Безопасность

Сбылась недавно моя мечта: купил себе квартиру. Не в элитном районе, далеко не в Москве, но зато свою и новую — в свежевозведенной новостройке. Что первым делом перевозит админ в новую квартиру? Интернет! ADSL-модем со встроенной точкой доступа, которую я тут же и настроил с минимальной, чисто символической защитой — WEP. Причина тут в том, что мой комп пока ещё не был готов переехать в новое жилище, которое предстояло ремонтировать и доводить до ума, а старенький друг-КПК безбожно глючил и не понимал ничего, кроме доисторического WEP.

Кто-то из соседей позарился на плохо защищённый анлим и ломанул меня, присосавшись к каналу. Ладно, мне не жалко: сам я пока на квартиру приезжаю только плинтусы прикручивать и обои клеить. Однако интересно. Беру служебный ноут и вечером начинаю пробивать ситуацию. Юный кулхацкер, видимо, не вполне осознаёт, что сеть — вещь обоюдоострая, и коль скоро он присосался к моему вайфаю, мне мало что может помешать поизучать нутро его железяки, тем более что файрвола не обнаружено. Ладно, я добрый. Архивирую содержимое его «моих документов» с паролем «111». Если не совсем туп, подберёт.

На следующий день сосед снова присосался к моему интернету. Ну-ка, ну-ка, что это? Ага, файрвол! Таки учимся на ошибках. Хотя... Беру кастрюлю и накрываю антенну точки доступа. Через полчаса смотрю — ни хрена не научился! Файрвол снова отключён. Удаляю коллекцию фильмов и с нетерпением жду продолжения.

На днях пригласили меня знакомые в свой новый офис, чтобы я пробежался, посмотрел, где что находится, чтобы айти-интегратор, который там всё будет ставить, не содрал втридорога.

Отправился на экскурсию. Раньше в этом офисе какая-то солидная фирма была: короба целые, проводка тоже, обжато всё качественно. В общем, если столы будут стоять примерно в тех же местах, по сути делать вообще нечего. Дальше по маршруту лежала серверная, где не было ничего, кроме двух кондеев и уймы свисающих проводов с пронумерованными наклейками. Я мог бы не задержаться, если бы взглядом не поймал дыру в полу размером где-то 40×40 см. Вниз шёл какой-то короб, причём, судя по следам на полу, располагавшийся чётко под одним из серверных шкафов. Я логично рассудил, что это вентиляция, но любопытство взяло верх, и я принялся искать, куда эта вентиляция ведёт. Оказалось, что конец этой трубы закрыт наглухо, и к нему подведён толстенный такой провод.

Лишь когда мне по чистой случайности удалось встретиться с бывшими владельцами этого офиса, я понял, что к чему. Оказывается, в эту трубу сбрасывались жёсткие диски в случае «маски-шоу», а потом внизу уничтожались мощным электромагнитом. Все важные винты висели над этой дырой, а не в серваках, и то ли при нажатии кнопки, то ли при открытии двери без ключа падали вниз. Честно говоря, такого прикола я ещё не видел нигде.

Недавно поставил небезызвестного «Свободомыслящего Суриката» на компьютер. Копаясь в его внутренностях, в /usr/lib/ я обнаружил папку с довольно странным именем rtkit. Внутри лежал экзешник (простите, привык так называть) с именем rtkit-daemon. «И что же это такое? — подумал я. — Разработчики вирусов настолько обнаглели, что называют вещи своими именами, размещают в папке, которую можно легко увидеть, да ещё и в комплекте поставки дистрибутива?!»

Молодой человек из истории «Моя Красная книга», срочно меняйте профессию! Это мой добрый и дружеский совет как потенциального работодателя. Вместо того, чтобы просто пойти и купить самую дешёвую флешку, чтобы носить её в библиотеку, вы начинаете придумывать чёрт-те что: то архивируете, то шифруете, то целый принтер покупаете. Хотя очевидное решение лежит на поверхности.

У нас на предприятии начальнику охраны как-то понадобилось знать, кто, когда и в какое время на работу приходит и уходит. Закупили дорогущую систему контроля доступа, под неё мощнейший сервер. В итоге охранник по пропускам записывает в журнал время ухода-прихода и нажимает кнопку, которая даёт сигнал системе об открытии доступа. Сотни тысяч рублей заплатили за кнопку, а можно было просто завести журнал.

Поберегите наши работодательские нервы — идите в разведку. С такими схемами вам там самое место.

Живём и работаем в Иркутске, славном стойкими характерами, звучными фамилиями, настоящим, без трепотни, интернационализмом, реальной веротерпимостью и самыми горьким предательством XX века (про Колчака теперь уже слышали даже глухие).

Студия у нас. Веб-мастерская. Админ — с опытом работы в ФСБ. Левый инет у нас по вафле с другого берега болота: Иркутск стоит на сопках, и микрорайон, где расположен наш офис, довольно далеко, если ехать транспортом, но по прямой до крайних домов другого микрорайона — около 300 метров. Там живёт, судя по трафику, наш вполне успешный конкурент. У него вайфай-роутер. Защита — супер. Сигнал устойчивый, превышает заявленные возможности, — наверное, нестандартный усилитель. Спец, однако. Но нам нужен был вторичный, неконтролируемый канал. Две недели брутфорса — здорóво, суперзащищённая халява! Канал толстый, так что конкурент вряд ли что заметил. Как видим, что он IT happens читает — устраиваем соревнование на лучшую историю, а нас много. Надо ж благодетеля отблагодарить?

Конкурент с Южного, привет тебе с Юбилейного! Наш босс сказал, если ты вычислишь нас по таким скудным данным, то ты действительно так крут, как мы о тебе думаем, и мы ждём тебя в нашей команде. Хоть у тебя и безлимит, но мы думаем, что тебе будет приятно узнать, что больше мы твой трафик красть не будем — у нас тут рядом халявы наоткрывалось. Спасибо «хэпенсу», а то так бы и не знали, что живёт такой парень!

Даже я, суровый админ, беспощадно режущий юзерам соцсети, магазины детской одежды и прочие не относящиеся к работе сайты, пустил скупую мужскую слезу, читая описание одного из известных файрволов. Следующие категории веб-сайтов могут быть заблокированы по содержимому:

— Анонимность
— Армия
— Бизнес и услуги
— Благотворительные фонды
— Компьютеры и технологии
— Новости
— Нудисты (!)
— Образование и обучение
— Поиск работы
— Политика и закон
— Правительство
— Финансы

Так и стоит перед глазами офисный планктон, прикованный к первым «пентиумам» в сырых тёмных подвалах, стенающий в бесплодных попытках достучаться до виртуальной приёмной президента и прокуратуры.

Однажды в головном офисе некоей крупной фирмы издох сервер с базой данных по сегодняшним операциям. Был там бэкап или не было, простым смертным админам в филиалах знать не положено.

Пришла директива организовать бэкап базы данных серверов в филиалах по такой схеме: каждый вечер ответственный человек берёт в руки опломбированную флешку с номером дня недели, зашифрованную паролем, копирует на неё с сервера папку с данными по сегодняшним операциям и запирает её в сейф. Просто, надёжно, понятно, кого нагибать в случае чего.

У нас лицом ответственным оказалась девчонка с чувством юмора. Говорит, раньше были трусы-недельки, а сейчас флешки. Семь штук по полторы тыщи на каждый из двух десятков филиалов — вот он, нанотехнологичный XXI век в России.

Знакомый обратился с проблемой: он дал другу свой рабочий ноутбук со схемами и чертежами, а у того отрезало два пальца на пилораме. Всё это было зашифровано BitLocker, и до кучи нужен был отпечаток пальца, потерянный в результате несчастного случая. Долго думали, по-разному пробовали — ноутбук не сдавался. Когда все уже махнули рукой, меня осенило предложить провести по сканеру указательным пальцем левой руки, повернув ноутбук вверх тормашками. Удивительно, но сработало.

Дело было давно, когда трава была зеленее, а студентки оказывались ровесницами. Работал я офисным админом: помогал пользователям, настраивал сети, набирался опыта.

В один прекрасный день в офисе стал тупить интернет. Провайдер у нас был не самый лучший, так что первую неделю я лениво попинывал провайдера, получая неизменный ответ, что у них всё в порядке. Следующие две недели я пинал работников АТС по совету провайдера. В процессе пинания нам замерили шумы на двух телефонных линиях, которые приходили к нам в офис, и переключили ADSL с одной линии на другую. Ничего не помогло решить проблему с интернетом. А тем временем стали даже теряться пинги до Яндекса — деградация сети налицо.

Когда я нашёл проблему, стал красный как рак. Месяцем ранее я поставил кэширующий прокси, чтобы ускорить наш медленный интернет, и по недомыслию оставил входящий порт прокси на всех интерфейсах сервера, даже на том, который смотрел в интернет. За месяц эту проксю нашли и, похоже, выложили её адрес в каком-то списке. Почти месяц куча желающих анонимизироваться использовала проксю для своих чёрных делишек.