Безопасность

Прочитав историю про самое слабое звено, я внезапно узнал себя. Не конкретного человека с ФИО и паспортом, а технического специалиста с техническим же взглядом на вещи, дальше технологий до поры до времени не простиравшегося.

Дядя идиот, потому что не пользуется антивирусом? Возможно.

Дядя идиот, потому что в банке отказался от аутентификации через SMS на телефон? Возможно.

А теперь важный вопрос: откуда у такого идиота может взяться 25 миллионов рублей? Один-два понятно, но не 25.

И тут я вспомнил известную в нашем городе историю с ограблением автосалона. На новогодних праздниках фирма продала несколько десятков выставленных на комиссию автомобилей, не успела ни передать деньги хозяевам, ни сдать в банк — как их ограбили. Тоже на пару десятков миллионов. Правда, хвала сотрудникам полиции — учредителей фирмы поймали. С наличкой и даже парой якобы проданных автомобилей.

Так что я уверен на 99% — деньги у «незадачливого» дядечки пропали со счёта, но не из кармана. И даже крайние нашлись: одни плохой ноутбук продали, другие вероломно воспользовались, а сам дядя белый и перед партнёрами/государством ваще не виноват.

Коллеги, не все проблемы человечества лежат в технической плоскости. Когда начальник-идиот просит сделать прибор в Большом Железном Корпусе, не стоит настаивать на компактном пластиковом варианте. Он на самом деле не идиот: он своих заказчиков знает и понимает, что условный Сергей Петрович скорее заплатит N тысяч рублей за Большую Железку, чем в два раза меньше за удобную пластиковую коробку с той же функциональностью.

Когда мы проектируем светодиодные светильники, перед коллегами-конкурентами мы можем заниматься сравнительной фаллометрией на тему эффективности, показаний фотоколориметра, интересности вторичной оптики и применения твердотельных конденсаторов. На практике же ни один из конечных потребителей продукции не осознал цепочку от ватта электрической энергии, пришедшей в светильник, до величины освещённости в нужной точке пространства. Чтобы не вникать в тонкости, они придумали тянущий на Нобелевку термин «светодиодный ватт» и пользуются им. Для этих ребят прибор, дающий 12000 Лм света при 100 Вт потребления, выглядит менее привлекательно, чем прибор, дающий 10000 Лм при 120 Вт. Потому что у второго светодиодных ватт больше.

Все эти «восемь ядер шестнадцать гигов» на дохлом чипсете, «инструменты 36-в-1» из консервных банок и прочее имеют в основе невежество конечного потребителя. Вы можете просветить своего начальника, его начальника и при большой удаче даже весь отдел продаж разом — но дальше ваш заряд мудрости не пройдёт. Конечный заказчик от терминов устанет, не будет разбираться и купит у конкурентов нужное ему количество светодиодных ватт. Или «ваттов», если в школу не ходил.

Поэтому давайте иногда подниматься над техническим уровнем проблемы и видеть ситуацию целиком — нам ведь надо кормить свои семьи. Деньгами заказчиков, разумеется. А девелоперские дела будем обсуждать тесным кругом, среди своих, под настроение. У нас тут закрытая вечеринка: интеллект-код и майнд-контроль, неподготовленным душам нечего делать. Наслушаются ещё разных глупостей, а потом не смогут план по продаже гигов с ядрами выполнить.

Подрабатываю приходящим админом в маленькой, но очень гордой фирмочке. В числе прочих её достоинств — предоставление интернета арендаторам, что в свою очередь даёт работу и мне: протянуть кабель, добавить пользователя в UserGate, прописать на клиенте прокси и, собственно, выдать статистику.

Обычно клиенты попадаются непритязательные, и всё заканчивается быстро. Но вот осчастливил нас региональный банк своим представительством. Сразу выдали листок с перечнем ресурсов, куда и как надо ходить с установленной точки. Всё бы ничего, пожелания были воплощены в правила, дело посчиталось сделанным, но… ничего не работало! То есть интернет был, а банковские ресурсы не виделись. Загадка, блин!

Приехал представитель банка, и мы уже вдвоём начали ломать головы. Причём осложняло весь процесс расположение кабинетов — клиенты обитали на третьем этаже, а серверная — на втором. Приходилось носиться туда-сюда (вечер, охота домой) почти бегом, пока голова была забита правилами, NAT’ами, назначениями портов и мануалом, в котором эта же ситуация расписана как самая заурядная. Час забегов по кабинетам и лестницам результатов не дал.

Закрались смутные сомнения в собственной компетенции и способности мыслить адекватно. Клиенты, ожидающие, когда ж, наконец, можно будет работать, стали откровенно хмуро поглядывать и на меня, и на представителя банка. Идеи кончились, осталась одна спасительная мысль: наверняка всё дело в какой-то незамеченной мелочи. Я начал внимательно вглядываться в комп клиентов, изучая все значки запущенных программ. Внимание привлёк значок, уж очень похожий на «кирпич». Открываю его — так и есть. Суровые правила банковской дисциплины или неловкое движение банкира — неважно, но свеженький Outpost со значками непривычного моему глазу дизайна был выставлен на «Блокировать всё».

После разблокировки всё заработало, как положено. Воистину — жизнь состоит из мелочей!

Общалась я как-то в чате.

— А ты красивая, — пишет мне собеседник.

От меня последовал логичный вопрос:

— А как ты узнал?

— А я твой компьютер взломал, — ответил товарищ. — Дистанционно. И фотки посмотрел.

Верю, что посмотрел. Особенно это легко сделать, когда я зарегистрировалась под своим самым используемым ником, который у меня ещё и на страничке «Вконтакте» написан. А вот что взломал — не верю.

— А ты, оказывается, ещё и рассказы пишешь! — сообщает мне человек в онлайн-игрушке.

— А как узнал? — интересуюсь с улыбкой.

— А я специалист по компьютерной безопасности. Мне ли не знать, что у тебя в компьютере делается!

Верю, что рассказы глянул. Учитывая, что я только что скинула тебе свой скайп, который висит и на странице с рассказами, и на страничке «Вконтакте», и даже на корпоративной странице техникума, где я преподаю. А что взломал — не верю.

P.S. Преподаю я, кстати, математику и информатику.

Прочитал историю «IT-шная почта», и волосы на голове зашевелились. Ведь если вы хоть немного интересуетесь информационной безопасностью, то знаете термин «социальная инженерия» и вам, скорее всего, известны несколько умопомрачительных детективных историй проникновения в самые защищённые организации с помощью методов социальной инженерии. Собственно, во время тестов на проникновение специалисты пользовались единственной уязвимостью в этих организациях — людской психологией.

Такие истории про то, что непонятно кто делает непонятно что, а им ещё и помогают сотрудники фирмы, умиляют только до первой кражи информации/коммерческой тайны, ну, или денег. Выделенная врезка во внутреннюю сеть фирмы, это ж какой простор для фантазии!

Наверное, многие считают, что уж с ними этого не случится, чего у них красть-то… Вот, один дядечка в одной мелкой организации тоже так думал и ходил по разным сомнительным страницам с того же ноутбука, с которого заходил на счета своей фирмы. А потом внезапно с этих самых счетов увели ни много ни мало 25 миллионов рублей. Дядечка, конечно, сам виноват, потому что на настойчивые советы обратиться к айтишнику, чтобы банально настроить базовый уровень безопасности да регулярно чистить ноутбук, он отвечал отказом, мол, дорого. Второй ноутбук специально для блуждания по тем самым сомнительным сайтам для него тоже было дорого покупать.

Из-за этой истории досталось и нам, так как в ходе разбирательств дядечка указал на нас, мол, мы ему ноутбук покупали.

Мораль? Да ничего подобного: все будут продолжать считать, что уж с ними-то этого не случится.

Госпредприятие федерального масштаба, в общей сложности больше 10 тысяч сотрудников, везде стоит СКУД, вход по карточкам, в том числе в подвалы.

Выясняется пропажа чего-то там из последнего, ну, украли. Инициируется обход всех входов в подвальные помещения и выясняется картина: дверь, считыватель — работает, магнитный замок — тоже, но тупо отсутствует половина двери.

Вот такая вот безопасность.

У меня есть дача, а на даче есть соседи — владельцы соседних участков. Как это часто бывает, есть и свои проблемы: то кому-то не нравится высота чужого забора, то чужой распорядок дня, то кому-то есть дело до чужих денег, до чужих гостей, и так далее, и тому подобное. Ходят толки-пересуды, пишутся «телеги» в правление, то одно, то другое; несколько группировок исподтишка пакостят друг другу. В общем, обычный такой дачный кооператив. Практика показывает простую закономерность: если не хочешь иметь лишних проблем — лучше ограничивать общение дежурными приветствиями и не болтать лишнего. Незачем соседям видеть, слышать и знать то, что их не касается. Конечно, сами-то они думают, что их касается всё — но это не так.

С другой стороны, в современном мире за нами всеми следят: на дорогах камеры считывают номера наших автомобилей, операторы сотовых сетей могут найти наши мобильные телефоны, а спутники и вовсе делают фотографии моей дачи, на которых видно, как я загораю. Но всё это мне совершенно безразлично: те, кто получает эту информацию, для меня гораздо менее опасны, чем сосед дядя Коля, который везде суёт свой любопытный нос. Создать реальную проблему может это его любопытство, а вовсе не спутниковый снимок моего участка, который может увидеть какой-нибудь фермер в Аризоне.

Понимаете, к чему это я? Конечно, какой-нибудь Гугл может многое знать обо мне, но, во-первых, Гугл далеко, во-вторых, его знания очень поверхностны: я как-то раз залез в настройки своего профиля и увидел, что он даже примерный возраст определить не сумел.

А вот граждане в штатском, подобно дяде Коле желающие засунуть свои носы в мою переписку или в список посещаемых сайтов, напрягают гораздо больше, так как и вреда они могут причинить больше, чем далёкий американский Гугл. Кто их знает, что они там себе думают?

Диспозиция такая. Два дня назад:

1. Жена с домашнего стационарного компьютера искала авиабилеты в Рим.

2. Я с рабочего компьютера в офисе искал статью про триперекись ацетона — ну, просто прочитал на anekdot.ru историю, решил уточнить формулу.

3. Жена на своём личном планшете в маршрутке читала статью о Гваделупе — решили отдохнуть на Карибах.

По приходе домой я на своём планшете полез в Гугл что-то поискать. Сразу вывалились три подсказки: авиабилеты в Италию, триперекись и Карибы.

Повторю ещё раз: все три запроса были сделаны из разных сетей, в разных географических местах и разными людьми. Объединяло их только то, что устройствами владею я. Кто-то где-то всё сопоставил и сделал вывод, что все четыре компа используются одним лицом, и для моего удобства сохранил историю интернет-запросов. Пока для моего удобства.

Вы до сих пор боитесь не Гугла, а слежки ФСБ и фильтрации трафика?

Пароли у нас в 1С всего четыре цифры. На безопасность не влияет — только чтобы менеджеры случайно не сидели под другими учётками.

Работает у нас «менеджер по продажам». Работает в смену. После выходных периодически забывает свой пароль в 1С. После третьего раза написал ему его пароль на листочке, сказал выучить наизусть. Через месяц снова забыл пароль. «А где листочек?» — «Потерял». Ну, блин, запиши себе в ежедневник!

Проблема ушла на месяц. После Нового года звонит мне снова: «Я забыл пароль». Спрашиваю его: «У тебя же в ежедневнике записано четыре цифры твоего пароля!» Ответ: «А у меня новый ежедневник».

До сих пор не знаю, зачем таких держат в фирме.