Безопасность

Дёрнул меня чёрт установить iTunes с одной-единственной целью: автоматически получить обложки дисков для музыкальной коллекции, ибо никаких айдевайсов у меня нет. Надо сказать, я и раньше недолюбливал Apple и всё, что с ним связано. Как оказалось, не напрасно.

Нет, всё скачалось-установилось просто отлично. Но оказалось, что вожделенные обложки не получить без учетной записи в iTunes Store. Не беда, регистрируюсь: e-mail — мой, пароль — простенькая цифровая комбинация в виде номера зачётной книжки. Программа отвечает, что необходимо что-то более взломоустойчивое. Ладно, ставлю паролем первые десять знаков числа пи. «Нет, давай пароль с буквами», — говорит iTunes. Чертыхаюсь, ввожу пароль от кому-то настроенной «циски». «С большими буквами», — уточняет программа.

Итоговый пароль — «St1vJ0b5-mud@k!». Зато какая взломоустойчивость...

Наткнулся в коде страницы с формой логина на такую функцию:

function check() {

if (document.login.user.value == "user" &&
document.login.password.value == "correct_password")
    window.location.href = 'http://this.site/login.html';
else
    window.location.href = 'http://this.site/loginfehler.html';

return false;
}

Работаю в аутсорсинговой компании: оказываем услуги системного администрирования, настраиваем мини-АТС в одном из бизнес-центров.

Сегодня к нам поступила на поддержку очередная компания. Пришёл посмотреть, что у них там и с чем едят. Историю о настройке NX-клиента для подключения к терминалу 1С под Вайном на линуксе я, пожалуй, опущу. Расскажу о записке, оставленной прошлым админом.

* * *

Зашифрованная база 1С находится в скрытом TrueCrypt-контейнере, представляющем собой зашифрованный файл в папке /home/le (весит пять гигов). Контейнер монтируется при помощи подготовленной флешки в терминальной сессии пользователя admin (или любого другого, если понадобится). Запускаемый файл — start.sh, все скрипты реализованы на Perl и Bash.

Скрипты копируются с флешки в папку /scripts, подменяют crontab (для старта и контроля) и gdm (для очистки компьютера от следов монтирования базы). При этом отслеживается наличие файла readme.txt в папке общих документов: при его отсутствии происходит отмонтирование шифрованного диска и очистка следов. При перезагрузке сервера все подозрительные скрипты удаляются.

* * *

Вот такие дела. Автор этой системы явно хотел унизить Кощея со своей иголочкой в яйце. Чуть не забыл: компания занимается поставкой детских товаров.

Сегодня в нашей вечерней школе я настраивал интернет-фильтрацию по федеральной базе с категориями доменов. Это по следам визита прокурора, о котором позже. Так вот, после настройки решил проверить, как работает. Ввожу в Яндексе «мочить метов» (с опечаткой). Открывается полмиллиона ссылок, наверху: «Мочить надо ментов-уродов. Без свидетелей». Заметьте, Яндекс исправил опечатку — в курсе, кого мочить предполагается. Это при включённой ну очень федеральной фильтрации! А у них в Яндексе ещё и выбран «семейный поиск». Я сделал логичный вывод, что мочение ментов Яндекс относит к числу подлинно семейных ценностей.

Теперь обещанное о визите прокурора. Летом пришёл к нам работник с редкой фамилией Иванов проверять фильтрацию интернета. Вечерняя школа, все до единого учащиеся — совершеннолетние. Школа закрыта на ремонт. Ученики на каникулах. Компьютерный класс опечатан и обесточен, компьютеры зачехлены. Учительница информатики в отпуске. Иванов потребовал отозвать из отпуска учительницу, причём немедленно, вскрыть класс и включить компьютеры.

Прокурор уселся за машину и набрал в Яндексе «эмо». Первая ссылка вела на Википедию. Иванов ткнул указующим перстом в эту строчку и изрёк: «Вот видите, дети у вас могут попасть на деструктивный сайт». Далее Иванов проделал то же самое с запросами «готы», «свастика», «бей евреев» и «как изготовить бомбу». Иванову в довольно резких тонах предложили осмотреть школьную библиотеку на предмет обнаружения свастики, каковая имеется в каждой второй книжке о войне, а также в Большой Советской Энциклопедии, Новой Российской энциклопедии, энциклопедии Кирилла и Мефодия, энциклопедическом словаре школьника и рекомендованных Министерством образования учебниках истории. Иванов с достоинством ответил, что указаний о проверке школьных библиотек ему не поступало, и вынес представление об устранении нарушений и наказании виновных, мотивировав законом о противодействии экстремизму.

Лет десять назад мой знакомый налоговик видел настоящего русского Джона Крамера. В конце девяностых их отдел потрошил некую фирму, занимавшуюся чем-то в особо крупных объёмах в обход налогообложения. Доблестные потомки Несса Элиота не могли упустить свой кусок, и однажды в фирму нагрянули сначала человек сорок в лыжных масках и чёрных куртках, а затем и мой знакомый со товарищи. По инструкции вынесли все носители информации, в том числе и «сервер» — здоровый системник-бигтауэр с зачем-то усиленными стенками корпуса и на замке.

Когда налоговики попытались вскрыть «сервер», в нём что-то щёлкнуло, а потом оглушительно взревело и заскрежетало. Знакомый сорвал ломом крышку. На месте пятидюймовых отсеков располагалась здоровая аккумуляторная дрель на салазках. На патроне красовалась шестеренка, чтобы тянуть агрегат по салазкам вниз. Винтики стенки при выкручивании разомкнули микрокнопки и привели в движение сверло, пронзившее насквозь два харда.

Не так давно раздали нам великую и ужасную «Инструкцию по охране труда на персональном компьютере» — шесть листов чьего-то умопомрачительного бреда. Приведу выдержки из неё.

1.6. Работник на компьютере должен знать и соблюдать правила личной гигиены. Пить воду только специально предназначенную для этих целей.

1.8. Немедленно извещать руководителя о проявлении признаков острого профессионального заболевания (отравления).

2.1. Перед началом работы на компьютере необходимо:

— надеть средства индивидуальной защиты;
— убедиться в отсутствии дискет в дисководах процессора.

5.2. По окончании работы следует привести в порядок рабочее место, снять средства индивидуальной защиты и вымыть с мылом руки.

После обновления винды в компании с шизоидными безопасниками у меня перестали открываться ссылки в Аутлуке. Cкопировать текст тоже не выходило. Пошёл к айтишникам вопрошать, навсегда ли это.

— Саша, привет! У меня после обновления в Аутлуке перестали ссылки открываться. Это политика новая, что ли?
— Нет, всё открываться должно. У тебя ссылки-то работают? Может, фуфляк какой?

Присылаю письмо, Саша проверяет — ссылки пашут. Идём к моему компьютеру разбираться, делаем скрин и шлём безопасникам. Безопасники отвечают быстро: рассказывают, как исправить бодягу. Всё бы ничего, но в письме ссылка на статью с сайта Микрософта.

— Вы надо мной издеваетесь?
— А? Чё?
— Как я ссылку на статью открою?!

На том конце провода тихо бормочут, потом падают от хохота.

Я очень-очень плохой человек.

На работе я довольно близко сдружился с охранником. В один прекрасный день его рабочему компьютеру потребовалось нечто среднее между лёгкой профилактикой и оперативным вмешательством, что я и взялся выполнить. На компе у него обнаружилась штуковина, ставшая для меня небольшим открытием Америки: довольно увесистая специальная программа для управления всем нашим офисом (а он, надо сказать, немаленький: мы полностью занимаем два полноценных этажа). Охранник может удалённо контролировать свет, электричество, кондиционеры, телефонную сеть и много чего ещё по мелочи. А мы как раз недавно получили нереально огромное количество не очень новых Bluetooth-приёмников. И тут меня понесло...

Мой друг-охранник к своему компу относится довольно прохладно, и что в комп вставлено, не отслеживает. Под предлогом внеплановой проверки я снова получил доступ к его машине и чуть-чуть поковырялся в той страшной программе. Оказалась простейшей: все действия запускались простыми текстовыми командами типа Room0004_LightsOff. Я незаметно вставил в задний USB-порт тот самый приёмник и так же незаметно связал его со своим КПК. Потом вставил такой же приёмник и в свою машину, до этого связав оную с компом охраны.

И началось! Вот далеко не полный список моих шалостей:

— Выключить свет в туалете, когда в него кто-то зашёл. Несколько раз подряд. Или отрубить свет в коридоре, оставляя несчастного в полнейшей непроглядной темноте.

— Неожиданно повысить или понизить температуру в отдельно взятой комнате.

— Попеременно отключить телефоны в нескольких комнатах. Вариант с особым цинизмом: отключить целый отдел от связи с внешним миром.

— Комбинированный вариант: отключить в одной комнате свет и телефон, при этом установив на кондиционере градусов пятнадцать.

Уже через неделю офис паниковал и верил в полтергейста. Я умерил пыл, лишь увидев у одной сотрудницы на столе полдюжины различных маленьких икон.

Мне кажется, что если они догадаются, меня убьют. Сейчас, когда я это пишу, мне остаётся три дня до перехода в другое отделение. И за эти три дня я собираюсь устроить на работе полный хаос. Это им за то, что в свой коллектив не принимали, сволочи!

Если послушать офисных работников, то админы — самые страшные существа на свете: сайты закрывают, не дают общаться по аське и скайпу... А так ли это? В смысле, админы сами сайты закрывают, по собственной прихоти?

Случилось у нас полгода назад счастье: десятимегабитный симметричный анлим. Пользователи об этом очень быстро прознали: девушка из бухгалтерии правильно растолковала словосочетание «безлимитный канал», и по сарафанному радио радостная весть облетела весь офис, без малого триста человек. Юзеры канал быстренько освоили. Через неделю директор по корпоративному управлению не смогла проверить почту: ждать двадцать минут, пока загрузится веб-интерфейс — та ещё радость. Она издала суровый приказ об использовании интернета в служебных целях, где по-русски расписала, кому, что, сколько и когда можно. Наше дело маленькое: четыре правила в Сквид и несколько файлов со списком запрещенных хостов. Интернет у людей кончился: и аська, и скайп, и много ещё чего стало недоступно. Отдел, который нам «деньги зарабатывает», взвыл и решил, что айтишники — больше не люди. Перестали здороваться и стали делать вид, что нас не замечают.

Три месяца назад взяли нового сотрудника. Он не стал корчить морду, а просто подошёл к нам и спросил: «А на каком, собственно, основании?» Прочитал приказ, сказал «спасибо» и пошёл к директору по корпоративному управлению. Объяснил ей, зачем ему нужны скайп, аська и «Одноклассники», после чего принёс нам подписанное директором распоряжение: «Этому всё открыть». Через пять минут довольный сотрудник вовсю болтал по скайпу под непонимающими взглядами своих коллег. В течение следующего месяца весь отдел сходил к корпоративному директору, правда, с переменным успехом — она умеет просматривать выложенную на сервер статистику.

Интересно вышло: весь отдел демонстративно сидел без необходимых коммуникаций только из-за своего гонора и нежелания разбираться в возникшей ситуации. Большая просьба ко всем, кому что-то «закрыли, запретили, убрали и спрятали»: попытайтесь сначала узнать, чья это инициатива, и поговорить с этим человеком. Возможно, будет вам счастье.