Безопасность

Я юрист в большой компании. Мой профиль — антимонопольное законодательство и антипретензионная работа. Каждую неделю — командировка куда-то на просторы нашей необъятной.

Вернулся как-то из командировки — а у нас новый сисадмин. Паренёк рьяно взялся за дело: поудалял везде нелицензионное ПО, поставил вместо него Опенофис, закрыл всем интернет. Мою машину не включил — там TrueCrypt. Когда я на работе, я за комп его не пускаю, без меня он не может его включить. Интернет в обход прокси я сделал себе сам: у этого умника не хватило ума поставить пароль на встроенную учётку администратора на своей машине или отключить её, а в обеденный перерыв весь коллектив ровно час в местной столовой. И да, когда я не в командировке, частенько играю в третьих «Героев»: хорошо успокаивают мозги.

Тут народ писал, что игрушки на работе у тех, кто ничего не делает. Каждая моя командировка — это или новый контракт для компании на суммы с шесть-семью нулями, или отбитая претензия на триста-четыреста тысяч. Прийти в организацию, понаставить везде паролей, не понимая, какие элементы сети ключевые, и считать себя умнее всех, потому что «король всея доступа» — это синдром вахтёра. «Мне позволено, вот я и буду стирать игрушечки остальных работников!» Друг, потому что позволено или потому что больше ничего не умеешь?

Сначала анекдот в тему.

* * *

Хакеры и ламеры едут на конференцию. Встречаются у касс вокзала, где и те, и другие берут билеты. Ламеры покупают по билету на нос, хакеры берут один билет. Удивлённые ламеры спрашивают:

— У вас чё, только один человек едет?

— Да нет, все.

— А как же вы?

— А это наши трудности.

В поезде ламеры занимают места согласно купленным билетам за полчаса до отправления. За 45 секунд до отхода появляется стая хакеров. С криками «Мы товарища провожаем!» вся толпа врывается в вагон и закрывается в туалете. Поезд трогается. Контролёр подходит к туалету и стучит. Высовывается рука, протягивает билет. Через некоторое время хакеры, как тараканы, расползаются по поезду.

Едут обратно. Опять встречаются на вокзале. Ламеры, укравшие копирайт, берут один билет. Хакеры билета не берут.

За 45 секунд до отхода врывается толпа ламеров и запирается в туалете. Поезд трогается. Стук в дверь туалета. Высовывается рука, протягивает билет. Хакер хватает билет и бежит в другой туалет.

Мораль: не всякий алгоритм, разработанный хакером, может быть использован ламером.

* * *

Теперь сама история.

Болтаю на прогулке с приятельницей-собачницей о том, о сём, переходим на компьютерные темы. Иногда консультируется у меня, помогаю, что умею. Комп знает на пользовательском уровне. И захотелось ей меня удивить. В лоб выдаёт:

— Ну всё, я такое придумала, что твои хвалёные хакерюшки меня не достанут и не взломают, если только сайты, где имею регистрацию, разберут на запчасти! А через почту — никак! А ты, самоучка, и подавно.

Сразу пробежали мысли толпой: завела почту на каком-нибудь суперзащищённом малоизвестном почтовом сервере, поставила замудрённый пароль, который брутить замахаешься, заумный секретный вопрос…

— Ну, — говорю, — и что ж такого сумела придумать?

— Мою почту на Яндексе помнишь?

— Ну… Помню, писала тебе на неё.

— Я её уничтожила! Ты понимаешь, она уже не существует! И что хакер будет ломать? Через что лезть?

Стою, похихикиваю, она начинает злиться и развивать свою мысль дальше.

— Ржи дальше, могу поспорить, что это надёжно придумано!

— Ну, и на сколько споришь? Твой придуманный способ дыряв, как сито! Я, как ты выразилась, самоучка, в данном случае доберусь до всех твоих привязанных акков в считанные минуты.

— На тысячу! Или слабо самоучке? (Не забыла подколоть…)

Ещё немного поспорив, договариваемся на тысячу и расходимся с собаками по домам.

Вхожу в Яндекс-почту, регаю тот же логин, который был у неё. Никто пока не захапал — свободен. Пока осматриваюсь, со всех сайтов, прикреплённых к этой почте, сыплются новости, ответы на комменты и прочее. Позалазить с почты во все аккаунты — дело нехитрое и недолгое. Звоню ей.

— Готовь тышшу, родная! Я уже вовсю лазаю по всем твоим сайтам!

— Как?! Этого не может быть!

— А вот так, дорогуша! Тышшу гони, ведь проспорила!

Перечисляю, какие сайты к почте привязаны, читаю ей кое-что из привата.

— Ну ты и сука! — орёт приятельница в трубку. — Иду к тебе с деньгами, покажешь, как ты ко мне влезла. И умоляю, не лазь дальше, там кое-что из очень личного.

Жду, вкладки не закрываю. Читаю анекдоты. Минут через десять она как штык у меня. Показываю, рассказываю, отдаю пароль с секретным вопросом, чтоб потом поменяла. Оказалось, наслушавшись моих рассказов, что почта у меня от сайтов отвязана, приятельница это поняла по-своему, что и проделала, попросту удалив почтовый аккаунт.

Попросил меня как-то знакомый вайфай ему в офисе настроить. Роутер купил по моей подсказке, проблем не было. Настроили и пароль поставили посложнее:

ОднаждыВСтудёнуюЗимнююПоруСобакаПримёрзлаУшамиКЗабору

Cпаниеля у него нет, это просто шутка.

Пока его клиенты и сотрудники приходили с ноутами, проблем не было — пароль был распечатан, набирали легко. Но вот наступила пора смартфонов с вайфаем. Если на ноуте легко набиралось по русской раскладке, то на смартфонах отображается одна, и набрать сложно. Знакомый решил попробовать отправить на смартфон пароль через SMS с инета и вставить его в поле ввода — слава Ктулху, Андроид такое позволяет. Отправил. Пароль не принимается.

Мучился он неделю, пока мне не сказал. Собака оказалась зарыта на сайте нашего украинского звездатого (логотип у него такой) оператора. Я привык писать букву «ё» без замены на «е», соответственно, её же и набрал в пароле. Где она на клавиатуре и какой символ ей соответствет в английской раскладке? Правильно — «`». Так вот, при отправке SMS с сайта этот символ заменялся на пробел, соответственно, пароль и не подходил.

Менять пароль не стали — много клиентов его давно знают.

Работал в крупной корпорации в отделе информационной безопасности. По долгу службы приходилось с завидной периодичностью посещать другие отделы и проверять рабочие компьютеры на соответствие нормативной документации по ИБ. Так как корпорация огромная, свыше пяти тысяч компьютеров разных мастей, зоопарк техники и настроек этой самой техники был до невозможности разнообразен.

За всё время работы по пальцам одной руки можно пересчитать количество компьютеров, на которых я не нашёл нарушений, и все эти компьютеры были настроены с довольно ограниченным доступом. Доменные пользователи без прав администратора с софтом, необходимым исключительно для работы. Для каждого юзера в определённом количестве выделялся интернет-трафик через корпоративный прокси. Не было стандартных кодеков, игр, проигрывателей, флеш-плеера в браузере. В общем, без прав администратора можно было только работать на том, что установлено. Хотя некоторые умудрялись проносить мелкие игры, не требующие установки…

С другими компьютерами была совсем беда. Почти на всех были права администратора, стояли игры, из каждого второго торчал USB-модем, про видео и музыку развлекательного характера и говорить не стоит.

Вот тут и возникает вопрос: кто из указанных выше пользователей работал, а кто просто проводил время на работе? Как по мне, так ответ очевиден.

Желаю всем взаимопонимания между ПК, рядовыми пользователями и сотрудниками, обеспечивающими работоспособность корпоративных компьютеров.

Когда я пришла работать, системные администраторы на всех углах стонали, что люди в нашем отделе не умеют работать с компьютером и по каждому поводу звонят им. Не сильно удивилась, но про себя подумала, что я-то пользователь уверенный и звонить им каждые пять минут не буду.

В мой первый же рабочий день я поняла всю систему работы компьютеров в нашей фирме. Админы закрыли доступ буквально ко всему.

Нет, вы не поняли.

Нельзя сменить обои.

Нельзя сменить цвет панели инструментов.

Нельзя убрать экранную заставку.

Нельзя изменить время отключения мониторов. Едва отвернулся — монитор уже выключен, и по экрану ползёт «трубопровод», одинаковый на всех компьютерах.

Невозможно самостоятельно убрать адресную строку из Проводника.

И самое главное — они внесли запрет на изменение настроек в Автокаде. Не хочешь смотреть в чёрный экран с белыми линиями, хочешь отключить сетку, изменить вид отображения веса линий или что-то наподобие? Хрен тебе: запрещено системой безопасности.

А дальше ещё интереснее. Наши админы, разумеется, собаку съели на работе в Автокаде, поэтому при звонке им с просьбой изменить что-либо в настройках ты слышишь отказ. Почему? Потому что им так удобнее. Потому что они-то знают, что на чёрном экране работать удобнее. Потому что им нравится, когда все веса линий отображаются одинаково. Потому что им нравится сетка.

Ребята, зачем бросаться из крайности в крайность? В чём-то я вас даже понимаю: проще поставить запрет на всё, чем потом бороться с вирусами и полетевшими программами. Но если вы заблокировали всё, что можно, зачем жалуетесь на тупых бухгалтеров, которые трезвонят вам каждые пять минут? Да по другому никак, без вашего администрирования компьютер и шагу не ступит!

Хотите жизни попроще — откройте хоть что-нибудь. Хотя бы возможность поменять обои. Хотя бы возможность сменить или отключить заставку. Смените приоритеты и разрешите менять настройки прикладных программ без вашего вмешательства. Автокад и 1С из-за изменения цвета фона не похерят компьютер. И будет всем праздник.

Давным-давно первый провайдер протянул сетку к нашему дому, и пошло-поехало: в первый же день я взломал админку сайта провайдера, подправил нужный тариф, и свеженакатанная жалоба по поводу обсчитывания клиента отправилась в юридический отдел провайдера. К удивлению, эта затея прошла на ура, ибо бэкапов провайдер не делал, и понять, что цены в тарифах «левые», не сумел. В процессе дальнейшего изучения сети я нашёл почтовый сервер, на который благополучно залил и тщательно спрятал милый скриптик, занимающийся спам-рассылкой, а интерфейс почтовика подправил так, что можно было подумать, будто стоит там пиратский софт — потому и спам, вестимо.

У меня дома хранилась БД всех клиентов провайдера — явки, пароли и информация о том, где хранятся ключи от квартир, в которых деньги лежат.

Чуть позже, когда провайдеру вздумалось перейти на другую систему оплаты, я получил возможность «собирать с миру по нитке» — спокойно утягивал незначительные остатки (тысячные доли цента) с каждого клиента, а их было к тому времени уже десятка четыре.

Так бы и продолжалась эта идиллия, но был я окольцован. Затеяли мы с женой продать обе наши квартиры и взять жильё попросторнее, поближе к центру города. А это значило, что я оставался без халявы, что не есть хорошо.

Надо было выкручиваться, и я отправил письмо главному админу провайдера с описанием всех весёлостей. И как-то сразу у меня испарился интернет, а ко мне явился добрый молодец о двух метрах росту с бицухой а-ля Шварц и очень вежливо предложил работу системного администратора в том самом провайдере: видать, сами исправить мои шалости не смогли. Пришлось соглашаться, топать к провайдеру и под гневными взорами убивать несчастного спам-бота и закрывать дыры в бронепластинах. А дальше пошло-поехало: реорганизация сети, обновление ПО, грамотная защита и новое железо…

Это было восемь лет назад. Теперь я начальник IT-департамента одного из крупнейших провайдеров города, совладелец компании и лучший друг того здоровяка, который оказался главным директором компании.

За интернет, кстати, я не плачу до сих пор.

Знакомый криминалист из Восточной Европы поделился историей.

На днях дети некогда довольно известного, но уже полгода как скончавшегося в тюрьме местного криминального воротилы вызвали домой полицию и сообщили, что папа оставил им заминированный компьютер, и они бояться его трогать. В составе приехавшего наряда оказался и мой знакомый, ранее общавшийся с покойным бандитом и знавший его как умелого и талантливого инженера.

«Заминированным» компьютером оказался старенький зелёный iMac G3. В глаза бросались, помимо прочего, дисплей, заменённый на похожий по габаритам LCD, несколько новых дырок на корпусе, не эпловское питание и следы кустарной доработки на корпусе.

Дети и супруга покойного сообщили, что отец запрещал им пользоваться этим ПК и даже отключать его от электричества надолго, поясняя, что за неправильный ввод пароля нарушитель будет застрелен, а при попытке взлома корпуса сработает бомба.

Предупреждение было воспринято серьёзно, вызвали сапёров. В результате изучения начинки аймака с помощью фонарика, зеркала и оптоволоконного глазка выяснилось:

1. Материнская плата с камнем и памятью, жёсткие диски, питание и дисплей — не эпловские, а вставлены позже.

2. Сразу за LCD-дисплеем на кронштейне из днища закреплена батарея из шести патронов 12 калибра с подключёнными со стороны капсюлей электрическими устройствами, провода от которых заведены ко внутреннему USB на материнской плате.

3. К двум здоровым пластиковым «крыльям» корпуса на растяжках привешены две самодельные гранаты. Без снятия «крыльев» корпус не разбирается.

Но это только половина истории. Вывезя с максимально возможными предосторожностями на полигон и разобрав конструкцию при помощи водомёта и грубой силы, местные полицейские сапёры выяснили:

1. Самодельные гранаты уже обезврежены ранее, но кто-то не поленился приделать к ним фальшивые кольца и чеки для виду.

2. Реле для пробития капсюлей тоже не работает.

3. Содержимое жёстких дисков зашифровано AES 256 bit.

Профессиональный рост налицо.

Одна из вещей, за которые мне нравится IT, это парадоксы. Я столько раз видел парадоксальнейшие по своей природе вещи и всё ещё не перестаю ими наслаждаться. Чаще всего поражают костыли в дорогих коммерческих решениях, которые смотрятся как сверкающий, высокотехнологичный звездолёт, к которому приставлены прогнившие деревянные балки, примотанные для крепости капроновой нитью. Об одном из таких, виденных пару лет назад, уже можно рассказать — эта линейка продуктов уходит в прошлое.

Итак, крупный вендор сетевого оборудования с хвойным кустарником в названии в процессе слияний и поглощений обзавёлся весьма недурственной операционкой, на которой выпускал несколько линеек файрволов (сейчас эту ОС прикрыли), аппаратных VPN и ещё кое-чего. Мы тогда использовали один из их агрегатов для предоставления VPN-доступа подрядчикам и айтишникам во внутреннюю сеть и завели на девайсе внутреннюю базу аккаунтов.

Народу, который пользовался VPN, было немного, поэтому веселье обнаружилось не сразу, только когда у одного из подрядчиков появилась просьба сбросить пароль, и я полез это делать. Я на работе использовал браузер имени малой панды и среди дополнений держал Unhide Passwords, убирающее звёздочки с паролей при определённых действиях: очень удобно, если за плечом никто не стоит. И вот, ткнув в поле пароля, я не увидел ожидаемой пустоты. С выползающими глазами проверил свою учётку и увидел знакомый набор букв и цифр. Залез в учётку старшего админа и поинтересовался у него:

— А у тебя пароль начинается с [двух букв]?

Пока он подбирал челюсть с пола, уточнил:

— А заканчивается на [ещё две буквы]?

Мы долго поражались: железка за несколько десятков килобаксов, обеспечивающая высокие вроде бы уровни безопасности и надёжности, шифрующая внутри себя всё, что можно, в веб-интерфейсе имела катастрофическую дыру. Мы её прикрыли, вынеся учётки на отдельный Radius-сервер, но шок от такого держался ещё немало.

Разве после таких вещей можно не влюбиться в это минное поле, так часто предлагающее тебе неожиданные задачи и задающее тебе парадоксальные вопросы, про которые мой знакомый опытный программист говорил: «У любой задачи программирования есть не менее чем два решения, одно из которых — правильное, другое — нет, но они оба работают»?

Работаю в техподдержке крупного нефтяного предприятия. Нас в отделе десять человек на четыре с хвостиком тысячи пользователей и компьютеров соответственно.

Как-то к нам нагрянула проверка службы информационной безопасности. Проверяли на наличие пиратского софта. Сел за мой рабочий ПК главный специалист службы информационной безопасности и начал шерстить. Не нашёл ничего, кроме забытой мной на рабочем столе Zuma Deluxe. Его не смутило ни то, что на ПК нет офисного пакета, ни то, что на двух разделах жёсткого диска есть только две папки: Windows и Program Files. Всё остальное я банально скрыл в Проводнике. Он, может, и догадывался, но понятия не имел, как в Windows 7 отобразить скрытые папки. Далее он сделал скриншот папки с Зумой, запихнул это всё в формате BMP в Wordpad (файл получился ~50 МБ) и попытался заслать себе на почту (у нас ограничение по размеру аттача 20 МБ). Отчаявшись, он сделал какие-то записи в своих бумажках и ушёл.

В итоге меня всё равно наказали за перерасход трафика. Не помогли даже объяснения: мол, качал драйвера с HP.com. Тяжело с нефтяниками!