Безопасность

Понедельник — день тяжёлый. Явившись на работу, решил сделать первое дело: завести учётку новому сотруднику.

Зашёл на виртуалку. В рут. К пользователям. Добавил юзера — оказалось, мой однофамилец. Поставил стандартный пароль — сегодняшнюю дату. Закрыл виртуалку, пошёл пить кофе.

Подходит какой-то мужик:

— Чего не при деле?
— Так это, работы ж нет.
— А, тебе сисадмин учётку ещё не сделал.

И тут до меня доходит: сегодня мой первый день на новом рабочем месте, в новой компании, на новой должности.

Удивительно, что архитектура и рутовый пароль оказались идентичны. Надо бы местного админа предупредить.

Я занимаю должность директора офиса турагентства. Компания маленькая — я работаю и директором, и менеджером, и админом (скорее эникейщиком), и даже уборщиком.

Полгода, что я работаю в этом офисе, я наблюдаю со своего ноута точку доступа default — без пароля, естественно. Всегда было интересно, что за офис так «грамотно» настраивал себе интернеты, но руки так и не доходили.

Вчера я захватил с собой на работу ноут и решил приконнектиться к этой точке. Зашёл на роутер, узнал провайдера, модель роутера, но нигде не светилось название организации. Хотел им сбросить настройки — пусть мучаются. Пока думал, увидел, что помимо меня, тут ещё трое по вафле сидят, а через пять минут инет упал.

Вышел, покурил и вспомнил, что сотрудница моя рассказывала, мол, у её знакомых в офисе этажом выше всегда какая-то беда с сетью и со скоростью проблемы. Срочно побежал к ним. Пришёл, спрашиваю, где роутер у них. Сказали, на чердаке. Туда было идти явно не комильфо. Попросил комп, зашёл на 192.168.1.1 и увидел тот же знакомый интерфейс. Спустился к себе, зашёл с ноута, восстановил настройки по памяти, запаролил и отладил, как мог.

Хотел же в начале напакостить, а в итоге доброе дело сделал. В награду ничего не дали, но чувство выполненного долга — превыше всего.

Утечка персональных данных. Полный фарш: имейлы клиентов, адреса и телефоны сотрудников. Хорошо, данные о кредитных картах зашифрованы были, а ключ ребята утащить не смогли.

А сломали смешно, прямо по The Art of Deception. Подобрали простой пароль одной из мелких сотрудниц и от её имени написали в поддержку:

Привет, это Света (начальник отдела), я с ящика Татьяны. Я опять пароль свой забыла — сложные они, а записывать вы мне их запрещаете. Поставьте мне пока 1234, я сразу, как в систему зайду, поменяю.

Сотрудник техподдержки сменил, ругаясь на тупых менеджеров. Придурок, не так ли? Вы бы никогда не сменили, верно? Честное админско-пионерское?

Подрядился я как-то вторым инженером на один проект (отказоустойчивый безопасный телеком) для верховного финансового контролирующего органа РФ. Думал, если понравится — уйду к генподрядчику с насиженного, но бесперспективного места. Что-то понравилось (интересная работа, высокий статус, почти полное содержание), что-то — нет (недостаточно высокая зарплата и командировки длиной больше месяца), но эти дни я запомню на всю жизнь. За кружечкой пива можно весь вечер рассказывать о передвижении на вездеходах и вертолётах, военном сопровождении, ночёвках в гостиницах и палатках, спецаппаратуре современного и доисторического образца. Сегодня же расскажу я пару коротких историй о безопасности.

* * *

Сидел как-то местный ведущий специалист по телекому и информационной безопасности в аппаратной и курил конфиги военной спутниковой станции. Получалось плохо; едва ли не всю ночь сидел он, уставившись в экран, пока уже под утро не нашёл искомое… и был уложен на пол подоспевшими омоновцами, удивлёнными неожиданным сигналом с датчиков движения, молчавших с момента постановки комнаты на охрану более семи часов назад.

* * *

Подключаем оперзал в удалённой военной части. По проекту, кроме наземного и спутникового канала связи, есть ещё коммутируемая линия (дайлап), поднимающаяся как крайний резерв при падении двух основных, но свободных линий на объекте нет. После недолгих уговоров и разъяснений, что схема вряд ли когда-то будет использована, но должна быть протестирована на момент внедрения, линия нашлась. Общаемся с монтажником по поводу установления соединения, ловим мелкие баги. Вдруг со стороны монтажника:

— Что за?.. Чёрт! Нет!.. Лежать, руки за голову! Оу-у-у… Не надо…

Обрыв связи. По мобиле не отвечает. Через какое-то время перезванивает по IP:

— Тут было маски-шоу. Оказывается, на этой линии сидела сигнализация и тревожная кнопка ОМОН. Дежурный предлагает, когда они вернутся на базу, попробовать ещё раз.

Пришлось разочаровать дежурного: даже если последний резерв заработает, вряд ли удастся отправлять платёжки и общаться по IP, лёжа на полу с руками за головой.

В принципе, нет ничего плохого в том, чтобы выбирать себе в качестве пароля линуксовские консольные команды. С точки зрения безопасности, смысла в ln -s /root ./leaf ровно столько же, сколько в любом другом случайном наборе символов, а запомнить команду несравнимо проще, чем вышеупомянутый случайный набор.

В принципе, нет ничего плохого в том, чтобы в окне telnet случайно набрать пароль дважды. Как максимум — терминал его запомнит и после окончания процедуры логина воспримет как команду. Злоумышленники, притаившиеся у вас за спиной, лишь поразятся тому, с какой скоростью вы начали работать.

Но упаси вас Верховный Сисадмин впечатать пароль дважды, заходя на Самый Главный Сервер, на который у вас права рута, особенно если на этой неделе ваш пароль — rm -rf /*…

Думаю, многие юзают терминалы для оплаты мобильных, инета, пополнения электронных кошельков. Так какого хрена разработчики совсем не задумываются о безопасности ПО?

Не далее как в эту субботу, культурно отдыхая с пивком под неспешную беседу, захотелось приобщиться к прекрасному — посмотреть кино, желательно новинку. Идти домой за ноутом? Не комильфо… В магазине по соседству я нашёл платёжный терминал. За минуту снял оболочку (читай: открыл рабочий стол винды), запустил экранную клавиатуру, нашёл в Гугле сайт с онлайн-фильмами и под пиво вместе с продавщицей посмотрел одну из новинок. Конечно, звук отсутствовал, но мы нашли вариант с субтитрами.

Админы не отреагировали на резкий скачок потребляемого трафика, не ограничили скорость заранее, не отключили вызов контекстного меню, не поставили по умолчанию учётку с ограниченными правами.

Техник приехал только на следующий день. Стоял с задумчивым видом, глядя на разобранный терминал. Я засёк время: полтора литра пива и почти два часа он не мог разобраться в проблеме. Хотел подойти и попросить вывести аудиовыход на панель, чтоб в следующий раз подключить нормальные колонки, но решил не выкобениваться.

Если потребуется работа, вывешу свое резюме на всех терминалах, которые смогу найти. Если не посадят, буду работать над их информационной безопасностью.

Когда-то, ещё в подростковом возрасте, придумали мы с подругой свой язык. Гимназия, где мы учились, была языковой — три иностранных в программе, так что основные структурные принципы были уловлены сразу. Относительно несложная грамматика, но уникальная; минимальный запас корней, обозначения для частей речи; использование сокращений для написания некоторых часто употребляемых слов — можно общаться. Непосвящённые не поймут.

Теперь, заводя почтовый ящик, аккаунт в MMORPG, учётную запись пользователя, устанавливая пароль на базы данных, я смело пишу любой вопрос — хоть девичью фамилию матери. Кто догадается, что именно это обозначает скромная строчка «Me X ni laladan varryen urd kyemmyerings?»

Понадобилось мне как-то просмотреть закрытую страничку одного человека в очень популярной у нас социальной сети. В наличии — только адрес электронной почты потенциальной жертвы.

Задача поставлена, приступаем к исполнению. Подбор пароля — не наш метод: слишком просто. Захожу на страничку. Закрыто. Пробую восстановить пароль от почты. Знакомый до боли секретный вопрос о девичьей фамилии настойчиво мешает получить желаемый доступ.

Так, стоп. Возвращаюсь на страницу. Случайно оказался открыт список друзей. Как же не добавить в друзья маму, которая в скобках после своей фамилии указала ту самую, искомую?

Юзеры, относитесь серьёзнее к своей персональной информации.

Пришёл как-то к нам устраиваться на работу человек по фамилии Троян. Можно было бы хихикнуть пару раз и забыть, но самый смак был в том, что претендовал он на должность специалиста службы информационной безопасности.

К сожалению, не подошёл нам человек. А жаль — упустили шанс заслать заказчикам своего Трояна для аудита ИБ.