Безопасность

Прочитав историю про самое слабое звено, я внезапно узнал себя. Не конкретного человека с ФИО и паспортом, а технического специалиста с техническим же взглядом на вещи, дальше технологий до поры до времени не простиравшегося.

Дядя идиот, потому что не пользуется антивирусом? Возможно.

Дядя идиот, потому что в банке отказался от аутентификации через SMS на телефон? Возможно.

А теперь важный вопрос: откуда у такого идиота может взяться 25 миллионов рублей? Один-два понятно, но не 25.

И тут я вспомнил известную в нашем городе историю с ограблением автосалона. На новогодних праздниках фирма продала несколько десятков выставленных на комиссию автомобилей, не успела ни передать деньги хозяевам, ни сдать в банк — как их ограбили. Тоже на пару десятков миллионов. Правда, хвала сотрудникам полиции — учредителей фирмы поймали. С наличкой и даже парой якобы проданных автомобилей.

Так что я уверен на 99% — деньги у «незадачливого» дядечки пропали со счёта, но не из кармана. И даже крайние нашлись: одни плохой ноутбук продали, другие вероломно воспользовались, а сам дядя белый и перед партнёрами/государством ваще не виноват.

Коллеги, не все проблемы человечества лежат в технической плоскости. Когда начальник-идиот просит сделать прибор в Большом Железном Корпусе, не стоит настаивать на компактном пластиковом варианте. Он на самом деле не идиот: он своих заказчиков знает и понимает, что условный Сергей Петрович скорее заплатит N тысяч рублей за Большую Железку, чем в два раза меньше за удобную пластиковую коробку с той же функциональностью.

Когда мы проектируем светодиодные светильники, перед коллегами-конкурентами мы можем заниматься сравнительной фаллометрией на тему эффективности, показаний фотоколориметра, интересности вторичной оптики и применения твердотельных конденсаторов. На практике же ни один из конечных потребителей продукции не осознал цепочку от ватта электрической энергии, пришедшей в светильник, до величины освещённости в нужной точке пространства. Чтобы не вникать в тонкости, они придумали тянущий на Нобелевку термин «светодиодный ватт» и пользуются им. Для этих ребят прибор, дающий 12000 Лм света при 100 Вт потребления, выглядит менее привлекательно, чем прибор, дающий 10000 Лм при 120 Вт. Потому что у второго светодиодных ватт больше.

Все эти «восемь ядер шестнадцать гигов» на дохлом чипсете, «инструменты 36-в-1» из консервных банок и прочее имеют в основе невежество конечного потребителя. Вы можете просветить своего начальника, его начальника и при большой удаче даже весь отдел продаж разом — но дальше ваш заряд мудрости не пройдёт. Конечный заказчик от терминов устанет, не будет разбираться и купит у конкурентов нужное ему количество светодиодных ватт. Или «ваттов», если в школу не ходил.

Поэтому давайте иногда подниматься над техническим уровнем проблемы и видеть ситуацию целиком — нам ведь надо кормить свои семьи. Деньгами заказчиков, разумеется. А девелоперские дела будем обсуждать тесным кругом, среди своих, под настроение. У нас тут закрытая вечеринка: интеллект-код и майнд-контроль, неподготовленным душам нечего делать. Наслушаются ещё разных глупостей, а потом не смогут план по продаже гигов с ядрами выполнить.

Подрабатываю приходящим админом в маленькой, но очень гордой фирмочке. В числе прочих её достоинств — предоставление интернета арендаторам, что в свою очередь даёт работу и мне: протянуть кабель, добавить пользователя в UserGate, прописать на клиенте прокси и, собственно, выдать статистику.

Обычно клиенты попадаются непритязательные, и всё заканчивается быстро. Но вот осчастливил нас региональный банк своим представительством. Сразу выдали листок с перечнем ресурсов, куда и как надо ходить с установленной точки. Всё бы ничего, пожелания были воплощены в правила, дело посчиталось сделанным, но… ничего не работало! То есть интернет был, а банковские ресурсы не виделись. Загадка, блин!

Приехал представитель банка, и мы уже вдвоём начали ломать головы. Причём осложняло весь процесс расположение кабинетов — клиенты обитали на третьем этаже, а серверная — на втором. Приходилось носиться туда-сюда (вечер, охота домой) почти бегом, пока голова была забита правилами, NAT’ами, назначениями портов и мануалом, в котором эта же ситуация расписана как самая заурядная. Час забегов по кабинетам и лестницам результатов не дал.

Закрались смутные сомнения в собственной компетенции и способности мыслить адекватно. Клиенты, ожидающие, когда ж, наконец, можно будет работать, стали откровенно хмуро поглядывать и на меня, и на представителя банка. Идеи кончились, осталась одна спасительная мысль: наверняка всё дело в какой-то незамеченной мелочи. Я начал внимательно вглядываться в комп клиентов, изучая все значки запущенных программ. Внимание привлёк значок, уж очень похожий на «кирпич». Открываю его — так и есть. Суровые правила банковской дисциплины или неловкое движение банкира — неважно, но свеженький Outpost со значками непривычного моему глазу дизайна был выставлен на «Блокировать всё».

После разблокировки всё заработало, как положено. Воистину — жизнь состоит из мелочей!

Общалась я как-то в чате.

— А ты красивая, — пишет мне собеседник.

От меня последовал логичный вопрос:

— А как ты узнал?

— А я твой компьютер взломал, — ответил товарищ. — Дистанционно. И фотки посмотрел.

Верю, что посмотрел. Особенно это легко сделать, когда я зарегистрировалась под своим самым используемым ником, который у меня ещё и на страничке «Вконтакте» написан. А вот что взломал — не верю.

---

— А ты, оказывается, ещё и рассказы пишешь! — сообщает мне человек в онлайн-игрушке.

— А как узнал? — интересуюсь с улыбкой.

— А я специалист по компьютерной безопасности. Мне ли не знать, что у тебя в компьютере делается!

Верю, что рассказы глянул. Учитывая, что я только что скинула тебе свой скайп, который висит и на странице с рассказами, и на страничке «Вконтакте», и даже на корпоративной странице техникума, где я преподаю. А что взломал — не верю.

P.S. Преподаю я, кстати, математику и информатику.

Прочитал историю «IT-шная почта», и волосы на голове зашевелились. Ведь если вы хоть немного интересуетесь информационной безопасностью, то знаете термин «социальная инженерия» и вам, скорее всего, известны несколько умопомрачительных детективных историй проникновения в самые защищённые организации с помощью методов социальной инженерии. Собственно, во время тестов на проникновение специалисты пользовались единственной уязвимостью в этих организациях — людской психологией.

Такие истории про то, что непонятно кто делает непонятно что, а им ещё и помогают сотрудники фирмы, умиляют только до первой кражи информации/коммерческой тайны, ну, или денег. Выделенная врезка во внутреннюю сеть фирмы, это ж какой простор для фантазии!

Наверное, многие считают, что уж с ними этого не случится, чего у них красть-то… Вот, один дядечка в одной мелкой организации тоже так думал и ходил по разным сомнительным страницам с того же ноутбука, с которого заходил на счета своей фирмы. А потом внезапно с этих самых счетов увели ни много ни мало 25 миллионов рублей. Дядечка, конечно, сам виноват, потому что на настойчивые советы обратиться к айтишнику, чтобы банально настроить базовый уровень безопасности да регулярно чистить ноутбук, он отвечал отказом, мол, дорого. Второй ноутбук специально для блуждания по тем самым сомнительным сайтам для него тоже было дорого покупать.

Из-за этой истории досталось и нам, так как в ходе разбирательств дядечка указал на нас, мол, мы ему ноутбук покупали.

Мораль? Да ничего подобного: все будут продолжать считать, что уж с ними-то этого не случится.

Госпредприятие федерального масштаба, в общей сложности больше 10 тысяч сотрудников, везде стоит СКУД, вход по карточкам, в том числе в подвалы.

Выясняется пропажа чего-то там из последнего, ну, украли. Инициируется обход всех входов в подвальные помещения и выясняется картина: дверь, считыватель — работает, магнитный замок — тоже, но тупо отсутствует половина двери.

Вот такая вот безопасность.

У меня есть дача, а на даче есть соседи — владельцы соседних участков. Как это часто бывает, есть и свои проблемы: то кому-то не нравится высота чужого забора, то чужой распорядок дня, то кому-то есть дело до чужих денег, до чужих гостей, и так далее, и тому подобное. Ходят толки-пересуды, пишутся «телеги» в правление, то одно, то другое; несколько группировок исподтишка пакостят друг другу. В общем, обычный такой дачный кооператив. Практика показывает простую закономерность: если не хочешь иметь лишних проблем — лучше ограничивать общение дежурными приветствиями и не болтать лишнего. Незачем соседям видеть, слышать и знать то, что их не касается. Конечно, сами-то они думают, что их касается всё — но это не так.

С другой стороны, в современном мире за нами всеми следят: на дорогах камеры считывают номера наших автомобилей, операторы сотовых сетей могут найти наши мобильные телефоны, а спутники и вовсе делают фотографии моей дачи, на которых видно, как я загораю. Но всё это мне совершенно безразлично: те, кто получает эту информацию, для меня гораздо менее опасны, чем сосед дядя Коля, который везде суёт свой любопытный нос. Создать реальную проблему может это его любопытство, а вовсе не спутниковый снимок моего участка, который может увидеть какой-нибудь фермер в Аризоне.

Понимаете, к чему это я? Конечно, какой-нибудь Гугл может многое знать обо мне, но, во-первых, Гугл далеко, во-вторых, его знания очень поверхностны: я как-то раз залез в настройки своего профиля и увидел, что он даже примерный возраст определить не сумел.

А вот граждане в штатском, подобно дяде Коле желающие засунуть свои носы в мою переписку или в список посещаемых сайтов, напрягают гораздо больше, так как и вреда они могут причинить больше, чем далёкий американский Гугл. Кто их знает, что они там себе думают?

Диспозиция такая. Два дня назад:

1. Жена с домашнего стационарного компьютера искала авиабилеты в Рим.

2. Я с рабочего компьютера в офисе искал статью про триперекись ацетона — ну, просто прочитал на anekdot.ru историю, решил уточнить формулу.

3. Жена на своём личном планшете в маршрутке читала статью о Гваделупе — решили отдохнуть на Карибах.

По приходе домой я на своём планшете полез в Гугл что-то поискать. Сразу вывалились три подсказки: авиабилеты в Италию, триперекись и Карибы.

Повторю ещё раз: все три запроса были сделаны из разных сетей, в разных географических местах и разными людьми. Объединяло их только то, что устройствами владею я. Кто-то где-то всё сопоставил и сделал вывод, что все четыре компа используются одним лицом, и для моего удобства сохранил историю интернет-запросов. Пока для моего удобства.

Вы до сих пор боитесь не Гугла, а слежки ФСБ и фильтрации трафика?

Пароли у нас в 1С всего четыре цифры. На безопасность не влияет — только чтобы менеджеры случайно не сидели под другими учётками.

Работает у нас «менеджер по продажам». Работает в смену. После выходных периодически забывает свой пароль в 1С. После третьего раза написал ему его пароль на листочке, сказал выучить наизусть. Через месяц снова забыл пароль. «А где листочек?» — «Потерял». Ну, блин, запиши себе в ежедневник!

Проблема ушла на месяц. После Нового года звонит мне снова: «Я забыл пароль». Спрашиваю его: «У тебя же в ежедневнике записано четыре цифры твоего пароля!» Ответ: «А у меня новый ежедневник».

До сих пор не знаю, зачем таких держат в фирме.

Редакция выпускает одновременно газету (самый большой тираж в области) и глянцевый журнал. Глянец — подборка рерайченного хлама с «Леди Mail.Ru».

Интернет позволен только тем, кто готовит материалы. Верстальщикам, корректорам, редакторам запрещён, отдел приёма рекламы довольствуется Аутлуком. Есть внутренний чат и файлопомойка.

Ваш покорный слуга верстает газету. Ещё подменяет верстальщика глянца, когда тот после вчерашнего не различает буквы на клавиатуре. Вирусы грызут не слишком крутой компьютер, успешно добавляя себя в исключения кагэбэшного антивируса. Интернет под запретом. Пользовательская учётка.

Приношу CureIt! на флешке. Оп-па — а USB-порты отключены в диспетчере устройств. Пытаюсь включить — хрен тебе, пользователь. Ладно, думаю, глупость спорол. Надо админа звать. Написал по внутреннему чату сообщение: вот, дескать, вирусы, надо бы прибить.

Приходит чудо в очках — пузо, свитер, редкая бородка. Типичный сисадмин, только рост 1,80. Спрашивает, где вирус. Показываю. Вот тут программа hfdxkl.exe выедает полностью ядро процессора, тут она в исключениях антивируса, а вот тут же — она в папке %temp%. Чудо говорит, что я дурак: раз программа в исключениях, значит, она важна и трогать её не надо. Служебная на имя директора спускается тому же админу с тем же успехом — он дальний родственник.

Ладно, хрен с ним. Приношу с дома пачку компактов, пытаюсь стартовать с них — удаётся. Запускаю CureIt!, вылечиваю машину. Проверяю реестр и папки автозапуска — вдруг есть что-то странное. Неожиданно утилита пишет, что нашла обновления. Стоп, как это? Неужто интернет на самом деле есть? Набираю IT happens в браузере лайв-CD — не, нету. Как же тогда обновления нашлись? Ладно, потом буду думать, скоро материалы для вёрстки принесут.

На всякий случай бручу хэш админского пароля — а вдруг? Шесть цифр, похожих на дату рождения… Ой, да это же админа, вон список днюх висит!

В перерыв запускаю программу для проверки автозапуска — даже из-под пользовательской учётки она находит присутствие обновлений. Почему? Может, дело в HTTPS? А если запустить Tor? Ой, да тут только HTTP закрыт, а всё остальное — бери не хочу!

Ну, так я и стал обладателем интернета и админских полномочий, которые использовал, как супергерой суперсилу — тайно и во благо. Tor никак не выделялся среди трафика, который генерировала вирусня с других машин, так что для анонимности достаточно было нажать Alt+F4. А если бы сисадмин вовремя победил вирусню — так бы и остался я необразованным верстальщиком.

Федеральный фискальный орган отличился. Кто получал пароль к личному кабинету, тот, я уверен, ходил к ним не раз. Я тоже ходил — аж три раза. Пароль правильный, но не подходит. На претензии отвечают: «Набирайте в Ворде».

Я же умный, я каждый день набираю с десяток паролей. Ворд мне не нужен. После второго раза прислушался к совету. Набирал в Блокноте. После третьего раза уговорил себя набрать пароль в Ворде. О чудо! Пароль подошёл! Можно танцевать джигу.

Но кто додумался в конце пароля добавлять символ переноса строки?

Сижу на Мегафоновском свистке в инете — и вдруг идёт сканирование портов, причём с их DNS-сервера. Так продолжается полтора месяца. Решил написать в техподдержку:

С ваших DNS-серверов 10.***.***.8 и 10.***.***.9 периодически происходит сканирование портов моего компьютера, после чего файрвол закрывает порты и вносит адреса в чёрный список.

Ответ порадовал:

Добрый день! Для решения данного вопроса рекомендуем вам отключить файрвол.

Спасибо, что воспользовались web-интерфейсом службы «Сервис-Гид».

С уважением, специалист…

Где-то здесь уже были истории про большие конторы, где на каждый чих по десять бумажек и TCP/IP не всем положен по статусу. Я сам работал в паре таких мест. После этого, когда приходишь в больницу, а там врач в ординаторской может смотреть фильмы и сидеть в интернете, испытываешь дикий ужас, а рука тянется к пистолету.

Но сейчас не об этом. Довелось мне в рамках одного заказа снова окунуться в атмосферу жёстких ограничений и царства службы ИБ. Работа заключалась в том, что мы переводили линуксовые софтовые прокси на аппаратную платформу. И вот — один из бесчисленных филиалов этой конторы. Своего сисадмина инженера ИТ там не было — то ли «ушли», то ли сам сбежал. На целевой машине в домашней папке пользователя я нашёл пару скриптов а-ля «питон» и «тетрис», маны, не относящиеся к работе напрямую, книжку Лимончелли и другие маленькие радости админа. Судя по каталогу /usr/local/my/sweet/home, работёнка у админа была та ещё.

Магазин. В очередной раз не в меру разбузившаяся бабушка. Никто её не обсчитывал, она сама это поняла, ещё раз просмотрев чек. К ней подошёл охранник и вежливл предупредил, что в торговом зале камера.

Такие бабушки отлично знают свои права:

— Нельзя скрытые камеры вешать! Либо открытые, либо табличку.

— Да вот же огромная открытая камера висит, ни разу внимания не обращали?

— Обращала, милок, обращала. Так это не телефонный аппарат перевёрнутый? Нельзя маскировать камеры под бытовые предметы!

Всё ведь знает!

Обтекаемый колпак, круглое тёмное стекло. В середине объектив, по периметру крупные ИК-диоды. Чем не дисковый телефон?

Решил я обновить своего десктопного железного коня и закупился пусть не топовым, но вполне приличным железом. И вот он, момент истины: все коробки вскрыты, на пальцах остатки термопасты, а новорождённому монстру немного тесновато в старом корпусе.

Всё готово для запуска, ключ на старт! Но что это привлекает мой расслабленный и радостный взгляд? Это новый UEFI радостно рапортует о том, что процессор греется до недопустимых температур (ну, 93 по Цельсию — всё же не шутки).

И вот тут начинается квест.

Первая здравая мысль: плохо промазал термопастой. Снимаю кулер и радиатор, промазываю, работая членской карточкой какого-то видеопроката, как хирург скальпелем — осторожно, но решительно. Собираю всё обратно, и… та же картина.

Вторая здравая мысль: радиатор плохо прилегает к процу. Снимаю радиатор, вытираю термопасту с него и с проца, мажу термопастой только радиатор, чтобы определить потом по отпечатку, правильно ли он прилегает. Прилегает отлично, это хорошо, попробуем прикрутить радиатор чуть плотнее… Картина не меняется: те же 93 градуса.

Провозившись два дня, я не смог самостоятельно найти причину такого нагрева. Не помогла и помощь друга — сборщика компов. Что ж, логичное решение — отнести материнку и проц в сервис, пусть разбираются.

Пять дней тяжкого ожидания. Итог: дефект не подтверждён. Печально.

Выходные начинаются со сборки-разборки компьютера. Я уже доведён до белого каления. В голове одна мысль — за свои деньги получил себе же геморрой. Суббота закончилась в расстроенных чувствах.

Начинается воскресенье. После завтрака целу́ю жену, как перед походом на войну, и начинаю методично удалять всё, что можно скрутить, свинтить и отключить, надеясь найти причину в каком-нибудь экранировании, замыкании материнки на корпус и так далее. В общем, в голове крутятся мысли одна фантастичнее другой…

Не буду утомлять подробностями своих действий. Причиной такого нехорошего поведения оказался обычный PCI-вайфай-адаптер, который всё это время тихо торчал в слоте и не давал о себе знать. И тут моя память подсказывает, что N лет назад при покупке и первом подключении этого адаптера он каким-то образом конфликтовал непонятно как и непонятно с чем и не давал запуститься системе в штатном режиме. Какие тогда пляски для восстановления его работоспособности я использовал — теперь уже и не вспомнишь.

Железо в полном порядке, пора устанавливать операционку… Так, что это такое? А-а-а, это уже другая история…

Купили генеральному iMac: безопасно, вирусов нет, да и круто же! Создали учётку и заму. Он иногда заходит поговорить по скайпу: камера хорошая, экран шикарный… В организации безопасность на высшем уровне: домен, 12-символьные пароли с периодичностью смены раз в месяц, прокся, почтовый сервак, IT-отдел со своим подразделением безопасности, — короче, полный фарш, который обходится компании в кругленькую сумму.

В OS X генерального две юзерские учётки и одна админская. Все под вышеупомянутыми паролями. Условно назовём usr1, usr2 и admin. Кроме всего прочего, установлен Punto Switcher. Так вот, если перейти из профиля usr2 в профиль usr1 (сменить пользователя) и начать набирать текст, то у usr2 набирается дубликат текста.

Зам (usr2) оставил открытое окно скайпа перед уходом с работы. Утром приходит генеральный (usr1), и первое, что он вводит — это логин-пароль от корпоративной почты, а потом номер и CVV кредитной карты для оплаты мобильника. Как удивился совершенно левый человек идущим ему в руки самым секретным данным из суперзащищённой сети суперсерьёзной конторы!

Ответ поддержки Яндекса поразил своей краткостью и простотой:

Программа не предназначена для использования в многопользовательском режиме. Такая версия пока не предполагается.

Шах и мат! Безопасников на улицу по статье «несоответствие занимаемой должности», начальнику IT-отдела — штраф и понижение до эникейщика с уменьшением зарплаты втрое, профилактическое срезание премий всему IT-отделу на три месяца. Спасибо, Rндекс!

Борьба с неблокировщиками, говорите?

Работал я одно время в некой крупной международной аудиторской компании. Понятное дело, что ноутбуки содержали кучу секретной информации. Частенько человек по полгода сидел в командировках у клиентов, которые отличаются повышенной любознательностью. Компьютеры блокировались и пристёгивались тросиком.

«Учёба» молодняка начиналась ещё в головном офисе. Непристёгнутые компьютеры забирали админы-безопасники — это понятно. А к вопросу блокировки подошли с юмором.

Это была своеобразная игра: у каждого в почте лежало в черновиках несколько специальных писем. Если кто-то отлучался (даже на пять минут) и не блокировал компьютер, от него сразу высылалось письмо всем сотрудникам фирмы (ну, кроме руководства):

Привет, меня зовут Катя, я новый ассистент аудитора. Я сейчас на проекте в городе Малые Гроги, и мне местные ребята подарили на дискотеке подсолнух. В горшке. Семки выращивать. Я очень люблю семки, но цветочек чахнет. Пришлите мне, пожалуйста, каких-нибудь удобрений и десять литров воды почтой.

Новичок сначала прозревал и стыдился, а потом сам становился активным участником такой игры. И никто не забывал блокировать компьютер.

У нас на работе вайфай-гопники завелись. Двое новых парней из отдела прознали про вайфай безлимитный в офисе, но тот запаролен на 20 символов, а пароль только админу известен. Для них интернет закрыт: не положено.

Короче говоря, админа достали. Он раскрыл пароль, получил втык от начальства, поменял пароль, но парнишки опять начали доставать админа. Из ситуации тот вышел креативно: снова сменил пароль и раздал по две буквы от пароля сотрудникам: пускай сами пароль подбирают. Нет, конечно, нам известна нужная комбинация, но и втык на весь отдел получить не хочется, ибо админ свалил в законный отпуск.

Утро, офис, народ работает. Подходят двое парней:

— Слышь? Вайфай же есть? Паролем поделись?

— Эм… Я его не знаю, это к админу.

— Да знаем мы про админа. Говорю, пароль скажи!

— Я откуда вам его возьму? Не знаю.

— (Голос со стороны.) — Отдай им буквы!

Те прифигели. Парень достаёт стикер с двумя огромными буквами «XL» и отдаёт им с фразой:

— Это часть пароля, что известна мне, остальные ищите у других сотрудников и отстаньте от меня.

Те в непонятках. Идут к другому, тот без вопросов даёт ещё бумажку с двумя английскими буквам. Идут дальше по конторе — то же самое.

Этих двоих вызывают по работе, до вечера их нет. Вечером им уже припекает. Видимо, смекнули, что к чему, и идут уже навеселе к Серому, а он про эту ситуацию не в курсах, весь в загонах.

— Листочек гони!

— Какой листочек?

— Какой? С частью пароля от вайфая.

— Нет у меня такого.

— А вайфай есть у тебя?

— Есть.

— Ну так гони листочек, не морочь нам голову!

— Да нет у меня такого!

— Слышь, а если найдём?

Серый оглянулся по сторонам, видит мою рожу, что еле сдерживается от хохота, говорит: «Ну, ищите!» — и демонстративно уходит с своего рабочего места.

Те шерстят его стол, находят какую-то бумажку с буквами «ГЫ» и смайликом. Вроде по всем прошлись, собрали и ушли довольные. Тут и рабочий день кончился.

Утром их нет, вечером и следующим днём тоже. Прошли полторы недели, админ уже вернулся из отпуска, а их всё нет. Ну, ради интереса зашёл и спросил у админа: что там у них, вайфай есть, подобрали пароль? Тот и рассказывает: не в курсе, только у него заявка от нашей сотрудницы — новенькой молоденькой девушки, что интернет не работает, что-то с компьютером случилось. Заходит, проверяет — сетку видно. Может, пароль неправильный? Вбит тот же самый, что у нас, но со смачным ГЫ:) посередине.