Мир сейчас гудит на тему бэкдора в xz, который чуть не проникла в дистрибутивы, в том числе в SSH пакет (проник даже - но только в testing/unstable). [Разбор бэкдора] (https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27) . Первое сообщение о нем
Так вот, бэкдор был обнаружен потому, что Andres Freund заметил, что SSH соединение стало устанавливаться примерно на полсекунды медленнее. Полсекунды. Это таже сложно определить, всегда можно списать на “А, показалось” или “да и хрен с ним”. Но он решил убедиться, перепроверить, разобраться, и, закапываясь все глубже, докопался до бэкдора! Мир спасен! Я не слишком преувеличиваю - бэкдор в ssh это ключ от всех дверей.
Это невозможно было бы сделать, если бы он был в режиме жесткого дедлайна, загружен срочной работой, которую нельзя отложить. Конечно, ради проблемы такого масштаба - наверное, многое можно отложить - но ведь никто не знал, что за масштаб. Когда он начинал копать, это было что-то вроде “кроворукие рукожопы испортили SSH в нестабильном дистрибутиве - ну ничего, починят”. Он начал тратить на это время тогда, когда это выглядело мелкой проблемой на полсекунды.
Вторая история очень давняя, на заре телефонии и IT, когда взлом телефонной компании обнаружили начав с расхождения в бухгалтерии на 1 цент. Возможно, эта история была с Кевином Митником, но может и с кем-то другим. Главное, что админ компании, который начал разбираться, копать - и в итоге докопался до очень важного и интересного факта (“да нас взломали!”) - разбирался с проблемой в 1 цент. А докапывался он долгое время, пытаясь разобраться и выследить хакера. Представьте себя на месте его начальника. Вы (с вашим широким взглядом, видя все поле боя с высокой горы) видите, что вас несмышленый админ увлекся мелкой технической проблемой. Админ хороший, высокооплачиваемый, каждая его минута стоит денег - а он уже месяц почти ничего полезного не делает, разбирается с тем, куда 1 цент пропал… Конечно, разумной выглядит идея вернуть его к более важным вещам, не стоит этот 1 цент таких разборов.
Вывод Наш мир действует не по правилам. Он хаотичен. Какая-то “правильная”, “освещенная”, “видимая” часть его - это лишь видимая часть, но далеко не весь мир. И иногда что-то очень интересное может находиться в тени. Может быть там какое-то счастье или какая-то опасность. Никто про это не подскажет, нигде это заранее не записано. Но единственный способ схватить эту удачу или защититься от этой угрозы - это пойти в этот темный лес самому, со своей инициативой, не зная, что там будет. Может быть просто потратите время зря (скорее всего). Однако, если никогда в этот темный лес не ходить, каждый день разменивая на стабильную небольшую видимую пользу, тогда мы во-первых точно никакой клад в этом сказочном лесу не найдем, а рано или поздно из этого леса выйдет что-то большое, страшное, волосатое с клыками и съест нас.