Безопасность

Когда я работал администратором довольно крупной онлайновой игрушки, получил как-то задание собрать статистику по паролям и запретить самые распространённые, чтобы хоть как-то снизить число взломов.

На первом месте по популярности был «вампир» в разных вариантах и раскладках. В общей сумме такой пароль поставило 3% пользователей.

Второе место занимал «Самсунг». Подозреваю, что пользователи тупо смотрели на монитор.

Третье почётное место взял «Раммштайн».

Остальные популярные пароли составляли уже доли процента. Впрочем, топ-сотня уверенно покрывала 10% пользователей.

Когда вы в следующий раз задумаете ругать администратора за то, что пароль должен быть длинным и с цифрами, а не таким, как вы привыкли, задумайтесь, кому на самом деле это нужно — ему или вам?

Звонит у меня рабочий телефон. Девушка требует записать адрес почты и срочно выслать ей ЭЦП директора. С трудом удалось выпытать, что она из пожарной охраны, они для нас делают паспорт здания, и ей срочно нужна электронная подпись нашего директора для оформления документов. На мой категоричный отказ она заявила, что наш директор разрешил, ей очень надо, и она будет на меня жаловаться. В итоге пришлось провести с директором просветительскую работу об индивидуальности ЭЦП, безопасности и т. д.

Весь день ломала голову, что же это было. ЭЦП у нас семь штук для работы с банками и сайтами госзакупок, налоговых отчётов и связи с департаментом. Может, это оригинально исполненная обещанная проверка условий хранения ключей ЭЦП?

Всё разрешилось тем же вечером. Сижу у секретаря. Залетает директор. На чистом листе бумаги в середине красуется её подпись.

— Отсканируйте быстро как картинку и срочно отправьте в пожарку! Ничего с первого раза сделать не можете…

На работе я прославился как генератор паролей. Когда надо было завести учётку новому сотруднику, я поинтересовался, какой пароль ей поставить, на что получил ответ:

— Поставьте какой-нибудь обычный, цифровой.

Чисто из цифр я ей пароль поставить не мог: есть правила, о чём я и сообщил. Ей это не было важно. Ну, я ей и поставил пароль «обычныйцифровой». Через два-три часа прибегает в кабинет:

— Не могу войти в учётку, пароль не принимает.
— А вы какой вводили?
— Да уже все перепробовала: и 12345, и 54321, и всякие другие комбинации!
— У вас пароль «обычныйцифровой».
— Откуда я знаю, какие цифры у вас тут обычные!
— Пароль «обычныйцифровой». Без пробелов, буковками «о», «б», «ы» и так далее.

Глаза стали, как у совы.

* * *

Поднимали сервер для нового магазина. Логин есть, нужно придумать пароль. Решил не шокировать коллег своими «карандашеточительныйглаз» и спросил рядом сидящего админа. Он был очень занят и ответил: «Не знаю». Так и запишем.

Через месяц в новом магазине возникла необходимость что-то проверить. Отправляем техника, техник возвращается через некоторое время сильно озадаченный.

— Кто такой пароль придумал, ты?
— Нет, %такой-то%.
— Я весь магазин обежал! Подхожу к управляющему — «не знаю». Спрашиваю заместителя — тоже «не знаю». Оператор — тоже, итить вам некуда! Говорю, вы ж каждый день с ним работаете! Как это «не знаю»?! Оператор подошла, спокойно ввела в окошке «незнаю». Я был в шоке.

На днях привезли мне домой новую мебель. На сборку должен был уйти целый рабочий день. Отпросился, работаю из дома, сборщики рядом собирают.

Звонит коллега, которого я попросил сломать админский пароль на RAID-сервачке, который отказывается видеть ERD Commander. Коллега спрашивает, есть ли утилиты, которые ломают пароль на родной системе. «Там в недрах винды есть файлик с хэшем пароля, который тебе и надо модифицировать. Автораном с флешки, да ещё и без авторизации, это, слава богу, не делается». Стало интересно, что ж сборщики обо мне подумают.

Через полчаса — тот же коллега. Заперся изнутри в серверной, не может открыть. Все посылают его ко мне как к бывалому. «Ну что я тебе по телефону объяснить смогу? Замок надо чувствовать! Попробуй аккуратно понаклонять его в разные стороны». За сборщиков уже конкретно страшно.

Звонит инженер по охлаждению. Привезли инструменты, надо попасть на территорию и открыть машзал. «Стойте там, я пришлю к вам человека. Он проведёт через охрану и откроет любую дверь, которую вы покажете». Сотрудник интересуется, что говорить охране и что конкретно делать. «С охраной он сам разберётся и покажет тебе дверь, которую нужно открыть». О сборщиках вспоминаю только после разговора.

Когда я уже принимал работу, позвонила контора, которая хотела участвовать в конкурсе на проект с криптографией, не имея лицензии ФСБ. «Не вам потом сидеть за нарушение 152-ФЗ…»

Сборщики уходили молча, но быстро и не оглядываясь.

Существует известный сервис для хранения паролей — LastPass называется. Пароли на всевозможных сайтах можно заменить на очень сильные, со спецсимволами и цифрами, после чего забыть и помнить только один — пароль от самого сервиса. Надо признать, идея отличная. С любого компьютера через веб-интерфейс можно авторизоваться на сервисе и зайти в своё хранилище паролей.

Понадобилось мне как-то срочно узнать свои авторизационные данные для одного сервиса. Зайдя на сайт LastPass, я ввёл пресловутый «последний пароль» и был неприятно удивлён сообщением: дескать, давненько мой пароль от сервиса не менялся, а посему никакой авторизации с этого незнакомого IP сервис мне не даст, пока я не прогуляюсь по ссылке, отправленной мне на регистрационную почту, дабы доказать, что я — не верблюд.

Угадайте с трёх раз, помню ли я свой 12-значный пароль от почты из букв разного регистра, цифр и спецсимволов, который хранится понятно где?

Знали ли вы, что…

…поставив бухгалтерам пароль «Просто пароль!», можно полностью парализовать их работу?

…присланный по SMS пароль и познаковая диктовка по телефону ещё не означают, что вместо «Gfhjkm!» действительно нужно писать «Просто пароль!»?

…попытки доступа могут завершиться BSoD’ами, перезагрузками и бесконечным возмущением?

Странная была контора: шифровались ото всех. Официально присутствовали секретарь и директор, который, впрочем, в кабинете не появлялся. Неофициально, если зайти в здание с заднего хода, посетителю открывались помещения без окон, в которых сидело порядка сотни офисных работников. Там же находился директор с заместителями, IT-отдел и бухгалтерия. Нет, всё было культурно: много света, кондиционеры, вентиляция, своя столовая и так далее, но снаружи всё это выглядело ненамного презентабельнее трансформаторной будки.

Проход в секретную часть был оборудован системой доступа по карточкам и видеонаблюдением. И то, и другое управлялось со специально выделенного компьютера, вечно запертого в кабинете (напомним, без окон), ключи от которого были только у начальника внутренней безопасности. Представили? Враг не пройдёт!

Вот только как-то раз, подъехав к «офису» слишком рано и ожидая открытия, я включил ноут в машине. Тут же нашлась вайфай-точка, стоявшая где-то внутри помещения. Простейшее WEP-шифрование удалось снять за десять минут, благо чей-то ноут внутри гнал через неё трафик. Войти в сеть, зайти на внутреннюю машину, с неё на машину управления СКУД — и вот мы уже смотрим видео, на котором охранник дремлет возле будильника. Щёлкаем замочком дверей. Можно заходить, а дверь в каморку охранника при желании легко заблокировать палкой. Дверь и окошки там бронированные — не вылезет.

Конечно, я знал пароли. Если бы не знал, пришлось бы потратить гораздо больше времени, но это уже решаемая задача. А вот дырку в безопасности допустил лично директор, когда решил, что ноут с вайфаем — это удобно, и с установкой самостоятельно купленного в магазине роутера он и сам прекрасно справится.

Утро в нашей компании. Специалист по IT-безопасности бежит к программисту с криком:

— Ты видел, какая хрень завелась на бухгалтерском сервере? Чем и как её удалять? Отключай сервер!

Программист поднимает голову, задумчиво спрашивает безопасника:

— А ты логи своего TrendMicro читал? Альтернативные антивири использовал для удаления? Сервер мы отключить не сможем: у бухов там всё.

— Пойду поищу, где логи читать… — вздыхает безопасник.

Было это ещё тогда, когда интернет оплачивался по трафику. Безлимитные тарифы уже были, но скорости их на офис в сотню машин не хватало ну никак. Так вот, в какой-то момент счета за трафик выросли в полтора, а потом и во все два с половиной раза за несколько месяцев. Мы всем отделом сначала отбрыкивались от бухгалтерии, списывая на всевозможные естественные причины потребления гигабайтов: вышли новые сервис-паки на Windows, или дополнительный офис что-то выкачивал с основного, или кэш на прокси-сервере переполнился, или, в конце концов, смешной ролик на Ютюбе прошёлся по офису, или… Но в какой-то момент решили всё-таки разобраться, потому что счета стали приближаться к числу с пятью нулями.

Проверили журналы WSUS. Убедились, что все компьютеры смотрят на него, а не качают обновки самостоятельно. Приостановили загрузку новых заплаток. Позакрывали соцсети, файлообменники и видеохостинги. Проверили конфигурацию и статистику на прокси — выяснили, что скачано фиг да маленько. Поругались недельку с провайдером, поискали ошибку в их биллинге. Не нашли. Снимали статистику через NetFlow со всего офиса.

Искали, как можно обойти наш прокси. Не нашли. Тем более не нашли, как можно NetFlow обмануть. Стали думать. Долго думали. Догадались. Кто сказал, что входящий поток трафика может быть инициирован только изнутри?

Во внутренней сети у нас имелся FTP-сервер, опубликованный наружу, для обмена большими файлами с заказчиками. С открытым доступом, чтобы заказчики не задавали глупых вопросов. Какие-то засранцы сервер обнаружили и облюбовали, сливая туда всякий крупногабаритный варез. А через NetFlow сервер не нашли, потому что на нём же расположена основная конторская файлопомойка, и для неё много трафика — это норма. Хотелось долго биться головой об стену.