Безопасность

Работал я юникс-админом в одной достаточно крупной организации, известной своими жёсткими правилами в отношении сотрудников. Пришел на работу — нажми кнопку «Пришел» в соответствующем разделе интранета, собрался покурить — щёлкни «Отошел по личным делам». За опоздания наказывали баллами (срезали премиальную часть зарплаты) — в общем, всё серьёзно. Корпоративная этика в переписке была также на высоком уровне, ни у кого даже в мыслях не было допустить вольности в выражениях — всё пристально контролировалось службой безопасности.

Как-то сидим, админим наши сервера. Работа достаточно скучная, так как настроены они по всем «фэн-шуям» и вероятность факапа минимальна. Внезапно сонное лицо руководителя группы администрирования Unix-систем, оживает, и он помпезно изрекает: «%Adminname%, я считаю, что употребление слов „жопа“ и „косяк“ неприемлемо при постановке служебного задания».

Через минуту хохота %Adminname%, Oracle-админ, начинает оправдываться, что он скопировал в задачу кусок из своих ночных записей — в них было отмечено, что старт инстанса Oracle с такими-то параметрами и с использованием такого-то массива приводит к жопе с производительностью, и это явно косяк в Solaris!

Дело было давно — я работал программистом в сфере разработки банковского софта под Oracle версии 7 или 8.

Звонят как-то из банка с проблемой. После разбирательств выяснилось, что надо кое-что подкрутить от «супер-юзеров» sys или internal, о чём я и сообщил. Трубку положили на стол, но связь была хорошая и диалог банковских айтишников был прекрасно слышен:

— Какой пароль у internal на боевой базе?
— «change_on_install»!

В 2007 году я пришел работать в ИТ-департамент одной из крупнейших страховых компаний России.

Личного компьютера дожидался шесть недель — вероятно, он ехал ко мне прямо от китайского производителя. В результате я оказался обладателем машинки «DEPO» со смешным объёмом оперативки, заблокированными USB-портами, отсутствующим оптическим приводом и глюкавой мышью. Из программ на машине стоял лишь MS Office.

Надо заметить, что по роду деятельности мне необходима была куча стороннего ПО и доступ к внешним ресурсам. С установкой софта, настройкой почты под Lotus и доступом с горем пополам справилась местная техподдержка — правда, пришлось преодолеть не один бюрократический барьер (служебки, подписи, регистрация, листы исполнения).

Правда, вынос данных за пределы офиса службой безопасности был запрещён строго-настрого. Пришлось минут на пять напрячь мозг и написать скриптик, пересылающий всю переписку из Лотуса на внешний Gmail-аккаунт.

Я уж было хотел рассказать местным айтишникам о зияющей дыре в безопасности, но, когда увидел живьем местный датацентр, понял, что людям, которые охлаждают хай-энд-сервера бытовым оконным кондеем, советовать что-либо бесполезно. Сам я, к слову, страховаться в этой компании перестал.

Был я когда-то модератором на одном довольно крупном форуме. Для модераторов там было обязательное правило — сложные пароли, представляющие собой бессмысленный перебор на клавиатуре в разном регистре, с цифрами, знаками препинания и всякими такими вещами.

После назначения я открыл текстовый документ, состряпал себе пароль, сохранил его и благополчно забыл — форум меня запомнил, и вводить пароль каждый раз неоходимости не было.

Через довольно большой промежуток времени возникла нужда перелогиниться. Открываю свой документ, копирую оттуда пароль — не работает. Ещё пару раз попробовал — не работает. Пишу в аську админу, говорю, что сломали меня, суки такие. Он попросил меня кинуть ему мой пароль и затих часа на два.

После этого пишет злой как чёрт: "С тебя пиво, у тебя в конце пароля два пробела стояло".

Живу в городке под столицей. Долго весь двор мучался с диалапом, а ADSL всё не подводили — видите ли, кабеля надо было много тянуть, а старые сети не осилили бы нагрузки.

Со временем подмазали где надо и дотащили до нашего двора оптику, поставив маленькую будочку возле трансформаторной — эдакий сварной железный сейф. В будке всё развели, вывели кабели вверх и растащили по домам.

Естественно, спонсоры мероприятия получили инет с дикими скоростями. Вскоре начали подключаться соседи — через пару месяцев весь двор на шесть домов был плотно опутан локальной сетью.

Однажды двор посетила делегация алкашей. Пьяницы присели под детским «грибком», раздавили ещё бутылочку, после чего один из них, не выдержав, пошёл справить нужду за трансформаторную.

То ли бомж заинтересовался содержимым нашей будочки, то ли ему причудилось что-нибудь, — начал он дёргать дверцу и пинать будку ногой. Кто-то из местных, выйдя на балкон покурить, увидел такой беспорядок и быстренько сообщил всем по локальному чату.

Минут через пять с пары десятков балконов шести домов слегка недружным хором бомжу было в грубой, бесцеремонной форме поставлено на вид. Пьяница, опешивши от такого «объёмного звука», шарахнулся от будки как от огня и с совершенно обезумевшими глазами начал пятиться в гаражи. Собутыльники, оценив ситуацию, тоже предпочли удалиться.

Двор проржался, в локалке побежали сообщения «ништяк, отстояли честь оптики», зрители разошлись. Матчи в Counter-Strike этим вечером были особенно дружными.

Был случай, когда пришлось чинить удалённую точку доступа. Из телефонного разговора с клиентом стало ясно, что он случайно сбросил устройство в заводские настройки.

IP-адреса — динамические. Подключение по сети на последний известный адрес прошло успешно, модем отозвался на стандартные «admin/admin».

Настроил всё как надо, сменил пароль. Только пользователь устранение проблемы не подтвердил — это был не его модем.

Год назад устроился сисадмином в довольно крупную компанию — обслуживаю 23 сервера и около 700 компов, есть помощники.

Не знаю, что случилось, но предыдущего админа мне найти не удалось. Руководство сказало: «Разбирайся сам, мы понимаем, что задача непростая, поэтому дадим время и компенсируем затраты».

Всех паролей никто из помощников не знал — у них были просто учётки с расширенными правами. Обычно ребята эникеили на объектах, а админ выезжал за пределы головного офиса крайне редко и в основном занимался серверами. Ходили слухи, что у прежнего админа была традиция хранить пароли в труднодоступном месте, но мы так ничего и не нашли. Кое-какие пароли удалось подобрать или сбросить, кое-что — переустановить заново.

Прошел год, наступил кризис, и компании пришлось отказаться от одного из арендуемых офисов. Согласно начальственным указаниям было решено демонтировать всё, включая короба, витую пару и электрику.

Каково же было мое удивление, когда я, разбирая серверную вместе с помощниками, обнаружил все пароли, которые когда-либо использовались в компании! Админ записывал их на обратной стороне белых стикеров, равномерно распределённых по внутренней стороне короба под толстым жгутом кабелей.

На всякий случай традицию соблюдать не стал.

Устанавливал месяц назад в одной конторе софт для видеонаблюдения: хвосты от камер пучком сводятся в плату видеозахвата, на компьютере программа пишет видео по датчикам движения, оповещает и т.д.

Сегодня звонок:
- Это такой-то, ты у нас делал то-то, вчера отключали электричество, потом компьютер включили, а программа пароль не принимает, помогай!
Надо заметить, что суперсекретный пароль придумывали они сами - 123456789, т.е. варианты с неверной раскладкой и CapsLock'ом отпадают. Подготовился к самому худшему: взял привод со шлейфом, загрузочно-реаниматорные диски, дистрибутивы, поехал...
Приезжаю: ОС работает, нужная программа запущена, висит окно ввода пароля, логин написан правильно. Ввожу 123456789 <Enter> - всё запускается. У охранника округляются глаза, и он изрекает:
- А я вчера целый день убил, подбирая этот пароль.
На всякий случай закрываем окно, он пробует войти ещё раз, естественно заходит, попутно рассказываю о назначении клавиши NumLock (хотя, когда приехал, я обратил внимание на то, что она включена). На логичный вопрос: "Сколько?" я ответил, что стыдно брать денег за 10 нажатых кнопок, взял сотню за бензин. Теперь думаю, что бы было, если бы я при установке предложил свой более безопасный пароль...

Работаю админом в госкомпании. Кто через них прошёл - тот знает, что круче всех не ИТ, а СБ. Об альтернативной одарённости безопасников, наверное, знают все, не только бюджетники, но такого маразма, как у нас, я ещё не встречал.

Итак, начальнику СБ пришло в голову, что бесконтрольная печать документов - это наиглавнейший источник утечки информации, а посему с понедельника - новый регламент. Все сетевые и персональные принтеры отключены и убраны на склад (для больших начальников, конечно, сделано исключение, на то они и начальники), единственный оставшийся принтер - у сотрудника СБ, которому по новому регламенту все должны по электронной почте присылать документы, требующие распечатки. Безопасник их вычитывает, и, если нет крамолы, распечатывает и выдаёт лично на руки приславшему документ. Если же в документе есть ценная для компании информация - то служебка с кучей подписей всяческого начальства с обоснованием необходимости распечатки.
Недавно, глядя на всё это, я понял альтернативное значение словосочетания "очередь печати" - это не очередь документов в принт-спулере, а настоящая человеческая очередь людей, ждущих, когда напечатают их документ. Благо принтер достаточно шустрый - хэпэшка девятитысячной серии, иначе бы народ умер в очереди с голоду или от скуки.
Но самое весёлое в этом то, что я до сих пор не хочу говорить начальнику СБ о том, что та самая электронная почта, по которой все шлют документы на распечатку, работает не только внутри организации. А то ещё посадят меня всю исходящую почту читать.