Безопасность

Пришёл на работу новый специалист по информационной безопасности. Первым делом начал сканировать нашу сеть в поисках дыр. Прислал отчёт админам:

Просканировал принтер и нашёл кучу дырок в безопасности.

TCP-порты (6)

21 ftp => File Transfer Protocol
23 telnet => Telnet
80 http => World Wide Web HTTP
443 https => HTTP protocol over TLS/SSL
515 printer => Printer Spooler
9100 JetDirect => HP JetDirect PrintServer

UDP-порты (3)

137 netbios-ns => NetBIOS Name Service
161 snmp => Simple Network Management Protocol
2049 nfsd => Network File System daemon

Админы нервно пьют корвалол и сочиняют служебку о профпригодности и вменяемости нового сотрудника.

Компьютер у меня появился ещё во времена БК-01001 и ДВК уж не помню, какой модели. В универ я пошёл учиться по теме ИС в 2002 году.

Первый курс. Препод рассказывает, как включить компьютеры, а я уже изучаю структуру сети. На всех машинах стояла 98-я, подвергнутая эксплойту с полным доступом к шарам по сетке. После того, как препод меня отчитал за слишком быстро включённый компьютер, я начал искать способ насолить.

Способ был найден быстро — известный Concon. Я создал ярлык на Нортона, через Нортон же открыл для редактирования (во всех других случаях винды падали при любом упоминании зловещей комбинации), заменил «nc.exe» на «con\con» и записал в папку автозапуска винды на пятнадцати компьютерах класса.

После пары все выключили компьютеры и ушли. На следущий день меня повели сначала к декану, потом завели в аудиторию и публично пытались вывести на чистую воду, добиваясь признания в содеянном. Мне рассказали, как доблестные работники кафедры всю ночь переустанавливали Windows на всех машинах. Доказательств не было.

Меня не отчислили, а на пятом курсе этот препод стал куратором моего диплома, который я защитил на «отлично». Спасибо!

Наш начальник из бывших, которых бывших не бывает — старший офицер запаса структуры из трёх букв. Фирма скорее маленькая, чем средняя, человек двадцать всего. Но у каждого компьютер, а то и два: связано это с тем, что услуги мы оказываем информационно-посреднические.

Админ есть. Тощий и в очках. В общем, виду совсем не админского, пиво не пьёт, свитера не носит, котов не жалует: аллергия. На нём висит обязанность скорее обеспечения информационной безопасности, нежели присмотра за оборудованием и сетями. Аппаратную часть сделали основательно, вдобавок сотрудники не идиоты: работа аналитическая.

Шеф немного параноит на почве злобных хакеров и охотников за секретами: регулярно требует обновления систем защиты информации. Как-то у начальника возникла идея фикс: поменять комплекс аппаратной криптозащиты. Стоить это должно было — мама дорогая; главбуха отпаивали чаем полдня после «приятной» новости. Выручил админ. Он сказал, что ничего принципиально нового нету, смысл в покупке отсутствует, а вообще можно и проще, и дешевле. Шеф ему не поверил, но добро дал. Главбуху отдал команду затребовать счёт на новое оборудование и готовиться потуже затянуть пояса.

Системщик наш взял со склада обычный персональный компьютер и дня три с ним колдовал. Чего он туда ставил — не знаю, но к концу недели в систему защиты предприятия вклинилась старая персоналка, через которую уже и подключили стоявшие у нас аппаратные шифраторы.

Апогей наступил в начале следующей недели, когда к нам приехала делегация из бывших коллег шефа, действительных сотрудников. Недолгий разговор, админ на ковре — и делегация удаляется. По просочившейся информации, наш дистрофик (так его прозвали) на коленке сваял то, что поставило в тупик спецов из органов. Они всё время мониторили наши потоки информации (оно и понятно), а с установкой кустарно изготовленного звена в защите лафа кончилась: данные не расшифровывались, информация не поступала. В результате дружеского визита органы получили ключ для декодирования, админ — искреннее уважение шефа (чего стоит прилюдно произнесённая фраза про гордость Родины!), а главбух — облегчение ввиду сэкономленной суммы солидных размеров.

У нас на работе запрещено пользоваться интернетом: за исключением пары-тройки сайтов всё заблокировано. По крайней мере, так сказали при приёме. Есть сайт фирмы; есть microsoft.com, откуда качаются обновления безопасности; есть google.com, где можно смотреть словарь и наслаждаться недоступными ссылками — даже кеш заблокирован.

Сижу скучаю. Задал вопрос заокеанскому коллеге и жду ответа. Без ответа ничего делать не могу — запретили. Мануалы уже хуже горькой редьки. Охренев от безделья, набираю в Гугле какую-то чушь и тупо контрол-кликаю по всем ссылкам подряд. По второй ссылке открывается linux.org.ru, совершенно не связанный с нашим профилем — под линуксом всего четыре сервера, на которых до сих пор стоят второй RHEL и девятая SUSE, а на сотне машин программистов (а также документаторов, тестеров, маркетоидов и прочих менеджеров) бегает винда (от 3.11 до 7). Как ЛОР попал в белый список — непонятно.

Пара часов случайного тыка дала ответ. В белом списке находятся:

1. Сайт компании.
2. Сайты, откуда обновляются программы: microsoft.com, oracle.com, mozilla.com.
3. Сайты со справочными материалами: sciencedirect.com, arxiv.org, wikipedia.org.
4. Сайты, на форумах которых уволившийся полгода назад сисадмин размещал своё резюме. Их сотни. Тысячи.

И ждать уже не так скучно.

В юности я преподавал информатику в одном лицее. Был класс, в котором оказалось на одного ребёнка больше, чем юзерских машин в кабинете. Приходилось сажать одного ребенка к кому-то в пару, а в дни проведения контрольных — за админскую машину, стоящую отдельно от остальных. Надо отметить, что на моём коне был установлен TightVNC, запароленный во избежание. Запаролил, как мужик: ключ «достался в наследство» от известного пиратского релиза второго Diablo.

Во время одной из контрольных я усадил за свой комп Васю, который достаточно неплохо усваивал мои уроки и был очевидным лидером по оценкам в своём классе. Ходил по классу, смотрел за этими оболтусами, пресекал перешёптывания. Прозвенел звонок — сел за свой комп проверять результаты тестирования. Натыкаюсь на две работы с идентичными ошибками. Смотрю авторов творчества: одним из них оказывается этот самый Вася. Чешу репу минуты две, потом смотрю логи VNC и улыбаюсь.

На следующий день вызываю Васю на ковер: так и так, говорю, сознавайся, кому и как тест заполнял. Вася не стал долго отнекиваться и показал: дескать, на папином компьютере дома такая же программа стоит. Парень вводил свой пароль в Тайт в полной уверенности, что требуется именно он, а пароли совпадали.

Переписывать заставил обоих, заявив, что выставлю среднее арифметическое по результатам обоих тестов. К моему удивлению, ребята сдали на «отлично».

Когда я учился в школе, работал в корпоративной газете с незамысловатым названием «Школьная правда». Место нам определили в каморке у завхоза, но при обновлении техники достались школьникам под любые цели пять списанных машин и закуток перед входом в библиотеку для их размещения. Неособо шустрые машинки не были подключены к глобальной сети, но тривиальные офисные задачи на них решать было можно. Админу своих забот хватало, и он компьютеры не трогал. Чтобы не рождался ещё один рассадник вирусов, пришлось взять админство на себя: школа у нас гуманитарного профиля, и большинство учеников с управлением системой боялись связываться, а меня подобные вещи как раз интересовали.

Самую мощную машину мы на правах редакции зарезервировали под технические работы. Для того, чтобы устранить утечку информации до выпуска газеты, систему я запаролил. Для пароля выбрал название исследовательской работы, которое услышал в Москве: «Каналы социализации подростков, прошедших конкурсный вступительный отбор в элитное учебное заведение». Винда пожаловалась на очень длинный пароль, поэтому его пришлось сократить до первых трёх слов. Пароль я сообщил нашей редакции, но что знают двое — знают все, и через три дня заветные слова знала уже добрая половина школы.

Проходя мимо, я заметил, как кто-то не из нашей редакции пытается набрать пароль, а ось его не пускает. В другой раз девушке нужен был доступ к материалам газеты, но она не могла попасть в систему. Оказалось, не все так же хорошо владеют клавиатурой, как и я, поэтому попадают по соседним кнопкам, не замечают этого и продолжают ввод пароля. Я ржал, вводил пароль, и система, к великому удивлению юзверей, мне поддавалась.

В конечном итоге пароль пришлось сменить: в систему мог попасть только я, хотя пароль знали все. После этого случая я неоднократно задумывался о перспективах подобного метода защиты информации.

Я — админ небольшой конторы с несколькими разноудаленными участками. В политике домена — ежемесячная смена пароля. Есть такие пользователи, которые в поле «Новый пароль» вводят «новый», а в поле «Подтверждение» — «подтверждаю». К слову, ежемесячная смена пароля действует уже более года. Как эти юзеры работали всё это время — остается только догадываться.

В свое время писали мы с соавтором курсовую работу в форме танка для RoboCode — по-честному, с эвристическими алгоритмами и кучей различных хитростей. На сдачу пришли (получилось так) в камуфляже. Изложили комиссии суть проекта, продемонстрировали работу, провели показательный бой, в котором наш Т-256 благополучно раскатал нескольких ботов по карте. Вопрос у преподавателей был один:

— Ребята, на вас ещё военные не вышли?

Админю небольшой сайтик. Сегодня мне пришло мыло от хакера — мол, проблемки у вас там, дырочки залатать нужно. Хакер спрашивал, что за систему хеширования я юзаю: пытаясь вскрыть хеш моего пароля, он напарывался снова на какой-то хеш. Понятное дело, я не ответил.

Только после того, как оказалось, что неизвестный хакер — админ из соседней фирмы, я раскололся, что пароль «1D62C8A1A0B00CAAAD1BB9DE3148C23F71CFC689» — это и есть SHA-1-хеш очень известного виндового файлика, а использовать хеш в качестве пароля — мой способ всегда хранить подсказку под рукой.