Безопасность

В студенчестве после года работы приходящим админом я устроился в издательство дизайнером. Интернет в те времена только начал входить в нашу жизнь, а ADSL себе могли позволить только организации. Оплачивался он, естественно, по трафику.

К тому моменту я подсел на пару тематических форумов, и, как ни крути, в промежутках между вёрсткой макетов очень хотелось покопаться в инетах. Директор же считал, что инет положен только сейлам, поэтому админу он сказал раздать инет только на определённый диапазон IP. Админил наше издательство сомнамбуличный приятель директора — Сергей по кличке Каспер. Так как большую часть времени Каспер медитировал у себя в закутке, то я иногда помогал тёткам-сейлам. Заодно посмотрел, какие у них IP. Нехитрым перебором назначил себе нужный, а чтобы не спалиться, сделал себе софтовый тумблер отключения инета, так как шеф иногда проверял его наличие, забив в «ослика» Яндекс.

Как в таких случаях и бывает, однажды шеф всё же застал меня с интернетом и поручил Сергею заблокировать мой IP. Я подобрал другой адрес, меня опять поймали и опять заблокировали. В конце концов IP с инетом осталось штук пять, и все были розданы. Маразм крепчал. Сейлов набирали все больше, но IP новые не открывали. Дошло до того, что сейлы по очереди сидели за компами, чтоб в инет слазить. Я на какое-то время сдался.

В конце концов сейлы вытеснили дизайнеров, и нас посадили в одном кабинете с Каспером. Однажды, когда Каспер вышел налить себе кофе и оставил незаблокированный комп (это с ним редко бывало), я рывком подъехал на кресле к его компу и заменил его пароль на тот, который Сергей обычно ставил юзерам при первом подключении. А когда он ушёл на обед и всё же локнул комп, я влез в панель управления и добавил своего пользователя в группу админов. Ключи от королевства были у меня! Дальнейшее уже было делом техники.

Вскоре вернулся Каспер, сел за комп. Краем глаза стал наблюдать за ним, изображая занятость. Не особо смутившись, со второй попытки Каспер залогинился, затем повернулся ко мне:

— Прикинь, винда глюкавая: взяла и скинула мне пароль на предыдущий. А я ведь сто пудов менял его!

Я приложил титанические усилия, чтобы сохранить покерфейс и посочувствовать.

Серёга, если читаешь это, извини за ту шалость — очень инетов хотелось.

Вот уже не первый год моя точка доступа доступна всем желающим, причём меня это совершенно не напрягает: приоритет трафика настроен так, что сначала проходят «мои» пакеты, а все остальные обрабатываются по остаточному принципу. За всё это время была всего одна попытка злоупотребить моей щедростью, но зато какая!

Распределением приоритетов, а также всеми остальными сетевыми функциями у меня заведует сервер под управлением «безопасной серверной платформы» с финским ядром и гнутым обвесом. Помимо нескольких сервисов для внешнего мира, на нём трудится Squid, раскормленный до Ктулху и перехватывающий все транзитные HTTP-соединения. За всеми остальными потоками данных, идущих из вайфай-сегмента наружу (и в ответ), приглядывает tcpdump, пишущий вообще всё. Логи получаются объёмные, зато полные.

И вот случилось… даже, можно сказать, свершилось то, чего я ждал: мою точку доступа облюбовал какой-то малолетний долбодятел и начал гадить везде подряд. В скором времени его действия привлекли внимание не только провайдерской abuse-службы, но и «органов» (забегая вперёд, скажу, что я был изрядно удивлён довольно высокой квалификацией сотрудников БСТМ), моя беседа с представителями которых оказалась в целом конструктивной, хотя и не самой приятной: они не нашли ничего умнее, чем первым же делом обвинить во всех непотребствах лично меня, а узнав про логи, попытались убедить меня в незаконности записи трафика, проходящего между моей точкой доступа и моим же сервером. Когда первичное взаимонепонимание исчезло, возник вопрос: «Если не я, то кто?», и на него у меня уже был исчерпывающий ответ.

Что было дальше — я не знаю, ибо моё участие в данной истории на этом закончилось. Судя по тому, что, получив логи, дяди из «органов» меня больше не беспокоили, а других попыток злодейства через мой вайфай не было, могу предположить, что логов оказалось достаточно. А точка доступа по-прежнему остаётся открытой: пока ей пользуются по делу — мне не жалко, а появится очередной злодей — у меня логи пишутся.

От администрёжа я уже отошёл, но осталось некоторое количество своих, которые ко мне всё равно обращаются. Отказать не могу: дружеские отношения требуют определённых усилий для их поддержания.

Неделю назад один из моих старых товарищей (больше двадцати лет дружбы — это много) поднял меня в восемь утра звонком на мобильный. Жаловался, что не может зайти на целый ряд сайтов. Никаких писем от администрации он не получал. Ничего противозаконного не делал, а вот зайти не может. Странно и непонятно.

Ладно, делать нечего — друзей положено выручать. Наскоро выпив чашку кофе, еду к нему. Осмотр компьютера показал, что «венерические заболевания» исключаются. Ещё пару лет назад товарищ по моей рекомендации установил Kubuntu и потому о вирусах уже успел забыть. Проверка с помощью мобильного телефона показала, что войти на все сайты, которые недоступны со стационара товарища, под его логином и паролем вполне получается. Вроде как чертовщина, но тут мой взгляд падает на мирно стоящий на столе роутер, который работает, смею заметить, в режиме 24/7. Ага… Лезу в настройки — и что я вижу? Правильно: незапароленную сетку.

Думаю, что дальше объяснять нет нужды. Да, какой-то «слишком умный» мелкий пакостник начал гадить в интернете. Есть такие закомплексованные моральные уроды, которые, как только чувствуют безнаказанность, сразу же пакостят. Администрация сайтов решила не заморачиваться и просто пристрелила урода по IP-адресу. Надо ли говорить, что IP был белым?

Чем закончилось? Закончилось тремя днями переговоров с провайдером на тему смены IP (хвала богам, переговоров успешных) и вставлением товарищу пистона на тему закрытия сети от посторонних.

У кого-то ещё возникает желание оставить сетку открытой, чтобы сделать доброе дело соседям?

После Нового года поставили у нас в конторе аж 11 камер наблюдения. Влагозащищённые, с ИК-подсветкой, по полторы штуки гривен каждая. Плюс ещё DVR на урезанном дистрибутиве Linux. Это чтобы наши водилы, значит, бензин не сливали на территории предприятия. Поставили, настроили, подключили UPS: отдельно для DVR, отдельно для камер. Всё кошерно и красиво.

А сегодня утречком, в 3:30, одну из камер банально спи… спионерили, в общем. Причём явно работал человек знающий: крепления не вырывал, саморезы выкрутил аккуратно шуруповёртом (слишком быстро для отвёртки), кабель аккуратно же отрезал. При этом ни разу не «засветил» морду лица. Только на одном кадре смутно видно, что физиономия у него бинтами замотана.

В панике вызвали местную службу безопасности. Та явно хочет переадресовать всё ментуре (правильно — им геморрой такой не нужен), последние тоже явно не горят желанием «висяк» себе поиметь. В общем, интересно. А главное — столько бабла потратить на систему, которую первой же и разворовали, — это да, это по-нашенски!

Готовим к запуску АСУ. На объекте пропускной режим — не суровый, но на всякий случай записываем оборудование, которое заносим, чтобы не возникало лишних вопросов при выходе. Записывает охранник под диктовку, потом ставим подпись. Дело нехитрое.

В очередной раз прохожу эту нехитрую процедуру. Взгляд падает на список, который был подписан мной в прошлый раз. Там обнаруживаю два загадочных объекта.

1. Вольтиметр. Видимо, охранник ничего не слышал о таких приборах, как мультиметры, зато вольтметр где-то в задворках разума со школьных экспериментов остался. Вот и скрестил услышанное со знакомым.

2. Электронслятор. Вот так вот банальный ретранслятор, он же повторитель сигнала для RS-485, превратился в неизвестного зверя. Видимо, в голове опять немыслимым образом замкнулись цепочки, и преобразователь сигнала из устной формы в письменную дал сбой.

Хорошо, что на выходе всё-таки редко спрашивают, что выносим, а то пришлось бы показывать это.

Здравствуйте, дорогие товарищи! Попробую немного прояснить ситуацию с другой стороны баррикад. Уж не знаю, в какую категорию («стара» или «млада») я попадаю со своими неполными 25 годами, из которых больше половины проведено за монитором, но…

С определённых пор я стал придерживаться очень простой максимы: всё, о нераспространении чего ты напрямую не договаривался (и что не влияет так уж сильно на безопасность типа «уезжаю с такого-то по такое-то, дома никого не будет»), стоит смело выкладывать о себе в сеть. Причина очень проста: это отличная фильтрация неподходящих вам людей.

Вам нужен начальник или сослуживец, который хихикает над тем, что вы «мультики смотрите»? Вы хотите скрывать до победного от девушек, с которыми встречаетесь, свои увлечения? Вы стыдитесь своих радикальных или неудобоваримых взглядов, которые высказали где-то на форумах? Вам нужны пуритане в друзьях, которые увидят пару пьяных фотографий с особо дурацких ракурсов и скажут «фу»? Мне вот что-то не очень хочется с такими общаться, да и не приходится по результатам такой тактики.

Так что не стыдитесь самих себя, не совершайте подлых поступков, и вы тоже придёте к выводу, что концепция прайваси в современном мире потихоньку себя изживает ввиду своей глубоко лицемерной сути. Очень надеюсь, что это случится ещё при моей жизни. Мир станет чуточку сложнее, но и чуточку лучше.

Конечно, если вам архив Wikileaks надо выкладывать или пополнять (или что-то в таком духе) — анонимные P2P-сети и прочие средства шифрования и анонимизации к вашим услугам. Но в обычной жизни такая параноидальная защита сродни установке бронированной двери из банковского хранилища в квартире: в первую очередь вызывает серьёзные подозрения в адрес деятельности хозяина.

Директор компании, человек, помешанный на безопасности информации, болтает с женой, айтишницей в декрете, по телефону.

— О, я смотрю, ты побрился!
— Куда смотришь? Ты меня видишь?!
— Да ты у меня как на ладони… Дома покажу. Давай, мелкая кричит, пока!

Вспотевший директор понимает, что жена нашла способ за ним наблюдать. Значит, и враги могут. И ни черта не стоит вся корпоративная безопасность. Веб-камера летит в помойку, на планшете и телефоне камеры заклеиваются скотчем. Созывается срочное совещание, на котором наизнанку выворачивают начальника по информбезопасности. Весь офис на ушах. IT-отдел в панике.

На утро следующего дня директор устроил онлайн-совещание, поблагодарил всех за работу и сказал, что это была учебная тревога. Но правда всплыла: дома директору показали волосы, которые он не смыл с раковины после бритья.

Озадачилось наше начальство так называемой IT-безопасностью. Антивирусы, обрезанные права юзверей, тонкие клиенты и всё в таком же духе начальство перестали радовать уже через пару месяцев. «А давайте-ка придумаем что-нибудь ещё!» И понеслось: виртуальные машины, зашифрованные диски, отдельный сервер в подвале за железной дверью. Мало того, что кто-то «умный» из приближённых посоветовал запретить всю возможную удалёнку, так ко всему хорошему заставили на кнопочку ресета прикрутить удалённую перезагружалку сервера.

Минимум два-три раза в неделю срабатывала эта самая сигнализация и перегружала сервер. Поднимать его — это долгий путь в другой корпус, поиск человека, который откроет дверь в подвал, прогулка в полусогнутом состоянии через узкие коридорчики подвала. Надо попасть тремя одинаковыми по внешнему виду ключами в три одинаковых замочных скважины, подсвечивая зажигалкой, в очередной раз прослушать милую трель сирены в замкнутом пространстве при срабатывании геркона открытия двери, отрубить всё на фиг, поднять сервер и всякие зашифрованные диски. И, главное, не забыть взвести эту тупую систему для следующего срабатывания. На всё про всё около двух часов, в течение которых пользователи сидят и читают на тонких клиентах: «Searching for server». А всё почему? Потому что кривой китайский софт, который обрабатывает SMS-команды управления этой сигналкой, очень неадекватно реагирует на всякие рекламные сообщения и впадает в «аларм».

Уважаемый работодатель! Если ты это прочитаешь (а я на это искренне надеюсь), ты, надеюсь, поймёшь, что нельзя защищать сервер за 40 тысяч американских рублей приблудой за сотню. С уважением, твой бывший «тормозной админ, который ни @#$ не делает, и у него всё ломается». Ну, пошёл писать заявление, пока по статье не оформили…

Недавно столкнулся с бедой: «кулхацкер» через китайские прокси пытался пробиться ко мне на сервер, он же шлюз. На самом сервере ничего интересного нет вообще, но вот повадился — и всё тут. Ломится по SSH круглосуточно. Доступ открыт только с определённых IP, но канал негодник зафлудил по самое не балуй.

Надоело, решил сменить порт на sshd. Не мудрствуя лукаво, коннекчусь, меняю порт на 22056. Сохраняю конфиг, пишу service sshd restart и тупо смотрю в монитор.

Через пять секунд доходит: а правила у нас в iptables какие? Всё, что не разрешено, запрещено, а тот самый порт 22056 в список разрешённых не входит. Приплыли. А сервер за сто километров от меня. Ехать ну очень лень, но надо. Собираюсь вот, кофе допиваю, казус дописываю — и в путь…

Камрады по цеху, будьте бдительны в параноидальном стремлении защититься от «кулхацкеров», особенно если сервер далеко.