Безопасность

Требуется отсканировать документ и получить его на руки в виде файла.

Точка №  1. За сканирование желают 150 рублей. Ещё 100 рублей, чтобы записать файл на флешку. Ну, или 60, чтобы отправить на электронную почту.

Точка №  2. Сканер — вот он, отсканировать могут, и дёшево. Но на флешку записать не могут: в целях безопасности подключение USB-носителей на компьютере заблокировано. Отправить на почту тоже не могут: в целях безопасности сторонние сайты не открываются. Могут только здесь же распечатать копию на принтере.

Точка №  3. Сканирование — 50 рублей, запись на флешку или отсылка по электронной почте — бесплатно, время работы — три минуты.

Вот только в поисках точки №  3 пришлось посетить четыре точки, аналогичные №  1, и шесть, аналогичных №  2…

Работаю в большой компании, в которой много подразделений, системным администратором одного из филиалов. Взяли на работу в главный офис нового заместителя начальника службы безопасности и инфромационной безопасности. Он с торжественным видом ездил по всем филиалам, говорил, что и где не так: мол, USB надо отключить, ограничить всё и вся (это при том, что у каждого сотрудника есть электронка и мессенджер).

И вот для разрешения спорных вопросов относительно не попавшего в коробку товара в отделе контроля над каждым столом установили камеры наблюдения. Всё это дело завели на комп с стандартным софтом (для унификации решения и возможности просмотра видео со всех филиалов на одном компе в главном офисе), установили, настроили, создали аккаунты с нормальными паролями.

Одного дня заметили, что у нас канал просел. Начали копать — поймали айпишку, которая подключена к нашему видеосерверу. Это оказался главный сервер видеонаблюдения в главном офисе. Зашли на веб-морду, там по стандарту был вбит юзер «Admin». Нажали «Войти» — и без пароля попали на сервер, к которому доступ имеют только «безопасные безопасники».

Смеялись долго, а потом почему-то грустно стало…

Дело было в Белоруссии несколько лет назад. Справляли бабушкин юбилей в одном из ресторанов в центре города N. Заведение само находится на первом этаже гостиницы, из холла налево — ресторан, а прямо — лестница к лифтам на этажи. И вот рядом с этой лестницей стояло подобие платёжного терминала какой-то местной фирмы.

В один из перерывов праздника, натанцевавшись, вышли мы с братьями в холл отдохнуть. Моё внимание привлёк этот автомат. На экране стояла картинка-заставка: мол, приносим извинения, автомат не работает. А в правом нижнем углу висел ярлычок корзины с экспишной иконочкой. Долго не думая, дважды тыкаю пальцем — корзина открывается.

Далее — дело нехитрое. Через минуту мы уже раскладывали по очереди с братьями стандартные пасьянсы и играли в «сапёра» (ничего серьёзнее, увы, не нашлось, интернета тоже не было). Наигравшись, оставили местному админу на экране системное сообщение с намёком на исправление косяка.

Хорошо хоть, мы люди добрые и обрушать ничего не собирались. А то в такой ситуации и хакером-то быть не надо.

Очень интересная личность — наш главбух, седоватый мужчина лет 45. У него есть очень секретные файлы, пошифрованные некоей прогой, упакованные в запароленный ZIP-архив, упакованный в запароленный RAR, опять упакованный в запароленный ZIP. Этот ZIP лежит на TrueCrypt’овом разделе, файл которого — на скрытом зашифрованном разделе ноута с паролем на BIOS, учётку винды и ещё кучей защит.

Так вот, пароль на все составляющие этой паранойи — 1111. На архивы, диски, контейнеры… Главбух говорит, сложные пароли забывает, а файлы да, очень секретные, если кто увидит…

Ну-с, чьи серваки не пробиты за время праздников? Кто не выбалтывал, как они, дежурные айтишники, будут оттягиваться на работе во время праздников? Беда у многих: то сами набедокурили, то незваных гостей впустили…

А ведь говорила Генке и Лёше: будьте начеку и только после смены нажритесь хоть до уссачки! Не послушали парни. Перед Новым годом хвалились, как праздник проведут и кого в серверную позовут, когда начальства не будет. Вещаю им, гулёнам, что именно в праздник надо бдить. Да куда там, лучше знают! Не спорю, знаниями меня превосходят. А по осторожности — нет. Один, который теперь за меня работает: «Ну что, твои хакеры не люди и праздновать не будут?» Нет, говорю, хакеры будут работой заниматься. А когда деньги за исполненное получат и между заказами, то могут и напиться.

Просто поржали с меня. И чем закончилось? Повлазили к ним шустрые парни везде, куда не лень, захватили админки и прочий вред нанесли. Теперь ребята не смеются, заделывают дыры в защите, отлаживают, восстанавливают — трезвые и злые. А он, расслабончик, того стоил?

Вот мы ругаем пользователей, об осторожности талдычим… Но и админам никогда нельзя терять бдительности, а особенно в праздники. А что, не так?

Первое января началось как обычно. Ничто не предвещало беды. Внезапно пришло сообщение от Гугла, что пытались взломать почту, с указанием IP-адреса. Потом пытались взломать и другой аккаунт, потом ВК; после неудачных попыток позвонили на сотовый и поржали.

Весь журнал звонков, естественно, был удалён, пришлось сделать детализацию. Что имеем: IP и сотовый номер дебила, который так наследил. Уважаемые недохакеры, если хотите напакостить, чистите за собой следы, а то к вам едет Дедушка Мороз — и, поверьте, он не будет добрым. Остальных — с Новым годом!

Любой дистрибутив линукса не для гиков. Далее — далее — далее — ОК. Ошибка? cat /var/logs/нужный_лог. Номер/текст ошибки в Гугл — получите готовое решение или патч. Проблема? Максимально формальное описание в Гугл — …

Да, пляшу. 9 из 10 проблем решаются за время меньшее, нежели минимальный срок ответа техподдержки.

Виндоус. Далее — далее — далее — ОК. «Введите серийный ключ. Не могу подключиться к интернету, потому что в вашей сети интернет через прокси, а активироваться через прокси я не умею. Позвоните на бесплатный номер 8-800… Какая мне разница, что в вашей телефонии 8-800 закрыто, а ваш оператор не считает его бесплатным? Вот вам второй номер: 8-499… Что, и межгород закрыт? Вы используете контрафактное ПО!»

Платные компоненты для CMS. Тут на хостинге криво работает BC Math, нужный только и исключительно для расшифровки обфусцированного кода платного компонента. Здесь поставьте ionCube. Да не так, а вот эдак.

Ammyy Admin наконец-то сделал кнопочку выхода из личного кабинета на их сайте, где лицензия привязывается к ID компьютера. Раньше кнопочки не было, приходилось чистить куки. Если в разное время куплено десять лицензий, каждая в своём кабинете…

Слетевшая на ровном месте активация.

Не пробрасывающийся на виртуальную машину аппаратный ключ.

Упорно слушающий 127.0.0.1 вместо 0.0.0.0 менеджер лицензий.

Сервер терминалов, потерявший сервер лицензий служб терминалов.

Менеджер лицензий вместе с драйвером аппаратного ключа, заблокированный антивирусом.

Сам факт необходимости антивируса, жрущего четверть аппаратных ресурсов в простое и все при работе.

Игры. StarForce.

9 из 10 проблем с купленным софтом лежат в области, так или иначе связанной с защитой от пиратства. Поддержка в таких случаях морозится и требует доказывать, что софт куплен. Номер договора, номер лицензии, ИНН юрлица, заключившего договор, БИК его банка, номер расчётного счета, с которого оплачивали покупку… Я сисадмин, я хочу этого никогда не знать.

Хорошо, если это телефонная поддержка. Хуже, если система тикетов. Если же поддержка по почте, то после запроса поддержки, перед ответным запросом сканов документов, подтверждающих факт покупки, перед советом поддержки совершить действия, которые ты в самом первом письме указал как не возымевшие результата, перед каждым их ответом может пройти часа два. А ещё поддержка, в отличие от Гугла, имеет свойство работать с понедельника по пятницу, с 10 до 18 по часовому поясу ±3 относительно твоего.

Таким образом, начав разворачивать какую-либо новинку в пятницу вечером, в случае со свободным ПО я буду в воскресенье отмечать успешную установку и радоваться грядущей премии, а в случае платного ПО в понедельник получу первый ответ техподдержки.

Остаётся решить, что дешевле: свободный софт в комплекте со специалистом, который может этот софт обслуживать, или проприетарный в комплекте с обезьянкой, специально обученной добиваться максимально быстрого ответа от техподдержки.

Работаю в небольшой госорганизации эникейщиком. Записан разнорабочим от IT — оператором ПК. Сеть поднималась при мне с самого начала, ещё когда я был зелёным-зелёным админом. Сейчас просто зелёный, но это неважно.

Пользователи плачутся здесь, что злые админы везде понавесили табличек «не входить», пароли какие-то требуют… А я расскажу, как у нас в сети сложилась прецедентная система.

Сначала один из пользователей позвал удалить продукт известной компании, очень сильно косящий под вирус. Не понравилось ей, что эта программка сама решает, каким поисковиком ей пользоваться, на какие сайты ходить и какую рекламу смотреть. После долгих танцев с бубнов и вычищения зловреда из системы почти на всех ПК, до которых дотянулся (60+ машин), появилась учётная запись Admin, а у юзера права были отняты.

Это решило кучу проблем. Да и пользователи задумываются, нужна ли им та или иная программка, если одобрять её будет админ. Впрочем, это не мешаем им просить установить какую-нибудь игрушку и флеш-плеер, а также «научить пользоваться „Одноклассниками“». А мне не мешает всё это делать.

Потом стали появляться вирусы — приносили на флешках десятками. К тому времени уже был честно куплен известный антивирус, да ещё и с серверной частью. Небольшое изменение в политиках — и сейчас все съёмные носители проверяются каждый раз, когда куда-либо монтируются. Отключить ни антивирус, ни проверку нельзя: опять всё под паролем и политиками.

Прокси. Когда видишь, как такой-то пользователь за день накачал пару гигов, а за неделю все десять, можно просто показать ему же его статистику. Будет качать меньше. Метров пятьсот в день.

В итоге 90% проблем решились сразу — просто потому, что люди работают под правами, которые им реально нужны, а не которых хочется.

Вспомнил, как боролся со старшим братом, который отбирал у меня комп под предлогом того, что мне пора учиться.

Сначала появился обычный пароль юзера в WinXP. Скачал по жопорезу какую-то прогу для подбора пароля через украденный SAM-файл, ломал из WinPE. Дело это брат запалил и поставил пароль на загрузку в биосе. Тут всё просто: вынуть батарейку. Тогда на системнике появился замок (реальный такой замок, как на дачах) и «пломбы» из бумажных червонцев. Я долго думал, как это можно перехитрить. В шкафу нашёлся старый жёсткий диск на четыре гига. Переткнул имеющийся в компе диск на «слейв», шлейф «мастера» и питание мои тоненькие ручонки вывели из заглушки вместо флопика на передней панели. Получился эдакий внешний жёсткий диск.

Играл я так в «подземку» и «Дум» месяца полтора. Брат пришёл слишком рано, подкрался слишком тихо и спалил всю эту конструкцию. На следующий день я обнаружил, что основной диск со всеми игрушками зашифрован Трукриптом…

Учебный год я окончил на четыре и пять.