Безопасность

Госорганизация. Подключение счастливо переехавшего отдела из двух единиц компьютерной техники к домену прошло успешно. Выданы инструкции и пароли, работа пошла.

На следующий день в восемь утра предстаю перед операторами вышеупомянутой техники.

— Молодой человек, вы, может, не понимаете, но мы работаем со сверхсекретными данными!
— Э-э-э... И?
— Почему нас видно в сети?! Почему любой может залезть в наши документы?! Немедленно отсоедините нас!
— Понимаете, у нас есть чёткое разграничение прав, и в ваши документы...
— Вы мне тут не вешайте лапшу на уши! Я не специалист, не разбираюсь в вашей работе! Меня из-за нарушения секретности премии лишили уже! Отключите меня от сети!
— Но вы же не сможете тогда...
— Я неясно выражаюсь?! На вас докладную писать?!

Лекция о наказании за неповиновение со всё менее цензурными выражениями продолжается минут пять, после чего молча, ибо раздражение уже достигло максимума и неизвестно, что сорвётся с языка, исполняю запрошенное — вытаскиваю кабели из сетевых розеток.

Немного кофе, сигаретка.. Ну, вроде успокоился. Так, пообщаемся с файлопомойкой, отрядим папочку под сверхсекретные документы с доступом для начальства и двух операторов... Ага, как раз вовремя — звонок от «неспециалистов».

— Молодой человек, что вы натворили? Мы не видим общие документы! Немедленно дайте нам их!

Молчаливое «угу», направляемся к любимому железу. Возвращение сети, проверка доступа к машинам извне — всё закрыто. Рискнём открыть рот:

— Извините, а в чём проявляется нарушение секретности? Вы можете показать, кто залезает в ваши документы?
— Вот из бухгалтерии открывали!
— А можете показать?
— Вы что, не умеете открывать документы?

Полный презрения взгляд — ничего, и не такое приходилось терпеть. Улыбнёмся в ответ, и сверхсекретные документы открываются... из общей папки-файлопомойки. Странно, даже не удивило.

— Ваша ситуация мне ясна. Специально для ваших сверхсекретных данных мы со специалистами по безопасности создали отдельное хранилище (ярлык на заготовленную папку появляется на рабочем столе), в который имеют доступ только вы да сам Господь Бог, и то с ограниченными правами.
— А мы проверим!

Поход по доброй половине компьютеров организации, ласковое «А вот мы ещё на других не проверяли. Ну, если откуда-нибудь откроется, я вас!..», натянутая улыбка с моей стороны, лёгкий поклон. Кофе, сигарета. Рабочий день продолжается — улыбаемся и машем.

Милые наши клиенты, мы сделаем всё, что вы просите, но предостережем вас советом, если ваша просьба некорректна и может навредить. От вас требуется только одно — выслушать совет специалиста. А если вы приложите немного вежливости — это будет пределом мечтаний.

Куда направлены мысли нормального айтишника? Хочется что-то написать, настроить, отладить. Куда направлены мысли школьника? В прямо противоположном направлении: поиграть, взломать, напакостить, разыграть.

Последнее время в школах идёт волна автоматизаций и информатизаций по американскому образу и подобию. В 2007–2008 годах в школах стали появляться американские автоматы с продуктами. Автоматы представляли из себя большие чёрные короба на ножках со стеклом, рекламным плакатом на боку, клавиатурой, LCD-дисплеем с подсветкой, купюроприемником и дыркой для монет. Под клавиатурой и дисплеем имелся отсек для выдачи сдачи с дверцей внутрь (чтобы шаловливые ручки не лезли в автомат), а под стеклом располагалась дверца для получения еды. За стеклом был стеллаж с продуктами. «Сникерсы» и «Марсы» лежали в металлических спиралях. Вращаясь, спирали сбрасывали еду в отсек для получения.

Конечно же, сразу после появления автомата в моей школе начался поиск багов. Попытки подобрать какой-нибудь секретный код успехом не увенчались. Всё внимание сосредоточилось на процессе выдачи продуктов. Опытным путем было установлено, что через кажные несколько упаковок желатинок Haribo автомат выдаёт одну бонусную.

На этом злоключения автомата не закончились. Ваш покорный слуга подобрал бумажку такого размера, что она стопорила механизм монетоприёмника, и все полученные монетки автомат игнорировал и оставлял себе. Затем награбленное извлекалось парой магических действий кнопкой под щелью. У моих последователей получалось таким образом получать до 560 рублей в день.

Позднее был найден ещё более наглый способ грабежа: при помощи секретной методики стопорилась в открытом положении дверца отсека для сдачи, и автомат не выдавал сдачи вообще. Через несколько перемен после установки «ловушки» прибегала орава одиннадцатиклассников, срывала куш и бежала праздновать в столовую. Через некоторое время владельцы автоматов, по-видимому, обанкротились (ха-ха), и враг школы был отправлен под лестницу.

Конечно, дело этим автоматом не ограничилось. В начале этого учебного года с целью якобы защиты от террористов была установлена система контроля на входе; по тем же карточкам выдавалась и еда в столовой. Поскольку заполучить доступ к компьютеру охранника казалось крайне трудным, было решено заняться столовой.

Перед столовой были установлены три платёжных автомата со считывателями карт вместо купюроприемников — конечно, с Windows на борту. Главное меню — единственная кнопка «Ввести код». Ничего толкового, кроме окошка с сообщением об ошибке и кнопкой «ОК», выбить из неё не удалось. Не взломать — так хорошо насолить! Вводим неверный код, получаем сообщение об ошибке и — хвала святому drag'n'drop! — перетаскиваем его далеко в нижний правый угол экрана. Всё, автомат не отвечает на внешние раздражители, в том числе и карточки. Подсмотренная кем-то методика ставит автоматы в ступор и по сей день.

Нехорошо, зато приятно. Будьте бдительны — школота не дремлет.

Разрабатываю сайт для одного агентства недвижимости местного значения. Жена моя работает в этом же агентстве менеджером по рекламе — принимает звонки от клиентов и хозяев, распределяет нагрузку между риелторами. На сайте, как и у каждого агентства, представлена база данных квартир. Написал я её на PHP; есть там, конечно же, вход с логином и паролем для зарегистрированных пользователей: риелторы, менеджеры, директор агентства и все остальные, то есть гости. Гостям телефоны хозяев не показывают, только телефон самого агентства. Дескать, звоните, мы вам всё подскажем и денег с вас сдерём.

Стукнуло мне в голову (не просто так, имели место неприятные инциденты) написать систему логов. Если юзер логинился, да ещё и кривой пароль вводил, то в логи тщательно записывалось: входил такой-то с такого-то IP, вводил такие-то логин с паролем. Зарелизились, директор рад: видит, кто работает, а кто груши околачивает — красота!

В первый же день стучится некто к нам на сайт с неизвестного IP, явно пытается брутфорсить: вводит сочетания «login/password», «password/123» и прочие. Среди прочих вводит пару «vladimir/682619». Мы с директором на это взглянули и задумались, что за Владимир такой и почему пароль именно такой выбрал.

— О, а ведь у конкурентов есть риелтор Владимир! — осеняет шефа.

Захожу на сайт конкурентов, нахожу форму входа, ввожу данные неизвестного мне Владимира. Мне показывают все квартиры, все номера, всех хозяев — в общем, полный аншлаг со всеми вытекающими, хоть всю базу сноси к чертям.

Если хочешь показаться умнее остальных и мнишь себя начинающим хакером, в процессе брутфорса не сливай конкурентам свой аккаунт. Вполне возможно, что «для повышения качества обслуживания все разговоры с БД записываются».

Начал как-то мой компьютер хандрить: профиль не может загрузить, два-три раза еxplorer.exe перезапустишь — вроде полстола рабочего покажет, а потом чихнёт BSoD-ом — и в ребут! Но иногда и с первого раза загружается нормально. Сапожник, как водится, ходит босиком — ни времени, ни желания переставлять ОС нет. В общем, создал я новый профиль (один админ хорошо, а два — лучше). Почти ровно работает, но иногда удивляет.

Сидим с друганом. Он на моём компе по ссылочкам клацает, я клиентский комп рядышком препарирую. Прошу его тормознуть деятельность и выключить мой приболевший комп — клиентский винт надо подрубить. Друган шустро проводит нехитрую процедуру из трёх кликов, а комп, хрюкнув, вываливает мессагу на тему отсутствия прав на выполнение действия, предлагая обратиться к админу.

Наблюдая за этим, удивляюсь, размышляю полсекунды и щёлкаю по кнопке включения на системнике. Повторно хрюкнув, железка услужливо предлагает сохранить сессию «огненного лиса» и после утвердительного ответа вырубается.

Кто ближе к рубильнику, тот и админ.

Приятель трудился в одной конторке в женском коллективе. За неимением водителя порой ему приходилось развозить сотрудниц. Раз его начальница дёрнула куда-то её отвезти. Она ждёт, он торопится. Появляется девочка, которой что-то нужно в его компе, а тот, как и положено, запаролен. «Скажи пароль», — требует начальница.

Админ, разрываясь между необходимостью бежать и дать пароль, судорожно, по буквам, диктует английскую раскладку: «С... B... C...» Лишь после окрика начальницы он выпаливает: «Да „сиськи“, „сиськи“!»

Середина семестра. Сидим на перемене перед парой по Rational Rose, настраиваемся слушать рассказы преподавателя об особенностях объектно-ориентированного моделирования.

Заходит в класс блондинка из нашей группы по прозвищу Барби, садится за компьютер и после нескольких неудачных попыток ввести пароль для входа в Windows спрашивает:

— А у нашей группы пароль — пять звёздочек?

Три человека абсолютно синхронно с обиженными нотками в голосе:

— Как пять?! Восемь!

Наша Барби через пару минут:

— Нет, восемь тоже не подходит...

Читаешь истории, смеёшься и наивно полагаешь, что такое с тобой вряд ли уже случится. Но нет — сегодня я лично убедился, что все бухгалтеры проходят курсы «Как задолбать админа» по пособию с доступным текстом и наглядными иллюстрациями.

Решил я наконец-то создать политику информационной безопасности. Первое, что для этого нужно — разделить всех сотрудников по классам. Казалось бы, что сложного? Пусть пишут отчёт, с каким ПО работают. Вся бухгалтерия встала на дыбы, и, выдирая волосы на груди, закричала:

— Мы что, программисты, чтобы такое писать?!

Безусловно, перечисление трёх программ требует колоссальных познаний в программировании на все возможных языках. Пытаюсь убедить, что это нужно для улучшения условия труда, для оптимизации работы.

—Что? Говорите по-русски, мы не системные администраторы, мы не должны знать всех тонкостей!
— Если вы не понимаете так, то напишите те программы, на которые тыкаете.
— Га-га-га! И это наш программист говорит «тыкаете»!

Я уже настолько зол, что находиться в бухгалтерии нет сил. Сажусь за свободный комп и начинаю сводку: так-с, это нужно, это тоже; выписываю все стандартные проги, вижу какие-то узкоспециализированные и спрашиваю, что это.

— А мы откуда знаем? Мы что, программисты?

Шок продолжается. Решил выписывать без комментариев. Увидел 5 (пять) ICQ-клиентов. Глаза на лоб.

— Да, а что, мы с клиентами общаемся, выясняем различного рода вопросы.
— Я не уверен, что начальство это одобрит!
— Что это вы имеете в виду — не одобрит?
— Полагаю, на работе должен быть не развлекательный центр, а рабочее место.

Послали в задницу. Окей, дамы, ничем не пользуетесь? Сейчас мы всё почистим, а потом сами разбирайтесь, где искать документы и чем их открывать.

Захожу сегодня в бухгалтерию, прислушиваюсь к разговору и медленно офигеваю. Бухгалтеры нагло обсуждают, как правильно пишется мой админский пароль к серверу, Керио и 1С. Минутный шок, потом прозрение.

Надо же было этому чёртовому вулкану Эйяфьятлайокудль проснуться! Спал бы себе мирно подо льдом Исландии ещё двести лет! А мне теперь все пароли менять...

Коротко и грустно. Пользователь:

— А есть разница, каким шрифтом вводить пароль — Times New Roman или другим?