03 maggio 2010

Una frittata di fatti miei


Dopo quasi tre mesi dall'inizio del nuovo lavoro, magari è il caso di fare un po' il punto.

Intanto, per la prima volta lavoro direttamente per una banca, che è di proprietà di un'altra banca, che è di proprietà di altre due banche, le quali hanno fra gli azionisti, oltre al Tesoro inglese, la banca per cui lavoro, in un'orgia di rapporti di proprietà incrociati che fanno sembrare La ninfomane incestuosa un film per educande. Ma vabbe', non è un trauma - non dopo aver lavorato per una multinazionale americana che faceva sembrare i Borg dei boy-scout.

L'ambiente di lavoro non è malaccio, soprattutto per essere una banca in mezzo alla City. C'è pressione e competizione, ovviamente, ma la gente con cui divido lo spazio è relativamente decente - almeno considerando che sono in massima parte neozelandesi. Purtroppo una delle attività più in voga sono gli scherzi stronzi - io, per aver dimenticato di bloccare la mia macchina prima di andare a farmi una tazza di tè, ho scoperto ad un certo punto che dal mio account di posta elettronica era partita una dichiarazione d'amore per Vassili The Giant Motherf**ker, come gli piace essere chiamato - il nostro tecnico Cisco, che ama insultare i suoi colleghi chiamandoli "fucking Chechens" e solleva da solo gli IBM BladeCenters per infilarli nei rack; d'altra parte, il collega neozelandese alle mie spalle ha commesso l'imperdonabile errore di non sloggarsi da uno dei pochi computer con accesso senza restrizioni a Internet - e non aveva protetto le password memorizzate in IE, col risultato di ritrovarsi fortunato vincitore dell'asta Ebay per un tanga da uomo in lamè e paillettes nei colori della bandiera neozelandese (per la modica cifra di circa 30 sterline). Fra l'altro, non avevo mai considerato quanta confusione si può generare semplicemente scambiando di posto fra di loro tutte le tastiere e tutti i mouse wireless su una fila di scrivanie, o quanto si possa irritare una persona occludendo con carta e nastro adesivo il LED del mouse. Certe volte vale decisamente la pena, svegliarsi molto presto per arrivare al lavoro prima degli altri il lunedì mattina.

Insomma, l'impatto è stato quasi interamente positivo, ma ci sono delle cose a cui fatico ad abituarmi.

Prima di tutto, l'attenzione paranoica alla sicurezza. Lavoro in un ambito relativamente sensibile - abbastanza da far comparire sul mio contratto la famigerata clausola che mi impone di non scrivere in rete nè per che banca lavoro, nè di che dipartimento della banca faccio parte - e non dovrei essere sorpreso da certi accorgimenti, ma lo sono. L'intero edificio è una gabbia di Faraday, nessun telefono o modem cellulare funziona al suo interno fatta eccezione per i Blackberry aziendali (femtocelle all'interno?); è vietato portare all'interno del palazzo computer non di proprietà della banca - all'ingresso mi tocca tirar fuori il netbook dallo zainetto e depositarlo in un armadietto della sicurezza, esterno alla gabbia di Faraday; anche all'interno del palazzo esistono vari livelli di sicurezza, e per entrare in certe aree bisogna passare uno scanner che pinga se avete in tasca una chiavetta USB o qualunque altro aggeggino elettronico - ha senso, le chiavette USB sono disabilitate sui desktop Windows, che sono amministrati centralmente, ma sono più difficili da disabilitare su altri sistemi operativi, soprattutto per chi ha accesso da sysadmin ai server, quindi in sala server non si entra con chiavi USB, punto; tutte le telefonate vengono registrate; tutta la browsing history di ogni browser viene registrata (e le connessioni passano attraverso un proxy con dei filtri estremamente paranoici); tutte le email vengono archiviate; la maggior parte dei protocolli Internet, in realtà tutti, tranne HTTP e HTTPS, sono disabilitati.

La seconda cosa a cui sto avendo problemi ad abituarmi è che non sono più un sysadmin. Buona parte dei due lettori di questo blog sono dei geek, e capiranno di cosa parlo; ma per chi non lo fosse, è a volte difficile spiegare l'abisso che separa i sysadmin dai comuni esseri umani.

Un sysadmin fa un lavoro veramente difficile da spiegare ai profani, perchè la maggior parte dei profani non ha idea che certe cose, per funzionare, hanno bisogno di un essere umano che le prenda regolarmente a calci. Quasi nessun essere umano, per dire, ha idea di cosa succeda fra il momento in cui scrive "vuvuvu punto stantuffami punto com" nella barra degli indirizzi e quello in cui le foto o i video di Ilona Porcona e Molly Melons cominciano a susseguirsi sullo schermo; non sa che il suo computer ha dovuto risalire una lunga catena di computer, chiedendo ad ognuno, "mi scusi, ha mica idea di chi sia responsabile per stantuffami punto com?" fino a trovare qualcuno che gli ha dato l'indirizzo del computer responsabile, e a quel punto si è rivolto al suddetto responsabile per chiedergli "mi scusi, lei che sa tutto su stantuffami punto com, mi sa dire che indirizzo ha vuvuvu?" ed avuto l'indirizzo ha mandato un segnale di "pronto, mi senti?" all'indirizzo giusto - senza avere la minima idea di dove questo indirizzo sia, ma semplicemente inviandolo all'instradatore più vicino (un computer il cui lavoro consiste esclusivamente nel ridirigere i dati che riceve nella direzione in cui vogliono andare, quando non conoscono la direzione ma solo la destinazione), il quale ha guardato il primo numero dell'indirizzo e ha detto "ah, questo qui è un server in Sarcazzistan" e l'ha passato all'istradatore di livello più alto, uno di quelli che gestiscono il traffico internazionale, dicendogli "fa', il favore, vedi un po' se riesci a farlo arrivare in Sarcazzistan", e così via. Ad un certo punto il pacchetto è arrivato in Sarcazzistan dove l'instradatore locale l'ha finalmente indirizzato al computer giusto, dove ha superato un firewall o due (altri computer ancora, costruiti, configurati e ottimizzati semplicemente per controllare che solo dati leciti passino e raggiungano i server), e finalmente ha raggiunto il server (un ennesimo computer il cui compito è di rispondere alle richieste di Internet Explorer, Firefox, Opera inviando loro video, immagini, pagine html e chi più ne ha più ne metta), il quale risponde con il corrispondente segnale di "Sì, ti sento, e tu mi senti?" che ha fatto tutto il percorso opposto e che riceve a sua volta risposta "Sì, ti sento"(*), seguita da "Cortesemente, inviami la pagina che mostri a tutti se non ti chiedono nulla di specifico", e così via.

In particolare, il profano medio non sa che ognuno dei computer menzionati qui sopra viene costantemente seguito da uno o più sysadmin che l'hanno installato e configurato, ne controllano 24/7 le prestazioni e l'utilizzo di risorse come memoria, capacità di elaborazione e spazio su disco, provvedono alla riconfigurazione ogni volta che qualche demente della IANA o di ICANN cambia le carte in tavola, si occupano di chiudere nel più breve tempo possibile le varie falle di sicurezza che vengono scoperte quotidianamente - impedendo così che i dati della loro carta di credito vengano passati alla mafia russa quando pagano per accedere a stantuffami punto com - approntano sistemi di riserva da attivare quando (non se: quando) il sistema principale salterà catastroficamente mentre il sysadmin si sta arrampicando sulla Cresta Bruneck (Dolomiti) e il suo vice si è spalmato contro un autobus con la moto nuova, rispondono con tono rassicurante, alle 3 del mattino, alle telefonate di clienti in preda al panico perchè "the Internet is broken!" (trad.: "il mio computer non si accende perchè ieri sera mio figlio di 3 anni ha staccato la spina").

Un sysadmin è anche la persona che gestisce in pratica tutte le misure di sicurezza di cui parlavo più su, almeno quelle informatiche, e quindi è la persona da assillare quando il filtro che blocca il cazzeggio su Facebook durante le ore di lavoro blocca anche, come danno collaterale, qualche sito a cui l'utente ha una legittima ragione per connettersi (eh, sì, come no, ci crediamo tutti); è la persona che in generale ha l'unico computer in tutta la ditta in grado di connettersi col mondo esterno senza limitazioni, e spesso è anche l'unico la cui macchina sia liberamente configurabile e non "bloccata" su un profilo amministrato in maniera centralizzata. Per esempio, è spesso l'unica persona che ha il diritto/l'autorità/la competenza per usare sul suo desktop il sistema operativo che vuole senza che nessuno abbia il coraggio di dirgli niente - se non altro perchè in generale neanche capiscono di cosa si stia parlando. Quella persona, fino ad un mese fa, ero io; adesso sono un non-sysadmin, uno degli altri, uno che deve usare il desktop Windows che gli viene passato e non può protestare, uno che deve andare dai sysadmin col cappello in mano a chiedere se per favore gli installano Wireshark perchè, giuro, ne ho davvero bisogno per analizzare uno snoop run. Non è facile diventare improvvisamente un membro del gregge.

Il lavoro, intendiamoci, è interessante. Ad esempio, fra le altre cose sono responsabile, assieme ad un'altra persona, di un sistema, inteso non come computer ma come complesso di computer, storage area networks, connessioni criptate con le borse di mezzo pianeta, collegamenti a servizi interbancari esterni, che deve essere online sempre, perchè quando va giù il danno finanziario per la banca si misura in svariate migliaia di sterline al secondo; e il mio mestiere è, fondamentalmente, di coordinare i sysadmin che si occupano delle varie parti del sistema, assicurarmi che ognuno abbia le informazioni e le istruzioni di cui ha bisogno per fare il proprio lavoro o per risolvere i problemi, mantenere i contatti con le ditte che fanno le parti del lavoro (come il monitoraggio) dato in outsourcing e anche lì assicurarmi che le informazioni scorrano come devono, identificare i problemi ed assegnarli alle persone giuste, e così via. Certo, il lavoro ha ancora (per fortuna) parti strettamente tecniche - ma molto più limitate: tocca a me creare e testare a fondo la nuova configurazione standard per i server Linux della banca, ma una volta finiti i test, mi tocca scrivere un documento, passarlo ai sysadmin e lasciare a loro il compito di installarli; e in generale il mio lavoro diventa sempre più da systems architect e sempre meno da systems administrator, trasformandomi lentamente in quello che i militari chiamano un REMF, o Rear-Echelon MotherF**ker, uno che sta tranquillo nelle retrovie e non si avvicina neanche ai problemi della linea del fronte.

Insomma, le cose cambiano, e per giunta questo é il primo weekend in oltre un mese in cui non ho avuto da lavorare. E mi sto divertendo un mondo.

(*) Questo scambio, "Pronto, mi senti?" - "Sì, ti sento, e tu mi senti?" - "Sì, ti sento", o, per chi é del mestiere, "SYN"-"ACK, SYN"-"ACK", anche detto "three-way handshake", é il modo più rapido per assicurarsi che entrambi i partecipanti alla conversazione siano in grado sia di parlare, sia di sentire cosa l'altro dice.

7 commenti:

Unknown ha detto...

Benvenuto nel mondo degli architetti di sistema. Che non e' il system designer che tutti chiamano architetto di sistema. E' uno con una visione globale che si occupa dall'alto di cose particolari. :)

Ah, si: nelle banche, quel tipo di sicurezza olistica e' la norma. E non solo. Anche nelle telco, in alcuni settori, e' cosi'. C'e' un posto, dalle tue parti, dove i tester testano i nuovi device dentro un bunker, e i device sono incatenati dentro una scatola insieme alla femtocella, e loro possono solo infilare la mano. Si tratta di device che vedrai sul mercato tra sei-sette mesi , e sembrano piccole bare perche' non hanno ancora deciso gli chassis da usare.

Un consiglio: se ti sembra che i sysadmin con cui parli siano troppo pedanti nel chiederti di essere meno sintetico, ricorda cosa facevi tu prima ;)

Uriel

Palmiro Pangloss ha detto...

Eugenio il sarariman :-)

P.S. staantuffami.com appartiene alla mafia russa

simotrone ha detto...

Complimenti per l'incarico.

(Belli scherzi si fanno nel tuo ufficio. -.-' :-D )

Marco Natoni ha detto...

Noi, nella Setta, abbiamo risolto tutti i problemi di sicurezza con una semplice cerimonia di affiliazione nella quale il neofita cede l'anima alla Community.

Così risparmiamo un sacco di soldi in procedure e tecnologie.

PS Lo scherzo delle tastiere wireless è semplicemente geniale! :-)


--
Marco

Anonimo ha detto...

quindi tu ti porti in giro un computer che SAI non potrai usare.

Sei veramente geek lo sai ?

Carlo

Anonimo ha detto...

http://www.youtube.com/watch?v=gt9j80Jkc_A

ottima serie :)

Anonimo ha detto...

L'HTTPS non fa eccezione, altrimenti si possono fare dei tunnel.