Mærsk og deres vira...

Mærsk revolutionerede skibstransport da de satte computere til at styre deres skibe og containerne på dem.

Det var dengang "cloud computing" stadig blev kaldt for "en mainframe" og hvor en god "customer case" kunne føre til en bestyrelsespost i IBM.

Her i sommerferien har Mærsk haft virus problemer og det blev forholdsvist hurtigt store problemer, som det tog en større krig at komme til livs, faktisk har jeg ikke hørt en klarmelding endnu.

Der er mange dejlige ting ved at have et stort integreret miljø, man kan fyre en medarbejder og vide at han er ude af alle computere i et hug, man kan tage sin laptop med hvorhen i verden man vil og være online præcis som alle andre steder i verden osv.

At monokulturer er en dum ide, har vi vidst siden Morris-Ormen væltede alle VAX'er og Sun3 maskiner i 1988 og som en sysadm fra Dublin sagde: "Damn, we knew that already 100 years ago here in Ireland".

Mærsk har en ualmindelig kompetent IT-afdeling, valget af monokulturen er utvivlsomt lavet helt bevidst og håndteringen af problemet ser ud til at blive håndteret med al den nødvendige brutalitet.

Forhåbentlig udgiver Mærsk et white-paper til almindelig oplysning, med deres erfaringer.

Men uanset hvor hårdt man strammer skruen, kan man ikke sikre nogen platform, hverken WinTel, Linux eller Mac, hvis det er en monokultur.

WHO's største frygt er en pandemi der starter blandt sundhedspersonale eller som rammer disse særlig hårdt, for hvem skal så bekæmpe sygdommen ?

I én virksomhed jeg kender, har man taget konsekvensen af en oplevelse lidt i samme stil:

Alle kører Windows.

...Undtagen IT afdelingen, de kører Mac.

...Og sikkerhedsafdelingen der kører "a mix of UNIX-like operating systems".

Men de ved ikke om det virker: De har ikke haft problemer siden.

Ideen er dog hermed givet videre.

phk

Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Troels Arvin

Selvom det er skrevet med et glimt i øjet, synes jeg, at "Men de ved ikke om det virker" rammer plet:
I IT-verdenen er der meget langt mellem systematiske undersøgelser. Hvor kunne det fx. være godt for IT-menneskeden, hvis der fandes en dobbelt-blind, randomiseret og kontrolleret undersøgelse af, om antivirus-software overhovedet virker, under forskellige forhold. Eller om forcerede, hyppige password skift har sikkerhedsmæssig gevinst (eller det modsatte).

Bortset fra det - tilbage til homogeniteten:

For stor homogenitet ser jeg nogle gange i arkitekturer, hvor man har opdelt en løsning i et væld af (primært virtuelle) servere, angiveligt for at øge sikkerheden. Men hvis der her er tale om præcis samme operativsystemer (som antagelig har præcis samme svagheder), kan man argumentere for, at man primært har opnået forhøjet kompleksitet og måske endda lavere sikkerhed, fordi det ikke kan håndteres at holde alle serverne patch'de ordentligt.

En anden form for farlig homogenitet er, når man i store RAID systemer kun har diske fra én og samme leverandør, hvorfor man kan risikere, at diske fra en bestemt produktserie beslutter sig for at stå af med ubehagelig tætte intervaller.

  • 0
  • 0
Jesper Udby

PHK, det er jo nærmest genialt!

Hvis IT afdelingen kører Macs bliver de med næsten 100% sikkerhed ikke ramt af samme virus som resten af foretagenet.
Hvis serverne så kører linux/unix er der minimal risiko for at virus angreb spreder sig fra/til serverne.

Slet ikke tosset - det er da klart at anbefale (samt at undlade at placere serverrummene i kælderen).

  • 0
  • 0
Poul-Henning Kamp Blogger

En anden form for farlig homogenitet er, når man i store RAID systemer kun har diske fra én og samme leverandør[...]

Hvis vi breder emnet til den videre IT infrastruktur kommer vi ikke uden om 1+1 redundante linier med identiske routere, identiske disks fra samme batch i mirrors og den lille detalje med AT&T's telefoner d. 15 januar 1990.

(http://catless.ncl.ac.uk/Risks/9.63.html#subj3 for dem der er for unge)

Poul-Henning

  • 0
  • 0
Karsten Nyblad

Det er almindeligt, at have en firewall mellem web servere og internettet, og en firewall mellem webservere og det interne net, således at al trafik fra det interne net skal gennem to firewalls. Sørg for at disse firewalls kører forskelligt software, således at hackerne skal hacke sig igennem to forskellige forhindringer for at komme ind på det interne net. Det er heller ikke nogen god ide, hvis begge firewalls er baseret på den samme kodebase. Hvis den ene kører Linux, er det nok smart, hvis den anden kører et andet operativsystem.

  • 0
  • 0
Martin Bøgelund

Jesper Udby:

PHK, det er jo nærmest genialt!

Med al mulig respekt for PHKs genialitet, så er fremgangsmåden nærmere "oplagt" end "genial".

Vi ser tendensen i flere aspekter af tilværelsen.
http://ing.dk/artikel/99776-darwins-naturlige-udvaelgelse-fundet-for-lan...

I et idéhistorisk perspektiv er den nye genetiske analyse en vigtig bekræftelse af, at det ikke nødvendigvis er "de bedst tilpassede" individer, der overlever, men snarere den befolkningsgruppe, som har den største mangfoldighed og plasticitet til at tilpasse sig de gradvise forandringer i miljøet.

Eller den her, hvor en ukrudtsplante trives i en monokultur, fordi den ikke skal konkurrere med så mange andre plantetyper, pga dens resistens overfor RoundUp.
http://ing.dk/artikel/98557-usa-nyt-aggressivt-og-resistent-ukrudt-skrae...

De amerikanske gensplejsede bomulds- og sojabønneafgrøder er truet af en aggressiv ukrudtsplante, der går under navnet pigweed. Den er blevet resistent over for det populære ukrudtsmiddel Roundup, og kan nu tvinge landmændene til at opgive GM-afgrøder.

Diversitet og tilpasningsevne er alfa og omega for ovelevelse. Dinosaurerne uddøde, men skabninger med et andet "design" sikrede fortsat liv på jorden.

"Lægge alle æggene i én kurv"...

Vi ved det, og har vidst det længe: Spred risikoen vha. diverstet.

Desværre er der kortsigtede gevinster ved monokulturer. Man ignorerer de langsigtede ricisi ved monokulturer, og når så akilleshælen på monokulturen rammes, anstrenger de ansvarlige sig meget for at se forbavsede ud: Det var li'godt uheldigt!

  • 0
  • 0
Jonas Koch

er en genial ide, ikke sandt?

http://politiken.dk/tjek/digitalt/computer/article1028743.ece

samt

http://www.version2.dk/artikel/11049-apple-beskyldes-for-loegn-om-malwar...

...lad æble blive på den platform, de har så kær: DTP og "kreative mennesker". de vil tilsyneladende gerne betale de formuer, som æble vil have for deres udstyr, og som kun kan "snakke" med andet æble udstyr (ja arrogancen er stor...) - udstyr, som er tilsvarende noget billigere hvis det kommer med windows eller sågar linux. check selv specifikationerne på dette "fantastiske" æble udstyr hvis i er i tvivl... det er såmænd bare intel og nvidia chips (for at nævne cpu+gfx som eks.) som så mange andre også kører med.

  • 0
  • 0
Jesper Udby

Beklager at jeg blev grebet af begejstring og kom til at kaldet noget oplagt for genialt; jeg har i øvrigt aldrig påstået at PHK er genial.

Når det nu er så oplagt kan det undre at det ikke helt naturligt er implementeret de fleste steder.

Som med serverrum i kælderen - det ser man mange steder selvom det er en oplagt dårlig idé...
Problemet er sandsynligvis at man (i DK) ikke kan sætte arbejdere i kælderen, så det er forholdsvis dyrt at bruge gode kontorlokaler på øverste etage (hvor Officererne typisk sidder) til serverrum...

  • 0
  • 0
Morten Wegelbye Nissen

Jeg ved ikke hvor du har læst nogen hentydninger til det du skriver, bedste forklaring er at du ved en fejl har postet til den forkerte artikel.

Det er altså 03 for misforstået emne.

Det handler om at it-afdelingen skal bruge en anden platform end "folket" - sprede risikoen. Hvis alle mac'erne dør, køre de andre som de skal. Hvis de andre er ramt, kan IT arbejde på sagen på fungerende systemer.

  • 0
  • 0
Jakob Damkjær

Som ville være en super fed ide fra en virusforfatters synspunkt ide antivirusprogrammer til Unix og MacOS X er et område med mindre fokus end antivirusprogrammer til windows.

Derfor ville en transplatform virus kunne udnytte de maskiner eller smartphones der ikke er beskyttet af antivirus som en typhoid Mary (rask smittebære) så når resten af systemet bliver renset ud så går de i dvale i et par uger. Et heart beat system som får mobilvirusen til at gå i dvale når de kan mærke at deres artsfæller på hovedplatformen får tæv ville være et godt modtræk til en heterogen platform antiviral strategi.

Skulle vel ikke være så svært at inficere en mobil telefon hvis man angriber fra en rooted windows maskine, haps haps custom android eller iOS image og man er færdig.

Men en virus der har et specifikt forsvars strategi mod en heterogen antiviral strategi er vist ikke set endnu, men hvis man laver et dirigeret angreb mod en specifik virksomhed ville det være indenfor mulighedernes grænser. Som fx. snildt kunne betale sig hvis der er en virksomhed som Mærsk vi taler om.

Men heterogenitet ville gøre det til et sværere mål.

mvh
/Jakob

PS! Jonas, der er meget få folk her der ikke ved at Mac OS X er en MACH kerne med en BSD Unix ovenpå og at Macer i disse dage er PCere og alt i alt er det en god ting. Men før du fare i blækhuset med den historie om flest mulige sikkerheds huller, så skulle du måske ha læst den oprindelige artikkel og rapport (og ikke politikkens dummies verson) samt den kritik af den rapport som har været på nettet. Samt at der i den oprindelige rapport står at antallet af sikkerhedshuller ikke er nogen menignsgivende metrik for at vurdere hvor sikker et stykke software er).

Den anden artikkel du citere beskylder Apple for at reklamere med at der ikke er nogen Mac OS X vira (hvilket er en sand statement) men der findes malware til Mac OS X, men de kræver alle at du indtaster dit administrator password...

Artiklen hævder så at vira (som kan inficere din maskine uden du laver en bevidst handling) er det samme som malware (som kræver at du er uforsigtig og ikke rigtig tænker før du instalere et program du ikke ved hvad gør) i folkets øjne og derfor er Macer ikke uden sikkerheds risici... for det er en komputer med et OS der indeholder software og derfor vil det have sikkerheds huller (ligsom alle andre OS/hardware kombinationer).

Når du indtaster admin passwordet kan du også afinstalere antivirus og firewalls og du kan omgå alle sikkerheds procedure. Heldigvis findes der en enkel måde at omgå dette problem... ikke lade sine brugere være administratore.

At der så er nogen ondsindede programmer der virker på mac, når du indtaster et admin password er ikke noget som får nogen op af stolen fordi det er den magt som administrator passwords skal ha for at virke som administrator passwords.

Så dine argumenter for at der macen ikke er et relativt sikkert unix system er lidt hule. Desuden så prøv at sammenligne hvad et sammelingbart system med samme systembus og med komponenter af samme kvalitet koster... og så er prisforskellen ikke så stor længere. Men ja der er nogen pc producenter der sælger pcer der er super crap, men til gengæld er de rigtig billige.

Desuden hvis du fulgte lidt med så ville du være opmærksom på at macer også fås med ATI grafik kort og er af flere PC magasiner blevet kåret som de bedste pcere man kan købe for penge (ikke billigt crap men gode pcere).

  • 0
  • 0
Log ind eller Opret konto for at kommentere