Безопасность

В стародавние времена, когда гордым словом "компьютер" называли ZX Spectrum 64, в нашем учебном заведении начали преподавать долгожданную информатику.

Чудо техники под названием "Агат" казался тогда неимоверно сложной и мощной машиной, хотя был на самом деле не сложнее того же спектрума. Теорию проходили без этих шайтан-машин, а потом начиналась проверка знаний - "лабораторная работа". Жесткого диска не было. Все получали большие 5" дискеты с интерпретатором, которые нужно было вставить в дисковод и повернуть флажок. На некоторых машинах флажки были отломаны. Специально на этот случай рядом лежали пассатижи. На случай же глюков и еще каких неполадок в углу за ширмой лежали штабеля таких же, только новых, "Агатов".

Видимо в целях "пропитывания" студентов программистским духом, проверяли знания не преподы, а сами компьютеры. Небольшая программка - оболочка. На бейсике. В нее преподом забивались данные очередной работы, а студенты выполняли нечто вроде "вставь недостающее". Я уже около года баловался Спектрумом, а язык-то похожий. Игрушки импортные типа "Strip Dice" и то вскрывали, а тут вообще на скорую руку написано, да не отлажено. Вылавливался баг, программа останавливалась, LIST...

Два семестра мы с другом играли в тестеров и хакеров. Препод латал дыры - мы находили новые. А вся группа получала "хорошо" и "отлично".

Я живу в США, там же учусь. Пару лет назад работал в универе главным админом своего департмента (Computer Science).

Во время летних каникул, когда студентов нет, я проводил апгрейд сервера. Это был монстр из далекого прошлого - Sun Enterprise 450 Ultra под Solaris 8. На нем крутилось абсолютно все: почта, веб сайт, веб хостинг для студентов, все базы и конечно же аккаунты для всех студентов (мол, доступ для работы с юникс сервером).

Количество руткитов на нем не могло не приводить в восторг. Самое интересное было то, что никакой централизации не было. Я, как хороший админ, все переделал, взял отдельный сервак для ldap, нашел нужные схемы (qmailUser, userAccount, apache, ... ). Конечно же пароли пришлось сгенерировать заново, для этого был написан короткий скрипт + pwgen. И понеслось. Пароль для каждого пользователя был распечатан на отдельном литске и выслан бумажной почтой.

На первый день после деплоймента, на меня посыпались шишки: "Мой пароль не работает, что делать, ты все сломал." После длителных переговоров с деканом, мне сказали: "Ну, там же были старые пароли, вот их и используй". А то, что они в хеше, никого не волновало.

Почти в истерике я пошел на обед и позвонил своему лучшему другу. Таких гениальных людей я еще не встречал, он работал в JPL (NASA) в 3х департментах. И друг мне посоветовал просто подобрать пароли:
- Как ты думаешь, какой шанс того, что у этих людей стоят сложные пароли? Попробуй John The Ripper, - сказал он.

Так я и сделал. Уже через час у меня было 80% паролей. После ночи работы - 95% всех паролей. А у остальных 5% и так не было никаих сложностей с новым паролем.

Работаю инженером компьютерного центра в небольшом вузе. Логин на учетке пользователей-студентов user, пароль простой - три цифры (чтобы быстро запомнили).

Приехал первый курс, прочитал им ТБ, объяснил как заходить, сидят, работают. Пароль вроде все запомнили, на следующих занятиях вбивают его, а поскольку имя пользователя в окне входа в домен обычно всегда стоит User, они на него внимения и не обращали.

И тут через недели две надо было что-то быстро поставить, я заходил под учеткой админа, и везде в том классе в окошках домена сохранился админов логин. Пришел первый курс. И началось, еще на перемене - а почему у меня не заходит, а почему все не работает.

Я подхожу к самому активному, говорю, вот пароль вы, мол, помните, а логин-то у вас какой? Он говорит: "А, точно!" И продолжает сидеть. Потом несмело интересуется - и какой же логин? Я решил проверить знания, говорю - "пользователь", только по-английски. Пауза. Не знает. Спросил у соседки, после непродолжительного мозгового штурма группа вспомнила, что "юзер". Кто-то, гляжу, уже зашел, а этот самый первокурсник вбивает в поле логина "UZER". Разумеется, не заходит.

Еле сдерживая истерику, спрашиваю, как правильно пишется слово "Юзер".
Он чешет затылок, И думает вслух - не UZIR ли? Пробует. Нет, не UZIR. Ребята советуют - напиши UzAr. После были варианты Uzor, Yzer, Yozer, Yuzer, Yozir, Yozar, большими и маленькими...

В итоге я пообещал ему сходить к завкафедрой английского языка и лично проконтролировать, чтобы выше тройки не ставила, вбил логин и ушел в серверную.

Работал в казначействе.

Понадобилось организовать комнату для передачи секретных данных оборонки. За бешеные деньги покупается шифратор, шумогенератор и прочая защита "от вероятного противника". Вход/выход только ограниченному кругу лиц, ключи под расписку, журнал посещений и прочие прелести.
Доступ имеет только он самый и... угадайте кто?

Русский человек сразу поймет: уборщица! Лень оставаться людям вечером для надзора за ней.

Крупная компания.
ИС в, которой я админ, перенесена на другой сервер. Но на новой машине в ОС я не включен в группу администраторов. Так как за железо и сервера в том числе отвечает другой отдел, надо на него писать служебную записку.
Документооборот естественно автоматизирован, ЭЦП и все как положено. Служебку два раза заворачивали в отделе информационной безопасности. Созванивался, уточнял, переписывал. На третий раз она снова вернулась ко мне.
В раздел "К исполнению".
Автоматизация.

Пара в универе.

Компьютерный класс, собранный явно по остаточному принципу. Два ряда по пять машин, с торца стол, на котором стоит АТ-корпус, гордо наречённый "сервером".

Об этом "сервере" долго ходили легенды. Дело в том что даже парни, которые учились там семь лет назад, не разу не видели, чтобы он выключался, хотя бы для очистки от пыли. Преподаватель, он же главный линуксоид университета, внезапно прерывает свой рассказ и обращается к админу класса.
- Сергей, мне что-то не нравится, как сервер шуршит винтом. Что с ним?
- А кто его знает.
Препод прерывает пару и подрубает монитор и клавиатуру к серверу. Начинает рыться в логах старенькой Slackware. Выяснилось, что кто-то брутфорсил пароль на ssh, что конечно же отражалось в логах. А еле живой уже года два как винт выдавал при этом такие трели, что уши сворачивались.

Теперь все студенты знают, что убитый старый винт - это элемент информационной безопасности, похожий по своему действию на IDS.

Работаю лаборантом в компьютерном классе.
Как-то раз упал сервер и на машины в классе можно было зайти только локально. А тем временем начинается пара.

Объясняю студентам, что логин - students, пароль не надо, домен - этот компьютер.
Все понятно?
Все понятно.

Смотрю - за несколькими машинами сосредоточенное сопение и стук клавиш. Подхожу. Интересуюсь в чем проблема. Пароль, говорят, не подходит. Прошу показать.

Показывают.

Логин - students. Далее следует смена языка набора на русский и набор в поле пароля - "не надо".

Звонят из бухгалтерии в панике:

- Отсылали клиенту файл, а он с помощью него может посмотреть мой диск С:!

Слушаю пятиминутную душещипательную историю, с криками, обвинениями в халатном отношении к безопасности. Прихожу, прошу показать.

Открывают этот файл, запакованный rar'ом. В окне WinRar'a жмут на "папку с двумя точечками" (переход на уровень выше). И действительно, о чудо! Выходят на диск С:! И так у всех!

После этого кричала и наводила панику уже я. Теперь обязательное требование: знание основ работы с WinRar'ом.

Почему не стоит бросать без присмотра комп, залогиненный под вашей учетной записью? Риторический, вообще говоря, вопрос.

Полгода назад один сотрудник забыл разлогиниться из базы 1С:Склад. Дружная стая товарищей воспользовалась преступной халатностью: от имени сотрудника был создан и проведен как принятый на складское хранение в кол. 2 (двух) экземпляров товар "тисочки для гениталий с розовым мехом".

500 долларов штука.

Недостача дефицита вскрылась при следующей же ревизии складов.