Безопасность

Решил я от нефиг делать погуглить запрос: «filetype:xls username password». На первой же странице логин на какой-то сайт: непонятное сборище букв и цифр, а пароль — welcome. Добро пожаловать, господа!

Криптозащита, пароли, защищённый доступ… Фуфел это всё, господа. Это вещи полезны только тогда, когда угроза нужна от дурака или дилетанта. Вот вам ряд примеров.

* * *

Суббота, официально выходной день. Начальству позарез понадобилось в один компьютер залезть. А у него пароль на биосе, пароль на входе; то, что надо, тоже на пароле. Ответственное лицо по случаю выходного находится вне зоны действия сети. Чего делать? Пароль с биоса снят, вход в ОС осуществлён собственными силами. Дальше сложнее. Пока вызванные кулхацкеры нагружали процессоры непосильной задачей подборки пароля, начальник СБ вызвонил коллег отдыхающего ответственного лица, пораскинул мозгами и нашёл его на даче, где тот в гамаке пузо грел. Адрес дачи и вероятность нахождения на ней сотрудника, знамо дело, у сослуживцев выяснили.

* * *

Уволившийся сотрудник отдела IT затаил злобу на бывшего работодателя. Ну да, не ценили. Угу, в зарплате обижали. Сволочи, одним словом. А не сменить ли им пароль в хитрой базе данных, которая нужна не каждый день? Сказано — сделано. Сменил, уволился. Думаете, вызывали мегапрограммеров? Ну, вызывали, они даже чего-то там подумали. Основное, до чего они додумались, — кто это сделал, когда и зачем. В принципе, достаточно. Через пару часиков злоумышленник в кабинете генерального просил прощения за «забывчивость». Ну, не предупредил он, что пароль сменил. Всякое бывает.

* * *

Заказали как-то фирмочку небольшую. Заказали в плане срыва деятельности, очернения её честного имени и рисования всяких непристойных картинок на главной странице сайта. В общем, саботаж и крупное хулиганство. Главное, что фирмочка была не простая, а чья-то. А кто-то был выходец откуда-то. И этому кому-то все эти действия в отношении его детища категорически не нравились. Были подключены лучшие кадры — как собственные, так и приглашённые. Стало ясно, что пакостят нам из-за бугра, из мест разных (предусмотрительные оказались, черти) и трудно досягаемых. Интерпол — это только слово такое красивое, на него надежды не больше, чем у импотента на виагру. Выкручиваться надо самим.

Нехитрыми умозаключениями выяснили, кому это было выгодно и кого он мог бы привлечь для пакостей уровня выше среднего. И правда, существенная часть запросов шла из европейского городка на берегу моря, куда некоторое время назад эмигрировал наш соотечественник, шарящий в сфере информационных технологий. Звонить ему и ругаться? Смысл? Хотя смысл был. И был один звонок, в котором его мама, не пожелавшая расстаться с Родиной, просила великовозрастного сыночка не хулиганить. Атаки на сайт ощутимо ослабли.

* * *

Оговорюсь, что ни в одном из перечисленных случаев мер физического воздействия, а также угроз не применялось. Просто просили понять и войти в наше положение.

А как заключение вот вам цитата сотрудника государственных органов: «Если человек, установивший пароль, жив, то и мы его узнаем».

Вчера вернулся из командировки с окраин необъятной — ставили комплексную систему безопасности в региональном филиале крупной фирмы инкассации. Через подобные филиалы ежедневно проходят миллиарды денег; стремление московского офиса усилить безопасность в отделениях вполне понятна. Теория отличная, но на практике…

Задумка такая. В числе прочих систем безопасности на входе делается некое подобие шлюза: две двери, пока не закрыта одна, вторая не откроется ни за какие коврижки. Управление происходит только изнутри, по ночам в обязательном порядке дежурят двое охранников. На всякий случай установлена кодовая панель — пароль сообщен только начальнику службы безопасности. То есть потенциальные налетчики, просочившиеся за вошедшим в первую дверь, оказываются в тамбуре-ловушке под зорким оком двух видеокамер и деться уже никуда не могут: за внутренней дверью выстраиваются свои охранники с «калашами», за наружней в течение двух минут появляется наряд ОМОНа. Делаем, тестируем, развешиваем листочки с этой информацией в тамбуре, проводим инструктаж — всё окей, работает чётко, как в аптеке.

Проходит неделя. Ночью охранникам хочется курить, но если выйти из здания, то обратно уже не войдешь. Поодиночке им курить, видимо, религия не позволяет. Требующий никотина мозг находит выход: «случайно» включается пожарная сигнализация, замки, естественно, отключаются (чтобы люди могли беспрепятственно выбегать из здания в случае реального пожара), мозг охранников получает дозу никотина, и они спокойно возвращаются обратно в открытые двери. Деньги под надежной защитой, ага.

Днём, опять же, всем очень лень ожидать, пока дежурный внутри нажмет кнопку открытия двери, поэтому начальник службы безопасности (!) распечатывает листочек с паролем от кодовой панели и вывешивает в тамбуре на всеобщее обозрение.

Всё, приехали, финиш. Усилили безопасность, называется. Начинаем возмущаться — а кому возмущаться-то? Все эти действия происходят с одобрения начальства, в головном офисе отвечают: «Ну, мы ведь все обычные люди, подумаешь, покурить вышли…» Вы говорите, кнутом и мануалом их учить? Не-е-е, этих людей уже ничем не исправить.

Начальство каким-то образом узнало пароль от моей личной почты. А пароль этот представляет собой совершенно рандомную комбинацию букв и цифр — давным-давно заученный наизусть код активации старой игры, коробка от диска которой постоянно терялась.

Начальство обнаглело и спросило, что это буквоциферное безобразие означает. После двух ответов «ничего не означает» плюнул и сказал, как есть.

И что вы думаете? Сегодня получил требование (!) сменить пароль от моего личного (!!) почтового ящика, потому что он «не соответствует духу компании и связан с компьютерными играми, а на работе любые игры должны быть под запретом».

Вы когда-нибудь сталкивались с настолько феерической наглостью? Вот сейчас думаю: увольняться сразу или послать требование к чёрту и сначала поцапаться?

Нет, я всё понимаю — безопасность, туда-сюда, но брандмауэр, который предлагает победить процесс winlogon, потому что он зело подозрительный, — это перебор.

Как раз в этот момент я набирал текст. Когда появилось очередное окошко о подозрительном winlogon, успел нажать Enter… Ну, вы поняли.

Сидел всю ночь, производил «аудит безопасности веб-интерфейсов», как это модно говорить, а на самом деле рутал серваки. Почти не спал, утром к девяти в универ.

Захожу в автобус, достаю проездной — в автобусе опущены рога АСКП. Прохожу в салон, а в голове одна мысль: «Обход авторизации».

Дальше ещё интересней. В вузе подхожу к кофеварке — монетки не принимаются, а вываливаются в сдачу. «Задефейсили морду, данные с формы сливаются в лог».

Явно надо что-то менять. А как менять, если ночь для нас — рабочее время, потому что на серваках админов нет?

Систему охраны я, конечно, не вскрывал, но подобная история тоже однажды была.

В Москве есть очень хороший книжный магазин. Книг там много-много, и для удобства посетителей в залах через каждый десяток метров стоят терминалы с каталогом. Есть поиск, описания книг, обложки, указаны цены, можно распечатать маленький чек с указанием зала, стеллажа и полки, где находится книга.

То ли сделано это всё великолепие в какой-то самописной программе, то ли просто открыт локальный сайт, но факт остаётся фактом: в качестве движка используется стандартный виндовый TWebBrowser, причём далеко не самой последней версии. Стоп-стоп. В описании книги, как я уже сказал, есть обложка. Обложка — это картинка. Если навести курсор на картинку (ткнуть в тачскрин), то появляется маленькая панелька инструментов: сохранить как, распечатать, послать по почте, открыть «Мои картинки».

Откроем «картинки», вверх-вверх-вверх, «Мой компьютер». Зайдём в «Сеть», откроем какой-нибудь комп… Ой, фильмы, игры, какие-то бэкапы! Диск C:, Windows, командная строка, экранная клавиатура — полетели!

Впрочем, проделав это, почти сразу же от терминала я отошёл — на меня уже начали коситься работники магазина. А на экране остались висеть открытыми командная строка и клавиатура.

В 1983 году админил я ЕС-1035. Материалы на ней обрабатывались разные, в том числе и с грифом «не для всех». И тут верхнему начальству показалось мало системного программиста и системного инженера с соответствующими формами допуска. Ввели должность инженера по безопасности, причём на полставки. То есть в смену он не ходил, а работал с 9 до 18 с перерывом на обед, как белый человек. Назначили мужичка, далёкого от вычислительной техники; выделили ему терминал, на котором постоянно крутилась его программа, и показали, где «птички» ставить. Мужичок сразу и поставил, руководствуясь принципом: «чем больше, тем безопаснее».

Системщики взвыли в первую же ночь. Этот деятель, кроме всего прочего, запретил запись на магнитную ленту (суточный бэкап сделать не удалось) и вывод на перфоленту (накрылось срочное задание, связанное с оборонкой). И если ленту удалось сделать днём, под чутким надзором этого деятеля, то бэкап можно было делать только ночью.

Уговоры и даже жалобы руководству не помогли. Мужик стоял насмерть. Пришлось копать глубже. Выяснилось, что за блокировку отвечает всего один байт. Запускаем программу «Око» (официально — разработка Горьковского пединститута, на самом деле — американская программа Eye), правим, работаем… Главное, не забыть вернуть обратно.

Спокойно жили месяц. Потом кто-то проболтался. Заставили «Око» стереть. Ночью восстановили с ленты. Сделали бэкап, стёрли. И так каждую ночь. Через месяц опять кто-то проболтался. Стёрли с ленты.

Ну что ж, если начальство так настаивает… Перестали бэкапиться. Через неделю система упала — а восстанавливать-то не с чего. Получили люлей, конечно, но плавно перевели стрелки на безопасника. Управление перешло обратно к сисадмину.

Доводилось как-то «вскрывать» ради любопытства систему охраны по просьбе знакомого охранника. Да и молодой был, хотелось силы проверить.

Приводов нет, диспетчер задач действительно заблокирован. На весь экран — охранная программа. Программное отключение USB-порта? В моём случае просто был выключен автостарт. Возможности вызвать «Пуск» не было. Так как стояла «хрюшка», альт-табнуться на пустое окно, как в «семёрке», не удавалось. Выключать компьютер запрещалось, а если что — загрузка с других устройств запрещена.

И всё равно «защита» пала. Охранник ещё полгода смотрел фильмы, а обслужка, зная это, чесала репу и ничего понять не могла. Потом, сдавшись, у меня и узнали.

Собственно, решение: «Справка → О программе». В конце текста — ссылка на сайт разработчика. Кликаем — открывается IE. В строку «D:» — а вот уже и флешка появилась.

Разработчики, будьте скромнее!