tsv

12:01 am - о программистах в области ИБ

Как же меня достали конторы-разработчики софта. Не какого-то "софта вообще", а всякой хрени, связанной с "информационной безопасностью".
Складывается впечатление, что в эти конторы на должности программистов и руководителей проектов берут тех, кого в другие конторы не взяли из-за проф. непригодности.


Основная проблема - очень своеобразное понимание необходимых прав и "типовой конфигурации", в которой будет использоваться продукт. Если требуется запуск сервиса - то от DomainAdmin (я не шучу). Некоторые, правда, умеют обходиться LocalSystem'ом. В паре случаев сервис запускался от имени специальной учётной записи, но (см. ниже).


Практически каждый разработчик считает что его поделка имеет прямой выход в интернет, в крайнем случае - через NAT
Про наличие Proxy догадываются единицы. А про proxy с авторизацией - ... . 


Мысль о том, что для запуска сервиса от имени несистемной учётной записи требуются дополнительные полномочия, видимо посещала умы тех разработчиков, продукты которых я изучал или использовал. Но вот мысль о том, что такие права могут быть ограничены групповой политикой - такой мысли их не посещало точно. Как и мысли о том, что такую мелочь вполне можно отразить в виде сноски в документации.


Отдельные разработчики умудрились написать парсер XML-файла. Причём порядок атрибутов играл существенную роль - при одном порядке атрибутов он работал, при другом - падал. (сложность задачи для парсера сравнима с html --> txt)


Компании-разработчики периодически выпускают патчи (именно патчи, а не обновления сигнатур и т.д.). Кто-то раз в неделю, кто-то раз в две недели, кто-то раз в месяц. Некоторые выпускают патчи с принципиальной невозможностью откатиться (и таких "некоторых" намного больше одного). Если система в полной установке занимает пару гигов - можно и забить на это дело и backup'иться (сторонними средствами) хоть на DVD. Но когда база терабайт несколько и патчики меняют схему - ...


Кстати, про патчи.
Некоторая контора очень любит выпускать патчи. Патчи выпускаются почти вовремя, но вот объём доработок, которые туда включён, не всегда совпадает с тем что было обещано. Но я не об этом.
Вышел некий патч, назовём его patch3 (патчи кумулятивные). Вышел и был отозван через день (недоступен для скачивания и т.д.). Следующий патч (patch4) вышел ещё через 2-3 дня и решал те же проблемы, что и patch3, но при этом не создавал проблем, которые создавал patch3.
А потом вышел patch5, в котором описывалось что необходимо сделать если вы по каким-то причинам не ставили patch2.
А потом вышел patch7 (я очень удачно был послан в командировку), который тоже был отозван. Потом был выпущен fix для исправления ошибок, которые внёс patch7 и правильный patch7.
"И так у них всё " (с)


Контора-"мировой лидер по ...", существующая более 10 лет, вдруг (!) выяснила, что существуют локализованные версии OS Windows и там, оказывается, системные сообщения выводятся не на англ. языке.
С учётом того, что основные разработчики - индусы, это выглядит по крайней мере странно.


"Одна из ведущих российских компаний" тоже, кстати, не сразу выяснила, что группа "Administrators" в локализованной Windows XP называется иначе.


При работе одной системы с БД обнаружилась неприятная проблема - постоянно заканчивалось место в одном из табличных пространств. Несколько раз существенно увеличивал пространство - не помогает, со временем снова заполняется.
После пинков тех. поддержки выяснилась интересная вещь - растёт конкретная таблица, в которой собираются определённые события. Очистка данной таблицы не предусмотрена вообще. Т.е. совсем. Т.е. никак.
Ну и в документации, разумеется, ни слова о ...


"Ведущий мировой "и т.д. при работе с БД Oracle даже не предполагает, что бывают ситуации, когда на одной машине установлено больше одного инстанса Oracle.


"Ведущий мировой " и т.д. не умеет обрабатывать пароли (!) пользователей, если они содержат знак "$" или более одного символа "%", которые располагаются не подряд, а разделяются алфавитно-цифровыми символами.


При проверке некой OS Solaris на соответствие требованиям вдруг обнаружилось, что shell'ы бывают разные. И то, что работает в sh, почему-то не работает в csh (вот, блин, незадача). После непродолжительных разборок появилось доп. требование - "при проведении проверки у пользователя shell по умолчанию должен быть установлен в bash". Правда не удалось получить ответ "в просто sh или ksh вам хватит?"
К сожалению, моих мозгов не хватило чтобы понять глубину этого требования.
Что мешает проверять shell перед запуском команд?
Что, в конце концов, мешает запускать sh/ksh с нужными параметрами?

Чтобы запустить некий анализатор (например, для проверки удалённого MS-сервера на предмет наличия всех обновлений) необходимо иметь права локального администратора на машине, где запускается это "творение".


Ну, и по мелочи:
понадобилось тут отдельным разработчикам определить версию операционной системы Windows, используемой на удалённом хосте. Всё просто круто - WMI запрос, и вообще. Только какого-то хрена разработчики скопировали из MSDN тот пример, который асинхронный. Всё бы ничего, но ... ёпрст. Они, блин, задумывались хоть на секунду - какими существенно разными способами проходят синхронный и асинхронный WMI-запросы через межсетевой экран? Это ж какую дыру надо прорубать в FW чтобы отдельные ... "специалисты" узнали с какой именно OS Windows они работают.

Ну, на теме про DOS/Unix строки я подробно останавливаться не буду - настолько мелко и задолбало ...

Про открытие лог-файлов (собственных) в режиме Exclusive - ну что тут написать? Было, видел.

Одни замечательные люди держат свои данные в БД (бывает). И умеют генерировать по этим данным отчёты.
Но только в формате MHT (который html). Попытки добиться от "замечательных людей" генерации отчёта в XML или просто текстовом формате (!) к успеху не привели - они не могут. Как они смогли так "не смочь" - для меня до сих пор загадка.
Написал было парсер из их MHT а "наш" txt, так эти волки позорные "замечательные уважаемые люди" при следующем обновлении формат отчёта изменили.

Один разработчик обновил версию <чего надо> для работы под Solaris'ом. Рабочая версия была собрана SUN'овским компилятром и слинкована статически. Новая - скомпилирована динамически gcc 3.3, при этом libgcc не прилагался (кстати, давно вы видели программы, скомпилированные без -O ?).


Программа для Solaris 10 только (при запуске проверят uname) не умеет работать не в глобальной зоне. В документации, разумеется, ни слова про ...


Проверять наличие пользователя путём чтения и последующего парсинга /etc/passwd
Т.е. про LDAP/Nis+/Nis не знаем, про команду id не рассказывали.


Программа, запускаемая от root'а падает (segfault) когда не может создать файл. Изучение програмы в отладчике показало отсутствие каких-либо проверок (типа "root'у всё можно" ?) Видимо, про read-only файловые системы, DVD и NFS разработчики не догадывались.

Solaris, обычный пользователь ZZZ
файлы /etc/rc2.d/Sxxxxx, etc/rc3.d/Sxxxxxx являются symlink'ами на /etc/init.d/xxxxxx (пока нормально)
файл  /etc/init.d/xxxxxx  является symlink'ом на ~ZZZ/bin/startup_xxxxxx, владельцем каталога ~ZZZ/bin является ZZZ

---

Блин,
пора принимать закон и приравнивать ПО к нормальному товару - со сроком гарантии,
бесплатным исправлением ошибок, выявленных в гарантийный период (а не за отдельные деньги под названием "тех. поддержка")
и без всяких отмазок типа "AS IS".
Может быть ввести обязательную сертификацию ПО.

И "свободного ПО" это тоже должно касаться.



P.S. именно софт для "информационной безопасности" вызывает во мне столь резкое неприятие перечисленных выше проблем. Косяки в ядре Linux'а и в фриварных поделках на php задевают меня гораздо меньше.
До недавнего времени мне казалось, что разработке средств обеспечения/анализа информационной безопасности всё как-то более надёжно, что ли. Ибо здесь, всё-таки, учитывается "репутация компании-разработчика".
Ан нет, - "пиздеть - не мешки ворочать" "маркетинг + откаты - наше всё".

Начинаю чувствовать себя частью большой машины по наёбыванию заказчиков на тему информационной безопасности.


P.P.S. когда-то давно ходила в народе история, что на одном из заводов довольно долго выпускали много бракованной продукции. Так "в то время" этим делом КГБ занималось, благо завод (по слухам) имел отношение к оборонке.