vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

#170 Кибернетический Апокалипсис XXI

Дата публикации: 09.03.2004
Количество просмотров: 3998

Разное.

Король умер, за здравствует король. В смысле - вместо министерства связи теперь есть министерство транспорта и связи (полный текст указа президента можно прочитать тут). Плюс к этому появился довесок в виде Федерального агентства по связи и Федеральной службы надзора за связью. Т.е. "верхушке" отрасли предстоят средневеликие потрясения от разделения по трем углам.

Возможно, эффект от этой рокировки со временем докатится до обычных провайдеров. Хотя надеяться на изменения к лучшему сложно, но очень хочется, что бы операторы стали жить лучше, веселее, и сообщали о таких вот примерно характеристиках своих центральных узлов (часть show ver на новом коммутаторе Cisco прислали знакомые из Праги):

Last reset from power-on
X.25 software, Version 3.0.0.
Bridging software.
4 Ethernet/IEEE 802.3 interface(s)
1 Virtual Ethernet/IEEE 802.3 interface(s)
66 Gigabit Ethernet/IEEE 802.3 interface(s)
4 Ten Gigabit Ethernet/IEEE 802.3 interface(s)
1917K bytes of non-volatile configuration memory.
8192K bytes of packet buffer memory.
65536K bytes of Flash internal SIMM (Sector size 512K).
Configuration register is 0x2102

И что бы не думали Российские провайдеры, как сделать core на P4 и Linux. Впрочем, иногда кажется, что обратный отрыв (слово "отставание" звучит как-то слишком мягко) так велик, что преодолеть его не поможет никакое преобразование структуры власти. Да и раздели министерство хоть на десять частей - ничего в отрасли реально не изменится.

Потому что ее основа - фактическая монополия МРК "Связьинвест" на большую часть того, что на самом деле пригодно для оказания услуг связи. Все остальное можно рассматривать как недоработки системы управления этим монстром. К ним относится "чрезмерная" сговорчивость отдельных менеджеров филиалов и дочек, их же личные интересы, а так же слишком быстрое развитие технологий, за которыми монополист просто не успевает.

Вот провести бы разделение Связьинвеста по линии конкурентных услуг, и действительно монопольной физической инфраструктуры. Мечты, мечты...

 


Небольшая игра "найди десять отличий", которая была когда-то популярна в советских журналах (фото прислал Роман).

D-Link 900AP

Рядом лежат более чем известные D-Link 900AP+ diff B & C. Если бы не корпус - кто бы подумал, что это устройство имеет одно и то же название. Инженерам D-Link надо дать медаль за героическую адаптацию софта под разную схемотехнику... А пользователям перестать удивляться, почему этот радиобридж стал синонимом разнообразных глюков.

 


Поговорим о чем-либо более насущном и приятном. Например о пользователях, обычных, домашних.

Чем дальше, тем больше возможностей они получают для комфортной работы - и для не менее комфортного нанесения ущерба инфраструктуре передачи данных. Пользователь домашней сети, компьютер которого подключен к широкому каналу, превращается в настоящее бедствие для оператора. На которого обрушивается паразитный поток почты, вирусов, сканирование, и прочие напасти.

Особенно плохо, если создатели вируса рассчитывали на поток, которые может переварить компьютер американской домохозяйки, подключенной через cable к "среднему" (т.е. около 100 000 абонентов) местному провайдеру. Отечественные сети подобный трафик просто убивает, коммутаторы впадают в кататонию, отказывают слабенькие Cisco или Linux'ы.

Что делать с такой атакой? Первое, что напрашивается - зажать юзверя в ежовые рукавицы. Закрыть все порты (оставить http, ftp, да и хватит). Всем в приказном порядке продать и установить антивирусы. Обязать поставить фаервол, а лучше вообще передать администратору все пароли доступа к десктопам. :-)

Как это выглядит со стороны пользователя вполне художественно показал Алекс Экслер в своей статье Домовые и барабашки домашних интернетов. Т.е. выходом из ситуации это быть не может.

С другой стороны, есть сторонники действовать методами убеждения. Например Dmitry Saytchenko предлагает слегка доработать и раздавать под подпись правила пользования сетью. Какой-то эффект вероятно это даст даже при отсутствии механизма контроля и наказания, так что имеет смысл взять текст на вооружение. Однако на полное решение проблемы способ не претендует.

Впрочем, о ситуации гораздо лучше расскажет расположенная парой абзацев ниже статья, которую предоставил Алексей Павлюц, компания Ниеншанц. Название не обманет ожиданий.

 


А пока обновления разделов.

 

Кибернетический Апокалипсис XXI.

Автор статьи Алексей Павлюц, компания Ниеншанц.

"Было это давно, когда компьютеры были большими,
а программы маленькими, когда фильмы хранили на кассетах,
а данные на дискетах, и даже Первый Интернет
еще не только не разрушился, но даже не был создан..."
вступление к сказке недалекого будущего

Делать апокалипсические прогнозы - дело увлекательное и вполне надежное, ибо как говорил один из литературных героев Успенского - "ежели все время накаркивать беду, непременно угадаешь...". В то же время я питаю слабую надежду на то, что вовремя предсказанное событие можно предотвратить.

Итак, собственно пророчество: Интернет в том виде, в каком мы его знаем сейчас, нежизнеспособен. Роль "могильщика" сыграет именно то, с чем связывают надежды на его бурный расцвет. Широкополосный доступ.

В отличии от Св. Иоанна Богослова, который обрисовал печальное будущее не утруждая себя объяснениями почему, собственно, оно так будет и что делать тем, кто не входит в двенадцать колен израилевых, я все же хочу изложить несколько аргументов и поразмыслить о том как если не предотвратить, то отсрочить кончину этого столь любимого мною явления.

Для начала немного вспомним историю, но взглянем на нее под необычным углом, в разрезе соотношения количества и качества пользователей.

В начале всех начал это был исследовательский проект, и все пользователи сети были специалистами по ее функционированию, ее создателями и архитекторами. Дальнейшее развитие "вширь" происходило за счет одновременного снижения "качества" пользователя.

Настал момент, и гипертекст взорвал этот сгусток материи. Дальнейшее расширение новой вселенной пошло со скоростью света, в ее орбиты вовлекаются все новые и новые лица, все более далекие от технологий, а так же бизнес, который перехватывает инициативу и начинает определять вектор развития самой технологии.

Началась эра бизнес - Интернета. Полностью изменилась его суть, Интернет стал товаром, доступным каждому, кто в состоянии заплатить. Какое-то время цена была сдерживающим фактором, но бизнес хочет расширять рынок, он не может остановиться, конкуренция гонит цену вниз как гонит лемминга к обрыву одному ему ведомая сила. И вот, все новые и новые люди, уже не просто слабо понимающие, с чем они имеют дело, а вообще не понимающие этого, вливаются в ряды пользователей.

Таким образом, абстрагируясь от конкретных цифр в измерении того, что измерить нельзя, сформулируем основной закон развития Интернет:

"Количество квалификации в Интернет есть величина постоянная, в то время как количество пользователей непрерывно растет"

Естественно, мы имеем ввиду квалификацию только в той ее части, которая касается технологий Интернет, поскольку навыки газосварщика редко бывают полезны при установке IP адреса хоста.

Казалось бы, ну и что с того? Обычный процесс, технология идет в массы, мы это проходили уже тысячи раз, вот хотя бы электричество, тоже штука опасная в неумелых руках, а ведь ничего, пользуемся. И поражение током стоит где-то в конце списка причин гибели раньше срока. Оно так, но любой электрик расскажет Вам много интересного про то, сколько предусмотрено мер, чтобы сеть не убила пользователя, а неправильно работающий прибор не разрушил сеть. Эти механизмы взаимного обеспечения безопасности вырабатывались долгими годами и продолжают совершенствоваться и сегодня.

Сейчас мы пришли к ситуации, когда масштабы роста Интернет значительно опережают технологии именно в части безопасности. Проводя параллели, еще не выработаны Правила Устройства Электроустановок, Правила Техники Безопасности, ГОСТы и СНиПы, не придуманы автоматические выключатели, а мы уже втаскиваем провода в каждый дом и бросаем оголенные концы посреди комнаты - вот оно, пользуйтесь, освещайтесь и грейтесь, и будьте счастливы! Энергетические компании соревнуются между собою, кто сможет дать большую силу тока каждому клиенту и сделает это дешевле. Клиент с азартом выбирает, и лишь те, кто уже получил болезненный разряд, задаются вопросом: а как бы использовать эту штуку с меньшим вредом для здоровья?

Аналогия спорная, но близкая к действительности. И вывод номер два прост:

"Средняя квалификация пользователя Интернет недостаточна для сохранения собственной безопасности"

Еще было бы полбеды, если бы проблема была только в пользователях. Опять же, по аналогии каждый подключенный к электросети прибор становится ее частью, равно как и каждый компьютер становится частью Интернет. По сложившейся практике, сеть не защищена от действий пользователя, а пользователь защищен ровно настолько, насколько способен себя защитить. Отсюда еще один вывод:

"Фактически отсутствуют правила безопасности, обеспечивающие взаимную защиту сети и пользователя друг от друга, равно как и технические меры ее обеспечения"

Но вот вопрос: а причем здесь широкополосный доступ? Очень своевременный вопрос, но ответ на него все же отложим еще на минуту. А за это время констатируем несколько фактов, пусть даже повторяясь:

 

  1. Вычислительные мощности выросли до тех величин, когда большинство компьютеров способно обрабатывать потоки данных на скоростях в десятки мегабит в секунду. Или как минимум такие потоки генерировать;
  2. Операционные системы семейства Windows установлены на 98% десктопов, и это на практике означает, что большинство домашних компьютеров администрируют сами пользователи;
  3. Уязвимость системы обратно пропорциональна квалификации администратора;
  4. Квалификация большинства пользователей недостаточна для качественного администрирования;
  5. Ориентировочно, на январь месяц в мире существует около ста миллионов линий широкополосного доступа.

Итак, исходные предположения высказаны, большинство из них - несомненные аксиомы, некоторые могут быть оспорены, но без большой надежды на успех. Каждый фактор сам по себе не создает большой проблемы, а некоторые даже преподносятся как достижения индустрии в целом и отдельных фирм в частности.

Однако кумулятивный эффект поражает воображения. Мы имеем потенциальный ресурс - сто миллионов хостов, который может быть сравнительно легко прибран к рукам человеком, в котором глубина знаний не соседствует с высокой моралью. И каждый хост в состоянии генерировать трафик со скоростями от сотен килобит до десятков мегабит в секунду. Взяв среднюю цифру в один мегабит, мы получим сто миллионов мегабит в секунду трафика, которые эти хосты могут породить. Сто терабит в секунду, если я не ошибаюсь?

Даже одна сотая процента этой массы в состоянии сгенерировать поток данных больший, чем самый широкий магистральный канал существующей сети. И история инцидентов последнего времени полностью подтверждает мою правоту. Надо ли их все перечислять?

Пожалуй, самый яркий эпизод - это Slammer, которому удалось найти 38 тысяч уязвимых экземпляров MS SQL Serever, выставленных в Интернет. Особенность в том, что поражены оказались серверы и логично предположить, что они принадлежали вовсе не частным лицам, этот продукт требует администрирования соответствующего уровня. Если прибавить к этому факт, что заплатка для данной конкретной дыры была выпущена за полгода до атаки… Последнее, что надо отметить, что Slammer вызвал заметное падение производительности основных магистралей уже самим процессом своего распространения, несмотря на "всего" 38 тысяч пораженных хостов. Нужно совсем не иметь воображения, чтобы не испытать некоторой оторопи от произошедшего.

Однако Интернет живет. "Да, проблемы были" - говорят оптимисты - "но ведь это было недолго, запас прочности велик, разрабатываются новые решения и принимаются меры… Информирование пользователей… IP V6 решит многие проблемы…"

Возможно. Я отнюдь не утверждаю, что завтра Вы не увидите свой любимый сайт. Но вероятность реализации самого плохого сценария не только есть, она нарастает с каждым днем. Почему? Пожалуйста, вот мой ответ: Ни один из перечисленных факторов не имеет тенденции к ослаблению, напротив, они усиливаются.

Ожидать значительного улучшения квалификации пользователей не приходится, более того, по мере увеличения доступности Интернет она будет продолжать снижаться. Мощность компьютеров продолжит расти, а Microsoft с ее сомнительной продуктовой политикой будет доминировать на рынке в обозримом будущем. Количество же широкополосных подключений будет расти колоссальными темпами, и по прогнозам, мы довольно скоро увидим цифру 300 миллионов. Кумулятивный эффект нарастает.

Так что же делать? Работать над проблемами. Ослаблять указанные факторы, образовывать пользователей. Создавать нормативную базу и технические механизмы безопасности, своего рода "автоматы", спасающие сеть от разрушительного воздействия ее отдельной, малой части. И это проблема каждого, кто подключен к Интернет и хочет им пользоваться. Не надейтесь отсидеться за своими грамотно отстроенными межсетевыми экранами - они не помогут, Вам просто не к чему будет подключаться. И тем более это проблема тех, для кого Интернет - это бизнес и основной источник дохода.

Многие могут со мною не согласится, но провайдерам придется сыграть ключевую роль в "отмене Апокалипсиса". Рано или поздно придется взять на себя и полную ответственность за действия своих абонентов, и контроль над ними, и их защиту, просто чтобы сохранить свой бизнес.

По поводу ответственности в теории уже все сделано, пишите письма на abuse и другие адреса, и ждите ответа, в редких случаях Вы его получите. С контролем и защитой - сложнее.

Итак, контроль. В настоящее время контроль сводится к весьма сомнительным с точки зрения действующего законодательства "нормам пользования сетью" OFISP, и угрозой отключения в случае их нарушения, этакое локальное правосудие в одностороннем порядке, не более чем оргмеры постфактум.

Все громче раздаются голоса, требующие ввести законодательно требования к минимальной квалификации пользователей для работы в Интернет, кое-где даже пишут по этому поводу законопроекты. Опять проводя аналогию, всем предлагается организованно получать группу допуска к работе на электроустановках, в противном случае про микроволновку забудь и разводи костер. И уже чувствуется за спиной жаркое дыхание Государственной Интернет Инспекции, готовой лишить прав доступа на полгода за движение с недозволенной скоростью по апстрим полосе широкополосного соединения. Мне кажется, это тупиковый путь уже хотя бы потому, что Интернет есть явление глобальное, трудно регулируемое законодательством одной страны.

Теперь о защите. Наиболее популярной мерой защиты является операторский NAT - тут двух зайцев одним махом, и защитили и адресное пространство сэкономили, а кому не нравится - плати по 5 долларов за публичный IP. Опять же, деньги. Однако я бы все же сказал что это полумеры. NAT спасает от топорной, прямой атаки и кучи потенциальных проблем, но и оставляет проблем не меньшую кучу. Это нельзя назвать сколько ни будь комплексным подходом.

Отсюда следующий вывод:

"Существующая модель бизнеса большинства провайдеров основана на продаже транспорта (полосы, порта, мегабайт), что делает их абсолютно незаинтересованными в безопасности пользователей"

Давайте рассмотрим, что бы могли дать провайдеры широкополосному пользователю в качестве "дополнительных услуг":

 

  • Персональный межсетевой экран во всей его красе - пользователи отнюдь не однородная масса, среди них есть и профессионалы ИТ и люди, вообще никак с ИТ не связанные. Поэтому необходим механизм не общесетевого уровня, а настраиваемый под конкретного пользователя. Если на любой сети с 1000 абонентов закрыть все исходящие порты кроме HTTP/S, SMPT, POP, ICQ и еще нескольких приложений, а входящие соединения закрыть вообще, то заметят это дай Бог десятка полтора-два абонентов. Но и о них надо думать, поэтому оптимально - если пользователь может сам определить уровень защиты, не напрягая для этого техподдержку оператора, а использование услуги будет автоматом включено ему в счет.
  • Антивирусная и спам - фильтрация. Опять же, по желанию пользователя, без перегибов и тотальной перлюстрации почты.
  • Фильтрация контента. У меня, например, дети. А сам я не любитель ХХХ сайтов, так что закройте их от меня навсегда, я только рад буду. Особенно если мне надо будет для этого всего-то зайти на веб-страницу и пометить, что можно, а что нельзя.

Для начала это все, хотя пытливый ум может придумать еще немало полезных вещей, которые провайдеры могли бы предложить в дополнение к мегабайтам.

Это был вид со стороны пользователя. На что же это похоже со стороны провайдера? Как это сделать? И возможно ли?

Возможно. Ничто не ново под луною и индустрия уже поработала в этом направлении. Для примера возьмем Nortel Shasta Broadband Service Node и связанные с ним приложения, которые все описанное выше и реализуют, плюс еще много чего. Дабы не утомлять читателя техническими деталями, сделаем пометку в личном плане "опубликовать обзор решений" и отошлем нетерпеливых к первоисточнику. Отметим только что предлагаемый там путь это не столько решение проблем безопасности, сколько решение более общей проблемы перехода от продажи мегабайт к продаже сервисов или, в другой формулировке, "как заработать на широкополоске в условиях постоянно дешевеющего трафика".

Упомянутое выше решение, возможно, не идеальный, но интересный вариант, и здесь время поговорить о другой стороне дела, об экономике. Ведь сколько не выкрикивай пламенных призывов, коммерческие организации будут идти на поводу у рынка и удовлетворять платежеспособный спрос. Самое время задаться вопросом: а готовы ли пользователи платить за сервис? Сколько стоит безопасность? Почем отсутствие вирусов? Заплатит ли пользователь за то, что его дети будут ограждены от ресурсов сомнительной направленности? Согласится ли он иметь скидку с платежа за то, что в получаемые им HTML страницы провайдер будет врезать рекламу? Сколько он готов заплатить за доступ к игровым серверам?

Как ни странно, именно ответы на эти вопросы предопределят будущее глобального Интернета, причем мнение российских абонентов - это капля в мировом широкополосном море. Для Российских провайдеров безопасность пользователей - это пока еще не проблема ввиду мизерного по численности числа широкополосных абонентов, их этот вопрос скорее должен интересовать с точки зрения получения дополнительного дохода.

Торговля каналами и мегабайтами становится все менее прибыльной, растет паразитный, никем не оплачиваемый трафик, который по данным аналитиков уже сейчас составляет от 2 до 12%, растут расходы на поддержание сети, разбор инцидентов и рассмотрения жалоб. И если в обозримом будущем не состоится переход от торговли полосой к торговле сервисами, и, как следствие, Сеть не станет более безопасной, то нас ожидают большие потрясения. Просто однажды утром Вы не сможете просмотреть свой любимый сайт по той простой причине, что большинство магистральных каналов будут забиты трафиком, порожденным миллионами копий программы, длиною в несколько сотен байт. Тысячи корпоративных сетей, сделанных по технологии VPN развалятся на части, а работа этих компаний будет фактически парализована. А биллинг оператора, смачно хрустя, будет по привычке подсчитывать байты ненужных Вам пакетов, засыпающих Ваш компьютер.

Маленький электронный Апокалипсис настал. Поднимите трубку и позвоните родителям, друзьям, езжайте к ним в гости. Теперь у Вас найдется время для этого.

Небольшое послесловие:

в основном материал был написан до выхода на CNews статьи "Январское цунами ИТ-преступности", а потом и других материалов подобной тематики. Я так полагаю, что мы просто каждый по своему почувствовали всплеск активности всякой Интернет - заразы. Материал CNews - это еще одна констатация проявления нехорошей тенденции. Отнеситесь к ней серьезно!

День рождения админа.

Фото прислал Andrew.

День рождения админа

Надеюсь это послужит некоторым развлечением после длинного текста... ;-)

Анонс

 

  • Как обычно, зарисовки узлов разных провайдеров.
  • Еще один способ бороться с вирусами (в этот обзор не поместился);
  • Антенны Нижнего Новгорода, Парижа, Петербурга и Риги, а так же рассказ, почему некоторые антенны лучше работают "вверх ногами";
  • В галерее репортаж о протяжке линка на 176 метров, с использованием ЭликсКабеля, или 200-от метрового пролета в сети ОктопусНет (Владивосток).
  • Сети учебных заведений в Германии;
  • Традиционный пункт - ссылки на интересные места Сети. Присылайте письма - они очень нужны для обзоров. Обязательно сообщайте, нужна ли Ваша подпись, ссылка, или лучше обойтись без нее;
  • В "ужастиках" - коммутаторов гроздья пушистые (фото Hinter).
От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/articles/reviews/16648/kiberneticheskiy-apokalipsis-xxi.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться