Главпалец заставы
Ещё одна путевая заметка о работе на погранцов.
Внедряли мы новый проект на тестовом полигоне. Тихий участок границы, два десятка застав, софт на которых приходилось обновлять вручную, лично выезжая на каждую точку. Автообновление-то ещё не было реализовано, просто обкатывали функциональность.
Процесс был отработан до мелочей. Приезжаешь в погранотряд, получаешь от связистов список текущих админских паролей, сопровождающего и «уазик» с водилой, едешь по маршруту. Приехав на заставу, здороваешься с командиром, достаёшь флешку с обновлениями, логинишься под админской учёткой и медитируешь на прогресс копирования.
Но однажды схема была нарушена. Смежники поставили на каждый комп каждой заставы нашего полигона биометрические сканеры отпечатков пальцев. Сканеры хитрые: определяли не только папиллярный узор, но и проверяли температуру кожи (а вдруг у трупа палец оттяпали) и, по-моему, даже цвет! Сопровождающий софт привязывал целевой палец к определенной учётке операционки, то есть можно было не заморачиваться с логином/паролем: ткнул палец в сканер — и ты в системе. Естественно, «админские» пальцы были у начзаставы и его зама, остальные бойцы были с пользовательскими правами. Мне-то что? Попросил начальника или его зама ткнуть пальцем в сканер, запустил обновление — и пей чай.
Одна застава отличилась. Служил там на сверхсрочке один айтишник-параноик. Не знаю, как он узнал пароль на программу, управляющую привязкой отпечатка к учётным записям. Вот только все служивые были с «юзерскими» пальцами, а «админский» палец рос только на его руке.
Всё бы ничего, но незадолго до моего приезда паренёк сломал ногу и пребывал в госпитале. Софт сканера заменял стандартное виндовое окошко логина на своё и позволял логиниться не только пальцем, но и под паролем. Своим. Который тот «специалист» поменял. Что делать? Везти комп в госпиталь? Везти пациента на заставу? Оба варианта отпадают. Звонили, спрашивали пароль. Забыл.
Пришлось думать головой. Насколько софт сканера внедрён в ОС? Вряд ли слишком глубоко, максимум на уровне драйверов (в 2000-х развитие технологий было не таким, как сейчас). Перезагрузка, защищённый режим — и вот оно, долгожданное, родное и почти любимое стандартное виндовое окно для логина! Админская учётка — установка/удаление программ — uninstall — перезагрузка — админская учётка — обновление — установка софта сканера — регистрация «админских» пальцев начзаставы и зама — регистрация «юзерских» пальцев — готово!
Бутылка вина от командования, горячая благодарность, крепкое рукопожатие. Оказывается, «специалист» также закрыл доступ к разделу жёсткого диска, на котором хранился архив документов, музыка, фильмы, игры… А теперь командиры смогут хоть как-то скрасить армейский досуг.
Уезжал со смешанными чувствами и кой-какими выводами на будущее:
— безопасность не должна быть избыточной;
— любую защиту можно обойти, пользуясь несовершенством софта.