Безопасность

Делю кабинет с новеньким парнем. Сколько я слышал приколов про параноиков, но такого не видал:

1. Никогда не подходит к окнам.

2. Никогда не оставляет кружку с чаем без присмотра. В прямом смысле — ходит с ней в туалет.

3. Постоянно думает, что директор следит за ним с помощью камер и хочет украсть все его пароли. Поэтому очень торопится, когда их набирает, и размахивает пальцами над клавиатурой, — как следствие, входит не с первого раза.

4. Если во время разговора спросить его о чём-нибудь хоть немного личном, тут же переводит тему и записывает что-то в блокнот, который всегда носит с собой.

5. Возможно, это я от него заразился, но кажется, что он постоянно за мной наблюдает.

При этом, гад, кодит как бог.

Мои «продвинутые» родители тоже ставили мне пароль на BIOS, чтобы я в Quake II поменьше играл. Удаление пароля путём извлечения батарейки ни к чему хорошему не привело: пароль, естественно, появился вновь.

Перебирая в голове детективно-шпионские методы, я решил узнать для начала, какие символы используются. Сначала была идея положить внутрь клавиатуры под кнопки лист бумаги и лист копирки. После того, как клавиатура была разобрана, копирка не понадобилась — я придумал идеальный способ.

Клавиши фиксировались от выпадения защёлками. Особенность была в том, что они имели промежуточное состояние, в котором клавиша ещё не изъята из клавиатуры, но уже зафиксирована. Такая клавиша немного выступала над остальным и нажималась с характерным щелчком.

Таким образом были «подняты» все буквенно-цифровые клавиши. После того, как пароль был набран, нажатые клавиши стали ниже остальных и были переписаны на бумажку. Аналогичным способом, с той лишь разницей, что фиксировалась лишь одна кнопка, определялся порядок следования букв — по звуку щелчка было нетрудно выяснить, какой по счёту была набрана конкретная буква. Слово удалось подобрать за пару дней.

Работал я как-то в одном зарубежном университете, куда попал по программе обмена студентами — занимался исследованиями и разработкой софта. По той же программе к нам раз в полгода приезжали новые студенты, а старые уезжали. Те, кто хорошо работал, при желании оставались работать инженерами.

Всегда интересно, когда приезжает кто-то новенький: веяние Родины, «где учился?», «как там?»... Приехал паренёк с кафедры защиты информации — питерский политехник, как и большинство из нас. Закрывает свою рабочую станцию всевозможными паролями: вход в систему, скринсейвер. «Чехлится», в общем, по самые уши.

Никому его комп не нужен, у самих такие же, но сама процедура ввода пароля — целое шоу: оглядеться вокруг, вдруг кто подглядывает, нависнуть всем телом над клавиатурой и медленно ввести пароль. В скринсейвере же он любил отображать текст вроде «ушёл в столовую» или «вернусь завтра».

В каком коллективе работают без здорового юмора? Сначала думали поменять ему строчку скринсейвера на что-нибудь более весёлое, например, «ушёл в кино», но приглашающая сторона могла не понять прикол.

Первая ласточка была довольно безобидной. Автономный датчик задымления работает от батарейки больше года и начинает издавать писк раз в пять минут, когда батарейка садится. Спустя пару недель писк становится очень коротким и тихим, но остаётся слышимым — как сверчок. Такой вот датчик и был прикреплён коллеге под стол. Из-за подсевшей батарейки и внешних шумов писк был слышен апериодически, что постоянно сбивало нового коллегу с толку. После долгих поисков он пришёл к выводу, что это попискивает его компьютер.

«Ага, — сказали мы, — живёт своей жизнью. Ты бы его проверил — вдруг действительно какой баг завёлся и не может вылезти». (Стараемся с остальными коллегами не смотреть друг на друга — ржач пробивает недетский.) Проверка ни к чему не привела, но подсказала мне идею следующего прикола.

Я решил добавить жизни его компьютеру — даёшь тамагочи! Сперва нужно было получить доступ. Тестовый CD-RW с «автораном» сработал на ура — система признала диск, и судя по обращениям, запустила какой-то установщик.

Дальше было дело техники. Проглядев список WinAPI и выбрав наиболее интересные функции, я сел за работу. Через полдня пилотный диск был готов. Моя программа копировалась в папку System под «полезным» именем (например, system.exe) и прописывалась в реестр на автозапуск (нет, не в Run — там было бы слишком явно). Бездумный скринсейвер продолжал вращать свой текст...

Сама программа ничего вредного не делала, а только циклично с произвольным интервалом от десяти минут до двух часов выполняла одно из следующих действий:

1) Устраивала цветомузыку на диодных индикаторах клавиатуры.
2) Прятала кнопку «Пуск», но потом честно возвращала её назад.
3) Прятала весь таскбар, но тоже честно возвращала назад.
4) Выдвигала и задвигала CD-ROM («ваш бифштекс, сэр»).
5) Издавала любимый звук Windows — тот, что по умолчанию.
6) Запускала Word, Paint и калькулятор (пользователю можно, а ей нельзя?)
7) Переключала мышку на режим левши и обратно.
8) Периодически выводила одинокую кнопку «Press me», которая, растягиваясь и сжимаясь, уползала от курсора мышки.

Эта часть была моей древней наработкой, маленькой местью преподу по Паскалю. Он в своё время читал скучнейшие лекции о том, как надо программировать, по-советски детально изучал семантические пиктограммы вместо примеров кода, не смог понять, как работает другая моя программа, и влепил «4» вместо «5», за что и спрашивал потом у потока, как победить эту кнопку.

Не надо говорить, что программа была не видна в перечне запущенных программ (в списке процессов я её оставил), а также была категорически против того, чтобы её закрывали. Тамагочи всегда требовал внимания на очень короткое время, поэтому каждый раз, когда мы готовы были посмотреть на «ну вот только что они мигали», ничего необычного уже не происходило.

У парня появился смысл в жизни. Он проверял комп различными антивирусами — без результатов. Он открывал автозапуск — там было пусто. Он переустанавливал винду поверх старой — компьютер продолжал жить своей жизнью. Боец невидимого фронта сверчок-пискунок продолжал попискивать, но всем было уже не до него...

Когда шутка уже обросла бородой, я за пару минут сляпал второй диск, который вынес программу из автозапуска и с винчестера.
Парень так и не понял, в чём была уязвимость его системы. Защитник информации...

Ездили в филиал на проверку. Бухгалтер отошла от рабочего места, не заблокировав компьютер.

— Почему компьютер не блокируете, когда рабочее место покидаете? Это нарушение информационной безопасности.
— Так ведь экран блокируется только через двадцать минут. Мне что теперь, чтобы в туалет сходить на пять минут, надо перед этим двадцать минут сидеть и ждать, пока экран заблокируется?

Показали волшебное сочетание клавиш. И волки сыты, и овцы целы.

Приснился мне страшный сон, будто ночью рабочую машину, на которую я хожу через VNC поверх OpenVPN-туннеля, сломали, завайпили жесткий диск и поставили туда голую винду, добавив туда зачем-то новелловский клиент (привет бывшим коллегам из ПФР) и сервер Lineage II. Захожу я на неё, а там только уродливые монстры ходят по пустому компу.

От всего ужаса увиденной картины я проснулся и некоторое время пребывал в шоке, после чего начал рассуждать логически. Даже если ключи от туннеля и все пароли куда-то уплыли, то провернуть подобную операцию удалённо в полном объеме невозможно (никаких других загрузочных носителей в машине нет). Нужен физический доступ, что тоже маловероятно, причём переводит проблему в категорию не моих, а значит, это всё дурацкий сон, и можно расслабиться.

Успокоившись, я смог опять заснуть. Впрочем, я всё же запланировал внеочередной бэкап локальных файлов.

Вечные войны бухгалтеров и программистов, говорите? А что бывает, когда один бухгалтер объясняет другому меры компьютерной безопасности?

Некоторое время назад по внутренней почте через систему «банк-клиент» одного очень крупного бывшего государственного банка пришло письмо о повышении мер безопасности при работе с электронными ключами. Перечень невыполнимых с точки зрения нормального пользователя параноидальных требований венчал перл следующего содержания (орфография и пунктуация сохранены):

Обращаем Ваше внимание на имевшие место инциденты, со стороны персонала организации, связанные с несанкционированным доступом к ключам уполномоченных лиц, а как следствие несанкционированный доступ к компьютерам уполномоченных лиц по локальной вычислительной сети организации и сети Интернет.

Где, когда и в какой организации «имели место инциденты со стороны персонала организации», и чего хотели добиться сотрудники этого уважаемого банка от остальных своих клиентов, мне не до конца ясно до сих пор.

В нашей проектной конторе поставили систему контроля доступа. Используется она на полпроцента её возможностей: несколько камер наблюдения и турникет на проходной, пропускающий сотрудников по магнитным ключам (проксимити-картам).

Один из многих приколов случился на днях. У департамента безопасности центр потребовал отчёт о рабочем времени сотрудников. Приходящий спец показал мне, как составлять такие отчеты, и выставил временные пределы, относительно которых отсчитывались опоздания и ранние уходы.

После этого турникет перестал предоставлять доступ до восьми утра и после пяти вечера. Сначала я не заметил привязку ко времени и отлавливал озорников, прикладывавших ключи вместе с банковскими карточками и прочим барахлом. Пошарив в справках и в самом интерфейсе, я обнаружил, что заданное спецом временное окно было привязано не только к именам сотрудников, но и к их ключам. Одна и та же политика определяла как опоздания, ранние уходы, прогулы и т. д., так и временные ограничения доступа в здание.

Пятница. Все пятеро сотрудников отдела информационной безопасности сидят и задорно стреляют друг друга в Red Faction. Дверь кабинета открыта из-за проблем с отоплением. Мониторы отвёрнуты от входа, чтобы не навлекать подозрений.

Очередной сотрудник, проходящий мимо кабинета, спрашивает:

— Что это вы всё за компьютерами сидите?
— Работа у нас такая! — улыбается старший специалист, сделав красивый фраг.

Звонит мне один из сотрудников:

— Не могу выйти в интернет, не подходит пароль.
— Пароль меняли?
— Нет.

Лезу в Active Directory Users and Computers и вижу, что аккаунт пользователя заблокирован, а пароль действительно не менялся. Полез я в гугл, нашел статью и понял, что я такой не один — многие администраторы сталкиваются с этой проблемой.

Причиной «залочки» аккаунта явилась политика безопасности домена, которая предотвращает N-кратный ввод неправильного пароля, после чего аккаунт блокируется. Выяснил я это благодаря утилите от мелкомягких под названием «Account Lockout Status». Но непонятна была природа блокировки...

Я пообщался со своим другом-администратором, и ответ на волнующий меня вопрос вскоре был найден. Как оказалось, друг уже проходил через эти «боевые учения» и с любезностью поделился со мной своим опытом.

Причиной всему стал Adobe Updater, который запускался при вызове Acrobat Reader и проверял наличие новых версий на своем сайте. Апдейтер не учёл одного: он не знал пароль для выхода в интернет, доступ в который пользователи нашей организации получают через прокси, прикрученный к Active Directory.