Безопасность

Хайфа, начало нового тысячелетия. Филиал известной американской софтверной компании, где у окна с видом на море я имел удовольствие работать. Работы было много, но всегда в наличии были чай и кофе, которые потребляли и днём, и ночью.

Самое же главное — бурекасы. Это такие слоёные пирожки с картошкой или грибами, которые посыльный каждое утро приносил прямо из пекарни. Бурекасы были педагогическим приемом наших руководителей: нас не заставляли приходить вовремя, нас заинтересовывали. Трудно поверить, но программеры с зарплатой 3–5 килобаксов и машиной от компании спешили утром на работу, чтобы успеть слопать бесплатный пирожок.

Однажды случилось ЧП: произошло несколько краж. По этому поводу организовали собрание. Первым выступил сисадмин, который серьёзно и аргументированно просил повысить бдительность:

— В наш офис проникают неизвестные люди. В результате украден лаптоп и несколько мышек.

Зал реагировал вяло. Понятно, что мы ни при чём — у нас-то люди солидные. Кроме того, своих дел невпроворот — баги не чинены, продукт на платформе Альфа не строится.

Почувствовав фиаско своего технического зама, слово взял руководитель нашего филиала Михаил. Одна фраза решила всё:

— Уважаемые коллеги! Пока вы безучастно глядите в мониторы, неизвестные люди бродят по офису, жрут ваши бурекасы, а также крадут лаптопы и мышки!

Мы действительно стали замечать, что бурекасов как-то не хватает. Правда жизни резанула по сердцу, глаза собравшихся моментально наполнились ненавистью к неизвестному врагу. Михаил с удовлетворением осмотрел оживившийся зал. Это был успех.

Сначала было слово. Даже не слово, а фраза: «Статистика когда будет, а?» — поинтересовался шеф, недобро дернув глазом. Действительно, закрутившись, забыли о статистике... Ну да фиг с вами, считать http-трафик — невелика проблема.

На следующий день всё было представлено в лучшем виде. «Ага, — шеф орлиным взором окинул список юзверей, — а я тут что-то вас самих не вижу». Чертыхнулись. Матюгнулись. Вечером попили пива, прописали себя. Нужные странички, о которых шефу знать не полагалось, посещались с домашней машины по VNC, а файлы закачивались и перегонялись на рабочие компы по scp или wget — кому как удобнее.

Через неделю у шефа новая светлая идея. «А я знаю, что можно сделать так, чтобы вся почта дублировалась. Если я вдруг захочу прочитать что-нибудь из отправленной или пришедшей на какой-нибудь ящик — а если кто коммерческую тайну разглашает?» Ё-моё. «Андрюх, настроишь?» Андрюха настроил, нам вменили в обязанность раз в неделю чистить всю эту помойку. О том, что делать, если бы шеф захотел почитать переписку трёхмесячной давности, мы предпочитали не задумываться. Вся наша троица, а также те, кто обладал настроенным за магарыч доступом на домашние машины, стали использовать исключительно ящики на Gmail, «Рамблере» и «Яндексе».

«А когда вы мне сделаете доступ на любую машину по „радмину“? — шеф нервно постукивал пальцами. — Я должен блюсти корпоративный дух!» Простым «ё-моё» тут мы уже не обошлись. К утру трафик с наших машин полетел по переназначенным портам, на лишней машине был поднят поддомен, к концу недели закрутились скрипты, заполнявшие статистику, в копию почты ложилась переписка исключительно с обозначенным при написании флагом, порты «радмина» слушались и запросы перенаправлялись на поднятую по этому случаю машину.

«Вот молодцы, — шеф отеческим взглядом Феликса Эдмундовича окинул нас, — хвалю... Осталось сделать мониторинг аськи. Ну вы понимаете, я ввожу номер и тут же вижу, кто что говорит». Три-целых-четырнадцать-сотых-здец.

Корпоративный дух, говорите вы? Нет, это паранойя. Шефы боятся того, что мы скажем, мы боимся, что они услышат, хотя в большинстве случаев дальше «шеф — козёл» обсуждение не пойдет. И хоть главнее админа в мире человека нет, не все директора это понимают. Мы уволились, ушли на немногим меньшие деньги, но в более здоровый коллектив, зато наш бывший шеф еще долго будет получать письма с «сюрпризами».

Товарищи, не доводите себя и других до такого, иначе работать у вас сможет только такой же параноик, но обладающий доступом к любому компьютеру и любой переписке. Мы-то знаем о вас действительно всё...

Читаем документ по объединению двух компаний — серьёзный такой талмуд в твёрдой обложке. Одна фраза убивает весь отдел информационной безопасности:

«Кластер серверов CheckPoint, выполняющих функции FairWall, используется сегодня на 80% своей мощности».

Ага, справедливая стена. Новое слово в защите информации!

В одной фирме системный администратор получал надбавку за то, что постоянно качался на стуле.

Это было в тот период, когда управление «К» уже начало бороться с корпоративным пиратством, а малый бизнес ещё не накопил средств на легализацию Windows и 1С. «Маски-шоу» могло случиться в любой момент, за ним обычно следовали штрафы, конфискации и, в образцово-показательных случаях, тюремные сроки. В самом начале налёта омоновец бил сисадмина по пальцам и клал его затылком в пол, дабы тот не успел ничего набрать на клавиатуре и тем самым удалить вещественные доказательства с сервера. Необходимо было застраховаться на этот случай.

За час была написана простейшая программа, забивавшая нулями раздел с 1С в случае, если на двух определённых контактах LPT-порта появляется единичка. В соответствующие контакты вставлялись два проводка, которые с другой стороны были припаяны к пластинке с кнопкой. При нажатии кнопки образовывался замкнутый контур, утилита срабатывала, и «одинэске» приходил конец.

Главная задача состояла в удачном размещении кнопки. Так вот, товарищ взял и прикрутил её снизу к задней ножке собственного стула. Если в комнату ворвались бы служители закона, админ бы просто выпрямился, нарушив неустойчивое равновесие, и этого хватило бы для ликвидации нелицензионного софта.

С этого момента админу стали существенно доплачивать — за изобретательность и опасность остеохондроза.

Довелось не так давно пообщаться с очень опасливым администратором. Работаю во франчайзи, ездил к клиенту обновлять 1С-ку. При попытке установить конфигурацию новой версии винда с радостью сообщила, что недостаточно прав. Выяснилось, что их обслуживает удалённо какая-то админская контора. Секретарь дала телефон для связи с их «Дмитрием — компьютерным мастером». Позвонив и обменявшись приветами, я прошу дать установить обновление. Дмитрий подключается к компьютеру удалённо. Привожу дальнейший диалог:

— Алло, можете установить обновление в такую-то папку?
— А зачем устанавливать? Система потом полетит, и что мне потом с вашей папкой делать — вспоминать, нужна она или нет, есть ли там вирусы или нет?
— Ну... Эта папка только для обновления. Давайте назовём её «УДАЛИТЬ_%название_папки%»?
— Правильно, а мне потом вспоминать при крахе системы, что значит префикс «удалить»!
— Хорошо, давайте установим обновление в эту папку, я проведу апдейт и потом сам удалю всё лишнее?
— Ну да, а потом система ко всем чертям полетит, а мне восстанавливать.

Диалог в таком русле продолжался минут пять. В конце концов мне удалось убедить «мастера», что я работаю не первый год, обновление проводил не одну сотню раз и всё будет хорошо, но такое недоверие, конечно, удивило.

Недавно заказчики, лица кавказской национальности, попросили усовершенствовать систему видеонаблюдения в игровом клубе. Требовали «видяху», как в кино — камеры, снимающие в ультрафиолете, в мечтах хозяев клуба демонстрировали бы на мониторе пятна от различных жидкостей. Стёкла же на камерах должны были быть разноцветными, чтобы картинка была красной, зелёной или синей.

В наличии имелся видеорегистратор лохматого года выпуска со скоростью записи 1 кадр/с и 12 корпусных камер. Собственно, нужно было эти объективы подобрать. Предложил заказчикам использовать светофильтры, но они отказались: не надо, мол, фильтры, хотим сами стёклышки разноцветные, раз деньги есть — делайте как в кино!

Я так и не узнал, что за кино они смотрели — наверное, про супершпионов. Ультрафиолет в камерах наблюдения стараются фильтровать, чтобы не засвечивать видеоматрицу, да и объективов цветных не выпускают — зачем ухудшать картинку почём зря?

Придумал самое «киношное» решение — предложил поставить купольные поворотные камеры с зумом и инфракрасной подсветкой, собрав это на интегрированной видеосистеме, а картинку отправлять на мобильники с возможностью управления камерой. Гордые кавказцы отказались, мотивируя тем же: «Бэз стёклищек!»

Как-то раз в советские времена довелось мне посетить «машинный зал» оборонного завода N. Прихожу рано утром, набираю на цифровом замке код — дверь не открывается. Набираю другой код, вхожу, включаю ЕС, иду ставить магнитные ленты на лентопротяжки.

Слышу сзади: «Стой, соколик, где стоишь, и руки вверх!» Оборачиваюсь. Бабушка — божий одуванчик с «макаровым». «Пошли, — говорит, — к начальнику охраны, будем разбираться, кто ты такой и как оказался на территории режимного ВЦ во внеурочное время». А мне-то что — допуск и предписание у меня есть. «Пойдёмте, — отвечаю, — раз такое дело».

Начальник охраны оказался бдительным соколом сталинского разлива. Пролистал мои документы, скривился и говорит: «В принципе, ты имеешь право здесь находиться, но есть одна большая неувязка. Я с утра код на двери в машинный зал сменил, но никому его не сообщал и не сообщу до завтрашней утренней планёрки. Ты его уже знаешь. Что это значит? У нас утечка информации!» И смотрит на меня исподлобья с хитрым прищуром.

Битых два часа пришлось мне ему доказывать, что я, недавний выпускник мехмата, страшным усилием мозга чисто случайно догадался, какой будет код на двери 2 января 1985 года, если предыдущий код был «1984».

Мы дружим давно, учились в одном классе и поступили на один и тот же факультет. Я, двадцатилетний будущий программист, и мои два друга — Игорь, младше на год, и Эдуард, уже оканчивающий институт, Последний — бездонный кладезь оригинальных компьютерных идей, за что очень часто ему достается от преподавателей — мол, не по нашим указаниям делаешь!

На девушек обычно везло одному Эдику — к нам с Игорем они обычно поворачивались пятой точкой. В один прекрасный день, списавшись в джаббере с двумя айтишно-ориентированными представительницами женского пола, решили пойти по кафешкам и дискотекам без Эдика.

Обе девушки подошли вовремя, и мы отправились на прогулку. Через час присели на скамейку в парке. Я достаю свой BenQ-Siemens и запускаю Opera Mini в поисках свежих анекдотов и весёлых историй. Через пять минут девушки с интересом рассматривали наши телефоны и расспрашивали, патчили мы их или нет, почему «эльфы» не устанавливаем и так далее.

На противоположной скамейке я с ужасом замечаю Эдика. Тот, с нетбуком и телефоном в руках, стучит по клавиатуре. Взор его поднимается, но не на нас, а на девушек; одна из них подмигивает. Эдик, ни слова не говоря, глядит пару секунд в телефон, нажимает несколько клавиш — телефон у девушки начинает звонить. Берет трубку — Эдик. Надо ли говорить, что вечер наши подруги провели с ним?

После этого случая я раз и навсегда приучил себя выключать блютус. Эдик подключился к моему телефону в тот момент, когда я скидывал девушкам свежие клубные хиты. Имея в распоряжении мое устройство, а в доверенных — мобильник девушки, с помощью Blooover он подключился к телефону красавицы и набрал поочерёдно несколько запросов «узнать федеральный номер». Дальше рассказывать нечего.

Назло Эдику я приобрел подержанный телефон с ИК-портом. И девушка у меня появилась!..

Я люблю эту страну и наш изобретательный народ. Где ещё можно отыскать столько талантов в области распиливания бабла налогоплательщиков, организации изысканной халтуры и имитации бурной деятельности?!

В общем, въехали мы год назад в новое, красивое и удобное здание, заботливо почти построенное и почти отделанное по заказу Правительства Москвы. Схема примерно такая: есть заказчик, для которого генподрядчик заказывает проведение работ у субподрядчиков. Среди них поставщики, монтажники, наладчики — словом, совершенно разные конторы. Поставщик привозит аппаратуру, монтажники монтируют, наладчики запускают, а представители «обслуживающих организаций» принимают всё это дело и ставят закорючки в актах. Представителей «эксплуатирующей организации» — то есть тех, кому со всем этим работать, — особо никто ни о чем не спрашивает. При любых попытках поинтересоваться, посоветовать или что-либо проверить в ответ звучит довольно резкое напоминание о том, что утверждён проект, работы ведутся по проекту и будут приниматься на основании проекта.

Строили-строили и наконец построили. Чёрт с ним, что летом крыша протекла, в серверной капала вода из розеток, а я чуть не сошел с ума, когда, находясь на югах и сидя в час ночи на верандочке с пивом и прекрасным настроением, получил SMS от заместителя директора с вопросом: «А витая пара воды боится?» Чёрт с ним, что в десятке-другом сетевых розеток мы не обнаружили сигнала — монтажникам было лень обжимать, и они просто оставили провода в коробах, свернув их аккуратными петельками. Но вот с системой видеонаблюдения постарались ребята на славу — абсолютно все этапы её создания отдают родным идиотизмом и безответственностью.

Система: 20 видеокамер, запитанных от специальных блоков питания, которые должны работать автономно в случае отключения электричества. Камеры подключены к серверу, сервер упрятан в большой железный ящик, ящик заперт на ключ. К серверу подключены два клиентских компьютера охраны, которые по сути являются просто терминалами — обработка изображений и сохранение записей происходит на сервере.

Пару месяцев всё работало, а потом вдруг перестало. Начались чудеса — дистрибутивы с жутко лицензионным программным обеспечением непонятно где, ключ от ящика там же. Дозвонились до монтажников, выяснили, что все у «обслуживающей организации». Представители же организации сказали, что нас они не обслуживают, поскольку Большое Начальство не заключило договор.

Через неделю телефонных матюков через монтажников всё же получили диск и ключ. Переустановили клиентские программы — картинка появилась. Решили и на сервер глянуть, раз возможность появилась. После того, как удалось открыть тот самый ящик (для этого, оказывается, нужно два сильных человека — один поворачивает ключ, другой приподнимает дверь) и обозреть его внутренности, я испытал сильный шок от высот мысли проектировщиков.

Клиентские машины (которые, напомню, просто показывают картинку) оборудованы 250-гигабайтными хардами и гигабитными сетевухами. Витая пара (4 жилы) от них идёт в гигабитный 24-портовый свитч, а всё это дело подключено к обычному стомегабитному сетевому интерфейсу «сервера». Жёсткий диск сервера — 80 ГБ, влезает туда записей дай бог на сутки. Те самые «автономные» источники питания оказались обычными (но очень дорогими) выпрямителями, поскольку установка батарей проектом предусмотрена не была.

Но и это ещё не всё — после нескольких жалоб охранников на периодическое пропадание картинки выяснилось, что доблестные монтажники перед обжимом коннекторов старательно зачищали провода.