если уж купили антивирус, то все. Проблема защиты от заражения считается закрытой. Именно поэтому такие защиты, где антивирус даже не настроен, и есть подарок.
Подарок это мифы, которыми живут такие пользователи и те продавцы, которые ничего не понимая в защите (а откуда им понимать, если на эту тему нет ни одного стандарта или закона?) продали антивирус. Сколько процентов входящих запросов на антивирус переубеждают в необходимости организации правильной зашиты — лучше не думать
sebres Автор
Отношение к антивирусу чайника != отношению к антивирусу сисадмина. Упор в моем комментарии выше был на слово «расслабуха».
А что думают продавцы про свой антивирус, должно как минимум под толстым-толстым увеличительным стеклом рассматриваться. Все дело в том, что на программу максимум, наличие антивируса не должно влиять никоим образом. Т.е. в остатке имеем — система теоретически может быть (имхо должна быть) самодостаточна безо всякого антивируса.
При этом я не против антивируса, как (иногда удобного) инструмента, но не больше. Или на клиенте, где усилия по нормальной защите либо неоправданно дороги, либо в силу других причин — не нужны (например грубо, заразился — откатились к чистому «бакапу»).
И это в идеальном мире, потому-как, то что продается сейчас в качестве антивируса — часто не стоит даже краски на коробке из под него.
teecat
>Отношение к антивирусу чайника != отношению к антивирусу сисадмина
Увы. По моему печальному опыту в большинстве случаев совпадает. И те и те абсолютно уверены в том, что хороший антивирус должен ловить все. И как ни странно, но в регионах количество правильно понимающего руководства куда больше, чем в центре
>то что продается сейчас в качестве антивируса — часто не стоит даже краски на коробке из под него.
Как ни ужасно, но это так. По моему мнению в мире осталось всего два антивируса…
dougrinch
Если не секрет, какие?
teecat
Боюсь это будет уже реклама :-)
На самом деле это достаточно просто вычисляется хотя бы по последнему тесту активных заражений, если ввести правки на методологию и принцип выбора семплов