Hacker News Digest

В сентябре 2012 года рассылка нового пароля для WiFi в Google вызвала каскадный сбой системы управления паролями. Система, рассчитанная на несколько администраторов, не выдержала трафика от тысяч сотрудников. Первичная реплика стала неработоспособной, вторичная — последовала её примеру. Инженер не знал, что для перезапуска требуется смарт-карта HSM, хранящаяся в сейфе. Коллеги в Австралии не смогли открыть сейф (комбинация была в недоступной системе), а в Калифорнии извлекли карту, но она вызвала ошибку. Даже вскрытие сейфа дрелью не помогло — проблема оказалась в неправильной установке карты. Инцидент иллюстрирует сложность создания систем, одновременно надёжных и безопасных.

Надёжность и безопасность требуют разных подходов к проектированию. Риски надёжности связаны с немотивированными сбоями (плохие обновления), тогда как угрозы безопасности исходят от противников, стремящихся использовать уязвимости. Системы надёжности часто "сбиваются в безопасное состояние" (электронный замок открывается при отключении питания), что создаёт брешь в безопасности. В то же время избыточность, повышающая надёжность, увеличивает поверхность атак. Управление инцидентами также различается: для надёжности важны мнения разных специалистов, а для безопасности — ограничение круга лиц, способных устранить проблему.