На протяжении многих лет компания ByteDance, владеющая платформой TikTok, сообщала законодателям США, что частные данные её американских пользователей надежно защищены — они хранятся в центрах обработки данных, расположенных в Северной Вирджинии. Расследование Forbes показало, что в дата-центрах TikTok есть огромные проблемы с безопасностью.

Источник изображений: Pixabay

Интервью, взятые у семи нынешних и бывших сотрудников и более 60 «слитых» документов, фотографий и видеозаписей из центров обработки данных показывают уязвимости в системе безопасности, начиная от немаркированных флэш-накопителей, подключенных к серверам, посетителей без сопровождения и заканчивая коробками с жесткими дисками, оставленными без присмотра в коридорах. Источники предполагают, что эти проблемы являются результатом того, что TikTok пытался быстро увеличить объем хранилища данных и позволял допущения в безопасности на этом пути.

Документы, фотографии и интервью также свидетельствуют о том, что деятельность дата-центров TikTok по-прежнему тесно связана с бизнесом ByteDance в Китае. Среди прочих поставщиков центры обработки данных используют серверы от Inspur — компании, которая, по словам Пентагона, в 2020 году контролировалась китайскими военными, и которую в прошлом месяце Министерство торговли США внесло в санкционный список. Документы также показывают, что еще на прошлой неделе заказы на серверные работы отправлялись техникам дата-центров компанией Beijing ByteDance Technology, дочерней компанией ByteDance, частично принадлежащей китайскому правительству, которое, как неоднократно утверждала TikTok, не контролирует её деятельность.

Эти разоблачения произошли в критический момент для TikTok, который столкнулся с федеральным уголовным расследованием после обвинений в слежке за журналистами. Власти США могут потребовать либо продать TikTok, или полностью его запретить в США. Двухпартийная коалиция законодателей вместе с Белым домом выразила обеспокоенность тем, что китайское правительство может использовать контроль ByteDance над TikTok для сбора ценных данных об американских гражданах или влияния на мысли и настроения пользователей.

«Каждая новая (такая) история вызывает все большую озабоченность и приводит дополнительные примеры того, что TikTok, похоже, искажает свои методы обеспечения безопасности данных», — сказал сенатор Марк Уорнер (Mark Warner), который в последние месяцы возглавил усилия Сената по запрету TikTok.

Ответом TikTok на эти опасения — и угрозу потенциального запрета — является предложение, известное как «Проект Техас» (Project Texas), согласно которому TikTok удалит данные американских пользователей с серверов в Вирджинии и изолирует их в ряде техасских центров обработки данных, принадлежащих Oracle. Однако генеральный директор TikTok Шу Зи Чу (Shou Zi Chew) в прошлом месяце дал показания перед комитетом Палаты представителей, что данные американских пользователей и сегодня «сидят на наших серверах в Вирджинии».

Отвечая на подробный список вопросов Forbes, представитель TikTok Морин Шанахан (Maureen Shanahan) признала использование серверов Inspur, но сказала, что TikTok «не закупает продукцию у этого поставщика уже довольно давно». Inspur также работала с другими крупными американскими компаниями, включая Microsoft, IBM и Intel. Inspur не ответила на просьбу о комментариях, как и Министерство торговли и Министерство обороны США.

Шанахан заявила, что заказы на работы от Beijing ByteDance Technology были «артефактами тикет-системы», которая «не предоставляет никакого доступа к данным пользователей», и что Beijing ByteDance Technology «не имеет никакого отношения к управлению, эксплуатации или контролю наших американских центров обработки данных». Она также отметила, что TikTok перестал направлять новый трафик американских пользователей в дата-центры в Вирджинии в октябре 2022 года, что означает, что личные сообщения и другие данные американских пользователей, созданные до октября 2022 года, все ещё хранятся на этих серверах, но более поздние — нет. TikTok заявляет, что планирует удалить эти данные с серверов до конца 2023 года.

В январе 2023 года подразделение безопасности данных TikTok в США — новая организация, которая в рамках проекта «Техас» будет обеспечивать безопасность и доступ к данным американских пользователей, — опубликовала в блоге сообщение, в котором говорилось следующее: «Наш центр обработки данных в Вирджинии включает в себя средства физического и логического контроля безопасности, такие как закрытый вход, брандмауэры и технологии обнаружения вторжений». Однако семь нынешних и бывших сотрудников, которые анонимно беседовали с Forbes, заявили, что безопасность на объектах соблюдается небрежно.

По словам сотрудников, системы физической безопасности варьируются в зависимости от здания, но в большинстве случаев используется система пропусков. Политика компании гласит, что гостей, включая курьеров, поставщиков оборудования, электриков и других специалистов, должен постоянно сопровождать сотрудник. Но на практике, по словам четырех сотрудников, так происходит не всегда: «У нас нет времени следить за всеми».

Сотрудники рассказали о многочисленных системах учета, используемых компанией для отслеживания ремонта серверов и другого оборудования в центрах, включая пять отдельных внутренних инструментов регистрации заявок. Однако три источника сообщили Forbes, что им известно об изменениях, внесенных в серверы, которые не были отражены ни в одной системе учёта, а четверо сказали, что видели немаркированные флэш-накопители, подключенные к серверам. TikTok заявила, что эти утверждения не соответствуют действительности, согласно внутреннему мониторингу безопасности компании.

Четыре источника также сообщили, что размагничивающие устройства — машины, используемые для стирания и уничтожения старых жестких дисков — часто ломались, что вынуждало сотрудников отвозить диски в другие центры обработки данных для утилизации. Человек, который был за это ответственен, поделился своим беспокойством: «Любой человек со злым умыслом мог просто взять их, и мы бы об этом не узнали». Компания TikTok признала, что в прошлом у нее была такая проблема, но утверждает, что она была решена.

На фотографиях 2020 года, предоставленных одним источником, изображены жесткие диски, оставленные без присмотра в открытых коробках в коридорах центра обработки данных в штате Вирджиния. В ответ на описание этих дисков Шанахан заявила: «Во время монтажных работ (установке серверных стоек), до передачи в эксплуатацию, нередко можно увидеть такие предметы, как оставленные без присмотра деревянные поддоны или картонные коробки с новыми жесткими дисками, не содержащими данных. Наша политика обращения с носителями информации требует, чтобы использованные носители, ожидающие уничтожения, помещались в запертые контейнеры».

По словам Санджукты Дас Смит (Sanjukta Das Smith), заведующей кафедрой Науки управления в Школе менеджмента Университета Буффало и эксперта по ресурсному обеспечению ЦОД, недостаточные инвестиции в безопасность центров обработки данных являются общеотраслевой проблемой. В интервью она сказала: «Во многих случаях безопасность отходит на второй план, потому что в большинстве случаев при взаимодействии с клиентами основное внимание уделяется впечатлениям клиента: как быстро загружается информация на его устройствах».

Несмотря на эти системные проблемы, действительность, описанная сотрудниками TikTok, иногда расходилась с отраслевыми нормами, описанными Дас Смит. Например, в дата-центрах, которые она посетила, по словам Смит, «даже если у вас есть разрешение, это не значит, что Вы можете свободно бродить вокруг. Должно быть сопровождение». Но в центрах TikTok дело обстоит иначе: «Мы никогда не знали, когда появятся эти люди, они просто приходили и просили дать им доступ, заходили, делали то, что делали, и уходили». Дас Смит подчеркивает, что она никогда не видела, чтобы USB-накопители использовались в центрах обработки данных, учитывая, как легко переносить на них вредоносное программное обеспечение.

Брюс Шнайер (Bruce Schneier), сотрудник гарвардского Центра Беркмана Кляйна по Интернету и технологиям и преподаватель Гарвардской школы Кеннеди, предостерег от скорых суждений из-за единичных случаев. Как и Смит, Шнайер отметил, что проблемы безопасности носят общеиндустриальный характер. Он упомянул Twitter, который, по его словам, испытывает трудности с безопасностью из-за того, что стремится быстро развиваться. Что касается TikTok, он сказал: «Я уверен, что там есть халатность. Как и любая крупная технологическая компания, они заботятся о прибыли, а безопасность стоит дорого».

Расследование Forbes также выявило другие проблемы с дата-центрами TikTok в Вирджинии. Источники выразили обеспокоенность по поводу безопасности зданий — трое рассказали, что их иногда просили работать в зданиях, которые все еще находятся на стадии строительства, и сообщили, что в некоторых зданиях сигнализация срабатывает так часто, что не имеет смысла. В TikTok заявили, что сигнализация проверяется по мере необходимости.

На фотографиях и видео изнутри дата-центров также видны деревянные поддоны и картонные коробки, оставленные курьерами в серверных комнатах, а это пожарная опасность в случае перегрева серверов. Аудиозаписи внутренних совещаний TikTok отмечают, что тепло в этих дата-центрах было проблемой и раньше: на совещании в сентябре 2021 года можно услышать, как директор по безопасности описывает случай, когда серверы в Вирджинии перегрелись, и данные американских пользователей были перенаправлены на серверы в Сингапуре до устранения проблемы.

Шесть источников также независимо друг от друга сообщили Forbes, что слышали о том, что сотрудники использовали серверы для майнинга криптовалюты. Компания TikTok заявила, что это было бы нарушением ее политики и что у нее «имеются средства контроля безопасности для выявления и предотвращения такого рода деятельности». Дас Смит отметила, что центры обработки данных часто не раскрывают все имеющиеся у них средства защиты, поскольку это дало бы хакерам «дорожную карту» для их преодоления. Тем не менее, эти сотрудников заявили, что безопасность в дата-центрах TikTok была слабее, чем в других дата-центрах, где они работали.

«ByteDance просто наплевать», — сказал один из источников, отметив, что компания часто жертвовала стандартами безопасности, чтобы быстрее запустить серверы. «Они просто двигались вперед так быстро, как только могли», — отметил источник.

Intel сообщила о продаже ещё одного из направлений своего бизнеса, имеющих для компании второстепенное значение. Производитель чипов прекращает выпуск серверов и продаёт соответствующие активы MiTAC — крупному тайваньскому вендору, которому уже принадлежит Tyan, выпускающая серверные материнские платы.

Источник изображения: Intel

В то время как на серверном рынке доминируют компании Dell, HP и Inspur, Intel занимает здесь лишь небольшую долю. Известно, что производитель продал многие из непрофильных активов ещё в 2021 году, когда генеральным директором компании стал Пэт Гэлсингер (Pat Gelsinger). В числе прочего Intel избавилась от производства накопителей Optane и классических SSD, выпуска сетевых коммутаторов и, не так давно, 5G-модемов. Хотя у компании сильное серверное портфолио, ключевым бизнесом для неё всегда были процессоры, а не сами сервера.

Вот что представитель Intel сказал ресурсу ServeTheHome: «В соответствии с планом Intel по приоритетной реализации инвестиций в стратегию IDM 2.0, мы приняли трудное решение о прекращении деятельности нашей Группы решений для центров обработки данных (DSG). В рамках этого плана компания MiTAC, поставщик ИТ-решений для облачных вычислений и давний ODM-партнер DSG, получит право на производство и продажу продуктов на основе наших разработок. Мы сосредоточены на обеспечении поддержки команды DSG и ее заинтересованных сторон во время этого перехода».

Непохоже, что для Intel, чистый убыток которой в IV квартале 2022 фискального года составил $644 млн, продажа серверного бизнеса станет действительно большой потерей — DSG не приносила головному подразделению значимых доходов. Судя по финансовой отчётности Intel, компания, вероятно, продолжит избавляться от непрофильных подразделений, чтобы сконцентрироваться на своих сильных сторонах.

Недавно компания представила серверные процессоры Xeon четвёртого поколения (Sapphire Rapids) и некоторые виды серверов на данных решениях. Тем не менее, похоже, что это были последние серверы, выпущенные компанией, а документация и прочие активы теперь переданы MiTAC, где им найдут должное применение.

Зачем переплачивать при обновлении серверного парка в 2–3 раза? Добросовестные поставщики серверов б/у предложат устройство с не меньшей надёжностью, которое прослужит не менее 4–5 лет. Серверному оборудованию установлена вторая амортизационная группа со сроком полезного использования в 5 лет.

Источник изображения: Pixabay

Новый, Refurbished или б/у сервер?

Серверное оборудование применяется повсеместно: от хранения веб-страниц и информации из 1С до почтовых и прокси-вариантов. У новых моделей высокая производительность, большой объём памяти и пониженная шумность. Однако высокие цены, составляющие до $20 тыс., являются обременительными для малого и среднего бизнеса. Поэтому многие компании предпочитают купить сервер б/у в восстановленном (refurbished) варианте.

Предпродажная подготовка refurbished-оборудования включает не только чистку механических загрязнений, но и:

• проверку и замену устаревших элементов сервера;
• длительные тестирования с участием профильных инженеров и ПО.

В результате покупатель получает работоспособное надёжное устройство, чего не скажешь об оборудовании, предлагаемом на Авито, где встречается даже украденное, или на иностранных сайтах: повсеместно с сомнительной работоспособностью, а также значительными таможенными и транспортными издержками. Ценник для серверов после восстановления может быть на 40–70 % и более ниже чем у новых экземпляров. Вариант с устаревшими моделями, предлагаемыми «за копейки», выглядит сомнительным, поскольку они маломощные и достаточно шумные.

Стресс-тест и восстановление сервера

Для серверных механизмов, как совокупности физического носителя и программного обеспечения, предусмотрена обширная программа проверки, которая длится несколько дней и производится для того, чтобы базы данных предприятий не были утеряны, чтобы агрегат работал быстро с минимальным шумом.

Стресс-тесты сервера б/у выполняются с максимальной загрузкой на память, процессор. При этом проверяется производительность и пропускная способность устройства, выявляются механически слабые детали, проверяется диск на ошибки, задаются параметры рабочего напряжения и пр. в связи с тем, что серверные устройства имеют разную функциональность, для каждого из них специалисты подбирает индивидуальный вариант проверки. Восстановлением серверного оборудования уже давно занимаются на Западе, а для РФ это новое направление, поэтому лучше обращаться в компании с наработанным опытом.

Преимущества и гарантии

Купить три устройства б/у популярных на рынке компаний по цене одного современного — значит оптимизировать затраты на IT-инфраструктуру. Более того, не все поставляемые напрямую производителями образцы работают идеально: можно потратить крупную сумму денег и получить устройство с браком или поломку в процессе отправки (хрупкие детали в комплектации). При покупке зарубежного образца с дефектом процесс замены или ремонта отнимет много времени.

Бывшие в употреблении серверы часто берут для проектов на начальной стадии, для использования вместе с новым оборудованием, для дублирования уязвимых мест, для обеспечения конфиденциальности операций при использовании 1С. Для предлагаемых моделей доступны консультации IT-архитектора и предпродажное тестирование.

Компания «Дорфа» (Dorfa) предоставляет своим клиентам следующие гарантийные обязательства:

1. Трёхлетняя гарантия с выполнением замены детали в срок до следующего рабочего дня (возможно за 60 минут).
2. Моментальная замена вышедшего из строя элемента на новый с экспресс-направлением заказчику, без ремонта старой запчасти и ожидания её доставки в компанию. Компания работает только с блоками.
3. Обмен товара, работоспособность которого не удалось восстановить, на аналог или такой же (по предварительному согласованию).
4. Гарантированно бережная доставка с соответствующей упаковкой.

Компания Dorfa уверена в качестве предлагаемой серверной продукции, что подтверждается положительными отзывами покупателей с 2005 года. В компанию обращаются, чтобы сэкономить денежные средства без ущерба для производительности оборудования.