Безопасность

Была у нас одна девушка, которая внезапно с работы перестала выходить в аську. «Я дома меняла пароль (там какой-то суровый линуксовый клиент), а на работе он не влазит в поле ввода QIP, так что не могу зайти. Менять снова лень». Это ж как надо делать окно авторизации, что в поле ввода влазит меньше символов, чем поддерживается системой?

* * *

Есть такой сервис работы над проектами — TeamLab. В веб-морду встроена общалка на основе Jabber. Товарищи, у которых Миранда основным IM-клиентом служит, тут же додумались подцепить общалку через Jabber-плагин, ибо веб-версия не столь неудобна. После получасовых танцев с бубном у одного из товарищей всё заработало и даже сообщения начались с веб-мордой синхронизироваться, а у другого коннект так и не пошёл. Спустя ещё час выяснилось, что пароль в кириллице, введённый в UTF-8 на сайте, не совпадает с тем, который пересылает Миранда в в том же UTF-8. Поменяли на латинский, списали на веб-магию.

Работаю админом в госорганизации. Для передачи платёжек и прочего в банк на одном из бухгалтерских компов стоит банк-клиент с круглым зелёно-белым логотипом.

Приглашают меня как-то к оному компу с целью обновления клиента, так как «нам звонили, сказали обновить». Слегка напрягаясь внутренне, с мыслью «будет архив с инструкцией, сейчас быстренько всё сделаем» прихожу. Попытки выяснить, кто звонил и где обновление, успехом не увенчались. Наверно, «в программе». Бухгалтер вставляет свою флешку с ключами и… мастерски трижды промахивается мимо пароля, чем блокирует свою учётку. Иду обратно, беру свой ключ, смотрю пароль, иду обратно. «Ваш пароль истёк, введите новый». Ввожу. Поиск по всем входящим папкам не даёт никакого результата.

Бухгалтер в панике (скоро зарплата и вообще) садится на телефон дозваниваться в техподдержку. Всего есть четыре телефона: тот, откуда звонили первоначально, но «мы ничего не знаем, мы только уведомляем», второй со «скажите ваш номер телефона, я заявку оставлю, вам перезвонят» и два именно техподдержки, но там, как водится, занято или трубку не берут. Принимается волевое решение попробовать снова через часок.

Через час ввожу свежезаменённый пароль — не подходит. Забыл, плохо ввёл, глюк программы? Админскую учётку не блокируют, поэтому идёт перебор всех близко похожих, мало похожих и «может, я вот тут ошибся». Чтение документации. Безрезультатно, теперь в панике уже я. Начинается массированная попытка дозвониться до техподдержки уже с целью восстановления пароля и получения обновления.

В недрах великого Гугла находится непонятно когда и непонятно кем созданная тема, как восстановить пароль. Надо в %foldername% удалить %filename% и заново всех перерегистрировать. Деваться некуда, приступаю. Бэкап, удаление файла, начало новой регистрации. Программа предлагает сразу ввести новый пароль для админа два раза, как водится. Печатаю я вслепую, а тут пароль крипкостойкий, и смотрю я на клавиатуру, поэтому не сразу замечаю, что из 11 вводимых символов в форму добавляется только восемь!

Меня осеняет. Отменяю всё, восстанавливаю из бэкапа файл, ввожу восемь символов нового пароля — получается! То бишь при замене пароля в форму можно вбить только восемь символов, а при авторизации — сколько угодно. Спасибо программистам из банка за два дня нервов.

Отсюда я сделал вывод: внимательность прежде всего! А из техподдержки потом позвонили. Оказалось, что программа у нас самая свежайшая и обновлённая, что подтверждает истину: работает — не трогай.

Всегда стараюсь с пониманием относиться к пользователям. Уже смирился с тем, что люди, которые в своём резюме пишут что-нибудь вроде «уверенный пользователь ПК, Office и интернета», демонстрируют вдруг непонимание очень базовых вещей, называют системник процессором, просят составить за них экселевскую формулу и не видят разницы между браузером и поисковиком.

Феерическая IT-каша в головах некоторых пользователей меня уже давно не изумляет. Но вот когда пользователи демонстрируют не только отсутствие знаний, но ещё и здравого смысла, это иногда сильно ошарашивает.

Ковыряюсь с компьютером одной из сотрудниц фирмы. Отправляю машинку на перезагрузку, винда загружается. Открывается блокнотовский документ, в котором написано что-то вроде: «Я взломал твои файлы, хочешь их обратно — пиши на ящик такой-то».

— У меня, кстати, уже давно это каждое утро выскакивает. Наверное, надо было сразу вам сказать?

И смотрит на меня наивными глазами, ожидая ответа.

Я работаю системным администратором, по вечерам пишу на PHP или Python, а для удовольствия ищу «дырочки» на сайтах. Первое, что я делаю, зайдя на новый сайт, — открываю исходники страницы. Мне нравится сам процесс поиска.

После того как уязвимость максимально «выжата», я делаю скрины, отсылаю баг-репорт администраторам, а когда дыру закрывают, делюсь скринами с друзьями. К сожалению, не все администраторы благодарят.

Блог-платформа N с элементами социальной сети. Долгое время пользовался, при нахождении бага рассказывал админам. После очередного захода нашёл серьёзную дыру. Решил попросить денег за работу — время всё же тратил. Пригрозили статьёй за вымогательство.

Очередной крупный сайт. Уязвимость, позволящая получить доступ в админку. Рассказываю админам. Грозят подать в суд.

И такое случается часто. Иногда уже думаешь: «А чёрт с ними! Всё равно никакой благодарности. Продам уязвимость на закрытых форумах, хоть деньги получу». Но я продолжаю сообщать админам о дырах.

Уважайте чужой труд и научитесь хотя бы говорить «спасибо».

Жил-был на свете мальчик Серёжа. Ну, конечно, не то чтобы вот просто так себе и мальчик. По крайней мере, пароли от всех свитчей в большой телекоммуникационной компании Серёжа знал, как «Отче наш».

И вот решил он однажды скачать Чёрный Сниффер. Только в сеть полез — а ближайший к нему свитч присылает ICMP-пакет, а в поле Payload написано человеческим языком: «Не скачивай, Серёжа, Чёрный Сниффер!» Остановился мальчик, подошёл к свитчу, послушал, как в нём вентилятор шумит, походил вокруг, постучал по корпусу, посмотрел на коллег подозрительным взглядом и пошёл обратно к своему компьютеру, подумав, что надо бы спать пораньше ложиться.

Сел за компьютер, набрал в Яндексе «Чёрный Сниффер» — глянь, а сверху странички написано: «Не ищи и не скачивай, Серёжа, Чёрный Сниффер! Плохо будет!» Посмотрел снова Серёжа на коллег с подозрением, убедился, что DNS его вместо Яндекса на какой-нибудь локальный сайт не отправляет, подумал о том, что не только спать надо, но и вообще, завязывать пора, да и пошёл по ссылкам. Первые две на какую-то порнографию вели, а третья — как раз куда надо, на самый сайт разработчика Чёрного Сниффера. Полез он в раздел Downloads, а там в соглашениях написано: «Запомни, Серёжа, тебя предупреждали о последствиях скачивания Чёрного Сниффера, всю ответственность ты берёшь на себя». Вы читаете соглашения? Вот и Серёжа не стал читать и очередного предупреждения не заметил.

Долго он потом воевал с инсталлятором — отказывалось проклятое дитя микрософтово ставить на себя Чёрный Сниффер, но Серёжу такая страсть к этому снифферу обуяла, что ничего уже не хотел вокруг себя видеть — списал всё на обычные виндовые глюки.

Поставил Серёжа Чёрный Сниффер и запустил. И тут слышит из колонок голос: «Что ты наделал, Серёжа? Ты всех нас погубил!» Подумал он, что, наверное, воздух в помещении слишком спёртый, вот и мерещится всякая ерунда, включил кондиционер и пошёл по коридору прогуляться.

А Чёрный Сниффер тем временем стал делать ARP poisoning, а на ближайшем к Серёжиному компьютеру свитче Port Security не поднято — зачем оно, если в свитч только админы воткнуты? И на других свитчах тоже не поднято, потому что лень было. И стали все пакеты из сети собираться на Серёжин компьютер, а поскольку сеть большая, пакетов много, в кабель не лезут, толкаются. Cтал образовываться около порта на свитче вихрь электронов. Сначала он выглядел, как небольшое свечение, потом начал закручиваться воздух, в воронку стало затягивать окружающие предметы. Затянуло стойку, в которой этот свитч стоял, потом стулья в серверной, окружающие стойки, потолок, стены… Через минуту обрушилось всё здание и похоронило под собой всю большую телекоммуникационную компанию, а с ней и Чёрный Сниффер.

Это место теперь тщательно залили бетоном, огородили и охрану поставили. Конечно, всё, что с этим связано, строго-настрого засекретили. Но люди говорят, что где-то там, за рядами колючей проволоки, под слоями бетона, до сих пор работает на UPS Серёжин компьютер, а на нём запущен Чёрный Сниффер — и, не приведи Господь, однажды вырвется он наружу!

Знакомая родителей, которой я время от времени излечиваю древний ноутбук от всякого рода гадостей, снова звонит и просит помощи. Популярная русская соцсеть вглухую утверждает, что пароль неправильный, и просит подтверждения через SMS. Знакомая в компьютерах совсем ни бум-бум, эсемесок десять скинула — ноль эмоций, ответы с вожделенными кодами доступа не приходят.

Приехал, стал копать. Оказался обычный редирект, который отправлял знакомую на копии популярных сайтов, которые требовали SMS.

Крайне порадовало, как неизвестный куцхакер подошёл к процессу. Сверху в «хостах» стоял стандартный список редиректов. Потом порядка сорока отступов вниз — строчка редиректа для «контакта». Ещё пятьдесят отступов — редирект для «однокашников». Ещё пятьдесят вниз… Ну, вы поняли.

А спас знакомую от списаний крупных средств с номера счёта выданный на телефоне кредит. На момент отправки SMS на её счету было −450 рублей, а лимит составлял −650. Сообщения отправлялись, но деньги так и не снимались. Повезло, что называется.

Задолбали юзеры, которые, видя ошибку или незакрытую уязвимость на сайте, радостно потирают ручки, прыгают до потолка и начинают рассказывать друзьям и знакомым, как можно «надурить лохов-админов» и сделать то, что разработчик в свой продукт не закладывал.

Я понимаю, когда вы хотите обойти защиту платной проги, «крякаете» её и пользуетесь бесплатно. Все мы живые, всем хочется потратить деньги на отдых на море или лишнюю шмотку. Не скажу, что я это поддерживаю, но понимать понимаю.

Но когда вы бесплатно и добровольно приходите на сайт, общаетесь, играете, получаете какие-то знания, пишете в блог, зачем гадить? Зачем пакостить? Неужели так сложно написать по внутренней почте разработчику: «А вы знаете, у вас вот тут, наверное, ошибка»? И все были бы довольны: вас бы похвалили (причём прилюдно), админы бы порадовались, что у них такой сознательный пользователь, сам сайт стал бы лучше. Но нет же: куча идиотской радости, головная боль и полночи работы админам, не считая их нервов, которые тоже не железные.

Есть, конечно, и другая крайность — хронические баг-репортёры, но о них пусть расскажут другие.

На компьютере в отделе кадров должна быть установлена программа для сбора данных с турникетов: нужно отслеживать, кто во сколько вошёл в здание. Программка простенькая, лёгкая, в настройках за две минуты разберёшься. Но вот ведь какая фишка: программка требует прав локального администратора, потому что опрашивает подключённые по RS-232 терминалы по уникальному протоколу.

Костыли не помогают. Нужно либо давать админские права юзверю, либо переписать половину проги. На второе нет ни времени, ни желания: гарантия теряется. Ах да, техподдержку-то никто не закупил.

Плюнул тогда админ на собственноручно написанную инструкцию, пошёл к директору и объяснил всё в простых рабоче-крестьянских выражениях. Директор вызвал ответственного кадровика и в таких же выражениях приказал логиниться под админом не более чем на пять минут в конце рабочего дня и только для того, чтобы снять статистику.

Чем дело закончилось, не знаю. Подозреваю, что и до сих пор кадровик с секундомером сидит по вечерам.

Разбирайте каждый случай досконально и не делайте обобщений, не разобравшись во всех тонкостях. Есть несколько систем документооборота, которые тоже требуют админских прав. Учитесь быть сдержанней — и мудрость посетит вас, коллеги.

Вбил в нижнюю часть одного сайта: «Powered by ZX Spectrum». Недавно чуть ниже появилась надпись: «Cracked by Bill Gilbert». Экстаз!