google

  • Lokalus DNS domenas gali trukdyti „Kubernetes“ rasti išorinius adresus

    DNS vardų sistema yra labai svarbi bet kurios kompiuterinių tinklų sistemos dalis, įskaitant ir „Kubernetes“. Vidiniam tinklo adresų valdymui „Kubernetes“ naudoja „CoreDNS“ vardų sistemos serverį, kuris puikiai susitvarko su konteinerių tinklo sistemos ypatumais. Vienas jų - vidinių „Kubernetes“ tarnybų ir konteinerių adresų valdymas. Kiekvienas „Service“ tipo objektas „Kubernetes“ tinkle gauna savo DNS įrašą ir jį galima pasiekit tiek pirmojo lygio vardu: „serviso_vardas“, tiek antrojo: „serviso_vardas.vardu_sritis“, tiek ir „pilnu“ (FQDN vardo gale turi būti taškas) vardu: „serviso_vardas.vardu_sritis.svc.cluster.local“. Taip supaprastinamas „Kubernetes“ pritaikytų programinių sistemų kūrimas, nes pakanka žinoti sukurto serviso vardą ir programa galės naudotis tos tinklo tarnybos paslaugomis, nes „CoreDNS“ pasirūpins IP adreso suradimu ir bus galima užmegzti tinklo ryšį.

    Tačiau prireikus rasti išorinės sistemos IP adresą, pavyzdžiui, konteineriui prireikus atlikti paiešką „Google“ paieškos sistemoje, pasireiškia tinklo vardų radimo subtilybės. Gavęs „google.com“ užklausą, konteineris nieko nežino apie „Google“, nes jo požiūriu tai yra bandymas rasti „google“ „Service“ tipo objekto adresą, „com“ vardų srityje. Tik nepavykus rasti tokio įrašo visuose klasterio „search domains“ domenų aprašuose, ši užklausa bus siunčiama į išorinius DNS vardų serverius, vienas kurių gali būti vietinio tinklo DNS serveris. Ir štai čia vietinio tinklo DNS serveris gali „pakišti kiaulę“, įtraukdamas savo vietinio tinklo domeno, pavyzdžiui, „home.lan“ į „Kubernetes“ „search domains“ sąrašą. Nepavykus rasti „google.com“ „Kubernetes“ tinkle, suformuojama užklausa rasti „google.com.home.lan“ adresą. Savaime suprantama, kad namų tinkle tokio adreso nėra. Tačau užuot atsiuntusi „NXDOMAIN“ atsakymą, nurodantį, kad įrašo rasti nepavyko ir reikia bandyti toliau, t.y. ieškoti tikro išorinio adreso, tinklo maršrutizatoriaus „DNSMasq“ tarnyba kažkodėl gražindavo „NODATA“ atsakymą. Tai sutrikdydavo vardų paieškos bandymų seką, konteineris nebeieškodavo „google.com“ domeno, nuspręsdamas, kad toks vardas neegzistuoja.

    Tingintiems skaityti toliau - problemą pavyko išspręsti tinklo maršrutizatoriaus „DNSMasq“ programoje išjungus „Do not cache negative replies, e.g. for non existing domains“ nuostatą. Ją išjungus, „DNSMasq“ ėmė teisingai gražinti NXDOMAIN atsakymą ne tik neegzistuojantis.home.lan adresui, bet ir antro.lygio.home.lan ar google.com.home.lan adresams. Tiesa, gali būti, kad buvo kažkoks laikinas sutrikimas, nes dabar net ir įjungus šią nuostatą, DNS sistema gražina teisingą NXDOMAIN atsakymą. Na, o besidomintys DNS viduriais, gali skaityti toliau.

  • Populistai siekia įteisinti privalomą šifravimo sistemų apėjimą

    Enigma šifravimo mašinaEilinį kartą populistai politikai pasitelkia kokį nors populiarų dabartinių laikų baubą ir imituoja veiklą „mūsų pačių labui“. Šį sykį JAV, Didžiosios Britanijos, Prancūzijos ir dar keleto šalių politikieriai, prie vis labiau pradėjo šlietis dalis teisėsaugos atstovų, ėmė vis garsiau piktintis visuotinai prieinamomis patikimomis asmeninių duomenų šifravimo sistemomis. Jiems ypač užkliuvo „Apple“ ir „Google“ kompanijų sprendimas, naujose savo mobiliosiose operacinėse sistemose aktyvuoti pilną telefono duomenų šifravimą, be galimybės jį apeiti.

    Pasak kompanijų, jose naudojami patikimi šifravimo algoritmai, neleidžiantys perskaityti telefone saugomų duomenų, neturint dešifravimo rakto. Savo ruožtu tai reiškia, kad kol vartotojas kam nors neatskleis slaptažodžio, kuriuo galima dešifruoti duomenis, tol niekas negalės perskaityti telefono turinio. Apie techninių galimybių dešifruoti duomenis naujose „iOS“ sistemose nebuvimą „Apple“ kompanija yra paskelbusi viešai, taip atsiribodama nuo keblių situacijų, kai į kompaniją kreipdavosi teisėsauga, reikalaudama ištraukti kokio nors įtariamojo „iPhone“ ar „iPad“ įrenginio duomenis.

    Štai šioje vietoje politikai ir užčiuopė „aukso gyslą“ - paleisdami kakarynes, kad tokiu būdu „Apple“ ir „Google“ pataikauja nusikaltėliams ir „suriša rankas“ teisėsaugai. Nuo jų ėmė neatsilikti ir teisėsaugos atstovai, postringaudami, kaip šifravimas telefonuose visas teisėsaugos tarnybas nublokš į tamsiuosius amžius. Anot Čikagos polici jos departamento, po tokio „Apple“ sprendimo, „iPhone“ telefonai taps pedofilų pasirinkimu. Savo skiedalams patirštinti buvo pasitelkti iš kažkur ištraukti „faktai“, kad Prancūzijos teroro išpuolių organizatoriai išpuolio organizavimui naudojosi „PlayStation“ kompiuteriuose esančia žinučių programa, šifruojančia pranešimus ir taip sukliudžiusia teisėsaugai laiku išaiškinti teroristus.