Názory k článku
Slovenský poslanec vyřadil na týden celý parlament zapojením síťového kabelu

Položil jsem si otázku zda je to vůbec možné. Rack se switchem jsi viděl i na záchodě u benzínové pumpy, ale vždy byl vybaven alespoň zámečkem, to zda je zamknutý mě nenapadlo zkoušet. Na přelomu tisíciletí jsem ještě pískal modemem, nebo přesněji přecházel na WiFi místního poskytovatele. Na druhou stranu jeden optickým kabel mezi Cernem a Itálií kdysi také vědcům zamotal hlavu. Ale i tak mě to vážně překvapilo. Čekal bych, že třeba bude provozovaná nová infrastruktura vedle té původní historické, ale že dojde k něčemu podobně rozsáhlému?

On tu smyčku udělal mezi dvěma veřejně přístupnými zásuvkami v zasedačce. Nejspíš tam ležel volný konec kabelu pro připojení laptopu a zároveň byla poblíž prázdná zásuvka.

Mě spíš fascinuje, že to shodilo celou síť.

Me to zas tak nefascinuje. To jsme zazili v davnych casech i u nas... A jestli jim to tam na tom Slovensku "pry" dvacet let bezelo a nikdo na to (asi) moc nesahnul... tak se to spis i dalo cekat - a je spise maly zazrak, ze prezili az doted...

A kdyz jsem za svuj zivot parkrat prisel s konfiguracemi boxu dodanych za tezky peniz do verejneho sektoru, tak to bys obcas zvracel. Vychozi konfigurace, jen nastavena access VLAN... obcas se nasel nekdo osviceny a i STP edge port nastavil (a nekdy ani to ne). Kdo by ztracel cas s nejakou bezpecnosti...

Tak vytvoření smyčky typicky zničí celý switchovaný segment, ne?

Taky už jsem to samozřejmě jednou udělal a v první chvíli jsem nevěděl co se děje -- projevovalo se to tak, že najednou mezi některými počítači „to chodilo divně“ (pomalu, packet loss, a ještě k tomu třeba pár sekund ano a pár sekund ne) a na některých počítačích byl 100% CPU usage v kernel mode (protože to způsobilo UDP storm z malých paketů, které se musely zpracovávat a zahazovat).

Samozřejmě je neomluvitelné že jim to trvalo vyřešit, že prohlašovali že je to kybernetický útok, že mají tak velký segment a že nemají switche co to umí detekovat/řešit (STP).

3. 11. 2022, 12:01 editováno autorem komentáře

Ja som bol obetou rovnakeho utoku, kedze nejaka chytra hlava spravila to iste (prepojila visiaci kabel s druhou zasuvkou), moja nasledne tiez potom nefungovala.

Ked nemali taku elementarnu vec ako bpdu guard, tak nemozme prepdokladat, ze mali control plane protection, takze im to tie zastarale zariadenia vyhulilo na 100 %. A kedze vtedy sa na ne neda prihlasit, tak museli obehnut vsetky volne pristupne zasuvky a zistit kde je problem. Samozrejme je jasne. zenemali monitoring, ci centralny syslog, kde by mohli rychlo ziskat nejake relevantne info.

U nás se to taky stalo. Správa sítě byla v rámci korporátní skvělosti oursourcovaná do jiné firmy (samozřejmě patřící do stejného koncernu, takže nešlo vybrat jinou firmu a musely se tyto služby nakupovat od této firmy, na kterou nebyly žádné páky, když bylo potřeba něco zařídit), takže musel někdo přijet (naštěstí ne z Indie). Ale co mně utkvělo v paměti byl následný mail od vedení, ve kterém bylo kromě popisu problému a vysvětlení, že to fakt nemáme dělat, ještě zmíněno, že pán z externí firmy byl velmi rozezlen, že musel jet přes půl Brna k zákazníkovi řešit takový problém. (Nebylo rozezleno naše vedení, ale chudák technik, který musel dělat svoji práci u zlého zákazníka :-) )

Vedení čekající na důchod je radost... Hlavně směrem nahoru nedělat žádné vlny...

A že jim trvalo týden zjistit čím to je, to je docela síla.
Logicky když něco nejde, odpojuji jednotlivé větve až to začne fungovat.
Že by výměna sítě přišla na 25 miliónů EUR je pěkný blábol. To se zase někdo napakuje.

3. 11. 2022, 08:32 editováno autorem komentáře

hele, přestala jim fungovat síť, sítím nerozuměli, hledali vnější příčinu. Zacyklení v sítí se projevu tak nějak, že občas nějaký packet projde, takže to spíše vypadá na zahlcení z venku a když nemáš vlastní systém pod kontrolou...

Mě spíše překvapuje opět ta vysoká cena. 25m EUR za novou síť? Proboha, co tam vše kupují? Za tu cenu vybuduji malé DC nebo natáhnu optiku po půl republice.

Vybudování sítí v pobočkách firem u kritické infrastruktury se pohybují do 1m EUR, zpravidla mnohem méně, záleží kolik je nezávislých větvých. Tady si nedokážu představit, co v SK parlamentu mají za síťování, že to je tak drahé.

Jistě ale měli odbornou firmu, co se jim o to měla starat.
A pokud mám záhadný DOS útok, tak první co udělám je zkusím síť odpojit od internetu, jestli to pomůže. Pokud nepomůže, útočník z venku to opravdu nebude a nejpravděpodobněji je to nějaký chybná konfigurace nebo zblázněné zařízení v lokální síti.
Jako že by s tím strávili den, bych chápal. Ale týden je prostě moc.

Tak s tým týždňom znefunkčnenia parlamentu to treba trochu ozrejmiť: na príčinu výpadku prišli už na druhý deň, ale pretože pôvodne predpokladali kybernetický útok a jeho odstránenie za dlhší čas, tak už si medzitým odhlasovali posun schôdze o týždeň. No a pre obnovenie činnosti hneď na druhý deň už potom "chýbala politická vôľa" ...
Čo samozrejme nič nemení na tom, že o techniku sa im tam zodpovední nestarali poriadne a nastavené zabezpečenie je nedostatočné. Pretože ak niekto vidí pred sebou na stole voľný koniec dátového kábla a počas rozhovoru ho mimovoľne zastrčí do voľnej dátovej zásuvky pred sebou - to sa stať fakt môže. Veď koľkí sa počas telefonátov bežne hrajú s perom, či inak zamestnávajú voľnú ruku? ...
25 mega € za novú sieť je celkom dosť - rád by som vedel, čo všetko v tom má byť zahrnuté. Lebo ak aj full support na 25 rokov a RTO 30 minút, tak by to mohlo byť ...

Takze switchovaci ASIC cipy s otevrenou speckou by vyrabeli v Roznove pod Radhostem a zaplatilo by to i vyvoj?

Oni argumentú, že celé je to prepojene s nejakým legacy software, ktorý zaisťuje celý legislatívny proces. Osobne neviem, čo im môže brániť v tom, aby sa do legacy software spravili otvorené rozhrania a postupne to nahradili in-house opensource riešením. Robí sa to bežne, ale v parlamente niekto asi nutne potrebuje nutne peniaze na nové bavoráky.

Zistovanie trvalo menej. Ked sa zistilo ze im nieco nejde, tak naplanovali dalsiu schodzu za 6 dni. To bolo v stvrtok doobeda. V piatok uz niektori hlasili, ze to mozno nebolo utokom a v pondelok uz sa vedelo, cim to je.

Preplanovat schodzu zase nie je len tak.

A nakoniec: statny zamestnanec v IT zaraba okolo 1200 eur v hrubom. Nenadrie sa. Prijimacie konanie obsahuje test znalosti zakonov, kde musi dosiahnut isty pocet bodov - aj keby bol jediny uchadzac. Teda je jedno, kam sa clovek hlasi - uradnicka za okienkom potrebuje rovnake znalosti ako statny sysadmin.

Boli komunálne voľby a niektorí poslanci parlamentu v nich kandidovali. Potrebovali dôvod na vypadnutie z parlamentu. Preto sa to "riešilo" tak dlho.

Na obranu se slusi rict ze oni tam chteji vymenit vsecho zgruntu vcetne hlasovaciho zarizeni a SW ktery zpracovava agentu parlamentu. A jiste nejake penize navic pro kamarady tam budou take.

3. 11. 2022, 10:42 editováno autorem komentáře

Něco podobného se mi kdysi v minulém století povedlo první den na brigádě, kdy jsem koax vrazil do síťovky bez T...

Ale asi jen na pět minut.

Uživatelé si chtěli rozšířit koaxialní segment po velké kanceláři a udělali to stylem vodovod. Téčko, z něj dva kabely, na jeho koncích zase téčka, ... nechodilo to.

Tak asi spatne konektory, protoze tohle chodilo. Ano, nemelo se to delat, ale videl jsem site, kde to bylo rozteckovane ze sitovky treba tremi tecky (takze 5 koncu) a fungovalo to

Fungovalo treba pul segmentu a pul ne. Zalezi kam ten odraz dosel. Fakt ze jste poslali nekomu zpravu pres icq jeste nemusel znamenat ze "to funguje".

Takto byly delany rozvody na kolejich. Po rebuildu na UTP nikdo nerekl ani dekuju ze jste se s tim tentovali. A kolej s konektivitou jsem nedostal - muselo se smelit a uplacet.

Bylo jednodussi najit si privat s kabelovkou.

A kolej s konektivitou jsem nedostal - muselo se smelit a uplacet.

V každé době jsou nějaké problémy. Já jsem slyšel z vyprávění, jak studenti na koleji museli shánět uhlí do kamen, aby jim při učení nebylo zima.

Takisto minulé storočie (tisícročie): Fakulta Elektrotechniky a Informatiky STU Bratislava. Nejaký blb znefunkčnil celú vetvu (jedno poschodie) tým, že ukradol terminátor. Nasrdení admini, ale aj my študenti, čo sme nemohli na cvikách robiť, čo bolo treba. Pamätám si, že nejaký čas som potom nosil náhradný terminátor v peňaženke (ako štvrták som robil cvičiaceho, tak pre prípad, keby sa to zopakovalo).
To boli časy...

5. 11. 2022, 08:12 editováno autorem komentáře

Bylo by tam potřeba vyměnit celé vedení :-)

To je nám jasné, však už boli dve petície na vypísanie referenda o predčasných voľbách ;)

No, nekdo tu uz psal, ze to chteji vzit z gruntu. To by potom vysvetlovalo tu cenu :-D

3. 11. 2022, 21:34 editováno autorem komentáře

Tohle už jsem ve firmě taky zažil. Nebo propojení dvou kvůli bezpečnosti odělených sítí v zasedačce, když se někdo nudil na mítingu a hrál si s kabelem, nebo připojení vlastního routeru s DHCP serverem, který pak náhodně přiděloval chybnou IP ostatním v síti.

čo k tomu dodať, slovenská klasika.

a pekne na tomto vidno to čo zvyknem hovoriť, ľudia len kecajú a špekulujú ale keď nato príde tak nevedia nič spraviť.

Take nechapu. Podobne aktivniho uzivatele site jsem zazil. Odhaleni problemu trvalo asi minutu. Zejmena proto, ze nemocna byla jen jedna jedina VLAN a cely zbytek site bezel dal.

Broadcast storm umi zabit CPUcko cely skatule... zvlast kdyz je rec o dvacet let starych skatulich (co tam pry maji)... a pak to obvykle nesejme jen jednu VLAN. Tehda se necpali do switchu x86_64 CPU jako dnes... ne nadarmo jsme rikali, ze tam jsou procesory do kalkulacek... :D

Neni pravda. U rizenych switchu se cast switchovanych paketu posila na CPU (a vesmes jejich kopie; neni to o tom, ze by CPU forwardovala), ale nejake pokrocilejsi "rozhodovani" ASIC proste neudela. Ono ne nadarmo maji "lepsi" switche nejake control-plane policery, kterymi se i tohle nejak omezuje...

Celou skatuli ano, celou sit ne. Tedy pokud ta VLAN neni ve vsech skatulich site. To by byla pro zasuvky koncovych uzivatelu chyba ne?
A krome toho se zapnutym SPT k tomu zasmyckovani ani nedojde (jeden z mnoha duvodu, proc na velkych sitich nepouzivat nemanagovane switche ani na konci, kde "nejsou potreba")

Priklad shozene cele site jsem daval vyse.
A ono se zapnutym STP problem muze vzniknout - staci, aby nejaky "chytrak" na porty strcil do konfigurace bpdufilter... ono vubec nastavit STP spravne v ramci cele site neni o tom, ze bouchnete do konfigurace jeden radek.

Před patnácti lety se mi toto povedlo - spletl jsem si kabely a vytvořil jsem smyčku. Do pěti minut za mnou došli síťaři a vytáhli daný kabel ze zásuvky. Šli na jistotu. Řekli nic hroznýho se nestalo, ale dávej si příště pozor.

Takže i s technologií 20 let starou, ale dobře nastavenou, se tomu dá předejít. Vše ostatní je výmluva neschopných IT a jejich vedení.

On to mohol byť celkom vítaný výpadok -- vládna koalícia nemala prítomných dostatočný počet poslancov aby schválili to, čo bolo na programe. Tak akákoľvek zámienka na preloženie schôdze bola dobrá, obzvlášť, keď tomu väčšina národa nerozumie.

On to mohol byť celkom vítaný výpadok
Prý nemohli ani zaplatit oběd kartou, náhoda? :-)

Něco podobného se nám v práci stalo, a ještě i jiné věci, co různě odstavily buď síť, nebo interní systém. Naposledy jeden zaměstnanec přinesl do skladu svůj router, aby "posílil wifinu", pak jsme měli v síti dva DHCP servery a bylo veselo.

Ale - když to byla nějaká opravdu trapná věc, nebo chyba někoho od nás z IT, tak se to pokaždé nadřízeným zaonačilo jako "hackerský útok" a podobně, a proto už žádným historkám o "útoku hackerů" v médiích vůbec nevěřím :)

V tom case byl pod utokem polsky sejm. Proto ta historka vypadala verohodne.

Takže někdo připojil PC se zaplým DHCP? Pro změnu?

"přinesl do skladu svůj router, aby "posílil wifinu", pak jsme měli v síti dva DHCP servery a bylo veselo"

To byl fakt takový vemeno, že to zapojil do portu na LAN straně?

Šťastný člověk, který se může takhle ptát... :-)
Ano. Jsou taková vemena. A je jich víc.

To v tom skladu nemeli switch podporující DHCP snooping?

To mi připomnělo jeden takový starý vtip:

- "Můj manžel zničil celou počítačovou síť!"
- "Váš manžel je hacker?"
- "Ne, debil!"

Kamarád mi kdysi vyprávěl historku, jak manžel majitelky firmy zapojil do UPS sekačku.

Áno, ak je dostupná voľná zásuvka z UPS, vždy sa niekto nájde čo do nich niečo zapojí:
- upratovačka zapojí vysávač
- obsluha si prikuruje infražiaričom pod nohy

Pre malé UPS, ktoré bývajú pri pracovných staniciach je to takmer vždy smrť.

Mám doma APC Back UPS 1400, ke které manželka jednou připojila žehličku. A před 14 dny jsem já k ní připojil klimatizaci v režimu odvlhčování, protože jsem si blb neuvědomil, že jsem si tu dříve nataženou prodlužku před nějakou dobou připojil za UPS, jelikož jsem tam potřeboval chvíli něco zálohovat.

UPS to zcela v pohodě přežila, pokaždé se jen přepnula do přemostění. A to u té žehličky jsem nebyl doma, takže se na to vyžehlilo celé prádlo, tedy 2,4kW zátěž při každém sepnutí termostatu.

Ono premosteni v line-interactive UPS je neco jako TURBO v PC.. funguje v negativni logice.

Prakticky to znamena pro tu UPS necco jako - ani nahodou se nepokousej prepnout na baterie a nech at si to ten blbec vyzere :P

(v klidovem stavu je UPS vzdy premostena, a ta indikace slouzi jen k tomu, ze se nebude prepinat na provoz z baterii)

Ještě před převratem jsme měli UPS 1000 VA, Tenkrát každou chvíli vypínali elektřinu, tak jsme na ní dovařovali vodu na kafe ponorným vařičem. Mimochodem, pořád je plně funkční, samozřejmě ne s původními akumulítory.

Mimochodem, pořád je plně funkční
Co je to za UPS? Zajímalo by mne, jestli by splnila současné limity pro elektromagnetické emise.

Vskutku před 1989?

Nicméně není to tak dávno, co jsem docela hodně starou UPS rozebíral. Hodila se mi plechová skříňka na něco jiného a zůstal mi z ní jeden krásný 100A bipolární dvojtranzistor (nikoli mosfet). Samozřejmě výstup z ní byl trapéz = obdélníky s mezerou jak z nejhnusnější čínské UPS dneska. Na klasickou žárovku a malý kávovar ok, ale nic citlivějšího bych k tomu raději nepřipojoval.

Btw... kolik měly ty ponorné odběr? Do 500W? Našel jsem 350W... to se i z malé 750VA UPS dá i z baterií :) Ne moc dlouho, ale dá.

Kdysi (cca '99?)jsem zažil něco podobnýho. V eventlogu každý den aspoň 3x havárie všech 3 počítačů v kanclu současně, po chvíli korektní start.
Jistič jim prý nepadal. Zároveň jsem věděl, že ty PCčka jsou na 1500VA UPS, takže to ukazovalo na přetížení.
Jako první se nabízela tiskárna, tehdy HPLJ3P, a to ve dvou kusech. Poslal jsem dokument, nic, Poslal jsem na obě tiskárny, a UPSka jela ani nemrkla.
Pak jeden povídá "jdu si dělat kafe, chceš taky?". Ukázalo se, že na druhým konci kanclu mají konev. Samozřejmě že k ní z červený zásuvky vedla prodlužka.
Ale konev sama to nedělala. Muselo se sejít zapnutí konve s tiskem na obou laserovkách. Pak to ale šlo naprosto spolehlivě.
Prodlužku jsem zabavil, konev zapojil zpátky do nezálohovaný zásuvky, a sprdnul je.
Obhajoba? "Ty počítače se vždycky proberou a nikdy problém nemají, ale kafe je potřeba, když je zrovna potřeba, a tanky přes to nejedou."

Zdejší knihovna působila v devadesátkách jako ISP vytáčeného připojení. Ředitel knihovny, který počítačům nerozuměl, odhalil hackerský útok. Jemu se ty blikající krabičky líbily a tak chodil postávat do serverovny a jen tak se kochal, jak to pěkně bliká. Při tom vypozoroval, že jeden z modemů bliká jinak a tak dal za úkol zjistit proč.

Oni těch modemů neměli moc a někdy byl problém se dovolat, když byly všechny linky obsazené. Tak se jim tam někdo naboural a nechal si tam běžet script, který spojení na jednom z modemů v pravidelných intervalech resetoval. Pak už stačilo jen ve správný čas na daný modem zavolat a po dobu připojení si pozastavit script, což dotyčný dělal.

To je len priemerná vzorka toho, čo tí komedianti v tom parlamente vystrájaju.... vôbec by som sa nečudoval, keby to bolo divadielko na výstavbu predraženej siete. Peniaze by inak nedostali....

jak v jednom komentari zvladnes plivnout na politiky zaroven, ze jsou moc hloupi a moc vychytrali... respect!

Byť hlúpy, čo sa týka IT a zároveň vychytralý v oblasti korupcie, sa predsa nevylučuje :-)

4. 11. 2022, 13:27 editováno autorem komentáře

vo vzorke 150 poslancov sa najdu oba extremy

Tomu sa hovorí aj neschopní a schopní všetkého ;)

V tom příspěvku nevidím slovo "hloupí" a ani žádný ekvivalent...

Vsem kteri se tu podivuji nad tak dlouhym vypadkem a znefunkcnenim site na tyden.

Je videt ze jste nikdy nepracovali ve statnim sektoru. Nevim jak na Slovensku, ale bude to obdobne jako u nas.

Inu zamestnanci pracují za almuznu, obvykle je to student po skole, ktery da par let v domneni ze si udelal praxi a pujde za lepsim. Tomu take odpovidaji vykony a pracovni nasazeni.

Pokud neco funguje a rekne se ze to je jiz staré/zastarale, tak to neni argument pro nakup noveho zarizeni. Dokud to dycha a pripadne spravce to stiha vcas ozivovat, tak se na to penize neuvolni.

Pokud je ta organizace fakt echt, tak si plati jeste drobny mesicni poplatek slouzici jako evidence IT firmy, ze by mela zvednout telefon. Jenze uz jen zvednuti telefonu je automaticky hodinova konzultace v taxe 1000Kc/h. Najete kikometry, cas technika apod, to jsou horentni sumy. Takze tomuto se snazi všichni vyvarovat.

Tedy chapu ze ten studak badal tyden, pak tedy zavolali nejaky outsourcing, ten prijel, postupne odpojoval v racku az problem odhalil. Nauctoval 10tisKc a jel zpět. Papalas si vyzadal hlaseni, to se dalo na stul s tim, ze prece neni vinik poslanec, nybrz (diky bohu) zastarala technika. Zase se zavolala firma, tak vymerila upgrade na 25Micku a bud to blbci vezmou nebo ne - stejne z nich kape jednou rocne, takze cena odpovida zhruba 10 letum vydelku.