Безопасность

Моя контора взяла на пусконаладку новенький головной центр банка. Основную систему запустили, отладили, собрались уезжать. Уже на выходе подбегает местный руководитель с просьбой подключить ещё один комп для охраны, чтобы за стойкой отображались фото людей, проходящих по пропускам. Ну что же, надо — значит, надо. Притягивают комп, я его подключаю, запускаю, а учётка админа запаролена. Под рукой для вскрытия ничего нету. Решил позвонить админам банка.

— Здравствуйте! Подскажете пасс ваш стандартный для админских учёток на компах?
— Ну, ты это, бери карандаш и записывай.

Наверно, думаю, завёрнутый очень круто пароль.

— Записывай админа от свитчей…

Диктует. И ещё десять позиций, включая доступ к БД пользователей, серваков и так далее. Я в шоке. Переспрашиваю:

— А от обычных машин, на которые с нуля ось ставите, какой обычно пароль?

В трубке несколько секунд тишины, потом фраза очень осторожным голосом:

— А вы не могли бы зачеркнуть то, что я вам продиктовал, потом как-нибудь это разорвать и выбросить подальше? А эти пароли, что вы просите, я не знаю, — сказал админ и положил трубку.

Сидел в гостях с недобуком, решил поймать вайфай. Нашёл сетку с именем соседа. Адрес знал — ввёл в телефонный справочник, узнал фамилию. По фамилии нашёл скайп-аккаунт в известной социалке. Логин скайпа и оказался паролем от вайфая. Скорость, надо сказать, была получше моей.

Ребята, ну научитесь же вы нормальные пароли ставить!

Работаю программистом в секретном американском месте. Недавно вернулась из отпуска по беременности. Вижу — моё место уже занято. Попыталась предложить новому сотруднику пересесть за новый комп, который ещё только-только собирали. Пока болтали, заметила: винда ещё моя стоит, не переустанавливали после меня. Сотрудник упирается рогом: никуда я не пойду, и всё тут!

Ладно, говорю, оставайтесь.
Ctrl+Alt+Z — карта памяти.
Ctrl+Alt+X — редактор ОЗУ.
Ctrl+Alt+V — редактор диска.
А Ctrl+Alt+C лучше не нажимать — будет упс.

Рассказала и ушла обживать новый комп. Сегодня прихожу — стоит парень перед чёрным монитором и грустно-грустно так говорит: «Не запускается…» Пришлось идти к админам, учить их прошивать мою бывшую мать и мой бывший винт.

«А ещё он заставил нас купить вот этот сервер… — прокомментировала соседка в ходе ознакомления с IT-хозяйством её офиса. — 65 тысяч рублей за него отдали. И ещё тонкие клиенты должны были купить, но он сказал, что на них скайп работать не будет, потому от них отказались и купили обычные десктопы. Вот теперь сидим и слушаем, как этот гроб гудит. Достало уже, но что делать? Выключать он его строго запретил…»

Подключив к гробу монитор и клавиатуру, на нулевой консоли обнаружил незакрытую сессию рута. Из-под CentOS были запущены две виртуальные машины — одна работала шлюзом в интернет, вторая — как бы контроллер домена и файлопомойка на Samba. Конечно же, все партиции с данными этой файлопомойки зашифрованы LUKS’ом. Если б не открытая (видимо, от лени) сессия рута — так сервер прямо неприступная крепость на случай визита «маски-шоу», мечта любого «чёрного бухгалтера».

Смотрю /var/log/secure — успешная аутентификация рута по SSH с утра пораньше. Изучаю /root/.bash_history — что ни строчка, то vi /etc/… Смотрю время изменения конфигов — точно, 11:00–11:30, а в 11:40, со слов обитателей офиса, уже ничего не работало. Картина Репина — «Обиженный админ» в FullHD.

Объясняю хозяйке офиса, что без паролей от виртуальных машин и зашифрованных разделов я ничем помочь не смогу, пытаюсь выяснить причины конфликта и начинаю медленно сползать по стене. В офисе человек появлялся лишь раз в месяц за зарплатой: «Я вам всё удалённо делаю, чего мне зря мотаться», но при этом требовал 150% прибавки, а главное — за прошедшие с момента начала работы фирмы три месяца так и не смог подключить принтер и запустить «жёлтую программу»: документы бегали печатать к соседям, бухгалтер плюнула на всё и работает на своём компьютере дома. Когда этому IT-специалисту утром вежливо намекнули, что надо бы или работу доделать, или прекратить дальнейшее сотрудничество и передать все логины-пароли, человек изрёк лишь одну фразу: «Запомните: с айтишниками и гаишниками лучше не ссориться!» Жаль, в качестве пароля к разделу она не подходит.

Пытаюсь выяснить: а действительно ли такие меры безопасности с шифрованием данных нужны? Чем фирма-то занимается, какая коммерческая тайна на сервере гибнет?

— Да какая коммерческая тайна? Нас тут всего трое работает, бухгалтерия вся белая, а мы презентации рисуем да по электронной почте документы отправляем. Нам вообще изначально всего три ноутбука, проектор и принтер требовались для работы, мы же 90% времени на выезде у клиента эти самые презентации показываем. Но вот этот специалист сказал, что надо вот так, с сервером…

Пригласили меня в нашу службу безопасности — у их начальника не работала почта внутрикорпоративная. Заводят в кабинет, сажают за комп. С одной стороны начальник СБ стоит, с другой охранник вооружённый. Запуская машину, никуда стараюсь не смотреть: не туда глянешь — не расстреляют, наверное, но премию точно отрежут.

Винда просит пароль. Спрашиваю у начальника СБ:

— Какой пароль?

И тут мне это сверхсекретное чудище с армейским прошлым (безопасник без него не бывает) молвит человеческим голосом:

— От 1 до 9, вон бумажка на мониторе приклеена.

Админю в небольшой конторе в далёком Замкадье. Работа не особо нервная, на полставки, но иногда бывают небольшие форс-мажоры.

Однажды, просматривая логи шлюза, вижу, что auth.log растёт как-то неестественно быстро. Смотрю и удивляюсь: в логах чётко просматривается усиленная долбёжка ко мне на сервер по SSH. Решаю проблему тривиальным образом — перевешиваю SSH на другой порт. Однако, будучи по натуре параноиком, задумываюсь над реализацией сверхзащищённого файрвола.

Начинаю усиленно курить маны по небезызвестному стандартному файрволу FreeBSD и вдруг понимаю, что та конфигурация, которая сейчас действует на шлюзе, вообще ни от чего не защищает, а наоборот, предлагает. Мысленно придумываю каламбур: «Этот файрвол ничего не файрволит, мы пойдём другим путём» — и состряпываю на скорую руку конфиг параноидального вида, совершенно упуская из вида одну важную деталь. Без тени сомнения отправляю сервер в ребут и через минуту слышу недовольные телефонные звонки от пользователей: «Нет интернета! Почта не отправляется!»

Пытаюсь подцепиться к шлюзу по SSH — болт! Поняв, что перемудрил с правилами файрвола, вылетаю и бегу к шлюзу, который стоит довольно далеко, моля админского бога о том, чтобы поблизости оказались монитор с клавиатурой. В голове бегают нездоровые мысли, что сейчас меня будут бить бесперебойниками, если ничего не заработает. Админский бог помогает, и после очередного ребута система работает отличным образом с дефолтным конфигом.

На этом я не успокаиваюсь, и пишу новый конфиг, уже разрешая SSH. Теперь-то должно прокатить! Вы уже поняли, чем кончилось дело? Да-да, опять меня ждала беготня к серверу…

Админы, если уж вы так любите SSH, не экспериментируйте с файрволом в рабочее время, а если уж и экспериментируете, то постарайтесь, чтобы сервер стоял поближе, оснащённый монитором и клавой. И ещё… Не будьте параноиками, коллеги!

Понедельник, утро. Раздаю пользователю вайфай с десктопа на ноут. Закончил процедуру на десктопе, перехожу к настройке ноута. Указываю имя сети, ввожу WPA2 passkey, подключаю — готово, всё работает! С радостью, что всё получилось быстро и без танцев с бубнами (эх, рано же я обрадовался), демонстрирую работу клиентке:

— Ну, собственно, всё готово. Сеть шифрована, за перехват трафика можете не волноваться.

— А если ноутбук перезагрузить, всё автоматически подключится, не нужно будет ничего настраивать?

— При перезагрузке подключится автоматически, вот смотрите.

Перезагружаю ноут. Через пару минут винда бодро показывает логон-скрин с просьбой ввести пароль. Даю ноут клиентке, она вводит. Пароль неправильный. Спрашиваю, точно ли она помнит пароль. Начинается спектакль. Абонентка уверяет, что сама видела, как я менял пароль, и что раньше при вводе пароля его всегда было видно, а сейчас только точки.

Ну, думаю, фигня — загрузиться с LiveCD и сбросить пароль. DVD-привод диски не читает. Совсем. Функции загрузки с USB в биосе нет, по сети тоже. Учётка админа тоже под паролем.

Пытаюсь ввести пароль сам: меняю раскладки, регистр, чередую строчные буквы с заглавными. 20 минут тупого ручного брутфорса. Никакого эффекта. В отчаянии сижу и смотрю на экран монитора, пытаясь с помощью телепатии сбросить пароль. И тут прекрасное создание восклицает:

— Может, единичка?

1, Enter… «Добро пожаловать»! Как сейчас помню то невероятно сильное желание взять и разбить ноут о голову девушки. Удержался — стрессоустойчивость ведь. Теперь взял на заметку никогда не ребутить компьютеры клиентов — дурная примета, к геморрою.

Давеча у нас был разбор полётов, посвящённый обсуждению отчёта проверяющей компании. На орехи досталось всем: кому больше, кому меньше.

Решил повыкобениваться и сорокалетний дядечка, пришедший к нам из органов МВД на должность руководителя отдела безопасности. На планёрке у генерального он выступил с пламенной речью о низкой квалификации сотрудников информационного отдела. Рассказал, что его подчинённый взломал электронную почту компании, поместил на рабочий стол какой-то файл и вообще нашёл кучу дыр в защите. О том, что этот талантливый сотрудник — не кто иной, как выходец из IT-отдела, а благословение на взлом почты он заблаговременно получил от информационников, дядечка умолчал. Зато распинался насчёт того, что отдел можно упразднить. Кучу неприятных вещей наговорил.

Генеральный попросил парировать. Главный админ, КМС по рукопашному бою, встал с места, поднял за шкирку дядечку и, несмотря на сопротивление, аккуратно положил лицом в пол, заломав обе руки. По завершении действа админ в предельно корректной манере объяснил, что в данном случае отдел безопасности ни в коей мере не справляется со своими задачами ввиду его низкой квалификации. Предъявил лежащее тело его руководителя как доказательство и посоветовал почитать его письменный отчёт.

Чем кончится — не знаю, но что-то будет!

Знакомый, далёкий от техники и технологий, купил себе домой вайфай-роутер. Не особо парясь, просто включил его в розетку, оставив соединение незащищённым, как есть.

Звонит через четыре дня мне: «Не работает вайфай, помоги!» Приезжаю, смотрю, что произошло. Оказалось, что его добрые соседи не только сосали всё время халявный трафик, так ещё и на четвертый день пароль на роутере поменяли и WPA2 включили.

Вот вам и «украсть интернет». Ну не сволочи, а?