Хех - опять про взлом паролей

Когда я делал доклад про пароли на PerlMova 2010, некоторые товарищи высказывали сомнение, что мол, врядли кто будет тратить пару тысяч долларов на комп с парой топовых графических карт чтобы взломать пароли от моего сайта.
Так вот, если кто не в курсе - Amazon EC2 теперь сдает в аренду машинки с GPU
22 GB of memory
33.5 EC2 Compute Units (2 x Intel Xeon X5570, quad-core “Nehalem” architecture)
2 x NVIDIA Tesla “Fermi” M2050 GPUs
1690 GB of instance storage
64-bit platform

СтОит это 2 доллара в час. Вот тут - http://stacksmashing.net/2010/11/15/cracking-in-the-cloud-amazons-new-ec2-gpu-instances/ - товарищ на таком инстансе взломал перебором кучку sha1 хешей 6-ти буквенных паролей за 49 минут, потратив на все про все порядка 5 долларов.
А теперь представьте что может сделать небольшой кластер из этих штук, причем за вполне себескромные деньги...

Таки сдал экзамен RHCE %)

Congratulations -- you are now certified as a Red Hat Certified Engineer!  

Your RHCE Certificate number is 805010583654224.

https://www.redhat.com/wapps/training/certification/verify.html?certNumber=805010583654224

Экзамен щас оказывается состоит из одной 3х часовой части, а не из двух, как раньше - траблшутинга меньше, настройки больше. Больше нескажу бо NDA :)

Но обработали оперативно - вчера сдал, сегодня результат. Результаты экзамена по BSD - BSDA - так до сих пор и не пришли например - хотя с другой стороны он и стОит в 5 раз дешевле %)

Эх... Слаб я для Гугля...

В понедельник имел телефонное интервью с Гуглом.
Нашли меня в Linkedin, прислали запрос - не интересно ли попробоваться на Unix Systems/Applications Administrator в EU Headquarters, Dublin, Ireland - попросили резюме - послал. Через пару дней запросили уточнение по скиллам - расписать что знаю, по шкале от 1 (когда то работал с этим) до 10 (написал книгу по этой теме - в прямом смысле). Расписал все честно -  degree in computer science не имеем, крутых алгоритмов наизусть не знаем, в С и плюсах слаб, Perl любим, в Unix/Linux administration шарим - отослал. Спросили про дату когда удобно провести интервью. Сказал - давайте в понедельник, выходной думаю - никто отвлекать не будет. Готовился, погуглил все по теме, нашел пару сайтов с примерами вопросов (в основном по теме собеседования на Google Site Reliable Engeneers - это покруче простого Systems/Applications Administrator будет). Ну и так освежил знания в памяти.
В понедельник ровно в назначенное время - звонок из Дублина. HR был добр и приветлив :) , но связь почему то была - просто капец. Приходилось переспрашивать некоторые вопросы по два раза - возможно из за этого подумали что туповат или недостаточно fluent в английском (я и так не то чтоб fluent но в техническом более-менее). Из 8 вопросов не ответил два - один не знал, и один затупил. :( Все заняло минут 10 отсилы и даже о оим впечатлениям оставило после себя тягостное впечатление. :)
Предчувствия меня не обманули - сегодня прислали стандартный бланк отказа - типа, вы классный чувак, но сейчас у нас нет подходящей для вас позиции ("we do not have a position that is a strong match with your qualifications at this time").
Не то что бы я надеялся что меня возьмут, или что дойду хотя бы до очного собеседования - но думал что хотя бы до первого технического собеседования с их инженером дойду - был бы очень интересный экспириенс. Эх. Но ничего - даже это было интересно. Если кто из админов хочет попробовать - велкам, народ еще требуется.

Опасайтесь, друзья-параноики...

бо на днях выпустили софтину Passware Kit Forensic ломающую TrueCrypt. Правда только если у вас есть firewire и вы оставили включенный комп с подмонтированными трукриптовскими дисками. :)
Пруф - http://www.net-security.org/secworld.php?id=9077
Всего $795
У кого нет Firewire и кто (как и рекомендуется) настроил Truecrypt размонтировать диски про локе компьютера - могут спать спокойно. :)

Битрикс - мдас...

Посмотрел на работе на Bitrix с точки зрения производительности и масштабирования. Мдас... Битрикс является классическим приложением с вертикальной архитектурой - один вебсервер и одна БД. В качестве фронтенда они уже используют nginx - это хорошо, но дальше все плохо - нельзя "разбросать" нагрузку на несколько бэкендов, нельзя никак балансировать нагрузку на БД (ни шардинга, ни примитивной балансировки на запись и чтение) - ни-че-го.
То есть заточено все под две большие "коробки" с кучей "мозгов" и CPU - одна под вебсервер, вторая под БД. Ясно теперь зачем они продвигают MSSQL и Oracle...
Также из плюсов является наличие готовой виртуалки с настроенной и оптимизированной средой. Поэтому а принципе, для средне-нагруженного проекта в качестве фронтенда использовать эту виртуалку, расположенную на ESXi, а базу вынести на отдельный сервер, причем серьезно прооптимизировать MySQL по рекомендациям Percona - зря чтоли на мастер-класс ходил. :)
В принципе для действительно серьезных нагрузок можно попробовать Tungsten
- но во первых это относительно новая технология, во вторых требующая приличного количества серверов. Да и напильником придется ее точить много похоже.
Хотя с точки много чего другого Битрикс понравился. Безопасность хорошо сделана - встроенный веб-файрволл (что то по типу mod_security), защита от перехвата сессий, от модификации файлов.
Правда не знаю насчет эффективности защиты и ее влияния на производительность - это надо будет еще щупать...