Безопасность

Я служил в большом университете, при котором был ещё и больничный комплекс. В нескольких корпусах (по десятку этаже, по нескольку тыщ портов в стеночках) кабели были обжаты по-разному. Объяснялось это безопасностью. Придёт кто-то, подключит свой шпионский лаптоп — ан нет! А на NAC денег никогда не давали.

И был сервер, который наблюдал за такими подключениями и тут же сообщал в полицию кампуса. Не знаю, поймали ли шпиона. Студентов какое-то время ловили, а потом пришло сокращение штатов в безопасности, и стало не до этого. А потом пришёл вайфай, а так как на него отстегнули денежку, то и нормальную сегментацию и аутентификацию сделали.

Тимвьюер, Радмин — это всё хорошо. Но если работают вредители по имени «служба безопасности», пиши пропало.

Не далее как полгода назад мы с коллегами обучали безопасников элементарнейшим вещам. Теперь расклад иной. Они дорвались до интернета, умных статей на «ксакеп.ру» и зловредных программок.

Первым делом забрутфорсили сервер отчётов. К слову, видимый только из определённых подсеток, к котором они тоже относятся (естественно, сами же служебку накатали). Юзер там один — Otchet. Да, пароль у него тоже не ахти — Otchet. Сломали. Оставили без отчётов всю контору. Молодцы.

Потом запретили Радмин. Написали про безопасность. Удалённый помощник, типа, юзайте. Включили в списки не всех — в частности, меня там нет. Я могу это сделать, но не буду. Нет в списках — не надо. Кто обратится — сошлюсь, что мне нельзя. Безопасники пусть берут фотоаппарат и бегают по этажам, щёлкают экран — и назад. Не пойду принципиально.

Добили служебкой: «Запретить доступ юзерам таким-то к ПО такому-то». ПО писано не мной, человек сейчас в отпуске. Запретить можно, только если исключить учётку с сервера БД. Тогда не будет работать ещё куча софта, где авторизация такая же.

Ну почему не спросить об этом? Почему не спросить о технической возможности у специалистов, которые обучались этому, а не торчали всю предыдущую карьеру в ментовке, прежде чем рожать очередной бред?

Да пофиг, я отключу всё, что попросите. И не буду включать принципиально. Как бы ни орали юзеры, какого бы они ранга ни были. Пусть кого-нибудь оштрафуют уже. Может, голова заработает наконец.

Outpost: сотрудник службы безопасности. Все входящие в здание или выходящие из него подвергаются строгой проверке, причём проверяется всё, вплоть до цвета трусов и размера мочек ушей. Пускает в здание только тех, на кого есть особое распоряжение хозяина, выпускает аналогично входящим, причём пролезть через форточку не получится — себе же дороже. Может с первого взгляда вычислять террористов, киллеров, экстремистские группировки. В случае обнаружения расстреливает на месте, конфискует имущество и заносит в черный список.

Comodo: начальник СИЗО и вышибала одновременно. Войти в здание, не получив серьёзные увечья, практически невозможно. К выходящим из здания может относится по-разному, в зависимости от директив хозяина. Может проверять всех и вся, примерно как Outpost (правда, предварительно сажая в КПЗ и проводя допрос с пристрастием), а может выпускать всех подряд, даже тех, кто выносит хозяина, связанного и в бессознательном состоянии. Всех, кто ему не нравится, сажает в камеру и выбивает из жертвы признание, что это именно она выпила всю водку и побрила кота, и его не интересует, правда это или нет. Ходят слухи, что бывали случаи побега из СИЗО, однако Comodo учёл это, и теперь вместо камер у него герметичные стеклянные ёмкости, заполненные спецраствором, в которых хранятся заключённые. По трубкам в строго ограниченных порциях подаётся кислород и питательные вещества, а одна из них работает турбоклизмой. Через каждые полчаса — удар током.

Брандмауэр Windows: пофигистического вида дед-сторож с ржавым ружьём, которое никогда не видело патронов. Большую часть времени спит. Если его будит какой то шум, кричит: «Я всё слышу!» — и тут же засыпает. Если он остановит вас на входе, скажите, что вы к Сан Санычу. Можете не беспокоится, что никакого Сан Саныча там нет, сторож всё равно не помнит никого, кто работает на охраняемой им территории. Если вы выносите плазменную установку для уничтожения баллистических ракет, скажите ему, что несёте её в ремонт, и все вопросы отпадут. Правда, если вы являетесь честным сотрудником, он может остановить вас, например, потому, что вы носите джинсы, он уверен, что вы не заплатили за проезд, и ему не понравился цвет ваших волос.

Работаю в банке программистом. Банк — в десятке крупнейших нашей страны. Информационная безопасность в центральном здании, как вы понимаете, на уровне. Закрыто всё, что можно закрыть, вынести какую-либо информацию из банка невозможно. Даже на принтерах установлена система персонифицированного доступа.

Коллега переезжает в офис в другой город на постоянное место работы. Админы собрали комп, и коллега его вынес. Просто положил системник в пакет и пронёс через проходную.

Так и живём. Служба безопасности закрывает порты и блокирует флешки, а вот о возможности вынести целый системник, видимо, не догадывается.

Однажды пришлось задержаться в рижском аэропорту на шесть часов. Обнаружилась даже точка доступа, но при подключении редиректило на страницу типа «отправьте SMS на номер такой-то и получите логин и пароль», поля для ввода которых находились на этой же страничке. Платить пять баксов за час — как-то не по-студенчески. Пальцы сами ввели qwerty/qwerty…

Время до самолёта незаметно пролетело за чтением свежих цитат Баша. Спасибо неизвестному разработчику! Но на всякий случай: если хотите получить деньги за проект, убирайте тестовое подключение.

Присматривал я себе китайский смартфон. В РФ продаётся тысяч за одиннадцать. Иду на известный китайский аукцион. На этом сайте я впервые. Там ценник в районе восьми тысяч. Посмотрел подробности (естественно, без регистрации) и пошёл себе спокойно работать дальше. Страничку закрыл.

Минут через пятнадцать письмо на рабочий мейл падает. Открываю. Написано на характерном китайско-русском диалекте: мы-де есть посредники русскоязычные между вами и тем самым аукционом, давай, регистрируйся, будет тебе пять баксов на счёт и всякое другое счастье.

И вот тут мне серьёзно поплохело. Это ж за то время, что я сайт изучал, они каким-то хитрым скриптом через корпоративный и персональный файрволы залезли на комп, просканировали быстренько, вычислили мой адрес и прислали спам! Как страшно жить…

Иду к админу, жалуюсь. Меняется в лице. Потом начинает ржать: ему тоже спам от этого интегратора сегодня приходил. Совпало.

Я всего лишь стажёр в этом огромном городе, но и мне есть чем с вами поделиться.

Сижу я как-то дома, никого не трогаю, пью себе тихонько кофе, ковыряюсь в Zenoss. Заодно решил скачать дистрибутив Linux Mint. Чтобы глаза не мозолило, открыл виртуальный терминал tty1 и запустил там rtorrent.

Где-то через полчасика я c удивлением обнаружил, что музыка на Grooveshark грузится через раз, хотя раньше проблем вроде не было. Это побудило меня открыть Gnome Terminal и выполнить команду netstat -an. Перед моими глазами возникла страшная картина: под полтысячи активных соединений из непонятных сетей и ещё больше в состоянии только что завершённого сеанса! Что? Как? Что за странная DDoS-атака!

Ну ничего, мы люди со знанием. Беру в руки iptables и вручную настраиваю блокировку всех айпишников, которые в состоянии Established, по 28 маске (мало ли). Через полчаса такой работы интернет начинает работать с прежней скоростью, и я было уже вздыхаю с облегчением, что отразил атаку…

Вспоминаю о Linux Mint. Перехожу в tty1 и вижу, что ничего-то и не качается. Тут-то до меня и доходит, что это были за айпишники.

Даже если у вас есть CCNA и куча сертификатов по Linux, опыт работы решает всё, а у страха глаза велики.

Однажды моя девушка попросила решить проблемы с её компьютером после очередного винлока. Лицензионная W7, пользовательский аккаунт, отключённая автозагрузка, включённый UAC, Microsoft Security Essentials и подробное разъяснение, что если комп просит ввести пароль администратора в синем окошечке, то это можно, только если очень нужно. А если в жёлтом — то лучше не надо, но если очень хочется, то всё равно стоит спросить у меня. Больше проблем с этим компом не было.

Я часто вижу тут истории от «ремонтников», которые негодуют по поводу нечистоплотности коллег. Но ребята, почти все вы — примитивные паразиты, пользующиеся чужим невежеством. Нет принципиальной разницы между украденным железом, которое якобы поломалось, и таким «исправлением системы», которое слетит от любого чиха.

Один небольшой, но надёжный хостинг продаёт VPS. В марте купил у них под проект полдюжины серверов разного конфига на разных осях и обратил внимание, что пароли рута для никсов и администратора для винды на всех купленных серверах генерируются по одной очень простой схеме: одно и то же слово и две цифры после.

Задумался. Сгенерировал простенький брут-лист, прошёлся скриптом по диапазону айпишников провайдера — за несколько часов получил доступ к 243 VPS! С трудом удержавшись от порыва завести собственный карманный ботнет, написал провайдеру. Провайдер рассыпался в благодарностях и пообещал принять меры.

На днях купил у них ещё две VPS, получил письмо с учётками. Да, приняли меры. Слово поменяли на другое (одно и то же для всех серверов), число на конце теперь трёхзначное. И добавили строчку: дескать, не забудьте поменять пароль в целях безопасности.

Сгенерировал, просканировал, получил доступ ещё на 43 виртуалки. Уселся читать про удалённое администрирование.